Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union verbindlich. Dieser Blog-Beitrag zeigt in kompakter Form auf, worauf Sie als Schweizer WordPress-Websitebetreiber achten müssen.
Um was geht es genau bei der DSGVO?
Die Datenschutz-Grundverordnung (DSGVO; englisch: General Data Protection Regulation, GDPR) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden.
Aktuell wird das Schweizer Pendant zur DSGVO ausgearbeitet. Das neue Bundesgesetz über den Datenschutz (DSG) geht in dieselbe Richtung wie die DSGVO. Die notwendigen Vorkehrungen und Massnahmen werden also für das revidierte DSG und die DSGVO dieselben sein. Unternehmen, die sich schon auf die DSGVO eingestellt haben, sind somit auch hier im Vorteil.
Gilt die DSGVO auch für Schweizer WordPress-Websitebetreiber?
Schweizer Unternehmen müssen sich an die DSGVO halten, wenn sie Daten von Personen verarbeiten, die sich in der EU (auch EWR mit Liechtenstein gehört dazu) befinden und die Verarbeitung dazu dient:
- Produkte oder Dienstleistungen anzubieten oder
- das Verhalten dieser Personen zu verfolgen (beispielsweise mit einem Web-Analysetool wie Google Analytics oder Erhebung mittels Kontaktformular)
Auch wenn Sie also keine Produkte oder Dienstleistungen aktiv im EU-Raum oder Liechtenstein anbieten, kann grundsätzlich davon ausgegangen werden, dass Sie davon betroffen sind.
Was muss ich als Schweizer WordPress-Websitebetreiber unternehmen?
Grundsätzlich müssen Sie dafür sorgen, dass Sie für Ihre Website oder Webshop geeignete technische und organisatorische Massnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören aus technischer Sicht insbesondere:
- Prüfung aller eingesetzten Systeme oder Plugins hinsichtlich Datenschutzkonformität.
- Nach einem physischen oder technischen Zwischenfall (Viren, Hackerangriff) müssen alle Daten und Zugänge schnell wieder hergestellt werden (Backup- und Restore-Konzept).
- Anonymisierung personenbezogener Daten (beispielsweise bei Google Analytics).
- Verschlüsselung personenbezogener Daten (SSL/TLS).
Die personenbezogene Datenverarbeitung muss zweckgebunden und transparent sowie für die betroffene Person verständlich und nachvollziehbar sein.
Für die Bearbeitung der Daten muss die Zustimmung der betroffenen Person vorliegen (beispielsweise Double-Opt-In bei Newsletter-Anmeldung). Die betroffene Person kann jederzeit Auskunft über ihre gesammelten Daten oder die Löschung beantragen.
Konkret: (Technische) Massnahmen für meine WordPress-Website
- Verschlüsseln Sie die Datenübertragung auf Ihrer WordPress-Website mittels SSL/TLS.
- Halten Sie Ihre WordPress-Website stets auf dem aktuellsten Stand. Regelmässige Updates von WordPress, Theme und Plugins hilft Sicherheitslücken zu beheben und Ihre WordPress-Website technisch auf dem neusten Level zu halten.
- Vergewissern Sie sich, dass auch die Server-Infrastruktur, auf welcher Ihre WordPress-Website betrieben wird, technisch auf dem neusten Stand ist.
- Schliessen Sie mit Dienstleistern, die in Ihrem Auftrag Daten verarbeiten, eine Vereinbarung zur Auftragsdatenverarbeitung (ADV) ab. Zu diesen Dienstleistern gehören beispielsweise Ihr Hoster oder auch Google, wenn Sie Google Analytics, Google AdWords oder andere Google-Produkte nutzen.
- Mit regelmässigen Datensicherungen (Backups) können Sie Ihre WordPress-Website im Notfall rasch wieder herstellen. Tipp: Backups nicht auf demselben Server wie die WordPress-Website sichern, sondern auf einem externen Datenträger.
- Analysieren und prüfen Sie Ihre WordPress-Website und die eingesetzten Erweiterungen (Plugins), ob personenbezogene Daten gespeichert werden.
- Aktualisieren Sie Ihre Datenschutzerklärung für Ihre eingesetzte WordPress-Website. Informieren Sie Ihre Besucher transparent, wie Sie mit personenbezogenen Daten umgehen und welche Drittanbieter (z.B. Google, Facebook, Twitter etc.) auf Ihrer Website personenbezogene Daten sammeln.
- Prüfen Sie, ob Ihr Impressum vollständig und aktuell ist.
- Wenn Sie ein Analyse-Tool wie z.B. Google Analytics einsetzen, müssen Sie die IP-Adressen anonymisieren, eine Widerspruchsmöglichkeit anbieten sowie die Aufbewahrungsdauer festlegen.
- Wenn Sie einen Newslettertool benutzen, müssen Sie die Registrierung mittels Double-Opt-In anbieten (Bestätigung via E-Mail-Link).
Fazit
Die DSGVO und das Thema Datenschutz im Allgemeinen sind Realität, egal was man persönlich davon hält. Den Kunden und Websitebesuchern sind die Rechte und Pflichten zunehmend bekannt und werden durch die Medien weiter zum Thema sensibilisiert. Geschäftliche WordPress-Websitebetreiber kommen daher nicht darum herum, ihre Website zu analysieren und entsprechende Vorkehrungen und Massnahmen zu treffen. Umso mehr, da auch das Schweizerische Datenschutzgesetz in Kürze angepasst wird.
Mit der Umsetzung genügen Sie einerseits den rechtlichen Ansprüchen. Ausserdem bauen Sie zu Ihren Kunden grösseres Vertrauen auf, wenn Sie sich mit dem Thema Datenschutz und -sicherheit befassen und transparent und korrekt anwenden. Wer Datenschutz und Datensicherheit künftig (immer noch) vernachlässigt, wird früher oder später von der Konkurrenz überholt werden.
Benötigen Sie Unterstützung zum Thema?
Gerne analysieren wir Ihre WordPress-Website hinsichtlich Datenschutz sowie Datensicherheit und helfen Ihnen bei der technischen Umsetzung. Nutzen Sie dazu unser Spezial-Angebot.