120+ WordPress-Plugins im DSGVO-Check (mit Lösungen, Alternativen und Plugin-Tipps!)

[Letztes Update: 26.04.2018 – 10 neue Plugins hinzugefügt] Mit dieser Liste möchte ich einen Überblick darüber schaffen, welche WordPress-Plugins personenbezogene Daten sammeln und welche nicht und welche möglichen Lösungen und Alternativen es gibt, um diese DSGVO-konform zu nutzen.

Zusätzlich findest du am Anfang dieses Artikels eine Liste mit nützlichen Plugins, die dir dabei helfen können, WordPress DSGVO-konform zu machen.

Kennst du schon meine Facebook-Gruppe DSGVO für Blogger & Online-Unternehmer?

Ich werde die Liste in regelmäßigen Abständen updaten und um neue Plugins und entsprechende Lösungen zur Nutzung ergänzen. Mithilfe ist herzlich willkommen! Falls ihr Fehler findet, euch Infos zur DSGVO-Konformität eines WordPress-Plugins vorliegen oder Ergänzungswunsche bestehen, lasst es mich wissen!

Ich möchte mich dabei allerdings auf die beliebtesten WordPress-Plugins beschränken. Plugins mit wenig Downloads (oder Verkäufen bei Premium-Plugins) werden in der Regel nicht aufgenommen.

Achtung: Dieser Blogbeitrag ist keine Rechtsberatung! Im Rahmen meiner Arbeit als Blogger und WordPress-Dienstleister habe ich mich zwar intensiv mit den geltenden Datenschutzbestimmungen und der DSGVO beschäftigt, ich bin jedoch weder Jurist noch Datenschutz-Experte. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen.

Nützliche Plugins

Folgende Plugins können dabei helfen, WordPress-Websites DSGVO-konform zu machen:

  • Autoptimize (entfernt Google Fonts und Emojis, funktioniert allerdings nicht immer, Alternative: Remove Google Fonts References)
  • Borlabs Cookie (Opt-In-Lösung für Cookies)
  • Clearfy (erlaubt die Aktivierung diverser WordPress-Features aus Sicherheits-, Datenschutz oder Performance-Gründen, z. B. Emojis, Embed, Rest API, Gravatar etc. – eher für fortgeschrittene Nutzer geeignet!)
  • Disable Embeds (Deaktiviert Embeds, durch die Daten an Dienste wie YouTube, Facebook, Twitter und Co. übertragen werden können)
  • Disable Emojis (entfernt ein Fallback-Script zum Anzeigen von Emojis in ältereren Browser, das über ein externes CDN geladen wird)
  • DSGVO Pixel Mate (Facebook Pixel und Google Analytics nach DSGVO mit Opt-Out einbinden)
  • Embed videos and respect privacy (Daten an YouTube werden bei eingebetteten Videos erst nach Klick übertragen)
  • Extra Privacy for Elementor (erweitert den Page-Builder um eine Zwei-Klick-Option für Google Maps und Videos ein)
  • Google Analytics Opt-Out (stellt eine Opt-Out-Möglichkeit für Google Analytics bereit)
  • Really Simple SSL (hilft bei der Umstellung einer WordPress-Website auf HTTPS
  • Remove Comment IPs (IP-Adressen von Kommentatoren werden nach 60 Tagen aus der Datenbank gelöscht)
  • Remove Google Fonts References (entfernt Google Fonts aus dem Quellcode)
  • Remove IP (verhindert, dass IP-Adresse beim Kommentieren in der WordPress-Datenbank gespeichert werden)
  • smart User Slug Hider (ersetzt Benutzernamen in URLs automatisch durch 16-stellige Zahlencodes)
  • WP GDPR (erlaubt nicht nur das Einfügen von Opt-in-Checkboxen für Kommentare und Kontaktformulare, sondern bietet Nutzern auch die Möglichkeit ihre Daten selbst zu löschen)
  • WP GDPR Compliance (fügt Opt-in-Checkboxen zu Kontaktformularen, WooCommerce und der Kommentarfunktion bei WordPress hinzu)
Hinweis: Einige Dinge, wie z. B. das Entfernen der IP beim Kommentieren, Embeds oder Emojis lassen sich auch sehr gut mit Code-Snippets per functions.php (im Child-Theme) erledigen.

Legende (bitte vorher lesen!)

OrangeSpeichert personenbezogene Daten, aber es ist noch keine Lösung bekannt, um es DSGVO-konform zu nutzen.
GelbSpeichert personenbezogenen Daten, aber ist mit Anpassungen DSGVO-konform (z. B. Änderung der Plugin-Einstellungen, Opt-In, Erwähnung in der Datenschutzerklärung, ADV-Vertrag etc.).
GrünSpeichert keine personenbezogenen Daten und ist somit DSGVO-konform
GrauDSGVO-Konformität ist unklar.

1. Social Plugins

Social Plugins, wie z. B. der Facebook Like Button, Pinterest Widgets oder eingebettete Twitter Timelines, ebenso wie von sozialen Netzwerken angeboten Remarketing-Tools, wie z. B. der Facebook Pixel, sammeln Nutzerdaten und verfolgen mitunter das Nutzerverhalten auch über die sozialen Netzwerke hinaus.

Das gilt selbstverständlich auch für alle WordPress-Plugins, welche eine Integration dieser Technologien vornehmen, von denen einige in dieser Liste zu finden sind.

Aber nicht nur diese sammeln Daten, sondern mitunter auch Dienste, die eigene Social-Sharing-Lösungen anbieten, wie z. B. AddThis.

PluginDetails
AddThisSpeichert personenbezogene Daten von Nutzern auf Dritt-Servern (Quelle)
AddToAnySpeichert personenbezogene Daten von Nutzern auf Dritt-Servern (Quelle). Das Plugin soll laut FAQ jedoch bis zum 25. Mai 2018 DSGVO-konform werden.
Arqam Social CounterEs werden keine personenbezogenen Daten gespeichert. Das Plugin bezieht Follower-Zahlen nur im Backend. Follower-Zahlen werden für einen festlegbaren Zeitraum gecached.
Better Click to TweetEs werden keine personenbezogenen Daten gespeichert. Es werden nur einfache Links zu Twitter angezeigt.
Easy Social Share Buttons for WordPressDurch den Facebook Social Graph werden personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert. (Quelle)
Instagram FeedDas Plugin speichert laut Support an sich keine personenbezogenen Daten. Allerdings ist es möglich, dass über das CDN von Instagram, über das die Bilder bezogen werden, IP-Adressen gespeichert werden.
jQuery Pin It Button for ImagesDurch den Pinterest Save Button werden personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert. (Quelle)
Lightweight Social IconsEs werden keine personenbezogenen Daten gespeichert. Es handelt sich um einfache Icons mit Links zu sozialen Netzwerken.
MashShareLaut eigenen Angaben DSGVO-konform. Allerdings lädt das Plugin, den Facebook Social Graph, durch den personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert werden.
MonarchSpeichert personenbezogene Daten von Nutzern auf Dritt-Servern (stellt Verbindung zu Facebook her, bevor Button geklickt wird). Speichert für Reports IP-Adressen.
NextScripts: Social Networks Auto-PosterLaut Support werden keine personenbezogenen Daten durch das Plugin gespeichert.
Open Graph for Facebook, Google+ and Twitter Card TagsLaut Support werden keine personenbezogenen Daten durch das Plugin gespeichert.
PixelYourSiteDurch den Facebook Pixel werden personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert. (Quelle)

Lösung: Das Plugin DSGVO Pixel Mate, das ein Opt-Out für den Facebook Pixel integriert.

Share Icons Share ButtonsSpeichert personenbezogene Daten von Nutzern auf Dritt-Servern (stellt Verbindung zu sozialen Netzwerken her, bevor Button geklickt wird).
ShareThisSpeichert personenbezogene Daten von Nutzern auf Dritt-Servern (Quelle)
Shariff WrapperBei Shariff werden erst personenbezogene Daten an die sozialen Netzwerke übertragen werden, nachdem der Nutzer auf einen Teilen-Button geklickt hat. Es ist somit DSGVO-konform.
Social Count PlusEs werden keine personenbezogenen Daten gespeichert und ist somit DSGVO-konform. Das Plugin bezieht Follower-Zahlen nur im Backend (werden 1 Tag gecached).
Social LockerBindet die originalen Social-Buttons von Twitter, Google+ und Facebook ein, wodurch personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert werden.
Social WarfareLaut Angaben des Entwicklers ist es DSGVO-konform, weil erst personenbezogene Daten an die sozialen Netzwerke übertragen werden, nachdem der Nutzer auf einen Teilen-Button geklickt hat.
WP TastyDurch den Pinterest Hover Button werden personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert.

Lösung: Den Hover Button über die functions.php ausstellen.

WpDevArt Facebook commentsDurch das Facebook Comments Plugin werden personenbezogene Daten von Nutzern auf Dritt-Servern gespeichert. (Quelle)

2. Sicherheits-Plugins

Auch Sicherheits-Plugins sammeln unter Umständen personenbezogene Daten.

So werden z. B. IP-Adressen von Leuten, die sich versuchen, in deinen WordPress-Adminbereich einzuloggen in der WordPress-Datenbank gespeichert oder mit Spammer-Datenbanken auf Dritt-Servern abgeglichen.

PluginDetails
All In One WP Security & FirewallLaut Support werden keine personenbezogenen Daten durch das Plugin gespeichert.
BBQ (Block Bad Queries)Arbeit laut meinen eignen Recherchen nur auf Server-Ebene (z. B. durch Integration der 6G Firewall in die .htaccess). Es werden keine personenbezogenen Daten in der WordPress-Datenbank gespeichert oder an Dritt-Server gesendet.
Google Captcha (reCAPTCHA) by BestWebSoftSpeichert personenbezogene Daten von Nutzern auf Dritt-Servern, bevor der Nutzer dem zustimmen kann.

Erfordert laut Googles EU user consent policy ein explizites Opt-In zur Nutzung.

iThemes SecurityBei Aktivierung bzw. Nutzung des lokalen Brute-Force-Schutzes, der 404-Erkennung, der Benutzersperre, sowie der White- und Black-List werden IP-Adressen in der eigenen WordPress-Datenbank (oder in einer Datei auf dem Server gespeichert).

Zudem werden bei Aktivierung des Netzwerk-Brute-Force-Schutz werden IP-Adressen an iThemes-Server zum Zwecke des Abgleichs mit einer Spammer-Datenbank geschickt.

Lösung: Das IP-Logging lässt sich leider nicht global ausstellen. Um es zu verhindern hilft nur das Deaktivieren bzw. die Nicht-Nutzung (Felder leer lassen) aller Funktionen oder Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Logs leeren: Mit der aktuellen Version (6.9.2) leider nur durch manuelles Löschen der Datei bzw. der Datenbankeinträge möglich.

Limit Login AttemptsSpeichert IP-Adressen zum Zwecke des Brute-Force-Schutzes in der eigenen WordPress-Datenbank.

Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtiges Interesse).

Login LockDownSpeichert IP-Adressen zum Zwecke des Brute-Force-Schutzes in der eigenen WordPress-Datenbank.

Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtiges Interesse).

NinjaFirewallSpeichert IP-Adressen im Firewall-Log.

Lösung: Lassen sich in den Firewall-Optionen anonymisieren. (Quelle)

Wordfence SecurityIP-Adressen (und andere personenbezogene Daten?) werden zum Zwecke des Schutzes vor Brute-Force- und DDoS-Angriffen oder Kommentar-Spam auf WordFence-Servern gespeichert. Eine Lösung laut Support bis Mai zur Verfügung stehen.
WP Limit Login Attempts Speichert IP-Adressen zum Zwecke des Brute-Force-Schutzes in der eigenen WordPress-Datenbank.

Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtiges Interesse)

3. Anti-Spam-Plugins

Auch Anti-Spam-Plugins nutzen unter Umständen IP-Adressen oder über die Kommentarfunktionen eingegebene Daten, um Kommentar-Spam zu erkennen oder zu verhindern.

PluginDetails
AkismetAkismet übermittelt alle über das Kommentar-Formular eingegebenen Daten (Name, E-Mail, Kommentartext etc.) sowie die IP-Adresse des Nutzers an externe Server in den USA.

Lösung: Das Zusatz-Plugin Akismet Privacy Policy erlaubt es, Nutzer vor dem Kommentieren auf das Speichern der Daten hinzuweisen.

Anti-Spam-BeeDas Plugin lässt sich generell nutzen, ohne dass personenbezogene Daten von Nutzern gesammelt werden. Wenn allerdings die Optionen „Öffentliche Spamdatenbank berücksichtigen“ sowie „Kommentare nur in einer bestimmten Sprache zulassen“ aktiviert sind, werden IP-Adressen an den Dienst Stop Forum Spam übermittelt bzw. der Kommentartext zur Spracherkennung an Google Translate geschickt (Quelle)

Lösung: Genannte Optionen deaktivieren.

WPBruiserSpeichert laut Support IP-Adressen zum Zwecke des Brute-Force-Schutzes in der eigenen WordPress-Datenbank.

Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtiges Interesse) oder per Opt-In Erlaubnis zur Speicherung einholen.

WP-SpamShieldEs werden Cookies vom eigenen Server gesetzt (aber keine personenbezogenen Daten an Dritt-Server gesendet, siehe FAQ).

Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtiges Interesse) oder per Opt-In Erlaubnis zur Speicherung einholen.

4. Statistik-Plugins

Auch Statistik-Plugins speichern unter Umständen personenbezogene Daten, wie z. B. IP-Adressen.

PluginDetails
Google Analytics Dashboard for WP (GADWP) Nutzt Google Analytics, durch welches personenbezogene Daten auf Dritt-Servern gespeichert werden.

Lösung:

  • IP-Anonymisierung aktivieren  (zu finden in den Plugin-Einstellungen unter Tracking-Code > Erweiterte Einstellungen > IP-Adresse anonymisieren)
  • Hinweis in der Datenschutzerklärung und Opt-Out-Möglichkeit
  • ADV-Vertrag mit Google
Google Analytics for WordPress by MonsterInsightsNutzt Google Analytics, durch welches personenbezogene Daten auf Dritt-Servern gespeichert werden.

Lösung:

  • IP-Anonymisierung aktivieren und Berichte zur Leistung nach demografischen Merkmalen und Interessen deaktivieren (beides zu finden in den Plugin-Einstellungen unter Tracking > Demographics)
  • Hinweis in der Datenschutzerklärung und Opt-Out-Möglichkeit
  • ADV-Vertrag mit Google
StatifyVerarbeitet und speichert laut eigenen Angaben keinerlei personenbezogene Daten, auch keine IP-Adressen.
WP StatisticsDas Plugin speichert IP-Adressen der Besucher in der WordPress-Datenbank.

Lösung: IPs lassen sich in den Optionen anonymisieren (hashen).

5. Kontaktformulare

Über Kommentarformulare werden mitunter persönliche Daten in der WordPress-Datenbank gespeichert, weshalb die Nutzung nur möglich ist, wenn die Speicherung unterbunden wird oder der Nutzer der Speicherung explizit zustimmt.

