Wenn Sie eine WordPress-Website haben, insbesondere eine, die Plugins verwendet, müssen Sie sicherstellen, dass Sie mit den weltweiten Datenschutzgesetzen konform sind. Die beiden wichtigsten davon sind die Allgemeine Datenschutzverordnung (DSGVO) und der California Consumer Privacy Act (CCPA).
In diesem Leitfaden gehen wir darauf ein, welche Datenschutzbestimmungen Sie als Betreiber einer WordPress-Website einhalten müssen.
WordPress DSGVO Anforderungen
Die Website DSGVO bietet den Nutzern eine Reihe von Rechten. Diese Rechte sollen sicherstellen, dass alle Unternehmen Maßnahmen zum Schutz der personenbezogenen Daten der Nutzer ergreifen. Zu den wichtigsten Rechten, die Nutzer gemäß DSGVO haben, gehören:
- Gerichtsbarkeit: Die DSGVO gilt nicht nur für Unternehmen, die innerhalb des Europäischen Wirtschaftsraums (Europäische Union, Norwegen, Island, Liechtenstein), des Vereinigten Königreichs und der Schweiz tätig sind - sie gilt auch für alle Unternehmen, die personenbezogene Daten von Personen aus diesen Ländern speichern und verarbeiten. Nutzer und Website-Besucher (User) haben das Recht auf Datenschutz, unabhängig davon, wo sich eine Website befindet.
- Gültige Einwilligung oder anderer rechtmäßiger Grund für die Verarbeitung: Jeder Nutzer, dessen Daten gespeichert werden, muss durch eine positive Handlung eine klare und ausdrückliche Zustimmung geben. Die Zustimmung eines Nutzers kann nicht einfach dadurch impliziert werden, dass er ständig auf einer Website surft - er muss die Möglichkeit haben, ein Kästchen anzukreuzen oder auf eine Schaltfläche zu klicken, um seine ausdrückliche Zustimmung zur Speicherung seiner Daten zu geben. Die Unternehmen müssen die Daten der Nutzer auf eine rechtmäßige Weise verarbeiten, die sich auf einen der rechtmäßigen Gründe für die Verarbeitung in Artikel 6 der DSGVO stützt.
- Zugriffsrechte: Die Nutzer haben das Recht, auf alle ihre persönlichen Daten zuzugreifen, die ein Unternehmen gespeichert hat. Sie können auch Informationen darüber verlangen, wie diese Daten verwendet werden.
- Recht auf Löschung: Die Nutzer haben das Recht, von Unternehmen die Löschung ihrer personenbezogenen Daten zu verlangen. Sie können auch die weitere Verwendung oder den Verkauf dieser Daten einschränken.
Die Leitlinien des Europäischen Datenschutzausschusses für eine gültige Einwilligung
Der Europäische Datenschutzausschuss ist ein unabhängiges Gremium, das eingerichtet wurde, um die einheitliche Anwendung der DSGVO sicherzustellen. Er hat Leitlinien verabschiedet, in denen festgelegt ist, was eine gültige Zustimmung zur Datenerhebung darstellt. Sie umfassen:
- Keine bereits angekreuzten Kästchen: Im Cookie-Banner Ihrer WordPress-Website sollten keine vordefinierten Kontrollkästchen vorhanden sein. Abgesehen von unbedingt notwendigen Cookies müssen die Zustimmungsoptionen für alle anderen Arten von Cookies deaktiviert werden, damit die Nutzer ihre ausdrückliche Zustimmung geben können.
- Freie Wahl: Die Beschränkung des Zugangs zu Teilen Ihrer Website, wenn ein Nutzer Ihre Cookies ablehnt, stellt keine gültige Zustimmung dar. Die Nutzer sollten die Möglichkeit haben, ihre Präferenzen für alle Kategorien von Internet-Cookies bekannt zu geben und zu wählen, welche sie aktivieren oder deaktivieren möchten.
- Positive Maßnahmen: Die Einwilligung muss ausdrücklich und positiv sein. Eine stillschweigende Zustimmung durch kontinuierliches Surfen auf der Website stellt keine gültige Zustimmung dar. Der Nutzer muss seine Zustimmung aktiv durch die Verwendung eines Kontrollkästchens, einer Schaltfläche oder einer anderen positiven Handlung geben.
DSGVO Compliance in WordPress integriert
Mit der Version 4.9.6 von WordPress, die nach dem Inkrafttreten von DSGVO veröffentlicht wurde, ist WordPress mit dem Gesetz konform. Das WordPress-Team hat zu diesem Zweck verschiedene Verbesserungen vorgenommen, darunter:
- Opt-in-Kommentare: Im Allgemeinen speichert WordPress die Informationen eines Benutzers, um einen Kommentar zu bestätigen. Um einen Kommentar abzugeben, müssen sich die Nutzer normalerweise registrieren und eine E-Mail-Adresse angeben. In der neuen Version wurde ein Opt-in-Textfeld hinzugefügt, das die Zustimmung des Nutzers zur Speicherung dieser Informationen durch die Verwendung von Cookies einholt.
- WordPress-Datenschutzrichtlinien-Seite: WordPress enthält jetzt eine vorgefertigte Seite für Datenschutzrichtlinien, bei der es sich im Wesentlichen um eine Reihe von Vorlagen handelt, die die wesentlichen Informationen enthalten, die Sie den Nutzern zur Einhaltung der DSGVO zur Verfügung stellen müssen. Administratoren haben die Möglichkeit, diese Vorlagen zu bearbeiten, um sicherzustellen, dass ihre Websites vollständig konform sind.
- Datenspeicherung: WordPress hat eine Funktion "Persönliche Daten exportieren" hinzugefügt, mit der Nutzer ihre auf der Website gespeicherten Daten herunterladen oder löschen können. Diese Funktion ist über die Registerkarte "Tools" auf dem WordPress-Administrations-Dashboard zugänglich.
Was muss ich tun, um die Bestimmungen von DSGVO zu erfüllen?
Um sicherzustellen, dass Ihre WordPress-Website mit der DSGVO übereinstimmt, müssen Sie die folgenden Dinge tun:
- Informieren Sie die Nutzer über Cookies: Die Nutzer müssen mit einer Cookie-Benachrichtigung versorgt werden, die einen Link zu einer umfassenden Cookie-Richtlinie enthält, die klare Informationen über die verschiedenen Cookies enthält, die von Ihrer WordPress-Website verwendet werden. Dazu gehören die Art der Daten, die sie speichern und verarbeiten, der Zweck der Speicherung und wohin diese Daten gehen. Darüber hinaus sollten die Datenschutzinformationen leicht zugänglich sein.
- Erstellen Sie einen Plan für die Verwendung von Cookies und die Zustimmung dazu: Bevor Sie nicht benötigte Cookies aktivieren oder zulassen, müssen Sie eine Möglichkeit einrichten, wie Ihre WordPress-Website cookie consent erreichen kann.
- Führen Sie ein Datenprotokoll: Die Websites müssen alle von den Nutzern eingeholten Einwilligungen aufzeichnen. Es ist gängige Praxis, alle Backups nach drei Monaten und alle Finanzdaten nach einer bestimmten Anzahl von Jahren zu löschen.
- Bieten Sie eine echte Wahlmöglichkeit: Die Nutzer sollten eine Liste aller Cookies sehen können, die auf Ihrer WordPress-Website verwendet werden, und auswählen können, welche sie akzeptieren oder ablehnen wollen. Natürlich muss die Website trotz der Ablehnung von Cookies durch den Nutzer weiterhin funktionieren.
- Erlauben Sie den Nutzern, ihre Einstellungen zu ändern: Die Nutzer sollten die Möglichkeit haben, ihre Cookie-Einstellungen und Präferenzen jederzeit zu ändern.
