DSGVO: Wie setze ich die Bestimmungen um? 4. WordPress-Plugins und die DSGVO

Inhalt zuletzt aktua­li­siert: 23. Juli 2018

Mei­ne DSGVO-Arti­kel­se­rie geht in den End­spurt: In die­sem Bei­trag gehe ich auf Word­Press-Plug­ins und ihre Daten­sam­mel­wut ein, die meist mit den Anfor­de­run­gen der DSGVO nicht kon­form ist.

Es gibt eine gro­ße Anzahl von Word­Press-Plug­ins — kos­ten­lo­se wie kos­ten­pflich­ti­ge, die per­so­nen­be­zo­ge­ne Daten ent­we­der in der Daten­bank spei­chern (es reicht ja schon die IP-Adres­se) oder an exter­ne Ser­ver senden.

An man­chen die­ser Plug­ins las­sen sich mit ent­spre­chen­den Anpas­sun­gen an den Ein­stel­lun­gen Spei­che­rung oder Ver­sen­den von Daten abschal­ten, bei ande­ren wie­der­um nicht, was heißt: Man löscht die­ses Plug­in und/​oder sucht dafür eine daten­schutz­kon­for­me Alternative.

Hin­weis: Ich bin kei­ne Anwäl­tin, daher gebe ich in die­sem Bei­trag nur mei­ne per­sön­li­che Mei­nung wider. Es han­delt sich NICHT um eine Rechts­be­ra­tung. Falls du kon­kre­te Hil­fe bei der Umset­zung der DSGVO auf dei­ner Web­site benö­tigst, soll­test du einen Rechts­an­walt heranziehen.

Welche Plugins sind sicher?

Nach­fol­gend füh­re ich ein paar Plug­ins auf, die bei den meis­ten Blog­gern sehr beliebt und damit häu­fig im Ein­satz sind. Sie dürf­ten daten­schutz­recht­lich kei­ne Pro­ble­me berei­ten, den­noch kann ich kei­ne 100prozentige Garan­tie geben.

Plug­ins für Suchmaschinenoptimierung

Yoast SEO ist laut des­sen Ent­wick­ler bis zum 25. Mai 2018 sicher, da es kei­ne per­so­nen­be­zo­ge­nen Daten speichert.

Auch All in One SEO Pack soll abso­lut sicher sein.

Sta­tis­tik-Plug­ins

Goog­le Ana­ly­tics in Ver­bin­dung mit ent­spre­chen­den Plug­ins — z. B. Goog­le Ana­ly­tics für Word­Press von Mons­ter­Insights — ist mit weni­gen Anpas­sun­gen wie Abschluss eines Auf­trags­ver­ar­bei­tungs­ver­trags und der Anony­mi­sie­rung der IPs sicher, doch wer davon Abstand neh­men will, kann z. B. auf das Plug­in Sta­ti­fy ausweichen.

Den Ent­wick­ler­an­ga­ben zufol­ge spei­chert es kei­ne per­so­nen­be­zo­ge­nen Daten.

Plug­ins für Social Media

Die belieb­ten offi­zi­el­len Plug­ins für Tei­len von Social-Media-Inhal­ten soll­te man bes­ser nicht ver­wen­den, da die­se schon vor dem ers­ten Klick Daten erfas­sen. Ich emp­feh­le, bes­ser auf Sha­riff Wrap­per (was ich selbst nut­ze) auszuweichen.

Anti-Spam-Plug­ins

Da blei­be ich bei Anti-Spam-Bee, auch wenn ich für die daten­schutz­kon­for­me Nut­zung noch ein paar Ein­stel­lun­gen anpas­sen muss. Bei den Anti-Spam-Regeln habe ich die Häk­chen bei “Öffent­li­che Spam­da­ten­bank berück­sich­ti­gen” und bei “Kom­men­ta­re aus bestimm­ten Län­dern blo­ckie­ren” ent­fernt, weil die­se bei­den Funk­tio­nen auf exter­ne Ser­ver zugreifen.

Plug­ins für Kontakformulare

Ich wer­de wei­ter­hin das belieb­te Kon­takt­for­mu­lar-Plug­in Cont­act Form 7 ver­wen­den, denn mit des­sen Funk­tio­nen kom­me ich sehr gut zurecht. Um den Zustim­mungs­hin­weis in das For­mu­lar zu inte­grie­ren, habe ich das Plug­in WP GDPR Com­pli­ance instal­liert (sie­he die Erläu­te­rung in Arti­kel: Wei­te­re Infor­ma­ti­ons­pflich­ten in der DSGVO).

Sicher­heit-Plug­ins

Damit ich sehe, ob jemand ver­sucht, sich auf mei­nem Blog ein­zu­log­gen, habe ich das Sicher­heits­plug­in Limit Log­in Attempts instal­liert. Aller­dings spei­chert es IP-Adres­sen von den Per­so­nen ab, die sich wider­recht­lich Zugang zum inter­nen Bereich der Web­site ver­schaf­fen wol­len. Wenn ich das Plug­in wei­ter­hin ver­wen­den will, muss ich dazu einen Hin­weis in die Daten­schutz­er­klä­rung schreiben.

Back­up-Plug­ins

Für Back­ups bzw. Siche­run­gen mei­ner Web­sites ver­wen­de ich BackW­Pup und Updraft. Die­se Plug­ins sam­meln inso­weit per­so­nen­be­zo­ge­ne Daten, wenn die Web­site oder das Blog per­so­nen­be­zo­ge­nen Daten erfasst, z. B. in Kom­men­ta­ren. Um die Siche­run­gen daten­kon­form ein­zu­stel­len, dürf­te man im Blog kei­ne per­so­nen­be­zo­ge­nen Daten mehr abgreifen.

Da ich mei­ne Siche­run­gen auf dem Web­space und auf einer exter­nen Fest­plat­te abspei­che­re, sehe ich die­sen Kon­flikt nicht als all­zu schwer­wie­gend an. Cloud­diens­te wür­de ich für das Able­gen von Back­ups nicht nutzen.

Cache-Plug­ins

Von den vie­len Cache-Plug­ins nut­ze ich WP Super­Cache, das als DSGVO-kon­form ein­ge­stuft ist.

Umfra­ge-Plug­ins

Das von mir ein­ge­setz­te WP Polls soll­te in den Opti­ons bei Poll Log­ging Method auf Do not log gestellt wer­den. Durch die­se Deak­ti­vie­rung könn­ten aller­dings Mehr­fach­ab­stim­mun­gen mög­lich sein.

Wer sich einen aus­führ­li­che­ren Über­blick über DSGVO-kon­for­me oder nicht-kon­for­me Word­Press-Plug­ins ver­schaf­fen will, fin­det bei WP Nin­jas eine umfas­sen­de Auflistung.

Welche Plugins sind nicht sicher?

Die kri­tischs­ten Plug­ins sind wohl die Social-Media-Plug­ins, die von den Netz­wer­ken wie Face­book den Usern zur Ver­fü­gung gestellt wer­den. Sie über­tra­gen bereits Daten an den Ser­vice­an­bie­ter, wenn man nur die Web­site besucht und noch gar kei­ne Social-Media-Akti­on wie Tei­len oder Liken durch­ge­führt hat.

Aber auch ande­re Sha­ring-Plug­ins, die die Ori­gi­nal-But­tons der ein­zel­nen Netz­wer­ke ver­wen­den, soll­te man nicht einsetzen.

Ein wei­te­res pro­ble­ma­ti­sches Plug­in ist Jet­pack, das eini­ge Daten an Word​Press​.com über­trägt, wie Mail­adres­sen von regis­trier­ten Usern, Kom­men­ta­re etc. Wel­che Daten genau erfasst und gespei­chert wer­den, fin­dest du im Jet­pack-Sup­port. Angeb­lich soll das Plug­in in der neu­en Ver­si­on DSGVO-kon­form gestal­tet sein.

Das Anti-Spam-Plug­in Akis­met sen­det eben­falls Daten an exter­ne Ser­ver, daher lösche ich es direkt, wenn ich eine neue Web­site mit Word­Press erstel­le. Eine Alter­na­ti­ve ist das oben genann­te Anti-Spam-Bee.

Die­se Plug­ins gel­ten schon seit Jah­ren als unsi­cher und ste­hen daher schon län­ger auf der “Schwar­zen Liste”.

Das Pro­blem für die meis­ten Word­Press-Nut­zer dürf­te sein, her­aus­zu­fin­den, wel­che Plug­ins risi­ko­los ein­ge­setzt wer­den kön­nen und wel­che nicht, denn schließ­lich gibt es kei­nen inter­nen Hin­weis, ob und wenn ja, wel­che Daten das jewei­li­ge Plug­in erfasst und speichert.

Die­ses Risi­ko muss man wohl ein­ge­hen, sich nun groß davon ver­un­si­chern las­sen, wür­de ich mich nicht. Die DSGVO ist eine gute Gele­gen­heit, die Zahl der ver­wen­de­ten Plug­ins in sei­nen Instal­la­tio­nen zu redu­zie­ren und sich in den zahl­rei­chen Blog­ar­ti­keln, die über siche­re und unsi­che­re Plug­ins Lis­ten erstellt haben, zu infor­mie­ren und auch ansons­ten bei die­sem The­ma auf dem Lau­fen­den zu bleiben.

