Checkliste für DSGVO-sichere Websites & WordPress Sites

von | Mai 7, 2018 | IT Sicherheit, Webentwicklung |

Der 25. Mai 2018 ist ein Tag, dem viele Unternehmen und Organisationen, aber selbst Blogger mit dem einen oder anderen Affiliate-Link auf ihrem WordPress Blog mit Grauen entgegensehen – denn diesem Tag tritt die Europäische Datenschutz-Grundverordnung in Kraft. Mit der entsprechenden Vorbereitung können Sie dem 25. Mai jedoch gelassen entgegensehen. Deal!

DSGVO-Compliance für Ihre Website

Websites sind für Unternehmen und Organisationen nicht nur Instrumente, um Informationen zu den eigenen Dienstleistungen und Produkten an potentielle Kunden zu bekommen, sondern meist auch eine Kommunikationsschnittstelle. Kontaktformulare, Bestellformulare, Newsletter, Diskussionsforen, Links zu den Social Media Kanälen – über all diese Tools werden personenbezogene Daten ausgetauscht, verarbeitet, gespeichert. Die Information darüber, was, wozu und wie lange gespeichert wird, fehlt allerdings oft. Hier sollte die EU-DSGVO ansetzen: Zum einen sollten die Betreiber einer Website sicherstellen, dass unnötige Daten für „mögliche spätere Nutzung“ erst gar nicht erhoben und der tatsächlich nötige Datenaustausch verschlüsselt und mit möglichst geringem Risiko für den Betroffenen vonstatten geht. Die Nutzer einer Website sollten darüber informiert werden, was denn gespeichert wird, und so keine schwerwiegenden Gründe dagegensprechen (steuerrechtliche und Gründe der Produkthaftung bei Bestellungen etwa oder strafrechtliche bei Kommentaren oder Forumsposts, die eine Identifizierung des Posters notwendig machen könnten, Stichwort Wiederbetätigung oder Verhetzung) auch ihr Recht auf Vergessen, also das Löschen ihrer Daten beim Website-Betreiber geltend machen können.

Wir haben für Sie eine Checkliste mit den wichtigsten Punkten, um Ihre Website bzw. Ihr WordPress Blog DSGVO-konform zu machen, zusammengestellt. 

SSL-Verschlüsselung

Sobald Sie Formulare auf Ihrer Website integriert haben, müssen Sie zumindest für die Seiten, die Formulardaten übermitteln eine SSL (Secure Socket Layer) Verschlüsselung einrichten. Nur so kann sichergestellt werden, dass Dritte nicht die Daten beim Versand auslesen können. Und für Datensicherheit zu sorgen, ist einer der Grundpfeiler der DSGVO. In Ihrem eigenen Interesse sollten Sie jedoch gleich die ganze Website per https-Encryption ausliefern. Google wird nämlich ab Juli 2018 alle Webseiten in seinen Suchergebnissen, die NICHT über ein SSL-Protokoll verfügen, als unsicher ausweisen, was potentielle Kunden abschrecken könnte. Auch für das Google Ranking zahlt es sich aus, auf Verschlüsselung zu setzen, nehmen Sie also diesen Punkt so schnell als möglich in Angriff!

DSGVO-Compliance für Ihre Website

 

Informations- und Dokumentationspflichten nachkommen

Ein Impressum ist schon lange Pflicht für Websites in Österreich. Nehmen Sie die DSGVO zum Anlass zu überprüfen, ob Ihres den derzeitigen gesetzlichen Anforderungen noch entspricht und vor allem auch, ob es einfach über jede Seite Ihres Webauftritts zu erreichen ist.

Eine ausführliche Datenschutzerklärung findet sich derzeit noch nicht auf allen Seiten. Sie ist jedoch ab 25. Mai genauso verpflichtend wie ein Impressum. Hier müssen Sie detailliert festhalten, welche Daten Sie über Ihre Website sammeln und wie lange Sie diese speichern. Auch ob Dritte an dieser Datenspeicherung bzw. Verarbeitung beteiligt sind, muss angeführt werden. Sie meinen, das betrifft Sie nicht, weil Sie kein Kontaktformular auf Ihrer Website haben? Nun, auch die IP-Adresse Ihrer Besucher zählt zu den personenbezogenen Daten, im besten Fall müssen Sie also nur darüber Auskunft geben, wie Ihr Hosting-Provider mit diesen Daten verfährt. Verwenden Sie Google Fonts, Google Maps, Like-Buttons, Google Analytics, etc. wird es schon aufwendiger.

