200+ WordPress-Plugins im DSGVO-Check (mit Lösungen, Alternativen und Plugin-Tipps!)

[Letztes Update: 12.06.2018] Mit dieser Liste möchte ich einen Überblick darüber schaffen, welche WordPress-Plugins personenbezogene Daten sammeln und welche nicht und welche möglichen Lösungen und Alternativen es gibt, um diese DSGVO-konform zu nutzen.

Zusätzlich findest du am Anfang dieses Artikels eine Liste mit nützlichen Plugins, die dir dabei helfen können, WordPress DSGVO-konform zu machen.

Weitere nützliche Tipps, Listen und Tutorials findest du hier bei Blogmojo in der Kategorie DSGVO & Datenschutz sowie in meiner Facebook-Gruppe DSGVO für Blogger & Online-Unternehmer mit über 10.000 Mitgliedern!

Ich werde die Liste in regelmäßigen Abständen updaten und um neue Plugins und entsprechende Lösungen zur Nutzung ergänzen. Mithilfe ist herzlich willkommen! Falls ihr Fehler findet, euch Infos zur DSGVO-Konformität eines WordPress-Plugins vorliegen oder Ergänzungswunsche bestehen, lasst es mich wissen!

Ich möchte mich dabei allerdings auf die beliebtesten WordPress-Plugins beschränken. Plugins mit wenig Downloads (oder Verkäufen bei Premium-Plugins) werden in der Regel nicht aufgenommen.

Achtung: Dieser Blogbeitrag ist keine Rechtsberatung! Im Rahmen meiner Arbeit als Blogger und WordPress-Dienstleister habe ich mich zwar intensiv mit den geltenden Datenschutzbestimmungen und der DSGVO beschäftigt, ich bin jedoch weder Jurist noch Datenschutz-Experte. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen.

Nützliche Plugins

Folgende Plugins können dabei helfen, WordPress-Websites DSGVO-konform zu machen:

  • Autoptimize (entfernt Google Fonts und Emojis, funktioniert allerdings nicht immer, Alternative: Remove Google Fonts References)
  • Borlabs Cookie (umfangreiche und preislich günstige Opt-In-Lösung für Cookies, geeignet z. B. für Google Analytics, AdSense, Facebook Pixel oder Piwik. Es bietet zudem eine Zwei-Klick-Lösung für YouTube-Videos und iframes – sehr empfehlenswert!)
  • Clearfy (erlaubt die Aktivierung diverser WordPress-Features aus Sicherheits-, Datenschutz oder Performance-Gründen, z. B. Emojis, Embed, Rest API, Gravatar etc. – eher für fortgeschrittene Nutzer geeignet!)
  • Disable Embeds von LittleBizzy (Deaktiviert Embeds, durch die Daten an Dienste wie YouTube, Facebook, Twitter und Co. übertragen werden können)
  • Disable Emojis (entfernt ein Fallback-Script zum Anzeigen von Emojis in ältereren Browser, das über ein externes CDN geladen wird)
  • DSGVO Pixel Mate (tolles Plugin, um Opt-Outs oder Opt-Ins für den Facebook Pixel oder Google Analytics einzubinden, optional können alle externen Ressourcen blockiert werden)
  • Extra Privacy for Elementor (erweitert den Page-Builder um eine Zwei-Klick-Option für Google Maps und Videos)
  • Google Analytics Opt-Out (stellt eine Opt-Out-Möglichkeit für Google Analytics bereit)
  • Really Simple SSL (hilft bei der Umstellung einer WordPress-Website auf HTTPS)
  • Remove Comment IPs (IP-Adressen von Kommentatoren werden nach 60 Tagen aus der Datenbank gelöscht)
  • Remove Google Fonts References (entfernt Google Fonts aus dem Quellcode)
  • Remove IP (verhindert, dass IP-Adresse beim Kommentieren in der WordPress-Datenbank gespeichert werden)
  • smart User Slug Hider (ersetzt Benutzernamen in URLs automatisch durch 16-stellige Zahlencodes)

Weitere nützliche Plugins und Details zu den bereits genannten Plugins findest du in meinem Artikel 12 nützliche Datenschutz-Plugins, um WordPress DSGVO-sicher zu machen.

Hinweis: Einige Dinge, wie z. B. das Entfernen der IP beim Kommentieren, Embeds oder Emojis lassen sich auch sehr gut mit Code-Snippets per functions.php (im Child-Theme) erledigen.

Legende (bitte vorher lesen!)

OrangeSpeichert personenbezogene Daten, aber es ist noch keine Lösung bekannt, um es DSGVO-konform zu nutzen.
GelbSpeichert personenbezogenen Daten, aber ist mit Anpassungen DSGVO-konform (z. B. Änderung der Plugin-Einstellungen, Opt-In, Erwähnung in der Datenschutzerklärung, ADV-Vertrag etc.).
GrünSpeichert keine personenbezogenen Daten und ist somit DSGVO-konform
GrauDSGVO-Konformität ist unklar.

1. Social Plugins

Social Plugins, wie z. B. der Facebook Like Button, Pinterest Widgets oder eingebettete Twitter Timelines, ebenso wie von sozialen Netzwerken angeboten Remarketing-Tools, wie z. B. der Facebook Pixel, sammeln Nutzerdaten und verfolgen mitunter das Nutzerverhalten auch über die sozialen Netzwerke hinaus.

Das gilt selbstverständlich auch für alle WordPress-Plugins, welche eine Integration dieser Technologien vornehmen, von denen einige in dieser Liste zu finden sind.

Aber nicht nur diese sammeln Daten, sondern mitunter auch Dienste, die eigene Social-Sharing-Lösungen anbieten, wie z. B. AddThis.

PluginDetails
AddThisSpeichert personenbezogene Daten von Nutzern auf Dritt-Servern (Quelle)
AddToAnyWird von Ghostery als Tracker erkannt. Laut FAQ werden keine personenbezogenen Daten durch AddToAny gespeichert, außer durch deren Technologie-Dienstleister, bei denen IP-Adressen und Cookies aus Sicherheitsgründen gespeichert werden.
Arqam Social CounterEs werden keine personenbezogenen Daten gespeichert. Das Plugin bezieht Follower-Zahlen nur im Backend. Follower-Zahlen werden für einen festlegbaren Zeitraum gecached.
Better Click to TweetEs werden keine personenbezogenen Daten gespeichert. Es werden nur einfache Links zu Twitter angezeigt.
Easy Social Share Buttons for WordPressLaut Angaben des Entwicklers ist es DSGVO-konform, weil erst personenbezogene Daten an die sozialen Netzwerke übertragen werden, nachdem der Nutzer auf einen Teilen-Button geklickt hat. Allerdings werden durch den Facebook Social Graph, über den sporadisch die Facebook Share Counts im Frontend bezogen werden, möglicherweise personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert. Die DSGVO-Konformität ist deshalb unklar.
Fuse Social Floating SidebarAn sich speichert das Plugin keine personenbezogenen Daten und baut auch keine Verbindungen zu sozialen Netzwerken auf, bevor der Nutzer auf die Buttons geklickt hat. Allerdings lädt das Plugin (unnötigerweise) FontAwesome extern über MaxCDN.
Instagram FeedDas Plugin speichert laut Support an sich keine personenbezogenen Daten. Allerdings ist es möglich, dass über das CDN von Instagram, über das die Bilder bezogen werden, IP-Adressen gespeichert werden.
jQuery Pin It Button for ImagesDurch den Pinterest Save Button werden personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert. (Quelle)
Lightweight Social IconsEs werden keine personenbezogenen Daten gespeichert. Es handelt sich um einfache Icons mit Links zu sozialen Netzwerken.
MashShareLaut eigenen Angaben DSGVO-konform. Allerdings lädt das Plugin, den Facebook Social Graph, durch den personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert werden.
Meks Smart Social WidgetEs werden keine personenbezogenen Daten gespeichert. Es handelt sich um einfache Icons mit Links zu sozialen Netzwerken.
MonarchSpeichert personenbezogene Daten von Nutzern auf Dritt-Servern (stellt Verbindung zu Facebook her, bevor Button geklickt wird). Speichert für Reports IP-Adressen.
NextScripts: Social Networks Auto-PosterLaut Support werden keine personenbezogenen Daten durch das Plugin gespeichert.
Open Graph for Facebook, Google+ and Twitter Card TagsLaut Support werden keine personenbezogenen Daten durch das Plugin gespeichert.
PixelYourSiteDurch den Facebook Pixel werden personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert.

Lösung: Plugin löschen und stattdessen DSGVO Pixel Mate nutzen, das ein Opt-Out oder wahlweise ein Opt-In für den Facebook Pixel integriert.

Share Icons Share ButtonsSpeichert personenbezogene Daten von Nutzern auf Dritt-Servern (stellt Verbindung zu sozialen Netzwerken her, bevor Button geklickt wird).
ShareThisSpeichert personenbezogene Daten von Nutzern auf Dritt-Servern (Quelle)
Shariff WrapperBei Shariff werden erst personenbezogene Daten an die sozialen Netzwerke übertragen werden, nachdem der Nutzer auf einen Teilen-Button geklickt hat. Es ist somit DSGVO-konform.
Social Count PlusEs werden keine personenbezogenen Daten gespeichert und ist somit DSGVO-konform. Das Plugin bezieht Follower-Zahlen nur im Backend (werden 1 Tag gecached).
Social Login von OneAllAus mehreren Gründen als kritisch anzusehen. Erstens wird bereits beim Seitenaufbau eine Verbindung zu OneAll-CDN hergestellt (wodurch ein Cookie gesetzt wird, das möglicherweise zum Tracking verwendet werden kann). Zweitens wird nach dem Klick auf den Button eine Verbindung zu sozialen Netzwerken aufgebaut, bei der dort eine (von einem selbst erstellte) App Zugriff auf die E-Mail-Adresse und andere Informationen von Kommentatoren erhält.
Social Login von miniOrangeVor dem Klick auf den Login-Button werden keine personenbezogene Daten durch das Plugin gesammelt. Dennoch als kritisch anzusehen, weil nach dem Klick auf den Button eine Verbindung zu sozialen Netzwerken aufgebaut, bei der dort eine (von einem selbst erstellte) App Zugriff auf die E-Mail-Adresse und andere Informationen von Kommentatoren erhält.
Social LockerBindet die originalen Social-Buttons von Twitter, Google+ und Facebook ein, wodurch personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert werden.
Social WarfareLaut Angaben des Entwicklers ist es DSGVO-konform, weil erst personenbezogene Daten an die sozialen Netzwerke übertragen werden, nachdem der Nutzer auf einen Teilen-Button geklickt hat. Allerdings werden durch den Facebook Social Graph, über den sporadisch die Facebook Share Counts im Frontend bezogen werden, möglicherweise personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert. Die DSGVO-Konformität ist deshalb unklar.
WP TastyDurch den Pinterest Hover Button werden personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert.

Lösung: Den Hover Button über die functions.php ausstellen.

WpDevArt Facebook commentsDurch das Facebook Comments Plugin werden personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert. (Quelle)

2. Sicherheits-Plugins

Auch Sicherheits-Plugins sammeln unter Umständen personenbezogene Daten.

So werden z. B. IP-Adressen von Leuten, die sich versuchen, in deinen WordPress-Adminbereich einzuloggen in der WordPress-Datenbank gespeichert oder mit Spammer-Datenbanken auf Dritt-Servern abgeglichen.

PluginDetails
All In One WP Security & FirewallLaut Support werden keine personenbezogenen Daten durch das Plugin gespeichert.

In der Datenbank werden jedoch durch verschiedene Funktionen IP-Adressen gespeichert, z. B. bei der 404 Detection, Login Lockdown und Auto Block of SPAM Comment IPs.

Zudem wird die IP-Adresse von registrierten Nutzern gespeichert.

Mögliche Lösung: Ausschalten der genannten Funktionen, wenn möglich, oder Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtiges Interesse).

BBQ (Block Bad Queries)Arbeit laut meinen eignen Recherchen nur auf Server-Ebene (z. B. durch Integration der 6G Firewall in die .htaccess). Es werden keine personenbezogenen Daten in der WordPress-Datenbank gespeichert oder an Dritt-Server gesendet.
Google Captcha (reCAPTCHA) by BestWebSoftSpeichert personenbezogene Daten von Nutzern auf Dritt-Servern, bevor der Nutzer dem zustimmen kann.

Erfordert laut Googles EU user consent policy ein explizites Opt-In zur Nutzung.

iThemes SecurityBei Aktivierung bzw. Nutzung des lokalen Brute-Force-Schutzes, der 404-Erkennung, der Benutzersperre, sowie der White- und Black-List werden IP-Adressen in der eigenen WordPress-Datenbank (oder in einer Datei auf dem Server gespeichert).

Zudem werden bei Aktivierung des Netzwerk-Brute-Force-Schutz werden IP-Adressen an iThemes-Server zum Zwecke des Abgleichs mit einer Spammer-Datenbank geschickt.

Lösung: Das IP-Logging lässt sich leider nicht global ausstellen. Um es zu verhindern hilft nur das Deaktivieren bzw. die Nicht-Nutzung (Felder leer lassen) aller genannten Funktionen oder Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Logs leeren: Mit der aktuellen Version (6.9.2) leider nur durch manuelles Löschen der Datei bzw. der Datenbankeinträge möglich.

Limit Login AttemptsSpeichert IP-Adressen zum Zwecke des Brute-Force-Schutzes in der eigenen WordPress-Datenbank.

Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtiges Interesse).

Limit Login Attempts ReloadedSpeichert IP-Adressen zum Zwecke des Brute-Force-Schutzes in der eigenen WordPress-Datenbank.

Lösung: In den Einstellungen einen Haken bei GDPR compliance setzen, dann werden alle IP-Adressen durch MD5-Hashes verschleiert.

Login LockDownSpeichert IP-Adressen zum Zwecke des Brute-Force-Schutzes in der eigenen WordPress-Datenbank.

Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtiges Interesse).

NinjaFirewallSpeichert IP-Adressen im Firewall-Log.

Lösung: Lassen sich in den Firewall-Optionen anonymisieren. (Quelle)

SpyderSpankerSpeichert IP-Adressen zum Zwecke des Blockens von Bots und Crawlern in der WordPress-Datenbank. Die Speicherung lässt sich nicht ausschalten.

Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtiges Interesse).

Sucuri SecurityLaut deren Privacy Policy und Terms, verarbeitet Sucuri keine personenbezogenen Daten von Besuchern (nur die eigene E-Mail-Adresse und anonyme Daten über die eigenen Website bei Aktivierung des API-Keys).
Wordfence SecurityIP-Adressen werden zum Zwecke des Schutzes vor Brute-Force- und DDoS-Angriffen oder Kommentar-Spam auf WordFence-Servern gespeichert.

Mögliche Lösung: AV-Vertrag mit WordFence abschließen und deren neuen Datenschutz- und Nutzungsbestimmungen zustimmen, Nutzung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtiges Interesse). Mehr Infos zu WordFence und DSGVO findet man in diesem Hilfe-Artikel.

WP Limit Login Attempts Speichert IP-Adressen zum Zwecke des Brute-Force-Schutzes in der eigenen WordPress-Datenbank.

Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtiges Interesse)

3. Anti-Spam-Plugins

Auch Anti-Spam-Plugins nutzen unter Umständen IP-Adressen oder über die Kommentarfunktionen eingegebene Daten, um Kommentar-Spam zu erkennen oder zu verhindern.

PluginDetails
AkismetAkismet übermittelt alle über das Kommentar-Formular eingegebenen Daten (Name, E-Mail, Kommentartext etc.) sowie die IP-Adresse des Nutzers an externe Server in den USA.

Lösung: Das Zusatz-Plugin Akismet Privacy Policy erlaubt es, Nutzer vor dem Kommentieren auf das Speichern der Daten hinzuweisen.

Antispam BeeAntispam Bee verarbeitet in den Standardeinstellungen keine personenbezogenen Daten und ist somit DSGVO-konform.

Wenn du es mit dem Datenschutz sehr genau nimmst, könntest du noch folgende zwei Einstellungen deaktivieren (sind standardmäßig deaktiviert):

  • Kommentare nur in einer bestimmten Sprache zulassen (es werden lediglich die ersten drei Wörter an Google Translate geschickt)
  • Kommentare aus bestimmten Ländern blockieren (die IP-Adresse des Kommentators wird an den Dienst IP2Country gesendet, aber wird um die hinteren Stellen gekürzt und somit anonymisiert)

Die Deaktivierung dieser zwei Einstellungen ist laut Simon vom Pluginkollektivs jedoch nicht unbedingt erforderlich.

WPBruiserSpeichert laut Support IP-Adressen zum Zwecke des Brute-Force-Schutzes in der eigenen WordPress-Datenbank.

Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtiges Interesse).

WP-SpamShieldEs werden Cookies vom eigenen Server gesetzt (aber keine personenbezogenen Daten an Dritt-Server gesendet, siehe FAQ).

Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtiges Interesse).

4. Statistik-Plugins

Auch Statistik-Plugins speichern unter Umständen personenbezogene Daten, wie z. B. IP-Adressen.

PluginDetails
Count per DaySpeichert IP-Adressen der Besucher in der WordPress-Datenbank, diese lassen sich jedoch in den Einstellungen anonymisieren (werden um die letzte Stelle gekürzt).
FeedStatsSpeichert IP-Adressen der Besucher in der WordPress-Datenbank, dies lässt sich leider nicht ausstellen.
Google Analytics Dashboard for WP (GADWP) Nutzt Google Analytics, durch welches personenbezogene Daten auf Dritt-Servern gespeichert werden.

Lösung:

  • IP-Anonymisierung aktivieren  (zu finden in den Plugin-Einstellungen unter Tracking-Code > Erweiterte Einstellungen > IP-Adresse anonymisieren)
  • Hinweis in der Datenschutzerklärung und Opt-Out-Möglichkeit
  • ADV-Vertrag mit Google
Google Analytics for WordPress by MonsterInsightsNutzt Google Analytics, durch welches personenbezogene Daten auf Dritt-Servern gespeichert werden.

Lösung:

  • IP-Anonymisierung aktivieren und Berichte zur Leistung nach demografischen Merkmalen und Interessen deaktivieren (beides zu finden in den Plugin-Einstellungen unter Tracking > Demographics)
  • Hinweis in der Datenschutzerklärung und Opt-Out-Möglichkeit
  • ADV-Vertrag mit Google
StatifyVerarbeitet und speichert laut eigenen Angaben keinerlei personenbezogene Daten, auch keine IP-Adressen.
WP StatisticsDas Plugin speichert IP-Adressen der Besucher in der WordPress-Datenbank, IPs lassen sich in den Optionen anonymisieren (hashen).

5. Kontaktformulare

Über Kommentarformulare werden mitunter persönliche Daten in der WordPress-Datenbank gespeichert, weshalb die Nutzung nur möglich ist, wenn die Speicherung unterbunden wird oder der Nutzer der Speicherung explizit zustimmt.

PluginDetails
Contact Form 7Eingetragene Formulardaten werden dir per E-Mail geschickt, also auf deinem E-Mail-Server gespeichert. Eine zusätzliche Speicherung in der WordPress-Datenbank findet (laut meinen eigenen Recherchen) nicht statt.
Contact Form by WPFormsEingetragene Formulardaten werden dir per E-Mail geschickt, also auf deinem E-Mail-Server gespeichert und zusätzlich in der WordPress-Datenbank gespeichert.

Einen ausführlichen Guide, um das Plugin DSGVO-konform zu nutzen findet man hier.

Gravity FormsEingetragene Formulardaten werden dir per E-Mail geschickt, also auf deinem E-Mail-Server gespeichert und zusätzlich in der WordPress-Datenbank gespeichert.

Die Speicherung in der Datenbank lässt sich z. B. mit dem Plugin Wider Gravity Forms Stop Entries oder per functions.php ausschalten. Gravity Forms stellt auch einen ausführlichen Guide zur DSGVO-konformen Nutzung bereit.

Ninja FormsEingetragene Formulardaten werden dir per E-Mail geschickt, also auf deinem E-Mail-Server gespeichert.

Ninja Forms stellt schon seit längerem einen ausführlichen Guide bereit, wie man Ninja Forms DSGVO-konform nutzen kann.

Super Forms – Drag & Drop Form BuilderEingetragene Formulardaten werden dir per E-Mail geschickt, also auf deinem E-Mail-Server gespeichert. Bei bestimmten Plugin-Einstellungen ist es möglich, dass Formulardaten auch in der Datenbank oder auf Dritt-Servern gespeichert werden.

6. Kommentar-Plugins

Durch Abgabe eines Kommentars werden personenbezogene Daten übermittelt (z. B. Name, E-Mail, IP-Adresse, ggf. über den Kommentartext etc.).

Durch Nutzung eines Kommentar-Plugins besteht die Möglichkeit, dass diese Daten auch an Dritte weitergegeben werden:

PluginDetails
Disqus Comment SystemDurch Abgabe eines Kommentars werden alle eingegebenen Daten, die IP-Adresse des Kommentators sowie andere Daten an Disqus-Server gesendet (und an Dritte weitergegeben).
Replyable (ehemals Postmatic)Speichert E-Mail-Adressen in der WordPress-Datenbank. Bietet kein Double-Opt-In?
Subscribe to Comments ReloadedSpeichert E-Mail-Adressen in der WordPress-Datenbank. Kommentare zu abonnieren ist mit Double-Opt-In möglich. Die Entwickler können nicht für DSGVO-Konformität garantieren.
Subscribe2Speichert E-Mail-Adressen in der WordPress-Datenbank. Bietet kein Double-Opt-In?
wpDiscuzDurch Abgabe eines Kommentars werden eingegebene Daten in der WordPress-Datenbank gespeichert.

7. Membership-, Community- und Foren-Plugins

Wenn du einen Mitgliedsbereich in deine Website integriert hast, werden personenbezogene Daten zur Registrierung gespeichert, wie z. B. E-Mail-Adressen, Vornamen oder ggf. sogar Adress- oder Zahlungsdaten.

PluginDetails
BuddyPressSpeichert personenbezogene Daten in der WordPress-Datenbank. Bei Installation von manchen Extensions werden personenbezogene Daten auch an Dritt-Server übertragen.
DigimemberSpeichert personenbezogene Daten in der WordPress-Datenbank und übermittelt diese bei entsprechender Einstellung auch an Digistore24-Server.

Achtung: In Version 2 werden Passwörter der Mitglieder in Klartext in der WordPress-Datenbank gespeichert.

OptimizePressSpeichert personenbezogene Daten in der WordPress-Datenbank. Bei Nutzung von Drittanbieter-Integration (z. B. Zahlungsdiensten) werden personenbezogene Daten ggf. auch an Dritt-Server übertragen.
Simple:PressSpeichert personenbezogene Daten in der WordPress-Datenbank. Bei Installation von manchen Extensions (z. B. Gravatar oder ShareThis) werden personenbezogene Daten auch an Dritt-Server übertragen.
Ultimate MemberSpeichert personenbezogene Daten in der WordPress-Datenbank. Bei Installation von manchen Extensions (wie z. B. Mailchimp oder Social Login) werden personenbezogene Daten auch an Dritt-Server übertragen. Lösung ist in Arbeit.

8. Ladezeit- und Performance-Plugins

PluginDetails
a3 Lazy LoadSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
AutoptimizeSpeichert laut eigenen Angaben keine personenbezogenen Daten und ist somit DSGVO-konform.
Cache EnablerSpeichert in den Grundeinstellungen keine personenbezogenen Daten und ist somit DSGVO-konform.

Werden bei Nutzung von KeyCDN personenbezogene Daten gespeichert?

CachifySpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Crazy LazySpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Fast Velocity MinifySpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Optimize Database after Deleting RevisionsSpeichert laut meinen eigenen Rechercheen keine personenbezogenen Daten (läuft als Tool zur Bereinigung der Datenbank nur im Backend) und ist somit DSGVO-konform.
SG OptimizerSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
W3 Total CacheSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.

Achtung: Mögliche Speicherung personenbezogener Daten bei Nutzung von CDNs.

WP Fastest CacheSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
WP-OptimizeSpeichert laut meinen eigenen Rechercheen keine personenbezogenen Daten (läuft als Tool zur Bereinigung der Datenbank nur im Backend) und ist somit DSGVO-konform.
WP Rocket Speichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
WP Super CacheSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
WP-SweepSpeichert laut meinen eigenen Rechercheen keine personenbezogenen Daten (läuft als Tool zur Bereinigung der Datenbank nur im Backend) und ist somit DSGVO-konform.

9. SEO-Plugins

Bei SEO-Plugins werden in der Regel keine personenbezogenen Daten von Nutzern gespeichert, da diese der technischen Optimierung der Website (Sitemaps, Meta-Titel etc.) an sich dienen oder im Hintergrund laufen.

PluginDetails
404 RedirectionSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
All 404 Redirect to HomepageSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
All in One SEO PackSpeichert laut Entwickler keine personenbezogenen Daten und ist somit DSGVO-konform.
Breadcrumb NavXTSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Broken Link CheckerSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Change Permalink HelperSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Contextual Related PostsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
FV Top Level CategoriesSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Google XML SitemapsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
RedirectionEs werden IP-Adressen in den Umleitungs- und 404-Logs gespeichert. Dies lässt sich jedoch in den Optionen unter IP-Protokollierung ausschalten.
Simple 301 RedirectsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Table of Contents PlusSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Title and Nofollow For LinksSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Yet Another Related Posts PluginSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Yoast SEOSpeichert laut Support keine personenbezogenen Daten und ist somit DSGVO-Konform.
XML Sitemap & Google News feedsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
wpSEOSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.

10. Bilder- und Medien-Plugins

Hier sind Plugins aufgeführt, mit denen Bilder und andere Medien bearbeitet oder optimiert werden können:

PluginDetails
Compress JPEG & PNG imagesBilder werden an Dritt-Server gesendet, was problematisch ist, wenn diese erkennbare Personen abbilden.
Enable Media ReplaceSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
EWWW Image OptimizerEs werden keine Bilder an Dritt-Server gesendet, weil das Plugin Bilder auf dem eigenen Server optimiert.

Achtung: Wenn die Cloud-Optimierung aktiviert ist, werden deine Bilder an Dritt-Server gesendet, was problematisch ist, wenn diese erkennbare Personen abbilden.

EWWW Image Optimizer CloudBilder werden an Dritt-Server gesendet, was problematisch ist, wenn diese erkennbare Personen abbilden.
Force Regenerate ThumbnailsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Kraken.io Image OptimizerBilder werden an Dritt-Server gesendet, was problematisch ist, wenn diese erkennbare Personen abbilden.
ImsanitySpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Media CleanerSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Media File RenamerSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
NextGEN GallerySpeichert an sich keine personenbezogenen Daten. Allerdings scheint das Plugin eigenständig Google Fonts zu laden, was sich nicht in den Einstellungen deaktivieren lässt.

Lösung: Google Fonts händisch im Plugin entfernen (es gibt leider noch keine andere Möglichkeit).

Resize Image After UploadSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Regenerate ThumbnailsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
ShortPixel Image OptimizerBilder werden an Dritt-Server gesendet, was problematisch ist, wenn diese erkennbare Personen abbilden.
Smush Image Compression and OptimizationBilder werden an Dritt-Server gesendet, was problematisch ist, wenn diese erkennbare Personen abbilden. Laut Angaben der Entwickler werden die Bilder allerdings direkt nach der Optimierung wieder gelöscht.
WordPress File UploadRuft anscheinend externe Verbindungen auf zu code.jquery.com und cdnjs.cloudflare.com auf (Quelle).

Mit Version 4.5.0 wurden einige Features, um Einwilligungen von Nutzer-Uploads einzuholen.

WP Retina 2xSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.

11. Design-Plugins

Hier sind alle Plugins gelistet, mit denen du das Design oder die Struktur deiner Website verändern kannst (im Frontend, also dem für Besucher sichtbaren Bereich), wie z. B. Page-Builder, Slider-, Sidebar-, Widget- oder Menü-Plugins.

PluginDetails
404pageSpeichert laut Support keine personenbezogenen Daten und ist DSGVO-konform.
Better Font AwesomeLädt FontAwesome-Icons über das externes jsDelivr-CDN. Lokales Laden nicht möglich.

Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtiges Interesse).

Collapse-O-MaticSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Content Aware SidebarsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Contextual Related PostsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Custom SidebarsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Elementor Page BuilderSpeichert an sich keine personenbezogenen Daten und lädt auch keine externen Ressourcen.

Bei Verwendung der Elemente „Google Maps“ und „Video“ werden allerdings personenbezogene Daten an Dritt-Server übertragen, bevor der Nutzer dem zustimmen kann.

Lösung: Das Plugin Extra Privacy for Elementor, das beide Elemente mit einer Zwei-Klick-Lösung ausstattet.

Genesis Columns AdvancedSpeichert laut Support keine personenbezogenen Daten und ist DSGVO-konform.
List Category PostsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Max Mega MenuSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
MaxButtonSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Page Builder by SiteOriginSpeichert laut meinen eigenen Recherchen an sich keine personenbezogenen Daten.

Wird jedoch das Video-Element verwendet, werden unter Umständen personenbezogene Daten an Dritt-Server übertragen, bevor der Nutzer dem zustimmen kann. Es ist noch keine Lösung dafür bekannt. Die Nutzung mancher Premium-Addons, wie z. B. Contact Form, Web Font Selector, Ajax Comments oder Social Widgets könnten ebenfalls Anpassungen erfordern.

Popup BuilderLaut Support werden keine personenbezogenen Daten durch das Plugin gespeichert.
Posts in PageSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Q2W3 Fixed WidgetSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Responsive Lightbox & GallerySpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
ShortcoderSpeichert an sich keine personenbezogenen Daten. Bitte beachte, dass möglicherweise Daten durch den in den Shortcodes verwendeten Code (z. B. YouTube-Videos, AdSense, extern geladene Scripte etc.) übertragen werden.
WordPress Popular PostsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
WPBakery Page Builder (ehemals Visual Composer)Speichert laut meinen eigenen Recherchen an sich keine personenbezogenen Daten.

Werden jedoch die Elemente Google Maps, Flickr Widget, Videoplayer sowie die Pinterest-,Facebook-,Twitter- oder Google-Plus-Buttons benutzt, werden unter Umständen personenbezogene Daten an Dritt-Server übertragen, bevor der Nutzer dem zustimmen kann.

Lösung: Noch keine (außer dem Verzicht auf Verwendung genannter Elemente).

WP-PageNaviSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.

12. WooCommerce

PluginDetails
Disable WooCommerce ReviewsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
WooCommerceKunden-, Kontakt- und Zahlungsdaten von Kunden werden in der WordPress-Datenbank gespeichert und ggf. auch an Zahlungsanbieter, wie z. B. PayPal, oder andere Drittanbieter gesendet.

Auttomatic stellt auf einer Übersichtsseite und im offiziellen WooCommerce-Blog zahlreiche Infos dazu bereit, wie man WooCommerce DSGVO-konform nutzen kann.

WooCommerce Advanced Bulk EditSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
WooCommerce CSV ImporterSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
WooCommerce Product Archive CustomiserSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
WooCommerce Tab ManagerSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.

13. Sonstige Plugins

Hier sind alle Plugins gelistet, für die es noch keine Kategorien gibt.

PluginDetails
Advanced Access ManagerSpeichert laut Support keine personenbezogenen Daten und ist DSGVO-konform.
Advanced AdsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.

Achtung: Bitte achte darauf, die durch das Plugin integrierte Werbung ebenfalls DSGVO-konform zu nutzen.

Advanced Custom Fields (ACF)Speichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Advanced ExcerptSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
amr shortcode any widgetSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
ASA 2 ProDurch das Plugin selbst werden keine personenbezogenen Daten verarbeitet. Produktbilder werden allerdings von Amazon-Servern geladen (wodurch möglicherweise IP-Adressen und Client-Daten dort gespeichert werden)

Lösung: Die Funktion Lokale Bilder benutzen, die in Version 1.9 eingeführt wurde.

BackWPupWenn du BackWPup benutzt, um Backups auf dem eigenen Server zu speichern, werden keine personenbezogenen Daten verarbeitet, weil diese an einem Ort bleiben (bitte beachte allerdings, dass sich durch Backups die Speicherdauer der Daten erhöhen kann).

Wenn du das Plugin nutzt, um Backups auf einem anderen Server oder Cloud-Dienst (Google Drive, Dropbox etc.) zu erstellen, solltest du einen AV-Vertrag mit dem Provider abschließen und Nutzer im Rahmen der Informationspflicht darüber aufklären.

Mehr Infos zu BackWPup und der DSGVO kann man in der Dokumentatione nachlesen.

BackUpWordPressWenn du BackUpWordPress benutzt, um Backups auf dem eigenen Server zu speichern, werden keine personenbezogenen Daten verarbeitet, weil diese an einem Ort bleiben (bitte beachte allerdings, dass sich durch Backups die Speicherdauer der Daten erhöhen kann).

Wenn du das Plugin nutzt, um Backups auf einem anderen Server oder Cloud-Dienst (Google Drive, Dropbox etc.) zu erstellen, solltest du einen AV-Vertrag mit dem Provider abschließen und Nutzer im Rahmen der Informationspflicht darüber aufklären.

Better Search ReplaceSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Black Studio TinyMCE WidgetSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
CSS & JavaScript ToolboxSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Disable EmailsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Download MonitorSpeichert die IP, wenn man unter Log-Aufzeichnung > Download-Log ein Häkchen hat.

Lösung: Häkchen entfernen.

Duplicate PostSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
DuplicatorDas Plugin selbst speichert laut meinen eigenen Recherchen keine personenbezogenen Daten.

Allerdings solltest du sicherstellen, dass bei der Migration von einem Server zum anderen AV-Verträge mit beiden abgeschlossen hast.

Easy Code ManagerSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Envato MarketSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Email Address EncoderLaut Support ist das Plugin DSGVO-konform.
Featured Image Admin ThumbSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
FeedWordPressSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Head, Footer and Post InjectionsSpeichert keine personenbezogenen Daten (nur im Dashboard aktiv) und ist somit DSGVO-konform.
HTML Editor Syntax HighlighterSpeichert keine personenbezogenen Daten (nur im Dashboard aktiv) und ist somit DSGVO-konform.
Insert Headers and FootersSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
JetpackBei Jetpack sind gleich mehrere Funktionen datenschutztechnisch problematisch:

Detaillierte Infos zu allen Funktionen und welche personenbezogenen Daten dadurch verarbeitet werden, findet man im Jetpack Privacy Center.

Lösung: Problematische Module deaktivieren.

Lana Downloads ManagerSpeichert IP-Adressen von Nutzern, die Dateien herunterladen. Es soll laut Support bis zum 25. Mai eine Option geben, um dies auszuschalten.
Loco TranslateSpeichert laut Support keine personenbezogenen Daten und ist somit DSGVO-konform.
OneSignalDurch OneSignal werden personenbezogene Daten (IP-Adressen und Geräte-IDs) an OneSignal-Server gesendet und mit Drittanbietern geteilt. Laut Support wird jedoch bereits an der DSGVO-Konformität gearbeitet.
PDF EmbedderLaut Support werden keine personenbezogenen Daten durch das Plugin gespeichert.
Pretty LinksPlugin speichert IP-Adressen der Nutzer, die auf einen gecloakten Link klicken, in der WordPress-Datenbank. Dies lässt sich jedoch durch Ausschalten der Klick-Statistiken unterbinden.
PrintfriendlySpeichert personenbezogene Daten von Nutzern auf Dritt-Servern (bei der kostenlosen Version wird Werbung angezeigt).
Public Post PreviewSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Quick Featured ImagesSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Reveal IDsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Reviewer WordPress PluginSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Search & ReplaceSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
TablePressSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
tinyCoffeeSammelt keine personenbezogenen Daten vor dem Klick (Weiterleitung zu PayPal).

