Kannst du Elementor DSGVO-konform verwenden?

Elementor compliant in WordPress websites

Wenn du keine Entwickler-Eule bist oder viel Geld für einen Webdesigner ausgeben möchtest/kannst, der dir deine professionelle Website zusammenbastelt, hast du bestimmt bereits von Elementor gehört.

Das Plugin ist extrem einsteigerfreundlich, visuell, vielseitig und hat schon in der kostenlosen Version viel zu bieten, um eine Website im Handumdrehen zu erstellen. Doch wie sieht es mit der Datenschutzfreundlichkeit von Elementor aus?

Wir erklären es dir!

Wir müssen darauf hinweisen, dass die folgenden Aussagen keine Rechtsberatung darstellen. Wir können dir daher nur Einschätzungen aus unserer intensiven Erfahrung mit den EU-Rechtsvorschriften in der Praxis und eine technische Einschätzung der Situation geben.

Elementor – was ist das?

Elementor ist ein WordPress-Plugin des Softwareunternehmens "Elementor Ltd.". Der Website-Builder hilft dir beim Bauen professioneller WordPress-Websites und verzeichnet bereits mehr als 5 Mio. aktive Installationen.

Mittels des einfachen Drag&Drop-Prinzips kann grundsätzlich ohne Programmierkenntnisse nahezu jede Website erstellt werden.

Weitere Vorteile sind:

  • Sofortige Live-Vorschau
  • Responsive-Modus (um die Website auf Desktop, Tablet und Smartphone zugeschnitten zu gestalten)
  • 100+ Full-Page-Vorlagen
  • 300+ Blöcke

Elementor ist sowohl in einer kostenlosen Basis- als auch kostenpflichtigen PRO-Version verfügbar.

Diese Cookies setzt Elementor

Soweit uns bekannt, setzt Elementor keine HTTP Cookies. Stattdessen arbeitet Elementor mit dem Local Storage und Session Storage. Diese werden rechtlich jedoch wie (HTTP) Cookies behandelt.

Elementor Cookies

Wie du im Screenshot sehen kannst, wird kein HTTP Cookie gesetzt. Vielmehr handelt es sich um einen Eintrag im Local Storage und im Session Storage des Browsers. Die erfassten Daten werden aktuell im Dezember 2021 höchstwahrscheinlich nur auf dem lokalen Browser des Besuchers gespeichert und weder an Elementor noch an den Server des Website-Betreibers oder an Dritte gesendet.

Ist Elementor DSGVO-konform?

Elementor speichert Daten im lokalen Speicher.

Unserer Auffassung nach gelten die Elementor "Cookies" nach aktuellem Erkenntnisstand als essenziell. Local Storage und Session Storage sind in diesem Fall dafür zuständig, dass Popus, Sitebars etc. nicht erneut angezeigt werden, sodass der Besucher die Website ungestört nutzen kann. Ob diese "Cookies" tatsächlich als notwendig gelten, ist umstritten.

Im Folgenden erklären wir dir, wie du Elementor möglichst datenschutzkonform verwenden kannst. Wie bereits erwähnt, gehen wir davon aus, dass Local Storage und Session Storage in diesem Fall als essenziell gelten.

Informationspflicht

Gemäß ePrivacy-Richtlinie 2002/58/EG ist der Zugriff auf den Speicher des Browsers nur zulässig, wenn der Besucher eingewilligt hat (DSGVO Artikel 6 (1) lit. a) oder wenn der Zugriff unbedingt erforderlich ist, um den Dienst bereitstellen oder betreiben zu können.

In beiden Fällen bedeutet dies, dass europäische Nutzer von Elementor ihren Website-Besuchern detaillierte Informationen darüber zur Verfügung stellen sollten, welche Daten gemäß DSGVO lokal gespeichert werden.

Da wir den Local Storage und Session Storage in diesem Fall als essenziell einstufen, benötigst du unserer Auffassung nach keine Opt-in-Einwillung deiner Website-Besucher.

Um dennoch möglichst in sicheren Gewässern zu schwimmen, empfehlen wir dir, der Informationspflicht nach DSGVO Artikel 13 nachzukommen. Du solltest neben Cookies in deinem Cookie Hinweis auch auf solche Datenspeicherungen hinweisen.

Am einfachsten und schnellsten lässt sich diese Informationspflicht im Cookie Hinweis mit Real Cookie Banner für WordPress umsetzen. Wir haben bereits die dazugehörige Vorlage vollständig ausgearbeitet, sodass du die Informationen mit wenigen Klicks hinzufügen kannst.

Datenübertragung an Dritte

Bei Elementor handelt es sich um ein lokal installiertes Plugin. Hierbei findet keine Datenübertragung an Dritte statt. Wie allerdings bereits erwähnt, kommen verschiedene Widgets zum Einsatz. Google-Dienste wie Google Maps und Google Analytics können Daten an Dritte (Google) übertragen. Hierfür ist eine Opt-in-Einwilligung des Website-Besuchers erforderlich.

🤝 Auftragsverarbeitungsvertrag

Ein Auftragsverarbeitungsvertrag kommt immer dann zum Einsatz, wenn ein Website-Betreiber Dienste eines externen Unternehmens – welches im Namen des Website-Betreibers personenbezogene Daten der Besucher verarbeitet – beauftragt. In diesem Vertrag ist kurz gesagt der datenschutzkonforme Umgang mit diesen Daten geregelt.

Die Pflicht zum Abschließen eines solchen Vertrags besteht unter anderem bei der Verwendung von Google Analytics.

Die Rechtsgrundlage für einen Auftragsverarbeitungsvertrag ist Artikel 28 der DSGVO.

Solltest du ausschließlich Elementor (ohne Widgets, die Daten an Dritte übertragen) verwenden, benötigst du unserer Auffassung nach keinen Auftragsverarbeitungsvertrag.

🔌 Integrationen in Elementor

Elementor selbst speichert Daten auf dem einen lokalen Speicher des Benutzers. Allerdings beinhaltet Elementor verschiedene Widgets wie Google Analytics und Google Maps, die Daten in die USA übertragen können und zusätzliche – nicht-essenzielle – Cookies setzen.

Für die Verwendung solcher Services, die Daten an Dritte übermitteln (insbesondere in unsichere Drittländer mit mangelhaftem Datenschutzniveau, wie die USA) müssten konkrete Bedingungen erfüllt werden. Hierzu haben wir separate Artikel zu datenschutzkonformen Verwendung von Google Maps und Google Analytics (MonsterInsights) verfasst.

🇺🇸 Keine Datenübertragung in die USA

Wie wir bereits erklärt haben, überträgt Elementor selbst laut eigenen Aussagen keine Daten in die USA. Demnach bist du diesbezüglich grundsätzlich in puncto Datenschutzkonformität gut aufgestellt. Vorsichtig sein solltest du beim Einsatz von zusätzlichen Widgets, die durchaus eine Datenübermittlung in die Vereinigten Staaten vollziehen.

Nach dem Ende des Privacy Shields – einem Abkommen zwischen den USA und der EU zur Regelung des Datenschutzes – aufgrund aus eines aus EuGH-Sicht unzureichenden Datenschutzniveaus der USA, gelten die USA als unsicheres Drittland.

Eine aktive und informierte Einwilligung und eine Aufführung der Dienste in der Datenschutzerklärung sind unabdingbar.

Menü