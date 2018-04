Aktuell arbeiten unzählige Webseiten-Betreiber und Blogger daran, zum Stichtag am 25.5.2018 die Vorgaben der DS-GVO zu erfüllen. Ein wichtiger Punkt für WordPress-Nutzer sind dabei die Plugins.

Es gibt zehntausende kostenlose WordPress-Plugins und zudem noch viele Premium-Plugins. Doch diese sind nur zu einem kleinen Teil explizit an die Anforderungen der DS-GVO angepasst. Das liegt vor allem daran, dass die meisten von US-Entwicklern stammen. Teilweise speichern die Plugins personenbezogene Daten lokal in der Datenbank oder übermitteln diese sogar an externe Server.

Das kann im Einzelfall ein Problem bzgl. der DS-GVO sein, denn ohne die Zustimmung der Besucher oder zumindest die Möglichkeit eines Opt-Outs ist das nicht rechtens und kann Ärger geben.

Im heutigen Artikel werde ich mir unter anderem anschauen, welche Plugins zum Beispiel problematisch sind. Zudem stelle ich nützliche Plugin vor, die Bloggern helfen, die DS-GVO Vorgaben zu erfüllen.



Hinweis:

Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden*.

Diese WordPress-Plugins sollte man nicht einsetzen



Fangen wir am besten mal gleich mit den Plugins an, die man nicht nutzen sollte. So bieten die großen Social Networks wie Facebook eigene Plugins an, die man nicht nutzen darf. Diese übertragen teilweise bereits Daten an den Anbieter, wenn ein Nutzer die Website besucht. Dafür muss dieser noch nicht mal auf den Like-Button klicken.

Hier muss man übrigens auch aufpassen. Es gibt andere Plugins, die dennoch die Original Social Sharing Buttons der Netzwerke einbinden. Auch die darf man nicht nutzen.

Ein weiteres Plugin, welches zumindest teilweise sehr problematisch ist, ist JetPack. Dieses bietet viele Funktionen, aber z.B. die Brute Force Absicherung überträgt Daten an externe Server. Das Akismet Anti-Spam Plugin macht ähnliches und sollte ebenfalls nicht genutzt werden.

Da hat sich aber zu bisher auch nichts geändert. Solche Plugins darf man schon seit Jahren nicht mehr in Deutschland nutzen.

Sehr zu empfehlen ist diese Liste mit populären, aber problematischen Plugins. Dort gibt es allerdings auch ein paar unproblematische Plugins. Auf jeden Fall sind die Informationen dort nützlich, um herauszufinden welches Plugin man vielleicht nicht mehr nutzen sollte.

Aber bei mehr als 50.000 Plugins im offiziellen Verzeichnis ist diese Liste nur ein sehr, sehr kleiner Auszug und natürlich nicht vollständig.

Bestimmte Einstellungen sind nicht erlaubt

Bei vielen WordPress-Plugins ist es so, dass diese nicht pauschal ein Problem sind, sondern nur bestimmte Einstellungen darin.

So ist das nützliche Plugin Antispam Bee an sich kein Problem. Man sollte aber auf jeden Fall die Optionen für die globale Anti-Spam Datenbank und das Filtern nach bestimmten Sprachen deaktivieren, denn bei diesen beiden Funktionen wird auf externe Server zurückgegriffen.

Das Plugin iThemes Security hat auch die Option Daten zu einer zentralen Datenbank beizusteuern, was eigentlich sinnvoll ist, um Spammer besser herausfiltern zu können. Leider darf man auch diese sinnvolle Funktion nicht aktivieren.

Ich habe erst letztens einige Umfrage-Plugins hier im Blog vorgestellt. Da ist es so, dass zur Verhinderung von Mehrfach-Abstimmungen entweder die IP-Adresse gespeichert oder ein Cookies gesetzt wird. Das kann man aber deaktivieren, wenn man möchte.

Keine hundertprozentige Sicherheit

Es gibt also Plugins, die man gar nicht einsetzen sollte und Plugins, bei denen man zumindest bei den Einstellungen aufpassen sollte.

Gibt es denn Plugins, die man völlig unproblematisch nutzen kann? Nicht wirklich. Natürlich gibt es viele Plugins, die keine Daten sammeln. Das Problem ist aber, dass dies Laien nicht erkennen können. Es gibt keine Kennzeichnung im Plugin-Verzeichnis dafür.

Natürlich kann man beim Entwickler nachfragen, ob Daten gesammelt bzw. übertragen werden. Man kann zudem den Code selbst analysieren und auch in die Datenbank schauen.

Doch für Laien ist das meist nicht möglich und was ich bei Updates? Jedes mal den Code von Neuem analysieren?

Unter dem Strich muss man sagen, wer WordPress-Plugins nutzt, wird keine 100% Sicherheit haben. Natürlich wäre es wünschenswert, wenn es im WordPress Plugin Verzeichnis Infos dazu in Zukunft geben würde, aber ein gewisses Restrisiko bleibt.

Deshalb kann man nur als Tipp geben, so wenig wie möglich Plugins nutzen. Man sollte nur die nötigsten einsetzen und immer mal wieder diese überprüfen und auch mal googlen und in die Supportforen schauen, was es da ggf. Neues gibt.

Unproblematische Plugins

Im Folgenden liste ich einige Plugins für beliebte Funktionen auf, die meiner Meinung nach datenschutzrechtlich kein Problem sind. Natürlich übernehme ich keine Garantie oder Haftung.

Statistiken

Auch wenn Google Analytics nach Abschluss eines Auftragsdatenverarbeitungsvertrags und mit der IP-Anonymisierung nutzbar ist, gibt es sicher Website-Betreiber, die davon lieber Abstand nehmen wollen. Für die ist ein Blick auf das Plugin Statify lohnenswert. Dieses sammelt laut Entwickler keine personenbezogenen Daten. Wie zuverlässig die damit erfassten Statistiken sind, kann ich nicht beurteilen.

Onpage-Suchmaschinenoptimierung

Ohne Suchmaschinenoptimierung geht es nicht, aber auch in Zukunft kann man Yoast SEO einsetzen. Dieses beliebte Plugin speichert laut Entwickler keine personenbezogenen Daten.

Social Media

Um eigene Inhalte auf Facebook und Co. teilen zu lassen, sollte man, wie erwähnt, keine offiziellen Plugins nutzen. Dagegen ist das Plugin Shariff Wrapper kein Problem, da keine Daten vor dem Klick übertragen werden.

Blog-Sicherheit

Um Angriffe auf das Backend des eigenen Blogs abzuwehren, nutzen viele das Plugin WP Limit Login Attempts. Dieses speichert lokal IP-Adressen von Personen, die sich unberechtigter Weise einloggen wollten. Dafür sollte aber ein Hinweis in der Datenschutzerklärung reichen.

Spam bekämpfen

Das schon vorgestellte Plugin Anti-Spam-Bee sollte unproblematisch sein, wenn man die Optionen für die „globale Anti-Spam Datenbank“ und „nur bestimmte Sprachen“ deaktiviert.

Kontaktformulare

Das Kontaktformular-Plugin Contact Form 7 ist sehr beliebt und in der Grundform an sich auch kein direktes Problem. Allerdings werden nach dem Absenden offensichtlich die eingegebenen Informationen per Mail an den Website-Betreiber gesendet. Mit Hilfe eines weiteren Plugins, welches ich gleich vorstelle, kann man den Nutzer darüber informieren und per Häkchen dessen Zustimmung einholen.

Nützliche DS-GVO Plugins

Gerade eben habe ich das Thema Kontaktformulare angesprochen. An sich ist es kein schwerwiegendes Problem, da keine Daten bei den Kontaktformular-Plugins an Dritte übertragen werden. Aber natürlich werden die Daten per Mail an den Website-Betreiber versendet.

Deshalb sind Juristen der Meinung, auch hier muss der Nutzer vorher über diese Speicherung auf dem Mail-Server bzw. im Mailprogramm des Betreibers informiert werden und er muss seine Zustimmung geben.

Dafür gibt es ein nützliches Plugin.

WP GDPR Compliance

Ich finde das Plugin WP GDPR Compliance sehr gut. Es bietet Unterstützung z.B. für Contact Form 7 und Gravity Forms an. Die Unterstützung weiterer Plugins ist in Arbeit.

Das Plugin gibt in jedem Formular einen Text mit einem Hinweis und den Link zur Datenschutzerklärung aus und bietet zudem eine Checkbox, mit der der Nutzer einwilligen muss, bevor er das Formular absenden kann.

Zudem fügt es den Hinweis und die Checkbox auch bei Kommentar-Feldern im Blog ein. Damit ist es eine sehr gute Lösung für WordPress-Blogs.

Cookiebot

Cookies sind eine Sache, die durch die DS-GVO eingeschränkt werden. Zwar gibt es kein pauschales Verbot (da es z.B. Cookies gibt, die für den Betrieb von WordPress notwendig sind) und auch nicht jedes Cookie muss vorher akzeptiert werden, aber zumindest muss es ein Opt-Out geben.

WordPress arbeitet übrigens gerade daran, 100% DS-GVO konform zu werden. Ich bin gespannt.

Bisher reichte der Cookie-Banner mit einem Hinweis auf die Datenschutzerklärung und im Grunde reicht das nach Ansicht vieler Experten auch in Zukunft. Dort muss aber eine Opt-Out Möglichkeit für jeden gesetzen Cookie drin sein.

Erst die ePrivacy Verordnung fordert in der aktuellen Form auf jeden Fall ein Opt-In. Diese kommt aber erst 2019 und wie sie dann genau aussehen wird, bleibt offen. Europaweit laufen Verbände und Unternehmen gerade Sturm gegen diese Verordnung in der aktuellen Form.

Wer aber bereits heute sicher gehen will, kann ein Plugin wie Cookiebot nutzen. Damit kann man alle Cookies erst nach Zustimmung des Nutzers setzen lassen.

Das ist aber keine 1-Klick Lösung, sondern es ist schon einiges an Anpassung und Know How notwendig. Hoffen wir mal, dass es vielleicht von WordPress selbst da in Zukunft eine etwas einfachere Lösung gibt.

Fazit zu WordPress-Plugins und DS-GVO

Ich finde die Einschränkungen durch die DS-GVO schon sehr weitreichend. Früher hat es Spaß gemacht neue Plugins auszuprobieren. Heute traut man sich kaum noch ein weiteres Plugin zu nutzen und schwitzt schon bei den bereits installierten.

Aber es nützt ja erstmal nichts. Man sollte sehr gut analysieren, welche Plugins im Einsatz sind und ob diese genutzt werden dürfen. Zudem muss die eigene Datenschutzerklärung ggf. angepasst werden, je nachdem, welche Cookies gesetzt und welche Daten gespeichert werden.

Da nicht mehr viel Zeit bis zum 25.5.2018 ist, solltet ihr euch umgehend eure Plugins genauer anschauen.

