DSGVO WordPress Plugin

EuGH-Urteil zum Like-Button

Der Europäische Gerichtshof (EuGH) hat entschieden, dass alle Webseitenbetreiber für eine eingebundene “Gefällt mir”-Schaltfläche neben Facebook nach der DSGVO mitverantwortlich sind (EuGH, 29.07.2019 – C-40/17 “Fashion ID”, Pressemitteilung). Diese Entscheidung unterstreicht die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO, welche für Webseitenbetreiber ein sehr hohes Haftungspotential mit sich bringt. 

Gleichzeitig hat auch in diesem Fall der EuGH entschieden, dass der Einsatz der “Gefällt mir”-Schaltfläche einer Einwilligung und vollständigen Datenschutzinformationen gem. den Art. 12 ff. DSGVO bedarf. Diese Entscheidung ist ähnlich wie bei anderen Tracking-Diensten zu betrachten: Webseitenbetreiber benötigten jetzt einen Cookie-Consent-Manager. Lange war die Frage, ob der Einsatz von Social-Plugins, Tracking Tools, etc. einer Einwilligung der Nutzer bedarf, noch ungeklärt. Nun ist klar, dass Webseitenbetreiber eine Einwilligung einholen müssen, und zwar bevor das Plugin oder Tracking Tool aktiv wird.

Sobald auf den Geräten Daten der Webseitenbesucher gespeichert oder ausgelesen werden, besteht die Pflicht eine Einwilligung einzuholen. Da dies praktisch immer der Fall ist, werden Cookie-Consent-Manager zur Pflicht. Hierbei sollte beachtet werden, dass eine informierte Einwilligung auch wirksam eingeholt wird.

Der EuGH bestätigt in seinem Urteil, dass es ausreichend ist, wenn sich die Einwilligung nur auf den Erhebungs- und Übermittlungsvorgang bezieht (d.h. die spätere Verarbeitung der Daten der Websitebesucher durch Facebook muss nicht abgedeckt sein). 

EuGH-Urteil zur Einwilligung bei Cookies

Mit seiner Entscheidung am 01.10.2019 hat der Europäische Gerichtshof (EuGH) über die datenschutzrechtliche Erforderlichkeit von aktiven Einwilligungen für Cookies entschieden. Webseiten-Betreiber dürfen Cookies nur dann speichern, wenn seitens des jeweiligen Nutzers eine aktive Einwilligung vorliegt. Hier erfahren Sie mehr zu diesem Urteil und seinen Folgen.

DSGVO – Was verändert sich für WordPress?

Die Datenschutz-Grundverordnung bringt für Webseiten oder eben WordPress-Systeme eine Menge an neuen Herausforderungen mit sich. Vor dem Hintergrund der kommenden e-Privacy Verordnung ist festzustellen, dass die geforderten Grundsätze der DSGVO noch deutlich erweitert werden. So sollten Unternehmen sich rechtzeitig mit der Umsetzung der DSGVO bezüglich ihrer Webseiten beschäftigen, um nicht von den rechtlichen Anforderungen überrascht zu werden. 

Grundsätzlich sind WordPress-Webseiten immer von den Anforderungen der Datenschutz-Grundverordnung betroffen, da personenbezogene Daten (pbD) in einem CMS (Content Management System) verarbeitet werden. Als WordPress-Nutzer sollte man die Datenschutz-Anforderungen in drei Bereiche klassifizieren: Datenschutzerklärung, Einholung von Einwilligungen für Cookies und die technische Optimierung der Webseite (z.B. SSL-Verschlüsselung).

Datenschutzerklärung WordPress

Der erforderliche Detailgrad der Datenschutzerklärung für WordPress-Seiten bemisst sich nach den gesetzlichen Vorgaben gem. Art. 12, 13 DSGVO. Die erforderlichen Mindestangaben, insbesondere aus Art. 13 DSGVO, müssen zwingend erfüllt werden. Bezüglich des Ortes der Platzierung der Datenschutzerklärung sind die Vorgaben aus Art. 12 Abs. 1 S.1 DSGVO zu berücksichtigen: Die Informationen, die eine Datenschutzerklärung enthalten muss, müssen präzise, transparent, verständlich und vor allem in leicht zugänglicher Form der jeweiligen betroffenen Person zur Verfügung gestellt werden. Diese Vorgabe macht deutlich, dass die Datenschutzerklärung nicht versteckt auf einer Website platziert werden darf, denn das würde den Vorgaben der DSGVO widersprechen.

Eine Datenschutzerklärung auf WordPress muss alle Vorgaben aus den Art. 12 ff., vornehmlich Art. 13 Abs. 2 und Abs. 3 DSGVO, je Verarbeitungstätigkeit enthalten. Diverse Punkte, wie z.B. die Unterrichtung über die bestehenden Betroffenenrechte oder das Beschwerderecht, müssen nicht je Verarbeitungstätigkeit wiederholt angegeben werden. Darüber hinaus kommen weitere Punkte hinzu. Hierzu gehören Hinweise bezüglich technischer Aspekte, wie z.B. Server-Logfiles, der generelle Umgang mit personenbezogenen Daten, Cookie-Informationen, Kontaktformularangaben, Abo- und Kommentar-Funktionen, Einbindung von Social Media-Plugins, Angaben über eingesetzte Analyse- und Marketing-Tools inkl. Tracking und Newsletter-Informationen. Diese Punkte sind allerdings nicht abschließend.

Jede Website muss individuell analysiert werden. Im Anschluss muss die Datenschutzerklärung alle gem. Art. 12 ff. DSGVO vorgegebenen Angaben enthalten in Bezug auf alle personenbezogenen Verarbeitungstätigkeiten enthalten. Die folgenden Angaben muss eine Datenschutzerklärung enthalten:

Bislang haben viele Unternehmen Ihre individuellen Gegebenheiten der WordPress-Seite in einen Datenschutzerklärungs-Generator eingegeben oder die Datenschutzerklärung von einem Datenschutzbeauftragten erstellen lassen. Das Problem hierbei sind Aktualisierungen (wenn z.B. neue Tools eingesetzt werden) und die Fehlerquote der eigenen Angaben. Eine bessere Unterstützung bieten heute intelligente Tools wie z.B. hellotrust, welche die WordPress-Webseite vollumfänglich scannen und die Datenschutz- und Cookieerklärung automatisch aktualisieren. Darüber hinaus erfolgen hier Aktualisierungen durch spezialisierte Juristen in den Hinweisen der Datenschutz- und Cookieerklärung, inkl. Cookie-Consent-Manager.

Plugins als Erweiterung für den Datenschutz

Viele Anbieter von DSGVO Plugins für WordPress nehmen sich aus der Haftung in den allgemeinen Geschäftsbedingungen, zugleich werden aber abmahnsichere Plugins versprochen. Das Problem liegt häufig darin, dass WordPress-Entwickler keinen juristischen Hintergrund besitzen. Daher sollte man genauer hinsehen, welches Plugin wirklich alle Anforderungen erfüllt. In der Regel ist immer eine Kombination aus verschiedenen Plugins erforderlich, um Ihre WordPress-Seite datenschutzkonform abzusichern. Es gibt allerdings auch sehr innovative Lösungen, welche gleich alle Anforderungen mit einem Plugin abdecken können. Selbstverständlich sind dann immer noch technische Optimierungen wie die SSL-Verschlüsselung erforderlich, dennoch haben Sie Themen wie Datenschutzerklärung und Einwilligungen durch diese Lösungen bereits erfolgreich abgedeckt. 

Cookie-Plugins für ein DSGVO konformes WordPress

Grundsätzlich muss man bei Cookies datenschutzrechtlich zwischen verschiedenen Zwecken unterscheiden: Es existieren Cookies von Diensten, welche zwingend erforderlich sind für den WordPress-Betreiber, dass bedeutet das für diese Dienste nicht zwingend eine Einwilligung benötigt wird, sondern lediglich die Information in der Datenschutz- und Cookie-Erklärung. Das könnte beispielsweise ein Schriftart-Dienst wie Google Fonts sein.

Dann gibt es noch das berechtigte Interesse, welches WordPress-Seiten erlaubt, Dienste, die Statistiken erstellen, dafür aber keine Datenübertragen und Werbeprofile generieren, ohne ausdrückliche Einwilligung einzubinden. Das könnte beispielsweise bei einem lokalen Trackingsystem auf der WordPress-Instanz der Fall sein.

Abschließend haben wir noch den wohl am häufigsten genutzten Bereich: Das Marketing. Das Persönlichkeitsrecht der Webseiten-Besucher überwiegt hier das Interesse an Marketingaktivitäten der WordPress-Betreiber, sodass hier eine Einwilligung für die Verwendung von Cookies benötigt wird. Das sind zum Beispiel Dienste wie: Google Analytics, Facebook Pixel, Google Tag Manager oder LinkedIn Marketing. 

Und für genau den letzten Fall benötigen Unternehmen zwingend einen Cookie-Consent-Manager, wie z.B. hellotrust, welcher sich dynamisch an die aktivierten Dienste der WordPress-Seite anpasst. 

Datenschutzhinweise für Cookies

In der Datenschutzerklärung selbst oder häufig auch in einem Cookie-Consent-Manager müssen die Informationsangaben für den jeweiligen Dienst (Tracking) gemäß der DSGVO stattfinden. Hierzu hat sich folgende Reihenfolge bewährt:

1. Name & Beschreibung des Tools
2. Zweck
3. Rechtsgrundlage (ggf. das berechtigte Interesse) 
4. Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten 
5. ggf. Absicht des Verantwortlichen, pbD an Drittland oder internationale Organisation zu übermitteln sowie das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses oder gem. Art. 46 oder 47 geeignete und angemessene Garantien und Möglichkeit, Kopien zu erhalten
6. Speicherdauer
7. ggf. Profiling gem. Art. 22 Abs.1 und Abs. 4 und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person
8. Weitergabe der Daten für anderen Zweck als beschrieben
9. Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte
10. Verlinkung zu Datenschutzbestimmungen des jeweiligen Dienstleisters
11. Opt-Out-Option (z.B. Widerspruchsmöglichkeit oder Widerrufsmöglichkeit) angeben, da nur so die Daten z.B. bei Google gelöscht werden

Welche Cookie-Plugins sind geeignet?

• hellotrust 

hellotrust bietet eine 360° Datenschutz-Lösung für WordPress Seiten an. hellotrust scannt Ihre Webseite fortlaufend und erstellt hierfür immer eine rechtssichere Datenschutz- und Cookieerklärung. Ebenfalls wird ein individualisierter Cookie-Consent-Manager zur Verfügung gestellt, welcher alle Cookies deaktiviert oder aktiviert. hellotrust ist ein Team aus Juristen und WordPress-Entwicklern, sodass ein Abmahnkostenschutz mitgeliefert wird. hellotrust ist aufgrund der fortlaufenden Absicherung kostenpflichtig und buchbar schon ab 9,90€ pro Monat und Domain.

• WP GDPR Compliance

WP GDPR Compliance fügt automatisch DSGVO-konforme Checkboxen bei den Plugins Contact Form 7, Gravity Forms und WooCommerce sowie bei den WordPress-Kommentaren hinzu. Mit diesen Opt-Ins können die Besucher Ihrer Seite ihre Einwilligung geben, sodass Sie mit dem jeweiligen Plugin ihre personenbezogenen Daten verarbeiten können. Leider konzentriert sich WP GDPR Compliance nur auf eine Handvoll Plugins. Das bedeutet, dass Sie unter Umständen andere Erweiterungen benutzen, welche nicht DSGVO-konform sind. Laut WP GDPR Compliance sollen allerdings zukünftig weitere Features hinzukommen. WP GDPR Compliance wurde für die WP-Community entwickelt und ist somit kostenlos. 

• WP GDPR 

Mit WP GDPR können Sie Webseiten-Besuchern ihre personenbezogenen Daten zugänglich machen und anschließend können die Daten auch gelöscht werden. Diese Auskunft beinhaltet Daten der Plugins Gravity Forms, Contact Form 7, WooCommerce, Flamingo und MailChimp. Für diese Plugins erstellt WP GDPR außerdem Opt-Ins zur Datenverarbeitung. Für eine einzelne Webseite kostet die Jahreslizenz für WP GDPR mit nur einer Plugin-Integration 20 Euro. Wenn Sie alle verfügbaren Plugin-Integrationen nutzen möchten, zahlen Sie jährlich 50 Euro.

• CookieYes

CookieYes ist derzeit eines der beliebtesten WordPress DSGVO-Plugins. Neben der DSGVO-Konformität wird durch dieses Plugin auch die Cookie-Konformität gemäß LGPD von Brasilien, CNIL von Frankreich und CCPA (Californien) unterstützt. Zu seinen Hauptfunktionen gehört das standardmäßige Setzen des Cookie-Werts auf „null“. So werden Cookies auf der Webseite nur nach Zustimmung des Benutzers gerendert. Als weitere Funktionen sind das automatische Scannen und Kategorisieren von Cookies mit nur einem Klick oder das Ändern des Erscheinungsbilds des Cookie-Hinweises in Bezug auf Farben, Stile oder Schriftarten zu nennen. Dabei ist zwischen einer kostenlosen Basisversion und einer kostenpflichtigen Premiumversion zu wählen. 

