Die EU-Datenschutz-Grundverordnung, kurz EU-DSGVO, hat umfassende Auswirkungen auf die korrekte Verwaltung von WordPress-Websites. Diese Vorschriften müssen zum Schutz von personenbezogenen Daten zwingend umgesetzt werden, um rechtliche Konformität im Online-Raum sicherzustellen.
Auch technische Aspekte spielen dabei eine wichtige Rolle: Dies betrifft unter anderem die Einbindung von Drittanbieter-Tools wie Google Fonts oder das korrekte Einrichten von Cookie-Bannern. Nur durch die korrekte Einhaltung dieser Vorschriften können Sie mögliche Bußgelder vermeiden und das Vertrauen Ihrer KundInnen in Ihr Unternehmen gleichzeitig stärken.
keine rechtliche Beratung
Diese Elemente sind für eine DSGVO-konforme WordPress-Website wichtig
Datenschutzerklärung
Ein unverzichtbares Element für die Konformität Ihrer WordPress-Website mit der EU-DSGVO ist die Datenschutzerklärung: Diese muss klar und verständlich alle Aspekte der Datenerhebung und -verarbeitung auf der Website erläutern. Eine klare und transparente Datenschutzerklärung informiert Ihre BesucherInnen umfassend über die Art, den Umfang und den Zweck der Erhebung und Verwendung ihrer personenbezogenen Daten.
Stellen Sie sich vor, wie Sie selbst eine beliebige Website besuchen: Sobald Sie eine Website aufrufen, können Daten wie Ihre IP-Adresse, der Zeitpunkt des Zugriffs, der verwendete Browser-Typ und das Betriebssystem, die Verweildauer auf der Seite sowie die Seiten, die Sie besuchen, erfasst werden. Diese Daten werden zwar primär dazu verwendet, um die Website-Funktionalität zu verbessern, aber sie können ebenso dafür genutzt werden, Nutzungsstatistiken über Sie zu erstellen – was Sie den „gläsernen NutzerInnen“ näherbringt. Und manchmal kann dies gegen Ihren Willen geschehen, was eine Verletzung Ihrer Rechte bedeuten würde.
Entsprechend wird in der Datenschutzerklärung genau dargelegt, welche Daten bei der Nutzung einer WordPress-Website gesammelt werden, wie diese Daten genutzt werden und wie lange sie gespeichert bleiben. Zudem können Sie in der Datenschutzerklärung nachlesen, mit welchen anderen Diensten Ihre Daten geteilt werden könnten und welche Rechte Sie in Bezug auf Ihre Daten haben, einschließlich des Rechts auf Auskunft, Berichtigung und Löschung dieser.
Scheuen Sie sich also nicht davor, einen kritischen Blick auf Ihre Datenschutzerklärung zu werfen. Um die Anforderungen zu erfüllen, könnte Ihnen beispielsweise der Datenschutzgenerator von eRecht24 weiterhelfen.
Impressum
Ebenso wichtig ist das Impressum, in dem alle relevanten Informationen zur Kontaktaufnahme und rechtlichen Angaben von WebseitenbetreiberInnen enthalten sein müssen: Das Impressum gehört zu den zwingend rechtlich notwendigen Komponenten jeder geschäftlich genutzten Website in vielen Ländern, einschließlich Deutschland. Es dient dazu, die Transparenz zu erhöhen und den NutzerInnen eine Möglichkeit zu geben, den WebseitenbetreiberInnen direkt zu kontaktieren.
Das Fehlen eines korrekten Impressums kann zu Abmahnungen führen. Sie sollten Ihre im Impressum gemachten Angaben daher stets aktuell halten. Üblicherweise findet man das Impressum über einen deutlich sichtbaren Link im Footer einer WordPress-Website.
In der Praxis schafft ein korrekt gestaltetes Impressum nicht nur Rechtssicherheit für BetreiberInnen, sondern stärkt auch das Vertrauen der NutzerInnen, indem es zeigt, dass die Website ihre rechtlichen Verpflichtungen ernst nimmt und sich transparent verhält.
