WordPress Plugins und DSGVO – was haben Plugins mit Datenschutz zu tun? Naja, eine ganze Menge. Denn es gibt einige Plugins, die personenbezogene Daten speichern oder übermitteln.

DSGVO und WordPress Plugins: The Good, The Bad and The Ugly

Das können IP Adressen sein, Emailadresse, Name, Geburtsdatum…

Dieser Artikel ist Teil 3 meiner Artikelserie DSGVO und Dein Online-Business. Im ersten Teil gehe ich auf die Grundlagen ein und versuche einen kleinen Leitfaden zu geben. In Teil 2 findest du ein kleines Tutorial, wie Du YouTube Videos DSGVO konform einbettest.

Hier liste ich einige der gebräuchlichsten Plugins auf, nach Kategorien geordnet und zeige Dir Alternativen für kritische Plugins. Dieser Artikel erhebt natürlich keinen Anspruch auf Vollständigkeit und falls Du eine Ergänzung für mich hast, gerne in den Kommentaren posten!

An dieser Stelle auch wieder mein Disclaimer:

DISCLAIMER – HINWEIS:

Ich bin weder Juristin noch Datenschutzbeauftragte! Dieser Artikel stellt KEINE Rechtsberatung dar, sondern gibt lediglich das wieder, was ich in eigener Recherche Arbeit zu diesem Thema herausgefunden habe. Ich übernehme keine Gewähr für Richtigkeit, Aktualität und Vollständigkeit meiner Ausführung und keinerlei Haftung für mögliche Rechtsfolgen.

Social Plugins

Meiner Meinung nach die ganz großen „Bads“ und „Uglys“ hier in der Liste. Dabei beziehe ich mich vor allem auf die sogenannten Sharing Plugins, mit denen Deine Leser Deine Blogbeiträge bequem in den sozialen Netzwerken teilen können. Die meisten Social Plugins kommunizieren allerdings bereits direkt beim Betreten Deiner Website mit dem jeweiligen Social Network und übertragen Daten Deiner Besucher.

Social Sharing Plugins

Bekannte Sharing Plugins sind:

  • Monarch
  • Share This
  • AddThis
  • JetPack
  • Mashshare (laut Entwickler DSGVO-konform, allerdings wird der Facebook Social Graph geladen, wodurch Daten übertragen werden)

Eins der wenigen datenschutzkonformen Sharing-Plugins ist das Plugin Shariff Wrapper, da hier Daten erst übertragen werden, nachdem der Nutzer auf den Button geklickt hat.

Ein weiteres datenschutzkonformes Plugin ist das Sharing-Plugin von eRecht24, das Premium-Mitgliedern zur Verfügung steht.

Like Box Plugin

Die Facebook Like Box ist auch problematisch. Hier ist es besser, einfach einen Link zu setzen.

Social Button Plugins

Solange die Plugins einfach nur Buttons auf Deiner Seite einfügen mit Links zum jeweiligen Social Network, ist das in der Regel unkritisch. Allerdings solltest Du hier bedenken, dass diese Plugins häufig auch Webfonts (Schriftarten) nutzen, um die Social Icons anzuzeigen. Diese Webfonts wiederum übertragen auch Daten an den jeweiligen Font Anbieter. Alternative wäre hier, die Font auf dem eigenen Server abzulegen (Anleitung folgt), als Grafik abzulegen oder reine Textlinks anzubieten. Zumindest sollte aber ein Hinweis in die Datenschutzerklärung rein. Ich nutze hier Links mit Icons von Font Awesome, die ich auf meinem Server abgelegt habe.
Bekannte Social Button Plugins sind:

  • Simple Social Icons
  • Lightweight Social Icons
  • Social Media Feather | social media sharing – Hier handelt es sich auch um ein Sharing Plugin, also eher ungeeignet.

