DSGVO-WordPress-Plugins: Wie wird meine Website DSGVO konform?
Disclaimer: „Bei diesem Artikel handelt es sich um persönliche Einschätzungen. Alle Inhalte wurden sorgfältig recherchiert. Dies kann und soll jedoch keine rechtliche Beratung darstellen oder ersetzen. Ich bin weder Juristin, noch Rechtsprofi und kann daher keine rechtsverbindlichen Auskünfte erteilen. Wenn du Fragen zu dem Thema hast, solltest du dich daher an den Rechtsanwalt oder die Rechtsanwältin deines Vertrauens wenden.“
Ist WordPress DSGVO-konform? Und was bedeutet Datenschutz genau? In diesem Blogartikel findet ihr heraus, wie ihr mittels DSGVO-WordPress-Plugins eure Website in WordPress datenschutzkonform einrichten könnt. Mit Einführung der EU-Datenschutzgrundverordnung im Mai 2018 kommt niemand mehr um das Thema herum, denn durch die EU-übergreifende Einführung von erhöhten Strafen wurde Datenschutz plötzlich zum Trending Topic für Website-Betreibende in europäischen Staaten.
Was sind DSGVO-Plugins für WordPress?
Wenn du in Google “DSGVO-WordPress-Plugins” eingibst, erscheinen dir vermutlich bei genauerer Betrachtung verschiedene Artikel mit unterschiedlichen Definitionen von ebendiesen „DSGVO-Plugins“.
- Plugins, die dir helfen, WordPress DSGVO-konform einzurichten und
- Plugins, die DSGVO-konform funktionieren.
Dieser Artikel bezieht sich auf die erste Art von DSGVO-WordPress-Plugins und möchte dir eine kleine Hilfestellung sein, wenn du deine WordPress-Website gerade aufbaust und dir unsicher bist, wie du das datenschutztechnisch umsetzen sollst. Wenn du nach DSGV-konform arbeitenden Plugins suchst, findest du in Abschnitt 5 weitere Informationen dazu. Denn, dass die Website Datenschutz sicher ist, sollte oberste Priorität haben. Warum erfährst du im weiteren Verlauf des Artikels.
DSGVO-Plugins sollen dir dabei helfen deine WordPress-Website DSGVO-konform zu gestalten. Wichtig zu Beginn: es gibt in diesem Fall leider keine „All-in-one“-Lösung, auch wenn für WordPress ein gleichnamiges Plugin existiert. Wenn du nicht ganz genau weißt, welche personenbezogenen Daten jedes deiner installierten Plugins verwendet und wie du mögliche Grauzonen umgehst, um sicher zu sein, dass deine Website möglichst vollständig datenschutzkonform aufgestellt ist, solltest du dich unbedingt von Profis beraten lassen oder die datenschutzbeauftragte Person deines Unternehmens fragen.
Was bedeutet Datenschutz?
Im Mai 2018 wurde die EU-Datenschutz-Grundverordnung (DSGVO) oder auf Englisch General Data Protection Regulation (GDPR) eingeführt, um den Schutz persönlicher Daten EU-übergreifend regeln zu können. Nachdem das Internet immer mehr Platz in unserem Alltag einnimmt, haben personenbezogene Daten für marktwirtschaftliche Institutionen in den letzten Jahren enorm an Wert gewonnen. Daher sah die EU-Kommission die Zeit gekommen, die Entscheidung über das Ausmaß der Datenverarbeitung dem Individuum zu überlassen. Der Schutz personenbezogener Daten wird dabei als Grundrecht betrachtet.
Um den User:innen also die Chance zu geben, selbst zu entscheiden, ob sie Inhalte auf entsprechenden Plattformen sehen und passende Werbeangebote angezeigt bekommen möchten oder sie ihre Daten dafür nicht preisgeben wollen, wurde 2018 die EU-weite Datenschutz-Grundverordnung eingeführt.
Welche personenbezogenen Daten müssen geschützt werden?
Bei personenbezogenen Daten handelt es sich schlicht um alle Daten, die sich auf irgendeine Art und Weise auf eine Person zurückführen lassen und diese identifizierbar machen, wie Name, E-Mail-Adresse, Telefonnummer, Adresse, Bankdaten, etc. – aber auch IP-Adressen oder Cookie-Kennungen.
RICHTLINIE (EU) 2016/680Laut DSGVO handelt es sich dabei um direkte und indirekte Informationen, “die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind” und diese somit durch die Zuordnung einer ID oder Ähnlichem erkennbar machen.
Manche sind vorsichtiger im Umgang mit ihren Daten, andere geben diese gerne bereitwillig her, wenn sie mit entsprechenden Vorteilen belohnt werden.
Und doch verlangen personenbezogene Daten einen sensiblen Umgang, schließlich wissen wir gerne Bescheid, wer beispielsweise Zugang zu unseren Bankdaten hat. Daher ist es wichtig, mit den Daten unserer User:innen sorgsam umzugehen.
Die Basics für eine datenschutzkonforme WordPress-Website
Dass jede Website, die einem geschäftlichen Zweck dient, ein Impressum benötigt, ist bekannt. Worauf du allerdings noch achten musst, um deine WordPress-Website datenschutzkonform zu betreiben, verraten wir dir im Folgenden:
Es wird einige möglicherweise verwundern, aber tatsächlich waren viele Maßnahmen bereits vor Einführung der Datenschutzgrundverordnung gültig, allerdings waren bis dato die Strafen nicht so hoch. 😉
Ganz grob beschreibt das Bundesministerium des Innern und für Heimat Folgendes:
Bundesministeriums des Innern und für Heimat“Eine Verarbeitung personenbezogener Daten ist nur rechtmäßig
mit der Einwilligung der betroffenen Person
oder wenn die Verarbeitung erforderlich ist […]”
Erforderlich für die Verarbeitung sind Daten zum Beispiel (!) in diesen Fällen:
- Zur Vertragserfüllung oder um vorvertragliche Maßnahmen durchführen zu können, wenn die betroffene Person diese initiiert.
- Wenn dadurch lebenswichtige Interessen einer natürlichen Person geschützt werden können.
- Um berechtigte Interessen zu wahren, die den Verantwortlichen oder Dritte betreffen, vorausgesetzt es überwiegen nicht die Grundrechte oder Interessen Betroffener.
- Wenn die verantwortliche Person eine rechtliche Verpflichtung erfüllt.
- Wenn die verantwortliche Person eine Aufgabe wahrnimmt, die “im öffentlichen Interesse lieg[t] oder in Ausübung hoheitlicher Gewalt erfolg[t]”(Bundesministeriums des Innern und für Heimat).
Wichtig ist: Alle Daten sollen nur “[…] für festgelegte, eindeutige und rechtmäßige Zwecke erhoben” (Art. 4 Abs. 1b, DSGVO) werden. Für einige besonders sensible Daten, z. B. zur politischen Meinung oder zur ethnischen Herkunft, ist sogar ein Ausnahmetatbestand notwendig, andernfalls dürfen diese Daten nicht verarbeitet werden.
Die User:innen deiner Website haben außerdem ein Recht darauf zu erfahren was mit ihren Daten passiert und welche Daten erhoben werden (Art. 13 Informationspflicht), und sie müssen Widerspruch dagegen einlegen können (Art. 21 Widerspruchsrecht). Zudem können sie anfordern die Daten einzusehen oder löschen zu lassen (Art. 17 Recht auf Löschung/Vergessenwerden).
Mit Inkrafttreten dieser Verordnung wurden saftige Sanktionen eingeführt, die bei Nichteinhaltung bis zu 20 Millionen oder 4 Prozent des Jahresumsatzes, das ein entsprechendes Unternehmen weltweit im Jahr zuvor erzielt hat, betragen können. Daher ist es wohl ratsamer, sich an die Auflagen zu halten und die entsprechenden Vorkehrungen für WordPress zu treffen. Welche Maßnahmen das genau sind, erklären wir dir in den weiteren Kapiteln.
Wer ein umfangreiches FAQ zur Einführung der EU-Datenschutz-Grundverordnung sucht, kann auf der Seite des Bundesministeriums des Innern und für Heimat oder direkt in der DSGVO mehr dazu lesen.
5. Welche Stellen einer WordPress-Website sind für die DSGVO relevant?
Die wichtigsten Baustellen beim Thema Datenschutz:
- SSL-Verschlüsselung: Eine SSL-Verschlüsselung sorgt für eine sichere Datenübertragung zwischen Server und dem Endgerät der Nutzenden und ist daher besonders wichtig. Läuft deine Website noch über HTTP, solltest du daher schnell ein SSL-Zertifikat einrichten und damit HTTPS aktivieren. Bonus: Eine sichere Datenverbindung verpasst deiner Website möglicherweise auch ein besseres Google-Ranking.
- Datenschutzerklärung: Jede Person, die eine Website betreibt und damit personenbezogene Daten verarbeitet, ist verpflichtet, ein Impressum und eine Datenschutzerklärung auf der eigenen Seite anzugeben. Beides muss dabei von jeder Seite aus abrufbar sein, sodass es Nutzenden möglich ist zu jeder Zeit einzusehen, wann welche Daten verarbeitet werden.
- Cookies: Das sind kleine Textdateien, die deine Website auf den Endgeräten der Nutzenden speichert. Einige davon sind notwendig, damit deine Seite ordentlich funktioniert. Überhaupt gibt es wohl kaum eine Seite, die heutzutage keine Cookies verwendet. Aber Achtung: Cookies werden, ähnlich wie IP-Adressen, im Rahmen der Datenschutz-Grundverordnung als persönliche Daten verstanden. Deshalb benötigst du die aktive Einwilligung der Nutzenden, wenn du Cookies auf deiner Seite verarbeiten möchtest.
Für Nutzende vermutlich die auffälligste und möglicherweise nervigste Maßnahme zur DSGVO-konformen Gestaltung deiner WordPress-Website ist daher die Implementierung eines Cookie-Banners. Die wenig beliebten aber verpflichtenden Pop-Ups öffnen sich automatisch beim erstmaligen Aufrufen einer Website und sollen die User:innen über sämtliche Cookies informieren, die bei Nutzung deiner Website hinterlegt werden. Gleichzeitig erhalten sie so die Möglichkeit via Opt-In-Verfahren ausdrücklich zu wählen, welche der Cookies sie zulassen möchten und welche nicht. Dabei ist wichtig zu beachten, dass auch darüber informiert werden muss, welche Daten genau erhoben werden, wofür sie verwendet und an wen sie möglicherweise weitergegeben werden.
- Analyse/Statistik (Google Analytics): Wenn du zur Analyse Statistikprogramme wie Google Analytics verwendest, solltest du etwas vorsichtiger sein, denn Google Analytics erhebt generell einige Daten, die nicht notwendig sind, um deine Seite am Laufen zu halten, wie du sicher weißt. Um also statistische Daten zu erheben, ist es unbedingt notwendig, auch in der Datenschutzerklärung genau darzulegen, welche Daten via Google Analytics verarbeitet werden. Außerdem musst du die Anonymisierung von IP-Adressen aktivieren und den Nutzenden die Möglichkeit geben, die Analyse ihrer Nutzungsdaten zu verweigern.
Mit am Wichtigsten bei der Nutzung von Google Analytics ist die Tatsache, dass du zunächst einen Vertrag zur Auftragsverarbeitung mit Google abschließen musst. Weitere Informationen und Anleitungen findest du direkt bei Google Analytics.
Oder du setzt auf ein alternatives Tool, das von vornherein datenschutzkonform arbeitet, wie Matomo beispielsweise. Das Tool musst du zwar selbst auf dem eigenen Webserver installieren, dafür bleiben die Daten deiner User:innen aber eben auch auf deinem eigenen Server gespeichert, was rein datenschutztechnisch ein großer Vorteil ist. - Kontaktformular: Bei Kontaktformularen tragen Nutzende ihre persönlichen Daten wie Name, E-Mail-Adresse und Co. in das Kontaktformular ein, um Kontakt zu den Website-Inhabenden herzustellen. Diese Daten werden empfangen und gespeichert. Für diese Informationsverarbeitung benötigt ihr nicht zwangsläufig eine Zustimmung via Checkbox. Das hängt allerdings auch ein bisschen davon ab, welche Daten ihr dabei genau erhebt. Die Verarbeitung von gesundheitsbezogenen Daten zum Beispiel, erfordert eine explizite Zustimmung. Wichtig ist, dass du nur die Daten dafür erfasst, die du unbedingt zur Verarbeitung benötigst. Wenn noch weitere Daten erhoben werden sollen, dann nur auf freiwilliger Basis und nicht in Form eines Pflichtfeldes.
- Newsletter: Um einen Newsletter zu erhalten, hinterlegen Nutzende meistens ihre E-Mail-Adresse. Achtung: Hier genügt eine einfache Checkbox nicht, um die Zustimmung zur Newsletter-Anmeldung einzusammeln, denn so könnte ja jede:r fremde E-Mail-Adressen in den Verteiler schmuggeln. Die Nutzenden müssen daher zuerst via Double-Opt-In ihre E-Mail-Adresse bestätigen, damit du sicher sein kannst, dass diese auch tatsächlich der Person gehört, die deinen Newsletter abonniert hat. Ein Tool, das dich dabei unterstützt, findest du im nächsten Kapitel.
- Google Webfonts: Auch bei der Verwendung von Google Fonts können personenbezogene Daten an Googles Server übertragen werden – nämlich die IP-Adressen der Nutzenden. Wenn deine Website Google Fonts verwendet, solltest du die Schriftarten also nicht direkt über Googles Server einbinden, sondern diese herunterladen und anschließend selbst in die Website einbetten.
- Social-Media-Plugins: Hier ein YouTube-Video einbauen, da zu einem Instagram-Post weiterleiten… aber Vorsicht! Social-Media-Plugins sammeln auch versteckt Daten, indem sie bereits eine Verbindung zum sozialen Netzwerk aufbauen, wenn Nutzende deine Seite aufrufen, ohne also selbst aktiv den jeweiligen Dienst zu nutzen. Ein Tool, das dir bei diesem Problem helfen kann, findest du im nächsten Kapitel.
Welche DSGVO-WordPress-Plugins gibt es?
Wenn du bereits nach DSGVO-WordPress-Plugins im WWW gesucht hast, dürfte dir die unüberschaubare Menge an verschiedenen Plugins aufgefallen sein, die dir empfohlen werden, um deine WordPress-Website datenschutzkonform zu gestalten. Wie bereits zu Beginn dieses Artikels erwähnt, gibt es neben Plugins, die dich beim Einrichten deiner WordPress-Website unterstützen auch zahlreiche Plugins, die “lediglich” DSGVO-konform funktionieren. Wenn du diesbezüglich Inspiration suchst, hilft dir mit Sicherheit die über 300 Plugins umfassende Liste von Blogmojo.de weiter.
Ein allgemeiner Tipp: Am Besten verwendest du ein Plugin, das in dem Land entwickelt wurde, in dem es auch angewendet werden soll. Das ist zwar nicht zwingend notwendig, aber doch empfehlenswert. Die Datenschutzgesetze unterscheiden sich nämlich teilweise drastisch in den einzelnen Ländern, und ein entsprechendes DSGVO-WordPress-Plugin ist meist extra auf die landestypischen Regelungen ausgerichtet.
Beachte bitte auch, dass es keine perfekte All-in-One-Lösung gibt, auch wenn manche Anbietenden damit werben. Fachwissen ist beim Thema Datenschutz unheimlich wichtig. Und in den meisten Fällen musst du genau wissen, an welchen Stellen deine Website und auch einzelne Plugins Daten verarbeiten, damit du entsprechende Anpassungen treffen kannst.
Wir stellen dir daher das DSGVO-WordPress-Plugin vor, das unser erfahrenes Team von WordPress-Entwickler:innen selbst verwendet:
Borlabs Cookie:
Das Plugin bietet dir Opt-In-Lösungen für Cookies in WordPress an. Natürlich gibt es verschiedene Alternativen, aber das Tool können wir definitiv empfehlen. Vorausgesetzt du kennst dich einigermaßen mit der Materie aus, denn Borlabs Cookie verlangt etwas Fachwissen und ist nicht unbedingt für absolute Einsteiger:innen geeignet, je nachdem wie du es anwendest. Möglicherweise nimmt es dir Arbeit ab, wenn du mit Standard-Themes arbeitest. Die Software ist nämlich mit den beliebtesten WordPress-Themes wie Elementor und Avada kompatibel. Wenn du auf deiner WordPress-Website allerdings ein anderes Theme oder Plugins verwendest, die nicht von Borlabs Cookie unterstützt werden, oder du beispielsweise YouTube- und Google-Maps-Einbettungen selbst baust, ist es notwendig eine eigene Konfiguration des Plugins vorzunehmen. Allerdings bietet uns Borlabs Cookie dabei umfangreiche Möglichkeiten an und erlaubt es uns, diese haargenau anzupassen. Für die Cookie-Banner selbst gibt es dabei vielseitige Optionen und individuelle Einstellungsmöglichkeiten, ganz egal ob via Opt-Out oder Opt-In-Verfahren. User:innen können darüber ihre individuellen Cookie-Einstellungen treffen. Außerdem können wir auch Cookie-Gruppen für z. B. “Marketing”- oder “Statistik”-Cookies anlegen, wodurch Nutzende je nach Funktion beispielsweise allen Cookies zustimmen, die sich in dieser Gruppe befinden.
Auch sehr nützlich:
Wenn wir beispielsweise Google Analytics oder einen anderen Service, wie Google AdSense, Facebook Pixel, etc. anwenden wollen, können wir diesen in den Borlabs-Cookie-Einstellungen als Service auswählen. (Über “Benutzerdefiniert” geht das auch für viele andere Anbieter). Wenn wir dann unsere eigene Google Analytics ID eingeben, füllt Borlabs automatisch eine Vorlage mit sämtlichen Infos rund um die entsprechenden Cookies aus, sodass wir beispielsweise die Datenschutzerklärung von Google oder die Zweckbeschreibung der Cookies nicht händisch hinterlegen müssen. Das DSGVO-WordPress-Plugin hat auch eine Cross-Domain-Funktion gibt uns dadurch zusätzlich die Option, die Einstellungen von User:innen Domain-übergreifend zu verwalten, wenn deine Website über mehrere Domains verfügt.
Was kostet ein DSGVO-Plugin?
Borlabs Cookie ist ab 39 Euro im Jahr erhältlich – angesichts der zahlreichen Möglichkeiten, die das Plugin bietet, ist das wirklich gut investiertes Geld.
Alternativ kannst du aber auch andere DSGVO-WordPress-Plugins verwenden, die sich um das Cookie-Management kümmern.
Real Cookie Banner:
Das Plugin unterstützt dich ebenfalls bei der Einrichtung von Cookie-Bannern, wie der Name bereits verspricht. Dabei bietet das Real Cookie Banner viele verschiedene Vorlagen und Content Blocker für externe Dienste an. Außerdem unterstützt dich die Software bei der Dokumentation aller erteilten Einwilligungen und verfügt über eine Anti-Adblocker-Technik, wodurch die Cookie-Banner nicht von entsprechenden Erweiterungen blockiert werden. Das Plugin gibt es ab 49 Euro pro Jahr.
Cookie Notice:
Wenn du eine unkomplizierte Anwendung suchst, ist eventuell Cookie Notice etwas für dich. Ein Vorteil dieses DSGVO-WordPress-Plugins ist außerdem der kostenlose Zugang zu allen Funktionen. Allerdings hast du durch die einfache Gestaltung auch kaum Funktionen zur Verfügung und musst viele CSS-Anpassungen treffen.
Shariff Wrapper:
Wenn du Social-Media-Buttons auf deiner Seite einbauen möchtest, ist Shariff Wrapper ein beliebtes Tool, das dafür sorgt, dass sich die Teilen-Buttons verschiedener sozialer Netzwerke datenschutzkonform erst nach Einverständnis der Nutzenden mit den Social-Media-Plattformen verbinden. Diese sammeln nämlich auch unbemerkt Daten und erstellen daraus Profile der Nutzenden. Auch dieses Tool findest du kostenlos bei den WordPress-Plugins zum Download.
The Newsletter Plugin:
Ein DSGVO-WordPress-Plugin, das die oben genannten Auflagen für den Newsletter-Versand erfüllt, ist beispielsweise The Newsletter Plugin. Das Plugin verfügt nicht nur über Double-Opt-In und Checkbox mit Zugriff zur Datenschutzerklärung, sondern auch über zahlreiche andere Funktionen, wie einen Spam-Check, um zu verhindern, dass sich Spam-Kontakte in deine E-Mail-Liste verirren. Das Tool kannst du kostenlos herunterladen, für sämtliche Premium-Funktionen erhältst du eine Lizenz ab 69 Euro im Jahr. Falls du mehr als drei Websites nutzt, gibt es eine eigene Agency-Lizenz für 269 Euro pro Jahr. Wenn du beispielsweise ein US-amerikanische Newsletter-Angebot, wie Mailchimp nutzt, solltest du auch hier darauf achten Double-Opt-In zu aktivieren. Außerdem ist es notwendig, wie bei der Nutzung von Google Analytics, einen Vertrag zur Auftragsverarbeitung abzuschließen und in deiner Datenschutzerklärung genauestens darzulegen, welche Cookies Mailchimp einsetzt und wann dadurch personenbezogene Daten wie verarbeitet werden, ebenso solltest du dort den Einsatz von Tracking-Technologien genau beschreiben.
Fazit
Fachwissen beim Thema Datenschutz ist obligatorisch. Denn hundertprozentige Sicherheit erreicht ihr durch die bloße Installation von verschiedenen DSGVO-WordPress-Plugins auch nicht unbedingt. Wie treue Leser:innen unseres Blogs außerdem sicher wissen, halten wir es mit Plugins eher minimalistisch und verwenden nur die notwendigsten Lösungen. Der Einfluss auf die Performance ist nur ein Grund dafür, denn in vielen Fällen verbrauchen diese nur unnötig Ressourcen und werden gar nicht unbedingt benötigt. Eine Software, die dich allerdings dabei unterstützt, deine WordPress-Website datenschutzkonform aufzubauen, ist definitiv sinnvoll. Für welche Plugin-Lösung du dich dabei am Ende entscheidest, bleibt natürlich dir überlassen, achte aber darauf, dass diese auf die deutschen Datenschutzregelungen konfiguriert sind.
Quellenverzeichnis:
- Behrens, J. (2022, 20. Juni). WordPress-Cookie-Plugins – die 5 besten Opt-in-Lösungen. IONOS Digital Guide. Abgerufen am 26. Juli 2022, von https://www.ionos.at/digitalguide/hosting/blogs/wordpress-cookie-plugins/
- Bundesministerium des Innern und für Heimat. (2019, 14. Mai). Datenschutz-Grundverordnung. Abgerufen am 26. Juli 2022, von https://www.bmi.bund.de/SharedDocs/faqs/DE/themen/it-digitalpolitik/datenschutz/datenschutzgrundvo-liste.html
- Deine WordPress.com-Website und die DSGVO. (2022, 27. April). Support. Abgerufen am 26. Juli 2022, von https://wordpress.com/de/support/deine-website-und-die-dsgvo/
Entwicklungsgeschichte der Datenschutz-Grundverordnung. (o. D.). European Data Protection Supervisor. Abgerufen am 26. Juli 2022, von https://edps.europa.eu/data-protection/data-protection/legislation/history-general-data-protection-regulation_de
- RICHTLINIE (EU) 2016/680 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016, S. L 119/89
- Google Analytics datenschutzkonform einsetzen, DSGVO-Checkliste. (o. D.). traffic3. Abgerufen am 26. Juli 2022, von https://traffic3.net/wissen/webanalyse/google-analytics-datenschutz
- Münch, M. & Plutte, N. (o. D.). Insidertipps zur Datenschutz-Grundverordnung – Datenschutzkonforme Webseiten erstellen. OMT. Abgerufen am 26. Juli 2022, von https://www.omt.de/online-marketing/insidertipps-zur-datenschutz-grundverordnung-datenschutzkonforme-webseiten-erstellen/
- Siebert, S. & Haucke, A. (2018, 1. August). WordPress Tools & Plugins: Was ist nach DSGVO noch erlaubt? eRecht24. Abgerufen am 26. Juli 2022, von https://www.e-recht24.de/artikel/datenschutz/10964-dsgvo-wordpress-tools-plugins.html