Am 25. Mai wird die DSGVO aktiv. Was danach passiert, steht in den Sternen. Doch es gibt zwei Szenarien: es passiert (fast gar) nichts oder tausende bis zehntausende Abmahnungen werden verschickt. Du hast dich bestimmt schon gut vorbereitet. Deswegen möchte ich mit dir mit dieser Checkliste helfen, um zu prüfen, ob du auch an diese 12 Dinge gedacht hast, damit deine Webseite möglichst wenig Angriffsfläche für Abmahnanwälte bietet.
Diese Aufzählung ist nicht vollständig. Ich gebe hier keine Rechtsberatung!
Falls du noch mehr Input brauchst, so schau dir diesen DSGVO-Artikel von mir an: DSGVO und WordPress: 9 Datenschutzlücken, an die du (vielleicht) noch nicht gedacht hast
1. Google Analytics Code mit Tag Manager
Solltest du Google Analytics nutzen, so solltest du unbedingt prüfen, ob der Google Tag Manager mitgeladen wird. Google stellt dir im Backend von Analytics einen Tracking-Code zur Verfügung, der dafür sorgt, dass der Google Tag Manager mitgeladen wird – auch wenn du diesen gar nicht eingerichtet hast.
Auf webbkoll.dataskydd.net kannst du testen, ob deine Webseite den Google Tag Manager vewendet. Scroll herunter zu „Third-Party requests“ und dort wirst du es sehen (oder auch nicht):
Solltest du den Google Tag Manager mitladen, so hast du zwei Möglichkeiten:
- Google Tag Manager mit in die Datenschutzerklärung aufnehmen
- Google Tag Manager entfernen, in dem einen anderen Analytics-Code verwendest: (Ersetze die XXXXXXXXX-X bitte durch deinen Google-Analytics-Code)
<!-- Google Analytics --> <script> (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document,'script','https://www.google-analytics.com/analytics.js','ga'); ga('create', 'UA-XXXXXXXXX-X', 'auto'); ga('set', 'anonymizeIp', true); ga('send', 'pageview'); </script> <!-- End Google Analytics -->
2. Hast du den Vertrag zur Auftragsdatenverarbeitung auch mit eKomi geschlossen?
Solltest du eKomi verwenden, so solltest du nicht nur in deiner Datenschutzerklärung auf eKomi hinweisen, sondern auch einen Vertrag zur Auftragsdatenverarbeitung mit eKomi abschließen.
Denn eKomi setzt einen Cookie:
Denk natürlich auch an den Vertrag zur Auftragsdatenverarbeitung mit Google – falls du Analytics oder andere Dienste verwendest – und an den Vertrag zur Auftragsdatenverarbeitung mit deinem Hostinganbieter. Denke auch an einen Vertrag zur Auftragsdatenverarbeitung z.B. mit deinem Newsletteranbieter oder Lohnbüro.
3. Verwendest du datenschutzgerechte Social-Media-Buttons?
Denk dran, dass deine Social-Media-Buttons auch datenschutzgerecht sein müssen. Dafür empfiehlt sich das Plugin: Shariff.
4. Hast du deine Webseite auf https umgestellt?
Falls ja, sehr gut! Falls nein, erledige das bitte noch. Https erlaubt in den Formularen eine verschlüsselte Datenübertragung.
Vergiss nicht, alle internen Links auch auf https umzustellen und eine generelle Weiterleitung von http auf https einzurichten.
5. Aktualisiere dein WordPress auf 4.9.6.
Mit dieser Version erhältst du wichtige Bausteine, um deine Webseite datenschutzgerecht zu machen. So unter anderem: ein Tool, um Nutzern Einsicht in ihre Daten zu gewähren und um die Daten zu löschen; Datenschutzverlinkung auf Login-Seite
6. Deaktiviere Gravatar! Deaktive Emojis!
Vergiss nicht Gravatar zu deaktivieren. Der US-amerikanische Dienst lädt die kleinen Bildchen von fremden Servern.
Gravatar schaltest du ganz einfach ab: Einstellung –> Diskussion –> bei Avataranzeige das Häkchen bei „Avatare anzeigen“ rausnehmen.
Vergiss nicht die Emojis von WordPress zu deaktivieren. Entweder per Plugin (Disable Emojis) oder per nachfolgenden Code, den du in die functions.php einfügen kannst:
/**
* Disable the emoji's
*/
function disable_emojis() {
remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
remove_action( 'admin_print_scripts', 'print_emoji_detection_script' );
remove_action( 'wp_print_styles', 'print_emoji_styles' );
remove_action( 'admin_print_styles', 'print_emoji_styles' );
remove_filter( 'the_content_feed', 'wp_staticize_emoji' );
remove_filter( 'comment_text_rss', 'wp_staticize_emoji' );
remove_filter( 'wp_mail', 'wp_staticize_emoji_for_email' );
add_filter( 'tiny_mce_plugins', 'disable_emojis_tinymce' );
add_filter( 'wp_resource_hints', 'disable_emojis_remove_dns_prefetch', 10, 2 );
}
add_action( 'init', 'disable_emojis' );
/**
* Filter function used to remove the tinymce emoji plugin.
*
* @param array $plugins
* @return array Difference betwen the two arrays
*/
function disable_emojis_tinymce( $plugins ) {
if ( is_array( $plugins ) ) {
return array_diff( $plugins, array( ‚wpemoji‘ ) );
} else {
return array();
}
}
/**
* Remove emoji CDN hostname from DNS prefetching hints.
*
* @param array $urls URLs to print for resource hints.
* @param string $relation_type The relation type the URLs are printed for.
* @return array Difference betwen the two arrays.
*/
function disable_emojis_remove_dns_prefetch( $urls, $relation_type ) {
if ( ‚dns-prefetch‘ == $relation_type ) {
/** This filter is documented in wp-includes/formatting.php */
$emoji_svg_url = apply_filters( ‚emoji_svg_url‘, ‚https://s.w.org/images/core/emoji/2/svg/‘ );
$urls = array_diff( $urls, array( $emoji_svg_url ) );
}
return $urls;
}
7. Vergiss das Google-Analytics Opt-Out nicht
Die meisten Datenschutzgeneratoren fügen den Link zu den Browser-Einstellungen ein, wo Google-Analytics ausgeschaltet werden kann. Auf mobilen Geräten fällt dies nicht so leicht. Hier solltest du einen drückbaren Text (Link) vorbereiten, der das Opt-Out einfach macht. Dieses Plugin hilft dir dabei: Google Analytics Opt-Out
Folgenden Text verwende ich:
Alternativ zum Browser-Add-On, insbesondere bei Browsern auf mobilen Endgeräten, können Sie die Erfassung durch Google Analytics zudem verhindern, indem Sie [ google_analytics_optout ]auf diesen Link klicken[ /google_analytics_optout ].
(Entferne die Leerzeichen nach bzw. vor den eckigen Klammern, dann wird der Shotcode aktiv.)
8. Prüfe, ob du einen Datenschutzbeauftragten brauchst
Ein Unternehmen braucht z.B. einen Datenschutzbeauftragten, wenn mehr als zehn Personen mit der ständigen Verarbeitung von personenbezogenen Daten beschäftigt sind. Auch braucht ein Unternehmen einen Datenschutzbeauftragten, wenn die Verarbeitung der Daten sehr risikoreich ist oder das Unternehmen mit Adressen handelt.
9. Organisiere deine Dokumentationspflichten
Lege ein Verarbeitungsverzeichnis gemäß des Art. 30 des DSGVO an. Hier solltest du alles dokumentieren, so unter anderem:
- Personaldaten
- Lohnabrechnungen
- Kundenverwaltung
- Verwaltung Kundendaten
- Zahlungsabwicklung
- Aufträge
- IT-Support
- Werbemaßnahmen
10. Vergiss die VG-Wort in deiner Datenschutzerklärung nicht
Solltest du die Zählpixel der VG-Wort verwenden, so musst du auch dies in deiner Datenschutzerklärung auflisten. Vergiss natürlich nicht, den SSL-Zählpixel der VG-Wort zu verwenden.
So sehen die Standardlinks aus:
<img src=“http://vg07.met.vgwort.de/na/782153781397126389123″ width=“1″ height=“1″ alt=““>
Tausche einfach den Teil „vg07“ direkt nach dem http:// durch „ssl-vg03“, so dass der Zählpixel so aussieht:
<img src=“https://ssl-vg03.met.vgwort.de/na/782153781397126389123″ width=“1″ height=“1″ alt=““>
11. Google Fonts
Solltest du die externe Einbindung von Google Fonts auf deiner Webseite schon aufgelöst haben und durch eine lokale/interne Einbindung ersetzt haben, so solltest du dieses Plugin verwenden, damit die Referenz im Header deiner Webseite entfernt wird: Remove Google Fonts References (Auch wenn es schon etwas älter ist, es funktioniert tadellos! – Aktiviere es und das wars schon.)
12. Schalte Plugins ab, die Daten weitergeben
Schalte Plugins ab, die personenbezogene Daten von Nutzern auf Drittservern schalten. Eine Übersicht findest du hier (Externer Link).
Falls du noch mehr Input brauchst, so schau dir diesen DSGVO-Artikel von mir an: DSGVO und WordPress: 9 Datenschutzlücken, an die du (vielleicht) noch nicht gedacht hast
Ich wünsche dir viel Erfolg und dass du die DSGVO heil überstehst!