Die EU-Datenschutz-Grundverordnung, kurz EU-DSGVO, hat umfassende Auswirkungen auf die korrekte Verwaltung von WordPress-Websites. Diese Vorschriften müssen zum Schutz von personenbezogenen Daten zwingend umgesetzt werden, um rechtliche Konformität im Online-Raum sicherzustellen.
Auch technische Aspekte spielen dabei eine wichtige Rolle: Dies betrifft unter anderem die Einbindung von Drittanbieter-Tools wie Google Fonts oder das korrekte Einrichten von Cookie-Bannern. Nur durch die korrekte Einhaltung dieser Vorschriften können Sie mögliche Bußgelder vermeiden und das Vertrauen Ihrer KundInnen in Ihr Unternehmen gleichzeitig stärken.
keine rechtliche Beratung
Diese Elemente sind für eine DSGVO-konforme WordPress-Website wichtig
Datenschutzerklärung
Ein unverzichtbares Element für die Konformität Ihrer WordPress-Website mit der EU-DSGVO ist die Datenschutzerklärung: Diese muss klar und verständlich alle Aspekte der Datenerhebung und -verarbeitung auf der Website erläutern. Eine klare und transparente Datenschutzerklärung informiert Ihre BesucherInnen umfassend über die Art, den Umfang und den Zweck der Erhebung und Verwendung ihrer personenbezogenen Daten.
Stellen Sie sich vor, wie Sie selbst eine beliebige Website besuchen: Sobald Sie eine Website aufrufen, können Daten wie Ihre IP-Adresse, der Zeitpunkt des Zugriffs, der verwendete Browser-Typ und das Betriebssystem, die Verweildauer auf der Seite sowie die Seiten, die Sie besuchen, erfasst werden. Diese Daten werden zwar primär dazu verwendet, um die Website-Funktionalität zu verbessern, aber sie können ebenso dafür genutzt werden, Nutzungsstatistiken über Sie zu erstellen – was Sie den „gläsernen NutzerInnen“ näherbringt. Und manchmal kann dies gegen Ihren Willen geschehen, was eine Verletzung Ihrer Rechte bedeuten würde.
Entsprechend wird in der Datenschutzerklärung genau dargelegt, welche Daten bei der Nutzung einer WordPress-Website gesammelt werden, wie diese Daten genutzt werden und wie lange sie gespeichert bleiben. Zudem können Sie in der Datenschutzerklärung nachlesen, mit welchen anderen Diensten Ihre Daten geteilt werden könnten und welche Rechte Sie in Bezug auf Ihre Daten haben, einschließlich des Rechts auf Auskunft, Berichtigung und Löschung dieser.
Scheuen Sie sich also nicht davor, einen kritischen Blick auf Ihre Datenschutzerklärung zu werfen. Um die Anforderungen zu erfüllen, könnte Ihnen beispielsweise der Datenschutzgenerator von eRecht24 weiterhelfen.
Impressum
Ebenso wichtig ist das Impressum, in dem alle relevanten Informationen zur Kontaktaufnahme und rechtlichen Angaben von WebseitenbetreiberInnen enthalten sein müssen: Das Impressum gehört zu den zwingend rechtlich notwendigen Komponenten jeder geschäftlich genutzten Website in vielen Ländern, einschließlich Deutschland. Es dient dazu, die Transparenz zu erhöhen und den NutzerInnen eine Möglichkeit zu geben, den WebseitenbetreiberInnen direkt zu kontaktieren.
Das Fehlen eines korrekten Impressums kann zu Abmahnungen führen. Sie sollten Ihre im Impressum gemachten Angaben daher stets aktuell halten. Üblicherweise findet man das Impressum über einen deutlich sichtbaren Link im Footer einer WordPress-Website.
In der Praxis schafft ein korrekt gestaltetes Impressum nicht nur Rechtssicherheit für BetreiberInnen, sondern stärkt auch das Vertrauen der NutzerInnen, indem es zeigt, dass die Website ihre rechtlichen Verpflichtungen ernst nimmt und sich transparent verhält.
