Die DSGVO-Panik geht um. Jedenfalls kam uns das in den letzten Wochen vor dem 25.05. (offizielles Datum für das Inkrafttreten der Verordung) so vor. Wir haben natürlich auch ordentlich gerackert, um Foxy & Furry den neuen Regelungen anzupassen und eure persönlichen Daten optimal zu schützen. In diesem Beitrag möchte ich genauer erklären, welche Änderungen wir umgesetzt haben und welche neuen Möglichkeiten jedem Webseiten-Besucher zur Verfügung stehen.

Wenn du selbst eine WordPress-Webseite besitzt, dann kannst du dir gerne ein paar Tipps abschauen und für deinen Webauftritt umsetzten. Durch die zahlreichen Plugins lässt sich die DSGVO für Webseiten mit WordPress sehr gut umsetzen. ABER – Wir sind keine Datenschutz-Experten oder Rechtsanwälte. Dieser Beitrag soll also nicht als Rechtsberatung verstanden werden.

Linksammlung: Basiswissen

Suchen, lesen, nachschlagen – Was ist die DSGVO eigentlich?

Als wir angefangen haben uns mit dem Thema DSGVO für WordPress Webseiten zu beschäftigen mussten wir sehr schnell feststellen, dass es ganz schön viel zu lernen gibt. Außerdem ist nicht ganz klar, wie die Verordnung umgesetzt wird. Ich bin extra in eine Facebook-Gruppe für DSGVO-Hilfesuchende eingestiegen und die Anwälte der Gruppe waren teilweise genauso ratlos wie wir.

Besonders nach dem DSK-Papier (die DSK ist die Datenschutzkommission – hier trifft sich der Bundesdatenschutzbeauftragte mit den Landesdatenschutzbeauftragten), das am 26.04. herausgegeben wurde, gab es nochmals Chaos. Dort wurde kurz vor Knapp einfach mal festgelegt, dass Tracking nurnoch mit Einwilligung geschehen darf (anonymes Tracking kann weiter eingesetzt werden). Das ist technisch schwer umzusetzen und zudem ein äußerst wichtiges Tool für Webseitenbesitzer, um den Erfolg der Seite zu messen.

Für alle, die (äußerst unwahrscheinlich) noch nie etwas von der DSGVO gehört haben: DSGVO bedeutet Datenschutz-Grundverordnung. Sie gilt für ganz Europa und muss nicht erst in Landesrecht umgesetzt werden. Wobei die einzelnen Länder die Verordnung natürlich im gewissen Rahmen ergänzen dürfen. Im Grunde legt die DSGVO nun europaweit fest, welche Daten besonders zu schützen sind – das sind die personenbezogenen Daten, wie Name, E-Mail-Adresse, IP oder Standort – ohne wirklich zu erläutern, wie das geschen soll….

Unser Meinung zur DSGVO?!

Es wird schwieriger aber bringt viel Positives! Besonders kleinere Unternehmen, Nebenberufler und Webseiten, die von Privatpersonen betrieben werden triftt die Verordnung hart. Wer hat denn schon in dieser Gruppe das Budget für eine Kanzlei, die sich die Webseite anschaut und alles an die neuen Regelungen anpasst. Es besteht zudem zusätzlicher Dokumentationsaufwand der zum täglichen Arbeitspensum dazukommt. Mal eben einen eigenen Blog aufmachen und sich etwas dazuverdienen? Das ist mit der DSGVO zu einem Spiel mit dem Abmahn-Feuer geworden.

ABER als Besucher von Webseiten finde ich die Regelung sehr gut! Ich kann nun genau auf den Seiten erfahren, wie meine Daten eingesetzt werden und darf NEIN sagen. Vorher konnte man sich zwar gegen das Tracking mit einigen Plugins wehren, aber erklär das mal deiner Oma oder deinen Eltern. Jetzt steht der Webseiten-Betreiber in der Verantwortung und muss sicherstellen, dass die verwendeten Daten abgerufen, geändert und gelöscht werden können. Der Besucher kann nun, ohne mit seinen perönlichen Daten zu bezahlen Webseiten benutzen. Gute Sache!

Auch als Unternehmer sehe ich Positives. Es gehen vll. einige Dinge nichtmehr, wie e-Mail-Adressen für den Newsletter mit Freebees sammeln, aber dafür werden die Conversions hochwertiger. Wenn sich nun jemand für deinen Newsletter anmeldet, dann weil er sich wirklich dafür interessiert. Genau diese Personen möchte man doch in seiner Liste haben. Die E-Mail-Listen werden also insgesamt wertvoller und Tracking geht ja immernoch, wenn man es anonym macht.

