WordPress & DSGVO / Datenschutz
Wir helfen Ihnen bei der Maßnahmenumsetzung zur Datenschutzgrundverordnung (DSGVO).
WordPress & DSGVO
Datenschutz mit WordPress
Die DSGVO ist für Sie als Webseiten- und Blogbetreiber eine hochaktuelle Problematik. Dabei geht es für Sie um die Verarbeitung personenbezogener Daten und den freien Verkehr dieser. Die Datenschutzverordnung bezieht sich auf natürliche Personen, deren Grundrechte und Grundfreiheiten geschützt werden sollen. Im Unternehmensbereich betrifft das neben dem regulären Arbeitnehmer-Arbeitgeber-Verhältnis, Unternehmenswebseiten, Online-Shops, sowie Dienstleister, die das Internet für Bestellungen nutzen. Ob Kundenbestellungen, bei E-Mail Kampagnen oder Nutzertracking, das Thema ist überall relevant. Bei jedem dieser Vorgänge verarbeiten und nutzen Sie Daten von Kunden.
Was ist die Datenschutzgrundverordnung?
Das ursprüngliche in Deutschland geltende Bundesdatenschutzgesetz verliert an der einen oder anderen Stelle seine Gültigkeit bzw. bekommt neue Regelungen. Die Datenschutzgrundverordnung der EU vereinheitlicht das Datenschutzrecht. Unterschiedliche Standards in verschiedenen Ländern werden abgeschafft. Die Datenschutzgrundverordnung richtet sich nicht nur an EU-Mitglieder. Sie wird automatisch verbindlich, für die Datenverarbeitung außerhalb der EU. Kriterium dafür ist die Datenverarbeitung von Personen aus der EU. Der Datenschutz soll benutzerfreundlicher und transparenter werden. Damit einhergehend, höhere Bußgelder die bei einem Verstoß gegen die neue Verordnung greifen.
Wer ist betroffen?
Die Verordnung erstreckt sich auf jedes Unternehmen und jeden der sich innerhalb des Internets bewegt. Das bezieht sich auf Nutzertracking, Kundendaten, Newsletter, Werbemails, speziell auf Facebook und hat damit Einfluss auf jede Datenschutzerklärung. WordPress ist genauso davon betroffen. Datenschutzerklärungen müssen aktualisiert und Plugins zum Teil deaktiviert oder aktualisiert werden. Youtube Videos müssen/können nur mit erweiterten Datenschutzoptionen eingebunden werden. Per Opt-In benötigen WordPressseiten eine Zustimmung der Leser über die Datenverarbeitung. Die Datenschutzerklärung trat am 25. Mai 2016 in Kraft und wurde am 25. Mai 2018 verbindlich.
Was sind personenbezogene Daten?
Daten, die in den Bereich der Datenschutzgrundverordnung fallen, sind:
- Name
- Adresse
- E-Mail-Adresse
- Telefonnummer
- Geburtstag
- Kontodaten
- Kfz Kennzeichen
- Standortdaten
- IP-Adressen
- Cookies
Was passiert beim Verstoß?
Wird bei Ihnen ein Verstoß festgestellt, sollten Sie sich an die Datenschutzbehörde des eigenen Landes wenden. Ein Verstoß zieht schwerwiegende Strafen für Sie nach sich. Frühere Bußgelder lagen zwischen 50.000 € und 300.000 €. Diese bezogen sich auf schwere Datenschutzverstöße. Mit der neuen Verordnung haben sich die Bußgelder erhöht. Sie können bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes betragen. Damit werden globale Unternehmen gezwungen, sich an die neuen Vorschriften zu halten. Halten Sie sich nicht daran, können Sie mit Abmahnungen rechnen. Verstöße sind wettbewerbsrechtlich für Sie und Andere relevant.
Was hat sich verändert?
Verboten sind Ihnen die Erhebung, Verarbeitung und Nutzung personenbezogener Daten, wenn Ihre Nutzer keine Erlaubnis geben. Die Erlaubnis wird Ihnen durch Gesetze, wie zum Beispiel die EU-DSGVO, das BDSG oder die Einwilligung der Verbraucher erteilt. Sie dürfen nur so viele Daten erheben und verarbeiten, wie für Sie notwendig. Datenverarbeitung darüber hinaus ist illegal. Sie dürfen die Daten nur für den Zweck nutzen, für den sie erhoben wurden. Sie müssen inhaltlich, sachlich richtig und aktuell sein. Art. 32 betrifft das Thema der Datensicherheit und beschäftigt sich mit der Datenverarbeitung unter Berücksichtigung des aktuellen Technikstandes, sowie der Kosten, Art, Umfang, Umstände und Risikoanalyse. Treffen Sie die richtigen technischen und organisatorischen Maßnahmen, um den richtigen Datenschutz zu gewährleisten! Dabei ist der Aspekt des Schutzniveaus relevant. Je nach personenbezogenen Daten sind diese unterschiedlich schutzbedürftig.
Das Recht auf Löschung
Bisher konnten EU-Bürger von Suchmaschinen verlangen, Suchergebnisse nicht mehr anzuzeigen. Ihre Nutzer haben das Recht, Daten löschen oder sperren zu lassen, insbesondere wenn für die Daten keine Verwendung mehr besteht. Verbraucher können das Recht auf Vergessenwerden überall geltend machen, wo ihre personenbezogenen Daten verarbeitet werden. In der Datenschutzgrundverordnung beschäftigt sich Art. 17 mit diesem Punkt. Daten müssen gelöscht werden, wenn der Zweck für die Datenverarbeitung wegfällt, wenn der Betroffene seine Einwilligung für die Datenverarbeitung widerruft oder diese unrechtmäßig war.