PluginDetails
Contact Form 7Eingetragene Formulardaten werden dir per E-Mail geschickt, also auf deinem E-Mail-Server gespeichert. Eine zusätzliche Speicherung in der WordPress-Datenbank findet (laut meinen eigenen Recherchen) nicht statt.

Lösung: Ein Opt-In für die Datenspeicherung lässt sich per zusätzlicher Acceptance Checkbox oder mit dem Plugin WP GDPR Compliance einbinden.

Contact Form by WPFormsEingetragene Formulardaten werden dir per E-Mail geschickt, also auf deinem E-Mail-Server gespeichert und zusätzlich in der WordPress-Datenbank gespeichert.

Lösung: Ein Opt-In kann man über die Formulareinstellungen einbinden. Einen ausführlichen Guide, um das Plugin DSGVO-konform zu nutzen findet man hier.

Gravity FormsEingetragene Formulardaten werden dir per E-Mail geschickt, also auf deinem E-Mail-Server gespeichert und zusätzlich in der WordPress-Datenbank gespeichert.

Lösung: Die Speicherung in der Datenbank lässt sich mit dem Plugin Wider Gravity Forms Stop Entries oder per functions.php ausschalten. Ein Opt-In für die Datenspeicherung lässt sich z. B. mit dem Plugin WP GDPR Compliance einbinden. Gravity Forms stellt auch einen ausführlichen Guide zur DSGVO-konformen Nutzung bereit.

Ninja FormsEingetragene Formulardaten werden dir per E-Mail geschickt, also auf deinem E-Mail-Server gespeichert.

Lösung: Ein Opt-In für die Datenspeicherung kann man mittels der Formulareinstellungen einbinden. Ninja Forms stellt schon seit längerem einen ausführlichen Guide bereit, wie man Ninja Forms DSGVO-konform nutzen kann.

Super Forms – Drag & Drop Form BuilderEingetragene Formulardaten werden dir per E-Mail geschickt, also auf deinem E-Mail-Server gespeichert. Bei bestimmten Plugin-Einstellungen ist es möglich, dass Formulardaten auch in der Datenbank oder auf Dritt-Servern gespeichert werden.

Lösung: Seit Version 4.0.0 lässt sich das Plugin mit Opt-In verwenden. Siehe Changelog bei CodeCanyon.

6. Kommentare abonnieren

E-Mail-Adressen fallen laut DSGVO unter personenbezogen Daten.

Wenn du also deinen Lesern per Plugin die Möglichkeit bietest, Kommentare per E-Mail zu abonnieren, musst du darauf achten, diese DSGVO-konform zu nutzen.

PluginDetails
Replyable (ehemals Postmatic)Speichert E-Mail-Adressen in der WordPress-Datenbank. Bietet kein Double-Opt-In?
Subscribe to Comments ReloadedSpeichert E-Mail-Adressen in der WordPress-Datenbank. Kommentare zu abonnieren ist mit Double-Opt-In möglich. Die Entwickler können nicht für DSGVO-Konformität garantieren.
Subscribe2Speichert E-Mail-Adressen in der WordPress-Datenbank. Bietet kein Double-Opt-In?

7. Kommentar-Plugins

Durch Abgabe eines Kommentars werden personenbezogene Daten übermittelt (z. B. Name, E-Mail, IP-Adresse, ggf. über den Kommentartext etc.).

Durch Nutzung eines Kommentar-Plugins besteht die Möglichkeit, dass diese Daten auch an Dritte weitergegeben werden:

PluginDetails
Disqus Comment SystemDurch Abgabe eines Kommentars werden alle eingegebenen Daten, die IP-Adresse des Kommentators sowie andere Daten an Disqus-Server gesendet (und an Dritte weitergegeben).
wpDiscuzDurch Abgabe eines Kommentars werden eingegebene Daten in der WordPress-Datenbank gespeichert.

Leider bietet das Plugin noch keine Checkbox für ein explizites Opt-In. Dieses wird möglicherweise bald im Rahmen des Plugins WP GDPR zur Verfügung stehen (siehe Support-Forum und Requested Add-Ons für WP GDPR).

8. Membership-, Community- und Foren-Plugins

Wenn du einen Mitgliedsbereich in deine Website integriert hast, werden personenbezogene Daten zur Registrierung gespeichert, wie z. B. E-Mail-Adressen, Vornamen oder ggf. sogar Adress- oder Zahlungsdaten.

PluginDetails
BuddyPressSpeichert personenbezogene Daten in der WordPress-Datenbank. Bei Installation von manchen Extensions werden personenbezogene Daten auch an Dritt-Server übertragen.
DigimemberSpeichert personenbezogene Daten in der WordPress-Datenbank und übermittelt diese bei entsprechender Einstellung auch an Digistore24-Server.

Achtung: In Version 2 werden Passwörter der Mitglieder in Klartext in der WordPress-Datenbank gespeichert.

OptimizePressSpeichert personenbezogene Daten in der WordPress-Datenbank. Bei Nutzung von Drittanbieter-Integration (z. B. Zahlungsdiensten) werden personenbezogene Daten ggf. auch an Dritt-Server übertragen.
Simple:PressSpeichert personenbezogene Daten in der WordPress-Datenbank. Bei Installation von manchen Extensions (z. B. Gravatar oder ShareThis) werden personenbezogene Daten auch an Dritt-Server übertragen.
Ultimate MemberSpeichert personenbezogene Daten in der WordPress-Datenbank. Bei Installation von manchen Extensions (wie z. B. Mailchimp oder Social Login) werden personenbezogene Daten auch an Dritt-Server übertragen. Lösung ist in Arbeit.

9. Ladezeit- und Performance-Plugins

PluginDetails
AutoptimizeSpeichert laut eigenen Angaben keine personenbezogenen Daten und ist somit DSGVO-konform.
Cache EnablerSpeichert in den Grundeinstellungen keine personenbezogenen Daten und ist somit DSGVO-konform.

Werden bei Nutzung von KeyCDN personenbezogene Daten gespeichert?

Crazy LazySpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Optimize Database after Deleting RevisionsSpeichert laut meinen eigenen Rechercheen keine personenbezogenen Daten (läuft als Tool zur Bereinigung der Datenbank nur im Backend) und ist somit DSGVO-konform.
SG OptimizerSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
W3 Total CacheSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.

Achtung: Mögliche Speicherung personenbezogener Daten bei Nutzung von CDNs.

WP Fastest CacheSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
WP-OptimizeSpeichert laut meinen eigenen Rechercheen keine personenbezogenen Daten (läuft als Tool zur Bereinigung der Datenbank nur im Backend) und ist somit DSGVO-konform.
WP Rocket Speichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
WP Super CacheSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
WP-SweepSpeichert laut meinen eigenen Rechercheen keine personenbezogenen Daten (läuft als Tool zur Bereinigung der Datenbank nur im Backend) und ist somit DSGVO-konform.

10. SEO-Plugins

Bei SEO-Plugins werden in der Regel keine personenbezogenen Daten von Nutzern gespeichert, da diese der technischen Optimierung der Website (Sitemaps, Meta-Titel etc.) an sich dienen oder im Hintergrund laufen.

PluginDetails
All in One SEO PackSpeichert laut Entwickler keine personenbezogenen Daten und ist somit DSGVO-konform.
Breadcrumb NavXTSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Broken Link CheckerSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Change Permalink HelperSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Contextual Related PostsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
FV Top Level CategoriesSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Google XML SitemapsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
RedirectionSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Simple 301 RedirectsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Table of Contents PlusSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Yet Another Related Posts PluginSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Yoast SEOSpeichert laut Support keine personenbezogenen Daten und ist somit DSGVO-Konform.
XML Sitemap & Google News feedsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
wpSEOSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.

