Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die seit dem 25. Mai 2018 verbindlich in allen Mitgliedstaaten gilt. Auf EU-Ebene ist sie als Verordnung 2016/679 bekannt, international unter dem englischen Kürzel GDPR (General Data Protection Regulation). Sie legt einheitliche Regeln fest, wie Unternehmen und Organisationen personenbezogene Daten erheben, speichern und verarbeiten dürfen. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, also Namen, E-Mail-Adressen, IP-Adressen, Standortdaten und vieles mehr.
Was bedeutet das für Ihre Website?
Betreiben Sie eine WordPress-Website und sammeln Sie dabei auch nur eine einzige E-Mail-Adresse, unterliegen Sie bereits den Pflichten der DSGVO. Kontaktformulare müssen eine Einwilligungserklärung enthalten, sofern die Datenverarbeitung nicht zur Vertragserfüllung notwendig ist. Plugins, die Formulareingaben in der Datenbank speichern, müssen so konfiguriert sein, dass Nutzer Auskunft über ihre Daten verlangen und eine Löschung beantragen können. WordPress bietet hierfür seit Version 4.9.6 eine eingebaute Funktion unter Einstellungen > Datenschutz.
Externe Dienste stellen ein besonders häufiges Problem dar. Google Fonts, die direkt von Googles Servern geladen werden, übertragen die IP-Adresse des Besuchers ohne vorherige Einwilligung. Binden Sie Web-Fonts deshalb stets lokal ein oder nutzen Sie ein Plugin, das die Schriften beim ersten Aufruf herunterlädt und vom eigenen Server ausliefert. Ähnliches gilt für eingebettete Videos, Kartendienste oder Analyse-Tools. Alle diese Dienste benötigen eine gültige Rechtsgrundlage, in der Regel die ausdrückliche Einwilligung über einen Cookie-Banner. Schalten Sie diese Dienste erst nach erfolgter Einwilligung frei, nicht vorher.
Auch Ihr Hosting-Anbieter muss berücksichtigt werden. Jeder Anbieter, der für Sie personenbezogene Daten verarbeitet, muss per Auftragsverarbeitungsvertrag (AVV) gebunden sein. Seriöse Anbieter stellen diesen Vertrag im Kundenbereich bereit. Fehlt der AVV, ist die Nutzung des Hosters formal nicht DSGVO-konform, selbst wenn der Anbieter technisch sicher arbeitet. Prüfen Sie außerdem, ob Ihr Hosting in der EU oder zumindest in einem Land mit angemessenem Datenschutzniveau betrieben wird.
Bei einem Verstoß gegen die DSGVO drohen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für kleine Unternehmen und Selbstständige sind in der Praxis deutlich niedrigere Bußgelder üblich, doch auch Abmahnungen durch Wettbewerber können erhebliche Kosten verursachen.
Tipp
Führen Sie ein Verzeichnis der Verarbeitungstätigkeiten. Darin halten Sie fest, welche Daten Sie auf welcher Rechtsgrundlage zu welchem Zweck verarbeiten und wie lange Sie sie aufbewahren. Dieses Verzeichnis ist nach Art. 30 DSGVO für die meisten Unternehmen verpflichtend und schützt Sie bei einer Prüfung durch die Datenschutzbehörde. Für kleine WordPress-Websites reicht häufig ein einfaches Dokument mit Einträgen für Kontaktformular, Newsletter, Kommentarfunktion und eingebettete Dienste. Eine Datenschutzerklärung auf Ihrer Website ersetzt dieses interne Verzeichnis nicht, sondern ergänzt es.
Verwandte Begriffe
Datenschutzerklärung |
Cookie-Banner |
SSL |
Opt-in |
Hosting