Vielleicht hast du schon mal gehört, dass der Begriff „GDPR“ im Web diskutiert wird. Es ist immer noch ein ziemlich heißes Thema, vor allem, wenn es um Datenschutzverletzungen und Sicherheit in den Nachrichten geht. Einfach ausgedrückt, ist GDPR ein Datenschutzgesetz, das den Bürgern die Kontrolle über ihre personenbezogenen Daten zurückgeben soll. Das GDPR beeinflusst den Umgang des gesamten Internets mit Daten. Das Erschreckende daran ist, dass die Frist am 25. Mai 2018 abgelaufen ist und viele Fragen zur GDPR die Menschen noch immer beschäftigen:

  1. Was genau ist GDPR? In der Sprache des Laien.
  2. Hat GDPR Auswirkungen auf mich?
  3. Was muss ich tun, um die GDPR-Konformität zu gewährleisten?

Viele haben die Tendenz, das, was sie nicht verstehen, zu verschieben. Steuern sind ein gutes Beispiel. Für viele von uns war GDPR einfach eine geringere Priorität auf unseren Checklisten. Aber die Frist ist nun auf und davon und du solltest dir wirklich ein paar Augenblicke Zeit nehmen und entscheiden, ob du Änderungen an der Arbeitsweise deines Unternehmens und/oder deiner Website vornehmen musst oder nicht. Wenn du es nicht tust, könnte es zu hohen Bußgeldern kommen.

Keine Sorge, wir werden versuchen, dir alles zu erklären, was du über GDPR wissen musst, sowie was du zur Vorbereitung tun kannst. Aber wir sind keine Anwälte, also werden wir versuchen, dich nicht mit allen rechtlichen Details zu langweilen.

Bitte beachte, dass dieser Beitrag nur zu Informationszwecken dient und nicht als Rechtsberatung betrachtet werden sollte.

Was ist GDPR? In der Sprache des Laien

GDPR steht für die Allgemeine Datenschutzverordnung. Es handelt sich um ein Datenschutzgesetz, das am 14. April 2016 von der Europäischen Kommission zum Schutz der Rechte aller EU-Bürger (28 Mitgliedstaaten) und ihrer personenbezogenen Daten verabschiedet wurde. Diese ersetzt die 95/46/EG Datenschutzrichtlinie vom 24. Oktober 1995 und ist weitaus umfangreicher als das Cookie-Gesetz von 2011 (demnächst ersetzt durch die neue EU-Datenschutzverordnung für den elektronischen Geschäftsverkehr, die mit GDPR Hand in Hand geht). Der Rollout-Plan für die Verordnung wurde auf zwei Jahre festgelegt, die Frist war der 25. Mai 2018.

Die Allgemeine Datenschutzverordnung der EU (GDPR) ist die wichtigste Änderung der Datenschutzverordnung seit 20 Jahren… EU GDPR

Wenn du die umfangreichen offiziellen PDFs der Verordnung (11 Kapitel, 99 Artikel) lesen möchtest, empfehlen wir dir, gdpr-info.eu zu besuchen, da sie alles auf einer übersichtlichen Website haben.

Es gibt ein paar Schlüsselbegriffe, die du dir einprägen solltest:

  • Ein Controller bestimmt den Zweck und die Art und Weise der Verarbeitung personenbezogener Daten.
  • Ein Prozessor ist für die Verarbeitung personenbezogener Daten im Auftrag eines Controllers verantwortlich.
  • Personenbezogene Daten sind alle Informationen, die zur Identifizierung einer Person verwendet werden können, auch indirekt durch Kombination dieser Informationen mit anderen Informationen.

Was ist Verarbeitung?

Wenn personenbezogene Daten abgerufen, gespeichert oder in irgendeiner Weise verwendet werden, gilt das als Verarbeitung. Die vollständige GDPR-Definition der Verarbeitung umfasst alle folgenden Maßnahmen, die an personenbezogenen Daten vorgenommen werden, die die Verarbeitung dieser Daten darstellen: Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung, Änderung, Abruf, Konsultation, Nutzung, Übertragung, Offenlegung, Verbreitung, Kombination, Ausrichtung, Einschränkung, Löschung oder Zerstörung.

