Die DSGVO kann man nicht mit einem WordPress-Plugin lösen (genauso wenig wie Eheprobleme oder den Klimawandel!).
Plugins können allerdings dabei behilflich sein, Teilaspekte der DSGVO bei WordPress-Websites zu lösen und einen oder sogar mehrere Schritte in Richtung DSGVO-Konformität zu gehen.
In diesem Artikel möchte ich dir einige empfehlenswerte Plugins vorstellen.
Bevor ich ins Detail gehe, noch ein kurzer Hinweis. Wie bei vielen Dingen, gilt auch bei WordPress-Plugins: Je weniger, desto besser. Ich rate dir, nur die Plugins zu installieren, die auch wirklich nötig sind. Bitte nicht blind alle Plugins installieren, die hier in der Liste stehen!
Wie alle meine Artikel zur DSGVO wird auch dieser laufend aktualisiert werden. Plugin-Vorschläge und Feedback sind herzlich willkommen!
Inhaltsverzeichnis
1. DSGVO Pixel Mate
Preis: 29 € für 1 Website, 49 € für 3 Websites, 99 € für 10 Websites, 199 € für beliebig viele Websites (alle Preise einmalig)
Mit der DSGVO wird die Verwendung des Facebook Pixels für Website-Betreiber schwieriger.
Mit dem tollen Plugin DSGVO Pixel Mate, das von Soulsites in Zusammenarbeit mit lawlikes entwickelt wurde, lässt sich der Facebook Pixel mit Opt-Out in die eigene WordPress-Website integrieren und so mit geringerem rechtlichen Risiko nutzen (es besteht allerdings weiterhin ein Restrisiko, siehe FAQ).
Zusätzlich bietet das Plugin die Möglichkeit Google Analytics durch Eingabe der Tracking-ID in die eigene Website einzubinden. Ebenfalls mit Opt-Out und anonymisierter IP.
Preis: 29 € für 1 Website, 149 € für beliebig viele Websites (alle Preise einmalig)
Borlabs Cookie ist ausgeklügeltes und gut programmiertes Plugin mit dem sich ein Opt-In für diverse Dienste, wie z. B. Facebook Pixel, Google Analytics oder Google AdSense, in die Website einbinden lassen. Dadurch werden Cookies nur dann gesetzt, wenn der Nutzer dem zugestimmt hat.
Bitte beachte, dass mit der kommenden DSGVO ein Opt-In noch nicht unbedingt für die Nutzung genannter Dienste erforderlich ist, sondern wahrscheinlich erst mit der für 2019 geplanten ePrivacy-Verordnung (obwohl von der DSK aktuell ein anderer Wind zu weht).
Allerdings fordert Google im Rahmen seiner neuen EU User Consent Policy, die am 25.05.2018 in Kraft tritt, explizite Opt-Ins für manche Google-Dienste, darunter z. B. Google AdSense, YouTube und Google Analytics (bei aktivierten Werbefunktionen). Hierfür stellt Borlabs Cookie meiner Ansicht nach eine gute Lösung dar.
Was auch nicht unerwähnt bleiben darf, sind die praktischen Nachlade-Funktionen von Borlabs Cookie, mit denen sich Dienste wie YouTube, Vimeo, Google Maps und jeder x-beliebige andere Dienst per Shortcode, erst laden lassen, nachdem der Nutzer auf einen Button geklickt hat.
Wie das aussieht kann man auf dieser Demo-Seite in Aktion sehen. Allein dafür lohnt es sich meiner Ansicht nach das Plugin zu kaufen!
3. Disable Emojis
Preis: kostenlos
Disable Emojis ist ein kleines aber feines Plugin, mit dessen Hilfe ein Emoji-Script aus WordPress entfernt wird, das von externen WordPress-Servern geladen wird und sicherstellen soll, dass Emojis auch in älteren Browsern angezeigt werden.
Das ist meiner Ansicht datenschutzrechtlich nicht allzu problematisch, aber da das Emoji-Script meines Erachtens eh unnötig ist und einen zusätzlichen Request erzeugt, der die Ladezeit negativ (allerdings nicht dramatisch!) beeinflusst, kann man gut darauf verzichten.
Ich hatte es auch schon lange vor der DSGVO deaktiviert, um WordPress schneller zu machen.