Wahrscheinlich ist eine Erwähnung in der Datenschutzerklärung und ein Hinweistext, dass der Nutzer zu PayPal weitergeleitet wird dennoch sinnvoll.

TinyMCE AdvancedSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten (nur im Dashboard aktiv) und ist somit DSGVO-konform.
The Events CalendarEs werden personenbezogene Daten an Google übermittelt, wenn Google Maps für Veranstaltungen aktiviert ist. Dies kann allerdings unter Einstellungen > Karteneinstellungen deaktiviert werden.

Möglicherweise werden durch Nutzung bestimmter Add-Ons ebenfalls personenbezogenen Daten gespeichert.

Der Entwickler Modern Tribe arbeitet jedoch aktuell an der DSGVO-Konformität seiner Dienste und Plugins.

ThirstyAffiliatesPlugin speichert IP-Adressen der Nutzer, die auf einen gecloakten Link klicken, in der WordPress-Datenbank. Es gibt keine Möglichkeit dies zu unterbinden.
UpdraftPlusWenn du UpdraftPlus benutzt, um Backups auf dem eigenen Server zu speichern, werden keine personenbezogenen Daten verarbeitet, weil diese an einem Ort bleiben (bitte beachte allerdings, dass sich durch Backups die Speicherdauer der Daten erhöhen kann).

Wenn du das Plugin nutzt, um Backups auf einem anderen Server oder Cloud-Dienst (Google Drive, Dropbox, UpdraftVault etc.) zu erstellen, solltest du einen AV-Vertrag mit dem Provider abschließen und Nutzer im Rahmen der Informationspflicht darüber aufklären.

Mehr Infos zu UpdraftPlus und der DSGVO kann man hier nachlesen.

User Role EditorLaut Support werden keine personenbezogenen Daten durch das Plugin gespeichert. Es ist somit DSGVO-konform.
Widget LogicSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
WordPress ImporterSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
WP Job ManagerPersonenbezogene Daten werden möglicherweise auf Dritt-Servern gespeichert. Eine Lösung ist laut Support in Arbeit.
WPMLLaut meinen eigenen Recherchen und Angaben von WPML selbst werden keine personenbezogenen Daten gesammelt. Es ist somit DSGVO-konform.
WP Recipe MakerSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
WP Ultimate Post GridSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
WP Ultimate RecipeSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Yet Another Stars RatingVerarbeitet keine personenbezogenen Daten wenn Do you want to save ip address? auf NO eingestellt ist (ist standardmäßig so eingestellt).

14. Weitere Artikel zur DSGVO von Blogmojo

Du willst die DSGVO so schnell wie möglich abhaken?

Regina Stoiber hat einen tollen Online-Kurs zur DSGVO herausgebracht, der auch für Anfänger verständlich ist und ohne unnötige Panikmache auskommt. Er beinhaltet:

  • 8 Video-Module zu Themen wie Website, Auftragsdatenverarbeitung, Informationspflicht und vieles mehr (insgesamt ca. 3 Stunden)
  • Muster und Vorlagen zu allen wesentlichen Inhalten zum Download
  • Zugang zu einer exklusiven Support-Gruppe, in der sie persönlich deine Fragen zur DSGVO beantwortet (alleine schon das Geld für den Kurs wert!)

Mir persönlich haben vor allem die Module zur Auftragsverarbeitung, dem Verfahrensverzeichnis sowie der Informationspflicht weitergeholfen (zu denen man auch tolle Muster bereitgestellt bekommt). Durch das vorausgefüllte (!) Verfahrensverzeichnis ist mir z. B. viel Recherche-Arbeit erspart geblieben!

Der Kurs kostet einmalig 79 € inkl. Mwst.

Hier geht's zum Kurs!

Zum Abschluss gibt es noch etwas zum Pinnen:

344 Gedanken zu “200+ WordPress-Plugins im DSGVO-Check (mit Lösungen, Alternativen und Plugin-Tipps!)

  1. Super Liste, hat mir sehr geholfen, vielen Dank dafür!

    Bei der Suche nach einer praktischen Lösung für die Google Fonts bin ich auf folgendes echt praktisches Plugin gestoßen, das einfach alles selbst regelt:
    https://wordpress.org/plugins/selfhost-google-fonts/

    Laut Autor extra wegen der Dsgvo geschrieben und safe zu nutzen. Habe es auf einer Seite getestet und es tat perfekt das was es sollte, ist vielleicht nen Blick wert ;D

    • Hi Julia,

      hört sich sehr interessant an, danke für den Tipp! Scheint auch sämtliche Arbeitsschritte für einen zu übernehmen. Probier ich mal aus 😉

      LG

      Finn

  2. Hallo Finn! Ich habe eben beim Support von HTML5 Interactive World Map (Fla-shop.com) nachgefragt, ob sie DSGVO konform sind. Hier hat man mir versichert, dass keine Daten gespeichert werden. Vielleicht magst du das in die Liste mit aufnehmen?

    Gruß,

    Nadine

    • Hi Nadine,

      danke für die Info! Schaue mir das Plugin mal an und werde es mit einem der nächsten Updates zur Liste hinzufügen. 😉

      LG

      Finn

  3. Hallo Finn,

    Hut ab vor der ganzen Arbeit und Sorgfalt, die in diesem Beitrag und den anderen Artikeln rund um die DSGVO steckt.

    Ich arbeite bei Adenion und wir vertreiben unter anderem ein Social-Media-Marketing-Plugin für WordPress und haben dementsprechend viele Anfragen zur DSGVO erhalten (bzw. bekommen diese auch immer noch ;)). Dabei verweisen wir immer gerne auf Deinen Beitragspool und Deine vielen hilfreichen Tipps und Tricks hier auf Blogmojo. Von daher wollte ich einfach mal Danke sagen:

    Danke!

    Beste Grüße
    Tobias

  4. Hallo Finn,

    ich benutze auf meinem Blog das Plugin „jQuery Pin it Button“. Da Pinterest für mich sehr wichtig ist, möchte ich ungern darauf verzichten.

    Gibt es mittlerweile ein Pinterest Plugin, das DSGVO konform ist? Oder eine andere alternative Lösung?

    Danke & liebe Grüße
    Julia

    • Nein, leider aktuell nicht. Alle mir bekannten Plugins nutzen das Script von Pinterest. Und die scheren sich kaum um die DSGVO…

  5. Hallo Fin,

    hast Du auch schon Matomo als Alternative zu Google Analytics angeschaut? Ebenso interessiern mich Thrive Themes plugins. Thrive nutzt generell Google Fonts, aber man kann diese auch lokal einbinden. Ich bin mir aber nicht sicher ob dies mit allen Thrive Plugins geht; derzeit kämpfe ich mit Thrive Leads und habe das Plugin deswegen deaktiviert.

    Grüße
    FK

    • Hi Filder,

      ich habe leider keine Lizenz für Thrive Themes (hatte ich mal, aber hat mich nicht sonderlich überzeugt), deshalb kann ich das nicht nachschauen.

      Matomo ist eine sehr gute Alternative zu Google Analytics (werde auf längere Sicht wahrscheinlich auch umsteigen).

      LG

      Finn

  6. Lieber Finn, vielen Dank für diese Liste, ich habe schon oft darauf zurückgegriffen !

    Kannst Du mir vielleicht etwas zur Nutzung von Google Translate sagen? Deren support schrieb dass Sie GDPR complient arbeiten aber gleichzeitig dass sie nutzerdaten abgreifen. Ich denke ich habe dass nicht so ganz verstanden. ? Vielleicht hast Du dazu bereits etwas erfahren? Manch einer rät auch hier dazu GT rauszunehmen und ein anderweitiges Übersetzungs-Plugin zu nehmen.

    Danke und viele Grüße!

    • Ich würde lieber erst einmal darauf verzichten. Google Translate setzt mehrere Cookies und übermittelt möglicherweise personenbezogene Daten deiner Nutzer an Google (es wird z. B. durch das Tool Ghostery auch als Tracker erkannt).

      Wer Google Translate nutzen will, kann das meiner Meinung nach auch direkt im Browser oder per Browser-Plugin. 😉

  7. Hallo Finn,
    Vielen Dank noch mal für die so wahnsinnig hilfreiche Liste. Ich hab mich schon durch die vielen Kommentare gescrollt um eventuell eine Antwort zu finden zur Abofunktion von Jetpack. Du hattest zu abwarten geraten.
    Ich habe als Websesignerin vielen Bloggern beim Umzug zu WP.org geholfen. Einige kommen von WP.com und haben über Jetpack eine ansehnliche Followerzahl für Ihre Blogposts erreicht, die sie natürlich nicht verlieren wollen. Gibt es inzwischen eine Option da etwas DSGVO-konformes einzurichten?! Denn grundsätzlich sind die Mail-Abos der Blogposts ja mit Double-Opt-In abgeschlossen. Nur ist Jetpack ja an sich noch nicht konform, oder? Ich hab schon gegoogelt und leider nix passendes gefunden.
    Über einen Tipp würde ich mich wahnsinnig freuen!
    Vielen Dank! Susanne

    • Hey Susanne,

      ich habe die Infos zu Jetpack gerade aktualisiert. Mit den lange angekündigten DSGVO-Updates hat sich leider nur wenig an der Datensammelwut von Jetpack geändert.

      Die stellen allerdings jetzt im neuen Jetpack Privacy Center sehr detaillierte Infos darüber bereit, welche Daten gespeichert werden und wie lange. Schau dir das mal an 😉

  8. Hallo,

    erst einmal vielen Dank für deine umfangreiche Liste.

    Möchtest du in deinem Artikel vielleicht auch unser Plugin mit aufnehmen: Google Analytics Germanized.
    Es ist hier bereits an anderer Stelle von Nutzern vorgeschlagen worden, aber hat es leider noch nicht auf deine Liste geschafft.

    Das Plugin ist DSGVO-konform, da es selber keine Daten speichert und bei einer konformen Integration von Google Analytics unterstützt und eine umfangreiche Anleitung zum dem Thema bietet.

    Hier gibt es weitere Details: https://de.wordpress.org/plugins/ga-germanized/

    Beste Grüße
    Pascal

  9. Hallo Finn,

    vielen Dank für die hilfreiche Zusammenstellung der Plugins.

    In deiner Datenschutzerklärung ist mit aufgefallen, dass Punkt 10.1 und 10.2 irgendwie im Gegensatz zueinander stehen bzw. unglücklich formuliert sind.

    Grüße
    Torsten

    • Hi Torsten,

      hab in Punkt 10.2 anscheinend vergessen, den Hinweis auf die IP-Speicherung rauszunehmen. Danke, dass du mich darauf aufmerksam gemacht hast! 😉

      LG

      Finn

  10. ACHTUNG BEI YOAST SEO PLUGIN – Google Analytics

    Das Yoast SEO Plugin ist zwar laut Support konform mit der DSGVO, es ist aber das Google Analytics Plugin von Monster Insights integriert. Das ist in der free version nicht konform, da es die IP-Adresse scheinbar nicht anonymisiert, zumindest ist im Quelltext nirgendwo die „anonymizeIP“-Funktion von Google zu finden.

    Lösung: Einfach keine Googla-Analytics-ID in den Settings eintragen. Besser Analytics manuell einbinden oder mit einem DSGVO-konformen Plugin.

      • Hi,
        ist da schon was bei rausgekommen? In der Liste oben ist Yoast ja auf grün – stehen da jetzt IPs in der DB oder nicht?
        Danke!!

        • Hmm, ich habe mir das angeschaut und habe mich gefragt, ob du dich vielleicht auf eine ältere Version von Yoast SEO beziehst?

          In den aktuellen Versionen von Yoast SEO und Yoast SEO Premium gibt es keine Integrationen für Google Analytics. Und im Google Analytics Plugin von Monster Insights (das schon länger nicht mehr zu Yoast gehört), kann man die Anonymisierung der IP-Adressen aktivieren (siehe Listeneintrag).

          LG

          Finn

    • Hi Sabrina,

      danke für die Info! 😉

      Ich habe das gerade überprüft und an den externen Abfragen hat sich leider nichts geändert…

  11. Hallo,

    auch wenn meine bisherigen Beiträge noch nicht freigegeben sind, mache ich weiter:
    Photo Gallery von web-dorado.com sammelt zumindest dann keine Daten, wenn man beim Installieren dem nicht zustimmt und die Fotos nicht kommentieren lässt. Mit Kommentar werden zumindest in der eigenen Datenbank Daten erfasst:
    Please note that the Photo Gallery WD plugin does not collect any data. Only in the case, someone is commenting on the photos, then the IP and the email address is saved, in the case the option is switched on.
    In the case they do not comment on the photos no data is kept.
    Please as well note that without having the users permission we are not collecting any data. While installing the plugin the user is asked whether he/she allows the plugin too collect data or not. In the case, the user clicks on „skip“ button no data is collected.

    Grüße!

    • Hey,

      sorry für die späte Antwort. In den letzten zwei Wochen sind viele Kommentare in der Warteschlange hängen geblieben.

      Vielen Dank auch für diese Ergänzung! Habe ich gerade zur Tabelle hinzugefügt! 😉

  12. Hi Finn,

    wie sieht es denn mit dem Plugin „Yet another Stars Rating“ aus?
    Ich habe in den Einstellungen „IP speichern“ schon einmal deaktiviert… Ist der Rest in Ordnung?

    Ansonsten: tolle Arbeit! Danke dir – hilft wirklich weiter! Super Sache 🙂

    • Hi Lisa,

      ja, scheint in Ordnung zu sein, solange die IP-Speicherung ausgeschaltet ist. Habe ich gerade zur Liste hinzugefügt 😉

  13. Hi, …
    irgendwo wurde hier nach ‚Caldera Forms‘ gefragt (direkt darauf antworten kann ich hier aber nicht) … ich selber benutze es auch und habe die Info aus deren Blog ( https://calderaforms.com/2018/03/caldera-forms-1-6-is-here/ ), dass es mit dem nächsten Update diesen Monats DSGVO-konform werden soll.

    Zitat: „Our next priority, which will be the focus of Caldera Forms 1.7 will be tools to ensure sites powered by Caldera Forms are able to follow new EU data privacy laws to be GPDR compliant. […] Caldera Forms 1.7 will be released in May. […] „

    • Hey Josip,

      I added them to my note and will maybe add them in the future. 😉

      In the meantime you could ask the developers about conformity (and post their answers here).

  14. Hallo Finn, was für eine großartige Arbeit. Herzlichen Dank.

    Die meisten Plugins, die auf unserer Seite eingesetzt sind, habe ich gefunden, doch leider einige nicht:

    – Cookie Notice (ich weiß: man braucht den Cookie-Hinweis eigentlich nicht, macht`s dann aber doch. :-))
    – Superfish Menus
    – UpdraftPlus – Backup/Restore

    Und weitere, die auf der Seite eines Vereins, für den ich die Homepage fülle, zu finden sind, finde ich auch nicht (oder liegt es an der späten/frühen Stunde?):
    – BackUpWordPress
    – Duplicator
    – Elegant Themes Updater
    – Image Widget
    – Master Slider
    – WP Super Cache
    – WP YouTube Lyte

    Muss in der Datenschutzerklärung jedes eingesetzte Plugin erwähnt werden?

    Herzlichen Dank, wenn du oder ein anderer User helfen kann.

    • Hi Astrid,

      sorry für die späte Antwort. In den letzten zwei Wochen sind viele Kommentare in der Warteschlange hängen geblieben.

      ich merke mir die Plugins mal vor und werde Sie ggf. in einem zukünftigen Update der Liste ergänzen. 😉

      Hast du schon bei den Entwicklern der Plugins nachgefragt? Wenn ja, poste deren Antwort gerne hier!

      Und nein, du musst nicht jedes Plugin in der Datenschutzerklärung erwähnen, nur wenn über diese personenbezogenen Daten gesammelt werden.

      LG

      Finn

  15. Hallo nochmal,

    die Antworten kommen schneller als erhofft. Hier ein weiteres „gutes“ Plugin: „Posts in Page“ von ivycat.com.
    Auf die Frage „I need to know if your plugin „Posts in Page“ for WP collects any kind of data and if these data are stored anywhere else than in my wordpress database“ kam die prompte Antwort „A terrific question with a simple answer: *no*.“

    Viele Grüße!

  16. Hallo zusammen,

    das Plugin „List Category Posts“ sammelt und speichert laut Autor Fernando Briano keine Daten, und könnte grün unterlegt aufgenommen werden. [Antwort auf meine Anfrage: List Category Posts doesn’t collect any kind of data. You can check the code and see there are no third party services being called or any personal information from you or your readers collected anywhere (not even in your own database).]

    Danke für die nützliche Webseite!

    • Hi Harry,

      ich würde von Social Logins generell die Finger lassen. Ist m. E. datenschutzerechtlich problematisch, weil du dafür Apps bei Facebook, Twitter etc. erstellen musst, über die personenbezogene Daten gesammelt werden.

      Die Jetpack-Statistiken halte ich (trotz diverser Updates im Namen des Datenschutzes) immer noch für problematisch, da IP-Adressen und der Nutzername bei WordPress.com gespeichert werden. Zwar nur für 28 Tage und für dich Nutzer nicht einsehbar, aber trotzdem…

      Weitere Infos zu den Statistiken und welche Daten gespeichert werden, findest du hier: https://jetpack.com/support/wordpress-com-stats/

      LG

      Finn

  17. Tolle Übersicht, vielen Dank!
    Wie schaut es mit dem iCal or Google Calendar Export von Terminen z.B. beim Plugin „The Events Calendar“ aus? Alle anderen fraglichen Optionen habe ich bei dem Plugin abgeschaltet, aber die Export Funktion lässt sich nicht deaktivieren.

    • Hmm, Termine in den Google-Kalender zu importieren halte ich für problematisch, wenn du die kostenlose Version nutzt).

      Im Rahmen der GSuite sollte das okay sein, denke ich, denn die bieten einen AV-Vertrag.