• Cookie Notice for GDPR & CCPA

Als weiteres GDPR-Plugin für WordPress-Seiten ist Cookie Notice for GDPR & CCPA zu nennen. Hierbei handelt es sich um ein kostenloses Plugin für Cookie-Benachrichtigungen, mit welchem Besucher um die Zustimmung zu der Cookie-Richtlinie gebeten werden können. Es hilft einer Webseite dabei, die DSGVO zusammen mit dem CCPA (California Consumer Privacy Act) einzuhalten. Darüber hinaus ist dieses Plugin auch mit WPML kompatibel, falls es sich um eine mehrsprachige Webseite handelt.

Kontaktformular bei WordPress gemäß DSGVO

Durch die Datenschutz-Grundverordnung müssen jegliche Möglichkeiten zur Kontaktaufnahme einmal geprüft werden und ggf. angepasst werden. Um eine sichere Übermittlung von personenbezogenen Daten nach Art. 32 DSGVO zu gewährleisten, müssen die Kontaktformulare SSL-verschlüsselt sein. Je nachdem für welchen Zweck und in welcher Art Daten erhoben werden, benötigen WordPress-Betreiber eine gesonderte Einwilligung für die Verarbeitung der Daten. 

Sofern Sie Kontaktformulare im klassischen Sinne zur Verfügung stellen (Kontaktaufnahme zur Angebotserstellung, Support etc.), benötigen Sie keine Einwilligung. Sollten Sie allerdings die erhobenen Daten zu Marketingzwecken nutzen wollen, dann benötigen Sie definitiv eine Einwilligung als Checkbox im Kontaktformular. Wenn Sie viele Kontaktformulare haben, ist das Plugin WP GDPR Compliance, wie bereits weiter oben beschrieben, eine sehr gute Lösung, um standardisiert Einwilligungen zu erstellen und zu verknüpfen. Momentan unterstützt es Contact Form 7 und Gravity Forms.

Kommentare DSGVO konform umsetzen in WordPress

Personenbezogene Daten dürfen nicht ohne einschlägige Rechtsgrundlage verwendet werden, es sei denn, es liegt ein berechtigter Grund für die Datenverarbeitung vor, wie beispielsweise die Gewährleistung der Sicherheit einer Webseite. Im Zuge einer Kommentarfunktion auf der Internetseite ist dies jedoch abzulehnen. Sollten Sie also eine Kommentarfunktion zur Verfügung stellen, so ist im Vorfeld der Verarbeitung die Einwilligung des Users gemäß Art. 6 Abs. 1 lit. a) DSGVO einzuholen. Darüber hinaus sollte sich, neben der notwendigen Checkbox für eben diese Einwilligung, ein Verweis auf die Datenschutzerklärung finden.

Noch ein Tipp: Übrigens sollten Sie nach wie vor aus Datenschutzgründen nicht mit dem WordPress-Standard-Plugin Akismet, sondern mit Antispam Bee den Spam über die Kommentarfunktion bekämpfen. Hierbei sollten Sie allerdings noch Einstellungen berücksichtigen, um AntiSpamBee wirklich datenschutzkonform zu nutzen: 

1. Die Funktion „Öffentliche Spamdatenbank berücksichtigen“ sollte deaktiviert sein.
2. Die Funktion „Bestimmte Länder blockieren bzw. erlauben“ überträgt die IP-Adressen nur anonymisiert
3. Die Funktion „Kommentare nur in einer Sprache zulassen“ sorgt dafür, dass nur der Kommentartext, nicht aber Email, IP oder Name des Kommentierenden an Google übertragen werden.

Online Shops & WooCommerce – Datenschutz bei WordPress

Für Onlineshop-Betreiber ist es sehr wichtig ein funktionierendes Shopsystem zu implementieren auf WordPress. Wichtig dabei ist oftmals die Dokumentationspflicht und die sonstigen Rechenschaftspflichten aus dem HGB und BGB, damit ein Kaufvertrag wirksam ist. Ebenfalls sollen möglichst viele valide Daten beim Kauf von Produkten erhoben werden. Dies steht allerdings im Konflikt mit der DSGVO wegen dem Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c) DSGVO. Zusätzlich sind die Informationsangaben beim Online-Händler sehr wichtig und oft zugleich sehr komplex, da häufig auf der Bestellseite oder beim Auslösen bestimmter Funktionen im Shop zusätzliche Events gestartet werden. Es wird dringend empfohlen, den eigenen Online-Shop auf externe Datenflüsse zu scannen. Grundsätzlich gibt es für WordPress viele Online-Shop-Plugins, doch welche davon sind datenschutzkonform? 

Gerade im eCommerce-Bereich gibt es zahlreiche Plugins für WordPress. Wichtig ist, dass diese Dienstleister wie z.B. Shopware nur die technische Basis liefern. Für Einstellungen, Content bzw. Textbausteine und die Einhaltung der DSGVO ist der Shop- bzw. Seitenbetreiber immer selbst verantwortlich.

WooCommerce DSGVO

WooCommerce und auch die Version German Market für WooCommerce sind auf die Datenschutz-Grundverordnung angepasst. Das betrifft vor allem die Mustertexte zum Datenschutz, aber auch deutlich erweiterte Möglichkeiten bei den Checkboxen für Einwilligungen, welche Ihre Kunden im Online-Shop bestätigen müssen. Sehr hilfreich ist es ebenfalls, dass gleich mehrere Einwilligungs-Vorlagen definiert werden können, da wir nach der DSGVO für verschiedene Zwecke unterschiedliche Einwilligungen benötigen. Zum Beispiel ist die Einwilligung anders zu gestalten, wenn es thematisch um Versanddienstleister wie DHL, DPD, GLS oder UPS geht als bei der Direktwerbung.

Achtung: Bestandskunden von German Market müssen die genannten Mustertexte manuell austauschen und dabei um ihre persönlichen Angaben ergänzen (vor dem Update 3.6).

WooCommerce bietet WordPress-Betreiber den Export von persönlichen Daten der Kunden an. Mit Hilfe dieser Funktion können WordPress-Betreiber sehr einfach den Rechten der Betroffenen nach Art. 15 – 22 DSGVO gerecht werden. WooCommerce hat einen Freigabeprozess integriert, damit Sie die Berechtigung eingehender Datenanfragen verifizieren können. Denn die Legitimation spielt eine große Rolle, ansonsten werden Daten unter Umständen an eine falsche Person übermittelt. Es werden folgende Daten exportiert:

• Persönliche Adressdaten und Angaben zum Account
• Die Bestellungen, die unter der zugehörigen E-Mail-Adresse aufgegeben wurden
• Ebenso die damit verknüpften und erfolgten Downloads, etwa von Lizenzen oder sonstigen digitalen Waren

Für die datenschutzkonforme Aufbewahrung der personenbezogenen Daten stellt WooCommerce die Möglichkeit zur Verfügung verschiedene Datenkategorien mit Aufbewahrungsfristen/Löschfristen zu versehen. Das Löschen generell ist ähnlich wie mit der Export-Funktion möglich. Die Einstellungen sind dabei im Standard nicht vorausgewählt, das müssen Sie gegebenenfalls selbst nachholen. Beachten Sie bitte, dass Sie die persönlichen Bestelldaten weiterhin für nachfolgende Prozesse benötigen, beispielsweise für Gewährleistungsansprüche oder für die Steuerberechnung.

Shopware DSGVO

Shopware bietet für alle Bereiche, in denen Sie persönliche Daten über ein Formular an Shopware übermitteln (bspw. die Registrierung, das Kontaktformular), optional eine Ergänzung durch Datenschutz-Hinweise. Zusätzlich zu einem einfachen Text inkl. Kenntnisnahme, können Sie dies auch optional per Checkbox bestätigen lassen. Diese Einstellung greift nur, wenn die vorherige Option auch aktiviert wurde. Außerdem muss die Option „Datenschutzhinweise anzeigen“ eingeschaltet sein.

Über die Anmelde-Funktion für den Newsletter können Sie den Double-Opt-In für Newsletter-Anmeldungen aktivieren. Wenn Sie die Opt-In E-Mail editieren möchten, dann finden Sie diese als sOPTINNEWSLETTER in den E-Mail-Vorlagen > System-E-Mails. Shopware speichert zusätzlich alle Opt-In-Anmeldungen in der Tabelle s_core_optin, diese Daten werden automatisiert durch den Cronjob Opt-In table Cleanup bereinigt.

