Tipps: WordPress Plugins und die DSGVO

Sie setzen WordPress für Ihre Homepage ein? Dann sollten Sie darauf achten, bestimmte Plugins zu vermeiden. Mit einigen dieser Zusätze verstoßen Sie nämlich gegen die EU-Datenschutzgrundverordnung (DSGVO).

 

WordPress als Content Management System

WordPress ist das beliebteste Content-Management-System (CMS) der Welt. Neben einem komfortablen Redaktionssystem und zeitgemäßer Optik bietet es auch zahllose Erweiterungsmöglichkeiten durch Plugins. Doch nicht alles, was machbar ist, ist auch erlaubt. In diesem Blogbeitrag empfehlen wir Ihnen geeignete Plugins und zeigen Ihnen auch solche, die Sie in Deutschland auf keinen Fall verwenden sollten.

Kritische Plugins und Alternativen

Facebook Connect und der Like-Button

Das Facebook-Plugin stellt Inhalte der verknüpften Facebook-Seite in einem Widget dar. Darin sind beispielweise die Seitenbeschreibung zu sehen, die Zahl der Likes, ein Like-Button, Angaben und Profilbilder bisheriger Liker usw. Wie das Ganze genau dargestellt wird, hängt vom verwendeten WordPress-Plugin ab.

Nach dem momentanen Rechtsstand ist dieses Facebook-Connect-Widget rechtswidrig und Sie sollten es auf keinen Fall in der Standardform verwenden. Wenn Sie es einsetzen möchten, sollten Sie auf eine Zwei-Click-Lösung wie Shariff ausweichen.

Shareaholic

Dieses Plugin ist recht nützlich. Es kann eine Reihe von Social-Media-Buttons neben Ihren Beiträgen auf der Webseite einblenden. Sie ermöglichen Ihren Lesern damit, die Artikel mit wenigen Klicks im eigenen Netzwerk zu teilen.

Leider lässt sich auch Shareaholic nicht legal einsetzen, da es Nutzerdaten auf eigenen Servern zwischenlagert oder speichert und sie den entsprechenden sozialen Netzwerken zugänglich macht, deren Buttons angezeigt werden.

JetPack – Brute Protect

JetPack ist das aktuelle Plugin, das BruteProtect vor einer Weile übernommen hat. Die Erweiterung erkennt Hacker, die versuchen, sich auf zahlreichen Webseiten Zugang zu verschaffen. Basis ist eine weltweit zusammengestellte Liste mit schwarzen IP-Adressen von Hackern, die auf US-Servern gespeichert werden.

 

 

Um ein Sicherheitsrisiko (Brute-Force-Angriff) überhaupt zu erkennen, muss die IP-Adresse des aktuellen Nutzers gespeichert werden. Nach deutschem Recht ist dies allerdings ohne Einwilligung des Nutzers nicht erlaubt. Sie dürfen daher den Brute-Force-Schutz des Plugins nicht verwenden.

iThemes Security (früher Better WP Security)

Ähnliches wie oben gilt für den Netzwerk-Brute-Force-Schutz des Plugins iThemes Security:

 

 

Wie im Screenshot gezeigt, müssen Sie die Netzwerksoption der Erweiterung deaktivieren. Ohne Einschränkungen können Sie dagegen den lokalen Brute-Force-Schutz anwenden.

Akismet Anti-Spam

Das Plugin Akismet dämmt Spam-Kommentare ein. Dazu versendet es den Kommentartext und zusätzliche Informationen zur Eingabe an einen externen Server. Kritisch ist dabei, dass auch die IP-Adresse des Nutzers mit übermittelt wird.

 

In seiner Grundform dürfen Sie das Plugin in Deutschland nicht verwenden. Wir empfehlen Ihnen, das Add-On Akismet Privacy Policy zusätzlich zu installieren. Hier werden die Kommentarfelder um datenschutzrechtliche Hinweise ergänzt.

Antispam Bee

Diese WordPress-Erweiterung ist ebenfalls sehr populär. Sie ist ebenfalls dazu konzipiert, Spam-Mails abzuwehren. Dieses Plugin darf nach aktuellem Stand mit den Default-Einstellungen in Deutschland verwendet werden. Auch hier ist jedoch eine Nutzererlaubnis nötig, da die Abfrage einer globalen Anti-Spam-Datenbank sonst nicht rechtmäßig wäre. Für diesen Vorgang müssen sensible Nutzerdaten an Dritte übertragen werden.

Selbst die Option, dass Kommentare nur in einer bestimmte Sprache zugelassen werden, dürfen Sie nur mit Einwilligung verwenden. Denn hierfür wird der Kommentartext an Google übertragen und ausgewertet. Wie Sie sich denken können, ist dies aus datenschutzrechtlicher Sicht hochkritisch!

Social Locker – BizPanda

Dieses Plugin verbirgt Inhalte. Ein Besucher Ihrer Webseite erhält erst Zugriff auf diesen Content, wenn er mit einem Like bezahlt hat. So sieht das auf der Webseite aus:

 

Die Idee hat Charme: Kostenfreier Content bleibt für den Nutzer frei, und der Anbieter hat doch einen realen Gegenwert. Das Problem des Social Lockers ist die Einbindung des Facebook-Widgets, das in seiner jetzigen Form nach deutschen Datenschutzgesetzen als rechtswidrig angesehen wird.

Aktuell kennen wir keine Alternative zum Social-Locker-Plugin. Es bleibt Ihnen also nur übrig abzuwarten und das Tool so lange nicht zu verwenden.

Google Analytics

Google Analytics ist ein weit verbreitetes, mächtiges Werkzeug. Doch verschiedene Gründe sprechen dafür, es auf keinen Fall in der EU einzusetzen. Für WordPress empfehlen wir Ihnen stattdessen das ebenfalls leistungsstarke Analysewerkzeug WP Statistics. Hier sehen Sie den Screenshot einer Statistik, die von dem WP Statistics Widget erstellt wurde:

 

 

Zusätzlich zur Grafik zeigt das Widget die Besucher und Seitenaufrufe auch in Zahlen an:

 

Die tatsächlichen Zahlen haben wir aus Datenschutzgründen unkenntlich gemacht.

In einem gesonderten Artikel geben wir Ihnen weitere Empfehlungen für Analytics Plugins. Auch hier empfehlen wir in erster Linie WP Statistics. Bei diesem Plugin ist Folgendes zu beachten: Sie müssen die Anonymisierung der IP-Adressen aktivieren, dann können Sie die Erweiterung datenschutzkonform nutzen. Einen Vertrag zur Auftragsverarbeitung müssen Sie dagegen nicht schließen, weil WP Statistics lokal auf dem eigenen Server läuft und keine externen Scripte einbindet.

Amazon Associates Link Builder

Mit dem Link Builder von Amazon bieten Sie Ihren Webseitenbesuchern ein Eingabefeld, über das diese schnell und leicht Produkte zu bestimmten Schlüsselbegriffen finden können:

 

Aus den Treffern lässt sich per Klick ein Produkt auswählen. Dieses kann man direkt in einen Beitrag einfügen. Wenn man zum Beispiel den Begriff junit sucht, erscheint folgendes Ergebnis:

 

Rein nach datenschutzrechtlichen Gesichtspunkten können Sie das Plugin gebrauchen. Die verwendeten Ressourcen wie Bilder werden allerdings direkt von einem Amazon Server geladen. Bei diesem Vorgang wird die IP-Adresse Ihres Webseitenbesuchers an Amazon übertragen. Das ist nicht unkritisch und Sie sollten es möglichst vermeiden.

So können Sie die Amazon-Erweiterung vielleicht nutzen, um schnell Informationen über Produkte auf Ihrem Blog zu listen, die Amazon anbietet. Die darüber hinausgehende Nutzung als Widget sollten Sie sich aber gut überlegen. In jedem Fall benötigen Sie eine ordentliche Datenschutzerklärung, wenn Sie das Plugin voll einsetzen.

SumoMe

Mit SumoMe können Sie das Nutzerverhalten Ihrer Besucher verfolgen. Dies geschieht mit  Hilfe getrackt werden. Das geschieht mithilfe eines Scripts.

 

Damit ist das Werkzeug ähnlich problematisch wie Facebook Connect. Sie sollten es also nicht in der Originalfassung verwenden. Aktuell können wir Ihnen hier leider keine Alternative empfehlen. Eine Alternative ist uns aktuell nicht bekannt. Icegram könnte eine Möglichkeit sein, wurde von uns aber noch nicht geprüft.

Newsletter-Dienste

Wir empfehlen Ihnen, dass Sie nicht mit Newsletter-Anbietern zusammenarbeiten, die ihren Sitz außerhalb der EU haben. Konkret betrifft dies den populären Service von MailChimp. Dies sollten Sie nicht mehr verwenden. Greifen Sie stattdessen auf Plugin zurück, das keine Daten an Server Dritter überträgt.

Datenschutzstandards müssen natürlich gewährleistet sein: Sie brauchen ein Double-Opt-In-Verfahren sowie die Möglichkeit zum Opt-Out. Ebenso müssen Sie im Newsletter selbst einen Hinweis auf die Datenverwendung anbringen. Auf Ihrer Webseite in der Datenschutzerklärung sollten Hinweise zum Newsletter ebenfalls nicht fehlen, damit jeder, der bereits Newsletterempfänger ist, sich hier über den Datenschutz informieren kann.

Übrigens: alle geschäftsmäßig versandten Mails benötigen ein Impressum.

Ein geeignetes WordPress-Plugin trägt den passenden Namen Newsletter. Es bietet gute und schnelle Möglichkeiten zur Einstellung und verfügt über ein übersichtliches Dashboard:

 

 

Fazit

Aus Sicht der Datenschutzverordnung sind insbesondere Social Media Plugins, Analysewerkzeuge und solche Tools, die das Nutzerverhalten auswerten, kritisch zu betrachten. Auch bei Newsletter-Diensten sollten Sie vorsichtig sein. Dasselbe gilt für alle Erweiterungen, die auf globale Datenbanken oder Dienste zurückgreifen, um damit eine bestimmte Funktionalität zu ermöglichen. Besonders trifft dies auf die Abwehr von Spams und Hacker-Angriffen zu. Es bleibt ein Spannungsfeld, das sich hier zwischen Sicherheit und Datenschutz auftut, doch Ihre Entscheidung sollte hier im Zweifelsfall zugunsten des Datenschutzes ausfallen. Die Sicherheit muss in diesem Fall durch andere Werkzeuge hergestellt werden, die sich datenschutzkonform einsetzen lassen. Und durch andere Plugins als die kritisch bewerteten.

Wenn Sie auf der Suche sind nach empfehlenswerten WordPress-Plugins und SEO-Tipps, dann werden Sie sicher im Erfolgsrezepte-Blog fündig.

2018-05-03T13:58:38+00:00