Panik­ma­che mit der DSGVO

Lei­der häu­fen sich die letz­ten Mona­te wie­der die Panik­ma­cher nach dem Mot­to “Die DSGVO kos­tet Sie Ihre Exis­tenz, außer Sie kau­fen unse­re Dienst­leis­tun­gen, Vor­la­gen, Bücher .….”.  Web­sei­ten­be­trei­ber (egal ob mit Wor­d­Press oder ande­ren CMS erstellt) sind extrem ver­un­si­chert, was die DSGVO für sie bereithält.

Das ist in wei­ten Tei­len abso­lu­ter Quatsch und in unse­ren Augen unse­riö­se Geschäf­te­ma­che­rei. Sicher­lich bringt die Daten­schutz­grund­ver­ord­nung (DSGVO) eini­ges an Ver­än­de­run­gen und Neue­run­gen mit sich. Aber die Grund­zü­ge des Daten­schutz­rechts sind gleich geblie­ben. Wer also bis­her schon im Anwen­dungs­raum des BDSG oder der Lan­des­da­ten­schutz­ge­set­ze rechts­kon­form gear­bei­tet hat, nimmt noch eini­ge Anpas­sun­gen und Ergän­zun­gen an sei­nem Web­auf­tritt vor und das war es. Das mag unbe­quem sein, aber wel­ches Recht ist das nicht. Wen das Daten­schutz­recht bis­her nicht geküm­mert hat, ok, der hat jetzt eini­ges an Arbeit vor der Brust.

Das DSGVO-Blog-Ster­ben

In zahl­rei­chen Medi­en wer­den Schlie­ßun­gen von Blogs ange­kün­digt. Teil­wei­se pri­vat betrie­be­ne Blogs, teil­wei­se sol­che mit kom­mer­zi­el­ler Nut­zung. Schuld dar­an, sei die DSGVO. Schaut man genau­er hin, sind es jedoch oft Blog-Funk­tio­nen, die bereits im alten Daten­schutz­recht nicht kor­rekt umge­setzt waren (obwohl das ging) und nun in der DSGVO erst recht zu Pro­ble­men führen.

Doch der Auf­wand, einen pri­va­ten Blog oder mit­tels des Blogs dar­ge­stell­te gewerb­li­che Web­sei­ten im Sin­ne der DSGVO sau­ber auf­zu­set­zen und zu betrei­ben, ist über­schau­bar. Erst recht kein Grund, jah­re­lang gepfleg­te Dis­kus­si­on und Infor­ma­ti­on online ein­zu­stel­len und zu been­den. Die teil­wei­se pri­vat und mit viel Lie­be geführ­ten Blogs sind Bestand­teil unse­rer Medi­en- und Dis­kus­si­ons­kul­tur und gehö­ren daher bewahrt.

Wir woll­ten nun kei­nen neu­en Bei­trag schrei­ben, wie man z.B. mit Wor­d­Press betrie­be­ne Web­sei­ten DSGVO-kon­form macht. Dazu gibt es diver­se Bei­trä­ge zu Ein­zel­aspek­ten im Web zuhauf. Aber wir haben uns mal hin­ge­setzt (obwohl auch uns und unse­re Kun­den der DSGVO Schuh noch etwas drückt bis zum 25.05.18) und die uns als Anlei­tung geeig­net erschei­nen­den Tipps und Anlei­tun­gen hier zusam­men­ge­stellt. Da zahl­rei­che unse­rer Kun­den Wor­d­Press ein­set­zen, kön­nen die­se mit­tels die­ser Tipps auch gleich wei­ter am rechts­kon­for­men Web­auf­tritt arbeiten.

Wir wis­sen auch, die­ser Bei­trag wird den Tech­nik­ver­sier­ten zu ober­fläch­lich sein, den weni­ger Tech­ni­kaf­fi­nen viel­leicht schon zu spe­zi­ell. Sehen Sie es als Hil­fe­stel­lung und Anre­gung. Mehr nicht.

DSGVO-kon­for­mes Hos­ting von WordPress

Das Ange­bot ist bequem, Regis­trie­rung, 2 Maus­klicks und schon steht die ers­te eige­ne Wor­d­Press-Web­sei­te im Netz, zumeist direkt bei wor​d​press​.com. Um den Daten­zu­griff des Anbie­ters zu unter­bin­den oder zumin­dest ein­zu­schrän­ken, soll­te man jedoch die Wor­d­Press-Instal­la­ti­on selbst hos­ten und betreiben.

