DSGVO in WordPress umsetzen

Die Datenschutz-Grundverordnung ist schon seit dem 25. Mai 2018 in Kraft. Viele haben sich für die korrekte Umsetzung extrem viel Zeit genommen und aufwendig jedes Detail umgesetzt.

Andere haben aus Panik ihre Internetseiten komplett abgeschalten, weil sie einfach nicht durchgeblickt haben und/oder nicht wussten wann und wie man die Schritte umsetzt.

Wiederum andere möchten gerne alles umsetzten, wissen aber nicht genau was wichtig ist und wie genau die einzelnen Schritte zur Umsetzung und Einhaltung aussehen.

Grundlegend ist die DSGVO eine gute Sache, weil der einfache Benutzer die Kontrolle über seine Daten haben soll und diese jederzeit einsehen bzw. löschen lassen kann. Bei bestimmten Aktionen muss man sich beim User auch gezielt das Einverständnis abholen.

Meiner Meinung nach sind viele Regelungen völliger Irrsinn und bedeuten einen Rückschritt. Bei gefühlt jeder Website muss man vorab jetzt irgendwelche Genehmigungen erteilen.

Stand jetzt ist, dass es bei einigen Aktionen noch relativ unklar ist, was jetzt genau DER richtige Weg ist. Da bleibt es noch abzuwarten, bis rechtskräftige Urteile gesprochen werden.

Bis dato kann es aber natürlich nicht schaden, die grundlegenden Einstellungen vorzunehmen um sich vor Abmahnungen zu schützen.

Bitte beachte, dass die genannten Vorschläge keine rechtskräftige Aussage haben und sich Gesetze ändern können.

Das Video ist eine Zusammenfassung der DSGVO-Maßnahmen aus meinem Nischenseiten Kurs, der Affiliate School Masterclass.

 

Wie setzt man die DSGVO in WordPress um?

Als Websitebetreiber muss man erst mal herausfinden, wo überhaupt Daten gespeichert oder genutzt werden. Da jedes Tool unter die Lupe zu nehmen, kann ganz schön zeitaufwendig sein. Zu mal man mit vielen Anbietern dann sogenannte Auftragsdatenverarbeitungsverträge schließen muss.

Im folgenden zeige ich dir die konkreten Schritte, die du zur Umsetzung der DSGVO auf deiner WordPress Website umsetzen solltest.

 

  • Auftragsdatenverarbeitungsvereinbarung mit deinem Webhoster abschließen

Viele Webhoster bieten im Kundencenter den Vertrag zum Download an. Diesen musst du abschließen, da die Userdaten, wie Login-Files usw. auf deren Servern gespeichert werden. Das hat vor allem Sicherheitsgründe, so dass illegale Zugriffe geblockt werden können. Weil hier drunter aber auch die Userdaten deiner Websitebesucher fallen, musst du einen Vetrag abschließen. Mit dieser Vereinbarung versichert dir dein Webhoster, dass er alle erdenkliche tut um diese Daten zu schützen.

Bei goneo findest du diesen Vetrag zum Beispiel unter „Downloads“.

 

  • SSL überall installieren

Heutzutage sollte jede neue Website eine aktive SSL-Verschlüsselung haben und den Webserver über ein sicheres https Protokoll laufen lassen. Bezüglich der DSGVO sollte man das auf jeden Fall tun, wenn es Daten gibt die abgespeichert oder übertragen werden, zum Beispiel durch Kontaktformulare, Kommentarfelder oder Loginfelder.

Außerdem hat die Umstellung bzw. Aktivierung von SSL den Vorteil, dass Google dich besser Ranken wird und alle Browser deine Website auch ohne Sicherheitshinweis darstellen.

Falls du nachträglich deine Website mit SSL versehen möchtest, dann empfehle ich dir immer vorher ein Backup deiner Daten und deiner Datenbank zu machen. Dann musst du das SSL Zertifikat bei deinem Webhoster bestellen und mit der entsprechenden Domain verknüpfen.

Die Umstellung dauert je nach Webhoster zwischen 15 Minuten und 24 Stunden.

Danach musst du noch in WordPress deine Website auf https umstellen. Dafür gehst du in WordPress unter Einstellungen > Allgemein und änderst die angezeigten Urls von http auf https.

Dann musst du noch alle anderen Links und urls auf die neue https Version umstellen. Das kannst du in WordPress mit dem Plugin „Better Search Replace“ machen.

 

  • Impressum & Datenschutz

Fast mit der wichtigste Punkt sind die Seiten zum Impressum und Datenschutz an sich. Es müssen demnach zwei getrennt voneinander existente Seiten sein, welche innerhalb von 2 Klicks erreichbar sein müssen.

Für beide Seiten gibt es Online entsprechende Generatoren. Für den Datenschutz gibt es diesen und für das Impressum diesen.

 

  • WordPress Updates & Plugins

Wenn du ein vollständiges Backup hast, dann kannst du jetzt auch WordPress und alle anderen Plugins auf die aktuellste Version updaten. Die aktuellen Versionen werden regelmäßig auf die Einhaltung der neuesten Richtlinien aktualisiert. Wie du dein WordPress sicher machst, habe ich in diesem Beitrag erklärt.

Besonders das Hauptupdate von WordPress beinhaltet immer wieder eigenständige Systeme zum automatischen Löschen von Benutzerdaten.

 

  • Server Log-Files

In einigen Bereichen ist die Sicherheit auch wichtiger als der Datenschutz. So speichert der Webhoster sogenannte Logfiles und schütz deine Website bereits im Voraus gegen Attacken. Das kann er aber nur tun, wenn er bestimmt Daten, wie IP-Adressen zur Abwehr nutzen darf.

Überprüf also am besten, ob du den Absatz zu den Server Log-Files auch korrekt in deiner Datenschutzerklärung angegeben hast.

So kann der entsprechende Absatz in deiner Datenschutzerklärung lauten:

“Erfassung von allgemeinen Daten und Informationen

Die Internetseite erfasst mit jedem Aufruf der Internetseite durch eine betroffene Person oder ein automatisiertes System eine Reihe von allgemeinen Daten und Informationen. Diese allgemeinen Daten und Informationen werden in den Logfiles des Servers gespeichert. Erfasst werden können die (1) verwendeten Browsertypen und Versionen, (2) das vom zugreifenden System verwendete Betriebssystem, (3) die Internetseite, von welcher ein zugreifendes System auf unsere Internetseite gelangt (sogenannte Referrer), (4) die Unterwebseiten, welche über ein zugreifendes System auf unserer Internetseite angesteuert werden, (5) das Datum und die Uhrzeit eines Zugriffs auf die Internetseite, (6) eine Internet-Protokoll-Adresse (IP-Adresse), (7) der Internet-Service-Provider des zugreifenden Systems und (8) sonstige ähnliche Daten und Informationen, die der Gefahrenabwehr im Falle von Angriffen auf unsere informationstechnologischen Systeme dienen.

Bei der Nutzung dieser allgemeinen Daten und Informationen zieht die Website keine Rückschlüsse auf die betroffene Person. Diese Informationen werden vielmehr benötigt, um (1) die Inhalte unserer Internetseite korrekt auszuliefern, (2) die Inhalte unserer Internetseite sowie die Werbung für diese zu optimieren, (3) die dauerhafte Funktionsfähigkeit unserer informationstechnologischen Systeme und der Technik unserer Internetseite zu gewährleisten sowie (4) um Strafverfolgungsbehörden im Falle eines Cyberangriffes die zur Strafverfolgung notwendigen Informationen bereitzustellen. Diese anonym erhobenen Daten und Informationen werden daher einerseits statistisch und ferner mit dem Ziel ausgewertet, den Datenschutz und die Datensicherheit in unserem Unternehmen zu erhöhen, um letztlich ein optimales Schutzniveau für die von uns verarbeiteten personenbezogenen Daten sicherzustellen. Die anonymen Daten der Server-Logfiles werden getrennt von allen durch eine betroffene Person angegebenen personenbezogenen Daten gespeichert.”

 

  • Verarbeitungsvertrag mit Google Analytics

Musste man in der Vergangenheit ein ausgefülltes Dokument nach Irland schicken, so kann man jetzt auf elektronischem Wege die Datenverarbeitung mit Google akzeptieren.

Das geht in folgenden Schritten:

  1. Melde dich in Google Analytics an.
  2. Klick auf Verwaltung.
  3. Wähle über das Menü in der Spalte KONTO das Konto aus, in dem du die Einstellungen ändern möchtest
  4. Klick in der Spalte KONTO auf Kontoeinstellungen.
  5. Klick unter Zusatz zur Datenverarbeitung auf Zusatz anzeigen.
  6. Lies den Zusatz durch und klicke dann auf Fertig.
  7. Klick noch einmal auf Fertig, um die Kontoeinstellungen zu speichern.

 

datenverarbeitung google dsgvo

 

  • IP-Adressen anonymisieren

In den SEO-Plugins gibt es oft die Funktion, dass man IP-Adressen anonymisieren kann. So kann Google Analytics immer noch Daten verarbeiten, diese aber nicht mehr einem bestimmten User zuordnen.

Klick deshalb im Plugin “All in One SEO” das Häkchen bei “Erweiterte Analytics Einstellungen” an und aktivieren dann “IP Adressen anonymisieren”.

 

  • Google Analytics Opt Out

Nachdem du dem Zusatz zur Datenverarbeitung zugestimmt hast, und auch die IP-Adressen anonymisiert hast, kannst du deinen User noch den kompletten Opt-Out bei Google Analytics anbieten. Bedeutet, dass der User generell nicht mehr getrackt wird.

Hierzu installierst du das Plugin “Google Analytics Opt-Out” und fügst dann die entsprechende Austragungs-Funktion in der Datenschutzerklärung ein. Wie das geht siehst du im Video.

 

  • Avatare deaktivieren

In WordPress gibt es die Funktion, das automatisch Bilder von kommentierenden Usern gezogen werden. Auch hier werden also wieder Daten verarbeitet und können einem bestimmten User zugeordnet werden. Deshalb solltest du diese Funkion am besten deaktivieren.

Das kannst du in WordPress unter Einstellungen > Diskussion und dann Avatare anzeigen. Hier entfernst du das Häkchen.

 

  • Kommentare

Nachdem man die Avatare deaktiviert hat, geht es um die Kommentare an sich. Auch hier werden standardmäßig Daten gespeichert. Um auf der sicheren Seite zu sein, kannst du entweder die Kommentare deaktivieren oder aber das Plugin “Remove comments IP” verwenden. So werden IP zwar noch vorübergehend gespeichert, diese werden aber dann automatisch nach 2 Monaten gelöscht.

 

  • Kommentarfunktionen

Nun hast du die automatische Löschung der IP-Adressen eingestellt. Trotzdem empfehle ich dir zusätzlich noch die Implementierung einer Checkbox in Kommentar und Kontaktfeldern. Bevor ein User also einen Kommentar absetzen kann, muss er noch aktiv diesen Schritt bestätigen und der Verarbeitung zustimmen.

Umsetzen kannst du das mit dem Plugin WP GDPR Compliance. Nach der Installation findest du das Plugin unter Werkzeuge. Hier musst du die entsprechenden Felder noch aktivieren.

 

dsgvo in kommentarfeldern und kontaktformularen

  • Anti Spam Plugin

 Bei einigen Anti-Spam-Plugins solltest du genauer hinschauen, denn hier werden oft Daten verarbeitet und abgeglichen. In erster Linie ist dieser Abgleich auch notwendig und sinnvoll, da nur so Spam geblockt werden kann, doch in den meisten Fällen ist die dauerhafte Speicherung der Daten problematisch.

Ich empfehle dir hier das Plugin  “Antispam Bee” welches auf die Einhaltung der Richtlinien achtet.