Analyse unserer WordPress-Webseite

 

Wo sammeln wir eigentlich Daten von Besuchern auf Foxy & Furry?

Diese Frage stand als erstes im Raum. Wir haben also unsere Ärmel hochgekrämpelt und uns durch die Webseite, ihre Prozesse und ihre Plugins gewühlt. Dafür habe ich eine kleine Liste in Excel aufgebaut, die man anschließend gleich als Grundlage für das Verarbeitungsverzeichnis verwenden kann. Dazu später noch mehr.

ProzessWas wird gemacht?Welche Daten sammeln wir?Wen betrifft das?Prozess-Überarbeitung

In diese Liste habe ich alle Schnittstellen zur Außenwelt aufgelistet. Das betrifft die Kommentarfunktion, Cookies, Tracker, die Newsletteranmeldung, unsere Plugins und den Shop.

Wer sich die verwendeten Tracker und Cookies auf seiner Webseite genauer ansehen möchte, dem empfehle ich das kostenlose Plugin Ghostery.

Was müssen wir sonst noch beachten?

Bei meiner Suche in diversen Facebook-Gruppen und auf DSGVO-Blogs habe ich dann auch eine Liste mit Änderungen zusammengestellt, die wir umzusetzen hatten:

  1. die Newsletteranmeldung DSGVO-sicher machen (Einwilligungserklärung, Kopplungsverbot, Opt-out etc.)
  2. eine Einwilligungserklärung für Cookies implementieren
  3. Datenschutzerklärung überarbeiten
  4. Kommentarfunktion DSGVO-sicher machen (Daten einsehen, ändern etc.)
  5. Aufträge zur Datenverarbeitung abschließen
  6. Verarbeitungsverzeichnis anlegen
  7. den Shop genauer ansehen, wie wir das mit DSGVO regeln

Nachdem die beiden Listen standen, hatten wir natürlich erstmal einen kleinen Schock – WOW das ist echt viel. Es hat uns ein paar Tage und Nächte gekostet, aber wir haben es geschafft 🙂

Linksammlung: DSGVO-Verbesserung

Verbesserungen – Foxy & Furry wird DSGVO konform

 

Umstellen der Plugins

Zuerst habe ich mit der Analyse-Tabelle an unsere WordPress-Plugins gesetzt. Ich habe mir alle Plugins genau angeschaut und zusätzlich den Blogbeitrag von Blogmojo zur Hilfe genommen. Dadurch konnte ich alle unsere Plugins klassifizieren und in „DSGVO-konform“, „benötigt Änderungen“ oder „muss ersetzt werden“ einteilen. Viele unserer installierten Helfer sammeln keine personenbezogenen Daten oder können durch kleine Änderungen „blind“ geschaltet werden.

Rausgeflogen sind nur die Firewall, Jetpack und unser Social Media Plugin. Für die Social Media Buttons benutzen wir nun Shariff, das erst Daten sendet, wenn der Besucher auf den jeweiligen Button klickt. Für die Firewall verwenden wir nun WP All in One Security. Dort habe ich alle Dienste deaktiviert, die personenbezogene Daten sammeln. Das schränkt die Funktion zwar etwas ein aber wir wollen erstmal abwarten, wie sich die Situation entwickelt. Viele Plugins haben kurz vor knapp noch Updates geliefert und es gibt ja immernoch das Argument: „berechtigtes Interesse“ Ich möchte meine Seite und die Daten schützen, wenn die Firewall dafür IP-Adressen auswerten muss, um richtig zu funktionieren, dann fällt das nunmal unter diesen Punkt.

 

Tschüss Gravatar

Gravatar sorgt dafür, dass neben dem Kommentarbeitrag und beim Anmelden in WordPress ein hübsches Bild zu sehen ist. Dafür verbindet sich der Dienst zur Gravater-Seite und schaut nach, ob dort mit deiner e-Mail-Adresse ein Account und ein Bild verknüpft ist. Zusätzlich erfährt der Dienst dann auch deine IP-Adresse. Warte mal, IP-Adresse…E-Mail….., da war doch was! Genau, das sind personenbezogene Daten, mit denen wir „sparsam“ umzugehen haben. Deshalb haben wir den Dienst Gravatar über „Einstellungen“-„Diskussion“-„Avatare“ deaktiviert. Für Fans der kleinen Bildchen gibt es das Plugin „WP First Letter Avatar“. Das zeigt aber nur den ersten Buchstaben des Vor- oder Nachnamen an. Laut WordPress wird zudem an einer DSGVO-konformen Version von Gravatar gearbeitet.