Google Fonts und Emojis auf dem Blog ausschalten

Neben Plug­ins gibt es noch Goog­le Fonts und Emo­jis, die extern gela­den wer­den und somit auch Daten erfassen.

Wer die­se Ele­men­te von sei­nem Blog oder sei­ner Web­site ent­fer­nen möch­te, kann dies mit­hil­fe des Plug­ins Aut­op­ti­mi­ze auf dem Regis­ter­tab Extras erle­di­gen (Emo­jis ent­fer­nen, Goog­le Fonts entfernen).

Aller­dings kann es vor­kom­men, dass das Plug­in nicht mit allen Word­Press-The­mes rei­bungs­los funk­tio­niert. Dann loh­nen sich die Alter­na­ti­ven Disable Emo­jis und Disable Embeds.

In vie­len The­mes las­sen sich die Goog­le Fonts durch die übli­chen Stan­dard­schrif­ten Ari­al, Taho­ma, Hel­ve­ti­ca etc. in den The­me-Ein­stel­lun­gen austauschen.

IPs von Kommentaren entfernen

Wer die IPs von kom­men­tie­ren­den Usern nicht mehr spei­chern will, da sie ja auch zu den per­so­nen­be­zo­ge­nen Daten zäh­len, kann dies mit dem Plug­in Remo­ve IP umset­zen. Die Löschung schon abge­spei­cher­ter IPs in alten Kom­men­ta­ren wird nicht durch­ge­führt. Die­se müs­sen mit einem Code­schnip­sel, das in die functions.php ein­ge­fügt wird, ent­fernt werden.

Code­schnip­sel:

[fusion_syntax_highlighter theme="hopscotch" language="x-php" line_numbers="" line_wrapping="" copy_to_clipboard="" copy_to_clipboard_text="In die Zwischenablage kopieren" hide_on_mobile="small-visibility,medium-visibility,large-visibility" class="" id="" font_size="" border_size="" border_color="" border_style="" background_color="" line_number_background_color="" line_number_text_color="" margin_top="" margin_left="" margin_bottom="" margin_right=""]ZnVuY3Rpb24gcmVtb3ZlX2NvbW1lbnRfaXAoKSB7CgpyZXR1cm4gIjEyNy4wLjAuMSI7IH0KCmFkZF9maWx0ZXIoICdwcmVfY29tbWVudF91c2VyX2lwJywgJ3JlbW92ZV9jb21tZW50X2lwJywgNTApOw==[/fusion_syntax_highlighter]

Damit die­ser Code nicht stän­dig bei Updates gelöscht wird, ist die Nut­zung eines Child-The­mes von Vorteil.

Embed Code von Youtube-Videos datenschutzkonform einstellen

Ein­ge­bet­te­te Vide­os von You­Tube sind meis­tens mit dem embed code in die Web­site oder den Blog ein­ge­fügt wor­den. Die­ser ent­spricht eben­falls nicht den neu­en Daten­schutz­richt­li­ni­en, weil schon durch das Auf­ru­fen der Sei­te, in der ein Video inte­griert ist, eine Daten­ver­bin­dung auf­ge­baut wird.

Mit dem Plug­in Embed Vide­os und respect Pri­va­cy kommt es erst mit dem Klick auf den Play-But­ton zu einer Datenübertragung.

Fazit

Dass man nun auch bei den Plug­ins über­le­gen muss, ob die­se daten­schutz­kon­form sind oder nicht, raubt einem schon den Spaß, wei­te­re nütz­li­che Funk­ti­ons­er­wei­te­run­gen für den Blog zu suchen und zu installieren.

Ich hof­fe, dass die­se Über­sicht für die meis­ten Blog­be­trei­ber nütz­lich und hilf­reich für ihre Ent­schei­dung ist, wel­che Plug­ins sie wei­ter­hin auf ihren Word­Press-Sei­ten lassen.

Wer auch nach dem Inkraft­tre­ten der neu­en DSGVO am 25. Mai 2018 Plug­ins nut­zen will, die per­so­nen­be­zo­ge­ne Daten erfas­sen, soll­te dar­an den­ken, sei­ne Daten­schutz­er­klä­rung mit ent­spre­chen­den Hin­wei­sen zu erwei­tern. Die­sen wich­ti­gen Arbeits­schritt kann man schnell vergessen.