🔥 Meet COSMO - Our newest WordPress Theme for Bloggers
WordPress & Tech / 7 mins

Die DSGVO und WordPress – Was du als Blogger jetzt wissen musst

Image Credit: Iga from Iga Wysocka

Als Blogger hast du bestimmt schon von der neuen Datenschutzgrundverordnung (kurz DSGVO) der EU gehört, die ab 25. Mai offiziell in Kraft tritt. Sie zielt darauf ab die Rechte und Daten von Website-Besuchern innerhalb der EU besser zu schützen und ist daher eine sehr wichtige Sache für dich als Blogger und Website Admin.

Du hast vielleicht auch davon gelesen, dass es empfindliche Strafen gibt für all diejenigen, die die neuen Regeln nicht umsetzen. Das wichtigste aber gleich vorweg: Keine Panik! Panikmache ist wirklich unangebracht, denn du hast noch jede Menge Zeit dich für deinen Blog mit der DSGVO auseinanderzusetzen und entsprechende Maßnahmen einzuleiten.

In diesem Beitrag wollen wir dir zeigen, welche Maßnahmen wir umgesetzt haben, welche Probleme auftauchen können und was die DSGVO allgemein für Fashion und Lifestyle Blogger, die mit WordPress bloggen, bedeutet. Die Checkliste, die du weiter unten findest, fasst zusammen, was wir schon getan haben, was noch geplant ist und hilft dir hoffentlich dabei, die DSGVO für dich und deinen Blog umzusetzen.

Disclaimer: Wir sind keine Juristen oder Datenschutz-Experten und übernehmen daher keine Haftung! Dieser Post stellt keine Rechtsberatung dar und wir erheben keinen Anspruch auf Vollständigkeit und Richtigkeit der dargestellten Inhalte.

 

3 Schritte zur Umsetzung der DSGVO

1. Überprüfe wo und wie dein Blog bisher Daten von deinen Besuchern sammelt (z.B. bei Kontaktformularen, Newsletter Anmeldungen, Plugins etc.) und welche Informationen dort genau gespeichert werden. Damit kannst du ein sogenanntes Datenverarbeitungsverzeichnis anlegen, das die DSGVO auch ausdrücklich fordert.
2. Überprüfe welche dieser Daten wirklich notwendig sind und sortiere aus, was du nicht unbedingt brauchst, um dir die Anpassung zu vereinfachen.
3. Alles Verbleibende kannst du nun auf DSGVO-Tauglichkeit prüfen und deinen Blog entsprechend anpassen. Die folgende Checkliste behandelt die wichtigsten Themen, die uns dabei immer wieder begegnet sind.

 

DSGVO Checkliste für WordPress Blogs

Das ist unsere aktuelle DSGVO-Checkliste mit den wichtigsten Punkten für WordPress-Seiten und Blogs. Wir werden sie regelmäßig updaten, sobald es neue Informationen gibt, zum Beispiel von WordPress.

SSL Verschlüsselung

Dass der Datenverkehr von und zu deinem Blog mit SSL verschlüsselt ist, erkennst du daran, dass ein “https” und ein kleines grünes Schloss vor deiner URL im Browser stehen. Wenn das nicht der Fall ist, solltest du die Verschlüsselung bei deinem Hoster unbedingt einrichten. Sie ist von der DSGVO zwar nicht zwingend vorgeschrieben, allerdings machen die nachfolgenden Punkte wenig Sinn, wenn alle Daten unverschlüsselt übertragen werden.

Datenschutzerklärung anpassen

Einer der wichtigsten Punkte ist die Anpassung deiner Datenschutzerklärung. Darin erklärst du deinen Besuchern, welche Daten du erhebst und wozu, außerdem welche Drittanbieter Services du nutzt. Es gibt mittlerweile einige Generatoren, die eine DSGVO-kompatible Datenschutzerklärung anbieten. Wir haben uns für den Datenschutz-Generator von Dr. Schwenke entschieden (Achtung, gilt aktuell nur für Kleinunternehmer!).
Außerdem solltest du Seiten wie die, auf der deine Datenschutzerklärung zu finden ist, oder auch dein Impressum für Suchmaschinen unauffindbar machen. Das kann dich vor automatischen Abmahnungen schützen. Dafür stellst du sie auf ‘no index’ und am besten auch ‘no archive’. Dieser Artikel erklärt wie du Seiten bei WordPress auf noindex setzt.

Außerdem sollte der Link zu deiner Datenschutzerklärung immer sichtbar, sowie von jeder Seite aus in höchstens zwei Klicks erreichbar sein, und darf beispielsweise nicht von der Cookiebar verdeckt werden (checke auch die mobile Ansicht). Am besten platzierst du den Link in deinem Menü oder im Footer.

ADV mit deinem Hoster abschließen

Wenn du deine WordPress Seite nicht auf einem eigenen Server hostest, sondern auf einem Shared Hosting, dann sammelt dein Hoster mit Sicherheit auch personenbezogene Daten (IP-Adressen) deiner Website-Besucher in seinen Logfiles.
Daher musst du auch mit deinem Hosting-Provider einen Auftragsdatenverarbeitungsvertrag abschließen – frage dazu am besten bei deinem Hoster nach, ob er einen solchen Vertrag schon anbietet, ansonsten findest du hier eine Liste mit vielen bekannten Hostern.
Hostest du so wie wir bei all-inkl, kannst du dort das Logging von IP-Adressen übrigens ausschalten.

Formulare (Kontakt, Kommentare, Newsletter & Co.)

Wenn du Formulare auf deinem Blog eingebunden hast, über die dich Nutzer kontaktieren können oder dir Kommentare hinterlassen können (was auf so ziemlich jedem Blog der Fall sein wird), musst du deine Nutzer darüber informieren, dass die eingegebenen Daten gespeichert und z.B. für die Beantwortung der Anfrage oder die Veröffentlichung des Kommentars genutzt werden.
Für die normale WordPress Kommentarbox wird es hoffentlich noch eine Lösung von WordPress selbst geben (oder du nutzt eine Plugin-Lösung wie das unten beschriebene GDPR Framework), um Kontaktformulare oder auch Anmeldungsformulare für Newsletter musst du dich hingegen selbst kümmern.

Share Buttons und Social Embeds

Viele Social Share Plugins und Embeds, wie zum Beispiel die Facebook Page Like-Box, sind wahre Datenkraken. Wenn du auf Nummer sicher gehen möchtest, musst du alle Share-Buttons, die schon beim Besuchen der Seite Daten senden (ein Idikator dafür kann beispielsweise sein, dass die Anzahl der Shares angezeigt wird), löschen. Datenschutzrechtlich undenklich sind Share Icons, die nur aus einem Link bestehen, wie zum Beispiel in allen unseren Themes eingesetzt, oder das Social Plugin Shariff, das ich weiter unten noch einmal im Detail vorstelle.
Bindest du Inhalte von deinen Social Media Kanälen auf deinem Blog ein, zum Beispiel von Pinterest, Facebook oder Instagram, musst du vorsichtig sein. Einige dieser Dienste speichern Nutzerdaten und verfolgen die Nutzer über die sozialen Netzwerke hinaus. Das Einbinden von Instagram-Bildern über das CDN von Instagram ist beispielsweise kritisch, da nicht sicher ist, ob Instagram in diesem Fall IP-Adressen speichert. Ähnliches gilt für Embeds von Affiliate-Netzwerken. In diesen Fällen solltest du dich genau informieren, ob der Anbieter Daten deiner Nutzer speichert und eventuell sogar weitergibt. Dann musst du zuerst die Einwilligung des Nutzers einholen, bevor du die Tracking Links einsetzen kannst.

Newsletter (Mailchimp)

Versendest du einen Newsletter über Mailchimp und speicherst daher E-Mail-Adressen und eventuell weitere Daten von Nutzern, musst du das nicht nur in deiner Datenschutzerklärung deutlich machen, sondern auch bei jedem Newsletter-Formular. Wir haben hier eine extra Seite eingerichtet, auf der wir genau erklären, was unser Newsletter enthält, wie oft wir ihn verschicken, welche Daten erhoben werden etc. Den Link dazu haben wir zum Anmelde-Formular in den Footer gepackt, um es für unsere Nutzer verständlicher zu machen, wofür sie sich genau anmelden.
Außerdem fällt auch mit Mailchimp ein Auftragsdatenverarbeitungsvertrag an – hier gibt es das Exemplar, das du ausfüllen und an Mailchimp senden kann.

Google Analytics

Google Analytics und User Tracking ist für viele Blogger wichtig, um Rückschlüsse auf ihren Traffic und das Nutzerverhalten zu bekommen. Die gute Nachricht ist: Google Analytics lässt sich datenschutz- und DSGVO-konform nutzen, es sind nur einige Schritte dazu notwendig.
Zunächst musst du die Verwendung von GA in deine Datenschutzerklärung aufnehmen und dort eine Möglichkeit zum Opt-Out bereitstellen. Dafür eignet sich zum Beispiel das Plugin GA Opt-Out.
Außerdem müssen die getrackten IP-Adressen anonymisierst werden. Wenn du ein Plugin zur Einbindung von GA nutzt, findet sich die Option meistens in den Einstellungen. Hast du den Code manuell eingebunden, findest du hier eine Anleitung.
Zusätzlich musst du auch mit Google einen Auftragsverarbeitungsvertrag abschließen.

Hier gibt es noch einmal eine ausführliche Anleitung zur datenschutzkonformen Nutzung von Google Analytics.

Google Fonts selbst hosten

Die meisten modernen Webseiten und WordPress Themes kommen kaum mehr ohne Webfonts und viele nicht ohne Google Fonts aus. Sie sind ja auch unheimlich praktisch – das Problem ist nur, dass die Schriften bei jedem Seitenaufruf von Googles Servern geladen werden müssen, wozu dein Blog die IP-Adresse deiner Nutzer überträgt.
Die bessere Lösung ist alle Schriften, die du nutzt, selbst zu hosten. Dafür eignet sich das Plugin Use Any Font. Dieses lädt die Fonts automatisch auf deinen eigenen Webspace hoch und lädt sie von dort in dein Theme. Falls dein Theme Google Fonts nutzt und sich diese nicht deaktivieren lassen, solltest du den Theme Support kontaktieren oder das Plugin Remove Google Fonts References ausprobieren.

Gravatar & WP Emojis

Auch um die eigentlich total harmlosen Avatar-Bilder und die Emojis in deinen Kommentaren zu laden wird die IP-Adresse des Nutzers zu WordPress in die USA übertragen. Daher solltest du die Verwendung von Gravataren und den WordPress Emojis unbedingt in deiner Datenschutzerklärung vermerken.
Wenn du sie deaktivieren möchtest, kannst du das für Gravatare unter Einstellungen > Diskussion > bei “Avatare anzeigen” das Häkchen entfernen und für die WP Emojis wie hier beschrieben tun. Unsere Themes haben Emojis übrigens deaktiviert, da man so zusätzlich an der Performance schrauben kann.

Antispam Plugin

Um deinen Blog vor Spam-Kommentaren zu schützen, solltest du in jedem Fall ein Antispam Plugin nutzen. Das sehr beliebte Akismet, das standardmäßig in WordPress installiert ist, ist jedoch nicht mit der DSGVO konform und sollte daher nicht verwendet werden. Eine sehr gute Alternative ist Antispam Bee, das auch wir schon seit Jahren nutzen. Es filtert Spam-Kommentare sehr zuverlässig und biete viele Einstellungsmöglichkeiten.
Wichtig: Entferne in den Einstellungen die Häkchen bei “Öffentliche Spamdatenbank berücksichtigen” und “Kommentare nur in einer bestimmten Sprache zulassen”.

 

Dein Action Plan zur DSGVO:

1. Werde dir über die Daten, die du über deinen Blog sammelst, klar und lege ein Verarbeitungsverzeichnis an
2. Kümmere dich um eine SSL-Verschlüsselung für deinen Blog
3. Aktualisiere deine Datenschutzerklärung
4. Checke deine Plugins (Antispam, Share etc.) und Embeds (FB, Pinterest, Youtube etc.)
5. Checke ob dein Theme Google Fonts oder andere externe Ressourcen lädt
6. Mache deine Newsletter-Anmeldung und deine Kontaktformulare DSGVO-konform
7. Achte auf eine datenschutzkonforme Nutzung von Google Analytics
8. Bleib auf dem Laufenden zu Änderungen an WordPress & Co.
9. Keep calm and don’t panic!

 

Pinne unseren Action Plan für später:

 

WordPress Plugins zur DSGVO Compliance

Es gibt bereits einige Plugins, die dabei helfen sollen die Compliance von WordPress mit der DSGVO herzustellen. Einige habe ich bereits oben erwähnt, andere könnten für die eine oder den anderen von euch vielleicht eine nützliche Ergänzung sein:

Remove IP: WordPress speichert zu jedem Kommentar auch die IP-Adresse – womit man praktisch keine anonymen Kommentare verfassen kann, da es sich auch dabei um personenbezogene Daten handelt. Ob das Löschen dieser Adressen im Zusammenhang mit Kommentaren sinnvoll ist (Stichwort Strafverfolgung), ist umstritten. Willst du es dennoch tun, hilft das Plugin Remove IP dabei, dass bei allen neu angelegten Kommentaren die IP nicht mehr in deiner WordPress Datenbank gespeichert wird.

Shariff Wrapper: Eine super Alternative zu “normalen” Textlinks als Share Buttons. Das Plugin bietet eine große Auswahl an verschiedenen Diensten und außerdem die Möglichkeit, die Anzahl der Shares auch weiterhin, aber datenschutzkonform anzuzeigen.

The GDPR Framework: Möchtest du nicht darauf warten, dass WordPress eine datenschutzkonforme Lösung anbietet, kannst du mit diesem Plugin zumindest ein paar Schritte unternehmen, um WordPress DSGVO-konform zu machen und gleichzeitig deinen Nutzern die Möglichkeit geben, alle zu ihnen gespeicherten Daten einzusehen und zu löschen (das sogenannte “Recht auf Vergessenwerden”). Funktioniert außerdem mit den Kontaktformular-Plugins Gravity Forms und Contact Form 7.

Falls du dir unsicher bist, welche Plugins du guten Gewissens verwenden kannst, gibt es hier bei Blogmojo eine großartige Übersicht über 120 Plugins und ihre DSGVO-Konformität.

Und was ist mit meinem WordPress Theme?

Wir arbeiten daran bis zum 25. Mai alle unsere Themes fit für die DSGVO zu machen. Wenn du ein Theme aus der neuen Kollektion (Madrid, Paris, XO) gekauft hast oder noch vor hast zu kaufen, bekommst du dafür ein automatisches Update direkt in dein WordPress-Dashboard, sobald es verfügbar ist. Für unsere älteren Themes (Front Row, Pink) schreib’ uns einfach eine E-Mail und wir schicken dir die geupdatete Version zu, die du direkt bei WordPress hochladen kannst.

Für Themes anderer Entwickler kontaktierst du am besten diese direkt und fragst nach den Anpassungen für die DSGVO.

Es gibt viele nützliche Plugins, mit denen du dein Theme DSGVO-konform hinbiegen kannst, allerdings finden wir, dass hier Theme-Entwickler in der Pflicht sind. Jedes Plugin hat potenziell Einfluss auf die Performance deines Blogs und viele Dinge, die sich im Code schnell und einfach lösen lassen (z.B. die Entfernung von Google Fonts), sollten nicht die Installation eines separaten Plugins erfordern.

Mehr interessante Artikel zur DSGVO & Datenschutz-Konformität deines WordPress Blogs:

Diese Post ist eine kurze Zusammenfassung wie wir die DSGVO implementiert haben und was für WordPress Blogs wichtig ist. Darüber hinaus gibt es aber noch einige andere Dinge zu beachten, Stichwort Datenverarbeitungsverzeichnis & Co. Daher möchten wir hier weitere Artikel sammeln, die wir hilfreich gefunden haben und die hoffentlich noch mehr Licht in den DSGVO-Dschungel bringen.

Zur Nutzung von Mailchimp: https://drschwenke.de/mailchimp-newsletter-datenschutz-muster-checkliste/

Beispiel für Verarbeitungsverzeichnisse für kleine Unternehmen: https://www.lda.bayern.de/de/kleine-unternehmen.html

Mehr Informationen zu Google Maps, Recaptcha und Youtube: https://kerstin-paar.de/dsgvo-checkliste-website-blog/

So stellst du deinen Blog auf https um: https://www.blogmojo.de/wordpress-auf-https-umstellen/

 

Falls du Fragen oder Anmerkungen hast, eines unserer Themes nutzt oder vielleicht noch mehr Tipps hast, wie man die DSGVO für WordPress umsetzen kann, freuen wir uns über eine Mail von dir: hello@munichparis.com