Ich bin kein Rechtsanwalt (siehe Disclaimer) und daher gibt es auch keinen Anspruch auf Vollständigkeit, aber damit sollte man viel gemacht sein. Detailinformationen zu den einzelnen Punkten und alternative Vorgehensweisen unten im Text.
- ADV mit Serveranbieter abschließen.
- Datenschutzerklärung als Seite erstellen – am besten über recht24.de.
- Datenschutzerklärung in Footer als auch in der Cookie Notice einfügen.
- Google Analytics im GA-Konto Einstellungen anpassen: Datenaufbewahrung und unter Kontoeinstellungen „Zusatz Datenverarbeitung“
- Google Analytics Dashboard for WP installieren und adaptieren.
- Borlabs installieren und adaptieren
- WordPress aktualisieren und unter Einstellungen -> Datenschutz die Datenschutzseite auswählen.
- Cookie Notice anpassen und hier auch die Datenschutzerklärung einfügen.
- Alle Plugins aktualisieren.
- Bei Jetpack ADV abschließen.
- Alle Plugins prüfen, ob sie DSVGO konform sind – mittels Google.
- Unnötige Plugins löschen.
UPDATES
- WordPress aktualisieren und die Datenschutzseite unter „Einstellungen„ auswählen
- world4you stellt seinen AD-Vertrag am 21.5. zur Verfügung
- Mailpoet gibt die Daten anscheinend nicht an Dritte weiter oder speichert sie am eigenen Server ab, daher unkritisch
- Jetpack ist anscheinend nun DSGVO konform, muss nur aktualisiert werden und auf den Button der Zustimmung geklickt
- ebenso WooCommerce
Die EU-Datenschutzverordnung, also die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018, sind ab 25.5.2018 gültig. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. Mehr dazu auf der Seite der WKO.
Prinzipiell geht es darum, dass der User weiß ob und wie seine Daten verwendet werden und dass er sich dagegen wehren kann. Das Thema ist recht komplex, die wichtigsten Punkte haben wir für unsere Kunden zusammengeschrieben. Jede Website muss aber noch im Detail geprüft werden.
Was man sowieso schon gemacht haben sollte,
aber in diesem Prozess gleich nochmals überprüfen kann:
- Hinweis auf die Verwendung von Cookies,
- ebenso ein geprüftes Impressum
- regelmäßige Backups erstellen,
- sowie (falls notwendig) die AGBs.
Von mir ausgespart in diesem Beitrag ist das große Thema von Shops bzw. Bestellungen, sowie Passwortsicherungen.
Disclaimer
Dieser Artikel stellt keine Rechtsberatung dar. Ich habe mich mit den Bestimmungen der DSGVO zwar intensiv beschäftigt, um die entsprechenden Regelungen für meine Blogs umsetzen zu können, bin aber weder Jurist noch Datenschutzexperte. Obwohl ich mit aller angemessenen Sorgfalt auf die Richtigkeit der veröffentlichten Informationen achte, kann hinsichtlich der inhaltlichen Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit dieser Informationen sowie für allfällige Rechtsfolgen, die sich aus der Umsetzung dieser Informationen ergeben, keinerlei Gewähr übernommen werden.
Wer ist verantwortlich?
Genauso wie bei Urheberrechtsverletzungen ist auch in diesem Themenbereich der Website-Betreiber selbst für die Einhaltung der DSGVO verantwortlich. Siehe auch https://www.wko.at/service/unternehmensfuehrung-finanzierung-foerderungen/eu-dsgvo-verantwortliche-haftung-faq.html
1. Vereinbarung mit Auftragsdatenverarbeitung mit Serverbetreiber abschließen
Wir arbeiten meist mit world4you als Webhosting-Partner zusammen, was zuallererst den Vorteil hat, dass es ein österreichischer Anbieter ist. Da auch die Webhosting-Anbieter Daten speichern und verarbeiten, muss man mit ihnen einen eigenen Vertrag zum Datenschutz abschließen. Auf der Seite von World4you kann dieser ADV nun digital abgeschlossen werden.
2. Datenschutzrichtlinien einfügen
Eine Vorlage dazu findet ihr auf der Seite der WKO, noch besser eine individuelle über recht24.de erstellen.
Am besten die Datenschutz-Seite auf nofollow stellen.
Siehe hierzu auch einen Beitrag der WKO
3. Auf SSL – verschlüsselte Kommunikation – umstellen
Meint von http:// auf https:// umstellen.
4. Google Analytics
Meisten Infos stammen von https://www.kloos.at/blog/google-analytics-die-eu-datenschutzgrundverordnung.
Das beste Plugin um IP-Anonymisierung und Opt-Out-Funktion auf der Website zu gewährleisten ist das Google Analytics Dashboard for WP (GADWP) Plugin, hier kann man unter dem Punkt Tracking, die wichtigen Einstellungen vornehmen.
a. Vereinbarung zur Auftragsdatenverarbeitung einrichten und zustimmen
Als erstes muss man bei den Einstellungen beim Google Analytics Konten der Vereinbarung zustimmen, als auch alle erforderlichen Daten hinterlegen. Eine genaue Anleitung gibt es hier:
b. Google Analytics in den Datenschutzrichtlinien einbauen
laut Standardvorlagen, siehe Punkt 2
c. IP-Adressen anonymisieren
Am einfachsten, wie oben erwähnt, das Google Analytics for WP Plugin installieren.
Laut folgender Anleitung auf Google https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization.
Oder auch über das Plugin Google Analytics Germanized, das auch eine Opt Out Funktion zur Verfügung stellt.
d. Alte nicht-anonymisierte Daten löschen
Meint, dass ja alle Daten, die bis jetzt in Google Analytics gespeichert waren, eben nicht anonymisierten waren und daher gelöscht werden müssen. Anleitung hier:
e. Opt-In Funktion für Google Analytics
Laut einem Beitrag von Kloos.de ist nicht nur die Opt-Out, sondern sogar ein Opt-In Funktion für Google Analytics notwendig. Vor allem in Österreich! Infos dazu im Beitrag Google Analytics datenschutzkonform mit Opt-In einsetzen
f. Datenaufbewahrung einstellen
5. Newsletter/ Mailchimp & Mailpoet
Mit Newsletter werden natürlich auch Daten gesammelt und verarbeitet, daher muss man mit diesen Anbietern auch Vereinbarungen zur Auftragsdatenverarbeitung treffen. Mailchimp hat dies schon voreingerichtet
Mailchimp: https://mailchimp.com/legal/forms/data-processing-agreement/index.php
Mailpoet: Hier werden anscheinend keine Daten bei Drittanbietern gespeichert, daher wenig bedenklich. Hier eine Anleitung, wie man Mailpoet rechtskonform verwendet
6. Share Buttons und Social Walls
Die beliebten Share Buttons bei Beiträgen bilden ein Problem, da sie mit den Drittanbietern verbunden sind. Ich habe mich für meine Website entschieden, diese Buttons wegzulassen. Eine datenkonforme Alternative ist das Shariff Plugin
Zweites Problem in dem Zusammenhang mit den Social Media Portalen sind die beliebten Social Walls, nämlich dann, wenn ich zb über einen Hashtag Daten und Bilder von Usern auf meine Website einbette. Da das noch ein Graubereich ist, lasse ich derzeit solche Social Walls weg – ausser es wird nur auf meine Accounts zugegriffen.
7. Google Fonts lokal einbinden
Auch die Google Fonts stellen ein Problem dar und müssen lokal gespeichert werden, damit sie den Datenschutzrichtlinien entsprechen. Die Erwähnung in den Datenschutzrichtlinien ist notwendig.
8. Kommentarfunktionen
Siehe auch auf dem Blog-Beitrag von Martina Honecker. Über das Plugin WP GDPR Compliance gibt es allerdings auch eine gute Möglichkeit, damit umzugehen.
9. Embedded Content
Genauso wie bei den Social Walls muss man auch bei Content, den man einbettet, darauf achten, dass man nicht mit fremden Userdaten arbeitet.
10. Google Maps
Hier sind die Einbindung der Daten über die API kritisch, das embedden der Karte über den HTML Code anscheinend ok. Anführen muss man es in den Datenschutzrichtlinien trotzdem.
11. Schwierige Plugins
Alle Plugins zu prüfen oder aufzuführen wäre natürlich nicht möglich. Hier aber die wichtigsten, die gerne und oft verwendet werden. Nicht nur aus Datenschutzgründen, sondern auch aus SEO Sicht (Page Speed) empfiehlt es sich prinzipiell, bei jedem Plugin zu überlegen, ob man es wirklich braucht.
- AntiSpamBee: hier wird derzeit empfohlen, es nicht zu verwenden
- Jetpack for WordPress: auch hier gibt es mit einer neuen Aktualisierung die Möglichkeit den ADV abzuschließen und somit DSGVO-konform zu agieren
- Contact Form 7 (hierzu gibt es aber einen Lösungsvorschlag: https://www.internetkurse-koeln.de/contact-form-7-kontaktformular-datenschutz-zustimmen/)
- folgendes Plugin GDPR Compliance hilft das Contact Form 7 Plugin, Woocommerce als auch Kommentare korrekt zu verwenden
- Woocommerce
