• English

WordPress Plugins Und Die Dsgvo: Ithemes Security, Yoast, Woocommerce Und Co.

WordPress Plugins und DSGVO
von Michael
25. Oktober 2022

Welche WordPress Plugins sind DSGVO-konform?

Seit Mai 2018 gilt in Deutschland die DSGVO: eine neue EU-Verordnung, die den Umgang von Unternehmen mit personenbezogenen Daten regelt. Die Datenschutzgrundverordnung gilt damit nicht nur für große Firmen, sondern für jedes Unternehmen, das aktiv eine Webseite betreibt – beispielsweise mit dem Content Management System WordPress. Doch nicht nur WordPress selber muss im Bezug auf die DSGVO abgesichert werden, sondern auch die funktionserweiternden Plugins!


Mehr Informationen zur DSGVO und deren Richtlinien findest du in unserem Gespräch mit Rechtsanwalt Marcus Dury zum Thema DSGVO und US-Drittanbieter und in unserem Artikel zum Thema WordPress DSGVO-konform gestalten.


Wir zeigen dir jetzt, welche WordPress Plugins du für die wichtigsten Bereiche deiner Webseite bedenkenlos verwenden kannst.

Inhaltsverzeichnis

  1. WordPress Plugin und DSGVO – was ist jetzt noch erlaubt?
  2. Backup Plugins
  3. SEO Plugins
  4. Security Plugins
  5. Social Plugins
  6. Anti Spam Plugins
  7. Cache / Performance Plugins
  8. Analyse Plugins
  9. WooCommerce
  10. Fazit

1. WordPress Plugin und DSGVO – was ist jetzt noch erlaubt?

Viele kostenlose und kostenpflichtige WordPress Plugins speichern personenbezogene Daten (z.B. in Form von IP Adressen), so auch Yoast, iThemes Security und Wordfence. Dabei müssen zwei Arten der Speicherung unterschieden werden: Die Speicherung der Daten in der eigenen WordPress Datenbank und die Speicherung der Daten auf externen Servern. Bei einigen WordPress Plugins lässt sich anhand der Einstellungen das Versenden der personenbezogenen Daten ausschalten.


Denn bei der Benutzung von WordPress muss sich mittlerweile zwingend an die Vorschriften der DSGVO gehalten werden – da es sich hierbei um die Verarbeitung personenbezogener Daten handelt. Personenbezogene Daten sind alle Informationen, die sich auf konkrete Personen beziehen, wie beispielsweise Vor- und Nachname, Anschrift, E-Mail-Adresse, Zahlungsdaten oder die IP-Adresse.


Da jeder WordPress-Blog die IP-Adressen der Nutzer speichert, betreffen die Richtlinien der DSGVO nicht nur große Unternehmen, sondern auch Vereine, Blogger oder ähnliche Webseitenformen. Lediglich private Seiten ohne Gewinnerzielungsabsicht sind hiervon ausgenommen, sofern sie keine Analyse Tools wie google Analytics verwenden. Wir raten hier deswegen grundlegend dazu, immer darauf zu achten, dass WordPress Webseiten jeder Art DSGVO-konform ausgerichtet werden.


Datenschutz


Der Datenschutz hat mittlerweile immer oberste Priorität bei der Benutzung von Diensten wie WordPress und WordPress Plugins. Daher müssen alle Daten rechtmäßig erhoben werden. Dabei ist es besonders sinnvoll, Daten nur so lange wie nötig zu speichern, nur für den bestimmten Zweck zu beschränken und die Bearbeitung der Daten zu dokumentieren.

2. Backup Plugins

BackWPup und Updraft Plus

BackWPUp-Plugin
Updraft Plus
Backup Plugins dienen dazu, die Daten deiner Webseite oder deines Online Shops auf einem Server zu speichern – also Bilder, Videos, Beiträge und auch Themes. Die meisten Plugins bieten mittlerweile aber viel mehr Funktionen an, um deine Daten beispielsweise automatisch und regelmäßig abzusichern.


Backup Tools wie BackWPUp oder UpdraftPlus speichern personenbezogene Daten wie IP Adressen oder E-Mail Adressen, sobald diese Daten auch auf der Webseite gespeichert werden (z.B. in den Kommentaren). Wenn WordPress so eingestellt ist, dass keine IP Adressen oder E-Mail Adressen gespeichert werden, ist auch ein Backup auf deinem eigenen Server kein Problem.


‼️ Achtung


Eine Ausnahme besteht jedoch, wenn das WordPress Tool so eingestellt ist, dass die Backups auf externen Servern abgelegt werden. Hier entsteht im Rahmen der DSGVO eine Informationspflicht für die Weiterleitung der personenbezogenen Daten. Wir raten dir deshalb, diese Einstellung nicht zu benutzen.