Wenn Sie Ihr Impressum genauer unter die Lupe nehmen möchten, empfehlen wir Ihnen den Impressum-Generator von eRecht24, mit dem Sie Ihr Impressum aktuell halten können. Bedenken Sie bitte auch hier – genau wie bei der Datenschutzerklärung auch, dass 100%ige Rechtssicherheit durch die Nutzung diverser Generatoren nicht gegeben werden kann.
SSL-Verschlüsselung
„SSL“ ist entscheidend für den Schutz der Daten Ihrer BesucherInnen: Durch die Verschlüsselung der Datenübertragung zwischen dem Server und dem Browser werden sensible Daten wie persönliche Informationen und Zahlungsdaten vor dem neugierigen Blick Dritter geschützt.
Bei Websites ohne funktionierender SSL, erkennbar am Fehlen von „https://“ in der URL oder einem Schloss-Symbol in der Adressleiste des Browsers, sollten NutzerInnen besonders vorsichtig sein. Solche ungeschützten Verbindungen sind anfälliger für sogenannte „Man-in-the-Middle“-Angriffe, bei denen Daten abgefangen werden können.
Zusätzlich ist die SSL-Verschlüsselung mittlerweile ein wichtiger Rankingfaktor für Suchmaschinen wie Google. Websites mit HTTPS werden in den Suchergebnissen bevorzugt, da sie eine sichere Browsing-Erfahrung garantieren. Dies führt nicht nur zu einer besseren Platzierung in den Suchergebnissen, sondern verbessert auch das Vertrauen der NutzerInnen in die Sicherheit Ihrer WordPress-Website.
Glücklicherweise stehen für das Content-Management-System WordPress Plugins wie Really Simple SSL zur Verfügung, die Sie bei der korrekten Einrichtung Ihrer SSL-Verschlüsselung unterstützen können.
Cookie-Banner und Einwilligungsmanagement
Ein effektives Einwilligungsmanagement für Cookies ist ein wesentlicher Bestandteil der EU-DSGVO-Konformität Ihrer WordPress-Webseite: Es ist unerlässlich, ein Cookie-Consent-Tool korrekt zu implementieren, das es den NutzerInnen ermöglicht, ihre Zustimmung individuell für verschiedene Cookie-Kategorien zu erteilen. Diese Einstellungen erfolgen direkt über die sogenannten „Cookie-Banner“.
Achten Sie daher darauf, dass Ihr Cookie-Banner richtig in die Website integriert ist und keinerlei Daten erfasst werden, bevor die NutzerInnen ihr Einverständnis für die Speicherung von Cookies eindeutig gegeben haben.
Leider werden viele Cookie-Consent-Tools mangelhaft auf Websites eingerichtet und haben daher nur eine ästhetische Funktion: Sie erscheinen zwar beim Aufruf einer Website, aber die Buttons sind ohne Funktion. Denn oftmals werden die Cookies vorgeladen, ganz gleich, ob sie der Speicherung zugestimmt haben oder nicht.
Solche Mängel verstoßen nicht nur gegen die DSGVO, sondern stellen auch ein großes Risiko für Abmahnungen dar: Fachanwälte, die sich auf Datenschutz spezialisiert haben, können solche Fehler auf WordPress-Websites relativ einfach identifizieren. Diese „Tricks“ oder Nachlässigkeiten werden daher oft während routinemäßigen Überprüfungen der Webseitenkonformität entdeckt und bringen empfindliche Abmahngebühren mit sich.
Um sicherzustellen, dass Ihr Cookie-Banner ordnungsgemäß funktioniert, sollten Sie regelmäßige Audits Ihrer Website durchführen: In diesem Artikel von eRecht24 können Sie nachlesen, worauf Sie achten müssen, um Ihr Cookie-Banner rechtskonform einzubinden.
