DSGVO WordPress Checkliste und Plugins ✅

Diese DSGVO WordPress Checkliste hilft Dir Dein CMS-System bezüglich der Datenschutz-Grundverordnung vor Abmahnung sicher(er) zu machen.

Bevor ich auf die DSGVO WordPress Checkliste eingehe bitte ich zu beachten, dass ich kein Jurist bin und daher kein Gewähr auf Korrektheit oder Vollständigkeit geben kann. Zudem bin ich kein Programmierer, d.h. einige Plugin-Einstellungen welche Du hier erfährst inkl. Plugin-Erweiterungen können ggf. in der Praxis und je nach bspw. verwendeten WordPress Theme abweichen, doch ich zeige Dir wie ich in meinem Fall die DSGVO auf WordPress (bisher) umgesetzt habe und gebe Dir alle Tipps mit bestem Wissen und Gewissen weiter.

DSGVO WordPress Checkliste und Plugins

Als, in meinen Augen, wichtigste Baustelle im Zuge der DSGVO ist der Datenschutzhinweis in Deinem Blog, Landingpage, Memberseite, Webinarseite oder wo auch immer Du WordPress als CMS-System einsetzt. Hier werden wohl auch die meisten Abmahnanwälte drauf schauen und wenn hier nichts vorhanden ist, wäre dies schon mal ein wahrhaft gefundenes Fressen. Ich persönlich habe in diesem Blog zur Erstellung der Datenschutzrichtlinien das Angebot von Avalex genutzt, wo man im Vorfeld u.a. lediglich angeben muss was für eine Webseite man betreibt und welche Tools man dabei einsetzt, also bspw. Google Analytics, verwendete Plugins etc.. Anschließend werden dann automatisch auf Deiner hinterlegten Datenschutzseite in WordPress, über den hinterlegten Shortcode, die neusten juristischen Updates bzgl. der Anwendungen eingespielt.

Toll ist dabei zudem, das man auf der Seite des Anbieters vorab seine Domain angeben kann, wodurch das System dann schon mal kostenfrei wertvolle Tipps über verwendete Plugins bzgl. der Datenschutzgrundverordnung gibt. Auch wenn Du also später eventuell nicht das einfach zu installierende Tool auf Deinem Blog einsetzen möchtest, kannst Du Dir schon so viele wichtige Hinweise holen um Deine WordPress Seite DSGVO konform(er) einzurichten. Bei kritischen Plugin Anwendungen erhälst Du dann einen Warnhinweis: „rot“ für nicht DSGVO konform und „gelb“ für kritisch. Als Kunde bekommst Du darüberhinaus sogar zusätzlich einen Abmahnkostenschutz.

Für mich daher, aufgrund der Einfachheit, Schnelligkeit und Sicherheit der attraktivste Datenschutzgenerator, weshalb ich mich dann auch auf dieser WordPress Seite für diesen Anbieter entschieden habe.

Weitere kostenfreie Datenschutz Generatoren, welche allerdings keine WordPress Plugins prüfen, noch selbstständig automatisiert Deinen Datenschutz stets auf dem neusten Stand halten und natürlich auch keinen Abmahnkostenschutz bieten können, sind u.a.:

https://dg-datenschutz.de/datenschutz-dienstleistungen/externer-datenschutzbeauftragter/

https://www.wbs-law.de/it-recht/datenschutzrecht

https://www.ratgeberrecht.eu

https://www.e-recht24.de

Als 2. habe ich das Tracking und die Cockiesetzung so eingestellt, dass der jeweilige Webseitenbesucher vorab ein mögliches Trackings oder Cookiesetzung selbst bestimmen kann. Im Zuge der neuen DSGVO reicht dazu ja leider ein Opt-Out alleine nicht mehr aus, d.h. ähnlich wie beim E-Mail-Marketing muss jeder zuerst einen Douple-Opt-In Prozess durchlaufen und sich gleichzeitig jederzeit wieder austragen können, also in diesem Fall aus der Cookieverfolgung bzw. dem Tracking.