Grundprinzipien der GDPR

Es gibt sieben Grundprinzipien, die für den Controller nach GDPR gelten:

  1. Die Datenverarbeitung erfolgt rechtmäßig, fair und transparent. Erfordert die Erteilung der Zustimmung.
  2. Personenbezogene Daten müssen für einen bestimmten, ausdrücklichen und legitimen Zweck erhoben und nur für diesen Zweck verwendet werden.
  3. Personenbezogene Daten müssen angemessen und relevant sein und die Erhebung auf das notwendige Maß beschränken.
  4. Personenbezogene Daten müssen korrekt und auf dem neuesten Stand sein.
  5. Personenbezogene Daten sollten nur so schnell wie möglich in identifizierbarer Form gespeichert werden.
  6. Personenbezogene Daten sollten so verarbeitet werden, dass die Sicherheit der Daten gewährleistet ist.
  7. Der Controller ist dafür verantwortlich, dass er die Einhaltung dieser Grundsätze nachweisen kann.

Individuelle Rechte nach GDPR

Personen mit Schutz nach GDPR (EU-Bürger) haben sieben Rechte nach GDPR, auf deren Einhaltung der Prozessor vorbereitet sein muss:

  1. Ein Recht auf Information: Gibt einer Person das Recht zu erfahren, welche Informationen über sie gespeichert werden.
  2. Ein Recht auf Zugang und Datenübertragbarkeit: Eine Person kann jederzeit ihre Informationen in einem leicht herunterladbaren Format anfordern, sowie die Daten verwenden oder an einen anderen Dienst übertragen. (Art. 20)
  3. Ein Recht auf Nachbesserung.
  4. Ein Recht, vergessen zu werden: Ermöglicht es einer Person, die vollständige Löschung ihrer personenbezogenen Daten zu verlangen (es sei denn, es gibt einen triftigen Grund, wie z.B. ein Bankkredit). (Art. 17).
  5. Ein Recht zur Einschränkung der Verarbeitung.
  6. Ein Widerspruchsrecht.
  7. Ein Recht auf faire Behandlung, wenn sie einer automatisierten Entscheidungsfindung und Profilerstellung unterzogen wird.

Zusätzliche GDPR-Notizen

Leider ist bei solchen Dingen nicht immer alles schwarz oder weiß, also hier sind ein paar zusätzliche Dinge zu beachten:

  • Gilt für alle personenbezogenen Daten (PII – alle Daten, die sich auf eine Person beziehen oder zur Identifizierung verwendet werden können).

Personenbezogene Daten sind alle Informationen über eine identifizierte oder identifizierbare natürliche Person (Betroffene); eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Identifikator wie Name, Sozialversicherungsnummer, Standortdaten, einen Online-Identifikator (IP-Adresse oder E-Mail-Adresse) oder auf einen oder mehrere Faktoren, die spezifisch für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person sind;. Es kontrolliert auch, was mit den personenbezogenen Daten gemacht werden kann (Art. 4).

  • Gilt für alle sensiblen personenbezogenen Daten wie Rasse, ethnische Herkunft, sexuelle Orientierung und Gesundheitszustand. (Erwägung 51Art. 9)
  • Datenschutz durch Design und Standard: Stellt sicher, dass personenbezogene Daten angemessen geschützt sind. Neue Systeme müssen mit Schutz ausgestattet sein, und der Zugang zu den Daten wird streng kontrolliert und nur bei Bedarf gewährt (Art. 25).
  • Bei Verlust, Diebstahl oder unerlaubtem Zugriff sind die Behörden innerhalb von 72 Stunden (Art. 33) zusammen mit den Personen, deren Daten abgerufen wurden (Art. 34) zu informieren.
  • Die Daten können nur aus dem bei der Erfassung angegebenen Grund verwendet werden und werden nach Beendigung der Nutzung sicher gelöscht.
  • Ermöglicht es den nationalen Behörden, Geldbußen gegen Unternehmen zu verhängen, die gegen die Verordnung verstoßen.
  • Für die Verarbeitung der personenbezogenen Daten von Kindern unter 16 Jahren für Online-Dienste ist die Zustimmung der Eltern erforderlich; Altersgrenze kann je nach Mitgliedstaat variieren, darf aber nicht unter 13 Jahren liegen (Art. 8).

Wen betrifft die GDPR?

Während die neuen GDPR-Verordnungen darauf abzielen, die Rechte der EU-Bürger zu schützen, wirken sie sich im Wesentlichen auf alle im Internet aus. Das ist richtig, Leute! Dies gilt unabhängig davon, wo ein Unternehmen seinen Sitz hat oder wo seine Online-Aktivitäten stattfinden. Wenn deine Website Daten von EU-Bürgern verarbeitet oder sammelt, dann musst du dich an die GDPR-Vorschriften halten.

