WordPress Spam-Kommentare DSGVO-konform herausfiltern

Mit wachsender Anzahl der Artikel geht die Menge der eingehenden Spam-Kommentare schnell durch die Decke.

Das nervt.

Glücklicherweise ist bei WordPress mit dem Plugin Akismet von Haus aus ja bereits ein wirksames Mittel zum Herausfiltern dieser unerwünschten Kommentare installiert.

Aber Moment, war da nicht was?

Genau, Akismet darf in Deutschland aufgrund seiner Vorgehensweise wegen Datenschutzverstößen nicht genutzt werden. Darum nutzen die meisten WordPress Nutzer das kostenlose Plugin Antispam Bee, aber ist das überhaupt zulässig?

Ja, aber nur wenn die richtigen Einstellungen getroffen werden. Welche Einstellungen das sind und wie du sie richtig hinterlegst, erfährst du in diesem Artikel.

Das hier ist der vierte Teil meiner Artikelreihe zu WordPress und der DSGVO. Bestimmt interessieren dich auch die anderen Artikel dazu:

So entfernst du die IP Adresse bei WordPress Kommentaren
Wie du Google Analytics mit WordPress verbindest (DSGVO konform)
Wie du in WordPress Google Fonts lokal einbaust – DSGVO konform
Spam-Kommentare DSGVO konform herausfiltern

Das Problem mit Akismet

Nach der WordPress Installation ist Akismet bereits installiert. In Deutschland durfte es bisher nicht genutzt werden und da sich die Vorgaben mit der DSGVO sogar noch verschärfen, wird sich daran auch in Zukunft nichts ändern.

Das Problem: Akismet schickt sowohl den Kommentartext als auch die IP des Kommentierenden an einen externen Server. Dort wird geprüft, ob der Kommentar als Spam einzustufen, oder ob er in Ordnung ist.

Wie du dir schon denken kannst, ist das aus Datenschutzsicht ein absoluter Untergang. Darum also darfst du Akismet nicht nutzen!

Der beste und einfache Ausweg: Antispam Bee

Ich vermute jetzt einfach mal, dass du das kostenlose Plugin Antispam Bee entweder schon nutzt, oder es dir jetzt installierst.

Zunächst die gute Nachricht: Mit den Standardeinstellungen ist Antispam Bee datenschutzrechtlich unbedenklich!

Anti-Spam Möglichkeiten von Antispam Bee — Diese Optionen sind nicht vorausgewählt, können aber ohne Bedenken aktiviert werden.

Zwei der zusätzlich aktivierbaren Funktionen sind sehr nützlich und können von dir nach belieben aktiviert werden.

Sämtliche Einstellungen sind DSGVO konform. Zwar übertragen diese beiden Funktionen Daten an Dritte, jedoch sind diese nicht personenbezogen bzw. anonymisiert (also nicht nachverfolgbar).

Kommentare aus bestimmten Ländern blockieren oder zulassen

Richtet sich deine Website lediglich an die Bewohner eines bestimmten Landes (oder auch mehrerer Länder), kannst du hier einen Haken setzen und diese Länder per Länderkürzel angeben.

Dadurch können nur noch Nutzer kommentieren, die sich in diesen Ländern befinden.

Um den Standort herauszufinden, sendet Antispam Bee die IP Adresse in anonymisierter Form an den Online-Service IP2Country. Das ist datenschutzrechtlich unbedenklich, da diese anonymisierte Form der IP nicht als personenbezogenes Datum zählt und abgesehen davon keine weiteren Daten an den Service übertragen werden.

Kommentare nur in einer bestimmten Sprache zulassen

Mit dieser Funktion kannst du die Kommentare nach der Sprache filtern lassen und alle Kommentare, die in nicht gewünschten Sprachen verfasst wurden, filtern.

Die Kommentaretexte werden über eine HTTPS-Verbindung an den Online-Dienst franc gesendet, und dort geprüft.

Auch diese Funktion ist unbedenklich, da keine weitere Daten, weder des kommentierenden Nutzers noch des WordPress Systems übermittelt werden.

Kommentare nur in einer Sprache zulassen

Die DSGVO nervt? Schlage (fast) alle Fliegen mit einer Klappe!

