DSGVO – Anleitung zur rechtssicheren Gestaltung einer WordPress Website

Hier schreibt ein Jurist mit viel Erfahrung mit der Erstellung von Websites auf Basis von WordPress. In diesem Beitrag möchte ich jedoch nicht zu sehr in die juristischen Details gehen, sondern einen leicht verständlichen Überblick über einschlägige Probleme im Kontext der Erstellung einer Website und insbesondere des CMS WordPress übersichtlich informieren.

Die folgenden Ausführungen richten sich daher an alle, die wissen möchten, worauf sie bei der Erstellung einer Website rechtlich achten müssen und wie sich dies praktisch umsetzen läßt. Dabei sollen die Passagen leicht verständlich sein und auch als Checkliste für die Absicherung der eigenen WordPress Website dienen.

Was ist die DSGVO?

Die DSGVO ist die allgemeine Datenschutz-Grundverordnung der Europäischen Union. Sie ist am 25. Mai 2018 in Kraft getreten und ersetzt die EU-Datenschutzrichtlinie von 1995. Die DSGVO legt strenge Regeln dafür fest, wie personenbezogene Daten von Organisationen, die in der EU tätig sind, erfasst, verarbeitet und gespeichert werden müssen. Außerdem gibt sie dem Einzelnen den Anspruch zu erfahren, welche persönlichen Daten über ihn gesammelt werden, und den Anspruch, diese Daten löschen zu lassen. Hier geht es also um den Datenschutz.

Andere Rechtsgrundlagen

Neben der DSGVO gibt es noch weitere Rechtsgrundlagen, die beim Betrieb einer Website beachtet werden müssen. Dazu gehören zum Beispiel das Telemediengesetz (TMG), der Rundfunkstaatsvertrag (RStV) und das Gesetz gegen den unlauteren Wettbewerb (UWG). Zudem können das Urheberrecht, Persönlichkeitsrechte, Verbraucherrechte und europarechtliche Vorgaben zu berücksichtigen sein.

Bei der Erstellung einer Website müssen daher verschiedene Rechtsgrundlagen beachtet werden. Auf die sich daraus konkret ergebenden Pflichten bei dem Betrieb einer WordPress Seite und die Lösungen gehen wir im Folgenden jeweils näher ein.

Folgen der Ausserachtlassung

Werden die genannten Vorschriften nicht beachtet, kann dies zivil- und strafrechtliche Konsequenzen haben.
Folgen können konkret sein:

• Abmahnungen
• Bussgelder
• Geldstrafen
• Haftstrafen (in extremen Fällen oder bei vielfacher Wiederholung)

Worauf muss man also achten, um rechtlich auf der sicheren Seite zu sein?

Im Folgenden gehen wir auf die für den Betrieb einer mit WordPress erstellten Webseite (hier ergeben sich einige Besonderheiten, ansonsten gilt dies für alle Internetseiten) relevanten Punkte ein, ohne zu sehr auf die juristischen Einzelheiten einzugehen.

Newsletter

Um einen Newsletter übermitteln zu dürfen, bedarf es in der Regel der aktiven Zustimmung des Users. Es ist also z.B. nicht zulässig, dem Käufer eines Artikels, ohne gesonderte Zustimmung, einen Newsletter zuzusenden. Dasselbe gilt für Aufforderungen, ein Produkt zu bewerten und weitere nicht mit dem Verkauf verbundene Nachrichten.

Hier muss der Nutzer, im Zuge des Kaufs, aktiv zugestimmt haben (z.B. eine Checkbox „Ich will den Newsletter empfangen“ angeklickt haben).

Ohne diese Zustimmung darf keine E-Mail mit werblichem Inhalt an den Nutzer versandt werden. Auch nicht als Teil von Systemnachrichten (wie z.B. in der Bestell- oder Versandbestätigung).

Eine Ausnahme von diesem Grundsatz gilt jedoch dann, wenn die erbrachte Leistung kostenfrei ist. Wenn man also (z.B. mit Buddyboss) eine Community betreibt, die keine Mitgliedsgebühren erhebt oder man etwas zum kostenlosen Download anbietet etc., ist eine gesonderte Zustimmung des Nutzers für den Versand des Newsletters nicht erforderlich. Hier genügt es einen enstsprechenden Passus in die AGB aufzunehmen (z.B. „Der Newsletter wird als Gegenleistung zur kostenfreien Leistung akzeptiert.“).

Wird ein Dienstleister, wie Cleverreach*oder Mailchimp* mit dem Versand des Newsletter beauftragt, ist zudem ein Auftragsdatenverarbeitungsvertrag erforderlich (siehe unten).

Ist die Zustimmung wirksam eingeholt, ist beim Versand des Newsletters noch auf Folgendes zu achten:

• Abmeldelink: Es muss in jeder versandten E-Mail ein Abmeldelink enthalten sein, welcher den Nutzer bei Klick vom Newsletter abmeldet.
• Pflichtangaben im Newsletter: Jede versandte E-Mail muss ein Impressum erhalten. Dabei ist rechtlich nicht abschließend geklärt, ob ein Link auf das Impressum auf der Website genügt. Möchte man sicher gehen, sollte man daher die folgenden Daten direkt im Newsletter integrieren: Name und Vorname, Rechtsform des Unternehmens, Anschrift sowie ID oder Handelsregisterangaben.

Wie man preisgünstig und DSGVO konform Newslettern, mit oder ohne WordPress, versendet, erläutern wir in einem gesonderten Artikel.

Eine ausführliche Beleuchtung der einzelnen rechtlichen Aspekten des Newsletter-Versands findet man hier*.

E-Mails

Das zum Newsletter gesagte gilt ebenfalls für alle anderen E-Mails. Auch diese dürfen nur mit Zustimmung des Empfängers an diesen versandt werden und müssen die genannten Pflichtangaben enthalten. Anders verhält es sich nur mit E-Mails, die im Zuge einer Vertragsabwicklung erfolgen. Also etwa beim Betrieb eines Shops. Hier können Mails, wie eine Bestellbestätigung oder auch eine Versandbenachrichtigung, auch ohne gesonderte Zustimmung des Empfängers, versandt werden.

Ohne explizite Zustimmung dürfen diese, erforderlichen E-Mails, jedoch keine pauschale Werbung enthalten, lediglich eigene ähnliche Waren oder Dienstleistungen des Verkäufers dürfen in diesem Fall beworben werden. Das bedeutet, dass Werbung für andere Fernseher und AV-Geräte zulässig ist, wenn der Empfänger zuvor einen Fernseher gekauft hat, Werbung für Angebote Dritter oder Produkte anderer Kategorie hingegen nicht. Zudem muss dem Empfänger die Möglichkeit gegeben werden, ein einmal erteiltes Einverständnis jederzeit zu widerrufen. Auch eine Aufforderung zur Bewertung nach dem Kauf ist, ohne gesonderte Einwilligung des Käufers, unzulässig*.

Cookies

Cookies sind kleine Dateien, die auf dem Endgerät des Benutzers gespeichert werden, wenn er eine Website besucht. Sie dienen zum Beispiel dazu, den Inhalt eines Warenkorbs zu speichern oder sich in ein Benutzerkonto einzuloggen.

Gemäß geltender Rechtslage (TTDSG) ist zwischen technisch notwendigen Cookies und nicht notwendigen abzugrenzen.

Technisch notwendige Cookies

Technisch notwendige Cookies sind solche, die erforderlich sind, damit eine Website ordnungsgemäß funktioniert. Dazu gehören Cookies, die es Benutzern ermöglichen, sich anzumelden, Artikel in den Warenkorb zu legen und auf sichere Bereiche der Website zuzugreifen. Diese Cookies sind für das Funktionieren der Website unerlässlich und können nicht deaktiviert werden.

Für diese Cookies bedarf es keiner Zustimmung durch den Nutzer. Es lässt sich also eine WordPress Seite erstellen, ohne dass man dem Nutzer zunächst ein Cookie-Banner zeigen muss (hast Du eines auf dieser Seite gesehen?).

Technisch nicht notwendige Cookies

Allerdings müssen Website-Betreiber jedoch die Zustimmung der Besucher einholen, bevor sie ihnen technisch nicht notwendige Cookies senden. Das bedeutet, dass nicht technisch notwendige Cookies deutlich als solche gekennzeichnet sein müssen und dass Websitebetreiber ihre Besucher darüber informieren müssen, wofür diese Cookies verwendet werden. Es ist dabei erforderlich, den Besuchern die Möglichkeit zu geben, sich gegen den Erhalt dieser Cookies zu entscheiden. Dies kann im Einzelfall zu einer Beeinträchtigung der Benutzerfreundlichkeit führen.

Umsetzung

Eine erforderliche Zustimmung muss vor dem Setzen des Cookies eingeholt werden. Es ist nicht möglich, diese Zustimmung nachträglich einzuholen.

Verwendet man also nicht notwendige Cookies, benötigt man also ein Cookie-Banner, also eine Möglichkeit für den Nutzer, eine Entscheidung über die Zustimmung zur Cookie-Setzung vor dem Besuch der Seite zu treffen. Beliebte Plugins für diesen Zweck sind Complianz* und Borlabs* (dies sind zugleich Content-Blocker).

Darüber hinaus muss sichergestellt sein, dass der Nutzer seine Einwilligung jederzeit widerrufen kann. Zu diesem Zweck kann z.B. ein Link „Cookie-Einstellungen ändern“ in die Seite aufgenommen werden, der zu einer Seite führt, auf der der Nutzer die notwendigen Einstellungen vornehmen kann.

Wie kann ich herausfinden, welche Cookies meine Seite setzt?

Diese Frage klingt zunächst merkwürdig, allerdings ist kaum zu überblicken, welche Cookies einzelne Plugins setzen.

WordPress selbst bietet kein Tool zur Verwaltung von Cookies an, aber es gibt Plugins von Drittanbietern, wie Complianz* und Borlabs* die zu diesem Zweck verwendet werden können. Alternativ können Website-Besitzer die Browser-Entwickler-Tools verwenden, um die von ihrer WordPress-Website gesetzten Cookies anzuzeigen und zu verwalten. Hierzu klickt man z.B. in Firefox mit der rechten Maustaste in die Seite und wählt dort „Untersuchen“. In dem sich öffnenden Fenster klickt man dann auf den Tag „Web-Speicher“ und anschließend links auf „Cookies“.

Dann sieht man alle Cookies, die über die eigene Seite gespeichert werden. Nimmt man Änderungen vor, müssen zunächst alle Cookies gelöscht werden, um diese Änderungen nachvollziehen zu können.

Datenweitergabe

Auch wenn keine Cookies gesetzt werden, können trotzdem Daten übertragen werden. Und das ist jedoch i.d.R., ohne ausdrückliche Zustimmung des Users, nicht zulässig.

Dazu gehört z.B. die Übermittlung von Daten an soziale Netzwerke wie Facebook oder Twitter, wenn der Nutzer auf einen Share-Button klickt. Das Gleiche gilt für externe Dienste wie Google Analytics. Auf die einzelnen Fälle gehen wir weiter unten detailliert ein.

Damit Daten auf diese Weise übertragen werden können, müssen die Besucher ausdrücklich darüber informiert und ihre Zustimmung eingeholt werden, bevor Daten übertragen werden. Dies kann auf die gleiche Weise wie bei der Verwendung von Cookies geschehen, d. h. mit einem der genannten Consent Tools. Auch hierfür eignen sich die oben für das Cookie-Banner genannten Plugins Complianz* und Borlabs*.

Tracking / Statistik

Durch Tracking kann man sehen wie viele Besucher die Website besuchen, welche Seiten sie sich ansehen und wie lange sie auf jeder Seite bleiben. Diese Informationen können wertvolle Ressourcen sein, z.B. um die Website zu verbessern. Wenn man zum Beispiel feststellt, dass die meisten Besucher die Website nach nur einer Seite wieder verlassen, kann man das Design der Website überarbeiten, um die Besucher zum längeren Verweilen zu animieren. Tracking-Codes können auch verwendet werden, um die Wirksamkeit von Marketingkampagnen zu verfolgen. Indem man sieht, wie viele Personen auf einen bestimmten Link oder ein Banner klicken, kann man feststellen, ob die Kampagne die Zielgruppe erreicht oder nicht. Kurz gesagt: Tracking-Codes sind ein wertvolles Instrument, um zu verstehen, wie die WordPress-Website genutzt wird.

Google Analytics

Google Analytics ist ein leistungsstarkes Tool, das Website-Besitzern helfen kann, ihre Verkehrsdaten zu verfolgen und zu analysieren. Die von diesem Tool gesammelten Daten können verwendet werden, um Trends und Muster zu erkennen und die Gesamtleistung einer Website zu verbessern. Und was vielleicht am wichtigsten ist: Google Analytics kann kostenlos verwendet werden. Dies und die einfache Handhabung machen es zu einem wichtigen Tool für jeden Website-Besitzer, der Erkenntnisse aus seinen Verkehrsdaten gewinnen möchte. Google Analytics kann auch in Verbindung mit anderen Google-Tools, wie z.B. Google Adsense, verwendet werden, um die Rentabilität einer Website weiter zu optimieren.

Problematisch ist jedoch, dass Daten der Nutzer an Google übertragen werden. Zwar läßt sich die Übermittlung der vollständigen IP-Adresse deaktivieren (sog. IP-Anonymisierung), allerdings kommen immer mehr Datenschutzbehörden in Europa und zuletzt auch Gerichte zu dem Schluss, dass eine DSGVO-konforme Nutzung nicht möglich ist. Hintergrund ist das fehlende Datenschutzabkommen mit den USA*.

Wenn man Google Analytics verwendet, geht man also das Risiko ein, gegen die DSGVO zu verstossen. In jedem Fall muss man folgendes einhalten:

• Die Einwilligung einhohlen (Consent Tools – s.o.)
• Einen Vertrag zur Auftragsverarbeitung mit Google abschliessen
• IP-Anonymisierung aktivieren (s.o.)
• Hinweis in die Datenschutzerklärung aufnehmen

Diese Punkte lassen sich im Grunde jedoch nicht ohne Hilfe korrekt umsetzen. Neben einem Consent-Tool, wie Complianz* und Borlabs*, sollte man daher auf anwaltliche Hilfe zurückgreifen. Hierfür gibt es im Internet kostengünstige Hilfe, z.B. bei eRecht24*.