Umgang mit Cookies im Kontext des sogenannten „Privacy Shield“
Der EU-US Privacy Shield war ein Rahmenwerk, das die Übertragung von personenbezogenen Daten von der EU in die USA unter bestimmten Datenschutzbedingungen ermöglichte. Seit der Ungültigkeitserklärung des Privacy Shield durch den Europäischen Gerichtshof im Jahr 2020 müssen Unternehmen umso sorgfältiger mit der Verwendung von Cookies umgehen, die Daten an Server in den USA senden könnten. Dies betrifft insbesondere Cookies, die von Diensten wie Google Analytics oder Social-Media-Plattformen gesetzt werden.
Es ist entscheidend, dass Ihre NutzerInnen darüber informiert werden, wenn ihre Daten in Länder übertragen werden, die möglicherweise nicht dasselbe Schutzniveau in Rechtsaspekten bieten wie die EU. Dies sollte klar im Cookie-Banner kommuniziert werden, und die Zustimmung zur Datenübertragung sollte explizit eingeholt werden.
Website-BetreiberInnen sollten ihre Cookie-Richtlinien regelmäßig überprüfen und anpassen, um sicherzustellen, dass sie den aktuellen rechtlichen Anforderungen entsprechen. Dies schließt die regelmäßige Aktualisierung und Anpassung der Datenschutzerklärungen ein, um eine transparente und rechtskonforme Datenverarbeitung zu gewährleisten.
von unseren Experten überprüfen
Google Analytics Tracking erst nach Zustimmung
Um die Anforderungen der EU-DSGVO zu erfüllen, ist es unerlässlich, dass auch das Tracking durch Google Analytics auf Ihrer WordPress-Website erst nach einer expliziten Zustimmung der NutzerInnen aktiviert wird. Bevor Cookies gesetzt oder personenbezogene Daten durch Google Analytics erfasst werden, müssen Ihre Website-BesucherInnen ihre Zustimmung erteilen. Auch dies erfolgt über das zuvor angesprochene Cookie-Banner, das den BesucherInnen bei ihrem ersten Website-Besuch angezeigt wird. Hier können sie auswählen, welche Cookies sie zulassen möchten und welche nicht – darunter auch die Cookies der „Google-Analytics-Gruppe“.
Zusätzlich ist es wichtig zu betonen, dass selbst bei erteilter Zustimmung durch die NutzerInnen, Google Analytics ausschließlich anonymisierte Daten erfassen darf. Dies bedeutet, dass keine Informationen, die zur Identifikation einer Einzelperson verwendet werden könnten, übermittelt werden dürfen. Im Artikel von eRecht24 zum Thema Google Analytics IP-Anonymisierung können Sie mehr dazu erfahren.
DSGVO-Konformität bei Kontaktformularen
Kontaktformular-Tools wie Contact Form 7, Gravity Forms usw. können nützliche Werkzeuge sein, um personenbezogene Daten wie E-Mail-Adressen oder sonstige Informationen einzusammeln, die wichtig zur weiteren Auftragsverarbeitung sein können.
Um die Sicherheit der personenbezogenen Daten Ihrer NutzerInnen zu gewährleisten, müssen Sie Ihre Kontaktformulare auf der WordPress-Webseite jedoch gemäß den EU-DSGVO-Vorschriften absichern, indem Sie Einwilligungen einholen:
Die zuvor erwähnte Integration einer funktionierenden SSL-Verschlüsselung ist dabei ein grundlegender Schritt, um die Übertragung sensibler Informationen vor den Blicken Fremder zu schützen.
Es ist zudem wichtig, eine klare und transparente Datenschutzerklärung bereitzustellen, die den NutzerInnen genau erläutert, welche Daten gesammelt und wie diese verwendet werden. Wichtig dabei ist, dass Sie die Einwilligung per Ankreuzen eines Kästchens proaktiv einholen müssen: NutzerInnen sollten ein Formular nicht ohne Einwilligung abschicken können, ohne zuvor Ihrer Datenschutzerklärung zugestimmt zu haben.
Bezüglich der Speicherung personenbezogener Daten müssen Sie sicherstellen, dass diese nur so lange aufbewahrt werden, wie es für den Zweck der Verarbeitung notwendig ist oder wie es gesetzliche Aufbewahrungsfristen vorschreiben. Bedenken Sie bitte auch, dass NutzerInnen das Recht haben, jederzeit eine Löschung ihrer angegebenen Daten zu verlangen. Sie müssen daher in der Lage sein, dieser Anforderung nachzukommen. Alle gespeicherten Daten müssen hierzu selbstverständlich sicher verwahrt werden, um den Anforderungen der DSGVO zu entsprechen.
DSGVO-konformes E-Mail-Sammeln und Opt-in auf WordPress-Webseiten
Auch das Sammeln von E-Mails für Marketingzwecke bedarf im Kontext der EU-Datenschutz Grundverordnung besonderer Sorgfalt. Auf WordPress-Webseiten ist es wichtig, dass das Opt-in-Verfahren transparent gestaltet wird und die NutzerInnen explizit ihre Zustimmung geben:
Stellen Sie sicher, dass Ihre Opt-in-Formulare klar kommunizieren, wofür die E-Mail-Adresse verwendet werden: WebseitenbesucherInnen müssen informiert werden, ob ihre Daten für Newsletter, Werbeaktionen oder andere Zwecke genutzt werden. Diese Informationen sollten selbstverständlich bereits zugänglich sein, noch bevor die NutzerInnen ihre E-Mail-Adresse eingeben und die Eintragung durch einen Buttonklick bestätigen. In Ihrem Opt-in-Formular sollte ebenfalls ein direkter Link zur Datenschutzerklärung enthalten sein, in der erklärt wird, wie die Daten verarbeitet, gespeichert und genutzt werden.
Die Zustimmung muss eindeutig und freiwillig erfolgen: Dies bedeutet, dass vorangekreuzte Kästchen oder irreführende Formulierungen, die NutzerInnnen dazu verleiten könnten, sich ohne echte Zustimmung in Ihre E-Mail-Liste einzutragen, vermieden werden sollten.
Lokales Hosting von Google Fonts Schriftarten
Um die Einhaltung der Datenschutzgrundverordnung auf Ihrer WordPress-Webseite zu verbessern, ist es ratsam, externe Ressourcen wie Google Fonts lokal zu hosten. Durch das lokale Hosting Ihrer Google-Schriftarten vermeiden Sie externe Serveranfragen, die personenbezogene Daten Ihrer Besucher, wie IP-Adressen, an Server übertragen könnten, die beispielsweise in den USA liegen und daher anderen Datenschutzbestimmungen unterliegen als im europäischen Raum.
Leider gab es zu dieser Thematik bereits Hunderte Abmahnungen, über die Sie in diesem Artikel von datenschutz-generator.de mehr Informationen erhalten können.
Indem Sie Google Schriftarten und ähnliche Ressourcen direkt auf Ihrem eigenen Server speichern, behalten Sie die vollständige Kontrolle über die Datenverarbeitung und -übertragung. Dies verhindert nicht nur die unbewusste Weitergabe von NutzerInnendaten an Dritte, sondern kann auch die Ladegeschwindigkeit Ihrer Webseite verbessern, da die Abhängigkeit von externen Servern reduziert wird. Somit schützen Sie sich nicht nur gegen kostspielige Abmahnungen, sondern kommen auch Google-Ranking-Faktoren nach, die optimierte WordPress-Website-Ladezeiten begünstigen.
Um zu prüfen, ob Sie Google Schriftarten aktiv nutzen – und ob diese über amerikanische Server geladen werden, können Sie unter anderem Analyse Tools wie den Google Fonts Checker von datenschutzkanzlei.de ausprobieren.
Sollten Sie feststellen, dass Ihre Google Schriftarten bisher nicht lokal gehostet werden, können Ihnen spezielle WordPress-Plugins wie OMGF dabei helfen, die Google-Schriftarten lokal abzuspeichern.
Datenschutzkonforme Einbindung von Social Media und Multimedia-Inhalten
Auch bei der Einbindung von Social Media Plugins oder Social Media Inhalten wie Google Maps, YouTube-Videos, Tweets von X (Twitter) und Instagram-Beiträgen usw. müssen Datenschutzbestimmungen beachtet werden: Hierzu sollten die externen Verbindungen standardmäßig blockiert sein, weil die Inhalte über entsprechende Server geladen werden könnten, die außerhalb des EU-Raums liegen. Stellen Sie sicher, dass die Inhalte erst nach ausdrücklicher Zustimmung der NutzerInnen geladen werden.
Um zu kontrollieren, welche Verbindungen Ihre Webseite aufbaut, können Sie das Entwicklertool Ihres Browsers nutzen. Diese Tools zeigen Ihnen, welche externen Server kontaktiert werden, wenn Ihre Website geladen wird. Auf diese Weise können Sie sicherstellen, dass keine unerwünschten Datenübertragungen stattfinden, bevor Ihre Website-BesucherInnen ihre ausdrückliche Einwilligung gegeben haben.
Alternativ können Sie mit dem kostenlosen Website-Scanner von eRecht24 eine erste Überprüfung durchführen, um potenzielle Schwachstellen hinsichtlich der DSGVO-Konformität zu finden.
Häufig gestellte Fragen
Ihre WordPress-Website kann verschiedene Arten von Daten sammeln. Hierzu gehören beispielsweise personenbezogene Daten wie Namen und E-Mail-Adressen durch Kontaktformulare, IP-Adressen und Standortdaten durch Zugriffslogs und Cookies, Nutzungsdaten wie Seitenaufrufe und Klickverhalten durch Analysetools und weitere Informationen durch integrierte Social-Media-Buttons oder Werbenetzwerke.
Eine Datenschutzerklärung ist immer dann erforderlich, wenn Ihre Website personenbezogene Daten sammelt oder verarbeitet. Dies ist unter der EU-DSGVO zwingend notwendig, um die NutzerInnen Ihrer Website über die Art, den Zweck und die Verwendung ihrer Daten transparent zu informieren und um Ihre rechtliche Konformität zu gewährleisten.
Jede Website, die auf NutzerInnen aus der Europäischen Union ausgerichtet ist oder von diesen besucht werden kann, muss DSGVO-konform sein. Dies gilt unabhängig davon, ob der/die WebsitebetreiberIn einen Sitz in der EU hat oder nicht. Die DSGVO zielt darauf ab, die Privatsphäre aller Individuen innerhalb der EU zu schützen und setzt strikte Vorgaben für die Datenverarbeitung.
Um Ihre Website DSGVO-konform zu machen, sollten Sie folgende Schritte beachten: Implementieren Sie ein wirksames Cookie-Management-Tool, das eine explizite Zustimmung der NutzerInnen vor jeglicher Datenspeicherung oder -verarbeitung einholt. Stellen Sie sicher, dass Ihre Datenschutzerklärung vollständig und leicht zugänglich ist, aktualisieren Sie Ihre Sicherheitsmaßnahmen wie SSL-Verschlüsselung, führen Sie regelmäßige Datenschutz-Audits durch, und passen Sie Ihre Kontaktformulare so an, dass sie nur die notwendigsten Daten erheben. Sollten Sie hierbei Unterstützung benötigen, empfehlen wir Ihnen unsere Wartung & Support-Pakete.
In der Datenschutzerklärung müssen alle Plugins aufgeführt werden, die personenbezogene Daten sammeln oder verarbeiten können. Dazu gehören häufig genutzte Plugins wie Google Analytics, Kontaktformular-Plugins, Social-Media-Plugins und jedes andere Plugin, das Daten für Analysezwecke, Werbung oder erweiterte Funktionalitäten erfasst. Es ist wichtig, für jedes dieser Tools die spezifische Art der Datenerhebung und -nutzung klar zu definieren.
