Leuchtturm im Sturm

WordPress & DSGVO: Datenschutz per Plug-in?

Wichtiger Hinweis: Metoki ist eine Digital-Agentur – keine Anwaltskanzlei. Alle Aussagen zu rechtlichen Themen erfolgen ohne Gewähr. Bitte konsultieren Sie im Zweifelsfall eine juristische Fachperson.

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung DSGVO (engl. General Data Protection Regulation GDPR) in Kraft – nach einer zweijährigen Übergangsfrist. Aber erst jetzt realisieren viele Website-Betreiber, was da auf sie zukommt. Routinierte WordPress-Administratoren sagen sich dann reflexartig: «There’s a plug-in for that!» Leider ist es diesmal nicht ganz so einfach.

Wer im offiziellen WordPress Plug-in Repository nach «GDPR» oder «DSGVO» sucht, der findet derzeit ein gutes Dutzend Plug-ins, welche einen WordPress-Administrator dabei unterstützen sollen, seine Website auf die Anforderungen des neuen EU-Datenschutzgesetzes vorzubereiten. Wer dieses Gesetz nur oberflächlich kennt könnte deshalb annehmen, dass man GDPR Compliance quasi auf Knopfdruck erreichen kann. Und es gibt sogar einzelne Plug-in-Entwickler, die mit Versprechungen werben wie: «Make WordPress GDPR compliant in a few clicks». Das ist allerdings hochgradig unseriös und könnte – angesichts der hohen Bussen, welche die Datenschutz-Grundverordnung vorsieht – schwerwiegende Folgen haben.

Gewisse Anforderungen der DSGVO sind nicht automatisierbar

Zunächst ist zu sagen, dass sich schlicht nicht alles automatisieren lässt, was das neue Gesetz fordert. Gemäss Art. 30 DSGVO muss man beispielsweise ein Verzeichnis der Verarbeitungstätigkeiten erstellen, d.h. man muss dokumentieren, welche personenbezogenen Daten wie und zu welchem Zweck auf der Website verarbeitet werden. Was aber personenbezogene Daten im Sinne der DSGVO sind, lässt sich nicht abschliessend in einer Regel formulieren, die man dann in einen Algorithmus programmieren könnte.

Nur schon die Erkennung von potentiell personenbezogenen Daten ist nicht trivial: Wie soll eine Software entscheiden, ob eine Abfolge von Buchstaben und Ziffern nur eine Produktnummer oder aber Teile eines DNA-Profils repräsentiert? Dann gibt es besondere Kategorien von personenbezogenen Daten (Art. 9 DSGVO), die sich beispielsweise auf die Gesundheit oder die Weltanschauung eines Menschen beziehen; hier gelten zusätzlich Anforderungen, und auch das wird eine Software kaum erkennen können. Eine weitere Schwierigkeit ergibt sich dadurch, dass gewisse Daten für sich alleine anonym sind, in Kombination mit anderen Daten aber Rückschlüsse auf Individuen erlauben und deshalb trotzdem unter die DSGVO fallen. Und viele der für das Verzeichnis geforderten Zusatzinformationen stecken schlicht nicht im Code bzw. in der Datenbank der Website, sondern im Kopf des Website-Administrators.

Oder um ein weiteres Beispiel zu geben: Die DSGVO unterscheidet zwischen Verantwortlichen (engl. Data Controllers) und Auftragsverarbeitern (engl. Data Processors). Der Besitzer einer Website ist ein Data Controller, während beispielsweise Web-Agentur, Hosting Provider, Google Analytics oder MailChimp als Data Processors gelten. Der Data Controller muss mit jedem Data Processor einen Auftragsverarbeitungsvertrag (Data Processing Agreement DPA) schliessen, um die Verarbeitung der personenbezogenen Daten zu regeln. Und es ist einsehbar, dass ein Plug-in keine solchen Verträge schliessen kann.

DSGVO-Konformität erfordert viele Einzelmassnahmen

Ein zweiter Aspekt ist der Leistungsumfang dieser Plug-ins. Die DSGVO umfasst eine Vielzahl von Anforderungen, und alle mir bekannten Plug-ins decken jeweils nur einen Teil dieser Anforderungen ab.

Die simpelsten Plug-ins implementieren nur gerade eine Benachrichtigung für Website-Besucher mit einem Link auf die Datenschutzerklärung (so wie man das von den heutigen Cookie Notifications kennt). Das ist ein guter Anfang, aber nicht mehr. Denn gemäss DSGVO reicht es nicht aus, über die verarbeiteten Daten zu informieren – man muss auch sicherstellen, dass Website-Besucher die über sie gespeicherten Daten einsehen, korrigieren, exportieren oder löschen können. Dabei ist zu beachten, dass WordPress zwischen registrierten Benutzern und Website-Besuchern unterscheidet und letztere kein Login haben, um einfach auf ihre Daten zuzugreifen. Und sofern die jeweiligen Daten nicht zwingend erforderlich sind, muss man es zudem ermöglich, dass diese Daten gar nicht erst erfasst werden, denn das Grundprinzip der DSGVO lautet «Opt-in statt Opt-out».

Ebenso wenig genügt es, alle Formulare mit einer Checkbox auszustatten, über welche der Website-Besucher der Verarbeitung von personenbezogenen Daten zustimmen muss. Denn die DSGVO verlangt zusätzlich, dass er diese Zustimmung jederzeit und einfach widerrufen kann. Ein umfassendes Consent Management, wo jede einzelne Zustimmung pro Benutzer verzeichnet wird, ist allerdings wesentlich komplexer als nur eine zusätzliche Checkbox pro Formular, und entsprechend fehlt es in vielen Plug-ins.

Ein weiterer wichtiger Punkt: Die meisten dieser Plug-ins befassen sich nur mit der Basisfunktionalität von WordPress. Sie können aber nicht verhindern, dass eine Plug-in oder ein Third-Party Service personenbezogene Daten in einer Art und Weise verarbeitet, die gegen die DSGVO verstösst. Einzelne Plug-ins bieten zwar Funktionen, um etwa Contact Form 7, WooCommerce oder Google Analytics DSGVO-konform zu gestalten. Alle anderen der über 55’000 Plug-ins im Repository müssen aber selbst dafür sorgen, dass sie die EU-Datengesetzgebung einhalten, um es ist anzunehmen, dass sehr viele noch nicht GDPR-compliant sind. (Hilfreich ist diesbezüglich die Aufstellung von Finn Hillebrandt.)

GDPR Compliance des WordPress Core löst nicht alle Probleme

An dieser Grundproblematik wird auch die geplante GDPR Compliance des WordPress Core wenig ändern, wenn sie dereinst auf den letzten Drücker fertig wird. Zwar dürfte dann jede WordPress-Website zumindest einige elementare Anforderungen der Datenschutz-Grundverordnung erfüllen und einige der heutigen GDPR Plug-ins überflüssig machen. Aber zur vollen GDPR Compliance wird es bei vielen Websites immer noch reichlich juristisches Know-how und Handarbeit brauchen. Und wer sich jetzt noch nicht mit der Thematik befasst hat, sollte sich wirklich beeilen.

Notebook-Computer mit der Website wordpress.org

Unsere Dienstleistungen rund um WordPress

Metoki ist auf WordPress Websites spezialisiert: Seit über zehn Jahren arbeiten wir intensiv mit dieser Plattform.

Wir erstellen komplette Web-Auftritte, bieten aber auch Support für bestehende WordPress-Websites. Unsere Spezialgebiete sind mehrsprachige Websites mit WordPress sowie die Integration von individuellen Datenbanken mit Toolset.