Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

WordPress-Plugins und die DSGVO

3
Dies ist ein älterer Beitrag, der nicht unbedingt die aktuelle Haltung des Autors darstellt. Insbesondere zu den Themen Datenschutz, Google und Social Media ist der Autor aufgrund mittlerweile gewonnener Erkenntnisse anderer Meinung als früher! Was Web Hosting angeht, empfehle ich Strato, 1&1 und andere große nicht mehr.

Wer WordPress für seine Homepage einsetzt, sollte darauf achten, bestimmte Plugins nicht einzusetzen. Ansonsten drohen Probleme mit der Datenschutzgrundverordnung (DS-GVO).

WordPress als Content Management System

WordPress ist das beliebtete Content Management System (CMS) der Welt. Es bietet neben einem komfortablen Redaktionssystem auch unzählige Erweiterungsmöglichkeiten in Form von Plugins. Nicht alles, was machbar ist, ist in Deutschland udn europa auch erlaubt. Dieser Artikel gibt Empfehlungen für geeignete Plugins und nennt solche, die auf keinen Fall verwendet werden sollten.

Kritische Plugins & Alternativen

Facebook Connect & Like Button

Das Facebook Plugin zeigt Inhalte von der verknüpften Facebook-Seite in einem Widget an. Beispielweise enthält es die Seitenbeschreibung, die Anzahl der Likes, einen Like Button, Angaben zu bisherigen Likern usw. Die genaue Ausprägung hängt vom WordPress Plugin ab, welches verwendet wird. Nach aktuellem Stand bedarf das Facebook Connect Widget einer Einwilligung und sollte keinesfalls in der Originalform verwendet werden. Wer es einsetzen möchte, der kann eine Zwei-Click-Lösung wie Shariff einsetzen.

Shareaholic

Diese Erweiterung ist an sich sehr nützlich. Sie blendet eine Reihe von Buttons für unterschiedliche Soziale Netzwerke zu einem Beitrag ein. Der Leser kann so mit wenigen Klicks den Beitrag im Netz teilen.

Leider ist Shareaholic so nicht einsetzbar, da es Nutzerdaten auf eigenen Servern empfängt bzw. diese den Sozialen Netzwerken zugänglich macht, für die Buttons angezeigt werden.

JetPack – Brute Protect

Das ursprüngliche Plugin namens BruteProtect wurde von JetPack übernommen. Es erkennt Hacker, die sich auf zahlreichen Webseiten versuchen Zugang zu beschaffen. Dafür wird global (auf einem amerikanischen Server) eine Liste mit schwarzen IP-Adressen von Hackern gespeichert.

Abgesehen davon wird die IP-Adresse des aktuellen Nutzers vermerkt, um den Sicherheitsfall (Brute Force Angriff) überhaupt erst erkennen zu können. Das ist nach deutschem Recht ohne Einwilligung des Nutzers nicht erlaubt. Daher darf die Funktion zum Brute Force Schutz nicht verwendet werden.

iThemes Security (ehemals Better WP Security)

Analog verhält es sich mit dem Netzwerk-Brute-Force-Schutz des Plugins iThemes Security:

Die Option muss also, wie im Screenshot gezeigt, deaktiviert werden. Der lokale Brute-Force-Schutz hingegen ist erlaubt.

Akismet Anti-Spam

Akismet versucht, Spam-Kommentare einzudämmen. Dazu schickt die Erweiterung den Kommentartext und weitere Informationen zur Eingabe an einen externen Server. Auch die IP-Adresse des Nutzers wird dabei übermittelt, was hochkritisch ist.

Das Plugin darf gemäß DSGVO nicht verwendet werden. Ich empfehle die zusätzliche Installation des Add-Ons Akismet Privacy Policy, welches Kommentarfelder um datenschutzrechtliche Hinweise ergänzt.

Antispam Bee

Sehr populär ist diese WordPress Erweiterung, die sich ebenfalls der Spam-Abwehr widmet. Nach aktuellem Stand darf das Plugin mit den Default-Einstellungen in Deutschland verwendet werden. Was aber nicht ohne Nutzererlaubnis rechtmäßig ist, ist die Abfrage einer globalen Anti-Spam Datenbank, denn hierfür müssen sensible Nutzerdaten an Dritte übertragen werden. Auch die Option, dass Kommentare nur in einer bestimmte Sprache zugelassen werden sollen, darf nicht ohne Einwilligung verwendet werden. Denn dafür wird der Kommentartext an Google übertragen und ausgewertet. Wie man sich mittlerweile denken kann, ist auch das aus datenschutzrechtlicher Sicht hochgradig kritisch!

Social Locker – BizPanda

Mit diesem Plugin kann man Inhalte verbergen. Der User erhält erst Zugriff, wenn er mit einem Like bezahlt hat. Hier ein Beispiel:

An sich eine gute Idee, um kostenfreien Content bezahlbar zu machen. Das Tückische am Social Locker ist, dass es das Facebook Widget einbindet, welches in dieser Form nach deutschen Datenschutzgesetzen ohne Einwilligung als rechtswidrig angesehen wird. Eine Alternative zum Social Locker Plugin ist mir aktuell nicht bekannt. Es bleibt nichts anderes übrig, als es einfach nicht zu verwenden.

Google Analytics

Aus verschiedenen Gründen ist Google Analytics auf keinen Fall für den Einsatz in der EU zu empfehlen. Wir empfehlen für WordPress das sehr leistungsfähige Analysewerkzeug namens WP Statistics. Hier ein Beispiel für eine Statistik mit dem WP Statistics Widget im Dashboard (Ausschnitt):

Zusätzlich werden im Widget die Besucher und Aufrufe in Zahlen angezeigt:

Die tatsächlichen Zahlen sind hier aus Datenschutzgründen unkenntlich gemacht. In einem extra Beitrag gibt es weitere Empfehlungen für Analytics Plugins. Insbesondere empfehlen wir WP Statistics. Dort zu beachten: Die Anonymisierung der IP-Adressen muss aktiviert sein, um das Plugin datenschutzkonform nutzen zu können. Ein Vertrag zur Auftragsverarbeitung muss nicht geschlossen werden, denn WP Statistics läuft lokal auf dem eigenen Server und bindet keine Scripte ein.

Amazon Associates Link Builder

Vorab: Ich bin kein Freund von Amazon, u.a. aufgrund der Art, wie Amazon mit Lieferanten umgeht.

Der Link Builder von Amazon bietet ein Eingabefeld, über das man schnell Produkte zu bestimmten Schlüsselworten finden kann:

Aus den Treffern kann man per Click ein Produkt auswählen und direkt in einen Beitrag einfügen. Nach Eingabe des Begriffs junit erscheint folgendes Ergebnis:

An sich ist das Plugin aus datenschutzrechtlichen Gesichtspunkten verwendbar. Allerdings lädt es Ressourcen wie Bilder direkt von einem Amazon Server. Dabei wird die IP-Adresse Ihres Webeitenbesuchers an Amazon übertragen. Dies ist zumindest kritisch zu bewerten und sollte nach Möglichkeit vermieden werden. Man kann die Amazon Erweiterung zumindest nutzen, um schnell Informationen über bei Amazon angebotene Produkte zu finden und in einem Blog darzustellen. Die Nutzung als Widget sollte man überdenken. Eine ordentliche Datenschutzerklärung ist bei vollwertiger Verwendung des Plugins selbstverständlich notwendig.

SumoMe

Mit SumoMe kann das Nutzerverhalten getrackt werden. Das geschieht mit Hilfe eines Scripts.

Das Tool ist ähnlich problematisch wie Facebook Connect, sollte also nicht in der Originalfassung verwendet werden. Eine Alternative ist mir aktuell nicht bekannt. Icegram könnte eine solche sein, wurde aber noch nicht geprüft.

UpdraftPlus

Diese Backup-Lösung ist an sich unkritisch. Wenn Sie allerdings einen externen Speicher (Cloud) für Ihre Backups wählen, brauchen Sie einen AV-Vertrag mit dem Dienstleister, der den Speicher bereitstellt. Wir empfehlen, Ihre Backups lokal abzulegen und sie periodisch auf Ihrem Desktop PC zu kopieren; oder Sie wählen einen Cloud-Anbieter aus Europa und schließen einen AV-Vertrag mit ihm ab.

Newsletter-Dienste

Wir empfehlen, keine Newsletter-Anbieter zu verwenden, die ihren Sitz außerhalb der EU haben. Das bedeutet, dass insbesondere der populäre Service von MailChimp nicht mehr verwendet werden sollte. Statt dessen ein Plugin verwenden, dass keine Daten an Server Dritter überträgt. Selbstverständlich müssen Double Opt-In sowie Opt-Out als Möglichkeiten vorhanden sein. Ebenso muss am Newsletter-Formular selbst ein Hinweis auf die Datenverwendung angebracht werden. In der Datenschutzerklärung sollten Hinweise zum Newsletter ebenfalls nachlesbar sein, falls jemand, der den Newsletter bereits erhält, etwas zum Datenschutz wissen möchte. Übrigens muss in allen geschäftsmäßig versandten Mails ein Impressum vorhanden sein. Ein mögliches WordPress Plugin ist das mit den einschlägigen Namen Newsletter. Es bietet eine schnelle Grundkonfiguration und ein übersichtliches Dashboard:

Aktuell empfehle ich allerdings MailPoet. Es kann DSGVO konform konfiguriert werden. Dazu das Mail-Tracking ausschalten und auch Google Schriften (mit Download vom Google Server) in Mails deaktivieren. Allerdings sind weitere Anpassungen notwendig, die etwas komplizierter sind.

Unkritische Plugins

Nach meiner Information und Erfahrung unkritische Plugins sind insbesondere:

  • WP Fastest Cache
  • Autoptimize
  • Broken Link Checker
  • Duplicate Post
  • 404Page

Fazit

Insbesondere Social Media Plugins, Analysewerkzeuge und Tools, die Nutzerverhalten auswerten sind kritisch zu betrachten. Aber auch Newsletter-Dienste sollten vorsichtig eingesetzt werden. Gleiches gilt für alle Erweiterungen, die globale Datenbank oder Dienste verwenden, um bestimmte Funktionalität zu gewährleisten. Dies trifft insbesondere auf die Spam- und Hacker-Abwehr zu. Das Spannungsfeld zwischen Sicherheit und Datenschutz muss im Zweifelsfall zugunsten des Datenschutzes ausfallen. Natürlich unter der Maßgabe, die Sicherheit durch andere geeignete Mechanismen (und andere Plugins als die kritischen) abzubilden.

Dieser Beitrag wird in anderen Beiträgen erwähnt

Nächster Beitrag

Artikel 15 DSGVO-Gesetz: Auskunftsrecht der betroffenen Person