DSGVO and WordPress

DSGVO & WordPress: Technische Maßnahmen, die du umsetzen solltest

Am 25.05.2018 ist die EU-DSGVO in Kraft getreten. Wir bieten dir eine Übersicht der technischen Vorkehrungen, die wir vor dem Hintergrund der DSGVO als wichtig erachten, um deine WordPress Website rechtssicher zu betreiben.

Disclaimer

Unser Blogbeitrag ist keine Rechtsberatung! Im Rahmen unserer Arbeit als WordPress Hoster haben wir uns sehr intensiv mit den geltenden deutschen Datenschutzbestimmungen und der EU-DSGVO beschäftigt. Wir sind aber weder Juristen noch Datenschutzexperten. Für die Vollständigkeit, Aktualität und Richtigkeit der von uns bereitgestellten Maßnahmen und Inhalte wird von uns keine Haftung übernommen.

DSGVO-bedenkliche WordPress Plugins entfernen und mit DSGVO-konformen Alternativen ersetzen

Wenn Plugins eine gültige Verbindung zu einer anderen Website aufbauen müssen und dabei Daten wie etwa die IP Adresse weitergeben, wird es problematisch. Solche Plugins sollten unbedingt mit einer EU-DSGVO-konformen Alternative ersetzt werden – zumindest bis die Hersteller eine rechtskonforme Version ihrer Plugins veröffentlichen.

Anonyme Besucherstatistiken erheben

Auch wir möchten natürlich gerne wissen, was auf unserer Website besonders gut funktioniert, was gerne gelesen oder geteilt wird, wie lange Besucher:innen auf einer Seite verweilen oder wie hoch die Absprungrate ist. Mit der EU-DSGVO wurde die Gesetzeslage noch ein wenig verschärft. Du musst wie bereits unter der vorigen deutschen Datenschutzgrundverordnung jede Besucher:in deiner Website vollständig anonymisieren. Jedoch dürfen darüber hinaus keine persönlichen Daten an andere Dienste übertragen werden.

Aus diesem Grund empfehlen wir Statify, damit alle anonymisierten personenbezogenen Daten auf deiner Website verbleiben und an keine weiteren Dienste weitergegeben werden.

Laut den Angaben zum Plugin verarbeitet, versendet und speichert das Plugin keinerlei personenbezogene Daten, wie Cookies oder IP Adressen außerhalb deiner Website.

Rechtskonforme Avatare für Blog und Kommentare verwenden

Avatar Privacy von Peter Putzer bietet für die Umsetzung der DSGVO folgende Features an: Zum einen wird der Hash von E-Mail Adressen nicht veröffentlicht, wenn es dazu keinen Gravatar Account gibt. Zum anderen bietet es einen Opt-in bzw. ein Opt-out für die Anzeige des Gravatars bei Kommentaren und im Nutzerprofil. Außerdem liefert das Plugin neue Standardavatare mit, die vom lokalen Server anstelle der gravatar.com Server in den USA geladen werden.

Eine Alternative ist es, die Gravatare auf der eigenen Website vollständig zu deaktivieren:

Um Gravatar allerdings vollständig in WordPress zu deaktivieren, musst du noch folgende Einstellungen im WordPress Adminbereich unter dem Menüpunkt „Einstellungen“ tätigen: Scrolle im Untermenü unter Diskussionen ganz nach unten, bis du den Bereich Avatare erreicht hast. Anschließend deaktivierst du das Auswahlfeld: „Avataranzeige – Zeige Avatare“. Klicke auf Speichern, um die Einstellungen zu übernehmen und lösche den Cache deiner Website. Nun sollte deine Website nicht mehr mit wordpress.com kommunizieren.

Double Opt-In Verfahren für Kommentare

Hier ist vorab gesagt, dass die Benachrichtigung von weiteren Kommentaren zum eigenen Kommentar bereits voraussetzt, dass Daten weitergegeben werden. Wenn du eine negative Interpretation dieser „Grauzone“ ausschließen möchtest, nutze das kostenlose Plugin Subscribe to Double-Opt-In Comments. Dadurch muss der Besucher vorab aktiv bestätigen, dass er wirklich Benachrichtigungen über Folgekommentare erhalten möchte.

Antispam Schutz auf die eigene Website beschränken

Hier bieten sich zum Beispiel Antispam Bee oder Akismet an. Antispam Bee lässt sich DSGVO-konform nutzen, wenn du folgende Einstellung des Plugins beachtest: Die Funktion “Öffentliche Spamdatenbank berücksichtigen“ muss deaktiviert sein, um zu verhindern, dass die IP Adressen deiner Besucher:innen an den Dienst Stop Forum Spam übermittelt werden. Der Sprachfilter, welcher die Google API verwendet, ist entgegen der Vermutung vieler datenschutztechnisch unproblematisch:

Wurde der Sprachfilter aktiviert, werden die ersten zehn Worte jedes Kommentars an den Google Dienst zur Spracherkennung gesendet. Drei Worte des Kommentarinhalts. Nicht die E-Mail Adresse, nicht der Name der kommentierenden Person, nicht die IP Adresse. Unterm Strich: keine personenbezogenen Daten und damit auch kein Problem. – Simon Kraft, Mitglied des Pluginkollektivs

WordPress Backup Plugins eventuell mit alternativen Lösungen ersetzen

Um der Übertragung von personenbezogenen Daten auf beispielsweise US Server entgegenzuwirken und als positiven Nebeneffekt weitere Performance-Kapazitäten deiner Website freizumachen, solltest du dir überlegen auf spezielle WordPress Backup Plugins zu verzichten. Es gibt auch Alternativen zu einem WordPress Backup Plugin, welche du hierbei in Betracht ziehen kannst.

Webserver Caching statt WordPress Caching Plugin nutzen

Viele Caching Plugins machen einen guten Job, wenn es darum geht, deine Website zwischenzuspeichern. Durch das Caching kann die Website schneller ausgeliefert werden. Allerdings geht das Zwischenspeichern auch mit Kontrollverlust über die Daten einher.

Eine rechtssichere Alternative, die zudem dafür sorgt, dass die performancelastigen Plugins verschwinden, ist es, den serverseitigen Cache zu nutzen.

Der Vorteil: Die Daten werden bereits beim Ausliefern gespeichert und befinden sich zumindest bei Raidboxes nur auf deutschen Servern mit garantierter ISO 27001-Zertifizierung.

Problematische Social Plugins unterbinden

Share-Dienste verwenden häufig schon Daten, sobald sich deine Besucher:innen auf der Website mit aktivem Social Plugin befinden. Auch, wenn noch gar nichts geteilt wurde, werden die Daten bereits weitergegeben. Dies ist im Sinne der DSGVO kritisch.

Kontaktformular-Plugins

Laut der Datenschutz-Grundverordnung setzt das Versenden eines Formulars die Einwilligung des Versenders voraus. Als Daten gelten nicht nur die persönliche IP, sondern auch die E-Mail Adresse und der Inhalt an sich. Ein Opt-In für die Zustimmung der Datenspeicherung lässt sich per zusätzlicher Acceptance Checkbox bei Contact Form 7 und bei Gravity Forms beispielsweise mit dem kostenlosen Plugin WP GDPR Compliance umsetzen. Heutzutage sollten aber alle Plugins dieser Art die Notwendigkeiten bezüglich DSGVO implementiert haben.

Newsletter & E-Mail Marketing

In deinen Newsletter Formularen sollte nur die E-Mail Adresse ein Pflichtfeld sein, alle anderen Daten wie Vor- und Nachname sollten nur optional abgefragt werden. Wie für alle Formulare gilt auch beim Newsletter Formular das Double Opt-In Verfahren sowie größtmögliche Transparenz bei den Angaben darüber, was du genau mit dem Newsletter bezweckst oder anbietest.

Wenn du es bisher nicht getan hast, dann nutze immer das Double Opt-In Verfahren! Beim Double Opt-In muss der E-Mail Empfänger nach der ersten Anmeldung ein zweites Mal explizit auf den Link in einer Bestätigungsmail klicken, um in den Verteiler aufgenommen zu werden. So ist sichergestellt, dass sich niemand in deinem Namen für einen Newsletter anmeldet und die tatsächliche Anmeldung auch von dir gewünscht ist.

Technische Maßnahmen außerhalb deiner WordPress Plugins

SSL Verschlüsselung

SSL Verschlüsselung ist zwar keine Pflicht in der DSGVO, aber ohne eine SSL Verbindung ist eine sichere Datenübertragung rund um deine Website nicht möglich. Mehr über SSL erfährst du auch in unserem ausgiebigen Let’s Encrypt SSL-Kompendium.

Du möchtest das SSL-Zertifikat nicht selbst einrichten? Dann nutze zum Beispiel SSL Zertifikate von Let’s Encrypt, die du kostenlos per 1-Klick-Installation schnell und einfach für deine WordPress-Website aktivieren kannst.

Google Analytics Opt-Out schaffen

In diesem Zusammenhang ist noch einmal darauf hinzuweisen, dass die vollständige Anonymisierung von Besuchern vorgeschrieben ist. Um dies zu gewährleisten, ist das häufig benutzte Google Analytics um folgende Codezeile zu erweitern:

ga('set', 'anonymizeIp', true);

Sollte dein Javascript Snippet vorab so ausgesehen haben:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('send', 'pageview');
</script>

sieht der Code nach dem Hinzufügen folgendermaßen aus:

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>




Des Weiteren musst du in deinen Datenschutzbestimmungen eine Möglichkeit schaffen, dass Besucher:innen deiner Website sich vollständig aus der Google Analyse ausschließen lassen können. Ein kostenloses Opt-Out Plugin für Google Analytics findest du mit dem Namen Google Analytics Opt-Out im WordPress Plugin Verzeichnis. Dieses installiert einen Cookie, welcher analytics.js davon abhält, die Daten zu sammeln.

Anonymisierte IP Adressen in Blogkommentaren

WordPress speichert standardmäßig die IP Adressen der Kommentarschreiber. Die Erfassung der IP Adresse ist aber nach der EU-DSGVO nicht datenschutzkonform. Du kannst mithilfe eines kleinen PHP Codes in deiner functions.php das zukünftige Speichern der IP Adressen verhindern. Wir empfehlen, dafür ein Child Theme zu nutzen, damit der Code auch nach der nächsten Aktualisierung deines Themes noch integriert ist. Der einzufügende Code lautet:

function  wpb_remove_commentsip( $comment_author_ip ) {
	return '';
	}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Abschließend musst du noch bestehende IP Adressen rückwirkend in der Datenbank deiner Website einmalig manuell löschen. Eine gute Anleitung, wie du dies erledigen kannst, findest du hier.

Hat dir der Artikel gefallen?

Mit deiner Bewertung hilfst du uns, unsere Inhalte noch weiter zu verbessern.

34 Kommentare zu “DSGVO & WordPress: Technische Maßnahmen, die du umsetzen solltest

  1. Hallo,

    muss man eigentlich für einen Facebook Follow Me-Button auch ein spezielles Plugin verwenden oder kann man dies einfach einbauen und man kollidiert nicht mit der DSGVO ?

    Shariff kann ja „nur“ für das Sharen verwendet werden, so ich dies richtig gesehen habe.

    Viele Grüße,

    Christian

    1. Hi Christian, leider ist genau dieses Einbinden von Plugins oder Javascript nicht mehr erlaubt. Was du aber machen kannst ist mir z.B. Borlabs Cookie arbeiten oder einem ähnlichen Plugin um dann explizit um die Erlaubnis zu fragen. Wenn du das OK eingeholt hast kannst du auch völlig legitim „Sharen“ oder „FollowMe“ Buttons nutzen. VG Torben

  2. Würdet ihr mir verraten welche Plugins ihr hier nutzt um die
    a) am Anfang die Speicherung der Cookies abzuklicken
    b) dieses Formular mit den Kästchen unten zu machen?

    Herzlichen Dank
    Marsela

  3. Hallo,

    kurz zum Thema SSL-Verschlüsselung:
    Sobald personenbezogene Daten übertragen werden, ist die Verschlüsselung eigentlich unumgänglich lt. Art. 32. Das trifft zu bei Formularen, Logins, Kommentaren, Newsletter-Anmeldungen, etc.

    Gruß
    Rüdiger

  4. Hallo,

    kurzer Einwand bezüglich SSL:
    Art. 32 DSGVO nennt ganz klar die „Verschlüsselung“, d. h. sobald personenbezogene Daten übertragen werden (Login, Formular, Kommentar, Abstimmung), ist die Verschlüsselung eine notwendige technische Maßnahme.

    –> möglichst alles und immer SSL verwenden.

    Gruß
    Rüdiger

  5. Hallo Raidboxes-Team!
    Eigentlich habe ich nur eine kleine Website für meine Bücher und dann muss ich mich tagelang, wochenlang mit der DSGV0 herumplagen! Nachdem mein Provider avstats generell für alle rausgeschmissen hat, habe ich mich um eine Alternative nur für meine Website umgetan. Ich verwende momentan WP Statistics nur ist hier – wie ihr sicher auch wisst – das Opt-Out ein Graus, grässlicher dicker Balken unten – abgesehen davon, dass es bei mir gar nicht funktioniert, es kommen keine Links. Hab’s einstweilen wieder deaktiviert.
    Ihr schlagt Statify vor. Gehe ich recht in der Annahme, dass hier KEIN Opt-Out erforderlich ist, weil keine personenbezogenen Daten gespeichert werden?

    Danke und liebe Grüße aus Österreich!
    Edith

    1. Hallo Edith,
      deine Frustration kann ich sehr gut nachvollziehen! Leider dürfen wir dir hier keine Rechtsberatung geben. Aber du hast es im Prinzip schon gesagt: Da Statify keine personenbezogenen Daten verarbeitet, ist es im Prinzip unbedenklich. Auf der Seite des Plugins heißt es „Im direkten Vergleich mit Statistikdiensten wie Google Analytics, WordPress.com Stats und Matomo (Piwik) verarbeitet und speichert Statify keine personenbezogenen Daten wie IP-Adressen – Statify zählt Aufrufe, keine Besucher.“ Schau dir auch gerne unseren Artikel zu diesem Thema an: https://raidboxes.de/statify-dsgvo-konformes-tracking/.
      Lieben Gruß aus Münster
      Leefke

  6. Hallo,
    erstmal Danke für den Artikel, hat mir sehr geholfen 🙂
    Ihr schreibt, das der Shariff Wrapper das einzige Plugin wäre, was keine Daten vor dem Klick sendet. Wir haben bisher das „2 Click Social Media Buttons“ Plugin verwendet und der Rechtsantwalt fand das auch ok. Wurde leider schon länger nicht aktualisiert. Aber an der Funktion hat sich ja nichts geändert.
    Nun die Frage: haltet ihr das auch für problematisch oder kann ich das weiterhin ebenso verwenden?

    1. Hallo Andrea,
      mit „2 Click Social Media Buttons“ haben wir uns nicht näher auseinandergesetzt, daher kann ich da keine definitive Aussage zu machen. Laut diesem Artikel von einem Rechtsanwalt (https://easyrechtssicher.de/social-media-buttons/) ist eine 2-Klick-Lösung zwar ein Schritt in die richtige Richtung, aber auch dort wird Shariff Wrapper als die empfehlenswertere Variante beschrieben. Ich hoffe, das hilft dir weiter. 🙂
      Lieben Gruß
      Leefke

  7. Danke für den wertvollen Artikel!
    Leider hat der Code für die Anonymisierung der IP-Adresse in den Kommentaren mein WP-Backend in die White Wall of Death gestürtzt :-/
    Werde also nach einer anderen Lösung suchen müssen.

      1. Hi Torben,
        danke für deine Antwort!
        Es ging um folgenden Code:
        function wpb_remove_commentsip( $comment_author_ip ) {
        return “;
        }
        add_filter( ‚pre_comment_user_ip‘, ‚wpb_remove_commentsip‘ );

        Ich habe es hinbekommen! Hatte den Code zunächst in die functions.php meines Child-Themes eingebaut, was keinen Effekt hatte. Je nachdem, um was für Änderungen es sich handelt, passiert das schon mal und ich muss doch in die functions.php des Mutter-Themes schreiben. Das habe ich daraufhin gemacht und damit die „White Wall of Death“ hervorgerufen.
        Heute habe ich dann nochmal den Weg übers Child Theme getestet und plötzlich ging’s – weiß der Geier warum…Wordpress halt 🙂
        Also schlussendlich alles gut! Danke nochmal für den Code!

  8. Hallo Torben,

    danke für Deinen Beitrag, ich fand ihn schonmal sehr hilfreich.
    Aber dennoch habe ich eine Frage. Ich benutze die kostenfreie Blogversion von WP, also komplett mit .wordpress.com in der URL usw usf. Ich habe versucht, die Plugins zu installieren bzw zu ändern, allerdings wird mir immer nur gesagt, ich müsse auf eine der kostenpflichtigen Versionen upgraden, um Plugins zu installieren … Aber nur um der DGSVO rechtens zu werden, finde ich diesen Schritt zu drastisch und unnötig – ich mache auf meinem Blog nicht einmal Werbung, oder verlinke Seiten außerhalb von WP, habe auch nicht genug Klicks, um da irgendwas dran zu verdienen, es soll ja weiterhin Hobby bleiben. Wie sieht es denn damit aus? Muss ich mir da jetzt Sorgen machen, weil ich z.B. die nicht-DGSVO-konformen Plugins wie Jetpack etc nicht deaktivieren kann? Bleibt mir als einzige Möglichkeit, den Blog zu deaktivieren? Ist das eine Sache, um die sich WP selber kümmern muss? Sind solche „kostenfreien Hobby-Blogs“ da quasi außen vor?
    Ich suche seit Tagen im Netz auf der Suche nach etwas, das mir da weiterhilft, aber bisher erfolglos. (Eine Datenschutzseite im Impressum habe ich selbstverständlich schon …)
    Ich hoffe, Du kannst mir da was zu sagen …
    LG

    1. Hi Eleonore, es sind alle Webseiten von der DSGVO betroffen, nicht nur die kommerziellen. Ich kann aber auch sagen das die kommerziellen natürlich im Fokus der Behörden stehen werden! Außerdem soll wohl die deutsche Gesetzeslage genau deswegen noch etwas gelockert werden: https://www.gruenderszene.de/media/merkel-dsgvo-regeln-lockern. Ich denke nicht das WordPress.com schnell DSGVO-konform wird. Da bleibt nur abzuwarten oder deinen Blog auf wordpress.org Basis. Also mithilfe von dem System was wir hosten, neu aufzubauen. In der neusten Community Version die bald kommt, wird es auch erste Einstellungen zur DSGVO geben. Für wordpress.com der kommerziellen Version kann ich leider keine Infos geben, ich weiss es schlichtweg nicht. VG Torben

      1. Hallo Torben,
        danke auf jeden Fall für deine Antwort und für den Link! Ich werd mir das definitiv einmal genauer anschauen. Ich hatte jetzt noch von einer anderen Seite die Einschätzung bekommen, dass WP vermutlich schnell DSGVO-konform werde, um die (kostenfreien) EU-Nutzer nicht zu verlieren …?
        *seufz* Alles sehr verwirrend und kompliziert.
        Dennoch herzlichen Dank, ich werde mich weiterhin umschauen und versuchen, da weitere Infos zu finden.
        LG

  9. Vielen Dank für den informativen Artikel.
    Der Code fürs rückwirkende Löschen der IP von Kommentierenden funktioniert nicht rückwirkend. Stattdessen wirkt er sich auf künftige Kommentare aus (erkennbar an der IP 127.0.0.1, die bei neuen Kommentaren geschrieben wird.).
    Getestet in der functions.php des Childthemes einer aktuellen WordPress-Installation.

  10. Hi Torben,

    als Mitglied des Pluginkollektivs, der Gruppe hinter Statify, Antispam Bee und anderen populären Plugins, freue ich mich einerseits über die Erwähnung unserer Plugins in euerer Liste. Auf der anderen Seite muss ich deiner Einschätzung zur Gefahr der zusätzlichen Antispam Bee Optionen zumindest in Teilen widersprechen.

    Im Detail habe ich das in einem Blogpost zusammengefasst und würde mich freuen, die entsprechenden Punkte hier korrigiert zu sehen. Die DSGVO ist für alle Beteiligten anstrengend genug, wir müssen unsere Leserinnen und Leser nicht noch zusätzlich verrückt machen.

    https://simon.blog/2018/euer-datenschutz-kotzt-mich-an/

    1. Hi Simon! Ich freue mich über dein Feedback und möchte ganz klar eine Empfehlung für euer Plugin aussprechen. Wir sind definitiv gegen den Panik-Zug und stellen daher auch alle Informationen inklusive der Checkliste und dem E-Book kostenlos und ohne Opt-In oder ähnliches zur Verfügung! Ich habe die Recherchen nach bestem Wissen gemacht sollte da etwas nicht korrekt dargestellt werden schreibe mir gern eine E-Mail und ich korrigiere das umgehend. Herzliche Grüße, Torben

  11. Es ist eigentlich auch unverständlich, warum die IP als Personenbezogenes Datum angesehen wird.

    Die Access-Betreiber wie die Telekom löschen die Daten nach 7 Tagen, und jeder, der keine Standleitung hat – was bei den wenigsten der Fall sein dürfte, erhält bei jedem PC-Neustart eine andere IP

  12. Danke für den Post. Wie kommt ihr darauf, dass der WP Super Chance nicht konform ist. Werden da wirklich Daten ausgetauscht, wenn man die CDN Option nicht aktiviert hat?

    1. Da das Plugin aus dem Hause Automattic kommt werden zu 99% auch standardmassig Verbindungen von deiner Seite zu WordPress.org übertragen. Wer dort sichergehen möchte setzt lieber auf einen CDN oder einen Hosting-Partner mit eigenem serverseitigen Cache. Dort werden auch Daten ausgetauscht können aber durch einen gültigen ADV und die Datenschutzbestimmungen DSGVO-konform übermittelt werden. VG Torben

  13. Die Frage, die derzeit am verschiedenen Orten diskutiert wird, ist, ob bei der Verwendung von Google Analytics ein Opt-out reicht.

    Genau genommen nicht, da 1) ein Cookie das Verhalten von Benutzern und Benutzerinnen trackt, und zwar standardmässig nicht anonymisiert, 2) die IP-Adressen nicht anonymisiert auch in ein nicht EU-Land übermittelt werden können und 3) die IP-Adressen erst von Google anonymisiert werden.

  14. Hallo,

    dass die IP-Adressen von Kommentaren anonymisiert werden sollen, ist mir jetzt neu, auch wenn ich mich in den vergangenen Wochen intensiv mit der DSGVO beschäftigt habe. Was ist, wenn ein Kommentar strafrechtlich verfolgt werden sollte, dann brauche ich doch die IP-Adresse. Oder wie kann ich dann in einem solchen Fall vorgehen?

    Viele Grüße
    S. Braun

    1. Deine IP-Adresse selbst kann ja natürlich auch nicht wegfallen Susanne aber das technische Anonymisieren auf deiner und unserer Webseite kann durch die entsprechenden Einstellungen und Dienste ermöglicht werden. VG Torben

  15. Hallo liebes Raidbox-Team,
    ich bin Steuerberater und habe ebenfalls mit der neuen Datenschutzgrundverordnung zu kämpfen. Mein Fazit (wie in meinem eigenen Blogbeitrag unter (https://www.steuerkanzlei-chwatal.de/hinweise-zur-datenschutz-grundverordnung-dsgvo/) beschrieben:
    „Die Datenschutzgrundverordnung (DSVGO) ist etwas, was die Welt – jedenfalls kleine und Kleinstunternehmen – nicht braucht. Warum dieser Bürokraten-Wahnsinn der EU-Juristen unter Zustimmung auch von Deutschlands Politikern nicht von pragmatisch denkenden Menschen gestoppt oder zumindest lediglich auf große Unternehmen beschränkt werden konnte, ist mir ein Rätsel. Das Verordnungsmonster beschert den kleinen Unternehmen unnötige Arbeit oder Kosten und fördert den allgemein mittlerweile üblichen Dokumentationswust (Hauptsache es ist dokumentiert, dann wird es schon in Ordnung sein).“

    Aber natürlich versuche ich – wie auch meine Kunden – die Verordnung soweit organisatorisch, technisch und finanziell möglich umzusetzen. Was soll man auch sonst machen?

    Herzliche Grüße aus dem beschaulichen Goslar

    1. Datenverarbeitung und Datenmissbrauch steigen aber mindestens ebenso drastisch an. Auch wenn die Umstände des Datenschutzes jetzt (relativ) aufwändig erscheinen, so ist das im Wesentlichen dem Umstand geschuldet, dass gerade kleine Unternehmen und Selbstständige viele Jahre lang BDSG und andere Regelungen ignoriert haben, weil ja keine Folgen drohten. Wer heute Zeter und Mordio schreit weil er nun ein wenig Papierkram hat und ein paar Regeln beachten muss, ist meist jemand, der sich jahrelang direkt oder indirekt auf Kosten der Betroffenen an deren Daten bereichert hat, die er so niemals hätte verarbeiten dürfen. Das meine ich nicht persönlich (ich kenne hier niemanden) sondern allgemeingültig. In 8 von 10 Fällen, die mir in den letzten Jahren unterkamen, wussten die Unternehmer und Selbstständige, dass sie gegen Rechte der Betroffenen bzw. Gesetze verstoßen, wenn sie Datenschutz nachlässig betreiben, nur selten war es pures Unwissen (und auch das schützt nicht vor Strafe).

    2. Hallo lieber Egbert,

      seltsam, alles was du schreibst empfinde ich genauso, nur im Zusammenhang mit der Steuergesetzgebung. 😉

      Mein Mitleid hält sich gleich aus mehreren Gründen in Grenzen: Der Unterschied in den Pflichten des Verantwortlichen ist gegenüber der bereits seit Jahren in Deutschland gültigen Gesetzgebung des BDSG doch eher marginal. Die Dokumentation des Verfahrens, Auftragsdatenverarbeitung, informierte Zustimmung, Double-Opt-In, Anonymisierung, Verschlüsselung, weitere Maßnahmen unter dem Aufwandsvorbehalt und nach dem aktuellen Stand der Technik – alles schon heute geltende Vorschriften. Geändert hat sich vor allem der Bußgeld- und Haftungsrahmen. Wer sich also bisher, auch und gerade im Interesse seiner Kunden, an die geltenden gesetzlichen Bestimmungen gehalten hat, für den ist die DSGVO keine große Herausforderung.

      Ein weiterer Grund ist, dass die Größe des Unternehmens nun mal gar nichts über die Art und den Umfang der Erhebung und Verarbeitung personenbezogener Daten aussagt. Ein Steuerberater verarbeitet auch als Einzelunternehmer sensible Daten seiner Mandanten. Die Erhebung und Verarbeitung von personenbezogenen Daten ist demnach ein Bestandteil seines Kerngeschäftes. Entsprechend erwarte ich hier eine besondere Sorgfalt. Der „kleine Handwerker“ von nebenan hat sein Verfahrensverzeichnis hingegen in zwei Stunde geschrieben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert