Seite 2: Grundanforderungen der DSGVO an jede Webseite

Inhaltsverzeichnis

Datenschutzerklärung: Die Nutzer eines Onlineangebots sollen transparent und in verständlichen Worten über die zur Anwendung kommenden Datenverarbeitungsverfahren aufgeklärt werden. Die Datenschutzerklärung muss die entsprechenden Rechtsgrundlagen auflisten und den Nutzer über alle relevanten Datenverarbeitungsvorgänge aufklären.

Da die wenigsten Seitenbetreiber über das juristische Fachwissen verfügen, bieten spezialisierte Rechtsanwaltskanzleien kostenpflichtige – manche auch kostenlose – Vorlagen an.

Verschlüsselung: Auch wenn die DSGVO nicht grundsätzlich ein SSL-Zertifikat voraussetzt, wird die SSL-Verschlüsselung der eigenen Seiten jedoch spätestens dann zur Pflicht, wenn der Seitenbetreiber Formulare zur Datenübermittlung bereitstellt. Ein kostenloses Zertifikat, etwa von Let’s Encrypt, reicht völlig aus. Die meisten Hosting-Provider bieten SSL-Verschlüsselung inzwischen ohne Aufpreis an.

Recht auf Auskunft und Löschung: Werden personenbezogene Daten gespeichert, so hat die betreffende Person in jedem Fall das Recht, Auskunft über diese Daten zu erhalten und diese in weiterer Folge auch löschen zu lassen.

In Zusammenhang damit ist auch die in der DSGVO geforderte Datenportabilität zu sehen: Websitebetreiber müssen ihren Nutzern die von diesen selbst bereitgestellten personenbezogenen Daten auf deren Verlangen in einem wiederverwendbaren Format zur Verfügung stellen.

Datenverarbeitungsvertrag zwischen Seitenbetreiber und Dienstleister: Daten europäischer Nutzer dürfen nur dann an Server außerhalb der EU übertragen werden, wenn der jeweilige Anbieter nach den Bestimmungen des Privacy Shield Framework zertifiziert ist und einen sogenannten Datenverarbeitungsvertrag (DVV) anbietet. Dieses Dokument regelt den gegenseitigen Umgang mit personenbezogenen Daten und kann in digitaler Form angeboten werden. Nutzt man also Google Analytics, den Newsletter-Service von Mailchimp oder die Dienste anderer nichteuropäischer Anbieter, ist der Abschluss eines DVV mit diesen zwingend erforderlich.

DSGVO-verträglich mit WordPress-Bordmitteln

WordPress ist längst kein reines Blog-CMS mehr, sondern wird zur Erstellung zahlreicher Content-Formate von der Portfolioseite bis hin zum Webshop genutzt. Entsprechend groß ist die Zahl der verfügbaren Themes (Designs) und Plugins (funktionalen Erweiterungen). Für eine Bewertung möglicher DSGVO-Risiken müssen Webseitenbetreiber daher zwischen dem Core-WordPress-System und optionalen Add-ons und Drittanbieterdiensten unterscheiden.

Grundsätzlich sind zwei Punkte potenziell heikel: die Speicherung personenbezogener Daten sowie die Übertragung derselben an Dritte. Letzteres passiert zum Beispiel, wenn Webmaster das beliebte Analyse-Tool Google Analytics einsetzen, aber auch, wenn sie Inhalte von Plattformen wie YouTube in ihre Seiten einbetten.

Neue WordPress-Einstellungen

Das Entwicklerteam von WordPress begann erst wenige Wochen vor dem 25. Mai damit, DSGVO-Werkzeuge in die Software zu integrieren. Eine Roadmap für die Implementierung findet sich auf GitHub. Der Großteil der angedachten Features ist jedoch in der Anfang August freigegebenen Version 4.9.8 bereits enthalten. So findet man im aktuellen WordPress zwei neue Tools zum Exportieren und Löschen personenbezogener Daten (unter "Werkzeuge“) sowie ein neues Untermenü mit der Bezeichnung "Datenschutz“ unter "Einstellungen“.

Auf dieser Einstellungsseite wählt der Webmaster die Seite mit den Informationen zur Datenschutzerklärung aus. Ein Leitfaden mit kommentierten Textvorschlägen hilft auch Neulingen bei der Erstellung einer DSGVO-konformen Erklärung. Die Hersteller von WordPress-Plug-ins können über den neuen Privacy-Layer optional eigene Datenschutzbeschreibungen ihrer Software hinzufügen.