Die Top-10 DSGVO-Fehler auf WordPress-Websites
Eine Liste häufig anzutreffender Datenschutz-Fehler auf WordPress-Seiten. Hand auf´s Herz. Ist Ihre Website DSGVO-konform? Gern checke ich das für Sie!
#1
Google Fonts eingebunden
Fehler: Immer noch findet man Websites, die Schriftarten von Google einbetten. Problem: Dabei werden personenbezogene Daten an Google übermittelt, ohne, dass der User seine Einwilligung erteilt hat. (IP, Zeitstempel, Betriebssytem, …) Absolut unnötig. In einem Blog Post hatte Google vor einiger Zeit sich außerdem auch dazu geäußert, dass es erlaubt ist, die Schriftarten herunterzuladen.
Lösung: Schriftarten lokal vom eigenen Server einbetten. Dann erfolgt kein Aufruf von Google.
#2
Google Maps direkt eingebettet
Fehler: Genau wie bei Google Fonts werden bei Google Maps personenbezogene Daten an Google übermittelt. Im Gegenteil zu Google Fonts kann Maps auf einer Seite einen echten Mehrwert bringen. Dennoch muss die DSGVO beachtet werden. Verarbeitung erfordert in diesem Falle Einwilligung. D.h. konkret: Maps darf erst dann geladen werden, wenn der User zugestimmt hat. Dafür gibt es verschiedene Plugins, die ich mit einer Ausnahme allesamt nicht empfehlen kann.
Lösung: Maps rauswerfen, oder per Plugin vom User die Einwilligung holen. Ich empfehle dafür das Plugin Borlabs. Kontaktieren Sie mich gern, ich habe eine Agenturlizenz und kann Ihnen einen Nachlass gewähren.
#3
YouTube, Vimeo oder andere Dienste direkt eingebettet
Fehler: Genau wie bei Google Fonts, Maps, dürfen auch YouTube, Google Analytics, Vimeo (und andere) Dienste nicht eingebunden sein, ohne, dass der User informiert, ausdrücklich, widerrufbar, nachweisbar (puh!) eingewilligt und somit die Weitergabe seiner Daten an Dritte gebilligt hat. Alles im Bereich von „wir machen das jetzt so“ ist halt leider nicht legal. Laut EuGh. Ja, das beinhaltet auch Themes, die jQuery von extern laden. Oder extern liegende Bilder.
Lösung: Dienste rauswerfen, oder per Plugin vom User die Einwilligung holen. Ich empfehle dafür (immer noch) das Plugin Borlabs. Kontaktieren Sie mich (immer noch) gern, ich habe eine Agenturlizenz und kann Ihnen (…) einen Nachlass gewähren.
#4
Kontaktformulare nicht angepasst
Fehler: Noch immer findet man Kontaktformulare, die nicht DSGVO-konform sind. Übliche Fehler sind etwa: Mehr Pflichfelder als nötig (ein als Pflichtfeld markiertes Telefon-Feld kann schon problematisch sein, weil jemand ja z.B. nur ein paar Infos per Mail möchte.); Keine Einwilligung zur Verarbeitung (User müssen informiert einwilligen, wenn etwas mit ihren personenbezogenen Daten passiert. Auch wenn´s „nur“ Speichern ist.); Sie haben ein Kontaktformular, aber Ihre Seite ist nicht per https:// abgesichert. So würden personenbezogene Daten Ihrer User unverschlüsselt übertragen werden. Das ist einfach nicht DSGVO-konform.
Lösung: Nur unbedingt nötige Felder als Pflichfelder anlegen; Per Pflicht-Feld die Einwilligung zur Verarbeitung holen; Website per günstigem oder kostenlosem SSL-Zertifikat absichern.
#5
Datenschutzerklärung von 1900 (oder gar keine)
Lösung: Impressum und Datenschutz direkt anklickbar machen. Empfehlung unten ins Footer Menü. Erklärung muss korrekt sein. Empfehlung: 1x im Jahr die Erklärung aktualisieren. So verwenden Sie aktuelle Formulierungen und gehen auf die Plugins ein, die Sie tatsächlich benutzen. Benötigen Sie Hilfe? Mit meinem Know-How und meinem E-Recht24-Premium-Zugang erstelle ich mit Ihnen zusammen Ihre Datenschutzerklärung.
#6
Alte Cookie Plugins verwenden
Fehler: Damals mal irgendein Cookie-Banner installiert und gut? Nein. „Wir benutzen Cookies – Einstellungen“ OK? Nein.
Lösung: Benutzt Ihre WordPress-Website überhaupt Cookies? Von Haus aus kommt es nämlich ohne daher. Klicke Sie im Chrome Browser auf das kleine Schloss und dann auf Cookies. Wenn auf Ihrer ganzen Website keine Cookies auftauchen, benötigen Sie kein Cookie-Tool. Viele Leute haben aus bloßer unwissenheit damals einen Cookie-Banner installiert. Eine generelle Empfehlung kann hier nicht gegeben werden, weil zu spezifisch. Sehr gut kann man dies mit Borlabs Cookie lösen.
#7
Keinen Verarbeitungsvertrag geschlossen
Fehler: Die allermeisten Firmen stellen Ihre Website nicht selbst bereit, sondern lassen Sie von einem Anbieter hosten. Ein häufiger Fehler ist, keinen Auftrags-Verarbeitungs-Vertrag zu schließen. Schreit nach einer Abkürzung. AVV. Haben Sie einen AVV mit Ihrem Hoster?
Lösung: AVV schließen, geht meist mit wenigen Klicks. Empfehlung: Laden Sie – wenn möglich – das Vertragsdokument herunter und legen Sie es zentral bei anderen AVVs ab.
#8
Keine Weiterleitung von http auf https
Fehler: Sie haben sich die Mühe gemacht Ihre Website per https abzusichern. Super, Daten werden verschlüsselt übertragen. Aber ist das wirklich IMMER so? Was passiert wenn Sie Ihre Website per http://example.com aufrufen? Ihre Seite wird nicht umgeleitet auf https? Das ist problematisch. Wenn ein User Ihre Website über http aufruft und z.B. ein Kontaktformular absendet, werden seine Daten unverschlüsselt übertragen.
Lösung: Testen und sicherstellen, dass http auf https umleitet. Ggf. die Weiterleitung erzwingen. Dies geht bei den Hostern meist mit ein paar Klicks einzustellen.
#9
Unvollständige Newsletter-Formulare
Fehler: Besteht eine Newsletteranmeldung aus einem Mail-Adressen-Feld und einen Anmelden-Button ist dies ein DSGVO-Verstoß. Es benöigt einige Info VOR der Anmeldung. Etwa: Wie oft kommt der Newsletter, zu welchen Themen? Stimmt der User der Verarbeitung seiner Daten zu? Werden die Daten an andere weitergegeben? (Externer Dienstleister z.B. MailChimp). Fehlt der Hinweis, dass man sich wieder abmelden kann? Gibt es eine sog. Erfolgsmessung? (Wir der User getrackt, ob er die Mails öffnet?) Gibt es ein Double-Optin-Verfahren?
Lösung: Dringlich auf alles Nötige hinweisen. Im Zweifel checken lassen.
#10
Datenschutzerklärung ist nicht ausgeblendet aus Suchmaschinen
Lösung: Einfach die eine Unterseite für Suchmaschinen ausblenden. Installieren Sie Yoast, dann können Sie das für jede Unterseite einstellen.
Lust auf viele weitere Profitipps?
Ich bin TÜV-geprüfter Datenschutzbeauftragter (nach DSGVO + BDSG-neu). Melden Sie sich einfach.
Diese Übersicht stelle keine Rechtsberatung dar, hilft aber sich inspirieren zu lassen, die eigene Seite DSGVO-Konform zu machen. Falls Sie meine Unterstützung wünschen, kontaktieren Sie mich gern jederzeit.