So gestaltet man Wordpress DSGVO konform | decareto

Erstellt am 23. Februar 2023

Wordpress gilt als das beliebteste Content-Management-System und bietet bei der Erstellung und Gestaltung von Webseiten eine große Anzahl an Funktionen und Plugins, Themes und Widgets, mit denen Sie Webseiten individuell aufbauen und erweitern können. Doch entsprechen diese nicht alle der Datenschutz-Grundverordnung (DSGVO), die einen datenschutzkonformen Umgang von personenbezogenen Daten voraussetzt.

Wer diese Tools dennoch ungeachtet auf seiner Webseite einsetzt, dem drohen Abmahnungen oder Strafen. Wir erklären Ihnen in diesem Artikel, wie man Wordpress DSGVO konform gestalten kann und welche Plugins und Widgets bei der vorschriftsmäßigen Gestaltung von Webseiten nützlich sind.

Was muss man tun, um Wordpress DSGVO konform nutzen zu können?

Um Wordpress DSGVO konform nutzen zu können, muss man unter anderem darauf achten, dass man Daten stets mit Rechtsgrundlage verarbeitet, die Datenschutzerklärung und das Impressum ordnungsgemäß gestaltet, einen rechtmäßigen Cookie-Banner erstellt und die Website verschlüsselt.

Daten mit Rechtsgrundlage verarbeiten

Gemäß der DSGVO ist es Ihre Pflicht, die personenbezogene Daten nur mit Rechtsgrundlage zu erheben, zu speichern und weiterzuverarbeiten. Beispiele hierfür sind beim Kontaktformular, bei der Newsletteranmeldung, beim Verfassen eines Kommentars oder beim Ausfüllen der Kontaktdaten für den Kauf eines Produktes.

Darüber hinaus müssen Nutzer über jegliche Verwendung von: 

Cookies,

Tracking-, Marketing- oder Analyse-Tools,

Social-Plugins,

und der Weitergabe der personenbezogenen Daten an Dritte

informiert werden. Demnach muss es Nutzern auch möglich sein, die Anwendung der Tools abzulehnen. Das Akzeptieren und Ablehnen von Cookies können Sie am besten über einen Cookie-Consent-Banner regulieren.

Datenschutzerklärung und Impressum

Nicht nur die Datenschutzerklärung, sondern auch das Impressum müssen auf Webseiten immer vorhanden und auf dem neuesten Stand sein. Beide Rechtstexte müssen ein individuelles Dokument sein und von jeder Seite der Webseite leicht zugänglich sein. Sowohl die Datenschutzerklärung als auch das Impressum müssen dabei in jedem Fall den vollständigen Namen und die Kontaktdaten des Verantwortlichen beinhalten. 

Eine Datenschutzerklärung enthält Informationen darüber, welche personenbezogenen Daten über die Webseite von Besuchern erhoben werden. Darüber hinaus muss aus der Datenschutzerklärung deutlich werden, auf welche Art und Weise die personenbezogenen Daten erhoben werden, warum dies geschieht, welche Funktionen dies hat und wie lange die Daten gespeichert werden. Ebenfalls muss an dieser Stelle ersichtlich werden, ob die Daten an Dritte oder Drittstaaten weitergegeben werden.

Auch wird in der Datenschutzerklärung aufgezeigt, mit welchen Analyse-Tools auf der Seite gearbeitet wird, sowie ob und welche Plugins oder Cookies genutzt werden. Alle genutzten Tools, Cookies und Plugins (auch von Wordpress) müssen in der Datenschutzerklärung detailliert beschrieben und erklärt werden. 

Des Weiteren müssen Sie die Rechte der Nutzer in der Datenschutzerklärung deutlich machen und User darüber unterrichten, dass Sie bei Bedarf Anspruch auf Löschung der personenbezogenen Daten haben. 

Beim Impressum müssen neben dem Namen und den Kontaktdaten des Verantwortlichen die Umsatzsteuer-Identifikationsnummer und/oder die Wirtschafts-Identifikationsnummer angegeben werden, die Registernummer und den Ort des Registers (falls eingetragen), bei Freiberuflern die Kammerzugehörigkeit und bei Onlineshops und Dienstleistern Informationen zur Verbraucherschlichtungsstelle.

DSGVO-konformen Cookie-Banner erstellen

Jeder Cookie, den Sie auf Ihrer Webseite setzen, muss in einem Cookie-Banner aufgeführt werden, hierbei ist es egal, ob es sich um technisch-notwendige oder um Tracking-Cookies zu Analysezwecken handelt. 

Für technisch-notwendige Cookies benötigen Sie nicht unbedingt das Einverständnis der Besucher. Doch sobald Sie Tracking-, Analyse- oder Marketing-Tools auf Ihrer Webseite verwenden, sind Sie meist dazu verpflichtet, die Zustimmung der User für das Tracking oder die Analyse einzuholen. Auf Tracking oder Analyse muss im Cookie-Banner hingewiesen werden und diesem über den Banner von jedem Nutzer zugestimmt werden.

Darüber hinaus muss jedes Tool detailliert in der Datenschutzerklärung aufgeführt werden. Hierbei muss mindestens: 

der Name des Tools

die Beschreibung des Tools

warum dies eingesetzt wird

der Empfänger der personenbezogenen Daten

die Dauer der Speicherung

inwiefern Personen dazu verpflichtet sind, ihre Daten dafür anzugeben

die Opt-Out-Option 

aufgezählt werden.

Neben dem hilfreichen Banner-Widget für Cookies und Einwilligungen von Wordpress, können Sie ebenfalls Wordpress-Plugins zum Erstellen eines individuellen Cookie-Banners verwenden. Nützliche Plugins hierbei sind „Real Cookie Banner”, „Borlabs Cookie” und „hellotrust”. Alle drei sind DSGVO-konforme Plugins. 

Drittanbieter beachten

Wenn Sie Tools, Plugins, Cookies oder Ähnliches von Drittanbietern zu Tracking- oder Performance-Zwecken auf Ihrer Webseite einbinden möchten, müssen Sie prüfen, ob diese gemäß der DSGVO sind. Tracking- bzw. Analyse-Tools beispielsweise von Google wie „Google Analytics” oder „Google Tag Manager” sind nicht DSGVO konform, da Google seinen Sitz in den USA hat und damit außerhalb des Geltungsraums der DSGVO ist. 

Sie müssen entweder über datenschutzkonforme Weise einen Weg finden, wie Sie Tools wie Google Analytics auf Ihrer Webseite einbinden, oder sich direkt für Tools, Plugins, Themes etc. entscheiden, die in Anlehnung an die DSGVO sind.

Egal, für welche Variante Sie sich entscheiden: Sie müssen, wie bereits erwähnt, auf jedes Tool, auf jeden nicht-technisch-notwendigen Cookie und auf jedes verwendete Plugin in der Datenschutzerklärung hinweisen und jeden Nutzer selbst entscheiden lassen, ob er der Anwendung dieser zustimmt oder nicht.

Mit jedem Drittanbieter bzw. Dienstleister, den Sie für Ihre Tools, Plugins etc. wählen und der darüber hinaus die personenbezogenen Daten übermittelt bekommt, diese speichert und weiterverarbeitet, müssen Sie einen Auftragsverarbeitungsvertrag abschließen. Somit halten Sie die rechtmäßige Datenweitergabe mit jedem Anbieter vertraglich fest.

Achtung bei Social-Plugins

Möchten Sie Ihre Social-Media-Kanäle auf Webseiten verlinken, müssen Sie wissen, dass die personenbezogenen Daten direkt an das jeweilige soziale Netzwerk weitergegeben werden, sobald der Besucher auf den Social-Button drückt. Hat der Besucher dem vorher nicht ausdrücklich zugestimmt, verstoßen Sie gegen die DSGVO. 

Wordpress-Plugins wie „MashShare” oder „Smash Balloon” helfen Ihnen dabei, Ihre Social-Media-Kanäle gemäß der DSGVO auf Ihrer Webseite einzubinden. „Smash Balloon” zeigt Usern zum Beispiel direkt auf der Webseite die Instagram-Posts an, ohne Verbindungen mit dem sozialen Netzwerk aufzubauen. Achten Sie bitte darauf, dass Sie bei diesem Plugin die DSGVO-Funktionen aktivieren.