Sicherheitsplugins & Anti Spam Plugins

Sicherheitsplugins wie Wordfence, Ninja Firewall, iThemes Security und Limit Login Attempts speichern in der Regel IP Adressen Deiner Nutzer und einige legen auch Logfiles an. Hier gilt es zum einen zu klären, ob IP Adressen auf Deinem Server oder dem des Anbieters gespeichert werden (in diesem Fall ist ein Vertrag zur Auftragsdatenverarbeitung erforderlich). Gut wäre es, wenn die Speicherung und Übertragung der IP Adressen deaktiviert werden könnte. iThemes Security und WordFence speichern die Daten auf den Anbieter Servern, deshalb brauchst Du hier einen ADV-Vertrag!

Mein Favorit Ninja Firewall, den ich auf vielen Seiten im Einsatz habe und Limit Login Attempts Reloaded speichern IP Adressen auf Deinem Server. Das ist natürlich hier nötig zum Schutz vor Brute-Force-Angriffen, hier sollte auf jeden Fall ein Passus in die Datenschutzerklärung mit rein! Bei Ninja Firewall kannst Du die IP Adressen in den Firewall-Optionen anonymisieren. Außerdem kannst Du einstellen, wie lange Logfiles gespeichert werden können. So kannst Du z.B. alle Logdateien löschen lassen, die älter als 7 Tage sind.

Ninja Firewall

Wirklich empfehlenswert finde ich in diesem Zusammenhang übrigens nur Ninja Firewall und Limit Login Attempts Reloaded. Da das A und O in der Sicherheit ein sicheres Passwort sowie regelmäßige Updates und Backups sind und die meisten Sicherheitsplugins darüber hinaus nicht wirklich viel Nutzen bieten, kannst Du ggf. das Plugin auch deaktivieren.

Kontaktformulare

Kontaktformulare sind natürlich der Knackpunkt für den Datenschutz auf Deiner Website, da hier personenbezogene Daten erfasst werden. Hier gilt das Motto: Datensparsamkeit – nur so viel wie dringend nötig. Hier sollten Daten wenn möglich nicht oder nur wenn eine Rechtsgrundlage vorliegt (Einwilligung des Nutzers, Vertragserfüllung, berechtigtes Interesse… siehe Art. 6 DSGVO) gespeichert werden.

Mittlerweile unterstützen die meisten Formular-Plugins Checkboxen, so dass Du kein separates Plugin mehr dafür brauchst.

Contact-Form 7 speichert keine Daten auf dem Server, auch Ninja Forms nicht. 

Bei Gravity Forms kannst Du unter Einstellungen – Personenbezogene Daten die Speicherung von IP Adressen unterbinden.

Gravity Forms IP Adressen nicht speichern

Warum die Einwilligung nicht unbedingt die beste Rechtsgrundlage für das Verarbeiten von Kontaktformulardaten ist und welche Rechtsgrundlagen stattdessen greifen, das erklärt Rechtsanwalt Stephan Hansen-Oest in seinem neuesten Podcast: Braucht mein Kontaktformular jetzt eine Checkbox?. Anders sieht es natürlich aus, wenn Du besonders sensible Daten abfragst. Und eben beim Newsletterversand:

Newsletterplugins, Lead Plugins & Popup Plugins

Darunter fallen Plugins wie Mailpoet oder Newsletter. Achte hier darauf, dass Du Double-Optin nutzt und nur so viele Daten wie nötig erhebst (also strenggenommen nur die Email Adresse).

Bekannte Lead-Plugins sind

  • Thrive Leads
  • Optin Monster
  • Bloom

Achte hier auch auf die Checkbox zur Einwilligung!

Thrive Leads hat diese Erweiterung bereits zugesagt.

Für Bloom (und die DIVI Formulare) gibt es eine kostenpflichtige Erweiterung, die das Plugin DSGVO-konform macht: Bloom GDPR Overlay Plugin

Bei Popup Plugins wie Thrive Leads, Popup Ally, Bloom etc., die Exit Intent anbieten, werden Cookies gesetzt (damit nicht andauernd Popups bei Deinen Besuchern auftauchen).

