Datenschutz-Grundverordnung (DSGVO) – Plugins Teil 2
Zuletzt aktualisiert am 16. September 2019 um 08:23 Uhr
Nachdem ich gestern bereits einige Plugin-Kategorien vorgestellt habe, die mit Blick auf die DSGVO kritisch zu betrachten sind geht es heute weiter.
Zuvor noch ein kurzer, aber wichtiger Disclaimer:
Ich bin kein Jurist und kann mit diesem Blog-Beitrag auch keine Rechtsberatung leisten. Ich zeige Dir hier mein Verständnis der DSGVO und die aus meiner Sicht notwendigen Schritte auf. Diese erheben jedoch keinen Anspruch auf Vollständigkeit und ich kann hierfür auch keine Haftung übernehmen. Um sicherzustellen, dass für Deine spezielle Situation alles bedacht ist, kontaktiere bitte unbedingt einen Rechtsanwalt.
Inhaltsverzeichnis
Sicherheits-Plugins
Die meisten Sicherheits-Plugins speichern IP-Adressen, zum Beispiel um zu erkennen, wenn von einer IP-Adresse sehr viele Login-Versuche auf eine Website erfolgen und diese dann zu sperren. Außerdem schreiben manche dieser Plugins Log-Dateien, in denen Login-Versuche mit den dazugehörigen IP-Adressen protokolliert werden.
Die wohl bekanntesten Sicherheits-Plugins sind:
- Wordfence
- iThemes Security
- Bulletproof Security
Hier ist es empfehlenswert, mit dem Plugin-Entwickler Kontakt aufzunehmen und abzuklären, ob die Speicherung der IP-Adressen nur auf Deinem eigenen Webspace erfolgt oder ob Daten auch an den externe Server übertragen werden. Wenn letzteres der Fall ist muss ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden. Besser wäre es noch, wenn die Übermittlung und Speicherung von IP-Adressen komplett unterdrückt werden könnte.
Wenn Du ein solches Plugin im Einsatz hast musst Du einen entsprechenden Passus in der Datenschutzerklärung mit aufnehmen.
Ich selbst nutze bisher sehr gern das Plugin „Bulletproof Security“ als zusätzliche Absicherung meiner eigenen und Kunden-Websites. Mit Blick darauf, dass die wichtigsten Sicherheits-Maßnahmen für eine Website immer ein absolut sicheres Passwort und regelmäßige Aktualisierungen sind bieten Sicherheits-Plugins in der Regel nur einen marginalen Zusatznutzen. Ich denke daher darüber nach, Bulletproof Security zu deaktivieren wenn mir der Entwickler nicht zusichern kann, dass das Plugin 100% datenschutzkonform arbeitet.
PopUps
Viele PopUps, insbesondere solche, die mit Exit-Intend arbeiten, setzen ein Cookie auf dem Rechner Deines Besuchers. So kann sichergestellt werden, dass der Besucher Deiner Website das PopUp nicht bei jedem Seitenbesuch neu sieht sondern erst wieder nach einem festgelegten Zeitraum.
Bekannte PopUp-Plugins:
- PopUp Ally
- PopUp Maker
- Bloom
- Trhive Leads
Zwar sind Cookies von der DSGVO nicht direkt erfasst, aber in meinen Augen ist es trotzdem notwendig, sie im Rahmen der DSGVO nicht unbeachtet zu lassen.
Du solltest auch hier auf jeden Fall in der Datenschutzerklärung Deiner Website einen Hinweis geben dass Cookies gespeichert werden und wie lange diese gültig sind.
Was ich zum Zeitpunkt der Veröffentlichung dieses Artikels noch nicht weiß ist, ob es auch hier eine „Optout“-Möglichkeit geben muss oder ob es genügt, dass der Besucher selbst über seinen Browser die Speicherung von Cookies verhindern kann.
Sharing-Plugins
Sie gehören zum Blog wie Kaffeebohnen zur Kaffeemaschine: Die kleinen Buttons, mit dem Deine Leser Deine Beiträge direkt in ihren sozialen Netzwerken teilen können. Aber auch hier lauern Fallstricke beim Datenschutz
Bekannte Sharing-Plugins sind
- Facebook Page Plugin
- Shareaholic
- Monarch
- Easy Social Share Buttons for WordPress
Leider übermitteln die allermeisten Share-Buttons sofort beim Betreten Deiner Website Daten an die zugehörigen sozialen Netzwerke, wenn Deine Besucher dort eingeloggt sind. Und das ist – wie Du Dir zwischenzeitlich vermutlich denken kannst, nicht datenschutzkonform.
Hier gibt es eigentlich nur eine Möglichkeit, der DSGVO zu entsprechen: Das entsprechende Plugin löschen und anstelle dessen Shariff Wrapper zu installieren. Shariff ist neben „2Click Social Media Buttons“, das aber seit einigen Jahren nicht mehr gewartet wird, das einzig datenschutzkonforme Sharing-Plugin, da es erst dann Daten übermittelt, wenn der Website-Besucher den Button anklickt.
Kontaktformular
Es liegt in der Natur der Dinge, dass Kontaktformulare die E-Mail-Adresse des Absenders übermitteln, sonst könntest Du ja auf die Anfrage gar nicht antworten.
Da die E-Mail-Adresse als personenbezogenes Datum gilt darf diese nicht unverschlüsselt übertragen werden. Wenn Du also ein Kontaktformular auf Deiner Seite nutzen möchtest musst Du für Deine Website ein SSL-Zertifikat einbinden. Du erkennst Websites mit einem SSL-Zertifikat an dem vorangestellten „https“ und dem grünen Schloss in der Adressleiste Deines Browsers.
Bekannte Kontaktformular-Plugins sind:
- Contact Form 7
- Ninja Forms
- Gravity Forms
- Jetpack
Bei den E-Mail-Adressen aus dem Kontaktformular gilt das selbe wie bei E-Mail-Adressen, die über ein Blog-Abo gewonnen werden: Du darfst diese Adressen ausschließlich dazu nutzen, um auf die Kontaktanfrage zu antworten. In keinem Fall darfst Du diese E-Mail-Adressen Deinem E-Mail-Verteiler hinzufügen um Newsletter zu versenden.
Manche dieser Plugins übermitteln die Angaben aus dem Kontaktformular nicht nur per Mail sondern speichern diese auch in der Datenbank Deiner WordPress-Installation. Dann ist auch hierfür eine Information in der Datenschutzerklärung erforderlich.
Teil 1: DSGVO – Was ist jetzt zu tun?
Teil 2: Der Online-Auftritt
Teil 3: DSGVO – Was hat das mit Plugins zu tun?
Beitragsbild:
©Onypix – Fotolia.de