 

Kommentare im Zeitalter der DSGVO

Wer auf Foxy & Furry oder den meisten anderen Webseiten einen Kommentar abgibt, der wird gespeichert. Dazu gehören die E-Mail-Adresse, der Name und auch die IP-Adresse. Diese personenbezogenen Daten gehen direkt in eine unserer Datenbanken ein, die auf dem Webserver liegen. Diese Informationen werden zum beispiel dafür genutzt dich bei Gravatar zu identifizieren, festzustellen ob du ein bekannter Spam-Bot bist oder um dich zu kontaktieren. Nach den Vorgaben der DSGVO müssen wir nun sicherstellen, dass du genau weißt wieso, warum und welche Daten von dir beim Kommentieren erfasst werden und dazu einwilligst. Zusätzlich muss es dir ermöglicht werden, deine Daten jederzeit einzusehen, zu ändern und zu löschen.

Für die Einwilligung arbeiten wir mit einem neuen Plugin, dem WP GDPR Compliance Plugin. Dieses fügt eine Checkbox im Kommentar-Bereich hinzu. Dort wird jeder Besucher genau darüber informiert, was wir mit den Daten machen und muss diesem Vorgehen zustimmen. Zusätzlich haben wir uns dazu entschlossen jeden Kommentar selbst, manuelle freizuschalten, sodass Anti-Spam-Plugins mit IP-Check nichtmehr benötigt werden. Deshalb habe ich auch unsere functions.php mit folgendem Code-Schnipsel erweitert:

  1. function wpb_remove_commentsip( $comment_author_ip ) {
  2. return ;
  3. }
  4. add_filter( ‚pre_comment_user_ip‘, ‚wpb_remove_commentsip‘ );

Diese Funktion verhindert das Abspeichern der IP-Adressen. Wir speichern also nurnoch die E-Mail und den angegebenen Namen. Zusätzlich müssen wir noch in der Datenbank alle IP-Adressen löschen, die bereits erfasst wurden. Da das Herumspielen an der Datenbank etwas heikel ist suchen wir hier noch nach dem richtigen Weg. Das GDPR Plugin stellt außerdem die Möglichkeit für jeden Kommentator zur Verfügen, seine Daten einzusehen und diese zu löschen.

 

Google Fonts und Emojis

Google die alte Datenkrake krallt sich gerne IP-Adressen. Jedesmal wenn unsere Webseite aufgerufen wird überprüft Google, ob es Änderungen an den Google Fonts gab und sendet fleißig Information über den Besucher. Um das zu umgehen haben wir unser praktisches Plugin Autoptimize bemüht. Dort können in der aktuellen Version die Fonts abgestellt werden. Doof nur, wenn die Webseite eine der hübschen Schriftarten verwendet. Dann müssen die selbst gehostet werden. Wie man Google Fonts selbst hosted kann hier nachgelesen werden.  

Zusätzlich zu den Fonts lassen sich auch die Emojis in Autoptimize deaktivieren. Da diese von externen Servern geladen werden und dabei auch wieder die IP-Adresse des Seiten-Besuchers übertragen wird, flogen sie gleich mit raus.

Newsletter

Der Newsletter ist eine der großen Änderungen, die auf alle Webseitenbetreiber zukommen, wenn sie ihre WordPress-Webseite DSGVO sicher machen. Newsletter sind eine wichtige Komponente für alle Unternehmer, denn mit ihnen können sie ihre Kunden direkt ansprechen und ggf. Werbung für ihre Produkte machen. Deshalb war das Sammeln von E-Mail-Adressen ein beliebtes Spiel: „Du möchtest dieses e-Book mit nützlichen Inhalten kostenlos? Dann gib uns deine e-Mail!“ Dieses Spiel hat sich nun ausgespielt. Mit der DSGVO gilt nämlich folgendes für die Newsletter-Anmeldung:

a. Es muss eine Einwilligungserklärung abgegeben werden mit den Anforderungen:

  1. Freiwillig – Das bezieht sich auf die Kopplung von e-Book Freebie für E-Mail. Das darf jetzt nicht mehr passieren. Die Besucher der Webseite dürfen nun auch ohne ihre E-Mail für Newsletter freizugeben das e-Book herunterladen bzw. könnte man es auch zu 100% sicher machen und gar keine e-Mail abfragen, sondern nur einen Downloadlink zur Verfügung stellen. Es gibt aber wie bei fast allen Vorgaben der DSGVO mehrere Ansichten. Wir haben unsere e-Books jetzt erstmal für einen kleinen Kaufpreis eingestellt. Wer das e-Book kauft wird zum Kunden und es besteht dann ein Interesse für weitere Informationen über Foxy & Furry. 
  2. Für den bestimmten Fall – Wir müssen genau auflisten, was im Newsletter enthalten ist. Es darf also keine Blanko-Einwilligung ausgestellt werden.
  3. Informiert – Es muss angegeben werden, wie oft der Newsletter erscheint.
  4. Unmissverständlich – Kein vorangekreuztes Häckchen. Alle Besucher müssen diese Entscheidung eigenständig fällen.