GDPR wirkt sich auf alle aus
GDPR wirkt sich auf alle aus

Hier sind nur einige Beispiele für Websites außerhalb der EU, die betroffen sind:

  • Eine WordPress-Community-Site, die personenbezogene Daten für jedes Benutzerprofil sammelt.
  • Ein WordPress Themeshop, bei dem sich Kunden für Konten anmelden, um Themes oder Plugins (Verkaufs- und Rechnungsdaten) zu kaufen.
  • Ein WordPress-Blog, der ein Newsletter-Abonnement Widget hat oder Besucher kommentieren lässt.
  • Ein E-Commerce-Shop (WooCommerce oder Easy Digital Downloads), der Produkte online verkauft.
  • Eine WordPress-Seite, die Analysesoftware verwendet.

Du kannst wahrscheinlich sehen, worauf wir hinauswollen. Wenn du nicht ausdrücklich den gesamten EU-Verkehr blockierst, was die meisten von dir wahrscheinlich nicht tun, dann fällt deine Website unter die GDPR-Vorschriften.

Wenn du dich fragst, ob dein Unternehmen bereits GDPR-konform ist, hat das Team von Mailjet ein praktisches GDPR-Quiz erstellt. Wir empfehlen auch, die GDPR-Checkliste zu lesen.

Folgen der Nichteinhaltung von GDPR

Nach data.verifiedjoseph sind zum 20. März 2019 in der Europäischen Union nach Inkrafttreten der GDPR noch 1.129 Websites nicht verfügbar. 😱 Viele davon sind große Nachrichtenorganisationen.

Warum? Weil sie nicht in der Lage waren, die technischen Implementierungen von GDPR einzuhalten und daher keine Bußgelder in Kauf nehmen wollen. Sie haben also den Verkehr aus der EU ganz einfach blockiert.

Wenn dein Unternehmen die GDPR nicht einhält, kannst du bis zu 4% des weltweiten Jahresumsatzes sanktioniert werden oder bis zu 20 Millionen Euro (der höhere der beiden) pro Verletzung verhängt bekommen. Es gibt auch einen abgestuften Ansatz für Geldbußen. So kann beispielsweise ein Unternehmen mit einer Geldstrafe von 2% belegt werden, weil es seine Aufzeichnungen nicht in Ordnung gebracht hat, die Aufsichtsbehörde und die betroffene Person nicht über einen Verstoß informiert hat oder keine Folgenabschätzung durchgeführt hat. (Art. 83)

Im Januar 2019 ohrfeigte die französische Datenschutzbehörde Google mit einer Geldstrafe von 57 Millionen Dollar nach GDPR. Und bis Februar 2019 gab es über 59.000 gemeldete Datenschutzverletzungen und 91 Geldbußen.

Schau dir den GDPR Strafzettel-Tracker unter Privacy Affairs an, um die neuesten Statistiken zu erhalten. Überflüssig zu sagen, wenn du ein kleiner E-Commerce-Shop oder WordPress-Entwickler bist, könnten diese Strafen verheerend sein!

Wie man seine WordPress-Seite GDPR-konform anpasst

Jetzt zu dem Grund, warum ihr wahrscheinlich alle diesen Blog-Post lest, und das ist, wie ihr eure WordPress-Seite GDPR-konform machen könnt. Im Gegensatz zu unseren normalen Tutorials können wir dir leider keine einfache Schritt-für-Schritt-Anleitung geben, da die Konformität von Seite zu Seite variiert. Aber hier sind Vorschläge, um auf den richtigen Weg zu kommen, sowie zusätzliche Dinge, auf die man achten sollte.

1. Einen Anwalt beauftragen

Wenn du irgendwelche Bedenken bezüglich der GDPR-Compliance hast (was die meisten von euch wahrscheinlich tun werden), empfehlen wir immer, einen Anwalt zu engagieren, auch wenn es nur vorübergehend ist. Dies ist einer der Bereiche, in denen wir dich nachdrücklich auffordern, nicht zu versuchen, es alleine anzugehen. Ein Anwalt kann dir eine speziell auf deine Situation zugeschnittene Rechtsberatung anbieten. Wenn du im Selbstversuch etwas falsch verstehst, kann es zu hohen Bußgeldern kommen.

2. Überprüfe deinen Datenerfassungs- und Verarbeitungs-Workflow

Wir empfehlen, deine gesamte WordPress-Seite zu durchsuchen und festzustellen, wo die Datenerhebung und -verarbeitung stattfindet, wo und für wie lange diese Informationen gespeichert sind. Dazu gehören Dinge wie:

  • Erfassung persönlicher Daten auf einer E-Commerce-Kaufseite oder einer WordPress-Registrierungsseite.
  • IP-Adressen, Cookie-Identifikatoren und GPS-Positionen.
  • Verschiedene Dienste wie Google Analytics, Hotjar, etc.

Nachdem du alle diese Punkte festgelegt hast, musst du bestätigen, dass du die Erlaubnis des Besuchers einholst und offenlegen, wie die gesammelten Daten verwendet werden.

3. Das GDPR-Projekt wurde in WordPress Core für Entwickler integriert

Dejlig Lama & Peter Suhm begannen ursprünglich mit der Arbeit an einem Projekt namens GDPR for WordPress. Dies sollte den Plugin-Entwicklern eine einfache Lösung zur Validierung ihres Plugins durch GDPR bieten und den Website-Verwaltern den Überblick und die Werkzeuge zur Verfügung stellen, um die administrativen Aufgaben zu bewältigen, die mit der Einhaltung von GDPR verbunden sind. Die große Nachricht ist jedoch, dass dies nun Teil des WordPress-Kerns ist.

Um zu sehen, was getan wurde, kannst du dir die GDPR Trac-Tickets sowie die Roadmap zur Einhaltung der GDPR-Vorschriften ansehen. Dies war für WordPress-Anwender genauso wichtig wie für Entwickler, da die GDPR-Compliance eine Zwei-Wege-Strategie ist. WordPress-Benutzer benötigten neue Funktionen in Plugins, die sie bereits verwendeten, wie Kontrollkästchen, Eingabeaufforderungen usw., um sicherzustellen, dass sie bei der Datenerfassung kompatibel sind.

4. Alle rechtlichen Dokumente aktualisieren

Mit GDPR ist es jetzt an der Zeit, deine Allgemeinen Geschäftsbedingungen, Datenschutzseiten, Affiliate-Bedingungen sowie alle anderen rechtlichen Dokumente oder Vereinbarungen, die du möglicherweise hast, zu aktualisieren. Formulare ohne Ankreuzfelder kannst du nicht mehr haben, es sei denn, sie alle unterliegen der Rechtmäßigkeit der Verarbeitung. Mit anderen Worten, es muss eine Möglichkeit geben, dass der Nutzer ausdrücklich zustimmt. Vorbei sind die Zeiten, in denen Begriffe einfach in einem Link am unteren Rand stehen und angenommen wird, dass der Benutzer sie lesen wird.

Die Bedingungen für die Einwilligung wurden verschärft, und die Unternehmen werden nicht mehr in der Lage sein, lange unleserliche Bedingungen voller Rechtssprache zu verwenden, da der Antrag auf Einwilligung in verständlicher und leicht zugänglicher Form gestellt werden muss, mit dem Ziel der damit verbundenen Datenverarbeitung. Die Zustimmung muss klar und deutlich von anderen Angelegenheiten unterscheidbar sein und in einer verständlichen und leicht zugänglichen Form unter Verwendung einer klaren und klaren Sprache erfolgen. Der Widerruf der Einwilligung muss ebenso einfach sein wie deren Erteilung. (Quelle: EU GDPR)

Auch dies ist ein Bereich, den wir empfehlen, mit einem Anwalt zu besprechen. Wenn du nur einen einfachen Blog betreibst, verwende zumindest ein Tool wie iubenda oder ähnliches, um stärkere Datenschutzrichtlinien zu erstellen.

In WordPress 4.9.6 wurde eine neue Funktion für die Datenschutzseite hinzugefügt. Man kann nun eine Datenschutzseite auf seiner Website einrichten, die auf seinen Anmelde– und Registrierungsseiten angezeigt wird. Wir empfehlen auch, es in die Fußzeile zu setzen.

WordPress Datenschutzseite
WordPress Datenschutzseite

Hier ist ein Beispiel für die Standard-Datenschutzrichtlinie, die jetzt von WordPress generiert wurde. Dies sollte als Vorlage verwendet werden und oder Ausgangspunkt, es wird aber nicht alles enthalten, was deine Seite braucht.

Beispiel für eine Datenschutzseite in WordPress
Beispiel für eine Datenschutzseite in WordPress

5. Datenübertragbarkeit anbieten

Nach Art. 20, muss jedes Unternehmen, das Daten sammelt, dem Benutzer auch die Möglichkeit bieten, diese herunterzuladen und die Daten an anderer Stelle zu übernehmen/übertragen.

Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Controller zur Verfügung gestellt hat, in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format zu erhalten, und hat das Recht, diese Daten ohne Beeinträchtigung durch den Controller, dem die personenbezogenen Daten übermittelt wurden, an einen anderen Controller zu übermitteln.

Stelle sicher, dass du über ein System verfügst, um einem Benutzer auf Wunsch eine herunterladbare Datei mit seinen Daten zur Verfügung zu stellen (.csv,.xml, etc.). Wenn du dies derzeit nicht anbieten kannst, solltest du vielleicht einen WordPress-Entwickler einstellen.

In WordPress 4.9.6 wurden neue Funktionen zur Datenverarbeitung hinzugefügt. Seitenbesitzer können nun eine ZIP-Datei mit den persönlichen Daten eines Benutzers exportieren und die persönlichen Daten eines Benutzers löschen. Es gibt auch eine neue E-Mail-basierte Methode, mit der Betreiber Anfragen zu personenbezogenen Daten bestätigen können.

Export personenbezogener Daten in WordPress
Export personenbezogener Daten in WordPress

6. Selbstzertifizierung nach dem Privacy Shield Framework

Aufgrund der Tatsache, dass viele Websites Daten aus der ganzen Welt sammeln und mit nun verschärften Einschränkungen bei personenbezogenen Daten, zertifizieren viele Unternehmen nach den EU-U.S. und Swiss-U.S. Privacy Shield Frameworks. Diese wurden vom US-Handelsministerium, der Europäischen Kommission und der Schweizer Regierung entwickelt, um Unternehmen auf beiden Seiten des Atlantiks einen Mechanismus zur Verfügung zu stellen, der es ermöglicht, die Datenschutzbestimmungen bei der Übermittlung personenbezogener Daten aus der Europäischen Union und der Schweiz in die Vereinigten Staaten zur Unterstützung des transatlantischen Handels einzuhalten.

Erfahre hier mehr über die Vorteile der Selbstzertifizierung unter dem Privacy Shield.

7. Verschlüsseln deiner Daten / HTTPS

Im Hinblick auf die Verschlüsselung gibt es verschiedene Teile: die Verschlüsselung deines Webverkehrs (HTTPS) und die Verschlüsselung, wo deine Daten gespeichert sind. Wir empfehlen dir immer, deinen Webverkehr zu verschlüsseln, unabhängig von GDPR. Die Vorteile des Wechsels zu HTTPS überwiegen bei weitem und das ist der Weg, auf den das Web ausgerichtet ist.

Der Begriff Verschlüsselung selbst wird im GDPR eigentlich nur wenige Male erwähnt und ist nicht zwingend vorgeschrieben.

Um die Sicherheit zu gewährleisten und eine Verarbeitung unter Verstoß gegen diese Verordnung zu verhindern, sollte der Controller oder Prozessor die mit der Verarbeitung verbundenen Risiken bewerten und Maßnahmen zur Minderung dieser Risiken, wie z. B. Verschlüsselung (Erwägungsgrund 83).

Obwohl es den Anschein hat, dass die Verschlüsselung rechtlich nicht zur Einhaltung von GDPR erforderlich ist, wird sie dringend empfohlen, da man für die Daten verantwortlich ist. Wenn man einen WordPress Host wie Kinsta verwendet, werden wir von der Google Cloud Platform unterstützt, was bedeutet, dass alle Daten im Ruhezustand verschlüsselt sind. Informiere dich hier über die GDPR-Verschlüsselung.

8. Überprüfen der WordPress Themes, Plugins, Services, APIs und vieles mehr

Alle WordPress-Plugins oder themenspezifischen Funktionen, die du installiert hast und die personenbezogene Daten sammeln oder speichern, müssen aktualisiert werden, damit deine Website vollständig GDPR-Beschwerde ist. Wenn du ein WordPress-Entwickler bist, hast du hoffentlich bereits GDPR-Änderungen für Benutzer vorgenommen. Im Folgenden findest du einige beliebte Plugins und Konfigurationen sowie direkte Links zur Handhabung von GDPR.

Kontaktformular Plugins

Eine der einfachsten Möglichkeiten, GDPR einzuhalten, besteht darin, deinem Kontaktformular einfach ein erforderliches Kontrollkästchen hinzuzufügen, mit dem der Benutzer zustimmen kann, dass seine übermittelten Daten gesammelt und gespeichert werden. Der wichtige Teil hier ist jedoch „am einfachsten“. Nicht alle Kontaktformulare benötigen unbedingt eine Einwilligung. Dies kann unter die so genannte Rechtmäßigkeit der Verarbeitung fallen.

Contact Form 7 GDPR
Contact Form 7 GDPR

Schaue dir hier zusätzliche WordPress Kontaktformular-Plugins an.

Kommentar-Plugins

Sogar Kommentar-Plugins sammeln personenbezogene Daten. Wie bei Kontaktformularen ist also eine der einfachsten Möglichkeiten, sicherzustellen, dass du konform bist, das Hinzufügen eines Kontrollkästchens für die Zustimmung. Aber auch dies kann unter die so genannte Rechtmäßigkeit der Verarbeitung fallen.

  • WordPress native Kommentare
  • Disqus GDPR (arbeitet derzeit an der Einhaltung der Vorschriftene)
  • Jetpack GDPR

Vor kurzem wurde in der neuesten WordPress 4.9.6 Privacy and Maintenance Release (wie unten gezeigt) ein Kontrollkästchen für die Zustimmung zu nativen Kommentaren hinzugefügt.

WordPress native Kommentare GDPR
WordPress native Kommentare GDPR

Marketing Plugins und Dienstleistungen

Alles von Newsletter-Plugins, Umfrage-Plugins, Quiz-Plugins, Push-Benachrichtigungs-Plugins und bis hin zu deiner E-Mail-Marketing-Software wird von GDPR beeinflusst.

Analyse, Nachverfolgung, Remarketing

Jeder Drittanbieter-Dienst oder jedes Plugin, das Daten sammelt. Dazu gehören beispielsweise Google Analytics, A/B-Test Plugins, Heat Map Services, Remarketing Plattformen, etc. In Bezug auf Google Analytics selbst kann es empfehlenswert sein, die IP zu anonymisieren.

IP in Google Analytics anonymisieren
IP in Google Analytics anonymisieren

Im April hat Google eine neue Datenspeicherungsfunktion für Google Analytics eingeführt. Mit diesen Steuerelementen kannst du die Zeitspanne einstellen, bis die von Google Analytics gespeicherten Daten auf Benutzerebene und auf Ereignisebene automatisch von den Servern von Analytics gelöscht werden. Auf diese Einstellungen kannst du unter Admin → Property → Tracking Info → Data Retention zugreifen.

Datenspeicherung durch Google Analytics
Datenspeicherung durch Google Analytics

Benötigst du eine Cookie-Prompt, wenn du nur Google Analytics-Berichte verwendest und keine Werbung darstellst? Das kommt darauf an. Sieh dir diesen großartigen Beitrag von Jeff über GDPR Compliance mit Google Analytics an – Brauchst du die Zustimmung zum Cookie?

eCommerce-Lösungen und Zahlungsabwickler

Jede Art von WordPress eCommerce-Lösung ist natürlich stark von GDPR betroffen, da diese Verkaufsdaten, persönliche Daten, Benutzerkontendaten und Integrationen mit Zahlungsabwicklern von Drittanbietern sammeln.

Neben der oben genannten Dokumentation empfehlen wir dir auch, diesen großartigen Blogbeitrag zu lesen, um deine WooCommerce-Website auf 12 Wegen GDPR-konform zu machen.

Community-Plugins

Community-Plugins, Foren-Plugins und Mitgliedschafts-Plugins speichern neben dem integrierten WordPress-Anmeldeprozess oft zusätzliche persönliche Daten.

APIs von Drittanbietern

Sogar APIs von Drittanbietern sammeln Daten. Ein gutes Beispiel dafür sind Google-Fonts. Die meisten von euch verwenden wahrscheinlich Google-Fonts, egal ob sie in dein WordPress-Thema eingebaut sind oder ob man sie manuell hinzugefügt hat. Du musst dir wirklich jede API ansehen und herausfinden, welche Daten der Provider sammelt. In einigen Fällen ist die Datenerhebung aufgrund rechtmäßiger Verzerrung ohne Zustimmung zulässig (Erwägungsgrund 49).

Dies kann eine Menge Arbeit und geradezu verwirrend sein, da einige Unternehmen, sogar Google, möglicherweise keine einfachen Ja- oder Nein-Antworten liefern. Sieh dir dieses Gespräch zwischen den Entwicklern an, um festzustellen, ob Google-Fonts GDPR-konform sind oder nicht. Du kannst deine Google-Fonts jederzeit lokal auf deinem eigenen CDN hosten, und das löst dann das Problem.