• Shopware bietet mit dem Cronjob Cancelled baskets cleanup an, abgebrochene Bestellungen regelmäßig löschen zu lassen.
• Ebenfalls bietet Shopware an die IPs Ihrer Kunden nicht zu erfassen. Es wird dann automatisch der letzte Bereich der IP-Adresse anonymisiert.

Newsletter Plugins gemäß DSGVO für WordPress

Auch die Datenschutz-Grundverordnung ändert das Double-Opt-In-Verfahren beim Newsletter-Versand nicht. Lediglich die Bedingungen an die Einwilligung als solche wurden durch den Art. 7 DSGVO geändert. Bei der datenschutzkonformen Ausformulierung der Einwilligung für den Newsletterversand sollten Sie beachten, dass Sie mehrere Zwecke klar definieren müssen, um zum Beispiel auch die Erfolgsmessung aktivieren zu können innerhalb des Newsletter-Systems wie Mailjet, Mailchimp oder Newsletter2go. Ebenfalls sollte der WordPress-Betreiber beachten, dass die Einwilligungen nicht mit anderen Leistungen gekoppelt werden, wie zum Beispiel ein kostenloses E-Book.

Checkliste Newsletter DSGVO: 

Welche Newsletter-Dienste sind geeignet?

Die nachfolgenden Dienstleister/Plugins haben wir umfassend geprüft und können Ihnen somit die folgenden Dienstleister empfehlen. 

rapidmail DSGVO

Als ebenfalls empfehlenswert stellt sich der E-Mail-Marketing-System-Anbieter rapidmail dar. Bei diesem Anbieter ist der Abschluss eines notwendigen Auftragsverarbeitungsvertrages ebenfalls über den Account möglich. Darüber hinaus überzeugt rapidmail mit einem Serverstandort in Deutschland. Eine kostenlose Version ermöglicht zunächst einen Einblick in die Funktionsweise des Newsletter-Tools und bietet die Möglichkeit, den Dienst auszuprobieren. 

Social Media Plugins für Datensicherheit bei WordPress

Alle sozialen Netzwerke wie Facebook, Xing, Youtube, Google oder Linkedin bieten WordPress-Betreibern mittlerweile an, sogenannte Social-Plugins auf der Website zu installieren. Social-Plugins sind Funktions-Erweiterungen aus dem sozialen Netzwerk direkt auf der WordPress-Seite. Zum Beispiel werden durch Social-Plugins das Teilen der Inhalte mit sozialen Gruppen ermöglicht. Die Einbindung dieser Social-Plugins wie Facebook-Like-Buttons oder auch „Teilen“-Buttons von Twitter ist in Europa nach der geltenden DSGVO auf Webseiten ohne die Beachtung weiterer Maßnahmen nicht datenschutzkonform möglich. 

Warum sind Social-Plugins nicht ohne weiteres datenschutzkonform? Das ist ganz einfach. Immer bevor eine Datenverarbeitung ausgeführt wird, benötigen WordPress-Betreiber eine Rechtsgrundlage und eine entsprechende Information für den Webseiten-Besucher. Die Social-Plugins senden bereits vor Ausführung der Buttons, also bei jedem Seitenaufruf, diverse Daten, wie z.B. IP-Adresse, Browsertyp oder die Browserversion, an das jeweilige soziale Netzwerk. Obwohl der Webseiten-Besucher vielleicht gar nicht bei Facebook, LinkedIn oder Google registriert ist. Wenn der Webseiten-Besucher bereits im Browser bei Facebook eingeloggt ist, werden diese Daten mit dem Profil verknüpft. 

Damit die Rechtsgrundlage für diese Datenübertragung hergestellt wird, bedarf es einer Einwilligung nach Art. 6 Abs. 1 lit. a), 7 DSGVO und der entsprechenden Information in der Datenschutzerklärung der Webseite. Diese informierte Einwilligung kann über einen Cookie-Consent-Manager wie hellotrust ebenfalls eingeholt werden, gleichwohl wird die Information in der Datenschutzerklärung dynamisch ergänzt.