Da ich kein Programmierer bin, habe ich mich auch hierzu nach einem passenden DSGVO WordPress Plugin umgeschaut, welches also vorab nach einer Einwilligung des Webseitenbenutzers fragt und zugleich im Datenschutz die Möglichkeit bietet jederzeit die Cookie-Setzung und das Tracking zu verändern.

Im folgenden siehst Du im Screenshot welche drei Möglichkeiten jeder neue Besucher nun auf dieser Webseite selektieren kann:

DSGVO WordPress Checkliste

DSGVO WordPress Checkliste

Im Übrigen, kann man bei dem verwendeten Plugin auch einstellen wie oft dem Besucher die Möglichkeit offeriert werden soll, also bspw. bei jedem erneuten Besuch oder erst nach 30 Tagen etc.. Das Tool welches ich dazu einsetze lautet Borlabs Cookie .

Das Plugin Borlabs Cookie hat im Übrigen noch eine weitere interessante Funktion, welche ich in meinem Blog brauchte, denn laut der neuen DSGVO ist es ja, wie erwähnt, nicht mehr erlaubt den Webseitenbesucher ohne Erlaubnis zu tracken. Leider aber trifft dies selbst auf eingebettete Youtubevideos zu, d.h. bereits mit dem Aufrufen der Webseite werden die Daten des Besuchers an Youtube weitergegeben. Zwar kann man dort jetzt neuerdings auch einen Code kopieren, welcher die Cookiesetzung unterbindet, doch auf diesem Blog mit mittlerweile hunderten verfassten Beiträgen wäre dies vom Aufwand her kaum zu bewerkstelligen gewesen.

Lösung? Durch das Plugin Borlabs Cookie kann nun der User auch hier selber entscheiden ob er das Youtube Video nachladen möchte oder nicht, d.h. erst wenn der Webseitbesucher darauf klickt werden Daten an Youtube übertragen. Im folgenden ein Screenshot dazu wie dies hier auf der Webseite nach der Umstellung ausschaut:

Youtube Video WordPress keine Cookie

Youtube Video WordPress keine Cookie

Als 3. habe ich auf meinen Webseiten kritische Plugins, wie „Facebook Likebox“ entfernt oder datenschutzkonform angepasst, wie bspw. das WordPress Plugin „AntiSpam Bee“ oder „Redirection“. Im oberen Video zeige ich Dir dazu im Übrigen detailliert die Einstellungen.

Bei Redirection ist es hingegen schnell und leicht anpassbar, dazu brauchst Du lediglich auf „Einstellungen“, dann „Options“ und dann dort auf den Menüpunkt „IP-Protokollierung klicken, wo Du dann „Anonymize IP“ selektieren kannst.

Hier der Screenshot dazu (zum Vergrößernd der Abbildung bitte einfach anklicken):DSGVO WordPress Checkliste Plugins

DSGVO WordPress Checkliste Plugins

Mein Kontaktformular Plugin auf dieser Webseite „Contact Form 7“ habe ich erstmal entfernt. Doch mit dem kostenfreien Plugin WP GDPR Compliance kannst Du u.a. eine Checkbox einfügen. In diesem Blog nutze ich das Plugin WP GDPR Compliane aktuell allerdings lediglich bei den Kommentaren, weil dies wohl auch dort, laut mehrerer Anwälte, welcher auf Internetrecht spezialisiert sind, im Zuge der DSGVO, ebenfalls zu empfehlen ist. Bedeutet, wenn Du bei Deiner Webseite Kommentare freigeschaltet hast oder ein Kontaktformular einsetzt, dann ist dieses Plugin eine gute Möglichkeit die entsprechend wichtigen Checkboxen einfach und schnell zu integrieren.

Im folgenden Screenshot siehst Du, das nun jeder Webseitenbesucher, der einen Kommentar veröffentlichen will, zuerst in der Checkbox der Speicherung und Verarbeitung der Daten zustimmen muss:

WP GDPR Compliance WordPress Plugin

WP GDPR Compliance WordPress Plugin

Als 4. habe ich einige Anpassungen bzgl. Google Analytics unternommen. Zu einem natürlich indem der Pixel-Code jetzt nicht mehr direkt bei einem Webseitenbesucher automatisch erfolgt, sondern erst nach dem Einverständnis, wie zuvor erwähnt , mit dem entsprechenden Plugin zu Cookie Opt-In und Opt-Out. Zum anderen, habe ich den Google-Analytics Code mit der Eingabe „ga(’set‘, ‚anonymizeIp‘, true);“ erweitert, um IP’s der Besucher zu anonymisieren.

Im folgenden ein Screenshot dazu wie dies in meinem Fall ausschaut:Google Analytics DSGVO konform einsetzen

Google Analytics DSGVO konform einsetzen

Leider ist es damit bzgl. Google Analytics allerdings noch immer nicht erledigt. Anschließend habe ich mich in mein Google Analytics Konto eingeloggt und dort unter dem Menüpunkt Verwaltung, Proberty, Tracking-Informationen die Datenaufbewahrung u.a. von „Laufen nicht automatisch ab“ auf nur einige Monate festgelegt.

Übrigens, viele Rechtsanwälte empfehlen hier im Idealfall 14 Monate einzustellen. Allerdings ist diese Zeitspanne in meinem Fall zu kurz um u.a. die Entwicklung des Blogs ausreichend nachvollziehen zu können. Ebenso wären diese Zahlen später nicht unerheblich im Falle eines Verkaufes, um bspw. die Entwicklung der Besuchsstatistiken nachweisen zu können, daher muss hier jeder für sich entscheiden inwieweit er das eventuell zusätzliche Risiko einer längeren Datenaufbewahrung eingehen möchte.

Von meinem Verständnis her sollten auch 50 Monate grundsätzlich gesetzlich konform sein, wenn man im Falle eines Falls die Notwendigkeit dieser Verwahrzeit ausreichend bzgl. des Geschäftes begründen kann. Laut der DSGVO gilt ja der Leitsatz „nur so viele Daten abfragen wie nötig und nur so lange aufbewahren wie nötig“.

Wer dennoch ganz sicher gehen möchte, kann natürlich auch Alternativen zu Google Analytics einsetzen. Doch dies wäre schon wieder ein anderes Thema. Einige hilfreiche Google Analytics Alternativen, welche keine Cookies setzen, findest Du u.a. hier.

Der 5. Punkt auf der DSGVO WordPress Checkliste lautete bei mir mit allen Unternehmen welche meine gesammelten Daten weiter verarbeiten einen AV-Vertrag abzuschließen. Dies war bei meinem Hostinganbieter bei Strato schnell und einfach online möglich. Bei meinem Autoresponder Getresponse musste ich diese hingegen beim Support anfordern – soll aber nach Aussage der Mitarbeiter bald ebenso einfach automatisch im Backoffice hinterlegt und integriert werden. Ebenso muss so ein Vertrag mit Google Analytics abgeschlossen werden, welcher aus stolzen 18 Seiten besteht und postalisch nach Irland verschickt werden muss. Wenn Du PPC-Marketing betreibst, musst Du ggf. auch dort beim Anbieter einen AV-Vertrag abschließen, sofern bspw. Besucher getrackt werden, ebenso möglicherweise bei Webinarsoftware usw..

Wie Du siehst, ziemlich mühselig, denn erstmal muss man ja überhaupt herausfinden wo es jeweils einen AV-Vertrag benötigt – wie erwähnt, prinzipiell jedes Unternehmen welches Deine gesammelten Daten weiterverarbeitet bzw. betreut -, dann muss man teilweise dutzende Seiten ausdrucken – was ich sowohl ökonomisch, wie auch ökologisch als unnötig betrachte – und dann muss man auch noch teils ewig auf eine Antwort warten. Manche Anbieter machen es einen dabei einfach, wie als positives Beispiel Strato, und andere, selbst Weltkonzerne, geben einem irgendwie das Gefühl das sie alles tun wollen um diesen Akt zu unterbinden. Wie auch immer, sollte auch dieser Punkt im Zuge der DSGVO WordPress Checkliste getätigt werden.

Als 6. und vorerst vorletzten Punkt habe ich meine Landingpages und Opt-In-Felder angepasst, denn hier ist es jetzt nicht mehr so einfach möglich einen Freebie, wie bspw. ein White-Label-Ebook, herauszusenden und anschließend den Leuten im Zuge eines Bauchladens mit Angeboten zu torpedieren. Welches gute Online-Marketing-Manager und Online-Networker im Übrigen so oder so niemals machen würden, denn vernünftigerweise möchte man seiner targetierten Zielgruppe ja immer einen Mehrwert weitergeben, so dass sich die Leute auch das nächste Mal noch die Mails anschauen.

Wie dem auch sei, ist es jetzt u.a. wichtig den Personen auf der Landingpage klar deutlich zu machen:

  • dass er/sie sich anschließend in einem Newsletter einträgt,
  • für welche Informationen sich eingetragen wird,
  • wie oft der Newsletter bzw. das Follow-Up versendet wird.

Ich muss zugeben, dass ich vor dieser Veränderung mit die größten Bedenken hatte, da ich davon ausging, das sich dadurch möglicherweise die Conversionsrate extrem reduzieren würde. Allerdings, habe ich bisher keine negativen Auswirkungen feststellen können.

Als 7. und letzten Punkt habe ich mich mit dem Verzeichnis der Verarbeitungstätigkeit beschäftigt. Grundsätzlich geht es hier im Kern darum warum und zu welchen  Zweck Du Daten sammelst, woher diese Daten stammen, an welche Dritte Du Deine gesammelten Daten weitergibst – hier kommen also auch alle Unternehmen rein wo Du einen AV-Vertrag (siehe oben) abgeschlossen hast – , wie lange diese gespeichert werden und wie Du sicher stellst, dass die Daten nicht missbraucht werden.

Dieses Verarbeitungsverzeichnis könnte eine Datenschutzaufsichtsbehörde von Dir einfordern. Allerdings, hätte man dazu wohl um die vier Wochen Zeit. Dennoch würde ich jedem empfehlen sich auch hiermit zu beschäftigen, falls es doch mal zu dem Fall der Fälle kommen sollte und es dann nicht unnötig im Stress ausartet oder ggf. doch zu knapp wird, falls man sich bspw. gerade im Urlaub befindet.

Ein Verzeichnis der Verarbeitungstätigkeiten Beispiel Muster kannst Du u.a. hier unter dem Bayerischen Landesamts für Datenschutzaufsicht herunterladen.

DSGVO Zusammenfassung WordPress

Die neue DSGVO lässt sich mit WordPress relativ einfach umsetzen, doch muss man sich mit dieser Thematik zwingend auseinandersetzen und einiges an Zeit mitbringen. Ich denke, in Zukunft wird nachkorrigiert werden und einige Dinge noch einfacher umzusetzen sein, doch bis es soweit ist sollte man lieber etwas vorsichtiger agieren, anstatt es bspw. Abmahnanwälten – im Auftrag der Konkurrenz – zu einfach zu machen.

Letztendlich aber ist es so oder so aktuell nicht möglich 100% der Datenschutz-Grundverordnung einzuhalten, weil schlicht teils einige Dinge undeutlich formuliert, verschieden ausgelegt und selbst spezialisierte Rechtsanwälte auf Internetrecht teils unterschiedliche Aussagen treffen, d.h. in manchen Fällen muss man einfach auf die ersten Gerichtsprozesse warten und dann die WordPress Seite ggf. nachjustieren.

Ich hoffe, dass Dir diese DSGVO WordPress Checkliste dazu mit verhilft Deine Seite sattelfest(er) zu machen. Weitere Tipps, für eine noch schnellere und einfachere Umsetzung, findest Du auch bei Experten zum Thema wie bspw. hier im Video-Coaching von Sandra Messer.

networker
 

Konnte bereits während seines BWL-Studiums, durch moderne Inbound-Marketing-Strategien, 483 Erstlinien sponsern und ein hauptberufliches Monatseinkommen im Network-Marketing über das Internet aufbauen. Mit mittlerweile über weit eintausend direkt gesponserten Vertriebspartnern zählt er zu einer der erfolgreichsten Rekrutierern der deutschen MLM-Branche.

>