Wir werden diesen Beitrag aktualisieren, da einige WordPress-Plugin-Entwickler derzeit daran arbeiten, GDPR-Compliance-Funktionen hinzuzufügen. Oder noch beängstigender, viele haben noch gar nicht angefangen. Wenn du Bedenken bezüglich eines Plugins hast, das du ausgeführt hast, wende dich direkt an den Entwickler, um zu erfahren, wie er mit GDPR umgehen will.

Rechtmäßigkeit der Verarbeitung

Die einfache Anfrage nach einer Zustimmung, wie oben gezeigt, ist der einfachste Weg, um die GDPR einzuhalten, aber nicht der einzige Weg. In einigen Fällen ist die Datenverarbeitung aufgrund des Begriffs der Rechtmäßigkeit der Verarbeitung ohne Zustimmung zulässig. Hier sind nur einige Beispiele:

Vertragliche Notwendigkeit

Die Datenverarbeitung ist zulässig, wenn sie für die Erfüllung eines Vertrages, an dem die betroffene Person beteiligt ist, erforderlich ist oder um auf Wunsch der betroffenen Person vor Vertragsabschluss Maßnahmen zu ergreifen (Art. 6 Abs. 1 lit. b).

Rechtmäßiges Interesse

Die Datenverarbeitung ist zulässig, wenn sie für die Zwecke der berechtigten Interessen des Controllers oder eines Dritten erforderlich ist, es sei denn, diese Interessen werden durch die Interessen oder Grundrechte und -freiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überschrieben, insbesondere wenn die betroffene Person ein Kind ist. (Art. 6 Abs. 1 lit. f)

Hinweis: Dies gilt nicht für die Verarbeitung durch Behörden bei der Erfüllung ihrer Aufgaben.

Für weitere Beispiele empfehlen wir, den Beitrag über Rechtmäßige Basis für die Verarbeitung durch White & Case LLP zu lesen.

Hilfreiche GDPR WordPress Plugins

Nachfolgend findest du ein paar hilfreiche Plugins, die du auch ausprobieren solltest, die dir helfen können:

  • WP Security Audit Log: Eine der besten Möglichkeiten, um wirklich zu sehen, was mit deiner WordPress-Seite los ist. Wir empfehlen dies in der Regel aus Sicherheitsgründen, aber es kann eine ausgezeichnete Möglichkeit sein, zu sehen, was Daten sammelt, wie z.B. Benutzerregistrierungen, Kommentare, Kontaktformulareinträge, etc.
  • WP GDPR Compliance: Dieses Plugin unterstützt Website- und Webshop-Besitzer, indem es allgemeine Tipps zur Einhaltung von Integrationen mit einigen gängigen Plugins wie Gravity Forms, Contact Form 7, WooCommerce und WordPress native Kommentare liefert.

  • WP GDPR Compliance
    WP GDPR Compliance

  • GDPR: Ein weiteres Plugin, das dir hilft, konform zu arbeiten. Enthält die Verwaltung der Zustimmungserklärung für die Service- und Datenschutzrichtlinie, das Recht auf Löschung und Vernichtung von Daten mit einer Bestätigungs-E-Mail, die Einstellungen des Datenverarbeiters und die Veröffentlichung von Kontaktinformationen, das Recht auf Zugriff auf Daten aus dem Admin-Dashboard und Export, die Verwaltung von Cookie-Einstellungen und vieles mehr.
  • GDPR Cookie Compliance: Ermöglicht es den Benutzern, ihre Zustimmung für bestimmte Cookie-Zwecke zu erteilen, wobei sie Cookies auf einer detaillierten Ebene aktivieren und deaktivieren können.
  • iubenda Cookie Solution for GDPR: Dieses Plugin ist ein All-in-One-Ansatz, der hilft, deine Website GDPR-konform zu machen, indem er den Text der Datenschutzrichtlinie, das Cookie-Banner und die Sperrverwaltung von Cookies generiert. It also automatically scans your site to auto-configure the solutions needed. Finally, you can also capture, store, and manage GDPR content records for your webforms and also translate documents with a single click (10 languages supported).
  • Complianz GDPR: This plugin pretty much does everything you need for GDPR compliance! It automatically detects if you need a cookie warning, integrates with Google Analytics (you might not need a warning), scans your site for cookies, has the ability to block cookies, generates a cookie policy, and much more.
  • GDPR Cookie Consent: Dieses Plugin hilft dir, eine Cookie-Einverständniserklärung auf deiner WordPress-Seite anzuzeigen. Die Installation von Cookies im Browser des Nutzers ist nur mit dessen ausdrücklicher Zustimmung möglich. Die Nutzer können ihre Einwilligung auch jederzeit widerrufen. Darüber hinaus bietet das Plugin mehrere Anpassungsoptionen für den Stil der Einwilligungsleiste entsprechend dem Theme deiner Website.