Hier Google Fonts, dort Google Analytics Tracking Opt-Out, ach und natürlich auch ein Opt-Out für den Facebook Pixel… Ganz ehrlich, die DSGVO kann richtig nerven…

Um gleich mehrere Fliegen mit einer Klappe zu schlagen, möchte ich dir das Plugin „Real Cookie Banner“ empfehlen*. Ich nutze es selber auf allen Websites von mir und auch auf den Seiten meiner Kunden.

Das Plugin bietet dir die wichtigsten Möglichkeiten, und lässt dich ein funktionierendes Opt-In für Google Analytics, Facebook Pixel und alle weiteren Cookies & externen Verbindungen auf deiner Website einbauen. Und es hat sogar noch mehr zeitsparende Funktionen, um dir die Anpassung an die DSGVO zu vereinfachen!

Klicke hier, um zur Kurzanleitung für Real Cookie Banner zu kommen.

Welches Antispam-Plugin nutzt du?

Vorheriger Artikel dieser Serie
Wie du in WordPress Google Fonts DSGVO konform einbaust

Weitere Ratgeber für dich

Google Fonts deaktivieren & lokal einbinden in WordPress – die einfache Anleitung für Einsteiger

Jonas Tietgen

Dein WordPress Ninja mit 10+ Jahren Erfahrung, Gründer von WP Ninjas und SEO Nerd.

Jonas hilft Solopreneuren, ihre WordPress Websites selber überarbeiten, pflegen und optimieren zu können.

Schon seit er 14 ist, baut er Websites mit WordPress und arbeitet seit Jahren täglich mit WordPress. Dadurch hat er Erfahrung mit so ziemlich jedem Theme und Plugin, kennt WordPress auswendig und toppt das Ganze mit einer Liebe zu Webdesign (inklusive Webdesign-Studium) und SEO.

In über 120 Tutorials stellt er dir in seinem Blog sein gesamtes Wissen zur Verfügung, erweitert dein SEO-Wissen in seinem Search Effect Podcast, sowie dem Keyword-Magic-Workshop und unterstützt dich in Coachings und über seinen beliebten Mitgliederbereich.

Abseits von WordPress nerdet Jonas gerne über Gesundheit ab, macht viel Krafttraining und weiteren Sport und baut immer wieder spannende Website-Projekte wie bambuslife.de oder wattlife.de auf.

39 Gedanken zu „WordPress Spam-Kommentare DSGVO-konform herausfiltern“

Stefan Kremer

2. April 2018 um 11:15 Uhr

tl;dr: Man kann die Optionen nutzen, aber es ist aufwändig

Sowohl die genannten Optionen bei AntiSpam Bee als auch Akismet als Ganzes können weiterhin genutzt werden, wenn entsprechende Hinweise auf der Seite gesetzt werden! Sprich: sofern dem Besucher (in dem Fall sogar: dem Spamer – selbst der wird unter den Schutz der DSGVO gestellt) klar ist, dass seine (personenbezogenen) Daten (IP-Adresse) an externe Dritte gesendet wird, ist die Verarbeitung zulässig. Idealerweise bedarf es zusätzlich eines Vertrags zur Auftragsdatenverarbeitung (ADV-Vereinbarung) mit diesem Drittservice und dem Betreiber der Webseite.
Antworten
- Jonas Tietgen
  
  2. April 2018 um 11:20 Uhr
  
  Moin Stefan,
  
  das ist soweit ich weiß nicht ganz richtig da in erster Linie mal das Verbot mit Erlaubnisvorbehalt gilt.
  
  Grüße
  Jonas
  Antworten
  - Daniel
    
    4. April 2018 um 0:23 Uhr
    
    Wenn der nutzer vorher informiert wird liegt eine Einwilligung vor.
    Antworten
    - Jonas Tietgen
      
      4. April 2018 um 8:54 Uhr
      
      Moin,
      
      soweit ich weiß ist ein Information nicht das Selbe wie eine aktive Einwilligung.
      Klar, mit einer zusätzlichen Checkbox (die sowieso nötig wird), ist eine Einwilligung abfragbar.
      
      Grüße
      Jonas
      Antworten
    - Max
      
      10. August 2018 um 1:20 Uhr
      
      Wenn eine Erlaubnis erteilt wird, kann eine Erlaubnis auch wieder entzogen werden. Das verwenden von externen Dienstleistern zur Verarbeitung von Daten benötigt zudem einen AVV (Auftragsverarbeitungsvertrag).
      Wenn nun ein Nutzer dir die Erlaubnis entzieht das diese Daten (in dem Fall die IP) weiter verwendet wird, musst du dafür Sorge tragen das die Verarbeitung der Daten gestoppt, oder wenn gewünscht, gelöscht wird. Auch bei deinem Dienstleister musst du das dann umsetzen lassen. Deswegen ist die Erlaubnis, selbst wenn sie DSGVO-konform ist, für dich äußerst Problematisch, wenn nicht sogar unmöglich, da ich kaum glaube das diese Unternehmen einen AVV mit dir schließen werden.
      Antworten
Sladjan Lazic

2. April 2018 um 18:33 Uhr

Hallo Jonas,

wie ist es eigentlich mit Disqus als Kommentar-Tool auf dem Blog und der DSGVO?

Danke dir.

Viele Grüße
Sladjan
Antworten
- Jonas Tietgen
  
  2. April 2018 um 18:47 Uhr
  
  Moin,
  
  das geht absolut gar nicht, denn bei der Abgabe eines Kommentars werden alle eingegebenen Daten, also die IP-Adresse und andere Daten an Disqus-Server gesendet…
  
  Grüße
  Jonas
  Antworten
Anita

10. April 2018 um 8:25 Uhr

Danke Jonas. Die Einstellungen waren zwar schon so korrekt voreingestellt. Aber: Einen kleinen Schritt weiter im DSGVO-Durcheinander. Etwas mehr das abgehackt werden kann. lg Anita
Antworten
- Jonas Tietgen
  
  13. April 2018 um 16:01 Uhr
  
  Moin Anita,
  
  sehr gerne! 🙂
  
  Grüße
  Jonas
  Antworten
Markus Thoma

12. April 2018 um 14:07 Uhr

Hi Jonas,

danke für deine Beitragsreihe zum Thema DSGVO! Konnte schon einiges umsetzen, deine Beiträge sind immer sehr nachvollziehbar geschrieben.

Ich bin schon relativ weit fortgeschritten in der Umsetzung. Mich würde noch das Thema Share-Buttons zur DSGVO interessieren – eventuell wäre das ja einen Beitrag wert.
„Welche Share Buttons darf ich überhaupt noch einsetzen und wie erkenne ich ‚verbotene‘ Lösungen“. Hier lese ich immer wieder nur von der Shariff-Lösung – ich denke aber es dürfen auch andere Buttons eingesetzt werden? Hier bin ich noch etwas ratlos.

Gruß und weiter so,
Markus
Antworten
- Jonas Tietgen
  
  13. April 2018 um 16:10 Uhr
  
  Moin Markus,
  
  soweit ich weiß, sind die Shariff-Buttons die einzigen, die wirklich komplett den Vorschriften folgen 🙂
  
  Grüße
  Jonas
  Antworten
Brina

14. April 2018 um 19:50 Uhr

Mir gefällt dein Kommentarfeld. Wie bekomme ich es hin?
Antworten
- Jonas Tietgen
  
  15. April 2018 um 16:42 Uhr
  
  Moin Brina,
  
  was genau meinst du? Die Gestaltung des Kommentarfelds ist durch mein Theme „vorgegeben“.
  
  Grüße
  Jonas
  Antworten
Torben

2. Mai 2018 um 15:14 Uhr

Hallo Jonas,
zum Thema „Kommentare nur in einer Sprache zulassen“ – so sehe ich dies nicht besonders kritisch, denn wenn der Kommentartext an Google Translate geschickt wird und keine personenbezogenen Daten wie Name, E-Mail, IP Adresse des Kommentierenden, so dürfte diese Option doch keinerlei Problem darstellen…?
Antworten
- Jonas Tietgen
  
  2. Mai 2018 um 15:37 Uhr
  
  Moin Torben,
  
  allerdings weißt du nie, was an Inhalt in dem Kommentar steht…
  
  Grüße
  Jonas
  Antworten
Pingback: DSGVO für Selbstständige & Blogger – das musst du jetzt umsetzen! | FRAU FUCHSIA & die smarten Füchse
Dirk

18. Mai 2018 um 15:42 Uhr

Ich nutze anti-Spam von webvitaly und ich habe keinen blassen Schimmer, ob das DSGVO-gerecht ist. Es scheint keine Infos dazu zu geben
Antworten
- Jonas Tietgen
  
  30. November 2018 um 7:54 Uhr
  
  Moin Dirk,
  
  wenn es keine Infos dazu gibt, würde ich dir den Wechsel auf Antispam Bee empfehlen.
  
  Grüße
  Jonas
  Antworten
Tobi

20. Mai 2018 um 16:36 Uhr

Hier hat sich der Entwickler zu Wort gemeldet: https://simon.blog/2018/euer-datenschutz-kotzt-mich-an/
Fazit: Nur die Spam-DB ist problematisch und wir mit Version 2.8 sowieso entfernt. Der Sprachfilter sowie die Ländererkennung sind DSGVO-konform!
Antworten
- Jonas Tietgen
  
  30. November 2018 um 7:53 Uhr
  
  Moin Tobi,
  
  mittlerweile ist das Plugin DSGVO konform, absolut richtig!
  
  Grüße
  Jonas
  Antworten
Sandra Hübel

26. Mai 2018 um 14:56 Uhr

Hallo

Ich habe gerade das Antispam Bee installiert und mir die Einstellungen angesehen. Aber den Punkt „öffentliche Spamdatenbank berücksichtigen“ ist bei mir nicht zu finden. Aber es gibt einen Punkt „lokale Spamdatenbank berücksichtigen“, dieser ist standartmäßig angeklickt. Das darf doch so sein, oder?

LG
Sandra Hübel
Antworten
- Jonas Tietgen
  
  30. November 2018 um 7:52 Uhr
  
  Moin Sandra,
  
  genau, diesen Punkt gibt es mittlerweile nicht mehr.
  Die lokale Spamdatenbank ist kein Problem, absolut richtig!
  
  Grüße
  Jonas
  Antworten
Andreas Busch

1. Juni 2018 um 21:53 Uhr

Hallo Jonas,

vielen Dank für den Tipp. Allerdings finde ich den Punkt „Öffentliche Spamdatenbank berücksichtigen“ nicht. Kann es sein, dass der Punkt von AntiSpam Bee herausgenommen wurde? Oder versteckt er sich jetzt unter einem anderen Punkt?
Lg
Andreas
Antworten
- Jonas Tietgen
  
  30. November 2018 um 7:52 Uhr
  
  Moin Andreas,
  
  diesen Punkt gibt es nicht mehr. Antispam Bee ist mittlerweile 100% DSGVO konform 🙂
  
  Grüße
  Jonas
  Antworten
Frank

12. Juni 2018 um 9:05 Uhr

Moin,

ich kämpfe mich grade etwas durch die ganze Thematik und musste nun beim einstellen von Antispam Bee feststellen, dass es „Öffentliche Spamdatenbank berücksichtigen“ gar nicht mehr gibt? Ist das richtig?
Es gibt einen Punkt „IP-Adresse des Kommentators validieren. Ist das ein problem mit der neuen DSGVO?

Gruß
Frank
Antworten
- Jonas Tietgen
  
  30. November 2018 um 7:51 Uhr
  
  Moin Frank,
  
  korrekt, den Punkt gibt es nicht mehr, lediglich die lokale Spamdatenbank.
  Die Einstellung „IP-Adresse des Kommentators validieren“ ist kein Problem und kann ohne Bedenken aktiviert werden 🙂
  
  Grüße
  Jonas
  Antworten
Raphael

10. Juli 2018 um 9:51 Uhr

Ich habe soeben Antispam-Bee installiert und da stand in den FAQ, dass das Plugin zu 100% der DSGVO entspricht. Die oben genannten Einschränkungen dürften also entschärft worden sein. Sicher bin ich mir natürlich nicht, aber wenn die Hersteller dies dezitiert ansprechen, wird es wohl so sein.
Antworten
- Jonas Tietgen
  
  30. November 2018 um 7:50 Uhr
  
  Moin Raphael,
  
  das stimmt, der Artikel ist nun aktuell und angepasst an die DSGVO Konformität von Antispam Bee.
  
  Grüße
  Jonas
  Antworten
Pingback: Keine Satire: Danke EU für die Datenschutz-Grundverordnung (DSGVO)
Alisha

2. September 2018 um 21:45 Uhr

Hi,
vielen Dank für deinen Artikel. Ich werkel seit 2 Tagen an meinem ersten Blog und es gibt so viel zu beachten!
Deine Artikel-Serie macht das ganze etwas leichter. Antispam-Bee scheint seine Einstellungen mittlerweile geändert zu haben. Es gibt die Option die öffentliche Spamdatenbank abzugleichen nicht mehr, nur noch die lokale. VG
Antworten
- Jonas Tietgen
  
  30. November 2018 um 7:50 Uhr
  
  Moin Alisha,
  
  richtig, ich habe den Artikel gerade aktualisiert und auf die aktuellen Einstellungsmöglichkeiten angepasst.
  
  Grüße
  Jonas
  Antworten
siggi

20. September 2018 um 21:40 Uhr

Kleiner Hinweis, der Abschnitt „Kommentare nur in einer Sprache zulassen“ ist so nicht mehr korrekt. Der Kommentar text geht jetzt nicht mehr zu Google, sondern wird an den Server des Herstellers in Deutschland geschickt (im Quellcode geprüft). Es ist auch tatsächlich ausschließlich der Text. Ob das jetzt DSGVO-Konform ist oder nicht, weiß ich leider (noch) nicht 😉

Der Hersteller gibt an „compliant with European data privacy standards“, „100% GDPR compliant“. Gehe ich recht in der Annahme, dass deutsches vor europäischem Recht gilt und die DSGVO vermutlich strikter ist?
Antworten
- Jonas Tietgen
  
  30. November 2018 um 7:49 Uhr
  
  Moin moin Siggi,
  
  da hast du Recht, ich habe den Artikel gerade aktualisiert 🙂
  Soweit ich weiß, gilt generell deutsches vor europäischen Recht, so oder so ist Antispam Bee DSGVO konform.
  
  Grüße
  Jonas
  Antworten
Pingback: Medienmarmelade - Mediensachen, Onlinekram, E-Learning
Pingback: DSGVO: Datenschutz Tipps für deine Webseite – www.mediengestalter.lu
Gilbert

27. Dezember 2022 um 17:48 Uhr

Bringt es nicht Sinn, das ganze Thema WordPress Spam mit Plugins wie Clean Talk oder WP Armour zu lösen? Da wird nicht nur Kommentar-Spam, sondern auch Formular-Spam verhindert. Ich habe damit gute Erfahrungen gemacht.
Gruß Gilbert
Antworten
- Jonas Tietgen
  
  15. Januar 2023 um 18:47 Uhr
  
  Moin Gilbert,
  
  wenn das bei dir gut funktioniert, ist das natürlich auch eine Lösung. Wie immer bei WordPress, führen mehrere Wege zum Ziel 🙂
  
  Grüße
  Jonas
  Antworten
Matthias

1. Januar 2023 um 16:00 Uhr

Ich habe auch mehrere Webseiten mit Wordpress. Je mach Projekt setzte ich unterschiedliche Tools ein. Mit Antispam Bee habe ich sehr gute Erfahrungen gemacht. SPAM-Kommentare wurden immer fehlerfrei identifiziert. Bei einem meiner Projekte hatte ich ein Problem mit Spam-Fake-Accounts. Dort habe ich dann WP Armour eingesetzt. Seit dem habe ich Ruhe. WP Armour erkennt SPAM-Kommentare und Fake-Accounts.
Antworten
- Jonas Tietgen
  
  15. Januar 2023 um 18:33 Uhr
  
  Moin Matthias,
  
  WP Armour schaue ich mir an! Ironischerweise ist dein Kommentar von Antispam Bee falscherweise aussortiert worden…
  
  Grüße
  Jonas
  Antworten