Panikmache mit der DSGVO
Leider häufen sich die letzten Monate wieder die Panikmacher nach dem Motto “Die DSGVO kostet Sie Ihre Existenz, außer Sie kaufen unsere Dienstleistungen, Vorlagen, Bücher .….”. Webseitenbetreiber (egal ob mit WordPress oder anderen CMS erstellt) sind extrem verunsichert, was die DSGVO für sie bereithält.
Das ist in weiten Teilen absoluter Quatsch und in unseren Augen unseriöse Geschäftemacherei. Sicherlich bringt die Datenschutzgrundverordnung (DSGVO) einiges an Veränderungen und Neuerungen mit sich. Aber die Grundzüge des Datenschutzrechts sind gleich geblieben. Wer also bisher schon im Anwendungsraum des BDSG oder der Landesdatenschutzgesetze rechtskonform gearbeitet hat, nimmt noch einige Anpassungen und Ergänzungen an seinem Webauftritt vor und das war es. Das mag unbequem sein, aber welches Recht ist das nicht. Wen das Datenschutzrecht bisher nicht gekümmert hat, ok, der hat jetzt einiges an Arbeit vor der Brust.
Das DSGVO-Blog-Sterben
In zahlreichen Medien werden Schließungen von Blogs angekündigt. Teilweise privat betriebene Blogs, teilweise solche mit kommerzieller Nutzung. Schuld daran, sei die DSGVO. Schaut man genauer hin, sind es jedoch oft Blog-Funktionen, die bereits im alten Datenschutzrecht nicht korrekt umgesetzt waren (obwohl das ging) und nun in der DSGVO erst recht zu Problemen führen.
Doch der Aufwand, einen privaten Blog oder mittels des Blogs dargestellte gewerbliche Webseiten im Sinne der DSGVO sauber aufzusetzen und zu betreiben, ist überschaubar. Erst recht kein Grund, jahrelang gepflegte Diskussion und Information online einzustellen und zu beenden. Die teilweise privat und mit viel Liebe geführten Blogs sind Bestandteil unserer Medien- und Diskussionskultur und gehören daher bewahrt.
Wir wollten nun keinen neuen Beitrag schreiben, wie man z.B. mit WordPress betriebene Webseiten DSGVO-konform macht. Dazu gibt es diverse Beiträge zu Einzelaspekten im Web zuhauf. Aber wir haben uns mal hingesetzt (obwohl auch uns und unsere Kunden der DSGVO Schuh noch etwas drückt bis zum 25.05.18) und die uns als Anleitung geeignet erscheinenden Tipps und Anleitungen hier zusammengestellt. Da zahlreiche unserer Kunden WordPress einsetzen, können diese mittels dieser Tipps auch gleich weiter am rechtskonformen Webauftritt arbeiten.
Wir wissen auch, dieser Beitrag wird den Technikversierten zu oberflächlich sein, den weniger Technikaffinen vielleicht schon zu speziell. Sehen Sie es als Hilfestellung und Anregung. Mehr nicht.
DSGVO-konformes Hosting von WordPress
Das Angebot ist bequem, Registrierung, 2 Mausklicks und schon steht die erste eigene WordPress-Webseite im Netz, zumeist direkt bei wordpress.com. Um den Datenzugriff des Anbieters zu unterbinden oder zumindest einzuschränken, sollte man jedoch die WordPress-Installation selbst hosten und betreiben.
Die meisten Anbieter haben sehr gute Domain-Pakete mit Ein-Klick-Installationen. Wirklich gute Anbieter haben dann neben einem schnellen und professionellem Service bereits eine auf die DSGVO angepasste Vorlage für die Vereinbarung der Auftragsverarbeitung und die Prüfung der technischen und organisatorischen Maßnahmen (kurz TOM) parat und man muss erst gar nicht groß nachfragen oder sich durch Hotlines quälen. Wir für unsere beiden Blogs (und zahlreiche unserer kleineren Kunden) nutzen seit Jahren die Neue Medien Münnich als Hoster, kurz und knapp als ALL-INKL bekannt.
Im Rahmen der Domain-Pakete kann mit wenigen Klicks ein eigenes WordPress auf Ihrem Webspace installiert und eingerichtet werden. SSL-Zertifikat von Let’s Encrypt kostenlos mit dabei zwecks verschlüsselter Kommunikation auf und mit Ihrer Webseite (ist ja nicht erst mit der DSGVO Pflicht!)
