DSGVO-Checkliste: WordPress datenschutzkonform einsetzen
Auch für Blogger gilt die DSGVO. Betreiber von WordPress-Websites können ihre Seiten mit verhältnismäßig wenig Aufwand datenschutzkonform gestalten.
- Ritchie Pettauer
Dieser Artikel gehört zum Titelthema EU-DSGVO: praktische Umsetzung in der Ausgabe 9/2018 der iX.
Am 25. Mai 2018 trat die europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Sie legt EU-weit einheitliche Regeln im Umgang mit personenbezogenen Daten fest, löst nationale Gesetzgebungen ab und soll innerhalb Europas sowohl den Datenschutz sicherstellen als auch den freien Datenverkehr erleichtern – zumindest in der Theorie.
In der Praxis allerdings schüren die erhöhten Datenschutzstandards spätestens seit April eine veritable Panik in der Webbranche. Das liegt primär an den horrend hohen angedrohten Strafen: Bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes soll ein „besonders schwerwiegender“ Verstoß kosten. Kleinere Unternehmen, Selbstständige und Blogger fürchten sich – zumindest in Deutschland – zudem vor Abmahnungen: Verstöße gegen die DSGVO sind auf Websites besonders leicht zu entdecken.
iX-tract
- Auch für „die Kleinen“ (Blogger, Vereine, Freelancer und Kleinstunternehmen) gelten die neuen Datenschutzbestimmungen der DSGVO.
- Für Websitebetreiber, die auf WordPress setzen, gibt es eine Reihe von Stellschrauben, mit denen sich das CMS DSGVO-konform betreiben lässt.
- Ein „Rundum-sorglos-Plug-in“, das hundertprozentigen Schutz vor Abmahnungen oder Bußgeldern bietet, gibt es nicht.
Die DSGVO erschwert oder verunmöglicht in der Tat viele bislang gängige Webmarketing-Praktiken und fordert von den Betreibern kommerzieller Webseiten eine eingehende Beschäftigung mit möglichen Problemfeldern. Denn sie klassifiziert – zum Missfallen vieler Experten – IP-Adressen als personenbezogene Daten. Die technische Struktur des Web bedingt aber bei jeder Datenübertragung von einem Server zum anderen die Übermittlung dieser IP-Adresse.
Auch wenn man also nicht explizit Nutzerdaten sammelt, unterliegt man als Websitebetreiber den Bestimmungen des neuen Gesetzes. Schon allein der Betrieb einer „ganz normalen“ WordPress-Instanz reicht aus, um gleich an mehreren Stellen potenziell gegen Vorgaben der DSGVO zu verstoßen. Denn überall dort, wo Daten von oder zu Drittservern übertragen werden, ist eine vorherige Zustimmung des Nutzers grundsätzlich erforderlich.
So wenig Daten wie möglich
Die ideologischen Grundpfeiler der neuen Verordnung lauten „Datenminimierung“ und „Transparenz“. Für die betroffene Person soll nicht nur klar sein, welche ihrer Daten von wem wann und warum verarbeitet werden, sie soll auch jederzeit Einsicht in gespeicherte Daten nehmen und deren Löschung beantragen können, soweit nicht andere gesetzliche Bestimmungen vorrangig sind, etwa die Aufbewahrungspflicht für Finanzunterlagen.
Zugleich darf der Datenverarbeiter nur die für den jeweiligen Verwendungszweck notwendigen Daten speichern. Und auch dies nicht auf immer und ewig, sondern lediglich für einen „angemessenen Zeitraum". Das hört sich wie ein Befreiungsschlag gegen zweifelhafte Datenhandelspraktiken an, betrifft aber letztlich jeden Webseitenbetreiber, dessen Provider Serverlogs und Zugriffsstatistiken mit gespeicherten IP-Adressen vorhält. Dafür gibt es schließlich auch gute Gründe.
(Noch) keine Abmahnwelle
Die guten Gründe heißen im Fachjargon der DSGVO „berechtigtes Interesse“: Wann immer der Betreiber einer Webseite Nutzerdaten speichert oder an Drittservices überträgt, muss er ein solches glaubhaft argumentieren. Mangels Präzedenzfällen wird es im Zweifelsfall den zuständigen Behörden obliegen, in Einzelfällen über dieses berechtigte Interesse zu entscheiden. Genau diese Unsicherheit verleitete zahlreiche Blogger dazu, ihre Seiten vor dem 25. Mai präventiv offline zu nehmen.
Die große Abmahnwelle ist zwar bisher ausgeblieben, doch nationale und EUPolitiker sind sich alles andere als einig: Angela Merkel sprach von einer Überforderung speziell für KMU, während die zuständige EU-Kommissarin Věra Jourová keine großen Veränderungen im Vergleich zur Datenschutzrichtlinie von 1995 sehen wollte, aber zugleich eingestand, dass sie keine vollständige Compliance aller Akteure zum Stichtag erwarte.
Pragmatismus
Das österreichische Parlament nahm in der nationalen Umsetzung sogar in letzter Minute ganze Berufsgruppen, unter anderen Künstler und Journalisten, komplett von der DSGVO aus. Wenn sich selbst die Experten in manchen scheinbar völlig trivialen Punkten uneinig sind, dann bleibt dem pragmatischen Webmaster nur eines übrig: die Bestimmungen der DSGVO so gut zu erfüllen, dass eine Abmahnung möglichst unwahrscheinlich wird.
Nährboden für ein lukratives Abmahnwesen à la Impressumspflicht bietet die DSGVO keinen, denn allfällige Strafen sind nicht an die Konkurrenz, sondern an die staatlichen Behörden zu bezahlen. Allenfalls über den Umweg des Wettbewerbsrechts könnten einzelne Bestimmungen der DSGVO die Grundlage für eine entsprechende Schadensersatzklage bieten – die aufgrund der beschriebenen Rechtsunsicherheit aber für den Kläger mit einem beträchtlichen finanziellen Risiko verbunden wäre.
FĂĽr welche Webseiten gilt die DSGVO ĂĽberhaupt?
Grundsätzlich gilt die DSGVO für alle nicht privaten Webseiten, also für Vereine und NGOs, Blogger und Selbstständige ebenso wie für kleine und mittlere Unternehmen und Großbetriebe, die sich an ein europäisches Publikum richten. Der geografische Standort von Server und Unternehmen spielt keine Rolle.
Ausgenommen sind lediglich private Webseiten. Diese können zwar öffentlich zugänglich sein, dürfen aber keinerlei Werbung enthalten und keine kommerzielle Absicht des Betreibers erkennen lassen. Letzteres jedoch ist ein Kriterium, das nur ein verschwindend kleiner Teil der deutschsprachigen Bloglandschaft erfüllt, zumal ein einziges Banner oder ein Testbericht bereits für die Klassifizierung als kommerzielles Onlineangebot ausreicht.
Während die Betreiber selbst gehosteter WordPress-Websites zumindest die technischen Möglichkeiten haben, die Vorgaben der DSGVO entsprechend zu implementieren, stellt sich die Situation bei Hosting-Plattformen wie Blogger.com oder WordPress.com um einiges komplizierter dar: Die Nutzer dieser Gratisangebote sind auf die Umsetzung durch den jeweiligen Plattformbetreiber angewiesen.