Alternativen

Die Zeiten, in denen Google Analytics die einzige leistungsfähige Tracking Lösung war, sind vorbei. Mittlerweile gibt es eine Reihe von Alternativen, und einige die zudem DSGVO-konform sind. Und nur auf diese möchten wir im Folgenden eingehen. Zudem lassen wir Tools aus, die nicht gut gepflegt werden.

trackboxx

Das trackboxx-Team hat es sich zur Aufgabe gemacht, eine 100% DSGVO-konforme Google Analytics-Alternative zu entwickeln. Bei der Lösung handelt es sich um ein eigenes Tool, das unabhängig von Google arbeitet. Die von trackboxx erhobenen Daten werden auf Servern in Deutschland gespeichert und unterliegen somit dem deutschen Datenschutzrecht. Im Gegensatz zu Google Analytics verwendet trackboxx keine Cookies. Trackboxx* ist für bis zu 2.500 Seitenaufrufe kostenlos und kostet darüberhinaus zwischen 5 und 199 EUR / Monat.

eTracker

eTracker ist ein Tool, das seit über 15 Jahren auf dem Markt ist und wie trackboxx unabhängig von Google arbeitet. Die von eTracker gesammelten Daten werden ebenfalls auf Servern in Deutschland gespeichert. eTracker* verwendet keine Cookies und kann ohne Programmierkenntnisse in WordPress integriert werden. Die Preise beginnen bei 9 EUR und steigen dann kontinuierlich mit dem Traffic. Man kann das Tool zunächst 30 Tage kostenlos testen.

Matomo On-Premise (ehemals Piwik)

Matomo On-Premise ist ein Open-Source-Analyse-Tool, das auf dem eigenen Server installiert werden kann. Die von Matomo erhobenen Daten werden somit auch auf dem eigenen Server gespeichert. Matomo verwendet Cookies, die aber in den Einstellungen des Tools deaktiviert werden können. Die Funktionen reichen jedoch nicht an die von Google Analytics oder auch trackboxx oder eTracker heran. Matomo kann ohne Programmierkenntnisse in WordPress integriert werden. Das Tool ist kostenlos, allerdings muss man die Kosten für die eigene Server-Infrastruktur tragen. Es genügt jedoch die Verwendung eines kleinen bis mittleren Cloudservers.

Tipp:
Wenn man hier klickt* erhält man ein Cloud Guthaben bei Hetzner i.H.v. 20 EUR und nutzt das Hosting des eigenen Tracking Tools faktisch fast 4 Monate kostenfrei.

Matomo Cloud

Matomo Cloud ist eine kostenpflichtige Version von Matomo On-Premise, die auf den Servern des Anbieters gehostet wird. Die von Matomo Cloud erhobenen Daten werden auf Servern in Europa gespeichert. Matomo Cloud verwendet Cookies, die jedoch in den Einstellungen des Tools deaktiviert werden können.

Matomo Cloud* kann ohne Programmierkenntnisse in WordPress integriert werden und verfügt über wesentlich mehr Features und statistische Auswertungen als das kostenlose Matomo On-Premise. Das Tool ist nicht kostenlos, aber der Preis ist ab 19 EUR pro Monat (für bis zu 50.000 Seitenaufrufe) vergleichsweise moderat.

Piwik PRO

Piwik PRO Core und Piwik PRO Enterprise bieten verschiedene Funktionen, die den Bedürfnissen jedes Unternehmens, ob groß oder klein, entsprechen. Piwik PRO Core bietet die grundlegenden Funktionen von Piwik PRO, einschließlich Website-Analysen, Conversion-Tracking und Heatmaps. Piwik PRO Enterprise baut auf diesen Funktionen auf und bietet zusätzliche Funktionen wie Echtzeit-Analysen, Aufzeichnung von Benutzersitzungen und E-Commerce-Tracking. Piwik PRO* bietet außerdem eine Reihe von Integrationen mit beliebten Marketing- und CRM-Plattformen, mit denen die Effektivität von Marketingkampagnen verfolgt werden können. Piwik PRO Core ist bis zu 500.000 Pageimpression kostenfrei, während Piwik PRO Enterprise kostenpflichtig ist (Preise erhält man nur auf Anfrage).

Koko Analytics

Hierbei handelt es sich um ein kostenfreies WordPress Plugin, dass einfach wie jedes andere Plugin installiert wird und dann Besucher, Pageviews und Referrer protokolliert. Damit kann man also einfache Statistiken der eigenen WordPressseite erheben. Koko Analytics kann ohne Cookie arbeiten und erfordert so auch kein Cookie-Banner. Wem dies genügt, ist mit dieser kostenlosen Lösung gut bedient.

Dies ist keine abschließende Aufzählung. Im Internet gibt es viele weitere Tools, die jedoch häufig teilweise oder gar nicht DSGVO-konform sind. Wir raten daher davon ab, ungeprüft eines dieser Instrumente zu verwenden.

Werbung

Möchte man seine Seite mit Werbung (z.B. mit Google Adsense) monetarisieren, stößt man schnell auf einen Strauß von Problemen.

Zunächst gelten für Werbung im Allgemeinen die gleichen Datenschutzbestimmungen wie für die sonstige Datenverarbeitung. Das bedeutet, dass man beim Einsatz von Werbung die Grundsätze der Datenminimierung und Datenvermeidung beachten und sicherstellen muss, dass alle erhobenen Daten mit der vorherigen Zustimmung des Nutzers erhoben werden.

Werbetracking

Um gezielte Werbung zeigen zu können, ist es notwendig, Daten über die Interessen des Nutzers zu sammeln. Dies kann entweder durch die Verwendung von Cookies oder durch die Verfolgung des Nutzerverhaltens auf der Website geschehen.

In beiden Fällen bedarf es der ausdrücklichen Zustimmung des Nutzers. Hierzu muss diese Zustimmung aktiv eingeholt werden, bevor die Werbung der Werbetreibenden ausgeliefert werden kann. Dies läßt sich relativ einfach mittels eines Consent-Plugins, wie Complianz* oder Borlabs* in Form eines Cookie-Banners umsetzen.

Cookie-Banner

Bei der Gestaltung des Cookie- bzw. Consent-Banners genügt es nach aktueller Einschätzung der Datenschutzbehörden nicht mehr, dem Nutzer die Auswahl zwischen „Zustimmen“ und „Einstellungen“ zu bieten. Vielmehr müssen zwei Button „Zustimmen“ und „Ablehnen“ gezeigt werden, die dabei grafisch gleich gestaltet sein müssen. Andernfalls befindet man sich in einer rechtlichen Grauzone. So sucht die Organisation NOYB Consent-Banner ohne „Ablehnen“ Button aktiv, um diese Websites bei den Datenschutzbehörden anzuzeigen.

Man muss also sicherstellen, dass kein Cookie gesetzt wird und keine Datenweitergabe an die Werbenden erfolgt, wenn der Nutzer auf „Ablehnen“ klickt. Um dies korrekt umsetzen zu können, benötigt man ein Plugin, welches die Werbetags verwaltet. Die bekanntesten Plugins für WordPress sind Adinserter* und AdvancedADs*.

Diese sorgen nicht nur dafür, dass die Werbetags an den richtigen Stellen der Seite und unter den richtigen Bedingungen ausgegeben werden, sondern verhindern, bei richtiger Konfiguration*, auch die Auslieferung, wenn der Nutzer auf „Ablehnen“ klickt.

Eine vollständig fertige und kostenfreie Möglichkeit, Werbung in die eigene WordPress Seite einzubinden, bietet TheMoneytizer. TheMoneytizer* ist eine Werbeplattform, die Webseitenbetreibern hilft, ihren Traffic zu monetarisieren. TheMoneytizer bietet eine breite Palette von Werbeformaten an, darunter Display Ads, Video Ads und Native Ads. Inklusive detailliertem Tracking und Reporting. Die Integration der Werbemittel erfolgt über ein einfaches und kostenfreies Plugin. Die Einhaltung der DSGVO erfolgt automatisch durch ein, ebenfalls kostenfrei Integriertes, Cookie-Banner. Möchte man also die eigene WordPress mit Werbung DSGVO-konform monetarisieren, bietet TheMoneytizer* hierfür eine einfache und kostenfreie Lösung.

