In dieser Checkliste erfahren Sie die allgemein wichtigsten Punkte, die Sie bei der Umsetzung der DSGVO auf Ihrer Website beachten müssen. Mit dabei: Tipps wie Ihnen die technische Umsetzung einfach und komfortabel mit WordPress gelingt.
Wichtiger Hinweis: Diese Informationen stellen keine Rechtsberatung dar und sind nur eine unverbindliche Hilfestellung. Ich bin keine Rechtsanwältin. Der Inhalt dieser Checkliste kann und soll eine individuelle und verbindliche Rechtsberatung, die sich auf Ihre persönliche Situation bezieht, nicht ersetzen. Um zu wissen, ob Ihre Website den gesetzlichen Bestimmungen entspricht, müssen Sie dazu einen Anwalt kontaktieren.
Web-Hosting mit ADV-Vertrag
Ihre Website wird auf den Servern Ihres Hosting-Anbieters gespeichert. Dabei werden auch die personenbezogenen Daten wie z.B. die IP-Adresse der Besucher Ihrer Website registriert. Neben einer Reihe weiterer Daten werden z.B. auch E-Mails, die über das Kontaktformular auf Ihrer Website versendet wurden, auf diesen Servern gespeichert. Der Hosting-Anbieter ist dadurch in der Lage jederzeit auf diese Daten zuzugreifen.
Nach der DSGVO ist daher ein Abschluss eines Vertrages zur Auftragsdatenverarbeitung (ADV-Vertrag) mit dem Hosting-Anbieter notwendig. Viele Provider stellen Ihren Kunden bereits einen ADV-Vertrag zur Verfügung.
Tipp: Es wird allgemein empfohlen einen Hosting-Anbieter zu wählen, deren Server in Deutschland sitzen. Die Website mit den personenbezogenen Daten wird dann innerhalb von Deutschland gespeichert und der Hoster muss sich ebenfalls an die Regeln der DSGVO halten. Das vereinfacht die Umsetzung der DSGVO als bei einem Anbieter, der z.B. in einem Land außerhalb der EU sitzt. Gerne bin ich Ihnen bei der Auswahl eines passenden Hosting-Anbieters behilflich.
SSL-Verschlüsselung – Mit Vorteilen für Kunden & Google
Sie haben ein Kontaktformular auf Ihrer Website oder betreiben sogar einen Online-Shop? Dann benötigt Ihre Website laut DSGVO eine SSL-Verschlüsselung. Nur so können personenbezogene Daten sicher übertragen werden. Die SSL-Verschlüsselung einer Website erkennen Sie an dem grünen Schloss vor der Internetadresse im Browser.
So erkennt man eine SSL-verschlüsselte Webseite:
Unverschlüsselte Website: http://beispiel-firma.de
Website mit SSL-Verschlüsselung: https://beispiel-firma.de
Vorteil: besseres Ranking durch SSL-Verschlüsselung!
Nicht nur die Daten der Nutzer werden sicher übertragen, auch Ihre Website gewinnt durch die Verschlüsselung mehr Vertrauen bei Kunden. Google legt ebenfalls Wert auf Sicherheit im Web und bevorzugt Websites mit einem grünen Schloss.
Kontaktformulare mit Check-Box
Wie schon oben erwähnt, jede Website mit einem Kontaktformular benötigt ein SSL-Zertifikat. Das Formular muss jedoch weiter angepasst werden, damit es die Anforderungen der DSGVO erfüllt. Bevor jemand eine Nachricht an Sie über das Kontaktformular sendet, muss er über die Verwendung seiner Daten informiert werden.
Das Kontaktformular benötigt dafür eine sogenannte Check-Box. Die Check-Box enthält die nötigen Hinweise zur Datenverarbeitung und ein Kästchen zum Anklicken. Indem der Absender die Checkbox vor dem Versenden der Nachricht anklickt, erteilt er Ihnen die Erlaubnis, dass Sie seine Daten im Formular zur Bearbeitung seiner Anfrage verwenden dürfen. Die Checkbox muss vom Absender angeklickt werden, ansonsten kann er die Nachricht nicht versenden.
Tipp: Auf WordPress-Seiten lassen sich entsprechende Kontaktformulare mit dem Plugin Contact Form 7 umsetzen. Es ermöglicht die Erstellung individueller Formulare, die man jeder Zeit an mögliche Änderungen anpassen kann.
Kommentare auf Ihrer WordPress-Website
Check-Box:
Hinterlässt ein Nutzer ein Kommentar auf Ihrer Website, muss er wie im Kontaktformular auch eine Check-Box mit dem Hinweis zur Datenverarbeitung vorher anklicken. Damit erklärt er, dass er Ihre Datenschutzerklärung gelesen hat und ihr zustimmt.
Kommentare abonnieren mit Double opt-in:
Man kann seinen Nutzern die Möglichkeit geben Kommentare von Beiträgen zu abonnieren. Gibt es einen neuen Kommentar zu einem Thema, erhalten die Nutzer auf Wunsch eine Nachricht per E-Mail, ähnlich wie bei einem Newsletter. Daher muss auch hier das Double-Opt-In-Verfahren angewandt werden. Der Nutzer muss zuerst per E-Mail bestätigen, dass er die Nachricht über die Kommentare wirklich erhalten will. Für WordPress-Websites gibt es dafür Plugins.
Das Plugin Akismet Anit-Spam entfernen:
„Akismet Anit-Spam“ ist ein Plugin, dass Spam verhindert. Das Plugin ist bei WordPress häufig bereits schon installiert. Auf Webseiten in Deutschland darf es jedoch nicht verwendet werden. Es entspricht nicht der DSGVO. Eine Alternative ist das Plugin „Antispam Bee“.
Newsletter nur mit Bestätigungs-Mail
Double Opt-in (Bestätigungs-Mail):
Bei der Anmeldung zum Newsletter ist das Doubel Opt-in Verfahren Pflicht. Der Nutzer bestätigt per E-Mail, dass er sich zu Ihrem Newsletter anmelden möchte.
Hinweis zur Datenverarbeitung im Anmeldeformular:
Das Anmeldeformular muss bestimmte Pflichthinweise enthalten, die den Nutzer über die Verarbeitung seiner Daten informieren.
Social Media Plugins: Share- und Like-Buttons
Ihre Nutzer teilen und Liken Ihre Beiträge oder Website mit Social Media Plugings? Die meisten Share- und Like-Buttons sind nicht datenschutzkonform. Viele stellen beim Aufruf der Website automatisch eine Verbindung zu den sozialen Netzwerken her. Dabei senden sie persönliche Daten zu Facebook, Twitter & Co. Nach der DSGVO darf das auf keinen Fall sein.
Tipp: Verwenden Sie daher auf Ihrer WordPress-Website das Plugin „Shariff Wrapper“. Diese Social Media-Buttons erfüllen die Anforderungen der DSGVO.
Google Analytics DSGVO-konform einsetzen
Den Erfolg Ihrer Website können Sie auch weiterhin mit Google Analytics messen. Damit Sie das Tool rechtskonform verwenden können, müssen Sie jedoch zunächst ein paar Dinge umsetzen:
ADV-Vertrag mit Google:
Google stellt einen ADV-Vertrag zur Verfügung. Diesen können Sie online abschließen.
IP-Adressen anonymisieren:
Die IP-Adressen der Nutzer müssen anonymisiert werden. Das erfolgt, indem die IP-Adresse der Besucher gekürzt wird. Dazu müssen Sie Ihren Google- Analytics-Code entsprechend anpassen, sofern die Anonymisierung noch nicht aktiviert ist.
Opt-Out Möglichkeit in der Datenschutzerklärung:
Der Nutzer muss die Möglichkeit haben dem Tracking durch Google Analytics auf Ihrer Website zu widersprechen. Dafür müssen Sie ihm eine Opt-Out Möglichkeit anbieten. Dazu benötigen Sie einen Link (Opt-Out) auf den der Nutzer klickt und somit das Tracking deaktiviert.
Cookie-Banner
Es wird allgemein empfohlen einen Cookie-Banner zu verwenden. Dieser weist den Nutzer auf die Verwendung von Cookies hin und enthält einen Link zur Datenschutzerklärung. Für WordPress gibt es einige Cookie-Plugins, mit denen Sie die Banner sogar an Ihr Design und Bedürfnisse anpassen können.
Datenschutzerklärung: Immer gut sichtbar
Die Datenschutzerklärung muss immer gut erreichbar sein. Das bedeutet, dass der Nutzer sie von jeder Seite aus direkt aufrufen kann. Die Datenschutzerklärung sollte einen eigenen Menüpunkt bekommen oder unten im Footer erreichbar sein.
Wichtig: Der Cookie Banner darf die Datenschutzerklärung oder das Impressum nicht verdecken. Sonst gelten die Hinweise als nicht vorhanden und kann abgemahnt werden.