Du möchtest mehr Leser für deinen Blog und mehr Kunden für dein Online-Business?

Dann werde Teil unserer kostenlosen E-Mail-Community mit exklusiven Tipps und Angeboten rund um's Bloggen, SEO und Online-Business. Als Willkommensbonus erhältst du unser E-Book Die 12 Gesetze unglaublich erfolgreicher Blogartikel.

Abmeldung jederzeit möglich. Etwa 2 bis 5 E-Mails im Monat. Die Einwilligung umfasst die Hinweise zu Widerruf, Versanddienstleister und Statistik gemäß unserer Datenschutzerklärung.

Die 12 Gesetze unglaublich erfolgreicher Blogartikel

300+ WordPress-Plugins im DSGVO- und Cookie-Check (mit Lösungen, Alternativen und Plugin-Tipps!)

Du bist dir nicht sicher, ob deine WordPress-Plugins DSGVO-konform sind und/oder Cookies setzen?

Hier findest du eine Übersicht darüber, welche Plugins personenbezogene Daten sammeln und welche nicht. Mit Alternativen und Lösungen, um diese DSGVO-konform zu nutzen.

Am Anfang dieses Artikels findest du zudem eine Liste mit nützlichen Datenschutz-Plugins, die dir dabei helfen können, WordPress DSGVO-konform zu nutzen.

Weitere nützliche Tipps, Listen und Tutorials findest du hier bei Blogmojo in der Kategorie DSGVO & Datenschutz sowie in meiner Facebook-Gruppe DSGVO & Internetrecht mit 10.000+ Mitgliedern!

Diese Artikel wird in regelmäßigen Abständen aktualisiert und um neue Plugins ergänzt. Mithilfe ist herzlich willkommen!

Falls du einen Fehler findest, dir Infos zur DSGVO-Konformität eines Plugins vorliegen oder Ergänzungswunsche bestehen, lass es mich gerne wissen.

Achtung: Dieser Blogbeitrag ist keine Rechtsberatung! Im Rahmen meiner Arbeit als Blogger und WordPress-Dienstleister habe ich mich zwar intensiv mit den geltenden Datenschutzbestimmungen und der DSGVO beschäftigt, ich bin jedoch weder Jurist noch Datenschutz-Experte. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen.

Nützliche Plugins

Folgende Plugins können dabei helfen, WordPress-Websites DSGVO-konform zu machen:

  • Autoptimize (entfernt Google Fonts und Emojis, funktioniert allerdings nicht immer, Alternative: Remove Google Fonts References)
  • Borlabs Cookie (umfangreiche und preislich günstige Opt-In-Lösung für Cookies, geeignet z. B. für Google Analytics, AdSense, Facebook Pixel oder Piwik. Es bietet zudem eine Zwei-Klick-Lösung für YouTube-Videos und iframes – sehr empfehlenswert!)
  • Clearfy (erlaubt die Aktivierung diverser WordPress-Features aus Sicherheits-, Datenschutz oder Performance-Gründen, z. B. Emojis, Embed, Rest API, Gravatar etc. – eher für fortgeschrittene Nutzer geeignet!)
  • DSGVO Pixel Mate (tolles Plugin, um Opt-Outs oder Opt-Ins für den Facebook Pixel oder Google Analytics einzubinden, optional können alle externen Ressourcen blockiert werden)
  • Google Analytics Germanized (hilft dabei, Google Analytics datenschutzkonform einzubinden, z. B. durch IP-Anomyisierung und Opt-In- und Opt-Out-Funktion)
  • Really Simple SSL (hilft bei der Umstellung einer WordPress-Website auf HTTPS)

Weitere nützliche Plugins und Details zu den genannten Plugins findest du in meinem Artikel 19 geniale Datenschutz-Plugins, um WordPress DSGVO-sicher zu machen.

Eine Auswahl verschiedener Cookie-Plugins zum Einbinden eines Opt-Ins oder Cookie-Banners findet du in meinem Artikel Die 4 besten Cookie-Plugins für WordPress in 2019 (inkl. Überblick über die aktuelle Rechtslage).

Hinweis: Einige Dinge, wie z. B. das Entfernen der IP beim Kommentieren, Embeds oder Emojis lassen sich auch sehr gut mit Code-Snippets per functions.php (im Child-Theme) erledigen.

Legende (bitte vorher lesen!)

OrangeVerarbeitet personenbezogene Daten, aber es ist noch keine Lösung bekannt, um es DSGVO-konform zu nutzen.
GelbVerarbeitet personenbezogene Daten, aber ist mit Anpassungen DSGVO-konform (z. B. Änderung der Plugin-Einstellungen, Opt-In, Erwähnung in der Datenschutzerklärung, AV-Vertrag etc.).
GrünVerarbeitet keine personenbezogenen Daten und ist somit DSGVO-konform.
FPDas Plugin setzt First-Party-Cookies, das heißt Cookies von deiner eigenen Domain. Solche Cookies sind oft als technisch notwendig einzustufen.
TPDas Plugin setzt Third-Party-Cookies. Solche Cookies sind oft technisch nicht notwendig und erfordern dementsprechend ein Opt-In, das sich durch ein Cookie-Plugin realisieren lässt.

1. Social Plugins

Social Plugins, wie z. B. der Facebook Like Button, Pinterest Widgets oder eingebettete Twitter Timelines, ebenso wie von sozialen Netzwerken angeboten Remarketing-Tools, wie z. B. der Facebook Pixel, sammeln Nutzerdaten und verfolgen mitunter das Nutzerverhalten auch über die sozialen Netzwerke hinaus.

Das gilt selbstverständlich auch für alle WordPress-Plugins, die eine Integration dieser Technologien vornehmen, von denen einige in dieser Liste zu finden sind. Aber nicht nur diese sammeln Daten, sondern mitunter auch Dienste, die eigene Social-Sharing-Lösungen anbieten, wie z. B. AddThis.

PluginVersionDetailsCookies
AddThis6.2.6Lädt externe Ressourcen von verschiedenen AddThis-Servern. Setzt Tracking-Cookies (und wird deshalb von vielen Adblockern, wie z. B. Ghostery im Browser blockiert).

Lösung: Verwendung mit Opt-In, z. B. mit dem Script Blocker von Borlabs Cookie.

TP, FP
AddToAny Share Buttons1.7.38Laut FAQ ist AddToAny DSGVO-konform. Es werden keine personenbezogenen Daten durch AddToAny verarbeitet. IP-Adressen werden bei Technologie-Dienstleistern nur temporär gespeichert und das Cookie nur aus Sicherheitsgründen gesetzt.
Allerdings stellt eine Verbindung zum AddToAny-Server her und setzt ein Cookie, das eine wiedererkennbare User-ID enthält, noch bevor Besucher auf die Teilen-Buttons klicken.Lösung: Verwendung mit Opt-In, z. B. mit dem Script Blocker von Borlabs Cookie.
TP
Arqam Social Counter2.5.3Es werden keine personenbezogenen Daten verarbeitet. Das Plugin bezieht Follower-Zahlen nur im Backend. Diese werden für einen festlegbaren Zeitraum gecached.Nein
Better Click to Tweet5.8.2Verarbeitet keine personenbezogenen Daten. Es werden nur einfache Links zu Twitter angezeigt.Nein
BestWebSoft Like & Share2.64Bindet die originalen Teilen-Buttons von Facebook ein. Aufgrund der aktuellen Rechtslage bedürfen solche Social Plugins eines Opt-Ins, da diese eine Verbindung zu Facebook herstellen noch bevor Nutzer auf den Button geklickt haben.TP
Blog2Social5.8.1Laut Angaben des Entwicklers ist Blog2Social datenschutzkonform und verarbeitet keinerlei Daten von Website-Besuchern.Nein
Contact Widgets1.6.2Das Plugin an sich verarbeitet keine personenbezogenen Daten (außer deine eigenen auf deiner Website zu veröffentlichen). Wenn Google Maps in das Widget mit eingebunden wird, werden möglicherweise personenbezogene Daten an Google-Server gesendet und Cookies gesetzt.TP
Easy Social Icons3.07Verarbeitet keine personenbezogenen Daten. Es handelt sich um einfache Icons mit Links zu sozialen Netzwerken.Nein
Easy Social Share Buttons for WordPress6.2.1Laut Angaben des Entwicklers ist es DSGVO-konform, da erst personenbezogene Daten an die sozialen Netzwerke übertragen werden, nachdem der Nutzer auf einen Teilen-Button geklickt hat.

Allerdings werden durch den Facebook Social Graph, über den sporadisch die Facebook Share Counts im Frontend bezogen werden, möglicherweise Client-Daten (IP-Adresse, Browser, Betriebssystem) durch Facebook gespeichert.

Lösung: Share Counts abschalten.

Nein
Fuse Social Floating Sidebar4.0An sich verarbeitet das Plugin keine personenbezogenen Daten und baut auch keine Verbindungen zu sozialen Netzwerken auf, bevor der Nutzer auf die Buttons geklickt hat. Das Plugin lädt allerdings (unnötigerweise) FontAwesome extern über MaxCDN.Nein
jQuery Pin It Button for Images3.05Es wird erst eine Verbindung zu Pinterest aufgebaut, nachdem ein Besucher auf einen Teilen-Button geklickt hat.Nein
Lightweight Social Icons1.01Verarbeitet keine personenbezogenen Daten. Es handelt sich um einfache Icons mit Links zu sozialen Netzwerken.Nein
MashShare3.6.9Das Plugin verarbeitet an sich keine personenbezogenen Daten. Share Counts, wenn aktiviert, bezieht es nur im Backend (über den Dienst Sharedcount.com).

Es werden erst personenbezogene Daten an soziale Netzwerke übertragen, nachdem der Nutzer auf einen Teilen-Button geklickt hat.

Nein
Meks Easy Photo Feed Widget1.1.2Verarbeitet an sich keine personenbezogenen Daten.

Bilder werden allerdings über das Instagram-CDN geladen. Dabei werden zwar keine Cookies gespeichert, aber möglicherweise IP-Adressen und andere Client-Daten (Browser-Version, Betriebssystem etc.) an Instagram gesendet.

Nein
Meks Smart Social Widget1.4Verarbeitet keine personenbezogenen Daten. Es handelt sich um einfache Icons mit Links zu sozialen Netzwerken.Nein
Milotree?Plugin erzeugt einen externe Anfrage zum Milotree-CDN. Dabei werden laut eigenen Angaben keine Cookies oder IP-Adressen gespeichert.

Bilder werden über Server von Pinterest, Instagram und Co. geladen. Dabei werden ebenfalls keine Cookies gespeichert, aber möglicherweise IP-Adressen und andere Client-Daten an die sozialen Netzwerke gesendet.

Nutzung des Plugins zur Gewinnung von Newsletter-Abonnenten erfordert weitere Anpassungen, wie z. B. Passus in Datenschutzerklärung, AV-Vertrag mit Versanddienstleister etc.

Nein
Monarch1.4.13Plugin verarbeitet an sich keine personengezogenen Daten. Es wird erst eine Verbindung zu sozialen Netzwerken aufgebaut, nachdem ein Besucher auf einen Teilen-Button geklickt hat.

Zur Darstellung der Buttons werden allerdings Google Fonts geladen. Diese lassen sich seit Version 1.4 in den Plugin-Einstellungen deaktivieren.

Nein
NextScripts: Social Networks Auto-Poster4.3.9Laut Support werden keine personenbezogenen Daten durch das Plugin verarbeitet.Nein
Open Graph and Twitter Card Tags2.2.7.1Laut Support werden keine personenbezogenen Daten durch das Plugin verarbeitet.Nein
Pinterest „Pin It“ Button2.1.0.1Durch den Pinterest Save Button werden personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert. Der Button hinterlässt ein Tracking-Cookie im Browser, das die Verfolgung von Nutzeraktivitäten über die eigene Website hinaus ermöglicht.

Lösung: Verwendung mit Opt-In, z. B. mit dem Script Blocker von Borlabs Cookie.

TP
Pinterest Pin It Button On Image Hover And Post2.7.4Durch den Pinterest Save Button werden personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert. Der Button hinterlässt ein Tracking-Cookie im Browser, das die Verfolgung von Nutzeraktivitäten über die eigene Website hinaus ermöglicht.

Lösung: Verwendung mit Opt-In, z. B. mit dem Script Blocker von Borlabs Cookie.

TP
PixelYourSite7.1.2Plugin verarbeitet an sich keine personengezogenen Daten. Durch eingebundenen Scripte, wie z. B. Google Analytics, Google Tag Manager, Facebook Pixel etc. können jedoch personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert und Tracking-Cookies gesetzt werden.

Lösung: Verwendung mit Opt-In, z. B. mit dem Script Blocker von Borlabs Cookie.

FP, TP
Smash Balloon Social Photo Feed2.02Das Plugin verarbeitet an sich keine personenbezogenen Daten.

Bilder werden allerdings über das Instagram-CDN geladen. Dabei werden zwar keine Cookies gespeichert, aber möglicherweise IP-Adressen und andere Client-Daten an Instagram gesendet.

Nein
Social Media Share Buttons & Social Sharing Icons2.4.2Plugin verarbeitet laut Angaben der Entwickler an sich keine personenbezogenen Daten, abgesehen von einem First-Party-Cookie bei Verwendung des integrierten Popups.

Es setzt beim Aufruf einer Webseite auch keine Cookies, aber stellt externe Verbindungen zu Twitter, Facebook und Co. her. Benutzt die originalen Teilen-Buttons der sozialen Netzwerke, die nach Hovern mit der Maus angezeigt werden.

Aufgrund der aktuellen Rechtslage bedürfen solche Social Plugins eines Opt-Ins, da diese eine Verbindung zu Facebook herstellen noch bevor Nutzer auf den Button geklickt haben.

FP, TP
Social Slider Widget1.5.0Verarbeitet keine personenbezogenen Daten.

Bilder werden nicht über das Instagram-CDN geladen, sondern lokal als WordPress Medien-Dateien abgelegt.

Nein
ShareThis1.2.10Lädt externe Ressourcen von verschiedenen AddThis-Servern. Setzt Tracking-Cookies (und wird deshalb von vielen Adblockern, wie z. B. Ghostery im Browser blockiert).

Lösung: Verwendung mit Opt-In, z. B. mit dem Script Blocker von Borlabs Cookie.

TP
Shariff Wrapper4.6.3Bei Shariff werden erst personenbezogene Daten an die sozialen Netzwerke übertragen werden, nachdem der Nutzer auf einen Teilen-Button geklickt hat.Nein
Simple Social Icons3.01Verarbeitet keine personenbezogenen Daten. Es handelt sich um einfache Icons mit Links zu sozialen Netzwerken.Nein
Social Count Plus3.4.1Verarbeitet keine personenbezogenen Daten. Das Plugin bezieht Follower-Zahlen nur im Backend (werden 1 Tag gecached).Nein
Social Icons1.7.2Verarbeitet keine personenbezogenen Daten. Es handelt sich um einfache Icons mit Links zu sozialen Netzwerken.Nein
Social Icons Widget by WPZOOM3.3.2Verarbeitet keine personenbezogenen Daten. Es handelt sich um einfache Icons mit Links zu sozialen Netzwerken.Nein
Social Login von OneAll5.51Laut eigenen Angaben DSGVO-konform. Bietet einen AV-Vertrag an.

Dennoch aus mehreren Gründen als kritisch anzusehen:

Erstens wird bereits beim Seitenaufbau eine Verbindung zu OneAll-CDN hergestellt (wodurch ein Cookie gesetzt wird, das möglicherweise zum Tracking verwendet werden kann).

Zweitens wird nach dem Klick auf den Button eine Verbindung zu sozialen Netzwerken aufgebaut, bei der dort eine (von einem selbst erstellte) App Zugriff auf die E-Mail-Adresse und andere Informationen von Kommentatoren erhält.

TP
Social Login von miniOrange7.2.7Vor dem Klick auf den Login-Button werden keine personenbezogene Daten durch das Plugin gesammelt.

Dennoch als kritisch anzusehen, weil nach dem Klick auf den Button eine Verbindung zu sozialen Netzwerken aufgebaut, bei der dort eine (von einem selbst erstellte) App Zugriff auf die E-Mail-Adresse und andere Informationen von Kommentatoren erhält.

Laut Plugin-Beschreibung ist nur die Premium-Version DSGVO-konform.

TP
OnePress Social Locker5.3.0Bindet die originalen Social-Buttons von Twitter, Facebook und Co. ein, wodurch schon vor dem Klick auf den Button personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert und Tracking-Cookies gesetzt werden.

Aufgrund der aktuellen Rechtslage bedürfen solche Social Plugins eines Opt-Ins.

TP
Social Warfare3.6.1Laut Angaben des Entwicklers ist es DSGVO-konform, weil erst personenbezogene Daten an die sozialen Netzwerke übertragen werden, nachdem der Nutzer auf einen Teilen-Button geklickt hat.

Allerdings werden durch den Facebook Social Graph, über den sporadisch die Facebook Share Counts im Frontend bezogen werden, möglicherweise personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert.

Lösung: Share Counts abschalten.

Nein
Twitter Button by BestWebSoft2.62Bindet die originalen Teilen-Buttons von Twitter ein, wodurch schon vor dem Klick auf den Button personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert und Tracking-Cookies gesetzt werden.

Aufgrund der aktuellen Rechtslage bedürfen solche Social Plugins eines Opt-Ins, da diese eine Verbindung zu Facebook herstellen noch bevor Nutzer auf den Button geklickt haben.

TP
WP Social Icons1.1Verarbeitet keine personenbezogenen Daten. Es handelt sich um einfache Icons mit Links zu sozialen Netzwerken.Nein
Tasty Pins0.8.1Durch den Pinterest Save Button werden personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert. Der Button hinterlässt ein Tracking-Cookie im Browser, das die Verfolgung von Nutzeraktivitäten über die eigene Website hinaus ermöglicht.

Lösung: Den Button über die functions.php ausstellen.

TP
WpDevArt Social comments1.9.4Bindet das originale Facebook Comments Plugin ein, wodurch schon vor dem Kommentieren personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert und Tracking-Cookies gesetzt werden.

Aufgrund der aktuellen Rechtslage bedürfen solche Social Plugins eines Opt-Ins.

TP
WPZOOM Social Feed Widget1.5.2Das Plugin verarbeitet an sich keine personenbezogenen Daten.

Bilder werden allerdings über das Instagram-CDN geladen. Dabei werden zwar keine Cookies gespeichert, aber möglicherweise IP-Adressen und andere Client-Daten an Instagram gesendet.

Nein

2. Sicherheits-Plugins

Auch Sicherheits-Plugins sammeln unter Umständen personenbezogene Daten.

So werden z. B. IP-Adressen von Leuten, die versuchen, sich in deinen Adminbereich einzuloggen in der WordPress-Datenbank gespeichert oder mit Spammer-Datenbanken auf Dritt-Servern abgeglichen.

PluginVersionDetailsCookies
All In One WP Security & Firewall4.4.1Laut Support werden keine personenbezogenen Daten durch das Plugin gespeichert. In der Datenbank werden jedoch durch verschiedene Funktionen IP-Adressen gespeichert, z. B. bei der 404 Detection, Login Lockdown und Auto Block of SPAM Comment IPs. Zudem wird die IP-Adresse von registrierten Nutzern gespeichert.

Mögliche Lösung: Ausschalten der genannten Funktionen, wenn möglich, oder Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

?
BBQ (Block Bad Queries)20190902Arbeit laut meinen eigenen Recherchen nur auf Server-Ebene (z. B. durch Integration der 6G Firewall in die .htaccess). Es werden keine personenbezogenen Daten in der WordPress-Datenbank gespeichert oder an Dritt-Server gesendet.Nein
Google Captcha (reCAPTCHA) by BestWebSoft1.52Das Plugin selbst verarbeitet keine personenbezogenen Daten. Google reCAPTCHA stellt jedoch mehrere Verbindungen zu Google-Servern her und setzt ein Third-Party-Cookie.

Dadurch werden Hardware- und Softwareinformationen, z. B. Geräte- und Anwendungsdaten, erfasst und zu Analysezwecken an Google übermittelt. Diese Daten werden laut Google nicht für personalisierte Werbung genutzt.

Mögliche Lösung: Nutzung über Opt-In (ein Opt-In ist auch laut Googles EU user consent policy erforderlich), z. B. mittels CookieBot.

TP
ReCaptcha v2 for Contact Form 71.2.2Das Plugin selbst verarbeitet keine personenbezogenen Daten. Google reCAPTCHA stellt jedoch mehrere Verbindungen zu Google-Servern her und setzt ein Third-Party-Cookie.

Dadurch werden Hardware- und Softwareinformationen, z. B. Geräte- und Anwendungsdaten, erfasst und zu Analysezwecken an Google übermittelt. Diese Daten werden laut Google nicht für personalisierte Werbung genutzt.

Mögliche Lösung: Nutzung über Opt-In (ein Opt-In ist auch laut Googles EU user consent policy erforderlich), z. B. mittels CookieBot.

TP
Advanced noCaptcha & invisible Captcha (v2 & v3)5.5Das Plugin selbst verarbeitet keine personenbezogenen Daten. Google reCAPTCHA stellt jedoch mehrere Verbindungen zu Google-Servern her und setzt ein Third-Party-Cookie.

Dadurch werden Hardware- und Softwareinformationen, z. B. Geräte- und Anwendungsdaten, erfasst und zu Analysezwecken an Google übermittelt. Diese Daten werden laut Google nicht für personalisierte Werbung genutzt.

Mögliche Lösung: Nutzung über Opt-In (ein Opt-In ist auch laut Googles EU user consent policy erforderlich), z. B. mittels CookieBot.

TP
Invisible reCaptcha for WordPress1.2.3Das Plugin selbst verarbeitet keine personenbezogenen Daten. Google reCAPTCHA stellt jedoch mehrere Verbindungen zu Google-Servern her und setzt ein Third-Party-Cookie.

Dadurch werden Hardware- und Softwareinformationen, z. B. Geräte- und Anwendungsdaten, erfasst und zu Analysezwecken an Google übermittelt. Diese Daten werden laut Google nicht für personalisierte Werbung genutzt.

Mögliche Lösung: Nutzung über Opt-In (ein Opt-In ist auch laut Googles EU user consent policy erforderlich), z. B. mittels CookieBot.

TP
Login No Captcha reCAPTCHA1.6.4Das Plugin selbst verarbeitet keine personenbezogenen Daten. Google reCAPTCHA stellt jedoch mehrere Verbindungen zu Google-Servern her und setzt ein Third-Party-Cookie.

Dadurch werden Hardware- und Softwareinformationen, z. B. Geräte- und Anwendungsdaten, erfasst und zu Analysezwecken an Google übermittelt. Diese Daten werden laut Google nicht für personalisierte Werbung genutzt.

Mögliche Lösung: Nutzung über Opt-In (ein Opt-In ist auch laut Googles EU user consent policy erforderlich), z. B. mittels CookieBot.

TP
iThemes Security6.9.2Bei Aktivierung bzw. Nutzung des lokalen Brute-Force-Schutzes, der 404-Erkennung, der Benutzersperre, sowie der White- und Black-List werden IP-Adressen in der eigenen WordPress-Datenbank (oder in einer Datei auf dem Server gespeichert). Zudem werden bei Aktivierung des Netzwerk-Brute-Force-Schutz werden IP-Adressen an iThemes-Server zum Zwecke des Abgleichs mit einer Spammer-Datenbank geschickt.

Lösung: Das IP-Logging lässt sich leider nicht global ausstellen. Um es zu verhindern hilft nur das Deaktivieren bzw. die Nicht-Nutzung (Felder leer lassen) aller genannten Funktionen oder Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Logs leeren: Mit der Version 6.9.2 leider nur durch manuelles Löschen der Datei bzw. der Datenbankeinträge möglich.

?
Limit Login Attempts1.7.1Speichert IP-Adressen zum Zwecke des Brute-Force-Schutzes in der eigenen WordPress-Datenbank.

Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

FP
Limit Login Attempts Reloaded2.9.0Speichert IP-Adressen zum Zwecke des Brute-Force-Schutzes in der eigenen WordPress-Datenbank.

Lösung: In den Einstellungen einen Haken bei GDPR compliance setzen, dann werden alle IP-Adressen durch MD5-Hashes verschleiert.

FP
Login LockDownv1.8.1Speichert IP-Adressen zum Zwecke des Brute-Force-Schutzes in der eigenen WordPress-Datenbank.

Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Nein
NinjaFirewall4.0.4Speichert IP-Adressen im Firewall-Log und setzt ein First-Party-Cookies, um zu überprüfen, ob ein Nutzer auf der Firewall-Whitelist steht (Quelle).

Lösung: IP-Adressen lassen sich in den Firewall-Optionen anonymisieren.

FP
Security Headers1.1Verarbeitet keine personenbezogenen Daten.Nein
SpyderSpanker4.06.4Speichert IP-Adressen zum Zwecke des Blockens von Bots und Crawlern in der WordPress-Datenbank. Die Speicherung lässt sich nicht ausschalten.

Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

?
Sucuri Security1.8.21Laut deren Privacy Policy und Terms, verarbeitet Sucuri keine personenbezogenen Daten von Besuchern (nur die eigene E-Mail-Adresse und anonyme Daten über die eigenen Website bei Aktivierung des API-Keys).

Das Plugin zur Erkennung von Hacking-Angriffen IP-Adressen aller Login-Versuche und Aktivitäten von WordPress-Nutzern. Ich halte es für wahrscheinlich, dass die Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) möglich ist.

In der Premium-Version werden durch die Firewall IP-Adressen gesammelt. Mehr dazu findet man in den Terms of Service.

Nein
Wordfence Security7.4.0IP-Adressen werden zum Zwecke des Schutzes vor Brute-Force- und DDoS-Angriffen oder Kommentar-Spam auf WordFence-Servern gespeichert.

Setzt 3 verschiedene First-Party-Cookies.

Mögliche Lösung: AV-Vertrag mit WordFence abschließen und deren neuen Datenschutz- und Nutzungsbestimmungen zustimmen, Nutzung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Mehr Infos zu WordFence und DSGVO findet man in diesem Hilfe-Artikel.

FP
WP Limit Login Attempts 2.6.3Speichert IP-Adressen zum Zwecke des Brute-Force-Schutzes in der eigenen WordPress-Datenbank.

Setzt ein Session-Cookie.

Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

FP

3. Anti-Spam-Plugins

Auch Anti-Spam-Plugins nutzen unter Umständen IP-Adressen oder über die Kommentarfunktionen eingegebene Daten, um Kommentar-Spam zu erkennen oder zu verhindern.

PluginVersionDetailsCookies
Akismet4.1.2Akismet übermittelt alle über das Kommentar-Formular eingegebenen Daten (Name, E-Mail, Kommentartext etc.) sowie die IP-Adresse des Nutzers an externe Server in den USA.

Lösung: Das Zusatz-Plugin Akismet Privacy Policy erlaubt es, Nutzer vor dem Kommentieren auf das Speichern der Daten hinzuweisen.

Nein
Antispam Bee2.9.1Antispam Bee verarbeitet in den Standardeinstellungen keine personenbezogenen Daten. Wenn du es mit dem Datenschutz sehr genau nimmst, solltest du folgende Einstellungen deaktiviert lassen (sind standardmäßig deaktiviert):

  • Kommentare nur in einer bestimmten Sprache zulassen (der Kommentartext wird an den Dienst franc gesendet)
  • Kommentare aus bestimmten Ländern blockieren (die IP-Adresse des Kommentators wird an den Dienst IP2Country gesendet, wird aber um die hinteren Stellen gekürzt und somit anonymisiert)

Die Deaktivierung dieser zwei Einstellungen ist laut Simon vom Pluginkollektivs jedoch nicht unbedingt erforderlich.

