Schweizer Datenschutzgesetz (DSG) und WordPress- So machst du deine Website DSG-konform

Seit der Überarbeitung des Schweizer Datenschutzgesetzes (DSG) im September 2023 müssen Betreiber von Websites strikte Anforderungen erfüllen, wenn sie personenbezogene Daten verarbeiten. Für WordPress-Nutzer bedeutet dies, dass Anpassungen an der Website notwendig sind, um rechtliche Risiken zu vermeiden und das Vertrauen der Nutzer zu gewinnen.

In diesem umfassenden Leitfaden erkläre ich dir, wie du deine WordPress-Website DSG-konform machst. Von der Datenschutzerklärung bis zur Datensicherheit – hier erfährst du alles, was du wissen musst.

Warum betrifft dich das DSG?

Das DSG zielt darauf ab, die Privatsphäre und die Rechte von Personen zu schützen, deren personenbezogene Daten verarbeitet werden. Es gilt für alle Unternehmen, die Daten von Personen in der Schweiz erheben, speichern oder anderweitig nutzen – unabhängig davon, wo die Website gehostet wird.

Zu den wichtigsten Regelungen gehören:

• Einwilligungspflicht: Daten dürfen nur verarbeitet werden, wenn der Nutzer dem ausdrücklich zugestimmt hat, es sei denn, es gibt eine rechtliche Grundlage.
• Informationspflicht: Du musst Nutzer darüber informieren, welche Daten du sammelst, wie und warum du sie verarbeitest.
• Recht auf Auskunft und Löschung: Nutzer können verlangen, dass ihre gespeicherten Daten eingesehen oder gelöscht werden.
• Datensicherheit: Du bist verpflichtet, angemessene technische und organisatorische Maßnahmen zu treffen, um die Daten deiner Nutzer zu schützen.

Diese Anforderungen betreffen dich, sobald du personenbezogene Daten verarbeitest – sei es durch Kontaktformulare, Analysetools, Cookies oder andere Funktionen deiner Website.

Herausforderungen für WordPress-Websites

WordPress bietet unzählige Möglichkeiten zur Erweiterung deiner Website. Doch genau das bringt Herausforderungen mit sich, wenn es um Datenschutz geht:

1. Vielzahl an Plugins: Plugins erweitern die Funktionen deiner Website, aber viele von ihnen sammeln und senden Daten an externe Anbieter.
2. Cookies und Tracking: Viele Themes und Plugins setzen automatisch Cookies, die nicht zwingend notwendig sind – ein potenzielles DSG-Problem.
3. Datenspeicherung: Ob in Kontaktformularen oder Kommentaren – oft speichert WordPress personenbezogene Daten direkt in der Datenbank.
4. Sicherheit: Ohne regelmäßige Updates und Sicherheitsmaßnahmen wird deine Website schnell zum Ziel von Angriffen.

Diese Herausforderungen machen es notwendig, dass du die Funktionen deiner Website genau überprüfst und Anpassungen vornimmst, um DSG-konform zu werden.

Wie machst du deine WordPress-Website DSG-konform?

1. Datenschutzerklärung erstellen
2. Cookie-Banner implementieren
3. Plugins und externe Dienste prüfen
4. SSL-Verschlüsselung aktivieren
5. Kontaktformulare DSG-konform gestalten
6. Hosting und Datenstandort
7. Sicherheit deiner Website erhöhen
8. Rechte der Nutzer umsetzen

1. Datenschutzerklärung erstellen

Die Datenschutzerklärung ist das zentrale Element, um DSG-konform zu sein. Sie informiert deine Nutzer transparent darüber, welche Daten du sammelst und wie du sie verarbeitest.

Was muss die Datenschutzerklärung enthalten?

• Kontaktdaten des Verantwortlichen: Das bist in der Regel du oder dein Unternehmen.
• Zweck der Datenverarbeitung: Erkläre, warum du die Daten sammelst (z. B. für Analyse, Kontaktaufnahme oder Bestellungen).
• Kategorien personenbezogener Daten: Welche Daten genau werden erhoben? Beispiele sind Name, E-Mail-Adresse, IP-Adresse oder Zahlungsdaten.
• Externe Dienstleister: Wenn du Drittanbieter-Tools nutzt, z. B. Google Analytics, musst du diese transparent angeben.
• Rechte der Nutzer: Informiere über das Recht auf Auskunft, Berichtigung und Löschung.

Tools zur Erstellung:

• Complianz: Dieses Plugin erstellt eine DSG- und DSGVO-konforme Datenschutzerklärung.
• Online-Generatoren: Es gibt DSG-konforme Generatoren, die dir dabei helfen, eine individuelle Datenschutzerklärung zu erstellen.

Platziere die Datenschutzerklärung gut sichtbar, idealerweise im Footer deiner Website.

2. Cookie-Banner implementieren

Cookies dürfen laut DSG nur dann gesetzt werden, wenn der Nutzer zuvor zugestimmt hat – außer es handelt sich um technisch notwendige Cookies.

Wie richtest du ein Cookie-Banner ein?

1. Cookie-Management-Plugins installieren:
   • Borlabs Cookie: Ein leistungsstarkes Tool für die Verwaltung und Blockierung von Cookies.
   • CookieYes: Eine kostenlose, DSG-konforme Alternative.

2. Cookie-Kategorien definieren: Teile Cookies in Gruppen ein, z. B. notwendige Cookies, Marketing-Cookies und Analyse-Cookies.
3. Zustimmung einholen: Dein Cookie-Banner muss den Nutzer über die Nutzung von Cookies informieren und eine Zustimmung einholen, bevor nicht notwendige Cookies gesetzt werden.
4. Dokumentation: Halte die Einwilligungen fest, falls du sie nachweisen musst.

Best Practices:

• Biete Nutzern die Möglichkeit, Cookies individuell zu aktivieren oder abzulehnen.
• Blockiere standardmäßig alle Cookies, die nicht zwingend erforderlich sind.

3. Plugins und externe Dienste prüfen

Plugins und externe Tools machen WordPress flexibel – aber viele von ihnen sammeln personenbezogene Daten oder senden sie an Server außerhalb der Schweiz. Hier musst du besonders vorsichtig sein.

Empfohlene Alternativen:

• Google Analytics → Matomo: Matomo kann lokal auf deinem Server gehostet werden, sodass keine Daten an Dritte übertragen werden. (Lies unseren Artikel, in dem wir Matomo und Google Analytics vergleichen).
• ReCAPTCHA → hCaptcha: Eine datenschutzfreundlichere Alternative für den Spam-Schutz.
• Mailchimp → CleverReach: Dieser Anbieter hat seinen Sitz in der EU und ist DSG-konform.

So prüfst du Plugins:

• Installiere nur Plugins, die DSG- oder DSGVO-konform sind.
• Deaktiviere Tracking-Funktionen in Plugins, wenn sie nicht zwingend erforderlich sind.
• Halte deine Plugins immer aktuell, um Sicherheitslücken zu vermeiden.

4. SSL-Verschlüsselung aktivieren

Das DSG fordert, dass die Übertragung von Daten zwischen Nutzern und deiner Website sicher erfolgt. Ohne SSL-Verschlüsselung riskierst du, dass personenbezogene Daten abgefangen werden.

Schritte zur Aktivierung:

1. Beantrage ein SSL-Zertifikat bei deinem Hosting-Anbieter. Anbieter wie Kinsta bieten oft kostenlose SSL-Zertifikate über Let’s Encrypt an.
2. Installiere das Plugin Really Simple SSL, um die Website vollständig auf HTTPS umzustellen.

Mit HTTPS schützt du nicht nur die Daten deiner Nutzer, sondern verbesserst auch dein Google-Ranking.

5. Kontaktformulare DSG-konform gestalten

Über Kontaktformulare werden oft personenbezogene Daten gesammelt. Damit du DSG-konform bleibst, musst du einige Vorkehrungen treffen.

So gestaltest du Formulare DSG-konform:

• Frag nur notwendige Daten ab (z. B. Name und E-Mail-Adresse).
• Füge eine Checkbox hinzu, mit der Nutzer der Verarbeitung ihrer Daten aktiv zustimmen.
• Informiere im Formular, warum die Daten gesammelt werden und wie lange sie gespeichert bleiben.

Empfohlene Plugins:

• WPForms: Einfach zu bedienen und bietet DSG-konforme Funktionen.
• Contact Form 7: Kombiniert mit „Flamingo“, um Formulardaten sicher zu speichern.

6. Hosting und Datenstandort

Die Wahl des richtigen Hosting-Anbieters ist entscheidend für die Einhaltung des DSG. Achte darauf, dass die Server deines Anbieters in der Schweiz oder der EU stehen, wo strenge Datenschutzgesetze gelten.

Warum Kinsta?

• DSG-konforme Serverstandorte in Europa.
• Sicherheitsfeatures wie automatische Backups, DDoS-Schutz und Malware-Scans.
• Optimiert für die Performance von WordPress.

Falls dein Hosting-Anbieter die Anforderungen nicht erfüllt, solltest du über einen Wechsel nachdenken.

7. Sicherheit deiner Website erhöhen

Datensicherheit ist ein zentraler Bestandteil des DSG. Ein Datenleck kann nicht nur rechtliche Konsequenzen haben, sondern auch das Vertrauen deiner Nutzer beschädigen.

Schritte zur Verbesserung der Sicherheit:

• Halte WordPress, Plugins und Themes immer aktuell.
• Verwende Sicherheitsplugins wie Wordfence oder iThemes Security.
• Setze starke Passwörter ein und aktiviere die Zwei-Faktor-Authentifizierung.
• Begrenze die Anzahl der Login-Versuche, um Brute-Force-Angriffe zu verhindern.

8. Rechte der Nutzer umsetzen

Das DSG gibt deinen Nutzern das Recht, ihre Daten einzusehen, zu korrigieren oder löschen zu lassen. Du musst sicherstellen, dass diese Anfragen einfach und effizient bearbeitet werden können.

So setzt du Nutzerrechte um:

• Richte ein Formular für Datenschutzanfragen ein.
• Nutze Plugins wie WP Data Access Requests, um Anfragen zu verwalten.
• Informiere deine Nutzer in der Datenschutzerklärung über die Möglichkeit, ihre Rechte auszuüben.

Fazit

Das Schweizer Datenschutzgesetz verlangt von dir, dass du verantwortungsvoll mit den Daten deiner Nutzer umgehst. Mit den hier vorgestellten Anpassungen kannst du deine WordPress-Website DSG-konform machen und gleichzeitig das Vertrauen deiner Nutzer stärken.

Checkliste für DSG-konforme WordPress-Websites:

1. Datenschutzerklärung erstellen.
2. Cookie-Banner einrichten.
3. Plugins und externe Dienste prüfen.
4. SSL-Verschlüsselung aktivieren.
5. DSG-konforme Kontaktformulare verwenden.
6. DSG-konformes Hosting wählen.
7. Sicherheitsmaßnahmen umsetzen.
8. Nutzerrechte umsetzen.

Mit diesen Maßnahmen bist du rechtlich auf der sicheren Seite und zeigst deinen Nutzern, dass du ihre Privatsphäre ernst nimmst.

Schau dir unsere DACH-Region-spezifischen Leitfäden zu Barrierefreiheit im Web, Impressumspflicht oder DSGVO-Konformität an!

Alexander Gerstendörfer

Alexander Gerstendörfer ist CEO und Co-Founder von BlackMountain. Mit einem klaren Fokus auf Decision Intelligence und Künstliche Intelligenz unterstützt er Unternehmen dabei, datengetriebene Entscheidungen zu treffen und die digitale Transformation erfolgreich zu meistern.

• Webseite