Datenschutzerklärung für iThemes Security

(1 Bewertung, 5.00 von 5)

Worum geht's?

iThemes Security, vorher Better WP Security, ist ein Plugin für das Content-Management-System WordPress. Unternehmen können darüber ihre Webseite vor unberechtigten Zugriffen und Angriffen schützen.Darüber hinaus können sie mit iThemes Security Datenbank-Backups erstellen und eine Zwei-Faktor-Identifizierung auf ihrer Webseite integrieren. Insgesamt bietet das Plugin mehr als 30 Möglichkeiten, WordPress-Webseiten zu schützen. Mehr als eine Million Seiten nutzen das Plugin.

 

Für iThemes Security benötigen Sie einen Passus in Ihrer Datenschutzerklärung

Datenschutzerklärung kostenlos erstellen

 

 

Darum ist iThemes Security datenschutzrechtlich relevant

iThemes Security überwacht und protokolliert Anmeldeversuche auf Webseiten. Dabei speichert das Plugin IP-Adressen von Usern für 7 Tage. Kommt es zu mehreren unrechtmäßigen Zugangsversuchen, speichert es IP-Adressen für einen längeren Zeitraum. Bei IP-Adressen handelt es sich um personenbezogene Daten. Seitenbetreiber müssen daher verschiedene Pflichten der Datenschutz-Grundverordnung (DSGVO) beachten.

Können Unternehmen iThemes Security datenschutzkonform verwenden?

Derzeit ist rechtlich nicht eindeutig geklärt, ob Unternehmen das WordPress-Plugin iThemes Security datenschutzkonform verwenden können. Die DSGVO schreibt dabei diese Pflichten vor:  

Vertrag zur Auftragsverarbeitung abschließen 

Unternehmen geben beim Einsatz von iThemes Security personenbezogene Daten an einen Dritten weiter. Für so einen Fall schreibt Art. 28 DSGVO vor, dass Seitenbetreiber mit dem Dritten einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen müssen. Der Vertrag sollte erwähnen,

  • welche personenbezogenen Daten iThemes Security speichert,
  • warum das Plugin die Daten speichert,
  • wie lange es die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung aktualisieren 

Unternehmen müssen in ihrer Datenschutzerklärung darauf hinweisen, dass sie iThemes Security verwenden, um ihre Webseite vor unberechtigten Zugriffen zu schützen. Dabei sollten sie erwähnen, 

  • dass sie mit iThemes Security einen AV-Vertrag geschlossen haben,
  • warum sie personenbezogene Daten über die Software erheben,
  • wie lange sie die Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. f DSGVO) und
  • dass Nutzer der Datenerhebung und -speicherung jederzeit widersprechen können.

Um Webseitenbesuchern zu erklären, wie das WordPress-Plugin ihre Daten verarbeitet, sollten Seitenbetreiber in ihrer Datenschutzerklärung auch auf die Datenschutzbestimmungen und Nutzungsbestimmungen von iThemes Security hinweisen. User können dann selbst prüfen, wie das Plugin ihre Daten verarbeitet.

Sollten Seitenbetreiber einen Hinweis zum Privacy Shield in ihrer Datenschutzerklärung führen, müssen sie diesen entfernen. Der Europäische Gerichtshof (EuGH) hat diesen für unwirksam erklärt.

Standardvertragsklauseln prüfen  

iThemes Security schickt die gesammelten Daten aus dem Plugin auf Basis von Standardvertragsklauseln an den dahinterstehenden Anbieter in den USA. Seitenbetreiber dürfen personenbezogene Daten über Standardvertragsklauseln jedoch nur dann an Dritte in einem anderen Land weitergeben, wenn dort ein ähnliches Datenschutzniveau herrscht wie in der EU. In den USA liegt dieses Datenschutzniveau derzeit nicht vor. Es ist rechtlich daher nicht abschließend geklärt, ob Seitenbetreiber über iThemes Security Daten in die USA versenden dürfen.

Rechtsprechung zu iThemes Security 

Im Juli 2020 stellte der EuGH fest: Der Privacy Shield eignet sich nicht, um personenbezogene Daten rechtssicher in die USA zu versenden. Denn: Die dort aktiven Überwachungsprogramme sind nicht auf das zwingend erforderliche Maß beschränkt. Damit entspricht das US-amerikanische Datenschutzniveau nicht dem der DSGVO(Az. C-311/18).

Die Datenschutzbehörde Hamburg sprach im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro zuzüglich 250 Euro Gebühren gegen ein Versandunternehmen aus. Dies hatte es versäumt, mit einem beauftragten Dienstleister einen AV-Vertrag zu schließen.

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Datenschutzerklärung für Facebook Connect
Weiterlesen...
Datenschutzerklärung für WordPress Stats
Weiterlesen...
Datenschutzerklärung für Rapidmail
Weiterlesen...
Datenschutzerklärung für Anfragen per E-Mail, Telefon oder Telefax
Weiterlesen...
Datenschutzerklärung für Complianz
Weiterlesen...
Datenschutzerklärung für Beschwerderecht bei der zuständigen Aufsichtsbehörde
Weiterlesen...
Datenschutzerklärung für Datenübermittlung - Online-Shops & Händler (mit Warenversand)
Weiterlesen...
Datenschutzerklärung für Font Awesome
Weiterlesen...
Datenschutzerklärung für Wordfence
Weiterlesen...
Datenschutzerklärung für Google Maps
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht hat sich 2018 vollständig geändert. Haben Sie die DSGVO umgesetzt? Sichern Sie jetzt Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support