4. Disable Embeds (von LittleBizzy)
Preis: kostenlos
Mit dem Plugin Disable Embeds kann man sie seit WordPress 2.9 integrierte Embed-Funktion deaktivieren.
Diese sorgt dafür, dass man Posts, Musik, Bilder und Videos von diversen Diensten, wie z. B. YouTube, Vimeo, Facebook, SoundCloud oder Instagram durch einfaches Hineinkopieren der URL in WordPress einbinden.
Für den Datenschutz ist das problematisch, denn bei manchen (allerdings nicht bei allen!) auf diese Weise eingebundenen Diensten ist es möglich, dass Nutzer getrackt werden.
Für YouTube gibt es bereits übrigens eine Lösung, die Embed-Funktion weiterhin datenschutzkonform zu nutzen, z. B. mit dem Plugin YouTube Lyte. Mehr dazu erfährst du auch in meinem Artikel YouTube-Videos datenschutzkonform einbetten.
5. Disable Comments
Preis: kostenlos
Wenn du nicht willst, dass deine Blogartikel kommentiert werden oder wenn eh niemand deine Blogartikel kommentiert und nur der gelegentliche Spam-Kommentar eintrudelt, kann es Sinn ergeben, diese ganz zu deaktivieren. Das ist einfach und schnell mit dem Plugin Disable Comments möglich.
Dadurch sparst du dir den Passus in der Datenschutzerklärung, die Erwähnung im Verzeichnis der Verarbeitungstätigkeit und musst dir generell um die DSGVO-Konformität der Kommentarfunktion keine Gedanken mehr machen.
Und falls du dich doch dazu entscheiden solltest, Kommentare wieder zuzulassen, kannst du das Plugin jederzeit wieder deaktivieren.
Alternativ kannst du natürlich über WordPress selbst die Kommentare deaktivieren, indem du unter Einstellungen > Diskussion die Option Besuchern erlauben, neue Beiträge zu kommentieren deaktivierst und dann per Sammelaktion bei allen Beiträgen Kommentare deaktivierst.
Disable Comments hat den Vorteil, dass du dir diese Schritte sparst und dass unter den Beiträgen die Kommentarfunktion komplett ausgeblendet wird (also auch nicht der Hinweis Kommentare sind geschlossen erscheint). Zusätzlich werden durch Disable Comments auch alle Kommentar-Features im Dashboard ausgeblendet.
6. Clearfy
Preis: kostenlos
Clearfy ist ein nützliches Plugin für alle, die WordPress von allem unnötigen Ballast befreien wollen. Es erlaubt die Deaktivierung diverser Features, um den Datenschutz bei WordPress zu verbessern, wie z. B.:
- Google Fonts entfernen
- Google Maps entfernen
- Embeds deaktivieren
- Emoji-Script entfernen
- Gravatare deaktivieren
- Kommentarfunktion ganz aktivieren
Wenn du Clearfy installiert hast, kannst du es dir sparen, die drei Plugins Disable Emojis, Disable Embeds und Disable Comments zu nutzen.
Zusätzlich bietet es einige Funktionen, um die Administration zu erleichtern, das Dashboard aufzuräumen und WordPress sicherer zu machen.
7. Autoptimize
Preis: kostenlos
Autoptimize ist ein tolles Plugin, um mittels Zusammenfassung und Verkleinerung von Javascript- und CSS-Dateien die Ladezeit deines Blogs oder deiner Website zu verbessern. Ich nutze es auf fast allen meinen Website.
Aber es hat auch zwei Funktionen, die relevant für den Datenschutz sind: Unter Einstellungen > Autoptimize im Tab Extras lassen sich Google Fonts und das Emoji-Script entfernen.
Bitte beachte, dass es gut sein kann, dass die Entfernung Google Fonts und das Emoji-Script rechtlich nicht unbedingt erforderlich ist. Selbst wenn möglicherweise IP-Adressen auf Google- oder WordPress-Servern dadurch gespeichert werden. Meiner Meinung nach lässt sich die Verwendung gut durch Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) begründen.
Ich selbst habe beides bei Blogmojo entfernt, weil das kein großer Aufwand war, ich die System Fonts zum Teil sehr schick finde (z. B. San Francisco von Apple) und sich dadurch zudem meine Ladezeit verbessert hat. Wenn du nicht auf Google Fonts verzichten kannst, ist es auch möglich diese mit dem Google Webfonts Helper lokal einzubinden.
8. Extra Privacy for Elementor
Preis: kostenlos
Wenn du den Page-Builder Elementor verwendest, ist es sinnvoll das Plugin Extra Privacy for Elementor von Marian Heddesheimer zu installieren.
Dieser erweitert den Page-Builder um eine Zwei-Klick-Option für die Elemente Google Maps und Videos, womit verhindert wird, dass Daten an Google und Vimeo gesendet werden, bevor der Nutzer dem zustimmen kann.
9. Remove IP
Preis: kostenlos
Es scheiden sich die Geister, ob man nun IP-Adressen (die ja laut DSGVO auch als personenbezogenen Daten gelten) bei Kommentaren speichern darf oder nicht und wenn ja, wie lange.
Wenn du dich dafür entschieden hast, IP-Adressen nicht zu speichern, kannst du das mit dem simplen Plugin Remove IP ausstellen.
Falls du IP-Adresse nur temporär speichern willst, bietet sich alternativ das Plugin Remove Comment IPs an, bei dem IP-Adressen automatisch nach 60 Tagen gelöscht werden (und bestehende IP-Adressen nach einer Frist von 6 Stunden ebenfalls).
10. Google Analytics Opt-Out
Preis: kostenlos
Mit dem Plugin Google Analytics Opt-Out kann man ein Opt-Out per Shortcode in die Datenschutzerklärung oder auch per Banner in die eigenen WordPress-Website einfügen.
Einfach, schnell und kostenlos. Und kompatibel zu Google Analytics for WordPress by MonsterInsights.
11. Antispam Bee
Preis: kostenlos
Anti-Spam Bee ist eines der besten Plugins zur Bekämpfung von Kommentar-Spam. Ich benutze es schon seit Jahren auf vielen meiner WordPress-Websites und kann es bedingungslos empfehlen. Es reduziert Kommentar-Spam drastisch.
Bitte achte darauf, die richtigen Einstellungen zu wählen, um es datenschutzkonform zu nutzen. Folgende Einstellung sollte dabei auf jeden Fall deaktiviert sein:
- Öffentliche Spamdatenbank berücksichtigen (die IP-Adresse des Kommentators wird an den Dienst Stop Forum Spam gesendet)
Wenn du es mit dem Datenschutz sehr genau nimmst, könntest du auch noch folgende zwei Einstellungen deaktivieren. Dies ist laut Simon vom Pluginkollektiv jedoch nicht unbedingt erforderlich:
- Kommentare nur in einer bestimmten Sprache zulassen (es werden lediglich die ersten drei Wörter an Google Translate geschickt)
- Kommentare aus bestimmten Ländern blockieren (die IP-Adresse des Kommentators wird an den Dienst IP2Country gesendet, aber wird um die hinteren Stellen gekürzt und somit anonymisiert)
Weitere Infos zu Antispam Bee und Datenschutz findet man in der Dokumentation auf GitHub.
12. Shariff Wrapper
Preis: kostenlos
Die originalen Teilen-Buttons von Facebook, Twitter, Google+ und Co. senden automatisch im Hintergrund personenbezogenen Daten an die sozialen Netzwerke. Ohne dass Nutzer überhaupt auf einen Teilen-Button geklickt hätten.
Abhilfe schafft das beliebte Plugin Shariff Wrapper, mit dem man Teilen-Buttons in die eigene Website integrieren kann, die sich erst nach dem Klick mit sozialen Netzwerken verbinden.
Sie lassen sich an verschiedenen Stellen in Beiträge, Seiten und Custom Post Types einbinden, bieten diverse Optionen, um das Button-Design anzupassen, sind kompatibel zu AMP und zeigen Share Counts an. Und das kostenlos!
Hi Finn,
erstmal ein ganz großes Lob für die viele Arbeit, die du dir machst!! Bin begeistert!!
Ich habe eine Frage:
„Die originalen Teilen-Buttons von Facebook, Twitter, Google+ und Co. senden automatisch im Hintergrund personenbezogenen Daten an die sozialen Netzwerke. “
Bezieht sich das somit nur auf die original Buttons? Bei meinem Theme haben die Entwickler diese direkt mit reinprogrammiert. Muss ich das dann auch ändern lassen oder werden damit er Daten nach dem Klicken an Facebook und Co. gesendet.
Vielen Dank für deine Rückmeldung.
Liebe Grüße
Neele / Modebloggerin aus Freiburg
Es kommt immer darauf an, wie die Buttons programmiert sind. Manche senden Daten vor dem Klick an Facebook, Twitter etc. und manche nicht. 😉
Du solltest die Buttons in deinem Theme auf jeden Fall prüfen.
LG
Finn
Deine Beiträge sind echt der Hammer! Habe das mit der DSGVO bis jetzt vor mir hergeschoben. Habe auch schon deine anderen Artikel zum Thema DSGVO gelesen. Vielen Dank! Ich wüsste gar nicht, wie ich das sonst auf meinem Blog umsetzen könnte. Nur noch 4 Tage… ich mach mich jetzt mal ran 😉
Freut mich, danke! Vier Tage hast du noch Zeit! 😉
Hallo Fin,
was kann man mit Font Awesome machen? Bei meinem Theme sind sie integriert und ich kriege sie nicht raus. Muss ich ein neues suchen? Und wenn ja, was käme da in Frage?
Vielen Dank!
FontAwesome versteckt sich oft in der header.php oder im CSS.
Die Frage ist, ob du es wirklich entfernen musst. Das Laden über einen externen Server (bei FontAwesome in der Regel MaxCDN, ohne Cookies) lässt sich möglicherweise mit berechtigtem Interesse begründen (Entlastung des eigenen Servers, möglicherweise schon im Browser-Cache des Besuchers).
Super Hilfestellungen, vielen lieben Dank dafür! Stelle mir gerade eine DSGVO-Checkliste für meine Blogs zusammen und werde einiges von deinen Tipps nutzen, z. B. den SharriffWrapper. Das Remove IP-Plugin nutze ich schon länger.
Sehr gut, mach das! Ja, Shariff Wrapper ist als Sharing-Plugin sehr zu empfehlen! Seit einigen Monaten wird es auch wieder aktiv gepflegt und es gibt regelmäßig Updates 😉
halli hallo!
bin mir nicht sicher, ob man die frage/n noch hören kann, aber wie soll ich das verstehen, wenn mir ghostery einen google analytics tracker anzeigt, obwohl ich google analytics nicht installiert habe??!
und wie isses wenn ich wp user avatar nur verwende um mein profilbild als blogautor in den beiträgen anzeigen zu lassen …. kommentare sind eh deaktiviert.
dankö! carmen
Dann ist irgendwo bei dir noch Google Analytics eingebaut. Check mal deine Theme-Einstellungen und Plugins, ob sich das da noch irgendwo versteckt. 😉
Und check das zusätzlich noch einmal mit einem anderen Tool, wie z. B. Webbkoll: https://webbkoll.dataskydd.net/en/
Hallo Finn,
danke für Deinen Beitrag, ich fand ihn sehr hilfreich. Aber dennoch habe ich eine Frage. Ich benutze die kostenfreie Blogversion von WP, also komplett mit .wordpress.com in der URL usw usf. Ich habe versucht, die Plugins zu installieren bzw zu ändern, allerdings wird mir immer nur gesagt, ich müsse auf eine der kostenpflichtigen Versionen upgraden, um Plugins zu installieren. Aber nur um der DGSVO rechtens zu werden, finde ich diesen Schritt zu drastisch und unnötig – ich mache auf meinem Blog nicht einmal Werbung, oder verlinke Seiten außerhalb von WP, habe auch nicht genug Klicks, um da irgendwas dran zu verdienen, es soll ja weiterhin Hobby bleiben. Wie sieht es denn damit aus? Muss ich mir da jetzt Sorgen machen, weil ich z.B. die nicht-DGSVO-konformen Plugins wie Jetpack etc nicht deaktivieren kann? Ich suche seit Tagen im Netz auf der Suche nach etwas, das mir da weiterhilft, aber bisher erfolglos. (Eine Datenschutzgeschichte im Impressum habe ich selbstverständlich schon …)
Ich hoffe, Du kannst mir da was zu sagen …
Danke für die nützlichen Info’s ! Ich suche einen Plug In, den ich bei einem anderen Blog gesehen habe, welcher unter jede Beitrags Kommentarfunktion noch einen Schriftzug á la “ Wenn du hier einen Häkchen setzt, erklärst du dich dazu bereit, dass ich deinen Namen/Email/Website ect speicher) mit Hakenbox setzt.