Hier sollte auf jeden Fall ein Hinweis in die Datenschutzerklärung zum Thema Cookies mit rein. Ggf. auf diese Werbemittel verzichten.

Kommentarplugins & Blogabos & Anti-Spam Plugins

Zum Thema Kommentare hatte ich in meinem vorherigen Artikel schon einiges geschrieben, trotzdem nochmal hier an dieser Stelle:

In Kommentaren solltest Du per functions.php oder Plugin die Speicherung der IP Adresse unterbinden.

Plugins, die Blogabos anbieten wie JetPack und Subscribe to Comments Reloaded sollten mit einem Double Optin versehen sein oder gleich Subscribe to „Double-Opt-In“ Comments nutzen.

Als Alternative für die Gravatar-Funktion bietet sich das Plugin WP User Avatar an, das ich auch für meine Kommentare einsetze. Du kannst hier Avatar-Bilder auf Deinen Server hochladen und in den Einstellungen Gravatar deaktivieren und nur lokale Avatare verwenden.

Kommentarspam solltest Du übrigens nach wie vor aus Datenschutzgründen nicht mit dem WordPress-Standard-Plugin Akismet, sondern mit Antispam Bee bekämpfen. Hier solltest du allerdings noch eine kleine Einstellung machen, um AntiSpamBee wirklich datenschutzkonform zu nutzen: „Öffentliche Spamdatenbank berücksichtigen“ solltest Du deaktivieren bzw. deaktiviert lassen (denn in der Standardeinstellung ist es nicht aktiv). Die Funktion „Bestimmte Länder blockieren bzw. erlauben“ überträgt die IP-Adressen nur anonymisiert, und in der Einstellung „Kommentare nur in einer Sprache zulassen“ wird nur der Kommentartext, nicht aber Email, IP oder Name des Kommentierenden an Google übertragen. Siehe auch hier oder hier Statement des Entwicklers.

Backup-Plugins

Bekannte Backup-Plugins sind BackWPUp oder Updraft Plus. Hier solltest Du wissen, dass wenn Du personenbezogene Daten auf Deiner Website speicherst (wie Email, IP, Name…), diese auch im Backup gespeichert werden. So solltest Du hier wie immer auf Datensicherheit achten. Solltest Du Deine Backups noch dazu auf Cloud-Diensten wie Dropbox, OneDrive, Amazon S3 speichern, ist besondere Vorsicht geboten, denn hier werden die Daten auf fremde Server übertragen.

SEO-Plugins

[UPDATE 20.05.]: Hier solltest Du ein besonderes Auge auf Redirection Plugins werfen, also Plugins, mit deren Hilfe Du eine Seite umleiten kannst auf eine andere.

Das Plugin „Redirection“ speichert von Haus aus IP-Adressen, was Du aber in den Einstellungen deaktivieren kannst:

Redirection Plugin

Damit wäre das Plugin dann konform.

Das Plugin „SEO Redirection“ hingegen bietet diese Möglichkeit derzeit nicht an, ist damit also nicht DSGVO-konform.

Im Prinzip brauchst Du solche Plugins allerdings gar nicht, sondern kannst Umleitungen auch in Deiner .htaccess Datei einrichten (sofern Du einen Apache-Server nutzt).

Community & Member Plugins

Hierunter fallen Foren Plugins wie BuddyPress, aber auch Member Plugins wie Digimember oder Ultimate Member und Learning Management Systeme wie LearnDash. Auch hier werden personenbezogene Daten gespeichert und ggf. an Drittserver übertragen.

Hier sind bei lokaler Speicherung Datenschutzhinweise und bei Übermittlung an Drittserver ADV-Verträge wichtig.

Wichtig bei Digimember: unbedingt auf Version 3 updaten, da bei Version 2 Passwörter im Klartext gespeichert werden.

