{"id":25491,"date":"2019-07-15T07:07:41","date_gmt":"2019-07-15T14:07:41","guid":{"rendered":"https:\/\/kinsta.com\/?p=22035"},"modified":"2024-08-26T12:45:42","modified_gmt":"2024-08-26T11:45:42","slug":"wordpress-gdpr-konformitat","status":"publish","type":"post","link":"https:\/\/kinsta.com\/de\/blog\/wordpress-gdpr-konformitat\/","title":{"rendered":"WordPress GDPR Konformit\u00e4t – Alles, was du wissen musst"},"content":{"rendered":"

Vielleicht hast du schon mal geh\u00f6rt, dass der Begriff „GDPR“ im Web diskutiert wird. Es ist immer noch ein ziemlich hei\u00dfes Thema, vor allem, wenn es um Datenschutzverletzungen und Sicherheit in den Nachrichten geht. Einfach ausgedr\u00fcckt, ist GDPR ein Datenschutzgesetz, das den B\u00fcrgern die Kontrolle \u00fcber ihre personenbezogenen Daten zur\u00fcckgeben<\/strong> soll. Das GDPR beeinflusst den Umgang des gesamten Internets mit Daten. Das Erschreckende daran ist, dass die Frist am 25. Mai 2018 abgelaufen ist und viele Fragen zur GDPR die Menschen noch immer besch\u00e4ftigen:<\/p>\n

    \n
  1. Was genau ist GDPR? In der Sprache des Laien.<\/li>\n
  2. Hat GDPR Auswirkungen auf mich?<\/li>\n
  3. Was muss ich tun, um die GDPR-Konformit\u00e4t zu gew\u00e4hrleisten?<\/li>\n<\/ol>\n

    Viele haben die Tendenz, das, was sie nicht verstehen, zu verschieben. Steuern sind ein gutes Beispiel. F\u00fcr viele von uns war GDPR einfach eine geringere Priorit\u00e4t auf unseren Checklisten. Aber die Frist ist nun auf und davon<\/strong> und du solltest dir wirklich ein paar Augenblicke Zeit nehmen und entscheiden, ob du \u00c4nderungen an der Arbeitsweise deines Unternehmens und\/oder deiner Website vornehmen musst oder nicht. Wenn du es nicht tust, k\u00f6nnte es zu hohen Bu\u00dfgeldern kommen.<\/p>\n

    Keine Sorge, wir werden versuchen, dir alles zu erkl\u00e4ren, was du \u00fcber GDPR wissen musst, sowie was du zur Vorbereitung tun kannst. Aber wir sind keine Anw\u00e4lte, also werden wir versuchen, dich nicht mit allen rechtlichen Details zu langweilen.<\/p>\n

    Schau dir unsere Tipps zur Einhaltung der DSGVO f\u00fcr Unternehmen in Deutschland, \u00d6sterreich und der Schweiz<\/a> an.<\/strong><\/p>\n\n

    Bitte beachte, dass dieser Beitrag nur zu Informationszwecken dient und nicht als Rechtsberatung betrachtet werden sollte.<\/p>\n

    <\/div><\/kinsta-auto-toc>\n

    Was ist GDPR? In der Sprache des Laien<\/h2>\n

    GDPR steht f\u00fcr die Allgemeine Datenschutzverordnung. Es handelt sich um ein Datenschutzgesetz, das am 14. April 2016 von der Europ\u00e4ischen Kommission zum Schutz der Rechte aller EU-B\u00fcrger (28 Mitgliedstaaten) und ihrer personenbezogenen Daten verabschiedet wurde. Diese ersetzt die 95\/46\/EG Datenschutzrichtlinie<\/a> vom 24. Oktober 1995 und ist weitaus umfangreicher als das Cookie-Gesetz<\/a> von 2011 (demn\u00e4chst ersetzt durch die neue EU-Datenschutzverordnung<\/a> f\u00fcr den elektronischen Gesch\u00e4ftsverkehr, die mit GDPR Hand in Hand geht). Der Rollout-Plan f\u00fcr die Verordnung wurde auf zwei Jahre festgelegt, die Frist war der 25. Mai 2018.<\/p>\n

    Die Allgemeine Datenschutzverordnung der EU (GDPR) ist die wichtigste \u00c4nderung der Datenschutzverordnung seit 20 Jahren<\/strong>…\u00a0EU GDPR<\/a><\/p><\/blockquote>\n

    Wenn du die umfangreichen offiziellen PDFs der Verordnung (11 Kapitel, 99 Artikel) lesen m\u00f6chtest, empfehlen wir dir, gdpr-info.eu<\/a> zu besuchen, da sie alles auf einer \u00fcbersichtlichen Website haben.<\/p>\n

    Es gibt ein paar Schl\u00fcsselbegriffe, die du dir einpr\u00e4gen solltest:<\/p>\n

      \n
    • Ein Controller<\/strong> bestimmt den Zweck und die Art und Weise der Verarbeitung personenbezogener Daten.<\/li>\n
    • Ein Prozessor<\/strong> ist f\u00fcr die Verarbeitung personenbezogener Daten im Auftrag eines Controllers verantwortlich.<\/li>\n
    • Personenbezogene Daten<\/strong> sind alle Informationen, die zur Identifizierung einer Person verwendet werden k\u00f6nnen, auch indirekt durch Kombination dieser Informationen mit anderen Informationen.<\/li>\n<\/ul>\n

      Was ist Verarbeitung?<\/h3>\n

      Wenn personenbezogene Daten abgerufen, gespeichert oder in irgendeiner Weise verwendet werden, gilt das als Verarbeitung. Die vollst\u00e4ndige GDPR-Definition der Verarbeitung umfasst alle folgenden Ma\u00dfnahmen, die an personenbezogenen Daten vorgenommen werden, die die Verarbeitung dieser Daten darstellen: Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung, \u00c4nderung, Abruf, Konsultation, Nutzung, \u00dcbertragung, Offenlegung, Verbreitung, Kombination, Ausrichtung, Einschr\u00e4nkung, L\u00f6schung oder Zerst\u00f6rung.<\/p>\n

      Grundprinzipien der GDPR<\/h3>\n

      Es gibt sieben Grundprinzipien, die f\u00fcr den Controller nach GDPR gelten<\/strong>:<\/p>\n

        \n
      1. Die Datenverarbeitung erfolgt rechtm\u00e4\u00dfig, fair und transparent. Erfordert die Erteilung der Zustimmung.<\/strong><\/li>\n
      2. Personenbezogene Daten m\u00fcssen f\u00fcr einen bestimmten, ausdr\u00fccklichen und legitimen Zweck erhoben und nur f\u00fcr diesen Zweck verwendet werden.<\/li>\n
      3. Personenbezogene Daten m\u00fcssen angemessen und relevant sein und die Erhebung auf das notwendige Ma\u00df beschr\u00e4nken.<\/li>\n
      4. Personenbezogene Daten m\u00fcssen korrekt und auf dem neuesten Stand sein.<\/li>\n
      5. Personenbezogene Daten sollten nur so schnell wie m\u00f6glich in identifizierbarer Form gespeichert werden.<\/li>\n
      6. Personenbezogene Daten sollten so verarbeitet werden, dass die Sicherheit der Daten gew\u00e4hrleistet ist.<\/li>\n
      7. Der Controller ist daf\u00fcr verantwortlich, dass er die Einhaltung dieser Grunds\u00e4tze nachweisen kann.<\/li>\n<\/ol>\n

        Individuelle Rechte nach GDPR<\/h3>\n

        Personen mit Schutz nach GDPR (EU-B\u00fcrger) haben sieben Rechte nach GDPR, auf deren Einhaltung der Prozessor vorbereitet sein muss<\/strong>:<\/p>\n

          \n
        1. Ein Recht auf Information:<\/strong> Gibt einer Person das Recht zu erfahren, welche Informationen \u00fcber sie gespeichert werden.<\/li>\n
        2. Ein Recht auf Zugang und Daten\u00fcbertragbarkeit:<\/strong> Eine Person kann jederzeit ihre Informationen in einem leicht herunterladbaren Format anfordern, sowie die Daten verwenden oder an einen anderen Dienst \u00fcbertragen. (Art. 20<\/a>)<\/li>\n
        3. Ein Recht auf Nachbesserung.<\/li>\n
        4. Ein Recht, vergessen zu werden:<\/strong> Erm\u00f6glicht es einer Person, die vollst\u00e4ndige L\u00f6schung ihrer personenbezogenen Daten zu verlangen (es sei denn, es gibt einen triftigen Grund, wie z.B. ein Bankkredit). (Art. 17<\/a>).<\/li>\n
        5. Ein Recht zur Einschr\u00e4nkung der Verarbeitung.<\/li>\n
        6. Ein Widerspruchsrecht.<\/li>\n
        7. Ein Recht auf faire Behandlung, wenn sie einer automatisierten Entscheidungsfindung und Profilerstellung unterzogen wird.<\/li>\n<\/ol>\n

          Zus\u00e4tzliche GDPR-Notizen<\/h3>\n

          Leider ist bei solchen Dingen nicht immer alles schwarz oder wei\u00df, also hier sind ein paar zus\u00e4tzliche Dinge zu beachten:<\/p>\n

            \n
          • Gilt f\u00fcr alle personenbezogenen Daten <\/strong> (PII – alle Daten, die sich auf eine Person beziehen oder zur Identifizierung verwendet werden k\u00f6nnen).<\/li>\n<\/ul>\n

            Personenbezogene Daten sind alle Informationen \u00fcber eine identifizierte oder identifizierbare nat\u00fcrliche Person (Betroffene); eine identifizierbare nat\u00fcrliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Identifikator wie Name, Sozialversicherungsnummer, Standortdaten, einen Online-Identifikator (IP-Adresse<\/a> oder E-Mail-Adresse) oder auf einen oder mehrere Faktoren, die spezifisch f\u00fcr die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identit\u00e4t dieser nat\u00fcrlichen Person sind;. Es kontrolliert auch, was mit den personenbezogenen Daten gemacht werden kann (Art. 4<\/a>).<\/p><\/blockquote>\n

              \n
            • Gilt f\u00fcr alle sensiblen personenbezogenen Daten<\/strong>\u00a0wie Rasse, ethnische Herkunft, sexuelle Orientierung und Gesundheitszustand. (Erw\u00e4gung\u00a051<\/a>,\u00a0Art. 9<\/a>)<\/li>\n
            • Datenschutz durch Design und Standard:<\/strong> Stellt sicher, dass personenbezogene Daten angemessen gesch\u00fctzt sind. Neue Systeme m\u00fcssen mit Schutz ausgestattet sein, und der Zugang zu den Daten wird streng kontrolliert und nur bei Bedarf gew\u00e4hrt (Art. 25<\/a>).<\/li>\n
            • Bei Verlust, Diebstahl oder unerlaubtem Zugriff sind die Beh\u00f6rden innerhalb von 72 Stunden (Art. 33<\/a>) zusammen mit den Personen, deren Daten abgerufen wurden (Art. 34<\/a>) zu informieren.<\/li>\n
            • Die Daten k\u00f6nnen nur aus dem bei der Erfassung angegebenen Grund verwendet werden und werden nach Beendigung der Nutzung sicher gel\u00f6scht.<\/li>\n
            • Erm\u00f6glicht es den nationalen Beh\u00f6rden, Geldbu\u00dfen gegen Unternehmen zu verh\u00e4ngen, die gegen die Verordnung versto\u00dfen.<\/li>\n
            • F\u00fcr die Verarbeitung der personenbezogenen Daten von Kindern unter 16 Jahren f\u00fcr Online-Dienste ist die Zustimmung der Eltern erforderlich; Altersgrenze kann je nach Mitgliedstaat variieren, darf aber nicht unter 13 Jahren liegen (Art. 8<\/a>).<\/li>\n<\/ul>\n

              Wen betrifft die GDPR?<\/h2>\n

              W\u00e4hrend die neuen GDPR-Verordnungen darauf abzielen, die Rechte der EU-B\u00fcrger zu sch\u00fctzen, wirken sie sich im Wesentlichen auf alle im Internet aus<\/strong>. Das ist richtig, Leute! Dies gilt unabh\u00e4ngig davon, wo ein Unternehmen seinen Sitz hat oder wo seine Online-Aktivit\u00e4ten stattfinden. Wenn deine Website Daten von EU-B\u00fcrgern verarbeitet oder sammelt, dann musst du dich an die GDPR-Vorschriften halten.<\/p>\n

              \"GDPR
              GDPR wirkt sich auf alle aus<\/figcaption><\/figure>\n

              Hier sind nur einige Beispiele f\u00fcr Websites au\u00dferhalb der EU, die betroffen sind:<\/p>\n

                \n
              • Eine WordPress-Community-Site, die personenbezogene Daten f\u00fcr jedes Benutzerprofil sammelt.<\/li>\n
              • Ein WordPress Themeshop, bei dem sich Kunden f\u00fcr Konten anmelden, um Themes oder Plugins (Verkaufs- und Rechnungsdaten) zu kaufen.<\/li>\n
              • Ein WordPress-Blog, der ein Newsletter-Abonnement Widget hat oder Besucher kommentieren l\u00e4sst.<\/li>\n
              • Ein E-Commerce-Shop (WooCommerce oder Easy Digital Downloads), der Produkte online verkauft.<\/li>\n
              • Eine WordPress-Seite, die Analysesoftware verwendet.<\/li>\n<\/ul>\n

                Du kannst wahrscheinlich sehen, worauf wir hinauswollen. Wenn du nicht ausdr\u00fccklich den gesamten EU-Verkehr blockierst, was die meisten von dir wahrscheinlich nicht tun, dann f\u00e4llt deine Website unter die GDPR-Vorschriften.<\/p>\n

                Wenn du dich fragst, ob dein Unternehmen bereits GDPR-konform ist, hat das Team von Mailjet ein praktisches GDPR-Quiz<\/a> erstellt. Wir empfehlen auch, die GDPR-Checkliste<\/a> zu lesen.<\/p>\n

                Folgen der Nichteinhaltung von GDPR<\/h2>\n

                Nach data.verifiedjoseph<\/a> sind zum 20. M\u00e4rz 2019 in der Europ\u00e4ischen Union<\/strong> nach Inkrafttreten der GDPR noch 1.129 Websites nicht verf\u00fcgbar<\/strong>. \ud83d\ude31 Viele davon sind gro\u00dfe Nachrichtenorganisationen.<\/p>\n

                Warum? Weil sie nicht in der Lage waren, die technischen Implementierungen von GDPR einzuhalten und daher keine Bu\u00dfgelder in Kauf nehmen wollen. Sie haben also den Verkehr aus der EU ganz einfach blockiert.<\/p>\n

                Wenn dein Unternehmen die GDPR nicht einh\u00e4lt, kannst du bis zu 4% des weltweiten Jahresumsatzes sanktioniert werden oder bis zu 20 Millionen Euro (der h\u00f6here der beiden) pro Verletzung verh\u00e4ngt bekommen. Es gibt auch einen abgestuften Ansatz f\u00fcr Geldbu\u00dfen. So kann beispielsweise ein Unternehmen mit einer Geldstrafe von 2% belegt werden, weil es seine Aufzeichnungen nicht in Ordnung gebracht hat, die Aufsichtsbeh\u00f6rde und die betroffene Person nicht \u00fcber einen Versto\u00df informiert hat oder keine Folgenabsch\u00e4tzung durchgef\u00fchrt hat. (Art. 83<\/a>)<\/p>\n

                Im Januar 2019 ohrfeigte die franz\u00f6sische Datenschutzbeh\u00f6rde Google mit einer Geldstrafe von 57 Millionen Dollar nach GDPR<\/a>. Und bis Februar 2019 gab es \u00fcber 59.000 gemeldete Datenschutzverletzungen<\/a> und 91 Geldbu\u00dfen.<\/p>\n

                \n

                Crazy stats after 1 yr of GDPR:
                * ~$60m in fines
                * compliance costs for US firms estimated at $150b (2500x fine amount!)
                * small co's hurt more than large. GOOG actually benefits!
                * VC $ invested in EU startups drops significantly<\/p>\n

                Regulatory success! \ud83d\ude44https:\/\/t.co\/HbSoKlRRZz<\/a><\/p>\n

                — Leo Polovets (@lpolovets) May 25, 2019<\/a><\/p><\/blockquote>\n