Sowohl die DSGVO, als auch das IT-Sicherheitsgesetz schreiben vor, dass eine Website sicher aufgesetzt sein muss.
Nur eine sichere Website kann letztlich auch die personenbezogenen Daten der Besucher und Kunden schützen.

Was das für dich als Websitebetreiberin oder als Webdesignerin genau bedeutet, möchte ich in diesem Artikel erklären.

Was braucht’s eigentlich zur DSGVO-konformen Website?

Zunächst sollte man wohl erst einmal klären, was es eigentlich braucht, um eine WordPress-Website DSGVO-konform aufzusetzen.

Nun, folgende Punkte müssen beachtet und umgesetzt werden:

  • Privacy by Design = Datenschutz durch Technikgestaltung
  • Privacy by Default = Datenschutz durch datenschutzfreundliche Voreinstellungen
  • Informationspflicht & ggf. Einwilligung für Cookies & Tracking⠀
  • Unterbinden von “Nach Hause telefonieren”, wie z.B. Drittanbieter-Funktionen mit 2-Klick-Lösung⠀
  • Konforme Plugins⠀
  • Datenminimierung⠀

Was bedeutet Privacy by Design?

Privacy by Design bedeutet: Datenschutz durch Technikgestaltung

Für Betreiber von Webangeboten gelten erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme.

Bundesamt für Sicherheit in der Informationstechnik

Wen betrifft das überhaupt?

Jeder Websitebetreiber ist durch das IT-Sicherheitsgesetz dazu verpflichtet, seine Technik so zu gestalten, dass sie sicher ist und die Daten von Websitebesuchern und -Kunden geschützt sind.
Hältst du dich nicht dran, kann es ziemlich unangenehm werden, wenn deine Website z.B. zur Verbreitung von Schadsoftware missbraucht wird oder eine Datenschutzpanne eintritt.

Jeder Webdesigner ist dazu verpflichtet, seinem Kunden ein mangelfreies Produkt abzuliefern. Zu einer mangelfreien Website gehört auch, dass sie die Vorgaben des IT-Sicherheitsgesetzes und der DSGVO erfüllt!
Ist das nicht der Fall und der Kunde erleidet einen Schaden (weil er abgemahnt wird oder eine Panne eintritt), kann ich dich dafür zur Kasse bitten!

WordPress sicher aufsetzen

Es ist also wesentlich und in aller Interesse, dass WordPress von Grund auf sicher und stabil aufgesetzt wird, damit es den Vorgaben des IT-Sicherheitsgesetzes entspricht und der Datenschutz tatsächlich umgesetzt werden kann.

Mit der von vielen Stellen gepriesenen 5-Minuten-Installation oder gar den 1-Klick-Installationen der Hoster, ist das aber nicht umgesetzt!
Denn schon beim Installationsvorgang sollten diverse Anpassungen unternommen werden um den Datenschutz durch Technikgestaltung zu ermöglichen.

Ein paar Beispiele, was ich unter Anderem bei einer Grundinstallation von WordPress umsetze:

  • Da wäre zum Beispiel das Abändern des Tabellen-Präfixes.
  • Aber auch das Setzen ordentlicher Dateirechte auf Serverebene.
  • Sowie das Unterbinden des direkten Zugriffes auf bestimmte Dateien und Funktionen.
  • Ich binde eine 6G Firewall ein, erzwinge die SSL-Nutzung und schalte anfällige Schnittstellen aus.
  • Zudem führe ich eine Anpassung der Login-Möglichkeit durch um unliebsame Gäste draußen zu halten. Wobei ich hier nicht vom Verschieben des Logins auf eine andere Unterseite spreche, denn das ist Nonsens.
  • Ebenfalls wichtig ist die ordentliche Benennung des Haupt-Administratoren-Kontos und die Verwendung eines sicheren Passwortes.
  • Außerdem unterbinde ich Verbindungen zu Google-Font-Servern.

Und dann habe ich erst das nackte WordPress aufgesetzt.

Einstellungen und Plugins

Im nächsten Schritt passe ich die Grundeinstellungen an und richte diverse Funktionen ein.

Unter Anderem deaktiviere ich die Gravatar-Funktion, damit keine “Telefonate nach Hause” durch WordPress stattfinden.

Die vorinstallierten Plugins werden gelöscht, denn Hello Dolly braucht kein Schwein und Akismet ist nicht DSGVO-konform.

Ich installiere NinjaFirewall und konfiguriere das Plugin.
Aber bitte keine Illusionen! Eine Firewall bietet keinen hunderprozentigen Schutz!
Was ich an der Firewall schätze, ist unter anderem die umfangreiche Möglichkeiten, mich als Seitenbetreiber zu benachrichtigen, wenn im Hintergrund etwas an WordPress geschieht. Dann nämlich kann ich überprüfen, ob ich diese Änderungen veranlasst habe oder ob sie vielleicht nicht ganz koscher sind.

Um böse Bots fernzuhalten setze ich das Plugin Blackhole ein. Es sperrt unseriöse Bots aus und verbessert allgemein die Performance, da Bots durchaus eine Menge Traffic und Ressourcen fressen können

Für den Spam-Schutz setze ich Antispam Bee ein.
Hier können diverse Einstellungen vorgenommen werden, aber obacht: nicht jede Einstellung ist auch DSGVO-konform!

Damit die Kommentarformulare DSGVO-konform werden, sorge ich dafür, dass die IP-Adresse eine Kommentators nach 60 Tagen automatisch gelöscht wird und setze mein Plugin für die DSGVO-relevante Information des Besuchers ein.

Um Cookies und Tracking DSGVO-konform einsetzen zu können, setze ich Borlabs Cookies* ein.
Damit lässt sich nicht nur über den Einsatz von Cookies DSGVO-komform informieren, sondern auch die notwendigen Einwilligungen für nicht technisch notwendige Cookies und Trackingmaßnahmen einholen.
Zudem bietet dieses Plugin die Möglichkeit eingebundene Scripte erst nach Information und Einwilligung nachzuladen. Relevant ist das z. B. bei Videos (YouTube, Vimeo, …) oder auch Buchungskalender und anderen.

Hinweis

Das ist nur ein Auszug dessen, was ich bei einer Grundinstallation von WordPress unternehme, um Privacy by Design und Privacy by Default umzusetzen.

Es ist weniger aufwendig, die Anpassungen im Installationsverlauf vorzunehmen, als sie im Nachgang nachzupflegen.

Jede Website ist anders und jede Betreiberin hat andere Anforderungen an Funktionen.
Diese werden in der Regel durch Plugins realisiert. Hier ist es wichtig darauf zu achten, dass

  • die gewählten Plugins untereinander kompatibel sind
    (ist wie bei dir: du kannst auch nicht jeden Menschen leiden)
  • die gewählten Plugins auch DSGVO-konform sind
    (manche telefonieren gerne nach Hause, andere laden Scripte von extern nach und übermitteln so die IP des Besuchers)

Wie schaut es bei dir aus?

Ob Websitebetreiberin oder Webdesignerin – die DSGVO-konforme Umsetzung einer Website besteht nicht nur aus der Einbindung einer Datenschutzerklärung, sondern beginnt schon bei der Installation von WordPress.

Was trifft auf dich zu:

Du bist Websitebetreiberin.

Erfüllt deine WordPress-Site die Vorgaben des IT-Sicherheitsgesetzes?

Ich kann das gerne für dich Überprüfen und ggf. die Anpassungen nachträglich vornehmen. Schreib mir bei Interesse einfach.

Du WIRST Websitebetreiberin und möchtest deine Website selbst erstellen.

Kannst du die Vorgaben des IT-Sicherheitsgesetzes umsetzen? Hast du Zeit und Muse dich da einzulernen?

Ich kann dir gerne eine entsprechende Grundinstalltion aufsetzen, mit der du dann selbständig weiter arbeiten kannst. Hier findest du mein Angebot Grund-Installation von WordPress.

Du bist Webdesignerin.

Lieferst du deinen Kunden eine mangelfreie Website ab, weil du auch an die Vorgaben des IT-Sicherheitsgesetzes gedacht und die Installation entsprechend umgesetzt hast?

Ich biete dir an, die Grundinstallationen für deine Kundensites durchzuführen. Ohne, dass dein Kunde dabei meinen Namen zu sehen bekommt – Whitelable. Mein entsprechendes Angebot findest du hier: Grund-Installation von WordPress. Für Web-Designerinnen.

 

Datenschutz ist kein Stempel – sondern ein Konzept!

 

* Werbelink. Wenn du über diesen Link einkaufst, bekomme ich eine kleine Provision.

Do NOT follow this link or you will be banned from the site!