Die meis­ten Anbie­ter haben sehr gute Domain-Pake­te mit Ein-Klick-Instal­la­tio­nen. Wirk­lich gute Anbie­ter haben dann neben einem schnel­len und pro­fes­sio­nel­lem Ser­vice bereits eine auf die DSGVO ange­pass­te Vor­la­ge für die Ver­ein­ba­rung der Auf­trags­ver­ar­bei­tung und die Prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (kurz TOM) parat und man muss erst gar nicht groß nach­fra­gen oder sich durch Hot­lines quä­len. Wir für unse­re bei­den Blogs (und zahl­rei­che unse­rer klei­ne­ren Kun­den) nut­zen seit Jah­ren die Neue Medi­en Mün­nich als Hos­ter, kurz und knapp als ALL-INKL bekannt.

Im Rah­men der Domain-Pake­te kann mit weni­gen Klicks ein eige­nes Wor­d­Press auf Ihrem Webs­pace instal­liert und ein­ge­rich­tet wer­den. SSL-Zer­ti­fi­kat von Let’s Encrypt kos­ten­los mit dabei zwecks ver­schlüs­sel­ter Kom­mu­ni­ka­ti­on auf und mit Ihrer Web­sei­te (ist ja nicht erst mit der DSGVO Pflicht!)

Wenn Sie schon über eine Wor­d­Press-Web­sei­te ver­fü­gen und nun umzie­hen wol­len, gibt es hier eine tol­le Anlei­tung, wie das funktioniert:

Von Wor​d​Press​.com auf eige­nen Webs­pace umziehen

Nicht daten­schutz­kon­for­me Plugins vermeiden

In einer sau­be­ren Neu-Instal­la­ti­on (und /​ oder dem impor­tier­ten Web­auf­tritt aus dem Punkt zuvor) gilt es nun, geschwät­zi­ge (und damit meist nicht DSGVO-kon­for­me) Plugins zu ver­mei­den oder vor­han­de­ne zu iden­ti­fi­zie­ren und auszutauschen.

Eine gute Über­sicht über DSGVO-kon­for­me Plugins oder Alter­na­ti­ven zu vor­han­de­nen, weni­ger geeig­ne­ten Plugins hat BLOGMOJO in einem tol­len Bei­trag zusammengestellt:

120+ Wor­d­Press-Plugins im DSGVO-Check (mit Lösun­gen, Alter­na­ti­ven und Plugin-Tipps!)

Web­tracking? Weg damit!

Wenn Sie Web­tracking-Funk­tio­nen auf Ihrer Web­sei­te ein­ge­bun­den haben, die­se aber nicht regel­mä­ßig aus­wer­ten und für Über­ar­bei­tun­gen Ihrer Sei­te nut­zen, dann ist das Web­tracking ent­behr­lich. Gera­de wenn Sie Ihre Web­sei­te pri­vat und mit Kom­men­tar­funk­ti­on betrei­ben, dann sehen Sie auch an ande­rer Stel­le, was bei den Besu­chern ankommt und was nicht. Die aktu­el­le Dis­kus­si­on um Web­tracking im Rah­men der DSGVO hat teil­wei­se schon para­no­ide Züge ange­nom­men. Der ein­fachs­te Weg ist daher, die­se Tools erst gar nicht ein­zu­set­zen, wenn Sie die­se nicht aktiv nut­zen oder zur Stei­ge­rung Ihrer Besu­cher­zah­len im kom­mer­zi­el­len Umfeld benö­ti­gen. Wenn Sie einen sinn­vol­len Nut­zen aus dem Web­tracking zie­hen, emp­fiehlt sich der fol­gen­de Beitrag:

Dar­stel­lung der Tracking-Pro­ble­ma­tik im Kon­text der DSGVO von daten​schutz​be​auf​trag​ter​-info​.de

Web­tracking geht mehr oder weni­ger daten­schutz­freund­lich. Eine Emp­feh­lung ist auf jeden Fall ein Tool wie Matomo (ehe­mals Piwik). Dies kön­nen Sie direkt selbst auf Ihrem Webs­pace instal­lie­ren und haben nicht die Pro­ble­ma­tik, dass IP-Adres­sen (und somit per­so­nen­be­zo­ge­ne Daten) an einen Drit­ten über­tra­gen wer­den. Matomo kön­nen Sie bei den Pake­ten guter Pro­vi­der übri­gens auch direkt im Backend mit einem Klick auf Ihrem Webs­pace instal­lie­ren las­sen. Wie dann die Kon­fi­gu­ra­ti­on und Ein­bin­dung auf der Web­sei­te aus­se­hen kann (inklu­si­ve Hin­weis in der Daten­schutz­er­klä­rung) lesen Sie bei­spiels­wei­se hier

Hand­lungs­an­lei­tung: Matomo (ehe­mals Piwik) nach DSGVO rich­tig einbinden

Und jetzt das Sper­rigs­te: Die Datenschutzerklärung

Wenn Sie Ihre Web­sei­te neu auf­ge­setzt haben, dann ken­nen Sie bereits die Funk­tio­nen auf Ihrer Web­sei­te, mit denen dar­auf per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den. Alte Bekann­te sind Kon­takt­for­mu­la­re, News­let­ter, Log­in-/Re­gis­trie­rungs­be­rei­che, Web­tracking, Stel­len­an­ge­bo­te und vie­le mehr. Die­se Ver­ar­bei­tun­gen gilt es jetzt, im Rah­men der Daten­schutz­er­klä­rung (auch nix Neu­es!) den Besu­chern trans­pa­rent zu machen. Die Anfor­de­run­gen an eine Daten­schutz­er­klä­rung sind recht umfas­send und wür­den einen eige­nen Bei­trag nötig machen. Doch es gibt Hil­fe im Netz:

Einen prag­ma­ti­schen Ansatz hat dazu daten​schutz​be​auf​trag​ter​-info​.de in die­sem Bei­trag vor­ge­stellt — Daten­schutz­er­klä­run­gen nach der DSGVO – Tipps zur Umset­zung.

Als Grund­la­ge für eine soli­de Daten­schutz­er­klä­rung kann das Mus­ter des itm der Uni­ver­si­tät Müns­ter genutzt wer­den. Wenn Sie die­ses kon­zen­triert über­ar­bei­ten und anpas­sen, dann ist schon viel gewonnen.

Und ist Wor­d­Press gene­rell DSGVO-konform?

Selbst wenn Sie Wor­d­Press auf Ihrem eige­nen Webs­pace hos­ten, ist Worpress im Moment noch nicht ganz kon­form mit der Daten­schutz­grund­ver­ord­nung. Eini­ge inter­ne Funk­tio­nen müs­sen aktu­ell noch mit Plugins ange­passt wer­den, um Daten­schutz-Kon­for­mi­tät zu errei­chen (das galt aller­dings auch schon vor der DSGVO).

Wor­d­Press selbst hat reagiert und eine Ver­si­on 4.9.6 für den 15.05.2018 ange­kün­digt, in der Tei­le die­ser Anfor­de­run­gen dann direkt in Wor­d­Press inte­griert werden.

Wor­d­Press 4.9.6 bringt Erwei­te­run­gen für die DSGVO

Den siche­ren Betrieb der Web­sei­te garantieren

Eine der Anfor­de­run­gen aus dem Daten­schutz­recht ist, nicht nur zu Beginn, son­dern auch im lau­fen­den Betrieb die Sicher­heit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu gewähr­leis­ten. Das bedeu­tet, mit der rei­nen Instal­la­ti­on und erst­ma­li­gen Anpas­sung von Wor­d­Press ist es nicht getan. Das kos­tet Zeit und Mühe im lau­fen­den Betrieb. Hier hilft es jedoch nicht, auf die ach so böse DSGVO zu schimp­fen. Denn die­se Anfor­de­rung gab es zuvor auch schon im Rah­men der sog. tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen.

Von daher soll­te es selbst­ver­ständ­lich sein, eine Instal­la­ti­on von Wor­d­Press und der genutz­ten Plugins aktu­ell zu hal­ten. Dazu loggt man sich regel­mä­ßig in das Backend von Wor­d­Press ein und öff­net das Unter­me­nü “Aktua­li­sie­run­gen” unter dem Punkt “Dash­board”. Meist wird dort schon mit einer roten Zahl signa­li­siert, wie­vie­le Aktua­li­sie­run­gen für Wor­d­Press, genutz­te Plugins und The­mes zu instal­lie­ren sind. Vor­her aber bit­te ein Back­up anle­gen 🙂 Das geht ganz gut mit­tels des Plugins BackW­pUp https://​de​.wor​d​press​.org/​p​l​u​g​i​n​s​/​b​a​c​k​w​p​up/, es gibt aber auch ande­re Tools für die weni­ger tech­ni­kaf­fi­nen Betrei­ber einer Web­sei­te mit WordPress.

Updates las­sen sich auch auto­ma­ti­sie­ren für alles oder auf bestimm­te Ele­men­te ein­gren­zen. Sol­che Funk­tio­nen sind jedoch mit Vor­sicht zu genie­ßen. Dabei kann es auch durch­aus zu Pro­ble­men kom­men, gera­de wenn feh­ler­be­haf­te­te Updates von Plugins oder The­mes ein­ge­spielt wer­den. Von daher viel­leicht nur auf die rei­nen Wor­d­Press-CMS-Updates beschränken.

Updates sind das eine, Sicher­heits­lü­cken das ande­re Pro­blem. Lücken kön­nen inner­halb von Wor­d­Press selbst, durch Plugins, aber auch durch den Web­ser­ver dar­un­ter ent­ste­hen. Eine gute Mög­lich­keit, den eige­nen Web­auf­tritt regel­mä­ßig auch Schwach­stel­len zu prü­fen (bzw. prü­fen zu las­sen), ist die Initia­ti­ve SIWECOS. Nach Regis­trie­rung eines Nut­zers und der zu prü­fen­den Web­sei­te erhält man zeit­nah einen Sicher­heits­be­richt über den eige­nen Web­auf­tritt. Die dar­in beschrie­be­nen Pro­ble­me las­sen sich jedoch sel­ten selbst lösen, wenn man kein Spe­zia­list dafür ist. Hier soll­ten Sie pro­fes­sio­nel­le Hil­fe zu Rate zie­hen. Bei Pro­ble­men, die auf Sei­ten des Web­ser­vers ange­zeigt wer­den, hilft es, den Pro­vi­der Ihres Webs­paces mit den Ergeb­nis­sen zu kon­fron­tie­ren. Für Ihre eige­ne Wor­d­Press-Instal­la­ti­on holen Sie sich bit­te geeig­ne­ten qua­li­fi­zier­ten Rat.

Für gewerb­li­che Web­sei­ten ist der Auf­wand in all den dar­ge­stell­ten Punk­ten natür­lich deut­lich höher. Je grö­ßer und funk­ti­ons­um­fang­rei­cher Ihr Web­auf­tritt ist, umso mehr müs­sen Sie auch die Nut­zung spe­zia­li­sier­ter Hos­ter oder gleich die Ver­ga­be der gan­zen Web­sei­te an einen kom­pe­ten­ten Fach­mann in Betracht zie­hen. Da sprin­gen die hier genann­ten und zusam­men­ge­fass­ten Maß­nah­men zu kurz. Nichts­des­to­trotz sind wir der Mei­nung, der Hype um die ach so böse DSGVO in Ver­bin­dung mit Web­sei­ten wird hier künst­lich gepusht. Die Anfor­de­run­gen waren auch zuvor schon recht hoch. Und zu meis­tern sind die auf jeden Fall, im Zwei­fel mit exter­ner Unterstützung.

Wei­te­re Rat­ge­ber zum The­ma Wor­d­Press und DSGVO im Netz

“Wor­d­press und die DSGVO” von WP Ninjas

Gui­de von San­dra Mes­ser “DSGVO — mach Dei­ne Wor­d­Press Web­sei­te rechtssicher”

Aus­führ­li­che Beschrei­bung inklu­si­ve der wei­te­ren Anfor­de­run­gen aus der DSGVO von Johan­nes Kübler

Aktua­li­sie­rung die­ses Beitrags

Wer Anre­gun­gen oder Tipps für wei­te­re Links hat, bit­te immer her damit. Wäre doch gelacht, wenn wir eini­ge Ver­zag­te nicht dabei unter­stüt­zen kön­nen, ihren Blog oder ihre Web­sei­te wei­ter zu betreiben.

Klei­ner Hin­weis zum Schluss: Die­ser Bei­trag stellt kei­ne Rechts­be­ra­tung dar. Im Zwei­fel holen Sie sich Rat zum zuge­las­se­nen Fach­mann, sprich einem Anwalt. Gera­de in der Über­prü­fung der Daten­schutz­er­klä­rung eine gute Investition.