Hier solltest du nur darauf achten, dass du folgende Felder deaktiviert hast, da sonst wieder IP-Daten mit anderen Services abgeglichen werden.

 

  • Social Share Buttons

Viele Social-Share Button-Plugins analysieren Daten bereits beim Seitenaufruf. Die Dienste sammeln Daten, obwohl noch keine Interaktion mit dem Button ausgeführt wurde. Erkundige dich deshalb am besten, wie deine Buttons fungieren.

Ich kann dir an dieser Stelle das Plugin “Shariff Wrapper” empfehlen. Dieses Plugin für Social Share Buttons verarbeitet erst Daten, wenn der entsprechende Button angeklickt wird.

Die Datenschutzhinweise zu Facebook und Co. müssen natürlich trotzdem in deiner Datenschutzerklärung eingefügt sein.

 

  • Youtube

Wie bei den Share Buttons ist es auch bei Youtube-Videos so, dass Daten bereits verarbeitet werden, obwohl das Video noch nicht angeklickt wurde. Um das zu verhindern kann man ein Plugin installieren, so dass das Video erst angezeigt wird, wenn der User es abspielen möchte.

Das Plugin heißt Embed videos and respect privacy. Nach der Installation sollte bereits direkt alles funktionieren. Bei manchen Usern kommt es zu Kompatibilitätsproblemen. Alternativ gibt es auch das Plugin “Lazy Load for Videos”. Also am besten ausprobieren.

 

  • Cookie Hinweis

Mit dem Plugin “Cookie Consent” kannst du einen Hinweise zu deinen Cookies und z.B. zu Opt-Out Möglichkeiten geben. Einfach installieren und folgenden Hinweis so oder so ähnlich einbauen:

Diese Website benutzt Cookies, Google Analytics und Google Adsense. Wenn du die Website weiter nutzt, erklärst du dich damit einverstanden. // Mehr Infos & Opt-Out

 

  • Verarbeitungsverzeichnis, TOM-Dokument und Löschkonzept

Dies ist der mit Abstand aufwendigste Punkt wenn es um die DSGVO geht. Als Websitebetreiber, der Daten verarbeitet, musst du ein Verarbeitungsverzeichnis und ein TOM-Dokument (technischen und organisatorischen Maßnahmen und ein Auskunft- und Löschkonzept) erstellen und bei Nachfrage ausliefern.

Im Verarbeitungsverzeichnis musst du aufführen wer du bist, was dein Unternehmen macht, welche Daten wo gespeichert werden usw. Im TOM-Dokument musst du auflisten, was du für die Datensicherheit tust, wie die Daten gespeichert sind und wie man im Fall der Fälle vorgeht, wenn es Anfragen zur Löschung gibt.

Ein vorausgefülltes Dokument kannst du dir hier kostenlos downloaden:

  • Google Font lokal hosten

Viele Webseiten verwenden Google Fonts. Auch hier werden Daten verarbeitet. Wenn du dich damit auskennst, kannst du deine Schriften auch lokal auf deinem Server einbetten

 

 

Bitte beachte noch mal, dass die genannten Vorschläge keine rechtskräftige Aussage haben und sich Gesetze ändern können. Ich würde mich freuen, wenn wir diese Liste zusammen erweitern. 

Mit diesem Tool kannst du übrigens testen, wie es mit dem Datenschutz und deiner Website aussieht: webbkoll.dataskydd.net

Welchen wichtigen Punkt habe ich vergessen? Wie sieht du das Thema und welchen Tipp hast du noch?

Teile diesen Beitrag
Geschrieben von

Seit 2011 beschäftige ich mich intensiv mit Affiliate Marketing und habe mir dadurch ein automatisiertes Vollzeiteinkommen aufgebaut. Meine Mission ist es, dich zu motivieren und dir einen Weg zu zeigen, sich ein passives Einkommen zu verschaffen. Lerne mein System in der Affiliate School Masterclass

Kommentiere

Deine Mailadresse wird nicht veröffentlicht. Pflichtfelder sind markiert*

affiliate school masterclass
Gib deinen Suchbegriff ein und drück Enter.