Tipp:
Wenn man hier klickt*, erhält man zusätzlich 5 EUR Willkommensbonus bei TheMoneytizer.

Paywall

Natürlich wird in dem Fall, dass „Zustimmen“ und „Ablehnen“ gleichwertig präsentiert werden, kaum ein User auf „Zustimmen“ klicken. Das bedeutet, dass die Werbeumsätze stark zurückgehen. Die Werbeindustrie arbeitet gerade an einer DSGVO-konformen Nachfolge-Lösung. Das kann jedoch noch dauern. In der Zwischenzeit wäre die einzige gangbare Lösung eine alternative Paywall einzubauen. Eine solche findet man bereits auf allen großen Verlagsseiten. Der Nutzer erhält dann die Wahl, die Cookies und die Datenweitergabe, also das Werbetracking, zu akzeptieren oder einer monatlichen Zahlung zuzustimmen. Mit dieser Methode steigt die Zustimmungsquote natürlich wieder an.

Werbeblocker

Ein weiteres Problem bei der Auslieferung von Werbung stellen Werbeblocker dar. Zwar ist dies nicht unmittelbar ein juristisches Problem. Wir wollen hier trotzdem kurz darauf eingehen, weil man sich hiergegen wehren kann.

Es gibt viele beliebte Browser AddOns, allen voran AdblockPlus, welche dafür sorgen, dass der Nutzer keine Werbung mehr sieht. Auch Browserhersteller integrieren eine solche Funktion zunehmend in die Browser.

Das muss man jedoch nicht hinnehmen. So kann man Nutzer von der Website aussperren, solange der AdBlocker aktiv ist. Hierbei ist es sinnvoll, dem Nutzer Hilfestellungen bei der Deaktivierung des AdBlockers anzubieten.

Technisch umsetzen läßt sich ein solcher AdBlocker Blocker mit dem Popup Builder AdBlock Plugin*. Dieses Plugin erkennt Adblocker zuverlässig und liefert dann ein Popup aus, welches den Zugang ganz oder für eine bestimmte Zeit sperrt.

Werbung selbst gestalten

Möchte man auch dann Werbung ausliefern, wenn der Nutzer das Werbetracking abgelehnt hat, gibt es noch die Möglichkeit eigene Werbebanner zu erstellen, die z.B. aus Affiliate Programmen zusammengestellt werden können. Die Macher von AdvancedAds erläutern, wie man sich so eine Goolge Adsense Alternative baut*.

Affiliate Marketing

Affiliate Marketing ist eine Möglichkeit, Geld zu verdienen, indem man Produkte oder Dienstleistungen auf der Website bewirbt. Wenn jemand auf einen dieser Affiliate-Links klickt und einen Kauf tätigt, erhält man eine Provision.

Diese Art von Werbung steht grundsätzlich nicht im Konflikt mit der DSGVO und erfordert weder ein Cookie-Banner noch einen Content-Blocker, schließlich wird der Nutzer hier nicht getrackt und es werden keine Daten übertragen.

Kennzeichnungspflicht

Natürlich muss man darauf achten, dass man in diesem Zuge nicht auf andere Weise gegen das Gesetz verstößt. Wenn man ein Produkt empfiehlt und auf einen Online-Shop verlinkt, muss man sicherstellen, dass dies auf transparente Art und Weise geschieht.

Kurzum: Man darf die Besucher nicht in die Irre führen.

Dem Nutzer muss klar sein, dass es sich um eine Empfehlung handelt und dass man eine Provision erhält, wenn er das Produkt kauft. Die Werbung, in Form eines Affiliate Links, muss daher vom Inhalt deutlich sichtbar getrennt werden.

Ist dies bereits aus dem Kontext ersichtlich, bedarf es keiner weiteren Kennzeichnung. Etwa wenn man einen Button „Jetzt bei Amazon kaufen“ einfügt.

Tauchen die Verlinkungen jedoch in einem redaktionellen Text auf, müssen diese gekennzeichnet werden. Hierzu genügt es z.B. einen Stern* anzuhängen und im Fuss der Seite eine Erläuterung hinzuzufügen, welche den Kontext erläutert, etwa „Mit (*) gekennzeichnete Links sind Affiliate Links“.

Vertragliche Modalitäten

Daneben muss man auf vertragliche Details mit dem Betreiber des Affiliate Programms achten. Beliebt ist bei dem Einsatz von Affiliate Textlinks das sog. Link-Cloaking. Hierbei verwendet man ein Plugin, wie Thirstyaffiliates* um Links zentral zu verwalten und diese als solche nach aussen unkenntlich zu machen. Der Link lautet dann in der Seite z.B. „/meineempfehlung/otto/“, leitet dann aber über den Affiliate-Link auf die Seite von Otto um.

Einige Anbieter, allen voran Amazon, untersagen diese Vorgehensweise jedoch, sodass hier der Affiliate Link jeweils direkt in die Seite eingebunden werden muss. Man sollte sich daher die Bedingungen der einzelnen Affiliate Programme genau ansehen.

Externe Inhalte

Auch wenn es praktisch erscheint, auf der Website Dienste von Drittanbietern zu nutzen, z. B. durch die Integration von Social-Media-Plugins oder Google Maps, bedeutet dies jedesmal, dass Daten an externe Server übertragen werden.

Wenn man zum Beispiel ein YouTube-Video auf der Seite einbettet, werden Nutzerinformationen an YouTube übermittelt. Das Gleiche gilt für die Einbindung von Google Maps oder für Content von sozialen Medien, wie Twitter, Facebook oder Instagram.

Da die meisten dieser Dienste im außereuropäischen Ausland angesiedelt sind, ist für jeden einzelnen Dienst die Zustimmung des Nutzers einzuholen, bevor die Inhalte angezeigt werden dürfen. Um dies umzusetzen, benötigt man erneut einen Content-Blocker, wie Complianz* oder Borlabs*.

Daher sollte man bei der Gestaltung der Website überlegen, welche externen Inhalte man wirklich auf der Seite braucht. Generell ist es ratsam, externe Dienste so weit wie möglich zu vermeiden, wenn diese nicht unbedingt für das Funktionieren der Seite notwendig sind.

Auch wenn die Verwendung von Social Plugins inzwischen Gang und Gäbe ist und diese auf vielen Websites zu finden sind, bedeutet das nicht, dass diese immer rechtskonform eingesetzt werden. Zudem sitzen viele Webseitenbetreiber im Ausland, wo z.T. andere Rechtsnormen gelten.

Zudem gibt es häufig Möglichkeiten, Informationen bereitzustellen, ohne externe Dienste zu nutzen. So kann man zum Beispiel statt eines Google Maps Ausschnitts einen Screenshot des Kartenausschnitts verwenden oder einfach die Adresse und die Öffnungszeiten in Textform eingeben.

Google Fonts

Google Fonts sind sehr beliebt und weit verbreitet. So setzten viele Themes Google Fonts ein und laden diese bei jedem Aufruf von Google Servern. Dabei werden jeweils Daten übertragen, was rechtlich mittlerweile als unzulässig* zu betrachten ist.

Hier hilft das kleine aber raffinierte Plugin OMGF, dieses Risiko zu beseitigen.

OMGF gibt es in einer kostenfreien Version. Allerdings erkennt diese nicht alle extern eingebundenen Schrift- und Zeichensätze, z.B. keine Material Icons.

Möchte man sicher gehen, also auch bei Installation weiterer Plugins, jederzeit alle Schriften und Zeichen rechtskonform eingebunden zu haben, lohnt sich der Erwerb der Pro Version* (ab lediglich 19 EUR / Jahr). Bei der Pro Version erhält man zudem Support, was bei der Vermischung rechtlicher und technischer Fallstricke bei der Einbindung von Schriften und Zeichensätzen, bei unterschiedlichen WordPress- und Plugin-Versionen, durchaus hilfreich sein kann.

Ob alle Schriftarten korrekt und DSGVO-konform geladen werden, kann man schließlich ganz einfach über den Google Fonts Checker herausfinden.

DSGVO konforme Plugins

Ob einzelne Plugins DSGVO konform sind, läßt sich nicht immer leicht ermitteln. Denn viele Plugins stammen aus Drittländern, in denen oft weniger strenge Regeln im Bezug auf den Datenschutz gelten, als in Europa. Oft werden Daten übertragen, ohne dass dies offenkundig ersichtlich ist. Und trotzdem haftet man als Betreiber der Website, wenn man diese Plugins einsetzt. Es kommt auch vor, dass Plugin Hersteller damit werben, DSGVO-konform zu sein, es tatsächlich jedoch nicht sind. Gerade in den USA ist das Verständnis und damit häufig auch die Kenntnis der Regeln in der EU nicht hinreichend vorhanden.

Wie kann man sich hier also orientieren? Zunächst sollte man immer von der Nutzung absehen, wenn offenkundig eine Übertragung von Daten erfolgt (z.B. i.d.R. bei Social Sharing Buttons). Wenn man auf Nummer sicher gehen will, lohnt es sich, sich auf anwaltlich geprüfte Einschätzungen* zu einzelnen Plugins zu stützen. Bei einigen Plugins können die Einstellungen auch so angepasst werden, dass diese anschließend DSGVO-konform arbeiten. Zu den einzelnen Plugins werden wir einen gesonderten Artikel erstellen.

DSGVO Einstellungen in WordPress

Auch WordPress ist in der Grundeinstellung nicht völlig DSGVO konform. Es müssen daher einige Einstellungen angepasst werden. Diese stellen wir folgend vor.

Gravatare / Avatare

Gravatare sind Avatare, die mit der E-Mail-Adresse eines WordPress-Benutzers verknüpft sind. Standardmäßig ruft WordPress den Gravatar eines Benutzers von der Website Gravatar.com ab, wenn dieser einen Beitrag kommentiert. Das bedeutet jedoch, dass WordPress die E-Mail-Adresse des Benutzers an Gravatar.com sendet.

Um der DSGVO zu entsprechen, müssen WordPress-Websites daher entweder Gravatare vollständig deaktivieren oder den Benutzern die Möglichkeit geben, der Übermittlung ihrer E-Mail-Adresse an Gravatar.com zuzustimmen.

Kommentare

WordPress bietet ein Kommentarfeld, das sich jeder Seite mit einem Klick hinzufügen läßt.

Da hierbei Daten des Nutzers gespeichert werden, muss in diesem Zuge hierfür das Einverständnis eingeholt werden.

Zunächst müssen alle Nutzer daher ihre ausdrückliche Zustimmung erteilen, bevor ihr Kommentar veröffentlicht wird. Diese Zustimmung kann über ein Kontrollkästchen erteilt werden, das deutlich sichtbar sein muss und nicht vorab angekreuzt sein darf.

Aus dem Text des Kontrollkästchens muss für den Nutzer klar hervorgehen, wozu er seine Zustimmung erteilt. Es könnte zum Beispiel lauten: „Ich habe die Datenschutzerklärung gelesen und stimme zu, dass meine Daten zur Bearbeitung meines Kommentars verwendet werden.“ Dies lässt sich einfach mit dem kostenlosen Plugin GDPR Consent Solution umsetzen.

Speicherung von IP-Adressen

WordPress speichert die IP-Adresse eines jeden Nutzers, der einen Beitrag kommentiert. Dies erfolgt, um Spam-Kommentare erkennen und blockieren zu können.

Die Datenschutz-Grundverordnung schreibt jedoch vor, dass Daten wie die IP-Adressen nur so lange erhoben und gespeichert werden dürfen, wie es für den Zweck, für den sie erhoben wurden, erforderlich ist. Da die IP-Adresse nach der Veröffentlichung eines Kommentars nicht mehr zur Erkennung und Blockierung von Spam-Kommentaren benötigt wird, muss sie nach einer bestimmten Zeit gelöscht werden.

Die Lösung hierfür ist das kostenlose Plugin Kommentar-IP entfernen. Es erlaubt, automatisch IP-Adressen nach einem bestimmten Zeitraum zu löschen.

SSL-Verschlüsselung

Die SSL-Verschlüsselung ist ein Sicherheitsprotokoll, das die, zwischen einem Server und einem Client gesendeten Daten, verschlüsselt. Wenn ein Benutzer eine SSL-aktivierte Website besucht, zeigt sein Browser ein Vorhängeschloss-Symbol an, um zu verdeutlichen, dass die Verbindung sicher ist.

Erforderlichkeit

Eine SSL Verschlüsselung macht bereits deshalb Sinn, weil Google es nicht gerne sieht, wenn diese fehlt. Aus rechtlicher Sicht ist eine solche Verschlüsselung immer dann erforderlich, wenn personenbezogene Daten übertragen werden. Da die IP-Adresse, nach allgemeiner Auffassung, bereits als personenbezogenes Datum gilt, ist faktisch jede Seite mit einer SSL-Verschlüsselung zu versehen. Insbesondere jedoch dann bereits, wenn es auf der Webseite ein Kontaktformular oder ein Kommentarfeld gibt.

Umsetzung

Um die SSL-Verschlüsselung nutzen zu können, muss eine Website über ein SSL-Zertifikat verfügen. Dabei werden Zertifikate unterschiedlicher Stärke unterschieden (DV-Zertifikat, OV-Zertifikat, EV-Zertifikat). Um den rechtlichen Anforderungen zu genügen, reicht die einfachste Ausführung.

Alle gängigen Anbieter von Webhosting und Domainnamen bieten die Möglichkeit, ein SSL-Zertifikat zu buchen. Die Preise dafür liegen zwischen etwa 20 und 70 Euro pro Jahr.

Eine Alternative hierzu bietet Let’s Encrypt.

Let’s Encrypt ist ein Projekt der Internet Security Research Group (ISRG), das kostenlose SSL-Zertifikate anbietet. Es wurde mit dem Ziel entwickelt, die Verschlüsselung aller Websites zu ermöglichen.

Der Vorteil von Let’s Encrypt ist zum einen, dass es kostenlos ist. Zum anderen werden die Zertifikate automatisch ausgestellt und erfordern so keine zusätzlichen Maßnahmen seitens des Website-Betreibers.

Um Let’s Encrypt nutzen zu können, muss der Webhosting-Provider oder Domain-Namen-Anbieter dies unterstützen. Viele Provider bieten diese Möglichkeit bereits an. Falls dies beim eigenen Provider noch nicht der Fall ist, kann man einen Anbieterwechsel in Erwägung ziehen.

Hosting Anbieter, die eine Verschlüsselung über Let’s Encrypt anbieten sind z.B. (wir haben hier nur Anbieter mit Serverstandort Deutschland gewählt):

• Raidboxes*
• Ionos*
• Hostpress*
• WPspace*
• Hetzner*

Wie gezeigt werden konnte, sollte man nicht auf eine SSL-Verschlüsselung verzichten. Gleichzeitig stellt dies, bei Verwendung des richtigen Hosting Providers, keine Hürde da und ist auch nicht mit Mehrkosten verbunden.

Alternative Cloudflare

Eine weitere Alternative bietet der Content Delivery Network Anbieter Cloudflare mit dem Flexible SSL Zertifikat an. Hier genügt es die Domain über die Nameserver von Cloudflare laufen zu lassen. Anschließend kann man im Cloudflare Account Flexible SSL aktivieren. Der Account und dieser Dienst sind kostenlos. Zudem bietet Cloudflare eine Reihe weiterer Vorteile, insbesondere im Bereich der Sicherheit. So stehen eine Reihe von Funktionen bereit, um die eigene Seite vor Angriffen zu schützen. Gleichzeitig bietet Cloudflare viele Funktionen, um die Ladezeit der Seite zu beschleunigen und diese sogar dann anzuzeigen, wenn der eigene Server ausfällt. Viele dieser Leistungen sind kostenfrei.

Allerdings sitzt Cloudflare in den USA. Daher sind bei Nutzung dieser Dienste folgende Maßnahmen erforderlich:

• Einen Vertrag zur Auftragsverarbeitung abschliessen
• Standardvertragsklauseln* abschließen
• Hinweis in die Datenschutzerklärung aufnehmen

Man sollte sich im Einzelfall bei der Nutzung von Cloudflare nach einer ausführlichen Anleitung* richten.

Bildrechte

Was ist eine Webseite ohne Bilder? Sowohl die Nutzer als auch Google mögen es, wenn Texte mit Bilder aufgelockert und unterstützt werden. Doch wenn man ein Bild verwendet, das man nicht selbst erstellt hat (z.B. selbst fotografiert oder gemalt), muss man auf Bilder Dritter zurückgreifen. Dabei sind verschiedene Rechte Dritter zu beachten.

Urheberrecht

Das Urheberrecht gewährt dem Urheber eines Bildes das ausschließliche Nutzungsrecht. Geschützt sind dabei alle Bilder, die nicht ganz trivial sind (z.B. ein einfacher Schriftzug ohne einen zusätzlichen Kontext).

Eine Verletzung dieser Rechte kann zu Abmahnungen führen und ist mit einer Freiheitsstrafe von bis zu 3 Jahren belegt. Man tut also gut daran, sich genau mit diesen Rechten zu befassen, bevor man Bilder von Dritten in die eigene Website einbindet.

Bildlizenzen

Die Lizenz ist ein Vertrag, in dem der Urheber dem Nutzer Rechte zur Nutzung seines Werkes einräumt. Dies Rechte können dabei ganz individuell ausgestaltet sein (also etwa Einbindung in die Website XY aber nicht in die Website XX). In der Regel sind die Nutzungsbedingungen jedoch standardisiert in Form von Allgemeinen Geschäftsbedingungen vorgegeben.

Stockfotos

Die meisten Bilder werden über sogenannte Stockfoto-Seiten bezogen. Das sind z.B. Adobe Stock* und iStockphoto*. Am beliebtesten sind aber die Stockseiten, auf denen man die Bilder kostenlos beziehen kann, wie z.B. Pixabay oder Pixelio: Die Urheber vergeben also über diese Plattformen entsprechende Lizenzen zur Nutzung ihrer Bilder.

Hinweis:
Stockfoto-Anbieter, wie Pixabay erlauben z.T. auch die Nutzung ohne Erwähnung des Urhebers. Allerdings verliert der Urheber dadurch nicht seinen Anspruch auf Nennung (und zwar in unmittelbarer Nähe zum Bild). Ob ein Urheber diesen Anspruch geltend macht, ist nicht absehbar. Wer sicher sein möchte, greift zu den kostenpflichtigen Diensten Adobe Stock* oder iStockphoto*.

Das Recht am eigenen Bild

Hierbei handelt es sich um einen Bestandteil des allgemeinen Persönlichkeitsrechts. Grundsätzlich bedarf es daher eines Einverständnisses der abgebildeten Personen, bevor Bilder veröffentlicht werden dürfen, die Personen abbilden.

Ausnahmen hiervon gelten in den folgenden Fällen.

• wenn es sich um Bildnisse der Zeitgeschichte handelt
• wenn Personen nur als Beiwerk abgebildet sind
• bei Bildern von Versammlungen und Aufzügen
• bei höherem Interesse der Kunst

In diesen Fällen, bedarf es daher nicht des Einverständnisses der abgebildeten Personen. Werden Bilder veröffentlicht, bei denen keiner dieser Ausnahmetatbestände und keine Zustimmung vorliegt, kann man auf Unterlassung und ggf. Schadensersatz in Anspruch genommen werden.

Bilder selbst erstellen

Natürlich kann man Bilder auch selbst erstellen, etwa indem man Fotos macht oder selbst Grafiken erstellt. Aber nicht jeder ist in dieser Hinsicht begabt oder es fehlt einfach an der Zeit. Hierzu gibt es aber seit neuestem eine Alternative: Die Künstliche Intelligenz.

Tatsächlich ist es möglich, Bilder von sogenannten KI-Generatoren erstellen zu lassen.

Der bekannteste ist Jasper Art*. Dieses Online-Tool erstellt, neben Texten, Bilder nach kurzen Textanweisungen. Das funktioniert verblüffend gut und kostet lediglich 20 USD / Monat. Der Vorteil ist nebenbei, dass man keine Rechte Dritter benötigt und keine Urhebernachweise benennen muss.

Das folgende Bild vom Grand Canyon wurde alleine aufgrund der obenstehenden Textanweisung erstellt:

Möchte man tiefer in die Materie der Bildrechte, im Kontext von Webseiten, eintauchen, findet man hier eine ausführliche Darlegung*.

Störerhaftung

Störerhaftung ist der rechtliche Begriff für die Haftung von Internetdienstanbietern für, durch Dritte eingebrachte, rechtsverletzende Inhalte auf ihren Plattformen.

Nach deutschem Gesetz haften Internet-Diensteanbieter dann für rechtsverletzende Inhalte Dritter auf ihren Plattformen, wenn sie von der Rechtsverletzung Kenntnis haben und nicht unverzüglich Maßnahmen ergreifen, um diese zu beseitigen.

Dies bedeutet, dass die Diensteanbieter nicht verpflichtet sind, ihre Plattformen proaktiv auf rechtsverletzende Inhalte zu überwachen. Sobald man jedoch Kenntnis von einer Rechtsverletzung erlangt, müssen unverzüglich Maßnahmen ergriffen werden, um diese zu entfernen. Eine allgemeine Meldepflicht leitet sich daraus jedoch nicht ab.

Wenn man eine Beschwerde eines Nutzers über verletzende Inhalte auf der Website erhält, muss man also sofort Maßnahmen ergreifen, um die verletzenden Inhalte zu entfernen. Andernfalls, kann man für die Rechtsverletzung haftbar* gemacht werden.

Dies ist von besonderer Bedeutung, wenn man auf der Website nutzergenerierte Inhalte anbietet, zum Beispiel in Form einer Community, eines Forums oder Gästebuchs oder Rezensionen in einem Shop. In diesem Fall sollte man den Nutzern die Möglichkeit bieten, problematische Inhalte zu melden. Für WordPress gibt es hierfür ein kostenloses Plugin, das entsprechende Meldebutton in WordPress einbindet und so eine direkte Meldung problematischer Inhalte ermöglicht.

Impressum

Jeder, der eine gewerbliche Website in Deutschland betreibt, muss nach deutschem Gesetz ein Impressum auf der Website vorhalten. Diese Seite muss dabei schnell zugänglich sein (spätestens nach 2 Klicks). Zudem darf der Link nicht durch andere Inhalte überlagert werden (z.B. durch das Cookie-Banner). Es dürfen zudem keine relevanten Textteile in Bilder gesetzt werden, die nicht barrierefrei zugänglich sind.

Das Impressum muss die folgenden Inhalte enthalten:

• Den Namen und die Anschrift des Betreibers der Website
• Wenn der Betreiber eine Gesellschaft ist, die Gesellschaftsform, den Sitz und die Handelsregisternummer.
• Den Namen und Anschrift des Bevollmächtigten, wenn der Betreiber ein Unternehmen ist.
• Die Kontaktdaten des Website-Betreibers, wie z. B. eine Telefonnummer oder eine E-Mail-Adresse.
• Falls der Betreiber der Website in einem Handels- oder Berufsregister eingetragen ist, den Namen dieses Registers und die Registrierungsnummer;
• Die Umsatzsteuer-Identifikationsnummer, falls zutreffend.
• Die zuständige Aufsichtsbehörde (bei Tätigkeiten, die eine behördliche Zulassung erfordern)
• Ggf. die Kammerzugehörigkeit

Sofern mit Verbrauchern Kauf- oder Dienstleistungsverträge abgeschlossen werden, also etwa über einen Online-Shop, muss ein Hinweis auf die Online-Streitschlichtungsplattform (sog. OS-Plattform) erfolgen. Dabei muss ein Link auf diese Plattform gesetzt werden. Wie das genau aussehen muss, erfährt man hier*.

Wer kein oder ein, nicht den Anforderungen genügendes, Impressum auf der Website bereitstellt, kann mit einem Bußgeld belegt werden. Darüber hinaus können Wettbewerber auf dieser Grundlage eine (kostenpflichtige) Abmahnung vornehmen.

Wem es zu heikel erscheint, das Impressum selbst zu gestalten, kann auf einen Impressumgenerator* zurückgreifen. Damit ist ein rechtskonformes Impressum leicht umzusetzen.

Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen sind alle für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen, die eine Vertragspartei der anderen Vertragspartei bei Abschluss eines Vertrags vorgibt. Damit lassen sich also für alle Kunden gleiche Bedingungen aufstellen. Allerdings gelten hierbei, im Hinblick auf Verbraucher, starke Grenzen*.

Wann braucht man allgemeine Geschäftsbedingungen für die Website?

In vielen Fällen sind Allgemeine Geschäftsbedingungen erst dann erforderlich, wenn man, Produkte oder Dienstleistungen online verkauft. Wenn die Website also nur dazu dient, Informationen auszutauschen, etwa auf einem Blog, oder für ein Unternehmen zu werben, benötigt man in der Regel keine solchen Geschäftsbedingungen.

Natürlich gibt es Ausnahmen von dieser Regel. Wenn man mit sensiblen Informationen, wie z.B. persönlichen Daten oder finanziellen Details, handelt, ist es sinnvoll Allgemeine Geschäftsbedingungen bereitzustellen, um sich z.B. vor Haftungsansprüchen zu schützen. Auch wenn man einen Wettbewerb oder eine Werbeaktion auf der Website durchführt, sind Geschäftsbedingungen sinnvoll, um sicherzustellen, dass alle Bedingungen transparent abgebildet werden.

Auch wenn das Gesetz selbst keine Regelung zur Erforderlichkeit von Allgemeinen Geschäftsbedingungen enthält, ist es in vielen Fällen, insbesondere wenn eine Vielzahl von Verträgen mit Nutzern oder Kunden abgeschlossen werden, sinnvoll sich mit diesem Thema zu beschäftigen.

Wo erhält man AGB für die Website?

Da es sich um eine rechtlich sehr komplexe Materie handelt, empfiehlt es sich hier auf die Unterstützung durch einen Rechtsanwalt zurückzugreifen. Auch hierfür gibt es kostengünstige Lösungen und Vertragsmuster* im Internet.

Datenschutzerklärung

Die Datenschutzerklärung ist ein sehr wichtiger Teil einer Website im Kontext der Datenschutzgrundverordnung. Sie regelt, welche Daten der Website-Betreiber von den Nutzern sammelt und zu welchen Zwecken diese Daten verwendet werden. Die Datenschutzerklärung muss auf der Website leicht zugänglich sein, z.B. über einen Link in der Fußzeile, und darf nicht durch andere Inhalte verdeckt werden.

Darüber hinaus müssen die Nutzer darauf hingewiesen werden, dass die durch die Nutzung von der Website erzeugten personenbezogenen Daten erhoben und gespeichert werden.

Wenn die Website von einem Unternehmen betrieben wird, muss die Datenschutzerklärung auch die folgenden Informationen enthalten:

• Den Namen und die Kontaktdaten der verantwortlichen Person
• Die Kontaktdaten des Datenschutzbeauftragten, falls ein solcher ernannt wurde
• Der Zweck, für den die Daten erhoben und verarbeitet werden
• Die Rechtsgrundlage für die Datenverarbeitung
• Die Empfänger oder Kategorien von Empfängern, denen die Daten übermittelt werden können
• Den Zeitraum, für den die Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieses Zeitraums
• Das Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch
• Das Bestehen eines Rechts auf Beschwerde bei einer Aufsichtsbehörde
• Alle Quellen, aus denen die Daten stammen, wenn sie nicht bei der betroffenen Person erhoben wurden

Zudem müssen ggf. Hinweise zu genutzten Diensten Dritter (s.o.) aufgenommen und die Datenverarbeitung erläutert werden.

Um keine Positionen zu übersehen und rechtlich korrekte Formulierungen zu verwenden, empfiehlt es sich für Verantwortliche hier auf einen Generator für die Datenschutzerklärung* von einem Rechtsanwalt zurückzugreifen.

Auftragsdatenverarbeitung (ADV)

Die Datenverarbeitung im Auftrag, kurz ADV, ist eine Vereinbarung, bei der ein Unternehmen seinen Datenverarbeitungsbedarf an ein anderes Unternehmen auslagert. Das auftraggebende Unternehmen behält die volle Kontrolle über seine Daten und kann genau festlegen, wie sie verarbeitet werden sollen. Der Dienstleister ist dann dafür verantwortlich, dass die Daten in Übereinstimmung mit den Anweisungen des Kunden verarbeitet werden.

Erforderlichkeit

Werden personenbezogene Daten im Auftrag eines Webseitenbetreibers verarbeitet, muss mit dem Dienstleister ein Vertrag zur Auftragsdatenverarbeitung gemäß Datenschutzgrundverordnung geschlossen werden. Dieser Vertrag regelt, welche Pflichten der Dienstleister bei der Verarbeitung personenbezogener Daten, im Auftrag des Webseitenbetreibers, zu erfüllen hat.

Darüber hinaus ist ein solcher Vertrag notwendig, wenn man Website Analyse-Tools verwendet und die Daten in einem Drittland (d.h. außerhalb der Europäischen Union) verarbeitet werden oder ein Content Delivery Network nutzt. Auch wenn der Newsletter über einen Dienstleister wie Cleverreach* oder Mailchimp* versandt wird, ist die Auftragsdatenverarbeitung vertraglich zu regeln.

Es ist zu beachten, dass ein Auftragsdatenverarbeitungsvertrag auch bereits dann abgeschlossen werden muss, wenn eine Website die Dienste eines Webhosters in Anspruch nimmt (was regelmäßig der Fall ist), um beispielsweise personenbezogene Daten zu speichern oder Bestellungen zu bearbeiten.

Anforderungen

Die DSGVO gibt dabei genau vor, welche Inhalte im Vertrag zur Auftragsverarbeitung geregelt sein müssen. Dies sind:

• Gegenstand und die Dauer des Auftrags
• Umfang, Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten
• die Art der Daten und der Kreis der Betroffenen
• die gemäß DSGVO zu treffenden technischen und organisatorischen Maßnahmen
• die Berichtigung, Löschung und Sperrung von Daten
• Pflichten des Auftragnehmers, insbesondere vorzunehmende Kontrollen
• bei Unterauftragsverhältnissen: Berechtigung zur Begründung des Unterauftragsverhältnisses
• Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers
• Mitteilungspflichtige Verstöße des Auftragnehmers oder von ihm beschäftigter Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen
• der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält
• die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags

Umsetzung

Zumeist halten die Anbieter bereits fertige Verträge zur Auftragsdatenverarbeitung bereit. Ggf. muss man sich bzgl. eines solchen Vertrages an den Verantwortlichen beim Auftragsverarbeiter wenden.

Bietet der Auftragsverarbeiter von sich aus keinen Vertrag an, ist es ratsam sich der Dienste einer Online-Kanzlei zu bedienen, diese bieten rechtsichere Verträge zur Auftragsdatenverarbeitung* an.

Folgen der Unterlassung

Werden Daten übertragen, ohne dass ein Vertrag zur Auftragsverarbeitung vorliegt oder erfüllt der Vertrag nicht die Anforderungen der DSGVO drohen hohe Bussgelder bis zu 20.000.000 Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens. Diese werden durch die für den Datenschutz zuständigen Aufsichtsbehörden verhängt, welche im Hinblick auf die Verfolgung von Verstößen, gegen die sich aus der DSGVO ergebende Verantwortung, immer aktiver werden. Das gilt jedoch nicht nur für die Auftragsverarbeitung sondern für alle anderen Verstöße gegen Regeln der DSGVO ebenso.

Recht auf Datenübertragbarkeit

Nach der Datenschutz-Grundverordnung haben die Verbraucher das sogenannte Recht auf Datenübertragbarkeit. Dieses gewährt das Recht, die bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Was bedeutet dies für Website-Betreiber?

Konkret bedeutet dies, dass ein Kunde, der in die Erhebung und Speicherung seiner Daten auf einer Website eingewilligt hat, verlangen kann, dass ihm diese Daten in einem strukturierten, gängigen und maschinenlesbaren Format ausgehändigt werden.

Der Anspruch auf Datenübertragbarkeit besteht nur dann, wenn die Datenverarbeitung mit Hilfe automatisierter Verfahren durchgeführt wird. Dies ist in der Regel bei Websites der Fall, da hier die Datenverarbeitung in der Regel automatisch erfolgt.

Allerdings besteht der Anspruch auf die Datenübertragbarkeit nicht, wenn die Datenverarbeitung Geschäftsgeheimnisse, Urheberrechte, geistiges Eigentum oder Persönlichkeitsrechte Dritter verletzen würde.

Die Frist zur Übertragung der Daten beträgt einen Monat ab Beantragung und kann in besonders schwierigen Fällen auf drei Monate verlängert werden.

Technisch ist der Export der Daten bei Verwendung von WordPress in jedem Fall möglich. Bei einigen Plugins, wie z.B. dem Community-Plugin BuddyBoss ist eine solche Funktion bereits integriert, die eine direkte Abfrage durch die Nutzer ermöglichen. Andernfalls muss man den Export der personenbezogenen Daten über das WordPress Backend auslösen (unter „Werkzeuge“). Möchte man auch einen Export in das PDF-Format anbieten, hilft das kostenlose Plugin DSGVO All in one for WP weiter. Weitergehende Informationen zu diesem Anspruch und den korrespondieren Pflichten findet man hier*.

Recht auf Vergessenwerden

Nach der Datenschutz-Grundverordnung haben die Verbraucher das sogenannte Recht auf Vergessenwerden. Damit haben sie einen Anspruch, ihre Daten löschen zu lassen, wenn die Speicherung für den Zweck, für den sie ursprünglich erhoben wurden, nicht mehr erforderlich ist oder wenn die Speicherung unrechtmäßig erfolgte.

Allerdings müssen Website-Betreiber einer Aufforderung zur Löschung nicht nachkommen, wenn die Speicherung der Daten gesetzlich vorgeschrieben ist oder wenn diese für die Erfüllung eines Vertrags erforderlich sind.

Wenn ein Kunde darum bittet, dass seine Daten gelöscht werden sollen, muss der Websitebetreiber in diesem Zusammenhang prüfen, ob eines der oben genannten Interessen oder Rechte vorliegt. Ist dies nicht der Fall, müssen die Daten gelöscht werden.

Andernfalls muss der Websitebetreiber den Kunden entsprechend informieren und die Gründe für die Ablehnung erläutern.

Auch diese Funktion wird von einigen Plugins bereits bereitgestellt, so dass Nutzer die Kündigung selbst durchführen können, wie hier ebenfalls z.B. bei BuddyBoss. Andernfalls muss man manuell im Backend auf die entsprechende Funktion (unter „Werkzeuge“) von WordPress zugreifen.

Fazit

In diesem Artikel haben wir gezeigt, was man beachten muss, um eine DSGVO-konforme WordPress Website zu gestalten und auch sonst alle rechtlichen Aspekte zu berücksichtigen. Es gibt nicht das eine WordPress Datenschutz Plugin. Vielmehr muss man viele Punkte beachten.

Wenn man diese Checkliste befolgt, ist man bereits auf dem besten Weg, eine DSGVO-konforme Website zu gestalten. Sollte man abschließend unsicher sein, ob die eigene Seite wirklich rechtlich auf der sicheren Seite ist, kann man einen kostenlosen Test mit einem entsprechenden Websitescanner* durchführen.

Sinn macht es auch einen günstigen Vertrag mit einer Online-Kanzlei abzuschließen, um bei der sich ständig ändernden Rechtslage immer auf dem Laufenden zu bleiben. Hierbei erhält man neben einem Vertragsmuster, für die unterschiedlichen Bereiche, Informationen zu rechtlichen Anpassungen und laufenden Abmahnwellen. Die Kanzlei eRecht24 bietet eine solche Leistung bereits ab 14,90 EUR / Monat* an. So kann man sicherstellen, dass die eigene Website fortlaufend alle rechtlichen Anforderungen erfüllt und sich vor Abmahnungen und Bussgeldern schützen.

Fragen und Antworten

Dies ist keine Rechtsberatung. Alle Angaben ohne Gewähr. Bei mit (*) gekennzeichneten Links, und Links unter Button handelt es sich um Affiliate Links.

Newsletter abonnieren

… und auf dem Laufenden bleiben.