3. SEO Plugins

Yoast und All-in-One

Das Plugin Yoast
Das Plugin All in One SEO Pack
SEO-Plugins unterstützen dich grundlegend bei der Verwaltung deiner SEO Maßnahmen und bieten viele praktische Funktionen zu dessen Umsetzung an. Die beliebten SEO Plugins Yoast-SEO-Plugin oder das All-in-One-SEO-Pack speichern dabei keine personenbezogenen Daten. Das bedeutet, du kannst die WordPress Plugins ohne Anpassungen wie bisher DSGVO-konform verwenden.


Einen Überblick über die 5 besten SEO Plugins für WordPress findest du in unserem Blog. Hier wird dir unter anderem das SEO Plugin Yoast noch einmal ausführlicher vorgestellt.

4. Security Plugins

iThemes Security, Wordfence, Real Cookie Banner und OMGF

Das Plugin iThemes Security
DAs Plugin Wordfence
Das Plugin Real Cookie Banner
Das Plugin OMGF
Sicherheits-Plugins dienen dazu deine Webseite vor Hackern, Malware, Datei Scanning zu schützen und aktiv zu überwachen. WordPress Security Plugins wie z.B. iThemes Security oder Wordfence solltest du in Bezug auf die DSGVO mit besonderer Vorsicht behandeln. Viele dieser WordPress Plugins überprüfen und / oder limitieren die Login-Versuche und speichern dazu IP-Adressen. Ein Hinweis in der Datenschutzerklärung ist bei der Verwendung von Plugins, wie iThemes Security und Wordfence Pflicht. Besondere Vorsicht ist geboten, wenn das Plugin Statistiken der Login Versuche erstellt und diese auf externen Servern speichert. Aus Sicht der DSGVO-Richtlinien ist es am sinnvollsten, wenn du diese Funktion sowohl bei iThemes Security, als auch bei Wordfence deaktivierst.


Richtig praktisch und vor allem beliebt ist das Plugin Real Cookie Banner. Das Plugin für Cookie Banner erleichtert dir die Aufklärung der verwendeten Cookies auf deiner WordPress Webseite und das auch noch DSGVO-konform. Das Plugin kann mit seinen Grundeinstellungen so verwendet werden. Bei kritischen Veränderungen oder Anpassungen, weist dich das Plugin darauf hin, dass deine Inhalte eventuell nicht mehr DSGVO-konform sind. Mehr Informationen und eine Anleitung haben wir in unserem Real Cookie Banner Tutorial.


Insbesondere das Plugin OMGF sichert dich aktuell, aufgrund der Abmahnungen bzgl. Google Fonts, rechts- und DSGVO-konform ab. Mit der Installation des Plugins kannst du die Verwendung von Google Fonts einfach bei WordPress integrieren. Auch hier kannst die voreingestellten Einstellungen übernehmen.

5. Social Plugins

Shariff Wrapper, Social Slider und Better click to Tweet

Das Plugin Shariff Wrapper
Das Plugin Social Slider
Das Plugin Better Click to Tweet
Viele WordPress-Seiten nutzen Plugins, die sogenannte „Social Floating Bars“ bereitstellen – dabei werden deine Social Media Kanäle meist am Anfang oder Ende deiner Webseite als kleine Icons oder in Form von Buttons angezeigt. Darüber kannst du oftmals deine Beiträge oder Seiten mit nur einem Klick teilen. Problematisch bei den Social Media Plugins bei WordPress ist hierbei allerdings, dass schon beim Aufrufen der Website persönliche Daten des Nutzers an Facebook, Instagram und Co. gesendet und die Plugins somit nicht DSGVO-konform verwendet werden können. Wer auf diese Plugins trotzdem nicht verzichten möchte, kann das Plugin Shariff Wrapper mal ausprobieren. Das Plugin versendet personenbezogene Daten erst nach einem Klick auf den Teilen-Button.


Mit dem Plugin Social Slider kannst du beispielsweise dein Instagram Profil mit allen Bildern in deine Webseite integrieren. Social Slider verarbeitet tatsächlich gar keine personenbezogenen Daten und setzt auch keine Cookies. Die Bilder werden außerdem nicht über Instagram geladen, sondern lokal über WordPress eingebunden und werden dort auch als Datei abgelegt. Das Plugin kann also ganz ohne Einschränkungen verwendet werden.


Auch das WordPress Plugin Better click to Tweet kannst du bedenkenlos und DSGVO-konform verwenden. Es dient dazu, Inhalte von deinem Blog oder deiner Webseite mit wenigen Klicks direkt auf Twitter zu veröffentlichen.

6. Anti Spam Plugins

Akismet und Antispam Bee

Akismet Plugin
Das Plugin AntiSpam Bee
Anti Spam Plugins durchsuchen dein WordPress nach Spam-Kommentaren, Links oder anderen Spam-Inhalten. Akismet Spam Protection ist grundsätzlich nicht DSGVO-konform, da bei jeder Übermittlung eines Kommentars personenbezogene Daten an externe Server (in die USA) versendet werden. Wer auf Akismet nicht verzichten möchte, der muss das Zusatz-Plugin Akismet Privacy Policies installieren. Das Plugin klärt Nutzer vor dem Kommentieren über die Speicherung der Daten auf.


Als Alternative kannst du Antispam Bee verwenden. Dabei musst du jedoch in den Einstellungen die Optionen: „Kommentare aus bestimmten Ländern blockieren“, „Öffentliche Spamdatenbank berücksichtigen“ und „Kommentare nur in einer bestimmten Sprache zulassen“ deaktivieren. Danach kannst du es DSGVO-konform verwenden.

7. Cache / Performance Plugins

W3 Total Cache, WP Fastest Cache, Autoptimize und WP Rocket

W3 Total Cache
WP Fastest Cache
Autoptimize
WP Rocket
Caching Plugins weisen den Server an, einige Dateien auf Festplatte oder RAM zu speichern. Das Plugin erinnert sich an den gleichen Inhalt erinnern und kann ihn duplizieren. Dadurch werden die Webseiten viel schneller und direkt aus dem Cache geladen. Die Plugins W3 Total Cache, WP Fastest Cache oder Autoptimize speichern keine personenbezogene Daten. Deshalb kannst du sie in Einklang mit der DSGVO verwenden.


Unser persönlicher Favorit ist das Plugin WP Rocket, welches ebenfalls keine personenbezogenen Daten verwendet. Wir benutzen das WordPress Plugin als Grundlage für unseren RocketCache. Wenn deine Webseite zu HostPress migriert wird, installieren und konfigurieren wir den HostPress RocketCache für dich.

8. Analyse Plugins

Matomo und Statify

Das Tool Matomo
Das Plugin Statify
Matomo ist ein Webanalyse Tool und gilt als beliebte Alternative zu Google Analytics. Der große Pluspunkt von Matomo ist die Möglichkeit für eine einfache DSGVO-konforme Einrichtung, wobei trotzdem viele Daten für die Analyse der eigenen Webseite gesammelt werden können.


Statify bietet eine Übersicht über die Anzahl von Seitenaufurufen und speichert keine personenbezogenen Daten, wie zum Beispiel IP-Adressen. Das Plugin zählt lediglich die Anzahl der Aufrufe der Webseite und nicht die Besucher selbst – deswegen ist es einfach und DSGVO-konform zu verwenden.

9. WooCommerce

Das Plugin WooCommerce gibt es kostenfrei bei WordPress
Eins der wichtigsten Plugins für WordPress ist WooCommerce. Als Online-Shop Erweiterung verwendet, speichert das Plugin natürlich verschiedene personenbezogene Daten, wie beispielsweise Kunden-, Kontakt- und Zahlungsdaten. Diese werden möglicherweise auch an Drittanbieter wie Paypal weitergegeben.


Automattic selbst stellt auf der Übersichtsseite von WooCommerce und dem offiziellen WooCommerce Blog zahlreiche Informationen bereit, wie du deinen Online-Shop DSGVO-konform verwenden kannst.

10. Fazit

Die neue Datenschutzgrundverordnung (DSGVO) bringt einige Änderungen hinsichtlich des Umgangs mit WordPress Plugins mit sich. Webseiten Betreiber müssen in Zukunft sensibler mit Plugins umgehen und sich vor deren Einsatz über eine mögliche Speicherung von personenbezogenen Daten informieren. Wie die vorigen Abschnitte gezeigt haben, erfordert der Einsatz verschiedener WordPress Plugins Anpassungen an der Datenschutzerklärung auf deiner Webseite.


Insbesondere in der aktuellen Situation der Google Fonts Abmahnungen, ist es enorm wichtig, seine Plugins und Funktionen sicher und DSGVO-konform bei WordPress einzubauen. Wer aber zu 100% sicher sein möchte, kann sich Hilfe bei einem Fachanwalt oder einem WordPress Experten einholen.

Picture of Michael

Michael

Mehr aktuelle Beiträge rund um WordPress & Co.:

4 Antworten

  2. Wenn ein Plugin, personenbezogene-Daten auf meinem Server speichert. Muss das Plugin in jedem Fall dann in der Datenschutzerklärung angegeben werden?
    Wenn ich zum Beispiel die oben genannten Backup Plugins verwende, dann verarbeiten diese ja trotzdem diese die Daten.
    Ein extremeres Beispiel wäre WooCommerce. Die erheben, für mich ja die Nutzerdaten. Ich speicher diese aber auf meinem Server….
    Ohne hin möchte ich ja eigentlich möglichst alle Daten bei mir behalten, wenn ich aber trotzdem angeben muss, wer die Verarbeitung auf meinen Servern zur Verfügung stellt, dann habe ich ja ganz schnell ein Problem mit der Sicherheit.

    Antworten

    1. Hallo Paul,

      wir würden dir immer empfehlen die Plugins in der Datenschutzerklärung anzugeben, da grundsätzlich personenbezogene Daten verarbeitet werden. Rein rechtlich können wir darüber aber keine fundierte Aussage treffen. Bei weiterführenden Fragen raten wir daher immer zu einer rechtlichen Beratung bei einem Spezialisten.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert