WordPress und die DSGVO

Am 25. Mai 2018 ist die von der EU erlassene DSGVO (Datenschutzgrundverordnung) in Kraft getreten. Ziel der DSGVO ist es, den Bürgern der EU mehr Kontrolle über ihre personenbezogenen Daten zu geben und dem eher lockeren Umgang von Unternehmen auf der ganzen Welt mit dem Datenschutz (z.b. Google, Facebook) etwas entgegenzusetzen.
So müssen Nutzer seit Mai beispielsweise erst um Erlaubnis gefragt werden, bevor gewisse Daten erhoben bzw. gespeichert werden dürfen. Für Webseitenbetreiber bedeutet es zudem, dass jede Webseite eine klar verständliche Datenschutzerklärung haben muss. Aus dieser muss hervorgehen, welche Daten gespeichert werden, wie sie verwendet werden sollen, und es muss dem Nutzer das Recht eingeräumt werden, die Einwilligung in die Verwendung personenbezogener Daten gegebenenfalls zu widerrufen. Was dann zu einer sofortigen Löschung der Daten führen muss.

Um die Verordnung im Hinblick auf Webseitennutzung und das WordPress-CMS besser zu verstehen, werde ich nachfolgend kurz auf die beiden wichtigen Hauptaspekte der DSGVO „Personenbezogene Daten“ und die „Verarbeitung von personenbezogenen Daten“ eingehen. Denn als personenbezogene Daten gelten seit dem 25. Mai nicht nur der Name, die E-Mail-Adresse, die Postadresse usw., sondern auch die eigentlich eher anonyme IP-Adresse eines Nutzers. Daher stellt selbst der einfache Speichervorgang einer IP-Adresse in den Webserver-Protokollen, jetzt eine Verarbeitung personenbezogener Daten eines Benutzers dar.
Denn IP-Adressen können durchaus dazu verwendet werden, Personen ganz gezielt herauszufiltern bzw. voneinander zu differenzieren, auch wenn sie nicht dazu dienen, sie tatsächlich mit Name und Adresse zu identifizieren. Aber man kann IP-Adressen für Tracking und Targeting verwenden und die Wahrheit ist, dass Internetriesen wie Google oder Facebook IP-Adressen im Zusammenspiel mit anderen gesammelten und freiwillig übermittelten Datenfragmenten, durchaus mit den echten dahinterstehenden Personen in Verbindung bringen könn(t)en.

WordPress DSGVO konform machen

Aber zurück zum eigentlichen Thema. Ist Ihre WordPress-Webseite DSGVO-konform? Welche Schritte müssen Sie unternehmen, um sicherzustellen, dass Sie die DSGVO-Richtlinien einhalten?

  • Von Hause aus besitzt WordPress (wie auch andere CMS und normale HTML-Webseiten) einige Funktionen, die ganz offensichtlich „personenbezogene Daten“ bzw. Benutzerdaten sammeln und abspeichern. Dazu zählen Benutzerregistrierungen, Kommentare oder auch Kontaktformular-Mails.
  • Ebenso sammeln und speichern die Protokolldateien der gängigen Webserver, einschließlich Apache Web Server, IIS und NGINX, aus Sicherheitsgründen Fehlermeldungen und Abrufstatistiken inklusive der jeweiligen IP-Adressen.
  • Darüber hinaus verwenden viele Webseiten-Besitzer bzw. WordPress-Seiten wahrscheinlich „Google Analytics“, um Besucher-Statistiken zu erhalten. Dies bedeutet automatisch, dass Sie somit auch personenbezogene Daten wie IP-Adressen, Benutzer-IDs, Cookies und andere Daten für das Verhaltensprofiling sammeln oder verfolgen. Natürlich nicht Sie persönlich, aber eben Google als Ihr sogenannter „Auftragsdatenverarbeiter“.
  • Sogar sogenannte APIs von Drittanbietern sammeln Daten. Ein gutes Beispiel dafür sind die verwendeten Google-Schriften von Webseiten, die oftmals in Ihrer WordPress-Vorlage fest verankert sind. Bei jedem Seitenaufruf werden diese Schriftarten dann von den Google-Servern geladen und an die IP-Adresse des Seitenbesuchers gesendet. Dadurch erfährt Google natürlich wiederum von dieser IP-Adresse und könnte diese speichern und weiterverarbeiten. Deshalb sollte man bzw. der Webdesigner darüber nachdenken, die Google-Schriften lokal auf dem eigenen Webspace zu speichern, um damit dem Problem aus dem Wege zu gehen.
  • Ähnliches gilt auch für das normale einbetten von Youtube-Videos, die man ab jetzt ausschließlich mit der No-Cookie-Variante einbinden sollte.
  • Und sobald man mit der Installation von diversen WordPress-Plugins beginnt, muss man eigentlich auch jedes dieser Plugins überprüfen, um sicherzustellen, dass diese keine IP-Adressen an Drittanbieter übermitteln oder gar Cookies setzen. Ansonsten kann man gleich damit anfangen, eine dieser unschönen und lästigen Cookie-Einwilligungsfunktionen (Cookie-Banner bzw. Cookie-Opt-In) auf seiner WordPress-Website einzurichten. Dies beginnt bei Jetpack und geht über so beliebte „Widgets“ wie Google-Maps oder die Facebook Like Box. Aber dies ist nur die Spitze des DSGVO-Eisbergs.

Kurz zusammengefasst, um Ihre WordPress-Webseite DSGVO-konform zu machen, sollten Sie (1) genauestens die verschiedenen Möglichkeiten unter die Lupe nehmen, mit denen Sie Besucherdaten sammeln. Als nächstes (2) müssen Sie Funktionen bereitstellen, um sicherzustellen, dass die Benutzer ihre Daten kontrollieren bzw. löschen können. Was teilweise durch ein WordPress-Update im Mai erfolgte. Zusätzlich (3) ist es wahrscheinlich ratsam, lediglich Benutzerdaten zu sammeln, die unbedingt nötig sind (wie z.B. bei Kontaktformular-Mails). Und vor allem, (4) wenn Sie umfangreiche Vorlagen mit vielen Funktionen und zahlreichen Plugins von Drittanbietern verwenden, müssen Sie immer sicherstellen, dass diese ebenfalls jetzt DSGVO-konform sind.

Noch ein Wort in eigener Sache. Ich habe für meine WordPress-Kunden im April/Mai alle nötigen Maßnahmen ergriffen, damit die Webseiten jetzt weitestgehend DSGVO-konform sind. Da ich selbst kein Anwalt bin, handelt es sich bei meinen Ausführungen und Maßnahmen immer um meine persönliche Meinung und eigene Interpretationen der DSGVO. Auch konnte und kann ich keine Rechtsberatung in solchen Fällen leisten.

Vielleicht ist die ganze Panikmache rund um die Einführung der DSGVO auch komplett übertrieben und alles nicht so schlimm, wie es im ersten Moment klingt. Allerdings ist Deutschland auch bekannt für seine abmahnfreundigen Anwälte und vieles in der DSGVO ist doch recht schwammig formuliert. Zum Beispiel kann man laut DSGVO immer sagen, dass man ein Feature (z.B. ein Cookie oder die Google-Maps-Karte) aus einem bestimmten geschäftlichen Grund unbedingt benötigt. Denn ein „berechtigtes Interesse“ ist laut DSGVO immer eine Alternative zur Einwilligung durch den Nutzer. Das Problem mit dem berechtigten Interesse ist jedoch, dass eine solche Formulierung immer offen für die unterschiedlichsten Auslegungen ist. Die Frage bleibt und muss wahrscheinlich erst in Einzelfällen durch Gerichte geklärt werden: Wann darf man als Unternehmer bzw. Webseitenbetreiber sein Interesse an erster Stelle stellen und wann muss man zurückstecken und erst einmal den Nutzer um Erlaubnis bitten?