Wordpress und DSGVO

Dokumentation der Anpassungen meiner Wordpress-Internetseiten im Hinblick auf die am 25. Mai 2018 in Kraft tretende EU-Datenschutzverordnung

Johannes Kübler (grundschulmann@kueblernet.de)
Stand: 02.05.2018

https://mirrors.creativecommons.org/presskit/buttons/88x31/png/cc-zero.png

Diese Datei wurde unter der Lizenz „Creative Commons Zero“ in Version 1.0 (abgekürzt „CC-0 1.0“) veröffentlicht. Den rechtsverbindlichen Lizenzvertrag finden Sie unter http://creativecommons.org/publicdomain/zero/1.0/legalcode.

Achtung!

Diese Datei stellt keine Rechtsbelehrung dar. Der Autor ist kein Jurist. Für die Richtigkeit und Vollständigkeit wird keine Garantie übernommen. Die Informationen beziehen sich auf eine Wordpress-Seite des Autors und können evtl. nicht problemlos auf andere Internetseiten übertragen werden.


Vorwort        3

Weitergabe personenbezogener Daten unterbinden        4

Rechtliche Grundlage        4

Analyse der Internetseite        4

Referrer Policy        5

Google-Fonts        6

Google Fonts selbst hosten        6

Auf Systemschriftarten zurückgreifen        7

Plugin-Lösungen        7

Captcha        8

Google Kalender        9

Akismet (Wordpress Spam Protection)        10

iFrames        10

Wordpress-Emojis        11

Font Awesome        11

Gravatar        12

Cookies        12

Verarbeitung personenbezogener daten        13

Rechtliche Grundlagen        13

SSL        13

Kontaktformulare        14

Rechtmäßigkeit und Transparenz        14

Zweckbindung und Speicherbegrenzung        14

Datenminimierung        15

Integrität und Vertraulichkeit        15

Fotos        15

Server-Log-Files beim Provider        16

Cookies im Backend von Wordpress        16

Datenschutzerklärung anpassen        17

Anlegen eines Verzeichnisses der Verarbeitungstätigkeiten        18


  1. Vorwort

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (kurz: DSGVO) in Kraft. Es handelt sich dabei um eine Verordnung der Europäischen Union und hat das Ziel einheitliche Regeln für alle Mitgliedstaaten festzulegen.

Viele Dinge, die die DSGVO regelt, sind nicht neu und bereits im Bundesdatenschutzgesetz (BDSG) geregelt. Eine gute Gegenüberstellung der Aspekte, die neu sind, und derjenigen, die bereits im BDSG geregelt wurden, findet sich auf datenschutz.org[1].

Als Verantwortlicher mehrerer Wordpress-Seiten waren für mich vor allem folgende Neuregelungen wichtig:

  • Es wird eindeutig definiert, was personenbezogene Daten sind. So handelt es sich nun auch bei IP-Adressen um personenbezogene Daten.
  • Personen müssen der Verarbeitung ihrer Daten zustimmen und diese Zustimmung muss ggf. vorgezeigt werden können. Für diese Regelung gibt es Ausnahmen, die geprüft werden müssen.
  • Die Rechte der Betroffenen wurden gestärkt.

Diese Datei entstand als Dokumentation der Änderungen und Maßnahmen, die ich an selbst-gehosteten Wordpress-Seiten vorgenommen habe, um der DSGVO zu entsprechen.

Bei allen Änderungen und Maßnahmen bin ich nach bestem Wissen und Gewissen vorgegangen. Ich bin allerdings kein Jurist. Daher stellt diese Datei keine Rechtsbelehrung dar. Für die Richtigkeit und Vollständigkeit wird keine Garantie übernommen. Die Informationen können evtl. nicht problemlos auf andere Internetseiten übertragen werden.

Ich habe mein Vorgehen folgendermaßen strukturiert:

  1. In einem ersten Schritt gilt es, die Verarbeitung personenbezogener Daten auf der Internetseite ausfindig zu machen, die Notwendigkeit zu prüfen und ggf. die Verarbeitung zu unterbinden. (vgl. Kapitel 2)
  2. Anschließend müssen die personenbezogenen Daten, die weiterhin auf der Internetseite verarbeitet werden, den Regelungen der DSGVO angepasst werden. (vgl. Kapitel 3)
  3. Außerdem müssen alle Besucher der Internetseite über diese Verarbeitung in Form einer Datenschutzerklärung informiert werden. Die bestehende musste auf Grundlage der DSGVO ergänzt werden. (vgl. Kapitel 4)
  4. Das Anlegen eines Verzeichnisses der Verarbeitungstätigkeiten schließt den Prozess ab. (vgl. Kapitel 5)



  1. Weitergabe personenbezogener Daten unterbinden

  1. Rechtliche Grundlage

Artikel 4 der DSGVO definiert personenbezogene Daten folgendermaßen:

alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen.[2]

Das schließt eindeutig auch IP-Adressen mit ein. Eine Weitergabe dieser Daten ist grundsätzlich erlaubt, solange einer der folgenden Gründe vorliegt, die in Artikel 6 Absatz 1 der DSGVO aufgezählt werden:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

[…]

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.[3]

Was genau die unter f) aufgeführten „berechtigten Interessen“ sind, ist bislang noch nicht klar und werden wohl erst Gerichte entscheiden müssen.

Nach Artikel 15 der DSGVO[4] haben Personen grundsätzlich das Recht auf Auskunft über die erhobenen Daten. Hier bietet es sich für Betreiber von Internetseiten an, so wenige Daten wie möglich zu erheben, um den Aufwand in Grenzen zu halten.

Gleiches gilt für das in Artikel 17 der DSGVO[5] beschrieben Recht auf Löschung („Recht auf Vergessenwerden“). Je weniger Daten von Personen erhoben werden, desto geringer ist der Aufwand im Falle eines entsprechenden Antrages.

Dazu kommt, dass nach Artikel 5 Absatz 2 der DSGVO[6] die Einwilligung der Person aufbewahrt und auf Verlangen vorgezeigt werden muss.

  1. Analyse der Internetseite

Das Ziel sollte also von Anfang an sein, so wenige Daten wie möglich auf der Internetseite zu verarbeiten. In meinem Fall wollte ich mich auf Folgendes beschränken: Daten aus Anfragen oder Anliegen aus Kontaktformularen, Fotos von Personen sowie Server-Log-Files beim Provider (vgl. Kapitel 3).

Auf der Internetadresse https://webbkoll.dataskydd.net/en findet man ein praktisches (und einfaches) Tool, das eine Internetseite im Hinblick auf wichtige Aspekte der DSGVO hin überprüft. Dies sind:

  • Sichere Verbindung (siehe Kapitel 3.2)
  • Referrer policy
  • Cookies
  • Third-party request
  • Third-parties contacted

Die Analyse der Startseite einer Wordpress-Seite zeigte mir bspw. folgendes Ergebnis:

hardtschule01

Es muss allerdings darauf geachtet werden, dass diese Analyse lediglich die Internetadresse überprüft, die man eingibt. Einige Plugins oder iFrames werden nur auf bestimmten Seiten geladen, die separat überprüft werden müssen. Hilfreich könnte an dieser Stelle auch die Liste mit Plugins, die Daten sammeln, von Finn Hillebrandt sein.[7] Hier wird eine Vielzahl an Wordpress-Plugins aufgelistet und in Bezug auf die DSGVO bewertet. Oft werden Lösungsmöglichkeiten angeboten.

Für erfahrene Benutzer sind auch die „Web-Entwickler-Tools“ von Firefox hilfreich, die eine genauere Analyse ermöglichen. Im Reiter „Netzwerkanalyse“ können Third-parties ausfindig gemacht werden. Cookies finden sich im Reiter „Web-Speicher“.

C:\Users\Jonny\AppData\Local\Microsoft\Windows\INetCache\Content.Word\firefox.png

Nach der ersten Analyse und Identifizierung von Seiten, Plugins und iFrames auf der Internetseite gilt es nun Maßnahmen zur Verbesserung zu ergreifen.

  1. Referrer Policy

Armin Hanisch schreibt:

Wenn Sie einen Link im Browser anklicken, dann wird der Browser im Normalfall die Adresse der gerade aktiven Seite an das Ziel des Links übertragen […]. Diese Information im Header des HTTP-Requests gibt also die vollständige Adresse preis, von der Sie kommen. Diese Information wird auch übertragen, wenn externe Quellen (z.B. Scripts oder Schriftarten) geladen werden. […]

Das ist ein datenschutztechnischer Alptraum (vor allem in Verbindung mit Cookies). Damit kann Ihr Surfverhalten nachvollzogen werden, es wird deutlich, dass Sie eine Seite für einen Versicherungsvergleich von der Seite einer Suchtberatung aus aufrufen und was Sie sich sonst noch alles ausmalen können. […][8]

Die Informationen zum Unterbinden dieses Vorgangs müssen im <head>-Tag der Homepage stehen. Das ist grundsätzlich nicht schwierig. Bei Wordpress besteht aber das Problem, dass diese Datei (in diesem Fall „header.php“) bei jedem Theme-Update von der aktuellen Version überschrieben wird. Dadurch müsste man den Code nach jedem Theme-Update neu einfügen oder ein Child-Theme für die folgenden zwei Zeilen Code anlegen.

Lösung:

Durch Installieren des Plugins Header, footer and posts injection[9] lässt sich auf jeder Seite im <head> Bereich folgender Code einfügen:

<!-- Referrer policy -->
        <meta name="referrer" content="same-origin">

Damit wird die Weitergabe der URL unterbunden, außer man bewegt sich in der gleichen Domain.

Eine erneute  Überprüfung auf https://webbkoll.dataskydd.net/en/ zeigte anhand des grünen Regenschirms, dass der Code erfolgreich funktioniert.

C:\Users\Jonny\AppData\Local\Microsoft\Windows\INetCache\Content.Word\referrer.png

  1. Google-Fonts

Thomas Jansen schreibt:

Google Fonts ist auch ein Problem, man mag es kaum glauben. Immer wenn ein User die Seite in seinem Browser öffnet, wird bei Google Fonts nachgeschaut, ob es Änderungen an dem Font gegeben hat. Dabei werden wohl Daten des Lesers (IP-Adresse, Browser-Verlauf, u.Ä.) übertragen. Super, damit ein NoGo aus Sicht des Datenschutzes.[10]

Beim Check der Homepage auf https://webbkoll.dataskydd.net/en findet sich in den Details zu den Drittanbietern evtl. folgendes:

googlefonts2

Hier wird eine Verbindung zu „fonts.googleapis.com“ hergestellt, um von dort eine oder mehrere Schriftarten zu laden. Um dies zu unterbinden, bin ich bei meinen Recherchen auf verschiedene Lösungsansätze gestoßen. Im Folgenden stelle ich sie kurz vor und begründe, warum ich mich für den dritten Ansatz entschieden habe:

  1. Google Fonts selbst hosten

Diese Lösung ist wohl die am weitesten verbreitete im Netz.[11] Dabei wird die verwendete Schriftart mit Hilfe von Google Webfonts Helper[12] in ein passendes Dateiformat umgewandelt und heruntergeladen. Der passende CSS-Code  wird direkt mitgeliefert. Dieser Code muss nun in das Wordpress-Theme eingefügt werden. Google selbst empfiehlt diesen Weg nicht[13], aber da unterstelle ich eigene Interessen.

Die erste Hürde bei dieser Lösung besteht darin, herauszufinden, welche Schriftarten überhaupt verwendet werden. In meinem Fall handelte es sich um die Schrift Roboto[14], die unter der Apache Licence, Version 2[15] veröffentlicht wurde. Achtung: Die Lizenz muss für jede Schriftart überprüft werden.

Google selbst schreibt über die Lizenzen seiner Schriften:

All fonts are released under open source licenses. You can use them in any non-commercial or commercial project. With so many unique fonts to use, you're bound to find something you like![16]

Im Text der Apache Licence, Version 2 steht unter Punkt 4, dass Änderungen angefertigt werden dürfen. In diesem Falle müssen jedoch Namen und Urheber genannte werden. Genaue Angaben finden sich in der deutschen Übersetzung der Lizenz.[17]

Ob nun die oben genannte Änderung des Dateiformats durch den Google Webfonts Helper als Änderung definiert wird und daher unter Punkt 4 der Lizenz fällt, ist fraglich und konnte ich nicht klären.

Auch Britta Krettschmer merkt diesen Punkt in ihrem Artikel kritisch an:

Schließlich sollte man sich vorher auch die Lizenz genau anschauen. Die müssen Sie auf jeden Fall auch veröffentlichen. Und je nach Lizenz müssen Sie den Font vor der Veröffentlichung sogar umbenennen, weil sie durch das Erstellen der woff-Dateien eine Bearbeitung vorgenommen haben[18].

Letztendlich darf nicht vergessen werden, dass das zur Verfügung stellen der Schriftart auf dem eigenen Server Ressourcen verbraucht, sprich: Die Performance der Internetseite wird dadurch nicht besser. Auch der Speicherplatz ist nicht zu unterschätzen.

  1. Auf Systemschriftarten zurückgreifen

Für mich ist das die sauberste Lösung, da komplett auf Google verzichtet wird und auch keine Plugins zum Einsatz kommen: Dabei werden die CSS-Dateien des Wordpress-Themes umgeschrieben. Die Google-Fonts werden komplett entfernt und es wird auf sogenannte Systemschriftarten zurückgegriffen, sprich: Schriftarten, die auf nahezu allen Geräten standardmäßig installiert sind (z.B. Arial).

Für die Durchführung dieser Lösung sollten mehr als Grundkenntnisse mit CSS-Dateien und Wordpress vorhanden sein. Zum anderen sollte hierfür ein Child-Theme angelegt werden, um ein Überschreiben der Dateien bei einem Theme-Update zu unterbinden. Anschließend müssen in den CSS-Dateien alle Verweise auf Google Fonts gefunden und in eine beliebige Systemschriftart umgeschrieben werden. Der Zeitaufwand darf hierbei nicht vernachlässigt werden.

Komplizierter wird es, wenn die Schriftarten nicht über die style.css, sondern über die functions.php eingebunden werden. Ellen Bauer beschreibt diese Möglichkeit in ihrem Artikel[19] sogar als Empfehlung für Entwickler.

  1. Plugin-Lösungen

Als ich von dem Plugin Disable Google Fonts[20] las, versprach das die wohl einfachste Lösung zu sein. Bei näherer Betrachtung, kommt dieses Plugin aber nur für die wenigsten Internetseiten in Frage.

Britta Kretschmer schreibt dazu:

Allerdings ist das Plugin seit der WordPress Version 4.6, die keine Google Fonts für das Backend mehr nutzt, nur noch bedingt hilfreich. Denn für das Frontend ist das aktive Theme zuständig. […] Wenn Sie eines der Standardthemes (Twenty Thirteen bis Twenty Seventeen) nutzen und für Ihr WordPress Google Fonts deaktivieren wollen, funktioniert Disable Google Fonts perfekt. […] Wenn Sie ein anderes Theme nutzen, hilft Ihnen das Plugin auch nicht weiter.[21]

Lösung:

Ich stieß dann ebenfalls über die Seite von Britta Kretschmer auf das Plugin Autoptimze[22], das als Nebeneffekt die Verbindung zu Google Fonts kappen kann. Wenn man weiß, wie man das Plugin einstellen muss (vgl. meine Supportanfrage im Forum des Plugins[23]) funktioniert es wunderbar. Bei einem erneuten Check der Seite auf https://webbkoll.dataskydd.net/en gibt es keinen Kontakt mehr zu Google:

Wichtig: In den erweiterten Einstellungen des Plugins sollte der Ordner „wp-content“ von der Optimierung ausgeschlossen werden. Dies verhindert eine Veränderung des Layouts.

Aber welche Schriftart wird nun angezeigt? Britta Kretschmer erklärt diesen Vorgang folgendermaßen:

Jedes Theme definiert in seiner style.css sogenannte Fallbacks. Das heißt, es legt fest, was passieren soll, falls der Service von Google Fonts mal ausfallen sollte. Im Fall von Twenty Seventeen sind das die Systemfonts Helvetica Neue, Helvetica, Arial sowie sans-serif, das heißt die auf dem jeweiligen Rechner festgelegte Schriftart ohne Serifen.[24]

  1. Captcha

Auf vielen Internetseiten wird ein Plugin zum Erstellen von Kontaktformularen verwendet, die eine niederschwellige Möglichkeit der Kontaktaufnahme bieten. Ich beziehe mich hierbei auf das von mir verwendete Plugin Contact Form 7[25]. Um Spam über diese Formulare zu vermeiden, kommt das Google reCaptcha[26] oft zum Einsatz, das natürlich eine Verbindung zu Google herstellt. Bei weiterer Recherche stellte ich fest, dass man schon viel länger auf Googles Captcha hätte verzichten sollen.

Mark Kuketz beschreibt Googles reCaptcha als „Datenstaubsauger“:

Hier die vorläufigen Ergebnisse, was Google ermittelt:

  • Von welcher Seite der CAPTCHA eingebunden wird
  • User-Agent des Browsers
  • IP-Adresse des Anschlusses
  • Bildschirm- und Fensterauflösung
  • Eingestellte Sprache im Browser
  • Zeitzone
  • Installierte Browser Plugins
  • Es wird geprüft, ob ein Google Cookie im Browser abgelegt wurde – Falls nein: Es wird ein Cookie angelegt

Es wird also via JavaScript ein kompletter Fingerprint eures Browsers erstellt, der es zulässt, dass ihr auf anderen Seiten wiederkannt werden könnt. Damit ist also seitenübergreifendes Tracking möglich, auch falls die IP-Adresse wechselt oder Cookies gelöscht werden.[27]

Kontaktformulare sollten aber dennoch gegen Spambots abgesichert sein. Ich stieß ich auf einen Artikel von Lars Mielke:

CF7 bietet von Haus aus ein Quiz Feld an, das konzeptionell wie ein Captcha arbeitet. Es ist textbasiert und der Nutzer muss die richtige Antwort auf die Frage eingeben. Frage und Antwort können vom Formularersteller individuell festgelegt werden. Auch mehrere Fragen sind möglich, die dann durchrotieren. Vorteil: die Methode ist relativ effektiv und nicht so kryptisch wie manch verzerrtes Captcha-Bild. Nachteil: die Nutzer müssen dennoch ein zusätzliches Feld ausfüllen, was die Hemmschwelle heraufsetzen kann.[28]

Lösung:

Mit Contact Form 7 lassen sich also Sicherheitsfragen in ein Formular einbauen, ohne ein weiteres Plugin zu installieren. Die Funktion nennt sich Quiz.[29] Einziger Nachteil an dieser Lösung ist, dass man die Sicherheitsfragen selbst formulieren muss.  

Anmerkung: Neben Googles reCaptcha gibt es natürlich noch andere Captcha-Lösungen. Diese sollten allerdings jeweils einzeln überprüft werden. Ich stieß schnell auf das Plugin Math Captcha[30]. Es ist kompatibel zu Contact Form 7 und zeigt dem Besucher eine einfache Rechenaufgabe, die er vor dem Absenden des Formulars beantworten muss. Ein Kontakt zu anderen Internetseiten findet hier nicht mehr statt. Allerdings musste ich nach der Installation feststellen, dass dieses Plugin mehrere Cookies setzt. Da ich auf Cookies komplett verzichten wollte, schied diese Lösung nachträglich aus.

Eine weitere interessante Lösung zeigt ebenfalls Lars Mielke:

In Foren und Artikeln zu WordPress Formularen bin ich dann auf das Contact Form 7 Honeypot Plugin[31] aufmerksam geworden. Nach dem Installieren und Aktivieren des Plugins steht in der Tag-Liste von CF7 ein neuer Tag „Honeypot“ zur Verfügung. Der dort generierte Shortcode wird einfach in das Formular eingefügt (Position usw. egal). Im Frontend wird das Element optisch durch visibility:hidden und display:none versteckt, nur die SPAM-Bots registrieren das Feld und füllen es aus; was ihr großer Fehler ist – weil sie dadurch als Spammer erkannt und gebannt werden.[32]

  1. Google Kalender

Ich verwende das Plugin Simple Calendar[33], um einen öffentlichen Google Kalender auf Internetseiten einzubinden. Für mich war eigentlich klar, dass hier eine Verbindung zu Google hergestellt werden muss. Überraschenderweise ist dies nicht der Fall – die Analyse durch https://webbkoll.dataskydd.net/en/ und über die Web-Entwickler-Tools von Firefox blieben jeweils negativ.

Wie kommen allerdings die Termine von Google auf unsere Wordpress-Seite? Frank Stürzebecher antwortete mir auf diese Frage folgendes:

Der Kalender wird bestimmt über die HTTP-API von WordPress mittels Cronjob aktualisiert. Diese API-Anfragen sieht man weder in Ghostery noch in der Browser-Konsole. Du kannst das Plugin „Snitch“ nutzen, eine Zeit laufen lassen und dann siehst du alle über die API versendeten Daten. Allerdings gibt es gemeine Pugins, die curl verwenden und damit die WordPress-HTTP-API umgehen. Die würde man selbst mit Snitch nicht entdecken.Weitere Hilfe kann das Plugin Crontrol geben, das dir in die Cronjobs Einblick verschafft.[34]

Eine Überprüfung der Wordpress-Datenbank brachte auch kein Licht ins Dunkel. Es wird keine Datenbank angelegt, in der die Termine gespeichert werden.

Auch das angesprochene Plugin Crontrol[35] brachte keine weiteren Informationen. Daher brach ich die weitere Suche ab und begnügte mich damit, dass für den Besucher der Seite keine Verbindung zu Google hergestellt wird.

Lösung:

Aufgrund dieser Tatsache gehe ich davon aus, dass hier keine Anpassungen notwendig sind. Allerdings konnte nicht endgültig geklärt werden, wie die Termine von Google auf unsere Homepage wandern. Es muss auch darauf geachtet werden, dass in den Terminen keine Adressen, Namen oder andere personenbezogene Daten eingetragen werden.

  1. Akismet (Wordpress Spam Protection)

Das Plugin Akismet[36] ist standardmäßig bei jeder Wordpress-Installation dabei. Es hat das Ziel, Spam-Kommentare zu verhindern. Dabei werden Daten des Benutzers (IP-Adresse, Kommentarname, …) zu einem Server gesendet und dort mit einer globalen Datenbank abgeglichen.[37] Dieser Vorgang ist datenschutzrechtlich mindestens kritisch zu sehen.

Lösung:

Das Plugin war bereits deaktiviert, da ich auf die Kommentarfunktion grundsätzlich verzichte. Nachträglich wurde dasPlugin komplett gelöscht.

  1. iFrames

Über iFrames werden Inhalte externer Seiten direkt auf der Internetseite eingebunden. Ein häufiges Bespiel sind Youtube-Videos, die direkt abgespielt werden können. Sie werden mithilfe von iFrames auf der Seite eingebettet.

Martina Honecker schreibt dazu auf Ihrem Blog:

Wenn Du Inhalte fremder Websites als sogenannte Embeds in Deine Website einbindest, beispielsweise über iFrames, dann werden auch Daten Deiner Nutzer an die jeweilige Website übertragen.[38]

Auf der Internetseite www.webseitenschutzpaket.de findet sich dazu folgende Empfehlung:

Externe Inhalte sollten nicht per IFRAME eingebunden werden, wenn es andere Möglichkeiten gibt. Denn der Seitenbetreiber hat letztendlich keine Kontrolle über die externen Inhalte.[39]

Auf einer Internetseite war ich eine Karte von Openstreetmap per iFrame eingebunden. Beim Check mit https://webbkoll.dataskydd.net/en bekam ich erwartungsgemäß folgendes Ergebnis:

iframe

Zwar unterstelle ich dem freien Projekt OpenStreetMap keine Spionagetätigkeiten wie Google und Co. Dennoch werden auch hierbei persönliche Daten wie die IP-Adresse übertragen. Dies müsste zumindest in der Datenschutzerklärung vermerkt werden, was ich vermeiden wollte.

Lösung:

Als Ersatz für den iFrame fügte ich den Kartenausschnitt von OpenStreetMap als Bild ein  und verlinkte ihn direkt auf die Karte. Besucher müssen für den Service einer zoombaren Karte  nun einen Klick mehr in Kauf nehmen.

  1. Wordpress-Emojis

Britta Kretschmer schreibt:

Seit der Version 4.2 verfügt WordPress über eine Funktion, die dafür sorgt, dass das System Emojis von zwei externen Servern in den Head-Bereich einer jeden WordPress Website lädt. Somit landen die IP-Adressen derjenigen, die eine solche Website besuchen, auf diesen beiden externen Servern.[40]

Lösung:

Das Thema Wordpress-Emojis war die von mir verwalteten Internetseiten nicht relevant, da dies nur in Kommentaren erfolgt und diese Funktion deaktiviert ist. Mit dem Plugin Autoptimize[41] (siehe Kapitel 2.4) ließ sich der Kontakt zu den Automattic-Servern von Wordpress vorsorglich aber trotzdem sperren.

  1. Font Awesome

Auch die beliebte Icon-Schriftart Font Awesome könnte von der DSGVO betroffen sein. Mit dieser Schriftart lässt sich eine Vielzahl von Symbolen einfach auf einer Internetseite einfügen, zum Beispiel für Kontakte:

fontawesome

Technisch funktioniert das Einbinden analog zu den Google Fonts (siehe Kapitel 2.4). Im Internet konnte ich aber keine Aussagen finden, ob die Server der Schriftart Zugriffe aufzeichnen bzw. ob das datenschutzrechtlich relevant sein könnte.

Marian Heddesheimer schreibt jedoch in einem Kommentar:

[…] Seit ich Elementor als Page-Builder einsetze, muss ich mir da keine Gedanken mehr machen, die binden Fontawesome über die eigene WordPress-Installation mit ein. […][42]

Lösung:

Ich verwende die Icons der Schriftart gerne und möchte nicht darauf verzichten. Und wir verwenden auch das oben genannte Plugin Elementor[43]. Der Check auf https://webbkoll.dataskydd.net/en ergibt tatsächlich keine Verbindung zu Font Awesome, was Heddesheimers Aussage bestätigt.

  1. Gravatar

Britta Kretschmer erklärt in einfachen Worten, was Gravatar ist:

Der Sinn von Gravatar ist es, mit der eigenen E-Mail-Adresse ein Bild zu verknüpfen. Wann immer Sie nun auf einer WordPress Website einen Kommentar schreiben und dabei diese E-Mail-Adresse nutzen, erscheint neben Ihrem Namen auch Ihr Bild. Oder auf Neudeutsch: Ihr Avatar.[44]

Lösung:

Dadurch, dass auf meinen Internetseiten die Kommentarfunktion deaktiviert ist, wird keine Verbindung zu den Automattic-Servern von Wordpress hergestellt. Dennoch ist es ratsam, die Funktion vorsichtshalber zu deaktivieren.

Das Deaktivieren der Funktion war denkbar einfach. Im Wordpress-Backend musste unter dem Menüpunkt „Einstellungen => Diskussion“ die Checkbox „Avatare anzeigen“ deaktiviert werden.

  1. Cookies

Cookies haben in erster Linie nichts mit der DSGVO zu tun, sondern mit der ePrivacy-Verordnung, die voraussichtlich erst 2019 in Kraft tritt. Thomas Schwenke schreibt dazu:

Für die ePrivacy-VO ist es egal, ob es anonyme oder personenbezogene Daten sind, die in einem Cookie gespeichert werden. Der Grund ist, dass der Gesetzgeber die Geräte der Nutzer generell zu einer besonders schützenswerten Privatsphäre erklärt.

Nur wenn das Cookie notwendig ist, z.B. Session-Cookie für den Login-Status oder ein Warenkorb, bedarf es keiner Einwilligung. Ebenfalls keiner Einwilligung bedürfen Webanalysen oder Reichweitenmessung, die selbst durchgeführt werden.[45]

Wordpress setzt standardmäßig im Frontend keine Cookies, außer wenn Besucher sich anmelden können. Dies ist auf meinen Seite nicht der Fall. Andere Anwendungen, wie bspw. ein Shop oder Webanalysen, für die Cookies notwendig wären, gibt es ebenfalls nicht. Lediglich für Administratoren im Backend von Wordpress werden Session-Cookies während dem Login benötigt.

Dennoch findet die Web-Analyse auf Internetseiten immer wieder Cookie, die für Besucher gesetzt werden.

Lösung:

Deshalb gilt es herauszufinden, welches Wordpress-Plugin das Cookie setzt. Einfachste Methode ist hierbei, die Plugins einzeln zu deaktivieren und anschließend jeweils eine weitere Analyse über https://webbkoll.dataskydd.net/en durchzuführen. So können die Verursacher identifiziert und es kann nach einer Alternative gesucht werden.

Werden keine Cookies mehr gesetzt, kann das von vielen verwendete Plugin Cookie Notice[46] deinstalliert werden. Es informierte bislang die Besucher am Rand der Internetseite darüber, dass Cookies verwendet werden. Mit einem Verweis auf die Datenschutzerklärung konnten Besucher dieser Information zustimmen.


  1. Verarbeitung personenbezogener daten

  1. Rechtliche Grundlagen

Nachdem die Weitergabe und Verarbeitung personenbezogener Daten so weit wie möglich unterbunden wurde, gilt es nun einen Blick auf die Daten zu werfen, die auch weiterhin auf der Internetseite verarbeitet werden (sollen). In meinem Fall waren dies:

  • Kontaktformulare
  • Fotos
  • Server-Log-Files des Providers
  • Cookies im Backend von Wordpress

In Artikel 5 DSGVO[47] werden die Grundsätze der Verarbeitung personenbezogener Daten genannt:

  • Rechtmäßigkeit und Transparenz: Wann Daten rechtmäßig erhoben werden dürfen, ist in Art. 6 der DSGVO geregelt (siehe auch Kapitel 2.1). Zu nennen wären hier die Einwilligung der betreffenden Person sowie die rechtliche Verpflichtung.
  • Zweckbindung: Die Daten dürfen nur für den Zweck verwendet werden, für den sie auch erhoben wurden.
  • Datenminimierung: Es ist darauf zu achten, dass nur die Daten erhoben werden, die wirklich für den Zweck nötig sind.
  • Richtigkeit
  • Speicherbegrenzung: Daten sollen nur so lange gespeichert werden, wie sie auch benötigt werden.
  • Integrität und Vertraulichkeit: Die Verarbeitung der Daten muss eine ausreichende Sicherheit gewährleisten, sodass Dritte nicht darauf zugreifen können.
  1. SSL

Bereits seit 2016 ist im Telemediengesetz in § 13 Absatz 7 geregelt, dass ein Webseitenbetreiber ein Verschlüsselungsverfahren einsetzen muss, um personenbezogene Daten zu übermitteln.[48] Die Regelungen der DSGVO zur Integrität und Vertraulichkeit in Artikel 5 (siehe Kapitel 3.1) sind also nicht neu.

Auch wenn gar keine Daten auf der Internetseite verarbeitet werden, so hat eine SSL-Verbindung dennoch Vorteile: Denn seit einiger Zeit erhalten Ergebnisse mit sicherer Verbindung bei Suchmaschinen einen höheren Rang als Ergebnisse ohne.

 Bei der Umstellung der Wordpress-Seite auf SSL habe ich mich an die Anleitung von Sonia Rieder gehalten:

  • SSL-Zertifikat kaufen und zuweisen
  • Wordpress-Admin auf SSL umstellen
  • Wordpress Adresse ändern
  • URLs ersetzen
  • Umleitung von http auf https einrichten[49]

Lediglich beim Punkt „URLs ersetzen“ wollte ich nicht auf ein Plugin zurückgreifen und habe die Änderungen direkt in der Datenbank mit Hilfe des Befehls „Suchen und ersetzen“ vorgenommen. Eine Anleitung habe ich bei der Webmaster-Zentrale gefunden.[50]

Beim Aufruf der Seite erscheint nun in der Adresszeile des Browsers (hier Firefox) folgendes Symbol:

ssl1

  1. Kontaktformulare

Viele wollen nicht auf ein Kontaktformular verzichten, da es ein niederschwelliges Angebot zur Kontaktaufnahme darstellt. Email-Adresse sowie Vorname und Nachname des Absenders werden in die Formularfelder eingetragen und abgeschickt. Diese Daten landen dann auf einem Email-Server und sind dort gespeichert. Bei einem Kontaktformular handelt es sich also um eine Verarbeitung personenbezogener Daten. Daher sind die Grundsätze aus Kapitel 3.1 zu beachten:

  1. Rechtmäßigkeit und Transparenz

Dies ist nur gewährleistet, wenn der Absender aktiv der Verarbeitung seiner Daten zustimmt. Er benötigt auch einen Hinweis, was mit den verarbeiteten Daten geschieht (Link zur Datenschutzerklärung).

Lösung:

Eine Checkbox muss her! Der Benutzer muss einen Haken setzen, dass er mit der Verarbeitung der Daten einverstanden ist. Die lässt sich mit dem Plugin WP GDPR Compliance[51] einrichten. Doch auch das von mir eingesetzte Kontaktformular-Plugin Contact Form 7[52] bietet die Möglichkeit eine Check-Box einzufügen[53]. Ich verzichtete also auf die Installation eines zusätzlichen Plugins und fügte folgenden Code in die Formulare ein:

[acceptance accept-this] TEXT [/acceptance]

Durch diesen Code lässt sich das Kontaktformular nur absenden, wenn die Checkbox aktiviert wurde. Im Ergebnis sieht es so aus:

C:\Users\Jonny\AppData\Local\Microsoft\Windows\INetCache\Content.Word\contact1.png

Die Email ist also gleichzeitig der Nachweis, dass der Besucher in die Verarbeitung seiner Daten eingewilligt hat. Um dies deutlich zu machen, wird von nun an folgender Hinweis am Ende der Emails angezeigt:

„Der Absender hat ausdrücklich in die Speicherung seiner Daten eingewilligt. Diese Email dient als Nachweis dieser Einwilligung und muss während der Speicherung der Daten auf Verlangen vorgezeigt werden können.“

  1. Zweckbindung und Speicherbegrenzung

Die Daten aus dem Kontaktformular dürfen nur für die vom Benutzer gestellte Anfrage verwendet und müssen danach gelöscht werden. Email-Adressen dürfen nicht gespeichert und für andere Zwecke (bspw. einen Newsletter) verwendet werden. Da die Daten per Email versendet und nicht auf der Internetseite gespeichert werden, kann das Löschen nur durch die Person erfolgen, die die Email erhält.

Dieser Sachverhalt beinhaltet gleichzeitig auch den Grundsatz der „Speicherbegrenzung“, der besagt, dass Daten nur so lange gespeichert werden müssen, wie sie benötigt werden.

Lösung:

Die Verantwortung liegt beim Empfänger der Nachricht und kann vom Webseitenbetreiber nicht immer ohne weiteres überprüft werden. Man kann allerdings die Nachricht, die vom Formular versendet wird, bearbeiten und dort für den Empfänger folgenden Hinweis platzieren:

„Die Daten in der dieser Email  unterliegen der Zweckbindung und Speicherbegrenzung nach Art. 5 DSGVO. Sie dürfen nur für die Dauer dieses Anliegens und auch nur für dieses Anliegen gespeichert werden. Anschließend muss die Email gelöscht werden.“

  1. Datenminimierung

Es dürfen nur die wirklich erforderlichen Daten erhoben werden. Freiwillige Angaben darf der Benutzer jederzeit machen.

Lösung:

Alle Formulare sollten in Hinblick auf die Datenminimierung überprüft werden. Pflichtfeld ist bei mir jeweils der Name, um die Person im Falle einer Antwort ansprechen zu können. Außerdem muss die Email-Adresse angegeben werden, um auf das Anliegen antworten zu können.

  1. Integrität und Vertraulichkeit

Die in der DSGVO geforderte „Sicherheit und Integrität“ ist bereits durch die SSL-Verschlüsselung (siehe Kapitel 3.2) gewährleistet.

  1. Fotos

Zur Außendarstellung werden auf Internetseiten z.B. Fotos von Mitarbeitern, z.B. im Rahmen des Berichts eines Betriebsausfluges. Auch Fotos sind personenbezogene Daten. Eine Veröffentlichung darf daher nur mit Einwilligung geschehen. Diese Regelung ist nicht neu und war bislang schon durch das Persönlichkeitsrecht „Recht am eigenen Bild“ abgedeckt.[54] Allerdings scheint die DSGVO dieses Gesetz noch zu verschärfen, wie Jörg Heinrich schreibt:

Mit der neuen DSGVO wird jedes digitale Foto, auf dem Personen zu erkennen sind, zu einer "Datenerhebung". […] Ohne Einwilligung der abgebildeten Personen dürfen künftig nur noch Mitglieder der "institutionalisierten" Presse und des Rundfunks, also beispielsweise fest angestellte Fotografen, solche Bilder anfertigen und veröffentlichen. Freie Fotografen, Blogger oder auch Amateure, die Handyfotos auf der Straße schießen, brauchen eine Einwilligung der abgebildeten Personen – was in aller Regel völlig unrealistisch ist. Dabei müssen die Fotos nicht einmal auf Plattformen wie Instagram oder Facebook veröffentlicht werden. Schon die Aufnahme zählt als Datenerhebung und fällt damit unter die DSGVO. Der Datenschutzrechtler David Seiler aus Cottbus erklärt: "Das Fotografieren einer Person stellt eine Erhebung personenbezogener Daten dar: wie die Person aussieht, Alter, Geschlecht, Rasse, Ort und Datum der Aufnahme, Umstände der Aufnahme wie zum Beispiel Besuch einer Veranstaltung, Zusammensein mit anderen Personen etc."[55]

War es bislang nach § 23 KunstUrhG erlaubt, Fotos mit Personen zu veröffentlichen, die im Bild nur als „Beiwerk“ auftreten, so scheint die DSGVO diesen Sachverhalt wohl enger zu sehen. Wie sich dieses Dilemma auflösen wird, werden wohl erst Gerichte entscheiden müssen. Dennoch sollte der Sachverhalt  bei der Veröffentlichung von Fotos zunächst beachtet werden!

Außerdem muss beachtet werden, dass nach Artikel 8 DSGVO die Daten (in diesem Fall Fotos) von Kindern besonderen Schutz genießen.[56]

Lösung:

Rechtmäßigkeit und Transparenz: Von allen beteiligten Personen (Lehrer, Schüler, Mitarbeiter) müssen Einverständniserklärungen bzw. Ablehnungen vorliegen. Bei der Veröffentlichung von Fotos werden diese beachtet. Personen, die ihr Einverständnis nicht gegeben haben, werden auf Fotos unkenntlich gemacht.

Sicherheit, Integrität und Datenminimierung: Vor allem bei Kindern sollte darauf geachtet werden, dass bei den Fotos keine Zuordnung von Namen möglich ist - z.B. durch den Verzicht von Einzelfotos bei Kinder oder die Nennung von Namen in Bezug auf Fotos. 

Zweckbindung und Speicherbegrenzung: Berichte werden oft durch Fotos ergänzt. Sie sollen die Besucher der Internetseite über die aktuellen Aktivitäten informieren. Die Zweckbindung dieser Fotos entfällt oftmals schon wenige Jahre nach Veröffentlichung. Hier sollte vereinbart werden, wann die Berichte und die zugehörigen Fotos gelöscht werden. Anders sieht es bei Fotos der Mitarbeiter aus. Hier entfällt die Zweckbindung meiner Meinung nach erst mit Verlassen des Betriebs oder der Einrichtung.

  1. Server-Log-Files beim Provider

Auch der Provider, der den Speicherplatz für die Internetseite zur Verfügung stellt, speichert Daten des Benutzers – er muss dies sogar. Thomas Jansen schreibt dazu:

Natürlich speichert auch unser Hoster, also der Provider wo unsere Seite läuft, Daten der Webseitenbesucher, und zwar die IP-Adressen. Soweit wir wissen, ist ein Provider auch verpflichtet, diese Daten eine Zeit lang zu speichern. Für uns war das immer selbstverständlich, wurde selbstverständlich auch immer in der Datenschutzerklärung beschrieben. Auf die Idee, mit dem Hoster auch ein Abkommen zur Auftragsdatenverarbeitung zu schliessen, darauf sind wir nicht gekommen.[57]

Er nimmt damit Bezug auf Art. 28 Absatz 3 DSGVO:

Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind.[58]

Ich verstehe diesen Sachverhalt folgendermaßen: Der Provider stellt Speicherplatz zur Verfügung und muss in diesem Falle Server-Log-Files erstellen und eine bestimmte Zeit aufbewahren. Als Kunde kaufe ich mir diesen Service. Der Provider handelt damit in meinem Auftrag.

Lösung:

Ein Vertrag zur Auftragsdatenverarbeitung lag mit unserem Provider bereits vor. Ansonsten hätte man diesen direkt beim Provider anfordern müssen. Für die Speicherung, Verschlüsselung und den Datenschutz der Logfiles ist deshalb der Provider zuständig. Ein Hinweis in der Datenschutzerklärung darf dennoch nicht fehlen.

Auf Anfrage erhielt ich vom Provider die Information, dass folgende Daten in den Server-Log-Files für 30 Tage gespeichert werden: Browsertyp, IP-Adresse des zugreifenden Rechners, Uhrzeit/Datum der Serveranfrage, aufgerufene URL

  1. Cookies im Backend von Wordpress

Für Besucher der Internetseite werden keine Cookies gesetzt (vgl. Kapitel 2.12). Auf den Verwaltungsseiten („Backend“) von Wordpress werden aber weiterhin Cookies verwendet – sie sind für den Anmeldeprozess sogar zwingend notwendig.

Die Login-Seite für das Backend kann theoretisch von jedem aufgerufen werden (www.url.de/wp-admin). Beim Aufruf dieser Seite wird ein Cookie mit dem Namen „wordpress_test_cookie“ angelegt, bei der Anmeldung im Backend kommen weitere Cookies hinzu. Darüber muss in der Datenschutzerklärung aufgeklärt werden. Orientiert habe ich mich hierbei an der Datenschutzerklärung der Firma amv[59], die alle Backend-Cookies mit Speicherdauer aufgelistet hat.


  1. Datenschutzerklärung anpassen

Die Speicherung und Verarbeitung personenbezogener Daten wurde auf ein Minimum reduziert. Die Erhebung von Daten aus Kontaktformularen, in Fotos und in Server-Log-Files wurde ggf. den aktuellen Regelungen angepasst. Die Nutzer der Internetseite müssen in der Datenschutzerklärung über diese Erhebungen aufgeklärt werden.

Zugrunde liegen sollten hierbei die Informationen aus Artikel 13 DSGVO[60]. Demnach soll der Benutzer über folgende Dinge informiert werden:

  • Name und Kontaktdaten des Verantwortlichen, ggf. auch die Kontaktdaten des Datenschutzbeauftragten
  • Zwecke, für die die Daten verarbeitet werden, evtl. auch die berechtigen Interessen (vgl. Artikel 6 DSGVO)
  • ggf. die Empfänger der Daten
  • ggf. die Absicht, die Daten an Drittländer weiterzugeben
  • die Dauer, für die die Daten gespeichert werden
  • Information über Auskunftsrecht bzw. das Recht eine gegebene Einwilligung jederzeit zur widerrufen
  • Information über Beschwerderecht bei einer Aufsichtsbehörde
  • Information, ob die Bereitstellung der Daten gesetzlich vorgeschrieben ist
  • Information über automatische Entscheidungsfindung einschließlich Profiling (vgl. Artikel 22 Absatz 1 und 4)

Lösung:

Im Internet gibt es verschiedene Seiten, die einen „Datenschutzerklärung-Generator“ anbieten. Allerdings sollten alle Informationen nicht blind in die Seite übernommen werden. Sie müssen evtl. angepasst werden.

Ich habe die bestehende Datenschutzerklärung auf Grundlage der Generatoren von https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de und https://datenschutz-generator.de/ und der Informationen aus der DSGVO angepasst. Einige Abschnitte versuchte ich, in einfacherer Sprache zu formulieren und zusammenzufassen.

Die Erreichbarkeit der Datenschutzerklärung und des Impressums ist in § 5 des Telemediengesetzes folgendermaßen geregelt:

Diensteanbieter haben für geschäftsmäßige, in der Regel gegen Entgelt angebotene Telemedien folgende Informationen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten:[61]

Die Datenschutzerklärung muss daher von jeder Seite aus über einen Link erreichbar sein, sie darf auch nicht durch Banner o.ä. verdeckt werden.


  1. Anlegen eines Verzeichnisses der Verarbeitungstätigkeiten

Artikel 30 Absatz 1 der DSGVO gibt vor:

Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.[62]

Demnach muss das Verzeichnis folgende Angaben beinhalten:

  • Name und Kontaktdaten des Verantwortlichen
  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen und personenbezogener Daten
  • Kategorien von Empfängern
  • ggf. Übermittlungen von Daten in ein Drittland
  • wenn möglich Fristen für die Löschung
  • wenn möglich eine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1

Die Vorgabe für das Anlegen eines Verzeichnisses wird allerdings in Absatz 5 durch folgende Formulierung eingeschränkt:

Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.[63]

Wichtig ist in diesem Zusammenhang jedoch, dass sich die Formulierung „nicht nur gelegentlich“ jeweils auf die komplette Einrichtung bezieht und nicht nur auf die Internetseite.

Lösung:

Das Anlegen eines Verzeichnisses der Verarbeitungstätigkeiten dauert nicht lange und ist grundsätzlich kein Fehler, auch wenn man durch Artikel 30 Absatz 5 evtl. von der Ausnahme betroffen ist. Ich habe mich bei der Erstellung an die Mustervorlagen des Bayrischen Landesamts für Datenschutzaufsicht orientiert[64].

 


[1]         vgl. „EU-Datenschutzgrundverordnung (DSGVO): Verbindliches Datenschutzrecht für alle!“, unter: https://www.datenschutz.org/eu-datenschutzgrundverordnung (abgerufen am .28.04.2018)

[2]         aus: Art. 4 DSGVO, unter: https://dsgvo-gesetz.de/art-4-dsgvo/ (abgerufen am: 23.04.2018)

[3]         aus: Art. 6 DSGVO, unter: https://dsgvo-gesetz.de/art-6-dsgvo/ (abgerufen am: 23..04.2018)

[4]         vgl. Art. 15 DSGVO, unter: https://dsgvo-gesetz.de/art-15-dsgvo/ (abgerufen am: 23.04.2018)

[5]         vgl. Art. 17 DSGVO, unter: https://dsgvo-gesetz.de/art-17-dsgvo/ (abgerufen am: 23.04.2018)

[6]         vgl. Art. 5 DSGVO, unter: https://dsgvo-gesetz.de/art-5-dsgvo/ (abgerufen am: 23.04.2018)

[7]         siehe https://www.blogmojo.de/wordpress-plugins-dsgvo/  (abgerufen am 01.05.2018)

[8]         aus: Hanisch, Armin: „Frühjahrsputz mit DSGVO“, unter: https://www.arminhanisch.de/2018/03/dsgvo-umstellung/ (abgerufen am 12.04.2018) 

[9]         Wordpress-Plugin: Header, footer and posts injection, Download unter: https://wordpress.org/plugins/header-footer/ (abgerufen am 01.05.2018)

[10]         aus: Jansen, Thomas: “DSGVO als Blogger – Die neue EU-Datenschutzgrundverordnung“, unter: https://www.reisen-fotografie.de/dsgvo-als-blogger/ (abgerufen am 13.04.2018)

[11]         eines von vielen Beispielen z.B. bei den WP-Ninjas unter https://wp-ninjas.de/wordpress-google-fonts (abgerufen am 01.05.2018)

[12]         Google Webfont Helper unter: https://google-webfonts-helper.herokuapp.com/fonts 

[13]         vgl. https://developers.google.com/fonts/faq#should_i_host_fonts_on_my_own_websites_server (abgerufen am 01.05.2018)

[14]         Google Font Roboto, Informationen unter: https://fonts.google.com/specimen/Roboto (abgerufen am 01.05.2018)

[15]         Apache Licence 2.0, Januar 2004, Lizenztext unter:  https://www.apache.org/licenses/LICENSE-2.0 (abgerufen am 01.05.2018)

[16]         aus: https://developers.google.com/fonts/ (abgerufen am 01.05.2018)

[17]         vgl. Deutsche Übersetzung der Apache Licence, Version 2 unter: https://www.moo.com/de/about/fonts/apache-licence.html  (abgerufen am 01.05.2018)

[18]         aus: Krettschmer, Britta: „Wie Sie für Wordpress Google Fonts deaktivieren“, unter: https://www.internetkurse-koeln.de/wie-sie-fuer-wordpress-google-fonts-deaktivieren/ (abgerufen am 17.04.2018)

[19]         vgl. Bauer, Ellen: „Google Fonts in WordPress-Themes nutzen“, unter: https://www.elmastudio.de/google-fonts-in-wordpress-themes/ (abgerufen am : 30.04.2018)

[20]         Wordpress-Plugin: Disable Google Fonts, Download unter: https://de.wordpress.org/plugins/disable-google-fonts/ (abgerufen am : 30.04.2018)

[21]         aus: Krettschmer, Britta: „Wie Sie für Wordpress Google Fonts deaktivieren“, unter: https://www.internetkurse-koeln.de/wie-sie-fuer-wordpress-google-fonts-deaktivieren/ (abgerufen am 17.04.2018)

[22]         Wordpress-Plugin: Autoptimize, Download unter: https://de.wordpress.org/plugins/autoptimize/ (abgerufen am : 30.04.2018)

[23]         vgl. Support-Anfrage „Cannot disable Google fonts“, unter: https://wordpress.org/support/topic/cannot-disable-google-fonts/ (abgerufen am : 30.04.2018)

[24]         aus: Krettschmer, Britta: „Wie Sie für Wordpress Google Fonts deaktivieren“, unter: https://www.internetkurse-koeln.de/wie-sie-fuer-wordpress-google-fonts-deaktivieren/ (abgerufen am 01.05.2018)

[25]         Wordpress-Plugin: Contact Form 7, Download unter: https://de.wordpress.org/plugins/contact-form-7/ (abgerufen am 01.05.2018)

[26]         nähere Informationen bei Wikipedia unter: https://de.wikipedia.org/wiki/ReCAPTCHA (abgerufen am 01.05.2018)

[27]         aus: Kuketz, Mike: „Google: No CAPTCHA reCAPTCHA Datenstaubsauger“, unter: https://www.kuketz-blog.de/google-no-captcha-recaptcha-datenstaubsauger/ (angerufen am 18.04.2018)

[28]         aus: Mielke, Lars: „Spam-Abwehr bei Contact Form 7“, unter: https://lars-mielke.de/5333/spam-abwehr-contact-form-7/ (abgerufen am 18.04.2018)

[29]         Dokumentation der Quiz-Funktion von Contact Form 7 unter: https://contactform7.com/quiz/ (abgerufen am 01.05.2018)

[30]         Wordpress-Plugin: Math Captcha, Download unter: https://de.wordpress.org/plugins/wp-math-captcha/ (abgerufen am 18.04.2018)

[31]         Wordpress-Plugin: Contact Form 7 Honeypot, Download unter: https://wordpress.org/plugins/contact-form-7-honeypot/ 

[32]         Mielke, Lars: „Spam-Abwehr bei Contact Form 7“, unter: https://lars-mielke.de/5333/spam-abwehr-contact-form-7/ (abgerufen am 18.04.2018)

[33]         Wordpress-Plugin: Simple Calendar, Download unter: https://de.wordpress.org/plugins/google-calendar-events/ 

[34]         Stürzebecher, Frank: Kommentar zu https://wp-ninjas.de/wordpress-plugins-dsgvo (abgerufen am: 01.05.2018)

[35]         Wordpress-Plugin Crontrol, Download unter: https://de.wordpress.org/plugins/wp-crontrol/ 

[36]         Wordress-Plugin: Akismet, Download unter. https://de.wordpress.org/plugins/akismet/ 

[37]         vgl. „Hinweise zum Datenschutz beim Einsatz von Akismet in Deutschland“, unter: http://faq.wpde.org/hinweise-zum-datenschutz-beim-einsatz-von-akismet-in-deutschland/ (abgerufen am 17.04.2018)

[38]         aus: Honecker, Martina. „DSGVO für Blogger und Webseitenbetreiber“, unter: https://martinahonecker.com/dsgvo-leitfaden/ (abgerufen am 22.04.2018)

[39]         aus: IT Logic GmbH: „IFRAMES: Haftung bei Einbindung externer Inhalte“, unter: https://www.webseitenschutzpaket.de/urteile/iframes-haftung-bei-einbindung-externer-inhalte/ (abgerufen am 22.04.2018)

[40]         aus: Kretschmer, Britta: „Besser für den Datenschutz. Gravatar abschalten und Emojis deaktivieren“, unter: https://www.internetkurse-koeln.de/besser-fuer-den-datenschutz-gravatar-abschalten-und-emojis-deaktivieren/ (abgerufen am: 23.04.2018)

[41]         Wordpress-Plugin: Autoptimize, Download unter: https://de.wordpress.org/plugins/autoptimize/ (abgerufen am: 23.04.2018)

[42]         aus: Heddesheimer, Marian: Kommentar zu https://heddesheimer.de/blog/google-fonts-datenschutzkonform-einbinden-dsgvo/ (abgerufen am: 23.04.2018)

[43]         Wordpress-Plugin: Elementor, Download unter: https://de.wordpress.org/plugins/elementor/ (abgerufen am: 23.04.2018)

[44] aus: Kretschmer, Britta: „Besser für den Datenschutz. Gravatar abschalten und Emojis deaktivieren“, unter: https://www.internetkurse-koeln.de/besser-fuer-den-datenschutz-gravatar-abschalten-und-emojis-deaktivieren/ (abgerufen am: 24.04.2018)

[45]         Schwenke, Thomas: „Datenschutz und ePrivacy 2018 – Änderungen für Onlinemarketing, Tracking und Cookies“, unter: https://drschwenke.de/datenschutz-eprivacy-online-marketing-cookies/#ePrivacy-Verordnung_8211_Das_Revival_der_8222Cookie-Richtlinie8220 (abgerufen am 27.04.2018)

[46]         Wordpress-Plugin Cookie Notice, Download unter: https://de.wordpress.org/plugins/cookie-notice/ (abgerufen am 01.05.2018)

[47]         vgl. Art. 5 DSGVO, unter: https://dsgvo-gesetz.de/art-5-dsgvo/ (abgerufen am: 24.04.2018)

[48]         vgl. §12 Abs. 7 TMG, unter: https://www.gesetze-im-internet.de/tmg/__13.html (abgerufen am: 24.04.2018)

[49]         vgl. Rieder, Sonia: „WordPress auf HTTPS umstellen“, unter: https://www.webtimiser.de/wordpress-http-https-ssl-umstellen/ (abgerufen am: 24.04.2018)

[50] vgl. Hönscheid, Thomas: „phpMyadmin: suchen und ersetzen“, unter: http://www.webmaster-zentrale.de/technik/phpmyadmin-suchen-und-ersetzen/ (abgerufen am: 24.04.2018)

[51]         Wordpress-Plugin: WP GDPR Compliance, Download unter: https://de.wordpress.org/plugins/wp-gdpr-compliance/ (abgerufen am: 24.04.2018)

[52]         Wordpress-Plugin: Contact Form 7, Download unter: https://de.wordpress.org/plugins/contact-form-7/ (abgerufen am: 24.04.2018)

[53]         vgl. Dokumentation Contact Form 7, unter: https://contactform7.com/acceptance-checkbox/ (abgerufen am: 24.04.2018)

[54]         vgl. §23ff KunstUrhG, unter: https://www.gesetze-im-internet.de/kunsturhg/__22.html (abgerufen am: 02.05.2018)

[55]         aus: Heinrich, Jörg: „Vorsicht, Kamera!“, unter: https://www.lead-digital.de/dsvgo-vorsicht-kamera/ (abgerufen am: 02.05.2018)

[56]         vgl. Art. 8 DSGVO, unter: https://dsgvo-gesetz.de/art-8-dsgvo/ (abgerufen am: 02.05.2018)

[57]         aus: Jansen, Thomas: „DSGVO als Blogger – Die neue EU-Datenschutzverordnung“, unter: https://www.reisen-fotografie.de/dsgvo-als-blogger/ (abgerufen am: 28.04.2018)

[58] aus: Art. 28 DSGVO, unter: https://dsgvo-gesetz.de/art-28-dsgvo/ (abgerufen am: 28.04.2018)

[59]         vgl. Datenschutzerklärung der Firma amv, unter: https://www.amv-networks.com/datenschutz/ (abgerufen am 28.04.2018)

[60]         vgl. Art. 13 DSGVO, unter: https://dsgvo-gesetz.de/art-13-dsgvo/ (abgerufen am: 28.04.2018)

[61]         aus: § 5 TMG, unter: https://www.gesetze-im-internet.de/tmg/__5.html (abgerufen am: 01.05.2018)

[62]         aus: Art. 30 DSGVO, unter: https://dsgvo-gesetz.de/art-30-dsgvo/ (abgerufen am: 30.04.2018)

[63]         aus: Art. 30 DSGVO, unter: https://dsgvo-gesetz.de/art-30-dsgvo/ (abgerufen am: 30.04.2018)

[64]         siehe https://www.lda.bayern.de/de/kleine-unternehmen.html (abgerufen am: 30.04.2018)