Nein
Cookies for Comments0.5.5Setzt ein First-Party-Cookie, das zur Spambekämpfung dient. Wahrscheinlich als “technisch notwendiges Cookie” anzusehen.FP
WPBruiser5.2.3WPBruiser sendet keine IP-Adressen oder andere personenbezogenen Daten an Dritt-Server. Es speichert jedoch IP-Adressen zum Zwecke des Brute-Force- und Spam-Schutzes in der WordPress-Datenbank.

Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

?
WP-SpamShield1.9.42Es werden Cookies vom eigenen Server gesetzt, aber keine personenbezogenen Daten an Dritt-Server gesendet, siehe FAQ.

Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

FP

4. Statistik-Plugins

Statistik-Plugins speichern unter Umständen personenbezogene Daten, wie z. B. IP-Adressen oder setzen Cookies im Browser.

Vor allem bei Verwendung von Drittdiensten für Website-Statistiken (wie z. B. Google Analytics) ist Vorsicht geboten, da die Nutzung diverse Anpassungen erfordert.

PluginVersionDetailsCookies
Blogfoster Insights1.07Nutzt Piwik/Matomo, durch welches personenbezogene Daten auf Dritt-Servern gespeichert werden.

Laut eigenen Angaben werden IP-Adressen jedoch anonymisiert, um keine Rückschlüsse auf Einzelpersonen zuzulassen. Alle weiteren statistischen Auswertungen werden ebenfalls anonymisiert durchgeführt.

Ein AV-Vertrag ist vorhanden (seit 24. Mai 2018 Bestandteil der AGB)

Hinweis: Ab Version 2 wird Google Analytics anstatt Matomo zum Einsatz kommen.

FP, TP
Count per Day3.6.1Speichert IP-Adressen der Besucher in der WordPress-Datenbank, diese lassen sich jedoch in den Einstellungen anonymisieren (werden dann um die letzte Stelle gekürzt).?
FeedStats3.8.2Speichert IP-Adressen der Besucher in der WordPress-Datenbank, dies lässt sich leider nicht ausstellen.?
Google Analytics Dashboard for WP (GADWP) 5.3.9Nutzt Google Analytics, durch welches personenbezogene Daten auf Dritt-Servern gespeichert werden.

Lösung:

  • IP-Anonymisierung aktivieren (zu finden in den Plugin-Einstellungen unter Tracking-Code > Erweiterte Einstellungen > IP-Adresse anonymisieren)
  • Hinweis in der Datenschutzerklärung und Opt-Out-Möglichkeit
  • AV-Vertrag mit Google
  • Speicherdauer der Daten in Google Analytics einschränken
  • Opt-In einrichten (z. B. mit dem Script Blocker von Borlabs Cookie)
FP, ggf. TP
Google Analytics for WordPress by MonsterInsights7.9.0Nutzt Google Analytics, durch welches personenbezogene Daten auf Dritt-Servern gespeichert werden.

Lösung:

  • IP-Anonymisierung aktivieren und Berichte zur Leistung nach demografischen Merkmalen und Interessen deaktivieren (beides zu finden in den Plugin-Einstellungen unter Tracking > Demographics)
  • Hinweis in der Datenschutzerklärung und Opt-Out-Möglichkeit
  • AV-Vertrag mit Google abschließen
  • Speicherdauer der Daten in Google Analytics einschränken
  • Opt-In einrichten (z. B. mit dem Script Blocker von Borlabs Cookie)
FP, ggf. TP
Site Kit by Google1.0.1Durch Einbindung von Google AdSense, den Google Tag Manager oder Google Analytics werden Verbindungen zu Dritt-Servern hergestellt und Tracking-Cookies gesetzt.

Lösung: Ein Opt-In über Borlabs Cookie mithilfe des integrierten Script Blockers einrichten. Erfordert ggf. weitere Maßnahmen wie Erwähnung der Dienste in Datenschutzerklärung, AV-Vertrag, IP-Anonymisierung etc.

ggf. FP und TP
Statify1.6.3Verarbeitet laut keinerlei personenbezogene Daten, auch keine IP-Adressen.Nein
WP Statistics12.6.10Das Plugin speichert IP-Adressen der Besucher in der WordPress-Datenbank, IPs lassen sich in den Optionen anonymisieren (hashen).

Mehr Infos zur Umsetzung der DSGVO bei WP Statistics findest du in diesem Artikel.

Nein

5. Kontaktformulare

Über Kommentarformulare werden mitunter personenbezogene in der WordPress-Datenbank und auf deinem E-Mail-Server gespeichert.

PluginVersionDetailsCookies
Contact Form 75.1.4Eingetragene Formulardaten werden dir per E-Mail geschickt, also auf deinem E-Mail-Server gespeichert. Eine zusätzliche Speicherung in der WordPress-Datenbank findet laut meinen eigenen Recherchen nicht statt.Nein
Contact Form by WPForms1.5.5.1Eingetragene Formulardaten werden dir per E-Mail geschickt, also auf deinem E-Mail-Server gespeichert und zusätzlich in der WordPress-Datenbank gespeichert.

Es setzt laut Entwickler keine Cookies. Einen ausführlichen Guide, um das Plugin DSGVO-konform zu nutzen findest du hier.

Nein
Flamingo2.1Durch Flamingo werden alle Daten, die über das Plugin Contact Form 7 von Nutzern deiner Website abgesendet werden, auch in deiner WordPress-Datenbank gespeichert. Dies kann je nach Formulargestaltung personenbezogene Daten (wie z. B. E-Mail-Adresse, Vor- und Nachname oder Telefonnummer) enthalten.Nein
Gravity Forms2.4.14Eingetragene Formulardaten werden dir per E-Mail geschickt, also auf deinem E-Mail-Server gespeichert, und zusätzlich in der WordPress-Datenbank gespeichert.

Es setzt laut Entwickler keine Cookies.

Die Speicherung in der Datenbank lässt sich z. B. mit dem Plugin Wider Gravity Forms Stop Entries oder per functions.php ausschalten. Gravity Forms stellt auch einen ausführlichen Guide zur DSGVO-konformen Nutzung bereit.

Nein
Ninja Forms3.4.20Eingetragene Formulardaten werden dir per E-Mail geschickt, also auf deinem E-Mail-Server gespeichert. Ninja Forms stellt schon seit längerem einen ausführlichen Guide bereit, wie man Ninja Forms DSGVO-konform nutzen kann.?
Super Forms – Drag & Drop Form Builder4.7.78Eingetragene Formulardaten werden dir per E-Mail geschickt, also auf deinem E-Mail-Server gespeichert. Bei bestimmten Plugin-Einstellungen ist es möglich, dass Formulardaten auch in der Datenbank oder auf Dritt-Servern gespeichert werden.?

6. Kommentar-Plugins

Durch Abgabe eines Kommentars werden personenbezogene Daten übermittelt (z. B. Name, E-Mail, IP-Adresse, ggf. über den Kommentartext etc.) und in der WordPress-Datenbank gespeichert.

Durch Nutzung mancher Kommentar-Plugins besteht die Möglichkeit, dass diese Daten auch an Dritte weitergegeben werden.

PluginVersionDetailsCookies
Disqus Comment System3.0.17Lädt externe Ressourcen vom Disqus-CDN. Setzt Tracking-Cookies. Durch Abgabe eines Kommentars werden zudem alle eingegebenen Daten, die IP-Adresse des Kommentators sowie andere Daten an Disqus-Server gesendet (und auch an Dritte weitergegeben).

Lösung: Einen AV-Vertrag mit Disqus abschließen und Dienst (unbedingt!) mit Opt-In nutzen.

TP
Subscribe to Comments Reloaded191028Speichert E-Mail-Adressen in der WordPress-Datenbank. E-Mail-Adressen werden nicht auf Dritt-Servern verarbeitet.

Erfordert diverse Anpassungen, wie z. B. Aktivieren des Double-Opt-Ins, Anpassung der gesendeten E-Mails, Anpassung des Opt-In-Texts etc.

FP
wpDiscuz5.3.2Durch Abgabe eines Kommentars werden eingegebene Daten in der WordPress-Datenbank gespeichert. Bei Verwendung von Social Logins werden eingegebene Daten mit Drittanbietern, wie z. B. Facebook, Twitter oder Google geteilt und Third-Party-Cookies gesetzt. Für die Abonnement-Funktion gibt es kein Double-Opt-In.

Manche Premium-Addons, wie z. B. Google reCAPTCHA verarbeiten ebenfalls personenbezogene Daten.

Lösung: Abonnement-Funktion für Kommentare deaktivieren, Social Logins nicht nutzen.

FP und ggf. TP
Yoast Comment Hacks1.6Verarbeitet keine personenbezogenen Daten.

Hinweis: Wenn du das Plugin nutzt, um Kommentatoren E-Mails zu schicken, stelle sicher, dass du nicht gegen das Kopplungsverbot verstößt.

Nein

7. Membership-, Community- und Foren-Plugins

Wenn du einen Mitgliedsbereich in deine Website integriert hast, werden personenbezogene Daten zur Registrierung gespeichert, wie z. B. E-Mail-Adressen, Vornamen oder ggf. sogar Adress- oder Zahlungsdaten.

PluginVersionDetailsCookies
BuddyPress5.0.0Speichert personenbezogene Daten in der WordPress-Datenbank. Bei Installation von manchen Extensions werden personenbezogene Daten auch an Dritt-Server übertragen oder Cookies gesetzt.

Die Verwendung zusammen mit BuddyPress GDPR halte ich empfehlenswert (das Plugin gibt Nutzern die Möglichkeit ihre Daten zu exportieren und selbst zu löschen).

FP, ggf. TP
Digimember3.000.150Digimember speichert personenbezogene Daten in der WordPress-Datenbank und sendet diese (bei entsprechender Einstellung) auch an Dritt-Server.

Wird DigiMember zusammen mit DigiStore24 verwendet, werden Namen und E-Mails von Kunden an DigiMember gesendet und in der WordPress-Datenbank gespeichert. DigiMember wiederum sendet Zugangsdaten für Kunden an DigiStore24 zur Produkt-Auslieferung.

Mehr Infos zur DSGVO, z. B. zum Recht auf Vergessenwerden, Einwilligungen oder Speicherung von IP-Adressen, findest du im offiziellen DSGVO-FAQ.

FP
OptimizePress2.5.14Speichert personenbezogene Daten in der WordPress-Datenbank. Bei Nutzung von Drittanbieter-Integration (z. B. Zahlungsdiensten) werden personenbezogene Daten ggf. auch an Dritt-Server übertragen.

Weitere Infos zur Umsetzung der DSGVO bei OptimizePress findest du in den Policies und in diesem Guide.

FP, ggf. TP
Simple:Press6.0Speichert personenbezogene Daten in der WordPress-Datenbank. Bei Installation von manchen Extensions (z. B. Gravatar oder ShareThis) werden personenbezogene Daten auch an Dritt-Server übertragen.FP, ggf. TP
Ultimate Member2.0.56Speichert personenbezogene Daten in der WordPress-Datenbank. Bei Installation von manchen Extensions (wie z. B. Mailchimp oder Social Login) werden personenbezogene Daten auch an Dritt-Server übertragen.

Weitere Infos zur Umsetzung der DSGVO bei Ultimate Member findest du in dieser Übersicht.

FP, ggf. TP

8. Ladezeit- und Performance-Plugins

Plugins zur Ladezeit- oder Performance-Optimierung einer WordPress-Website, wie z. B. Caching-Plugins, verarbeiten der Regel keine personenbezogenen Daten.

Manche Plugins, wie z. B. Autoptimize oder WP Rocket können sogar dabei helfen, deine Website datensparsamer zu gestalten.

PluginVersionDetailsCookies
a3 Lazy Load1.9.3Verarbeitet keine personenbezogenen Daten.Nein
Autoptimize2.5.1Verarbeitet laut meinen eigenen Recherchen und laut Entwickler keine personenbezogenen Daten.Nein
Cache Enabler1.3.4Verarbeitet in den Grundeinstellungen keine personenbezogenen Daten. Die Nutzung von KeyCDN erfordert jedoch einen AV-Vertrag.Nein
Cachify2.2.4Verarbeitet keine personenbezogenen Daten.Nein
Comet Cache170220Verarbeitet keine personenbezogenen Daten.Nein
Crazy Lazy1.0.4Verarbeitet keine personenbezogenen Daten.Nein
Fast Velocity Minify2.7.6Verarbeitet keine personenbezogenen Daten.Nein
Lazy Load for Comments1.0.10Verarbeitet keine personenbezogenen Daten.Nein
Optimize Database after Deleting Revisions4.8.7Verarbeitet keine personenbezogenen Daten. Läuft als Tool zur Bereinigung der Datenbank nur im Adminbereich.Nein
SG Optimizer5.3.2Verarbeitet keine personenbezogenen Daten.Nein
W3 Total Cache0.10.1Verarbeitet keine personenbezogenen Daten.

Achtung: Mögliche Speicherung personenbezogener Daten bei Nutzung von CDNs.

Nein
WP Fastest Cache0.8.9.8Verarbeitet keine personenbezogenen Daten.Nein
WP-Optimize3.0.1Verarbeitet keine personenbezogenen Daten. Läuft als Tool zur Bereinigung der Datenbank nur im Adminbereich.Nein
WP Rocket 3.4.0.5Verarbeitet laut meinen eigenen Recherchern und laut FAQ keine personenbezogenen Daten.Nein
WP Super Cache1.7.0Verarbeitet keine personenbezogenen Daten.Nein
WP-Sweep1.1.0Verarbeitet keine personenbezogenen Daten. Läuft als Tool zur Bereinigung der Datenbank nur im Adminbereich.Nein

9. SEO-Plugins

Bei SEO-Plugins werden in der Regel keine personenbezogenen Daten von Nutzern gespeichert. Das liegt daran, dass diese der technischen Optimierung der Website (Sitemaps, Meta-Titel etc.) an sich dienen oder im Hintergrund laufen.

PluginVersionDetailsCookies
404 Redirection1.8Verarbeitet keine personenbezogenen Daten.Nein
All 404 Redirect to Homepage1.18Verarbeitet keine personenbezogenen Daten.Nein
All in One SEO Pack3.2.9Verarbeitet laut meinen eigenen Recherchen und laut Entwickler keine personenbezogenen Daten.Nein
All in One SEO Pack Pro3.2.9Verarbeitet laut meinen eigenen Recherchen und laut Entwickler keine personenbezogenen Daten.Nein
Breadcrumb NavXT6.3.0Verarbeitet keine personenbezogenen Daten.Nein
Broken Link Checker1.11.8Verarbeitet keine personenbezogenen Daten.Nein
Change Permalink Helper1.0.0Verarbeitet keine personenbezogenen Daten.Nein
CM Table of Contents1.1.1Verarbeitet keine personenbezogenen Daten.Nein
Contextual Related Posts2.7.0Verarbeitet keine personenbezogenen Daten.Nein
Easy Table of Contents1.7Verarbeitet keine personenbezogenen Daten.Nein
FV Top Level Categories1.9Verarbeitet keine personenbezogenen Daten.Nein
Google XML Sitemaps4.1.0Verarbeitet keine personenbezogenen Daten.Nein
Hide SEO Bloat3.13.1Verarbeitet keine personenbezogenen Daten.Nein
LuckyWP Table of Contents1.9.4Verarbeitet keine personenbezogenen Daten.Nein
Nofollow for External Link1.2.2Verarbeitet keine personenbezogenen Daten.Nein
PB SEO Friendly Images3.1.0Verarbeitet keine personenbezogenen Daten.Nein
Quick Page/Post Redirect Plugin5.1.9Verarbeitet keine personenbezogenen Daten.Nein
Rank Math1.0.33Verarbeitet keine personenbezogenen Daten.Nein
Redirection4.4.2Es werden IP-Adressen in den Umleitungs- und 404-Logs gespeichert. Dies lässt sich jedoch in den Optionen unter IP-Protokollierung ausschalten.Nein
Rel Nofollow Checkbox1.1.5Verarbeitet keine personenbezogenen Daten.Nein
Remove Yoast SEO Comments3.1Verarbeitet keine personenbezogenen Daten.Nein
SEO Data Transporter1.1.1Verarbeitet keine personenbezogenen Daten.Nein
SEO Redirection Plugin6.1Plugin loggt standarmäßig IP-Adressen von geklickten Umleitungen. Dies lässt sich jedoch unter Options > General Options > IP Logging ausschalten.Nein
Simple 301 Redirects1.0.7Verarbeitet keine personenbezogenen Daten.Nein
Simple 301 Redirects – Addon – Bulk Uploader1.2.5Verarbeitet keine personenbezogenen Daten.Nein
Table of Contents Plus1601Verarbeitet keine personenbezogenen Daten.Nein
The SEO Framework4.01Verarbeitet laut meinen eigenen Recherchen und laut Entwickler keine personenbezogenen Daten.Nein
Title and Nofollow For Links1.07Verarbeitet keine personenbezogenen Daten.Nein
Yet Another Related Posts Plugin5.1.1Verarbeitet keine personenbezogenen Daten.Nein
Yoast SEO12.2Verarbeitet laut meinen eigenen Recherchen und laut Support keine personenbezogenen Daten.Nein
Yoast SEO: Search Index Purge1.1.0Verarbeitet laut meinen eigenen Recherchen keine personenbezogenen Daten.Nein
Yoast SEO Premium12.2Verarbeitet laut meinen eigenen Recherchen und laut Support keine personenbezogenen Daten.Nein
XML Sitemap & Google News feeds5.2.4Verarbeitet keine personenbezogenen Daten.Nein
wpSEO4.5.6Verarbeitet keine personenbezogenen Daten.Nein

10. Bilder- und Medien-Plugins

Hier sind Plugins aufgeführt, mit denen Bilder und andere Medien bearbeitet oder optimiert werden können:

PluginVersionDetailsCookies
Compress JPEG & PNG images3.2.0Bilder werden an Dritt-Server gesendet, was problematisch sein kann, wenn diese erkennbare Personen abbilden.Nein
Enable Media Replace3.3.6Verarbeitet laut eigenen Recherchen und laut Entwickler keine personenbezogenen Daten.Nein
EWWW Image Optimizer5.0.0Es werden keine Bilder an Dritt-Server gesendet, weil das Plugin Bilder auf dem eigenen Server optimiert.

Achtung: Wenn die Cloud-Optimierung aktiviert ist, werden deine Bilder an Dritt-Server gesendet, was problematisch ist, wenn diese erkennbare Personen abbilden. Laut Datenschutzerklärung werden diese jedoch direkt nach der Optimierung wieder gelöscht.

Nein
EWWW Image Optimizer Cloud5.0.0Bilder werden an Dritt-Server gesendet, was problematisch sein kann, wenn diese erkennbare Personen abbilden. Laut Datenschutzerklärung werden diese jedoch direkt nach der Optimierung wieder gelöscht.Nein
Force Regenerate Thumbnails2.0.6Verarbeitet keine personenbezogenen Daten.Nein
Kraken.io Image Optimizer2.6.4Bilder werden an Dritt-Server gesendet, was problematisch sein kann, wenn diese erkennbare Personen abbilden.Nein
ImageMagick Engine1.5.4Verarbeitet keine personenbezogenen Daten.Nein
Imsanity2.4.3Verarbeitet keine personenbezogenen Daten.Nein
Media Cleaner5.4.9Verarbeitet keine personenbezogenen Daten.Nein
Media File Renamer4.5.9Verarbeitet keine personenbezogenen Daten.Nein
Menu Image2.9.5Verarbeitet keine personenbezogenen Daten.Nein
Native Lazy Load1.0.1Verarbeitet keine personenbezogenen Daten.Nein
NextGEN Gallery5.3.3Speichert an sich keine personenbezogenen Daten. Allerdings lädt das Plugin unnötigerweise FontAwesome-Icons von Drittserver use.fontawesome.com. Dies lässt sich nicht in den Plugin-Einstellungen ausschalten.

Lösung: FontAwesome über die functions.php entfernen.

Nein
Quick Featured Images13.3.4Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Resize Image After Upload1.8.6Verarbeitet keine personenbezogenen Daten.Nein
Regenerate Thumbnails3.1.1Verarbeitet keine personenbezogenen Daten.Nein
ShortPixel Image Optimizer4.14.6Bilder werden an Dritt-Server gesendet, was problematisch ist, wenn diese erkennbare Personen abbilden. Laut Datenschutzerklärung werden diese lediglich für 2 Stunden auf ShortPixel-Servern aufbewahrt und danach gelöscht.Nein
Simple Image Sizes3.2.1Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Smush Image Compression and Optimization3.2.4Bilder werden an Dritt-Server gesendet, was problematisch ist, wenn diese erkennbare Personen abbilden. Laut Angaben der Entwickler werden die Bilder allerdings direkt nach der Optimierung wieder gelöscht.Nein
Unite Gallery Lite1.7.15Verarbeitet keine personenbezogenen Daten.Nein
webP Express0.17.2Verarbeitet keine personenbezogenen Daten.Nein
WordPress File Upload4.11.2Ruft externe Verbindungen auf zu code.jquery.com und cdnjs.cloudflare.com auf (Quelle). Mit Version 4.5.0 wurden einige Features ergänzt, um Einwilligungen von Nutzer-Uploads einzuholen.
WP Retina 2x5.5.7Verarbeitet keine personenbezogenen Daten.Nein

11. Design-Plugins

Hier sind alle Plugins gelistet, mit denen du das Design oder die Struktur deiner Website verändern kannst (im Frontend, also dem für Besucher sichtbaren Bereich), wie z. B. Page-Builder, Slider-, Sidebar-, Widget- oder Menü-Plugins.

PluginVersionDetailsCookies
404page11.0.5Vearbeitet keine personenbezogenen Daten.Nein
Better Font Awesome1.7.1Lädt FontAwesome-Icons über das externes jsDelivr-CDN. Lokales Laden nicht möglich.

Mögliche Lösung: Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Nein
Collapse-O-Matic1.7.11Verarbeitet keine personenbezogenen Daten.Nein
Content Aware Sidebars3.10Verarbeitet keine personenbezogenen Daten.Nein
Contextual Related Posts2.7.0Verarbeitet keine personenbezogenen Daten.Nein
Custom Sidebars3.2.3Verarbeitet keine personenbezogenen Daten.Nein
Elementor Page Builder2.7.5Verarbeitet an sich keine personenbezogenen Daten und lädt, abgesehen von Google Fonts, auch keine externen Ressourcen. Bei Verwendung der Elemente „Google Maps“ und „Video“ werden allerdings personenbezogene Daten an Dritt-Server übertragen und Third-Party-Cookies gesetzt, bevor der Nutzer dem zustimmen kann.

Lösung: Das Plugin Borlabs Cookie, das beide Elemente mit einer Zwei-Klick-Lösung ausstattet. Google Fonts lassen sich ggf. durch Hinzufügen von Code in der functions.php deines Themes ausschalten.

ggf. TP
Favicon by RealFaviconGenerator1.3.15Verarbeitet keine personenbezogenen Daten.Nein
Genesis Columns Advanced2.0.3Verarbeitet keine personenbezogenen Daten.Nein
List Category Posts0.81Verarbeitet keine personenbezogenen Daten.Nein
Max Mega Menu2.7.2Verarbeitet keine personenbezogenen Daten.Nein
MaxButtons7.13.1Verarbeitet keine personenbezogenen Daten.Nein
Page Builder by SiteOrigin2.1.0.11Verarbeitet an sich keine personenbezogenen Daten. Wird jedoch das Video-Element verwendet, werden unter Umständen personenbezogene Daten an Dritt-Server übertragen, bevor der Nutzer dem zustimmen kann.

Es ist noch keine Lösung dafür bekannt. Die Nutzung mancher Premium-Addons, wie z. B. Contact Form, Web Font Selector, Ajax Comments oder Social Widgets könnten ebenfalls Anpassungen erfordern.

ggf. TP
Popup Builder3.51In einigen Punkten datenschutzrechtlich bedenklich:

Erstens werden die eigene Newsletter-Funktion werden Name, Nachnahme und E-Mail-Adresse von Abonnenten in der WordPress-Datenbank gespeichert. Ein Double-Opt-In ist dabei nur mit kostenpflichtigem Addon möglich.

Zweitens werden bei der Nutzung der Facebook-Funktion die originalen Teilen-Buttons von Facebook geladen, bei denen Tracking-Cookies gesetzt werden, bevor der Nutzer dem zustimmen kann.

Lösung: Kauf des Addons, Verzicht auf Facebook-Funktion und ggf. weitere Maßnahmen zur DSGVO-konformen Nutzung des Opt-In-Formulars im Rahmen der Informationspflicht.

 

FP, ggf. TP
Posts in Page1.4.4Verarbeitet keine personenbezogenen Daten.Nein
Q2W3 Fixed Widget5.1.9Verarbeitet keine personenbezogenen Daten.Nein
Simple Lightbox2.7.1Verarbeitet seit Version 2.7.0 keine personenbezogenen Daten. Verwendete Google Fonts werden lokal geladen.Nein
Responsive Lightbox & Gallery2.1.0Verarbeitet keine personenbezogenen Daten.Nein
Shortcoder4.6Verarbeitet an sich keine personenbezogenen Daten. Bitte beachte, dass möglicherweise Daten durch den in den Shortcodes verwendeten Code (z. B. YouTube-Videos, AdSense, extern geladene Scripte etc.) übertragen werden.Nein
SiteOrigin CSS1.2.4Verarbeitet keine personenbezogenen Daten.Nein
Thrive Architect2.4.33Verarbeitet an sich keine personenbezogenen Daten.

Bei Verwendung von manchen Blöcken, wie z. B. Disqus Comments, Facebook Comments oder Google Map werden mitunter externe Ressourcen geladen oder Cookies gesetzt. Zudem werden Google Fonts geladen, wenn diese unter Typography bei einem Block als Schriftart ausgewählt sind.

Lösung: Betroffene Blöcke nicht nutzen oder Inhalt erst nach Opt-In zeigen, bei Fonts Inherit Theme Font oder Web Safe Fonts auswählen.

FP, TP (je nach Block)
WordPress Popular Posts5.0.0Verarbeitet keine personenbezogenen Daten.Nein
WPBakery Page Builder (ehemals Visual Composer)6.0.5Speichert laut meinen eigenen Recherchen an sich keine personenbezogenen Daten. Werden jedoch die Elemente Google Maps, Flickr Widget, Videoplayer sowie die Pinterest-,Facebook-,Twitter- oder Google-Plus-Buttons benutzt, werden unter Umständen personenbezogene Daten an Dritt-Server übertragen, bevor der Nutzer dem zustimmen kann.

Lösung: Verzicht auf oben genannte Elemente oder Opt-In, z. B. mit Borlabs Cookie.

ggf. TP
WP-PageNavi2.93.1Verarbeitet keine personenbezogenen Daten.Nein
WP Show Posts1.1.3Verarbeitet keine personenbezogenen Daten.Nein
WP Show Posts Pro0.5Verarbeitet keine personenbezogenen Daten.Nein

12. WooCommerce

PluginVersionDetailsCookies
Disable WooCommerce Reviews1.1Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
WooCommerce3.7.1Kunden-, Kontakt- und Zahlungsdaten von Kunden werden in der WordPress-Datenbank gespeichert und ggf. auch an Zahlungsanbieter, wie z. B. PayPal, oder andere Drittanbieter gesendet.

Automattic stellt auf einer Übersichtsseite und im offiziellen WooCommerce-Blog zahlreiche Infos dazu bereit, wie man WooCommerce DSGVO-konform nutzen kann.

FP, ggf. TP
WooCommerce Advanced Bulk Edit4.4.3Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
WooCommerce CSV Importer3.4.0Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
WooCommerce Product Archive Customiser1.0.5Verarbeitet keine personenbezogenen Daten.Nein
WooCommerce Tab Manager1.11.0Verarbeitet keine personenbezogenen Daten.Nein

13. Wartung- und Administration

Hier findest du alle Plugins, die zur Wartung oder Adminstration einer WordPress-Installation dienen, wie z. B. Plugins zum massenhaften Bearbeiten oder Duplizieren von Posts, zur Datenbank-Pflege oder zur individuellen Gestaltung des Adminbereichs.

Plugins in dieser Kategorie verarbeiten in der Regel keine personenbezogenen Daten und sind dementsprechend DSGVO-konform, da sie nur im Adminbereich aktiv sind.

PluginVersionDetailsCookies
Absolutely Glamorous Custom Admin6.5.3Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Admin Menu Editor1.9.1Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Advanced Database Cleaner2.0.0Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Advanced WordPress Reset1.1.0Verarbeitet keine personenbezogenen Daten.Nein
Optimize Database after Deleting Revisions4.8.7Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Better Search Replace1.3.3Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Bulk Delete6.0.2Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Catch IDs1.8Verarbeitet keine personenbezogenen Daten.Nein
Category Order and Taxonomy Terms Order1.5.7Verarbeitet keine personenbezogenen Daten.Nein
Customizer Reset1.0.1Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Custom Post Type UI1.6.3Verarbeitet keine personenbezogenen Daten.Nein
Delete All Comments Easily1.3Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Disable Emails1.4.0Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Duplicate Menu0.2.1Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Duplicate Page4.0Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Duplicate Post3.2.3Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Duplicate Widgets1.2Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.

Achtung: Durch Widgets können ebenfalls personenbezogene Daten verarbeitet werden. Bitte prüfe jedes Widget, bevor du es verwendest.

Nein
Featured Image Admin Thumb1.5.3Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Health Check & Troubleshooting1.4.2Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Hide Admin Bar0.3.9.8Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
MainWP Child4.0.3Nötiges Plugin, damit MainWP Dashboard funktioniert. Siehe Details dort.Nein
MainWP Dashboard4.0.4Durch manche Funktionen oder Extensions (z. B. Remote Backup oder Comments) ist es möglich, dass personenbezogene Daten aus der WordPress-Datenbank an einen anderen Server übertragen werden. Bitte stelle sicher, dass dies auf DSGVO-konforme Weise passiert (durch Verschlüsselung, AV-Vertrag etc.).

MainWP verarbeitet laut eigenen Angaben keine personenbezogenen Daten seiner Kunden.

Nein
Nested Pages191028Verarbeitet keine personenbezogenen Daten.Nein
Optimize Database after Deleting Revisions4.8.7Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Post Duplicator2.20Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Post Type Switcher3.2.0Verarbeitet keine personenbezogenen Daten.Nein
Post Types Order1.9.4.1Verarbeitet keine personenbezogenen Daten.Nein
Reveal IDs1.5.4Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Search & Replace3.2.1Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
User Role Editor4.52Verarbeitet keine personenbezogenen Daten.Nein
WordPress Advanced Bulk Edit1.1Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
WP Bulk Delete1.1.3Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
WP Crontrol1.7.1Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
WP Database Reset3.1Verarbeitet keine personenbezogenen Daten.Nein
WP Downgrade1.2.0Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
WP Reset1.70Verarbeitet keine personenbezogenen Daten.Nein

14. Editor-Plugins

Alle Plugins zur Erweiterung, Deaktivierung oder Veränderung des Gutenberg- oder des klassischen TinyMCE-Editors in WordPress:

PluginVersionDetailsCookies
AddQuicktag2.5.3Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Advanced TinyMCE Configuration1.5Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Black Studio TinyMCE Widget2.6.9Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Classic Editor1.5Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.

Achtung: Bitte beachte eingebettete Inhalte, wie z. B. Facebook-Posts, YouTube- oder Vimeo-Videos, ebenfalls DSGVO-konform zu nutzen. Eine Zwei-Klick-Lösung für solche Embeds ist z. B. mit Borlabs Cookie möglich.

Nein
Disable Gutenberg1.9Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Gutenberg6.8.0Verarbeitet keine personenbezogenen Daten (lediglich im WordPress-Adminbereich wird die Schriftart Noto Serif über Google Fonts geladen, dies ist jedoch nur für eingeloggte Nutzer relevant).

Achtung: Bitte beachte Einbettungs-Blöcke, wie z. B. Facebook-Posts, YouTube- oder Vimeo-Videos, ebenfalls DSGVO-konform zu nutzen. Eine Zwei-Klick-Lösung für solche Blöcke ist z. B. mit Borlabs Cookie möglich.

Nein
Gutenberg Ramp1.1.0Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
HTML Editor Syntax Highlighter2.4.2Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
TinyMCE Advanced5.2.1Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
TinyMCE Clear Float1.3.2Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein

15. Backup-Plugins

Hier findest du alle Plugins, mit denen du ein Backup deiner WordPress-Installation machen kannst oder die bei der Migration helfen.

PluginVersionDetailsCookies
BackWPup3.6.10Wenn du BackWPup benutzt, um Backups auf dem eigenen Server zu speichern, werden keine personenbezogenen Daten verarbeitet, weil diese an einem Ort bleiben (bitte beachte allerdings, dass sich durch Backups die Speicherdauer der Daten erhöhen kann).

Wenn du das Plugin nutzt, um Backups auf einem anderen Server oder Cloud-Dienst (Google Drive, Dropbox etc.) zu erstellen, solltest du einen AV-Vertrag mit dem Provider abschließen und Nutzer im Rahmen der Informationspflicht darüber aufklären. Mehr Infos zu BackWPup und der DSGVO kann man in der Dokumentation nachlesen.

Nein
BackUpWordPress3.10Wenn du BackUpWordPress benutzt, um Backups auf dem eigenen Server zu speichern, werden keine personenbezogenen Daten verarbeitet, weil diese an einem Ort bleiben (bitte beachte allerdings, dass sich durch Backups die Speicherdauer der Daten erhöhen kann).

Wenn du das Plugin nutzt, um Backups auf einem anderen Server oder Cloud-Dienst (Google Drive, Dropbox etc.) zu erstellen, solltest du einen AV-Vertrag mit dem Provider abschließen und Nutzer im Rahmen der Informationspflicht darüber aufklären.

Nein
Duplicator1.3.22Das Plugin an sich verarbeitet keine personenbezogenen Daten. Allerdings solltest du sicherstellen, dass du bei der Migration von einem Server zum anderen AV-Verträge mit beiden Hosting-Anbietern abgeschlossen hast.Nein
UpdraftPlus1.16.17Wenn du UpdraftPlus benutzt, um Backups auf dem eigenen Server zu speichern, werden keine personenbezogenen Daten verarbeitet, weil diese an einem Ort bleiben (bitte beachte allerdings, dass sich durch Backups die Speicherdauer der Daten erhöhen kann).

Wenn du das Plugin nutzt, um Backups auf einem anderen Server oder Cloud-Dienst (Google Drive, Dropbox, UpdraftVault etc.) zu erstellen, solltest du einen AV-Vertrag mit dem Provider abschließen und Nutzer im Rahmen der Informationspflicht darüber aufklären. Mehr Infos zu UpdraftPlus und der DSGVO kann man hier nachlesen.

Nein
WordPress Importer0.6.4Das Plugin an sich verarbeitet keine personenbezogenen Daten. Allerdings solltest du sicherstellen, dass du bei der Migration von einem Server zum anderen AV-Verträge mit beiden Hosting-Anbietern abgeschlossen hast.Nein

16. Code hinzufügen (CSS, JavaScript, etc.)

Hier findest du Plugins, mit denen du Code an bestimmten Stellen in WordPress einbinden kannst, z. B. HTML, CSS, Javascript oder JSON-LD.

Achtung: Bitte denke daran, den durch die Plugins eingefügten Code ebenfalls DSGVO-konform zu nutzen!
PluginVersionDetailsCookies
AddFunc Head & Footer Code2.3Verarbeitet keine personenbezogenen Daten.Nein
Advanced Ads1.14.11Verarbeitet keine personenbezogenen Daten.Nein
Code Embed2.3.2Verarbeitet keine personenbezogenen Daten.Nein
Code Snippets2.13.3Verarbeitet keine personenbezogenen Daten.Nein
CSS & JavaScript Toolbox9.3.1Verarbeitet keine personenbezogenen Daten.Nein
Easy Code Manager9.0.1Verarbeitet keine personenbezogenen Daten.Nein
Head, Footer and Post Injections3.1.3Verarbeitet keine personenbezogenen Daten.Nein
Head and Footer Scripts Inserter4.41Verarbeitet keine personenbezogenen Daten.Nein
Header and Footer Scripts2.1.1Verarbeitet keine personenbezogenen Daten.Nein
Header Footer Code Manager1.1.6Verarbeitet keine personenbezogenen Daten.Nein
Insert Headers and Footers1.4.4Verarbeitet keine personenbezogenen Daten.Nein
Insert Html Snippet1.3Verarbeitet keine personenbezogenen Daten.Nein
Simple CSS1.1Verarbeitet keine personenbezogenen Daten.Nein
Tracking Code Manager1.12.0Verarbeitet keine personenbezogenen Daten.Nein
Woody ad snippets2.2.9Verarbeitet keine personenbezogenen Daten.Nein
WP Add Custom CSS1.1.5Verarbeitet keine personenbezogenen Daten.Nein

17. Newsletter- und Lead-Generierung

Hier findest du alle Plugins, die zur Lead-Generierung oder zum Versenden eines Newsletters eingesetzt werden, wie z. B. Pop-Up-Plugins, Plugins für Opt-In-Formulare oder ergänzende Plugins für Kontaktformulare.

PluginVersionDetailsCookies
Boxzilla3.2.14Setzt lediglich ein First-Party-Cookie, in dem gespeichert wird, ob und wann jemand ein Pop-Up weggeklickt hat, damit es erst nach einer vorgegeben Zeit wieder angezeigt werden kann.FP
MC4WP – Mailchimp for WP4.6.1Speichert E-Mail- und IP-Adressen von Nutzern, die sich in Formulare eintragen, in der WordPress-Datenbank.

Um Mailchimp DSGVO-konform zu nutzen, sind weitere Maßnahmen erforderlich, wie z. B. Abschließen eines AV-Vertrags, Passus in der Datenschutzerklärung, aktiviertes Double Opt-In, Impressum und Link zu Datenschutzerklärung in jeder E-Mails etc.

?
MC4WP – Mailchimp for WP Pro4.6.1Speichert E-Mail- und IP-Adressen von Nutzern, die sich in Formulare eintragen, in der WordPress-Datenbank. Bei eingeschalteten E-Mail-Benachrichtungen werden mitunter personenbezogene Daten an die eingestellte E-Mail-Adresse geschickt.

Um Mailchimp DSGVO-konform zu nutzen, sind weitere Maßnahmen erforderlich, wie z. B. Abschließen eines AV-Vertrags, Passus in der Datenschutzerklärung, aktiviertes Double Opt-In etc.

?
MC4WP – MailChimp User Sync1.8.0Das Plugin fügt WordPress-Nutzer automatisch zu einer festgelegten MailChimp-Liste hinzu. Bei Registrierung müssen diese entsprechend in die zusätzliche Datenverarbeitung einwilligen und über diese informiert werden.

Um Mailchimp DSGVO-konform zu nutzen, sind weitere Maßnahmen erforderlich, wie z. B. Abschließen eines AV-Vertrags, Passus in der Datenschutzerklärung, aktiviertes Double Opt-In etc.

Nein
Thrive Leads2.2.4.3Speichert E-Mail-Adressen von Nutzern, die sich in Formulare eintragen, in der WordPress-Datenbank. Setzt ein First-Party-Cookie, in dem gespeichert wird, ob und wann jemand ein Pop-Up weggeklickt hat, damit es erst nach einer vorgegeben Zeit wieder angezeigt werden kann.

Um per API verbundene Newsletter-Anbieter DSGVO-konform zu nutzen, sind weitere Maßnahmen erforderlich, wie z. B. Abschließen eines AV-Vertrags, Passus in der Datenschutzerklärung, aktiviertes Double Opt-In etc.

FP

18. Sonstige Plugins

Hier sind alle WordPress-Plugins gelistet, für die es noch keine Kategorien gibt:

PluginVersionDetailsCookies
ACF Photo Gallery Field1.6.5Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Advanced Custom Fields (ACF)5.8.6Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Advanced Custom Fields: Table Field1.3.8Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Advanced Excerpt4.3.2Verarbeitet keine personenbezogenen Daten.Nein
amr shortcode any widget3.7Verarbeitet keine personenbezogenen Daten.Nein
AAWP3.9.3Durch das Plugin selbst werden keine personenbezogenen Daten verarbeitet. Produktbilder werden allerdings von Amazon-Servern geladen (wodurch möglicherweise IP-Adressen und Client-Daten dort gespeichert werden).

Lösung: Über die Einstellungen aktivieren, dass Produktbilder heruntergeladen und lokal ausgeliefert werden sollen. Diese Funktion wurde in Version 3.7 eingeführt. Ggf. auch Nutzung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Nein
ASA 2 Pro1.12.2Durch das Plugin selbst werden keine personenbezogenen Daten verarbeitet. Produktbilder werden allerdings von Amazon-Servern geladen (wodurch möglicherweise IP-Adressen und Client-Daten dort gespeichert werden).

Lösung: Die Funktion Lokale Bilder benutzen, die in Version 1.9 eingeführt wurde oder ggf. auch Nutzung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Nein
Download Monitor4.4.2Speichert die IP, wenn man unter Log-Aufzeichnung > Download-Log ein Häkchen hat.

Lösung: Häkchen entfernen.

Envato Market2.0.3Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Email Address Encoder1.0.19Verarbeitet keine personenbezogenen Daten.Nein
FeedWordPress2017.1020Verarbeitet an sich keine personenbezogenen Daten.

Es besteht jedoch die (geringe) Wahrscheinlichkeit, dass personenbezogene Daten über Feed-Inhalte geladen werden. Ich empfehle deshalb, diese regelmäßig zu überprüfen.

Nein
GP Premium1.8.3Verarbeitet keine personenbezogenen Daten.Nein
Hello Dolly1.7.2Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
Jetpack7.8Bei Jetpack sind gleich mehrere Funktionen datenschutztechnisch problematisch:

Detaillierte Infos zu allen Funktionen und welche personenbezogenen Daten dadurch verarbeitet werden, findet man im Jetpack Privacy Center.

Lösung: Problematische Module deaktivieren.

FP,TP
Lana Downloads Manager1.2.2Speichert IP-Adressen und Client-Daten von Nutzern, die Dateien herunterladen in der WordPress-Datenbank. Dies wird für die Funktion des Download-Zählers verwendet.

Lösung: Download-Zähler ausschalten (möglich seit Version 1.2)

Loco Translate2.3.1Verarbeitet laut Support keine personenbezogenen Daten.Nein
OneSignal1.17.9Durch OneSignal werden personenbezogene Daten an OneSignal-Server gesendet und mit Drittanbietern geteilt. Mit der DSGVO wurden zwar einige Änderungen eingeführt, z. B. dass IP-Adressen von Nutzern aus der EU nicht mehr gespeichert werden- In der kostenlosen Version halte ich es jedoch für nicht nutzbar, da ein AV-Vertrag nur für Enterprise-Kunden zur Verfügung steht.?
PDF Embedder4.4Laut Support werden keine personenbezogenen Daten durch das Plugin vearbeitet.Nein
Pretty Links3.0.10Plugin speichert IP-Adressen der Nutzer, die auf einen gecloakten Link klicken, in der WordPress-Datenbank. Dies lässt sich jedoch durch Ausschalten der Klick-Statistiken unterbinden (unter Options > Reporting > Simple Click Count Tracking)FP
Printfriendly3.14.7Lädt Ressourcen über zwei externe CDN, was unnötig ist. Nach dem Klick auf den Printfriendly-Button wird der Nutzer zu printfriendly.com weitergeleitet, wo möglicherweise Tracking-Cookies gesetzt werden, um personalisierte Werbung anzuzeigen (allerdings mit vorherigem Opt-In).Nein
Public Post Preview2.9.0Verarbeitet keine personenbezogenen Daten.Nein
Public Post Preview Configurator1.0.3Verarbeitet keine personenbezogenen Daten.Nein
Remove Google Fonts References2.6Verarbeitet keine personenbezogenen Daten.Nein
Simple Mail Address Encoder1.7Verarbeitet keine personenbezogenen Daten.Nein
Sortable Word Count Reloaded1.0.3Verarbeitet keine personenbezogenen Daten. Ist nur im Adminbereich aktiv.Nein
TablePress1.9.2Verarbeitet keine personenbezogenen Daten.Nein
tinyCoffee0.3.0Verarbeitet keine personenbezogenen Daten vor dem Klick (Weiterleitung zu PayPal). Wahrscheinlich ist eine Erwähnung in der Datenschutzerklärung und ein Hinweistext, dass der Nutzer zu PayPal weitergeleitet wird, dennoch sinnvoll.Nein
The Events Calendar4.9.10Es werden personenbezogene Daten an Google übermittelt, wenn Google Maps für Veranstaltungen aktiviert ist. Dies kann allerdings unter Einstellungen > Karteneinstellungen deaktiviert werden.

Möglicherweise werden durch Nutzung bestimmter Add-Ons ebenfalls personenbezogenen Daten gespeichert. Mehr Infos zum Datenschutz bei The Events Calendar findet man hier und hier in den Statements.

TP
ThirstyAffiliates3.9Plugin speichert IP-Adressen der Nutzer, die auf einen gecloakten Link klicken, in der WordPress-Datenbank.

Setzt keine Cookies.

Seit Version 3.3.3 lässt sich die Speicherung von IP-Adressen jedoch in den Einstellungen ausschalten unter General > Disable IP address collection.

Nein
Widget Logic5.10.4Verarbeitet keine personenbezogenen Daten.Nein
WP Google Map Plugin4.1.1Das Plugin selbst verarbeitet keine personenbezogenen Daten. Durch die Einbindung von Google Maps, werden jedoch mehrere Verbindungen zu Google-Servern hergestellt und Third-Party-Cookies gesetzt.

Lösung: Verwendung mit Opt-In, z. B. mit dem Script Blocker von Borlabs Cookie.

TP
WP Hide Post2.0.10Verarbeitet keine personenbezogenen Daten.Nein
WP Job Manager1.34.0Speichert personenbezogene Daten (z. B. E-Mail-Adressen, Profilbilder, Vorname und Nachname) in der WordPress-Datenbank.

Bei Nutzung von Add-Ons sind weitere Formen der Verarbeitung dieser Daten (z. B. Senden von Job Alerts per E-Mail) oder die Verarbeitung weiterer Daten möglich (z. B. durch Integration mit den Jobportalen Indeed und Zip Recruiter).

FP
WPML4.3Laut meinen eigenen Recherchen und Angaben von WPML selbst werden, abgesehen von First-Party-Cookies zur Speicherung der Sprachauswahl, keine personenbezogenen Daten verarbeitet.FP
WP Recipe Maker5.8.0Verarbeitet keine personenbezogenen Daten.Nein
WP Recipe Maker Premium5.8.0Verarbeitet keine personenbezogenen Daten.Nein
WP Ultimate Post Grid2.8.2Verarbeitet keine personenbezogenen Daten.Nein
WP Ultimate Recipe3.12.7Verarbeitet keine personenbezogenen Daten.Nein
WP Video Popup2.7Erst nach dem Klick auf den Popup-Auslöser wird eine Verbindung zu YouTube bzw. Vimeo hergestellt.
Unterstützt seit Version 2.4 das cookiefreie Laden von Videos über youtube-nocookie.com.
Nein
Yet Another Stars Rating2.0.8Verarbeitet keine personenbezogenen Daten wenn Do you want to save ip address? auf NO eingestellt ist (ist standardmäßig so eingestellt).FP

19. Wie teste ich Plugins?

Du hast eins oder mehrere deiner Plugins nicht in der Liste gefunden? Oder du willst einfach nur wissen, wie ich beim Testen der Plugins vorgehe?

Kein Problem!

Im Folgenden zeige ich dir Schritt für Schritt, wie ich Plugins auf DSGVO-Konformität überprüfe:

19.1 Direkte Datenverarbeitung

Ich schaue mir zunächst an, ob durch ein Plugin direkt Daten vearbeitet werden.

Dies ist zum Beispiel bei Kontaktformularen-, Foren- oder Newsletter-Plugins der Fall. Hier geben Benutzer selbst Daten ein, wie z. B. ihren Namen oder ihre E-Mail-Adresse.

Bei solchen Plugins überprüfe ich zuerst, was mit diesen direkt eingegeben Daten eigentlich passiert:

  • Werden sie in Logfiles oder in der WordPress-Datenbank auf dem eigenen Server gespeichert?
  • Werden sie an mich selbst per E-Mail weitergeleitet?
  • Werden sie an Dritt-Server weitergeleitet? Und wenn ja, auf welche Weise werden dort die Daten verarbeitet? Brauche ich einen AV-Vertrag dafür?
  • Lässt sich das Plugin datensparsamer Nutzen, z. B. durch Anpassung der Einstellungen oder vom Entwickler bereit gestelltem Code?

19.2 Indirekte Datenverarbeitung

Ist dies abgeschlossen oder werden durch das Plugin gar keine Daten direkt verarbeitet, überprüfe ich ob indirekt Daten verarbeitet werden.

Dazu schaue ich mir zunächst an, ob durch das Plugin auf der Website externe Ressourcen über Drittserver geladen werden (z. B. Fonts, JS- und CSS-Dateien). Dies überprüfe ich mit Webbkoll oder den Chrome Developer Tools im Browser:

Chrome Developer Tools

Wenn ja, recherchiere ich im nächsten Schritt, welche Daten durch den Drittserver überhaupt gespeichert werden, z. B.:

  • in der Datenschutzerklärung des Entwicklers oder Dienstes
  • durch direkte Nachfrage
  • im AV-Vertrag oder in den AGB
  • in der Plugin-Dokumentation
  • durch Recherche bei Google oder in einschlägigen Datenbanken, z. B. von Ghostery.

Dazu gehört selbstverständlich auch, zu überprüfen, ob und zu welchem Zweck Cookies gesetzt werden:

Cookies in den Chrome Developer Tools

Dann überprüfe ich noch einmal, ob durch das Plugin indirekt Daten auf meinem eigenen Server gespeichert werden (oft schwieriger ausfindig zu machen als bei direkter Datenverarbeitung).

Dazu schaue ich erstens in die Plugin-Einstellungen (dort finden sich z. B. Hinweise auf Logfiles), zweitens noch einmal in die Datenbank und drittens, ob das Plugin Dateien auf dem Server speichert, die personenbezogene Daten enthalten.

19.3 Abschließende Beurteilung

Sobald ich einen Überblick über alle direkt und indirekt verarbeiteten Daten habe, geht es an die Beurteilung.

Im Zuge dessen stelle ich mir unter anderem folgende Fragen:

  • Welche Rechtsgrundlage käme für die Verarbeitung dieser Daten in Frage?
  • Ist ggf. eine Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtiges Interesse) möglich?
  • Kann ich alle rechtlichen Bedingungen erfüllen, um die Daten auf meiner Website verarbeiten zu dürfen (dazu gehört z. B. das Vorhandensein eines AV-Vertrags, wenn es sich um einen Auftragsverarbeiter handelt)?
  • Kann ich Besucher transparent über die Verarbeitung informieren? Gibt es noch offene Fragen zur Datenverarbeitung, die ich nicht beantworten kann?
  • Gibt es ggf. einen vorgefertigten Passus vom Entwickler oder einem Rechtsanwalt, den ich direkt in meine Datenschutzerklärung einfügen kann?
  • Habe ich die Möglichkeit, erhobene Daten zu löschen?

20. FAQ

Hier findest du Antworten auf häufige Fragen zu Cookies und Datenschutz bei WordPress-Plugins:

20.1 Wie kann ich das rechtliche Risiko durch Plugins verhindern?

Auch ohne Programmierer oder ein WordPress-Experte zu sein, kannst du durch Einhalten einiger Faustregeln bei Plugins für deutlich besseren Datenschutz sorgen:

  1. Je weniger Plugins du installiert hast, desto besser (damit wird deine Website zudem sicherer, denn Sicherheitslücken in Plugins sind beliebte Einfallstore für Hacker)
  2. Alles, was ein Formular zur direkten Dateneingabe durch Website-Nutzer hat, muss in die Datenschutzerklärung
  3. Die originalen Teilen-Buttons von Facebook, Twitter und Co. oder andere Social Plugins sind nie eine gute Idee (diese sollten, wenn überhaupt, nur mit Opt-In verwendet werden).
  4. Wenn du etwas von deinem eigenen Server laden kannst, dann lade es von deinem eigenen Server
  5. Wenn du dir bei einem Plugin nicht sicher bist, ob es datenschutzkonform ist oder nicht, dann lass es lieber weg.
  6. Je komplexer ein Plugin ist und je mehr Funktionen es bietet, desto eher könnte es datenschutzrechtlich bedenklich sein.

20.2 Welche Tools kann ich nutzen, um Plugins zu überprüfen?

Zur Überprüfung, ob von deiner Website Cookies gesetzt werden oder Verbindungen zu Drittservern hergestellt werden, empfehlen sich folgenden Tools:

20.3 Sind Premium-Versionen von Plugins besser in puncto Datenschutz als die kostenlosen Versionen?

Manchmal ja und manchmal nein:

Ja, weil manche Plugins erst durch zusätzliche Einstellungen in den Premium-Varianten DSGVO-konform werden oder AV-Verträge nur für zahlende Nutzer angeboten werden. Nein, weil der Funktionsumfang in Premium-Versionen oft höher ist und durch zusätzliche Features (z. B. Integration von Google Analytics, reCAPTCHA, Social Plugins etc.) personenbezogene Daten verarbeitet werden könnten.

20.4 Was sind personenbezogene Daten?

In Art. 4 der DSGVO sind personenbezogene Daten wie folgt definiert:

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Dazu können zählen:

  • Vor- und Nachname
  • Alter
  • Familienstand
  • Geburtsdatum
  • E-Mail-Adresse
  • Adresse
  • Kontodaten
  • IP-Adresse

21. Changelog

Hier findest du eine Übersicht über alle vorgenommenen Änderungen am Artikel:

7. November 2019:

  • Einige Plugins, bei denen die Nutzung eines Cookie-Plugins möglich ist, von Rot auf Gelb umgestellt
  • Einige Rechtschreibfehler behoben

6. November 2019:

  • 70+ neue Plugins ergänzt
  • 10 nicht mehr verfügbare Plugins gelöscht
  • Version ergänzt, auf die sich meine Beurteilung bezieht
  • Alle Plugins erneut untersucht und reevaluiert
  • Alle Plugins auf Cookies gecheckt
  • FAQ-Bereich ergänzt

*Es handelt sich um einen Affiliate-Link, das heißt, wenn du auf der verlinkten Website etwas kaufst, erhalten wir eine Provision. Dies hat keinerlei Einfluss darauf, wie wir ein Tool oder einen Anbieter bewerten. Wir empfehlen nur Tools bzw. Anbieter, hinter denen wir auch wirklich stehen. Für dich entstehen dadurch natürlich keine zusätzlichen Kosten! Du hilfst jedoch uns und diesem Projekt. Danke!

Finn Hillebrandt

Über den Autor

Finn ist Gründer von Blogmojo und seit 2011 als Internet-Unternehmer selbstständig. Er ist besessen von SEO und absoluter WordPress-Fan. Er liebt Espresso und Schokolade, die so dunkel ist, dass er sie mit niemandem teilen muss.

450 Gedanken zu „300+ WordPress-Plugins im DSGVO- und Cookie-Check (mit Lösungen, Alternativen und Plugin-Tipps!)“

  1. Hallo Finn,

    vielen Dank für diese Liste. Immer wieder komme ich vorbei und kontrolliere, ob sich bei gewissen Plugins etwas geändert hat.
    Ich setze das Plugin Polylang ein, um mehrsprachige Websites umzusetzen.
    Wenn der User eine Sprache für sich setzt, muss das doch in einem Cookie gespeichert werden oder?
    Ist das bzgl. DSGVO bedenklich? Ist ja eigentlich notwendig, sonst würde irgendeine Sprache angezeigt werden.

    Schöne Grüße
    Martin

    Antworten
    • Hi Martin,

      ein Cookie, das zur Speicherung der Sprache einer Website dient, ist meiner Meinung nach als technisch notwendig einzustufen (also ohne Opt-In einsetzbar).

      LG

      Finn

      Antworten
  2. Hallo Finn, danke für den super hilfreichen Beitrag. Ich hab aber noch ein paar Fragen zu bestimmten Plugins.

    1.) Disqus

    Weißt du, wie man den Opt-In bei Borlabs Cookies für Disqus konfigurieren muss? Das wird leider nirgends dokumentiert.

    Die richtige Herangehensweise wäre ADV mit Disqus und Cookie Opt-In, richtig?

    2.) CF7

    ADV mit dem Betreiber des E-Mail Servers, Datenschutzhinweis in jedem Formular mit Checkbox und Hinweis in Datenschutzerklärung wäre die richtige Herangehensweise, oder?

    3.) Wordfence

    ADV mit Wordfence, aber Cookie Opt-In nicht nötig, da nur technische Cookies?

    4.) Sucuri

    ADV mit Sucuri, aber Cookie Opt-In nicht nötig, da nur FP Cookies?

    Vielen Dank im Voraus und beste Grüße!

    Antworten
    • Hi Andre,

      sorry für die späte Antwort. Bei mir ist aktuell echt viel los. Privat und beruflich. 😉

      1. Sollte mit dem integrierten Script-Blocker von Borlabs Cookie gehen.

      2. Checkbox muss meines Wissens nicht sein, da du die Daten auch aufgrund von Art. 6 lit. b verarbeiten kannst.

      3. Jup.

      4. Jup.

      LG

      Finn

      Antworten
  3. Hallo, vielen Dank mal wieder für die aktualisierte Übersicht. Könntest du bei Gelegenheit bei den Statistik-Tools auch noch AWStats mit aufführen. Dieses Statistiktool wird ja bei vielen Webhostern schon kostenlos mitgeliefert und dieses Statistik-Tool sollte soweit ja auch DSGVO-konform sein. Für ganz einfache Statistiken reicht das Tool aus und eine AV hat man ja dann auch schon mit dem Webhoster abgeschlossen. Danke schon mal und schönen Sonntag.

    Antworten
    • Hi Frank,

      ja, AWStats sollte DSGVO-konform sein. Zählt ja nur die Hits und keine Besucher. Würde allerdings mal schauen, wie das mit IP-Adressen aussieht. Sollten anonymisiert werden.

      LG

      Finn

      PS: Da AWStats kein WordPress-Plugin ist, werde ich es nicht in die Liste mit aufnehmen. 😉

      Antworten
  4. Hallo Finn, was für eine großartige Arbeit! Ich werde wohl Wochen brauchen, um es langsam durchzulesen. Wie viel Zeit Du in die Recherche und die Zusammenfassung investiert hast, will ich gar nicht wissen. Besten Dank dafür!!! LG Pia

    Antworten
    • Gerne! Freut mich sehr zu hören! Die Liste ist allerdings nicht zum kompletten Durchlesen gedacht, sondern primär zur punktuellen Recherche. Ausdrucken als Bettlektüre? Hmm, wohl eher nicht! 😉

      LG

      Finn

      Antworten
  5. Herzlichen Dank für die Auflistung, die ich immer mal wieder checke.

    Nun bin ich auf der Suche anch einem Gästebuch – ja, klassisch, kein Forum – auf Gwolle gestoßen, das verschiedene Spamfilter integriert. Akismet benutze ich schon lange nicht mehr und die IP-Adressen lasse ich nicht speichern. Aber wie sieht es mit Honeypot und Nonce aus? Kann ich die benutzen?

    Kennt hier jemand Gwolle? https://de.wordpress.org/plugins/gwolle-gb/

    Viele Grüße
    Stefan

    Antworten
    • Hi Stefan,

      die Nutzung von Nonces oder Honeypots sollte datenschutzrechtlich okay sein.

      Bei Nonces bin ich mir allerdings nicht hundertprozentig sicher, da es sich theoretisch um eine Nutzerkennung handelt, wenn auch eine die durchaus als “technisch notwendig” zu erachten ist.

      Und nein, Gwolle kenne ich leider nicht.

      LG

      Finn

      Antworten
  6. Ich hätte eine Frage zu NinjaFirewall. Ich habe bisher Wordfence verwendet und war eigentlich zufrieden. Nachdem es aber scheinbar nicht DSVGO-konform ist aufgrund der Übertragung von IP Adressen (wobei für mich da auch nicht ganz klar ist, ob dies in diesem Fall nicht ein berechtigtes Interesse ist – da so Attacken verhindert werden und ich ja verpflichtet bin die Daten meiner Kunden zu schützen, die durch einen Hacker-Angriff ja kompromittiert werden könnten). Aber gehen wir mal davon aus, dass es in jedem Fall zu vermeiden wäre, IP Adressen an eine externe Quelle zu senden. Wenn ich die Daten nun anonymisiere in den Einstellungen von der NinjaFirewall – hat sie dann noch einen Nutzen? Wenn ich recht verstehe, wie so eine Firewall funktioniert, dann werden z.B. Login attempts gespeichert. Wenn sie anonymisiert sind- kann das Programm sie dann noch verwenden um eben eine Brute Force Attacke oä zu verhindern?

    Antworten
    • Ich nutze auch ein Login Attempts Blocker als Plugin, das IP-Adressen speichert und ich sehe es als mein berechtigtes Interesse an, das zu tun. 😉

      LG

      Finn

      Antworten
  7. Zuerst danke für diesen wertvollen Content.

    Frage:
    Bei den Kommentaren wird die IP Adresse gespeichert. Gibt es ein Plugin wo ich einstellen kann, dass die IP Adresse, automatisch nach 10, 20 oder 30 Tagen gelöscht bzw. DSGVO konform gemacht wird?

    Bedanke mich schon vorab für eine Antwort.
    LG Ernest

    Antworten
    • Hi Jan,

      leider nicht. Ich merke es mir aber mal für das nächste Update. Da es gerade mal 1.000+ Downloads hat, kann es aber sein, dass ich es nicht aufnehme.

      LG

      Finn

      Antworten
  8. Hallo,
    danke für die tolle Auflistung 😉

    Dazu hab ich noch eine Frage muss ich meine verwendeten Plugins auch irgendwo erwähnen, im Impressum oder Datenschutz?

    Danke für Feedback

    Antworten
    • Hi Fuchs,

      du musst in der Datenschutzerklärung alle Prozesse/Instanzen erwähnen, im Zuge derer personenbezogene Daten von Website-Besuchern verarbeitet werden.

      Das kann Plugins mit einschließen.

      Ich würde allerdings keine Plugins erwähnen, wenn durch diese keine personenbezogenen Daten verarbeitet werden. Das ist unnötig und birgt zudem Sicherheitsrisiken.

      LG

      Finn

      Antworten
  9. Moin,
    erstmal vielen Dank für diese Seite!
    Sie ist seit gut einem Jahr fester Bestandteil, wenn ich eine neue Webseite erstelle oder etwas umbaue!

    Ich habe eine Frage zum `grünen` Instagram Slider Widget.
    Nach der Installation und aktivieren der Checkbox `Save in my Libary` werden die Bilder auf meiner Webseite weiterhin über das CDN von Instagram geladen. Ist das nur bei mir so? Oder funktioniert das Plugin nicht mehr?

    Liebe Grüße aus Hamburg

    Antworten
  10. Vielen lieben dank für deine Mühe! Für jemanden, der kein webdesigner ist und alles learning by doing selbst macht ist so eine Liste wirklich goldwert! Leider stehen mein Verständnis der technischen Umsetzung und die DSGVO noch auf Kriegsfuß – aber du hast mir schon ein gutes stück weitergeolfen.

    Liebe Grüße

    Antworten
    • Hi Juliane,

      freut mich sehr zu hören, danke! 😉

      Ja, in das Thema DSGVO muss man sich einarbeiten. Es ist letzten Endes aber nicht schlimm wie man es zunächst vermutet.

      LG

      Finn

      Antworten
  11. Hallo Finn,
    ich hätte gerne das Instagram Slider Widget für meinen Blog (der noch komplett im Aufbau ist) genutzt, aber gestern festgestellt, dass es wohl seit Februar 2019 nicht mehr verfügbar ist.
    Hast Du vielleicht eine Alternative, um DSGVO-konform eine Vorschau auf meine Instagram-Bilder in meine Seite zu integrieren?
    Danke für Deine Hilfe!
    LG Bettina

    Antworten
    • Hi Bettina,

      nein, ich kenne leider keine Alternative für das Instagram Slider Widget. Soweit ich weiß, gibt es keine anderen Instagram-Plugins, die Bilder vom eigenen Server laden.

      Aber ich schätze mal, dass das Laden der Bilder vom Instagram-CDN unter berechtigtes Interesse fiele. Vor allem, wenn keine Cookies dabei durch Instagram gespeichert werden.

      LG

      Finn

      Antworten
  12. Zum WP Plug-in Redirection steht, dass “IP-Adressen in den Umleitungs- und 404-Logs gespeichert werden. Dies lässt sich jedoch in den Optionen unter IP-Protokollierung ausschalten.” Ich würde das gern NICHT ausschalten, sondern nutzen wollen, nur in der Datenschutzerklärung einen entsprechenden Hinweis einfügen; wäre das in Ordnung?

    Antworten
    • Hi Thilo,

      wenn du ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO hast, dann schon.

      Die Frage ist allerdings, wie weit dein berechtigtes Interesse reicht, was noch nicht einwandfrei juristisch geklärt ist. Ich gehe aber davon aus, dass sich die Speicherung von IP-Adressen aus Sicherheitsgründen gut rechtfertigen lässt (vor allem, wenn du sie löschst, sobald die Speicherung nicht mehr erforderlich ist oder du sie generell nur für kurze Zeit vorhältst).

      LG

      Finn

      Antworten
  13. ACHTUNG: Instagram Slider Widget (nicht mehr aktiv/als Download verfügbar) verlinkt fälschlicherweise auf “Instagram Widget by WPZOOM” – dieses nutzt die Bilder vom Instagram Server (also nicht DSGVO-konform!)

    Antworten
  14. Da muss ich doch auch mal ein fettes Dankeschön hinterlassen, ich hatte in der Tat eine unklare Einstellung, auf die ich durch diesen Artikel gestoßen bin und schnell beheben konnte. Vielen Dank dafür!

    Antworten
  15. Hallo, super Seite 😉 Wir nutzen PDF Light Viewer für virtuelle Magazine und es hat keine Verbindungen zu Drittanbietern/externen Servern. Das nenn ich mal vorbildlich!
    Schöne Grüße,
    Martin

    Antworten
    • Hi Martin,

      danke für die Info, habe mir das Plugin mal vorgemerkt. Werde ich ggf. beim nächsten Update ergänzen!

      LG

      Finn

      Antworten
  16. … noch was vergessen Elementor läd Google Fonts.

    Hab das gerade rausgenommen mit:

    funktions.php

    add_filter( ‘elementor/frontend/print_google_fonts’, ‘__return_false’ );
    add_action( ‘wp_enqueue_scripts’, function() { wp_dequeue_style( ‘font-awesome’ ); }, 50 );
    add_action( ‘elementor/frontend/after_enqueue_styles’, function() { wp_dequeue_style( ‘elementor-icons’ ); } );

    https://docs.elementor.com/article/286-speed-up-a-slow-site

    Das funktioniert gut.

    Antworten
  17. Vielen Dank für diese Informationen.

    Weißt du schon mehr über E-Mail Subscribers & Newsletters ?

    Viele Grüße und weiterhin gutes Gelingen

    Antworten
    • Hi Sonja,

      leider nein. Da E-Mail Subscribers & Newsletters ein beliebtes Plugin zu scheint und ich eh noch mehr Newsletter-Plugins zur Liste hinzufügen wollte, merke ich mir das mal vor. Werde ich vielleicht beim nächsten größeren Update der Liste ergänzen.

      LG

      Finn

      Antworten
  18. Wie ist denn der Stand bei Sucuri? Der User “Jörn Herrmann” hat im Juli darauf hingewiesen, dass sie laut ihren Terms IP-Adressen sammeln. Trotzdem werden sie als grün gelistet. Wie kommt das?

    Antworten
    • Hi Markus,

      ich habe den Eintrag für Sucuri auf den neusten Stand gebracht. Danke für den Hinweis!

      Demnächst steht auch ein größeres Update der Liste an, da werde ich den Status aller gelisteten Plugins noch einmal überprüfen. 😉

      LG

      Finn

      Antworten
  19. Hah, warum habe ich diese Seite denn früher nicht gefunden! Vielen Dank, endlich kommt mal etwas mehr Klarheit in dieses unsäglich anstrengende und langweilige Thema!
    Ich habe die Seite mal gebookmarked, weil ich fürchte, dass es noch viele Updates geben wird!

    Antispam Bee, Limit Login Attempts und andere erforderliche Sicherheitsfunktionen werde ich den Schlipsträgern der EU zuliebe nicht abschalten, wenn es Ärger gibt, dann werde ich wohl ein anderes Land suchen, wo Datenschutz kein Freiheitsverlust ist.

    Super Arbeit! Danke nochmal!

    Antworten
    • Hi Matthias,

      freut sehr mich zu hören, dass dir der Artikel weiterhilft! 😉

      Ich verzichte zugunsten der DSGVO ebenfalls nicht auf Sicherheits-Plugins. Ich setze darauf und halte es für einleuchtend, dass die Sammlung von IP-Adressen zu Sicherheitszwecken unter berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO fällt.

      LG

      Finn

      Antworten
  20. finde den Artikel gut, immerhin schon mal einiges über Plugins und deren Konformität zur DSGVO!

    Gibt halt auch viele Plugins, wo man nicht weiß, wohin damit bzgl. der DSGVO? Frägst Du bei den Entwicklern an, gibt es meist keine Antwort dazu. Recherchierst Du im Internet zu Plugins und deren Konformität zur DSGVO gibt es auch oft keine Ergebnisse. Dann stößt Du z.B über diverse Analyseseiten darauf, dass diese öffentlich zur Schau stellen, welche Webseiten dieses Plugin z.B. benutzen. Damit ist der Beweis erbracht, dass in den Plugins ja ein Tracking-Code … arbeitet. Damit müsste man das jeweilige Plugin datenschutzrechtlich ausweisen, das ist das Problem.

    Vielleicht ist hier mal ein Insider zu Gast, der folgende Frage beantworten kann. Wo kann man im Quellcode eines Plugins erkennen, dass ein Tracking erfolgt?

    Antworten
  21. Hallo,

    sehr hilfreiche Aufstellung der Plugins. Besonders durch die farbliche Kennzeichnung findet man sich schnell zurecht und kann zügig erkennen, ob man bei seinen eingesetzten Plugins handeln muß.
    Gibt es auch datenschutzkonforme Newsletter Plugins, die Du empfehlen kannst?
    Danke.

    Antworten
  22. Hallo Finn,
    ich finde deine Liste – besonders mit den farbigen Ratings sehr übersichtlich und hilfreich. Werde gleich mal anfangen und meine Plugins abklopfen ;-). Da hab ich jetzt echt was zu tun …

    Viele Grüße,
    Jürgen

    Antworten
    • Hi Jürgen,

      super, freut mich zu hören! Ja, vor allem, wenn man viele Plugins hat, dann kann das ein bisschen dauern 😉

      LG

      Finn

      Antworten
  23. Guten Tag,

    Kann man DISQUS weiterhin problemlos auf seiner WordPress Seite weiter verwenden, wenn es einen Abschnitt in den Datenschutzbestimmungen gibt?

    Liebe Grüße
    Tobias

    Antworten
  24. Hallo Finn,

    ich liebe deine Liste und habe sie schon öfters benutzt. Leider finde ich irgednwie nirgendwo die Möglichkeit einen einfachen Like-Button einzubauen, der weder irgendwohin verweist oder irgendwelche Daten erhebt (außer eben das like). Das kann ein Herz oder ein Daumen hoch sein. Weißt du ob es soetwas gibt? Zurzeit benutze ich shariff wrapper (danke deiner tollen Liste :)) und bis sehr zufrieden.

    Liebe Grüße, Jen

    Antworten
    • Hi Jen,

      freut mich zu hören! 😉

      Ja, so etwas gibt es bestimmt, aber ich kann dir leider kein bestimmtes Plugin dafür empfehlen. Habe ein bisschen in der Plugin-Bibliothek gestöbert, aber auf die Schnelle nichts Vernünftiges gefunden.

      Was den Datenschutz angeht:

      Solche Plugins mitunter Cookies oder speichern die IP-Adresse von “Herzenden” in der Datenbank.

      An sich ist das okay, schätze ich. Geht ja technisch nicht anders, sonst könnte jeder beliebig oft herzen. Würde ich aber auf jeden Fall in der Datenschutzerklärung erwähnen.

      LG

      Finn

      Antworten
      • Hallo ihr beiden,

        ich habe das Plug In WP U Like installiert das lt. Angabe des Herstellers die IP Adressen anonymisiert.
        Was haltet ihr davon?
        LG
        Zebra

        Antworten
        • Hi Zebra,

          wenn IP-Adressen anonymisiert werden, sollte die Nutzung vermutlich in Ordnung gehen. Ich merke mir das Plugin für das nächste Update der Liste mal vor.

          LG

          Finn

          Antworten
  25. Hallo Finn,

    deine Liste ist einfach nur genial. Ich arbeite sehr viel damit. Danke!

    Ich hab nur ein Problem. Ich möchte, dass Leser uns per Mail folgen können. Leider finde ich kein DSGVO-konformes Plugin. Hast du eine Lösung für mich?

    Liebe Grüße Bella

    Antworten
    • Hi Bella,

      da kann ich dir leider nicht weiterhelfen. Mir ist aktuell kein DSGVO-konformes Plugin dafür bekannt.

      Ich plane bald ein größeres Update für Liste, da schau ich mir Plugins aus dem Bereich noch einmal an.

      LG

      Finn

      Antworten
  26. Hallo Finn,
    weißt du, ob das Plug-In “WP U Like” DGVO-konform ist? Lt. Aussage des Programmierers wird die IP-Adresse anonymisiert. Dann müsste es doch passen, oder?
    Viele Grüße

    Antworten
  27. Eine sehr informative Liste. Habe schon einige Male darin gestöbert. Danke dafür.
    Wie sieht es mit der DSGVO-Konformität bei den Plugins zum Thema PWA und AMP aus? Habe dazu bisher nichts brauchbares gefunden. Vielleicht hast Du einen Tipp.

    Antworten
    • Hi Raimund,

      im Bereich PWA kenne ich mich, ehrlich gesagt, nicht allzu gut aus.

      Da PWA-Plugins oft sehr umfangreich sind und viele Zusatzfunktionen bieten (wie z. B. Push-Nachrichten, Analytics etc.), gehe ich aber mal davon, dass es da jede Menge zu bedenken gibt…

      Zu AMP habe ich etwas in meinem Artikel zu Google & DSGVO geschrieben.

      LG

      Finn

      Antworten
  28. Vielen Dank für diese tolle Liste. Ich wahr inzwischen jetzt schon öfters mal hier!!

    Ich habe mir mal Sucuri näher angeschaut, da ich kürzlich auf die Premium Version des Plugins umstellen werde und bei der Premium-Version (also wo die Firewall dabei ist) sammelt der Plugin doch IP Adressen laut den Terms hier: https://sucuri.net/terms
    “By providing this Service to you, we may collect information such as IP addresses and request URLs, from site visitors and HTTP traffic.”

    Das wäre vielleicht eine nützliche Ergänzung zu dem Eintrag in der Tabelle.

    Antworten
    • Kenne ich leider nicht und hab’s noch nicht selbst ausprobiert.

      Scheint aber ein recht komplexes Plugin zu sein mit einigem Funktionen, die datenschutzrechtlich problematisch sein könnten oder Anpassungen erfordern. Zum Beispiel:

      – Nutzerregistrierung und Nutzer-Uploads
      – Affiliate-Programm
      – Shop-Funktionalität
      – Verbindung zu Stock Photo APIs
      – Bilderkennung
      – Bezahlsysteme
      – GEO-Location
      – Social Login
      – Ticket-System

      LG

      Finn

      Antworten
  29. Hallo Finn,

    vielen Dank für diese ausführliche und sehr übersichtliche und hilfreiche Liste! Das ist sicherlich eine Heidenarbeit gewesen.

    Ich benutze auch das Plugin All in one WP Security und Firewall, und durch Deinen Artikel ist mir das erste Mal aufgefallen, dass es tatsächlich IP-Adressen sammelt, die laut DSGVO ja eher tabu sind. Allerdings stammen diese Adressen bei mir grundsätzlich von Leuten, die sich über Brute Force als Admin in meine Seite reinhacken wollen. Ich denke, dass ich als Webseitenbetreiberin ein durchaus berechtigtes Interesse an der IP-Adresse solcher Hacker haben dürfte, sei es um sie in die Blacklist einzutragen oder ihren Anmeldenamen schon beim ersten Loginversuch zu blockieren. Oder ist das eine der vielen DSGVO-Grauzonen?

    Ansonsten versuche ich Plugins so sparsam wie möglich zu verwenden, um etwaige DSGVO-Probleme schon im Voraus zu vermeiden. Aber wenn man doch ein Plugin für bestimmte Funktionen braucht, dann ist die Auswahl mithilfe Deiner Liste sicher viel leichter.

    Danke und viele Grüße

    Birgit

    Antworten
    • Hi Birgit,

      ja, das war in der Tat eine Heidenarbeit. Die meisten Plugins habe ich selbst per Hand überprüft und mich durch den Quellcode und Datenbankeinträge gewühlt. 😉

      Zu deiner Frage:

      Ich sehe es als unproblematisch an, wenn du IP-Adressen für den Brute-Force-Schutz des WordPress-Backends speicherst. Denke, dass sich das berechtigte Interesse da sehr gut begründen lässt.

      LG

      Finn

      Antworten
  30. Vielen Dank für Eure tollen Tipps! Nunmehr konnte auch meine Website endlich online gehen. Ein Problem: Ich habe auf mehrfachen Hinweis meine Datenschutz-Seite auf noindex geschaltet, was zur Folge hat, dass auch der Rest, trotz unterschiedlicher Einstellungen auf noindex ist. Das ist natürlich nicht der Sinn der Sache…Habt Ihr eine Erklärung?
    Vielen Dank und viele Grüße
    Gabriele

    Antworten
    • Womit hast du denn deine Datenschutzerklärung auf noindex gestellt? Mit Yoast SEO?

      Und welche Einstellung hast du genau vorgenommen?

      Antworten
  31. Hi Finn,

    vielen Dank, dass du unser Backup Plugin BackWPup in deiner – wirklich tollen und ausführlichen – Liste aufführst 🙂 Ich hätte noch eine kleine Ergänzung für alle, die sich weiter mit DSGVO-konformen Backups beschäftigen möchten: Ab der Version 3.6 von BackWPup Pro bieten wir die Möglichkeit, verschlüsselte Backups zu erstellen. Wenn man das Backup also in einer Cloud speichert und Fremde Zugriff auf diese Cloud bekommen sollten, ist das Backup der eigenen Seite trotzdem nicht einsehbar. In unserer Dokumentation: https://backwpup.de/doku/wie-kann-ich-backups-verschluesseln-bevor-sie-hochgeladen-werden/ erklären wir ausführlich, wie das Ganze funktioniert 🙂

    LG
    Jessie von Inspyde

    Antworten
    • Hi Jessie,

      danke für die Info! Die Backup-Dateien zu verschlüsseln sorgt auf jeden Fall noch einmal für mehr (Rechts-)Sicherheit 😉

      LG

      Finn

      Antworten
  32. Hallo Finn,
    ich bin großer Fan deines Blogs und deine Liste und auch andere Posts zur DSGVO haben mir sehr weitergeholfen. Vielen Dank erstmal dafür.
    Kümmere mich gerade darum die WordPressseite eines Bekannten durchzuschauen wegen DSGVO. Er verwendet da leider Plugins über die ich sowohl auf den Seiten der Entwickler und auch bei Google und Co. nix darüber finde ob die datenschutzkonform sind oder nicht. Weißt du vielleicht diesbezüglich was über folgende Plugins:
    Envato WordPress Toolkit bzw. Envato Market Plugin
    Widget Importer/Exporter
    Redux Framework
    Photo Gallery (wurde weiter oben schon was dazu geschrieben, steht aber soweit ich gesehen habe noch nicht in deiner Liste), ist datenschutzkonform wenn man keine Kommentare nutzt, richtig?
    Wie verhält es sich mit dem WD Manager, auch von WebDorado wie Photo Gallery, den ich auch installiert habe?
    TrendyTheme Core
    SMK Sidebar Generator

    Wäre super wenn du mir zumindest bei ein paar von diesen Plugins weiterhelfen könntest.
    Danke dir schonmal

    Schöne Grüße

    Antworten
    • Hi Bettina,

      leider kenne ich viele der Plugins nicht. Ich merke sie mir mal zur Überprüfung vor und füge sie ggf. in einem späteren Update der Liste hinzu.

      Durch Envato WordPress Toolkit bzw. Envato Market Plugin werden meinen Recherchen nach keine personenbezogenen Daten verarbeitet. Arbeitet nur im Backend.

      Meine Kurzeinschätzung zu den anderen Plugins:

      SMK Sidebar Generator, TrendyTheme Core, Redux Framework, Widget Importer/Exporter, WD Manager und SMK Sidebar Generator sind anscheinend Dienst-Plugins, die wahrscheinlich direkt keine personenbezogenen Daten verarbeiten. Ich würde aber mal checken, ob dadurch externer Code geladen wird (Google Fonts, FontAwesome etc.).

      Hoffe, das hilft dir weiter.

      LG

      Finn

      Antworten
  33. Hallo miteinander,
    weiß jemand etwas über WP Google Maps? Sammelt das Plugin Daten der Nutzer?

    Tolle Seite übrigens!

    Grüße

    Antworten
  34. Super vielen Dank für die Liste

    Zu dem Plugin von Elegent Themes ” Monarch ” laut elemet Themes ist dieses zu 100 % GDBR konform
    hatte einen lange E-Mail geschichte mit dennen sie sagen auch das alle Ihre Plugins bzw Themes konform sind

    Zittat :

    Hey Richard,

    All of our products have been updated with features to fully comply with the GDPR. smile

    To get a full list of the features added to our products you can see our blog post

    Remember, our support team is available to answer any questions you have while working with the themes and the plugins.

    Here’s a direct link to the Support Forum for your bookmarks:

    http://elegantthemes.com/forum


    Ana Ana from Elegant Themes
    On Mon, May 28, 2018 at 05:06 PM, ”

    Is Monarch EU DSVGO conform ?

    intercom

    Antworten
        • Leider nein. Ich habe keine Lizenz von ElegantThemes und kann mir die aktuelle Version leider nicht anschauen.

          Hatte überlegt sie mir zuzulegen, aber das ist mir zu viel Geld, nur um ein Plugin ausprobieren zu können. Habe das Plugin jetzt erst einmal auf “DSGVO-Konformität unklar gesetzt” 😉

          Antworten
  35. Hallo Finn,

    wow! Echt ein super hilfreicher Beitrag. 🙂
    Ich nutze aktuell für Bilder Galerien das Plugin Unite Gallery Lite (Valiano).
    Kannst du mir hierzu eventuell Auskunft geben, wie es bei diesem Plugin mit der DSGVO aussieht?

    Viele Grüße und Danke,

    Christina

    Antworten
  36. Super Liste, hat mir sehr geholfen, vielen Dank dafür!

    Bei der Suche nach einer praktischen Lösung für die Google Fonts bin ich auf folgendes echt praktisches Plugin gestoßen, das einfach alles selbst regelt:
    https://wordpress.org/plugins/selfhost-google-fonts/

    Laut Autor extra wegen der Dsgvo geschrieben und safe zu nutzen. Habe es auf einer Seite getestet und es tat perfekt das was es sollte, ist vielleicht nen Blick wert ;D

    Antworten
    • Hi Julia,

      hört sich sehr interessant an, danke für den Tipp! Scheint auch sämtliche Arbeitsschritte für einen zu übernehmen. Probier ich mal aus 😉

      LG

      Finn

      Antworten
  37. Hallo Finn! Ich habe eben beim Support von HTML5 Interactive World Map (Fla-shop.com) nachgefragt, ob sie DSGVO konform sind. Hier hat man mir versichert, dass keine Daten gespeichert werden. Vielleicht magst du das in die Liste mit aufnehmen?

    Gruß,

    Nadine

    Antworten
    • Hi Nadine,

      danke für die Info! Schaue mir das Plugin mal an und werde es mit einem der nächsten Updates zur Liste hinzufügen. 😉

      LG

      Finn

      Antworten
  38. Hallo Finn,

    Hut ab vor der ganzen Arbeit und Sorgfalt, die in diesem Beitrag und den anderen Artikeln rund um die DSGVO steckt.

    Ich arbeite bei Adenion und wir vertreiben unter anderem ein Social-Media-Marketing-Plugin für WordPress und haben dementsprechend viele Anfragen zur DSGVO erhalten (bzw. bekommen diese auch immer noch ;)). Dabei verweisen wir immer gerne auf Deinen Beitragspool und Deine vielen hilfreichen Tipps und Tricks hier auf Blogmojo. Von daher wollte ich einfach mal Danke sagen:

    Danke!

    Beste Grüße
    Tobias

    Antworten
  39. Hallo Finn,

    ich benutze auf meinem Blog das Plugin “jQuery Pin it Button”. Da Pinterest für mich sehr wichtig ist, möchte ich ungern darauf verzichten.

    Gibt es mittlerweile ein Pinterest Plugin, das DSGVO konform ist? Oder eine andere alternative Lösung?

    Danke & liebe Grüße
    Julia

    Antworten
    • Nein, leider aktuell nicht. Alle mir bekannten Plugins nutzen das Script von Pinterest. Und die scheren sich kaum um die DSGVO…

      Antworten
  40. Hallo Fin,

    hast Du auch schon Matomo als Alternative zu Google Analytics angeschaut? Ebenso interessiern mich Thrive Themes plugins. Thrive nutzt generell Google Fonts, aber man kann diese auch lokal einbinden. Ich bin mir aber nicht sicher ob dies mit allen Thrive Plugins geht; derzeit kämpfe ich mit Thrive Leads und habe das Plugin deswegen deaktiviert.

    Grüße
    FK

    Antworten
    • Hi Filder,

      ich habe leider keine Lizenz für Thrive Themes (hatte ich mal, aber hat mich nicht sonderlich überzeugt), deshalb kann ich das nicht nachschauen.

      Matomo ist eine sehr gute Alternative zu Google Analytics (werde auf längere Sicht wahrscheinlich auch umsteigen).

      LG

      Finn

      Antworten
  41. Lieber Finn, vielen Dank für diese Liste, ich habe schon oft darauf zurückgegriffen !

    Kannst Du mir vielleicht etwas zur Nutzung von Google Translate sagen? Deren support schrieb dass Sie GDPR complient arbeiten aber gleichzeitig dass sie nutzerdaten abgreifen. Ich denke ich habe dass nicht so ganz verstanden. ? Vielleicht hast Du dazu bereits etwas erfahren? Manch einer rät auch hier dazu GT rauszunehmen und ein anderweitiges Übersetzungs-Plugin zu nehmen.

    Danke und viele Grüße!

    Antworten
    • Ich würde lieber erst einmal darauf verzichten. Google Translate setzt mehrere Cookies und übermittelt möglicherweise personenbezogene Daten deiner Nutzer an Google (es wird z. B. durch das Tool Ghostery auch als Tracker erkannt).

      Wer Google Translate nutzen will, kann das meiner Meinung nach auch direkt im Browser oder per Browser-Plugin. 😉

      Antworten
  42. Hallo Finn,
    Vielen Dank noch mal für die so wahnsinnig hilfreiche Liste. Ich hab mich schon durch die vielen Kommentare gescrollt um eventuell eine Antwort zu finden zur Abofunktion von Jetpack. Du hattest zu abwarten geraten.
    Ich habe als Websesignerin vielen Bloggern beim Umzug zu WP.org geholfen. Einige kommen von WP.com und haben über Jetpack eine ansehnliche Followerzahl für Ihre Blogposts erreicht, die sie natürlich nicht verlieren wollen. Gibt es inzwischen eine Option da etwas DSGVO-konformes einzurichten?! Denn grundsätzlich sind die Mail-Abos der Blogposts ja mit Double-Opt-In abgeschlossen. Nur ist Jetpack ja an sich noch nicht konform, oder? Ich hab schon gegoogelt und leider nix passendes gefunden.
    Über einen Tipp würde ich mich wahnsinnig freuen!
    Vielen Dank! Susanne

    Antworten
    • Hey Susanne,

      ich habe die Infos zu Jetpack gerade aktualisiert. Mit den lange angekündigten DSGVO-Updates hat sich leider nur wenig an der Datensammelwut von Jetpack geändert.

      Die stellen allerdings jetzt im neuen Jetpack Privacy Center sehr detaillierte Infos darüber bereit, welche Daten gespeichert werden und wie lange. Schau dir das mal an 😉

      Antworten
  43. Hallo,

    erst einmal vielen Dank für deine umfangreiche Liste.

    Möchtest du in deinem Artikel vielleicht auch unser Plugin mit aufnehmen: Google Analytics Germanized.
    Es ist hier bereits an anderer Stelle von Nutzern vorgeschlagen worden, aber hat es leider noch nicht auf deine Liste geschafft.

    Das Plugin ist DSGVO-konform, da es selber keine Daten speichert und bei einer konformen Integration von Google Analytics unterstützt und eine umfangreiche Anleitung zum dem Thema bietet.

    Hier gibt es weitere Details: https://de.wordpress.org/plugins/ga-germanized/

    Beste Grüße
    Pascal

    Antworten
  44. Hallo Finn,

    vielen Dank für die hilfreiche Zusammenstellung der Plugins.

    In deiner Datenschutzerklärung ist mit aufgefallen, dass Punkt 10.1 und 10.2 irgendwie im Gegensatz zueinander stehen bzw. unglücklich formuliert sind.

    Grüße
    Torsten

    Antworten
    • Hi Torsten,

      hab in Punkt 10.2 anscheinend vergessen, den Hinweis auf die IP-Speicherung rauszunehmen. Danke, dass du mich darauf aufmerksam gemacht hast! 😉

      LG

      Finn

      Antworten
  45. ACHTUNG BEI YOAST SEO PLUGIN – Google Analytics

    Das Yoast SEO Plugin ist zwar laut Support konform mit der DSGVO, es ist aber das Google Analytics Plugin von Monster Insights integriert. Das ist in der free version nicht konform, da es die IP-Adresse scheinbar nicht anonymisiert, zumindest ist im Quelltext nirgendwo die “anonymizeIP”-Funktion von Google zu finden.

    Lösung: Einfach keine Googla-Analytics-ID in den Settings eintragen. Besser Analytics manuell einbinden oder mit einem DSGVO-konformen Plugin.

    Antworten
      • Hi,
        ist da schon was bei rausgekommen? In der Liste oben ist Yoast ja auf grün – stehen da jetzt IPs in der DB oder nicht?
        Danke!!

        Antworten
        • Hmm, ich habe mir das angeschaut und habe mich gefragt, ob du dich vielleicht auf eine ältere Version von Yoast SEO beziehst?

          In den aktuellen Versionen von Yoast SEO und Yoast SEO Premium gibt es keine Integrationen für Google Analytics. Und im Google Analytics Plugin von Monster Insights (das schon länger nicht mehr zu Yoast gehört), kann man die Anonymisierung der IP-Adressen aktivieren (siehe Listeneintrag).

          LG

          Finn

          Antworten
    • Hi Sabrina,

      danke für die Info! 😉

      Ich habe das gerade überprüft und an den externen Abfragen hat sich leider nichts geändert…

      Antworten
  46. Hallo,

    auch wenn meine bisherigen Beiträge noch nicht freigegeben sind, mache ich weiter:
    Photo Gallery von web-dorado.com sammelt zumindest dann keine Daten, wenn man beim Installieren dem nicht zustimmt und die Fotos nicht kommentieren lässt. Mit Kommentar werden zumindest in der eigenen Datenbank Daten erfasst:
    Please note that the Photo Gallery WD plugin does not collect any data. Only in the case, someone is commenting on the photos, then the IP and the email address is saved, in the case the option is switched on.
    In the case they do not comment on the photos no data is kept.
    Please as well note that without having the users permission we are not collecting any data. While installing the plugin the user is asked whether he/she allows the plugin too collect data or not. In the case, the user clicks on “skip” button no data is collected.

    Grüße!

    Antworten
    • Hey,

      sorry für die späte Antwort. In den letzten zwei Wochen sind viele Kommentare in der Warteschlange hängen geblieben.

      Vielen Dank auch für diese Ergänzung! Habe ich gerade zur Tabelle hinzugefügt! 😉

      Antworten
  47. Hi Finn,

    wie sieht es denn mit dem Plugin “Yet another Stars Rating” aus?
    Ich habe in den Einstellungen “IP speichern” schon einmal deaktiviert… Ist der Rest in Ordnung?

    Ansonsten: tolle Arbeit! Danke dir – hilft wirklich weiter! Super Sache 🙂

    Antworten
    • Hi Lisa,

      ja, scheint in Ordnung zu sein, solange die IP-Speicherung ausgeschaltet ist. Habe ich gerade zur Liste hinzugefügt 😉

      Antworten
  48. Hi, …
    irgendwo wurde hier nach ‘Caldera Forms’ gefragt (direkt darauf antworten kann ich hier aber nicht) … ich selber benutze es auch und habe die Info aus deren Blog ( https://calderaforms.com/2018/03/caldera-forms-1-6-is-here/ ), dass es mit dem nächsten Update diesen Monats DSGVO-konform werden soll.

    Zitat: “Our next priority, which will be the focus of Caldera Forms 1.7 will be tools to ensure sites powered by Caldera Forms are able to follow new EU data privacy laws to be GPDR compliant. […] Caldera Forms 1.7 will be released in May. […] “

    Antworten
  49. Can you please check plugins:
    1. “Cookie Notice by dFactory”
    2. “Advanced Custom Fields: Repeater Field”
    Great job and best regards!

    Antworten
    • Hey Josip,

      I added them to my note and will maybe add them in the future. 😉

      In the meantime you could ask the developers about conformity (and post their answers here).

      Antworten
  50. Hallo Finn, was für eine großartige Arbeit. Herzlichen Dank.

    Die meisten Plugins, die auf unserer Seite eingesetzt sind, habe ich gefunden, doch leider einige nicht:

    – Cookie Notice (ich weiß: man braucht den Cookie-Hinweis eigentlich nicht, macht`s dann aber doch. :-))
    – Superfish Menus
    – UpdraftPlus – Backup/Restore

    Und weitere, die auf der Seite eines Vereins, für den ich die Homepage fülle, zu finden sind, finde ich auch nicht (oder liegt es an der späten/frühen Stunde?):
    – BackUpWordPress
    – Duplicator
    – Elegant Themes Updater
    – Image Widget
    – Master Slider
    – WP Super Cache
    – WP YouTube Lyte

    Muss in der Datenschutzerklärung jedes eingesetzte Plugin erwähnt werden?

    Herzlichen Dank, wenn du oder ein anderer User helfen kann.

    Antworten
    • Hi Astrid,

      sorry für die späte Antwort. In den letzten zwei Wochen sind viele Kommentare in der Warteschlange hängen geblieben.

      ich merke mir die Plugins mal vor und werde Sie ggf. in einem zukünftigen Update der Liste ergänzen. 😉

      Hast du schon bei den Entwicklern der Plugins nachgefragt? Wenn ja, poste deren Antwort gerne hier!

      Und nein, du musst nicht jedes Plugin in der Datenschutzerklärung erwähnen, nur wenn über diese personenbezogenen Daten gesammelt werden.

      LG

      Finn

      Antworten
  51. Hallo nochmal,

    die Antworten kommen schneller als erhofft. Hier ein weiteres “gutes” Plugin: “Posts in Page” von ivycat.com.
    Auf die Frage “I need to know if your plugin “Posts in Page” for WP collects any kind of data and if these data are stored anywhere else than in my wordpress database” kam die prompte Antwort “A terrific question with a simple answer: *no*.”

    Viele Grüße!

    Antworten
  52. Hallo zusammen,

    das Plugin “List Category Posts” sammelt und speichert laut Autor Fernando Briano keine Daten, und könnte grün unterlegt aufgenommen werden. [Antwort auf meine Anfrage: List Category Posts doesn’t collect any kind of data. You can check the code and see there are no third party services being called or any personal information from you or your readers collected anywhere (not even in your own database).]

    Danke für die nützliche Webseite!

    Antworten
    • Hi Harry,

      ich würde von Social Logins generell die Finger lassen. Ist m. E. datenschutzerechtlich problematisch, weil du dafür Apps bei Facebook, Twitter etc. erstellen musst, über die personenbezogene Daten gesammelt werden.

      Die Jetpack-Statistiken halte ich (trotz diverser Updates im Namen des Datenschutzes) immer noch für problematisch, da IP-Adressen und der Nutzername bei WordPress.com gespeichert werden. Zwar nur für 28 Tage und für dich Nutzer nicht einsehbar, aber trotzdem…

      Weitere Infos zu den Statistiken und welche Daten gespeichert werden, findest du hier: https://jetpack.com/support/wordpress-com-stats/

      LG

      Finn

      Antworten
  53. Tolle Übersicht, vielen Dank!
    Wie schaut es mit dem iCal or Google Calendar Export von Terminen z.B. beim Plugin “The Events Calendar” aus? Alle anderen fraglichen Optionen habe ich bei dem Plugin abgeschaltet, aber die Export Funktion lässt sich nicht deaktivieren.

    Antworten
    • Hmm, Termine in den Google-Kalender zu importieren halte ich für problematisch, wenn du die kostenlose Version nutzt).

      Im Rahmen der GSuite sollte das okay sein, denke ich, denn die bieten einen AV-Vertrag.

      LG

      Finn

      Antworten
  54. Erst mal besten Dank für diese unglaubliche Recherche. Hut ab!

    Ich nutze für den Login, die Registrierung und die Kommentare als Komfortlösung das “Social Plugin” von OneAll. Hat das jemand im Einsatz und kann mir sagen, ob und wie das DSGVO-technisch okay ist?

    Der Entwickler selbst sagt: Ja.

    Antworten
    • Gerne! Auf Entwickler-Angaben ist meiner Erfahrung nach nicht immer Verlass. Ich sehe das Social Plugin von OneAll als kritisch an (siehe meinen Eintrag dazu in der Liste).

      Antworten
        • Hi Chris,

          ich kenne leider keins. Das Problem ist, dass das Ganze eine rechtliche Grauzone ist.

          Ich würde erst einmal die Finger von Social Logins lassen, bis eindeutig geklärt ist, ob man die nutzen darf oder nicht.

          LG

          Finn

          Antworten
  55. Tolle hilfreiche Seite! Gibt es schon was neues bezüglich dem Plugin OneSignal? Kann man das derzeit belassen oder sollte man es entfernen?

    Antworten
  56. Trotz einiger Hinweise, die das Gegenteil nahelegen, ist All In One WP Security & Firewall grün hinterlegt. Was in der Quelle https://wordpress.org/support/topic/is-aiowps-gdpr-compliant/ gesagt wird, heißt nur, dass keine Daten über den Website-Betreiber gesammelt werden, wenn er das Plugin installiert.

    AiO WP Security sammelt aber IP-Adressen und damit klar personenbezogene Daten, was man gleich in mehreren Datenbanktabellen sehen kann. Eine davon wird mit Events befüllt. Das sind derzeit anscheinend nur 404-Events (was jederzeit beliebig ausgebaut werden könnte), das reicht ja aber schon, denn die IP dessen, der da eine nicht vorhandene Seite aufrufen wollte, wird erst einmal verewigt.

    Eine Funktion zur Anonymisierung, ggf. nach einem vorgegebenen Zeitraum, oder zum Abstellen der Speicherung sehe ich nicht.

    Antworten
    • Hi,

      dank, dass du mich darauf aufmerksam gemacht hast! Ich habe All In One WP Security & Firewall soeben als “nicht DSGVO-konform” markiert. 😉

      Das ist nicht der erste Fall, bei dem ein Entwickler sagt, sein Plugin sei DSGVO-konform und es stellt sich als falsch heraus…

      LG

      Finn

      Antworten
      • Hallo,
        vielen Dank für die viele Mühe und die Ergänzungen zu AIOWPS. Dazu folgende Fragen:
        – Soweit ich es sehen kann, werden bei den AIOWPS-Logs mindestens die letzten drei Stellen geXXXt. Muss mehr Anonymisierung sein?
        – Auch bei AIOWPS könnte man die Verwendung doch unter Art. 6 Abs. 1 lit. f) (berechtigtes Interesse) fassen, oder? Warum werden iThemes Security und Ninja Firewall (als Beispiele) mit dieser Begründung in die gelbe Kategorie einsortiert und AIOWPS nicht?
        Vielen Dank schon jetzt und viele Grüße
        Carmen

        Antworten
        • Hi Carmen,

          ich habe mir das Plugin jetzt noch einmal ausführlich selbst angeschaut (was ich viel früher hätte tun sollen, anstatt mich auf Angaben Dritter zu verlassen!).

          Ich habe diverse Anmerkungen zur Speicherung von IP-Adressen ergänzt und das Plugin auf Gelb gestellt.

          Von IP-Anonymisierung konnte ich nichts sehen. Bei mir werden alle IPs klar dargestellt. Kannst du mir weitere Infos oder einen Screenshot dazu schicken (gern auch per E-Mail)?

          LG

          Finn

          Antworten
          • Hallo Finn,

            vielen Dank für die Erläuterungen. Ich nutze bei AIOWPS nicht alle Funktionen, da ich z.B. keine Kommentarfunktion auf meiner Seite habe. Aber ich habe gerade einmal bei den “Account Activity Logs” geschaut (da bin sowieso immer nur ich drin) und dort wird tatsächlich die IP-Adresse ohne XXX gezeigt.

            Allerdings erinnere ich mich sehr gut daran, dass in meinen “Failed Login Records” immer nur IP-Adressen mit * gezeigt wurden – im Moment ist diese Liste bei mir leer, was natürlich erfreulich ist. Aber die Adressen sahen so aus: 123.456.*.*, d.h. es wird nur ein IP-Range gespeichert. Also, ich muss meine Aussage leider zurücknehmen, es wird nicht in allen Logs anonymisiert.

            Laut Support wird aber an einer DSGVO-konformen Lösung gearbeitet – hoffentlich kommt das Update bald.

            Übrigens würde mich noch interessieren, wie du das Plugin “Newsletter” bewertest – oder habe ich das übersehen? Bei den Abonnenten wird im Profil die komplette IP-Adresse angezeigt. Soweit ich das überblicken kann, ist das im Support-Forum von Newsletter noch nicht thematisiert worden. Ich habe es mit Hinweis auf Art. 6 Abs. 1 lit. f (berechtigtes Interesse) in meine Datenschutzerklärung aufgenommen. Aber schöner wäre es natürlich, wenn das Plugin wirklich konform wäre.

            Tausend Dank nochmals für die wirklich exzellente Aufklärungsarbeit – ohne diese Seite wäre ich tot!

            Grüße
            Carmen

          • Hi Carmen,

            sorry für die späte Antwort. In den letzten zwei Wochen sind viele Kommentare in der Warteschlange hängen geblieben…

            Hmm. Ist ein bisschen merkwürdig, dass die IP-Adressen bei AIOWPS in manchen Logs anonymisiert werden und in manchen nicht.

            Wie ich gerade sehe, hat es bis jetzt auch kein Update bzgl. DSGVO-Konformität gegeben. Das letzte ist über einen Monat her…

            Was das “Newsletter” Plugin betrifft, denke ich nicht, dass es schlimm ist, dass IP-Adressen gespeichert werden. Das machen Mailchimp und andere Newsletter-Dienstleister auch so. Und bei Newsletter bleiben die Daten zumindest auf deinem eigenen Server (wenn du keinen externen Sendedienst nutzt).

            LG

            Finn

          • Hallo Finn,

            gerade habe ich gesehen, dass es bei AIOWPS eine Aktualisierung gab – allerdings bleiben die gespeicherten IP-Adressen komplett sichtbar (vor der Version 4.3.3 wurden tatsächlich nur IP-Ranges gespeichert – ich frage mich, warum das geändert wurde, das hätte ja für die DSGVO schon ausgereicht). Irgendetwas wurde jetzt an der Funktion “rename login page” geändert, aber das größere Problem der IP-Adressen wurde nicht angegangen: https://wordpress.org/support/topic/still-unclear-if-gdpr-compliant/

            “Hi,
            The IP address information which is captured is used purely for fraud prevention and security purposes and to mitigate against malicious actions on your site.
            This information is stored on YOUR server and nothing is sent to us.

            If you don’t want any IP addresses to be captured you should turn off the security features. But if you do that you will then have no security and your site will be vulnerable.
            So you as the site owner need to make that call.
            I as a developer am only providing a tool to help protect your site.”

            Also weiterhin nicht DSGVO-konform. Seufz. Ich nutze es trotzdem weiter und verweise auf Art. 13 Abs. 6 (f) und hoffe, dass mir da niemand ans Bein pinkelt.

            Gruß Carmen

          • Top, danke für das Update! 😉

            Ich halte es für eher unwahrscheinlich, dass dir irgendwas passiert, wenn du aus aus Sicherheitsgründen IP-Adresse speicherst (und diese auch nur solange vorhältst, wie technisch notwendig).

            Aber das ist nur meine persönliche Meinung und natürlich keine Rechtsberatung 😛

    • Hi Rene,

      danke für den Link! Habe mir das Plugin selbst noch einmal angesehen und zur Liste hinzugefügt 😉

      LG

      Finn

      Antworten
  57. Fantastisch, vielen Dank!

    Ich nutze in meinem Blog noch das Plugin WP Post Ratings, darin wird unter anderem die IP gespeichert und der jeweilige Netzanbieter. Wie verhält es sich damit? Kann ich es weiter nutzen? Wenn ja, muss ich Anpassungen vornehmen? Es würde mir in der Seele weh tun, wenn ich es deaktivieren müsste.

    Viele liebe Grüßle aus Stuttgart,
    Ute

    Antworten
  58. Hi Finn, super hilfreiche Auflistung !! Vielen Dank dafür. Vielleicht kannst du bei den Security Plugins noch Sucuri aufnehmen.
    Habe auf deren Webseite keine Infos gefunden und den Support angeschrieben. Schicke dir gerne die Antwort, wenn ich sie habe.

    VG,
    Andreas

    Antworten
  59. Hallo Finn,

    ich hätte eine Frage zu Jetpack. Du hast in einem anderen Post geschrieben, dass du die Bild Performance Module deaktivieren würdest, meinst du damit auch “Tiled Galleries”. Leider ist dieses Modul Bestandteil von vielen Beiträgen auf meinem Blog und auf die schnelle Rausschmeißen bedeutet, dass ich das Layout des Blogs extrem stark umbauen müsste (ist zeitlich momentan nicht machbar durch die ganze Datenschutzverordnung) bzw. eine Alternative für Tiled Galleries bräuchte. Hast du einen Tipp für mich? Danke schonmal. Lg

    Antworten
  60. Super Liste! Vielen Dank!

    Ich habe hier alle Plugins gefunden, die ich nutze, außer drei …:

    1. Ad Injection
    2. Cookie Notice by dFactory
    3. Force HTTPS

    Wenn Du die noch ergänzen könntest, würde ich Dir virtuell um den Hals fallen. 😉

    Antworten
  61. Ich habe mich jetzt für “All In One WP Security & Firewall” entschieden.

    Die Frage ist was ich in die Datenschutzerklärung diesbezüglich eintragen muss. Hat da jemand eine Idee oder nen guten Link?

    Merci
    Sven

    Antworten
  62. Hallo Finn,
    erstmal ein riesiges Dankeschön für diese ausführliche Liste.
    Sie ist wirklich unheimlich hilfreich.

    Kannst Du vielleicht auch etwas zu dem WP-Plugin “Social Icons Widget by WPZOOM” sagen?
    Ich habe hieraus bislang die Icons von XING und LinkedIn genutzt und jeweils auf meinen dortigen Eintrag verlinkt.
    Allerdings habe ich bislang noch nicht heraus finden können, ob hier irgendwelche Daten von Ring und LinkedIn abgegriffen werden.

    Kannst Du etwas dazu sagen?

    Danke
    Christine

    Antworten
  63. Vielen herzlichen Dank für die tolle Aufführung!
    Wie sieht es mit folgenden Plugins aus? Hat jemand dazu bereits recherchiert?
    Imsanity
    MailChimp for WordPress

    Antworten
    • Gerne! Merke mir MailChimp for WordPress gerne mal vor und werde es ggf. in einem der nächsten Updates zur Liste hinzufügen. Imsanity ist schon in der Liste (hatte allerdings ein Buchstabendreher drin, wahrscheinlich hast du es deswegen nicht gefunden)! 😉

      Antworten
  64. Hi,

    wir nutzen Learn Press auf unserer WordPress Seite. Hat jemand eine Ahnung, ob und wie das DSGVO konform geht? Ich bin gerade ziemlich verzweifelt!

    Und vielen Dank für die List, die ist wirklich schonmal super nützlich!

    VG

    Antworten
  65. Guten Tag,

    super Liste, konnte schon viele davon anpassen. Noch eine Frage: Hast du Infos zu den Plugins “Ionicons Official” und “Insert Headers and Footers”

    LG

    Antworten
    • Hi Luca,

      Insert Headers and Foots habe ich gerade in Liste mit aufgenommen. Sieht sauber aus.

      Wenn bei Ionicons die Icons nur lokal geladen werden, ist es auf jeden Fall auch unproblematisch.

      LG

      Finn

      Antworten
    • Hi Lena,

      ich habe mir jetzt WP DSGVO Tools mal angeschaut und vom Hocker gehauen hat es mich nicht.

      – Die Cookie Notice ist brauchbar, aber das kann Borlabs Cookie besser.
      – Die Funktionen zur Datenschutzerklärung, Löschanfragen und Datenauszug sind mit der neuen WordPress-Version 4.9.6 standardmäßig dabei
      – Die Checkbox-Funktion für Kommentare ist unnötig (falls du darauf bestehst: WP GDPR Compliance kann das besser)

      Also keine unbedingte Empfehlung von mir.

      LG

      Finn

      Antworten
  66. Hallo!

    Ich bin momentan in Panik und immer noch nicht sicher, was ich in zwei Wochen mache. Vielen Dank für den Bericht und die übersichtliche Auflistung. Durch Beiträge wie deinen versuche ich mich zu informieren und meinen Blog datenkonform zu machen. Sonst wäre ich komplett verloren.

    Du schreibst bei NextGen, daß man die Google Fonts händisch korrigieren muß. Wo und wie mache ich das denn?

    Im Netz konnte ich auch nirgendwo finden, inwieweit “Count per Day” konform ist. Im Zweifelsfall scheinbar nicht, aber ich finde keine Alternative, die auch die Gesamtzahl der Besucher anzeigt. Habe es mit “Statisfy” probiert, aber das Plugin gefiel mir nicht.

    Und eine letzte Frage. Benötige ich einen ADV-Vertrag als privater Blogger?
    Mein Hoster bietet mir einen an, sagt aber, ich bräuchte den nicht. Das ist der Punkt der mit noch am meisten Bauchschmerzen bereitet, denn ich finde keine klaren Aussagen. Und im Vertrag meines Hosters muß ich unterschreiben, alle technischen Maßnahmen zu ergreifen. Ich habe keine Ahnung von der Programmierung, daher kann ich das nicht garantieren. Und wie soll ich, der nur den Theme füllen kann, Verbindungsnachweise rausgeben? Was mache ich, wenn einer fragt? Damit bin ich total überfordert.

    Vielleich kannst Du mir ja noch ein paar Tipps geben, auch wenn Du bestimmt alle Hände voll zu tun hast.

    Viele Grüße und ein schönes Wochenende
    Holly

    Antworten
    • Hi Holly,

      1. Die Google Fonts scheinen sich hier zu verstecken: wp-content/plugins/nextgen-gallery-pro/modules/nextgen_pro_lightbox/static/theme/galleria.nextgen_pro_lightbox.css

      Im Zweifelsfall würde ich die Google Fonts jedoch drin lassen. Schau dir mal an, was ich hier dazu geschrieben habe: https://www.blogmojo.de/google-dsgvo/

      2. Du kannst bei Count per Day die IP-Adressen anonymisieren, es lässt sich also meiner Meinung nach DSGVO-konform nutzen. Statify gefällt mir persönlich auch nicht, finde es schade, dass man es nur als Widget anzeigen lassen kann.

      3. Ja, du brauchst einen AV-Vertrag. Auch als privater Blogger.

      LG

      Finn

      Antworten
  67. Hallo und danke für die umfangreiche Liste.
    Hat jemand Infos zu „HubSpot – Free Marketing Plugin for WordPress“?

    Danke und Beste Grüße
    Manuel

    Antworten
    • Hi Manuel,

      kenne das Plugin leider nicht und nutze auch keine Dienste von HubSpot. Auf den ersten Blick sieht es aber so aus, als würden da allerlei Daten gesammelt 😉

      LG

      Finn

      Antworten
  68. Hallo Finn,

    schließe mich gerne mit “herzlichen Dank” an. Deine Arbeit ist sehr informativ.
    Wo ich persönlich nicht weiterkomme, ist bei der Frage nach einem DSGVO konformen Backup Plugin.
    Die “sichere Seite” ist da wohl eine Plugin, welche die Backup – Daten verschlüsselt?

    Hast du eine Empfehlung?

    Dank im voraus,
    Sam

    Antworten
    • Hi Sam,

      man kann meines Wissens verschlüsselte Backups mit der Premium-Version von UpdraftPlus erstellen. Oder du nutzt einen Dienst wie Boxcryptor.

      Ich persönlich verschlüssele Backup-Dateien nicht, sende sie aber auch nicht an Cloud-Dienste wie Google Drive, Dropbox und Co., sondern an eine Storage Box von Hetzner (per verschlüsselter FTP-Verbindung).

      LG

      Finn

      Antworten
      • hi Finn,
        danke dir für die tolle Liste!
        Kannst du einschätzen, ob es OK ist wenn Updraft Plus die Backups per Mail an mich schickt (Mailserver von allinkl)?

        1000 Dank und liebe Grüße,
        Britta

        Antworten
        • Ja, ist es. Denk aber an deine Informations- und Dokumentationspflichten und beachte, dass der Mailserver von all-inkl.com nur einen Speicherplatz von 1 GB hat. Das wird schnell voll. Ist also vielleicht nicht die beste Wahl 😉

          Antworten
      • Hallo Finn,

        ja, auch von mir vielen Dank für die tolle Liste.
        Ich nutze die Free Version von Backupguard. Cloud ist nur in der Premium Version verfügbar. Die Backups werden, soweit ich das sehe, nur auf dem Webspace gespeichert, auf dem auch die Website selbst liegt.
        Das ist doch ok, oder?

        Vielen Dank und Grüße
        Tassilo

        Antworten
  69. Tausend Dank für die Liste und Eure Arbeit in Sachen DSGVO.
    Bisher können Leser meinen Blog via Abo-Funktion über Jetpack abonnieren. Ich suche gerade nach einem Plugin, das ich für den Abo-Dienst einsetzen kann. Wenn ich Jetpack lösche, sind natürlich auch alle Abonnenten weg – gibt es irgendeine Möglichkeit, diese “mitzunehmen”?
    Viele Grüße
    Christina

    Antworten
    • Hi Christina,

      ich würde noch ein bisschen warten. WordPress arbeitet noch daran Jetpack DSGVO-konform zu machen. 😉

      LG

      Finn

      Antworten
  70. Hey Finn,
    Eine wirklich tolle Übersicht – vielen Dank dafür!!!
    Ich wüsste gerne, ob du dir AIOWP noch einmal näher angesehen hast? Ich habe in den Kommentaren gesehen, dass du das noch einmal machen wolltest, da es doch Zweifel an der DSGVO-Konformität gibt. Weisst du da inzwischen mehr? Oder hast du einen Tip für ein anderes Sicherheits-Plugin? Und muss man solch ein Plugin in der Datenschutzerklärung erwähnen bzw. gibts da Beispiele für?
    Danke und liebe Grüße aus Hamburg

    Antworten
  71. Kennt jemand das Plugin “Sassy Social Share”? Gibt es dort DSGVO-Bedenken?
    Und wie sieht es mit REF-Links, bspw. “Amazon” aus?
    Da dort ja ebenfalls Daten erhoben werden, würde mich ein Workaround interessieren, wie man damit in Zukunft umgehen soll.

    Und vielen Dank für Eure wunderbare Arbeit hier!

    Antworten
    • Ich merke mir Sassy Social Share mal für die Liste vor! 😉

      Einfache Affiliate-Links von Amazon sollten okay sein. Bei den Werbemitteln (vor allem den selbst optimierenden) ist allerdings Vorsicht geboten!

      Antworten
  72. Hallo Finn!

    Ich bin so dankbar das es solche Menschen wie dich gibt die sich so eine Mühe machen so eine Liste zu erstellen und sie dann noch mit uns zu teilen! DANKE dafür!! Du hast mir viele Stunden vor dem PC erspart =)

    Bei einigen Plugins bin ich noch sehr ratlos, weißt du eventuell mehr darüber:

    – Fast Velocity Minify
    – Related Post
    – Ultimate Nofollow

    Danke dir im Voraus!

    Alles Liebe,
    Sani

    Antworten
    • Hi Sani,

      vielen Dank für das Lob und sorry für die späte Antwort (dein Kommentar ist irgendwie untergegangen).

      Auf den ersten Blick würde ich sagen, dass die Plugins keine personenbezogenen Daten speichern. Ich merke mir die mal vor und werde sie ggf. mit einem der nächsten Updates zur Liste hinzufügen.

      LG

      Finn

      Antworten
  73. Hi Finn, danke für die super Zusammenstellung, sie ist wirklich sehr hilfreich! Ich habe auch noch beim Aufräumen ein Plugin gefunden, das IPs in der Datenbank speichert: https://wordpress.org/plugins/feedstats-de/. Ich habe es gleich rausgeworfen und die IPs gelöscht – ist sowieso nicht sehr aussagekräftig.
    Zu Limit Login Attempts: https://wordpress.org/plugins/limit-login-attempts-reloaded/ hat inzwischen die Möglichkeit, die IPs zu verschleiern.
    Viele Grüße!

    Antworten
    • Danke für die Infos zu Limit Login Attempts Reloaded und FeedStats. Habe ich beide in der Liste ergänzt! 😉

      Antworten
  74. Erstmal: vielen Dank für den sehr informativen Post, der sicher recht viel Arbeit gekostet hat!
    Bei einigen der aufgelisteten Plugins wäre ich gar nicht erst auf die Idee gekommen, die auf DSGVO-Kompatibilität zu überdenken – mit etwas Glück werde ich dieser Tage noch ein oder zwei der Liste mit Infos hinzufügen können.

    Eine Frage zwar nicht im direkten Zusammenhang mit Plugins, sondern eher generell als WordPress-Entwickler: für die meisten meiner Kunden mache ich auch Updates, Sicherheitsbackups, und überhaupt Unterhalt der Site.

    Dabei und auch beim Arbeiten an neuen Themes und/oder Plugins kopiere ich meistens die Live-Datenbank auf eine lokale Test-Installation. Naturgemäss sind damit eine Vielzahl an Mail-Adressen und sonstigen DSGVO-relevanten Daten (Gravity Forms zB speichert ja gerne alles) einerseits auf meinem MacBook, andererseits auch via Backups auf lokalen Harddisks und einer NAS-Festplatte.

    Muss dies alles auf der Datenschutz-Seite bei jeder Site thematisiert werden, und bis in welches Detail (ist die externe Festplatte bzw. das Backup auf dem NAS verschlüsselt, wie wird das aufbewahrt/gesichert, usw usf)?

    Nicht dass ich Datenschutz kritisch gegenüber stände, aber der voraussichtliche bürokratische Aufwand für die DSGVO scheint mir teilweise irgendwie recht praxisfern.

    Antworten
    • Hi Philby,

      ich bin auch WordPress-Dienstleister und speichere zum Teil personenbezogene Daten von Kunden-Website auf dem eigenen Rechner (und auf einem lokalen NAS).

      Ich stehe dabei aber auch erst am Anfang. Insbesondere der Punkt Backups wirft für mich auch viele Fragen auf, wie z. B. der Umgang mit Löschanfragen und die Speicherdauer.

      Was die Datenschutzerklärung betrifft: Ich vermute mal, dass eine Erwähnung der Backups nicht schadet, aber meine gesamte IT-Infrastruktur detailliert bei jedem in die DSE einzutragen klingt für mich übertrieben.

      Einen AV-Vertrag brauchst du auf jeden Fall bei Wartungskunden, bei Webdesign-Kunden wahrscheinlich eher nicht. Es gab mal einen Podcast dazu von lawlikes, den finde ich aber gerade nicht…

      LG

      Finn

      Antworten
  75. Es wäre toll, wenn unter Punkt 2 Sicherheits-Plugins noch “Cerber Security & Antispam” mit aufgenommen werden könnte.
    Limit Login Attempts wurde zuletzt vor 6 Jahren aktualisiert. Die Nutzung ist mittlerweile ohnehin nicht mehr zu empfehlen.

    Antworten
    • Hi Lucien,

      danke für den Vorschlag. Ich merke mir Cerber Security & Antispam für die Liste vor! 😉

      LG

      Finn

      Antworten
        • Cerber habe ich noch auf dem Schirm. Aber ich kann nicht versprechen, wann und ob ich es in die Liste aufnehmen werde 😉

          LG

          Finn

          Antworten
          • Hi Andreas,

            alles klar, danke für dein Feedback!

            Demnächst wird es ein großes Update der Liste geben, vielleicht werde ich es dann mit aufnehmen. Kann aber nichts versprechen, weil ich noch zig weitere Plugins auf meiner To-Do-Liste hab 😉

            LG

            Finn

  76. Hallo Finn,

    vielleicht für die Podlove-Podcaster unter uns ganz interessant zu wissen: https://sendegate.de/t/dsgvo-und-podlove/6806/20
    Außerdem wird hier: https://sendegate.de/t/dsgvo-und-podlove/6806/11 und hier: https://sendegate.de/t/dsgvo-und-podlove/6806/25 noch erwähnt, dass die Share-Buttons dsgvo konform sind.

    Liebe Grüße,
    Maike

    PS: Nutzt du Shariff Wrapper für die Teilen-Buttons? Falls ja: wie um alles in der Welt hast du es geschafft, dass sie am unteren Rand fixiert sind?

    Antworten
    • Hi Maike,

      danke für die Infos bzgl. Podlove! Ich merke mir das mal für die Liste vor. 😉

      Ich nutze Social Warfare für die Sharing-Buttons (in einer angepassten Variante, bei der der Facebook Social Graph nicht im Frontend lädt, siehe Beschreibung in der Liste).

      LG

      Finn

      Antworten
  77. Ganz herzlichen Dank für diese Zusammenstellung.
    Gibt es so was wie ein Prüfprogramm, dass die Webseite scannt und im Ergebnis eine Aufstellung anzeigt, was da nicht datenschutzkonform läuft. Das wäre doch super hilfreich.
    Nochmals Danke und viele Grüße
    Barbara

    Antworten
    • Hi Gabriele,

      danke für die Info! Ich merke mir das Plugin mal vor. 😉

      Hoffen wir mal, dass die es noch bis zum 25.05 schaffen!

      LG

      Finn

      Antworten
  78. Zum Thema NextGEN:

    Karim, Haben sie Dir geschrieben wo man das im Code änderen müsste, bzw. in welcher Datei man suchen muss? Ich suche mir da, nämlich gerade einen Wolf.

    Bei mir wird die Schrift bei der Lightbox pro Variante nachgeladen.

    @ Finn wie kann ich dir die Screenshots zukommen lassen?

    LG Christian

    Antworten
  79. Hi Finn,

    danke für die extrem gute Zusammenfassung!
    Kurze Frage: Redirection kann in den Log Einstellungen die IP des Redirects mit Timestamp beliebig lange speichern. Wäre das dann nicht ein gelbes Rating in deiner Tabelle, da der Betreiber das richtig konfigurieren muss?

    Viele Grüße
    Simon

    Antworten
  80. Vielen Dank für die Arbeit die in dieser (schon oft sehr hilfreichen) Liste steckt!
    Btw: Limit Login Attempts Reloaded (Version 2.7.0) hat die Option “GDPR compliance” + Checkbox “this makes the plugin GDPR compliant”

    Grüße
    Peter

    Antworten
    • Hi Peter,

      freut mich sehr, danke! 😉

      Danke für die Info! Aber ich glaube die Checkbox ist für das Plugin ist eher unnötig.

      Wenn du deinen Login für andere verbergen willst, würde ich auch eher mit einem serverseitigen Passwort arbeiten.

      LG

      Finn

      Antworten
  81. Danke für die Mühe! Wir stellen gerade nur-oben-ist-platz.de um und haben u.a. Jetpack und Add To Any ausgemistet. Bei den Cookies setzen wir auf BST DSGVO Cookie. BST Systemtechnik aus Deutschland ist hoffentlich eine gute Adresse, wenn ePrivacy kommt. WP GDPR Compliance ist gut für die Formulare. Die Kommentarfunktion haben wir mittels “Disable Comments” deaktiviert, nachdem wir die alten Kommentare entfernt hatten. Viele Grüße und allen viel Erfolg! Lars

    Antworten
    • Hi Lars,

      gerne und danke! BST DSGVO Cookie kenne ich noch nicht, schaue ich mir mal an.

      LG

      Finn

      PS: Ich empfehle die Nutzung von WP GDPR Compliance nicht mehr, da möglicherweise unnötig und sogar kontraproduktiv.

      Antworten
  82. Hi Finn!

    Zu Thrive kann ich dir hier über meine Kommunikation mit Thrive mit dem Support informieren:
    Meine Frage:
    “Are you prepared to set-up a data operation contract which is GDPR-compliant?”
    Die Antwort:
    “This will not be necessary with our products since no information provided by your website users/visitors is transferred to nor stored on our servers.”

    Also, wenn das so stimmt, dann ist Thrive grün.

    Lg, Alexander

    Antworten
  83. Das Thema WordPress & DSGVO ist natürlich jetzt in kompletter Umsetzung bei jedem und man weiß nicht wirklich bei allen Punkten, was man zu tun hat. Sehr coole und umfangreiche Aufschlüsselung auf jeden Fall.

    Problematisch wird es, wenn die ePrivacy auch noch in der Ursprungsform kommt. Aber das ist eine andere Geschichte

    Mein aktueller Stand ist der:

    Wichtig ist zunächst einmal nach bestem Wissen und Gewissen zu arbeiten, damit einem keine Sorglosigkeit vorgeworfen werden kann. Österreich hat erst vor kurzem die Regeln etwas entschärft, mal sehen, wie andere Staaten mitziehen.

    Im Prinzip muss man sich 3 Ebenen ansehen:

    1) WordPress Core
    2) WordPress Plugins
    3) WordPress Anknüpfungspunkte (CRM, CDN, SSL, etc.)

    Das Hauptthema ist immer wieder: Datenschutzerklärung auf der Webseite.

    Die EU DSGVO bringt eine Menge Neuerungen mit sich. Eine davon ist, dass man die eigenen Datenschutzerklärungstexte auf Webseite (WordPress, Joomla, Typo3) oder in Online Shops laufend aktualisiert haben muss.

    Da es aber nicht so einfach ist, eigene Datenschutzerklärungen zu verfassen, weil man dafür rechtliches KnowHow braucht, greifen viele auf Datenschutzerklärungsmuster oder -vorlagen zurück.

    Ich habe ein Tool mehrfach im Einsatz, namens iubenda. Andere nehmen eRecht24. Ein Vergleich der beiden wäre allerdings einmal interessant.

    Antworten
  84. Hey Finn,
    arbeite nun schon eine Weile mit Deiner Seite und finde total klasse, was Du auf die Beine gestellt hast. Herzlichen Dank.
    Ich hatte nun meine Affiliatelinks mit dem PlugIn Thirsty Affiliate neu erstellt (leider dann mit einem URL-Pfad, der sehr lang ist, weil man das /recommends/ nicht entfernen kann). Nun will ich gerade meinen ersten Link bei Facebook teilen und stelle fest: Geht nicht.
    Nehme ich mein altes PlugIn für die Linkerstellung (Pretty Links), ist das Posten kein Problem.

    Gibt es noch eine andere Alternative zu Thirsty Affiliate?

    Weiterhin habe ich DSGVO-Plugin entdeckt, das angeblich so einiges abdecken soll…
    Es heißt WP DSGVO Tools. Kannst Du dazu schon was sagen?
    Denn soweit ich weiß, braucht man ein aktives Opt-In, wenn z.B. der Facebookpixel “feuern” dürfen soll. Und ich kann in dem PlugIn keine Möglichkeit erkennen, dass das direkt beim Besuch der Webseite entschieden werden kann.

    Aber Pixel Mate von lawlikes und soulsites soll das ja umsetzen… Was weißt Du darüber?

    Antworten
    • Hi Swantje,

      leider kann ich dir mit Thirsty Affiliates nicht groß weiterhelfen. Bin gerade erst selbst dabei, es auszuprobieren. 😉

      Ich würde mit dem Wechsel zu Thirsty Affiliates ohnehin noch ein bisschen warten. Pretty Links arbeitet anscheinend noch an der DSGVO-Konformität.

      Eine weitere Alternative zu Thirsty Affiliates und Prettys Link kenne ich leider nicht (wenn du in der Zwischenzeit eine gefunden hast, lass es mich wissen!).

      Bin gerade auch dabei WP DSGVO Tools auszuprobieren. Scheint viel zu können, aber ich bin mir noch nicht sicher, wie vieles davon tatsächlich sinnvoll ist. Sollte es sich als empfehlenswert herausstellen, werde ich es mit in meine Plugin-Liste aufnehmen.

      DSGVO Pixel Mate ist auf jeden Fall ein gutes und empfehlenswertes Plugin, um ein Opt-Out für den FB Pixel anzubieten. Laut deren FAQ ist ein Opt-Out aktuell die beste Lösung, ein Opt-In würde zu einem verzerrten Tracking führen, was gegen die Nutzungsbedingungen von Facebook verstößt.

      LG

      Finn

      Antworten
      • Mittlerweile gibt es bei ThirstyAffiliates die Möglichkeit, das Erfassen der IP-Adresse zu unterbinden. Somit müsste es in der Tabelle oben von rot auf gelb wechseln 🙂

        Antworten
  85. Super Zusammenstellung, vielen Dank! Ich habe eine Frage zu NextGen Gallery – wo kann ich denn da im Plugin das mit den Google Fonts ausstellen? Ich finde da nichts. Oder reicht vielleicht die Installation des Remove Google Font-Plugins?

    LG Claudia

    Antworten
    • Hi Claudia,

      in den Einstellungen gibt es auf jeden Fall keine Möglichkeit.

      Ob Remove Google Fonts das beheben könnte, weiß ich nicht so genau, weil ich bei mir das Problem mit NextGen bei mir nicht reproduzieren konnte. Probier doch einfach mal aus und berichte von deinen Resultaten! 🙂

      LG

      Finn

      Antworten
  86. Super Liste! Zum Plugin wpDiscuz: Man kann das Opt-In selbst ins Formular einfügen über den Formulareditor und es als Pflichtfeld setzen.

    Antworten
    • Danke für den Hinweis! 😉

      Allerdings stelle ich es mittlerweile in Frage, ob eine Checkbox und die damit verbundene Einwilligung wirklich die beste Rechtsgrundlage zur Speicherung von Kommentardaten darstellt…

      LG

      Finn

      Antworten
  87. Hey Finn,
    danke für diese Übersicht, dadurch konnte ich einiges mitnehmen und das eine oder andere Plugin auch noch gebrauchen welche du am Anfang gelistet hast.
    Ich hab ein Plugin gerade gesehen, welches den User vorher informiert, welche Plugin alle auf der Webseite verwendet werden, welche personenbezogene Daten sammeln. Denkst du das könnte wichtig sein?
    https://de.wordpress.org/plugins/gdpr-notice-original/
    Wenn das in irgendeiner Art wichtig ist, wäre das bestimmt auch für andere gut zu wissen.

    Mit freundlichen Grüßen
    Tim

    Antworten
    • Hi Tim,

      aktuelle sprießen unglaublich viele Plugins aus dem Boden. Manche nützlich. Viele unnötig.

      Aber ich gucke mir das gerne mal an und nehme es ggf. in die Liste auf. Danke für den Hinweis! 😉

      LG

      Finn

      Antworten
  88. Der Autor von Easy Social Share Buttons schreibt bei Codecanyon zu der Frage mit dem vermeintlich problematischen Facebook Social Share Graph folgendes:
    “The connection to Facebook Social Graph API is made only and only if you are using share counters on your site. The command is anonymous and it is made by your server only and not by the users. As it is made in such method technically it is impossible to collect any user information (although that endpoint is not related to data collection). So if you are using share counters than you can be sure that user information is safe.

    If you are using share counters you need to know that API access point is only one and it is used by all plugins so it is privacy safe.

    We have written this before but we will write it again. The plugin is fully compatible with GDPR. ”

    https://codecanyon.net/item/easy-social-share-buttons-for-wordpress/6394476/comments?page=184&filter=all#comment_19420153

    Antworten
    • Hi Ina,

      ich bin mir noch nicht ganz sicher, ob das stimmt (siehe meine Antwort auf den Kommentar von Appscreo hier im Artikel). Ich bleibe an der Sache dran! 😉

      LG

      Finn

      Antworten
  89. Hello Finn,

    Is there a way to contact you directly via mail and provide additional details about Easy Social Share Buttons compatibility. I am not sure how you conclude about connection to social graph API but I am pretty sure that you are not aware of how sharing to social network works or getting sharing counters.

    A few more details I think will help you understand it more. Here I will write in brief but if you need details you can contact our team at appscreo@gmail.com to discuss this.

    So here is the information about how sharing works: all of our share buttons are static generated on site – they do not connect to social API (graph or else). Once clicked they start a share command inside social API. The share command that is opened when a button is clicked is the command used by any sharing plugin that has a static share buttons (like what happens when you click share buttons you are using on your site and even the Shariff share buttons that are recommend as privacy safe in Germany – all that are marked as safe by you).

    For the share counters the situation is the same. Our plugin does not make a command on the user front end to get counters unless user ignore all warnings and activate real time share counters (that is something that is not easy to be made). The default counter update mode is using a server side call to share counter API. That server side call is anonymous and no of user information can be accessed. The completed background counter update mode is fully anonymous and privacy safe.

    To get share counters from a social network there is just one and only API access point that each plugin which is showing share counters is using. That is something you are not aware and you are also not aware that your site automatically sends the counter update call to Facebook Graph API on the front end with each user load of page http://prntscr.com/jcw6ib – call is located inside that file https://www.blogmojo.de/wp-content/cache/autoptimize/js/autoptimize_dbb9e7cc0aab1a5115da0518232a1a70.js

    Inside Easy Social Share Buttons that call can be controlled by user where to execute and default mode is server side (not inside customer browser). User has an option to activate client side counter update but that is not active by default and admins are aware what will happen if they decide to activate it.

    What I wish to explain is that you are writing article about GDPR privacy and you mark the plugin you are using as privacy safe trusting words but without making a deep check if that is so.

    I will be glad to provide you even more technical details and prove that our plugin is fully privacy safe, full GDPR compatible. Our plugin is trusted by industry leading technology companies, including one of the top WordPress performance hosting companies used on their site. Our plugin was actually the first that provides a different approach to share buttons. Before we start almost 5 years ago there was no other share plugins. What we have made is to be a trendsetter all the time and bring a lot of options for the very first time that are now standard for each modern sharing plugin. We are also the first and only WordPress sharing plugin that was tested for performance and security by all WordPress major hosting companies. We are the only WordPress social sharing plugin that is tested in performance by WP Rocket developers to ensure that we are really working fast, lightweight and without slowing down site.

    I hope you will find information useful and contact me to continue the discussion via mail (email again is appscreo@gmail.com). I am sure that with direct contact we can discuss this and provide all required details that our plugin is privacy safe and compatible with GDPR.

    Antworten
    • Hi Brayan,

      thanks for your detailed account on the subject. 😉

      I now marked your plugin as well as Social Warfare as “GDPR conformity unknown” until I know more about the Facebook Social Graph.

      It is probably safe to use, since it doesn’t use any cookies. But in general, I’d prefer not to have any connections in the background to Facebook (not before the user clicks on a button).

      What I don’t understand about Easy Social Share Buttons as well as Social Warfare is why the Facebook Social Graph has to be loaded in the frontend instead of the backend. Other plugins, like Shariff Wrapper don’t do that and display share counts just fine.

      I am aware that my website connects to the Facebook Social Graph in the front end as well. Which is why I modified the files now to prevent that.

      Best Regards,

      Finn

      Antworten
  90. Hi Finn,

    mein Kommentar von gestern ist leider nicht auffindbar – hast Du den vielleicht gelöscht? Ich versuch’s noch einmal:

    Danke für die Liste, das ist wirklich total hilfreich.

    Für mich war am wichtigsten, was ich mit den Google Fonts mache, die mein Theme mitbringt und die ich bisher auch verwendet habe. Nach der Lektüre dieses Artikels habe ich sie mit “Remove Google Fonts References” deaktiviert und (auf andere Empfehlung) das Plugin “Use Any Font” installiert, um meine Schriften selbst zu hosten und auf der Website einzubinden. “Use Any Font” speichert laut eigener Aussage keine Daten auf deren Server. Man braucht zwar einen API-key zur Konvertierung der Schriften (es können ttf-, otf- und woff-Daten verarbeitet werden), aber der wird nach der Konvertierung direkt gelöscht.

    Das Plugin kostet nichts, wenn man nur einen Font verwendet. Ab zwei Fonts (aber dann ohne Begrenzung) muss man einmalig 10 Euro bezahlen (mehr geht auch – ist eine Spende). Für ein stabil laufendes Plugin ist das meiner Ansicht nach kein vermessener Preis.

    Hast Du Erfahrung mit “Use Any Font”? Mir scheint es DSGVO-konform zu sein. Falls Du das ebenso siehst, würde ich mich freuen, wenn Du es in Deine Liste aufnimmst.

    Danke + viele Grüße

    Antworten
  91. Hallo,

    wie sieht es eigentlich aus, wenn ich in der Datenschutzbestimmungen der Webseite mehr Informationen (z.B. Verlinkung zur Facebook) setzte, obwohl es garnicht vorhanden ist ? Könnte sowas abgemahnt werden, weil falsche Informationen vorhanden sind ?

    Antworten
    • Hi Walter,

      interessante Frage, auf die ich keine definitive Antwort habe. 😀

      Ich vermute aber, dass es schlimmer ist, etwas wegzulassen als etwas zu viel anzugeben.

      LG

      Finn

      Antworten
  92. Hi Finn,

    sehr hilfreich Deine Liste, danke dafür!

    Ein Hinweis/eine Frage für die DSGVO-konforme Verwendung von Fonts:

    Mir ist das Plugin “use any font” empfohlen worden, um Fonts ganz einfach selbst zu hosten. Über das Plugin kann man Schriften umwandeln und hochladen, es kann die Formate ttf, otf und woff verarbeiten. Es lädt – laut eigener Aussage – die Schriften nur auf den Server des Users hoch (in „uploads“) und speichert sonst nirgends persönliche Daten. Man benötigt zwar für die Umwandlung der Fonts einen API-key vom Anbieter, aber der wird nach der Konvertierung der Fonts gleich wieder gelöscht. Zitat: „We don’t store your fonts in our server neither any of your information except the API key details. Our server deletes the temporary file after the conversion is done.“

    Für die Verwendung eines einzelnen Fonts ist das Plugin kostenlos. Wer mehr braucht, muss einmalig spenden (irgendwas zwischen 10 und 100 Euro) und erhält dafür einen in Font-Anzahl und Zeit unbegrenzten API-key. Wenn das Plugin stabil läuft, halte ich das für absolut angemessen. Ich teste es jetzt mal.

    Hier zu finden: https://wordpress.org/plugins/use-any-font/

    Hast Du Erfahrung hiermit? Und falls es aus Deiner Sicht DSGVO-konform ist (für mich klingt das so), kannst Du es bitte mit in Deine Liste übernehmen?

    Antworten
    • Hi,

      ich habe noch keine Erfahrungen damit. Aber wenn die Fonts nur lokal gespeichert werden, dann wäre das DSGVO-konform.

      Ich merke mir das Plugin zur Aufnamhme in die Liste mal vor. 😉

      LG

      Finn

      Antworten
  93. Hallo Finn,

    Finde das eine sehr gute Übersicht und habe diese ebenfalls bereits in meinem Artikel verlinkt.

    Nur eine Anmerkung, weil ich das immer und immer wieder lese, auch hier wieder z.B. in den Kommentaren:

    Die “explizite und ausdrückliche” Einwilligung ist NICHT die einzige Möglichkeit personenbezogene Daten zu speichern. Es gibt auch noch das “berechtigte Interesse”. In der DSGVO selbst gibt es folgende Klausel:

    “Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.”

    Auch der überall eingesetzte Cookie-Banner ist alles andere als rechtlich wasserdicht.

    Ich behaupte nicht, ich weiss alles zur DSGVO und deren Umsetzung (Gott behüte, das weiss niemand, selbst bei Anwälten hört man unterschiedliche Auslegungen), aber auf diese wichtige und grundlegende Fehleinschätzung wollte ich zumindest einmal hinweisen… 😉

    Beste Grüsse,
    Michael

    Antworten
    • Hi Michael,

      vielen Dank für das Lob und die Verlinkung! 😉

      Ich bin da ganz deiner Meinung. Ich habe selbst vor kurzem die Checkboxen bei Kontaktformularen und Kommentaren herausgenommen (und die Empfehlung für Plugins wie WP GDPR Compliance).

      Ich berufe mich nicht auch nicht mehr auf die Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO, sondern auf lit. b und lit. f.

      LG

      Finn

      Antworten
  94. Hi Finn,

    vielen Dank für die sehr ausführliche Übersicht! Da hast Du ja eine Menge Zeit und Grips reingesteckt!

    Viele Grüße,

    Markus

    Antworten
  95. Weiß jemand, wie es sich mit folgenden Plug ins verhält:

    s2Member Framework von s2Member / WebSharks, Inc

    Page Builder by SiteOrigin von SiteOrigin

    SiteOrigin Widgets Bundle von SiteOrigin

    Wäre sehr dankbar, wenn jemand wüsste, wie es dabei aussieht bzw. alternativen nennen kann.

    Antworten
    • Hi George,

      ich merke mir die Plugins mal vor. Page-Builder sammeln (mit Ausnahmen von bestimmten Widgets/Elementen, die externe Ressourcen wie Google Maps, YouTube etc. laden) in der Regel keine personenbezogenen Daten.

      LG

      Finn

      Antworten
  96. Hi Finn,

    danke für die Arbeit und die tolle Liste!

    Ein Korrekturvorschlag:

    IMHO ist AIOWP ganz weit weg von DSGVO. Wenn man in die Plugin-Beschreibung blickt, sammelt diese an allen Ecken und Enden IP Adressen ohne Anonymisierung. https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/

    IP Adressen sind aber persönliche Information und dürfen nur erfasst werden, wenn jemand explizit und informiert zugestimmt hat, was wohl kaum umzusetzen sein wird. Sagt zum Beispiel: https://privacylawblog.fieldfisher.com/2016/can-a-dynamic-ip-address-constitute-personal-data

    Wenn man sich den Kommentar des Erstellers ansieht, der hier verlinkt ist, dann gibt der Ersteller auch keine Angaben zum Plugin auf dem Webserver, sondern nur dazu, dass er selber keine Daten erfasst.

    Bin grad selber noch auf der Suche nach einer Firewall / einem Brute Force Verhinderer, der das Ganze z.B. auf Basis von Hashes macht …

    LG Stefan

    Antworten
    • Hi Stefan,

      danke für den Hinweis! Ich schau mir AIOWP noch einmal genauer an. 😉

      Ja, manchmal sollte man nicht auf die Angaben der Entwickler zur DSGVO-Konformität hören und das lieber selbst prüfen…

      LG

      Finn

      Antworten
  97. Hello,

    I cannot agree with the written inside article about Easy Social Share Buttons for WordPress. Plugin is privacy safe as no data is stored or sent to external service. Personal information may be transferred only on share buttons click. As of this plugin is fully compatible with GDPR and privacy safe (it is using the similar to shariff technology and it was tested and approved by Germany technology companies for compatible with the Germany privacy regulations in past for social share buttons usage).

    Please make the correction of the review for the product and make it like other plugins you contact for information and mark as privacy safe. I am sure that you have no time to check all existing plugins but it will be good to make a correction once you are aware – the information you are posting is leading users to deception.

    Best Regards,
    Brayan / AppsCreo Team (creators of Easy Social Share Buttons for WordPress)

    Antworten
    • Hi Brayan,

      sorry for my late reply. I will look into Easy Social Share Button again. 😉

      I have seen your comment from yesterday and will take that into consideration and reply to that as well.

      Cheers,

      Finn

      Antworten
  98. Hallo Finn,

    vielen lieben Dank für diese großartige Liste.
    Nun muss ich mcih zwar noch durch IP Anonymisierung, SSL, Cookie Notification wühlen, aber ich speichere mal Deinen Blog ab, damit cih hier imemr wieder reingucken kann.

    Vielen lieben Dank. Ach, wo ist eigentlich der flattr Button, wenn man ihn mal braucht?

    Bis denne
    Lutz

    Antworten
  99. Toller Artikel,

    tausend Dank für die Infos zu den Plugins. Dass lässt viel besser prüfen und recherchieren. Saubere Arbeit 😉

    Ein Hinweis nach Recherche. Ich würde das mit der Kontaktformular Checkbox noch einmal selbst recherchieren. Jemand, der seit 1995 für Datenschutz sorgt und sich rechtlich auszukennen scheint, hat auf seiner Seite dazu einen guten Audio-Kommentar hinterlassen.
    https://www.datenschutz-guru.de/cookie-layer-schwachsinn-und-warum-ich-da-nicht-mitmache/

    Der Author empfiehlt grundsätzlich, so wenig Einverständniserklärungen wie nötig einholen, da rechtlich wackelig….

    Die Sicherung der IP bei Kommentaren kannst du übrigens ganz einfach sperren, da nicht nötig für Kommentare 😉 https://wp-ninjas.de/wordpress-kommentare-ip-entfernen

    Ich hoffe, ich konnte etwas für deine Mühe zurückgeben.

    Viele Grüße u. weiter so,
    Philipp

    Antworten
    • Hi Philipp,

      ja, ich verfolge den Blog von Stephan Hansen-Oest auch und finde sein Beiträge klasse. 😉

      Bezüglich der Checkboxen werde ich in Zukunft erwähnen, dass diese nicht unbedingt erforderlich sind und ggf. auch kontraproduktiv. Hatte mich tatsächlich auch schon seit längerem gefragt, ob das ganze Brimborium wirklich nötig ist.

      Was die Checkbox allerdings bringt: Deutlich weniger Spam 😉

      Mit der Speicherung der IP-Adressen werde ich schauen. Anti-Spam Bee funktioniert in der Tat auch gut ohne.

      LG

      Finn

      Antworten
  100. Und noch ein Nachtrag:
    WP Ultimate Recipe wird laut Brecht Vandersmissen (Bootstrapped Ventured) auf E-Mail-Nachfrage spätestens ab dem 25.5. DSGVO konform sein.
    LG Lisa

    Antworten
  101. Wow, tausend Dank für diese tolle Auflistung! Ich werde den Post gleich mal in meiner DSVGO-Checklist auf unserem Blog verlinken. Das ist ja Gold wert!

    Antworten
    • Hi Lisa,

      danke für die Info!

      Updraft bzw. Updraft Plus und Backup-Plugins im Allgemeinen stehen schon auf meiner To-Do-Liste. Werde ich bald ergänzen. 😉

      LG

      Finn

      Antworten
  102. Hat jemand eine Auflistung, der Funktionen die man im Plugin “Jetpack” lieber deaktivieren sollte? Und natürlich wo man sie direkt findet.

    Das würde mir sehr helfen.

    Habe bis jetzt die Statistikfunktion deaktiviert.

    Antworten
    • Hi Mathias,

      ich würde auf jeden Fall die Website-Statistiken, Teilen-Buttons und Bilder-Performance ausschalten.

      Aber vielleicht ergibt es Sinn, damit noch ein bisschen zu warten, einzelne Funktionen oder das gesamte Plugin zu deaktiveren, denn Automattic arbeitet aktuell noch daran Jetpack DSGVO-konform zu machen.

      LG

      Finn

      Antworten
  103. Hallo Finn!
    Vielen Dank, super Hilfe!
    Betreffend Digimember und Digistore24 möchte ich gerne nachfragen, welche Daten da übermittelt werden (könnten)?
    Nach meinem Verständnis würden in diesem Fall dann Daten von der WP-Datenbank / Digimember an Digistore24 laufen und somit wäre Digistore24 eventuell ein Auftragsdatenverarbeiter, weil die Daten ja dann von mir kommen. Dann könnte sich Digistore24 nicht mehr nur auf das “Reseller Modell” beziehen, wofür nach meinem Verständnis ja kein ADV notwendig wäre, weil Kunde ja dort selbständig kauft und nicht ich Daten übermittle.
    Danke für ein kurzes Feedback!

    Antworten
    • Hi Alexander,

      soweit ich weiß handelt Digistore24 als eigenständiger Verkäufer und damit als Datenverantwortlicher, das heißt du braucht keinen AV-Vertrag mit denen. Ins Verfahrensverzeichnis und in die Datenschutzerklärung müsste Digimember trotzdem aufgenommen werden, weil die Daten ja auch bei dir in der Datenbank gespeichert werden.

      Aber frag besser noch einmal bei Digistore24 nach, denn ganz sicher bin ich mir nicht. 😉

      LG

      Finn

      Antworten
      • Hi Finn!
        Grundsätzlich sehe ich das genauso, wie du das hier beschreibst.

        Aber oben bei Digimember hast du geschrieben “und übermittelt diese bei entsprechender Einstellung auch an Digistore24-Server.”

        Daher die Frag, welche Daten hier übermittelt werden könnten. Kannst du mir das bitte noch mitgeben, welche Daten das sein könnten, auf welche Einstellungen du dich beziehst.

        Wenn das nämlich der Fall wäre, dann sieht es für mich anders aus. Weil dann schicke “ich” ja die Daten an Digistore24 und dann wäre Digistore24 aus meiner Sicht AV. Wenn “ich” hingegen keine Daten schicke, stellt sich die Frage nicht, weil das Vertragsverhältnis beim Kauf eines Produktes ja zwischen Kunde und Digistore24 eintritt.

        Soweit mein Verständis 😉
        Lg, Alexander

        Antworten
        • Hi Alexander,

          Digistore24 schreibt dazu (Support-Antwort aus meiner Facebook-Gruppe):

          “Sie müssen mit Digistore24 keinen Auftragsverarbeitungsvertrag abschließen. Digistore24 ist kein Zahlungsdienstleister. Wir sind Verkäufer und Vertragspartner des Endkunden (Resellermodell). Zur Erfüllung des Kaufvertrags geben wir dann Kundendaten an unsere Vendoren weiter. Diese müssen daher keinen gesonderten Auftragsverarbeitungsvertrag mit uns abschließen. Wichtig ist jedoch, dass sie mit jedem Dritten, an den personenbezogene Daten weitergegeben werden (z.B. E-Mail Marketing Anbieter), einen Vertrag zur Auftragsverarbeitung abschließen. Darüber hinaus ist die Einwilligung des Endkunden einzuholen, und zwar für alle Prozesse die außerhalb der reinen Erfüllung des Kaufvertrages liegen.”

          Ich hoffe, das hilft dir weiter!

          LG

          Finn

          Antworten
  104. Hallo Finn,
    geniale Seite. Ich arbeite sehr viel damit.
    Allerdings fehlt meiner Meinung nach das PlugIn Google Analytics Germanized. Es ist DSGVO konform und hilft Google Analytics DSGVO konform einzubinden und die Opt In/Out (sorry weiß nie was das ist) in der Datenschutzerklärung einzubinden. Mit Anleitungsvideo!
    Liebe Grüße
    Lisa

    Antworten
  105. Hallo Finn,
    vielen Dank für deine Mühe, all diese Plugins zu prüfen und für uns aufzubereiten. Es ist einer der hilfreichsten Blogs, die ich zu diesem Thema finde.
    Ich habe ein Plugin mit denen ich die Veranstaltungen verwalte: events manager. Über das Buchungsformular können Kurse auch sofort gebucht werden und natürlich werden dadurch personenbezogene Daten erfasst. Leider finde ich bis jetzt nicht die richtigen Informationen, ob und wie ich das Plugin DSGVO konform benutzen kann, außer dass ich in den Datenschutzrichtlinien darauf hinweise. Kannst du mir was dazu sagen?

    LG
    Martina

    Antworten
    • Hi Martina,

      ich kenne das Plugin leider nicht und kann dementsprechend nichts dazu sagen.

      Wende dich doch mal an den Support und frag da mal nach (und lass mich wissen, was die geantwortet haben, dann nehme ich das gerne mit in die Liste auf) 😀

      LG

      Finn

      Antworten
    • Hi Heike,

      vielen Dank für den Tipp. Habe ich gerade zu meinem Artikel “YouTube-Videos datenschutzkonform nutzen” hinzugefügt.

      LG

      Finn

      Antworten
  106. Hi Finn,
    Danke Danke Danke!!!!

    Ich nutze Cachify – das fehlt noch in deiner Liste.
    Aber es kommt wahrscheinlich auf den Speicherort an, ob das Ganze DSGVO konform ist oder nicht?

    Viele Grüße
    Heike

    Antworten
    • Hi Heike,

      habe das gerade überprüft und durch Cachify werden keine personenbezogenen Daten gespeichert. Habe es auch gerade in die Liste mit aufgenommen. 😉

      LG

      Finn

      Antworten
    • Hi,

      so wie ich die Antworten vom Support verstehe, wird sowohl bei Comment Mail als auch bei Subscribe To Comments noch daran gearbeitet.

      LG

      Finn

      Antworten
  107. Hey,
    eine wirklich tolle und hilfreiche Liste. Danke dafür.

    Ich benutze zum einbinden von pdf’s das Plugin pdf embedder, habe beim Anbieter nachgefragt und es werden keine personenbezogenen Daten gespeichert. Villt für andere auch interessant.

    Liebe Grüße
    Lara

    Antworten
    • Hi Lara,

      gerne, freut mich zu hören! 😉

      Danke für die Ergänzung! Habe das Plugin gerade in die Liste mit aufgenommen.

      LG

      Finn

      Antworten
  108. Hallo,
    super Liste, sehr hilfreich! Steckt einiges an Aufwand dahinter, viele meiner Plugins sind vertreten 🙂
    Vermisse aber ebenfalls noch Captcha-Plugins, insbesondere für Google reCaptcha.

    Danke!

    Antworten
    • Hi Norman,

      ich habe gerade das Plugin “Google Captcha (reCAPTCHA) by BestWebSoft” zur Liste hinzugefügt.

      Ich würde generell von der Nutzung von Google reCAPTCHA absehen, da Besucher möglicherweise darüber getrackt werden könnten. Google selbst verlangt im Rahmen seiner neuen EU User Consent Policy auch ein Opt-In dafür, was ebenfalls ein Grund ist, es nicht mehr zu nutzen.

      LG

      Finn

      Antworten
      • Danke. Ich benutze reCaptcha, um div. Angriffsszenarien abzuwehren. Würde hier nicht der Paragraf mit dem “berechtigten Interesse” greifen? Es würde mich doch wundern, wenn es in Kauf genommen werden müsste, dass Bruteforce- und Roboterangriffe nicht abgewehrt werden dürften…

        Antworten
        • Hi Norman,

          es ist gut möglich, dass in dem Punkt das berechtigte Interesse deiner Nutzer überwiegen würde. Zumal es auch diverse andere datensparsamere Möglichkeiten gibt, um Brute-Force-Attacken oder Spam-Kommentare abzuwehren.

          LG

          Finn

          Antworten
  109. Hallo Finn,
    tolle Zusammenfassung! 🙂

    Ein paar PlugIn’s hätte ich für die Liste noch. Allerdings bislang ohne Einschätzung/Rückmeldung.
    – EU Cookie Law (von Alex Moss, Marco Milesi, Peadig, Shane Jones)
    – Optimize Database after Deleting Revisions (von CAGE Web Design)
    – All 404 Redirect to Homepage (von Fakhri Alsadi)
    – Divi-Kontaktformular-Modul (Bestandteil von Divi)

    Antworten
  110. Vielen vielen Dank für den Beitrag! Durch ihn habe ich schon manches Fragezeichen ausmerzen können. 🙂
    Allerdings frage ich mich gerade, ob es im Fall von iThemes Security ausreicht, den Brute Force Schutz zu deaktivieren. Müsste nicht eigentlich auch die Benutzersperre deaktiviert werden?

    Liebe Grüße,
    Maike

    Antworten
    • Ich denke nicht, dass man das Speichern von IP Adressen auf dem eigenen Server verhindern kann oder das aktuell technisch funktionieren könnte. Da haben sich die Gesetzmacher schlichtweg mal wieder keinen technischen Berater gegönnt. Allein schon der Provider, Zugriffsstatistiken, Webstatistik und generell das Ausliefern einer Webseite.
      Um zum Punkt zu kommen: einer WAF (Webanwendungsfirewall) den Brute Force Schutz oder die Usersperre zu entziehen, weil diese die IP Adresse in der DB speichert, führt den Sinn einer WAF ad absurdum. Mal ganz abgesehen davon, dass es kriminelle Angreifer nicht mal ein müdes Lächeln kostet, das schnurstracks zu umgehen. Derlei Speicherung in der DB ist in meinen Augen durch die Standard DS-Erklärung vollkommen abgedeckt. Und wenn noch eine Hardware Firewall wie mod_security oder ip_ban läuft, ebenfalls. Die IP´s werden ja ohnehin auf dem eignen Server abgelegt, der Datenbankserver liegt da in der Regel auch und nicht fremd auf.
      Und wenn man doch paranoid ist, dass der Provider diese lesen könnte, was ja ohnehin schon geregelt sein muss, kann sich ja in der Tat einen sql-Cronjob anlegen, der Daten die älter als 14 Tage sind, automatisch löscht.
      Mein Fazit: Nahezu jede Sicherheits-Schutzfunktion müsste laut dieser strikten Auslegung der DSGVO abzuschalten sein. Wird nicht funktionieren, ausser man hat keine Webseite oder -server. Und macht auch keinen Sinn. Das werden Urteile, sofern das wirklich jemand durchboxen wird, auch belegen. Derlei kann erst dann funktionieren, wenn IPv6 Standard ist, was leider aus Sicherheitsaspekten heraus auch sehr wenig Sinn macht, weil dann Angreifer von Haus aus anonym sind – weswegen diese Option als potenzieller Standard wiederum auch noch dauern wird (und muss, denn die Kriminalität im Netz hat bei weitem den Umsatz des weltweiten Drogenhandels bereits seit diversen Jahren überholt und kostet Unternehmen im Jahr Milliarden).
      Also bitte keine falsche Angst an der Stelle und die WAF´s angeschalten lassen, ansonsten (gerade bei WP-Seiten) wird schnell ein böses Erwachen Oberhand gewinnen. Das Speichern von (ggf potenziellen) Angreifern zählt meines Erachtens definitiv zu den berechtigten Interessen.

      Antworten
  111. Hallo Finn,
    das ist ja wirklich eine tolle Liste, danke für die Arbeit.
    Ich benutze die PlugIns Notes Widget Wrapper und PricingTable, kann zur DSGVO-Konformität aber bisher nichts finden.
    Kennst du die zufällig, bzw. weißt was dazu?
    LG Robert

    Antworten
    • Hi Robert,

      die Plugins kenne ich nicht und es liegen mir aktuell keine Infos vor. Ich schaue sie mir aber gerne mal an.

      LG

      Finn

      Antworten
  112. Hi, Super Liste! Danke dafür!

    Als kleiner Hinweis. Das Plugin NextGen Gallery greift bei mir selbstständig auf die Google fonts zu.
    Damit ist es meiner Meinung nach nicht ganz so uneingeschränkt DSGVO Konform.

    Für Lösungsansätze, was ein solches Problem angeht, bin ich sehr dankbar!

    Lieben Gruß, Karim.

    Antworten
    • Hi Karim,

      danke für die Info! 😉

      Ich habe das gerade getestet und bei mir werden durch NextGen Gallery (Version 2.2.54, kostenlos) keine Google Fonts hinzugefügt.

      Welche Version nutzt du? Und nutzt du die kostenlose Variante oder PRO? Und bist du dir sicher, dass die Google Fonts von NextGen kommen und nicht vom Theme oder einem anderen Plugin (Screenshot wäre super!)?

      LG

      Finn

      Antworten
      • Hi Finn,

        Also ich habe die selbe Version wie du und zusätzlich noch die Pro Variante am Laufen!
        Ziemlich sicher, dass sie wegen des Plugins abgerufen werden! Habe auch schon die von NextGen angeschrieben, die es auch bestätigt haben.
        Leider möchten sie es nicht als optionale Möglichkeit anbieten, sodass sie es mir selbst überlassen haben, den Code anzupassen! Sehr sehr ärgerlich, da ich das nicht kann und bei einem Bezahl-Plugin auch nicht möchte! Wenn ich nicht über 100 Galerien mit über 2000 Bilder darüber eingebunden hätte, wären sie mich jetzt los! Der Support war nicht gut, was mir dort schon mehrfach aufgefallen ist 🙁

        Deshalb kann ich nur jedem Empfehlen, in den Beiträgen, in denen eine Galerie von NextGen enthalten ist, das ganze Mal selbst zu überprüfen! Ehrlich gesagt verstehe ich auch nicht so recht den Grund warum die ihre eigenen fonts extern laden müssen :/

        Lieben Gruß
        Karim

        Antworten
        • Hi Karim,

          vielen Dank für die Erläuterungen! Habe das gerade in der Liste ergänzt.

          Hmm, aber das ist ja doof. Ein Plugin sollte nicht einfach so Google Fonts laden, ohne dass man das ausstellen kann 🙁

          Bin aber auch nicht so zufrieden mit NextGen. Hat mir schon mehrmals mit Updates die Website zerschossen und hatte schon öfter mal Probleme, weil das Plugin das Backend verlangsamt hat.

          LG

          Finn

          Antworten
          • Ja, leider ist das bei mehreren Plugins der Fall! Da muss man echt acht geben!
            Mein altes Social Counter Plugin (https://de.wordpress.org/plugins/accesspress-social-counter/) hat das ebenfalls getan! Dieses ist nun raus geflogen und (d)ein neues ist jetzt drinnen! Deshalb erkundigte ich mich unter anderem ja auch bei dir nach deinem 😉

            Fazit für mich: man muss wirklich alles und jede Seite die man nutzt, genau prüfen!

            Zu NextGen habe ich momentan leider keine Alternative, was mich wirklich nervt. Mal davon abgesehen, dass ein Umzug ne Katastrophe wäre! Evtl. kann man mit mehreren Mails dem Plugin Autor etwas Druck machen 😉

            Kurz off-topic zum social counter: Ich bekomme den FB Counter einfach net zum laufen. Ne App zu erstellen, ist ja eigentlich kein Hexenwerk und die zig Tutorials, die es dazu gibt, sagen ja alles das gleiche. Hast du eine Idee woran es liegen könnte?

            Lieben Gruß
            Karim

          • Hi Karim,

            ja, bei manchen Plugins sieht man leider auf den ersten Blick nicht, dass sie Daten sammeln…

            Zu NextGen kann ich dir auch leider keine Alternative empfehlen. Ich weiß auch nicht, ob es Gallerie-Plugins mit Import-Funktion für NextGen gibt.

            Die Facebook-App zum Laufen zu bringen, ist in der Tat ein bisschen tricky. Musste da auch ein bisschen herumprobieren.

            Kann gut sein, dass deine App noch nicht live geschaltet ist und es deswegen nicht funktioniert (daran lag es bei mir).

            LG

            Finn

        • NextCellent war fürmich immer eine tolle Alternative.
          Ich betreue über 200 Websites und jede einzelne hatte Probleme mit Nextgen.
          Die Umstellung von nextGen nach nextcellent war immer problemlos in weniger als 5 Minuten erledigt
          Gruß Axel

          Antworten
  113. Thanks for writing such a thorough and helpful article, Finn. I will be looking through some of the plugins on the list that I use to see if any adjustment needs to be made.

    I wanted to sort out the Social Warfare compliance for you so you can either update the listing OR tell me what I’m missing.

    Social Warfare does not collect ANY personal data from the people who visit a website that uses Social Warfare share buttons. Our buttons are merely utilizing the 3rd party share APIs of the respective networks. As soon as someone clicks a Social Warfare share button, everything that occurs after that click is handled by the social network’s API. Social Warfare does not track or see any information after the click.

    Our UTM tracking feature merely adds a string to the end of a shared URL so that Google Analytics can record that traffic data–Warfare Plugins does not recieve, record, or track ANY of that data.

    Our click-tracking feature is merely a Google Analytics event, which, again, is recorded by Google Analytics, not Social Warfare.

    So it is without question that Social Warfare has full compliance with GDPR because we don’t track/store a single thing.

    Antworten
    • Hi Dustin,

      thanks for your statement regarding Social Warfare!

      I originally marked the plugin as non-compliant with GDPR since it used the Facebook Social Graph to collect share counts in the front end (as shown by the browser extension Ghostery), which may store personal data of users on Facebook servers.

      However, I took a closer look at the plugin yesterday testing 20 of my own articles and could’t find any trace of the Facebook Social Graph when using Chrome Dev Tools.

      So I marked it as GDPR-compliant now.

      Edit: A few days ago I checked again (with older articles) and still were able to find the call to the Social Graph. Sorry, my mistake. I marked the plugin now as “GDPR compliance unknown” until I am reassured that the Facebook Social Graph is really safe to use.

      Cheers,

      Finn

      Antworten
  114. Hallo Finn,

    herzlichen Dank für die tolle Liste. So ganz langsam sehe ich ein wenig Licht am Ende des Tunnels. 🙂

    Wo ich mir noch unsicher bin, ist das Plugin tinyCoffee. Weißt du dazu vielleicht zufällig was?

    lg

    Anika

    Antworten
    • Hi Anika,

      gerne, freut mich! 😀

      Habe mir tinyCoffee angeschaut und das schein okay zu sein. Sammelt nach meinen Recherchen keine personenbezogenen Daten vor dem Klick (Weiterleitung zu PayPal).

      Wahrscheinlich ist eine Erwähnung in der Datenschutzerklärung und ein Hinweistext unter dem Button, dass der Nutzer zu PayPal weitergeleitet wird, dennoch sinnvoll.

      LG

      Finn

      Antworten
  115. Hi Finn,

    vielen Dank für die Zusammenfassung.

    Hier noch ein paar andere Plugins die ich gefunden habe:

    All In One WP Security : When you use the aiowps plugin, no personal data is collected by me or co-contributers as a result of you using this plugin. (https://wordpress.org/support/topic/is-aiowps-gdpr-compliant/)

    User Role Editor : User Role Editor does not store or process personal data in any way. (https://wordpress.org/support/topic/user-role-editor-gdpr-compliant/)

    UpdraftPlus – Backup/Restore : If you have not got an updraftplus.com account (e.g. to use UpdraftCentral Cloud) then, as you can read there, we have no data that concerns you. (https://updraftplus.com/faqs/i-wish-you-to-delete-all-personal-data-which-you-hold-upon-me-gdpr-right-to-be-forgotten-right-to-erasure/)

    Asgaros Forum : Asgaros Forum sammelt/erhebt weder (die oben genannten) personenbezogenen Daten noch werden IP-Adressen in irgendeiner Form gespeichert/ausgewertet. (https://www.asgaros.de/support/?view=thread&id=751)

    Antworten
  116. Hallo Finn,

    auch diese Zusammenfassung ist super. Danke!

    Welches Sharing Plugin nutzt Du im Moment noch?

    Und ist es nach Deiner Erfahrung notwendig, dass unter der Kommentarfunktion die Datenschutzerklärung abgehakt werden muss?

    Danke und Grüße!
    Keno

    Antworten
    • Hi Keno,

      ich nutze aktuell Social Warfare, ist allerdings noch nicht 100% datenschutzkonform (nur mit eigenen Anpassungen an den Plugin-Dateien). Im Frontend wird noch der Facebook Open Graph geladen. Die Entwickler arbeiten aber anscheinend schon an einer Lösung.

      Ansonsten ist das Plugin Shariff Wrapper aktuell die wohl sicherste Wahl (mir gefällt allerdings das Design nicht so).

      Was die Checkbox unter den Kommentaren anbelangt: Es kann sein, dass es auch ohne Checkbox und nur dem Hinweistext geht. Da bin ich mir allerdings nicht hundertprozentig sicher (auch wegen der Nachweispflicht), deswegen nutze ich das Plugin WP GDPR Compliance, das nicht nur eine Checkbox bietet, sondern auch einen Zeitstempel der Zustimmung in der Datenbank sichert.

      LG

      Finn

      Antworten
        • Hi Mathias,

          sorry für meine sehr späte Antwort.

          Ich habe in script.min.js und share-cache.php eingefügt, dass Share Counts nur abgefragt werden sollen, wenn User eingeloggt sind (Lösung stammt von Webtimiser).

          Ist eine gute Zwischenlösung, man muss den Code allerdings nach jedem Plugin-Update wieder einfügen…

          LG

          Finn

          Antworten
  117. Erstmal danke! Vielleicht magst du auch noch das Plugin “Login LockDown” aufnehmen:
    Hier eine Info dazu vom Entwickler: Login LockDown records the IP address and timestamp of every failed login attempt. […] This helps to prevent brute force password discovery. […] Die Daten werden bei wp in der Datenbank gespeichert.

    Antworten
  118. Hi, super cooler Artikel und sehr hilfreich in diesen “unsicheren” 🙂 Zeiten.
    Weiß jemand ob das Plugin “WP User Avatar” irgendwas auf fremden Servern speichert oder das dieses Plugin DSGVO konform wäre?

    Danke und VG

    Antworten
        • Die Verwendung von Gravatar ist unter Umständen problematisch (wobei WordPress aktuell an einer Lösung arbeitet). Man kann in den Einstellungen von WP User Avatar aber Gravatar komplett ausschalten, wenn man das möchte.

          LG

          Finn

          Antworten
          • Daß WordPress (oder Automattic) an einer Lösung arbeiten würden, halte ich für ein Gerücht. Es gibt mit Avatar Privacy (https://wordpress.org/plugins/avatar-privacy/) aber zum Glück trotzdem eine: Gravatare werden nur noch nach explizitem Opt-in angezeigt und außerdem gecached, so daß beim Laden der Seite keinen Verbindungen vom Browser zu gravatar.com aufgebaut werden.

            (Disclosure: Ich bin als Autor von Avatar Privacy natürlich bzgl. dieser Empfehlung befangen :-))

          • Hi,

            ja, da hast du Recht. Ich hatte mir auch von Automattic mehr versprochen, was Datenschutz angeht…

            Danke für den Plugin-Tipp. Werde ich mir mal anschauen!

            LG

            Finn

  119. Warum genau ist “Easy Social Share Button” problematisch. Der setzt wie Shariff auf eine Zwei-Klick Lösung. Macht der die Verbindung zu den Social Media Netzwerken zu voreilig auf?

    Auf mobile (Android, Chrome) sind die Tabellenfelder nicht farbig hinterlegt.

    Antworten
    • Hi Ferdinand,

      das Plugin Easy Social Share Buttons ist problematisch, weil eine Verbindung zum Facebook Social Graph hergestellt wird, um die Share Counts anzuzeigen.

      Die Tabellenfarben habe ich jetzt geändert, es sollte jetzt alles korrekt angezeigt werden 😉

      LG

      Finn

      Antworten
  120. Hallo Finn,
    habe bisher immer den Explorer benutzt. Da ist nur grün als Farbe zu sehen.
    Hab jetzt mal Google Crome ausprobiert und da ist alles super.
    Muss ich mich wohl mal umgewöhnen.
    LG
    Anja

    Antworten
    • Ah okay. Ja, es kann sein, das der Explorer die #rrggbbaa-Farben nicht unterstützt. Ich schaue mal, dass ich die in normale Hex- oder RGBA-Farben umwandele.

      LG

      Finn

      Antworten
  121. Guter Artikel – aber was ich nicht ganz verstehe, ist die Begründung für Contact Form 7.

    Wenn ich das Plugin (ohne Zusatzplugins wie z.B. Flamingo) verwende – also keine Daten innerhalb WordPress speichere, erhalte ich “nur” eine E-Mail. O.k. – diese wird auf meinem E-Mail-Server gespeichert. Aber wenn mir jemand eine E-Mail über sein E-Mail-Programm schreibt, dann erhalte ich ja auch nicht explizit die Erlaubnis die personenbezogenen Daten zu speichern.

    Ich bin der Meinung, wenn jemand ein Kontakt-/Kommentarformular ausfüllt, muss dieser davon ausgehen, dass diese Daten auch gespeichert werden – und sei es nur auf dem E-Mail-Server.

    Wenn ich einen Brief schreibe, dann erhält der Empfänger ja auch meine persönlichen Daten in Form des Absenders und speichert diese ab – wenn auch analog.

    Ich will nicht sagen, dass die DSGVO nicht notwendig ist, aber in manchen Bereichen ist sie doch ein klein wenig übertrieben.

    Eine Frage habe ich noch: Sollte/muss ich als Betreiber einer Webseite einen Vertrag zur Auftragsverarbeitung abschließen?

    Grüße
    Thomas

    Antworten
    • Hi Thomas,

      ja, die DSGVO setzt zum Teil Standards an, die realitätsfern und schwierig umzusetzen sind und sorgt für mehr Bürokratie.

      Sie bietet aber auch viel Sinnvolles (z. B. das Recht auf Löschung!). Als Verbraucher finde ich die DSGVO begrüßenswert (auch wenn ich als Website-Betreibe darüber fluche).

      Ja, du brauchst als Website-Betreibe einen Vertrag mit deinem Hosting-Anbieter, der als Auftragsverarbeiter fungiert. Das meinst du doch oder?

      LG

      Finn

      Antworten
  122. Hallo,
    in der Legende stehen die Farben orange, gelb, blau. Ich kann aber nicht erkennen wo sie welchem Plugin zugeordnet sind. Bei mir ist alles Pink.
    LG
    Anja

    Antworten
    • Hi Anja,

      danke für den Hinweis! Werde mal schauen, was die Ursache davon ist.

      Welchen Browser und welches Betriebssystem nutzt du? Hast du vielleicht einen Screenshot dazu?

      LG

      Finn

      Antworten
  123. Hallo Finn,

    herzlichen Dank für diese super Übersicht. Sie ist eine große Hilfe für WP-Blogger. Daher habe ich sie gern auch in meinem Blog verlinkt (Fahrplan zur DSGVO).

    Herzliche Grüße
    Monika

    Antworten
  124. Hallo und danke für den Beitrag.

    – Weißt du wie es mit bbress Foren aussieht. Muss es da nicht ähnlich behandelt werden wie mit Kommentaren?
    -Ich habe wp-members im Einsatz. Hier wird bei jeder Registrierung die IP Adresse mit gespeichert. Ist das OK? Du speicherst ja anscheinend auch IP Adressen bei Kommentaren… hatte gedacht es wäre gar nicht mehr erlaubt?

    danke
    lg

    Antworten
    • Hi Micha,

      1. Ja, genau.
      2. Ja, wenn du das per Opt-In von deinen Nutzern bestätigen lässt (man kann auch mit dem “berechtigten Interesse” die Speicherung der IP-Adresse begründen, aber ein explizites Opt-In ist wahrscheinlich immer die sicherere Variante).

      LG

      Finn

      Antworten
  125. Hat jemand eine Alternative zum Embed videos and respect privacy Plugin? Ich habe es soeben ausprobiert, doch leider zerschießt es mir das Layout…

    Antworten
    • Hi Carry,

      ich kenne aktuell keine Alternative. Ich suche selbst noch nach einer guten Lösung. 😉

      YouTube bietet übrigens selbst einen erweiterten Datenschutz-Modus an, bei dem kein Cookie gesetzt wird. Ich weiß nicht, ob das 100% datenschutzkonform ist, ist aber auf jeden Fall besser als nichts. So aktivierst du ihn:

      1. Bei YouTube auf Teilen > Einbetten klicken
      2. Unter Optionen zum Einbetten ein Häkchen bei “Erweiterten Datenschutzmodus aktivieren.” setzen.
      3. Code kopieren und in die eigene Website einfügen.

      LG

      Finn

      Antworten
  126. Dankeschön für Tipps und Aufklären, jedoch ist mir nicht ganz klar wie soll mann DSGVO bei Shops / WooCommerce funktionieren.

    Kann mich da einer mehr dzu sagen. Danke

    Antworten
    • Hi Richard,

      es gibt unglaublich viele Extensions für WooCommerce, deshalb kann ich WooCommerce im Artikel nicht im Detail behandeln.

      Meine Empfehlung: Schau, welche personenbezogenen Daten bei WooCommerce wo gespeichert werden (Zahlungsanbieter etc.).

      Und dann schau, dass du diese Daten DSGVO-konform erfasst und schützt (mit Opt-In, Erwähnung in der Datenschutzerklärung, Sicherheitskonzept für deinen Online-Shop, ggf. ADV-Verträgen etc.).

      LG

      Finn

      Antworten
  127. Hey Finn,
    hast du Remove Comment IP schon getestet, ich bin nämlich noch skeptisch, da es anscheinend recht neu ist. Keine Bewertung, nur 40+ Downloads. Irgendwie macht mir sowas immer etwas Unbehagen. Im Augenblick habe ich alle alten IPs aus der Datenbank gelöscht und wollte die neueren für 6 Monate aufbewahren für den Fall der Fälle. Steht auch in meiner Datenschutzerklärung. Sind 6 Monate zu lang?
    Viele Grüße von Annie

    Antworten
  128. Eigentlich bin ich nicht verwundert über die Unkenntnis vieler. Es ist doch so, dass jeder WordPress aufsetzen kann und dann aus den unzähligen Angeboten zig Plugins installiert. Keiner dieser Laien, ja, die meisten Blogger sind schlicht Laien und haben weder Ahnung noch Interesse sich zu informieren, macht sich die Mühe den Plugins auf den Grund zugehen. Da werden einfach Sachen installiert und nichts hinterfragt.

    Die Datenschutzverordnung ist der einzig richtige Weg und allein deswegen werden sich schon die Spreu vom Weizen trennen. Ich hoffe auch, dass es eine Welle von Abmahnungen gibt, die auch durch die Presse gehen wird, damit alle Laien mal wach gerüttelt werden.

    Diese Laien tragen mit Schuld an vielen Missständen im Internet. Wenn diese Laien sich wenigstens informieren würden. Ich sage ja zum neuen/alten Datenschutz. Mehr davon, damit das alles professioneller wird und schwarze Schafe abgemahnt werden.

    Antworten
    • Hi Dennis,

      ich persönlich heiße die neuen Bestimmungen auch gut. Als Blogger sowie als Leser.

      Ich wünsche zwar niemandem eine Abmahnung, aber ich finde es gut, dass durch die DSGVO viele Leute wachgerüttelt und dazu animiert werden, sich intensiver mit Datenschutz zu beschäftigen, Datensparsamkeit zu praktizieren und transparenter darüber zu informieren.

      LG

      Finn

      Antworten
  129. Hallo,

    Vielen Dank für die Liste.

    Wenn ich es richtig sehe, dann stimmt Monarch nicht ganz. Der reine Button-Klick überträgt doch nichts an Facebook und Co? (außer, dass sich natürlich das Teilenpopup öffnet).

    Interessant ist die Statistik. Das Feature ist so gut versteckt, hatte ich noch nie gesehen.

    Vielen Dank,

    Adrian

    Antworten
    • Hi Adrian,

      ich habe das noch einmal gecheckt und es werden durch die Buttons anscheinend keine Daten übertragen, bevor der Nutzer klickt.

      Allerdings werden für statische Zwecke IP-Adressen in der Datenbank gespeichert.

      LG

      Finn

      Antworten
  130. Hallo, informativer Beitrag 🙂 Ich nutze WordPress und auf meinem Blog kann mann kommentieren mit Angabe der Mail Adresse und Newsletter abonnieren. Bei den ganzen Artikeln und Informationen bin ich jetzt total durcheinander. Was MUSS ich nun definitiv ändern bzw. welche Plugins runterladen damit ich es laut DGSVO richtig mache? Danke für die Hilfe. Lg Claudia

    Antworten
    • Danke! 😉

      Was du bzgl. der DSGVO vornehmen musst, ist sehr individuell für jede Website. Ich gehe so vor:

      1. Ich schaue, welche personenbezogene Daten überhaupt auf meinem Blog gesammelt und wo diese gespeichert werden (dabei kann dir meine Plugin-Liste helfen!). Typische Dinge sind Newsletter, Kontaktformulare, Social-Plugins etc.
      2. Ich entscheide, welche personenbezogenen Daten wichtig für mich sind und auf welche Dienste, Plugins, Funktionen oder Tools ich nicht verzichten kann (Stichwort: Datensparsamkeit!)
      3. Ich schaue, wie ich die übrig gebliebenen Dienste, Plugins etc. weiter nutzen kann (z. B. mit einem Opt-In, Nennung in der Datenschutzerklärung, ADV-Vertrag, Aufführung im Verfahrensverzeichnis etc.) und setze die Maßnahmen um.

      Ich hoffe, dir hilft das weiter.

      LG

      Finn

      Antworten
  131. Wirklich hilfreicher Artikel – danke dafür, Finn!
    Ich hatte vor ein paar Wochen Social Warfare angeschrieben, um zu fragen wie es denn aussieht im Bezug zur DSGVO. Dort wurde mir versichert, dass das Plug-In DSGVO-konform ist – laut deiner Liste stimmt das jedoch nicht. Da muss ich wohl noch einmal genauer nachhaken.

    LG, Lisa

    Antworten
    • Hi Lisa,

      ja, ich bin mir bei Social Warfare auch nicht hundertprozentig sicher. Manchmal wird bei mir der Facebook Social Graph geladen und manchmal nicht.

      Ich werde das in den nächsten Wochen noch einmal ausführlicher testen, denn ich mag das Plugin sehr und würde es gerne behalten 😉

      LG

      Finn

      Antworten
  132. Hallo Finn,
    du solltest dein Opt-In für die Kommentar überarbeiten! Ist leider nicht ganz konform mit der DSGVO.
    Sollte eher so aussehen:
    Mit der Nutzung dieses Formulars erteile ich meine Zustimmung zur Datenspeicherung lt. DSGVO. “Um die Übersicht über Kommentare zu behalten und Missbrauch zu verhindern, speichert diese Webseite (www.xxxxx) mit Absenden Ihres Kommentars Name, E-Mail, Kommentar, URL und Zeitstempel in einer Datenbank. Sie können Ihre Kommentare natürlich später jederzeit wieder löschen lassen. Detaillierte Informationen finden Sie in der Datenschutzerklärung(link)

    p.s.
    Ich habe das Speichern der IP Adresse für Kommentare in der function.php abgeschaltet.

    Antworten
    • Hi Michaela,

      ja, das stimmt. Ich werde das noch vor dem Stichtag anpassen. 😉

      Viele andere Dinge sind bei mir auch noch nicht angepasst. Ich muss mehr als 40 WordPress-Websites von mir und von Kunden DSGVO-sicher machen. Das nimmt mehr Zeit in Anspruch als ich angenommen hatte.

      Aber ich bin auf einem guten Weg! Bin gerade dabei AV-Verträge mit allen Hostern (und anderen Dienstleistern) abzuschließen. 😉

      LG

      Finn

      PS: Ja, ich habe das auch per functions.php abgeschaltet, finde ich schöner als per Plugin.

      Antworten
  133. Vielen Dank für die vielen Infos – das hat mir sehr weiter geholfen … ich arbeite gerade an meinem Blog. Eine Frage hätte ich noch zu den Sicherheitsplugins … bieten die beiden letztgenannten denn deiner Meinung nach eine ähnliche Sicherheit wie z.B. Wordfence, kennst du noch Alternativen? Vielen Dank! Ingrid

    Antworten
  134. Hallo,

    ich habe eine Frage zu AntiSpam Bee. Muss ich den Punkt “IP-Adresse des Kommentators validieren” auch deaktivieren, ohne dass Nutzerdaten gesammelt werden?

    Danke und Grüße
    Meike

    Antworten
    • Hi Meike,

      das ist eine gute Frage. Ich weiß nicht genau, ob während dieses Vorgangs die IP gespeichert wird oder nicht. Ich würde sie vorsichtshalber auch deaktivieren.

      LG

      Finn

      Antworten
    • Nein musst du nicht. Antispam Bee ab Version 2.8 verarbeitet keine IP-Adressen mehr im Klartext, bedeute: es sind keine personenbezogenen Daten mehr und damit auch kein DSGVO-Problem

      Liebe Grüße aus dem Pluginkollektiv,
      Simon

      Antworten
  135. Hallo Finn,

    erst vielen herzlichen Dank für deinen Artikel! Der Hinweis zu Autoptimize “Entfernen der Google Fonts” ist Gold wert. 😉

    Für die Kontaktformulare nutze ich “Super Forms – Drag & Drop Form Builder” und konnte weder in der FB Gruppe noch sonst im Web etwas finden. Vielleicht weißt du mehr, aber ich gehe mal davon aus, dass auch hier “WP GDPR Compliance” oder ähnliche Plugins notwendig sind…

    Beste Grüße, Tobias

    Antworten
    • Hi Tobias,

      danke, freut mich! 😉

      Ich habe das gerade mal recherchiert und die Option, ein Opt-In einzubinden, wurde mit der neuesten Version (4.0.0) eingeführt. Im Changelog steht:

      – Added: (GDPR compliance) Option to only save contact entry when a specific condition is met (Form Settings > Form Settings)

      LG

      Finn

      Antworten
  136. Ich habe heute von Auttomatic den Auftragsdatenverarbeitungsvertrag zugeschickt bekommen. Laut diesem ist Jetpack zwischenzeitlich dsgvo konform…

    Antworten
  137. Hallo,
    super Liste, hat mir schon sehr weiter geholfen.
    Wenn ich bei Ithemes Security den Netzwerk Brute Force Schutz deaktiviere ist das Plugin ok?
    Weißt du zufällig wie es mit NoSpamNX aussieht?
    Vielen Dank und LG

    Antworten
  138. Lieber Finn,

    danke für die hilfreiche Zusammenstellung. Bis auf Anti-Spam-Bee und Contact Forms 7 nutze ich nichts aus der Liste. WP GDPR Compliance werde ich (zu gegebener Zeit) in unser Blog integrieren.

    Herzliche Grüße
    Patrick

    Antworten
    • Hi Patrick,

      gerne! 😉

      WP GDPR Compliance nutze ich auch hier auf Blogmojo für Kommentare und Kontaktformulare von Contact Forms 7. Bin bis jetzt zufrieden damit!

      LG

      finn

      Antworten
  139. Eine großartige Übersicht, herzlichen Dank dafür! Die Plugins einzuschätzen, ist ja manchmal gar nicht so leicht.

    Viele Grüße
    Simone

    Antworten
  140. Hallo!
    Vielen Dank für diesen hilfreichen und ausführlichen Beitrag zur DSGV. Ich bin Blogger-Neuling und damit sowieso am Anfang eines langen Lernprozesses. Mit der neuen DSGV habe ich noch weniger Überblick… Mit jedem Blogartikel wie diesem blicke ich Schritt für Schritt ein wenig mehr durch!

    Kennst du dich mit Backup-Plugins aus? Ich habe gelesen, dass Backups grundsätzlich schwierig sing mit den neuen Datenschutzregeln…? Zur Zeit nutze ich BackWPup. Wie kann ich rausfinden, ob dieses (oder ein Plugin algemein) Daten speichert, die es nicht speichern soll?

    Viele Grüße
    Katha

    Antworten
    • Hi Katharina,

      bei Backup-Plugins bin ich mir selbst nicht 100% sicher.

      Theoretisch sollte es immer okay sein, wenn du Backups auf dem eigenen Server speicherst. Wenn du allerdings Backups auf einem externen Server, wie z. B. Google Drive, Dropbox etc. speicherst und diese Backups personenbezogene Daten enthalten (z. B. wenn IPs oder E-Mail-Adressen in deiner WordPress-Datenbank gespeichert sind), sieht das schon wieder anders aus.

      LG

      Finn

      Antworten
      • Hi Katharina,

        Finn beschreibt es richtig – BackWPup zum Beispiel (Backup Plugin von Inpsyde) speichert keinerlei personenbezogene Daten. Allerdings befinden sich im Backup personenbezogene Daten deiner Webseitenbesucher. Sobald du diese bei Drittanbitern, beispielsweise Google Drive oder Dropbox speicherst, benötigst du einen AV-Vertrag. Wenn du noch mehr Lektüre zu diesem speziellen Thema haben möchtest, empfehle ich dir unsere Dokumentation “BackWPup, Backups und die DSGVO” (https://backwpup.de/doku/backwpup-backups-und-die-dsgvo/)

        Liebe Grüße
        Jessie von Inpsyde

        Antworten
  141. Hi Finn,
    nun fehlt eigentlich noch die Farbe grün – welche Plugins man denn wirklich bedenkenlos einsetzen könnte 🙂
    Vielen Dank für die Liste, sie ist wirklich hilfreich.
    LG Tina

    Antworten
    • Hi Tina,

      freut mich, danke! 😉

      Ja, die Farben muss ich noch einmal überdenken. Rot oder gelb heißt ja nicht, dass man die Plugins gar nicht mehr nutzen kann, sondern dass für die DSGVO-konforme Nutzung ggf. Anpassungen erforderlich sind (wie z. B. ein Opt-In, ADV-Vertrag, Erwähnung in der Datenschutzerklärung etc.), weil Daten darüber gesammelt werden.

      LG

      Finn

      Antworten
  142. Ich finde deinen Beitrag und die Sichtweise sehr interessant. Allerdings hat der Beitrag auch direkt Informationslücken.

    Social Plugins -> Dort sind die meisten generell schon nicht Datenschutzkonform einsetzbar. Und das bereits weit vor der DSGVO Debatte jetzt.

    Einzig Shariff ist für den deutschen Markt zu empfehlen, weil generell schon Datenschutzkonform nach jetzigem Stand.

    Anti-Spam Plugins -> Hier verhält es sich ähnlich! Auch Akismet ist laut deutschen Datenschutz so gar nicht nutzbar. Das hat auch wenig mit der anstehenden DSGVO Richtlinie zutun.

    Es gibt da auch einfach nur den Weg Antispam-Bee zu nutzen, da es mit dem deutschen Datenschutz konform geht. Richtiger Hinweis hier ist bei dir ja schon gegeben mit dem der öffentlichen Datenbank.

    Generell halte ich viel für Panikmache, da auch vorher schon Regeln aktiv waren und sind die auf Datenschutz drängen. Jetzt kommen nur viele ins schwimmen, weil Sie sich vorher schon nicht daran gehalten haben. Oder eben schlichtweg unwissend waren.

    Antworten