EU-DSGVO-Umset­zung mit Word­Press CMS

Umsetzung EU-DSGVO auf Wordpress Beitragsbild Dsgvo Vorhängeschloss blau

EU-DSGVO-Umset­zung mit Word­press: Infos zur DSGVO-kon­­for­­men Web­sei­ten­ge­stal­tung für Unter­neh­men und CMS-Blo­g­ger.

EU-DSGVO-Umset­zung mit Word­press: Da staunt der Blog­ger, der Unter­neh­mer wun­dert sich und der Abmahn­an­walt reibt sich (noch nicht) die Hän­de: Die EU-DSGVO ist für alle Betrof­fe­ne eine der umfas­sends­ten Refor­men im Bereich des euro­päi­schen und natio­na­len Daten­schut­zes. Sie ersetzt das alte natio­na­le Bun­des­da­ten­schutz­ge­setz (BDSG), das auf­grund des tech­no­lo­gi­schen Fort­schritts wäh­rend der letz­ten Jah­re als über­holt gilt. Zie­le der Ver­ord­nung sind der Schutz der Grund­rech­te natür­li­cher Per­so­nen sowie die Ver­ein­heit­li­chung des Daten­schut­zes inner­halb der EU.

Gro­ße Abmahn­wel­le blieb vor­erst aus

Die DSGVO erlang­te am 25.05.2018 Rechts­kraft. Seit­dem ist es (rela­tiv) ruhig geblie­ben; die befürch­te­te gro­ße Abmahn­wel­le blieb vor­erst aus. Eini­ge Poli­ti­ker haben sogar eine Schon­frist für die mit der Umset­zung der EU-DSGVO in Ver­zug gera­te­nen Unter­neh­men gefor­dert. Den­noch ist davon aus­zu­ge­hen, dass die Ver­ord­nung spä­tes­tens dann rigo­ros durch­ge­setzt wer­den wird, sobald sich eine ein­heit­li­che Rechts­spre­chung eta­bliert hat. Was bedeu­tet dies nun alles für die Blog­ger und Unter­neh­mer? Der fol­gen­de Bei­trag soll die­se Fra­gen beant­wor­ten und Vor­schlä­ge zur Umset­zung anbie­ten.

EU-DSGVO-Umset­zung mit Word­Press: All­ge­mei­nes zur Ver­ord­nung

1.Wer sind die Adres­sa­ten der DSGVO?

Die Ver­ord­nung rich­tet sich an alle Insti­tu­tio­nen, die per­so­nen­be­zo­ge­ne Daten erhe­ben und ver­ar­bei­ten. Das sind natür­lich in ers­ter Linie die Unter­neh­men, die Sozia­len Netz­wer­ke und die Cloud-Anbie­­ter. Es kann jedoch auch gemein­nüt­zi­ge Ver­ei­ne oder den klei­nen Blog­ger tref­fen. Eigent­lich sind alle von der DSGVO betrof­fen, die auf der Web­sei­te etwas mit mit Erfas­sung von per­so­nen­be­zo­ge­nen Daten zu tun haben. Und zwar nicht nur im Bereich des Inter­nets, son­dern all­um­fas­send im täg­li­chen Leben. Von der Anmel­de­be­stä­ti­gung über die Klin­gel­schil­der bis hin zur Visi­ten­kar­te.

2.Über den Gel­tungs­be­reich der EU-DSGVO

EU-DSGVO-Umsetzung mit WordPress: Territorialer Geltungsbereich der Verordnung

Der Gel­tungs­be­reich der DSGVO erstreckt sich nicht nur auf Deutsch­land und Euro­pa, son­dern auch auf alle aus­län­di­sche Fir­men, die eine Nie­der­las­sung inner­halb der EU haben. Das Regel­werk hat also einen extra­ter­ri­to­ria­len Effekt. Die­ser Umstand soll dazu die­nen, dass sich die ein­schlä­gi­gen gro­ßen Daten­samm­ler (Goog­le und Face­book) zukünf­tig nicht mehr ganz so ein­fach aus der Affä­re zie­hen kön­nen. Kla­gen gegen sie kön­nen nun im eige­nen Land erho­ben wer­den.

