WordPress

Die DSGVO und WordPress: Mach(t) d(s)ich DSGVO konform

von Marcus Burk

DSGVO und WordPress: Die Änderungen im Überblick.
Am 25.05.2018 ist die DSGVO zum Schutz personenbezogener Daten in Kraft getreten. Wir werfen einen Blick auf die DSGVO und WordPress: Worauf muss man besonders achten?


Vor etwa zwei Jahren hat die EU die anstehenden Änderungen der EU-Datenschutzgrundverordnung angekündigt. Bis Mai 2018 sollen sie umgesetzt sein, so die Gesetzgeber. Doch was genau ändert sich mit der neuen EU-Datenschutzgrundverordnung (kurz: DSGVO)? Und wie wirkt sich die DSGVO auf WordPress aus? Uns als WordPress VIP Webagentur beschäftigen die Änderungen sehr – und euch sicherlich auch, wenn ihr mit personenbezogenen Daten und WordPress zu tun habt. Darum fassen wir euch in diesem Beitrag die wichtigsten Änderungen zur DSGVO und WordPress zusammen. Insbesondere zeigen wir auf, inwiefern die DSGVO WordPress beeinflusst und wie du herausfindest, ob ein WordPress Plugin DSGVO konform ist. Am Ende des Beitrags verlinken wir zu hilfreichen Quellen mit weiteren Informationen zur DSGVO EU-Datenschutzgrundverordnung.

Inhalt dieses Blogeintrags in der Übersicht:

Part 1: Der Überblick: Das Wichtigste über die DSGVO
1) Was sind eigentlich personenbezogene Daten?
2) Wann gilt die DSGVO?
3) Für wen gilt die DSGVO?
4) Ziele der DSGVO EU-Datenschutzgrundverordnung
5) Diese Rechte stärkt die DSGVO für Bürger
6) Was muss man tun, um DSGVO konform zu sein?
Zwischenfazit

Part 2: Die DSGVO und WordPress
1) Reaktionen von WordPress auf die DSGVO
2) DSGVO-Audit: Wie prüfe ich, ob ein WordPress Plugin DSGVO-konform ist?
Level 0: Weit verbreitet, halb erledigt
Erstes Level: Überprüfe Dokumentationen
Zweites Level: Nutze es!
Drittes Level: Inspiziere den Code
Fazit

Der Überblick: Das Wichtigste über die DSGVO

Zunächst ein kurzer Überblick zur DSGVO und ihren Änderungen.

1) Was sind eigentlich personenbezogene Daten?

Das steht in der DSGVO zu personenbezogenen Daten:

„personenbezogene Daten“: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Oder in kurz: Personenbezogene Daten sind alle Informationen, durch die eine Person identifizierbar ist.
Zurück zum Anfang

2) Wann gilt die DSGVO?

Die DSGVO gilt, sobald jemand persönliche Daten verarbeitet. So stellt ein einfacher Speichervorgang einer IP-Adresse auf Webservern die Verarbeitung persönlicher Daten eines Benutzers dar.
Zurück zum Anfang

3) Für wen gilt die DSGVO?

Für alle Unternehmen mit Sitz in der EU gilt die DSGVO. Hinzu kommt, dass sich auch alle anderen Unternehmen, die Daten von EU-Bürgern verarbeiten, um Waren oder Dienstleistungen anzubieten, an die DSGVO halten müssen. Außerdem gilt die Datenschutzgrundverordnung für alle Unternehmen, die das Verhalten von Personen in der EU beobachten sowie für alle Behörden der Mitgliedstaaten der EU.

Kleinere oder mittelständische Unternehmen müssen einige Regelungen der DSGVO unter Umständen nicht zwangsweise erfüllen. Mehr Infos.

Aber auch hier gilt: Nicht nur Unternehmen sind betroffen. Nach Art. 2 DSGVO ist die einzige relevante Ausnahme, wenn natürliche Personen Daten ausschließlich für persönliche oder familiäre Tätigkeiten verarbeiten. Das heißt: Auch Vereine und andere Organisationen sind von der DSGVO betroffen.
Zurück zum Anfang

4) Ziele der DSGVO EU-Datenschutzgrundverordnung

Die DSGVO strebt die einheitliche Regelung des Datenschutzrechts in der gesamten EU an. Denn nach der DSGVO müssen alle Länder der EU ihr Datenschutzrecht ausrichten. Ausrichten, das heißt: Die DSGVO enthält einige Öffnungsklauseln. So ist das Presserecht nach wie vor Ländersache (s. Art. 85 DSGVO).

Nichtsdestotrotz soll die Vereinheitlichung gewährleisten, dass alle personenbezogenen Daten innerhalb der EU geschützt sind. Darüber hinaus soll jedoch auch der freie Datenverkehr innerhalb der EU gewährleistet sein.
Zurück zum Anfang

5)  Diese Rechte stärkt die DSGVO für EU-Bürger:

  • Informationsrecht der Nutzer über die verarbeiteten Daten
  • Auskunfts- und Widerspruchsrecht
  • Recht auf Berichtigung, Löschung und Einschränkung
  • Recht auf Datenübertragbarkeit

Zurück zum Anfang

6) Was muss man tun, um DSGVO konform zu sein?

Kurz zusammengefasst müssen Organisationen:

  • Nutzern sagen, wer sie sind, warum sie die Daten sammeln, wie lange sie die Daten speichern und wer diese Daten erhält.
  • Außerdem müssen sie immer eine klare Erlaubnis haben, bevor sie die Daten sammeln.
  • Darüber hinaus muss es Nutzern möglich sein, Zugang zu ihren Daten zu haben, sie mitnehmen und löschen zu können.
  • Schließlich müssen Nutzer informiert werden, sobald Datenschutzverletzungen auftreten.

Organisationen müssen also technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten zu schützen (s. auch privacy by design und privacy by default). Je nach dem, welche und wie viele personenbezogenen Daten das Unternehmen wie und warum erhebt, muss es unterschiedlich hohe Sicherheitsmaßnahmen vorweisen. Eine Maßnahme ist, dass die Organisation die Verarbeitung der personenbezogenen Daten möglichst klein hält. Außerdem müssen Unternehmen sowohl bei der Datenerhebung als auch bei der Datenverarbeitung auf besondere Sicherheitsmaßnahmen zurückgreifen.

Leider können wir an dieser Stelle keine konkreten Maßnahmen nennen, die zu erfüllen sind, um DSGVO-konform zu sein. Diese Aufgabe haben aber schon viele andere übernommen. Weiter unten verweisen wir für mehr Informationen außerdem auf zahlreiche weitere Quellen rund um die DSGVO. Im Blog der WBS Kanzlei für Medienrecht findest du neben einem Videobeitrag außerdem eine ausführliche Erklärung über die grundlegenden Änderungen durch die DSGVO.

Detaillierte Erläuterungen der Änderungen findest du ebenfalls auf eRecht24.de, einer Beratungsplattform rund um Recht oder direkt auf der Webseite der EU über die Hauptänderungen durch die DSGVO. Eine umfassende Übersicht und weitere Informationen darüber, welche Vorschriften Unternehmen einhalten müssen, findest du außerdem auf der Webseite der EU zur Datenschutzgrundverordnung.

Quellen und weiterführende Links zur DSGVO:

Zurück zum Anfang

Das Zwischenfazit

Für Bürger der EU bietet die DSGVO einige Vorteile. Sie sichert die Rechte rund um die Verwendung ihrer Daten. Darüber hinaus erhalten sie mehr Mitbestimmung darüber, wie ihre Daten verwendet werden dürfen. Es gibt jedoch viele ungeklärte Aspekte, weil nur wenig zur konkreten Umsetzung der neuen Regelungen feststeht. Insbesondere die technische Umsetzbarkeit ist in einigen Punkten eine offene Frage.

Eine nachhaltige Auswirkung der DSGVO ist, dass sich alle, die personenbezogene Daten erheben und verarbeiten, darüber bewusst werden, wann sie wo welche Daten zu welchem Zweck erheben. Damit kommen sie einer Sorgfaltspflicht nach, die unserer Meinung nach notwendig und wünschenswert ist. Hier findest du noch einmal eine übersichtliche Zusammenfassung der DSGVO von der EU: https://ec.europa.eu/justice/smedataprotect/index_en.htm
Zurück zum Anfang

Die DSGVO und WordPress

Der zweite Abschnitt unseres Beitrags bietet einen Überblick darüber, wie die Macher von WordPress auf die DSGVO reagieren.

1) Reaktionen von WordPress auf die DSGVO

Im April wurde auf dem WordPress.com Blog angekündigt, dass es einige Anpassungen geben wird, um die DSGVO in WordPress leichter umzusetzen. So gibt es ein DSGVO Compliance Team, welches sich zum Ziel gesetzt hat, WordPress-basierten Webseiten zu helfen, konform zu werden. Das Team fokussiert sich darauf, eine umfassende Core Policy, Plugin-Richtlinien, Privatsphären-Tools und Dokumentationen zu erstellen.

Konkret bedeutet das, dass Funktionalitäten hinzugefügt wurden, um Seitenbetreiber zu helfen, umfassende Datenschutzbestimmungen für ihre Webseiten zu erstellen. Außerdem gibt es für Seitenbetreiber neue Verwaltungstools, um die Einhaltung zu erleichtern und die Privatsphäre der User im Allgemeinen zu fördern. In neuen Dokumentationen sollen die Seitenbetreiber über Datenschutz, die grundlegenden Anforderungen der DSGVO und wie sie die neuen Datenschutztools verwenden können, informiert werden.

Neben den Hilfestellungen für Seitenbetreiber gibt es auch für Entwickler Unterstützung bei der Umsetzung der DSGVO. So gibt es einen neuen Abschnitt über Privatsphäre im Plugin Handbook mit allgemeinen Informationen über die Privatsphäre von Usern und was ein Plugin tun (und lassen) sollte, um konform zu sein. Darüber hinaus enthält es Tipps und Beispiele zur Verwendung der neuen Datenschutzfunktionen in WordPress. In der Roadmap zur DSGVO findest du die Übersicht über alle Änderungen.

Die WordPress Version 4.9.6 enthält schließlich die Funktionalitäten, die das Erstellen von DSGVO konformen WordPress-Webseiten erleichtern. Diese finden Seitenbetreiber im Adminbereich unter “Werkzeuge”.

DSGVO und WordPress – Änderungen im Detail

Bei Kommentarfeldern können Seitenbetreiber nun einstellen, dass ein Häkchen eingeblendet wird, welches Nutzer setzen können, wenn sie möchten, dass ihre Daten für die nächsten Besuche gespeichert werden. So können nicht eingeloggte Nutzer entscheiden, ob ihre Daten beim nächsten Besuch im Kommentarfeld voreingetragen sein sollen oder nicht.

Außerdem können Seitenbetreiber nun eine Datenschutzrichtlinienseite festlegen, welche WordPress automatisch auf Login- und Registrierungsseiten anzeigt.

In der WordPress Version 4.9.6 ist jetzt auch eine Löschfunktion für personenbezogene Daten integriert. So können Seitenbetreiber alle personenbezogenen Daten, die WordPress oder Plugins abgespeichert haben, aus dem CMS löschen.

Damit Seitenbetreiber auf Anfrage unkompliziert eine Übersicht gespeicherter Daten erstellen können, gibt es nun ein Export-Werkzeug, welches ein zip-Archiv mit allen gespeicherten Informationen einer Person erzeugt. Falls sich die Betreiber vorher vergewissern wollen, ob die Person die Anfrage tatsächlich gestellt hat, können sie eine Mail mit einem Bestätigungslink verschicken.
Zurück zum Anfang

2) Wie prüfe ich, ob ein WordPress Plugin DSGVO-konform ist?

Einige Plugins sind bereits DSGVO-konform, manche aber auch noch nicht. Darum ist es für dich besonders wichtig, dass du ein DSGVO-Audit deines Plugins – aber auch deines Themes – durchführst. Das Ziel des DSGVO-Audits eines Plugins oder Theme ist es also, Antworten auf die folgenden Fragen zu finden:

  • Werden sensible Daten gespeichert?
  • Verarbeitet das Plugin oder Theme sensible Daten?
  • Gibt das Plugin oder Theme sensible Daten weiter?
  • Wer hat Zugang zu den Daten, kann sie bearbeiten oder löschen?
  • Wie lange werden gesammelte Daten gespeichert?
  • Hat ein Nutzer Zugang zu seinen eigenen Daten und kann sie bearbeiten oder löschen?
  • Sind die gespeicherten Daten sicher vor unautorisierten Zugriffen?

Um ein DSGVO-Audit umfassend durchzuführen, empfehlen wir vier Stufen der Analyse mit jeweils gesteigerter Komplexität. Das bedeutet, dass mit dem jeweils höheren Level üblicherweise auch die benötigte Zeit der Analyse größer ist. Manchmal kann es vorkommen, dass die erhaltenen Antworten nicht vollständig sind und dass du deshalb eine ergänzende Analyse in einem nachfolgenden Level durchführen musst.

Das letzte Level liefert ein vollständiges Ergebnis, aber für gewöhnlich nur aufgrund von zusätzlichem Aufwand, der für die Analyse aufgebracht wurde.

Lasst uns also herausfinden, wie wir die Antworten auf die oben gestellten Fragen durch die vier Level der Analyse bekommen.
Zurück zum Anfang

Level 0: Weit verbreitet, halb erledigt

Das erste Level (wir nennen es Level 0) ist möglicherweise nicht durchführbar, weil es erfordert, dass du das Plugin oder Theme frei auswählen kannst. Das erleichtert die Analyse. Denn wählst du eine weit verbreitete und getestete Software, ist die Wahrscheinlichkeit viel größer, dass sie die durch die DSGVO auferlegten Beschränkungen erfüllt. Zumindest kann man bei ihr für gewöhnlich angemessene Aktualisierungen oder Ergänzungen vornehmen, um die Auswirkungen auf die DSGVO besser zu handhaben und nützliche Informationen bereitzustellen.

Nimm dir also Zeit und suche sorgfältig nach weit verbreiteten Plugins und Themes.
Zurück zum Anfang

Level 1: Überprüfe Dokumentationen

Das nächste Level erfordert eine Recherche ausgehend von den offiziellen Anbietern des Plugins oder Themes. Es liegt normalerweise im Interesse der Autoren, alle Details über die Informationen, die die Software sammelt, sowie die Verwaltung dieser Daten offenzulegen.

Umfassende Informationen in Form von offizieller Kommunikation, Blogbeiträgen, Tutorials oder Vergleichbarem sind möglicherweise schon für den Zweck des Audits ausreichend. In manchen Fällen kann es sein, dass die Informationen nicht direkt vom Autor, sondern von anderen Usern bereitgestellt werden. Wenn hier die Quelle allerdings nicht vertrauenswürdig genug ist, solltest du Level 2 der Analyse durchführen, um ein zuverlässiges Ergebnis zu erhalten.
Zurück zum Anfang

2 Level: Nutze es!

Das zweite Level bedeutet: Installiere das Plugin oder Theme und teste es umfassend! Verwende alle Features, die von Interesse für die Verwaltung der personenbezogenen Daten sind.

Insbesondere musst du alle Einstellungen und somit die Formulare sowohl im Backend als auch im Frontend analysieren, um die Art der geforderten Daten zu verstehen und wie diese verwendet werden. Die Gebrauchsanalyse zielt also darauf ab, die Natur der involvierten Daten zu verstehen. Darüber hinaus geht es aber auch um den Workflow, also, wie diese Daten verwaltet und verarbeitet werden.

Schau dir die von der Software angebotenen Optionen genau an. In einigen Fällen könnten sie entscheidend sein, um die personenbezogenen Daten der Nutzer DSGVO konform zu verwalten. Deshalb ist die Kenntnis der Funktionen von grundlegender Bedeutung, um mögliche Rechtsverstöße zu vermeiden. So könnten bestimmte Einstellungen eine nicht DSGVO kompatible Software in eine konforme umwandeln.

Allerdings müssen wir berücksichtigen, dass nur die Nutzungsanalyse möglicherweise nicht ausreicht und dass es einen ergänzenden Schritt erfordert: die Code-Prüfung. Denn einige Skripte können stillschweigend agieren, das Verfolgen von Benutzerdaten ermöglichen und gegen die DSGVO verstoßen. Gemäß den Informationen über die Art des Plugins ist es gut, mit der ergänzenden Analyse fortzufahren, um Skripte zu identifizieren, die die Übertragung sensibler Daten oder deren Speicherung auf dem Server ermöglichen.
Zurück zum Anfang

Level 3: Inspiziere den Code

Die direkte Analyse der Struktur des Codes legt den gesamten Funktionsmechanismus der Software offen, gibt Hinweise auf ihre Arbeitsweise und den Umgang der Privatsphäre von Nutzern bei der möglichen Verwaltung von sensiblen Daten. Falls User Daten direkt eingeben, ist es möglich zu analysieren, wie die Software diese Daten verarbeitet, ob sie weitergegeben oder gespeichert werden. Die Datenspeicherung kann sofort analysiert werden, indem alle Tabellen überprüft werden, die ad hoc in der Datenbank erstellt wurden.

Aber auch das Dateisystem auf dem Server kann sensible Daten enthalten. Abhängig von der Aufgabe, die die Software ausführen soll, kann es daher sinnvoll sein zu prüfen, ob sensible Daten in Dateisystemen wie etwa Protokolldateien gespeichert sind.

Schließlich, um das Audit zu vervollständigen, musst du auch überprüfen, ob personenbezogene Daten an externe Server weitergegeben werden.

3.1 Überprüfe Datenbank / Dateisystem

Die Überprüfung der Datenbank und der Tabellen, die von der Software installiert werden, erlauben einen schnellen Eindruck von den Daten, die die Software speichert. Dadurch ist es möglich die Natur dieser Daten und ihre Speichermodalitäten einzusehen. Dazu gehört beispielsweise zu überprüfen, ob die Daten verschlüsselt sind oder nicht. Auf die gleiche Weise müssen alle Prozesse, die Daten auf dem Dateisystem speichern, entsprechend untersucht werden, um zu verstehen, welche Daten gespeichert und wie sie anschließend abgerufen werden.

3.2 Datenübertragung

Obwohl die Daten nicht auf dem Server gespeichert werden, musst du überprüfen, ob Daten zu externen Servern übertragen werden. Dies kann zum Beispiel durch E-Mail, Ftp, Skripte und anderes geschehen. Die Überprüfung des Codes ist auch hier grundlegend, um Prozesse dieser Art zu identifizieren.

3.2.1 Nutze Tools

Um die Aktivität von Skripten zu analysieren und dieser vorzubeugen, ist es möglich, verschiedene Monitoring Tools zu verwenden. Eines davon ist das NoScript for Firefox (https://noscript.net/). Das Software Monitoring muss darauf ausgerichtet sein, die mögliche Übermittlung personenbezogener Daten aufzudecken.

3.2.2 Sicherheit

Datensicherheit ist ein anderer wichtiger Punkt – er hängt von vielen Faktoren ab. Im Falle eines Audits zielt es auf die Analyse des Plugin/Theme Codes ab, um zu überprüfen, wie die Prozesse umgesetzt werden und ob die Best Practices und Sicherheitsthemen der Sprache richtig befolgt und behoben werden. Auch dieser Schritt kann zeitaufwändig sein. Wenn du also Level 0 befolgst und die Level 1 Anforderung zufriedenstellend beantwortet ist, kann sie schneller angegangen werden.
Zurück zum Anfang

Fazit

WordPress bietet mit der Version 4.9.6 wichtige Grundlagen, um eine DSGVO-konforme WordPress-Webseite zu erstellen. Nichtsdestotrotz obliegt es dem Seitenbetreiber, seine Webseite an die neuen rechtlichen Bestimmungen anzupassen. DSGVO-Audits sind deshalb der erste wichtige Schritt, mit dem du herausfindest, wo deine Webseite welche personenbezogenen Daten erfragt.

Natürlich kann es für den ein oder anderen schwierig sein, ein komplettes DSGVO Audit durchzuführen. Darum zum Schluss noch eine Empfehlung: Auf blogmojo.de findest du eine umfassende Übersicht über die DSGVO Konformität beliebter WordPress Plugins.
Zurück zum Anfang

Einen Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert