Hier ein Last-Minute-Leitfaden

– muss nicht vollständig sein und ich bin kein Rechtsanwalt (siehe Disclaimer), aber damit sollte man viel gemacht sein. Detailinformationen zu den einzelnen Punkten und alternative Vorgehensweisen unten im Text.

  1. ADV mit Serveranbieter abschließen.
  2. Datenschutzerklärung als Seite erstellen – am besten über recht24.de.
  3. Datenschutzerklärung in Footer als auch in der Cookie Notice einfügen.
  4. Google Analytics im GA-Konto Einstellungen anpassen: Datenaufbewahrung und unter Kontoeinstellungen „Zusatz Datenverarbeitung“
  5. Google Analytics Dashboard for WP installieren und adaptieren.
  6. WP GDPR Compliance installieren und adaptieren – v.a. für Woocommerce und Contact Form 7 Formular wichtig.
  7. WordPress aktualisieren und unter Einstellungen -> Datenschutz die Datenschutzseite auswählen.
  8. Cookie Notice anpassen und hier auch die Datenschutzerklärung einfügen.
  9. Alle Plugins aktualisieren.
  10. Bei Jetpack ADV abschließen.
  11. Alle Plugins prüfen, ob sie DSVGO konform sind – mittels Google.
  12. Unnötige Plugins löschen.

Die EU-Datenschutzverordnung, also die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018, sind ab 25.5.2018 gültig. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. Mehr dazu auf der Seite der WKO.

Prinzipiell geht es darum, dass der User weiß ob und wie seine Daten verwendet werden und dass er sich dagegen wehren kann. Das Thema ist recht komplex, die wichtigsten Punkte haben wir für unsere Kunden zusammengeschrieben. Jede Website muss aber noch im Detail geprüft werden.

Was man sowieso schon gemacht haben sollte,

aber in diesem Prozess gleich nochmals überprüfen kann:

  •  Hinweis auf die Verwendung von Cookies,
  • ebenso ein geprüftes Impressum
  • regelmäßige Backups erstellen,
  • sowie (falls notwendig) die AGBs.

Von mir ausgespart in diesem Beitrag ist das große Thema von Shops bzw. Bestellungen, sowie Passwortsicherungen.

Disclaimer

Dieser Artikel stellt keine Rechtsberatung dar. Ich habe mich mit den Bestimmungen der DSGVO zwar intensiv beschäftigt, um die entsprechenden Regelungen für meine Blogs umsetzen zu können, bin aber weder Jurist noch Datenschutzexperte. Obwohl ich mit aller angemessenen Sorgfalt auf die Richtigkeit der veröffentlichten Informationen achte, kann hinsichtlich der inhaltlichen Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit dieser Informationen sowie für allfällige Rechtsfolgen, die sich aus der Umsetzung dieser Informationen ergeben, keinerlei Gewähr übernommen werden.

Wer ist verantwortlich?

Genauso wie bei Urheberrechtsverletzungen ist auch in diesem Themenbereich der Website-Betreiber selbst für die Einhaltung der DSGVO verantwortlich. Siehe auch https://www.wko.at/service/unternehmensfuehrung-finanzierung-foerderungen/eu-dsgvo-verantwortliche-haftung-faq.html

1. Vereinbarung mit Auftragsdatenverarbeitung mit Serverbetreiber abschließen

Wir arbeiten meist mit world4you als Webhosting-Partner zusammen, was zuallererst den Vorteil hat, dass es ein österreichischer Anbieter ist. Da auch die Webhosting-Anbieter Daten speichern und verarbeiten, muss man mit ihnen einen eigenen Vertrag zum Datenschutz abschließen. Auf der Seite von World4you kann dieser ADV nun digital abgeschlossen werden.

2. Datenschutzrichtlinien einfügen

Eine Vorlage dazu findet ihr auf der Seite der WKO, noch besser eine individuelle über recht24.de erstellen.

Am besten die Datenschutz-Seite auf nofollow stellen.

Siehe hierzu auch einen Beitrag der WKO

3. Auf SSL – verschlüsselte Kommunikation – umstellen

Meint von http:// auf https:// umstellen.

4. Google Analytics

Meisten Infos stammen von https://www.kloos.at/blog/google-analytics-die-eu-datenschutzgrundverordnung.

Das beste Plugin um IP-Anonymisierung und Opt-Out-Funktion auf der Website zu gewährleisten ist das Google Analytics Dashboard for WP (GADWP) Plugin, hier kann man unter dem Punkt Tracking, die wichtigen Einstellungen vornehmen.

a. Vereinbarung zur Auftragsdatenverarbeitung einrichten und zustimmen

Als erstes muss man bei den Einstellungen beim Google Analytics Konten der Vereinbarung zustimmen, als auch alle erforderlichen Daten hinterlegen. Eine genaue Anleitung gibt es hier:

Google Analytics datenschutzkonform nutzen

b. Google Analytics in den Datenschutzrichtlinien einbauen

laut Standardvorlagen, siehe Punkt 2

c. IP-Adressen anonymisieren

Am einfachsten, wie oben erwähnt, das Google Analytics for WP Plugin installieren.

Laut folgender Anleitung auf Google https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization.

Oder auch über das Plugin Google Analytics Germanized, das auch eine Opt Out Funktion zur Verfügung stellt.

d. Alte nicht-anonymisierte Daten löschen

Meint, dass ja alle Daten, die bis jetzt in Google Analytics gespeichert waren, eben nicht anonymisierten waren und daher gelöscht werden müssen. Anleitung hier:

https://analytics.google.com/analytics/web/?hl=de&pli=1#management/Settings/a84550414w126536817p130157422/%3Fm.page%3DPropertySettings/

e. Opt-Out Funktion für Google Analytics

Am einfachsten über oben genanntes Plugin – Google Analytics für WP.

Das geht z.B. über folgendes Plugin https://wordpress.org/plugins/google-analytics-opt-out/

f. Datenaufbewahrung einstellen

https://support.google.com/analytics/answer/7667196

5. Newsletter/ Mailchimp & Mailpoet

Mit Newsletter werden natürlich auch Daten gesammelt und verarbeitet, daher muss man mit diesen Anbietern auch Vereinbarungen zur Auftragsdatenverarbeitung treffen. Mailchimp hat dies schon voreingerichtet

Mailchimp: https://mailchimp.com/legal/forms/data-processing-agreement/index.php

Mailpoet: Hier werden anscheinend keine Daten bei Drittanbietern gespeichert, daher wenig bedenklich. Hier eine Anleitung, wie man Mailpoet rechtskonform verwendet

 

6. Share Buttons und Social Walls

Die beliebten Share Buttons bei Beiträgen bilden ein Problem, da sie mit den Drittanbietern verbunden sind. Ich habe mich für meine Website entschieden, diese Buttons wegzulassen. Eine datenkonforme Alternative ist  das Shariff Plugin

Zweites Problem in dem Zusammenhang mit den Social Media Portalen sind die beliebten Social Walls, nämlich dann, wenn ich zb über einen Hashtag Daten und Bilder von Usern auf meine Website einbette. Da das noch ein Graubereich ist, lasse ich derzeit solche Social Walls weg – ausser es wird nur auf meine Accounts zugegriffen.

7. Google Fonts lokal einbinden

Auch die Google Fonts stellen ein Problem dar und müssen lokal gespeichert werden, damit sie den Datenschutzrichtlinien entsprechen. Die Erwähnung in den Datenschutzrichtlinien ist notwendig.

8. Kommentarfunktionen

Siehe auch auf dem Blog-Beitrag von Martina Honecker. Über das Plugin WP GDPR Compliance gibt es allerdings auch eine gute Möglichkeit, damit umzugehen.

9. Embedded Content

Genauso wie bei den Social Walls muss man auch bei Content, den man einbettet, darauf achten, dass man nicht mit fremden Userdaten arbeitet.

10. Google Maps

Hier sind die Einbindung der Daten über die API kritisch, das embedden der Karte über den HTML Code anscheinend ok. Anführen muss man es in den Datenschutzrichtlinien trotzdem.

11. Schwierige Plugins

Alle Plugins zu prüfen oder aufzuführen wäre natürlich nicht möglich. Hier aber die wichtigsten, die gerne und oft verwendet werden. Nicht nur aus Datenschutzgründen, sondern auch aus SEO Sicht (Page Speed) empfiehlt es sich prinzipiell, bei jedem Plugin zu überlegen, ob man es wirklich braucht.

11. Nützliches Plugin zur Datenschutz-Überprüfung

https://wordpress.org/plugins/wp-gdpr-compliance/

Weitere Beiträge und nützliche Seiten

Copyright 2018 by alpinonline