WordPress Tools & Plugins im Check

WordPress Tools & Plugins: Was ist nach DSGVO noch erlaubt?

Fachlich geprüft von: Rechtsanwältin Annika Haucke Rechtsanwältin Annika Haucke
(81 Bewertungen, 3.56 von 5)

Das Wichtigste in Kürze

  • Verarbeiten Sie als Webseitenbetreiber personenbezogene Daten in Wordpress, brauchen Sie eine Einwilligung, müssen über die Verwendung informieren sowie Betroffenen das Einsehen, Berichtigen und Löschen der Daten ermöglichen.
  • Kümmern Sie sich um eine SSL-Verschlüsselung und prüfen Sie, ob Ihre Wordpress-Plugins DSGVO-konform sind.
  • Bei eRecht24 Premium helfen wir Ihnen dabei, Ihre Website DSGVO-konform zu gestalten.

Worum geht's?

Viele Webdesignern, Agenturen und Seitenbetreiber nutzen Wordpress.org und die dafür verfügbaren Erweiterungen, Tools und Plugins, um Webseiten zu erstellen. Aber kann man Wordpress überhaupt DSGVOkonform nutzen? Welche WordPress Plugins und Tools sind noch erlaubt? Wo liegen die Risiken und was sollten Sie jetzt konkret tun? In diesem Artikel geben wir Ihnen einen Überblick über das Thema und bieten Ihnen Tipps zur Nutzung von WordPress Plugins.

 

1. Was sind personenbezogene Daten?

Wenn Sie WordPress nutzen, müssen Sie die Vorschriften der DSGVO zwingend beachten. Die DSGVO haben Sie aber nur bei der Verarbeitung personenbezogener Daten anzuwenden. Personenbezogene Daten sind Informationen, die sich auf eine konkrete Person beziehen. Darunter fallen beispielsweise:

  • Vor- und Nachname
  • Anschrift
  • E-Mail-Adresse
  • Zahlungsdaten
  • IP-Adresse

Die Nutzung von WordPress und die DSGVO-Vorschriften fallen zwangsläufig immer zusammen: Im Grunde speichert ja jeder WordPress-Blog die IP-Adressen der Nutzer. Die DSGVO betrifft also nicht nur Großkonzerne, sondern gleichfalls Vereine, Blogger und Kleinunternehmer.

AUFGEPASST

Ausgenommen sind rein private Blogs, die keine Gewinnerzielungsabsicht haben. Sollten Sie eine private Seite betreiben, sollten Sie sich nicht allzu schnell in Sicherheit wiegen.

Nutzen Sie Analyse Tools wie Google Analytics, gelten Sie laut der Rechtsprung schon nicht mehr als „privater Betreiber“. Gleiches gilt, wenn Sie Adsense nutzen und Werbebanner oder Affiliate-Links einbinden.

2. WordPress und die DSGVO: Voraussetzungen für eine Datenverarbeitung

Egal, ob Agentur, WordPress-Blog oder Grafikdesigner: Sie dürfen personenbezogene Daten nur unter bestimmten Voraussetzungen nutzen:

  • Die Datenspeicherung bedarf einer Einwilligung des Nutzers.
  • Der Nutzer ist über die Verwendung seiner Daten zu informieren.
  • Das Einsehen, Berichtigen und Löschen von Daten muss möglich sein.

Sie erfüllen diese Anforderungen durch ein simples Pop-Up. Dieses müssen Sie mit einer Belehrung zur DSGVO versehen, beispielsweise mit der Musterbelehrung von eRecht24.

3. WordPress und Datenschutz: Das ist zu beachten

Bei der Nutzung von WordPress hat der Datenschutz oberste Priorität. Sie müssen sämtliche Daten rechtmäßig erheben und verarbeiten.

Beschränken Sie die Datennutzung auf den angegebenen Zweck und speichern Sie die Daten nur so lange wie nötig. Außerdem haben Sie dessen Sicherheit zu gewährleisten und die Bearbeitung zu dokumentieren.

4. Plugins sichern Kompatibilität von WordPress und der DSGVO

Sie haben keine Möglichkeit, Ihren WordPress-Auftritt mit nur einer Software auf die DSGVO auszurichten. Es gibt aber viele verschiedene WordPress Plugins, mit denen Sie eine Webseite DSGVO-konform gestalten können.

Cookie Opt-In / Opt-Out Plugins

Mit Cookie WordPress Plugins haben Sie die Möglichkeit, einen Cookie Banner bzw. „Cookie Notice” auf ihrer Website anzeigen zu lassen. Der Besucher hat so die Möglichkeit, in Cookies bzw. Dienste wie z. B. Google Analytics, Meta Pixel, Google Maps oder weitere, einzuwilligen. 

Natürlich kann der Besucher diese Einwilligung jederzeit widerrufen und ein sogenanntes „Opt-Out” durchführen. Externe Medien wie Google Maps oder YouTube-Videos werden außerdem automatisch geblockt. 

Die Vereinbarkeit von WordPress und der DSGVO ist mit etwas Fachwissen relativ schnell umsetzbar. Dazu empfehlen wir Ihnen insbesondere die Nutzung der folgenden Plugins:

  1. Borlabs Cookie: Opt-In-Lösung für Cookies. Eignet sich beispielsweise für Google Analytics und AdSense.
  2. Real Cookie Banner: Ähnlich wie Borlabs Cookie. Eine Opt-In-Lösung für Cookies.
  3. DSGVO Pixel Mate: Blockiert externe Ressourcen. Ermöglicht die Einbindung von Opt-Ins und Opt-Outs für Google Analytics und den Meta Pixel
  4. Smart User Slug Hider: Ersetzt Benutzernamen in URLs durch Zahlencodes.

Es existieren viele weitere Plugins, die Ihnen bei der Herstellung einer DSGVO-Konformität helfen.

SSL-Verschlüsselung

Die Vereinbarkeit von WordPress und Datenschutz erfordert eine hochwertige Verschlüsselung. Sie müssen auf eine sichere Übertragung personenbezogener Daten achten.

Ob Ihre Webseite eine SSL-Verschlüsselung nutzt, erkennen Sie an dem grünen Schloss in der Zeile im Browser. Außerdem wandelt sich die http://-Adresse in eine https://-Adresse um.

Google Analytics

Die Nutzung von Google Analytics stellt an die Vereinbarkeit von WordPress und die DSGVO erhöhte Anforderungen. Wenn Sie das Analyse-Tool nutzen, sollten Sie einen Vertrag zur Auftragsverarbeitung mit Google abschließen. Anschließend stimmen Sie im Google Analytics-Konto dem „Zusatz zur Datenverarbeitung“ zu.

Mit dem Google Analytics-Tool „Opt-Out“ bieten Sie Ihren Seitenbesuchern eine Opt-Out Möglichkeit: Seitenbesucher haben die Möglichkeit, ihren Besuch durch einen Mausklick vor Google Analytics zu verbergen.


 

Cookies

Die Vereinbarkeit von WordPress und der DSGVO erfordert die Anpassung von Cookies. Wir empfehlen den Verzicht auf unwichtige Cookies. Unerlässlich sind nur Cookies für den Mitgliederbereich oder den Warenkorb – ihre Nutzung ist aufgrund einer Interessenabwägung gerechtfertigt.

Schließlich liegen diese Cookies im Interesse der Seitenbesucher. Sie haben Ihre Seitenbesucher über die Datenschutzerklärung über die exakte Nutzung der Cookies aufzuklären. Wir empfehlen dazu den Einsatz eines Cookie Consent Tools.

 

eRecht24 DSGVO Wordpress03

Datenschutzerklärung

Um WordPress und Datenschutz zu vereinbaren, ist eine auf die DSGVO abgestimmte Datenschutzerklärung zwingend notwendig. Platzieren Sie die Datenschutzerklärung so, dass sie von jeder Seite aus gut erreichbar ist. Wir empfehlen die Platzierung in einem eigenen Punkt neben dem Impressum.

eRecht24 DSGVO Wordpress04

Passen Sie den Inhalt der Datenschutzerklärung an die individuellen Besonderheiten Ihrer Internetseiten an. Bei eRecht24 Premium finden finden Webdesigner, Agenturen und professionelle Webseitenbetreiber eine Profi-Generator für Ihre Datenschutzerklärung. 

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

Hosting

Sollten Sie Ihre Webseite bei einem Provider hosten, sollten Sie einen Vertrag zur Auftragsverarbeitung (AV) abschließen. Denn Ihr Provider speichert Zugriffe auf Webseiten in seinen Server-Logs.

Social Media Plugins

Soziale Netzwerke wie Facebook, X & Co. liegen im Trend. Über Share- und Like-Buttons akquirieren Sie schnell Neukunden. Die Vereinbarkeit von Social Media Plugins, WordPress und Datenschutz ist unter der DSGVO erschwert. Viele Buttons stellen eine Verbindung zu sozialen Netzwerken und dem Account der Seitenbesucher her. Sie übermitteln Daten wie das Profilbild des Nutzers und Informationen wie „diesen Freunden gefällt die Seite auch“.

Um das zu verhindern, sollten Sie ausschließlich Social Media Plugins verwenden, welche keine externe Verbindung zu den Netzwerken herstellen, bevor keine Einwilligung erfolgt ist. Dies ist z. B. mit dem Shariff Wrapper Plugin möglich.

Gravatare

Beim Einsatz eines Gravatar Profilbild in WordPress, wird mit jedem Aufruf des Gravatars eine Verbindung zu den Servern von gravatar.com hergestellt, welche sich in den USA befinden.

Eine wirkliche DSGVO-freundliche Lösung gibt es derzeit nicht. Deshalb empfehlen wir Ihnen hier, diese Funktion am besten ganz zu deaktivieren (Einstellungen“ > „Diskussion“ > „Avatare“).

gravatar  

Kontaktformular: Plugin

Die Nutzung von WordPress und eine DSGVO-Konformität erfordert ein Umdenken in vielerlei Hinsicht. Die DSGVO erfordert die Anpassung von Kontaktformularen. Übermitteln Sie Daten nur über eine SSL-Verschlüsselung und informieren Sie den Nutzer über die Nutzung seiner Daten. 

Das Plugin „WP GDPR Compliance“ ist eine gute Lösung zur Herstellung einer DSGVO-Konformität für Kontaktformulare. 

Alternativ bietet sich die Integration einer Checkbox mit einem Pflichtfeld an. 

Kommentare und IP-Adresse

Zudem sollten Sie als Website-Betreiber dafür sorgen, dass bei Kommentaren - falls diese auf ihrer Seite möglich sind, die IP-Adresse der Nutzer nicht gespeichert werden. 

Dies setzen Sie am einfachsten über die sogenannte functions.php um. Diese finden Sie über folgenden Pfad auf Ihrem Server: wp-content -> themes -> Theme

In diesem Ordner befindet sich die Datei functions.php, welche geöffnet werden muss. 

In diese muss folgender Code eingefügt werden:


function  wpb_remove_commentsip( $comment_author_ip ) {

return '';

}

add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Versand von Newslettern

Wenn Sie für den Versand von Newslettern einen externen Dienst nutzen, sollten Sie mit Ihrem Anbieter einen Vertrag zur Auftragsverarbeitung (AV) abschließen.

ACHTUNG 

Sollte sich Ihr externer Dienstleister außerhalb der Europäischen Union befinden, sind weitere Bestimmungen einzuhalten (Data Privacy Framework).

Google Fonts

Services von Drittanbietern sind in Bezug auf die Vereinbarkeit von WordPress und die DSGVO immer problematisch. Es gibt beispielsweise kaum Webseiten, die nicht die Google Webfonts nutzen. Die Schriften sehen ästhetisch aus, übertragen aber die IP-Adresse ihrer Nutznießer. Welche Daten die Fonts an Google senden, ist nicht geklärt. Das Problem lösen Sie, indem Sie die Schriftarten auf Ihrem lokalen Server einspeichern.

LESEEMPFEHLUNG

Wie Sie Google Fonts selbstständig lokal einbinden können oder wie es alternativ mit einem Plugin möglich ist, haben wir unserem Artikel "So binden Sie Google Fonts DSGVO-konform auf Ihrer Website ein" ausführlich erläutert.

5. WordPress-Plugins im DSGVO-Check

Es gibt WordPress-Plugins, die personenbezogene Daten sammeln und DSGVO-konform anzupassen sind. Andere Plugins sind wiederum vollkommen unbedenklich. Wir zeigen Ihnen die wichtigsten Plugins im DSGVO-Check.

HINWEIS

Bitte beachten Sie, dass wir für die Richtigkeit der Angaben nicht garantieren können. Wir versuchen allerdings unsere Artikel in regelmäßigen Abständen zu updaten.

Als Quelle diente uns die deutlich umfangreichere Darstellung von 200+ Plugins auf https://www.blogmojo.de/wordpress-plugins-dsgvo/

Legende

Rot => Nicht DSGVO-konform
Grün => bedenkenlos nutzbar
Anpassungen notwendig => Anleitung im Premium-Bereich verfügbar

1. Social Plugins

Bei Social Plugins gibt es bezüglich der Vereinbarkeit von WordPress und der DSGVO häufig datenschutzrechtliche Probleme.

Rot

AddThis / jQuery Pin It Button for Images / Share Icons Share Buttons / Social Locker

Grün

Arqam Social Counter / Better click to Tweet / Blog2Social / Meks Smart Social Widget / NextScripts: Social Networks Auto-Poster / Open Graph for Facebook / Social Count Plus / Instagram Feed / MashShare / Monarch / ShareThis

Anpassung notwendig

PixelYourSite / Fuse Social Floating Sidebar

2. Sicherheits-Plugins

Bei den Sicherheitsplugins gibt es viele Plugins, die durch kleine Anpassungen DSGVO-konform werden.

Rot

Google Captcha by BestWebSoft

Grün

BBQ (Block Bad Queries) / Sucuri Security

Anpassung notwendig

All In One WP Security & Firewall / iThemes Security / Limit Login Attempts / Limit Login Attemps Reloaded / Login LockDown / NinjaFirewall / SpyderSpanker / WP Limit Login Attempts

3. Anti-Spam Plugins

Anti-Spam-Plugins nutzen zur Unterbindung von SPAM durchaus IP-Adressen.

Anpassungen notwendig

Askimet / Antispam Bee / WPBruiser / WP-SpamShield

4. Statistik-Plugins

Auch Statistik-Plugins speichern personenbezogene Daten.

Rot

FeedStats

Grün

Statify

Anpassungen notwendig

Count per Day / Google Analytics Dashboard for WP / Google Analytics for WordPress by MonsterInsights / WP Statistics

5. Kontaktformulare

Die eingetragenen Formulardaten sind naturgemäß personenbezogene Daten. Deshalb hat der Nutzer der Speicherung explizit zuzustimmen.

Anpassungen notwendig

Contact Form 7 / Contact Form by WPForms / Gravity Forms / Ninja Forms / Super Forms – Drag & Drop Form Builder

6. Kommentarfunktion

Bei Kommentar-Plugins besteht die Gefahr, dass das Plugin personenbezogene Daten wie IP-Adresse und E-Mail weitergibt.

Rot

Disqus Comment System / wpDiscuz

7. Membership-, Community- und Foren-Plugins

In Mitgliedsbereichen erfolgt die Speicherung personenbezogener Daten wie von E-Mail-Adressen oder sogar von Zahlungsdaten.

Anpassungen notwendig

BuddyPress / Digimember / OptimizePress / Simple: Press / Ultimate Member

8. Ladezeit- und Performance-Plugins

Es ist kein Ladezeit- oder Performance-Plugin bekannt, das personenbezogene Daten speichert.

9. SEO-Plugins

Bei den SEO-Plugins speichert lediglich das Plugin „Redirection“ IP-Adressen. Dies schalten Sie in den Optionen bei dem Listenpunkt „IP-Protokollierung“ aus.

10. Bilder- und Medien-Plugins

Bei Plugins, die Medien wie Bilder bearbeiten, treten vermehrt DSGVO-Probleme auf.

Rot

EWWW Image Optimizer Cloud / Kraken.io Image Optimizer / ShortPixel Image Optimizer / WordPress File

Grün

Comet Cache / Enable Media Replace / EWWW Image Optimizer / Imsanity / Media Cleaner / Resize Image After Upload / Regenerate Thumbnails / Unite Gallery Lite / Compress JPEG & PNG Images

Anpassungen notwendig

NextGEN Gallery

11. Design Plugins

Viele Design Plugins lassen sich durch einfache Maßnahmen DSGVO-konform gestalten.

Grün

Genesis Columns Advanced / Mag Mega Menu / MaxButton / Popup Builder / Posts in Page / Shortcoder / WP-PageNavi

Anpassungen notwendig

Elementor Page Builder / Page Builder by SiteOrigin / WP Bakery Page Bilder

6. Fazit zu WordPress Plugins & Tools

Die Nutzung von WordPress in Verbindung mit der DSGVO erfordert besondere Aufmerksamkeit, da WordPress-Webseiten häufig personenbezogene Daten verarbeiten, wie etwa IP-Adressen, E-Mail-Adressen und andere sensible Informationen. 

Für Betreiber von WordPress-Seiten ist es unerlässlich, die DSGVO-Vorschriften strikt einzuhalten. Dies umfasst unter anderem die Einholung der Zustimmung der Nutzer zur Datenerfassung, das Bereitstellen von Informationen über die Nutzung der Daten und die Sicherstellung, dass Nutzer seine Daten einsehen, berichtigen und löschen kann.

Als WordPress-Nutzer ist es wichtig zu wissen, dass auch ein Standard Plugin bereits personenbezogen Daten erfassen kann. Dies muss erkannt und entsprechende Maßnahmen ergriffen werden. 

Insbesondere solche für Social Media, Statistik und Kommentarfunktionen, verarbeiten personenbezogene Daten und müssen daher angepasst oder durch DSGVO-konforme Alternativen ersetzt werden.

 

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Rechtsanwältin Annika Haucke
Annika Haucke
Rechtsanwältin & Legal Writerin

Annika Haucke ist Rechtsanwältin und absolvierte darüber hinaus ein Journalismus-Studium. Seit mehr als 10 Jahren ist sie als Legal Writerin und Online-Redakteurin tätig. Sie hat bereits Texte für Steuerberatungsgesellschaften, Medienrechtsanwälte sowie für den Tagesspiegel und die Stiftung Warentest geschrieben. Seit 2020 ist Annika Haucke Teil des Redaktionsteams von eRecht24. Ihre inhaltlichen Schwerpunkte liegen im Internet-, Urheber-, Steuer- und Datenschutzrecht.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details