Administration Webshops Websites
Datenschutz auf Websites - netzwerk.design
Foto | Icket on AdobeStock

Datenschutz auf Websites

5 Min.

Als Webseitenbetreiber sind wir für unsere Website verantwortlich. Das jeweils gültige Datenschutzrecht müssen wir also zwingend umsetzen. Was ist konkret zu tun?

Diesen Beitrag ergänze ich laufend und gehe Schritt für Schritt mit Ihnen durch die Themen, die für Ihre Website wichtig sein können. 

Haftungsausschluss: Dieser Beitrag stellt keine rechtliche Beratung dar oder ersetzt gar die Konsultation eines Rechtsanwaltes. Er basiert auf meiner eigenen Recherche, Fortbildungen und Erfahrungen zu diesem Thema. Für die Richtigkeit kann ich keine Haftung übernehmen. Als umfassende Lektüre zum Thema Datenschutz und WordPress empfehle ich darüber hinaus die unten angeführten Quellen.

Die DSGVO gilt grundsätzlich für jeden Webseitenbetreiber, ausgenommen sind lediglich rein private Webseiten, die nicht öffentlich zugänglich sind.

Personenbezogene Daten

Zu schützen sind alle personenbezogenen Daten, dazu zählen:

  • Name
  • Adresse
  • Email-Adresse
  • Telefonnummer
  • Geburtsdatum
  • Kontodaten
  • Standortinformationen
  • IP-Adressen

Da schon mit Aufruf einer Webseite auch die IP-Adresse übermittelt wird, ist klar, dass die EU-Verordnung für jede Webseite zur Anwendung kommt.

Die in der DSGVO neu formulierten Grundsätze des Datenschutzes sind: Rechtmäßigkeit der Datenverarbeitung, Datensparsamkeit, Zweckbindung, Datensicherheit, Übermittlung in Drittländer, Betroffenenrechte, Unabhängige Aufsicht, Effektive Durchsetzung.

Persönliche Daten dürfen verarbeitet werden, wenn a) eine gesetztliche Grundlage besteht oder b) hierfür eine ausdrückliche Einwilligung vorliegt, sonst nicht. Es dürfen nur wirklich nötige Daten für den jeweiligen Zweck erhoben werden. Und entfällt dieser Zweck, müssen die Daten gelöscht werden (Bsp. Austragung aus dem Newsletter-Abonnement). Das hat Konsequenzen auch auf vorhandene Datenbestände.

Schritt für Schritt

WordPress und Datenschutz

Manches in der folgenden Liste ist selbstverständlich, es sei aber trotzdem noch einmal hier genannt. Beispielsweise sorgt man als Website-Betreiber nicht für die nach dem Stand der Technik bestmöglichen Datenschutz, wenn man nicht regelmäßig aktuelle Updates einspielt.

  1. WordPress, Ihr Theme und alle Plugins immer auf dem aktuellen Stand halten (Update-Administration).
  2. Ebenso alle serverseitigen Techniken (PHP, MySQL, Linux, Apache, etc.). Einstellungen beim Hoster prüfen und ggfs. updaten.
  3. Verschlüsseln Sie die Datenübertragung Ihrer Website (https / SSL).
  4. Für jeden WordPress-Login ein starkes Passwort wählen. Wichtig!
  5. Regelmäßige Datensicherungen (Backups). Am besten täglich. Informieren Sie sich auch über die Einspielmöglichkeit von Backups, das spart im Notfall Zeit und Nerven.
  6. Beauftragen Sie Dritte die von Ihnen erhobenen persönlichen Daten zu verarbeiten, muss mit diesen ein Vertrag zur Auftragsverarbeitung geschlossen werden, klassische Fälle sind Ihr Hoster, Google Analytics oder Newsletterdienste.
  7. Verwendet Ihre Seite Google-Fonts? Wahrscheinlich ja! Dann sollten Sie diese Fonts lokal auf Ihrem Server einbinden und den Zugriff auf den Google-Server unterbinden, womit sowohl ein Datensicherheit wie auch Geschwindigkeitsvorteil erreicht sind.
  8. Prüfen Sie alle eingesetzten Plugins daraufhin, ob sie personenbezogene Daten erheben und speichern, Beispiele sind WooCommerce, Newsletter-Plugins, Analyse-Plugins, etc.
  9. Vermeiden Sie Plugins von Diensten, die personenbezogene Daten (meist IP-Adressen) auf Server außerhalb der EU weiterleiten. Beipiele sind MailChimp (Newsletter-Dienst), iThemes Security (Website-Schutz).
  10. Anonymisieren Sie die IP-Adressen in jeder Analyse-Software (z.B. Google Analytics).
  11. Kontaktformular: Integrieren Sie eine Zustimmungs-Checkbox zur Datenverarbeitung als Pflichtfeld.
  12. Newsletter-Abo-Funktion: integrieren Sie eine Zustimmungs-Checkbox zur Datenverarbeitung als Pflichtfeld.
  13. Stellen Sie sicher, dass Ihr Webserver ausgehende Mails verschlüsselt sendet, z.B. mit einem SMTP Plugin (SMTP Server-Port 465 oder 587).
  14. Anonnymisieren Sie die IP-Übermittlung bei Blog-Kommentaren.
  15. Deaktivieren Sie die Avatar-Anzeige in WordPress.
  16. Aktualisieren Sie Ihre Datenschutzerkärung – regelmäßig!
  17. Führen Sie ein Verzeichnis von Datenverarbeitungstätigkeiten.
  18. Melden Sie sich im Falle einer Datenpanne (z.B. wenn Deine Seite gehackt wurde) innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde (Datenschutzbeauftragter des jeweiligen Bundeslandes)

Link zum Landesbeauftragten für Datenschutz in Bayern

Bei der Umsetzung des neuen Datenschutzrechtes auf Ihrer Website berate und unterstütze ich Sie

Als eRecht24 Agentur-Partner kann ich meine Kunden bei der Umsetzung einer korrekten Datenschutzerklärung nach DSGVO und beim Thema Impressum unterstützen. Bestandteil meiner Leistungen im Bereich Website-Erstellung ist selbstverständlich auch die Unterstützung bei der Umsetzung einer DSGVOkonformen Datenschutzerklärung und praktischer, anwaltlich geprüfter Inhalte zur DSGVO.

Als Webentwickler biete ich Ihnen die programmtechnische Umsetzung und die Integration rechtskonformer Tools. Die meistbetroffenen Funktionsbereiche einer Website seien hier schon einmal genannt: Verschlüsselung, Cookie-Notice, Vermeidung externer Serverzugriffe, Formularanpassungen, Teilen-Funktion, lokale Einbindung von Google-Fonts und Symbolschriften, Newsletter-Verwaltung, Backup sowie Update-Administration.

Urheberrechte (off-topic)

Etwas das zwar thematisch nicht zur DSGVO gehört, aber bei vielen Websites eine Gefahr für Abmahnungen darstellt, ist das deutsche Urheberrecht. Geschützt sind Bilder, Fotos, Videos, Lieder und Texte. Nur selbst erstellte Inhalte können problemlos genutzt werden. Werden fremde Inhalte genutzt, muss mit dem Urheber (z.B. Fotograf, Texter) oder dem Rechteverwerter (z.B. Bildagentur) ein passender Lizenzvertrag geschlossen werden. Der Urheber muss zudem am Werk genannt werden, nach deutschem Urheberrecht genügt die Nennung im Impressum nicht. Letzteres wird oft nicht beachtet und sollte ggfs. korrigiert werden.

Vgl. auch eRecht24 zum Urheberrecht

Ich biete meinen Kunden die korrekte Urhebernennung für ihre Website an.

Lesen Sie dazu meinen Beitrag:

Warum gehört der Urheber ans Werk?

UST-ID und Steuernummer (off-topic)

Ebenfalls manchmal falsch gemacht wird die Angabe der Steuernummer auf einer Website. Deshalb: Schon gewusst? – In das Impressum gehört – wenn vorhanden – die UST-ID. Für Kleinunternehmer nach §19 UStG gilt: es ist auf den Kleinunternehmerstatus zu verweisen. Aber: die Steuernummer gehört nicht auf die Website! Mit ihr könnte man möglicherweise Auskunft über steuerliche Belange von Ihnen bei Ihrem Finanzamt erlangen.

Vgl. auch IHK-Ratgeber zur Umsatzsteuer-Identifikationsnummer