Hinweise zu DSGVO und Datenschutz in WordPress

Das ist das Ziel der DSGVO

Mit der Datenschutzgrundverordnung (DSGVO) reagiert die Europäische Union darauf, dass Daten als Rohstoff zunehmend an Wert gewinnen. Einerseits wächst der Datenhunger weltweit und andererseits werden die Erhebungs- und Speichermethoden immer ausgefeilter. Daher möchte die EU mit der DSGVO die Rechte der Verbraucher im Netz stärken, indem das Sammeln personalisierter Daten – wie zum Beispiel Postadressen, Kontoverbindungen, IP-Adressen oder Geburtstage - durch Unternehmen und öffentliche Stellen erstmals europaweit einheitlich geregelt wird.

Die DSGVO ersetzt seit dem 25. Mai 2018 das Bundesdatenschutzgesetz (BDSG) und weitere Regelungen, welche bisher für Website-Betreiber gegolten haben. Die EU zielt dabei in erster Linie auf große Unternehmen und Behörden und weniger auf Betreiber kleiner Webauftritte wie beispielweise Blogger. Trotzdem sollten auch Blogger dafür sorgen, dass ihr Webauftritt konform ist mit den neuen Datenschutzanforderungen.

Ein Großteil der in der DSGVO enthaltenen Vorschriften galten bereits vorher, allerdings wurden sie häufig nur unzureichend berücksichtigt, da kaum Strafen drohten. Das ändert sich mit der Neuregelung erheblich: Webseitenbetreiber, die den Datenschutz auch künftig auf die leichte Schulter nehmen, müssen mit empfindlichen Strafen rechnen: Die maximale Geldbuße kann bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes des gesamten Konzerns betragen. Zum Vergleich: Zuvor waren im BDSG 300 000 Euro als höchstes Bußgeld vorgesehen.

Das sind die wichtigsten Punkte der DSGVO

Die DSGVO bietet eher allgemeine Grundsätze als konkrete Vorschriften und stellt damit eher ein Gerüst das, an dem sich Webseiten-Betreiber datenschutztechnisch entlanghangeln können. Als Grundlage für die Speicherung und Verarbeitung personenbezogener Daten in der EU gelten dabei:

• Die Rechtmäßigkeit der Verarbeitung: Personenbezogene Daten dürfen nur verarbeitet werden, wenn es eine entsprechende Rechtsgrundlage dafür – (Die Einwilligung der betroffenen Person) - gibt.
• Transparenz: Nutzer müssen ihr Recht auf informelle Selbstbestimmung wahrnehmen können und erhalten ein Auskunftsrecht. Seit dem 25. Mai 2018 haben Webseiten-Besucher beispielsweise ein Recht darauf zu erfahren, ob und welche personenbezogenen Daten auf einer Website erhoben werden, zu welchem Zweck die Daten gesammelt werden, wie sie verarbeitet und wo sie gespeichert werden und ob die Daten an Dritte weitergegeben werden.
• Zweckbindung:Webseiten-Betreiber sollten nicht einfach ins Blaue hinein Kundendaten sammeln, denn der Grundsatz der Zweckbindung besagt, dass Unternehmen personenbezogene Daten nur zu dem Zweck bearbeiten dürfen, zu dem sie erhoben wurden. Das heißt: Selbst innerhalb eines Unternehmens dürfen Kundendaten nicht einfach von der Abrechnung ins Marketing weitergereicht werden. Hier braucht es eine explizite Einwilligung des Kunden.
• Speicherbegrenzung: Gespeicherte Daten müssen gelöscht werden, sobald der Zweck der Verarbeitung entfällt.
• Richtigkeit der Datenverarbeitung: Personenbezogene Daten müssen korrekt und auf dem neuesten Stand sein. Wenn nicht, müssen sie sofort berichtigt oder gelöscht werden.
• Integrität und Vertraulichkeit: Firmen oder Behörden müssen dafür Sorge tragen, dass personenbezogene Daten sicher sind - also beispielsweise nicht unrechtmäßig an Dritte oder verloren gehen.
• Datenminimierung: Webseiten-Betreiber sollten nicht mehr Daten einholen als unbedingt nötig.

Das ändert sich durch die DSGVO konkret

Auf der Basis dieser Grundsätze ergeben sich aus der DSGVO auch einige ganz konkrete Änderungen. Dazu zählt unter anderem, dass künftig der Grundsatz "Wohnort statt Unternehmenssitz" gilt. Nutzt ein Bürger in der EU also ein Online-Angebot, gilt die DSGVO, auch wenn der Anbieter seinen Sitz außerhalb der EU hat. Das soll vor allem die Rechte der Nutzer gegenüber globalen Internetkonzernen wie Google oder Facebook stärken.

Ebenfalls neu: Das Recht auf Vergessenwerden (wenn ein Betroffener es verlangt, müssen die personenbezogenen Daten gelöscht werden) sowie das Recht auf Datenübertragbarkeit. Nutzer können dadurch künftig Daten von einem Unternehmen zum anderen übertragen, ohne wieder neu Auskunft geben und Daten an zwei Stellen hinterlassen zu müssen.

Was bedeutet die DSGVO für Webseiten-Betreiber in der Praxis?

Es ändert sich durch die neue Verordnung also gar nicht so viel wie gedacht - zumindest für alle, die sich mit ihrer Webseite an die bisherigen Datenschutzvorschriften gehalten haben. Denn in Deutschland galten schon bisher vergleichsweise strenge Datenschutzrichtlinien. Es gibt aber einige Punkte, die jeder Betreiber einer Webseite beachten und gegebenenfalls bei seinem Online-Auftritt anpassen sollte:

• Cookies: Datenschützern sind Cookies schon seit Jahren ein Dorn im Auge. Die von vielen Webseiten aktuell genutzte Opt-Out-Lösung erfüllt nicht die Anforderung der DSGVO. Allerdings ist eine vorausgehende Einwilligung der Nutzer praktisch nicht umsetzbar. Für Cookies bedeutet das das Aus - würde die DSGVO nicht ein paar Schlupflöcher lassen. Ausnahmen gelten beispielsweise bei "berechtigtem Interesse" des Webseiten-Betreibers. Und was berechtigt ist, ist zumindest derzeit noch nicht genau festgelegt.
• Blog-Kommentare: Im Prinzip sind auch Blog-Kommentare problematisch, weil hier personenbezogene Daten wie die Mail-Adresse und die IP-Adresse des Kommentierenden gespeichert werden. Aber auch hier steht dem Datenschutz das berechtigte Interesse des Seitenbetreibers entgegen, der im Falle eines Falles die Möglichkeit haben muss, Personen zu identifizieren - etwa, wenn es zu Beleidigungen kommt.
• Tracking-Services: Wer Google Analytics und/oder andere Tracking-Dienste nutzt, sollte überprüfen, ob alle Einstellungen DSGVO-konform sind. So sollten IPs anonym übertragen und die User per Opt-Out informiert werden.
• Social Media: Es gilt noch stärker als bisher: Finger weg von den offiziellen Plugins von Facebook und Co., denn diese übermitteln unkontrollierbar Daten an den entsprechenden Anbieter.
• Datenschutzerklärung: Die Datenschutzerklärung sollte eigentlich sowieso schon auf jeder Webseite stehen. Ist das noch nicht der Fall, sollte umgehend gehandelt werden. Bei der Erstellung hilft zum Beispiel dieser Online-Generator.

Das waren die wichtigsten DSGVO-Punkte im kompakten Überblick. Da vieles in der DSGVO sehr allgemein gehalten ist, wird sich erst über längere Sicht zeigen, was Webseitenbetreiber genau tun müssen beziehungsweise welche praktischen Lösungen gefunden werden. Trotzdem ist es empfehlenswert, sich schon jetzt gründlich mit dem Thema zu beschäftigten und die eigene Webseite zumindest auf die wichtigsten Punkte hin abzuklopfen.

Für weitere Informationen zur DSGVO empfehlen wir: callanerd.help

Weiter­füh­rendes Material - Gratis PDF

Die Firma "lexoffice" hat ein ausführliches Premium eBook zur DSGVO zusammengestellt. Folgende Inhalte werden in dem PDF behandelt:

• Fachwissen zur DSGVO (eBook) - Erfahre, wie du die neuen Regelungen sicher im Betrieb anwendest
• Maßnahmenplan DSGVO - Sichere und korrekte Umsetzung mit dem 6-Punkte-Maßnahmenplan
• Experten geben Rat zur DSGVO - Experten-Interview mit RA Michael Rohrlich, Datenschutzbeauftragter
• Fragen & Antworten zur DSGVO - Antworten auf die wichtigsten Fragen zur DSGVO
• Muster & Vorlagen zum Download - Antworten auf die wichtigsten Fragen zur DSGVO Hier finden Sie das PDF

DSGVO-Checkliste: WordPress daten­schutz­konform einsetzen

Der heise Verlag hat einen umfassenden Artikel aus der IX veröffentlicht, in dem der datenschutzkonforme Einsatz von WordPress beleuchtet wird. Hier geht es zum Artikel