b. Datensparsamkeit – Es darf nur noch die E-Mail-Adresse als Pflichtfeld angegeben sein. 

c. Wiederruf jederzeit möglich – Es muss in jeder Mail ein Link zum widerrufen des Newsletters enthalten sein. Wenn der Wiederruf ausgeführt wird, darf in der Bestätigungs-Mail keine Werbung enthalten sein. 

d. Doppelter Opt-in – Nachdem der Besucher auf der Webseite zugestimmt hat einen Newsletter zu erhalten, bekommt er eine erste E-Mail in der er ein weiteres Mail dem Newsletter zustimmen muss. Denn die Einwilligung muss „ausdrücklich“ erfolgen. In dieser zweiten Opt-in-Mail darf zudem keine Werbung enthalten sein. 

e. Dokumentation – Alle Einwilligungserklärungen müssen dokumentiert werden.

f. Impressum und Datenschutzerkläung – Im Newsletter muss das Impressum und ein Link auf die Datenschutzerklärung enthalten sein. Die Datenschutzerklärung muss natürlich erweitert werden und auch den Newsletter abhandeln.

g. Auftrag zur Datenverarbeitung mit dem Betreiber – Da eigentlich fast jeder einen zuästzlichne Provider für seine E-Mail-Kampagnen benutzt müssen mit diesen ADV Verträge abgeschlossen werden.

Das ist ein großer Brocken, der ersteinmal zur Seite gerollt werden will. Zum Glück arbeiten wir mit MailChimp und das engagierte Team hat pünktlich zum DSGVO-Start ein paar wichtige Änderungen an ihrem Service vollzogen. Es ist nun möglich im Formular ein DSGVO-Opt-in einzubauen. Dieses wird dokumentiert, unterstützt das doppelte Opt-in und die Einwilligung kann jederzeit vom Newsletter-Leser geändert werden. Deshalb haben wir alle Anmeldungen zu den Communities auf das Formular von MailChimp umgestellt.

Um die Option für die Listen zu aktivieren reicht ein einfacher Blick in die Einstellungen. Nach dem Aktivieren der DSGVO-Option ist es möglich im Formular verschiedene Opt-ins für Newsletter, Direktwerbung und und und einzufügen. Zusätzlich gibt es Text-Felder, die mit dem Inhalt der einzelnen Opt-ins bestückt werden können und einen Link zur Datenschutzerklärung von MailChimp. Das praktische ist, dass man anschließend die Listen segmentieren kann und sie nur noch diejenigen anzeigt, die beispielsweise keine Einwilligung gegeben haben.

Hier könnt ihr euch das Opt-in für unsere Hundeunternehmer-Community ansehen und auch gleich anmelden 😉

Youtube-Videos

Google, du schon wieder! Auch beim Abspielen der Youtube-Videos sammelt Google fleißig Daten unserer Webseiten-Besucher. Wie wir Youtube-Videos DSGVO-gerecht einbinden haben wir noch immer nicht so richtig geklärt. Youtube bietet zwar einen Datenschutz-Modus für das Einbinden an aber auch hier wird ein Cookie-Gesetzt. Laut dem DSK-Papier vom 26.04. müssen aber die Webseiten-Besucher für das Setzen von Cookies, die nicht relevant für das Betreiben der Webseite sind, eine Einwilligung geben. Derzeit benutzen wir zwar ein ziemlich gutes Cookie-Consent Plugin aber haben es noch nicht mit dem Cookie von Youtube getestet. Unsere Lösung ist ersteinmal ein Link zu Youtube, der sich in einem neuen Fenster öffnet.

 

Cookies & Tracker

Der nächste große Broken sind Cookies und Tracker. Wie bereits beschrieben, hält die Datenschutzkommission nicht viel vom ungefragten Sammeln von Daten. Selbst wenn man dies nicht selbst erledigt, sondern ein neugieriger Cookies eines Plugins. Um genauer herauszufinden, wie viele Tracker und Cookies, sich auf unserer Seite eingenistet haben, schickten wir sie einmal durch das Datenschutz-Analysetool von dataskydd.net. Beim ersten Durchlauf staunte ich nicht schlecht, als mir 20 Cookies, Third Party Requests und Tracker angezeigt wurden…

Durch die vorher genannten Maßnahmen, wie das Autauschen der Plugins oder das Verlinken der Youtube-Videos konnten wir die Anzahl beträchtlich reduzieren. Den Facebook-Pixel setzen wir nicht ein und unsere Amazon-Affiliate Links funktionieren ohne Tracker – ein großes Lob dafür an Amazon! Zum Schluss blieben die Cookies von Google Analytics, unserem Inhaltsverzeichnis-Plugin und ein webseiteninterner Cookie übrig.

Da wir auf Nummer sicher gehen wollen haben wir auch gleich das Opt-in für Cookies im Angebot. Dies realisieren wir mit unserem neuen DSGVO-Plugin Cookiebot*. Der Cookiebot scant nach dem Anmelden die Domain und erfasst sämtliche Seiten und deren Cookies. Diese listet er anschließend in einer praktischen Übersicht auf, erklärt was diese tuen und ermöglicht dem Besucher per Checkbox die Zustimmung oder Ablehnung. Diese Einwilligungserklärung wird gespeichert, kann eingesehen und jederzeit vom Besucher geändert werden. Eine all-in-one Lösung!

Im Cookiebot-Banner sollte auch ein Link zur Datenschutzerkläung eingefügt werden, damit sich die Besucher jederzeit über alle relevanten Themen informieren können.

Google Analytics

Eines der wichtigsten Tools für das Managen der Webseite – wir haben es abgeschaltet. Wenn ein Großteil der Besucher nicht über die Cookies getrackt werden möchte (wovon wir ausgehen), dann hilft uns das Tracking-Tools sehr wenig. Ich habe bereits einiges positives über das Tool von Matomo gelesen, aber einen neuen Tracker beschaffen wir uns erst, wenn die DSGVO-Panik verflogen ist.

 

Verträge zur Auftragsdatenverarbeitung

Diese Verträge behandeln das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten unsere Foxy & Furry Besucher durch Dienstleister, die wir beauftragen. Dazu gehören offensichtliche Dienste, wie unser E-Mail-Marketing-Provider MailChimp oder der Provider unseres Webservers. Aber auch Dropbox oder Google fallen in diese Kategorie, wenn du die Daten deiner Kunden dort hinterlegen würdest. Mit all diesen Diensten muss nun ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden. Dies kann elektronisch geschen und kann auch online gespeichert werden.

 

Die Datenschutzerkläung muss erneuert werden!

Natürlich muss auch die Datenschutzerklärung an die DSGVO auf unserer WordPress-Webseite angepasst werden. Hier haben wir auf den Generator der Deutschen Gesellschaft für Datenschutz zurückgegriffen. Der gelieferte Text ist eine Grundlage aber muss definitiv überarbeitet werden, da auch nicht alle Dienste erfasst sind. Auch der Generator auf datenschutz-generator.de macht einen sehr guten Eindruck.

Die ausgespuckten Texte sind riesig und vermutlich werden diese sowieso nur von Anwälten gelesen. Allerdings werden wir früher oder später nicht drumherum kommen einen Anwalt auf den Text anzusetzen, um alles 100% fest zu zurren.

 

Fazit zu den DSGVO-Verbesserungen auf unserer WordPress-Webseite

Ziemlich viel Recherche, durchgearbeitete Nächte und arbeitsreiche Tage später haben wir alle Punkte unserer DSGVO-Liste umgesetzt. Ob das alles ist, müssen wir abwarten, bis die ersten Urteile raus sind. Was sicher ist, dass wir nicht gedacht hätten an wie vielen Stellen wir personenbezogene Daten erfassen oder verarbeiten.

Interessanterweise schlägt die DSGVO ziemliche Wellen. Das fängt bei abgeschalteten Blogs an und hört bei einem Papierzettelchen unseres Apothekers, der dort unbedingt eine Unterschrift haben wollte, dass er unsere Daten verwenden darf, noch lange nicht auf. Das zeigt auch wie verunsichert die Unternehmer nun sind. In der FAZ ist zu den DSGVO-Auswirkungen ein interessanter Artikel erschienen.

Nach einer neuen Entscheidung des EuGH wird nun auch das Betreiben von Facebook-Fanseiten schwieriger. Laut diesem sind wir als Betreiber mitverantwortlich, was mit den Daten unserer Fans auf Facebook gemacht wird. Mal schauen, in welche Richtung sich das noch entwickelt. Müssen jetzt alle europäischen Fan-sites schließen?