Datenschutz-Grundverordnung und WordPress

Wie sich die neue Gesetzesverordnung auf Schweizer Websites auswirkt

Karin Christen,

Am Mittwoch, 11. April traf sich die Zürcher WordPress Community zum WordPress Meetup Zurich. Zuerst präsentierte uns Martin Steiger einen sehr guten Überblick über die neuen EU-Datenschutz-Bestimmungen, welche am 25. Mai 2018 in Kraft treten. Danach hat uns Pascal Birchler darüber informiert, was WordPress diesbezüglich vor hat, indem er die WordPress GDPR Roadmap präsentierte.

Was ist DSGVO/GDPR?

Wer mit der DSGVO noch nicht vertraut ist, hier eine kurze Erläuterung: Die Datenschutz-Grundverordnung ist ein neues Gesetz, das regelt, wie personenbezogene Daten von EU-Bürgern von Unternehmen gesammelt, genutzt und verarbeitet werden können. Das Gesetzt tritt am 25. Mai 2018 in Kraft, und auch wenn das neue Gesetz von der Europäischen Union (EU) umgesetzt wird, gelten diese neuen Bestimmungen nicht nur für Organisationen in der EU, sondern auch für solche, die Kunden und Kontakte in der EU haben. Das wird sich auf Unternehmen auf der ganzen Welt auswirken. Auch Unternehmen in der Schweiz sind betroffen.

Präsentation von Martin Steiger

Martin erläuterte zuerst vier gängige Missverständnisse im Zusammenhang mit der kommenden Datenschutz-Grundverordnung:

DSGVO Missverständnisse

  1. «Die Schweiz ist von der DSGVO nicht betroffen.» 
  2. «Jede Bearbeitung von Personendaten benötigt eine ausdrückliche Einwilligung 
  3. «Unsere AGB gelten als Einwilligung.» 
  4. «Die DSGVO kann in der Schweiz nicht durchgesetzt werden.» 

Martin Steiger spricht über die Auswirkungen von GDPR für Schweizer WebsitesDetails zu den vier Missverständnissen können in Martins Blog-Beitrag beziehungsweise aus seiner Präsentation entnommen werden.

Da ich eher eine praktisch versierte Person bin, fand ich die zwei folgenden Praxis-Beispiele von Martin sehr spannend:

Newsletter

Einwilligung: Beim versenden von Mailings galt schon immer die Grundregel; Newsletter dürfen nur an E-Mail-Adressen gesendet werden, wenn der Empfänger freiwillig diese Einwilligung gegeben hat. Spätestens ab dem 25. Mai 2018 sollte jeder der einen Newsletter versendet darauf achten.

Douple Opt-in als Beweis: am besten beweisen kann man dies natürlich wenn die Newsletter-Anmeldung via Douple Opt-in erfolgt ist. Das grösste Tabu, das ich ihn diesem Zusammenhang immer wieder antreffe ist, vorselektierte Checkboxen „Zum Newsletter anmelden“ beim absenden von Formularen. Oder oft erhalte ich persönlich Newsletter von Agenturen aus der Schweizer Webszene, obschon ich nie zugestimmt habe.

Gild auch für bisherige Empfänger/innen! Das Gesetzt gilt auch für bisherige Empfänger, dass heisst eigentlich, wenn es hart auf hart kommt, müssten alle persönliche Daten (E-Mail Adressen), welche in den letzten Jahren „unfreiwillig“ für das Versenden des Newsletters gesammelt wurden, gelöscht werden.

MailChimp: Wer mit der Newsletter-Software „MailChimp“ arbeitet, ist sehr gut aufgehoben, denn MailChimp hat sich zu diesem Thema schon sehr gut vorbereitet und unterstützt ihre Kunden mit detaillierten Informationen. Mehr dazu in diesem Blog Beitrag: New MailChimp Tools to Help with the GDPR

Lead Magnets mit Freebies

Auf vielen Websites findet man mittlerweile sogenannte „Freebies“; weiterführende Informationen wie Whitepapers in Form von PDF-Downloads. Der Benutzer gibt lediglich „nur“ seine E-Mail Adresse bekannt und erhält dann das erwähnte Dokument als PDF per E-Mail zugesandt.

Wieso nicht einfach das PDF verlinken? Hier fragt sich natürlich, ob man das PDF nicht einfach verlinken könnte. Die Antwort dazu ist wohl „Jein“, denn die Betreiber der Website möchten möglichst die Daten bzw. E-Mail Adressen ihrer Benutzer sammeln. Im Kleingedruckten steht dann meist, dass man sich automatisch auch gleich per E-Mail-Adresse für den Newsletter registriert. Hier stellt sich jedoch die Frage, ob das zu einer freiwillige Einwilligung zählt?

Klar kommunizieren: Wenn man ganz auf der sicheren Seite sein will, schlägt Martin hierzu eine mögliche Lösung vor, die etwas „Datenschutz-konformer“ ist:
Statt dem Benutzer als Vorwand ein Whitepaper anzubieten, um an die E-Mail Adresse für den Newsletter zu gelangen, könnte man die Kommunikation umdrehen und klar deklarieren, dass wenn der Benutzer sich zum Newsletter anmeldet, dieser als „Goodie“ ein Whitepaper erhaltet.

Mein Fazit

Aus der Präsentation von Martin ziehe ich folgendes Fazit:

Martin spricht diese Woche nochmals in Bern

Wer Martin in Zürich verpasst hat, kann seine Präsentation diesen Dienstag, 17. April 2018 am Berner WordPress Meetup nachholen. Das Meetup wird unter anderem von Ulrich organisiert. Es lohnt sich vorbei zu schauen und Martin mit Fragen zu löchern, also nicht verpassen!

WordPress und GDPR?

Die WordPress Community engagiert sich zu diesem Thema auch sehr. Im zweiten Teil des Abends hat uns Pascal ein paar Neuigkeiten vorgestellt:

Pascal Birchler informiert über GDPR und WordPress

Privacy Page

WordPress erhält eine einfache Möglichkeit, eine Datenschutz-Seite zu erstellen. Wenn möglich soll ein Standard-Text für eine solche „Privacy Page“ bereitgestellt werden. Diese soll jedoch nur als Basis bzw. Inspiration dienen, damit das Erstellen einer Datenschutz-Seite leichter fällt. Idealerweise sollte man dann auch dazu die installierten Plugins sehen, um informieren zu können, welche Daten von diesen gesammelt werden. 

Cookie Opt-In bei Kommentaren

Wenn aktuell jemand auf einer WordPress-Seite einen Kommentar schreibt, werden Name, E-Mail und Website URL in einem Cookie gespeichert. Beim nächsten Kommentar sind dann diese Felder bereits vorausgefüllt. Neu soll das nur noch möglich sein, wenn der Benutzer dem Cookie explizit zustimmt.

Anonymisierung von Daten

WordPress wird Funktionen bereit stellen, mit denen persönliche Daten einfach anonymisiert werden können. Bei einem Kommentar würde aus Vorname/Nachname zum Beispiel “Hans Muster” mit “Anonymized User” ersetzt. Ausserdem wird vorgeschlagen, die IP-Adresse und den User Agent bei einem Kommentar nach einer gewissen Zeit zu löschen bzw. zu anonymisieren. Antispam-Plugins benötigen diese Informationen aktuell zur Spam-Prüfung, danach sind die Daten aber nicht mehr wichtig und können deshalb anonymisiert werden.

Export und Löschen persönlicher Daten

Für den Fall, dass Benutzer den Website-Betreiber um einen Export all deren persönlichen Daten bittet, bietet WordPress künftig einen Export an. Als Administrator kann man dann einen solchen Export anstossen, den der Benutzer per E-Mail bestätigen muss («Ja, ich möchte wirklich einen Export all meiner Daten). Wurde das bestätigt, kann der Administrator den Export herunterladen und/oder dem Benutzer die Daten per E-Mail senden. Die Datei enthält dann Daten aus dem User-Profil, alle Kommentare, u.s.w.
Ähnlich wie beim Export persönlicher Daten, soll der Benutzer auch das Löschen dieser verlangen können. Die ganze Präsentation von Pascal ist hier als PDF erhältlich: WordPress Meetup April 2018 – GDPR Roadmap

Jeder kann etwas beitragen

Nicht vergessen, WordPress ist open source, deshalb kann jeder zu diesem Thema seinen Beitrag leisten. Hier die offenen GDPR bezogenen Tickets.