WordPress DSGVO-Checklist

Sie haben sicher mitbekommen, dass die neuen DSGVO-Richtlinien ab dem 25.05.2018 in Kraft treten. Sicher haben Sie auch mitbekommen, dass im Grunde (fast) jeder, der eine Webseite betreibt, davon betroffen ist und entsprechende Maßnahmen ergreifen sollte, um eventuellen Abmahnungen und Strafen aus dem Weg zu gehen. Die Panikmache ist leider nicht unbegründet, denn vielen Anwälte wetzen sicher schon die Messer und lassen entsprechende Vordrucke anlegen, um ab Ende Mai Webseiten-Betreiber zu verunsichern. Dabei sind die Anpassungen überschaubar und je nach technischem Verständnis, einfach zu erledigen.

DSGVO Checkliste


Hier ist eine Liste von Maßnahmen, die für die DSGVO umgesetzt werden müssen. Hierbei gibt es verschiedene “Schwierigkeitsgrade”. Zum einen müssen verschiedene Verträge ausgefüllt und abgeschickt werden. Zum anderen sind die Aufgaben etwas anspruchsvoller und davon abhängig, ob Sie gewisse Grundkenntnisse und Zugang zu ihrem WordPress Backend, Google Analytics oder einen FTP-Zugang haben.

Einfach – Verträge

Sie benötigen: Drucker, Papier, Stift, Umschläge und Briefmarken

Google

Wenn Sie Google Analytics nutzen, müssen sie dieses 18 seitiges (!!!) Formular ausfüllen und anschließend zu Google nach Irland schicken. Hierfür benötigen Sie die E-Mail Adresse, über die das Konto registriert ist und (optional) die Kontonummer. Ansonsten allgemeine Angaben und Unterschriften auf Seite 2 und 14.

Host

Sie müssen einen “Vertrag zur Auftragsverarbeitung” mit dem Provider, der ihre Seite hostet abschließen. Die Dokumente werden von den Anbietern bereitgestellt, darüber sollten Sie (eigentlich) auch per Mail informiert werden (teilweise sind diese noch in Bearbeitung). Hier ist eine Liste der gängigsten Anbieter und der Speicherort der Unterlagen.

All-inkl: in der Members Area
Knallhart: im Kundeninterface
Strato: Kundenlogin (Mein Vertrag -> Vertragsänderung -> Auftragsverarbeitung)
Host Europe: Link zum PDF
1und1: Link zum PDF

Newsletter

Das Gleiche gilt für andere Drittanbieter, wie Newsletter. Wenn Sie die Info noch nicht erhalten haben, erkundigen Sie sich bitte beim jeweiligen Anbieter.

Mittel – Plugins & Einstellungen

Sie benötigen: Zugang zum WordPress- und Google Analytics-Backend

Updates

Im Zuge der neuen DSGVO-Verordnung, sind die Hersteller gezwungen, ihre Plugins und Themes zu aktualisieren. Deswegen sollten man zuerst das System auf den neuesten Stand bringen. Hierbei muss beachtet werden, das einige Plugins sicher noch in der Entwicklung sind und wahrscheinlich erst kurz vor dem 25.05. aktualisiert werden können. Einige Hersteller haben ihre Hausaufgaben aber bereits erledigt.

Google Analytics

Zur Einbindung bevorzuge ich persönlich das Plugin von MonsterInsights, da es viele nützliche Funktionen hat. Wenn man es aktualisiert, kann man in den Einstellungen (unter “Tracking” -> “Demographics”) die Optionen für anonyme IP-Adressen wählen. Zusätzlich sollte man das Plugin “Google Analytics Opt-Out” installieren. Dieses funktioniert bestens mit MonsterInsights und man kann einfach per Shortcode einen Link einfügen, damit der Besucher die Erfassung von Google deaktivieren kann.

Neben dem Vertrag, muss im Google Analytics Konto außerdem der “Zusatz der Datenverarbeitung” bestätigt werden. Unter “Kontoeinstellungen” ganz am Ende auf “Zusatz anzeigen”, das Pop-Up bestätigen und speichern.

Dann ggf. die Seite anschließend neu laden, dann sollte dort “Die Zustimmung für den Zusatz zur Datenverarbeitung für dieses Konto erfolgte am (tt.mm.jjjj)” stehen.

Datenschutzerklärung

Diese sollte bereits vorhanden und gut erreichbar auf der Seite zu finden sein. Im Zuge der Umstellung sollten Sie die Erklärung einmal aktualisieren. Dazu können Sie beispielsweise den Generator von e-recht24.de nutzen. Hier sollten Sie genau schauen, welche Punkte auf Sie zutreffen und bitte nicht alles wahllos anklicken, um “auf Nummer Sicher zu gehen”.

Social-Media Plugins

Wenn Sie direkt die Inhalte der jeweiligen Plattform auf ihrer Seite laden (beispielsweise der klassische Instagram-Feed im Footer), ist das immer problematisch. Nicht nur, dass das Einfluss auf die Ladezeit hat, vielmehr werden hier auch Daten an Facebook und Co. übertragen. Am besten, Sie verlinken einfach auf den jeweiligen Social-Media Kanal. Wenn Sie auf die Sharing-Funktion nicht verzichten wollen, nutzen Sie am besten das Shariff-Plugin (Shariff Wrapper).

Kontakt-Formulare

Diese müssen ebenfalls mit einer Checkbox versehen werden, damit der Besucher sein Einverständnis abgeben kann. Das Plugin “WP GDPR Compliance” übernimmt diese Aufgabe und funktioniert bei den WordPress Kommentaren, Contact Form 7, Gravity Form und woocommerce. Zu sehen, am Ende der Seite, beim Kontaktformular oder auf der Kontaktseite.

Cookies

Wenn Sie Cookies verwenden sollten Sie zumindest einen Banner verwenden, um darauf hinzuweisen. Ich nutze Cookie Notice von dFactory, hier können Sie alle nötigen Einstellungen vornehmen. Der Text für den Cookie-Banner könnte wie folgt lauten:

“Diese Website nutzt Cookies und Google Analytics. Wenn Sie die Website weiter nutzen, gehen wir von deinem Einverständnis aus…”

Danach sollte ein Button mit Link zur Bestätigung und zur Datenschutzerklärung folgen.

Schwierig – Admin

Sie benötigen: Zugang zum WordPress- und Host-Backend und einen FTP-Zugang

SSL

Am besten verfügt ihre Seite über eine SSL-Zertifizierung, damit ihre Seite über “https” erreichbar ist und Daten sicher übertragen werden. Es gibt mittlerweile kostenlose Zertifikate. Die Einbindung ist (abhängig vom Host) relativ schnell gemacht, anschließend müssen ggf. noch einige Änderungen an der Seite und im Google Analytics Konto gemacht werden.

Fonts und Icons

Die meisten Themes greifen auf Schriften von Google oder Icons von FontAwesome zurück. Deswegen sollten die Schriften und icons alle von ihrem Server geladen und eine Verbindung mit Google oder anderen Anbietern unterbunden werden. Dabei muss beachtet werden, ob die Lizenz einer Nutzung dieser Art erlaubt.

IP-Adresse verschlüsseln

WordPress speichert bei jedem Kommentar die IP des Users. Dies lässt sich mit einem Plugin oder noch einfacherer, mit einem einfachen php-Befehl lösen inder „functions.php“.

function wpb_remove_commentsip( $comment_author_ip ) {
return “;
}
add_filter( ‚pre_comment_user_ip‘, ‚wpb_remove_commentsip‘ );

Ebenfalls zu beachten sind ältere Back-Ups, hier könnten noch ältere Einträge mit unverschlüsselten IP-Adressen gespeichert sein. Wenn diese noch benötigt werden, speichert man sie am besten lokal.

 

Abschließend sollte die Funktionalität der Webseit und alle ein- und ausgehenden Verbindungen und die Cookies (z. B. mit dem Browser Dev-Tool) geprüft werden.

Fazit

Man kann davon halten was man will. Auf Grund der vergangenen Daten-Skandale ist eine weitestgehend einheitliche Regelung des Datenschutzes überfällig. Aber spätestens bei dem bürokratischen Aufwand und dem vielen Papier, was verschwendet werden muss, ist die Umsetzung der Maßnahmen teilweise doch etwas verbesserungswürdig. Unabhängig davon werden sich jetzt wieder einige Anwaltskanzleien “spezialisieren” und das anfängliche juristische Wirrwarr zu ihren gunsten nutzen. Die Praxis wird zeigen, an welchen Schrauben man hier noch drehen muss, um ein gerechtes Maß für alle zu finden. Bis dahin sollte man das Thema im Auge behalten und sich auf alle Eventualitäten vorbereiten.

 

Wenn Sie Hilfe bei der Realisierung der Anpassungen benötigen, können Sie mich gerne kontaktieren.

Ansonsten können Sie diesen Beitrag gerne teilen, natürlich über das DSGVO-konforme Shariff-Plugin.