WordPress hat einige wichtige Änderungen in Bezug auf die DSGVO vorgenommen. Die Änderungen sind Teil der Bemühungen von WordPress, es seinen Nutzern zu erleichtern, DSGVO-konform zu sein. Die Nutzung dieser Tools an und für sich ist jedoch keine Garantie für die DSGVO-Einhaltung.
Im Folgenden gehen wir auf die wichtigen DSGVO-Funktionen ein und erläutern, wie Sie von ihnen profitieren können, welche Einschränkungen sie mit sich bringen und wie Sie sie umgehen können. Lassen Sie uns eintauchen.
WordPress macht es Website-Anbietern jetzt leichter, eine eigene Seite für die Datenschutzerklärungen einzurichten, indem Sie in Ihrem WordPress-Dashboard einfach Settings > Privacy wählen. Dort können Sie entweder eine bestehende Seite auswählen oder eine neue Seite erstellen, die als Seite für Ihre Datenschutzerklärungen vorgesehen wird.
Die Funktion macht es zwar einfach, eine Seite zu erstellen, bietet aber keinen vollständigen und anwendbaren Text, was durchaus verständlich ist, da der Text Ihrer Datenschutzerklärung speziell für Sie gelten und Angaben zu den von Ihnen verarbeiteten Daten enthalten sollte, um den Vorschriften zu entsprechen. Wenn Sie auf den Button Create New Page klicken, erhalten Sie jedoch einen Einstiegstext und eine einfache Vorlage.
Wie bereits erwähnt, erstellt das Tool keine brauchbare und konforme Datenschutzerklärung. Der Text der Vorlage ist zwar ein nützlicher Ausgangspunkt, der Ihnen hilft, über die Art der Angaben nachzudenken, die Sie in Ihre Datenschutzerklärung aufnehmen sollten, ist aber an und für sich noch lange nicht rechtskonform.
Im begleitenden Leitfaden zur Datenschutzerklärung informiert WordPress die Nutzer hierüber wie folgt:
Bitte bearbeiten Sie den Inhalt Ihrer Datenschutzerklärung so, dass Sie die Zusammenfassungen löschen und alle Informationen zu Ihrem Thema und Ihren Plugins hinzufügen. . . Es liegt in Ihrer Verantwortung, eine umfassende Datenschutzerklärung zu verfassen, sicherzustellen, dass sie alle nationalen und internationalen rechtlichen Anforderungen zum Datenschutz widerspiegelt, und Ihre Datenschutzerklärung aktuell und korrekt zu halten.
Auch wenn eine vollständige Analyse des bereitgestellten Starttextes einen separaten Artikel erfordern würde, ist auf den ersten Blick klar, dass einige Abschnitte (z. B. der Abschnitt über die Rechte des Nutzers an seinen Daten) entweder falsch oder unvollständig sind, wenn Sie personenbezogene Daten gemäß den Bestimmungen der DSGVO verarbeiten.
Gemäß der DSGVO und den meisten ähnlichen Datenschutzgesetzen ist es erforderlich, dass Ihre Datenschutzerklärung auf jeder Seite Ihrer Website verfügbar ist; das neue Datenschutz-Tool tut dies nicht automatisch.
Wählen Sie dann die für Sie zutreffenden Dienste aus:
Machen Sie Ihr Rechtsdokument von allen Seiten Ihrer Website aus sichtbar und leicht zugänglich. Sie können dies auf verschiedene Weise tun, wie in der Abbildung unten zu sehen ist:
Mit der neuen Kommentarfunktion können ausgeloggte Kommentatoren jetzt einstellen, welche persönlichen Daten (Name, E-Mail, Website) in einem Cookie in ihrem Browser gespeichert werden sollen.
Sie finden die Option, um diese Funktion zu aktivieren, unter Settings > Discussion.
Die neue Kommentarfunktion betrifft nur eine Art von Cookie. Nach der DSGVO und insbesondere nach der immer noch geltenden EU-Cookie-Richtlinie (die derzeit parallel zur DSGVO gilt) müssen Ihre Nutzer durch ein auffälliges und ausreichend unterbrechendes Mittel wie ein Banner über alle Zwecke informiert werden, für die Ihre Website Cookies verwendet (mit Ausnahme von ausgenommenen Cookies), und sie müssen die Möglichkeit haben, ihre Einwilligung per Opt-in zu erteilen (dies kann über ein DSGVO-Kontrollkästchen, einen Button, einen Schalter usw. geschehen), die Einwilligung für diese Cookies zu verweigern oder zu widerrufen.
Unabhängig davon, ob Sie sich für die neue Kommentarfunktion entscheiden oder nicht, müssen Sie sicherstellen, dass Sie über eine aktive Cookie-Verwaltungslösung verfügen, die den gesetzlichen Anforderungen entspricht, um die Vorschriften einzuhalten.
Die Privacy Controls and Cookie Solution von iubenda erfüllt alle gesetzlichen Bestimmungen und bietet Ihnen gleichzeitig die Möglichkeit einer umfassenden Anpassung, der Optimierung für die Erfassung von Einwilligungen und Nachweisen für die Präferenzen der Nutzer, der Anzeige von Website-Metriken und mehr. Die Einrichtung der Privacy Controls and Cookie Solution wird durch unser spezielles WordPress-Plugin noch einfacher. Weitere Informationen über die Integration der Privacy Controls and Cookie Solution in Ihre WordPress-Website finden Sie in der Anleitung zur Installation des Plugins.
Mit den neuen Datenverarbeitungsfunktionen können Sie ganz einfach eine ZIP-Datei mit den persönlichen Daten eines bestimmten Nutzers exportieren und die Daten eines bestimmten Nutzers vollständig löschen, einschließlich der Daten, die von den entsprechenden Plugins gesammelt wurden.
Die Exportfunktion sendet einen Zip-Ordner mit einer “Mini-Website” mit einer Index-HTML-Seite, die die persönlichen Daten des Nutzers in Gruppen unterteilt enthält. Beide Funktionen stellen den Website-Anbietern auch eine neue E-Mail-basierte Methode zur Verfügung, um Anfragen nach persönlichen Daten sowohl für registrierte Nutzer als auch für Kommentatoren zu bestätigen.
Obwohl die Aktualisierungen für die Datenverarbeitung zu den wertvollsten und zeitsparendsten Updates gehören, gibt es einige kritische Einschränkungen, derer Sie sich bewusst sein sollten. Die erste ist, dass es nur die von den teilnehmenden Plugins gesammelten Daten automatisch exportiert. Das bedeutet, dass die Funktionsfähigkeit dieser Plugins vollständig davon abhängt, ob die von Ihnen verwendeten Plugins mit der neuen Export-/Löschfunktion verbunden sind. Das bedeutet, dass diese Funktion nicht mit Plugins funktioniert, die nicht entsprechend angepasst wurden, oder mit alten (nicht aktualisierten) Versionen von Plugins, die auf Ihrer Website verwendet werden (in diesem Fall können Sie diese Plugins natürlich einfach auf die neueste Version aktualisieren).
Das wirklich Problematische an der Sache ist, dass (zum Zeitpunkt der Erstellung dieses Beitrags) kein zentrales Repository existiert, aus dem hervorgeht, welche Plugins diese Funktion integriert haben. Außerdem wurden keine Anreize geschaffen, um Plugin-Entwickler zu ermutigen, die Funktion zu implementieren, was bedeutet, dass sich wahrscheinlich nur sehr wenige die Mühe gemacht haben, ihren Code zu überarbeiten und diese Funktionen hinzuzufügen.
Selbst wenn jedes einzelne Plugin auf der WordPress-Website diese Funktionen unterstützen würde, werden nicht unbedingt alle von Ihnen verarbeiteten Nutzerdaten von Plugins verarbeitet. Wenn Sie zum Beispiel einen Cloud-Dienst oder ein externes Mailinglisten-Verwaltungssystem verwenden, werden die von diesen verarbeiteten Daten nicht automatisch in das neue Datenverarbeitungssystem von WordPress gezogen. Dies ist ein sehr wichtiger Punkt, der zu beachten ist, da die Rechte auf Auskunft und Löschung für ALLE anwendbaren Nutzerdaten gelten, nicht nur für einige. Wenn Sie sich also auf einen unvollständigen Mechanismus verlassen oder nur einen Teil der Daten zur Verfügung stellen, bedeutet dies, dass Sie nicht konform sind.
Allerdings sind diese neuen Funktionen wahrscheinlich ausreichend, wenn Sie die personenbezogenen Daten der Nutzer ausschließlich über die in die WordPress-Plattform selbst integrierten Funktionen verarbeiten, da auf diese Weise Ihre Compliance nicht davon abhängt, ob verschiedene Plugins von Drittanbietern in die neue Funktion integriert sind oder nicht.
Derzeit gibt es zwei Möglichkeiten, diese Probleme zu lösen, und sie erfordern meist Vorarbeiten und manuellen Aufwand.
Vorbereitende Maßnahmen
Manueller Aufwand
Nach dem aktuellen System müssen Sie, wenn Sie Dienste von Drittanbietern für die Verarbeitung personenbezogener Daten nutzen, die nicht durch die WordPress-Tools für die Datenverarbeitung abgedeckt sind, einen gewissen manuellen Aufwand betreiben, um die Daten zu ermitteln, aus den entsprechenden Datenbanken zu exportieren und sie verfügbar zu machen oder zu löschen, wenn der Nutzer dies wünscht. In der Regel haben Sie dafür durchschnittlich einen Monat Zeit (mit einigen Ausnahmen).
Beachten Sie, dass die Daten dem Nutzer in einem gängigen und leicht zugänglichen Format (z. B. einem Tabellenblatt) zur Verfügung gestellt werden müssen, wenn einem Antrag auf Auskunft nachgekommen wird.
Wenn Sie einer Löschanfrage nachkommen, ist es außerdem sinnvoll, den Nutzer im Voraus darüber zu informieren, dass die vollständige Löschung seiner Daten bedeutet, dass Ihre Systeme ihn nicht mehr als Nutzer erkennen (es sei denn, er fügt seine Daten irgendwie wieder in Ihre Systeme ein) und Sie daher nicht in der Lage sein werden, Anfragen bezüglich dieser Daten nach ihrer Löschung zu beantworten.
Weitere Informationen zu diesen WordPress-Funktionen finden Sie im Abschnitt Datenschutz des WordPress Plugin-Handbuchs hier.
Diese neuesten Erweiterungen von WordPress zeigen, dass das Unternehmen die Bedeutung der Einhaltung von Vorschriften anerkennt und bereit ist, seine Nutzer bei der Erfüllung der Anforderungen zu unterstützen. Letztendlich ist die Einhaltung der Vorschriften jedoch ein individuelles Unterfangen, und die Verantwortung (und Haftung) liegt bei Ihnen, dem für die Datenverarbeitung Verantwortlichen, um Ihre Datenverarbeitungstätigkeiten ordnungsgemäß zu bewerten und sicherzustellen, dass Ihre Systeme und Prozesse den Vorschriften entsprechen.
Verfahren wie das Führen von Verzeichnissen über die Datenverarbeitungsaktivitäten und die Durchführung einer Datenschutz-Folgenabschätzung (Data Impact Assessment) können sehr hilfreich sein, um dies herauszufinden.
Aus diesem Grund haben wir auf der Grundlage unserer Arbeit im Zusammenhang mit der DSGVO in den letzten Monaten die folgende Liste von Informationen und Artikeln zur DSGVO zusammengestellt, um Ihnen bei der Einhaltung der Vorschriften zu helfen.