In all diesen Fällen benötigen Sie einen Vertrag mit dem sogenannten Auftragsverarbeiter, also Ihren Hosting-Provider, Google, etc. Diese Verträge gehören genauso zu Ihrer Datenverarbeitungsdokumentation wie das Verzeichnis der Verarbeitungstätigkeiten. Auch dort müssen Sie die verschiedenen über die Website erhobenen Kategorien dokumentieren.

Der Cookie-Hinweis

Wenngleich Details zur erlaubten Verwendung von Cookies erst mit der ePrivacy-Richtlinie 2019 zum Tragen kommen werden, sollten Sie auch jetzt schon über die Verwendung von Cookies auf Ihrer Website informieren und Ihren Besuchern die Möglichkeit für ein Opt-out bei nicht wirklich notwendigen Cookies (wie dem für Google Analytics) geben. Für Ihre WordPress-Installation können wir diesbezüglich das Plugin Cookie Notice von dFactory empfehlen. Cookie Notice bietet im Gegensatz zu vielen anderen Plugins am Markt auch die Möglichkeit ein Opt-out zu integrieren.

E-Mail-Newsletter Anmeldung & Kontaktformular

Bei jeder Art von Formular auf Ihrer Website sollten Sie die folgenden Punkte beachten:

  • Formularseiten müssen über eine SSL-Verschlüsselung verfügen!
  • Fragen Sie nicht mehr Daten ab, als für den Kontakt- bzw. Bestellvorgang notwendig sind.
  • Informieren Sie Ihre Besucher in der Datenschutzerklärung in einfachen Worten darüber, welche Daten wo, wie lange und zu welchem Zweck gespeichert werden.
  • Stichwort Privacy by Default – d.h. keine automatisch vorgesetzten Häkchen beim Abonnieren, Bestellen, Einverständnis einholen, etc. Der Besucher muss das Häkchen aktiv setzen, um sein Einverständnis zu erklären.
  • Beachten Sie das Koppelungsverbot! Das heißt, dass Sie bei einer Bestellung den User nicht mit einem automatischen Newsletter-Abo beglücken dürfen.
DSGVO-Compliance für Ihre Website

Social Media Button Plugins

Die diversen Tools zum einfachen Teilen von Links auf Social Media Plattformen wie Facebook oder Twitter sind datenschutzrechtlich schon immer heikel, in Deutschland gibt es daher schon länger ein Verbot diese zu nutzen. Setzen Sie folgende Schritte, um die Like-Buttons DSGVO-konform zu nutzen. 

  • Site-Like Links über hard-coded Links einrichten
  • Nutzen Sie WordPress können Sie die Teilen-Funktion über das Plugin Shariff integrieren 
  • In der Datenschutzerklärung über jeden einzelnen Social Media Kanal, mit dem Daten ausgetauscht werden, informieren.

Google Analytics

Wenn Sie Google Analytics nutzen, müssen Sie folgendes beachten, denn zum einen werden durch die Nutzung Cookies auf den Rechnern Ihrer Besucher gespeichert, zum anderen speichert Google die über dieses Tool erhobenen Daten ja auch in den USA. Google selbst führt gerade einige neue Features ein, die den DSGVO-gerechten Einsatz des Tools vereinfachen. Vom Festlegen des Speicherzeitraums bis hin zum Löschen einzelner Datensätze. 

  • Anonymisieren Sie die IP-Adressen Ihrer Besucher.
  • Infos über die gespeicherten Daten und die Nutzung gehören in die Datenschutzerklärung.
  • Bieten Sie Ihren Usern die Möglichkeit zum Opt-out bzgl. des Analytics-Cookies.

Google Maps Integration

Viele Website nutzen die Möglichkeit, Ihren Standort über Google Maps auf der eigenen Website anzuzeigen. Allerdings werden so ebenfalls Daten des Besuchers an Google übertragen. Oft nicht nur die IP-Adressen, sondern über das Google Cookie bei eingeloggten Besuchern weitere Daten des Users. Es gibt derzeit noch keine wirklich datenschutzkonforme Möglichkeit, Google Maps in die eigene Website zu integrieren. Infos über die gespeicherten Daten und die Nutzung gehören damit in jedem Fall in Ihre Datenschutzerklärung.