- Schutz der Daten: Alle personenbezogenen Daten, die das Unternehmen speichert, müssen sicher sein.
- Benachrichtigung bei Datenschutzverletzungen: Unternehmen müssen die Behörden über jede Datenschutzverletzung benachrichtigen, es sei denn, sie wird nicht als Risiko für personenbezogene Daten angesehen. Zu den häufigsten Datenschutzverletzungen gehören Cyberangriffe, Datendiebstahl durch Mitarbeiter, menschliches Versagen und der Verlust von Vermögenswerten. Das Vorhandensein eines Plans zum Schutz vor Datenschutzverletzungen ist für die Einhaltung der Vorschriften unerlässlich. Der Plan muss eine regelmäßig aktualisierte Liste von Nutzer-E-Mails und einen Plan zur Benachrichtigung der betroffenen Behörden und Nutzer innerhalb von 72 Stunden nach einer Datenschutzverletzung enthalten.
Bei Nichteinhaltung der DSGVO droht eine saftige Geldstrafe von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes Ihres Unternehmens, je nachdem, welcher Betrag höher ist.
WordPress CCPA-Anforderungen
Das CCPA ist das kalifornische Datenschutzgesetz, das Unternehmen regelt, die personenbezogene Daten speichern und verarbeiten. Es wurde erlassen, um die Privatsphäre der kalifornischen Bürger zu schützen und gewährt ihnen die folgenden Rechte:
- Das Recht zu wissen, welche persönlichen Daten gespeichert werden
- das Recht zu erfahren, ob personenbezogene Daten verkauft oder an Dritte weitergegeben werden, und wenn ja, an wen
- Das Recht, den Verkauf personenbezogener Daten abzulehnen
- Das Recht, die Löschung von personenbezogenen Daten zu verlangen
- Das Recht auf Zugang zu den auf der Website gespeicherten personenbezogenen Daten
Nach dem CCPA müssen Organisationen keine Zustimmung für die Verwendung von Cookies einholen. Es besteht jedoch die Verpflichtung, eine Cookie-Warnung bereitzustellen, die die Nutzer über die Daten informiert, die von den auf Ihrer Website verwendeten Cookies erfasst werden - und darüber, wie diese Daten weitergegeben werden können. Die Unternehmen sind außerdem verpflichtet, den Nutzern eine einfache Möglichkeit zu bieten, sich gegen die Verwendung nicht notwendiger Cookies und den Verkauf ihrer Daten zu entscheiden.
Einhaltung des CCPA
Um die Einhaltung des CCPA bei der Verwendung von WordPress sicherzustellen, müssen Sie Folgendes tun:
- Opt-out zulassen: Sie sollten Ihren Nutzern eine Opt-out-Funktion mit der Option "Do Not Sell My Personal Information" auf Ihrer Website anbieten. Nach dem California Privacy Rights Act (CPRA), der das CCPA abändert, haben Nutzer nun das Recht, nicht nur den Verkauf, sondern auch die Weitergabe ihrer persönlichen Daten für Zwecke wie kontextübergreifende verhaltensbezogene Werbung abzulehnen.
- Informieren Sie die Nutzer über die personenbezogenen Daten, die Sie sammeln und verkaufen: Entweder während oder vor der Datenerfassung müssen Sie den Nutzer darüber informieren, welche Arten von personenbezogenen Daten Ihr Unternehmen speichert und warum.
- Stoppen Sie den Verkauf an Dritte, wenn Sie darum gebeten werden: Wenn ein Nutzer darum bittet, seine personenbezogenen Daten nicht mehr verkaufen zu dürfen, müssen Sie dem innerhalb von 15 Tagen nachkommen. Sie müssen auch alle Dritten, an die Sie in den letzten 90 Tagen Daten verkauft haben, darüber informieren, dass diese gelöscht werden müssen.
- Erlauben Sie Minderjährigen, sich zu entscheiden: Für Nutzer unter 16 Jahren müssen die Unternehmen die Zustimmung zum Verkauf ihrer personenbezogenen Daten einholen. Darüber hinaus ist für Nutzer unter 13 Jahren die Zustimmung eines Elternteils oder Erziehungsberechtigten erforderlich.
Die Nichteinhaltung der Anforderungen des CCPA kann zu einer Geldstrafe von 2500 Dollar pro Verstoß oder 7500 Dollar pro vorsätzlichem Verstoß führen.
Andere WordPress Compliance-Anforderungen
Andere Datenschutzgesetze wie die PECR wirken sich auch darauf aus, wie Sie Ihre WordPress-Website gestalten und betreiben müssen und wie Sie Cookies auf Ihrer WordPress-Website verwalten müssen.
Darüber hinaus ist eine regelmäßige Überprüfung Ihrer Datenerfassung und der Leistung von WordPress-Cookies zwar nicht unbedingt erforderlich, aber hilfreich, um die gesetzlichen Bestimmungen einzuhalten.
PECR (Datenschutzverordnung und Verordnung über elektronische Kommunikation)
Die Verordnungen über den Schutz der Privatsphäre und der elektronischen Kommunikation(Privacy and Electronic Communications Regulations, PECR) arbeiten mit der Website DSGVO zusammen. Sie setzen die europäische Richtlinie 2002/58/EG um, die darauf abzielt, spezifische Vorschriften für die Kommunikation und den Schutz der Privatsphäre zu schaffen.
Während die DSGVO die Verarbeitung der von Ihrer Website erfassten personenbezogenen Daten regelt, regelt die PECR, wann Sie bestimmte Cookies aktivieren dürfen.
Wenn Sie im Vereinigten Königreich ansässig sind, haben die PECR-Bestimmungen Vorrang vor der DSGVO. All dies bedeutet, dass Sie die Einhaltung der PECR und der DSGVO bestätigen müssen, um die Konformität von WordPress-Cookies sicherzustellen.
Erfreulicherweise leitet die PECR die meisten ihrer kritischen Bestimmungen aus der DSGVO ab.
So ist beispielsweise der Standard für die Einwilligung im Rahmen der PECR identisch mit dem in DSGVO - eine positive Handlung mittels eines Kästchens oder einer Schaltfläche. Wie bei DSGVO wird die Verwendung von angekreuzten Kästchen für die Einwilligung nicht als gültig angesehen.
Die PECR verlangt auch eine Genehmigung für nicht wesentliche Cookies, einschließlich derjenigen von Dritten, die für gezielte Werbung oder Analysen verwendet werden.
Prüfungen
Eine der Möglichkeiten, um sicherzustellen, dass Sie die DSGVO und andere Gesetze einhalten, besteht darin, regelmäßig zu überprüfen, wie Ihre WordPress-Website - und ihre Cookies - personenbezogene Daten sammeln und verarbeiten.
Ihre Audits sollten dazu beitragen, dies zu bestimmen:
- Der Zweck der Verarbeitung personenbezogener Daten durch Ihre Website
- Die Art der gespeicherten und verarbeiteten Daten
- Die zur Gewährleistung des Datenschutzes getroffenen Vorkehrungen
- wie lange die personenbezogenen Daten eines Nutzers gespeichert werden und wann diese Daten gelöscht werden
- Der Prozess, durch den die Nutzer über die Speicherung und Nutzung Ihrer Daten informiert werden
- Welche Dritten haben Zugang zu den gesammelten personenbezogenen Daten?
Die Einhaltung der Vorschriften ist keine einmalige Angelegenheit. Sie erfordert eine kontinuierliche Bewertung, Überprüfung, Planung und Umsetzung. Jeder, der in Ihrem Unternehmen tätig ist, muss die einschlägigen Gesetze kennen und wissen, wie sie sich auf Ihr Unternehmen auswirken, damit an Ihrer Website nichts geändert wird, was die Einhaltung der Vorschriften gefährden könnte.
Überlegungen bei der Website-Planung
Um eine WordPress-Website zu erstellen und zu gestalten, die mit DSGVO, CCPA und PECR konform ist, müssen Sie in der Planungsphase der Website die folgenden Aspekte berücksichtigen:
- Einfach zu bedienende Schnittstelle: Ihre WordPress-Website sollte über eine leicht zugängliche und einfache Benutzeroberfläche verfügen, damit die Nutzer leicht durch die Datenschutzoptionen und Informationen navigieren können.
- Datenschutzrichtlinien: Sie müssen eine Datenschutzrichtlinie recherchieren und erstellen, die Sie in Ihre Website integrieren.
- Einhaltung von Drittanbieter-Plugins: Jeder Aspekt Ihrer Website muss den Datenschutzgesetzen entsprechen, auch die von Ihnen verwendeten Drittanbieter-Plugins.
- Regelmäßige Überprüfung: Ihre WordPress-Website muss regelmäßig überprüft und aktualisiert werden, um die Einhaltung aller einschlägigen Datenschutzgesetze zu gewährleisten.
- Verwendung von Cookies: Wenn Sie Plugins verwenden, um das Design oder die Funktion Ihrer WordPress-Website zu verbessern, verwenden Sie neben den Standard-Cookies von WordPress weitere Cookies. Das bedeutet, dass Sie wahrscheinlich geeignete technische Maßnahmen ergreifen müssen, um sicherzustellen, dass die Cookies auf Ihrer WordPress-Website nur die Daten speichern, die Sie zu sammeln beabsichtigen.
Ist meine WordPress-Website konform mit DSGVO/CCPA?
Um zu verstehen, ob Ihre WordPress-Website mit den Datenschutzgesetzen konform ist, müssen Sie wissen, welche Teile Ihrer Website wahrscheinlich davon betroffen sind.
Dinge auf Ihrer WordPress-Website, die von der Software betroffen sind DSGVO
Wenn es um die DSGVO geht, müssen Sie als Inhaber einer WordPress-Website Folgendes beachten:
- Wie Sie Nutzerdaten sammeln und verarbeiten
- Die verschiedenen Arten der Verwendung von Cookies auf Ihrer Website
Zusätzlich zu diesen Punkten, die Sie im Auge behalten sollten, sind auch die folgenden Bereiche Ihrer Website von der DSGVO betroffen:
Analytik
Wenn Sie ein Analysetool wie Google Analytics verwenden, kann Ihre Website Daten wie IP-Adressen, Cookies, IDs und mehr speichern. Wenn Sie Plugins von Drittanbietern für die Analyse verwenden, müssen Sie Ihre Nutzer darüber informieren. Vermeiden Sie es, die IP-Adressen der Nutzer mit Hilfe von Analytics zu verfolgen.
Formulare für Kontaktinformationen
Nahezu alle Websites verwenden Kontaktformulare. Wenn Ihre Website gespeicherte personenbezogene Daten für gezielte Werbung verwendet, müssen Ihre Nutzer darüber informiert werden. Unter DSGVO reicht oft ein Einwilligungskästchen mit einer einfachen Erklärung aus. Diese Erklärung sollte offenlegen, warum Sie nach Daten fragen und wie Sie sie verwenden werden.
Opt-in-Marketing-Formulare
Ähnlich wie bei Kontaktformularen müssen Sie bei Opt-in-Formularen für das E-Mail-Marketing die Zustimmung der Nutzer einholen, bevor Sie personenbezogene Daten für Marketingzwecke verwenden. Sie können diese Zustimmung entweder durch eine doppelte Zustimmung einholen - indem Sie eine Bestätigungs-E-Mail mit einem Link senden, auf den die Nutzer klicken müssen, um die Verwendung ihrer persönlichen Daten nach Erhalt ihrer E-Mail-Adresse zu genehmigen - oder indem Sie ein Kontrollkästchen hinzufügen.
Mitgliedschaft und E-Commerce
Wenn es sich bei Ihrer Website um eine E-Commerce- oder Mitglieder-Website handelt, müssen Sie ein paar Dinge beachten. Wenn Ihre Website personenbezogene Daten aus Verkäufen für E-Mail-Marketing oder Werbung verwendet, müssen Sie Ihre Nutzer informieren und ihnen die Möglichkeit geben, sich dagegen zu entscheiden. Wenn Sie finanzielle Daten sammeln, ist es eine gute Idee, diese über Drittanbieterdienste wie PayPal zu erhalten. Wenn Ihre Website angegriffen wird und personenbezogene Daten verloren gehen oder gestohlen werden, ist dies umso gravierender, wenn es sich um Finanzdaten handelt.
Medien
Das Einbetten von Inhalten wie Bildern kann es Dritten ermöglichen, personenbezogene Daten Ihrer Website-Nutzer - einschließlich ihrer IP-Adressen - zu sammeln und Cookies abzurufen, die ihre Daten speichern. Darüber hinaus können Dritte auf diese Weise zusätzliche Tracking-Cookies oder Software in die Browser Ihrer Nutzer einbetten. Wenn Sie also Inhalte von Drittanbietern einbetten, müssen diese Informationen in Ihre Datenschutzrichtlinie aufgenommen werden.
Werbung
Wenn Ihre Website zielgerichtete Werbung verwendet, die auf der Erfassung personenbezogener Daten Ihrer Nutzer beruht, müssen die Nutzer darüber informiert werden.
Dinge auf Ihrer WordPress-Website, die von CCPA betroffen sind
Der CCPA hat vor allem Auswirkungen auf die Datenschutzrichtlinie Ihrer WordPress-Website.
Er verlangt, dass Sie in Ihren Datenschutzrichtlinien darlegen, was, warum und wie personenbezogene Daten gesammelt und verarbeitet werden. Diese Richtlinie sollte auch Informationen darüber enthalten, wie Nutzer die von Ihrer Website gesammelten Daten ändern, löschen oder Zugang zu ihnen verlangen können.
Sie müssen auch eine Methode haben, um die Identität der Person, die die Anfragen stellt, zu überprüfen.
Andere zu berücksichtigende Dinge
Alle Cookies, Themes und Plugins, die Sie auf Ihrer WordPress-Website verwenden, müssen möglicherweise mit DSGVO, CCPA oder anderen Datenschutzgesetzen übereinstimmen. Daher müssen Sie wissen, wie sich diese Dinge auf die Verwendung von Cookies auf Ihrer WordPress-Website auswirken.
Da es viele Überlegungen und Komplikationen gibt, um sicherzustellen, dass Ihre WordPress-Cookies gesetzeskonform verwendet werden, können Sie Plugins verwenden, die einige Aspekte der Einhaltung von DSGVO und CCPA automatisieren.
Einige empfohlene WordPress-Plugins für die Einhaltung der Bestimmungen von DSGVO und CCPA sind wie folgt:
- Termly's WordPress Cookie Consent gewährleistet die Einhaltung von Datenschutzgesetzen und -vorschriften wie der DSGVO, CCPA, PECR und der ePrivacy-Richtlinie (auch bekannt als EU-Cookie-Gesetz).
- Shared Counts ist eine Schaltfläche zum Teilen von sozialen Medien, die keine Cookies verwendet und keine persönlichen Daten der Nutzer speichert.
- Lösche mich ermöglicht es Nutzern, alle auf einer Website gespeicherten Daten zu löschen, ohne sie vorher anzufordern. Die Entwickler haben die Möglichkeit, die Daten überall anzuzeigen, wo sie wollen.
- WPForms ist ein DSGVO-kompatibles Kontaktformular-Plugin für WordPress.