Affiliate & Ecommerce Plugins

WooCommerce, wohl das bekannteste Ecommerce Plugin, speichert Daten auf dem Webserver und je nach Addon können Daten an Drittserver übertragen werden.

Bei Affiliate Plugins wie Pretty Links sollte das Tracking unterbunden werden und bestehende Klickstatistiken gelöscht werden.

Multifunktionsplugins

Hier fällt das allseits bekannte JetPack darunter, bei dem einige Funktionen datenschutzrechtlich bedenklich sind:

  • Social Sharing Buttons
  • Kommentar-Abo-Funktion
  • Statistikfunktion speichert IP-Adressen

Hier findest Du eine Übersicht, was JetPack alles an Daten überträgt.

Mal abgesehen davon ist JetPack nicht gerade ein leichtgewichtiges Plugin. Es bleibt abzuwarten, inwieweit Automattic das Plugin datenschutzkonform macht.

Nützliche Plugins

Cookie Hinweise

Laut EuGH Urteil vom 29.07.2019 ist Opt-In in Deutschland nun Pflicht! Ich empfehle dazu folgende Plugins:

  • Borlabs Cookie – Opt-In Lösung für Cookies, Google Analytics & Facebook Pixel Unterstützung, Blockieren und Nachladen von iframes (Google Maps, YouTube, Vimeo…)
  • Pixel Mate: Facebook Pixel datenschutzkonform einbinden mit Opt-In (inkl. Google Analytics mit IP Anonymisierung und Opt-In) und Cookie-Notice

Google Analytics & Facebook Pixel

Bei Google Analytics solltest Du ein Opt-Out in der Datenschutzerklärung bereithalten, die IP Adressen anonymisieren und ggf. DNT (Do Not Track) unterstützen. Bei Google Analytics und dem Facebook Pixel solltest Du unbedingt auf ein Optin setzen laut neuesten EuGH Urteil vom 29.07.2019

  • Borlabs Cookie – Opt-In Lösung für Cookies, Google Analytics & Facebook Pixel Unterstützung, Blockieren und Nachladen von iframes (Google Maps, YouTube, Vimeo…)
  • Pixel Mate: Facebook Pixel datenschutzkonform einbinden mit Opt-In (inkl. Google Analytics mit IP Anonymisierung und Opt-In) und Cookie-Notice

Kommentare

Videos einbetten

  • Borlabs Cookie – Opt-In Lösung für Cookies, Google Analytics & Facebook Pixel Unterstützung, Blockieren und Nachladen von iframes (Google Maps, YouTube, Vimeo…)
  • Pixel Mate: Facebook Pixel datenschutzkonform einbinden mit Opt-In (inkl. Google Analytics mit IP Anonymisierung und Opt-In) und Cookie-Notice
  • WP YouTube Lyte – YouTube Videos datenschutzkonform nutzen
  • Lazy Load for Videos – YouTube und Vimeo Videos datenschutzkonform einbetten
  • Extra Privacy for Elementor (Addon für Pagebuilder Elementor: 2-Klick-Funktion für Videos und Google Maps)

Google Maps

  • Borlabs Cookie – Opt-In Lösung für Cookies, Google Analytics & Facebook Pixel Unterstützung, Blockieren und Nachladen von iframes (Google Maps, YouTube, Vimeo…)
  • Pixel Mate: Facebook Pixel datenschutzkonform einbinden mit Opt-In (inkl. Google Analytics mit IP Anonymisierung und Opt-In) und Cookie-Notice
  • AWEOS Google Maps iframe load per click (2-Klick-Lösung für Google Maps – wenn über iFrame eingebunden)

Emojis, Google Fonts & Gravatare

Oder schau Dir mal meine Anleitung an zum Entfernen und lokalen Einbinden von Google Fonts!

Löschfunktionen für Nutzer

  • Delete Me – damit können Nutzer ihren Account selbst löschen
DSGVO und WordPress Plugins: The Good, The Bad and The Ugly

Ähnliche Beiträge

28 Kommentare

  1. Hallo Martina,

    weisst du, wie es mit der Einbindung des Google Reviews Widget aussieht?
    Was ist hier zu tun, um das Plugin datenschutzkonform zu nutzen?