Das Recht auf Datenübertragbarkeit
Art. 20 regelt das Recht, Daten übertragen zu lassen. Dies nehmen Verbraucher in Anspruch , wenn sie von einem Anbieter zu einem anderen wechseln. Die Datenverantwortlichen müssen die personenbezogenen Daten in einem gängigen Format an den neuen Anbieter weiterleiten. Besondere Relevanz hat dies beim Wechsel von sozialen Netzwerken, Wechsel von einer Bank zur anderen, sowie beim Wechsel des Arbeitgebers.
Die Rechenschaftspflicht
Als Verarbeiter der EU-DSGVO sind Sie rechenschaftspflichtig. Nach Art. 5 Abs. 2 der Datenschutzgrundverordnung müssen Datenverantwortliche die Einhaltung der Datenschutzprinzipien nachweisen, wenn dies verlangt wird. Dafür müssen Sie ein Datenschutzmanagement einrichten, wo Sie die Befolgung der Datenschutzanforderungen dokumentieren. Anhand dieser Dokumentation lässt sich auf Anfrage die ordnungsgemäße Erfüllung gegenüber der Aufsichtsbehörde nachweisen.
Die Einwilligung zur Datenverarbeitung
Die Einwilligung erfordert keine besondere Form. Sie kann schriftlich, mündlich und elektronisch erfolgen. Trotzdem ist es für Sie empfehlenswert darauf zu achten, dass sie dokumentiert wird. Die Einwilligung kann über ein Opt-In Kästchen gegeben werden. Für das Austragen reicht ein Opt-Out Kästchen nicht aus. Die Einwilligung muss von Ihrem Vertragspartner freiwillig gegeben werden. Weiterhin muss diese zweckgebunden sein und der Verarbeitungszweck dokumentiert werden. Eine Generaleinwilligung wird von der EU-Datenschutzverordnung nicht erlaubt. Die Einwilligung zur Datenverarbeitung müssen Sie nachweisen können sein. Wer die Einwilligung gegeben hat, hat ein Widerrufsrecht. Er kann von diesem jederzeit Gebrauch machen. Firmenrechtlich ist es nicht notwendig, von jedem Kunden eine erneute Einwilligung für die Datenverarbeitung einzuholen. Der Nachweis der Einwilligung ist für Sie nach Art. 7 der EU-DSGVO gesetzlich festgeschrieben.
Die Anpassung nach der DSGVO
Als Seitenbetreiber, Dienstleister, Shopbetreiber und Unternehmen müssen Sie unbedingt Ihre Datenschutzbestimmungen anpassen. Sie müssen präzise, transparent, verständlich und leicht zugänglich, sowie in einer klaren und einfachen Sprache verfasst sein. Zudem müssen Sie die Rechtsgrundlage für die Datenverarbeitung benennen. Die Einholung der Einwilligung darf nicht an die Annahme von Angeboten gekoppelt sein. Die Datenschutzerklärung muss von Ihnen neu formuliert werden. Die Auftragsverarbeitung ist nach der Datenschutzgrundverordnung in Paragraph 11 des BDSG geregelt. Dabei geht es um die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Auftragnehmer. Auftragnehmer sind für die Datenverarbeitung mitverantwortlich. Dazu gehören externe Kundencenter, externe Newsletter-Anbieter, Clouds, externe Unternehmen, die im Marketing für ein anderes Unternehmen aktiv sind, sowie externe Rechenzentren. Nach Art. 30 muss ein Verzeichnis über diese Datenverarbeitung erstellt werden. Der Vertragsschluss bezüglich der ADV kann in elektronischer Form erfolgen.
Das Verfahrensverzeichnis
Nach Art. 30 müssen Sie ein Verarbeitungsverzeichnis erstellen. Dabei handelt es sich um ein Verzeichnis der Verarbeitungstätigkeiten. Dieses muss nicht öffentlich sein und kann auf Zuruf zugearbeitet werden. Verantwortlich für dieses Verzeichnis ist die Unternehmensleitung. Auf Nachfrage muss es der Datenschutzbehörde vorgelegt werden. Es kann schriftlich oder in elektronischer Form geführt werden.
Der Datenschutzbeauftragte
Von Vorteil ist es für Ihr Unternehmen, einen Datenschutzbeauftragten zu beschäftigten. Das Thema beschäftigt Arbeitgeber wie auch Arbeitnehmer. Der Betriebsrat darf in Bezug auf die DSGVO-Umstellung nicht außen vor gelassen werden.
Betreiben Sie eine Webseite oder einen Blog, verarbeiten Sie Daten. Keiner kann sich unter dem Vorwand herausreden, er würde keine personenbezogenen Daten verarbeiten. Auch die Serverstatistiken beherbergen Daten, die aufgearbeitet werden. Bei WordPress ist besonders das Jetpack ein heikles Thema. Statistiken müssen IP-anonymisiert werden. Die Datenschutzgrundverordnung gewährt Ihnen keine Übergangsfristen und ist verbindlich gültig.
Unser DSGVO-Service:
Wir helfen Ihnen, hohe Bußgelder durch Verstöße gegen die DSGVO zu vermeiden:
Wir …
… helfen Ihnen bei Ihren Google Opt-Out Einstellungen
… unterstützen Sie bei der Umstellung Ihrer Webseite auf SSL
… assistieren Ihnen bei der Erstellung der Cookie Notice
… sorgen für eine adäquate IP Anonymisierung auf Ihrer Seite
… betreuen Sie bei der Integration von Tracking Lösungen
… helfen Ihnen bei der Umstellung von WordPress & Komponenten
… unterstützen bei der Integration von Opt-In und Opt-Out Lösung
… arbeiten Hand in Hand mit Ihren Juristen und Datenschutzbeauftragten