Wenn Sie schon über eine WordPress-Webseite verfügen und nun umziehen wollen, gibt es hier eine tolle Anleitung, wie das funktioniert:
Von WordPress.com auf eigenen Webspace umziehen
Nicht datenschutzkonforme Plugins vermeiden
In einer sauberen Neu-Installation (und / oder dem importierten Webauftritt aus dem Punkt zuvor) gilt es nun, geschwätzige (und damit meist nicht DSGVO-konforme) Plugins zu vermeiden oder vorhandene zu identifizieren und auszutauschen.
Eine gute Übersicht über DSGVO-konforme Plugins oder Alternativen zu vorhandenen, weniger geeigneten Plugins hat BLOGMOJO in einem tollen Beitrag zusammengestellt:
120+ WordPress-Plugins im DSGVO-Check (mit Lösungen, Alternativen und Plugin-Tipps!)
Webtracking? Weg damit!
Wenn Sie Webtracking-Funktionen auf Ihrer Webseite eingebunden haben, diese aber nicht regelmäßig auswerten und für Überarbeitungen Ihrer Seite nutzen, dann ist das Webtracking entbehrlich. Gerade wenn Sie Ihre Webseite privat und mit Kommentarfunktion betreiben, dann sehen Sie auch an anderer Stelle, was bei den Besuchern ankommt und was nicht. Die aktuelle Diskussion um Webtracking im Rahmen der DSGVO hat teilweise schon paranoide Züge angenommen. Der einfachste Weg ist daher, diese Tools erst gar nicht einzusetzen, wenn Sie diese nicht aktiv nutzen oder zur Steigerung Ihrer Besucherzahlen im kommerziellen Umfeld benötigen. Wenn Sie einen sinnvollen Nutzen aus dem Webtracking ziehen, empfiehlt sich der folgende Beitrag:
Darstellung der Tracking-Problematik im Kontext der DSGVO von datenschutzbeauftragter-info.de
Webtracking geht mehr oder weniger datenschutzfreundlich. Eine Empfehlung ist auf jeden Fall ein Tool wie Matomo (ehemals Piwik). Dies können Sie direkt selbst auf Ihrem Webspace installieren und haben nicht die Problematik, dass IP-Adressen (und somit personenbezogene Daten) an einen Dritten übertragen werden. Matomo können Sie bei den Paketen guter Provider übrigens auch direkt im Backend mit einem Klick auf Ihrem Webspace installieren lassen. Wie dann die Konfiguration und Einbindung auf der Webseite aussehen kann (inklusive Hinweis in der Datenschutzerklärung) lesen Sie beispielsweise hier
Handlungsanleitung: Matomo (ehemals Piwik) nach DSGVO richtig einbinden
Und jetzt das Sperrigste: Die Datenschutzerklärung
Wenn Sie Ihre Webseite neu aufgesetzt haben, dann kennen Sie bereits die Funktionen auf Ihrer Webseite, mit denen darauf personenbezogene Daten verarbeitet werden. Alte Bekannte sind Kontaktformulare, Newsletter, Login-/Registrierungsbereiche, Webtracking, Stellenangebote und viele mehr. Diese Verarbeitungen gilt es jetzt, im Rahmen der Datenschutzerklärung (auch nix Neues!) den Besuchern transparent zu machen. Die Anforderungen an eine Datenschutzerklärung sind recht umfassend und würden einen eigenen Beitrag nötig machen. Doch es gibt Hilfe im Netz:
Einen pragmatischen Ansatz hat dazu datenschutzbeauftragter-info.de in diesem Beitrag vorgestellt — Datenschutzerklärungen nach der DSGVO – Tipps zur Umsetzung.
Als Grundlage für eine solide Datenschutzerklärung kann das Muster des itm der Universität Münster genutzt werden. Wenn Sie dieses konzentriert überarbeiten und anpassen, dann ist schon viel gewonnen.
Und ist WordPress generell DSGVO-konform?
Selbst wenn Sie WordPress auf Ihrem eigenen Webspace hosten, ist Worpress im Moment noch nicht ganz konform mit der Datenschutzgrundverordnung. Einige interne Funktionen müssen aktuell noch mit Plugins angepasst werden, um Datenschutz-Konformität zu erreichen (das galt allerdings auch schon vor der DSGVO).
WordPress selbst hat reagiert und eine Version 4.9.6 für den 15.05.2018 angekündigt, in der Teile dieser Anforderungen dann direkt in WordPress integriert werden.
WordPress 4.9.6 bringt Erweiterungen für die DSGVO
Den sicheren Betrieb der Webseite garantieren
Eine der Anforderungen aus dem Datenschutzrecht ist, nicht nur zu Beginn, sondern auch im laufenden Betrieb die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Das bedeutet, mit der reinen Installation und erstmaligen Anpassung von WordPress ist es nicht getan. Das kostet Zeit und Mühe im laufenden Betrieb. Hier hilft es jedoch nicht, auf die ach so böse DSGVO zu schimpfen. Denn diese Anforderung gab es zuvor auch schon im Rahmen der sog. technischen und organisatorischen Maßnahmen.
Von daher sollte es selbstverständlich sein, eine Installation von WordPress und der genutzten Plugins aktuell zu halten. Dazu loggt man sich regelmäßig in das Backend von WordPress ein und öffnet das Untermenü “Aktualisierungen” unter dem Punkt “Dashboard”. Meist wird dort schon mit einer roten Zahl signalisiert, wieviele Aktualisierungen für WordPress, genutzte Plugins und Themes zu installieren sind. Vorher aber bitte ein Backup anlegen 🙂 Das geht ganz gut mittels des Plugins BackWpUp https://de.wordpress.org/plugins/backwpup/, es gibt aber auch andere Tools für die weniger technikaffinen Betreiber einer Webseite mit WordPress.
Updates lassen sich auch automatisieren für alles oder auf bestimmte Elemente eingrenzen. Solche Funktionen sind jedoch mit Vorsicht zu genießen. Dabei kann es auch durchaus zu Problemen kommen, gerade wenn fehlerbehaftete Updates von Plugins oder Themes eingespielt werden. Von daher vielleicht nur auf die reinen WordPress-CMS-Updates beschränken.
Updates sind das eine, Sicherheitslücken das andere Problem. Lücken können innerhalb von WordPress selbst, durch Plugins, aber auch durch den Webserver darunter entstehen. Eine gute Möglichkeit, den eigenen Webauftritt regelmäßig auch Schwachstellen zu prüfen (bzw. prüfen zu lassen), ist die Initiative SIWECOS. Nach Registrierung eines Nutzers und der zu prüfenden Webseite erhält man zeitnah einen Sicherheitsbericht über den eigenen Webauftritt. Die darin beschriebenen Probleme lassen sich jedoch selten selbst lösen, wenn man kein Spezialist dafür ist. Hier sollten Sie professionelle Hilfe zu Rate ziehen. Bei Problemen, die auf Seiten des Webservers angezeigt werden, hilft es, den Provider Ihres Webspaces mit den Ergebnissen zu konfrontieren. Für Ihre eigene WordPress-Installation holen Sie sich bitte geeigneten qualifizierten Rat.
Für gewerbliche Webseiten ist der Aufwand in all den dargestellten Punkten natürlich deutlich höher. Je größer und funktionsumfangreicher Ihr Webauftritt ist, umso mehr müssen Sie auch die Nutzung spezialisierter Hoster oder gleich die Vergabe der ganzen Webseite an einen kompetenten Fachmann in Betracht ziehen. Da springen die hier genannten und zusammengefassten Maßnahmen zu kurz. Nichtsdestotrotz sind wir der Meinung, der Hype um die ach so böse DSGVO in Verbindung mit Webseiten wird hier künstlich gepusht. Die Anforderungen waren auch zuvor schon recht hoch. Und zu meistern sind die auf jeden Fall, im Zweifel mit externer Unterstützung.
Weitere Ratgeber zum Thema WordPress und DSGVO im Netz
“Wordpress und die DSGVO” von WP Ninjas
Guide von Sandra Messer “DSGVO — mach Deine WordPress Webseite rechtssicher”
Ausführliche Beschreibung inklusive der weiteren Anforderungen aus der DSGVO von Johannes Kübler
Aktualisierung dieses Beitrags
Wer Anregungen oder Tipps für weitere Links hat, bitte immer her damit. Wäre doch gelacht, wenn wir einige Verzagte nicht dabei unterstützen können, ihren Blog oder ihre Webseite weiter zu betreiben.
Kleiner Hinweis zum Schluss: Dieser Beitrag stellt keine Rechtsberatung dar. Im Zweifel holen Sie sich Rat zum zugelassenen Fachmann, sprich einem Anwalt. Gerade in der Überprüfung der Datenschutzerklärung eine gute Investition.