Hilfe im DSGVO Dschungel – Wie du die ersten, wichtigsten Schritte auf deiner WordPress-Seite umsetzt.
Die Datenschutz Grundverordnung (DSGVO) ist die wohl einschneidenste Maßnahme im Onlinesektor die es je gab. Zwar betrifft die DSGVO alle Unternehmen, unabhängig ob on- oder offline. Aber vorallem im Bereich Internet wird dabei alles auf den Kopf gestellt, was sich jahrelang als selbstverständlich eingespielt hat.
Es ist auch verständlich, dass aufgrund der umfassenden Anpassungen, die innerhalb eines Unternehmens vorgenommen werden müssen, um der Verordnung entsprechend gesetzeskonform zu agieren, zunächst eher die Nachteile für Unternehmen ins Auge stechen. Vorallem psychologisch kann das eine große Belastung sein: Denn wenn man es früher gewohnt war, dass man für einen erhöhten Arbeitsaufwand, am Ende des Tages mehr in der Tasche hatte, so bedeutet eine Anpassung an die DSGVO am Ende zunächst mal neben dem großen Zeitaufwand eine erhebliche finanzielle Einbuße. Vieles, womit man in der Vergangenheit Geld verdienen konnte (als Klassiker nenne ich jetzt mal das „Freebie“, welches an einen Newslettereintrag gekoppelt war), ist unter der DSGVO ganz klar nicht mehr erlaubt.
Wenn man jetzt also neu in Richtung Onlinemarketing durchstarten will, oder aber seine bereits vorhandene Seite DSGVO-konform gestalten möchte, wo beginnt man dann am ehesten? Verarbeitungsverzeichnisse, Datenschutzerklärung, Auftragsverarbeitungsverträge, Risikofolgeabschätzung, technisch organisatorische Maßnahmen, Datenminimierung, Löschfristen ect. ect. Die Verwirrung ist groß, der Dschungel scheint so dicht, dass man vor lauter Wald keine Bäume mehr sieht.
Ganz unabhängig davon, was wir nun von dieser Verordnung halten: Es geht zunächst mal um TRANSPARENZ!
Diese wird von uns gefordert und diese wollen wir vorallem dem User bzw Kunden/Käufer/Interessenten der unsere Seite besucht bieten.
Da die DSGVO bereits in Kraft ist und deine Außenwirkung in Form deiner Webseite verständlicherweise der wohl erste und auffälligste Punkt ist, auf den geachtet wird, wollen wir uns also zunächst mal mit vollem Elan um die Webseitengestaltung kümmern.
Da ich hier vorallem auf die Seitengestaltung bei WordPress eingehen will, sehen wir uns zunächst mal an, ob die aktuellste Version von WordPress installiert ist! Ab der Version WordPress 4.9.6 haben wir einige DSGVO Features mit dabei, die wir für eine DSGVO konforme Umsetzung unbedingt benötigen! Dazu zählt beispielsweise ein Link zu deiner Datenschutzerklärung (dazu kommen wir noch später) im Login Panel deines WordPress-Blogs. (Ja, ich weiß, absurd was alles verlangt wird, aber wir nehmen es lächelnd zur Kenntnis und machen es einfach mal…)
Wenn du also sichergestellt hast, dass du die aktuellste WordPress Version installiert hast, sehen wir uns zunächst an, welche Trackingprozesse wir am laufen haben, bzw ob wir überhaupt welche davon benötigen. Erinnere dich immer darin, dass jedes Tracking deiner User eine Datenverarbeitung personenbezogener Daten (also beispielsweise der IP Adresse) darstellt und begründbar sein muss.
Plugins, Cookies und Tracking:
Solltest du bereits eine Webseite bzw einen WordPressblock haben und nicht sicher sein, welche Trackings (die du womöglich gar nicht benötigst) darüber laufen, so solltest du dir zunächst mal das Tool „Ghostery“ für deinen Safari- oder Firefoxbrowser herunterladen.
Ghostery spürt Tracking-Technologien auf und blockiert sie, beschleunigt so den Aufbau der Internetseiten, macht sie übersichtlicher und schützt deine Daten. Und das Wichtigste: Du kannst anhand dieses Tools eben erkennen, wo auf deiner Webseite versteckte Tracker agieren und die Daten deiner Webseitenbesucher auslesen bzw übermitteln. Manchmal können diese Trackings durch zuvor installierte PlugIns passieren. Ghostery wird aber nicht nur bei dir unbekannten Trackern Alarm schreien, sondern auch bei Facebookpixel sowie Google Analytics.
Das bedeutet jetzt nicht, dass du all diese Tracker aus deiner Seite elemenieren musst, nein. Aber du musst ihren Einsatz DSGVO-konform in deiner Datenschutzerklärung begründen können und dem User außerdem die Möglichkeit einräumen, das Tracking zu unterbinden.
Überlege dir also gleich zu Beginn, welche Plugins du wirklich brauchst und schaue sie dir in Hinblick auf das setzen von Cookies sowie mögliches Tracking bzw Datenweitergaben genauer an. Denk dabei auch daran, dass deine WordPress-Seite mit jedem zusätzlichen Plugin eine längere Ladezeit benötigt! Auch das ist ein Argument Plugins und Trackingtools sparsam und nur bei absoluter Notwendigkeit (die auch rechtlich begründbar sein muss) einzusetzen.
Du hast also nun deine Seite aufgesetzt und nur jene Plugins installiert, von denen du weißt, dass sie entweder keine personenbezogenen Daten tracken und an Drittanbieter übermitteln ODER, falls doch, diese auch in deiner Datenschutzerklärung begründen kannst.
Da es relativ häufig vorkommt, widme ich dem Thema Youtube eine eigene Seite. Wie du Youtubevideo DSGVO konform in deine Webseite einbaust, erfährst du hier.
Nehmen wir uns nun einem ebenfalls umstrittenen Thema an, nämlich den Google Fonts. Diese sind Standardmäßig in fast allen WordPress Themes integriert und auf den ersten Blick insofern praktisch, als das die für das Theme verwendeten Schriftarten direkt vom Googleserver geladen werden. Leider gibt es da ein kleines datenschutzrechtliches Problem. Und das wäre, dass mit jedem Laden der Fonts auch die IP Adresse des Seitenbesuchers unauthorisiert an Google übermittelt wird. An dieser Stelle sei nochmal in Erinnerung gerufen, dass es sich auch bei IP Adressen um personenbezogene Daten nach der DSGVO handelt. Wie weltfremd das ist, oder auch nicht, will ich an dieser Stelle nicht weiter kommentieren. Es ist nun mal so, laut der Verordnung…
Was kann man also tun?
Möglichkeit 1: Man kann (so sehe ich es relativ häufig) die Google Fonts unverändert von Google laden lassen und diesen Umstand als „berechtigtes Interesse“ in seine Datenschutzerklärung schreiben. Ich halte dies für einen rechtlich sehr unsicheren Weg, bei dem wir uns obendrein um eine einmalige Chance bringen, den Ladevorgang unserer Seite signifikant zu erhöhen… (Erklärung nachfolgend) Das bringt uns zur Möglichkeit 2: Wir laden uns das Google Fonts Theme vom Google Server herunter und binden es auf unseren eigenen Server ein . Dies muss dann im Idealfall über ein sogenanntes „Childtheme“ erfolgen, welches auf das ursprüngliche WordPresstheme referenziert. Anleitungen zur Erstelllung eines Childthemes gibt es im Netz zur genüge. Weiters laden wir uns das kostenlose Plugin Autoptimize herunter, mit welchem man unter anderem das laden der Google Fonts vom Google Server unterbinden kann. Dieses Plugin hat darüberhinaus den Vorteil, dass es deine Seite wesentlich schneller macht. Ein Umstand, der übrigens auch durch das einbinden der Fonts auf deinem eigenen Server geschieht. Es ist keine Seltenheit, dass deine Seite dadurch ca drei Mal so schnell wird, was sich natürlich auf langfristig auch auf dein SEO Ranking auswirken kann! Schüttle also nicht den Kopf, wenn du durch die DSGVO dazu verdammt wirst, Google Fonts aus einem bestehenden WordPress-Theme umständlich auszubauen und über deinen eigenen Server zu leiten! Dieser Arbeitsschritt hat große Vorteile für die Ladezeit deiner Seite!
Gehen wir nun davon aus, dass wir alle nötigen Plugins für die Seite nun installiert haben, dann benötigen wir jetzt zum Schluß noch einen Cookiebanner, welcher unseren Usern gestattet, die Cookies bzw das Tracking einzelner Cookies auf eigenen Wunsch zu unterbinden. Auch dieses Plugin, was nun kommt, ist kostenlos und bietet sowohl variabel das Einstellen für Opt In als auch für Opt Out. Ich halte es für ein großartiges DSGVO konformes Plugin bei dem du dem User auch die Möglichkeit bietest Youtubevideos oder Facebookpixel abzulehnen. Ginger Cookie heißt es und bietet vielfältige Möglichkeiten. Ich habe es auch auf dieser Seite installiert. Du kannst die Banner natürlich individuell gestalten (sofern dir meine farblich nicht zusagen 😉 ).
Natürlich gibt es auch noch andere, teilweise kostenpflichtige Plugins welche auch Youtube sowie Facebook mit berücksichtigen. Ich persönlich wie gesagt verwende derzeit Ginger und bin damit zufrieden.
2. Newsletter zwecks Marketing und Userbindung
Ich will über die Wichtigkeit eines gut aufgebauten Mailfunnels jetzt nicht zu viele Worte verlieren, dazu habe ich etliche Youtube Videos gedreht. Fakt ist: Du brauchst einen, damit du deine User an dich binden und immer mit den neuesten Informationen versorgen kannst! Es gibt verschiedenste (zumeist kostenpflichtige) Anbieter im Netz. Wichtig bei der richtigen Wahl des Mailinganbieters ist dabei, dass dieser DSGVO konform agiert und seinen Sitz innerhalb der EU hat. Oder aber, wie beispielsweise beim US-Anbieter „Mailchimp“ der Fall, Mitglied des EU-US Privacy Shields ist.
Gute Mailinganbieter sind beispielsweise Klicktipp oder Get Response, bei denen du auch die Möglichkeit hast Tagbasiertes Mailmarketing zu betreiben. Tagbasiert bedeutet, dass du verschiedene Aktionen anhand der zuvor getätigten Handlungsweise der User einstellen kannst. Hat der User also beispielsweise ein bestimmtes Mail nicht geöffnet, kannst du im Tagging bestimmen, dass er ein zweites Mail, mit anderer, vielleicht unüberlesbarerer Headline bekommt. Aber das war jetzt nur ein Beispiel. Sowohl Klicktipp, als auch Get Response haben ihren Sitz innerhalb der EU und sind DSGVO konform aufgestellt. Du bekommst mit diesen Anbietern also auch einen Auftragsverarbeitungsvertrag im Sinne der DSGVO. Zum Thema Newsletter gäbe es noch viel zu sagen. In meinem demnächst erscheinenden Onlinemarketing Kurs „Die DSGVO für das eigene Business nutzen und profitieren !“ gehe ich näher darauf ein.
3. DSGVO konforme Datenschutzerklärung
Da du zum einen nun weißt, welche Plugins du verwendest und zu welchem Zweck und zum anderen eines deiner wichtigsten Marketinginstrumente – nämlich der Newsletter in die Seite integriert ist, kannst du dich an die Erstellung deiner Datenschutzerklärung machen. In dieser gibst du im Prinzip alle Datenverarbeitungsvorgänge die auf deiner Webseite stattfinden an. Ich möchte auf diesen Punkt nicht zu ausführlich eingehen, da es sehr gute Datenschutzerklärungs-Generatoren im Netz gibt. Ich empfehle hier u.a. den Datenschutz-Generator von WBS-Law von meinem Youtube Kollegen Christian Solmecke und dessen Kanzlei.
Wenn du deine Datenschutzerklärung erstellt hast (und gegebenenfalls um einzelne Punkte erweitert hast), dann kannst du nun, in deinem aktuellsten WordPresstheme unter dem Punkt „Einstellungen“ und dann „Datenschutz“ diese Erklärung verlinken. Sie erscheint dann auch in deinem WordPress Login-Panel.
Natürlich habe ich bei der oben erfolgten Beschreibung nur an der Oberfläche gekratzt und jetzt nur mal die allerwichtigsten Punkte beschrieben. Wenn du eine ausführliche Schritt für Schritt Anleitung in Form eines Videokurses benötigst, empfehle ich dir den unten stehenden Kurs, der kaum Geld kostet, aber dir sehr gute Dienste erweist, dass Ganze sicher und schnell über die Bühne zu bringen:
WORDPRESS 4 DSGVO
Einen weiteren Kurs im günstigeren Preissegment den ich dir empfehlen kann, wenn es um die Allgemeine Umsetzung der DSGVO im Unternehmen geht, findest du im DSGVO CRASHKURS
In diesem Kurs geht es nicht nur um die Umsetzung der DSGVO auf deinen Webseiten, sondern um alle Prozesse die es innerhalb eines Unternehmens zu beachten gilt.
Weitere sinnvolle (kostenlose) Tools und Plugins um eure WordPress Seite DSGVO konform zu machen:
- Autoptimize (Google Fonts und Emojis werden entfernt)
- Remove Google Fonts References) (wie oberhalb)
- Extra Privacy for Elementor (Wer eine Zwei-Klick-Option für Google Maps und Videos sucht)
- Google Analytics Opt-Out (Opt-Out-Möglichkeit für Google Analytics)
- Really Simple SSL (Umstellungshilfe einer WordPress-Seite auf HTTPS)
- Remove Comment IPs (IP-Adressen von Kommentatoren werden nach 60 Tagen aus der Datenbank gelöscht)
- Remove Google Fonts References (Google Fonts werden aus dem Quellcode entfernt)
- Remove IP (Das Speichern von IP-Adresse in der WordPress Datenbank wird verhindert)