Einbetten von Videos

Eigene oder thematisch passende Videos in eine Webseite zu integrieren, sind eine beliebte Methode Inhalte in aufgelockerter Form zu präsentieren. Wie bei Google Maps werden aber auch hier User-Daten an Google übermittelt und auf deren Servern gespeichert. YouTube bietet seit kurzem die Möglichkeit einen „Erweiterten Datenschutzmodus“ zu aktivieren an. Daten werden dann erst bei Klick auf Play übermittelt. Allerdings muss natürlich bei jedem Video deutlich darauf hingewiesen werden, dass bei Klick Daten übertragen werden. Auch ein entsprechender Hinweis in der Datenschutzerklärung sollte vorhanden sein. 

Vimeo bietet derzeit noch keine Möglichkeit, die Videos -DSGVO-konform einzubetten an. Sollte sich hier noch vor dem 25. Mai etwas ändern, werden wir darüber berichten.

DSGVO-Compliance für Ihre Website

Google Fonts in WordPress Themes

Viele WordPress Themes nutzen Google Fonts, um Webseiten einen modernen, individuell auf das Unternehmen abgestimmten Look zu verleihen. Google Fonts haben den Vorteil, dass Ihre Site bei jedem Nutzer gleich aussieht, egal welche Schriften dieser lokal auf seinem Rechner installiert hat, und ihre Benutzung ist kostenlos. Wirklich gratis ist allerdings nichts auf der Welt, in diesem wie in vielen ähnlichen Fällen bezahlen Sie mit Daten, den Daten Ihrer Besucher. Wenn Sie Google Fonts also DSGVO-konform einsetzen möchten, müssen Sie diese auf Ihrem Webserver lokal hosten, sie über CSS einbinden und Ihrem Theme verbieten, eine Versuch, die Fonts trotzdem von Google zu laden, zu starten. 

Plugins checken

Viele Plugins – Jetpack ist hier ein gutes Beispiel – senden ebenfalls munter Daten Ihrer User in die Welt hinaus bzw. speichern diese auf Servern außerhalb Ihres Einflussbereiches. Auch diverse Spam-Blocker sind nicht immer DSGVO-konform, von den üblichen Social Media Plugins haben wir ja schon weiter oben gesprochen. Überprüfen Sie, ob dies auch bei den von Ihnen genutzten Plugins der Fall ist und deaktivieren bzw. ersetzen Sie die Übeltäter durch datenschutzfreundliche Varianten.

Kommentarfunktion

Wenn auf Ihrem Blog eine rege Kommunikation über die Kommentarfunktion stattfindet, stellen Sie sicher, dass die Übermittlung von IP-Adressen verhindert wird und informieren Sie Ihre User darüber, ob es durch deren Kommentare zum Speichern personenbezogener Daten auf Ihrem Webserver bzw. Ihrem Unternehmen kommt. Auch sollten Sie es den Usern ermöglichen, Ihre Kommentare eigenständig wieder löschen zu können. Sind von den drei Kommentaren, die Sie pro Jahr bekommen – ja auch so etwas gibt es – zwei ohnehin nur Spam, sollten Sie vielleicht in Betracht ziehen, diese Funktion zu deaktivieren. Damit fallen nicht nur Informationspflichten hinsichtlich der Kommentarfunktion weg, Sie benötigen auch kein Antispam-Plugin oder Gravatare und haben damit gleich drei DSGVO-Stolpersteine auf einem übersprungen.

Gravatare

Gravatare sind insofern problematisch, dass Daten Ihrer Website-Besucher an den Gravatar-Server übertragen werden. In der derzeitigen Situation empfiehlt es sich, diese Funktion zu deaktivieren.

Google Feedburner

Einige Blogs verwenden den schon lange totgesagten, aber immer noch aktiven und durchaus auch nützlichen Google Feedburner, um ihre Leser auf neue Artikel aufmerksam zu machen. Da der Feedburner über eine Double-Opt-in-Funktion verfügt, ist er durchaus rechtskonform. Allerdings werden die Mailadressen der User auf einem Google-Server gespeichert, auch die, die das zweite Opt-in nicht durchgeführt haben. Sie müssen Ihre Besucher also in der Datenschutzerklärung über diesen Umstand informieren und legen am besten einen Zeitraum fest – z.B. eine Woche -, innerhalb dessen Sie die unvollständigen Registrierungen händisch aus der Liste löschen. 

Foren & Member Plugins

Sollten Sie auf Ihrer WordPress Website auch Foren – z.B. über die beiden beliebtesten Plugins bbPress oder BuddyPress – betreiben, oder einen geschützten Member Bereich mit eigenen Login für die Mitglieder haben, müssen Sie die User in der Datenschutzerklärung auch gesondert auf die Datenspeicherung in diesen Bereichen hinweisen. Vergessen Sie auch nichgt auf den ADV-Vertrag, wenn die Daten aus den Forumseinträgen bzw. Mitgliederbereich auf einem Drittserver gespeichert werden sollten.

DSGVO-Compliance für Ihre Website

Ein guter Rat zum Schluss

Für die Sicherheit Ihres Internetauftritts zu sorgen, sollte nicht nur rund um die EU-DSGVO ein Thema sein. Überprüfen Sie regelmäßig folgende Punkte:

  • Haben Sie die aktuellste Version von WordPress oder dem CMS Ihrer Wahl installiert? Immer wieder werden neue Sicherheitslücken entdeckt, aber auch geschlossen. Mit einer aktuellen Version sind Sie definitiv sicherer als mit einer, die Sie vor Jahren beim ersten Aufsetzen Ihrer Homepage verwendet haben. Auch im Hinblick auf die DSGVO werden in den aktuellen Versionen noch strittige Punkte verbessert und an die neue Datenschutz-Grundverordnung angepasst.
  • Aktualisieren Sie auch Ihre Plugins regelmäßig. Bei der Gelegenheit können Sie auch gleich nicht mehr benötigte Plugins deinstallieren und somit potentielle Gefahrenquellen eliminieren.
  • Überprüfen Sie Ihr Berechtigungssystem. Haben Mitarbeiter, die nicht mehr im Unternehmen sind, oder externe Dienstleister,  mit denen Sie nicht mehr zusammenarbeiten, noch Zugriff auf Ihr CMS, das Webanalyse-Tool, die Social Media Kanäle, etc.? 
  • Sichern Sie Ihre Website regelmäßig und bewahren Sie diese Sicherung NICHT auf dem Webserver auf.
  • Überprüfen Sie Ihren Webserver bzw. Webspace regelmäßig auf Schadcode (also Viren, Trojaner, etc.)
  • Ändern Sie regelmäßig Ihre Passwörter. Und bitte, wählen Sie dabei sichere Varianten aus! Ihre Kombination sollte sowohl Groß- wie auch Kleinbuchstaben, Ziffern und Sonderzeichen enthalten. Denken Sie daran, je kürzer, desto einfach ist es zu knacken, zwölf Zeichen sollten das Minimum ausmachen.

Bitte beachten Sie, dass dieser Artikel keinen Anspruch auf Vollständigkeit erhebt und auch keine Rechtsberatung ersetzen kann. Wenn Sie eine weitergehende, speziell auf Ihr Unternehmen bzw. Ihre Organisation zugeschnittene Beratung oder Unterstützung bei der Umsetzung der technischen Erfordernisse für Ihre IT benötigen, stehen wir Ihnen selbstverständlich gerne zur Verfügung.

Benötigen Sie Hilfe beim Umsetzen?

Wenn Sie Unterstützung beim Erfüllen der EU-DSGVO-Erfordernisse für Ihre Website bzw. Ihren Blog benötigen, sind die Webentwickler von Iphos IT Solutions für Sie da. 

Das Wiener IT-Unternehmen ist seit 20 Jahren in der Webentwicklung tätig und verfügt nachweislich sowohl über die Kompetenz als auch die Erfahrung, Sie bestmöglich zu beraten und zu betreuen. 

a

Textquellen & Links

Unser Interview mit DSGVO-Experten Marco Gschaider können Sie hier nachlesen:
blog.iphos.com

Hier finden Sie allgemeine Infos zur DSGVO kurz gefasst:
blog.iphos.com

Hier können Sie nachlesen, wie Sie im Falle eines Data Breach reagieren sollten, um DSGVO-konform zu handeln:
blog.iphos.com

Ein Muster zur DSGVO-konformen Datenschutzerklärung für Ihre Website finden Sie hier:
wko.at

Mehr zur neuen Google Richtlinie hinsichtlich https-Encryption können Sie hier nachlesen:
security.googleblog.com