      LG

      Finn

  18. Erst mal besten Dank für diese unglaubliche Recherche. Hut ab!

    Ich nutze für den Login, die Registrierung und die Kommentare als Komfortlösung das „Social Plugin“ von OneAll. Hat das jemand im Einsatz und kann mir sagen, ob und wie das DSGVO-technisch okay ist?

    Der Entwickler selbst sagt: Ja.

    • Gerne! Auf Entwickler-Angaben ist meiner Erfahrung nach nicht immer Verlass. Ich sehe das Social Plugin von OneAll als kritisch an (siehe meinen Eintrag dazu in der Liste).

        • Hi Chris,

          ich kenne leider keins. Das Problem ist, dass das Ganze eine rechtliche Grauzone ist.

          Ich würde erst einmal die Finger von Social Logins lassen, bis eindeutig geklärt ist, ob man die nutzen darf oder nicht.

          LG

          Finn

  19. Tolle hilfreiche Seite! Gibt es schon was neues bezüglich dem Plugin OneSignal? Kann man das derzeit belassen oder sollte man es entfernen?

  20. Trotz einiger Hinweise, die das Gegenteil nahelegen, ist All In One WP Security & Firewall grün hinterlegt. Was in der Quelle https://wordpress.org/support/topic/is-aiowps-gdpr-compliant/ gesagt wird, heißt nur, dass keine Daten über den Website-Betreiber gesammelt werden, wenn er das Plugin installiert.

    AiO WP Security sammelt aber IP-Adressen und damit klar personenbezogene Daten, was man gleich in mehreren Datenbanktabellen sehen kann. Eine davon wird mit Events befüllt. Das sind derzeit anscheinend nur 404-Events (was jederzeit beliebig ausgebaut werden könnte), das reicht ja aber schon, denn die IP dessen, der da eine nicht vorhandene Seite aufrufen wollte, wird erst einmal verewigt.

    Eine Funktion zur Anonymisierung, ggf. nach einem vorgegebenen Zeitraum, oder zum Abstellen der Speicherung sehe ich nicht.

    • Hi,

      dank, dass du mich darauf aufmerksam gemacht hast! Ich habe All In One WP Security & Firewall soeben als „nicht DSGVO-konform“ markiert. 😉

      Das ist nicht der erste Fall, bei dem ein Entwickler sagt, sein Plugin sei DSGVO-konform und es stellt sich als falsch heraus…

      LG

      Finn

      • Hallo,
        vielen Dank für die viele Mühe und die Ergänzungen zu AIOWPS. Dazu folgende Fragen:
        – Soweit ich es sehen kann, werden bei den AIOWPS-Logs mindestens die letzten drei Stellen geXXXt. Muss mehr Anonymisierung sein?
        – Auch bei AIOWPS könnte man die Verwendung doch unter Art. 6 Abs. 1 lit. f) (berechtigtes Interesse) fassen, oder? Warum werden iThemes Security und Ninja Firewall (als Beispiele) mit dieser Begründung in die gelbe Kategorie einsortiert und AIOWPS nicht?
        Vielen Dank schon jetzt und viele Grüße
        Carmen

        • Hi Carmen,

          ich habe mir das Plugin jetzt noch einmal ausführlich selbst angeschaut (was ich viel früher hätte tun sollen, anstatt mich auf Angaben Dritter zu verlassen!).

          Ich habe diverse Anmerkungen zur Speicherung von IP-Adressen ergänzt und das Plugin auf Gelb gestellt.

          Von IP-Anonymisierung konnte ich nichts sehen. Bei mir werden alle IPs klar dargestellt. Kannst du mir weitere Infos oder einen Screenshot dazu schicken (gern auch per E-Mail)?

          LG

          Finn

          • Hallo Finn,

            vielen Dank für die Erläuterungen. Ich nutze bei AIOWPS nicht alle Funktionen, da ich z.B. keine Kommentarfunktion auf meiner Seite habe. Aber ich habe gerade einmal bei den „Account Activity Logs“ geschaut (da bin sowieso immer nur ich drin) und dort wird tatsächlich die IP-Adresse ohne XXX gezeigt.

            Allerdings erinnere ich mich sehr gut daran, dass in meinen „Failed Login Records“ immer nur IP-Adressen mit * gezeigt wurden – im Moment ist diese Liste bei mir leer, was natürlich erfreulich ist. Aber die Adressen sahen so aus: 123.456.*.*, d.h. es wird nur ein IP-Range gespeichert. Also, ich muss meine Aussage leider zurücknehmen, es wird nicht in allen Logs anonymisiert.

            Laut Support wird aber an einer DSGVO-konformen Lösung gearbeitet – hoffentlich kommt das Update bald.

            Übrigens würde mich noch interessieren, wie du das Plugin „Newsletter“ bewertest – oder habe ich das übersehen? Bei den Abonnenten wird im Profil die komplette IP-Adresse angezeigt. Soweit ich das überblicken kann, ist das im Support-Forum von Newsletter noch nicht thematisiert worden. Ich habe es mit Hinweis auf Art. 6 Abs. 1 lit. f (berechtigtes Interesse) in meine Datenschutzerklärung aufgenommen. Aber schöner wäre es natürlich, wenn das Plugin wirklich konform wäre.

            Tausend Dank nochmals für die wirklich exzellente Aufklärungsarbeit – ohne diese Seite wäre ich tot!

            Grüße
            Carmen

          • Hi Carmen,

            sorry für die späte Antwort. In den letzten zwei Wochen sind viele Kommentare in der Warteschlange hängen geblieben…

            Hmm. Ist ein bisschen merkwürdig, dass die IP-Adressen bei AIOWPS in manchen Logs anonymisiert werden und in manchen nicht.

            Wie ich gerade sehe, hat es bis jetzt auch kein Update bzgl. DSGVO-Konformität gegeben. Das letzte ist über einen Monat her…

            Was das „Newsletter“ Plugin betrifft, denke ich nicht, dass es schlimm ist, dass IP-Adressen gespeichert werden. Das machen Mailchimp und andere Newsletter-Dienstleister auch so. Und bei Newsletter bleiben die Daten zumindest auf deinem eigenen Server (wenn du keinen externen Sendedienst nutzt).

            LG

            Finn

    • Hi Rene,

      danke für den Link! Habe mir das Plugin selbst noch einmal angesehen und zur Liste hinzugefügt 😉

      LG

      Finn

  21. Fantastisch, vielen Dank!

    Ich nutze in meinem Blog noch das Plugin WP Post Ratings, darin wird unter anderem die IP gespeichert und der jeweilige Netzanbieter. Wie verhält es sich damit? Kann ich es weiter nutzen? Wenn ja, muss ich Anpassungen vornehmen? Es würde mir in der Seele weh tun, wenn ich es deaktivieren müsste.

    Viele liebe Grüßle aus Stuttgart,
    Ute

  22. Hi Finn, super hilfreiche Auflistung !! Vielen Dank dafür. Vielleicht kannst du bei den Security Plugins noch Sucuri aufnehmen.
    Habe auf deren Webseite keine Infos gefunden und den Support angeschrieben. Schicke dir gerne die Antwort, wenn ich sie habe.

    VG,
    Andreas

  23. Hallo Finn,

    ich hätte eine Frage zu Jetpack. Du hast in einem anderen Post geschrieben, dass du die Bild Performance Module deaktivieren würdest, meinst du damit auch „Tiled Galleries“. Leider ist dieses Modul Bestandteil von vielen Beiträgen auf meinem Blog und auf die schnelle Rausschmeißen bedeutet, dass ich das Layout des Blogs extrem stark umbauen müsste (ist zeitlich momentan nicht machbar durch die ganze Datenschutzverordnung) bzw. eine Alternative für Tiled Galleries bräuchte. Hast du einen Tipp für mich? Danke schonmal. Lg

  24. Super Liste! Vielen Dank!

    Ich habe hier alle Plugins gefunden, die ich nutze, außer drei …:

    1. Ad Injection
    2. Cookie Notice by dFactory
    3. Force HTTPS

    Wenn Du die noch ergänzen könntest, würde ich Dir virtuell um den Hals fallen. 😉

  25. Ich habe mich jetzt für „All In One WP Security & Firewall“ entschieden.

    Die Frage ist was ich in die Datenschutzerklärung diesbezüglich eintragen muss. Hat da jemand eine Idee oder nen guten Link?

    Merci
    Sven

  26. Hallo Finn,
    erstmal ein riesiges Dankeschön für diese ausführliche Liste.
    Sie ist wirklich unheimlich hilfreich.

    Kannst Du vielleicht auch etwas zu dem WP-Plugin „Social Icons Widget by WPZOOM“ sagen?
    Ich habe hieraus bislang die Icons von XING und LinkedIn genutzt und jeweils auf meinen dortigen Eintrag verlinkt.
    Allerdings habe ich bislang noch nicht heraus finden können, ob hier irgendwelche Daten von Ring und LinkedIn abgegriffen werden.

    Kannst Du etwas dazu sagen?

    Danke
    Christine

  27. Vielen herzlichen Dank für die tolle Aufführung!
    Wie sieht es mit folgenden Plugins aus? Hat jemand dazu bereits recherchiert?
    Imsanity
    MailChimp for WordPress

    • Gerne! Merke mir MailChimp for WordPress gerne mal vor und werde es ggf. in einem der nächsten Updates zur Liste hinzufügen. Imsanity ist schon in der Liste (hatte allerdings ein Buchstabendreher drin, wahrscheinlich hast du es deswegen nicht gefunden)! 😉

  28. Hi,

    wir nutzen Learn Press auf unserer WordPress Seite. Hat jemand eine Ahnung, ob und wie das DSGVO konform geht? Ich bin gerade ziemlich verzweifelt!

    Und vielen Dank für die List, die ist wirklich schonmal super nützlich!

    VG

  29. Guten Tag,

    super Liste, konnte schon viele davon anpassen. Noch eine Frage: Hast du Infos zu den Plugins „Ionicons Official“ und „Insert Headers and Footers“

    LG

    • Hi Luca,

      Insert Headers and Foots habe ich gerade in Liste mit aufgenommen. Sieht sauber aus.

      Wenn bei Ionicons die Icons nur lokal geladen werden, ist es auf jeden Fall auch unproblematisch.

      LG

      Finn

    • Hi Lena,

      ich habe mir jetzt WP DSGVO Tools mal angeschaut und vom Hocker gehauen hat es mich nicht.

      – Die Cookie Notice ist brauchbar, aber das kann Borlabs Cookie besser.
      – Die Funktionen zur Datenschutzerklärung, Löschanfragen und Datenauszug sind mit der neuen WordPress-Version 4.9.6 standardmäßig dabei
      – Die Checkbox-Funktion für Kommentare ist unnötig (falls du darauf bestehst: WP GDPR Compliance kann das besser)

      Also keine unbedingte Empfehlung von mir.

      LG

      Finn

  30. Hallo!

    Ich bin momentan in Panik und immer noch nicht sicher, was ich in zwei Wochen mache. Vielen Dank für den Bericht und die übersichtliche Auflistung. Durch Beiträge wie deinen versuche ich mich zu informieren und meinen Blog datenkonform zu machen. Sonst wäre ich komplett verloren.

    Du schreibst bei NextGen, daß man die Google Fonts händisch korrigieren muß. Wo und wie mache ich das denn?

    Im Netz konnte ich auch nirgendwo finden, inwieweit „Count per Day“ konform ist. Im Zweifelsfall scheinbar nicht, aber ich finde keine Alternative, die auch die Gesamtzahl der Besucher anzeigt. Habe es mit „Statisfy“ probiert, aber das Plugin gefiel mir nicht.

    Und eine letzte Frage. Benötige ich einen ADV-Vertrag als privater Blogger?
    Mein Hoster bietet mir einen an, sagt aber, ich bräuchte den nicht. Das ist der Punkt der mit noch am meisten Bauchschmerzen bereitet, denn ich finde keine klaren Aussagen. Und im Vertrag meines Hosters muß ich unterschreiben, alle technischen Maßnahmen zu ergreifen. Ich habe keine Ahnung von der Programmierung, daher kann ich das nicht garantieren. Und wie soll ich, der nur den Theme füllen kann, Verbindungsnachweise rausgeben? Was mache ich, wenn einer fragt? Damit bin ich total überfordert.

    Vielleich kannst Du mir ja noch ein paar Tipps geben, auch wenn Du bestimmt alle Hände voll zu tun hast.

    Viele Grüße und ein schönes Wochenende
    Holly

    • Hi Holly,

      1. Die Google Fonts scheinen sich hier zu verstecken: wp-content/plugins/nextgen-gallery-pro/modules/nextgen_pro_lightbox/static/theme/galleria.nextgen_pro_lightbox.css

      Im Zweifelsfall würde ich die Google Fonts jedoch drin lassen. Schau dir mal an, was ich hier dazu geschrieben habe: https://www.blogmojo.de/google-dsgvo/

      2. Du kannst bei Count per Day die IP-Adressen anonymisieren, es lässt sich also meiner Meinung nach DSGVO-konform nutzen. Statify gefällt mir persönlich auch nicht, finde es schade, dass man es nur als Widget anzeigen lassen kann.

      3. Ja, du brauchst einen AV-Vertrag. Auch als privater Blogger.

      LG

      Finn

    • Hi Manuel,

      kenne das Plugin leider nicht und nutze auch keine Dienste von HubSpot. Auf den ersten Blick sieht es aber so aus, als würden da allerlei Daten gesammelt 😉

      LG

      Finn

  31. Hallo Finn,

    schließe mich gerne mit „herzlichen Dank“ an. Deine Arbeit ist sehr informativ.
    Wo ich persönlich nicht weiterkomme, ist bei der Frage nach einem DSGVO konformen Backup Plugin.
    Die „sichere Seite“ ist da wohl eine Plugin, welche die Backup – Daten verschlüsselt?

    Hast du eine Empfehlung?

    Dank im voraus,
    Sam

    • Hi Sam,

      man kann meines Wissens verschlüsselte Backups mit der Premium-Version von UpdraftPlus erstellen. Oder du nutzt einen Dienst wie Boxcryptor.

      Ich persönlich verschlüssele Backup-Dateien nicht, sende sie aber auch nicht an Cloud-Dienste wie Google Drive, Dropbox und Co., sondern an eine Storage Box von Hetzner (per verschlüsselter FTP-Verbindung).

      LG

      Finn

      • hi Finn,
        danke dir für die tolle Liste!
        Kannst du einschätzen, ob es OK ist wenn Updraft Plus die Backups per Mail an mich schickt (Mailserver von allinkl)?

        1000 Dank und liebe Grüße,
        Britta

        • Ja, ist es. Denk aber an deine Informations- und Dokumentationspflichten und beachte, dass der Mailserver von all-inkl.com nur einen Speicherplatz von 1 GB hat. Das wird schnell voll. Ist also vielleicht nicht die beste Wahl 😉

      • Hallo Finn,

        ja, auch von mir vielen Dank für die tolle Liste.
        Ich nutze die Free Version von Backupguard. Cloud ist nur in der Premium Version verfügbar. Die Backups werden, soweit ich das sehe, nur auf dem Webspace gespeichert, auf dem auch die Website selbst liegt.
        Das ist doch ok, oder?

        Vielen Dank und Grüße
        Tassilo

  32. Tausend Dank für die Liste und Eure Arbeit in Sachen DSGVO.
    Bisher können Leser meinen Blog via Abo-Funktion über Jetpack abonnieren. Ich suche gerade nach einem Plugin, das ich für den Abo-Dienst einsetzen kann. Wenn ich Jetpack lösche, sind natürlich auch alle Abonnenten weg – gibt es irgendeine Möglichkeit, diese „mitzunehmen“?
    Viele Grüße
    Christina

    • Hi Christina,

      ich würde noch ein bisschen warten. WordPress arbeitet noch daran Jetpack DSGVO-konform zu machen. 😉

      LG

      Finn

  33. Hey Finn,
    Eine wirklich tolle Übersicht – vielen Dank dafür!!!
    Ich wüsste gerne, ob du dir AIOWP noch einmal näher angesehen hast? Ich habe in den Kommentaren gesehen, dass du das noch einmal machen wolltest, da es doch Zweifel an der DSGVO-Konformität gibt. Weisst du da inzwischen mehr? Oder hast du einen Tip für ein anderes Sicherheits-Plugin? Und muss man solch ein Plugin in der Datenschutzerklärung erwähnen bzw. gibts da Beispiele für?
    Danke und liebe Grüße aus Hamburg

  34. Kennt jemand das Plugin „Sassy Social Share“? Gibt es dort DSGVO-Bedenken?
    Und wie sieht es mit REF-Links, bspw. „Amazon“ aus?
    Da dort ja ebenfalls Daten erhoben werden, würde mich ein Workaround interessieren, wie man damit in Zukunft umgehen soll.

    Und vielen Dank für Eure wunderbare Arbeit hier!

    • Ich merke mir Sassy Social Share mal für die Liste vor! 😉

      Einfache Affiliate-Links von Amazon sollten okay sein. Bei den Werbemitteln (vor allem den selbst optimierenden) ist allerdings Vorsicht geboten!

  35. Hallo Finn!

    Ich bin so dankbar das es solche Menschen wie dich gibt die sich so eine Mühe machen so eine Liste zu erstellen und sie dann noch mit uns zu teilen! DANKE dafür!! Du hast mir viele Stunden vor dem PC erspart =)

    Bei einigen Plugins bin ich noch sehr ratlos, weißt du eventuell mehr darüber:

    – Fast Velocity Minify
    – Related Post
    – Ultimate Nofollow

    Danke dir im Voraus!

    Alles Liebe,
    Sani

    • Hi Sani,

      vielen Dank für das Lob und sorry für die späte Antwort (dein Kommentar ist irgendwie untergegangen).

      Auf den ersten Blick würde ich sagen, dass die Plugins keine personenbezogenen Daten speichern. Ich merke mir die mal vor und werde sie ggf. mit einem der nächsten Updates zur Liste hinzufügen.

      LG

      Finn

  36. Hi Finn, danke für die super Zusammenstellung, sie ist wirklich sehr hilfreich! Ich habe auch noch beim Aufräumen ein Plugin gefunden, das IPs in der Datenbank speichert: https://wordpress.org/plugins/feedstats-de/. Ich habe es gleich rausgeworfen und die IPs gelöscht – ist sowieso nicht sehr aussagekräftig.
    Zu Limit Login Attempts: https://wordpress.org/plugins/limit-login-attempts-reloaded/ hat inzwischen die Möglichkeit, die IPs zu verschleiern.
    Viele Grüße!

    • Danke für die Infos zu Limit Login Attempts Reloaded und FeedStats. Habe ich beide in der Liste ergänzt! 😉

  37. Erstmal: vielen Dank für den sehr informativen Post, der sicher recht viel Arbeit gekostet hat!
    Bei einigen der aufgelisteten Plugins wäre ich gar nicht erst auf die Idee gekommen, die auf DSGVO-Kompatibilität zu überdenken – mit etwas Glück werde ich dieser Tage noch ein oder zwei der Liste mit Infos hinzufügen können.

    Eine Frage zwar nicht im direkten Zusammenhang mit Plugins, sondern eher generell als WordPress-Entwickler: für die meisten meiner Kunden mache ich auch Updates, Sicherheitsbackups, und überhaupt Unterhalt der Site.

    Dabei und auch beim Arbeiten an neuen Themes und/oder Plugins kopiere ich meistens die Live-Datenbank auf eine lokale Test-Installation. Naturgemäss sind damit eine Vielzahl an Mail-Adressen und sonstigen DSGVO-relevanten Daten (Gravity Forms zB speichert ja gerne alles) einerseits auf meinem MacBook, andererseits auch via Backups auf lokalen Harddisks und einer NAS-Festplatte.

    Muss dies alles auf der Datenschutz-Seite bei jeder Site thematisiert werden, und bis in welches Detail (ist die externe Festplatte bzw. das Backup auf dem NAS verschlüsselt, wie wird das aufbewahrt/gesichert, usw usf)?

    Nicht dass ich Datenschutz kritisch gegenüber stände, aber der voraussichtliche bürokratische Aufwand für die DSGVO scheint mir teilweise irgendwie recht praxisfern.

    • Hi Philby,

      ich bin auch WordPress-Dienstleister und speichere zum Teil personenbezogene Daten von Kunden-Website auf dem eigenen Rechner (und auf einem lokalen NAS).

      Ich stehe dabei aber auch erst am Anfang. Insbesondere der Punkt Backups wirft für mich auch viele Fragen auf, wie z. B. der Umgang mit Löschanfragen und die Speicherdauer.

      Was die Datenschutzerklärung betrifft: Ich vermute mal, dass eine Erwähnung der Backups nicht schadet, aber meine gesamte IT-Infrastruktur detailliert bei jedem in die DSE einzutragen klingt für mich übertrieben.

      Einen AV-Vertrag brauchst du auf jeden Fall bei Wartungskunden, bei Webdesign-Kunden wahrscheinlich eher nicht. Es gab mal einen Podcast dazu von lawlikes, den finde ich aber gerade nicht…

      LG

      Finn

  38. Es wäre toll, wenn unter Punkt 2 Sicherheits-Plugins noch „Cerber Security & Antispam“ mit aufgenommen werden könnte.
    Limit Login Attempts wurde zuletzt vor 6 Jahren aktualisiert. Die Nutzung ist mittlerweile ohnehin nicht mehr zu empfehlen.

  39. Hallo Finn,

    vielleicht für die Podlove-Podcaster unter uns ganz interessant zu wissen: https://sendegate.de/t/dsgvo-und-podlove/6806/20
    Außerdem wird hier: https://sendegate.de/t/dsgvo-und-podlove/6806/11 und hier: https://sendegate.de/t/dsgvo-und-podlove/6806/25 noch erwähnt, dass die Share-Buttons dsgvo konform sind.

    Liebe Grüße,
    Maike

    PS: Nutzt du Shariff Wrapper für die Teilen-Buttons? Falls ja: wie um alles in der Welt hast du es geschafft, dass sie am unteren Rand fixiert sind?

    • Hi Maike,

      danke für die Infos bzgl. Podlove! Ich merke mir das mal für die Liste vor. 😉

      Ich nutze Social Warfare für die Sharing-Buttons (in einer angepassten Variante, bei der der Facebook Social Graph nicht im Frontend lädt, siehe Beschreibung in der Liste).

      LG

      Finn

  40. Ganz herzlichen Dank für diese Zusammenstellung.
    Gibt es so was wie ein Prüfprogramm, dass die Webseite scannt und im Ergebnis eine Aufstellung anzeigt, was da nicht datenschutzkonform läuft. Das wäre doch super hilfreich.
    Nochmals Danke und viele Grüße
    Barbara

    • Hi Gabriele,

      danke für die Info! Ich merke mir das Plugin mal vor. 😉

      Hoffen wir mal, dass die es noch bis zum 25.05 schaffen!

      LG

      Finn

  41. Zum Thema NextGEN:

    Karim, Haben sie Dir geschrieben wo man das im Code änderen müsste, bzw. in welcher Datei man suchen muss? Ich suche mir da, nämlich gerade einen Wolf.

    Bei mir wird die Schrift bei der Lightbox pro Variante nachgeladen.

    @ Finn wie kann ich dir die Screenshots zukommen lassen?

    LG Christian

  42. Hi Finn,

    danke für die extrem gute Zusammenfassung!
    Kurze Frage: Redirection kann in den Log Einstellungen die IP des Redirects mit Timestamp beliebig lange speichern. Wäre das dann nicht ein gelbes Rating in deiner Tabelle, da der Betreiber das richtig konfigurieren muss?

    Viele Grüße
    Simon

  43. Vielen Dank für die Arbeit die in dieser (schon oft sehr hilfreichen) Liste steckt!
    Btw: Limit Login Attempts Reloaded (Version 2.7.0) hat die Option „GDPR compliance“ + Checkbox „this makes the plugin GDPR compliant“

    Grüße
    Peter

    • Hi Peter,

      freut mich sehr, danke! 😉

      Danke für die Info! Aber ich glaube die Checkbox ist für das Plugin ist eher unnötig.

      Wenn du deinen Login für andere verbergen willst, würde ich auch eher mit einem serverseitigen Passwort arbeiten.

      LG

      Finn

  44. Danke für die Mühe! Wir stellen gerade nur-oben-ist-platz.de um und haben u.a. Jetpack und Add To Any ausgemistet. Bei den Cookies setzen wir auf BST DSGVO Cookie. BST Systemtechnik aus Deutschland ist hoffentlich eine gute Adresse, wenn ePrivacy kommt. WP GDPR Compliance ist gut für die Formulare. Die Kommentarfunktion haben wir mittels „Disable Comments“ deaktiviert, nachdem wir die alten Kommentare entfernt hatten. Viele Grüße und allen viel Erfolg! Lars

    • Hi Lars,

      gerne und danke! BST DSGVO Cookie kenne ich noch nicht, schaue ich mir mal an.

      LG

      Finn

      PS: Ich empfehle die Nutzung von WP GDPR Compliance nicht mehr, da möglicherweise unnötig und sogar kontraproduktiv.

  45. Hi Finn!

    Zu Thrive kann ich dir hier über meine Kommunikation mit Thrive mit dem Support informieren:
    Meine Frage:
    „Are you prepared to set-up a data operation contract which is GDPR-compliant?“
    Die Antwort:
    „This will not be necessary with our products since no information provided by your website users/visitors is transferred to nor stored on our servers.“

    Also, wenn das so stimmt, dann ist Thrive grün.

    Lg, Alexander

    • Hi Alexander,

      danke für die Info. Ich werde mir die Tage Thrive noch einmal genauer anschauen. 😉

      LG

      Finn

  46. Das Thema WordPress & DSGVO ist natürlich jetzt in kompletter Umsetzung bei jedem und man weiß nicht wirklich bei allen Punkten, was man zu tun hat. Sehr coole und umfangreiche Aufschlüsselung auf jeden Fall.

    Problematisch wird es, wenn die ePrivacy auch noch in der Ursprungsform kommt. Aber das ist eine andere Geschichte

    Mein aktueller Stand ist der:

    Wichtig ist zunächst einmal nach bestem Wissen und Gewissen zu arbeiten, damit einem keine Sorglosigkeit vorgeworfen werden kann. Österreich hat erst vor kurzem die Regeln etwas entschärft, mal sehen, wie andere Staaten mitziehen.

    Im Prinzip muss man sich 3 Ebenen ansehen:

    1) WordPress Core
    2) WordPress Plugins
    3) WordPress Anknüpfungspunkte (CRM, CDN, SSL, etc.)

    Das Hauptthema ist immer wieder: Datenschutzerklärung auf der Webseite.

    Die EU DSGVO bringt eine Menge Neuerungen mit sich. Eine davon ist, dass man die eigenen Datenschutzerklärungstexte auf Webseite (WordPress, Joomla, Typo3) oder in Online Shops laufend aktualisiert haben muss.

    Da es aber nicht so einfach ist, eigene Datenschutzerklärungen zu verfassen, weil man dafür rechtliches KnowHow braucht, greifen viele auf Datenschutzerklärungsmuster oder -vorlagen zurück.

    Ich habe ein Tool mehrfach im Einsatz, namens iubenda. Andere nehmen eRecht24. Ein Vergleich der beiden wäre allerdings einmal interessant.

  47. Hey Finn,
    arbeite nun schon eine Weile mit Deiner Seite und finde total klasse, was Du auf die Beine gestellt hast. Herzlichen Dank.
    Ich hatte nun meine Affiliatelinks mit dem PlugIn Thirsty Affiliate neu erstellt (leider dann mit einem URL-Pfad, der sehr lang ist, weil man das /recommends/ nicht entfernen kann). Nun will ich gerade meinen ersten Link bei Facebook teilen und stelle fest: Geht nicht.
    Nehme ich mein altes PlugIn für die Linkerstellung (Pretty Links), ist das Posten kein Problem.

    Gibt es noch eine andere Alternative zu Thirsty Affiliate?

    Weiterhin habe ich DSGVO-Plugin entdeckt, das angeblich so einiges abdecken soll…
    Es heißt WP DSGVO Tools. Kannst Du dazu schon was sagen?
    Denn soweit ich weiß, braucht man ein aktives Opt-In, wenn z.B. der Facebookpixel „feuern“ dürfen soll. Und ich kann in dem PlugIn keine Möglichkeit erkennen, dass das direkt beim Besuch der Webseite entschieden werden kann.

    Aber Pixel Mate von lawlikes und soulsites soll das ja umsetzen… Was weißt Du darüber?

    • Hi Swantje,

      leider kann ich dir mit Thirsty Affiliates nicht groß weiterhelfen. Bin gerade erst selbst dabei, es auszuprobieren. 😉

      Ich würde mit dem Wechsel zu Thirsty Affiliates ohnehin noch ein bisschen warten. Pretty Links arbeitet anscheinend noch an der DSGVO-Konformität.

      Eine weitere Alternative zu Thirsty Affiliates und Prettys Link kenne ich leider nicht (wenn du in der Zwischenzeit eine gefunden hast, lass es mich wissen!).

      Bin gerade auch dabei WP DSGVO Tools auszuprobieren. Scheint viel zu können, aber ich bin mir noch nicht sicher, wie vieles davon tatsächlich sinnvoll ist. Sollte es sich als empfehlenswert herausstellen, werde ich es mit in meine Plugin-Liste aufnehmen.

      DSGVO Pixel Mate ist auf jeden Fall ein gutes und empfehlenswertes Plugin, um ein Opt-Out für den FB Pixel anzubieten. Laut deren FAQ ist ein Opt-Out aktuell die beste Lösung, ein Opt-In würde zu einem verzerrten Tracking führen, was gegen die Nutzungsbedingungen von Facebook verstößt.

      LG

      Finn

  48. Super Zusammenstellung, vielen Dank! Ich habe eine Frage zu NextGen Gallery – wo kann ich denn da im Plugin das mit den Google Fonts ausstellen? Ich finde da nichts. Oder reicht vielleicht die Installation des Remove Google Font-Plugins?

    LG Claudia

    • Hi Claudia,

      in den Einstellungen gibt es auf jeden Fall keine Möglichkeit.

      Ob Remove Google Fonts das beheben könnte, weiß ich nicht so genau, weil ich bei mir das Problem mit NextGen bei mir nicht reproduzieren konnte. Probier doch einfach mal aus und berichte von deinen Resultaten! 🙂

      LG

      Finn

    • Danke für den Hinweis! 😉

      Allerdings stelle ich es mittlerweile in Frage, ob eine Checkbox und die damit verbundene Einwilligung wirklich die beste Rechtsgrundlage zur Speicherung von Kommentardaten darstellt…

      LG

      Finn

  49. Hey Finn,
    danke für diese Übersicht, dadurch konnte ich einiges mitnehmen und das eine oder andere Plugin auch noch gebrauchen welche du am Anfang gelistet hast.
    Ich hab ein Plugin gerade gesehen, welches den User vorher informiert, welche Plugin alle auf der Webseite verwendet werden, welche personenbezogene Daten sammeln. Denkst du das könnte wichtig sein?
    https://de.wordpress.org/plugins/gdpr-notice-original/
    Wenn das in irgendeiner Art wichtig ist, wäre das bestimmt auch für andere gut zu wissen.

    Mit freundlichen Grüßen
    Tim

    • Hi Tim,

      aktuelle sprießen unglaublich viele Plugins aus dem Boden. Manche nützlich. Viele unnötig.

      Aber ich gucke mir das gerne mal an und nehme es ggf. in die Liste auf. Danke für den Hinweis! 😉

      LG

      Finn

  50. Der Autor von Easy Social Share Buttons schreibt bei Codecanyon zu der Frage mit dem vermeintlich problematischen Facebook Social Share Graph folgendes:
    „The connection to Facebook Social Graph API is made only and only if you are using share counters on your site. The command is anonymous and it is made by your server only and not by the users. As it is made in such method technically it is impossible to collect any user information (although that endpoint is not related to data collection). So if you are using share counters than you can be sure that user information is safe.

    If you are using share counters you need to know that API access point is only one and it is used by all plugins so it is privacy safe.

    We have written this before but we will write it again. The plugin is fully compatible with GDPR. “

    https://codecanyon.net/item/easy-social-share-buttons-for-wordpress/6394476/comments?page=184&filter=all#comment_19420153

    • Hi Ina,

      ich bin mir noch nicht ganz sicher, ob das stimmt (siehe meine Antwort auf den Kommentar von Appscreo hier im Artikel). Ich bleibe an der Sache dran! 😉

      LG

      Finn

  51. Hello Finn,

    Is there a way to contact you directly via mail and provide additional details about Easy Social Share Buttons compatibility. I am not sure how you conclude about connection to social graph API but I am pretty sure that you are not aware of how sharing to social network works or getting sharing counters.

    A few more details I think will help you understand it more. Here I will write in brief but if you need details you can contact our team at appscreo@gmail.com to discuss this.

    So here is the information about how sharing works: all of our share buttons are static generated on site – they do not connect to social API (graph or else). Once clicked they start a share command inside social API. The share command that is opened when a button is clicked is the command used by any sharing plugin that has a static share buttons (like what happens when you click share buttons you are using on your site and even the Shariff share buttons that are recommend as privacy safe in Germany – all that are marked as safe by you).

    For the share counters the situation is the same. Our plugin does not make a command on the user front end to get counters unless user ignore all warnings and activate real time share counters (that is something that is not easy to be made). The default counter update mode is using a server side call to share counter API. That server side call is anonymous and no of user information can be accessed. The completed background counter update mode is fully anonymous and privacy safe.

    To get share counters from a social network there is just one and only API access point that each plugin which is showing share counters is using. That is something you are not aware and you are also not aware that your site automatically sends the counter update call to Facebook Graph API on the front end with each user load of page http://prntscr.com/jcw6ib – call is located inside that file https://www.blogmojo.de/wp-content/cache/autoptimize/js/autoptimize_dbb9e7cc0aab1a5115da0518232a1a70.js

    Inside Easy Social Share Buttons that call can be controlled by user where to execute and default mode is server side (not inside customer browser). User has an option to activate client side counter update but that is not active by default and admins are aware what will happen if they decide to activate it.

    What I wish to explain is that you are writing article about GDPR privacy and you mark the plugin you are using as privacy safe trusting words but without making a deep check if that is so.

    I will be glad to provide you even more technical details and prove that our plugin is fully privacy safe, full GDPR compatible. Our plugin is trusted by industry leading technology companies, including one of the top WordPress performance hosting companies used on their site. Our plugin was actually the first that provides a different approach to share buttons. Before we start almost 5 years ago there was no other share plugins. What we have made is to be a trendsetter all the time and bring a lot of options for the very first time that are now standard for each modern sharing plugin. We are also the first and only WordPress sharing plugin that was tested for performance and security by all WordPress major hosting companies. We are the only WordPress social sharing plugin that is tested in performance by WP Rocket developers to ensure that we are really working fast, lightweight and without slowing down site.

    I hope you will find information useful and contact me to continue the discussion via mail (email again is appscreo@gmail.com). I am sure that with direct contact we can discuss this and provide all required details that our plugin is privacy safe and compatible with GDPR.

    • Hi Brayan,

      thanks for your detailed account on the subject. 😉

      I now marked your plugin as well as Social Warfare as „GDPR conformity unknown“ until I know more about the Facebook Social Graph.

      It is probably safe to use, since it doesn’t use any cookies. But in general, I’d prefer not to have any connections in the background to Facebook (not before the user clicks on a button).

      What I don’t understand about Easy Social Share Buttons as well as Social Warfare is why the Facebook Social Graph has to be loaded in the frontend instead of the backend. Other plugins, like Shariff Wrapper don’t do that and display share counts just fine.

      I am aware that my website connects to the Facebook Social Graph in the front end as well. Which is why I modified the files now to prevent that.

      Best Regards,

      Finn

  52. Hi Finn,

    mein Kommentar von gestern ist leider nicht auffindbar – hast Du den vielleicht gelöscht? Ich versuch’s noch einmal:

    Danke für die Liste, das ist wirklich total hilfreich.

    Für mich war am wichtigsten, was ich mit den Google Fonts mache, die mein Theme mitbringt und die ich bisher auch verwendet habe. Nach der Lektüre dieses Artikels habe ich sie mit „Remove Google Fonts References“ deaktiviert und (auf andere Empfehlung) das Plugin „Use Any Font“ installiert, um meine Schriften selbst zu hosten und auf der Website einzubinden. „Use Any Font“ speichert laut eigener Aussage keine Daten auf deren Server. Man braucht zwar einen API-key zur Konvertierung der Schriften (es können ttf-, otf- und woff-Daten verarbeitet werden), aber der wird nach der Konvertierung direkt gelöscht.

    Das Plugin kostet nichts, wenn man nur einen Font verwendet. Ab zwei Fonts (aber dann ohne Begrenzung) muss man einmalig 10 Euro bezahlen (mehr geht auch – ist eine Spende). Für ein stabil laufendes Plugin ist das meiner Ansicht nach kein vermessener Preis.

    Hast Du Erfahrung mit „Use Any Font“? Mir scheint es DSGVO-konform zu sein. Falls Du das ebenso siehst, würde ich mich freuen, wenn Du es in Deine Liste aufnimmst.

    Danke + viele Grüße

  53. Hallo,

    wie sieht es eigentlich aus, wenn ich in der Datenschutzbestimmungen der Webseite mehr Informationen (z.B. Verlinkung zur Facebook) setzte, obwohl es garnicht vorhanden ist ? Könnte sowas abgemahnt werden, weil falsche Informationen vorhanden sind ?

    • Hi Walter,

      interessante Frage, auf die ich keine definitive Antwort habe. 😀

      Ich vermute aber, dass es schlimmer ist, etwas wegzulassen als etwas zu viel anzugeben.

      LG

      Finn

  54. Hi Finn,

    sehr hilfreich Deine Liste, danke dafür!

    Ein Hinweis/eine Frage für die DSGVO-konforme Verwendung von Fonts:

    Mir ist das Plugin „use any font“ empfohlen worden, um Fonts ganz einfach selbst zu hosten. Über das Plugin kann man Schriften umwandeln und hochladen, es kann die Formate ttf, otf und woff verarbeiten. Es lädt – laut eigener Aussage – die Schriften nur auf den Server des Users hoch (in „uploads“) und speichert sonst nirgends persönliche Daten. Man benötigt zwar für die Umwandlung der Fonts einen API-key vom Anbieter, aber der wird nach der Konvertierung der Fonts gleich wieder gelöscht. Zitat: „We don’t store your fonts in our server neither any of your information except the API key details. Our server deletes the temporary file after the conversion is done.“

    Für die Verwendung eines einzelnen Fonts ist das Plugin kostenlos. Wer mehr braucht, muss einmalig spenden (irgendwas zwischen 10 und 100 Euro) und erhält dafür einen in Font-Anzahl und Zeit unbegrenzten API-key. Wenn das Plugin stabil läuft, halte ich das für absolut angemessen. Ich teste es jetzt mal.

    Hier zu finden: https://wordpress.org/plugins/use-any-font/

    Hast Du Erfahrung hiermit? Und falls es aus Deiner Sicht DSGVO-konform ist (für mich klingt das so), kannst Du es bitte mit in Deine Liste übernehmen?

    • Hi,

      ich habe noch keine Erfahrungen damit. Aber wenn die Fonts nur lokal gespeichert werden, dann wäre das DSGVO-konform.

      Ich merke mir das Plugin zur Aufnamhme in die Liste mal vor. 😉

      LG

      Finn

  55. Hallo Finn,

    Finde das eine sehr gute Übersicht und habe diese ebenfalls bereits in meinem Artikel verlinkt.

    Nur eine Anmerkung, weil ich das immer und immer wieder lese, auch hier wieder z.B. in den Kommentaren:

    Die „explizite und ausdrückliche“ Einwilligung ist NICHT die einzige Möglichkeit personenbezogene Daten zu speichern. Es gibt auch noch das „berechtigte Interesse“. In der DSGVO selbst gibt es folgende Klausel:

    „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“

    Auch der überall eingesetzte Cookie-Banner ist alles andere als rechtlich wasserdicht.

    Ich behaupte nicht, ich weiss alles zur DSGVO und deren Umsetzung (Gott behüte, das weiss niemand, selbst bei Anwälten hört man unterschiedliche Auslegungen), aber auf diese wichtige und grundlegende Fehleinschätzung wollte ich zumindest einmal hinweisen… 😉

    Beste Grüsse,
    Michael

    • Hi Michael,

      vielen Dank für das Lob und die Verlinkung! 😉

      Ich bin da ganz deiner Meinung. Ich habe selbst vor kurzem die Checkboxen bei Kontaktformularen und Kommentaren herausgenommen (und die Empfehlung für Plugins wie WP GDPR Compliance).

      Ich berufe mich nicht auch nicht mehr auf die Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO, sondern auf lit. b und lit. f.

      LG

      Finn

  56. Weiß jemand, wie es sich mit folgenden Plug ins verhält:

    s2Member Framework von s2Member / WebSharks, Inc

    Page Builder by SiteOrigin von SiteOrigin

    SiteOrigin Widgets Bundle von SiteOrigin

    Wäre sehr dankbar, wenn jemand wüsste, wie es dabei aussieht bzw. alternativen nennen kann.

    • Hi George,

      ich merke mir die Plugins mal vor. Page-Builder sammeln (mit Ausnahmen von bestimmten Widgets/Elementen, die externe Ressourcen wie Google Maps, YouTube etc. laden) in der Regel keine personenbezogenen Daten.

      LG

      Finn

  57. Hi Finn,

    danke für die Arbeit und die tolle Liste!

    Ein Korrekturvorschlag:

    IMHO ist AIOWP ganz weit weg von DSGVO. Wenn man in die Plugin-Beschreibung blickt, sammelt diese an allen Ecken und Enden IP Adressen ohne Anonymisierung. https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/

    IP Adressen sind aber persönliche Information und dürfen nur erfasst werden, wenn jemand explizit und informiert zugestimmt hat, was wohl kaum umzusetzen sein wird. Sagt zum Beispiel: https://privacylawblog.fieldfisher.com/2016/can-a-dynamic-ip-address-constitute-personal-data

    Wenn man sich den Kommentar des Erstellers ansieht, der hier verlinkt ist, dann gibt der Ersteller auch keine Angaben zum Plugin auf dem Webserver, sondern nur dazu, dass er selber keine Daten erfasst.

    Bin grad selber noch auf der Suche nach einer Firewall / einem Brute Force Verhinderer, der das Ganze z.B. auf Basis von Hashes macht …

    LG Stefan

    • Hi Stefan,

      danke für den Hinweis! Ich schau mir AIOWP noch einmal genauer an. 😉

      Ja, manchmal sollte man nicht auf die Angaben der Entwickler zur DSGVO-Konformität hören und das lieber selbst prüfen…

      LG

      Finn

  58. Hello,

    I cannot agree with the written inside article about Easy Social Share Buttons for WordPress. Plugin is privacy safe as no data is stored or sent to external service. Personal information may be transferred only on share buttons click. As of this plugin is fully compatible with GDPR and privacy safe (it is using the similar to shariff technology and it was tested and approved by Germany technology companies for compatible with the Germany privacy regulations in past for social share buttons usage).

    Please make the correction of the review for the product and make it like other plugins you contact for information and mark as privacy safe. I am sure that you have no time to check all existing plugins but it will be good to make a correction once you are aware – the information you are posting is leading users to deception.

    Best Regards,
    Brayan / AppsCreo Team (creators of Easy Social Share Buttons for WordPress)

    • Hi Brayan,

      sorry for my late reply. I will look into Easy Social Share Button again. 😉

      I have seen your comment from yesterday and will take that into consideration and reply to that as well.

      Cheers,

      Finn

  59. Hallo Finn,

    vielen lieben Dank für diese großartige Liste.
    Nun muss ich mcih zwar noch durch IP Anonymisierung, SSL, Cookie Notification wühlen, aber ich speichere mal Deinen Blog ab, damit cih hier imemr wieder reingucken kann.

    Vielen lieben Dank. Ach, wo ist eigentlich der flattr Button, wenn man ihn mal braucht?

    Bis denne
    Lutz

  60. Toller Artikel,

    tausend Dank für die Infos zu den Plugins. Dass lässt viel besser prüfen und recherchieren. Saubere Arbeit 😉

    Ein Hinweis nach Recherche. Ich würde das mit der Kontaktformular Checkbox noch einmal selbst recherchieren. Jemand, der seit 1995 für Datenschutz sorgt und sich rechtlich auszukennen scheint, hat auf seiner Seite dazu einen guten Audio-Kommentar hinterlassen.
    https://www.datenschutz-guru.de/cookie-layer-schwachsinn-und-warum-ich-da-nicht-mitmache/

    Der Author empfiehlt grundsätzlich, so wenig Einverständniserklärungen wie nötig einholen, da rechtlich wackelig….

    Die Sicherung der IP bei Kommentaren kannst du übrigens ganz einfach sperren, da nicht nötig für Kommentare 😉 https://wp-ninjas.de/wordpress-kommentare-ip-entfernen

    Ich hoffe, ich konnte etwas für deine Mühe zurückgeben.

    Viele Grüße u. weiter so,
    Philipp

    • Hi Philipp,

      ja, ich verfolge den Blog von Stephan Hansen-Oest auch und finde sein Beiträge klasse. 😉

      Bezüglich der Checkboxen werde ich in Zukunft erwähnen, dass diese nicht unbedingt erforderlich sind und ggf. auch kontraproduktiv. Hatte mich tatsächlich auch schon seit längerem gefragt, ob das ganze Brimborium wirklich nötig ist.

      Was die Checkbox allerdings bringt: Deutlich weniger Spam 😉

      Mit der Speicherung der IP-Adressen werde ich schauen. Anti-Spam Bee funktioniert in der Tat auch gut ohne.

      LG

      Finn

  61. Und noch ein Nachtrag:
    WP Ultimate Recipe wird laut Brecht Vandersmissen (Bootstrapped Ventured) auf E-Mail-Nachfrage spätestens ab dem 25.5. DSGVO konform sein.
    LG Lisa

  62. Wow, tausend Dank für diese tolle Auflistung! Ich werde den Post gleich mal in meiner DSVGO-Checklist auf unserem Blog verlinken. Das ist ja Gold wert!

    • Hi Lisa,

      danke für die Info!

      Updraft bzw. Updraft Plus und Backup-Plugins im Allgemeinen stehen schon auf meiner To-Do-Liste. Werde ich bald ergänzen. 😉

      LG

      Finn

  63. Hat jemand eine Auflistung, der Funktionen die man im Plugin „Jetpack“ lieber deaktivieren sollte? Und natürlich wo man sie direkt findet.

    Das würde mir sehr helfen.

    Habe bis jetzt die Statistikfunktion deaktiviert.

    • Hi Mathias,

      ich würde auf jeden Fall die Website-Statistiken, Teilen-Buttons und Bilder-Performance ausschalten.

      Aber vielleicht ergibt es Sinn, damit noch ein bisschen zu warten, einzelne Funktionen oder das gesamte Plugin zu deaktiveren, denn Automattic arbeitet aktuell noch daran Jetpack DSGVO-konform zu machen.

      LG

      Finn

  64. Hallo Finn!
    Vielen Dank, super Hilfe!
    Betreffend Digimember und Digistore24 möchte ich gerne nachfragen, welche Daten da übermittelt werden (könnten)?
    Nach meinem Verständnis würden in diesem Fall dann Daten von der WP-Datenbank / Digimember an Digistore24 laufen und somit wäre Digistore24 eventuell ein Auftragsdatenverarbeiter, weil die Daten ja dann von mir kommen. Dann könnte sich Digistore24 nicht mehr nur auf das „Reseller Modell“ beziehen, wofür nach meinem Verständnis ja kein ADV notwendig wäre, weil Kunde ja dort selbständig kauft und nicht ich Daten übermittle.
    Danke für ein kurzes Feedback!

    • Hi Alexander,

      soweit ich weiß handelt Digistore24 als eigenständiger Verkäufer und damit als Datenverantwortlicher, das heißt du braucht keinen AV-Vertrag mit denen. Ins Verfahrensverzeichnis und in die Datenschutzerklärung müsste Digimember trotzdem aufgenommen werden, weil die Daten ja auch bei dir in der Datenbank gespeichert werden.

      Aber frag besser noch einmal bei Digistore24 nach, denn ganz sicher bin ich mir nicht. 😉

      LG

      Finn

      • Hi Finn!
        Grundsätzlich sehe ich das genauso, wie du das hier beschreibst.

        Aber oben bei Digimember hast du geschrieben „und übermittelt diese bei entsprechender Einstellung auch an Digistore24-Server.“

        Daher die Frag, welche Daten hier übermittelt werden könnten. Kannst du mir das bitte noch mitgeben, welche Daten das sein könnten, auf welche Einstellungen du dich beziehst.

        Wenn das nämlich der Fall wäre, dann sieht es für mich anders aus. Weil dann schicke „ich“ ja die Daten an Digistore24 und dann wäre Digistore24 aus meiner Sicht AV. Wenn „ich“ hingegen keine Daten schicke, stellt sich die Frage nicht, weil das Vertragsverhältnis beim Kauf eines Produktes ja zwischen Kunde und Digistore24 eintritt.

        Soweit mein Verständis 😉
        Lg, Alexander

        • Hi Alexander,

          Digistore24 schreibt dazu (Support-Antwort aus meiner Facebook-Gruppe):

          „Sie müssen mit Digistore24 keinen Auftragsverarbeitungsvertrag abschließen. Digistore24 ist kein Zahlungsdienstleister. Wir sind Verkäufer und Vertragspartner des Endkunden (Resellermodell). Zur Erfüllung des Kaufvertrags geben wir dann Kundendaten an unsere Vendoren weiter. Diese müssen daher keinen gesonderten Auftragsverarbeitungsvertrag mit uns abschließen. Wichtig ist jedoch, dass sie mit jedem Dritten, an den personenbezogene Daten weitergegeben werden (z.B. E-Mail Marketing Anbieter), einen Vertrag zur Auftragsverarbeitung abschließen. Darüber hinaus ist die Einwilligung des Endkunden einzuholen, und zwar für alle Prozesse die außerhalb der reinen Erfüllung des Kaufvertrages liegen.“

          Ich hoffe, das hilft dir weiter!

          LG

          Finn

  65. Hallo Finn,
    geniale Seite. Ich arbeite sehr viel damit.
    Allerdings fehlt meiner Meinung nach das PlugIn Google Analytics Germanized. Es ist DSGVO konform und hilft Google Analytics DSGVO konform einzubinden und die Opt In/Out (sorry weiß nie was das ist) in der Datenschutzerklärung einzubinden. Mit Anleitungsvideo!
    Liebe Grüße
    Lisa

  66. Hallo Finn,
    vielen Dank für deine Mühe, all diese Plugins zu prüfen und für uns aufzubereiten. Es ist einer der hilfreichsten Blogs, die ich zu diesem Thema finde.
    Ich habe ein Plugin mit denen ich die Veranstaltungen verwalte: events manager. Über das Buchungsformular können Kurse auch sofort gebucht werden und natürlich werden dadurch personenbezogene Daten erfasst. Leider finde ich bis jetzt nicht die richtigen Informationen, ob und wie ich das Plugin DSGVO konform benutzen kann, außer dass ich in den Datenschutzrichtlinien darauf hinweise. Kannst du mir was dazu sagen?

    LG
    Martina

    • Hi Martina,

      ich kenne das Plugin leider nicht und kann dementsprechend nichts dazu sagen.

      Wende dich doch mal an den Support und frag da mal nach (und lass mich wissen, was die geantwortet haben, dann nehme ich das gerne mit in die Liste auf) 😀

      LG

      Finn

    • Hi Heike,

      vielen Dank für den Tipp. Habe ich gerade zu meinem Artikel „YouTube-Videos datenschutzkonform nutzen“ hinzugefügt.

      LG

      Finn

  67. Hi Finn,
    Danke Danke Danke!!!!

    Ich nutze Cachify – das fehlt noch in deiner Liste.
    Aber es kommt wahrscheinlich auf den Speicherort an, ob das Ganze DSGVO konform ist oder nicht?

    Viele Grüße
    Heike

    • Hi Heike,

      habe das gerade überprüft und durch Cachify werden keine personenbezogenen Daten gespeichert. Habe es auch gerade in die Liste mit aufgenommen. 😉

      LG

      Finn

    • Hi,

      so wie ich die Antworten vom Support verstehe, wird sowohl bei Comment Mail als auch bei Subscribe To Comments noch daran gearbeitet.

      LG

      Finn

  68. Hey,
    eine wirklich tolle und hilfreiche Liste. Danke dafür.

    Ich benutze zum einbinden von pdf’s das Plugin pdf embedder, habe beim Anbieter nachgefragt und es werden keine personenbezogenen Daten gespeichert. Villt für andere auch interessant.

    Liebe Grüße
    Lara

    • Hi Lara,

      gerne, freut mich zu hören! 😉

      Danke für die Ergänzung! Habe das Plugin gerade in die Liste mit aufgenommen.

      LG

      Finn

  69. Hallo,
    super Liste, sehr hilfreich! Steckt einiges an Aufwand dahinter, viele meiner Plugins sind vertreten 🙂
    Vermisse aber ebenfalls noch Captcha-Plugins, insbesondere für Google reCaptcha.

    Danke!

    • Hi Norman,

      ich habe gerade das Plugin „Google Captcha (reCAPTCHA) by BestWebSoft“ zur Liste hinzugefügt.

      Ich würde generell von der Nutzung von Google reCAPTCHA absehen, da Besucher möglicherweise darüber getrackt werden könnten. Google selbst verlangt im Rahmen seiner neuen EU User Consent Policy auch ein Opt-In dafür, was ebenfalls ein Grund ist, es nicht mehr zu nutzen.

      LG

      Finn

      • Danke. Ich benutze reCaptcha, um div. Angriffsszenarien abzuwehren. Würde hier nicht der Paragraf mit dem „berechtigten Interesse“ greifen? Es würde mich doch wundern, wenn es in Kauf genommen werden müsste, dass Bruteforce- und Roboterangriffe nicht abgewehrt werden dürften…

        • Hi Norman,

          es ist gut möglich, dass in dem Punkt das berechtigte Interesse deiner Nutzer überwiegen würde. Zumal es auch diverse andere datensparsamere Möglichkeiten gibt, um Brute-Force-Attacken oder Spam-Kommentare abzuwehren.

          LG

          Finn

  70. Hallo Finn,
    tolle Zusammenfassung! 🙂

    Ein paar PlugIn’s hätte ich für die Liste noch. Allerdings bislang ohne Einschätzung/Rückmeldung.
    – EU Cookie Law (von Alex Moss, Marco Milesi, Peadig, Shane Jones)
    – Optimize Database after Deleting Revisions (von CAGE Web Design)
    – All 404 Redirect to Homepage (von Fakhri Alsadi)
    – Divi-Kontaktformular-Modul (Bestandteil von Divi)

  71. Vielen vielen Dank für den Beitrag! Durch ihn habe ich schon manches Fragezeichen ausmerzen können. 🙂
    Allerdings frage ich mich gerade, ob es im Fall von iThemes Security ausreicht, den Brute Force Schutz zu deaktivieren. Müsste nicht eigentlich auch die Benutzersperre deaktiviert werden?

    Liebe Grüße,
    Maike

    • Ich denke nicht, dass man das Speichern von IP Adressen auf dem eigenen Server verhindern kann oder das aktuell technisch funktionieren könnte. Da haben sich die Gesetzmacher schlichtweg mal wieder keinen technischen Berater gegönnt. Allein schon der Provider, Zugriffsstatistiken, Webstatistik und generell das Ausliefern einer Webseite.
      Um zum Punkt zu kommen: einer WAF (Webanwendungsfirewall) den Brute Force Schutz oder die Usersperre zu entziehen, weil diese die IP Adresse in der DB speichert, führt den Sinn einer WAF ad absurdum. Mal ganz abgesehen davon, dass es kriminelle Angreifer nicht mal ein müdes Lächeln kostet, das schnurstracks zu umgehen. Derlei Speicherung in der DB ist in meinen Augen durch die Standard DS-Erklärung vollkommen abgedeckt. Und wenn noch eine Hardware Firewall wie mod_security oder ip_ban läuft, ebenfalls. Die IP´s werden ja ohnehin auf dem eignen Server abgelegt, der Datenbankserver liegt da in der Regel auch und nicht fremd auf.
      Und wenn man doch paranoid ist, dass der Provider diese lesen könnte, was ja ohnehin schon geregelt sein muss, kann sich ja in der Tat einen sql-Cronjob anlegen, der Daten die älter als 14 Tage sind, automatisch löscht.
      Mein Fazit: Nahezu jede Sicherheits-Schutzfunktion müsste laut dieser strikten Auslegung der DSGVO abzuschalten sein. Wird nicht funktionieren, ausser man hat keine Webseite oder -server. Und macht auch keinen Sinn. Das werden Urteile, sofern das wirklich jemand durchboxen wird, auch belegen. Derlei kann erst dann funktionieren, wenn IPv6 Standard ist, was leider aus Sicherheitsaspekten heraus auch sehr wenig Sinn macht, weil dann Angreifer von Haus aus anonym sind – weswegen diese Option als potenzieller Standard wiederum auch noch dauern wird (und muss, denn die Kriminalität im Netz hat bei weitem den Umsatz des weltweiten Drogenhandels bereits seit diversen Jahren überholt und kostet Unternehmen im Jahr Milliarden).
      Also bitte keine falsche Angst an der Stelle und die WAF´s angeschalten lassen, ansonsten (gerade bei WP-Seiten) wird schnell ein böses Erwachen Oberhand gewinnen. Das Speichern von (ggf potenziellen) Angreifern zählt meines Erachtens definitiv zu den berechtigten Interessen.

  72. Hallo Finn,
    das ist ja wirklich eine tolle Liste, danke für die Arbeit.
    Ich benutze die PlugIns Notes Widget Wrapper und PricingTable, kann zur DSGVO-Konformität aber bisher nichts finden.
    Kennst du die zufällig, bzw. weißt was dazu?
    LG Robert

    • Hi Robert,

      die Plugins kenne ich nicht und es liegen mir aktuell keine Infos vor. Ich schaue sie mir aber gerne mal an.

      LG

      Finn

  73. Hi, Super Liste! Danke dafür!

    Als kleiner Hinweis. Das Plugin NextGen Gallery greift bei mir selbstständig auf die Google fonts zu.
    Damit ist es meiner Meinung nach nicht ganz so uneingeschränkt DSGVO Konform.

    Für Lösungsansätze, was ein solches Problem angeht, bin ich sehr dankbar!

    Lieben Gruß, Karim.

    • Hi Karim,

      danke für die Info! 😉

      Ich habe das gerade getestet und bei mir werden durch NextGen Gallery (Version 2.2.54, kostenlos) keine Google Fonts hinzugefügt.

      Welche Version nutzt du? Und nutzt du die kostenlose Variante oder PRO? Und bist du dir sicher, dass die Google Fonts von NextGen kommen und nicht vom Theme oder einem anderen Plugin (Screenshot wäre super!)?

      LG

      Finn

      • Hi Finn,

        Also ich habe die selbe Version wie du und zusätzlich noch die Pro Variante am Laufen!
        Ziemlich sicher, dass sie wegen des Plugins abgerufen werden! Habe auch schon die von NextGen angeschrieben, die es auch bestätigt haben.
        Leider möchten sie es nicht als optionale Möglichkeit anbieten, sodass sie es mir selbst überlassen haben, den Code anzupassen! Sehr sehr ärgerlich, da ich das nicht kann und bei einem Bezahl-Plugin auch nicht möchte! Wenn ich nicht über 100 Galerien mit über 2000 Bilder darüber eingebunden hätte, wären sie mich jetzt los! Der Support war nicht gut, was mir dort schon mehrfach aufgefallen ist 🙁

        Deshalb kann ich nur jedem Empfehlen, in den Beiträgen, in denen eine Galerie von NextGen enthalten ist, das ganze Mal selbst zu überprüfen! Ehrlich gesagt verstehe ich auch nicht so recht den Grund warum die ihre eigenen fonts extern laden müssen :/

        Lieben Gruß
        Karim

        • Hi Karim,

          vielen Dank für die Erläuterungen! Habe das gerade in der Liste ergänzt.

          Hmm, aber das ist ja doof. Ein Plugin sollte nicht einfach so Google Fonts laden, ohne dass man das ausstellen kann 🙁

          Bin aber auch nicht so zufrieden mit NextGen. Hat mir schon mehrmals mit Updates die Website zerschossen und hatte schon öfter mal Probleme, weil das Plugin das Backend verlangsamt hat.

          LG

          Finn

          • Ja, leider ist das bei mehreren Plugins der Fall! Da muss man echt acht geben!
            Mein altes Social Counter Plugin (https://de.wordpress.org/plugins/accesspress-social-counter/) hat das ebenfalls getan! Dieses ist nun raus geflogen und (d)ein neues ist jetzt drinnen! Deshalb erkundigte ich mich unter anderem ja auch bei dir nach deinem 😉

            Fazit für mich: man muss wirklich alles und jede Seite die man nutzt, genau prüfen!

            Zu NextGen habe ich momentan leider keine Alternative, was mich wirklich nervt. Mal davon abgesehen, dass ein Umzug ne Katastrophe wäre! Evtl. kann man mit mehreren Mails dem Plugin Autor etwas Druck machen 😉

            Kurz off-topic zum social counter: Ich bekomme den FB Counter einfach net zum laufen. Ne App zu erstellen, ist ja eigentlich kein Hexenwerk und die zig Tutorials, die es dazu gibt, sagen ja alles das gleiche. Hast du eine Idee woran es liegen könnte?

            Lieben Gruß
            Karim

          • Hi Karim,

            ja, bei manchen Plugins sieht man leider auf den ersten Blick nicht, dass sie Daten sammeln…

            Zu NextGen kann ich dir auch leider keine Alternative empfehlen. Ich weiß auch nicht, ob es Gallerie-Plugins mit Import-Funktion für NextGen gibt.

            Die Facebook-App zum Laufen zu bringen, ist in der Tat ein bisschen tricky. Musste da auch ein bisschen herumprobieren.

            Kann gut sein, dass deine App noch nicht live geschaltet ist und es deswegen nicht funktioniert (daran lag es bei mir).

            LG

            Finn

        • NextCellent war fürmich immer eine tolle Alternative.
          Ich betreue über 200 Websites und jede einzelne hatte Probleme mit Nextgen.
          Die Umstellung von nextGen nach nextcellent war immer problemlos in weniger als 5 Minuten erledigt
          Gruß Axel

  74. Thanks for writing such a thorough and helpful article, Finn. I will be looking through some of the plugins on the list that I use to see if any adjustment needs to be made.

    I wanted to sort out the Social Warfare compliance for you so you can either update the listing OR tell me what I’m missing.

    Social Warfare does not collect ANY personal data from the people who visit a website that uses Social Warfare share buttons. Our buttons are merely utilizing the 3rd party share APIs of the respective networks. As soon as someone clicks a Social Warfare share button, everything that occurs after that click is handled by the social network’s API. Social Warfare does not track or see any information after the click.

    Our UTM tracking feature merely adds a string to the end of a shared URL so that Google Analytics can record that traffic data–Warfare Plugins does not recieve, record, or track ANY of that data.

    Our click-tracking feature is merely a Google Analytics event, which, again, is recorded by Google Analytics, not Social Warfare.

    So it is without question that Social Warfare has full compliance with GDPR because we don’t track/store a single thing.

    • Hi Dustin,

      thanks for your statement regarding Social Warfare!

      I originally marked the plugin as non-compliant with GDPR since it used the Facebook Social Graph to collect share counts in the front end (as shown by the browser extension Ghostery), which may store personal data of users on Facebook servers.

      However, I took a closer look at the plugin yesterday testing 20 of my own articles and could’t find any trace of the Facebook Social Graph when using Chrome Dev Tools.

      So I marked it as GDPR-compliant now.

      Edit: A few days ago I checked again (with older articles) and still were able to find the call to the Social Graph. Sorry, my mistake. I marked the plugin now as „GDPR compliance unknown“ until I am reassured that the Facebook Social Graph is really safe to use.

      Cheers,

      Finn

  75. Hallo Finn,

    herzlichen Dank für die tolle Liste. So ganz langsam sehe ich ein wenig Licht am Ende des Tunnels. 🙂

    Wo ich mir noch unsicher bin, ist das Plugin tinyCoffee. Weißt du dazu vielleicht zufällig was?

    lg

    Anika

    • Hi Anika,

      gerne, freut mich! 😀

      Habe mir tinyCoffee angeschaut und das schein okay zu sein. Sammelt nach meinen Recherchen keine personenbezogenen Daten vor dem Klick (Weiterleitung zu PayPal).

      Wahrscheinlich ist eine Erwähnung in der Datenschutzerklärung und ein Hinweistext unter dem Button, dass der Nutzer zu PayPal weitergeleitet wird, dennoch sinnvoll.

      LG

      Finn

  76. Hi Finn,

    vielen Dank für die Zusammenfassung.

    Hier noch ein paar andere Plugins die ich gefunden habe:

    All In One WP Security : When you use the aiowps plugin, no personal data is collected by me or co-contributers as a result of you using this plugin. (https://wordpress.org/support/topic/is-aiowps-gdpr-compliant/)

    User Role Editor : User Role Editor does not store or process personal data in any way. (https://wordpress.org/support/topic/user-role-editor-gdpr-compliant/)

    UpdraftPlus – Backup/Restore : If you have not got an updraftplus.com account (e.g. to use UpdraftCentral Cloud) then, as you can read there, we have no data that concerns you. (https://updraftplus.com/faqs/i-wish-you-to-delete-all-personal-data-which-you-hold-upon-me-gdpr-right-to-be-forgotten-right-to-erasure/)

    Asgaros Forum : Asgaros Forum sammelt/erhebt weder (die oben genannten) personenbezogenen Daten noch werden IP-Adressen in irgendeiner Form gespeichert/ausgewertet. (https://www.asgaros.de/support/?view=thread&id=751)

  77. Hallo Finn,

    auch diese Zusammenfassung ist super. Danke!

    Welches Sharing Plugin nutzt Du im Moment noch?

    Und ist es nach Deiner Erfahrung notwendig, dass unter der Kommentarfunktion die Datenschutzerklärung abgehakt werden muss?

    Danke und Grüße!
    Keno

    • Hi Keno,

      ich nutze aktuell Social Warfare, ist allerdings noch nicht 100% datenschutzkonform (nur mit eigenen Anpassungen an den Plugin-Dateien). Im Frontend wird noch der Facebook Open Graph geladen. Die Entwickler arbeiten aber anscheinend schon an einer Lösung.

      Ansonsten ist das Plugin Shariff Wrapper aktuell die wohl sicherste Wahl (mir gefällt allerdings das Design nicht so).

      Was die Checkbox unter den Kommentaren anbelangt: Es kann sein, dass es auch ohne Checkbox und nur dem Hinweistext geht. Da bin ich mir allerdings nicht hundertprozentig sicher (auch wegen der Nachweispflicht), deswegen nutze ich das Plugin WP GDPR Compliance, das nicht nur eine Checkbox bietet, sondern auch einen Zeitstempel der Zustimmung in der Datenbank sichert.

      LG

      Finn

        • Hi Mathias,

          sorry für meine sehr späte Antwort.

          Ich habe in script.min.js und share-cache.php eingefügt, dass Share Counts nur abgefragt werden sollen, wenn User eingeloggt sind (Lösung stammt von Webtimiser).

          Ist eine gute Zwischenlösung, man muss den Code allerdings nach jedem Plugin-Update wieder einfügen…

          LG

          Finn

  78. Erstmal danke! Vielleicht magst du auch noch das Plugin „Login LockDown“ aufnehmen:
    Hier eine Info dazu vom Entwickler: Login LockDown records the IP address and timestamp of every failed login attempt. […] This helps to prevent brute force password discovery. […] Die Daten werden bei wp in der Datenbank gespeichert.

  79. Hi, super cooler Artikel und sehr hilfreich in diesen „unsicheren“ 🙂 Zeiten.
    Weiß jemand ob das Plugin „WP User Avatar“ irgendwas auf fremden Servern speichert oder das dieses Plugin DSGVO konform wäre?

    Danke und VG

        • Die Verwendung von Gravatar ist unter Umständen problematisch (wobei WordPress aktuell an einer Lösung arbeitet). Man kann in den Einstellungen von WP User Avatar aber Gravatar komplett ausschalten, wenn man das möchte.

          LG

          Finn

  80. Warum genau ist „Easy Social Share Button“ problematisch. Der setzt wie Shariff auf eine Zwei-Klick Lösung. Macht der die Verbindung zu den Social Media Netzwerken zu voreilig auf?

    Auf mobile (Android, Chrome) sind die Tabellenfelder nicht farbig hinterlegt.

    • Hi Ferdinand,

      das Plugin Easy Social Share Buttons ist problematisch, weil eine Verbindung zum Facebook Social Graph hergestellt wird, um die Share Counts anzuzeigen.

      Die Tabellenfarben habe ich jetzt geändert, es sollte jetzt alles korrekt angezeigt werden 😉

      LG

      Finn

  81. Hallo Finn,
    habe bisher immer den Explorer benutzt. Da ist nur grün als Farbe zu sehen.
    Hab jetzt mal Google Crome ausprobiert und da ist alles super.
    Muss ich mich wohl mal umgewöhnen.
    LG
    Anja

    • Ah okay. Ja, es kann sein, das der Explorer die #rrggbbaa-Farben nicht unterstützt. Ich schaue mal, dass ich die in normale Hex- oder RGBA-Farben umwandele.

      LG

      Finn

  82. Guter Artikel – aber was ich nicht ganz verstehe, ist die Begründung für Contact Form 7.

    Wenn ich das Plugin (ohne Zusatzplugins wie z.B. Flamingo) verwende – also keine Daten innerhalb WordPress speichere, erhalte ich „nur“ eine E-Mail. O.k. – diese wird auf meinem E-Mail-Server gespeichert. Aber wenn mir jemand eine E-Mail über sein E-Mail-Programm schreibt, dann erhalte ich ja auch nicht explizit die Erlaubnis die personenbezogenen Daten zu speichern.

    Ich bin der Meinung, wenn jemand ein Kontakt-/Kommentarformular ausfüllt, muss dieser davon ausgehen, dass diese Daten auch gespeichert werden – und sei es nur auf dem E-Mail-Server.

    Wenn ich einen Brief schreibe, dann erhält der Empfänger ja auch meine persönlichen Daten in Form des Absenders und speichert diese ab – wenn auch analog.

    Ich will nicht sagen, dass die DSGVO nicht notwendig ist, aber in manchen Bereichen ist sie doch ein klein wenig übertrieben.

    Eine Frage habe ich noch: Sollte/muss ich als Betreiber einer Webseite einen Vertrag zur Auftragsverarbeitung abschließen?

    Grüße
    Thomas

    • Hi Thomas,

      ja, die DSGVO setzt zum Teil Standards an, die realitätsfern und schwierig umzusetzen sind und sorgt für mehr Bürokratie.

      Sie bietet aber auch viel Sinnvolles (z. B. das Recht auf Löschung!). Als Verbraucher finde ich die DSGVO begrüßenswert (auch wenn ich als Website-Betreibe darüber fluche).

      Ja, du brauchst als Website-Betreibe einen Vertrag mit deinem Hosting-Anbieter, der als Auftragsverarbeiter fungiert. Das meinst du doch oder?

      LG

      Finn

  83. Hallo,
    in der Legende stehen die Farben orange, gelb, blau. Ich kann aber nicht erkennen wo sie welchem Plugin zugeordnet sind. Bei mir ist alles Pink.
    LG
    Anja

    • Hi Anja,

      danke für den Hinweis! Werde mal schauen, was die Ursache davon ist.

      Welchen Browser und welches Betriebssystem nutzt du? Hast du vielleicht einen Screenshot dazu?

      LG

      Finn

  84. Hallo Finn,

    herzlichen Dank für diese super Übersicht. Sie ist eine große Hilfe für WP-Blogger. Daher habe ich sie gern auch in meinem Blog verlinkt (Fahrplan zur DSGVO).

    Herzliche Grüße
    Monika

  85. Hallo und danke für den Beitrag.

    – Weißt du wie es mit bbress Foren aussieht. Muss es da nicht ähnlich behandelt werden wie mit Kommentaren?
    -Ich habe wp-members im Einsatz. Hier wird bei jeder Registrierung die IP Adresse mit gespeichert. Ist das OK? Du speicherst ja anscheinend auch IP Adressen bei Kommentaren… hatte gedacht es wäre gar nicht mehr erlaubt?

    danke
    lg

    • Hi Micha,

      1. Ja, genau.
      2. Ja, wenn du das per Opt-In von deinen Nutzern bestätigen lässt (man kann auch mit dem „berechtigten Interesse“ die Speicherung der IP-Adresse begründen, aber ein explizites Opt-In ist wahrscheinlich immer die sicherere Variante).

      LG

      Finn

  86. Hat jemand eine Alternative zum Embed videos and respect privacy Plugin? Ich habe es soeben ausprobiert, doch leider zerschießt es mir das Layout…

    • Hi Carry,

      ich kenne aktuell keine Alternative. Ich suche selbst noch nach einer guten Lösung. 😉

      YouTube bietet übrigens selbst einen erweiterten Datenschutz-Modus an, bei dem kein Cookie gesetzt wird. Ich weiß nicht, ob das 100% datenschutzkonform ist, ist aber auf jeden Fall besser als nichts. So aktivierst du ihn:

      1. Bei YouTube auf Teilen > Einbetten klicken
      2. Unter Optionen zum Einbetten ein Häkchen bei „Erweiterten Datenschutzmodus aktivieren.“ setzen.
      3. Code kopieren und in die eigene Website einfügen.

      LG

      Finn

  87. Dankeschön für Tipps und Aufklären, jedoch ist mir nicht ganz klar wie soll mann DSGVO bei Shops / WooCommerce funktionieren.

    Kann mich da einer mehr dzu sagen. Danke

    • Hi Richard,

      es gibt unglaublich viele Extensions für WooCommerce, deshalb kann ich WooCommerce im Artikel nicht im Detail behandeln.

      Meine Empfehlung: Schau, welche personenbezogenen Daten bei WooCommerce wo gespeichert werden (Zahlungsanbieter etc.).

      Und dann schau, dass du diese Daten DSGVO-konform erfasst und schützt (mit Opt-In, Erwähnung in der Datenschutzerklärung, Sicherheitskonzept für deinen Online-Shop, ggf. ADV-Verträgen etc.).

      LG

      Finn

  88. Hey Finn,
    hast du Remove Comment IP schon getestet, ich bin nämlich noch skeptisch, da es anscheinend recht neu ist. Keine Bewertung, nur 40+ Downloads. Irgendwie macht mir sowas immer etwas Unbehagen. Im Augenblick habe ich alle alten IPs aus der Datenbank gelöscht und wollte die neueren für 6 Monate aufbewahren für den Fall der Fälle. Steht auch in meiner Datenschutzerklärung. Sind 6 Monate zu lang?
    Viele Grüße von Annie

  89. Eigentlich bin ich nicht verwundert über die Unkenntnis vieler. Es ist doch so, dass jeder WordPress aufsetzen kann und dann aus den unzähligen Angeboten zig Plugins installiert. Keiner dieser Laien, ja, die meisten Blogger sind schlicht Laien und haben weder Ahnung noch Interesse sich zu informieren, macht sich die Mühe den Plugins auf den Grund zugehen. Da werden einfach Sachen installiert und nichts hinterfragt.

    Die Datenschutzverordnung ist der einzig richtige Weg und allein deswegen werden sich schon die Spreu vom Weizen trennen. Ich hoffe auch, dass es eine Welle von Abmahnungen gibt, die auch durch die Presse gehen wird, damit alle Laien mal wach gerüttelt werden.

    Diese Laien tragen mit Schuld an vielen Missständen im Internet. Wenn diese Laien sich wenigstens informieren würden. Ich sage ja zum neuen/alten Datenschutz. Mehr davon, damit das alles professioneller wird und schwarze Schafe abgemahnt werden.

    • Hi Dennis,

      ich persönlich heiße die neuen Bestimmungen auch gut. Als Blogger sowie als Leser.

      Ich wünsche zwar niemandem eine Abmahnung, aber ich finde es gut, dass durch die DSGVO viele Leute wachgerüttelt und dazu animiert werden, sich intensiver mit Datenschutz zu beschäftigen, Datensparsamkeit zu praktizieren und transparenter darüber zu informieren.

      LG

      Finn

  90. Hallo,

    Vielen Dank für die Liste.

    Wenn ich es richtig sehe, dann stimmt Monarch nicht ganz. Der reine Button-Klick überträgt doch nichts an Facebook und Co? (außer, dass sich natürlich das Teilenpopup öffnet).

    Interessant ist die Statistik. Das Feature ist so gut versteckt, hatte ich noch nie gesehen.

    Vielen Dank,

    Adrian

    • Hi Adrian,

      ich habe das noch einmal gecheckt und es werden durch die Buttons anscheinend keine Daten übertragen, bevor der Nutzer klickt.

      Allerdings werden für statische Zwecke IP-Adressen in der Datenbank gespeichert.

      LG

      Finn

  91. Hallo, informativer Beitrag 🙂 Ich nutze WordPress und auf meinem Blog kann mann kommentieren mit Angabe der Mail Adresse und Newsletter abonnieren. Bei den ganzen Artikeln und Informationen bin ich jetzt total durcheinander. Was MUSS ich nun definitiv ändern bzw. welche Plugins runterladen damit ich es laut DGSVO richtig mache? Danke für die Hilfe. Lg Claudia

    • Danke! 😉

      Was du bzgl. der DSGVO vornehmen musst, ist sehr individuell für jede Website. Ich gehe so vor:

      1. Ich schaue, welche personenbezogene Daten überhaupt auf meinem Blog gesammelt und wo diese gespeichert werden (dabei kann dir meine Plugin-Liste helfen!). Typische Dinge sind Newsletter, Kontaktformulare, Social-Plugins etc.
      2. Ich entscheide, welche personenbezogenen Daten wichtig für mich sind und auf welche Dienste, Plugins, Funktionen oder Tools ich nicht verzichten kann (Stichwort: Datensparsamkeit!)
      3. Ich schaue, wie ich die übrig gebliebenen Dienste, Plugins etc. weiter nutzen kann (z. B. mit einem Opt-In, Nennung in der Datenschutzerklärung, ADV-Vertrag, Aufführung im Verfahrensverzeichnis etc.) und setze die Maßnahmen um.

      Ich hoffe, dir hilft das weiter.

      LG

      Finn

  92. Wirklich hilfreicher Artikel – danke dafür, Finn!
    Ich hatte vor ein paar Wochen Social Warfare angeschrieben, um zu fragen wie es denn aussieht im Bezug zur DSGVO. Dort wurde mir versichert, dass das Plug-In DSGVO-konform ist – laut deiner Liste stimmt das jedoch nicht. Da muss ich wohl noch einmal genauer nachhaken.

    LG, Lisa

    • Hi Lisa,

      ja, ich bin mir bei Social Warfare auch nicht hundertprozentig sicher. Manchmal wird bei mir der Facebook Social Graph geladen und manchmal nicht.

      Ich werde das in den nächsten Wochen noch einmal ausführlicher testen, denn ich mag das Plugin sehr und würde es gerne behalten 😉

      LG

      Finn

  93. Hallo Finn,
    du solltest dein Opt-In für die Kommentar überarbeiten! Ist leider nicht ganz konform mit der DSGVO.
    Sollte eher so aussehen:
    Mit der Nutzung dieses Formulars erteile ich meine Zustimmung zur Datenspeicherung lt. DSGVO. “Um die Übersicht über Kommentare zu behalten und Missbrauch zu verhindern, speichert diese Webseite (www.xxxxx) mit Absenden Ihres Kommentars Name, E-Mail, Kommentar, URL und Zeitstempel in einer Datenbank. Sie können Ihre Kommentare natürlich später jederzeit wieder löschen lassen. Detaillierte Informationen finden Sie in der Datenschutzerklärung(link)

    p.s.
    Ich habe das Speichern der IP Adresse für Kommentare in der function.php abgeschaltet.

    • Hi Michaela,

      ja, das stimmt. Ich werde das noch vor dem Stichtag anpassen. 😉

      Viele andere Dinge sind bei mir auch noch nicht angepasst. Ich muss mehr als 40 WordPress-Websites von mir und von Kunden DSGVO-sicher machen. Das nimmt mehr Zeit in Anspruch als ich angenommen hatte.

      Aber ich bin auf einem guten Weg! Bin gerade dabei AV-Verträge mit allen Hostern (und anderen Dienstleistern) abzuschließen. 😉

      LG

      Finn

      PS: Ja, ich habe das auch per functions.php abgeschaltet, finde ich schöner als per Plugin.

  94. Vielen Dank für die vielen Infos – das hat mir sehr weiter geholfen … ich arbeite gerade an meinem Blog. Eine Frage hätte ich noch zu den Sicherheitsplugins … bieten die beiden letztgenannten denn deiner Meinung nach eine ähnliche Sicherheit wie z.B. Wordfence, kennst du noch Alternativen? Vielen Dank! Ingrid

  95. Hallo,

    ich habe eine Frage zu AntiSpam Bee. Muss ich den Punkt „IP-Adresse des Kommentators validieren“ auch deaktivieren, ohne dass Nutzerdaten gesammelt werden?

    Danke und Grüße
    Meike

    • Hi Meike,

      das ist eine gute Frage. Ich weiß nicht genau, ob während dieses Vorgangs die IP gespeichert wird oder nicht. Ich würde sie vorsichtshalber auch deaktivieren.

      LG

      Finn

    • Nein musst du nicht. Antispam Bee ab Version 2.8 verarbeitet keine IP-Adressen mehr im Klartext, bedeute: es sind keine personenbezogenen Daten mehr und damit auch kein DSGVO-Problem

      Liebe Grüße aus dem Pluginkollektiv,
      Simon

  96. Hallo Finn,

    erst vielen herzlichen Dank für deinen Artikel! Der Hinweis zu Autoptimize „Entfernen der Google Fonts“ ist Gold wert. 😉

    Für die Kontaktformulare nutze ich „Super Forms – Drag & Drop Form Builder“ und konnte weder in der FB Gruppe noch sonst im Web etwas finden. Vielleicht weißt du mehr, aber ich gehe mal davon aus, dass auch hier „WP GDPR Compliance“ oder ähnliche Plugins notwendig sind…

    Beste Grüße, Tobias

    • Hi Tobias,

      danke, freut mich! 😉

      Ich habe das gerade mal recherchiert und die Option, ein Opt-In einzubinden, wurde mit der neuesten Version (4.0.0) eingeführt. Im Changelog steht:

      – Added: (GDPR compliance) Option to only save contact entry when a specific condition is met (Form Settings > Form Settings)

      LG

      Finn

  97. Ich habe heute von Auttomatic den Auftragsdatenverarbeitungsvertrag zugeschickt bekommen. Laut diesem ist Jetpack zwischenzeitlich dsgvo konform…

  98. Hallo,
    super Liste, hat mir schon sehr weiter geholfen.
    Wenn ich bei Ithemes Security den Netzwerk Brute Force Schutz deaktiviere ist das Plugin ok?
    Weißt du zufällig wie es mit NoSpamNX aussieht?
    Vielen Dank und LG

  99. Lieber Finn,

    danke für die hilfreiche Zusammenstellung. Bis auf Anti-Spam-Bee und Contact Forms 7 nutze ich nichts aus der Liste. WP GDPR Compliance werde ich (zu gegebener Zeit) in unser Blog integrieren.

    Herzliche Grüße
    Patrick

    • Hi Patrick,

      gerne! 😉

      WP GDPR Compliance nutze ich auch hier auf Blogmojo für Kommentare und Kontaktformulare von Contact Forms 7. Bin bis jetzt zufrieden damit!

      LG

      finn

  100. Hallo!
    Vielen Dank für diesen hilfreichen und ausführlichen Beitrag zur DSGV. Ich bin Blogger-Neuling und damit sowieso am Anfang eines langen Lernprozesses. Mit der neuen DSGV habe ich noch weniger Überblick… Mit jedem Blogartikel wie diesem blicke ich Schritt für Schritt ein wenig mehr durch!

    Kennst du dich mit Backup-Plugins aus? Ich habe gelesen, dass Backups grundsätzlich schwierig sing mit den neuen Datenschutzregeln…? Zur Zeit nutze ich BackWPup. Wie kann ich rausfinden, ob dieses (oder ein Plugin algemein) Daten speichert, die es nicht speichern soll?

    Viele Grüße
    Katha

    • Hi Katharina,

      bei Backup-Plugins bin ich mir selbst nicht 100% sicher.

      Theoretisch sollte es immer okay sein, wenn du Backups auf dem eigenen Server speicherst. Wenn du allerdings Backups auf einem externen Server, wie z. B. Google Drive, Dropbox etc. speicherst und diese Backups personenbezogene Daten enthalten (z. B. wenn IPs oder E-Mail-Adressen in deiner WordPress-Datenbank gespeichert sind), sieht das schon wieder anders aus.

      LG

      Finn

    • Hi Tina,

      freut mich, danke! 😉

      Ja, die Farben muss ich noch einmal überdenken. Rot oder gelb heißt ja nicht, dass man die Plugins gar nicht mehr nutzen kann, sondern dass für die DSGVO-konforme Nutzung ggf. Anpassungen erforderlich sind (wie z. B. ein Opt-In, ADV-Vertrag, Erwähnung in der Datenschutzerklärung etc.), weil Daten darüber gesammelt werden.

      LG

      Finn

  101. Ich finde deinen Beitrag und die Sichtweise sehr interessant. Allerdings hat der Beitrag auch direkt Informationslücken.

    Social Plugins -> Dort sind die meisten generell schon nicht Datenschutzkonform einsetzbar. Und das bereits weit vor der DSGVO Debatte jetzt.

    Einzig Shariff ist für den deutschen Markt zu empfehlen, weil generell schon Datenschutzkonform nach jetzigem Stand.

    Anti-Spam Plugins -> Hier verhält es sich ähnlich! Auch Akismet ist laut deutschen Datenschutz so gar nicht nutzbar. Das hat auch wenig mit der anstehenden DSGVO Richtlinie zutun.

    Es gibt da auch einfach nur den Weg Antispam-Bee zu nutzen, da es mit dem deutschen Datenschutz konform geht. Richtiger Hinweis hier ist bei dir ja schon gegeben mit dem der öffentlichen Datenbank.

    Generell halte ich viel für Panikmache, da auch vorher schon Regeln aktiv waren und sind die auf Datenschutz drängen. Jetzt kommen nur viele ins schwimmen, weil Sie sich vorher schon nicht daran gehalten haben. Oder eben schlichtweg unwissend waren.

    • Hi Daniel,

      ich gebe dir vollkommen recht damit, dass aktuell sehr viel Panik verbreitet wird und dass die DSGVO in vielerlei Hinsicht nichts Neues bringt.

      Die Speicherung von IP-Adressen ohne vorherige Einwilligung des Nutzers war auch schon vor der DSGVO illegal (und somit auch die Nutzung von Akismet ohne Opt-In). Das gleiche gilt für das Nutzer-Tracking durch soziale Netzwerke.

      LG

      Finn

  102. Sehe gute Zusammenfassung. Ich denke aber, da werden noch einige Updates kommen. Man sollte aber auf keinen Fall die Sache zu eng sehen oder gar in Sorge geraten.

    Selbst wenn man ein Plugin einsetzt, dass bestimmte Daten sonstwo hin schleußt: Welche Daten wären das? Und wie ist das konkret in einem … abmahnfähigen Schadensfall von wem zu beweisen?

    Hier ist das letzte Wort noch nicht gesprochen.

    • Ja, ich denke auch, dass sich da noch einiges tun wird. Der Stein kommt gerade erst ins Rollen und viele Entwickler werden ihre Plugins noch anpassen.

      Auch wie die Umsetzung der DSGVO für Website-Betreiber in manchen Aspekten konkret aussehen muss, wird noch durch Gerichtsurteile näher definiert werden.

      LG

      Finn

    • Hallo Mark,
      mt Einführung der EU-DSGVO wurde die Beweislast umgedreht. Man muss dir jetzt nicht mehr nachweisen, dass du etwas falsch gemacht, sondern du musst beweisen, dass du alles richtig gemacht hast.

      • Liebe Michaela,
        so eine Beweislast hätte ich auch gern in Verfahren z.B. mit den Banken und im Fall von Anlagebetrug. 🙂
        Persönlich finde ich Datenschutzverordnungen gut. Als Bloggerin nervt mich das aber an. Viel Arbeit und Verlust von Nutzungskomfort.
        Grüße!

Schreibe einen Kommentar

Du willst einen Expertenblog aufbauen, der dir treue Leser und Kunden bringt?

Dann abonniere den Blogmojo VIP-Newsletter, um exklusive Tipps und Angebote zu Themen zu erhalten wie DSGVO & Datenschutz (brandaktuell!), SEO, Bloggen und WordPress und keinen Artikel von Blogmojo mehr zu verpassen!

Die Einwilligung umfasst unsere Hinweise zum Widerruf, Versanddienstleister und Statistik entsprechend unserer Datenschutzerklärung. Wir verschicken unseren Newsletter ca. 2 bis 5 mal im Monat. Wir spammen dich nicht voll, großes Indianer-Ehrenwort!