Die EU-Datenschutzgrundverordnung (DSGVO) ist nun schon seit ein paar Jahren in Kraft, doch viele Website-Betreiber tun sich damit immer noch schwer. Was genau regelt die Verordnung, welche Anforderungen stellt sie an den Datenschutz – und was musst du tun, um rechtlich auf der sicheren Seite zu sein? Das und mehr klären wir in diesem Artikel.

DSGVO – was ist das überhaupt?

Bei der Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 in der gesamten EU in Kraft ist, handelt es sich um eine umfassende Verordnung zum Schutz personenbezogener Daten. Sie soll die Art und Weise, wie personenbezogene Daten innerhalb der EU verarbeitet werden, vereinheitlichen und den Menschen mehr Kontrolle über ihre persönlichen Daten geben.

Für wen ist die DSGVO relevant?

Die DSGVO betrifft praktisch jede Organisation, die personenbezogene Daten von Personen in der Europäischen Union verarbeitet. Dazu zählen:

  • Unternehmen und Organisationen in der EU: Alle Unternehmen und Organisationen, die in der Europäischen Union ansässig sind, müssen die DSGVO einhalten, wenn sie personenbezogene Daten verarbeiten.
  • Nicht in der EU ansässige Unternehmen, die Dienstleistungen in der EU anbieten: Die DSGVO gilt aber auch für Unternehmen und Organisationen außerhalb der EU, wenn sie in der EU tätig sind oder personenbezogene Daten von EU Bürgern verarbeiten.

Natürlich müssen somit alle Websites, Online-Shop-Plattformen und andere Online-Dienste, die personenbezogene Daten von EU-Bürgern erfassen oder verarbeiten, die Vorschriften der DSGVO befolgen.

Quelle: Shutterstock

WordPress & die DSGVO

Wie ist das Zusammenspiel der DSVGO und WordPress? In diesem Kapitel klären wir vor allem drei Fragen:

  1. Welche Bereiche deiner WordPress Website sind von der DSGVO betroffen?
  2. Welche Grundsätze sind für die Umsetzung der DSGVO in WordPress relevant?
  3. Welche Anforderungen sind unerlässlich und welche Plugins sind bei der Implementierung der DSGVO in WordPress hilfreich?

Welche Bereiche deiner WordPress Website sind von der DSGVO betroffen?

Jede Form der Datenverarbeitung auf deiner WordPress-Website bedarf einer rechtlichen Grundlage. Ohne diese, ist die Verarbeitung der Daten nicht erlaubt.

Alle datenschutzrelevanten Bereiche deiner Website sollten in der Datenschutzerklärung detailliert und transparent dargestellt werden. Dies betrifft insbesondere die folgenden Aspekte:

1. IP-Adressenverarbeitung durch den Hosting-Anbieter

Die Verarbeitung von IP-Adressen durch deinen Hosting-Anbieter basiert auf dem berechtigten Interesse des Websitebetreibers. Dieses Interesse ist fundamental, da die Darstellung der Website ohne die Verarbeitung der IP-Adressen nicht möglich wäre. Es reicht aus, in der Datenschutzerklärung darauf hinzuweisen.

2. Verarbeitung von Kunden- bzw. Nutzerdaten

WordPress-Websites verarbeiten Nutzerdaten in vielen Bereichen – von einfachen Besucherinteraktionen bis hin zur Bestellabwicklung in Online-Shops. Auch bei der Kommentarfunktion eines Blogs werden persönliche Daten wie die E-Mail-Adresse verarbeitet. Entsprechend muss in der Datenschutzerklärung ein Hinweis erfolgen, und der Nutzer muss diesen akzeptieren. Gleiches gilt für Kontaktformulare.

3. Tracking und Cookies

Die Verarbeitung von Nutzerdaten durch Tracking-Tools auf WordPress-Websites, wie das Setzen von Cookies oder Pixel-Tracking, erfordert eine aktive und informierte Einwilligung der Nutzer, bevor diese Tools aktiv werden. Dies gilt jedoch nicht für unbedingt notwendige Cookies, die für den grundlegenden Betrieb der Website erforderlich sind.

4. Newsletter

Für die Zusendung eines Newsletters ist eine Einwilligung erforderlich. Diese Einwilligung basiert auf dem Wettbewerbsrecht und nicht auf der DSGVO.

5. Plugins

Eine Übersicht über die verwendeten WordPress-Plugins ist notwendig, um die Nutzer darüber zu informieren. Selbst Plugins wie Google Web Fonts sind datenschutzrelevant, da personenbezogene Daten in Form der IP-Adresse an Drittanbieter wie Google übertragen werden.

Wenn auf deiner Website Daten verarbeitet werden, für die keine klare Rechtsgrundlage ersichtlich ist, solltest du sorgfältig prüfen, ob diese Verarbeitung tatsächlich rechtskonform ist.

Besucher müssen klar über die Art und den Zweck der Datenerfassung informiert werden, was sich in der Regel durch Datenschutzerklärungen und Zustimmungsbanner oder Pop-ups auf der Website umsetzen lässt.

Welche Grundsätze sind für die Umsetzung der DSGVO in WordPress relevant?

Um alle Pflichten der neuen DSGVO zu erfüllen, musst du eine Reihe von Grundsätzen einhalten:

Grundsatz der Datensicherheit: Du musst die Daten entsprechend ihrem Risiko schützen, wobei besonders sensible Daten besondere Aufmerksamkeit benötigen. Achte darauf, welche Administratoren und Autoren in deiner WordPress-Installation Zugriff auf personenbezogene Daten haben. Besonders in Webshops können aus Kundenkäufen und Stammdaten sensible Informationen abgeleitet werden.

Denke daran regelmäßige Updates und Patches für WordPress und Plugins durchzuführen. Verwende Plugins wie Wordfence oder Sucuri Security, um deine Website vor Angriffen zu schützen..

Wichtig ist auch die verschlüsselte Übertragung sensibler Daten, wie Zahlungsinformationen. Daher ist ein SSL-Zertifikat für deine WordPress-Website unerlässlich, wenn du viele personenbezogene Daten verarbeitest.

Recht auf Vergessen werden: Personenbezogene Daten müssen gelöscht werden, wenn der Zweck für die Datenverarbeitung weggefallen ist. Wenn zum Beispiel ein Kauf in einem Online-Shop abgeschlossen ist und keine rechtliche Aufbewahrungspflicht oder anderer Grund (wie Garantieansprüche) für die Speicherung der Daten mehr besteht, sind diese zu löschen.

Überprüfe daher regelmäßig, welche Kundendaten in deiner WordPress-Datenbank noch gespeichert sein dürfen.

Dokumentationspflicht: Du musst die Einhaltung aller Datenschutzverpflichtungen nachweisen können. Dafür muss klar sein, zu welchem Zweck Daten erhoben werden, und dies sollte schriftlich festgehalten werden. Das gilt auch für offensichtliche Fälle wie die Erfassung von Adressdaten in einem Online-Shop für den Warenversand.

Kopplungsverbot: Du darfst die Einwilligung zur Datenschutzerklärung oder zum Newsletter-Erhalt nicht mehr mit Goodies verbinden. Kostenlose Zugaben für das Newsletter-Abo (wie beispielsweise ein 5 % Rabatt) sind nicht mehr zulässig.

Grundsatz der Datensparsamkeit: Du darfst nur so viele Daten erheben und verarbeiten, wie du auch tatsächlich benötigst, um den beabsichtigten Zweck zu erfüllen.

Welche Anforderungen sind unerlässlich und welche Plugins sind bei der Implementierung der DSGVO in WordPress hilfreich?

1. Datenschutzerklärung

Eine detaillierte Datenschutzerklärung ist unbedingt nötig. Diese sollte Informationen über die Art der gesammelten Daten, den Zweck der Datenverarbeitung, die Rechtsgrundlage, die Dauer der Datenspeicherung und die Rechte der Nutzer enthalten. Tools wie Iubenda oder Complianz können dabei helfen, eine DSGVO-konforme Datenschutzerklärung zu erstellen.

2. Cookie-Banner und Einwilligung

Die Einwilligung der Nutzer zur Verwendung von Cookies und Tracking-Technologien ist ein zentrales Element der DSGVO. Implementiere ein Cookie-Banner, das den Nutzern die Möglichkeit gibt, Cookies zu akzeptieren oder abzulehnen. Plugins wie Cookie Notice & Compliance oder Complianz bieten umfassende Lösungen für das Cookie-Management.

3. Einwilligungsmanagement

Stelle sicher, dass die Einwilligungen der Nutzer dokumentiert und verwaltet werden. Nutzer müssen die Möglichkeit haben, ihre Einwilligung jederzeit zu widerrufen. Das Plugin WP GDPR Compliance unterstützt dich dabei, Einwilligungen zu verwalten und sicherzustellen, dass alle Einwilligungen korrekt dokumentiert werden.

4. Betroffenenrechte

Die DSGVO gewährt den Nutzern bestimmte Rechte, wie das Recht auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit. Du solltest sicherstellen, dass diese Rechte einfach und effektiv wahrgenommen werden können. WordPress bietet bereits grundlegende Funktionen für den Export und die Löschung von Nutzerdaten. Ergänzend dazu kann WP GDPR Compliance verwendet werden, um Auskunfts- und Löschanfragen zu bearbeiten.

5. Sicherheit der Datenverarbeitung

Stelle sicher, dass alle personenbezogenen Daten sicher verarbeitet werden. Dazu gehören regelmäßige Updates von WordPress und allen Plugins, um Sicherheitslücken zu schließen, sowie die Nutzung von Sicherheits-Plugins wie Wordfence oder Sucuri Security. Zudem solltest du SSL/TLS-Zertifikate verwenden, um die Datenübertragung zu verschlüsseln.

6. Auftragsverarbeitungsverträge

Wenn du Drittanbieter für die Datenverarbeitung nutzt, benötigst du Auftragsverarbeitungsverträge (AVVs) mit diesen Anbietern. Dies stellt sicher, dass auch Drittanbieter die DSGVO-Anforderungen erfüllen. Viele Hosting-Provider und SaaS-Dienste bieten Vorlagen für AVVs an.

7. Datenschutz-Folgenabschätzung

Bei besonders risikoreichen Verarbeitungstätigkeiten ist eine Datenschutz-Folgenabschätzung (DPIA) erforderlich. Dies hilft, potenzielle Risiken zu identifizieren und geeignete Maßnahmen zur Risikominderung zu ergreifen. Tools und Vorlagen für DPIAs können von Datenschutzbehörden oder spezialisierten Dienstleistern bezogen werden.

8. Mitarbeiterschulung

Sensibilisiere deine Mitarbeiter regelmäßig für die Anforderungen der DSGVO und schule sie im sicheren Umgang mit personenbezogenen Daten. Dies kann durch interne Schulungen, E-Learning-Programme oder Workshops erfolgen.

Die Einhaltung der DSGVO auf einer WordPress-Website erfordert eine Kombination aus technischen Maßnahmen, organisatorischen Prozessen und regelmäßiger Überprüfung. Durch die Nutzung spezialisierter Plugins und Tools kannst du sicherstellen, dass deine Website den gesetzlichen Anforderungen entspricht und die Daten deiner Nutzer geschützt sind. Es ist ratsam, sich regelmäßig über Änderungen und Entwicklungen im Datenschutzrecht zu informieren und entsprechend anzupassen.

DSGVO in der DACH-Region

Die zentralen Punkte zur DSGVO in der DACH-Region sind:

Die DSGVO harmonisiert die Datenschutzregeln in der gesamten EU und ersetzt die alten nationalen Datenschutzgesetze der Mitgliedstaaten. Daher mussten Deutschland und Österreich ihre Datenschutzgesetze an die DSGVO anpassen.

Die Schweiz als Nicht-EU-Mitglied ist nicht direkt an die DSGVO gebunden, sondern an das neue Schweizer Datenschutzgesetz (DSG), das wiederum die Rechtslage angleicht. Schweizer Unternehmen müssen die DSGVO aber beachten, wenn einige wichtige Konstellationen eintreten, in denen sie auch für Schweizer Unternehmen Anwendung findet:

  1. Niederlassungsprinzip Wenn ein Schweizer Unternehmen eine Niederlassung (Zweigstelle, Tochtergesellschaft etc.) in der EU hat, dann muss es die DSGVO für alle Datenverarbeitungen im Rahmen dieser Niederlassung einhalten.
  2. Marktortprinzip Die DSGVO gilt auch für Schweizer Unternehmen, die Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von Personen in der EU beobachten (z.B. für Werbezwecke, Webtracking etc.).
  3. Datenübermittlung in die EU Wenn ein Schweizer Unternehmen personenbezogene Daten an ein Unternehmen in der EU übermittelt, muss es die DSGVO-Vorgaben für eine rechtmäßige Datenübermittlung in Drittländer erfüllen.

In der DACH-Region gelten die strengen Datenschutzvorschriften der DSGVO, insbesondere beim Umgang mit personenbezogenen Daten. Dies beeinflusst, wie Unternehmen IT-Lösungen entwickeln und einsetzen müssen.

Einige Anbieter zeichnen Unternehmen in der DACH-Region als „DSGVO-ready“ aus, wenn sie die Anforderungen erfüllen. Dies hat aber keine rechtliche Relevanz für die DSGVO-Umsetzung.

Fazit

Zusammengefasst gibt es keine regionalen Sonderregelungen zur DSGVO innerhalb der DACH-Region. Die EU-weit geltenden Vorgaben der DSGVO müssen von Unternehmen in Deutschland, Österreich und der Schweiz (mit Einschränkungen) gleichermaßen umgesetzt werden.

Kinsta, als europäisch gegründetes Unternehmen, hatte von Anfang an strengere Vorschriften hinsichtlich der Datensicherheit. Dennoch hat Kinsta in Zusammenarbeit mit ihrem Rechtsteam alle Richtlinien zur Datenverarbeitung, -erhebung und -speicherung überprüft und angepasst. Dies beinhaltete unter anderem die Entwicklung einer eigenen Cookie-Einwilligungslösung für die vollständige Einhaltung der DSGVO. Zudem nutzt Kinsta die Google Cloud Platform, die vollständig der DSGVO entspricht, und hat alle Drittanbieter und Integrationen überprüft, um sicherzustellen, dass auch diese den Datenschutzvorgaben entsprechen.

Einige der implementierten Änderungen umfassen neue Möglichkeiten zur Einhaltung der Datenportabilität, ein Datenverarbeitungszusatz sowie die Mitgliedschaft im EU-U.S. und Swiss-U.S. Privacy Shield Framework.

Durch diese umfassenden Maßnahmen zeigt Kinsta sein Engagement für den Schutz der Daten seiner Kunden und die Einhaltung der gesetzlichen Vorgaben.

Empfohlene Lektüre: Impressumspflicht auf WordPress-Seiten: Rechtliche Anforderungen in der DACH Region

Alexander Gerstendörfer

Gründer und Geschäftsführer der Firmen BlackMountain und DACCORD.

DACCORD ist eine Webentwicklungsagentur für den deutschsprachigen Raum. Für Kinsta werden neben verschiedenen anderen Aufgaben auch das Verfassen von einigen Artikeln übernommen.