3.Strenge Sank­tio­nen bei Pflicht­ver­stö­ßen

EU-DSGVO-Umsetzung mit WordPress - hohe Bußgelder drohen bei Pflichtverstößen

Die EU-DSGVO ist mit­nich­ten ein Papier­ti­ger. Die Auf­la­gen sind recht streng; bei Ver­stö­ßen dro­hen Buß­gel­der von bis zu 20 Mil­lio­nen Euro oder 4 % des Umsat­zes des vor­an­ge­gan­ge­nen Geschäfts­jah­res. Für die Umset­zung der Ver­ord­nung sind neben der Anpas­sung der Daten­schutz­er­klä­rung auch tech­ni­sche Ände­run­gen auf der Web­sei­te nötig. Auch per­so­nel­le Maß­nah­men und Ände­run­gen der Betriebs­ab­läu­fe bei grö­ße­ren Unter­neh­men sind mög­lich. Doch blei­ben die Grund­sät­ze des alten Bun­des­da­ten­schutz­ge­set­zes im Kern erhal­ten. So muss etwa ab einer Betriebs­grö­ße von 10 Mit­ar­bei­tern ein Daten­schutz­be­auf­trag­ter ange­stellt wer­den. Dies gilt auch dann, wenn auto­ma­ti­sier­te Daten­ver­ar­bei­tung in erheb­li­chem Umfang statt­fin­det. Frei­be­ruf­ler wie Ärz­te, Rechts­an­wäl­te oder Apo­the­ker müs­sen jedoch in der Regel kei­nen Daten­schutz­be­auf­trag­ten ein­stel­len.

EU-DSGVO-Umset­zung mit Word­Press für Blog­ger

Die EU-Daten­­schut­z­­ver­­or­d­­nung 2018 betrifft neben den Unter­neh­men auch alle natür­li­chen Per­so­nen, die mit der Erfas­sung von per­so­nen­be­zo­ge­nen Daten zu tun haben. Dazu gehört vor allem die Erfas­sung von IP-Adres­­sen durch Tracking-Tools wie Goog­le Ana­ly­tics. Auch die Spei­che­rung von E‑Mail-Adres­­sen und Namen auf Kon­takt­for­mu­la­ren ist Gegen­stand der DSGVO. Es gilt die Grund­re­gel, dass ohne die expli­zi­te Zustim­mung des Users die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ver­bo­ten ist. Wer­den per­so­nen­be­zo­ge­ne Daten an Dritt­an­bie­ter, z.B. Goog­le Ana­ly­tics, gesen­det, muss eine Abwahl­mög­lich­keit (Opt-Out-Funk­tion) vor­han­den sein. Des wei­te­ren sind fol­gen­de Funk­tio­nen von der Ver­ord­nung betrof­fen:

  • Traf­­fic-Ana­­ly­se-Pro­­gram­­me 
  • New­s­­le­t­­ter-Tools wie “Mail­chimp”
  • Secu­ri­ty­pro­gram­me (Wor­d­fence /​Ithe­mes)
  • Betrei­ben von Foren
  • Kon­takt­for­mu­la­re /​Kom­men­tar­funk­tio­nen
  • Like- und Sha­re-Fun­k­­ti­o­­nen für Sozia­le Netz­wer­ke

Goog­le Ana­ly­tics im Faden­kreuz der DSGVO

Die Ver­wen­dung von Tools zur Web­ana­ly­se wird zukünf­tig auf­grund der Über­tra­gung der IP-Adres­­sen schwie­ri­ger wer­den. Wie bereits gesagt,g der Grund­satz, dass der User jeder ein­zel­nen Ver­ar­bei­tung sei­ner Daten durch Drit­te expli­zit zustim­men muss. Für jede Art der Ver­ar­bei­tung muss die Mög­lich­keit des Wider­spruchs vor­han­den sein. Tech­nisch geschieht dies durch eine Opt-Out-Fun­k­­ti­on (Abwahl­funk­ti­on) auf der Web­sei­te. Außer­dem muss mit jedem vor­han­de­nen Dienst­leis­ter ein Ver­trag zur Daten­ver­ar­bei­tung abge­schlos­sen wer­den. Nimmt man Goog­le als Bei­spiel, so muss das Schrift­stück in dop­pel­ter Aus­fer­ti­gung unter­schrie­ben wer­den. Anschlie­ßend wird es per Post oder auf elek­tro­ni­schem Wege zur Goo­g­le-Nie­­der­las­­sung nach Dub­lin geschickt. Ein Novum der DSGVO 2018 ist, dass dabei sowohl Goog­le als auch der Auf­trag­ge­ber für Pflicht­ver­stö­ße belangt wer­den kön­nen.

