Iubenda logo
Generator starten

Anleitungen

INHALTSÜBERSICHT

Wie man die DSGVO auf einer WordPress-Website einhält

WordPress hat einige wichtige Änderungen in Bezug auf die DSGVO vorgenommen. Die Änderungen sind Teil der Bemühungen von WordPress, es seinen Nutzern zu erleichtern, DSGVO-konform zu sein. Die Nutzung dieser Tools an und für sich ist jedoch keine Garantie für die DSGVO-Einhaltung.

Im Folgenden gehen wir auf die wichtigen DSGVO-Funktionen ein und erläutern, wie Sie von ihnen profitieren können, welche Einschränkungen sie mit sich bringen und wie Sie sie umgehen können. Lassen Sie uns eintauchen.

WordPress-Datenschutzerklärung-Seite

wordpress privacy tool

WordPress macht es Website-Anbietern jetzt leichter, eine eigene Seite für die Datenschutzerklärungen einzurichten, indem Sie in Ihrem WordPress-Dashboard einfach Settings > Privacy wählen. Dort können Sie entweder eine bestehende Seite auswählen oder eine neue Seite erstellen, die als Seite für Ihre Datenschutzerklärungen vorgesehen wird.

Die Funktion macht es zwar einfach, eine Seite zu erstellen, bietet aber keinen vollständigen und anwendbaren Text, was durchaus verständlich ist, da der Text Ihrer Datenschutzerklärung speziell für Sie gelten und Angaben zu den von Ihnen verarbeiteten Daten enthalten sollte, um den Vorschriften zu entsprechen. Wenn Sie auf den Button Create New Page klicken, erhalten Sie jedoch einen Einstiegstext und eine einfache Vorlage.

Vorteile

Einschränkungen und wie man sie angeht

Einschränkungen

Wie bereits erwähnt, erstellt das Tool keine brauchbare und konforme Datenschutzerklärung. Der Text der Vorlage ist zwar ein nützlicher Ausgangspunkt, der Ihnen hilft, über die Art der Angaben nachzudenken, die Sie in Ihre Datenschutzerklärung aufnehmen sollten, ist aber an und für sich noch lange nicht rechtskonform.

Im begleitenden Leitfaden zur Datenschutzerklärung informiert WordPress die Nutzer hierüber wie folgt:

Bitte bearbeiten Sie den Inhalt Ihrer Datenschutzerklärung so, dass Sie die Zusammenfassungen löschen und alle Informationen zu Ihrem Thema und Ihren Plugins hinzufügen. . . Es liegt in Ihrer Verantwortung, eine umfassende Datenschutzerklärung zu verfassen, sicherzustellen, dass sie alle nationalen und internationalen rechtlichen Anforderungen zum Datenschutz widerspiegelt, und Ihre Datenschutzerklärung aktuell und korrekt zu halten.

Auch wenn eine vollständige Analyse des bereitgestellten Starttextes einen separaten Artikel erfordern würde, ist auf den ersten Blick klar, dass einige Abschnitte (z. B. der Abschnitt über die Rechte des Nutzers an seinen Daten) entweder falsch oder unvollständig sind, wenn Sie personenbezogene Daten gemäß den Bestimmungen der DSGVO verarbeiten.

Gemäß der DSGVO und den meisten ähnlichen Datenschutzgesetzen ist es erforderlich, dass Ihre Datenschutzerklärung auf jeder Seite Ihrer Website verfügbar ist; das neue Datenschutz-Tool tut dies nicht automatisch.

Lösungen

  • Erstellen Sie eine umfassende, leicht lesbare Datenschutzerklärung, die den gesetzlichen Anforderungen entspricht. Eine Möglichkeit, dies zu tun, besteht darin, einen Anwalt zu beauftragen, eine solche Erklärung für Sie zu verfassen. Sie können aber auch ganz einfach eine von einem Anwalt verfasste, umfassende und anpassbare Datenschutzerklärung erstellen, indem Sie den Generator für Datenschutz- und Cookie-Richtlinien verwenden. Der Einstieg ist leicht. Geben Sie einfach den Namen Ihrer Website in den Generator ein, wählen Sie die Sprache und klicken Sie auf “Generator starten”.

Dieses Bild hat ein leeres Alt-Attribut. Der Dateiname ist Bildschirmfoto-2021-12-10-um-11.01.25-2-1024x553.png

Wählen Sie dann die für Sie zutreffenden Dienste aus:

Dieses Bild hat ein leeres Alt-Attribut. Der Dateiname ist Bildschirmfoto-2021-12-10-um-11.04.22-1024x469.png

Machen Sie Ihr Rechtsdokument von allen Seiten Ihrer Website aus sichtbar und leicht zugänglich. Sie können dies auf verschiedene Weise tun, wie in der Abbildung unten zu sehen ist:


integration methods

Kommentare

Mit der neuen Kommentarfunktion können ausgeloggte Kommentatoren jetzt einstellen, welche persönlichen Daten (Name, E-Mail, Website) in einem Cookie in ihrem Browser gespeichert werden sollen.

wordpress comment cookie checkbox

Sie finden die Option, um diese Funktion zu aktivieren, unter Settings > Discussion.

comment cookie settings

Vorteile

  • Mit dieser Funktion haben Sie die Möglichkeit, mithilfe eines Cookies eine granulare Einwilligung zu sammeln, die dem Zweck dient, die Erfahrung der Nutzer mit der Kommentarfunktion Ihrer Website zu verbessern.
  • Darüber hinaus bietet es eine weitere Möglichkeit, eine Einwilligung speziell für diesen Zweck zu erhalten, selbst wenn der Nutzer zuvor seine Einwilligung zu Cookies über Ihren allgemeinen Cookie-Verwaltungsmechanismus verweigert hat (vorausgesetzt, Sie haben Ihr Cookie-Verwaltungssystem nicht extra so eingestellt, dass es diese speziellen Cookies blockiert).
  • Dies hat den zusätzlichen Vorteil, dass die Nutzer den Zweck der Erfassung im Kontext verstehen können.

Einschränkungen und wie man sie angeht

Größte Einschränkung

Die neue Kommentarfunktion betrifft nur eine Art von Cookie. Nach der DSGVO und insbesondere nach der immer noch geltenden EU-Cookie-Richtlinie (die derzeit parallel zur DSGVO gilt) müssen Ihre Nutzer durch ein auffälliges und ausreichend unterbrechendes Mittel wie ein Banner über alle Zwecke informiert werden, für die Ihre Website Cookies verwendet (mit Ausnahme von ausgenommenen Cookies), und sie müssen die Möglichkeit haben, ihre Einwilligung per Opt-in zu erteilen (dies kann über ein DSGVO-Kontrollkästchen, einen Button, einen Schalter usw. geschehen), die Einwilligung für diese Cookies zu verweigern oder zu widerrufen.

Lösung

Unabhängig davon, ob Sie sich für die neue Kommentarfunktion entscheiden oder nicht, müssen Sie sicherstellen, dass Sie über eine aktive Cookie-Verwaltungslösung verfügen, die den gesetzlichen Anforderungen entspricht, um die Vorschriften einzuhalten.

Die Privacy Controls and Cookie Solution von iubenda erfüllt alle gesetzlichen Bestimmungen und bietet Ihnen gleichzeitig die Möglichkeit einer umfassenden Anpassung, der Optimierung für die Erfassung von Einwilligungen und Nachweisen für die Präferenzen der Nutzer, der Anzeige von Website-Metriken und mehr. Die Einrichtung der Privacy Controls and Cookie Solution wird durch unser spezielles WordPress-Plugin noch einfacher. Weitere Informationen über die Integration der Privacy Controls and Cookie Solution in Ihre WordPress-Website finden Sie in der Anleitung zur Installation des Plugins.

Datenverarbeitung

Mit den neuen Datenverarbeitungsfunktionen können Sie ganz einfach eine ZIP-Datei mit den persönlichen Daten eines bestimmten Nutzers exportieren und die Daten eines bestimmten Nutzers vollständig löschen, einschließlich der Daten, die von den entsprechenden Plugins gesammelt wurden.

Die Exportfunktion sendet einen Zip-Ordner mit einer “Mini-Website” mit einer Index-HTML-Seite, die die persönlichen Daten des Nutzers in Gruppen unterteilt enthält. Beide Funktionen stellen den Website-Anbietern auch eine neue E-Mail-basierte Methode zur Verfügung, um Anfragen nach persönlichen Daten sowohl für registrierte Nutzer als auch für Kommentatoren zu bestätigen.

Vorteile

  • Diese Funktion erleichtert Ihnen die Einhaltung des Auskunftsrechts (Art. 15) der DSGVO, da Sie Nutzerdaten bequem exportieren und in einem konformen und praktischen Format bereitstellen können.
  • Diese Funktion erleichtert Ihnen die Einhaltung des Rechts auf Löschung (Art. 17) der DSGVO.
  • Bei kritischen Aktionen wie Löschanträgen können Sie ganz einfach eine Bestätigung per E-Mail anfordern.

Einschränkungen und wie man sie angeht

Größte EinschränkungenGrößte Einschränkungen

Obwohl die Aktualisierungen für die Datenverarbeitung zu den wertvollsten und zeitsparendsten Updates gehören, gibt es einige kritische Einschränkungen, derer Sie sich bewusst sein sollten. Die erste ist, dass es nur die von den teilnehmenden Plugins gesammelten Daten automatisch exportiert. Das bedeutet, dass die Funktionsfähigkeit dieser Plugins vollständig davon abhängt, ob die von Ihnen verwendeten Plugins mit der neuen Export-/Löschfunktion verbunden sind. Das bedeutet, dass diese Funktion nicht mit Plugins funktioniert, die nicht entsprechend angepasst wurden, oder mit alten (nicht aktualisierten) Versionen von Plugins, die auf Ihrer Website verwendet werden (in diesem Fall können Sie diese Plugins natürlich einfach auf die neueste Version aktualisieren).

Das wirklich Problematische an der Sache ist, dass (zum Zeitpunkt der Erstellung dieses Beitrags) kein zentrales Repository existiert, aus dem hervorgeht, welche Plugins diese Funktion integriert haben. Außerdem wurden keine Anreize geschaffen, um Plugin-Entwickler zu ermutigen, die Funktion zu implementieren, was bedeutet, dass sich wahrscheinlich nur sehr wenige die Mühe gemacht haben, ihren Code zu überarbeiten und diese Funktionen hinzuzufügen.

Selbst wenn jedes einzelne Plugin auf der WordPress-Website diese Funktionen unterstützen würde, werden nicht unbedingt alle von Ihnen verarbeiteten Nutzerdaten von Plugins verarbeitet. Wenn Sie zum Beispiel einen Cloud-Dienst oder ein externes Mailinglisten-Verwaltungssystem verwenden, werden die von diesen verarbeiteten Daten nicht automatisch in das neue Datenverarbeitungssystem von WordPress gezogen. Dies ist ein sehr wichtiger Punkt, der zu beachten ist, da die Rechte auf Auskunft und Löschung für ALLE anwendbaren Nutzerdaten gelten, nicht nur für einige. Wenn Sie sich also auf einen unvollständigen Mechanismus verlassen oder nur einen Teil der Daten zur Verfügung stellen, bedeutet dies, dass Sie nicht konform sind.

Allerdings sind diese neuen Funktionen wahrscheinlich ausreichend, wenn Sie die personenbezogenen Daten der Nutzer ausschließlich über die in die WordPress-Plattform selbst integrierten Funktionen verarbeiten, da auf diese Weise Ihre Compliance nicht davon abhängt, ob verschiedene Plugins von Drittanbietern in die neue Funktion integriert sind oder nicht.

Lösungen:

Derzeit gibt es zwei Möglichkeiten, diese Probleme zu lösen, und sie erfordern meist Vorarbeiten und manuellen Aufwand.

Vorbereitende Maßnahmen

  • Wählen Sie DSGVO-bewusste Partner: Vergewissern Sie sich, dass die Auftragsverarbeiter, mit denen Sie zusammenarbeiten, die DSGVO einhalten bzw. über die nötigen Mittel verfügen, um Nutzeranfragen wie Löschungs- oder Auskunftsanfragen zu bearbeiten. Diese Informationen sollten in dem Auftragsverarbeitungsvertrag (Data processing agreement, DPA) enthalten sein, die Sie mit ihnen abschließen.
  • Seien Sie sich Ihrer Prozesse bewusst: Überprüfen Sie Ihren Datenverarbeitungszyklus und Ihre Systeme und richten Sie sie so ein, dass Sie diese Anfragen leicht bearbeiten können. Einige Fragen, die Sie sich hier stellen sollten, sind zum Beispiel:
    • Wie kann ich auf einfache Weise die Daten eines bestimmten Nutzers aus meinen Datenbanken exportieren?
      Dieses Problem wird durch das WordPress-Update einigermaßen gelöst, da es sich auf Daten bezieht, die in Ihren eigenen Datenbanken gespeichert sind.
    • Wie kann ich auf die Daten eines bestimmten Nutzers einfach zugreifen und sie vollständig löschen?
      Auch dies wird durch die neue Funktion zur Datenverarbeitung erleichtert.
    • Welche genauen Daten gebe ich an Dritte zur Verarbeitung weiter, und handelt es sich dabei um personenbezogene Daten?
  • Seien Sie sich der Daten bewusst, die Sie verarbeiten: Nehmen Sie den DSGVO-Grundsatz der Datenminimierung ernsthaft zur Kenntnis und setzen Sie ihn um. Einige Fragen, die Sie sich hier stellen sollten, sind zum Beispiel:
    • Welche Daten verarbeite ich?
    • Sind das personenbezogene Daten?
    • Ist das für die Erbringung des Dienstes unbedingt erforderlich?

Manueller Aufwand

Nach dem aktuellen System müssen Sie, wenn Sie Dienste von Drittanbietern für die Verarbeitung personenbezogener Daten nutzen, die nicht durch die WordPress-Tools für die Datenverarbeitung abgedeckt sind, einen gewissen manuellen Aufwand betreiben, um die Daten zu ermitteln, aus den entsprechenden Datenbanken zu exportieren und sie verfügbar zu machen oder zu löschen, wenn der Nutzer dies wünscht. In der Regel haben Sie dafür durchschnittlich einen Monat Zeit (mit einigen Ausnahmen).

Beachten Sie, dass die Daten dem Nutzer in einem gängigen und leicht zugänglichen Format (z. B. einem Tabellenblatt) zur Verfügung gestellt werden müssen, wenn einem Antrag auf Auskunft nachgekommen wird.

Wenn Sie einer Löschanfrage nachkommen, ist es außerdem sinnvoll, den Nutzer im Voraus darüber zu informieren, dass die vollständige Löschung seiner Daten bedeutet, dass Ihre Systeme ihn nicht mehr als Nutzer erkennen (es sei denn, er fügt seine Daten irgendwie wieder in Ihre Systeme ein) und Sie daher nicht in der Lage sein werden, Anfragen bezüglich dieser Daten nach ihrer Löschung zu beantworten.

Weitere Informationen zu diesen WordPress-Funktionen finden Sie im Abschnitt Datenschutz des WordPress Plugin-Handbuchs hier.


Diese neuesten Erweiterungen von WordPress zeigen, dass das Unternehmen die Bedeutung der Einhaltung von Vorschriften anerkennt und bereit ist, seine Nutzer bei der Erfüllung der Anforderungen zu unterstützen. Letztendlich ist die Einhaltung der Vorschriften jedoch ein individuelles Unterfangen, und die Verantwortung (und Haftung) liegt bei Ihnen, dem für die Datenverarbeitung Verantwortlichen, um Ihre Datenverarbeitungstätigkeiten ordnungsgemäß zu bewerten und sicherzustellen, dass Ihre Systeme und Prozesse den Vorschriften entsprechen.

Verfahren wie das Führen von Verzeichnissen über die Datenverarbeitungsaktivitäten und die Durchführung einer Datenschutz-Folgenabschätzung (Data Impact Assessment) können sehr hilfreich sein, um dies herauszufinden.

Aus diesem Grund haben wir auf der Grundlage unserer Arbeit im Zusammenhang mit der DSGVO in den letzten Monaten die folgende Liste von Informationen und Artikeln zur DSGVO zusammengestellt, um Ihnen bei der Einhaltung der Vorschriften zu helfen.