DSGVO und Ihre WordPress-Installation – Was Sie wissen sollten!

Mit der Datenschutz-Grundverordnung (DSGVO), die Ende Mai 2018 in Kraft tritt, hat sich die EU wieder einmal selbst übertroffen. Eine Goldgrube für Rechtsanwälte, Business-Coaches und allerlei Experten, für die scheinbar ein goldenes Zeitalter anbricht. Kleine Unternehmer und mittelständische Betriebe, die mit Datenverarbeitung nichts am Hut haben, kann ich nur warnen, teures Geld für Beratungen oder gar Maßnahmen an dieser Stelle auszugeben. Gerade diese Beratungen, E-Books und Seminare schießen wie Pilze aus dem Boden und wollen allesamt nur Ihr Bestes – Ihr Geld. Das ist woanders besser aufgehoben. Was absolut fehlt in der Debatte um dies neue Datenschutzgrundverordnung sind die Stimmen der Vernunft.

Zuallerest betrifft die neue Datenschutzgrundverordnung die Hoster. Hoster sind Betriebe, die tatsächlich Daten verarbeiten, wie auch die Big 5 im Internet. Wir kleinen Website-Betreiber verarbeiten in der Regel keine Daten und erhalten nur solche, mit denen unsere Geschäftstätigkeit aufrechterhalten bzw. gewährleistet wird. Habe ich keine gültige Rechnungsadresse, kann ich nichts verdienen, kenne ich die Mail-Adresse meines Kunden nicht, kann ich ihm keine Website gestalteten. Deshalb sollte jeder als erstes seinen Webhoster fragen. Nach der Anonymisierung der IP-Adressen in den Logfiles und nach dem Auftragsverarbeitungsvertrag.

Update vom 19. Mai 2018: Nur wenige Tage vor dem Inkrafttreten der EU-Datenschutzverordnung DSGVO wird klar, dass die Panikmache im Netz uns zu unnötigen und mit Kosten verbundenen Maßnahmen verleitet. Beispielsweise wird in diesem hörenswerten Podcast von Rechtsanwalt Stephan Hansen-Oest klar erklärt, dass bei Mail-Formularen keine Extra-Checkbox für eine Einwilligung notwendig ist. Eine Meinung, die ich intuitiv schon lange vertrete, aber aus „Sicherheitsgründen“ meinen Kunden etwas anderes rate. Genau darauf wird hier eingegangen.

Machen wir uns zunächst bewusst, worum es eigentliche geht: „Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.“
Quelle: https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung

„Personenbezogene Daten“ ist natürlich ein sehr weitläufiger Begriff. Er bezeichnet alle Daten und Kennzeichnungen, die mit einer bestimmten Person in Zusammenhang gebracht werden können, wie etwa Geschlecht, Alter, Adresse, E-Mail und IP-Adresse, mit der Sie im Internet surfen. Wirklich sensible Daten können über den Besuch einer Website nicht erhoben werden, wenn die nicht aktiv abgefragt werden. In Geschäftskontakten werden meist Kontaktdaten, eine gültige Rechnungsadresse, die Kontoverbindung und Zugangsdaten benutzt. Diese sind für die Geschäftstätigkeit unerlässlich und werden freiwillig gegeben. Verarbeitet werden diese Dinge nicht, als dass sie auf dem Mail-Server und auf dem des Geschäftspartners gespeichert werden. Hier kann im Prinzip ein abmahnfähiges Vergehen erzeugt werden. Dabei ist es natürlich selbstverständlich, dass keine Daten an Dritte weitergegeben werden.

Der kritische Punkt sind die externen Dienste, die auf der Website eingebunden werden. Meist sind es Unternehmen, die Ihre Server im Ausland haben, wie etwas Twitter, Facebook, Google, Amazon usw. Was diese mit den Daten, die ein Website-Besucher hinterlässt machen, liegt in der Regeln nicht in Ihrer Hand. Aber alle diese Unternehmen sind daran interessiert, der neuen DSGVO zu entsprechen und haben Sie vielleicht schon über die technischen Neuerungen per Mail in Kenntnis gesetzte und ihre Allgemeinen Geschäftsbedingungen angepasst. Meine Hoster haben mir jedenfalls eine entsprechende Mail geschickt, die die Verarbeitung der Daten aus dem Betrieb einer Website und einer Mailbox entstehen. An dieser Stelle sind Sie als Webseiten-Betreiber eben nicht alleine haftbar, das in unseren Zusammenhang ein viel zu starkes Wort ist. Für uns Website-Betreiber ist vor allem die E-Privacy-Verordnung von belang.

Ich kann nur immer wieder sagen: Lassen Sie sich nicht verunsichern!
Einen wunderbaren Kommentar entdeckte ich am 15. Mai 218 auf Facebook in der Gruppe DSGVO für Blogger & Online-Unternehmer: „Die Rechtsunsicherheit ist beim Laien (uns Bloggern) so groß, dass ein verklausuliertes Abmahnschreiben die Panikschwelle auf der nach oben offenen Hektikskala in ungeahnte Höhen schnellen lässt. Einzigartig in einem Rechtsstaat. Wenn du nicht wegen Mordes in den Knast willst, morde nicht. Wenn du nicht wegen Diebstahl sitzen möchtest, stehle nicht. Wenn du DSGVO-konform sein möchtest, tu, was du kannst… es wird nicht ausreichen… Man wird dir die Unterwelt des Internets um die Ohren hauen. Und zwar genau die Unterwelt, die durch Datensammlung exisitert. Google und Co … Dann mal munter drauf los in das letzte echte Abenteuer auf diesem Planeten.“
Zitat von Arndt Stroscher

EU-Datenschutz-Grundverordnung (DSGVO): Was erwartet dich?

DSGVO und Ihre WordPress-Seite

Um Ihre WordPress-Installation nach der neuen Verordnung datensicher zu machen, sind nicht viele Schritte erforderlich. Allerdings kommt es darauf an, was Sie mit Ihrer Website machen, also welche Daten sie erheben. Auf dieser Seite werden keine sensiblen Daten erhoben, sondern im Wesentlichen ausschließlich solche, die Sie in Ihrem Impressum sowieso öffentlich gemacht haben. Ich oder meine Website weiß nichts über Ihre Lebens- und Einkommensverhältnisse oder Ihr Kaufverhalten, nicht, mit wem sie liiert sind oder waren, nichts über Ihre Familie oder Ihre Krankheiten, nichts über Urlaubsort, Vorstrafen oder Schulden. Aber um diese sensiblen Daten geht es.

Um im Beispiel zu bleiben, erfasse ich Ihre Daten auf meinem Computer, meiner Workstation, und über die Website, also den Provider und dessen Mailserver. Es werden unter keinen Umständen sensible Daten von Ihnen erfasst. Näheres Dazu habe ich in dem Absatz Selbstverpflichtung und Transparenz im Impressum öffentlich gemacht.

In der Regel werden über die Kommentarfunktion, über Mailformulare und das Tracking von Google (Analytics, AdSense etc.) und dem Provider (Log-Dateien) Daten erhoben. Inwiefern die persönlich sind, ist eine andere Frage. Auch mache Plugins erheben Daten und schicken Sie unter Umständen an Server im Ausland. Beispielsweise die Funktionserweiterungen von WordPress – AUTOMATIC – selbst. Bei all diesen Funktionen sind also die Ansatzpunkte zur Umsetzung der Vorgaben der DSGVO.

Sie können davon ausgehen, dass die wesentlichen seriösen Plugins in nächster Zeit ein entsprechendes Update erhalten um der DSGVO zu entsprechen. Wenn Sie unser sind, können Sie den Plugin-Hersteller danach fragen. Andererseits darf man sich bewusst machen, wie ein möglicher Abmahner denn nachweisen will, welche Daten an welcher Stelle wo unrechtmäßig erhoben und verarbeitet werden. An dieser Stelle darf man recht gelassen bleiben.

Ich empfehle außerdem Ihre Konkurrenz zu beobachten. Wie machen das andere? Lesen Sie das Impressum durch und vergleichen Sie. Sie sollten außerdem den Impressum-Generator der Deutschen Gesellschaft für Datenschutz nutzen. Damit sind Sie schon mal auf der sicheren Seite.

Des weiteren können Sie davon ausgehen, dass die großen Player ihre Technik und Ihre Datenschutz-Erklärung anpassen und Sie darüber in Kenntnis setzen werden. Haben Sie sicher schon bemerkt, dass Sie vermehrt entsprechende E-Mails in Ihrem E-Mail-Postfach gefunden haben. Ich werde die Plugins, die dabei helfen, windigen Geschäftsleuten, die mich abmahnen wollen, erst am Tag der Inkrafttreten des Gesetztes installieren.

GANZ WICHTIG: Sie können nur von Konkurrenten abgemahnt werden. Und dagegen gibt es sehr günstige Versicherungen, die ich sehr gerne empfehle. Beispielsweise die Haftpflichtversicherung für IT-Dienstleister. Damit haben windige Abmahner keine Chance mehr.

Da immer noch nicht ganz durchgedrungen ist, dass die Zielrichtung der Verordnung datenverarbeitende Betriebe sind und nicht kleine Webseiten, hier ein Screenshot meines Hoster all-inkl.com. Dieses Hosting Unternehmen hat die Vorgaben der DSGVO erfüllt und ich muss nun die Auftragsverarbeitung bestätigen und in der Webspace-Verwaltung einstellen, dass ich keine IP meiner Webseiten-Besucher speichere. Und das sieht so aus:

WordPress-Plugin für die Umsetzung der DSGVO (ohne Gewähr)

• Übersicht aller Plugins unter dem Schlagwort DSGVO (English: GDPR): https://de.wordpress.org/plugins/tags/gdpr/
• Über die Einbettung von YouTube-Videos: YouTube-Videos datenschutzkonform einbetten
• WP GDPR Compliance
• Remove Comment IPs
• WordPress & Woocommerce DSGVO Plugin
• Auch mit Cookie-Notice: https://de.wordpress.org/plugins/gdpr-tools/

Ich helfe Ihnen gern, Ihre WordPress-Website datenschutzkonform zu machen, schreiben Sie mir dazu gerne eine Mail oder rufen Sie an. Das Wesentliche dabei ist die SSL-Verschlüsselung Ihrer Webseite (HTTPS), die ich kostengünstig und schnell für Sie umsetze. Auch mit meinem Wartungsvertrag sorgen Sie für umfassende Sicherheit.

Meine DSGVO-Tipps als Blogger und Eventfotograf zum Thema Bilder, Videos und Fotografie

1. Keine Panik.
2. Kaufen Sie nichts. Das meiste ist nur Geschäftemacherei.
3. Versicherung abschließen (die gibts für Blogger, Websitebetreiber und Shopbesitzer).
4. Österreich machts vor und verbietet Abmahnungen (kurz gefasst).
5. Wer kann abmahnen: Konkurrenz oder Betroffener. Aber wie soll der sich selber auf den Bildern finden?
6. Wenn abgemahnt, dann was? Einfach nichts machen und des drauf ankommen lassen. Soll die neue Behörde samt den Gerichten zusammenbrechen.
7. Wo kein Kläger, da kein Richter!
8. Auch YouTuber betroffen.
9. Das Gesetz geht an der Realität vorbei und wird sicher noch angepasst werden.
10. Exif-Daten kann man löschen.
11. Allein die schiere Masse an Bildern und Menschen macht es unmöglich, alle angeblichen Vergehen zu verfolgen.
12. Wie will er Stockphotos von eigenen unterscheiden und das auch noch gerichtsfest beweisen?
13. Nochmal: Keine Panik.

Die neue EU-Datenschutz-Verordnung geht aus meiner Sicht an der Realität und den Interessen der Menschen und Dienstleister vorbei. Sie öffnet Missbrauch und Abzocke in Deutschland Tür und Tor. Gerade kleine Unternehmer sind hart getroffen. Deshalb unterstütze ich (als Blogger und Fotograf) die Petition Pressefreiheit! Gegen EU-Datenschutz-Grundverordnung (DSGVO) für Fotografen, Kunst, Presse

Linktipps zum Thema DSGVO

• Update vom 14. Mai 2018: Zu viele Mythen und gefährliches Halbwissen zum neuen europäischen Datenschutzrecht
• Update II vom 14. Mai 2018: Kommentar auf T3N – Warum die DSGVO eine Datenschutz-Karikatur ist
• Update III vom 14. Mai 2018: Raidboxes schreibt u.a. über Die acht Grundprinzipien der DSGVO
• Update IV vom 14. Mai 2018: „Eine Informationspflicht gegenüber den Abgelichteten besteht nicht“, siehe PDF des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
• Beispiel: Die neue Datenschutz-Erklärung von eBay!
• E-Privacy: Der Entwurf zur E-Privacy-Verordnung, das Verhältnis zur DSGVO und seine Bedeutung für die Praxis
• Dr. Datenschutz: Google Analytics datenschutzkonform einsetzen
• Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz: Materialien (Vorlagen für das Impressum)
• Checkliste für Blogger: Die DSGVO geht auch private Blogger an
• Datenschutz-Grundverordnung (EU-DSGVO): Übersichtliche Website
• BMI: Was ändert sich mit der Datenschutzgrundverordnung für Fotografen?
• Datenschutz-Grundverordnung: 120+ WordPress-Plugins im Check
• Keine Abmahnungen: Österreich zieht neuem Datenschutz die Zähne
• Facebook-Gruppe: Datenschutz-Grundverordnung für Blogger & Online-Unternehmer