Webseite mit SSL verschlüsseln

Seit der Veröffentlichung der DSGVO im Jahr 2018 ist es ein Muss, Webseiten mit einem SSL-Zertifikat („Secure Sockets Layer”) zu verschlüsseln. Dadurch wird die Webseite bei Aufruf über das HTTPS-Protokoll geladen und ein sicherer Austausch von Daten zwischen Besucher und Webseite wird gewährleistet. Auf diese Weise können unberechtigte Dritte nicht auf vertrauliche Daten zugreifen.

Die SSL-Verschlüsselung können Sie entweder eigenhändig übernehmen oder mit einem Wordpress-Plugin durchführen. Hierbei eignet sich vor allem das Plugin „Really Simple SSL”. Mithilfe eines Klicks können Sie nun die SSL-Verschlüsselung freischalten. Unter den Einstellungen des Plugins sollten Sie zusätzlich den Reiter „Mixed Content Fixer” aktivieren, um die http-Verbindung auf HTTPS-Verbindung umzustellen. Die anderen Funktionen müssen Sie nicht zwingend aktivieren.

Auf diese Weise erscheint nun das Schloss-Symbol in der URL-Leiste Ihrer Website und Ihre Besucher wissen, dass Ihre Webseite sicher und verschlüsselt ist.

DSGVO-konforme Themes

Jedes vorinstallierte Wordpress-Theme, das Sie für Wordpress-Webseiten nutzen, muss DSGVO-konform sein oder Sie müssen dafür sorgen, dass es DSGVO-konform wird. Bei einem nicht DSGVO-konformen Theme kann es sein, dass Schriftarten von Drittserven wie Google (Google Fonts) geladen werden, die ohne das Einverständnis der Nutzer nicht gemäß der DSGVO sind.

Möchten Sie dennoch ein Wordpress-Theme nutzen, von dem Sie wissen, dass es Schriften vom Google-Server lädt, können Sie beispielsweise das Wordpress-Plugin „Disable Google Fonts” nutzen, um das Laden von Google Fonts auf Ihrer Webseite zu verhindern. Binden Sie darüber hinaus Schriften auf Webseiten immer lokal ein, damit diese von Ihrem Server und nicht von anderen Servern wie zum Beispiel vom Google-Server geladen werden.

Um dieser ganzen Arbeit jedoch zu umgehen, können Sie sich ebenfalls für ein Theme entscheiden, das von vornherein auf DSGVO-konforme Weise gestaltet ist. Diese haben oft Datenschutz-Tools integriert, die jeglichen Verstoß gegen die DSGVO verhindern. Beispiele für Wordpress-Themes gemäß der DSGVO sind „Ave Theme”, „Digixon” und „The 7”.

Kontaktformular und Kommentarfunktion DSGVO konform gestalten

Wenn Besucher Ihrer Webseite Kontakt zu Ihnen oder zum Support aufnehmen oder einen Kommentar zum Inhalt verfassen möchten, müssen sie personenbezogene Daten angeben - meist mindestens den Namen und die E-Mail-Adresse. Diese Eingabe erfolgt über ein Formular.

Mithilfe des Plugins „Contact Form 7” können Sie datenschutzkonforme Kontaktformulare erstellen, die mit der DSGVO übereinstimmen. Mit dem Wordpress-Plugin „WP GDPR Compliance” können Sie für sowohl Kontaktformulare als auch für die Kommentarfunktion ein Zustimmungsfeld erstellen, über das User einwilligen können, wenn Sie mit der Erhebung und Weiterverarbeitung Ihrer Daten einverstanden sind. 

Unter dem Reiter „Einbindungen” beim „WP GDPR Compliance”-Plugin können Sie den Punkt „Wordpress-Kommentare einbinden” anklicken. An dieser Stelle lässt sich das Plugin auch mit den Funktionen von „Contact Form 7” verknüpfen. Die Kommentarfunktion, das Kontaktformular und das Feld für die Zustimmung der User sind anpassbar und können individuell gestaltet werden.

Da beim Abgeben eines Kommentars die IP-Adresse des Besuchers gespeichert wird, können Sie mit dem Wordpress-Plugin „DSGVO Tools: Kommentar-IP entfernen” die Speicherdauer bestimmen und auch bereits gespeicherte IP-Adressen lassen sich mit diesem Plugin entfernen.

Was ist beim Datenschutz bei Wordpress zu beachten?

Beim Datenschutz bei Wordpress ist zu beachten, dass dieser bei Ihnen stets zu jederzeit im Vordergrund stehen muss. Um diesem nachzugehen, müssen Sie personenbezogene Daten DSGVO konform erheben, dürfen diese Daten nur zum genannten Zweck verwenden und müssen dafür die Zustimmung der User einholen.

Da Sie in Ihrer Datenschutzerklärung detailliert erklären, welche Daten Sie erheben, wie und warum Sie dies tun, welche Tools, Plugins etc. Sie verwenden und alle weiteren Informationen hier nennen, können Sie die Nutzer bei der personenbezogenen Datenerhebung bitten, lediglich der Datenschutzerklärung zuzustimmen.

Sie können demnach beim Kontaktformular, beim Kommentarfeld, bei der Newsletteranmeldung, beim Kauf von Produkten oder an anderen Stellen, an denen User ihre Daten angeben müssen, einfach auf die Datenschutzerklärung verweisen.

Welche Daten erfasst Wordpress?

Wordpress erfasst personenbezogene Daten, wenn ein User ein Kontaktformular ausfüllt, einen Kommentar verfassen möchte oder sich für den Newsletter anmeldet. Personenbezogene Daten können der Name, die IP-Adresse, die E-Mail-Adresse, die Anschrift, aber auch Zahlungsdaten bei einem Onlineshop sein.

Für Sie als Webseiteninhaber ist es wichtig, vertrauensvoll mit diesen Daten umzugehen, diese zu schützen, sie nicht ohne Zustimmung der Nutzer an Dritte weiterzugeben und die Privatsphäre der Nutzer zu wahren. Informieren Sie Ihre Besucher über jegliche Weitergabe, Weiterverarbeitung und die Speicherdauer ihrer Daten. 

Beachten Sie: Ohne eine Rechtsgrundlage dürfen Sie die personenbezogenen Daten nicht weitergeben, verarbeiten oder speichern. Sonst müssen Sie mit Strafen oder Abmahnungen rechnen.

Sie möchten prüfen lassen, ob Ihre Wordpress Webseite DSGVO konform gestaltet ist?

Wenn Sie sich unsicher sind, ob Ihre Wordpress Webseiten gemäß der DSGVO gestaltet sind, dann lassen Sie sie gerne von uns von decareto prüfen. Hierbei müssen Sie nicht eigenhändig regelmäßige Checks durchführen, denn wir übernehmen dies für Sie. Falls sich Vorschriften ändern oder Sie Korrekturen an der Webseite vornehmen müssen, benachrichtigen wir Sie umgehend.

Mit unserem DSGVO-Scanner untersuchen wir Webseiten auf Fehler bzw. rechtswidrige Ausführungen. Hierbei achten wir nicht nur auf die Startseite, sondern beziehen die Inhalte aller Unterseiten mit ein, um eine umfangreiche Analyse durchführen zu können. Im Anschluss erhalten Sie einen ausführlichen und leicht verständlichen Bericht über die Ergebnisse.

Mögliche Fehler könnten zum Beispiel die unwissentliche Übermittlung von personenbezogenen Daten an Drittländer sein, eine unvollständige Datenschutzerklärung, die Nutzung von nicht erforderlichen Cookies auf Ihrer Webseite oder sonstige Verstöße gegen die DSGVO. Auf Wunsch helfen wir Ihnen dabei, die Fehler auf Ihrer Webseite zu beheben und geben Ihnen Tipps, wie Sie diese in Zukunft vermeiden können.

Sind noch Fragen zum Thema, wie man Wordpress DSGVO konform gestalten kann, offen geblieben oder möchten Sie unseren DSGVO-Scanner 14 Tage lang kostenlos testen, dann kontaktieren Sie uns gerne oder registrieren Sie sich direkt für einen Probelauf über das Formular auf unserer Webseite. Starten Sie noch heute!

Autor: Eckhard Schneider

Zur Übersicht