Meine DSGVO-Artikelserie geht in den Endspurt: In diesem Beitrag gehe ich auf WordPress-Plugins und ihre Datensammelwut ein, die meist mit den Anforderungen der DSGVO nicht konform ist.
Es gibt eine große Anzahl von WordPress-Plugins – kostenlose wie kostenpflichtige, die personenbezogene Daten entweder in der Datenbank speichern (es reicht ja schon die IP-Adresse) oder an externe Server senden.
An manchen dieser Plugins lassen sich mit entsprechenden Anpassungen an den Einstellungen Speicherung oder Versenden von Daten abschalten, bei anderen wiederum nicht, was heißt: Man löscht dieses Plugin und/oder sucht dafür eine datenschutzkonforme Alternative.
Hinweis: Ich bin keine Anwältin, daher gebe ich in diesem Beitrag nur meine persönliche Meinung wider. Es handelt sich NICHT um eine Rechtsberatung. Falls du konkrete Hilfe bei der Umsetzung der DSGVO auf deiner Website benötigst, solltest du einen Rechtsanwalt heranziehen.
Welche Plugins sind sicher?
Nachfolgend führe ich ein paar Plugins auf, die bei den meisten Bloggern sehr beliebt und damit häufig im Einsatz sind. Sie dürften datenschutzrechtlich keine Probleme bereiten, dennoch kann ich keine 100prozentige Garantie geben.
Plugins für Suchmaschinenoptimierung
Yoast SEO ist laut dessen Entwickler bis zum 25. Mai 2018 sicher, da es keine personenbezogenen Daten speichert.
Auch All in One SEO Pack soll absolut sicher sein.
Statistik-Plugins
Google Analytics in Verbindung mit entsprechenden Plugins – z. B. Google Analytics für WordPress von MonsterInsights – ist mit wenigen Anpassungen wie Abschluss eines Auftragsverarbeitungsvertrags und der Anonymisierung der IPs sicher, doch wer davon Abstand nehmen will, kann z. B. auf das Plugin Statify ausweichen.
Den Entwicklerangaben zufolge speichert es keine personenbezogenen Daten.
Plugins für Social Media
Die beliebten offiziellen Plugins für Teilen von Social-Media-Inhalten sollte man besser nicht verwenden, da diese schon vor dem ersten Klick Daten erfassen. Ich empfehle, besser auf Shariff Wrapper (was ich selbst nutze) auszuweichen.
Anti-Spam-Plugins
Da bleibe ich bei Anti-Spam-Bee, auch wenn ich für die datenschutzkonforme Nutzung noch ein paar Einstellungen anpassen muss. Bei den Anti-Spam-Regeln habe ich die Häkchen bei “Öffentliche Spamdatenbank berücksichtigen” und bei “Kommentare aus bestimmten Ländern blockieren” entfernt, weil diese beiden Funktionen auf externe Server zugreifen.
Plugins für Kontakformulare
Ich werde weiterhin das beliebte Kontaktformular-Plugin Contact Form 7 verwenden, denn mit dessen Funktionen komme ich sehr gut zurecht. Um den Zustimmungshinweis in das Formular zu integrieren, habe ich das Plugin WP GDPR Compliance installiert (siehe die Erläuterung in Artikel: Weitere Informationspflichten in der DSGVO).
Sicherheit-Plugins
Damit ich sehe, ob jemand versucht, sich auf meinem Blog einzuloggen, habe ich das Sicherheitsplugin Limit Login Attempts installiert. Allerdings speichert es IP-Adressen von den Personen ab, die sich widerrechtlich Zugang zum internen Bereich der Website verschaffen wollen. Wenn ich das Plugin weiterhin verwenden will, muss ich dazu einen Hinweis in die Datenschutzerklärung schreiben.
Backup-Plugins
Für Backups bzw. Sicherungen meiner Websites verwende ich BackWPup und Updraft. Diese Plugins sammeln insoweit personenbezogene Daten, wenn die Website oder das Blog personenbezogenen Daten erfasst, z. B. in Kommentaren. Um die Sicherungen datenkonform einzustellen, dürfte man im Blog keine personenbezogenen Daten mehr abgreifen.
Da ich meine Sicherungen auf dem Webspace und auf einer externen Festplatte abspeichere, sehe ich diesen Konflikt nicht als allzu schwerwiegend an. Clouddienste würde ich für das Ablegen von Backups nicht nutzen.
Cache-Plugins
Von den vielen Cache-Plugins nutze ich WP SuperCache, das als DSGVO-konform eingestuft ist.
Umfrage-Plugins
Das von mir eingesetzte WP Polls sollte in den Options bei Poll Logging Method auf Do not log gestellt werden. Durch diese Deaktivierung könnten allerdings Mehrfachabstimmungen möglich sein.
Wer sich einen ausführlicheren Überblick über DSGVO-konforme oder nicht-konforme WordPress-Plugins verschaffen will, findet bei WP Ninjas eine umfassende Auflistung.
Welche Plugins sind nicht sicher?
Die kritischsten Plugins sind wohl die Social-Media-Plugins, die von den Netzwerken wie Facebook den Usern zur Verfügung gestellt werden. Sie übertragen bereits Daten an den Serviceanbieter, wenn man nur die Website besucht und noch gar keine Social-Media-Aktion wie Teilen oder Liken durchgeführt hat.
Aber auch andere Sharing-Plugins, die die Original-Buttons der einzelnen Netzwerke verwenden, sollte man nicht einsetzen.
Ein weiteres problematisches Plugin ist Jetpack, das einige Daten an WordPress.com überträgt, wie Mailadressen von registrierten Usern, Kommentare etc. Welche Daten genau erfasst und gespeichert werden, findest du im Jetpack-Support. Angeblich soll das Plugin in der neuen Version DSGVO-konform gestaltet sein.
Das Anti-Spam-Plugin Akismet sendet ebenfalls Daten an externe Server, daher lösche ich es direkt, wenn ich eine neue Website mit WordPress erstelle. Eine Alternative ist das oben genannte Anti-Spam-Bee.
Diese Plugins gelten schon seit Jahren als unsicher und stehen daher schon länger auf der “Schwarzen Liste”.
Das Problem für die meisten WordPress-Nutzer dürfte sein, herauszufinden, welche Plugins risikolos eingesetzt werden können und welche nicht, denn schließlich gibt es keinen internen Hinweis, ob und wenn ja, welche Daten das jeweilige Plugin erfasst und speichert.
Dieses Risiko muss man wohl eingehen, sich nun groß davon verunsichern lassen, würde ich mich nicht. Die DSGVO ist eine gute Gelegenheit, die Zahl der verwendeten Plugins in seinen Installationen zu reduzieren und sich in den zahlreichen Blogartikeln, die über sichere und unsichere Plugins Listen erstellt haben, zu informieren und auch ansonsten bei diesem Thema auf dem Laufenden zu bleiben.
Google Fonts und Emojis auf dem Blog ausschalten
Neben Plugins gibt es noch Google Fonts und Emojis, die extern geladen werden und somit auch Daten erfassen.
Wer diese Elemente von seinem Blog oder seiner Website entfernen möchte, kann dies mithilfe des Plugins Autoptimize auf dem Registertab Extras erledigen (Emojis entfernen, Google Fonts entfernen).
Allerdings kann es vorkommen, dass das Plugin nicht mit allen WordPress-Themes reibungslos funktioniert. Dann lohnen sich die Alternativen Disable Emojis und Disable Embeds.
In vielen Themes lassen sich die Google Fonts durch die üblichen Standardschriften Arial, Tahoma, Helvetica etc. in den Theme-Einstellungen austauschen.
IPs von Kommentaren entfernen
Wer die IPs von kommentierenden Usern nicht mehr speichern will, da sie ja auch zu den personenbezogenen Daten zählen, kann dies mit dem Plugin Remove IP umsetzen. Die Löschung schon abgespeicherter IPs in alten Kommentaren wird nicht durchgeführt. Diese müssen mit einem Codeschnipsel, das in die functions.php eingefügt wird, entfernt werden.
Codeschnipsel:
[fusion_syntax_highlighter theme="hopscotch" language="x-php" line_numbers="" line_wrapping="" copy_to_clipboard="" copy_to_clipboard_text="In die Zwischenablage kopieren" hide_on_mobile="small-visibility,medium-visibility,large-visibility" class="" id="" font_size="" border_size="" border_color="" border_style="" background_color="" line_number_background_color="" line_number_text_color="" margin_top="" margin_left="" margin_bottom="" margin_right=""]ZnVuY3Rpb24gcmVtb3ZlX2NvbW1lbnRfaXAoKSB7CgpyZXR1cm4gIjEyNy4wLjAuMSI7IH0KCmFkZF9maWx0ZXIoICdwcmVfY29tbWVudF91c2VyX2lwJywgJ3JlbW92ZV9jb21tZW50X2lwJywgNTApOw==[/fusion_syntax_highlighter]
Damit dieser Code nicht ständig bei Updates gelöscht wird, ist die Nutzung eines Child-Themes von Vorteil.
Embed Code von Youtube-Videos datenschutzkonform einstellen
Eingebettete Videos von YouTube sind meistens mit dem embed code in die Website oder den Blog eingefügt worden. Dieser entspricht ebenfalls nicht den neuen Datenschutzrichtlinien, weil schon durch das Aufrufen der Seite, in der ein Video integriert ist, eine Datenverbindung aufgebaut wird.
Mit dem Plugin Embed Videos und respect Privacy kommt es erst mit dem Klick auf den Play-Button zu einer Datenübertragung.
Fazit
Dass man nun auch bei den Plugins überlegen muss, ob diese datenschutzkonform sind oder nicht, raubt einem schon den Spaß, weitere nützliche Funktionserweiterungen für den Blog zu suchen und zu installieren.
Ich hoffe, dass diese Übersicht für die meisten Blogbetreiber nützlich und hilfreich für ihre Entscheidung ist, welche Plugins sie weiterhin auf ihren WordPress-Seiten lassen.
Wer auch nach dem Inkrafttreten der neuen DSGVO am 25. Mai 2018 Plugins nutzen will, die personenbezogene Daten erfassen, sollte daran denken, seine Datenschutzerklärung mit entsprechenden Hinweisen zu erweitern. Diesen wichtigen Arbeitsschritt kann man schnell vergessen.
