DSGVO WordPress Plugin

Datenschutz verstehen –  WordPress Plugins gemäß DSGVO – Die besten Plugins für Ihre Website

Zusammenfassung
  1. Für eine DSGVO-konforme Webseite müssen Einwilligungen wirksam eingeholt werden, bevor Plugins, Trackings Tools und Co. aktiviert werden.
  2. Datenschutz-Anforderungen für WordPress-Nutzer sollten in 3 Bereiche unterteilt werden: Datenschutzerklärung, Einholung von Einwilligungen für Cookies und die technische Optimierung der Webseite.
  3. Die Datenschutzerklärung einer Webseite muss die Mindestangaben, insbesondere aus Art. 13 DSGVO zwingend erfüllen. Zudem muss die Datenschutzerklärung präzise, transparent, verständlich und in leicht zugänglicher Form der betroffenen Person zur Verfügung gestellt werden.
  4. Für Cookies, die für den WordPress-Betreiber zwingend erforderlich sind, reicht häufig eine Information in der Datenschutz- und Cookie-Erklärung. Andere Cookies bedürfen zwingend einen Cookie-Consent-Manager.
  5. Online-Shops stehen aufgrund von Dokumentationspflichten, dem Grundsatz der Datenminimierung und weiteren Regelungen in Konflikt mit dem Datenschutz. Online-Shop Plugins unterstützen einen DSGVO-konformen Online-Shop.
  6. Durch Double-Opt-In-Verfahren, eine umfassende Information der Nutzer und Verweise auf Detailinformationen, wie die Datenschutzerklärung, sind Newsletter-Systemen wie Mailchimp hilfreich.
  7. Social-Plugins sind Funktions-Erweiterungen aus dem sozialen Netzwerk direkt auf der WordPress-Seite. Damit diese Datenübertragung hergestellt wird, bedarf es einer Einwilligungserklärung und der entsprechenden Information in der Datenschutzerklärung der Webseite.
  8. Bei Backups von WordPress werden auch personenbezogene Daten gespeichert. Daher ist es wichtig, das erzeugte Backup in eine sichere Serverumgebung zu übertragen.
  9. Gemäß der Löschfunktion von Webseiten sind Unternehmen dazu verpflichtet, personenbezogene Daten auf Wunsch der Betroffenen unverzüglich zu löschen.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

Play
Slider

Mittlerweile ist die Datenschutz-Grundverordnung (DSGVO) schon seit über einem Jahr in Kraft getreten. Leider gibt es immer noch viele Unklarheiten bei der Umsetzung der DSGVO auf Seiten der Unternehmen. Grundsätzlich regelt die Datenschutz-Grundverordnung den datenschutzkonformen Umgang mit personenbezogenen Daten. Die Verordnung ist als Verbot mit Erlaubnisvorbehalt zu verstehen, sodass für jede Verarbeitung von personenbezogenen Daten eine Rechtsgrundlage vorliegen muss. Ansonsten darf die Verarbeitung nicht ausgeübt werden. Daher ist eine der wichtigsten Aufgaben in Bezug auf die DSGVO zunächst die Prüfung der Rechtmäßigkeit der Verarbeitungen. In diesem Zusammenhang ist zu untersuchen, ob alle Verarbeitungen in der aktuellen Form überhaupt stattfinden dürfen. Insbesondere sind hier auch Webseiten oder Content-Management-Systeme (WordPress, Joomla oder Typo3) betroffen.

Gerade in Bezug auf eine DSGVO-konforme Website sind Unternehmen immer noch sehr unsicher. Umso besser, dass der Markt mittlerweile sehr hilfreiche Tools & Plugins zur Verfügung stellt. Neben der DSGVO-konformen Datenschutzerklärung spielen Cookie-Consent-Manager und Grundkonfigurationen (Privacy by Design, Privacy by Default) von Webseiten eine große Rolle. 

Wer die Anforderungen der DSGVO im Online-Bereich nicht umsetzt, riskiert ein hohes Bußgeld von den zuständigen Aufsichtsbehörden. Gerade im Bereich Webseiten und Online-Präsenzen werden aktuell viele Urteile gefällt, die sehr hohe Strafen und Reglementierungen mit sich bringen. Nachfolgend erhalten Sie einen Einblick in ein aktuelles EUGH-Urteil. 

 

EuGH-Urteil zum Like-Button

Beispielsweise hat kürzlich der Europäische Gerichtshof (EuGH) entschieden, dass alle Webseitenbetreiber für eine eingebundene “Gefällt mir”-Schaltfläche neben Facebook nach der DSGVO mitverantwortlich sind (EuGH, 29.07.2019 – C-40/17 “Fashion ID”, Pressemitteilung). Diese Entscheidung unterstreicht die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO, welche für Webseitenbetreiber ein sehr hohes Haftungspotential mit sich bringt. 

Gleichzeitig hat auch in diesem Fall der EuGH entschieden, dass der Einsatz der “Gefällt mir”-Schaltfläche einer Einwilligung und vollständigen Datenschutzinformationen gem. den Art. 12 ff. DSGVO bedarf. Diese Entscheidung ist ähnlich wie bei anderen Tracking-Diensten zu betrachten: Webseitenbetreiber benötigten jetzt einen Cookie-Consent-Manager. Lange war die Frage, ob der Einsatz von Social-Plugins, Tracking Tools, etc. einer Einwilligung der Nutzer bedarf, noch ungeklärt. Nun ist klar, dass Webseitenbetreiber eine Einwilligung einholen müssen, und zwar bevor das Plugin oder Tracking Tool aktiv wird.

Sobald auf den Geräten Daten der Webseitenbesucher gespeichert oder ausgelesen werden, besteht die Pflicht eine Einwilligung einzuholen. Da dies praktisch immer der Fall ist, werden Cookie-Consent-Manager zur Pflicht. Hierbei sollte beachtet werden, dass eine informierte Einwilligung auch wirksam eingeholt wird.

Der EuGH bestätigt in seinem Urteil, dass es ausreichend ist, wenn sich die Einwilligung nur auf den Erhebungs- und Übermittlungsvorgang bezieht (d.h. die spätere Verarbeitung der Daten der Websitebesucher durch Facebook muss nicht abgedeckt sein). 

EuGH-Urteil zur Einwilligung bei Cookies

Mit seiner Entscheidung am 01.10.2019 hat der Europäische Gerichtshof (EuGH) über die datenschutzrechtliche Erforderlichkeit von aktiven Einwilligungen für Cookies entschieden. Webseiten-Betreiber dürfen Cookies nur dann speichern, wenn seitens des jeweiligen Nutzers eine aktive Einwilligung vorliegt. Hier erfahren Sie mehr zu diesem Urteil und seinen Folgen.

 

DSGVO – Was verändert sich für WordPress?

Die Datenschutz-Grundverordnung bringt für Webseiten oder eben WordPress-Systeme eine Menge an neuen Herausforderungen mit sich. Vor dem Hintergrund der kommenden e-Privacy Verordnung ist festzustellen, dass die geforderten Grundsätze der DSGVO noch deutlich erweitert werden. So sollten Unternehmen sich rechtzeitig mit der Umsetzung der DSGVO bezüglich ihrer Webseiten beschäftigen, um nicht von den rechtlichen Anforderungen überrascht zu werden. 

Grundsätzlich sind WordPress-Webseiten immer von den Anforderungen der Datenschutz-Grundverordnung betroffen, da personenbezogene Daten (pbD) in einem CMS (Content Management System) verarbeitet werden. Als WordPress-Nutzer sollte man die Datenschutz-Anforderungen in drei Bereiche klassifizieren: Datenschutzerklärung, Einholung von Einwilligungen für Cookies und die technische Optimierung der Webseite (z.B. SSL-Verschlüsselung).

Datenschutzerklärung WordPress

Der erforderliche Detailgrad der Datenschutzerklärung für WordPress-Seiten bemisst sich nach den gesetzlichen Vorgaben gem. Art. 12, 13 DSGVO. Die erforderlichen Mindestangaben, insbesondere aus Art. 13 DSGVO, müssen zwingend erfüllt werden. Bezüglich des Ortes der Platzierung der Datenschutzerklärung sind die Vorgaben aus Art. 12 Abs. 1 S.1 DSGVO zu berücksichtigen: Die Informationen, die eine Datenschutzerklärung enthalten muss, müssen präzise, transparent, verständlich und vor allem in leicht zugänglicher Form der jeweiligen betroffenen Person zur Verfügung gestellt werden. Diese Vorgabe macht deutlich, dass die Datenschutzerklärung nicht versteckt auf einer Website platziert werden darf, denn das würde den Vorgaben der DSGVO widersprechen.

Eine Datenschutzerklärung auf WordPress muss alle Vorgaben aus den Art. 12 ff., insbesondere Art. 13 Abs. 2 und Abs. 3 DSGVO, je Verarbeitungstätigkeit enthalten. Diverse Punkte, wie z.B. die Unterrichtung über die bestehenden Betroffenenrechte oder das Beschwerderecht, müssen nicht je Verarbeitungstätigkeit wiederholt angegeben werden. Darüber hinaus kommen weitere Punkte hinzu. Hierzu gehören Hinweise bezüglich technischer Aspekte, wie z.B. Server-Logfiles, der generelle Umgang mit personenbezogenen Daten, Cookie-Informationen, Kontaktformularangaben, Abo- und Kommentar-Funktionen, Einbindung von Social Media-Plugins, Angaben über eingesetzte Analyse- und Marketing-Tools inkl. Tracking und Newsletter-Informationen. Diese Punkte sind allerdings nicht abschließend.

Jede Website muss individuell analysiert werden. Im Anschluss muss die Datenschutzerklärung alle gem. Art. 12 ff. DSGVO vorgegebenen Angaben enthalten in Bezug auf alle personenbezogenen Verarbeitungstätigkeiten enthalten. Die folgenden Angaben muss eine Datenschutzerklärung enthalten:

Namen und die Kontaktdaten des Verantwortlichen
Kontaktdaten des Datenschutzbeauftragten
Aufklärung über personenbezogene Daten
Umfang der Datenerhebung und Datenverarbeitung
Erstellung von Logfiles
Rechtsgrundlagen für die Verarbeitungen personenbezogener Daten
Verwendung von Cookies
Löschung und Sperrung von personenbezogenen Daten
Betroffenenrechte inkl. Widerspruchsrecht
Einbindung von Drittanbietern und Inhalten Dritter
Dauer der Speicherung personenbezogener Daten
Hinweise zu Bewerbungen (Ausbildung & Stellenangebote)
Technische Sicherheit (SSL)

Bislang haben viele Unternehmen Ihre individuellen Gegebenheiten der WordPress-Seite in einen Datenschutzerklärungs-Generator eingegeben oder die Datenschutzerklärung von einem Datenschutzbeauftragten erstellen lassen. Das Problem hierbei sind Aktualisierungen (wenn z.B. neue Tools eingesetzt werden) und die Fehlerquote der eigenen Angaben. Eine bessere Unterstützung bieten heute intelligente Tools wie z.B. hellotrust, welche die WordPress-Webseite vollumfänglich scannen und die Datenschutz- und Cookieerklärung automatisch aktualisieren. Darüber hinaus erfolgen hier Aktualisierungen durch spezialisierte Juristen in den Hinweisen der Datenschutz- und Cookieerklärung, inkl. Cookie-Consent-Manager.

 

Plugins als Erweiterung für den Datenschutz

Viele Anbieter von DSGVO Plugins für WordPress nehmen sich aus der Haftung in den allgemeinen Geschäftsbedingungen, zugleich werden aber abmahnsichere Plugins versprochen. Das Problem liegt häufig darin, dass WordPress-Entwickler keinen juristischen Hintergrund besitzen. Daher sollte man genauer hinsehen, welches Plugin wirklich alle Anforderungen erfüllt. In der Regel ist immer eine Kombination aus verschiedenen Plugins erforderlich, um Ihre WordPress-Seite datenschutzkonform abzusichern. Es gibt allerdings auch sehr innovative Lösungen, welche gleich alle Anforderungen mit einem Plugin abdecken können. Selbstverständlich sind dann immer noch technische Optimierungen wie die SSL-Verschlüsselung erforderlich, dennoch haben Sie Themen wie Datenschutzerklärung und Einwilligungen durch diese Lösungen bereits erfolgreich abgedeckt. 

Cookie-Plugins für ein DSGVO konformes WordPress

Grundsätzlich muss man bei Cookies datenschutzrechtlich zwischen verschiedenen Zwecken unterscheiden: Es existieren Cookies von Diensten, welche zwingend erforderlich sind für den WordPress-Betreiber, dass bedeutet das für diese Dienste nicht zwingend eine Einwilligung benötigt wird, sondern lediglich die Information in der Datenschutz- und Cookie-Erklärung. Das könnte beispielsweise ein Schriftart-Dienst wie Google Fonts sein.

Dann gibt es noch das berechtigte Interesse, welches WordPress-Seiten erlaubt, Dienste, die Statistiken erstellen, dafür aber keine Datenübertragen und Werbeprofile generieren, ohne ausdrückliche Einwilligung einzubinden. Das könnte beispielsweise bei einem lokalen Trackingsystem auf der WordPress-Instanz der Fall sein.

Abschließend haben wir noch den wohl am häufigsten genutzten Bereich: Das Marketing. Das Persönlichkeitsrecht der Webseiten-Besucher überwiegt hier das Interesse an Marketingaktivitäten der WordPress-Betreiber, sodass hier eine Einwilligung für die Verwendung von Cookies benötigt wird. Das sind zum Beispiel Dienste wie: Google Analytics, Facebook Pixel, Google Tag Manager oder LinkedIn Marketing. 

Und für genau den letzten Fall benötigen Unternehmen zwingend einen Cookie-Consent-Manager, wie z.B. hellotrust, welcher sich dynamisch an die aktivierten Dienste der WordPress-Seite anpasst. 

 

Datenschutzhinweise für Cookies

In der Datenschutzerklärung selbst oder häufig auch in einem Cookie-Consent-Manager müssen die Informationsangaben für den jeweiligen Dienst (Tracking) gemäß der DSGVO stattfinden. Hierzu hat sich folgende Reihenfolge bewährt:

  1. Name & Beschreibung des Tools
  2. Zweck
  3. Rechtsgrundlage (ggf. das berechtigte Interesse) 
  4. Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten 
  5. ggf. Absicht des Verantwortlichen, pbD an Drittland oder internationale Organisation zu übermitteln sowie das VOrhandensein oder Fehlen eines Angemessenheitsbeschlusses oder gem. Art. 46 oder 47 geeignete und angemessene Garantien und Möglichkeit, Kopien zu erhalten
  6. Speicherdauer
  7. ggf. Profiling gem. Art. 22 Abs.1 und Abs. 4 und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person
  8. Weitergabe der Daten für anderen Zweck als beschrieben
  9. Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte
  10. Verlinkung zu Datenschutzbestimmungen des jeweiligen Dienstleisters
  11. Opt-Out-Option (z.B. Widerspruchsmöglichkeit oder Widerrufsmöglichkeit) angeben, da nur so die Daten z.B. bei Google gelöscht werden

Welche Cookie-Plugins sind geeignet?

hellotrust bietet eine 360° Datenschutz-Lösung für WordPress Seiten an. hellotrust scannt Ihre Webseite fortlaufend und erstellt hierfür immer eine rechtssichere Datenschutz- und Cookieerklärung. Ebenfalls wird ein individualisierter Cookie-Consent-Manager zur Verfügung gestellt, welcher alle Cookies deaktiviert oder aktiviert. hellotrust ist ein Team aus Juristen und WordPress-Entwicklern, sodass ein Abmahnkostenschutz mitgeliefert wird. hellotrust ist aufgrund der fortlaufenden Absicherung kostenpflichtig und buchbar schon ab 9,90€ pro Monat und Domain.

WP GDPR Compliance fügt automatisch DSGVO-konforme Checkboxen bei den Plugins Contact Form 7, Gravity Forms und WooCommerce sowie bei den WordPress-Kommentaren hinzu. Mit diesen Opt-Ins können die Besucher Ihrer Seite ihre Einwilligung geben, sodass Sie mit dem jeweiligen Plugin ihre personenbezogenen Daten verarbeiten können. Leider konzentriert sich WP GDPR Compliance nur auf eine Handvoll Plugins. Das bedeutet, dass Sie unter Umständen andere Erweiterungen benutzen, welche nicht DSGVO-konform sind. Laut WP GDPR Compliance sollen allerdings zukünftig weitere Features hinzukommen. WP GDPR Compliance wurde für die WP-Community entwickelt und ist somit kostenlos. 

Mit WP GDPR können Sie Webseiten-Besuchern ihre personenbezogenen Daten zugänglich machen und anschließend können die Daten auch gelöscht werden. Diese Auskunft beinhaltet Daten der Plugins Gravity Forms, Contact Form 7, WooCommerce, Flamingo und MailChimp. Für diese Plugins erstellt WP GDPR außerdem Opt-Ins zur Datenverarbeitung. Für eine einzelne Webseite kostet die Jahreslizenz für WP GDPR mit nur einer Plugin-Integration 20 Euro. Wenn Sie alle verfügbaren Plugin-Integrationen nutzen möchten, zahlen Sie jährlich 50 Euro.

 

Kontaktformular bei WordPress gemäß DSGVO

Durch die Datenschutz-Grundverordnung müssen jegliche Möglichkeiten zur Kontaktaufnahme einmal geprüft werden und ggf. angepasst werden. Um eine sichere Übermittlung von personenbezogenen Daten nach Art. 32 DSGVO zu gewährleisten, müssen die Kontaktformulare SSL-verschlüsselt sein. Je nachdem für welchen Zweck und in welcher Art Daten erhoben werden, benötigen WordPress-Betreiber eine gesonderte Einwilligung für die Verarbeitung der Daten. 

Sofern Sie Kontaktformulare im klassischen Sinne zur Verfügung stellen (Kontaktaufnahme zur Angebotserstellung, Support etc.), benötigen Sie keine Einwilligung. Sollten Sie allerdings die erhobenen Daten zu Marketingzwecken nutzen wollen, dann benötigen Sie definitiv eine Einwilligung als Checkbox im Kontaktformular. Wenn Sie viele Kontaktformulare haben, ist das Plugin WP GDPR Compliance, wie bereits weiter oben beschrieben, eine sehr gute Lösung, um standardisiert Einwilligungen zu erstellen und zu verknüpfen. Momentan unterstützt es Contact Form 7 und Gravity Forms.

 

Kommentare DSGVO konform umsetzen in WordPress

Aktuell ist es noch nicht ganz klar, ob auch bei Blog-Kommentaren der Webseiten-Besucher seine Einwilligung in die Verarbeitung abgeben muss. Im Zweifel müsste hier ähnlich wie bei den Kontaktformularen vor dem Abschicken des Kommentars eine Checkbox mit Text eingefügt werden. Hierfür eignet sich ebenfalls das Plugin WP GDPR Compliance. Es wird allgemein empfohlen, keine IP-Adresse mehr zu speichern bei den Blog-Kommentaren auf WordPress oder diese zumindest nach einem gewissen Zeitraum (1 Jahr) zu löschen.

Noch ein Tipp: Übrigens sollten Sie nach wie vor aus Datenschutzgründen nicht mit dem WordPress-Standard-Plugin Akismet, sondern mit Antispam Bee den Spam über die Kommentar-Funktion bekämpfen. Hierbei sollten Sie allerdings noch Einstellungen berücksichtigen, um AntiSpamBee wirklich datenschutzkonform zu nutzen: 

  1. Die Funktion „Öffentliche Spamdatenbank berücksichtigen“ sollte deaktiviert sein.
  2. Die Funktion „Bestimmte Länder blockieren bzw. erlauben“ überträgt die IP-Adressen nur anonymisiert
  3. Die Funktion „Kommentare nur in einer Sprache zulassen“ sorgt dafür, dass nur der Kommentartext, nicht aber Email, IP oder Name des Kommentierenden an Google übertragen werden.
 

Online Shops & WooCommerce – Datenschutz bei WordPress

Für Onlineshop-Betreiber ist es sehr wichtig ein funktionierendes Shopsystem zu implementieren auf WordPress. Wichtig dabei ist oftmals die Dokumentationspflicht und die sonstigen Rechenschaftspflichten aus dem HGB und BGB, damit ein Kaufvertrag wirksam ist. Ebenfalls sollen möglichst viele valide Daten erhoben werden beim Kauf von Produkten. Dies steht allerdings im Konflikt mit der DSGVO wegen dem Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c) DSGVO. Zusätzlich sind die Informationsangaben beim Online-Händler sehr wichtig und oft zugleich sehr komplex, da häufig auf der Bestellseite oder beim Auslösen bestimmter Funktionen im Shop zusätzliche Events gestartet werden. Es wird dringend empfohlen, den eigenen Online-Shop auf externe Datenflüsse zu scannen. Grundsätzlich gibt es für WordPress viele Online-Shop Plugins, doch welche davon sind datenschutzkonform? 

Welche Onlineshop-Plugins sind geeignet?

Gerade im eCommerce-Bereich gibt es zahlreiche Plugins für WordPress. Wichtig ist, dass diese Dienstleister wie z.B. Shopware nur die technische Basis liefern. Für Einstellungen, Content bzw. Textbausteine und die Einhaltung der DSGVO ist der Shop- bzw. Seitenbetreiber immer selbst verantwortlich.

WooCommerce DSGVO

WooCommerce und auch die Version German Market für WooCommerce sind auf die Datenschutz-Grundverordnung angepasst. Das betrifft vor allem die Mustertexte zum Datenschutz, aber auch deutlich erweiterte Möglichkeiten bei den Checkboxen für Einwilligungen, welche Ihre Kunden im Onlineshop bestätigen müssen. Sehr hilfreich ist es ebenfalls, dass gleich mehrere Einwilligungs-Vorlagen definiert werden können, da wir nach der DSGVO für verschiedene Zwecke unterschiedliche Einwilligungen benötigen. Zum Beispiel ist die Einwilligung anders zu gestalten, wenn es thematisch um Versanddienstleister wie DHL, DPD, GLS oder UPS geht als bei der Direktwerbung.

Achtung: Bestandskunden von German Market müssen die genannten Mustertexte manuell austauschen und dabei um ihre persönlichen Angaben ergänzen (vor dem Update 3.6).

WooCommerce bietet WordPress-Betreiber den Export von persönlichen Daten der Kunden an. Mit Hilfe dieser Funktion können WordPress-Betreiber sehr einfach den Rechten der Betroffenen nach Art. 15 – 22 DSGVO gerecht werden. WooCommerce hat einen Freigabeprozess integriert, damit Sie die Berechtigung eingehender Datenanfragen verifizieren können. Denn die Legitimation spielt eine große Rolle, ansonsten werden Daten unter Umständen an eine falsche Person übermittelt. Es werden folgende Daten exportiert:

  • Persönliche Adressdaten und Angaben zum Account
  • Die Bestellungen, die unter der zugehörigen E-Mail-Adresse aufgegeben wurden
  • Ebenso die damit verknüpften und erfolgten Downloads, etwa von Lizenzen oder sonstigen digitalen Waren

Für die datenschutzkonforme Aufbewahrung der personenbezogenen Daten stellt WooCommerce die Möglichkeit zur Verfügung verschiedene Datenkategorien mit Aufbewahrungsfristen/Löschfristen zu versehen. Das Löschen generell ist ähnlich wie mit der Export-Funktion möglich. Die Einstellungen sind dabei im Standard nicht vorausgewählt, das müssen Sie gegebenenfalls selbst nachholen. Beachten Sie bitte, dass Sie die persönlichen Bestelldaten weiterhin für nachfolgende Prozesse benötigen, beispielsweise für Gewährleistungsansprüche oder für die Steuerberechnung.

Shopware DSGVO

Shopware bietet für alle Bereiche, in denen Sie persönliche Daten über ein Formular an Shopware übermitteln (bspw. die Registrierung, das Kontaktformular), optional eine Ergänzung durch Datenschutz-Hinweise. Zusätzlich zu einem einfachen Text inkl. Kenntnisnahme, können Sie dies auch optional per Checkbox bestätigen lassen. Diese Einstellung greift nur, wenn die vorherige Option auch aktiviert wurde. Außerdem muss die Option “Datenschutzhinweise anzeigen” eingeschaltet sein.

Über die Anmelde-Funktion für den Newsletter können Sie den Double-Opt-In für Newsletter-Anmeldungen aktivieren. Wenn Sie die Opt-In E-Mail editieren möchten, dann finden Sie diese als sOPTINNEWSLETTER in den E-Mail-Vorlagen > System-E-Mails. Shopware speichert zusätzlich alle Opt-In-Anmeldungen in der Tabelle s_core_optin, diese Daten werden automatisiert durch den Cronjob Opt-In table Cleanup bereinigt.

  • Shopware bietet mit dem Cronjob Cancelled baskets cleanup an, abgebrochene Bestellungen regelmäßig löschen zu lassen.
  • Ebenfalls bietet Shopware an die IPs Ihrer Kunden nicht zu erfassen. Es wird dann automatisch der letzte Bereich der IP-Adresse anonymisiert.
 

Newsletter Plugins gemäß DSGVO für WordPress

Auch die Datenschutz-Grundverordnung ändert das Double-Opt-In-Verfahren beim Newsletter-Versand nicht. Lediglich die Bedingungen an die Einwilligung als solche wurden durch den Art. 7 DSGVO geändert. Bei der datenschutzkonformen Ausformulierung der Einwilligung für den Newsletterversand sollten Sie beachten, dass Sie mehrere Zwecke klar definieren müssen, um zum Beispiel auch die Erfolgsmessung aktivieren zu können innerhalb des Newsletter-Systems wie Mailjet, Mailchimp oder Newsletter2go. Ebenfalls sollte der WordPress-Betreiber beachten, dass die Einwilligungen nicht mit anderen Leistungen gekoppelt werden, wie zum Beispiel ein kostenloses E-Book.

Checkliste Newsletter DSGVO: 

1. Im Fall eines Newsletterdienstleisters:

a) Abschluss eines Auftragsverarbeitungsvertrags wenn erforderlich (lokale Speicherung oder externes Hosting).
b) Prüfung der Garantien bei EU-Drittländern.

2. Double-Opt-In-Verfahren

a) Protokollierung der Anmeldung im Newsletter-System.
b) Bestätigungsmails ohne werbliche Inhalte. Die Bestätigung muss freiwillig erfolgen.

3. Information der Nutzer im Onlineformular („Teaser“).

a) Über den Inhalt der Newsletter.
b) Über etwaige Erfolgsmessung.
c) Über Zweck anderer Angaben als der E-Mail-Adresse.
d) Über den Versanddienstleister.
e) Über die Protokollierung der Anmeldung.
f) Über das Widerrufsrecht (“hier abmelden”).
g) Über Kopplung mit Gewinnspielen, E-Books, etc.

4. Verweisen Sie auf die Detailinformationen im Newsletter.

a) Datenschutzerklärungen verlinken.
b) Opt-Out-Link aktivieren.

 

Welche Newsletter-Dienste sind geeignet?

Die nachfolgenden Dienstleister/Plugins haben wir umfassend geprüft und können Ihnen somit die folgenden Dienstleister empfehlen. 

Mailchimp DSGVO

Um den US-amerikanischen Dienst Mailchimp als WordPress-Betreiber sicher nutzen zu können, bedarf es einer gewissen Vorbereitung. Grundsätzlich benötigen Sie erst einmal, wie bei allen anderen Newsletter-Dienstleistern, ein Double-Opt-In-(DOI)-Verfahren. Ohne Double-Opt-In werden Sie nicht nachweisen können, dass die Webseiten-Besucher sich mit ihrer E-Mail-Adresse selbst in Ihren Newsletter eingetragen haben. Es besteht die sogenannte Nachweispflicht gemäß Art. 7 Abs. 1 , Art. 5 Abs. 2 DSGVO. Nur wenn der Inhaber der E-Mail-Adresse eine Bestätigungsmail erhalten hat und den darin enthaltenen Aktivierungslink bestätigt, haben Sie einen Nachweis seiner Einwilligung.

Sie müssen dabei allerdings beachten, dass Sie Ihre Einwilligung gleichzeitig für mehrere Zwecke ausgestalten, welche zum Beispiel die Erfolgsmessung mit umfassen. Der Vorteil ist, dass in dem Fall eine Abwägung mit den Schutzinteressen der Nutzer entfällt. Lediglich der Verwaltungsaufwand von Einwilligungen/Widerrufen fällt an, wobei dieser sehr intelligent durch Mailchimp gesteuert wird.

Ebenfalls muss gemäß Art. 28 DSGVO ein Auftragsverarbeitungsvertrag geschlossen werden: Hierdurch verpflichtet sich MailChimp dazu, die personenbezogenen Daten Ihrer Empfänger nur entsprechend nach Ihren Weisungen zu verarbeiten. Des Weiteren werden die Mindestanforderungen der DSGVO in dem Vertrag zugesagt. Seit 2019 hat Mailchimp den Auftragsverarbeitungsvertrag in die eigene AGB integriert, sodass ein gesonderter Abschluss nicht erfolgen muss.

Zusätzlich ist Mailchimp unter dem EU/Schweiz-US-Privacy-Shield zertifiziert, sodass geeignete Garantien geboten werden, um den Dienst Mailchimp als sicheren Dienst im EU-Drittland zu kategorisieren. 

Weitere Newsletter-Dienste, welche datenschutzkonforme Lösungen anbieten, sind unter anderem Mailjet, CleverReach oder Newsletter2Go.

 

Social Media Plugins für Datensicherheit bei WordPress

Alle sozialen Netzwerke wie Facebook, Xing, Youtube, Google oder Linkedin bieten WordPress-Betreibern mittlerweile an, sogenannte Social-Plugins auf der Website zu installieren. Social-Plugins sind Funktions-Erweiterungen aus dem sozialen Netzwerk direkt auf der WordPress-Seite. Zum Beispiel werden durch Social-Plugins das Teilen der Inhalte mit sozialen Gruppen ermöglicht. Die Einbindung dieser Social-Plugins wie Facebook-Like-Buttons oder auch „Teilen“-Buttons von Twitter ist in Europa nach der geltenden DSGVO auf Webseiten ohne die Beachtung weiterer Maßnahmen nicht datenschutzkonform möglich. 

Warum sind Social-Plugins nicht ohne weiteres datenschutzkonform? Das ist ganz einfach. Immer bevor eine Datenverarbeitung ausgeführt wird, benötigen WordPress-Betreiber eine Rechtsgrundlage und eine entsprechende Information für den Webseiten-Besucher. Die Social-Plugins senden bereits vor Ausführung der Buttons, also bei jedem Seitenaufruf, diverse Daten, wie z.B. IP-Adresse, Browsertyp oder die Browserversion, an das jeweilige soziale Netzwerk. Obwohl der Webseiten-Besucher vielleicht gar nicht bei Facebook, LinkedIn oder Google registriert ist. Wenn der Webseiten-Besucher bereits im Browser bei Facebook eingeloggt ist, werden diese Daten mit dem Profil verknüpft. 

Damit die Rechtsgrundlage für diese Datenübertragung hergestellt wird, bedarf es einer Einwilligung nach Art. 6 Abs. 1 lit. a), 7 DSGVO und der entsprechenden Information in der Datenschutzerklärung der Webseite. Diese informierte Einwilligung kann über einen Cookie-Consent-Manager wie hellotrust ebenfalls eingeholt werden, gleichwohl wird die Information in der Datenschutzerklärung dynamisch ergänzt.

Shariff Wrapper DSGVO

Darüber hinaus gibt es auch einzelne Plugin-Lösungen wie zum Beispiel den Shariff Wrapper. Über die Shariff-Lösung wird der direkte Kontakt zwischen dem jeweiligen sozialen Netzwerk und dem Besucher erst dann hergestellt, wenn der Besucher aktiv auf den Share-Button klickt. Die Shariff-Lösung bettet das Social-Plugin ein.

 

Backup – DSGVO konforme Umsetzung bei WordPress

Nach Art. 32 Abs. 1 lit. b) DSGVO sind Webseiten-Betreiber verpflichtet, einen angemessenen Sicherheitsstandard zu gewährleisten. Da unter anderem auch das Thema Verfügbarkeit ein großes Thema bei der Definition von angemessenen Sicherheitsstandards ist, benötigen WordPress-Instanzen ein funktionierendes Backup. Hierfür gibt es ebenfalls hilfreiche Plugins. Zu beachten ist natürlich, dass auch personenbezogenen Daten (IP-Adressen) in einem Backup von WordPress gespeichert werden. Daher ist es wichtig, das erzeugte Backup in eine sichere Serverumgebung zu übertragen. Wenn es ein Dienstleister aus dem EU-Drittland sein muss, dann sollte der WordPress-Betreiber nochmal genau prüfen, ob die datenschutzrechtlichen Mindestanforderungen der DSGVO eingehalten werden.

BackWPup

Zusammenfassend kann das BackWPup Plugin mit folgenden Funktionen und Konfigurationen eine DSGVO-konforme Datensicherung gewährleisten:

  • Die Backup-Funktion ist automatisierbar und kann im Hintergrund laufen – dies lässt sich mit BackWPup Free und Pro einrichten
  • Schnelle Wiederherstellung der Daten – dafür besteht in BackWPup Pro ab Version 3.5 die Restore Funktion
  • Auswahl der zu sichernden Daten möglich – Bestimmen Sie mit BackWPup selbst, welche Daten Sie in Ihrem Backup speichern möchten oder nicht.
  • BackWPup stellt eine spezielle Nutzerrolle BackWPup Admin zur Verfügung. Ein Nutzer mit dieser Rolle hat nur Zugriff auf die BackWPup Settingsseiten.
  • Das Backup Tool erstellt Protokolle über die Backups
  • Der Webseitenbetreiber wird bei Backup-Problemen benachrichtigt – mit BackWPup Free und Pro per Email möglich
  • Verschlüsselung der Backups – Serverseitige Verschlüsselung vorhanden für Amazon S3 in der Free und Pro Version von BackWPup.  Symmetrische (AES-256) und asymmetrische (RSA) Verschlüsselung in BackWPup Pro ab Version 3.6.
  • Die Änderung der zu sichernden Daten muss bestätigt werden – Bestätigen erfolgt mit Klick auf den Speichern Button der BackWPup Settingsseite

Sie müssen mit BackWPup keinen Auftragsverarbeitungsvertrag abschließen, da BackWPup keine Daten von Ihnen verarbeitet. BackWPup erstellt lediglich ein Backup Ihrer Webseite, welches lokal bei Ihnen bleibt. Es werden keinerlei personenbezogene Daten an BackWPup gesendet. Laden Sie allerdings mit BackWPup ein Backup zu einem Cloud-Anbieter hoch (GDrive, Dropbox, etc.), so geben Sie personenbezogene Daten an diesen weiter. Mit diesem Anbieter müssen Sie dann einen Auftragsverarbeitungsvertrag abschließen. Weitere Infos finden Sie hier

 

Löschfunktion gemäß DSGVO bei WordPress

Jede natürliche Person hat das Recht, von Unternehmen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Ob Mitarbeiter, Kunde oder Ansprechpartner eines Lieferanten, das Unternehmen ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern die Gründe aus Artikel 17 der Datenschutz-Grundverordnung zutreffen und kein Ausschluss der Geltendmachung dieses Rechts, wie z.B. gem.§ 35 BDSG-neu, vorliegt. Das “Recht auf Vergessen werden” spielt auch bei WordPress-Seiten eine große Rolle, gerade in Bezug auf Backups stehen Löschen & Speichern oftmals im Konflikt. Aber auch hierfür gibt es nützliche Plugins für WordPress.

Delete Me

Erlauben Sie Benutzern mit bestimmten WordPress-Rechten, oder überall dort, wo Shortcodes mit dem Shortcode verwendet werden können [plugin_delete_me /]. Es funktioniert wie folgt:

  1. Einstellungen für dieses Plugin finden Sie im Untermenü Einstellungen -> Delete Me. Multisite- und Netzwerkaktivierung unterstützt.
  2. Ein Benutzer klickt auf den Link Löschen, der standardmäßig auf “Konto löschen” eingestellt ist, aber geändert werden kann.
  3. Der Benutzer wird aufgefordert, zu bestätigen, dass er sich selbst löschen möchte.
  4. Wenn bestätigt, wird der Benutzer und alle seine Beiträge, Links und (optional) Kommentare gelöscht.
  5. Gelöschter Benutzer (optional) wird auf die URL der Zielseite umgeleitet, Standard ist die Homepage, kann geändert oder leer gelassen werden.
 

DSGVO konforme WordPress Plugins – Beliebte Allrounder

Zusammenfassend benötigen Sie grundsätzlich einen Cookie-Hinweis, eine Cookie- und Datenschutzerklärung und einen Manager für den Opt-In und Opt-Out von Cookies und Drittanbietern auf Ihrer Webseite. Diese Anforderungen erfüllt das WordPress Plugin hellotrust effektiv und wirtschaftlich. Ein großer Vorteil ist zudem, dass hellotrust eine Abmahnschutz-Garantie vertraglich zusagt. 

Darüber hinaus ist die Kombination aus verschiedenen Plugins im Newsletterversand oder Onlineshop-Bereich sehr sinnvoll. Wir empfehlen im Onlineshop-Segment Shopware und im Newsletterversand Mailchimp einzusetzen. Hierfür sprechen die hohe Benutzerfreundlichkeit und der hohe datenschutzrechtliche Standard.

Überprüfen Sie Ihre WordPress Plugins

Grundsätzlich sollten Sie als WordPress-Betreiber immer all Ihre Plugins datenschutzrechtlich prüfen. Denn leider gibt es keinen Zertifizierungs-Standard aufgrund der recht neuen rechtlichen Regelungen in diesem Bereich. Wir empfehlen Ihnen daher folgende Merkmale, idealerweise mit den Browser-Tools (F12 drücken), zu überprüfen: 

  • Speichert das Plugin personenbezogene Daten?
  • Werden Cookies gesetzt?
  • Überträgt das Plugin personenbezogene Daten an dritte Stellen?

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

1 Kommentar. Hinterlasse eine Antwort

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN