Am 25.05. endet die Übergangsfrist der DSGVO, bis dahin solltet ihr Euch damit befasst haben und unter anderem Eure WordPress Website fit dafür gemacht haben.
Auf Twitter habe ich bis zum Stichtag 15 Tipps getwittert, die ich Euch hiermit gerne übersichtlich zur Verfügung stellen möchte.
Eins vorweg: Da ich keine Anwältin bin und weder rechtskräftige Aussagen tätigen kann, noch darf, sind meine Tipps nicht rechtlich verbindlich und es bestehen weder Garantie noch Gewähr auf die Richtigkeit. Ich habe alles mit bestem Wissen und Gewissen recherchiert.
Tipp 1 – SSL-Zertifikat
Sobald ihr ein Formular (z.B. Kontakt od. Kommentare) zur Verfügung stellt, braucht Eure Site ein SSL Zertifikat. Ansonsten ist ein SSL-Zertifikat nicht DSGVO relevant.
Das bekommt ihr von Eurem Provider, auf dem Eure Domain gehostet wird.
Für einfache Websites, bei all-inkl, habe ich vor längerer Zeit, diese Anleitung zur Umstellung geschrieben:
https://www.marjeta-prah-moses.de/umstellung-von-http-auf-https-fuer-all-inkl-kunden-und-wordpress-user/
Tipp 2 – Cookies
Wer wissen möchte ob seine Seite Cookies verwendet, kann seine URL durch den Cookie Checker, jagen:
http://www.cookie-checker.com/
Wer Google AdSense / DoubleClick nutzt, wird bereits seit 2015 verpflichtet, einen Cookie Hinweis zu setzen.
Ob nun ein Cookie Hinweis angezeigt oder eine Einwilligung, beim Besuch der Website, eingeholt werden MUSS, kann ich nicht beantworten. Zu kontrovers wird hierüber aktuell diskutiert.
Tipp 3 – Externe Funktstellen
Ihr solltet Euch einen Überblick darüber verschaffen was über Eure Website „rausfunkt“.
Super finde ich hier diesen Online-Checker:
https://webbkoll.dataskydd.net/en
Unter „Third-party services“ seht ihr ob ihr z.B. Google Web Fonts oder Google Analytics am Laufen habt.
Unter „Third-party requests“ seht ihr alle „Funkstellen“ die ihr Euch genauer anschauen solltet. Ich persönlich empfehle (nicht erst jetzt), alle Funkstellen zu Social Media, zu unterbinden/zu deaktivieren.
Sind darunter auch Links mit einem durchbrochenem, rotem Schloss, „kann“ das ein Hinweis darauf sein dass ihr ein Bild über eine unsichere Quelle bezieht und das ein Grund sein kann dass ihr, trotz SSL/https://, kein grünes Schloss neben Eurer Webadresse seht. Stichwort: MixedContent
Das Online Tool hält das Ergebnis 48 Stunden vor. Ihr dürft also, nach einer Änderung, zwei Tage warten bis ihr Eure Website hierüber noch einmal checken könnt.
Tipp 4 – Allgemeine Backend Einstellungen
Nachdem ihr Euch einen ersten Überblick verschafft habt (Tipp 3) geht’s jetzt ins Backend.
Unter Einstellungen -> Diskussion:
- „Benutzer müssen zum Kommentieren Name und…“
- „Avatare“
deaktivieren.
Und unter Einstellungen -> Schreiben, solltet ihr die „Emojicons“ deaktivieren.
Weil er mir im Backend aber dennoch was zu den Emojicons angezeigt hat, nutze ich z.B. noch zusätzlich das Disable Emojis Plugin:
https://de.wordpress.org/plugins/disable-emojis/#description
Tipp 5 – WordPress 4.9.6
Am Donnerstag, den 17.05. kam mit Version 4.9.6, ein DSGVO Update für WordPress.
- Auf der Login Seite ist nun ein Link zur Datenschutzerklärung möglich;
- Man kann eine separate Datenschutz-Seite erstellen in der man eigenen Text hinzufügen kann. Bausteine zu den einzelnen Passus werden zur Verfügung gestellt. In Zukunft sollen auch installierte Plugins den passenden Text dazu liefern können;
- Es wurde eine Checkbox, unterhalb der Kommentarfelder, integriert;
- Daten können von Benutzern angefragt werden.
Diese können unter Werkzeuge -> Personenbezogenen Daten exportieren / löschen abgefragt und gelöscht werden.
Tipp 6 – Social Media
In Tipp 3 habe ich Euch gezeigt wie ihr herausfinden könnt welche Sachen „rausfunken“ & damit Daten übertragen. Das betrifft in vielen Fällen die SoMe Verbindungen wie z.B. Facebook, Instagram & Co. .
Diese SoMe Verbindungen solltet ihr vermeiden. D.h. so sehr es auch schmerzt, bis keine eindeutige Aussage hierzu getroffen wurde, empfehle ich diese Verbindungen zu kappen. Sprich, das meiste werdet ihr in WordPress, unter den Plugins, vorerst deaktivieren dürfen.
SoMe Icons/Grafiken, die ihr lediglich mit Euren Profilen verlinkt habt, dürften unproblematisch sein.
Für das Teilen von Beiträgen kenne ich aktuell nur ein DSGVO konformes Plugin.
Das ist das Shariff Wrapper Plugin:
https://de.wordpress.org/plugins/shariff/
In der Datenschutzerklärung solltet ihr darauf hinweisen.
Tipp 7 – Vertrag zur Auftragsverarbeitung
Denkt daran mit Eurem Provider (Website und E-Mail), Newsletter Anbieter und Cloud-Dienst, einen Vertrag zur Auftragsdatenverarbeitung (ADV) abzuschließen.
Bis zum 25.05. heißt sie noch ADV. Ab dem 25.05. nur noch AV (Vertrag zur Auftragsverarbeitung)
Bis zum 25.05. müssen ADVs schriftlich abgeschlossen werden. Ab dem 25.05. können AVs AUCH online abgeschlossen werden.
Eine gute Übersicht welcher Provider/Anbieter DSGVO konforme AVs anbietet, findet ihr auf der ständig aktualisierten Liste von @blogmojo:
https://www.blogmojo.de/av-vertraege/
Achtet in der Euch zur Verfügung gestellten AV, dass auch wirklich was zur DSGVO (GDPR) drinnen steht und nicht zum, ab 25.05., veraltetem BDSG.
Tipp 8 – Datenschutzerklärung „noindex“
Setzt Eure Datenschutzerklärung auf „noindex“.
Damit macht ihr es bestimmten Berufsgruppen schwerer nach einzelnen Begriffen in der Datenschutzerklärung, in Google, zu suchen und Eure Datenschutzerklärung zu finden.
Das geht z.B. mit dem SEO Yoast Plugin, in der Bearbeitung der Datenschutzerklärung Seite.
Aufs Zahnradsymbol „Fortgeschritten“ klicken und unter
- Meta robots index -> Standard fuer diesen Artikeltyp, aktuell: noindex
oder - Suchmaschinen das Anzeigen diese/r Seite in den Suchergebnissen erlauben? -> Nein
auswählen. Aktualisieren. Fertig.
Im All in One SEO Pack Plugin findet ihr die Möglichkeit ebenfalls in der Bearbeitung der Datenschutzerklärung. Dort das Feld „Robots Meta NOINDEX“ abhaken. Aktualisieren. Fertig.
Tipp 9 – Plugins
Nicht immer ist offensichtlich welche Plugins DSGVO konform sind od. wie sie konform genutzt werden können. @wpninjas_blog hat eine Übersicht von aktuell 83 Plugins zusammengestellt:
https://wp-ninjas.de/wordpress-plugins-dsgvo/
Und auch @blogmojo hat sich viel Arbeit gemacht und inzwischen über 140 Plugins, in seiner Übersicht, einem DSGVO Check unterzogen:
https://www.blogmojo.de/wordpress-plugins-dsgvo/
Am Rande: Auch wenn die DSGVO aktuell viel Arbeit bedeutet, so ist sie auch eine gute Gelegenheit genau hinzusehen und sich evtl. von undurchsichtigen Datenkraken zu verabschieden.
„Weniger ist mehr“, gilt vor allem beim Einsatz von Plugins.
Tipp 10 – Antispam Bee
Hierzu möchte ich Euch gerne diesen herzerfrischenden Artikel von Simon aus dem @pluginkollektiv, verantwortlich für die Betreuung des Antispam Bee Plugins, empfehlen:
https://simon.blog/2018/euer-datenschutz-kotzt-mich-an/
Mit der Version 2.8 gibt es die Option „öffentliche Spamdatenbank berücksichtigen“ nicht mehr. In ältere Versionen bitte manuell, falls gesetzt, den Haken entfernen.
Mythos 1: Ländererkennung böse
Die IP Adressen werden hierbei gekürzt übertragen. Es werden demnach keine pbD übertragen. Daher ist diese Option nicht kritisch und kann aktiviert bleiben.
Mythos 2: Sprachfilter böse
„Wurde der Sprachfilter aktiviert, werden die ersten 10 Worte jedes Kommentars, an den Google Dienst zur Spracherkennung gesendet. … Nicht die E-Mail-Adresse, nicht der Name der kommentierenden Person, nicht die IP-Adresse.“ Kann also auch aktiviert bleiben.
Tipp 11 – Google Analytics
Wer Google Analytics als Statistik Tool nutzt, sollte folgendes beachten:
- Auftragsverarbeitung mit Google Analytics abgeschlossen
Ab 25.05. muss der Vertrag nicht mehr ausgedruckt und ausgefüllt per Post nach Irland geschickt werden. Es genügt im Google Analytics Account -> Verwaltung -> Kontoeinstellungen dem Zusatz zur Datenverarbeitung
https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/ - IP wurde anonymisiert
- Datenschutzerklärung ergänzt
- Tracking Code, kann in der Datenschutzerklärung, über Opt-Out, deaktiviert werden
- Google Nutzungsbedingungen & der Google Analytics Datenschutz Hinweise wurden verlinkt
Im Google Analytics Account wurde
- die Datenaufbewahrung auf 14 Mon. eingestellt.
- unter Verwaltung -> Property auswählen -> Tracking-Informationen -> User ID deaktiviert
Google Analytics Alternative
Alternativ zu Google Analytics könnt ihr auch das Plugin Statify nutzen:
https://de.wordpress.org/plugins/statify/
Es läuft rein lokal auf Eurem Webserver, setzt keine Cookies und kommuniziert nicht nach außen.
Einen Hinweis solltet ihr dennoch in Eurer Datenschutzerklärung aufnehmen.
Opt-in?
Ob gar ein Opt-in, beim ersten Besuch der Website, gesetzt werden sollte, versucht Rechtsanwalt Thomas Schwenke in einem aktuellen Artikel abzuwägen.
Ich interpretiere es so dass es wohl besser wäre einen Opt-In zu setzen:
https://drschwenke.de/dsgvo-tracking-cookies-online-marketing-gluecksspiel/
Tipp 12 – Kommentare
Nutzt ihr Kommentare in Eurem Blog? Dann muss Eure Website über https:// (SSL-Zertifikat) erreichbar sein. Und ihr braucht einen Passus in Eurer Datenschutzerklärung.
Unter Einstellungen -> Diskussion
- „Benutzer müssen zum Kommentieren Name und E-Mail Adresse hinterlassen“
und - „Avatare“ (Gravatare)
deaktivieren.
IP Adressen
Beim kommentieren werden IP Adressen (personenbezogene Daten) erhoben und in der Datenbank hinterlegt. Das sollte unterbunden werden.
Um das zu verhindern reicht ein kleiner Code Schnipsel in Eurer function.php (Child-Theme) und ein kleiner Eingriff in der Datenbank:
https://www.kritzelblog.de/techniken-fuer-webentwicklung/wordpress-dsgvo-ip-adresse-kommentare-entfernen/
Oder das Plugin Remove Comments IP
https://wordpress.org/plugins/remove-comment-ips/
Es dauert 6 Std. bis die alten IP Adressen, nach Installation des Remove Comments IP Plugins, in der Datenbank, vollständig gelöscht werden. Danach werden die IP Adressen erst nach 60 Tagen gelöscht.
Mit dem nächsten Update sollen die Anzahl der Tage verändert werden können.
Auskunftspflicht & Löschung
Mit WP 4.9.6 können Nutzer bei Euch, ihre in der DB hinterlegten Daten, abfragen.
Zu finden unter Werkzeuge -> Personenbezogene Daten exportieren/löschen.
Kommentare abonnieren
Wer seinen Besuchern die Möglichkeit bieten möchte Kommentare DSGVO konform zu abonnieren, sollte sich das Plugin Subscribe to Double Opt in, anschauen:
https://de.wordpress.org/plugins/subscribe-to-double-opt-in-comments/
Tipp 13 – Datenschutzerklärung
Eines der wichtigsten Seiten ist aktuell Eure Datenschutzerklärung.
Sie muss
- eindeutig erkennbar,
- von jeder Seite aus,
- in maximal 2 Klicks,
erreichbar sein.
Der Link zur Datenschutzerklärung darf nicht durch einen Cookie Banner verdeckt sein. Schaut Euch Eure Seite auch mobil an. Auch dort darf der Cookie Banner, den Link zur Datenschutzerklärung, nicht verdecken.
Mit WP 4.9.6 habt ihr die Möglichkeit unter Einstellungen -> Datenschutz, Eure Datenschutzerklärung Seite auszuwählen. Damit erhält auch Eure Login Seite einen Link zur Datenschutzerklärung.
Es gibt verschiedene Online Generatoren, mit denen ihr eine Datenschutzerklärung erstellen könnt. Für Privatpersonen & Kleinunternehmer bietet Rechtsanwalt Thomas Schwenke einen Generator an. https://datenschutz-generator.de/
Ich selbst nutze, als Agentur Partner, den Generator von erecht24.
Der Kostenlose von erecht24, ist leider seit Tagen im Wartungsmodus. Wer € 29,90 mtl. hinlegt (mtl. kündbar) bekommt ein rundum Sorglos Paket inkl. DSE.
https://www.e-recht24.de/internes/tools/10568-datenschutz-generator.html
Ansonsten ist der beste Generator immer noch der Anwalt Eures Vertrauens.
Achja: Vergesst nicht, falls ihr Google Analytics im Einsatz habt, zu schauen ob der Opt-Out Link, in der Datenschutzerklärung, funktioniert. Und auch die Quelle, am Ende der Datenschutzerklärung, sollte nicht fehlen.
Hilfreiches Plugin, zum setzen eines Opt-Out, ist das Google Analytics Opt-Out (DSGVO / GDPR):
https://de.wordpress.org/plugins/opt-out-for-google-analytics/
Tipp 14 – Entspannt Euch
Trefft Euch mit Freunden. Geht Eis essen.
Das Gefühl noch nicht fertig zu sein wird auch nach dem 25.05. nicht verflogen sein.
Wir werden uns mit der Zeit daran gewöhnen.
Tipp 15 – YouTube
Mein letzter Tipp ist für YouTube Videos, die auf der eigenen Seite abgespielt werden sollen.
Super einfach geht das mit dem WP YouTube Lyte Plugin.
https://de.wordpress.org/plugins/wp-youtube-lyte/
Unter Einstellungen -> WP YouTube Lyte, könnt ihr ein paar Einstellungen vornehmen.
Das Plugin läuft auch ohne YouTube API
Diese API wäre wichtig wenn man auf dem Video auch Titel und Beschreibung von YouTube angezeigt bekommen möchte.
Weiter unten „Cache thumbnails locally“ -> „Yes“ aktivieren. Speichern.
Und dann den Link zum Video statt mit https://…, mit httpv:// in die Seite oder den Beitrag kopieren.
That’s it.
Und zu guter Letzt meine persönliche Checkliste
Wer mag, kann sich gerne meine Checkliste (pdf) runterladen und damit „arbeiten“.
Auch hier noch einmal der Hinweis:
Da ich keine Anwältin bin und weder rechtskräftige Aussagen tätigen kann, noch darf, sind meine Tipps nicht rechtlich verbindlich und es bestehen weder Garantie noch Gewähr auf die Richtigkeit. Ich habe alles mit bestem Wissen und Gewissen recherchiert.