Wenn Sie Ihr Impressum genauer unter die Lupe nehmen möchten, empfehlen wir Ihnen den Impressum-Generator von eRecht24, mit dem Sie Ihr Impressum aktuell halten können. Bedenken Sie bitte auch hier – genau wie bei der Datenschutzerklärung auch, dass 100%ige Rechtssicherheit durch die Nutzung diverser Generatoren nicht gegeben werden kann.
SSL-Verschlüsselung
„SSL“ ist entscheidend für den Schutz der Daten Ihrer BesucherInnen: Durch die Verschlüsselung der Datenübertragung zwischen dem Server und dem Browser werden sensible Daten wie persönliche Informationen und Zahlungsdaten vor dem neugierigen Blick Dritter geschützt.
Bei Websites ohne funktionierender SSL, erkennbar am Fehlen von „https://“ in der URL oder einem Schloss-Symbol in der Adressleiste des Browsers, sollten NutzerInnen besonders vorsichtig sein. Solche ungeschützten Verbindungen sind anfälliger für sogenannte „Man-in-the-Middle“-Angriffe, bei denen Daten abgefangen werden können.
Zusätzlich ist die SSL-Verschlüsselung mittlerweile ein wichtiger Rankingfaktor für Suchmaschinen wie Google. Websites mit HTTPS werden in den Suchergebnissen bevorzugt, da sie eine sichere Browsing-Erfahrung garantieren. Dies führt nicht nur zu einer besseren Platzierung in den Suchergebnissen, sondern verbessert auch das Vertrauen der NutzerInnen in die Sicherheit Ihrer WordPress-Website.
Glücklicherweise stehen für das Content-Management-System WordPress Plugins wie Really Simple SSL zur Verfügung, die Sie bei der korrekten Einrichtung Ihrer SSL-Verschlüsselung unterstützen können.
Cookie-Banner und Einwilligungsmanagement
Ein effektives Einwilligungsmanagement für Cookies ist ein wesentlicher Bestandteil der EU-DSGVO-Konformität Ihrer WordPress-Webseite: Es ist unerlässlich, ein Cookie-Consent-Tool korrekt zu implementieren, das es den NutzerInnen ermöglicht, ihre Zustimmung individuell für verschiedene Cookie-Kategorien zu erteilen. Diese Einstellungen erfolgen direkt über die sogenannten „Cookie-Banner“.
Achten Sie daher darauf, dass Ihr Cookie-Banner richtig in die Website integriert ist und keinerlei Daten erfasst werden, bevor die NutzerInnen ihr Einverständnis für die Speicherung von Cookies eindeutig gegeben haben.
Leider werden viele Cookie-Consent-Tools mangelhaft auf Websites eingerichtet und haben daher nur eine ästhetische Funktion: Sie erscheinen zwar beim Aufruf einer Website, aber die Buttons sind ohne Funktion. Denn oftmals werden die Cookies vorgeladen, ganz gleich, ob sie der Speicherung zugestimmt haben oder nicht.
Solche Mängel verstoßen nicht nur gegen die DSGVO, sondern stellen auch ein großes Risiko für Abmahnungen dar: Fachanwälte, die sich auf Datenschutz spezialisiert haben, können solche Fehler auf WordPress-Websites relativ einfach identifizieren. Diese „Tricks“ oder Nachlässigkeiten werden daher oft während routinemäßigen Überprüfungen der Webseitenkonformität entdeckt und bringen empfindliche Abmahngebühren mit sich.
Um sicherzustellen, dass Ihr Cookie-Banner ordnungsgemäß funktioniert, sollten Sie regelmäßige Audits Ihrer Website durchführen: In diesem Artikel von eRecht24 können Sie nachlesen, worauf Sie achten müssen, um Ihr Cookie-Banner rechtskonform einzubinden.
Umgang mit Cookies im Kontext des sogenannten „Privacy Shield“
Der EU-US Privacy Shield war ein Rahmenwerk, das die Übertragung von personenbezogenen Daten von der EU in die USA unter bestimmten Datenschutzbedingungen ermöglichte. Seit der Ungültigkeitserklärung des Privacy Shield durch den Europäischen Gerichtshof im Jahr 2020 müssen Unternehmen umso sorgfältiger mit der Verwendung von Cookies umgehen, die Daten an Server in den USA senden könnten. Dies betrifft insbesondere Cookies, die von Diensten wie Google Analytics oder Social-Media-Plattformen gesetzt werden.
Es ist entscheidend, dass Ihre NutzerInnen darüber informiert werden, wenn ihre Daten in Länder übertragen werden, die möglicherweise nicht dasselbe Schutzniveau in Rechtsaspekten bieten wie die EU. Dies sollte klar im Cookie-Banner kommuniziert werden, und die Zustimmung zur Datenübertragung sollte explizit eingeholt werden.
Website-BetreiberInnen sollten ihre Cookie-Richtlinien regelmäßig überprüfen und anpassen, um sicherzustellen, dass sie den aktuellen rechtlichen Anforderungen entsprechen. Dies schließt die regelmäßige Aktualisierung und Anpassung der Datenschutzerklärungen ein, um eine transparente und rechtskonforme Datenverarbeitung zu gewährleisten.
von unseren Experten überprüfen
Google Analytics Tracking erst nach Zustimmung
Um die Anforderungen der EU-DSGVO zu erfüllen, ist es unerlässlich, dass auch das Tracking durch Google Analytics auf Ihrer WordPress-Website erst nach einer expliziten Zustimmung der NutzerInnen aktiviert wird. Bevor Cookies gesetzt oder personenbezogene Daten durch Google Analytics erfasst werden, müssen Ihre Website-BesucherInnen ihre Zustimmung erteilen. Auch dies erfolgt über das zuvor angesprochene Cookie-Banner, das den BesucherInnen bei ihrem ersten Website-Besuch angezeigt wird. Hier können sie auswählen, welche Cookies sie zulassen möchten und welche nicht – darunter auch die Cookies der „Google-Analytics-Gruppe“.
Zusätzlich ist es wichtig zu betonen, dass selbst bei erteilter Zustimmung durch die NutzerInnen, Google Analytics ausschließlich anonymisierte Daten erfassen darf. Dies bedeutet, dass keine Informationen, die zur Identifikation einer Einzelperson verwendet werden könnten, übermittelt werden dürfen. Im Artikel von eRecht24 zum Thema Google Analytics IP-Anonymisierung können Sie mehr dazu erfahren.
DSGVO-Konformität bei Kontaktformularen
Kontaktformular-Tools wie Contact Form 7, Gravity Forms usw. können nützliche Werkzeuge sein, um personenbezogene Daten wie E-Mail-Adressen oder sonstige Informationen einzusammeln, die wichtig zur weiteren Auftragsverarbeitung sein können.
Um die Sicherheit der personenbezogenen Daten Ihrer NutzerInnen zu gewährleisten, müssen Sie Ihre Kontaktformulare auf der WordPress-Webseite jedoch gemäß den EU-DSGVO-Vorschriften absichern, indem Sie Einwilligungen einholen:
Die zuvor erwähnte Integration einer funktionierenden SSL-Verschlüsselung ist dabei ein grundlegender Schritt, um die Übertragung sensibler Informationen vor den Blicken Fremder zu schützen.
Es ist zudem wichtig, eine klare und transparente Datenschutzerklärung bereitzustellen, die den NutzerInnen genau erläutert, welche Daten gesammelt und wie diese verwendet werden. Wichtig dabei ist, dass Sie die Einwilligung per Ankreuzen eines Kästchens proaktiv einholen müssen: NutzerInnen sollten ein Formular nicht ohne Einwilligung abschicken können, ohne zuvor Ihrer Datenschutzerklärung zugestimmt zu haben.