Leider finde ich einfach nicht heraus, wie dieses Plugin heißt oder wie ich selber so etwas drunter setzen kann. Das bearbeiten funktioniert leider nur bei der KOntaktbox von WordPress. Hast du dahin gehend einen Tipp, wie ich das selber einfügen kann?
LG Sarah
Du meinst wahrscheinlich WP GDPR Compliance: https://de.wordpress.org/plugins/wp-gdpr-compliance/
Eine Checkbox ist allerdings nicht unbedingt nötig und kann sogar kontraproduktiv sein, weshalb ich das Plugin hier nicht empfehle. Hör dir mal diesen Podcast von RA Hansen-Oest dazu an, der erklärt das dort ausführlich: https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/
Ich möchte ein paar Änderungen zu Punkt 11 anregen.
Da sind dir einige Fehler unterlaufen, die sich auch andere Autoren eingetreten haben. Zur Klärung der Fehler habe ich einen kleinen Blogpost geschrieben: https://simon.blog/2018/euer-datenschutz-kotzt-mich-an/
Wenn du in Zukunft Fragen zu Plugins der Pluginkollektivs haben solltest, kannst du dich gerne auf Twitter mit uns in Verbindung setzen oder mir eine Mail schreiben.
Beste Grüße,
Simon
Hi Simon,
vielen Dank für die Aufklärung und die Hinweise bzgl. Antispam Bee! Ich habe das soeben im Artikel ergänzt. 😉
LG
Finn
Gibt es eine „Zwischenlösung“ für die beiden Plugins zur IP-Entfernung bei Kommentaren? Ich würde die IP-Adressen gerne etwa eine Woche speichern, zur Sicherheit, falls z.B. rechtswidrige Inhalte oder Beleidigungen gepostet werden. Ich suche also ein Plugin bei dem ich die Speicherdauer manuell festlegen kann. 60 Tage finde ich persönlich zu lange.
Hi Marina,
du könntest das einfach im Code des Plugins Remove Comment IPs anpassen.
Du findest die Aufbewahrungszeit in der Datei remove-comment-ips.php in dieser Funktion:
function remove_comment_ip_schedule_future_processing($comment_id, $comment_approved) { // schedule processing in 60 days wp_schedule_single_event(time() + 5184000, 'remove_comment_ip_handle', array($comment_id)); }Dabei ersetzt du die 5184000 (60 Tage in Sekunden) durch 604800 (7 Tage in Sekunden).
Hoffe, das hilft dir weiter! 😉
LG
Finn
Es gibt so viele Falschinformationen im Artikel, ich weiss gar nicht wo anfangen.
Punkt 4, Disable Embeds, sticht besonders heraus, da es mein Plugin ist. Ein paar Klarstellungen:
* Das Plugin dient hauptsächlich dazu, dass andere Websites die eigene WordPress-Seite nicht mehr via oEmbed einbinden. Dieses Feature gibt es seit WordPress 4.4, wo auch das Plugin veröffentlicht wurde.
* Das Plugin deaktiviert oEmbed Discovery, mit dem versucht wird, andere Websites via oEmbed einzubinden.
* Das Plugin deaktiviert nicht Embeds von Sites wie YouTube oder Twitter.
* Viele Provider, u.a. auch Twitter, folgen der „Do not Track“ Anweisung. WordPress schickt diese bei jedem Embed-Versuch. Tweets werden also nur mit dieser Anweisung eingebunden.
Hi Pascal,
argh, da ist mir ein blöder Fehler unterlaufen. Sorry!
Es gibt anscheinend zwei Plugins, die „Disable Embeds“ heißen. Ich meinte nicht deins, sondern das von LittleBizzy: https://wordpress.org/plugins/disable-embeds-littlebizzy/
LG
Finn
PS: Wenn du weitere Fehler gefunden hast, teil sie mir gerne mit und ich korrigiere sie umgehend 😉