Springe zum Inhalt

WordPress Plugins: Tipps für die DS-GVO

Wer WordPress für seine Homepage einsetzt, sollte darauf achten, bestimmte Plugins nicht einzusetzen. Ansonsten drohen Verstöße gegen die Datenschutzgrundverordnung (DS-GVO).

wordpress Bild

WordPress als Content Management System

WordPress ist das beliebtete Content Management System (CMS) der Welt. Es bietet neben einem komfortablen Redaktionssystem auch unzählige Erweiterungsmöglichkeiten in Form von Plugins.

Nicht alles, was machbar ist, ist in Deutschland auch erlaubt. Dieser Artikel gibt Empfehlungen für geeignete Plugins und nennt solche, die auf keinen Fall verwendet werden sollten.

Kritische Plugins & Alternativen

Facebook Connect & Like Button

Das Facebook Plugin zeigt Inhalte von der verknüpften Facebook-Seite in einem Widget an. Beispielweise enthält es die Seitenbeschreibung, die Anzahl der Likes, einen Like Button, Angaben zu bisherigen Likern usw. Die genaue Ausprägung hängt vom WordPress Plugin ab, welches verwendet wird.

Nach aktuellem Stand ist das Facebook Connect Widget rechtswidrig und sollte keinesfalls in der Originalform verwendet werden. Wer es einsetzen möchte, der kann eine Zwei-Click-Lösung wie Shariff einsetzen.

Shareaholic

Diese Erweiterung ist an sich sehr nützlich. Sie blendet eine Reihe von Buttons für unterschiedliche Soziale Netzwerke zu einem Beitrag ein. Der Leser kann so mit wenigen Klicks den Beitrag im Netz teilen.

Leider ist Shareaholic so nicht einsetzbar, da es Nutzerdaten auf eigenen Servern empfängt bzw. diese den Sozialen Netzwerken zugänglich macht, für die Buttons angezeigt werden.

JetPack - Brute Protect

Das ursprüngliche Plugin namens BruteProtect wurde von JetPack übernommen. Es erkennt Hacker, die sich auf zahlreichen Webseiten versuchen Zugang zu beschaffen. Dafür wird global (auf einem amerikanischen Server) eine Liste mit schwarzen IP-Adressen von Hackern gespeichert

Abgesehen davon wird die IP-Adresse des aktuellen Nutzers vermerkt, um den Sicherheitsfall (Brute Force Angriff) überhaupt erst erkennen zu können. Das ist nach deutschem Recht ohne Einwilligung des Nutzers nicht erlaubt. Daher darf die Funktion zum Brute Force Schutz nicht verwendet werden.

iThemes Security (ehemals Better WP Security)

Analog verhält es sich mit dem Netzwerk-Brute-Force-Schutz des Plugins iThemes Security:

Die Option muss also, wie im Screenshot gezeigt, deaktiviert werden. Der lokale Brute-Force-Schutz hingegen ist erlaubt.

Akismet Anti-Spam

Akismet versucht, Spam-Kommentare einzudämmen. Dazu schickt die Erweiterung den Kommentartext und weitere Informationen zur Eingabe an einen externen Server. Auch die IP-Adresse des Nutzers wird dabei übermittelt, was hochkritisch ist.

Das Plugin darf so in Deutschland nicht verwendet werden. Wir empfehlen die zusätzliche Installation des Add-Ons Akismet Privacy Policy, welches Kommentarfelder um datenschutzrechtliche Hinweise ergänzt.

Antispam Bee

Sehr populär ist diese WordPress Erweiterung, die sich ebenfalls der Spam-Abwehr widmet. Nach aktuellem Stand darf das Plugin mit den Default-Einstellungen in Deutschland verwendet werden. Was aber nicht ohne Nutzererlaubnis rechtmäßig ist, ist die Abfrage einer globalen Anti-Spam Datenbank, denn hierfür müssen sensible Nutzerdaten an Dritte übertragen werden.

Auch die Option, dass Kommentare nur in einer bestimmte Sprache zugelassen werden sollen, darf nicht ohne Einwilligung verwendet werden. Denn dafür wird der Kommentartext an Google übertragen und ausgewertet. Wie man sich mittlerweile denken kann, ist auch das aus datenschutzrechtlicher Sicht hochgradig kritisch!

Social Locker - BizPanda

Mit diesem Plugin kann man Inhalte verbergen. Der User erhält erst Zugriff, wenn er mit einem Like bezahlt hat. Hier ein Beispiel:

An sich eine gute Idee, um kostenfreien Content bezahlbar zu machen. Das Tückische am Social Locker ist, dass es das Facebook Widget einbindet, welches in dieser Form nach deutschen Datenschutzgesetzen als rechtswidrig angesehen wird.

Eine Alternative zum Social Locker Plugin ist uns aktuell nicht bekannt. Es bleibt nichts anderes übrig, als es einfach nicht zu verwenden.

Google Analytics

Aus verschiedenen Gründen ist Google Analytics auf keinen Fall für den Einsatz in der EU zu empfehlen. Wir empfehlen für WordPress das sehr leistungsfähige Analysewerkzeug namens WP Statistics. Hier ein Beispiel für eine Statistik mit dem WP Statistics Widget im Dashboard (Ausschnitt):

Zusätzlich werden im Widget die Besucher und Aufrufe in Zahlen angezeigt:

Die tatsächlichen Zahlen sind hier aus Datenschutzgründen unkenntlich gemacht.
In einem extra Beitrag gibt es weitere Empfehlungen für Analytics Plugins. Insbesondere empfehlen wir WP Statistics. Dort zu beachten: Die Anonymisierung der IP-Adressen muss aktiviert sein, um das Plugin datenschutzkonform nutzen zu können. Ein Vertrag zur Auftragsverarbeitung muss nicht geschlossen werden, den WP Statistics läuft lokal auf dem eigenen Server und bindet keine Scripte ein.

Amazon Associates Link Builder

Der Link Builder von Amazon bietet ein Eingabefeld, über das man schnell Produkte zu bestimmten Schlüsselworten finden kann:

Aus den Treffern kann man per Click ein Produkt auswählen und direkt in einen Beitrag einfügen. Nach Eingabe des Begriffs junit erscheint folgendes Ergebnis:

An sich ist das Plugin aus datenschutzrechtlichen Gesichtspunkten verwendbar. Allerdings lädt es Ressourcen wie Bilder direkt von einem Amazon Server. Dabei wird die IP-Adresse Ihres Webeitenbesuchers an Amazon übertragen. Dies ist zumindest kritisch zu bewerten und sollte nach Möglichkeit vermieden werden.

Man kan die Amazon Erweiterung zumindest nutzen, um schnell Informationen über bei Amazon angebotene Produkte zu finden und in einem Blog darzustellen. Die Nutzung als Widget sollte man überdenken. Eine ordentliche Datenschutzerklärung ist bei vollwertiger Verwendunng des Plugins selbstverständlich notwendig.

SumoMe

Mit SumoMe kann das Nutzerverhalten getrackt werden. Das geschieht mit Hilfe eines Scripts.

Das Tool ist ähnlich problematisch wie Facebook Connect, sollte also nicht in der Originalfassung verwendet werden. Eine Alternative ist uns aktuell nicht bekannt. Icegram könnte eine solche sein, wurde aber noch nicht geprüft.

UpdraftPlus

Diese Backup-Lösung ist an sich unkritisch. Wenn Sie allerdings einen externen Speicher (Cloud) für Ihre Backups wählen, brauchen Sie einen AV-Vertrag mit dem Dienstleister, der den Speicher bereitstellt. Wir empfehlen, Ihre Backups lokal abzulegen und sie periodisch auf Ihrem Desktop PC zu kopieren; oder Sie wählen einen Cloud-Anbieter aus Europa und schließen einen AV-Vertrag mit ihm ab.

Newsletter-Dienste

Wir empfehlen, keine Newsletter-Anbieter zu verwenden, die ihren Sitz außerhalb der EU haben. Das bedeutet, dass insbesondere der populäre Service von MailChimp nicht mehr verwendet werden sollte. Statt dessen ein Plugin verwenden, dass keine Daten an Server Dritter überträgt.

Selbstverständlich müssen Double Opt-In sowie Opt-Out als Möglichkeiten vorhanden sein. Ebenso muss am Newsletter-Formular selbst ein Hinweis auf die Datenverwendung angebracht werden. In der Datenschutzerklärung sollten Hinweise zum Newsletter ebenfalls nachlesbar sein, falls jemand, der den Newsletter bereits erhält, etwas zum Datenschutz wissen möchte.
Übrigens muss in allen geschäftsmäßig versandten Mails ein Impressum vorhanden sein.

Ein mögliches WordPress Plugin ist das mit den einschlägigen Namen Newsletter. Es bietet eine schnelle Grundkonfiguration und ein übersichtliches Dashboard:

Unkritische Plugins

Nach unserer Information unkritische Plugins sind insbesondere:

  • WP Fastest Cache
  • Autoptimize
  • Broken Link Checker
  • Duplicate Post
  • 404Page

Fazit

Insbesondere Social Media Plugins, Analysewerkzeuge und Tools, die Nutzerverhalten auswerten sind kritisch zu betrachten. Aber auch Newsletter-Dienste sollten vorsichtig eingesetzt werden. Gleiches gilt für alle Erweiterungen, die globale Datenbank oder Dienste verwenden, um bestimmte Funktionalität zu gewährleisten. Dies trifft insbesondere auf die Spam- und Hacker-Abwehr zu. Das Spannungsfeld zwischen Sicherheit und Datenschutz muss im Zweifelsfall zugunsten des Datenschutzes ausfallen. Natürlich unter der Maßgabe, die Sicherheit durch andere geeignete Mechanismen (und andere Plugins als die kritischen) abzubilden.

Wer empfehlenswerte WordPress-Plugins und SEO Tipps sucht, wird im Erfolgsrezepte-Blog fündig.

Buchempfehlung

WordPress für Einsteiger
Preis: EUR 9,90
Prime
Das Produkt wird von Amazon angeboten

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen