Hier eine Auflistung der Einstellungen und Maßnahmen, die ich generell durchführe, um WordPress rechtssicherer zu machen (Datenschutz & Co.):

Plugins wie Akismet Anti Spam und Jetpack dürfen/sollten nicht verwendet werden

Anleitung: https://www.webseitenschutzpaket.de/artikel/wordpress-plugins-tipps-dsgvo/
Anleitung: https://www.blogmojo.de/wordpress-plugins-dsgvo/

Google Analytics muss rechtssicher eingebunden werden

Anleitung: https://www.e-recht24.de/artikel/datenschutz/6843-google-analytics-datenschutz-rechtskonform-nutzen.html

Google Fonts rechtssicher einbinden

Ich lade mir die Fonts über die Seite https://gwfh.mranftl.com/fonts herunter und speichere sie auf dem eigenen Server. Die Seite erstellt auch den notwendigen CSS-Code.

Bei den Kommentaren wird auch die IP-Adresse gespeichert

Anleitung: https://www.kritzelblog.de/techniken-fuer-webentwicklung/wordpress-dsgvo-ip-adresse-kommentare-entfernen/

Unter Einstellungen -> Diskussion einstellen, dass alle Kommentare freigeschaltet werden müssen (keine automatische Veröffentlichung).

Avatare deaktivieren

unter Einstellungen -> Diskussion.

Sonst werden Daten von https://de.gravatar.com/ eingebunden (dort kann man u.a. Profilbilder mit seiner E-Mail-Adresse verknüpfen, die dann in Profilen oder bei Kommentaren angezeigt werden.)
Dies ist ein weiterer „Service“, der die eigene Website und Besucherverhalten aufzeichnet (trackt). Die IP-Adresse des Nutzers, der die Website aufruft, wird an den Server von Automattic übertragen.

Emojis deaktivieren

Nutze dazu z.B. das Plugin https://wordpress.org/plugins/disable-emojis/
Oder einen Code in die functions.php einfügen https://kulturbanause.de/blog/emojis-aus-wordpress-entfernen/.

Google jQuery-Scripte direkt vom eigenen Hoster laden.

Bei Verwendung von YouTube, OpenStreetMap, Google Maps, Google Analytics usw. ist auf jeden Fall ein Cookie-Banner erforderlich, der die Scripte abfängt. Erst nach der Erlaubnis durch den Besucher werden diese aktivert.
Ich nutze sehr gerne https://wordpress.org/plugins/real-cookie-banner/

Achtung: ich bin kein Anwalt, dies ist keine Rechtsberatung. Vielleicht muss nicht alles umgesetzt werden, und über einige Sachen kann man sicher streiten.

1. Google Analytics

Bei Verwendung dieses Analyse-Tools sind viele Dinge zu beachten, um keine Abmahnung zu riskieren: es muss ein Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag) abgeschlossen werden, die IP-Adressen müssen anonymisiert erfasst werden, man muss auf das Widerspruchsrecht hinweisen und die Datenschutzerklärung entsprechend anpassen.
https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/

Damit auch Nutzer von Smartphone & Co. der Nutzung von Google-Analytics widersprechen können (Browser-Add-On funktioniert nicht auf mobilen Endgeräten), müssen Sie diesen Opt-Out-Code einbinden: https://drschwenke.de/google-analytics-mobile-nutzung-update-anleitung/

Auch bei der Verwendung der Alternative „Matomo“ (vormals „Piwik“) ist ein Hinweis in der Datenschutzerklärung erforderlich!
http://rechtsanwalt-schwenke.de/lg-frankfurt-piwik-abmahnung-fehlerhafter-datenschutzerklaerung-erneut-bestaetigt/

2. Kontaktformulare

a. SSL-Verbindung

Seit dem 1. Januar 2016 gilt die Pflicht für eine SSL-Verbindung (https://) zu Websites mit Kontaktformularen (§ 13 Abs. 7 TMG). Diese Pflicht gilt allgemein für deutsche Websitebetreiber, welche personenbezogene Daten mittels ihrer Website erheben.

Da sich die Umstellung auf SSL auf jeden Fall lohnt (auch bzgl. des Google-Rankings), sollte man das unbedingt umsetzen (lassen). Alle Kunden des Anbieters all-inkl.com können übrigens unter den Domaineinstellungen im KAS ein kostenloses Let’s Encrypt Zertifikat einrichten … dieses ist innerhalb von 5 Minuten aktiv und hat automatisch einen Cron für die monatliche Verlängerung. Bei anderen Anbietern wie z.B. 1und1.de, strato.de und alfahosting.de wird dies kostenpflichtig angeboten. Weitere Anbieter kostenloser Zertifikate bitte in den Kommentaren auflisten.

https://www.datenschutzbeauftragter-info.de/bussgeld-fuer-kontaktformulare-ohne-verschluesselung/
HTTPS: Die zukunftssichere Website mit kostenlosen SSL-Zertifikaten

b. Checkbox zur Zustimmung

Das Formular muss außerdem eine Checkbox zur Zustimmung Ihrer Datenschutzbestimmungen enthalten. Erst bei Zustimmung (abhaken) darf das Formular versendet werden.

https://www.datenschutz-ist-pflicht.de/kontaktformular/

Eine andere Meinung dazu hat Anwalt Stephan Hansen-Oest: https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/

c. Hinweis auf Verwendung der Formulardaten

Unter dem Kontaktformular muss lt. Urteil des OLG Köln vom 11. März 2016 eine Angabe zur Verwendung der Daten vorhanden sein – die Datenschutzerklärung muss über die Verwendung von Daten, die über das Kontaktformular eingegeben wurden und daneben über das Widerrufsrecht aufklären.

Ein Beispiel findet man auf https://rechtsbelehrung.com
Erklär-Video von Rechtsanwalt Thomas Schwenke: https://www.facebook.com/raschwenke/videos/935060806610106/

d. Was ist mit den Kommentaren?

WordPress speichert bei Kommentaren die IP-Adressen der Nutzer! Also bitte die IP-Adresse bei Kommentaren entfernen: https://www.kritzelblog.de/techniken-fuer-webentwicklung/wordpress-dsgvo-ip-adresse-kommentare-entfernen/.

3. Pflichthinweis auf das Online-Streitbeilegungsverfahren

Seit dem 9. Januar 2016 besteht für B2C-Onlinehändler (Business-to-Consumer = Handelsbeziehungen zwischen Unternehmen und Privatpersonen) die Hinweispflicht auf das Online-Streitbeilegungsverfahren der EU, die OS-Plattform muss verlinkt werden: https://ec.europa.eu/odr.

https://www.ra-plutte.de/2016/02/online-streitbeilegung-einstweilige-verfuegung-lg-bochum/

Ab dem 1. Februar 2017 gelten weitere Informationspflichten: http://rechtsanwalt-schwenke.de/b2c-unternehmer-februar-2017-informationspflichten-streitbeilegung/

4. YouTube-Videos datenschutzkonform einbetten

Bereits der Aufruf einer Website mit eingebettetem YouTube-Inhalt erzeugt eine Verbindung zum Google-Werbenetzwerk DoubleClick; auch dann, wenn das eingebettete Video selbst weder angeklickt noch abgespielt wird. Der Nutzer muss aber in der Datenschutzerklärung umfassend informiert werden, insbesondere über die durch den Seitenaufruf gesetzten Cookies und die dadurch ausgelöste Datenverarbeitung. Wer weiß schon so genau, was mit den Daten passiert?
Um halbwegs sicher zu sein, sollten alle Youtube-Videos zumindest im erweiterten Datenschutzmodus eingebettet werden!
Youtube bietet diese Möglichkeit an: Teilen → Einbetten → Mehr anzeigen → Erweiterten Datenschutzmodus aktivieren.
Aus dem Link „www.youtube.com“ wird „www.youtube-nocookie.com“.

http://www.heise.de/ct/ausgabe/2016-1-YouTube-Videos-datenschutzkonform-einbetten-3046316.html

Update 14..04.2018: Es geht noch besser: https://www.blogmojo.de/youtube-videos-datenschutzkonform-einbetten/

5. Facebooks Like-Button

Das LG Düsseldorf hat entschieden, dass die Funktion des Like-Buttons von Facebook gegen deutsches Datenschutzrecht verstößt, da das Plugin personenbezogene Daten der Webseitenbesucher ungefragt an Facebook überträgt (LG Düsseldorf, Urt. v. 09.03.2016, Az. 12 O 151/15 / Urteil als PDF). Das Urteil ist noch nicht rechtskräftig (Stand Mai 2016).

Man sollte unbedingt handeln, die entprechenden Plugins deaktivieren und stattdessen z.B. das Plugin https://wordpress.org/plugins/shariff/ einsetzen. Oder einfache Verlinkungen anbieten, wie ich es auf meinen Seiten mache.

https://www.e-recht24.de/artikel/facebook/10081-urteil-abmahnung-facebook-like-button.html
http://www.heise.de/ct/artikel/Shariff-Social-Media-Buttons-mit-Datenschutz-2467514.html

6. Link zum Impressum durch Cookie-Banner verdeckt

Wenn man Cookie-Hinweis-Leisten (Cookie-Banner) einbindet, z.B. mit dem WordPress-Plugin „Simple Cookie Notification Bar“, wird womöglich der Link zum Impressum dadurch verdeckt … beides wird ja gerne im Footer platziert.

Sind diese Hinweis-Leisten Pflicht? Google schreibt dazu „Wenn Sie Google-Produkte wie Google AdSense oder DoubleClick for Publishers verwenden, sind Sie vertraglich dazu verpflichtet, die EU-Richtlinie zum Einholen der Zustimmung von Google zu befolgen. Wenn Sie Google Analytics-Werbefunktionen verwenden, müssen Sie die Richtlinienanforderungen für Google Analytics-Werbefunktionen beachten.“ (Quelle: http://www.cookiechoices.org/)

Abmahngefahr durch Cookie-Banner
Google macht Cookie-Hinweise zur Pflicht – Handlungsempfehlung für Website- und Appanbieter

7. DSGVO (Datenschutzgrundverordnung) ab Mai 2018

Von Rechtsanwalt Dr. Thomas Schwenke gibt es einen 6-teiligen Ratgeber zur neuen Datenschutzgrundverordnung (DSGVO) – von der Einwilligung bis zur Datenschutzerklärung: http://t3n.de/news/dsgvo-datenschutzgrundverordnung-aenderungen-837794/.

Die DSGVO erfordert auch weitere / umfangreichere Informationen beim Einsatz von Newslettern: Risikominderung im E-Mail-Marketing – Sind Ihre Einwilligungen rechtssicher?.

Ein Experteninterview mit dem Datenschützer Jürgen Recha aus Hannover gibt es im Blog von Maler Heyse: Datenschutz-Grundverordnung DSGVO im Handwerk

Eine ausführliche Darstellung: Datenschutz-Grundverordnung – Text der DSGVO. Das offizielle PDF der EU-Datenschutz-Grundverordnung (deutsch und englisch).

Weitere Infos: Datenschutz und ePrivacy 2018 – Änderungen für Onlinemarketing, Tracking und Cookies.

In einem Leitfaden hat der ZDH zusammengestellt, was Handwerksbetriebe im neuen Datenschutzrecht beachten müssen: Leitfaden zur neuen Datenschutzgrundverordnung.

Ein Überblick über WordPress-Plugins, die personenbezogene Daten sammeln und wo sie diese speichern: WordPress-Plugins & DSGVO: Liste problematischer Plugins (+Plugin-Tipps!).

Kunden von all-inkl.com können nun unter https://all-inkl.com/members/ -> Stammdaten -> Auftragsverarbeitung den gemäß DSGVO vorgeschriebenen Auftragsverarbeitungsvertrag per Knopfdruck abschließen.

8. Google-Tracking von Admins und Web-Besuchern mit Google-Fonts

Dieser Artikel beschreibt, welche Daten an den Server von Google übertragen werden, wenn man die Google-Schriften einbindet, unter anderem die IP-Adresse des Users: https://www.hubit.de/google-tracking-von-admins-und-web-besuchern-mit-google-fonts/.
Über die Website https://google-webfonts-helper.herokuapp.com/fonts kann man sich die Schriften herunterladen und den mitgelieferten CSS-Code in sein Theme einbinden.

Auch WordPress verwendet Google-Fonts! Hier hilft das Plugin Disable Google-Fonts.

Lesen Sie auch die Datenschutzerklärung von Google.

Überprüfen Sie Ihre Website oder lassen Sie dies von einem spezialisierten Rechtsanwalt durchführen!

Kein Anspruch auf Vollständigkeit, keine Rechtsberatung, Irrtum vorbehalten.
Weitere Hinweise auf diese oder weitere Gesetzesänderungen gerne in den Kommentaren!

Ich habe den Punkt 1 (Adminbereich “Allgemeine Seiteninformationen” aufrufen) auf meiner Seite nicht gefunden 🙂
Man muss nur den Bereich „Info“ bzw. „Bearbeiten“ im Infokasten anklicken, dann die Angaben entsprechend einfügen.

Das sollte sicher sein … bis zum nächsten Update 🙁

Siehe auch: Abmahnung wegen fehlenden Impressums bei Google+ So sichern Sie Ihr Profil ab