DSGVO-konforme Nutzung von WordPress und anderen Content-Management-Systemen

18.01.2019 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin   Andrea_Wuenscher

WordPress DSGVO

Das Bayerische Landesamt für Datenschutzaufsicht führt derzeit flächendeckend automatisierte Prüfungen zu möglichen Schwachstellen von Webseiten durch, und verlangt von den Unternehmen dazu jeweils eine Stellungnahme.

WordPress ist eines der meistgenutzten Content-Management-Systeme – kurz CMS. Damit wird für den Betreiber einer Website das Erstellen, Bearbeiten und Verwalten der eigenen Seite vereinfacht. Viele dieser CMS – darunter auch Dreamweaver, Joomla!, TYPO3, Shopify und Magento – können günstig oder sogar kostenfrei genutzt werden, bergen aber auch ein wesentlich höheres Gefahrenpotential für den Schutz von personenbezogenen Daten. Cyberkriminellen wird durch vermehrte Schwachstellen und Sicherheitslücken ein Angriff oft leicht gemacht.

„Auch hierzulande könnte eine solche Prüfung jederzeit von der österreichischen Datenschutzbehörde vorgenommen werden, weshalb vorsorglich alle notwendigen Maßnahmen ergriffen werden sollten“, betont der oberösterreichische Rechtsanwalt und Experte im Datenschutzrecht Dr. Christian Zeilinger und erklärt außerdem: „WordPress ist ein Tool, das, wenn es richtig eingesetzt wird, beinahe jedem das Hosten der eigenen Website ermöglicht. Aus datenschutzrechtlicher Sicht hat sich aber vor allem in letzter Zeit gezeigt, dass eine regelmäßige professionelle Wartung dringend erforderlich ist.“

  • Ist die aktuelle WordPress-Version im Einsatz?

Kanzlei Dr. Zeilinger: Bei Verwendung eines CMS ist es unerlässlich, die Seite immer auf die neueste Version upzudaten. Erfolgt dies nicht, können angreifbare Schwachstellen entstehen.

  • Sind alle Plugins und sonstigen Komponenten aktuell?

Kanzlei Dr. Zeilinger: Wichtig ist auch, das benutzte Theme – also das vorgegebene Design sowie alle verwendeten Plugins regelmäßig zu überprüfen und zu aktualisieren. Vor allem die „nützlichen Helfer“ in Form von Plugins sind oft entweder von vorn herein nicht mit der DSGVO vereinbar oder bergen sonstige Gefahren. Zuletzt gab es bei der Erweiterung „WP GDPR Compliance“ eine schwerwiegende Sicherheitslücke, die es Cyberkriminellen sehr einfach ermöglichte, die Kontrolle über die WordPress-Installation oder sogar den Webserver zu übernehmen. Daher sollte durch Sicherheitsscans regelmäßig überprüft werden, ob nicht gewollte Änderungen durchgeführt wurden, um Angriffe schnell zu erkennen. Das aktuelle Update des Plugins schließt zwar die Sicherheitslücke, dieser Fall zeigt aber die dringende Notwendigkeit regelmäßiger professioneller Wartung aller Komponenten.

  • Wurde die Website verschlüsselt und kommt die Transportverschlüsselung HTTPS zum Einsatz?

Kanzlei Dr. Zeilinger: Wie fälschlicherweise oft angenommen wird, ist eine SSL-Verschlüsselung nicht nur dann notwendig, wenn ein Kontaktformular zum Einsatz kommt, sondern sobald eine Login-Möglichkeit in das Backend – wie bei WordPress, besteht. Daher ist für alle Websites eine verschlüsselte Datenübertragung erforderlich.

Die Behörde informiert Webseitenbetreiber nach erfolgter Prüfung über das Ergebnis:

CMS Prüfung der Datenschutzbehörde

Der Hauptzweck der Prüfung soll zwar in einer Sensibilisierung für gefährliche Sicherheitslücken liegen, allerdings betont die bayerische Behörde auch die Möglichkeit der Verhängung von Bußgeldern gegen die verantwortlichen Seitenbetreiber.