Die DSGVO ist das EU-Datenschutzgesetz, das am 25. Mai 2018 in Kraft trat.
Ein paar Wochen vor diesem Datum gerieten viele unserer Kunden in Panik und baten uns um Hilfe bei der Implementierung der DSGVO in ihren WordPress-Blogs.
Ich habe versprochen, einen Artikel über die DSGVO zu schreiben, habe diesen aber erst jetzt, fast ein Jahr später, geschrieben. Das liegt daran, dass ich abwartete, welche Tools zur Erleichterung der Umsetzung auftauchen würden. Anschließend habe ich es auf meinen Websites dokumentiert und umgesetzt.
Zunächst einmal ist die DSGVO kein Grund zur Panik.
Es handelt sich um ein Gesetz des gesunden Menschenverstandes, das Websitebesitzer für die personenbezogenen Daten, die sie von Websitebesuchern sammeln, zur Rechenschaft ziehen will.
Denn die personenbezogenen Daten gehören diesen Personen und wir als Websitebesitzer können mit diesen Daten nicht machen, was wir wollen. Für die Erhebung und Verarbeitung der Daten auf eine bestimmte Art und Weise benötigen wir deren Einwilligung.
Ich habe einen einfachen Blog. Warum sollte ich die DSGVO einhalten?
Das war die am häufigsten gestellte Frage unserer Kunden, bei denen es sich überwiegend um kleine und mittlere unabhängige Verlage handelt.
Sie müssen konform sein, denn Sie speichern personenbezogene Daten, ohne es zu wissen.
Wenn Sie ein Video von YouTube einbetten oder Facebook-Teilen-Buttons auf Ihrer Website haben, werden Cookies im Browser des Besuchers gespeichert.
Diese Cookies gelten als personenbezogene Daten, da sie eine Person identifizieren können. Sie können den Besucher von einer Website zur anderen verfolgen oder demografische Profile usw. erstellen.
Das Problem ist, dass Ihre Website manchmal diese persönlichen Daten speichert. Das ist aber völlig unnötig, denn Sie nutzen die Daten nicht selbst.
Ok, was muss ich tun, um die DSGVO einzuhalten?
Nun, Sie müssen nachweisen, dass Sie die Rechte der Personen, deren personenbezogene Daten Sie speichern und verarbeiten, verstehen und respektieren.
Gleichzeitig sollten Sie diese Rechte tatsächlich respektieren und nicht nur in Ihre Datenschutzrichtlinie schreiben, dass Sie sie respektieren.
Wenn eine Person die Löschung ihrer Daten verlangt oder sich von Ihrem Newsletter abmeldet, müssen Sie den Wunsch der Person respektieren.
Wie ich oben sagte, sind das Dinge des gesunden Menschenverstandes. Wenn Sie Website-Besucher und Kunden respektieren, deren persönliche Daten Sie sammeln, sind Sie bereits auf dem richtigen Weg.
Der einfachste Weg, die DSGVO auf Ihrer WordPress-Site zu implementieren, ist die Verwendung einer externen Lösung, eines spezialisierten Dienstes wie:
Diese einfache Option ist nicht kostenlos. Aber es gibt keine Möglichkeit, die DSGVO einzuhalten, ohne zu zahlen – entweder Sie zahlen mit Geld oder Sie zahlen mit Zeit und Mühe.
Die Implementierung ist ziemlich kompliziert und erfordert sowohl Konfigurationen oder sogar Programmierung als auch die rechtliche Beratung durch einen spezialisierten Anwalt.
Wie ich meine WordPress-Site DSGVO-konform gemacht habe
Im Folgenden erzähle ich Ihnen, wie ich die DSGVO auf meinen WordPress-Websites umgesetzt habe. Ich muss erwähnen, dass ich kein Rechtsberater bin und dieses Tutorial keine Rechtsberatung darstellt.
Um DSGVO-konform zu sein, benötigen wir Folgendes:
- eine Seite mit Datenschutzrichtlinien
- Cookie-Informationen (diese können in der Datenschutzrichtlinie enthalten sein)
- Ausdrückliche Zustimmung zur Datenerhebung (Cookie-Banner-Hinweis)
- die Möglichkeit, die Einwilligung zu widerrufen
- Tools zur Ausübung von Rechten (Datenexport, Datenlöschung)
Tools zur Ausübung von Rechten sind seit Version 4.9.6 in WordPress integriert. Sie können personenbezogene Daten exportieren oder löschen, wenn Sie dazu aufgefordert werden. Wir haben Kontaktinformationen in unserer Datenschutzerklärung aufgeführt, damit jeder, der diese Rechte ausüben möchte, Kontakt zu uns aufnehmen kann.
Die Datenschutzerklärung
Die Datenschutzerklärung sollte folgende Informationen enthalten:
- die Kontaktinformationen des Seiteninhabers
- die Kontaktinformationen der nationalen Datenschutzbehörde
- die von Ihnen erfassten Daten
- wie Sie die Daten verwenden
- wer Zugriff auf die Daten hat
- Wie sichern Sie die Daten?
- Cookie-Informationen
- Welche Rechte haben die Personen, deren Daten Sie sammeln?
- Wie können sie ihre Rechte wahrnehmen?
Ein Datenschutzrichtlinienmodell finden Sie in der WordPress-Administrationsoberfläche. Gehen Sie zu Einstellungen > Datenschutz und klicken Sie dann auf den Link „Schauen Sie sich unseren Leitfaden an“.
Ich habe ein vom DSGVO-Framework-Plugin generiertes Datenschutzrichtlinienmodell verwendet, das ich mit den relevanten Informationen für jede meiner Websites geändert habe.
Nachdem Sie die Richtlinienseite erstellt haben, müssen Sie sie einem Navigationsmenü hinzufügen, normalerweise in der Fußzeile der Website.
Welche Daten wir sammeln und wofür wir sie verwenden
Im Rahmen der Datenschutzrichtlinie ist es auch wichtig anzugeben, welche personenbezogenen Daten Sie erfassen. Daher müssen wir wissen, welche personenbezogenen Daten wir erfassen.
Wie oben erwähnt, speichern wir manchmal Daten, ohne es zu wissen.
Um herauszufinden, welche personenbezogenen Daten wir erfassen, müssen Sie Ihre Website prüfen, um zu verstehen, wie sie funktioniert und wie sie Daten speichert. Jede Website ist anders, sie verwendet unterschiedliche Themes und Plugins und verfügt über unterschiedliche Implementierungen.
In einem einfachen Blog sammeln Sie Daten durch:
- das WordPress-Kommentarformular
- Von Plugins platzierte Cookies
Bei den durch das Kommentarformular erhobenen Daten handelt es sich um den Kommentator (Name, E-Mail-Adresse, Website) sowie die IP-Adresse und einen User-Agent. Diese Daten werden zur Spambekämpfung genutzt.
WordPress-Standardcookies sind diejenigen in Kommentaren (Name, E-Mail, Website) und zur Einhaltung der DSGVO. In Version 4.9.6 wurde ein Häkchen eingefügt, damit der Kommentator die Speicherung dieser Cookies in Ihrem Browser akzeptieren kann.
Daten für Online-Shops
Wenn Sie über einen Online-Shop verfügen, erfassen Sie auch Daten über das Bestellformular der Produkte/Dienstleistungen auf der Website. Sie dürfen diese Daten ausschließlich zur Abwicklung der Bestellung verwenden: Rechnungsstellung, Lieferung etc.
Andere Websites können Daten über Marketing-Plugins, Kontaktformulare oder Newsletter-Anmeldeformulare sammeln. Die Leute müssen wissen, was Sie mit den von Ihnen gesammelten Daten machen. Sie können keinen Newsletter an Personen senden, die diesen Newsletter nicht ausdrücklich abonniert haben.
Ein Trick, den einige Shops machten, bestand darin, ein vorab angekreuztes Kästchen auf der Checkout-Seite zu platzieren, und der Kunde wurde automatisch für den Newsletter angemeldet. Das ist nicht mehr legal. Du kannst die Box haben, wenn du sie möchtest. Es kann jedoch nicht vorab überprüft werden, der Besucher muss dies überprüfen, wenn er den Newsletter abonnieren möchte.
Verschiedene WordPress-Plugins können weitere Daten (Cookies) sammeln: Social-Media-Buttons, Tracking-Codes wie Google Analytics oder Einbettungen von anderen Seiten (z. B. YouTube-Videos).
All dies muss identifiziert werden, und sobald wir festgestellt haben, welche Daten wir sammeln und wie wir sie sammeln, müssen wir entscheiden, ob wir sie tatsächlich benötigen oder nicht.
Cookies identifizieren
Die einfache Möglichkeit herauszufinden, welche Cookies Ihre Website speichert, besteht darin, eine kostenlose Testversion eines der oben aufgeführten Dienste zu nutzen (z. B. OneTrust). Sie scannen alle Seiten Ihrer Website, listen alle Cookies auf und kategorisieren sie.
Die manuelle Methode
Die schwierige Methode besteht darin, Cookies manuell zu identifizieren.
Wenn Sie den Google Chrome-Browser verwenden, löschen Sie Cookies und Cache aus dem Browser, navigieren Sie dann zu Ihrer Website, klicken Sie mit der rechten Maustaste auf die Seite, klicken Sie dann auf „Inspizieren“, gehen Sie zum Abschnitt „Anwendung“, klicken Sie dann auf „Speicher“ und dann auf „Cookies“ (in Safari ist es „Inspect Element“) > Speicherung > Cookies).
Sie müssen alle Seiten der Website überprüfen, um Cookies zu identifizieren, was von Hand schwer zu bewerkstelligen ist.
Einige Seiten sind ähnlich, daher lohnt es sich, einen Blick darauf zu werfen:
- erste Seite
- Archive (Kategorien, Tags, Suche usw.)
- einzelne Beitragsseite
- Seiten, die Einbettungen von anderen Websites enthalten
- Newsletter-Abonnementseite
- Kontaktformularseite
- Seiten mit anderen Formularen oder Dingen, die Daten speichern (Umfrage usw.)
Wie Sie sehen, ist eine manuelle Überprüfung schwierig. Daher ist es am besten, einen speziellen Dienst zu nutzen, der alle Seiten der Website automatisch scannt.
Die automatische Methode
Sobald Cookies identifiziert sind, sollten sie in Kategorien unterteilt werden:
- wesentlich (Website kann ohne nicht funktionieren)
- Statistiken (z. B. Google Analytics)
- soziale Medien (Facebook, Youtube usw.)
- Werbung (Retargeting, Remarketing usw.)
Laut DSGVO müssen Besucher beim Betreten der Website darüber informiert werden, dass Sie Cookies speichern, Sie müssen ihnen mitteilen, welche Cookies Sie speichern, und sie müssen Ihnen die Einwilligung zur Speicherung dieser Cookies erteilen.
Es ist nicht in Ordnung, alle Cookies auf „wesentlich“ zu setzen und nur eine Schaltfläche „Akzeptieren“ zu haben; Cookies müssen für jede Kategorie akzeptiert oder abgelehnt werden.
Gleichzeitig müssen Sie auch über eine Cookie-Einstellungsseite verfügen, auf der der Besucher seine Einwilligung widerrufen kann, wenn er sie Ihnen in der Vergangenheit gegeben hat, oder die Einwilligung widerrufen kann, wenn er in der Vergangenheit abgelehnt hat und nun seine Meinung geändert hat.
Wenn ein Besucher beispielsweise beim Besuch der Website die Cookie-Kategorie für soziale Medien abgelehnt hat, sollten Social-Media-Skripte blockiert werden.
Kompliziert, oder?
Ja, ich habe kein WordPress-Plugin gefunden, das alles automatisch erledigt.
Plugins, die ich getestet habe
Die Plugins, die ich getestet habe, sind:
Zum Zeitpunkt meiner Tests schien keines davon vollständig zu sein, es waren zusätzliche Implementierungen erforderlich, von denen einige für einen durchschnittlichen Benutzer recht komplex waren.
Deshalb empfehle ich spezielle externe Lösungen, insbesondere für Websites, die Cookies speichern müssen. Ich spreche von Websites, die Retargeting, Remarketing, Conversion-Rate-Optimierung usw. durchführen.
Aber die meisten Websites müssen nicht alle diese Cookies speichern und könnten problemlos funktionieren.
Wenn wir keine Cookies sammeln, die als personenbezogene Daten gelten, ist es laut DSGVO-Gesetz nicht zwingend, die Zustimmung des Besuchers zum Speichern von Cookies einzuholen.
Wenn wir also nur unbedingt erforderliche Cookies speichern, müssen wir diesen Cookie-Banner-Hinweis nicht anzeigen und entfallen auch die komplexen Implementierungen von Blockierungsskripten und Cookie-Einstellungen.
Lassen Sie uns den Cookie-Banner-Hinweis loswerden
Ich finde es absurd, das Design und die Benutzererfahrung Ihrer Website zu ruinieren, indem ein Popup angezeigt wird, in dem Besucher aufgefordert werden, Ihnen die Erlaubnis zum Speichern von Cookies zu erteilen, die Sie nicht einmal benötigen oder verwenden.
Entfernen wir also nicht unbedingt erforderliche Cookies. Dies geschieht genau im Sinne des Gesetzes, nämlich, keine personenbezogenen Daten zu speichern, es sei denn, wir haben einen legitimen Grund dafür.
Ich habe die Cookies auf meiner Website bereits identifiziert und die problematischen (personenbezogenen Daten) sind:
- Google Analytics-Cookies
- Teilen-Button-Cookies (Facebook)
- Youtube-Cookies
So entfernen Sie Google Analytics-Cookies
Ich verwende keine demografischen Daten oder Remarketing in Google Analytics/Adsense/AdWords, daher benötige ich sie nicht.
Grundsätzlich müssen Sie in Ihrem Google Analytics-Konto vier Dinge tun:
- Akzeptieren Sie die Änderung der Datenverarbeitung
- Deaktivieren Sie die Datenfreigabe
- Deaktivieren Sie die Datenerfassung für Werbefunktionen
- Benutzer-ID deaktivieren
Dies ist das Tutorial, das ich für die Einrichtung aller oben genannten Schritte befolgt habe. Es wurde vom Entwickler des CAOS-Plugins geschrieben.
Danach besteht der letzte Schritt darin, die Besucher-IPs zu anonymisieren.
Ich habe das von mir verwendete Google Analytics-Plugin aufgegeben und den Tracking-Code manuell kopiert und den folgenden Code hinzugefügt.
ga('set', 'anonymizeIp', true);
CAOS verwenden – es verfügt in den Einstellungen über ein Häkchen für die Anonymisierung von IP-Adressen.
Okay, wir haben Google Analytics-Cookies entfernt, bei denen es sich um personenbezogene Daten handelt. Google Analytics funktioniert auch ohne Google Analytics einwandfrei.
So werden Sie Facebook-Cookies los
Bill Erickson und Jared Atchinson haben ein Plugin für die Schaltfläche „Teilen“ entwickelt, das mit der DSGVO konform ist. Das heißt, es speichert keine Cookies, keine Tracking-Skripte und überhaupt nichts, was persönliche Daten darstellt.
Das Plugin heißt Shared Counts .
Ich habe das Share-Button-Plugin durch dieses DSGVO-konforme Plugin ersetzt und daher die Facebook-Cookies entfernt.
So werden Sie Youtube-Cookies los
Ich habe auf einigen Seiten der Website Videos eingebettet, aber glücklicherweise sind es nicht viele, sodass ich sie manuell ändern kann. Wenn Sie mehr haben, können Sie mit einem WordPress-Plugin oder direkt in der Datenbank suchen und ersetzen.
Ich habe die URL „youtube.com“ im Einbettungscode durch die URL „youtube-nocookie.com“ ersetzt.
Das ist es.
Ich habe ermittelt, welche Cookies gespeichert werden, und diejenigen entfernt, die ich nicht benötigte, sodass nur die unbedingt notwendigen übrig bleiben, für die ich keine Einwilligung des Besuchers einholen muss, da sie nicht als personenbezogene Daten gelten.
Dadurch entfällt die Notwendigkeit, auf meiner Website ein Banner-Benachrichtigungs-Cookie zu verwenden.
Denken Sie daran, dass das, was ich oben gemacht habe, speziell für meine Websites war; Sie können andere Cookies auf Ihrer Website haben, jede Website ist anders.
Andere Überlegungen
Ich habe versucht, dieses DSGVO-Tutorial so einfach wie möglich zu gestalten, aber es ist eine sehr komplizierte Angelegenheit.
Was ich in diesem Artikel beschrieben habe, passt im Allgemeinen zu den meisten einfachen Websites wie meinem Blog oder meinem Unternehmen, aber für Shops oder andere Online-Unternehmen reicht es nicht aus, nur einige Dinge auf der Website zu implementieren, Sie benötigen auch einige administrative Implementierungen.
Wir haben zum Beispiel Folgendes getan:
- Wir haben einen DPO (Datenschutzbeauftragten) ernannt.
- Wir haben von allen Partnern, bei denen wir Daten speichern, eine DPA (Datenverarbeitungsvereinbarung) angefordert
- Wir entwerfen ein DPA, das wir unseren Kunden anbieten können
- Wir haben für unsere Mitarbeiter Schulungen zum Thema Datenschutz durchgeführt
Ich hoffe, dies hat Ihnen geholfen, Ihre WordPress-Website DSGVO-konform zu machen. Wenn ich etwas verpasst habe, können Sie gerne einen Kommentar hinterlassen. Ich versuche, Fragen zu beantworten oder Sie auf die relevanten Ressourcen weiterzuleiten.
Hinterlasse eine Antwort.