Warum ist ManageWP datenschutzrechtlich relevant?

ManageWP kann auf sämtliche Inhalte und Datenbanken von Webseiten zugreifen. Dazu zählen unter anderem IP-Adressen und personenbezogene Daten. Dafür müssen Unternehmen Vorgaben der Datenschutz-Grundverordnung (DSGVO) beachten.

Zudem ist unklar, wo ManageWP die Daten von Webseiten speichert. Infrage kommen sowohl die Server in Scottsdale in den USA als auch die Server in Belgrad in Serbien. Serbien gehört nicht zur EU. Damit landen die Daten in jedem Fall in einem Drittland, in dem nicht die Pflichten der DSGVO gelten. Seitenbetreiber müssen daher besondere Maßnahmen ergreifen, um sensiblen Daten zu schützen.

ManageWP DSGVO-konform nutzen

Seitenbetreiber müssen auf diese rechtlichen Vorgaben achten, wenn sie das WordPress-Plugin ManageWP nutzen:

Vertrag zur Auftragsverarbeitung abschließen

Unternehmen geben personenbezogene Daten an einen Dritten weiter, wenn sie ManageWP verwenden. Dafür schreibt Art. 28 DSGVO vor, dass sie mit dem Anbieter GoDaddy einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen müssen. Dabei sollten sie darauf achten, dass der von GoDaddy bereitgestellte Vertrag erwähnt,

welche personenbezogenen Daten GoDaddy über ManageWP erhält,
warum es die Daten speichert,
wie lange es die Daten speichert und
welche Rechte und Pflichten Seitenbetreiber und GoDaddy haben.

Datenschutzerklärung aktualisieren

Unternehmen müssen in ihrer Datenschutzerklärung ausführlich darüber informieren, dass sie das WordPress-Plugin ManageWP für ihre Webseite nutzen. Dabei sollten sie erklären,

warum sie über das Tool personenbezogene Daten erheben,
wie lange sie die Daten speichern,
welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. f DSGVO),
dass sie für die Datenweitergabe mit GoDaddy einen AV-Vertrag geschlossen haben und
dass User der Datenerhebung und -speicherung jederzeit widersprechen können.

Diese Angaben verleihen Webseitenbesuchern einen ersten Eindruck, was mit ihren Daten bei GoDaddy passiert. Zusätzlich sollten Unternehmen auf die Datenschutzbestimmungen und Nutzungsbedingungen von ManageWP verweisen. Dort finden Nutzer weitere Informationen zum Datenschutz, wie beispielsweise den Zusatz zur Datenverarbeitung.

Rechtsprechung zu ManageWP

Versäumen es Unternehmen, einen AV-Vertrag mit einem Dritten zu schließen, erlaubt die DSGVO eine Strafe von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Ein deutsches Versandunternehmen musste daher 2018 ein Bußgeld in Höhe von 5.000 Euro zzgl. Gebühren von 250 Euro zahlen. Es hatte sich nicht verantwortlich gesehen, einen AV-Vertrag für die Zusammenarbeit mit einem spanischen Postdienstleister aufzusetzen. Stattdessen sah das Unternehmen seinen Geschäftspartner in der Pflicht.

Der Hessische Datenschutzbeauftragte verwies daher darauf, dass beide Parteien die Verantwortung tragen, sensible Daten mit einem AV-Vertrag zu schützen. Das deutsche Unternehmen setzte trotzdem keinen entsprechenden Vertrag auf. Der Aufwand dafür sei zu groß. Die Hamburger Datenschutzbehörde stufte das als Verstoß gegen die DSGVO ein. Es setzte das Bußgeld gegen das Unternehmen fest.