Bezüglich der Speicherung personenbezogener Daten müssen Sie sicherstellen, dass diese nur so lange aufbewahrt werden, wie es für den Zweck der Verarbeitung notwendig ist oder wie es gesetzliche Aufbewahrungsfristen vorschreiben. Bedenken Sie bitte auch, dass NutzerInnen das Recht haben, jederzeit eine Löschung ihrer angegebenen Daten zu verlangen. Sie müssen daher in der Lage sein, dieser Anforderung nachzukommen. Alle gespeicherten Daten müssen hierzu selbstverständlich sicher verwahrt werden, um den Anforderungen der DSGVO zu entsprechen.
DSGVO-konformes E-Mail-Sammeln und Opt-in auf WordPress-Webseiten
Auch das Sammeln von E-Mails für Marketingzwecke bedarf im Kontext der EU-Datenschutz Grundverordnung besonderer Sorgfalt. Auf WordPress-Webseiten ist es wichtig, dass das Opt-in-Verfahren transparent gestaltet wird und die NutzerInnen explizit ihre Zustimmung geben:
Stellen Sie sicher, dass Ihre Opt-in-Formulare klar kommunizieren, wofür die E-Mail-Adresse verwendet werden: WebseitenbesucherInnen müssen informiert werden, ob ihre Daten für Newsletter, Werbeaktionen oder andere Zwecke genutzt werden. Diese Informationen sollten selbstverständlich bereits zugänglich sein, noch bevor die NutzerInnen ihre E-Mail-Adresse eingeben und die Eintragung durch einen Buttonklick bestätigen. In Ihrem Opt-in-Formular sollte ebenfalls ein direkter Link zur Datenschutzerklärung enthalten sein, in der erklärt wird, wie die Daten verarbeitet, gespeichert und genutzt werden.
Die Zustimmung muss eindeutig und freiwillig erfolgen: Dies bedeutet, dass vorangekreuzte Kästchen oder irreführende Formulierungen, die NutzerInnnen dazu verleiten könnten, sich ohne echte Zustimmung in Ihre E-Mail-Liste einzutragen, vermieden werden sollten.
Lokales Hosting von Google Fonts Schriftarten
Um die Einhaltung der Datenschutzgrundverordnung auf Ihrer WordPress-Webseite zu verbessern, ist es ratsam, externe Ressourcen wie Google Fonts lokal zu hosten. Durch das lokale Hosting Ihrer Google-Schriftarten vermeiden Sie externe Serveranfragen, die personenbezogene Daten Ihrer Besucher, wie IP-Adressen, an Server übertragen könnten, die beispielsweise in den USA liegen und daher anderen Datenschutzbestimmungen unterliegen als im europäischen Raum.
Leider gab es zu dieser Thematik bereits Hunderte Abmahnungen, über die Sie in diesem Artikel von datenschutz-generator.de mehr Informationen erhalten können.
Indem Sie Google Schriftarten und ähnliche Ressourcen direkt auf Ihrem eigenen Server speichern, behalten Sie die vollständige Kontrolle über die Datenverarbeitung und -übertragung. Dies verhindert nicht nur die unbewusste Weitergabe von NutzerInnendaten an Dritte, sondern kann auch die Ladegeschwindigkeit Ihrer Webseite verbessern, da die Abhängigkeit von externen Servern reduziert wird. Somit schützen Sie sich nicht nur gegen kostspielige Abmahnungen, sondern kommen auch Google-Ranking-Faktoren nach, die optimierte WordPress-Website-Ladezeiten begünstigen.
Um zu prüfen, ob Sie Google Schriftarten aktiv nutzen – und ob diese über amerikanische Server geladen werden, können Sie unter anderem Analyse Tools wie den Google Fonts Checker von datenschutzkanzlei.de ausprobieren.
Sollten Sie feststellen, dass Ihre Google Schriftarten bisher nicht lokal gehostet werden, können Ihnen spezielle WordPress-Plugins wie OMGF dabei helfen, die Google-Schriftarten lokal abzuspeichern.