    Danke und viele Grüße,
    Christina

    1. Hallo Christina,

      das Plugin kenne ich leider nicht so gut – es könnte aber sein, dass Daten an Google oder Facebook übertragen werden, insbesondere wenn Bilder geladen werden. Auf deren Website schreiben sie ja zumindest, dass man Bilder deaktivieren und Namen kürzen kann (zumindest in der Business Version). Inwieweit sonst noch Daten übertragen werden, weiß ich leider nicht, da ich das Plugin selbst nicht nutze. Am besten kontaktierst Du mal den Entwickler dazu.

      LG Martina

  2. Hallo Martina, wir müssen aktuell unsere Vereinsseite neu aufbauen, hast du evtl. Erfahrung mit dem DSGVO Patron von https://wpliftup.de/ gemacht? Da wir YT Videos von unseren Events einbinden wollen, schauen wir gerade was wir dafür nehmen können. Kannst du ein gutes Bewertungs-Plugin empfehlen, wir möchten gerne unsere Vereinsangebote bewerten lassen.

    Liebe Grüße Rudi

  3. Hallo Martina,

    wow! Vielen vielen Dank für diesen tollen Guide. Das hat mir wirklich sehr geholfen meine Homepage zu einem hoffentlich sehr großen Teil DS-GVO konform einzurichten. Wirklich der beste Guid den ich im Internet zu diesem Thema gefunden habe!

    Eine Frage/Herausforderung bleibt bei mir allerdings noch: Social Links. Du hast geschrieben, dass du die Font Awesome Icons auf deinem Webspace eingefügt hast. Leider finde ich keinen guten Guide zu diesem Thema oder ein Plugin welches lokale Icons nutzt. Hast du hier vielleicht einen Tipp oder eine kleine Anleitung für mich! Dafür wäre ich dir wirklich sehr dankbar!

    LG Tobi

    1. Hallo Tobi,

      Danke für Dein tolles Feedback! freut mich, dass ich helfen konnte. Zu Deiner Frage: Mit Font Awesome verfährst du ähnlich wie mit Google Fonts (https://webmasterin.netgoogle-fonts-lokal-einbinden/). Bei Font Awesome gibts eine kleine Anleitung, dort kannst Du auch die Fonts downloaden: https://fontawesome.com/how-to-use/on-the-web/setup/hosting-font-awesome-yourself Vielleicht mache ich die Tage mal noch eine kleine Anleitung dazu. 🙂

      LG Martina

      1. Das wäre so super, wenn es da einen einfachen verständlichen Guide von dir dazu geben würde. Das ist wirklich, dass einzige Thema was hier noch auf meiner To-Do-Liste steht.

        … die Entwickler (z.B. bei CodeCanyon) haben nicht so wirklich Lust auf das Thema 😀 Ich glaube es dauert nicht mehr lange und die Entwickler werden merken, dass die Verkaufszahlen runtergehen und (hoffentlich) anfangen ihre Plugins direkt „GDPR ready“ zumachen.

        LG

  4. Hallo Martina,
    Respekt!
    Toller Artikel und auch für versierte User noch sehr hilfreich.
    Vielen Dank dafür.

    Eine Kleinigkeit möchte ich aber doch anmerken:
    Das PlugIn Remove Google Fonts References ist getestet bis zur WP-Version 4.5.13 und das ist doch schon sehr, sehr lange her 😉
    Ich bevorzuge das einbinden der Schriften per Script und habe sie auf meinem Server bzw. auf den Servern meiner Kunden gelagert wo sie benötigt werden.

    Mit freundlichen Grüßen aus den Weiten des Webs
    Rio

    1. Hallo Rio,

      danke für Dein Feedback! Ja, auch ich bevorzuge das lokale Einbinden der Fonts und Entfernen der alten References über functions.php. Ich habe das Plugin der Vollständigkeit halber aufgelistet. Ja, es wurde länger nicht mehr upgedatet, in dem Fall sehe ich das aber nicht so kritisch. Trotzdem empfehle ich natürlich auch die Functions.php- Lösung, nachzulesen in meinem neuesten Artikel :-): https://webmasterin.netgoogle-fonts-lokal-einbinden/

      Liebe Grüße
      Martina

  5. Hallo Martina,
    vielen Dank für deine informativen Artikel zur DSGVO!

    Könntest Du mir bitte sagen ob du die Cookie Zustimmung/Abfrage (Analytics Tracking) auf deiner Startseite und die Opt-In/Opt-out Option für GA in deiner Datenschutzerklärung mittel Plugins umgesetzt hast?
    Falls ja, mit welchen?
    Vielen Dank!
    Liebe Grüsse aus Wien,
    stefan

      1. Hallo Martina,
        vielen dank für deine Antwort!

        Den Opt in /Opt out Banner in deiner Datenschutzerklärung hast du auch mittels Borlabs Cookie realisiert?
        Oder nur den auf der Startseite?

        Vielen Dank!

        Liebe Grüsse,

        stefan

  6. Vielen Dank für diese hilfreiche Zusammenfassung! Ich habe einiges gelernt, gebe aber zu: Mich als WP-Laie überfordert das Thema trotzdem noch … :/

    Du schreibst zu den Backup-Plugins: „So solltest Du hier wie immer auf Datensicherheit achten.“ Könntest du das noch ein bisschen näher definieren? Was muss ich beachten, wenn ich mein Backup-Plugin weiterhin verwenden möchte?

    1. Hallo Mia,

      Danke, es freut mich, dass ich Dir etwas helfen konnte!
      Damit meine ich, dass Du darauf achten solltest, dass niemand Zugriff auf das Backup hat, da hier ja auch personenbezogene Daten gespeichert werden.

      LG Martina

    2. Liebe Mia,

      falls BackWPup dein Backup Plugin ist, kann ich dir vielleicht auch noch ein wenig weiterhelfen 🙂 In unserer Dokumentation „BackWPup, Backups und die DSGVO“ (https://backwpup.de/doku/backwpup-backups-und-die-dsgvo/) beschreiben wir, inwiefern BackWPup Daten speichert; personenbezogene Daten deiner Webseitenbesucher befinden sich in deinem Backup, das Plugin als solches speichert keinerlei personenbezogene Daten 🙂 Wie Martina schrieb, musst du darauf achten, dass niemand an dein Backup dran kommt. Hier empfehlen wir dir, dass du deinen Speicherort sorgfältig auswählst. Falls du beispielsweise dein Backup bei einem Cloudanbieter wie Dropxbox oder Google Drive hochlädst, musst du einen AV Vertrag mit dem Anbieter abschließen (weitere Infos in unserer Doku, Link s.o.). Außerdem solltest du dann beachten, dass dein Backup unverschlüsselt beim Drittanbieter „herumliegt“. Für den Fall, dass Fremde Zugang zu deiner Cloud erhalten, können diese auch auf dein Backup und somit auf die persönlichen Daten deiner Webseitenbesucher zugreifen. Damit Backups mit BackWPup in Clouds DSGVO-konform abgesichert sind, haben wir eine Verschlüsselung eingebaut (allerdings nur in der Pro Version von BackWPup.) Falls du mehr Informationen darüber haben willst, kann ich dir diese Dokumentation von uns empfehlen: https://backwpup.de/doku/wie-kann-ich-backups-verschluesseln-bevor-sie-hochgeladen-werden/ – dort beschreiben wir detailliert, wie unsere Verschlüsselung funktioniert 🙂

      Ich hoffe, ich konnte dir weiterhelfen 🙂

      Liebe Grüße
      Jessie von Inpsyde

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert