Als WordPress Agentur haben wir derzeit mit der DSGVO natürlich eine Menge zu tun.
Vorab WICHTIG! Am 25.Mai 2018 tritt die die Datenschutzgrundverordnung (DSGVO), in Kraft. Von möglichen Strafen ist die Rede und das schreckt doch viele Webseiten Betreiber auf. Erste Maßnahmen sind einfach umzusetzen. Andere bedürfen etwas Fachwissen. Wenn Sie dazu Unterstützung, Rat oder unsere Hilfe benötigen, dann nutzen Sie unser Kontaktformular […]
Das aktuelle WordPress „Datenschutz- und Wartungs-Release“ 4.9.6 rüstet Ihre Website mit diversen Datenschutzfunktionen aus, die dabei helfen, eine Webseite DSGVO-konform zu gestalten.
Vorab Info / Disclaimer
Da ich kein Jurist bin, übernehme ich keinerlei Haftung für die Richtigkeit der Informationen und erhebe null Anspruch auf Vollständigkeit. Aus beruflichen Gründen müßen wir uns mit dem Thema DSGVO aber beschäftigen.
Was ist alles betroffen von der DSGVO / die Themen in Stichworten
- Datenschutz- und Wartungs-Release“ 4.9.6
- Datenschutzerklärung
- SSL – verschlüsselte Kommunikation
- Google Analytics
- Cookies
- Social Plugins
- Kommentare
- Newsletter
- Google Fonts
- Avatar
1. Datenschutz- und Wartungs-Release“ 4.9.6
Vor allen anderen Maßnahmen sollte man auf WordPress auf 4.9.6 aktualisieren. WordPress Änderungen betreffen:
– Kommentare
– Datenschutzerklärung (Seite)
– Export & Löschen von Daten
2. Datenschutzerklärung
Jede Website sollte nebem dem Impressum eine Datenschutzerklärung haben, ähnlich dem Impressum sollte der Link darauf auf jeder Seite zur Verfügung stehen, d.h. zum Beispiel im Footer oder in der Navigation – wie hier auf unserer Seite.
D ie Inhalte Ihrer Datenschutzerklärung hängen davon ab, was so alles Verwendung findet wie z.B. Google Analytics oder Google Fonts, ein Facebook Pixel, AdWords oder Newsletter Tool..). Wenn Sie eine Vorlage verwenden wollen: bei datenschutz.org werden Sie fündig. Diese sollten Sie aber noch individuell anpasseb. LINK: https://www.datenschutz.org/website/
TIP von lesefreude.at – Sabrina: „Um vor automatisierten Abmahnwellen zu schützen, wird geraten die Datenschützerklärung mit „noindex“ zu versehen. Somit sagst du dem (Google)Bot, dass diese Seite nicht Indexiert und somit auch nicht in den Suchergebnisse angezeigt werden soll. Wenn nun jemand eine gebräuchliche Phrase aus den Datenschutzerklärungen bei Google eintippt, wird deine Seite nicht angezeigt. Wenn du, so wie ich, das Yoast SEO nützt, kannst du die Datenschutzerklärung ganz einfach auf noindex setzen. Dazu einfach zu den Yoast SEO Einstellung auf der jeweiligen Seite gehen und links auf das kleine Zahnrad klicken. Bei „Erlaube Suchmaschinen diesen Seite in den Suchergebnissen anzuzeigen?“ „Nein“ einstellen und schon ist das erledigt. Dieses Vorgehen funktioniert auch bereits in der kostenlosen Variante des Plugins.“
3. SSL – Verschlüsselung
https:// ist die Variante mit der eine sichere SSL-Verbindung hergestellt wird. Erkennbar am grünen Schloß vor der URL (in der Adresszeile des Browsers). Am besten ist, dass alle Seiten-Aufrufe über http:// direkt auf https:// weitergeleitet werden und man nur noch sichere Verbindungen ermöglicht! (ist übrigens auch ein ranking Faktor bei Google!)
Sobald ein Seitenbesucher Daten z.B. auf unserer Agentur website eingibt, um diese zu verschicken, (wie es im Kontaktformular der Fall ist), ist die Verbindung verschlüsselt. Viele Hoster machen dies bereits standardmäßig. Ansonsten können Sie bei Ihrem Hoster nachfragen. Als Test versuchen Sie einfach mal ihre Homepage mit HTTPS ( Bsp: https://www.kultur-design.com ) aufzurufen anstatt mit nur HTTP (http://www.kultur-design.com).
4. Google Analytics
Wie Millionen anderer Webseiten verwenden auch wir Google Analytics zur Analyse der Zugriffzahlen. Dabei ist es wichtig (bereits jetzt schon), dass die IP-Adresse anonymisiert wird. Das geht mit dem bei Yoast SEO Plugin: setzen eines Häkchen in den Einstellungen oder einer kleinen Codezeile, je nachdem wie Google Analytics eingebunden ist.
Man sollte in der Datenschutzerklärung darauf hinweisen, dass Google Analytics verwendet wird. Dort sollte auch beschrieben sein was ein Seitenbesucher tun kann, um das Tracking einzugrenzen. Google Analytics hat vor kurzem viele Richtlinien angepaßt (nach dem „Privacy Shield Abkommen“) und ist somit zertifiziert.
Stand 15.Mai 2018: Auftragsdatenverarbeitungsvertrag: um diesen mit Google abzuschließen gibt es inzwischen für EU-Länder (inklusive Schweiz) eine simple Möglichkeit. Im Google Analytics Konto > Kontoeinstellunge < klickt man auf “Zusatz anzeigen“ und akzeptierst den “Zusatz zur Datenverarbeitung“.
5. Cookies
Es ist Pflicht auf die Verwendung von Cookies hinzuweisen. Auch wenn der Seitenbesucher nicht auf „Akzeptieren“ klickt, kann er durch die Seite surfen. Zum Einsatz kommt auf kultur-design.com dieses Cookie Law PLUGIN
Weil die Leiste mit dem Hinweis zu den Cookies im unteren Bereich platziert ist und so manchmal den Link zum Impressum und Datenschutzerklärung verdeckt, haben wir beide LINKS auch in der Navigation (unter Kontakt) untergebracht.
6. Social Plugins
Von WordPress befördert und von Millionen Nutzern beliebt verfügt fast jeder Blog über Social Plugins, um das einfache Teilen von Blog-Beiträge zu ermöglichen. Datenschutzrechtlich besteht das Problem, daß viele dieser Social Buttons eine Meldung an z.b. Facebook oder Twitter schicken, dass hier jemand aktiv ist. So richtig Interessant wirds für die Datensammler in den USA, wenn der User auf einer Social Plattform gerade eingeloggt ist, denn dann kann diese Aktion einer Person zugeordnet werden. Weiterhin mit Vorsicht zu genießen ist auch die Einbindung in der Sidebar. Dort werden oft die Fans & Follower auf Facebook angezeigt und sollen den Seitenbesucher animieren, ebenfalls ein Fan auf Facebook Seite zu werden. Hier funktioniert das gleiche Tracking. Uns stört das nicht, da wird Facebook & Twitter & Google+ aktiv nutzen. Aber hier ticken die Menschen ja unterschiedlich.
7. Kommentar-Funktion
Für die Kommentar-Funktion hat das aktuelle WordPress Release einiges geändert (siehe weiter oben). Nicht eingeloggte Kommentatoren können nun über eine Checkbox entscheiden, ob ihr Name, E-Mail-Adresse und Website für zukünftige Kommentare auf der Website in einem Cookie gespeichert werden soll.
Im Hinblick auf die Kommentare gibt es unsere Empfehlung für das Plugin: „Antispam Bee“. Das von WordPress vorinstallierte „Akismet“ ist nach EU-Richtlinien nicht datenschutzkonform! Also am besten ersetzen.
8. Newsletter
Viele Kunden nutzen dieses praktische Tool, um mit Ihren Kunden & Gästen zu interagieren. Deshalb beschäftigen wir uns intensiv mit dem Thema. Für eine Newsletter-Registrierung muss einem User zwingend eine Double-Opt-In Möglichkeit angeboten werden. Neu und ab dem 25.Mai 2018 ebenfalls zwingend: der User muß bei der Eingabe der Kontaktdaten aktiv den Datenschutzbestimmungen zustimmen. Wie das aussehen kann, sehen Sie hier […]
Derzeit verschicken viele Webseiten E-Mails mit der Aufforderung zur Bestätigung der E-Mail Adresse, um zB. weiterhin einen Newsletter zu erhalten. Einige Dienstleister sind hier vorbildlich, andere outen sich meiner Meinung nach als „Daten-Diebe“, die Ihre E-Mail Adresse ev. irgendwann „eingekauft“ oder anderweitig erworben haben und jetzt noch die nachträgliche Bestätigung einholen. Es kann aber auch sein, daß Sie selbst sich irgendwo angemeldet haben :-)
9. Google Fonts
Die Verwendung von Google Fonts ist schon fast wie einem Standard im Web. Besucht jemand Ihre Web-Seite wird eine Anfrage an Google gesendet, dass ein Besucher gerade auf der Seite unterwegs ist und zur Darstellung der website die Schriftart laden muss. Somit entsteht für Google ein trackbares Bewegungsprofil der Webseiten Besucher. Aus diesem Grunde arbeiten wir fast immer mit Profi-Templates, die diese Font-Einbindung datenschutzkonform umsetzen.
10. Avatar / Gravatar
Gravatare sind die kleinen Bilder (Avatare), die oft bei den Kommentaren zu sehen sind. Wenn eine Website in der Kommentarfunktion Gravatare zuläßt, wird bei jedem Kommentar an den Gravatar-Anbieter Auttomatic (wordpress.com) eine Anfrage geschickt ob es zu dieser E-Mail-Adresse ein Avatar-Bild gibt. Allerding! damit es zu der E-Mail Adresse ein Bild angezeigt wird, muss man seine E-Mail-Adresse dort selbsttätig registrieren.
Unter WordPress / Einstellungen –> Dikussionen am Ende der Seite „Avatare anzeigen“ kann man übrigens die Verwendung ganz einfach unterbinden.
Und nun?
Wenn Sie die obigen Punkte umsetzen, ist der erste Schritt getan. Und Ihnen hoffentlich die Angst vor Abmahnung genommen! Aber vorsicht – diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit – zB. gehen wir hier nicht (noch nicht) auf Shops ein. Dennoch hoffen wir mit diesem Blog etwas Licht ins Dunkle zu bringen. Wenn Sie weitere Fragen haben oder weitere nützliche Tips teilen möchten, schreiben Sie gerne einen Kommentar!
Weiterführende Links
Datenschutz Seite mit vielfälltigen Vorlagen: datenschutz.org/website
Datenschutzgenerator von Dr. Thomas Schwenke: datenschutz-generator.de
WordPress Release: wordpress.org