Datenschutzkonforme Einbindung von Social Media und Multimedia-Inhalten
Auch bei der Einbindung von Social Media Plugins oder Social Media Inhalten wie Google Maps, YouTube-Videos, Tweets von X (Twitter) und Instagram-Beiträgen usw. müssen Datenschutzbestimmungen beachtet werden: Hierzu sollten die externen Verbindungen standardmäßig blockiert sein, weil die Inhalte über entsprechende Server geladen werden könnten, die außerhalb des EU-Raums liegen. Stellen Sie sicher, dass die Inhalte erst nach ausdrücklicher Zustimmung der NutzerInnen geladen werden.
Um zu kontrollieren, welche Verbindungen Ihre Webseite aufbaut, können Sie das Entwicklertool Ihres Browsers nutzen. Diese Tools zeigen Ihnen, welche externen Server kontaktiert werden, wenn Ihre Website geladen wird. Auf diese Weise können Sie sicherstellen, dass keine unerwünschten Datenübertragungen stattfinden, bevor Ihre Website-BesucherInnen ihre ausdrückliche Einwilligung gegeben haben.
Alternativ können Sie mit dem kostenlosen Website-Scanner von eRecht24 eine erste Überprüfung durchführen, um potenzielle Schwachstellen hinsichtlich der DSGVO-Konformität zu finden.
Häufig gestellte Fragen
Um WordPress DSGVO-konform zu machen, müssen Sie drei technische Hauptbereiche absichern: 1. Aktivieren Sie eine durchgehende SSL-Verschlüsselung (https). 2. Binden Sie Google Fonts lokal ein, um Datenübertragungen in die USA zu stoppen. 3. Nutzen Sie ein echtes Cookie-Consent-Tool (wie Borlabs oder Real Cookie Banner), das Skripte blockiert, bis die NutzerIn zustimmt.
Ja, aber nur lokal gehostet. Das Laden von Google Fonts direkt von Google-Servern ist datenschutzrechtlich problematisch und führt häufig zu Abmahnungen, da dabei ungefragt die IP-Adresse des Besuchers an US-Server übertragen wird. Nutzen Sie Plugins wie OMGF, um die Schriftarten automatisch auf Ihren eigenen Server zu laden.
Ein Cookie-Banner ist zwingend erforderlich, sobald Sie nicht-technisch notwendige Cookies setzen. Dazu gehören Dienste wie Google Analytics, Facebook Pixel oder YouTube-Videos. Wichtig: Der Banner darf nicht nur informieren, er muss die Dienste technisch blockieren (Opt-in Verfahren), bis die BesucherIn aktiv auf „Akzeptieren“ klickt.
Kontaktformulare sammeln personenbezogene Daten und benötigen daher eine SSL-Verschlüsselung. Zudem sollten Sie eine Checkbox integrieren, mit der NutzerInnen vor dem Absenden aktiv bestätigen, die Datenschutzerklärung gelesen zu haben. Speichern Sie die Daten nur so lange, wie es für die Bearbeitung der Anfrage notwendig ist.
Kritisch sind alle Plugins, die Daten an Server außerhalb der EU (insb. USA) senden oder Cookies ohne Einwilligung setzen. Dazu zählen oft Social-Media-Widgets, Google Maps oder ungebremste Analyse-Tools. Prüfen Sie diese Dienste mit einem Scanner (z.B. eRecht24) und blockieren Sie sie standardmäßig über Ihre Consent-Management-Platform (CMP).
Eine Datenschutzerklärung ist nur der rechtliche Hinweistext. Die DSGVO verlangt jedoch auch die technische Umsetzung des Datenschutzes („Privacy by Design“). Wenn Sie in der Erklärung schreiben, dass Sie keine Daten weitergeben, Ihre Website aber im Hintergrund heimlich Google Fonts oder Analytics lädt, liegt ein technischer Verstoß vor, der abmahnfähig ist.
