Mit wachsender Anzahl der Artikel geht die Menge der eingehenden Spam-Kommentare schnell durch die Decke.
Das nervt.
Glücklicherweise ist bei WordPress mit dem Plugin Akismet von Haus aus ja bereits ein wirksames Mittel zum Herausfiltern dieser unerwünschten Kommentare installiert.
Aber Moment, war da nicht was?
Genau, Akismet darf in Deutschland aufgrund seiner Vorgehensweise wegen Datenschutzverstößen nicht genutzt werden. Darum nutzen die meisten WordPress Nutzer das kostenlose Plugin Antispam Bee, aber ist das überhaupt zulässig?
Ja, aber nur wenn die richtigen Einstellungen getroffen werden. Welche Einstellungen das sind und wie du sie richtig hinterlegst, erfährst du in diesem Artikel.
Das hier ist der vierte Teil meiner Artikelreihe zu WordPress und der DSGVO. Bestimmt interessieren dich auch die anderen Artikel dazu:
So entfernst du die IP Adresse bei WordPress Kommentaren
Wie du Google Analytics mit WordPress verbindest (DSGVO konform)
Wie du in WordPress Google Fonts lokal einbaust – DSGVO konform
Spam-Kommentare DSGVO konform herausfiltern
Das Problem mit Akismet
Nach der WordPress Installation ist Akismet bereits installiert. In Deutschland durfte es bisher nicht genutzt werden und da sich die Vorgaben mit der DSGVO sogar noch verschärfen, wird sich daran auch in Zukunft nichts ändern.
Das Problem: Akismet schickt sowohl den Kommentartext als auch die IP des Kommentierenden an einen externen Server. Dort wird geprüft, ob der Kommentar als Spam einzustufen, oder ob er in Ordnung ist.
Wie du dir schon denken kannst, ist das aus Datenschutzsicht ein absoluter Untergang. Darum also darfst du Akismet nicht nutzen!
Der beste und einfache Ausweg: Antispam Bee
Ich vermute jetzt einfach mal, dass du das kostenlose Plugin Antispam Bee entweder schon nutzt, oder es dir jetzt installierst.
Zunächst die gute Nachricht: Mit den Standardeinstellungen ist Antispam Bee datenschutzrechtlich unbedenklich!
Zwei der zusätzlich aktivierbaren Funktionen sind sehr nützlich und können von dir nach belieben aktiviert werden.
Sämtliche Einstellungen sind DSGVO konform. Zwar übertragen diese beiden Funktionen Daten an Dritte, jedoch sind diese nicht personenbezogen bzw. anonymisiert (also nicht nachverfolgbar).
Kommentare aus bestimmten Ländern blockieren oder zulassen
Richtet sich deine Website lediglich an die Bewohner eines bestimmten Landes (oder auch mehrerer Länder), kannst du hier einen Haken setzen und diese Länder per Länderkürzel angeben.
Dadurch können nur noch Nutzer kommentieren, die sich in diesen Ländern befinden.
Um den Standort herauszufinden, sendet Antispam Bee die IP Adresse in anonymisierter Form an den Online-Service IP2Country. Das ist datenschutzrechtlich unbedenklich, da diese anonymisierte Form der IP nicht als personenbezogenes Datum zählt und abgesehen davon keine weiteren Daten an den Service übertragen werden.
Kommentare nur in einer bestimmten Sprache zulassen
Mit dieser Funktion kannst du die Kommentare nach der Sprache filtern lassen und alle Kommentare, die in nicht gewünschten Sprachen verfasst wurden, filtern.
Die Kommentaretexte werden über eine HTTPS-Verbindung an den Online-Dienst franc gesendet, und dort geprüft.
Auch diese Funktion ist unbedenklich, da keine weitere Daten, weder des kommentierenden Nutzers noch des WordPress Systems übermittelt werden.
Kommentare nur in einer Sprache zulassen
Die DSGVO nervt? Schlage (fast) alle Fliegen mit einer Klappe!
Hier Google Fonts, dort Google Analytics Tracking Opt-Out, ach und natürlich auch ein Opt-Out für den Facebook Pixel… Ganz ehrlich, die DSGVO kann richtig nerven…
Um gleich mehrere Fliegen mit einer Klappe zu schlagen, möchte ich dir das Plugin „Real Cookie Banner“ empfehlen*. Ich nutze es selber auf allen Websites von mir und auch auf den Seiten meiner Kunden.
Das Plugin bietet dir die wichtigsten Möglichkeiten, und lässt dich ein funktionierendes Opt-In für Google Analytics, Facebook Pixel und alle weiteren Cookies & externen Verbindungen auf deiner Website einbauen. Und es hat sogar noch mehr zeitsparende Funktionen, um dir die Anpassung an die DSGVO zu vereinfachen!
Klicke hier, um zur Kurzanleitung für Real Cookie Banner zu kommen.
Welches Antispam-Plugin nutzt du?
Vorheriger Artikel dieser Serie
Wie du in WordPress Google Fonts DSGVO konform einbaust
tl;dr: Man kann die Optionen nutzen, aber es ist aufwändig
Sowohl die genannten Optionen bei AntiSpam Bee als auch Akismet als Ganzes können weiterhin genutzt werden, wenn entsprechende Hinweise auf der Seite gesetzt werden! Sprich: sofern dem Besucher (in dem Fall sogar: dem Spamer – selbst der wird unter den Schutz der DSGVO gestellt) klar ist, dass seine (personenbezogenen) Daten (IP-Adresse) an externe Dritte gesendet wird, ist die Verarbeitung zulässig. Idealerweise bedarf es zusätzlich eines Vertrags zur Auftragsdatenverarbeitung (ADV-Vereinbarung) mit diesem Drittservice und dem Betreiber der Webseite.
Moin Stefan,
das ist soweit ich weiß nicht ganz richtig da in erster Linie mal das Verbot mit Erlaubnisvorbehalt gilt.
Grüße
Jonas
Wenn der nutzer vorher informiert wird liegt eine Einwilligung vor.
Moin,
soweit ich weiß ist ein Information nicht das Selbe wie eine aktive Einwilligung.
Klar, mit einer zusätzlichen Checkbox (die sowieso nötig wird), ist eine Einwilligung abfragbar.
Grüße
Jonas
Wenn eine Erlaubnis erteilt wird, kann eine Erlaubnis auch wieder entzogen werden. Das verwenden von externen Dienstleistern zur Verarbeitung von Daten benötigt zudem einen AVV (Auftragsverarbeitungsvertrag).
Wenn nun ein Nutzer dir die Erlaubnis entzieht das diese Daten (in dem Fall die IP) weiter verwendet wird, musst du dafür Sorge tragen das die Verarbeitung der Daten gestoppt, oder wenn gewünscht, gelöscht wird. Auch bei deinem Dienstleister musst du das dann umsetzen lassen. Deswegen ist die Erlaubnis, selbst wenn sie DSGVO-konform ist, für dich äußerst Problematisch, wenn nicht sogar unmöglich, da ich kaum glaube das diese Unternehmen einen AVV mit dir schließen werden.
Hallo Jonas,
wie ist es eigentlich mit Disqus als Kommentar-Tool auf dem Blog und der DSGVO?
Danke dir.
Viele Grüße
Sladjan
Moin,
das geht absolut gar nicht, denn bei der Abgabe eines Kommentars werden alle eingegebenen Daten, also die IP-Adresse und andere Daten an Disqus-Server gesendet…
Grüße
Jonas
Danke Jonas. Die Einstellungen waren zwar schon so korrekt voreingestellt. Aber: Einen kleinen Schritt weiter im DSGVO-Durcheinander. Etwas mehr das abgehackt werden kann. lg Anita
Moin Anita,
sehr gerne! 🙂
Grüße
Jonas
Hi Jonas,
danke für deine Beitragsreihe zum Thema DSGVO! Konnte schon einiges umsetzen, deine Beiträge sind immer sehr nachvollziehbar geschrieben.
Ich bin schon relativ weit fortgeschritten in der Umsetzung. Mich würde noch das Thema Share-Buttons zur DSGVO interessieren – eventuell wäre das ja einen Beitrag wert.
„Welche Share Buttons darf ich überhaupt noch einsetzen und wie erkenne ich ‚verbotene‘ Lösungen“. Hier lese ich immer wieder nur von der Shariff-Lösung – ich denke aber es dürfen auch andere Buttons eingesetzt werden? Hier bin ich noch etwas ratlos.
Gruß und weiter so,
Markus
Moin Markus,
soweit ich weiß, sind die Shariff-Buttons die einzigen, die wirklich komplett den Vorschriften folgen 🙂
Grüße
Jonas
Mir gefällt dein Kommentarfeld. Wie bekomme ich es hin?
Moin Brina,
was genau meinst du? Die Gestaltung des Kommentarfelds ist durch mein Theme „vorgegeben“.
Grüße
Jonas
Hallo Jonas,
zum Thema „Kommentare nur in einer Sprache zulassen“ – so sehe ich dies nicht besonders kritisch, denn wenn der Kommentartext an Google Translate geschickt wird und keine personenbezogenen Daten wie Name, E-Mail, IP Adresse des Kommentierenden, so dürfte diese Option doch keinerlei Problem darstellen…?
Moin Torben,
allerdings weißt du nie, was an Inhalt in dem Kommentar steht…
Grüße
Jonas
Ich nutze anti-Spam von webvitaly und ich habe keinen blassen Schimmer, ob das DSGVO-gerecht ist. Es scheint keine Infos dazu zu geben
Moin Dirk,
wenn es keine Infos dazu gibt, würde ich dir den Wechsel auf Antispam Bee empfehlen.
Grüße
Jonas
Hier hat sich der Entwickler zu Wort gemeldet: https://simon.blog/2018/euer-datenschutz-kotzt-mich-an/
Fazit: Nur die Spam-DB ist problematisch und wir mit Version 2.8 sowieso entfernt. Der Sprachfilter sowie die Ländererkennung sind DSGVO-konform!
Moin Tobi,
mittlerweile ist das Plugin DSGVO konform, absolut richtig!
Grüße
Jonas
Hallo
Ich habe gerade das Antispam Bee installiert und mir die Einstellungen angesehen. Aber den Punkt „öffentliche Spamdatenbank berücksichtigen“ ist bei mir nicht zu finden. Aber es gibt einen Punkt „lokale Spamdatenbank berücksichtigen“, dieser ist standartmäßig angeklickt. Das darf doch so sein, oder?
LG
Sandra Hübel
Moin Sandra,
genau, diesen Punkt gibt es mittlerweile nicht mehr.
Die lokale Spamdatenbank ist kein Problem, absolut richtig!
Grüße
Jonas
Hallo Jonas,
vielen Dank für den Tipp. Allerdings finde ich den Punkt „Öffentliche Spamdatenbank berücksichtigen“ nicht. Kann es sein, dass der Punkt von AntiSpam Bee herausgenommen wurde? Oder versteckt er sich jetzt unter einem anderen Punkt?
Lg
Andreas
Moin Andreas,
diesen Punkt gibt es nicht mehr. Antispam Bee ist mittlerweile 100% DSGVO konform 🙂
Grüße
Jonas
Moin,
ich kämpfe mich grade etwas durch die ganze Thematik und musste nun beim einstellen von Antispam Bee feststellen, dass es „Öffentliche Spamdatenbank berücksichtigen“ gar nicht mehr gibt? Ist das richtig?
Es gibt einen Punkt „IP-Adresse des Kommentators validieren. Ist das ein problem mit der neuen DSGVO?
Gruß
Frank
Moin Frank,
korrekt, den Punkt gibt es nicht mehr, lediglich die lokale Spamdatenbank.
Die Einstellung „IP-Adresse des Kommentators validieren“ ist kein Problem und kann ohne Bedenken aktiviert werden 🙂
Grüße
Jonas
Ich habe soeben Antispam-Bee installiert und da stand in den FAQ, dass das Plugin zu 100% der DSGVO entspricht. Die oben genannten Einschränkungen dürften also entschärft worden sein. Sicher bin ich mir natürlich nicht, aber wenn die Hersteller dies dezitiert ansprechen, wird es wohl so sein.
Moin Raphael,
das stimmt, der Artikel ist nun aktuell und angepasst an die DSGVO Konformität von Antispam Bee.
Grüße
Jonas
Hi,
vielen Dank für deinen Artikel. Ich werkel seit 2 Tagen an meinem ersten Blog und es gibt so viel zu beachten!
Deine Artikel-Serie macht das ganze etwas leichter. Antispam-Bee scheint seine Einstellungen mittlerweile geändert zu haben. Es gibt die Option die öffentliche Spamdatenbank abzugleichen nicht mehr, nur noch die lokale. VG
Moin Alisha,
richtig, ich habe den Artikel gerade aktualisiert und auf die aktuellen Einstellungsmöglichkeiten angepasst.
Grüße
Jonas
Kleiner Hinweis, der Abschnitt „Kommentare nur in einer Sprache zulassen“ ist so nicht mehr korrekt. Der Kommentar text geht jetzt nicht mehr zu Google, sondern wird an den Server des Herstellers in Deutschland geschickt (im Quellcode geprüft). Es ist auch tatsächlich ausschließlich der Text. Ob das jetzt DSGVO-Konform ist oder nicht, weiß ich leider (noch) nicht 😉
Der Hersteller gibt an „compliant with European data privacy standards“, „100% GDPR compliant“. Gehe ich recht in der Annahme, dass deutsches vor europäischem Recht gilt und die DSGVO vermutlich strikter ist?
Moin moin Siggi,
da hast du Recht, ich habe den Artikel gerade aktualisiert 🙂
Soweit ich weiß, gilt generell deutsches vor europäischen Recht, so oder so ist Antispam Bee DSGVO konform.
Grüße
Jonas
Bringt es nicht Sinn, das ganze Thema WordPress Spam mit Plugins wie Clean Talk oder WP Armour zu lösen? Da wird nicht nur Kommentar-Spam, sondern auch Formular-Spam verhindert. Ich habe damit gute Erfahrungen gemacht.
Gruß Gilbert
Moin Gilbert,
wenn das bei dir gut funktioniert, ist das natürlich auch eine Lösung. Wie immer bei WordPress, führen mehrere Wege zum Ziel 🙂
Grüße
Jonas
Ich habe auch mehrere Webseiten mit Wordpress. Je mach Projekt setzte ich unterschiedliche Tools ein. Mit Antispam Bee habe ich sehr gute Erfahrungen gemacht. SPAM-Kommentare wurden immer fehlerfrei identifiziert. Bei einem meiner Projekte hatte ich ein Problem mit Spam-Fake-Accounts. Dort habe ich dann WP Armour eingesetzt. Seit dem habe ich Ruhe. WP Armour erkennt SPAM-Kommentare und Fake-Accounts.
Moin Matthias,
WP Armour schaue ich mir an! Ironischerweise ist dein Kommentar von Antispam Bee falscherweise aussortiert worden…
Grüße
Jonas