Wir haben unser eigenes WordPress Cookie Consent Plugin erstellt

Da jedes Unternehmen und jede Website anders ist, ist es für ein Drittanbieter-Plugin fast unmöglich, die Einhaltung der Vorschriften zu gewährleisten.

Genau deshalb haben wir am Ende unser eigenes GDPR cookie consent Plugin entwickelt. Auf diese Weise können Besucher unserer Website leicht alles anpassen, was auf Skripten und Cookies basiert, die wir verwenden. Dies stellt sicher, dass wir vollständig GDPR-konform sind.

WordPress Custom Cookie Zustimmung Plugin
WordPress Custom Cookie Zustimmung Plugin

Wir haben unsere Cookies in zwei Kategorien unterteilt: Notwendige Cookies (die standardmäßig geladen werden, aber keine personenbezogenen Daten sammeln) und Marketing-Cookies. Die Nutzer/innen können auf jedes einzelne Cookie klicken und separat entscheiden, ob sie es akzeptieren wollen oder nicht.

Cookie-Einstellungen
Cookie-Einstellungen

Wir werden einen Blogbeitrag darüber schreiben, wie wir diese Lösung entwickelt haben, also bleibt dran! Andernfalls kannst du jederzeit einen WordPress-Entwickler beauftragen, einen speziell für die Bedürfnisse deiner Website zu erstellen.

GDPR Audit

Darüber hinaus verwirrt? 😦 Keine Sorge, GDPR kann einen etwas überrumpeln und es ist eine massive Veränderung in Bezug auf die Erhebung persönlicher Daten. Wenn du dir Sorgen um deine eigene WordPress-Seite machst, könnte es ratsam sein, in ein GDPR-Audit durch einen Experten zu investieren, vorzugsweise ein Audit, das ausschließlich mit WordPress arbeitet. Wir empfehlen dir, das GDPR-Audit von GreyCastle Security näher unter die Lupe zu nehmen.

Änderungen, die Kinsta für GDPR vorgenommen hat

Aufgrund der Tatsache, dass Kinsta seinen Sitz in Europa hat, hatten wir von Anfang an strengere Einschränkungen für unsere Daten. Aber wie es jedes Unternehmen tun muss, mussten wir jede unserer Richtlinien mit unserem Rechtsteam bezüglich Datenverarbeitung, -erhebung und -speicherung überprüfen.

Wie du oben gemerkt hast, beinhaltete dies einen Blick auf unsere WordPress-Seite und den Aufbau einer eigenen Cookie-Einwilligungslösung, um sicherzustellen, dass wir innerhalb der Frist vollständig konform waren.

Kinsta nutzt die Google Cloud Platform, die sich voll und ganz der GDPR verpflichtet fühlt, und wir haben alle unsere Drittanbieter und Integrationen überprüft, um ähnliche GDPR-fähige Datenverarbeitungsvereinbarungen abzuschließen.

Einige der von uns vorgenommenen Änderungen sind unter anderem:

Als Kinsta Kunde wird man als Controller, oder Datenverantwortlicher, bezeichnet. Das bedeutet, dass du dafür verantwortlich bist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen und nachzuweisen, dass die Datenverarbeitung in Übereinstimmung mit dem GDPR erfolgt.

Zusammenfassung

Wie du wahrscheinlich schon begriffen hast, ist GDPR eine wirklich große Sache! Es wirkt sich auf fast jede WordPress-Seite im Web aus. Die Frist ist schon lange abgelaufen, deshalb empfehlen wir allen, sich die Zeit zu nehmen, Recherchen durchzuführen und sicherzustellen, dass die eigene Website vollständig konform ist. Wenn du das schweifen lässt, könntest du dir ein paar ziemlich hohe Bußgelder einfangen!

Hast du Fragen zu GDPR und WordPress? Stelle sie unten in die Kommentare. Oder falls du ein anderes beliebtes WordPress-Plugin kennst, das bereits GDPR-konform ist, lass es uns wissen und wir werden es oben hinzufügen!

Brian Jackson

Brian hat eine große Leidenschaft für WordPress, verwendet es seit über einem Jahrzehnt und entwickelt sogar einige Premium-Plugins. Brian liebt Blogging, Filme und Wandern. Verbinde dich mit Brian auf Twitter.