Außer­dem müs­sen die IP-Adres­­sen anony­mi­siert wer­den. Möch­te man sich den gan­zen Auf­wand um den DSGVO-kon­­for­­men Ein­satz von Ana­ly­tics spa­ren, kann man als Alter­na­ti­ve Diens­te wie “Sta­ti­fy” benut­zen. Die­se auf dem eige­nen Ser­ver ein­ge­bet­te­ten Wor­d­­Press-Tools sind daten­schutz­recht­lich eher unkom­pli­ziert zu hand­ha­ben. Die IP-Adres­­sen blei­ben hier auf dem eige­nen Rech­ner und müs­sen nur noch anony­mi­siert wer­den.

Vor­sicht auch beim Tei­len und Liken!

Die Ver­wen­dung von Icons für das Tei­len und Liken war schon vor der EU-DSGVO pro­ble­ma­tisch. Denn auch hier die IP-Adres­se der kli­cken­den Per­son über­tra­gen. Als Alter­na­ti­ve kom­men DSGVO-kon­­for­me Icons mit der Shariff-Fun­k­­ti­on oder der 2‑Klick-Lösung in Fra­ge.

EU-DSGVO-UMSETZUNG mit Word­Press: Wei­te­re krit­sche Plugins:

  • Wird auf der Web­sei­te eine Kom­men­tar­funk­ti­on ange­bo­ten, müs­sen die IP-Adres­­sen anony­mi­siert wer­den und ein ent­spre­chen­der Hin­weis auf die Spei­che­rung vor­han­den sein.
  • Der auto­ma­ti­sier­te Ver­sand von News­let­tern stellt ein Pro­blem dar. Hier gibt es Infos zu DSVGO-kon­­for­­men News­let­tern.
  • Die Ver­wen­dung von Goog­le Fonts muss in der Daten­schutz­er­klä­rung ange­ge­ben wer­den. Als Alter­na­ti­ve kann man auf Stan­dard­schrift­ar­ten zurück­grei­fen und die Fonts mit einem Plugin ent­fer­nen.
  • Das Plugin “301 Redi­rec­tion” muss bei “Optio­nen” die IP-Pro­­­to­­kol­­lie­­rung deak­ti­viert und auf “No IP log­ging” geschal­tet wer­den.
  • Die Plugins “Com­press JPEG & PNG images” und “Jet­pack” soll­ten ganz deak­ti­viert wer­den.
  • Gra­va­tare, zu fin­den unter den Pro­­­fil-Ein­stel­­lun­­gen, soll­ten aus­ge­schal­tet wer­den.
  • Für Ana­­ly­se-Plugins wie “Mons­ter Insights” müs­sen ähn­li­che Vor­keh­run­gen wie für Ana­ly­tics getrof­fen wer­den (Deak­ti­vie­rung des IP-Log­gings etc.).
  • Sicher­heits­funk­tio­nen gegen Bru­te-Force-Angrif­fe dür­fen nicht aktiv sein 
  • Funk­tio­nen zur Dar­stel­lung von Real­­ti­me/­­Li­ve-Traf­­fic müs­sen abge­schal­tet wer­den.

Sicher­heits­pro­gram­me wie “Wor­d­fence” oder “IThe­mes Secu­ri­ty” wer­den pro­ble­ma­tisch. Es müs­sen nicht nur die IP-Adres­­sen anony­mi­siert wer­den; die Ver­wen­dung von Schwar­zen Lis­ten mit IP-Adres­­sen zum Blo­ckie­ren bekann­ter Hacker wird eben­falls nicht mehr kom­plett legal sein.

EU-DSGVO-Umset­zung für Unter­neh­men:

Für Unter­neh­men gilt natür­lich eben­falls, dass für jede Ver­ar­bei­tung oder Über­mitt­lung per­so­nen­be­zo­ge­ner Daten eine Zustim­mung erfol­gen sowie eine Mög­lich­keit des Wider­spruchs durch eine Opt-Out-Fun­k­­ti­on vor­han­den sein muss. Dazu gibt es bezüg­lich der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten fol­gen­den Pflicht­ka­ta­log (Aus­zug):

Was sind per­so­nen­be­zo­ge­ne Daten?

Umsetzung EU-DSGVO auf WordPress - Definition personenbezogene Daten

Per­so­nen­be­zo­ge­ne Daten sind alle Daten, die eine Per­son iden­ti­fi­zie­ren oder iden­ti­fi­zier­bar machen kön­nen. Im Geset­zes­wor­laut der DSVGO heißt es (Art. 4):

„per­so­nen­be­zo­ge­ne Daten“ [sind] alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son (im Fol­gen­den „betrof­fe­ne Per­son“) bezie­hen; als iden­ti­fi­zier­bar wird eine natür­li­che Per­son ange­se­hen, die direkt oder indi­rekt, ins­be­son­de­re mit­tels Zuord­nung zu einer Ken­nung wie einem Namen, zu einer Kenn­num­mer, zu Stand­ort­da­ten, zu einer Online-Ken­­nung oder zu einem oder meh­re­ren beson­de­ren Merk­ma­len, die Aus­druck der phy­si­schen, phy­sio­lo­gi­schen, gene­ti­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder sozia­len Iden­ti­tät die­ser natür­li­chen Per­son sind, iden­ti­fi­ziert wer­den kann.

Per­so­nen­be­zo­ge­ne Daten – Bei­spiele:

Name, Alter, Geburts­da­tum, Fami­li­en­stand

Anschrift, E‑Mail-Adres­se

IP-Adres­se

Vor­stra­fen

Zeug­nis­se

KFZ-Ken­n­zei­chen

kör­per­li­che Merk­ma­le wie die Augen­far­be oder Fin­ger­ab­drü­cke

Stand­ort­in­for­ma­tio­nen

Gene­rell gilt, dass für jede Auf­nah­me per­so­nen­be­zo­ge­ner Daten eine Zustim­mung erfol­gen muss (gilt natür­lich nicht in Bezug auf Behör­den wie etwa der Poli­zei).

Grund­sät­ze der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten

Bei der Ver­ar­bei­tung der Daten müs­sen fol­gen­de Grund­sät­ze ein­ge­hal­ten wer­den:

Recht­mä­ßig­keit, Ver­ar­bei­tung nach Treu und Glau­ben, Trans­pa­renz

Zweck­bin­dung (Ver­ar­bei­tung nur für fest­ge­leg­te, ein­deu­ti­ge und legi­ti­me Zwe­cke)

Daten­mi­ni­mie­rung („dem Zweck ange­mes­sen und erheb­lich sowie auf das […] not­wen­di­ge Maß beschränkt“)

Rich­tig­keit („es sind alle ange­mes­se­nen Maß­nah­men zu tref­fen, damit [unrich­ti­ge] per­so­nen­be­zo­ge­ne Daten unver­züg­lich gelöscht oder berich­tigt wer­den“)

Spei­cher­be­gren­zung (Daten müs­sen „in einer Form gespei­chert wer­den, die die Iden­ti­fi­zie­rung der betrof­fe­nen Per­so­nen nur so lan­ge ermög­licht, wie es […] erfor­der­lich ist“)

Inte­gri­tät und Ver­trau­lich­keit („ange­mes­se­ne Sicher­heit der per­so­nen­be­zo­ge­nen Daten […], ein­schließ­lich Schutz vor unbe­fug­ter oder unrecht­mä­ßi­ger Ver­ar­bei­tung und vor unbe­ab­sich­tig­tem Ver­lust, unbe­ab­sich­tig­ter Zer­stö­rung oder unbe­ab­sich­tig­ter Schä­di­gung“)

Quel­le: Wiki­pe­dia

EU-DSGVO-Umset­zung: Sofor­ti­ge Mel­de­pflicht bei Daten­pan­nen

Ereig­net sich in Bezug auf per­so­nen­be­zo­ge­ne Daten ein Daten­leck oder eine sons­ti­ge Pan­ne, z.B. durch die Ver­sen­dung in einer unver­schlüs­sel­ten Mail, müs­sen dar­über inner­halb von 72 Stun­den nach Bekannt­wer­den die zustän­di­gen Auf­sichts­be­hör­den infor­miert wer­den. Tre­ten Ver­zö­ge­run­gen auf, müs­sen die­se begrün­det wer­den. Hier gibt es Infor­ma­tio­nen über mög­li­che Aus­­­nah­me-Tat­be­­stän­de.

EU-DSGVO-Umset­zung: Rechenschafts­be­rich­te

Das Unter­neh­men muss dem Kun­den auf Anfra­ge mit­tei­len, wofür die auf­ge­nom­me­nen Daten im Ein­zel­nen ver­wen­det wur­den. Prin­zi­pi­ell dür­fen nur die aller­not­wen­digs­ten Daten über­haupt erfasst wer­den und der Kun­de muss über sein Wider­rufs­recht zur Daten­er­he­bung infor­miert wer­den.

Recht auf “Ver­ges­sen­wer­den”

Dies bedeu­tet zusam­men­ge­fasst, dass der Kun­de das Recht hat, die Löschung der Daten zu for­dern, sobald die Grün­de für die Spei­che­rung ent­fal­len (die gesetz­lich vor­ge­ge­be­nen Fris­ten zur Auf­be­wah­rung):

EU-DSGVO-Umset­zung: Daten­schutz­fol­ge­ab­schät­zung

EU-DSGVO-Umsetzung mit WordPress mit einer Datenschutzfolgeabschätzung

Durch die Vor­nah­me einer Daten­schutz­fol­ge­ab­schät­zung soll ein leicht­fer­ti­ger Umgang mit per­so­nen­be­zo­ge­nen Daten ver­hin­dert wer­den. Außer­dem sol­len zukünf­ti­ge unver­hält­nis­mä­ßig nega­ti­ve Aus­wir­kun­gen durch die Auf­nah­me der Daten ver­hin­dert und die Grund­rech­te des Betrof­fe­nen geschützt wer­den.

Daten­schutz­fol­ge­ab­schät­zung als vor­aus­ge­gan­ge­ne Risi­ko­ka­l­ku­la­ti­on

Eine Daten­schutz­fol­ge­ab­schät­zung ist immer dann durch­zu­füh­ren, wenn beson­ders sen­si­ble per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den oder bestimm­te per­so­nen­be­zo­ge­ne Merk­ma­le wie Fähig­kei­ten oder Leis­tung einer Per­son bewer­tet wer­den sol­len. Bei der Abschät­zung wer­den müs­sen die poten­ti­el­len Gefah­ren, die die Ver­ar­bei­tung der Daten auf die per­sön­li­chen Rech­te und Frei­hei­ten einer Per­son haben könn­te, berück­sich­tigt wer­den. Ein Bei­spiel ist das Boni­­täts-Sco­­ring der Schufa. Die Ver­ar­bei­tung der Daten muss unter ande­rem ver­hält­nis­mä­ßig zum Zweck sein, not­wen­dig sein und unter Abwä­gung und Bewer­tung der Risi­ken auf die Rech­te und Frei­hei­ten der betrof­fe­nen Per­son erfol­gen.

Wei­ter­fuh­rende Infor­ma­tio­nen:

Der voll­stän­di­ge Geset­zes­text der DSGVO im Wort­laut 

Arti­kel aus Online­händ­ler News: DSGVO – Ein Mons­ter fei­ert Geburts­tag

Haf­tungs­au­schluss: Die­ser Bei­trag ent­hält ledig­lich unver­bind­li­che Emp­feh­lun­gen für eine rechts­kon­for­me Gestal­tung der Web­sei­te und ersetzt kei­ne qua­li­fi­zier­te Rechts­be­ra­tung. Der Bei­trag erhebt kei­nen Anspruch auf Voll­stän­dig­keit oder Feh­ler­frei­heit. Es wird kei­ne Haf­tung über­nom­men.

Comments are closed.