11. Bilder- und Medien-Plugins

Hier sind Plugins aufgeführt, mit denen Bilder und andere Medien bearbeitet oder optimiert werden können:

PluginDetails
Compress JPEG & PNG imagesBilder werden an Dritt-Server gesendet, was problematisch ist, wenn diese erkennbare Personen abbilden.
Enable Media ReplaceSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
EWWW Image OptimizerEs werden keine Bilder an Dritt-Server gesendet, weil das Plugin Bilder auf dem eigenen Server optimiert.

Achtung: Wenn die Cloud-Optimierung aktiviert ist, werden deine Bilder an Dritt-Server gesendet, was problematisch ist, wenn diese erkennbare Personen abbilden.

EWWW Image Optimizer CloudBilder werden an Dritt-Server gesendet, was problematisch ist, wenn diese erkennbare Personen abbilden.
Force Regenerate ThumbnailsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Kraken.io Image OptimizerBilder werden an Dritt-Server gesendet, was problematisch ist, wenn diese erkennbare Personen abbilden.
ImsantiySpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
NextGEN GallerySpeichert an sich keine personenbezogenen Daten. Allerdings scheint das Plugin eigenständig Google Fonts zu laden, was sich nicht in den Einstellungen deaktivieren lässt.

Lösung: Google Fonts händisch im Plugin entfernen (es gibt leider noch keine andere Möglichkeit).

Resize Image After UploadSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Regenerate ThumbnailsSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
ShortPixel Image OptimizerBilder werden an Dritt-Server gesendet, was problematisch ist, wenn diese erkennbare Personen abbilden.
WP Retina 2xSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.

12. Sonstige Plugins

Hier sind alle Plugin gelistet, für die es noch keine Kategorien gibt:

PluginDetails
404pageSpeichert laut Support keine personenbezogenen Daten und ist DSGVO-konform.
Advanced Access ManagerSpeichert laut Support keine personenbezogenen Daten und ist DSGVO-konform.
Advanced Custom Fields (ACF)Speichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Better Search ReplaceSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Download MonitorSpeichert die IP, wenn man unter Log-Aufzeichnung > Download-Log ein Häkchen hat.

Lösung: Häkchen entfernen.

Duplicate PostSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Elementor Page BuilderSpeichert an sich keine personenbezogenen Daten und lädt auch keine externen Ressourcen.

Bei Verwendung der Elemente „Google Maps“ und „Video“ werden allerdings personenbezogene Daten an Dritt-Server übertragen, bevor der Nutzer dem zustimmen kann.

Lösung: Das Plugin Extra Privacy for Elementor, das beide Elemente mit einer Zwei-Klick-Lösung ausstattet.

Email Address EncoderLaut Support ist das Plugin DSGVO-konform.
Genesis Columns AdvancedSpeichert laut Support keine personenbezogenen Daten und ist DSGVO-konform.
HTML Editor Syntax HighlighterSpeichert keine personenbezogenen Daten (nur im Dashboard aktiv) und ist somit DSGVO-konform.
JetpackBei Jetpack sind gleich mehrere Funktionen datenschutztechnisch problematisch:

  • Besucher-Statistiken, bei denen IP-Adressen der Nutzer gespeichert werden (lässt sich meines Wissen derzeit nicht anonymisieren)
  • CDN, bei dem Bilder aus Servern aus der ganzen Welt geladen werden (Speicherung von IP-Adressen)
  • Social-Sharing-Buttons
  • Funktion, um Kommentare per E-Mail zu abonnieren

Laut eigenen Angaben arbeitet Automattic jedoch bereits daran, Jetpack DSGVO-konform zu machen.

Den Fortschritt davon kann man auf GitHub mitverfolgen.

Zwischenlösung: Problematische Module deaktivieren.

Lana Downloads ManagerSpeichert IP-Adressen von Nutzern, die Dateien herunterladen. Es soll laut Support bis zum 25. Mai eine Option geben, um dies auszuschalten.
Loco TranslateSpeichert laut Support keine personenbezogenen Daten und ist somit DSGVO-konform.
OneSignalDurch OneSignal werden personenbezogene Daten (IP-Adressen und Geräte-IDs) an OneSignal-Server gesendet und mit Drittanbietern geteilt. Laut Support wird jedoch bereits an der DSGVO-Konformität gearbeitet.
Popup BuilderLaut Support werden keine personenbezogenen Daten durch das Plugin gespeichert.
Pretty LinksPlugin speichert IP-Adressen der Nutzer, die auf einen gecloakten Link klicken, in der WordPress-Datenbank.

Lässt sich durch Ausschalten der Klick-Statistiken unterbinden.

Eine mögliche Alternative stellt das Plugin ThirstyAffiliates dar, das keine IP-Adressen in der Datenbank zu speichern scheint.

PrintfriendlySpeichert personenbezogene Daten von Nutzern auf Dritt-Servern (bei der kostenlosen Version wird Werbung angezeigt).
Public Post PreviewSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Reviewer WordPress PluginSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
Search & ReplaceSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
TablePressSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.
tinyCoffeeSammelt keine personenbezogenen Daten vor dem Klick (Weiterleitung zu PayPal).

Wahrscheinlich ist eine Erwähnung in der Datenschutzerklärung und ein Hinweistext, dass der Nutzer zu PayPal weitergeleitet wird dennoch sinnvoll.

TinyMCE AdvancedSpeichert keine personenbezogenen Daten (nur im Dashboard aktiv) und ist somit DSGVO-konform.
User Role EditorLaut Support werden keine personenbezogenen Daten durch das Plugin gespeichert und es ist somit DSGVO-konform.
WPBakery Page Builder (ehemals Visual Composer)Speichert laut meinen eigenen Recherchen an sich keine personenbezogenen Daten.

Werden jedoch die Elemente Google Maps, Flickr Widget, Videoplayer sowie die Pinterest-,Facebook-,Twitter- oder Google-Plus-Buttons benutzt, werden unter Umständen personenbezogene Daten an Dritt-Server übertragen, bevor der Nutzer dem zustimmen kann.

Lösung: Noch keine (außer dem Verzicht auf Verwendung genannter Elemente).

WP Job ManagerPersonenbezogene Daten werden möglicherweise auf Dritt-Servern gespeichert. Eine Lösung ist laut Support in Arbeit.
WP-PageNaviSpeichert laut meinen eigenen Recherchen keine personenbezogenen Daten und ist somit DSGVO-konform.

13. Weitere Artikel zur DSGVO von Blogmojo

Du willst die DSGVO so schnell wie möglich abhaken?

Regina Stoiber hat einen tollen Online-Kurs zur DSGVO herausgebracht, der auch für Anfänger verständlich ist und ohne unnötige Panikmache auskommt. Er beinhaltet:

  • 8 Video-Module zu Themen wie Website, Auftragsdatenverarbeitung, Informationspflicht und vieles mehr (insgesamt ca. 3 Stunden)
  • Muster und Vorlagen zu allen wesentlichen Inhalten zum Download
  • Zugang zu einer exklusiven Support-Gruppe, in der sie persönlich deine Fragen zur DSGVO beantwortet (alleine schon das Geld für den Kurs wert!)

Mir persönlich haben vor allem die Module zur Auftragsverarbeitung, dem Verfahrensverzeichnis sowie der Informationspflicht weitergeholfen (zu denen man auch tolle Muster bereitgestellt bekommt). Durch das vorausgefüllte (!) Verfahrensverzeichnis ist mir z. B. viel Recherche-Arbeit erspart geblieben!

Der Kurs kostet einmalig 79 € inkl. Mwst.

Hier geht's zum Kurs!

Zum Abschluss gibt es noch etwas zum Pinnen:

103 Gedanken zu “120+ WordPress-Plugins im DSGVO-Check (mit Lösungen, Alternativen und Plugin-Tipps!)

  1. Sehe gute Zusammenfassung. Ich denke aber, da werden noch einige Updates kommen. Man sollte aber auf keinen Fall die Sache zu eng sehen oder gar in Sorge geraten.

    Selbst wenn man ein Plugin einsetzt, dass bestimmte Daten sonstwo hin schleußt: Welche Daten wären das? Und wie ist das konkret in einem … abmahnfähigen Schadensfall von wem zu beweisen?

    Hier ist das letzte Wort noch nicht gesprochen.

    • Ja, ich denke auch, dass sich da noch einiges tun wird. Der Stein kommt gerade erst ins Rollen und viele Entwickler werden ihre Plugins noch anpassen.

      Auch wie die Umsetzung der DSGVO für Website-Betreiber in manchen Aspekten konkret aussehen muss, wird noch durch Gerichtsurteile näher definiert werden.

      LG

      Finn

    • Hallo Mark,
      mt Einführung der EU-DSGVO wurde die Beweislast umgedreht. Man muss dir jetzt nicht mehr nachweisen, dass du etwas falsch gemacht, sondern du musst beweisen, dass du alles richtig gemacht hast.

      • Liebe Michaela,
        so eine Beweislast hätte ich auch gern in Verfahren z.B. mit den Banken und im Fall von Anlagebetrug. 🙂
        Persönlich finde ich Datenschutzverordnungen gut. Als Bloggerin nervt mich das aber an. Viel Arbeit und Verlust von Nutzungskomfort.
        Grüße!

  2. Ich finde deinen Beitrag und die Sichtweise sehr interessant. Allerdings hat der Beitrag auch direkt Informationslücken.

    Social Plugins -> Dort sind die meisten generell schon nicht Datenschutzkonform einsetzbar. Und das bereits weit vor der DSGVO Debatte jetzt.

    Einzig Shariff ist für den deutschen Markt zu empfehlen, weil generell schon Datenschutzkonform nach jetzigem Stand.

    Anti-Spam Plugins -> Hier verhält es sich ähnlich! Auch Akismet ist laut deutschen Datenschutz so gar nicht nutzbar. Das hat auch wenig mit der anstehenden DSGVO Richtlinie zutun.

    Es gibt da auch einfach nur den Weg Antispam-Bee zu nutzen, da es mit dem deutschen Datenschutz konform geht. Richtiger Hinweis hier ist bei dir ja schon gegeben mit dem der öffentlichen Datenbank.

    Generell halte ich viel für Panikmache, da auch vorher schon Regeln aktiv waren und sind die auf Datenschutz drängen. Jetzt kommen nur viele ins schwimmen, weil Sie sich vorher schon nicht daran gehalten haben. Oder eben schlichtweg unwissend waren.

    • Hi Daniel,

      ich gebe dir vollkommen recht damit, dass aktuell sehr viel Panik verbreitet wird und dass die DSGVO in vielerlei Hinsicht nichts Neues bringt.

      Die Speicherung von IP-Adressen ohne vorherige Einwilligung des Nutzers war auch schon vor der DSGVO illegal (und somit auch die Nutzung von Akismet ohne Opt-In). Das gleiche gilt für das Nutzer-Tracking durch soziale Netzwerke.

      LG

      Finn

    • Hi Tina,

      freut mich, danke! 😉

      Ja, die Farben muss ich noch einmal überdenken. Rot oder gelb heißt ja nicht, dass man die Plugins gar nicht mehr nutzen kann, sondern dass für die DSGVO-konforme Nutzung ggf. Anpassungen erforderlich sind (wie z. B. ein Opt-In, ADV-Vertrag, Erwähnung in der Datenschutzerklärung etc.), weil Daten darüber gesammelt werden.

      LG

      Finn

  3. Hallo!
    Vielen Dank für diesen hilfreichen und ausführlichen Beitrag zur DSGV. Ich bin Blogger-Neuling und damit sowieso am Anfang eines langen Lernprozesses. Mit der neuen DSGV habe ich noch weniger Überblick… Mit jedem Blogartikel wie diesem blicke ich Schritt für Schritt ein wenig mehr durch!

    Kennst du dich mit Backup-Plugins aus? Ich habe gelesen, dass Backups grundsätzlich schwierig sing mit den neuen Datenschutzregeln…? Zur Zeit nutze ich BackWPup. Wie kann ich rausfinden, ob dieses (oder ein Plugin algemein) Daten speichert, die es nicht speichern soll?

    Viele Grüße
    Katha

    • Hi Katharina,

      bei Backup-Plugins bin ich mir selbst nicht 100% sicher.

      Theoretisch sollte es immer okay sein, wenn du Backups auf dem eigenen Server speicherst. Wenn du allerdings Backups auf einem externen Server, wie z. B. Google Drive, Dropbox etc. speicherst und diese Backups personenbezogene Daten enthalten (z. B. wenn IPs oder E-Mail-Adressen in deiner WordPress-Datenbank gespeichert sind), sieht das schon wieder anders aus.

      LG

      Finn

  4. Lieber Finn,

    danke für die hilfreiche Zusammenstellung. Bis auf Anti-Spam-Bee und Contact Forms 7 nutze ich nichts aus der Liste. WP GDPR Compliance werde ich (zu gegebener Zeit) in unser Blog integrieren.

    Herzliche Grüße
    Patrick

    • Hi Patrick,

      gerne! 😉

      WP GDPR Compliance nutze ich auch hier auf Blogmojo für Kommentare und Kontaktformulare von Contact Forms 7. Bin bis jetzt zufrieden damit!

      LG

      finn

  5. Hallo,
    super Liste, hat mir schon sehr weiter geholfen.
    Wenn ich bei Ithemes Security den Netzwerk Brute Force Schutz deaktiviere ist das Plugin ok?
    Weißt du zufällig wie es mit NoSpamNX aussieht?
    Vielen Dank und LG

  6. Ich habe heute von Auttomatic den Auftragsdatenverarbeitungsvertrag zugeschickt bekommen. Laut diesem ist Jetpack zwischenzeitlich dsgvo konform…

  7. Hallo Finn,

    erst vielen herzlichen Dank für deinen Artikel! Der Hinweis zu Autoptimize „Entfernen der Google Fonts“ ist Gold wert. 😉

    Für die Kontaktformulare nutze ich „Super Forms – Drag & Drop Form Builder“ und konnte weder in der FB Gruppe noch sonst im Web etwas finden. Vielleicht weißt du mehr, aber ich gehe mal davon aus, dass auch hier „WP GDPR Compliance“ oder ähnliche Plugins notwendig sind…

    Beste Grüße, Tobias

    • Hi Tobias,

      danke, freut mich! 😉

      Ich habe das gerade mal recherchiert und die Option, ein Opt-In einzubinden, wurde mit der neuesten Version (4.0.0) eingeführt. Im Changelog steht:

      – Added: (GDPR compliance) Option to only save contact entry when a specific condition is met (Form Settings > Form Settings)

      LG

      Finn

  8. Hallo,

    ich habe eine Frage zu AntiSpam Bee. Muss ich den Punkt „IP-Adresse des Kommentators validieren“ auch deaktivieren, ohne dass Nutzerdaten gesammelt werden?

    Danke und Grüße
    Meike

    • Hi Meike,

      das ist eine gute Frage. Ich weiß nicht genau, ob während dieses Vorgangs die IP gespeichert wird oder nicht. Ich würde sie vorsichtshalber auch deaktivieren.

      LG

      Finn

  9. Vielen Dank für die vielen Infos – das hat mir sehr weiter geholfen … ich arbeite gerade an meinem Blog. Eine Frage hätte ich noch zu den Sicherheitsplugins … bieten die beiden letztgenannten denn deiner Meinung nach eine ähnliche Sicherheit wie z.B. Wordfence, kennst du noch Alternativen? Vielen Dank! Ingrid

  10. Hallo Finn,
    du solltest dein Opt-In für die Kommentar überarbeiten! Ist leider nicht ganz konform mit der DSGVO.
    Sollte eher so aussehen:
    Mit der Nutzung dieses Formulars erteile ich meine Zustimmung zur Datenspeicherung lt. DSGVO. “Um die Übersicht über Kommentare zu behalten und Missbrauch zu verhindern, speichert diese Webseite (www.xxxxx) mit Absenden Ihres Kommentars Name, E-Mail, Kommentar, URL und Zeitstempel in einer Datenbank. Sie können Ihre Kommentare natürlich später jederzeit wieder löschen lassen. Detaillierte Informationen finden Sie in der Datenschutzerklärung(link)

    p.s.
    Ich habe das Speichern der IP Adresse für Kommentare in der function.php abgeschaltet.

    • Hi Michaela,

      ja, das stimmt. Ich werde das noch vor dem Stichtag anpassen. 😉

      Viele andere Dinge sind bei mir auch noch nicht angepasst. Ich muss mehr als 40 WordPress-Websites von mir und von Kunden DSGVO-sicher machen. Das nimmt mehr Zeit in Anspruch als ich angenommen hatte.

      Aber ich bin auf einem guten Weg! Bin gerade dabei AV-Verträge mit allen Hostern (und anderen Dienstleistern) abzuschließen. 😉

      LG

      Finn

      PS: Ja, ich habe das auch per functions.php abgeschaltet, finde ich schöner als per Plugin.

  11. Wirklich hilfreicher Artikel – danke dafür, Finn!
    Ich hatte vor ein paar Wochen Social Warfare angeschrieben, um zu fragen wie es denn aussieht im Bezug zur DSGVO. Dort wurde mir versichert, dass das Plug-In DSGVO-konform ist – laut deiner Liste stimmt das jedoch nicht. Da muss ich wohl noch einmal genauer nachhaken.

    LG, Lisa

    • Hi Lisa,

      ja, ich bin mir bei Social Warfare auch nicht hundertprozentig sicher. Manchmal wird bei mir der Facebook Social Graph geladen und manchmal nicht.

      Ich werde das in den nächsten Wochen noch einmal ausführlicher testen, denn ich mag das Plugin sehr und würde es gerne behalten 😉

      LG

      Finn

  12. Hallo, informativer Beitrag 🙂 Ich nutze WordPress und auf meinem Blog kann mann kommentieren mit Angabe der Mail Adresse und Newsletter abonnieren. Bei den ganzen Artikeln und Informationen bin ich jetzt total durcheinander. Was MUSS ich nun definitiv ändern bzw. welche Plugins runterladen damit ich es laut DGSVO richtig mache? Danke für die Hilfe. Lg Claudia

    • Danke! 😉

      Was du bzgl. der DSGVO vornehmen musst, ist sehr individuell für jede Website. Ich gehe so vor:

      1. Ich schaue, welche personenbezogene Daten überhaupt auf meinem Blog gesammelt und wo diese gespeichert werden (dabei kann dir meine Plugin-Liste helfen!). Typische Dinge sind Newsletter, Kontaktformulare, Social-Plugins etc.
      2. Ich entscheide, welche personenbezogenen Daten wichtig für mich sind und auf welche Dienste, Plugins, Funktionen oder Tools ich nicht verzichten kann (Stichwort: Datensparsamkeit!)
      3. Ich schaue, wie ich die übrig gebliebenen Dienste, Plugins etc. weiter nutzen kann (z. B. mit einem Opt-In, Nennung in der Datenschutzerklärung, ADV-Vertrag, Aufführung im Verfahrensverzeichnis etc.) und setze die Maßnahmen um.

      Ich hoffe, dir hilft das weiter.

      LG

      Finn

  13. Hallo,

    Vielen Dank für die Liste.

    Wenn ich es richtig sehe, dann stimmt Monarch nicht ganz. Der reine Button-Klick überträgt doch nichts an Facebook und Co? (außer, dass sich natürlich das Teilenpopup öffnet).

    Interessant ist die Statistik. Das Feature ist so gut versteckt, hatte ich noch nie gesehen.

    Vielen Dank,

    Adrian

    • Hi Adrian,

      ich habe das noch einmal gecheckt und es werden durch die Buttons anscheinend keine Daten übertragen, bevor der Nutzer klickt.

      Allerdings werden für statische Zwecke IP-Adressen in der Datenbank gespeichert.

      LG

      Finn

  14. Eigentlich bin ich nicht verwundert über die Unkenntnis vieler. Es ist doch so, dass jeder WordPress aufsetzen kann und dann aus den unzähligen Angeboten zig Plugins installiert. Keiner dieser Laien, ja, die meisten Blogger sind schlicht Laien und haben weder Ahnung noch Interesse sich zu informieren, macht sich die Mühe den Plugins auf den Grund zugehen. Da werden einfach Sachen installiert und nichts hinterfragt.

    Die Datenschutzverordnung ist der einzig richtige Weg und allein deswegen werden sich schon die Spreu vom Weizen trennen. Ich hoffe auch, dass es eine Welle von Abmahnungen gibt, die auch durch die Presse gehen wird, damit alle Laien mal wach gerüttelt werden.

    Diese Laien tragen mit Schuld an vielen Missständen im Internet. Wenn diese Laien sich wenigstens informieren würden. Ich sage ja zum neuen/alten Datenschutz. Mehr davon, damit das alles professioneller wird und schwarze Schafe abgemahnt werden.

    • Hi Dennis,

      ich persönlich heiße die neuen Bestimmungen auch gut. Als Blogger sowie als Leser.

      Ich wünsche zwar niemandem eine Abmahnung, aber ich finde es gut, dass durch die DSGVO viele Leute wachgerüttelt und dazu animiert werden, sich intensiver mit Datenschutz zu beschäftigen, Datensparsamkeit zu praktizieren und transparenter darüber zu informieren.

      LG

      Finn

  15. Hey Finn,
    hast du Remove Comment IP schon getestet, ich bin nämlich noch skeptisch, da es anscheinend recht neu ist. Keine Bewertung, nur 40+ Downloads. Irgendwie macht mir sowas immer etwas Unbehagen. Im Augenblick habe ich alle alten IPs aus der Datenbank gelöscht und wollte die neueren für 6 Monate aufbewahren für den Fall der Fälle. Steht auch in meiner Datenschutzerklärung. Sind 6 Monate zu lang?
    Viele Grüße von Annie

    • Hi Annie,

      nein, habe das Plugin noch nicht selbst getestet, sondern auf Empfehlung hinzugefügt. Wenn du es schon im Einsatz hattest, berichte mir gerne darüber!

      LG

      Finn

  16. Dankeschön für Tipps und Aufklären, jedoch ist mir nicht ganz klar wie soll mann DSGVO bei Shops / WooCommerce funktionieren.

    Kann mich da einer mehr dzu sagen. Danke

    • Hi Richard,

      es gibt unglaublich viele Extensions für WooCommerce, deshalb kann ich WooCommerce im Artikel nicht im Detail behandeln.

      Meine Empfehlung: Schau, welche personenbezogenen Daten bei WooCommerce wo gespeichert werden (Zahlungsanbieter etc.).

      Und dann schau, dass du diese Daten DSGVO-konform erfasst und schützt (mit Opt-In, Erwähnung in der Datenschutzerklärung, Sicherheitskonzept für deinen Online-Shop, ggf. ADV-Verträgen etc.).

      LG

      Finn

  17. Hat jemand eine Alternative zum Embed videos and respect privacy Plugin? Ich habe es soeben ausprobiert, doch leider zerschießt es mir das Layout…

    • Hi Carry,

      ich kenne aktuell keine Alternative. Ich suche selbst noch nach einer guten Lösung. 😉

      YouTube bietet übrigens selbst einen erweiterten Datenschutz-Modus an, bei dem kein Cookie gesetzt wird. Ich weiß nicht, ob das 100% datenschutzkonform ist, ist aber auf jeden Fall besser als nichts. So aktivierst du ihn:

      1. Bei YouTube auf Teilen > Einbetten klicken
      2. Unter Optionen zum Einbetten ein Häkchen bei „Erweiterten Datenschutzmodus aktivieren.“ setzen.
      3. Code kopieren und in die eigene Website einfügen.

      LG

      Finn

  18. Hallo und danke für den Beitrag.

    – Weißt du wie es mit bbress Foren aussieht. Muss es da nicht ähnlich behandelt werden wie mit Kommentaren?
    -Ich habe wp-members im Einsatz. Hier wird bei jeder Registrierung die IP Adresse mit gespeichert. Ist das OK? Du speicherst ja anscheinend auch IP Adressen bei Kommentaren… hatte gedacht es wäre gar nicht mehr erlaubt?

    danke
    lg

    • Hi Micha,

      1. Ja, genau.
      2. Ja, wenn du das per Opt-In von deinen Nutzern bestätigen lässt (man kann auch mit dem „berechtigten Interesse“ die Speicherung der IP-Adresse begründen, aber ein explizites Opt-In ist wahrscheinlich immer die sicherere Variante).

      LG

      Finn

  19. Hallo Finn,

    herzlichen Dank für diese super Übersicht. Sie ist eine große Hilfe für WP-Blogger. Daher habe ich sie gern auch in meinem Blog verlinkt (Fahrplan zur DSGVO).

    Herzliche Grüße
    Monika

  20. Hallo,
    in der Legende stehen die Farben orange, gelb, blau. Ich kann aber nicht erkennen wo sie welchem Plugin zugeordnet sind. Bei mir ist alles Pink.
    LG
    Anja

    • Hi Anja,

      danke für den Hinweis! Werde mal schauen, was die Ursache davon ist.

      Welchen Browser und welches Betriebssystem nutzt du? Hast du vielleicht einen Screenshot dazu?

      LG

      Finn

  21. Guter Artikel – aber was ich nicht ganz verstehe, ist die Begründung für Contact Form 7.

    Wenn ich das Plugin (ohne Zusatzplugins wie z.B. Flamingo) verwende – also keine Daten innerhalb WordPress speichere, erhalte ich „nur“ eine E-Mail. O.k. – diese wird auf meinem E-Mail-Server gespeichert. Aber wenn mir jemand eine E-Mail über sein E-Mail-Programm schreibt, dann erhalte ich ja auch nicht explizit die Erlaubnis die personenbezogenen Daten zu speichern.

    Ich bin der Meinung, wenn jemand ein Kontakt-/Kommentarformular ausfüllt, muss dieser davon ausgehen, dass diese Daten auch gespeichert werden – und sei es nur auf dem E-Mail-Server.

    Wenn ich einen Brief schreibe, dann erhält der Empfänger ja auch meine persönlichen Daten in Form des Absenders und speichert diese ab – wenn auch analog.

    Ich will nicht sagen, dass die DSGVO nicht notwendig ist, aber in manchen Bereichen ist sie doch ein klein wenig übertrieben.

    Eine Frage habe ich noch: Sollte/muss ich als Betreiber einer Webseite einen Vertrag zur Auftragsverarbeitung abschließen?

    Grüße
    Thomas

    • Hi Thomas,

      ja, die DSGVO setzt zum Teil Standards an, die realitätsfern und schwierig umzusetzen sind und sorgt für mehr Bürokratie.

      Sie bietet aber auch viel Sinnvolles (z. B. das Recht auf Löschung!). Als Verbraucher finde ich die DSGVO begrüßenswert (auch wenn ich als Website-Betreibe darüber fluche).

      Ja, du brauchst als Website-Betreibe einen Vertrag mit deinem Hosting-Anbieter, der als Auftragsverarbeiter fungiert. Das meinst du doch oder?

      LG

      Finn

  22. Hallo Finn,
    habe bisher immer den Explorer benutzt. Da ist nur grün als Farbe zu sehen.
    Hab jetzt mal Google Crome ausprobiert und da ist alles super.
    Muss ich mich wohl mal umgewöhnen.
    LG
    Anja

    • Ah okay. Ja, es kann sein, das der Explorer die #rrggbbaa-Farben nicht unterstützt. Ich schaue mal, dass ich die in normale Hex- oder RGBA-Farben umwandele.

      LG

      Finn

  23. Warum genau ist „Easy Social Share Button“ problematisch. Der setzt wie Shariff auf eine Zwei-Klick Lösung. Macht der die Verbindung zu den Social Media Netzwerken zu voreilig auf?

    Auf mobile (Android, Chrome) sind die Tabellenfelder nicht farbig hinterlegt.

    • Hi Ferdinand,

      das Plugin Easy Social Share Buttons ist problematisch, weil eine Verbindung zum Facebook Social Graph hergestellt wird, um die Share Counts anzuzeigen.

      Die Tabellenfarben habe ich jetzt geändert, es sollte jetzt alles korrekt angezeigt werden 😉

      LG

      Finn

  24. Hi, super cooler Artikel und sehr hilfreich in diesen „unsicheren“ 🙂 Zeiten.
    Weiß jemand ob das Plugin „WP User Avatar“ irgendwas auf fremden Servern speichert oder das dieses Plugin DSGVO konform wäre?

    Danke und VG

  25. Erstmal danke! Vielleicht magst du auch noch das Plugin „Login LockDown“ aufnehmen:
    Hier eine Info dazu vom Entwickler: Login LockDown records the IP address and timestamp of every failed login attempt. […] This helps to prevent brute force password discovery. […] Die Daten werden bei wp in der Datenbank gespeichert.

  26. Hallo Finn,

    auch diese Zusammenfassung ist super. Danke!

    Welches Sharing Plugin nutzt Du im Moment noch?

    Und ist es nach Deiner Erfahrung notwendig, dass unter der Kommentarfunktion die Datenschutzerklärung abgehakt werden muss?

    Danke und Grüße!
    Keno

    • Hi Keno,

      ich nutze aktuell Social Warfare, ist allerdings noch nicht 100% datenschutzkonform (nur mit eigenen Anpassungen an den Plugin-Dateien). Im Frontend wird noch der Facebook Open Graph geladen. Die Entwickler arbeiten aber anscheinend schon an einer Lösung.

      Ansonsten ist das Plugin Shariff Wrapper aktuell die wohl sicherste Wahl (mir gefällt allerdings das Design nicht so).

      Was die Checkbox unter den Kommentaren anbelangt: Es kann sein, dass es auch ohne Checkbox und nur dem Hinweistext geht. Da bin ich mir allerdings nicht hundertprozentig sicher (auch wegen der Nachweispflicht), deswegen nutze ich das Plugin WP GDPR Compliance, das nicht nur eine Checkbox bietet, sondern auch einen Zeitstempel der Zustimmung in der Datenbank sichert.

      LG

      Finn

  27. Hi Finn,

    vielen Dank für die Zusammenfassung.

    Hier noch ein paar andere Plugins die ich gefunden habe:

    All In One WP Security : When you use the aiowps plugin, no personal data is collected by me or co-contributers as a result of you using this plugin. (https://wordpress.org/support/topic/is-aiowps-gdpr-compliant/)

    User Role Editor : User Role Editor does not store or process personal data in any way. (https://wordpress.org/support/topic/user-role-editor-gdpr-compliant/)

    UpdraftPlus – Backup/Restore : If you have not got an updraftplus.com account (e.g. to use UpdraftCentral Cloud) then, as you can read there, we have no data that concerns you. (https://updraftplus.com/faqs/i-wish-you-to-delete-all-personal-data-which-you-hold-upon-me-gdpr-right-to-be-forgotten-right-to-erasure/)

    Asgaros Forum : Asgaros Forum sammelt/erhebt weder (die oben genannten) personenbezogenen Daten noch werden IP-Adressen in irgendeiner Form gespeichert/ausgewertet. (https://www.asgaros.de/support/?view=thread&id=751)

  28. Hallo Finn,

    herzlichen Dank für die tolle Liste. So ganz langsam sehe ich ein wenig Licht am Ende des Tunnels. 🙂

    Wo ich mir noch unsicher bin, ist das Plugin tinyCoffee. Weißt du dazu vielleicht zufällig was?

    lg

    Anika

    • Hi Anika,

      gerne, freut mich! 😀

      Habe mir tinyCoffee angeschaut und das schein okay zu sein. Sammelt nach meinen Recherchen keine personenbezogenen Daten vor dem Klick (Weiterleitung zu PayPal).

      Wahrscheinlich ist eine Erwähnung in der Datenschutzerklärung und ein Hinweistext unter dem Button, dass der Nutzer zu PayPal weitergeleitet wird, dennoch sinnvoll.

      LG

      Finn

  29. Thanks for writing such a thorough and helpful article, Finn. I will be looking through some of the plugins on the list that I use to see if any adjustment needs to be made.

    I wanted to sort out the Social Warfare compliance for you so you can either update the listing OR tell me what I’m missing.

    Social Warfare does not collect ANY personal data from the people who visit a website that uses Social Warfare share buttons. Our buttons are merely utilizing the 3rd party share APIs of the respective networks. As soon as someone clicks a Social Warfare share button, everything that occurs after that click is handled by the social network’s API. Social Warfare does not track or see any information after the click.

    Our UTM tracking feature merely adds a string to the end of a shared URL so that Google Analytics can record that traffic data–Warfare Plugins does not recieve, record, or track ANY of that data.

    Our click-tracking feature is merely a Google Analytics event, which, again, is recorded by Google Analytics, not Social Warfare.

    So it is without question that Social Warfare has full compliance with GDPR because we don’t track/store a single thing.

    • Hi Dustin,

      thanks for your statement regarding Social Warfare!

      I originally marked the plugin as non-compliant with GDPR since it used the Facebook Social Graph to collect share counts in the front end (as shown by the browser extension Ghostery), which may store personal data of users on Facebook servers.

      However, I took a closer look at the plugin yesterday testing 20 of my own articles and could’t find any trace of the Facebook Social Graph when using Chrome Dev Tools.

      So I marked it as GDPR-compliant now.

      Cheers,

      Finn

  30. Hi, Super Liste! Danke dafür!

    Als kleiner Hinweis. Das Plugin NextGen Gallery greift bei mir selbstständig auf die Google fonts zu.
    Damit ist es meiner Meinung nach nicht ganz so uneingeschränkt DSGVO Konform.

    Für Lösungsansätze, was ein solches Problem angeht, bin ich sehr dankbar!

    Lieben Gruß, Karim.

    • Hi Karim,

      danke für die Info! 😉

      Ich habe das gerade getestet und bei mir werden durch NextGen Gallery (Version 2.2.54, kostenlos) keine Google Fonts hinzugefügt.

      Welche Version nutzt du? Und nutzt du die kostenlose Variante oder PRO? Und bist du dir sicher, dass die Google Fonts von NextGen kommen und nicht vom Theme oder einem anderen Plugin (Screenshot wäre super!)?

      LG

      Finn

      • Hi Finn,

        Also ich habe die selbe Version wie du und zusätzlich noch die Pro Variante am Laufen!
        Ziemlich sicher, dass sie wegen des Plugins abgerufen werden! Habe auch schon die von NextGen angeschrieben, die es auch bestätigt haben.
        Leider möchten sie es nicht als optionale Möglichkeit anbieten, sodass sie es mir selbst überlassen haben, den Code anzupassen! Sehr sehr ärgerlich, da ich das nicht kann und bei einem Bezahl-Plugin auch nicht möchte! Wenn ich nicht über 100 Galerien mit über 2000 Bilder darüber eingebunden hätte, wären sie mich jetzt los! Der Support war nicht gut, was mir dort schon mehrfach aufgefallen ist 🙁

        Deshalb kann ich nur jedem Empfehlen, in den Beiträgen, in denen eine Galerie von NextGen enthalten ist, das ganze Mal selbst zu überprüfen! Ehrlich gesagt verstehe ich auch nicht so recht den Grund warum die ihre eigenen fonts extern laden müssen :/

        Lieben Gruß
        Karim

        • Hi Karim,

          vielen Dank für die Erläuterungen! Habe das gerade in der Liste ergänzt.

          Hmm, aber das ist ja doof. Ein Plugin sollte nicht einfach so Google Fonts laden, ohne dass man das ausstellen kann 🙁

          Bin aber auch nicht so zufrieden mit NextGen. Hat mir schon mehrmals mit Updates die Website zerschossen und hatte schon öfter mal Probleme, weil das Plugin das Backend verlangsamt hat.

          LG

          Finn

  31. Hallo Finn,
    das ist ja wirklich eine tolle Liste, danke für die Arbeit.
    Ich benutze die PlugIns Notes Widget Wrapper und PricingTable, kann zur DSGVO-Konformität aber bisher nichts finden.
    Kennst du die zufällig, bzw. weißt was dazu?
    LG Robert

    • Hi Robert,

      die Plugins kenne ich nicht und es liegen mir aktuell keine Infos vor. Ich schaue sie mir aber gerne mal an.

      LG

      Finn

  32. Hallo Finn,
    tolle Zusammenfassung! 🙂

    Ein paar PlugIn’s hätte ich für die Liste noch. Allerdings bislang ohne Einschätzung/Rückmeldung.
    – EU Cookie Law (von Alex Moss, Marco Milesi, Peadig, Shane Jones)
    – Optimize Database after Deleting Revisions (von CAGE Web Design)
    – All 404 Redirect to Homepage (von Fakhri Alsadi)
    – Divi-Kontaktformular-Modul (Bestandteil von Divi)

  33. Hallo,
    super Liste, sehr hilfreich! Steckt einiges an Aufwand dahinter, viele meiner Plugins sind vertreten 🙂
    Vermisse aber ebenfalls noch Captcha-Plugins, insbesondere für Google reCaptcha.

    Danke!

    • Hi Norman,

      ich habe gerade das Plugin „Google Captcha (reCAPTCHA) by BestWebSoft“ zur Liste hinzugefügt.

      Ich würde generell von der Nutzung von Google reCAPTCHA absehen, da Besucher möglicherweise darüber getrackt werden könnten. Google selbst verlangt im Rahmen seiner neuen EU User Consent Policy auch ein Opt-In dafür, was ebenfalls ein Grund ist, es nicht mehr zu nutzen.

      LG

      Finn

Schreibe einen Kommentar