Shariff Wrapper DSGVO

Darüber hinaus gibt es auch einzelne Plugin-Lösungen, wie zum Beispiel den Shariff Wrapper. Über die Shariff-Lösung wird der direkte Kontakt zwischen dem jeweiligen sozialen Netzwerk und dem Besucher erst dann hergestellt, wenn der Besucher aktiv auf den Share-Button klickt. Die Shariff-Lösung bettet das Social-Plugin ein.

novashare

Bei novashare handelt es sich um ein Social-Sharing-Plugin, welches von Grund auf mit einem leistungsorientierten Ansatz für Google Core Web Vitals entwickelt wurde. novashare bietet eine einfache Benutzeroberfläche, nutzt dabei das WordPress-Design im Back-End und verlangsamt Prozesse nahezu überhaupt nicht. Darüber hinaus kann durch die Anzeige der einzelnen oder gesamten Freigaben von Twitter, Facebook etc. die soziale Sichtbarkeit erhöht werden und es wird eine Anwendbarkeit auf allen Geräten, von Desktops bis zu Mobiltelefonen garantiert. 

MashShare

Bei MashShare handelt es sich um ein kostenpflichtiges Social Media Plugin. MashShare ermöglicht dem Verwender optische Variationen einzufügen und lädt Besucher mit Share-Bannern und einer Facebook-Like-Bar zum Inhalte-Teilen ein. Die Buttons können problemlos auch auf Tablets und Smartphones angezeigt werden. Darüber hinaus wurde das Plugin von einem deutschen Entwicklerteam entworfen und garantiert so die DSGVO-Konformität. 

Social Warfare

Das ebenfalls kostenpflichtige Social Wayfare ist ein Tool, welches in Bezug auf die Platzierung der Buttons sowie die optische Gestaltung sehr viele Möglichkeiten bietet. Farbe, Form, Größe sowie das Hover-Verhalten können verändert werden. Die Ladezeit der Webseite wird hierbei jedoch nicht beeinträchtigt und kann so angepasst werden, dass es allen Wünschen des Verwenders entspricht. Darüber hinaus enthält es nützliche Funktionen, wie zum Beispiel die Share-Recovery-Funktion.

Backup – DSGVO konforme Umsetzung bei WordPress

Nach Art. 32 Abs. 1 lit. b) DSGVO sind Webseiten-Betreiber verpflichtet, einen angemessenen Sicherheitsstandard zu gewährleisten. Da unter anderem auch das Thema Verfügbarkeit ein großes Thema bei der Definition von angemessenen Sicherheitsstandards ist, benötigen WordPress-Instanzen ein funktionierendes Backup. Hierfür gibt es ebenfalls hilfreiche Plugins. Zu beachten ist natürlich, dass auch personenbezogenen Daten (IP-Adressen) in einem Backup von WordPress gespeichert werden. Daher ist es wichtig, das erzeugte Backup in eine sichere Serverumgebung zu übertragen. Wenn es ein Dienstleister aus dem EU-Drittland sein muss, dann sollte der WordPress-Betreiber nochmal genau prüfen, ob die datenschutzrechtlichen Mindestanforderungen der DSGVO eingehalten werden.

BackWPup

Zusammenfassend kann das BackWPup Plugin mit folgenden Funktionen und Konfigurationen eine DSGVO-konforme Datensicherung gewährleisten:

• Die Backup-Funktion ist automatisierbar und kann im Hintergrund laufen – dies lässt sich mit BackWPup Free und Pro einrichten
• Schnelle Wiederherstellung der Daten – dafür besteht in BackWPup Pro ab Version 3.5 die Restore Funktion
• Auswahl der zu sichernden Daten möglich – Bestimmen Sie mit BackWPup selbst, welche Daten Sie in Ihrem Backup speichern möchten oder nicht.
• BackWPup stellt eine spezielle Nutzerrolle BackWPup Admin zur Verfügung. Ein Nutzer mit dieser Rolle hat nur Zugriff auf die BackWPup Settingsseiten.
• Das Backup Tool erstellt Protokolle über die Backups
• Der Webseitenbetreiber wird bei Backup-Problemen benachrichtigt – mit BackWPup Free und Pro per E-Mail möglich
• Verschlüsselung der Backups – Serverseitige Verschlüsselung vorhanden für Amazon S3 in der Free und Pro Version von BackWPup.  Symmetrische (AES-256) und asymmetrische (RSA) Verschlüsselung in BackWPup Pro ab Version 3.6.
• Die Änderung der zu sichernden Daten muss bestätigt werden – Bestätigen erfolgt mit Klick auf den Speichern Button der BackWPup Settingsseite

Sie müssen mit BackWPup keinen Auftragsverarbeitungsvertrag abschließen, da BackWPup keine Daten von Ihnen verarbeitet. BackWPup erstellt lediglich ein Backup Ihrer Webseite, welches lokal bei Ihnen bleibt. Es werden keinerlei personenbezogene Daten an BackWPup gesendet. Laden Sie allerdings mit BackWPup ein Backup zu einem Cloud-Anbieter hoch (GDrive, Dropbox, etc.), so geben Sie personenbezogene Daten an diesen weiter. Mit diesem Anbieter müssen Sie dann einen Auftragsverarbeitungsvertrag abschließen. Weitere Infos finden Sie hier. 

UpdraftPlus

Bei Updraft handelt es sich um ein Backup Plugin, welches für das CMS-System von WordPress entwickelt wurde. Dies ist ein universelles, vollständiges Backup- und Wiederherstellungs-Plugin mit sehr vielen Funktionen, so führt es manuelle oder geplante Sicherungen aller WordPress-Dateien, Datenbanken und Designs durch. Dabei hat der Verwender die Möglichkeit, individuelle Backup-Zeitpläne alle zwei, vier, acht oder zwölf Stunden, täglich, wöchentlich, vierzehntägig oder monatlich zu erstellen und ist einfach zu installieren. Es sind sowohl eine kostenlose als auch die kostenpflichtige Premium-Version verfügbar.

Löschfunktion gemäß DSGVO bei WordPress

Jede natürliche Person hat das Recht, von Unternehmen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Ob Mitarbeiter, Kunde oder Ansprechpartner eines Lieferanten, das Unternehmen ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern die Gründe aus Artikel 17 der Datenschutz-Grundverordnung zutreffen und kein Ausschluss der Geltendmachung dieses Rechts, wie z.B. gem.§ 35 BDSG-neu, vorliegt. Das “Recht auf Vergessen werden” spielt auch bei WordPress-Seiten eine große Rolle, gerade in Bezug auf Backups stehen Löschen & Speichern oftmals im Konflikt. Aber auch hierfür gibt es nützliche Plugins für WordPress.

Delete Me

Erlauben Sie Benutzern mit bestimmten WordPress-Rechten, oder überall dort, wo Shortcodes mit dem Shortcode verwendet werden können [plugin_delete_me /]. Es funktioniert wie folgt:

1. Einstellungen für dieses Plugin finden Sie im Untermenü Einstellungen -> Delete Me. Multisite- und Netzwerkaktivierung unterstützt.
2. Ein Benutzer klickt auf den Link Löschen, der standardmäßig auf „Konto löschen“ eingestellt ist, aber geändert werden kann.
3. Der Benutzer wird aufgefordert, zu bestätigen, dass er sich selbst löschen möchte.
4. Wenn bestätigt, wird der Benutzer und alle seine Beiträge, Links und (optional) Kommentare gelöscht.
5. Gelöschter Benutzer (optional) wird auf die URL der Zielseite umgeleitet, Standard ist die Homepage, kann geändert oder leer gelassen werden.

DSGVO konforme WordPress Plugins – Beliebte Allrounder

Zusammenfassend benötigen Sie grundsätzlich einen Cookie-Hinweis, eine Cookie- und Datenschutzerklärung und einen Manager für den Opt-In und Opt-Out von Cookies und Drittanbietern auf Ihrer Webseite. Diese Anforderungen erfüllt das WordPress-Plugin hellotrust effektiv und wirtschaftlich. 

Darüber hinaus ist die Kombination aus verschiedenen Plugins im Newsletterversand oder Onlineshop-Bereich sehr sinnvoll. Wir empfehlen im Onlineshop-Segment Shopware und für den Newsletterversand rapidmail einzusetzen. Hierfür sprechen die hohe Benutzerfreundlichkeit und der hohe datenschutzrechtliche Standard.

Überprüfen Sie Ihre WordPress-Plugins

Grundsätzlich sollten Sie als WordPress-Betreiber immer all Ihre Plugins datenschutzrechtlich prüfen. Denn leider gibt es keinen Zertifizierungs-Standard aufgrund der recht neuen rechtlichen Regelungen in diesem Bereich. Wir empfehlen Ihnen daher folgende Merkmale, idealerweise mit den Browser-Tools (F12 drücken), zu überprüfen: 

• Speichert das Plugin personenbezogene Daten?
• Werden Cookies gesetzt?
• Überträgt das Plugin personenbezogene Daten an dritte Stellen?