Datenschutzerklärung für iThemes Security

(2 Bewertungen, 5.00 von 5)

Worum geht's?

iThemes Security, vorher Better WP Security, ist ein Plugin für das Content-Management-System WordPress. Unternehmen können darüber ihre Webseite vor unberechtigten Zugriffen und Angriffen schützen. Darüber hinaus können sie mit iThemes Security Datenbank-Backups erstellen und eine Zwei-Faktor-Identifizierung auf ihrer Webseite integrieren. Insgesamt bietet das Plugin mehr als 30 Möglichkeiten, WordPress-Webseiten zu schützen. Mehr als eine Million Seiten nutzen das Plugin. Was müssen Unternehmen datenschutzrechtlich beachten, wenn sie iThemes Security verwenden?

 

Für iThemes Security benötigen Sie einen Passus in Ihrer Datenschutzerklärung

Datenschutzerklärung kostenlos erstellen

Darum ist iThemes Security datenschutzrechtlich relevant

iThemes Security überwacht und protokolliert Anmeldeversuche auf Webseiten. Dabei speichert das Plugin IP-Adressen von Usern für 7 Tage. Kommt es zu mehreren unrechtmäßigen Zugangsversuchen, speichert es IP-Adressen für einen längeren Zeitraum. Bei IP-Adressen handelt es sich um personenbezogene Daten. Seitenbetreiber müssen daher verschiedene Pflichten der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) beachten.

Können Unternehmen iThemes Security datenschutzkonform verwenden?

Um iThemes Security datenschutzkonform zu verwenden, müssen Seitenbetreiber diese Pflichten aus dem Gesetz erfüllen: 

Nutzer-Einwilligung einholen

iThemes Security verwendet Cookies, um Seitenzugriffe protokollieren und User zuordnen zu können. Die Cookies erheben dabei unter anderem personenbezogene Daten. Dafür benötigen Seitenbetreiber das Einverständnis der User. Sie können dies zum Beispiel über einen Cookie-Banner einholen. Um den Cookie-Banner rechtssicher umzusetzen, sollten Seitenbetreiber auf ein Cookie Consent Tool zurückgreifen. Dies fragt die Einwilligung der User datenschutzkonform ab und passt die Datentransfers auf der Webseite gemäß der Nutzervorgaben an.

Vertrag zur Auftragsverarbeitung abschließen

Unternehmen geben beim Einsatz von iThemes Security personenbezogene Daten an einen Dritten weiter, um diese weisungsgebunden verarbeiten zu lassen. Für so einen Fall schreibt Art. 28 DSGVO vor, dass Seitenbetreiber mit dem Dritten einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen müssen. Der Vertrag sollte erwähnen,

  • welche personenbezogenen Daten iThemes Security speichert,
  • warum das Plugin die Daten speichert,
  • wie lange es die Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung aktualisieren

Unternehmen müssen in ihrer Datenschutzerklärung darauf hinweisen, dass sie iThemes Security verwenden, um ihre Webseite vor unberechtigten Zugriffen zu schützen. Dabei sollten sie erwähnen,

  • warum sie personenbezogene Daten über die Software erheben,
  • wie lange sie die Daten speichern wollen,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. a DSGVO),
  • warum sie die Daten an iThemes Security weitergeben,
  • dass sie mit iThemes Security für die Datenweitergabe einen AV-Vertrag geschlossen haben,
  • dass Nutzer der Datenerhebung und -speicherung jederzeit widersprechen können.

Um Webseitenbesuchern zu erklären, wie das WordPress-Plugin ihre Daten verarbeitet, sollten Seitenbetreiber in ihrer Datenschutzerklärung auch auf die Datenschutzbestimmungen und Nutzungsbestimmungen von iThemes Security hinweisen. User können dann selbst prüfen, wie das Plugin ihre Daten verarbeitet.

Standardvertragsklauseln prüfen

iThemes Security schickt die gesammelten Daten aus dem Plugin auf Basis von Standardvertragsklauseln an den dahinterstehenden Anbieter in den USA. Seitenbetreiber müssen die Standardvertragsklauseln prüfen und abschließen. Zusätzlich müssen sie das Risiko evaluieren, das die Datenübermittlung in die USA aufweist. Dazu müssen sie festhalten,

  • welche Art von Daten sie über das Plugin sammeln und weitergeben,
  • welche Datenschutzgesetze in den USA gelten und
  • ob iThemes Security weitere Mechanismen nutzt, um Userdaten außerhalb der EU zu schützen.

Rechtsprechung zu iThemes Security

Bisher liegt – soweit ersichtlich – keine Rechtsprechung zu iThemes Security vor. Für den Einsatz des Tools sind jedoch diese Urteile wichtig:

Europäischer Gerichtshof zum Privacy Shield

Im Juli 2020 stellte der Europäische Gerichtshof (EuGH) fest: Der Privacy Shield eignet sich nicht, um personenbezogene Daten rechtssicher in die USA zu versenden. Denn: Die dort aktiven Überwachungsprogramme sind nicht auf das zwingend erforderliche Maß beschränkt. Damit entspricht das US-amerikanische Datenschutzniveau nicht dem der DSGVO (Az. C-311/18).

Datenschutzbehörde Hamburg zum AV-Vertrag

Die Datenschutzbehörde Hamburg sprach im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro zuzüglich 250 Euro Gebühren gegen ein Versandunternehmen aus. Dies hatte es versäumt, mit einem beauftragten Dienstleister einen AV-Vertrag zu schließen.

Datenschutzbehörde Baden-Württemberg zum AV-Vertrag

Der VfB Stuttgart musste für fehlende AV-Verträge mit Dienstleistern ein Bußgeld von 300.000 Euro zahlen. Die Strafe hatte die Datenschutzbehörde Baden-Württemberg im März 2021 ausgesprochen.

Europäischer Gerichtshof zur Verwendung von Cookies

Für Tracking Cookies benötigen Seitenbetreiber stets die Einwilligung der User. Das ließ der EuGH in seinem Urteil vom 01.10.2019 wissen. Das Gericht verwies darauf, dass Nutzer ihr Einverständnis aktiv per Opt-In erteilen müssen. Eine vorangekreuzte Checkbox ist rechtlich nicht ausreichend (Az. C-673/17).

Bundesgerichtshof zur Verwendung von Cookies

Der Bundesgerichtshof (BGH) sah das am 28.05.2020 genauso wie der EuGH: Nicht-essenzielle Cookies benötigen eine Nutzer-Einwilligung. Dabei ließen auch die Richter des BGH wissen, dass eine Erlaubnis per Opt-Out nicht ausreicht (I ZR 7/16).

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Datenschutzerklärung für DomainFactory
Weiterlesen...
Datenschutzerklärung für Google Cloud CDN
Weiterlesen...
Datenschutzerklärung für Bewerbungen
Weiterlesen...
Datenschutzerklärung für Google+ Plugin
Weiterlesen...
Datenschutzerklärung für WordPress Stats
Weiterlesen...
Datenschutzerklärung für CopeCart
Weiterlesen...
Datenschutzerklärung für Facebook Custom Audiences
Weiterlesen...
Datenschutzerklärung für CloudFlare
Weiterlesen...
Datenschutzerklärung für Shopify Payments
Weiterlesen...
Datenschutzerklärung für Zendesk
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support