Du bist stolzer Besitzer einer WordPress-Website? Dann bist du wahrscheinlich schon mindestens einmal mit dem unangenehmen Thema Datenschutz konfrontiert worden. Eine rechtssichere WordPress-Website ist der Traum eines jeden Website-Betreibers mit einer in der EU ansässigen Zielgruppe. Denn spätestens mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO), am 25. Mai 2018, sollten Website-Betreiber die Datenschutzkonformität ihrer Webseite nicht mehr auf die leichte Schulter nehmen. Bei Datenschutzverstößen drohen Abmahnungen und – im schlimmsten Fall – teure Bußgelder.
Daher ist es durchaus sinnvoll, sich die folgende Frage zu stellen: Wie kann ich meine WordPress-Website DSGVO-konform gestalten?
Innerhalb kürzester Zeit sprießten vermeintlich DSGVO-konforme WordPress-Plugins nur so aus dem Boden. Doch wer die Wahl hat, hat die Qual. Damit dir letzteres erspart bleibt, haben wir beliebte WordPress Datenschutz-Plugins einmal näher beleuchtet.
DSGVO – was ist das?
Website-Betreiber fürchten sie, für Datenschützer ist sie mehr oder weniger ein Segen. Doch was genau steht eigentlich hinter der Datenschutz-Grundverordnung? Tippst du den Begriff "DSGVO" in die Suchmaschine deiner Wahl ein, werden dir eine Vielzahl an Artikeln angezeigt, die sich sehr ausführlich mit diesem Thema auseinandersetzen. Grob zusammengefasst wurde die DSGVO eingeführt, um personenbezogene Daten zu schützen und Verbraucherrechte zu stärken. Die Verarbeitung und Erhebung solcher Daten ist laut der Datenschutz-Grundverordnung nämlich nur noch unter strengen Vorgaben möglich.
Die Anforderungen der DSGVO an eine Website sind sehr komplex und die Umsetzung ist nicht gerade ein Kinderspiel.
Was muss bei der Verwendung eines DSGVO-Plugins in WordPress beachtet werden?
Du kannst es dir mit Sicherheit bereits denken: Das Plugin muss mit den geltenden Datenschutzbestimmungen konform sein.
Deine Website muss im Grunde so gestaltet sein, dass sie den Schutz personenbezogener Daten laut DSGVO einhält.
Klingt in der Theorie machbar. In der Praxis ist dies jedoch meist sehr knifflig umzusetzen und stellt Website-Betreiber vor enorme Herausforderungen. Rechtliche und technische Anforderungen im Einklang miteinander stehen müssen. Bei der Flut an vermeintlichen WordPress-Datenschutz-Plugins verliert man hierbei auch sehr schnell den Überblick.
Kosten: Kostenlos (Basis-Version)
Real Cookie Banner ist die wohl schmackhafteste Lösung hinsichtlich WordPress Cookie Bannern. Das Plugin erlaubt dir das Einholen von Einwilligungen, welches du in DSGVO-, ePrivacy-Richtlinen- und TDDDG-konform bewerkstelligen kannst.
Seit dem Urteil des Europäischen Gerichtshofs bezüglich rechtskonformen Cookie-Einwilligungen sind nur noch Einwilligungen über das Opt-in-Verfahren rechtskonform. Eine Pflicht für ein Cookie Banner besteht nicht. Jedoch lässt sich die Opt-in-Verordnung am besten und einfachsten mithilfe eines Cookie Banners umsetzen.
Aber Cookie Banner ist nicht gleich Cookie Banner. Viele vermeintlich perfekten Cookie Banner Lösungen sind nicht vollumfänglich datenschutzkonform – gleiches gilt für WordPress-DSGVO-Plugins und Cookie Banner Generatoren. Denn die rechtlichen Anforderungen sind ganz einfach zu komplex und facettenreich.
Genau diesem Problem haben wir uns angenommen. Real Cookie Banner ist ein ausführliches Opt-In-Cookie-Plugin für WordPress, das Website-Betreibern dabei hilft, ihre Website bezüglich Datenschutzkonformität so richtig aufzumotzen. Einwilligungen von Besuchern in das Setzen von Cookies und Übertragen personenbezogener Daten können einfach und schnell eingeholt und verwaltet werden.
Um dies zu erreichen, helfen dir eine Vielzahl von im Detail und mit Liebe (❤️) ausgearbeitete Funktionen wie Content Blocker, 100+ Service-Vorlagen für populäre Dienste wie Google Analytics und Facebook, zahlreiche Design-Optionen, ausführliche Erklärungstexte, eine geführte Einrichtung, ein Service-Scanner, Geo-Restrictions, die Dokumentation von Einwilligungen, Altershinweise u.v.m.
Zudem legen wir Wert darauf, das Cookie Plugin stets an den aktuellsten rechtlichen Stand anzupassen. Das Durchlesen Roman-artiger Juristendeutsch-Texte nehmen wir dir also auch ab.
💡 Tipp: Das Thema Die besten WordPress Cookie Plugins haben wir bereits sehr ausführlich in unserem separaten Artikel behandelt. Daher werden wir in diesem Artikel nicht explizit auf dieses wichtige Thema der Datenschutzkonformität eingehen. Solltest du dich für das Thema Cookie Plugins interessieren, empfehlen wir dir, zu dem anderen Artikel rüberzuhüpfen 😉
Kosten: Kostenlos
Howdy, Freunde! Es ist ein neuer Sheriff – ähhm Shariff in der Stadt und sorgt im wilden WordPress-Westen für Recht und Ordnung – yee-haw 🤠 Mit mehr als 70.000 aktiven Installationen gehört Shariff Wrapper definitiv zu den Lieblingen in puncto WordPress Datenschutz-Plugins.
Das deutsche Computermagazin c’t hat das Plugin entwickelt, um Social Media Buttons wie den Facebook Like Button datenschutzkonform in ihr Online-Magazin einbinden zu können.
Herkömmliche Teilen-Buttons sind mittels Iframes in Websites eingebettet. Beim Aufruf einer Website senden solche Social-Media-Share-Buttons von Facebook, Instagram, Pinterest & Co. bereits vor der Einwilligung des Besuchers dessen personenbezogene Daten wie die IP-Adresse an das jeweilige soziale Netzwerk – dies ist jedoch nach den Anforderungen des Datenschutzes nicht erlaubt. Beispielsweise ein Facebook-Teilen-Button lässt sich nicht deaktivieren.
Grob gesagt: Das Plugin Shariff Wrapper präsentiert sich hierbei als optimale Lösung, denn es orientiert sich an den Vorgaben der DSGVO (EU 2016/679). Shariff Wrapper zeigt ähnlich aussehende Share-Buttons an, die keine Daten deiner Website-Besucher übertragen. Eine Verbindung zwischen dem Website-Besucher und dem sozialen Netzwerk wird erst dann hergestellt, wenn dieser aktiv auf den Button klickt (in einem neuen Tab auf der Website des sozialen Netzwerks).
Das Social Media Plugin ist eine Weiterentwicklung der 2-Klick-Lösung. Die 2-Klick-Lösung kannst du dir so vorstellen, dass dir zusätzlich zu einem nachgebauten Social Media Button ein Schalter angezeigt wird, den du manuell umlegen kannst. Durch das Aktivieren des Schalters erteilst du deine Einwilligung in das Nachladen des echten Social Media Buttons z.B. von Facebook. Dadurch werden (personenbezogene) Daten über dich und dein Verhalten auf der Website von dem Anbieter des Social Media Buttons gesammelt. Zudem ist es dir jetzt möglich, den jeweiligen Inhalt zu teilen.
Allerdings gibt es hierbei einige Haken:
- Optisch sieht das Ganze nicht so schick aus.
- Die ausgegrauten Buttons sind keine Eye-Catcher und können daher schnell übersehen oder ignoriert werden.
- Die Bequemlichkeit kann dazu führen, dass die Inhalte nicht sehr oft geteilt werden – der zusätzliche Klick wird oft als nervig empfunden.
Wie genau funktioniert das Plugin Shariff Wrapper, wenn es keine 2-Klick-Lösung ist?
Ein Social Sharing Button von Shariff Wrapper leistet hierbei Abhilfe. Bei den Buttons handelt es sich um einfache HTML-Links. Eine Einbettung über Iframes ist im Gegensatz zu originalen Social Media Buttons nicht erforderlich. Damit bleibt dem Benutzer der zweite Klick erspart, denn eine Aktivierung des Sharing-Buttons entfällt.
Des Weiteren können Website-Betreiber anzeigen, wie oft ein Inhalt geteilt wurde, ohne dabei einen Datenschutzverstoß zu begehen. Ein Skript ruft bereits auf dem Server der Website (und nicht im Client des Website-Besuchers) ab, wie oft eine Seite o.Ä. geteilt wurde. Über eine Schnittstelle (API) des jeweiligen Dienstes wird zu diesem Kontakt aufgenommen und die entsprechenden Zahlen können abgerufen werden. Anstatt der IP-Adresse des Website-Besuchers wird die IP-Adresse des Servers an das Social Network weitergeleitet.
Nach der Installation ist da Plugin sofort startklar. Du findest das Plugin in der Liste deiner Plugins (wer hätte es gedacht 😉) oder unter Einstellungen > Shariff. Dir werden die verschiedenen Reiter angezeigt (z. B. Basis, Design und Statistik), mit welchen du deine Einstellungen optimieren kannst.
Mit am wichtigsten sind die Basis-Einstellungen. In dem Feld Folgende Dienste in dieser Reihenfolge aktivieren kannst du angeben, welche Social Media Accounts, Sonderfunktionen und Bezahldienste du verwendest bzw. für welche du möchtest, dass Beiträge geteilt werden können. Du kopierst sie aus der darunter stehenden Auswahl und fügst sie in das entsprechende Feld ein. Direkt darunter kannst du festlegen, wo die Buttons angezeigt werden sollen. Alternativ kannst du die Buttons mittels eines Shortcodes auch eigenständig auf deiner Website platzieren.
Kurzum: Wie du siehst, ist das Plugin nicht schwer zu bedienen.
Vorteile des Plugins
- Unterstützt 32 Dienste in 25 Sprachen (u.a. Bitcoin, Pinterest, LinkedIn, PayPal, WhatsApp, Tumblr, Twitter, Xing, Telegram)
- Viele Einstellungen (Basis, Design, Statistiken, Status etc.)
- Einfaches Umsetzen mittels Shortcodes
Nachteile des Plugins
- Im Vergleich zu anderen DSGVO-Plugins ist Shariff Wrapper etwas technischer. Es gibt etwa keine geführte Konfiguration und vergleichsweise wenig Erklärungstexte.
- Keine vollumfängliche DSGVO-Plugin-Lösung.
Antispam Bee
Kosten: Kostenlos
In an unknown land
From not so long ago
There was a bee that was very well known
Everyone spoke of her far and wide
Und diese Biene, die ich meine
Nennt sich nicht Maya, sondern Antispam Bee 🐝
Das fleißige Bienchen des Entwickler-Teams pluginkollektiv ist ein wichtiges Add-on, wenn es darum geht, Spam-Kommentare von einer WordPress-Website oder einem WordPress-Blog fernzuhalten. Darüber hinaus handelt es sich auch bei hierbei um ein kostenloses WordPress-DSGVO-Plugin. Das Anti-Spam-Plugin blockiert zudem auch Trackbacks – und das ganz ohne Captchas oder personenbezogene Daten an Dritte zu übermitteln. Zudem geben die Entwickler an, dass das Bienchen zu 100 % DSGVO-konform sei.
Nach erfolgreicher Installation findest du das Antispam-Plugin links in deinem Menü unter Einstellungen. Einstellungen.
💡 Tipp: Dir ist bestimmt aufgefallen, dass bei der Installation deiner WordPress-Oberfläche das Plugin Akismet standardmäßig installiert ist. Akismet ist ebenso wie Antispam Bee ein Plugin zur Bekämpfung von Spam-Kommentaren. Wir empfehlen dir jedoch, Akismet zu deaktivieren und zu löschen, da es Daten in die USA übertragen kann – was datenschutzrechtlich nicht so schnieke ist.
Das Plugin hat dir die Einstellungen im Großen und Ganzen bereits abgenommen. Einzelne Einstellungen kannst du bei Bedarf ändern – dies ist grundsätzlich allerdings nicht empfehlenswert.
Was die flotte Biene auf dem Kasten hat:
- Optimale, umfangreiche Spam-Prüfung von Kommentaren, ohne dass diese an Server von Dritten (z.B. in den USA) weitergeleitet werden
- Keine Verarbeitung der IP-Adresse (z.B. keine Herkunftsbestimmung) → Erkennung mittels einer lokal ausgeführten Bibliothek zur Spracherkennung und Einschränkung von Kommentaren in einer bestimmten Sprache
- Anzeige von Spam-Statistiken auf dem Dashboard, einschließlich täglicher Updates der Spam-Erkennungsrate und der Gesamtzahl der blockierten Spam-Kommentare
- Im Gegensatz zu Akismet übertragt das Plugin keine Daten in die USA
- Verfügbar in 27 Sprachen
Nachteile des Plugins
- Antispam Bee verträgt sich nicht mit dem Jetpack-Plugin
Statify
Kosten: Kostenlos
Statify bietet eine unkomplizierte und kompakte Übersicht über die Anzahl der Seitenaufrufe an. Es ist konform zu deutschem Datenschutzrecht, da es weder Cookies noch einen Drittanbieter nutzt.
Das WordPress Statistik-Plugin ist spätestens seit der Einführung der DSGVO eine beliebte Alternative zu Google Analytics. Der wohl größte Vorzug des Plugins besteht darin, dass Statify im Gegensatz zu anderen Statistik-Diensten wie Google Analytics oder Matomo (Piwik) keine personenbezogenen Daten wie z.B. die IP-Adresse speichert oder verarbeitet, da Statify keine Besucher, sondern Aufrufe einer Seite zählt. Besucht eine Person eine Website beispielsweise dreimal, dann werden die drei Aufrufe gezählt.
Darüber hinaus ist Statify nicht so erschlagend wie Google Analytics und kann direkt in WordPress installiert werden.
Nachteile von Statify
- Das Plugin sammelt vergleichsweise wenig Daten
- Keine Zuweisung von gesammelten Daten über einzelne Website-Besucher möglich
WooCommerce Germanized
Kosten: Kostenlos (Basis-Version)
Insbesondere Betreibern eines Webshops sollte das Plugin WooCommerce kein Fremdwort sein. Das Problem an dem Plugin ist, dass es nicht den länderspezifischen Individualfall abdeckt, ergo es erfüllt nicht die rechtlichen und technischen Voraussetzungen für den deutschen Markt. Daher bietet WooCommerce Germanized die Möglichkeit, WooCommerce an den deutschen Markt anzupassen und zugleich DSGVO-konform zu sein.
Um dies zu erreichen, inkludiert das Plugin DSGVO-relevante wichtige Aspekte wie:
- Mustertext-Generatoren für die Widerrufsbelehrung, AGB und Datenschutzerklärung
- Double-Opt-In-Verfahren für Kunden (Stichwort Registrierung)
- DSGVO Export/Löschung
OMGF | Host Google Fonts Locally
Kosten: Kostenlos (Basis-Version)
Klar, wer verwendet nicht gerne eine ästhetisch ansprechende Schriftart, um die eigene Website aufzuhübschen? Das Problem hierbei wurde wunderbar in folgendem Zitat zusammengefasst:
Wie könnte die Verwendung von Schriftarten über den Google-Dienst gegen die Datenschutzgrundverordnung verstoßen? Tatsache ist, dass bei der Anforderung einer Schriftart durch den Browser des Nutzers dessen IP-Adresse von Google protokolliert und zu Analysezwecken verwendet wird. - Lifehacker
OMGF sorgt dafür, dass Google Fonts lokal in WordPress gehostet werden kann. Das ist lizenzrechtlich erlaubt, da alle Schriftarten in Google Fonts unter Lizenzen stehen, die das Kopieren der Schriftarten erlauben.
Das Optimierungs-Plugin nutzt die Google Fonts Helper API, um die von Themes und Plugins genutzten Schriftarten automatisch in deinem WordPress zwischenzuspeichern. Dadurch werden keine Anfragen durch den Website-Besucher mehr an Google Fonts Server gesendet, um die Schriftarten herunterzuladen.
Disable Emojis (GDPR friendly)
Kosten: Kostenlos
Emojis sind einfach fantastisch: Sie können fade Texte auflockern und sind auch optisch waschechte Hingucker. Und ja, auch wir verwenden sie hier und da mal gerne – schuldig 🙃
Das Problem aus Perspektive des Datenschutzes besteht darin, dass WordPress standardmäßig Emojis nicht auf deinem Webspace speichert, sondern immer bei Bedarf im Browser deiner Website-Besucher von wordpress.org herunterladen lässt. Dies hat zur Folge, dass die IP-Adresse der Website-Besucher an die Server von wordpress.org weitergegeben werden. Ob die Besucher das wollen, oder nicht!
Disable Emojis schaltet in WordPress standardmäßig eingebundene Emojis ab. Ein genial einfaches DSGVO-Plugin für WordPress!
Disable Emojis entfernt die zusätzliche JavaScript-Datei, welche die Emojis nachladen würde. Emoticons und Emojis funktionieren weiterhin in Browsern, welche diese unterstützen (heutzutage so gut wie alle).
Zudem ist dieses Plugin bezüglich Suchmaschinenoptimierung der Renner, denn es befreit eine Website von unnötigen JavaScript-Dateien, welche beim Laden für eine verlangsamte Seitenladezeit sorgen.
Autoptimize
Kosten: Kostenlos (mit kostenpflichtigen Erweiterungen)
💡Tipp: Hast du keine Lust, dir die vorherigen beiden Plugins einzeln herunterzuladen? Dann kannst du dir alternativ auch einfach Autoptimize – sozusagen als Kombi-Plugin – zulegen.
Was genau macht das Plugin DGSVO-konform?
Autoptimize optimiert deine Website nicht nur in Bezug auf SEO, sondern entfernt zudem Google Fonts und WordPress.org Emojis. Somit findet keine Datenübertragung für Website-Besucher an Google Fonts und WordPress.org statt.
DSGVO-Vorteile von Autoptimize
- Entfernung von Google Fonts
- Entfernung von Emojis
- Keine Übertragung von Besucher-Daten an Google Fonts und WordPress.org (hier werden die WP Emojis gehostet)
Und was bietet das Plugin noch?
Wusstest du, dass die Verweildauer auf deiner Website bereits nach mehr als 3 Sekunden Ladezeit rapide abfallen kann? Nein? Dann solltest du jetzt unbedingt die Lauscher aufstellen 👂 Autoptimize wurde als Plugin zur Verbesserung der WordPress-Website-Performance und Einhaltung des Datenschutzes entwickelt. Das Ganze geschieht mittels Minification.
Zusammengefasst handelt es sich bei der Minification um einen Prozess, bei dem alle unnötigen Zeichen eines Codes entfernt werden (z.B. Leerzeichen). Die minimierte Datei erfüllt den gleichen Nutzen wie die originale, jedoch nimmt sie weniger Platz ein, wodurch die Ladezeit einer Website optimiert werden kann.
SEO-Vorteile von Autoptimize
- Komprimierung von Javascript- und CSS-Dateien
- HTML-Minification
- Verbesserung der Ladezeit
Nachteile des Plugins
- Vielleicht nicht auf Anhieb für WordPress-Neulinge einfach zu verstehen, da viele technische Begriffe verwendet werden.
Really Simple SSL
Kosten: Kostenlos (Basis-Version)
Laut Artikel 5 und Artikel 32 der Datenschutz-Grundverordnung müssen personenbezogene Daten so verarbeitet werden, dass die angemessene Sicherheit der Daten gewährleistet ist. Für eine Website bedeutet das praktisch: SSL-Verschlüsselung ist Pflicht!
Really Simple SSL ist ein Plugin, das eine SSL-Verbindung für deine WordPress-Website erzwingt (anstatt einer unverschlüsselten Verbindung) – und das super easy. Du könntest die Umstellung auch selbst in Angriff nehmen, allerdings ist das Ganze dann nicht mehr so easy, denn hierzu müsstest du dich z.B. durch die Hoster-Einstellungen kämpfen. Die Verschlüsselung ist zum einen hinsichtlich der Einhaltung des Datenschutzes wichtig, bevorzugt deine Seite aber auch im Ranking von Google.
Vorteile des Plugins:
- Erzwingen einer SSL-Verbindung ohne händische Anpassung der
.htaccess
Datei oder Webserver-Einstellungen
Sendinblue
Kosten: Kostenlos (Basis-Version)
Auch das Thema E-Mail-Marketing hat die DSGVO unter ihre Fittiche genommen. Es gelten strengere Double-Opt-In-Regelungen, um mitunter eine ausdrückliche Einwilligung des Empfängers in den Newsletter-Erhalt sicherzustellen. Daher gilt Sendinblue in der breiten Masse als DSGVO-konformes WordPress-Newsletter-Plugin.
Sendinblue ist ein im Herzen Deutschlands, direkt in der Start-up-Metropole Berlin, entwickeltes, beliebtes DSGVO-Newsletter-Plugin für WordPress.
- Erstellen benutzerdefinierter Anmeldeformulare
- Verwalten von Kontaktlisten
- Erstellen von Marketing-Kampagnen
- Statistiken
- Marketing-Automatisierung
- Einfache Einrichtung
- Design per Drag-and-Drop E-Mail-Builder mit Live-Vorschau
- Einhaltung der DSGVO-Anforderungen: Double-Opt-in-Verfahren bei der Anmeldung zum Newsletter, Recht auf Richtigstellung, Recht auf Vergessenwerden, Recht auf Übertragbarkeit, Recht auf Widerspruch, Recht auf Zugang und Mustertext für eine Datenschutzerklärung
Delete Me
Kosten: Kostenlos
Ich kann mich registrieren, ja? Warum kann ich mich nicht abmelden?
Das WordPress-Plugin Delete Me ermöglicht es Nutzern deiner WordPress-Website, ihren Account mittels eines Links eigenständig zu löschen. Alles, was du tun musst, ist den Shortcode [plugin_delete_me /]
zu verwenden.
Vorteile des Plugins
- Löschen von Nutzern inkl. Posts, Kommentare und Links
- Keine manuellen Löschanfragen z.B. per E-Mail oder Postbrief erforderlich
Gibt es DAS beste All-in-one-Plugin, um WordPress DSGVO-sicher zu machen?
Puhh, ganz schön viele Plugins, denkst du dir jetzt bestimmt. Und das Verrückte: die Liste könnte sogar noch länger sein. Warum das so ist? Nun, jede Website ist individuell aufgebaut, verwendet unterschiedliche Medien, Services, Cookies etc. Daher variieren auch Maßnahmen im Hinblick auf die Einhaltung des Datenschutzes.
Doch gibt es das ultimative All-in-one-eierlegende-Wollmilchsau-Nonplusultra-DSGVO-WordPress-Plugin?
Grundsätzlich gilt: die Mischung macht's. Das perfekte WordPress-Datenschutz-Plugin existiert nicht – zumindest noch nicht. Auch wenn viele Entwickler sich dies zur Aufgabe gemacht haben. Allerdings kann der richtige Mix an Plugins dir dabei helfen, deine WordPress-Website bestmöglich DSGVO-konform zu machen.
Insbesondere wenn es darum geht, personenbezogene Daten zu verarbeiten und Cookies zu setzen, ist mit den Gesetzgebern sowie Datenschützern nicht gut Kirschen essen.
Da sich der eine oder andere daher schwertut, die teils sehr komplexen DSGVO-Anforderungen diesbezüglich zu verstehen und in der Praxis umzusetzen, haben wir mit Real Cookie Banner genau dies in Angriff genommen.