Mit wachsender Anzahl der Artikel geht die Menge der eingehenden Spam-Kommentare schnell durch die Decke.
Das nervt.
Glรผcklicherweise ist bei WordPress mit dem Plugin Akismet von Haus aus ja bereits ein wirksames Mittel zum Herausfiltern dieser unerwรผnschten Kommentare installiert.
Aber Moment, war da nicht was?
Genau, Akismet darf in Deutschland aufgrund seiner Vorgehensweise wegen Datenschutzverstรถรen nicht genutzt werden. Darum nutzen die meisten WordPress Nutzer das kostenlose Plugin Antispam Bee, aber ist das รผberhaupt zulรคssig?
Ja, aber nur wenn die richtigen Einstellungen getroffen werden. Welche Einstellungen das sind und wie du sie richtig hinterlegst, erfรคhrst du in diesem Artikel.
Das hier ist der vierte Teil meiner Artikelreihe zu WordPress und der DSGVO. Bestimmt interessieren dich auch die anderen Artikel dazu:
So entfernst du die IP Adresse bei WordPress Kommentaren
Wie du Google Analytics mit WordPress verbindest (DSGVO konform)
Wie du in WordPress Google Fonts lokal einbaust โ DSGVO konform
Spam-Kommentare DSGVO konform herausfiltern
Nach der WordPress Installation ist Akismet bereits installiert. In Deutschland durfte es bisher nicht genutzt werden und da sich die Vorgaben mit der DSGVO sogar noch verschรคrfen, wird sich daran auch in Zukunft nichts รคndern.
Das Problem: Akismet schickt sowohl den Kommentartext als auch die IP des Kommentierenden an einen externen Server. Dort wird geprรผft, ob der Kommentar als Spam einzustufen, oder ob er in Ordnung ist.
Wie du dir schon denken kannst, ist das aus Datenschutzsicht ein absoluter Untergang. Darum also darfst du Akismet nicht nutzen!
Der beste und einfache Ausweg: Antispam Bee
Ich vermute jetzt einfach mal, dass du das kostenlose Plugin Antispam Bee entweder schon nutzt, oder es dir jetzt installierst.
Zunรคchst die gute Nachricht: Mit den Standardeinstellungen ist Antispam Bee datenschutzrechtlich unbedenklich!
Zwei der zusรคtzlich aktivierbaren Funktionen sind sehr nรผtzlich und kรถnnen von dir nach belieben aktiviert werden.
Sรคmtliche Einstellungen sind DSGVO konform. Zwar รผbertragen diese beiden Funktionen Daten an Dritte, jedoch sind diese nicht personenbezogen bzw. anonymisiert (also nicht nachverfolgbar).
Kommentare aus bestimmten Lรคndern blockieren oder zulassen
Richtet sich deine Website lediglich an die Bewohner eines bestimmten Landes (oder auch mehrerer Lรคnder), kannst du hier einen Haken setzen und diese Lรคnder per Lรคnderkรผrzel angeben.
Dadurch kรถnnen nur noch Nutzer kommentieren, die sich in diesen Lรคndern befinden.
Um den Standort herauszufinden, sendet Antispam Bee die IP Adresse in anonymisierter Form an den Online-Service IP2Country. Das ist datenschutzrechtlich unbedenklich, da diese anonymisierte Form der IP nicht als personenbezogenes Datum zรคhlt und abgesehen davon keine weiteren Daten an den Service รผbertragen werden.
Kommentare nur in einer bestimmten Sprache zulassen
Mit dieser Funktion kannst du die Kommentare nach der Sprache filtern lassen und alle Kommentare, die in nicht gewรผnschten Sprachen verfasst wurden, filtern.
Die Kommentaretexte werden รผber eine HTTPS-Verbindung an den Online-Dienst franc gesendet, und dort geprรผft.
Auch diese Funktion ist unbedenklich, da keine weitere Daten, weder des kommentierenden Nutzers noch des WordPress Systems รผbermittelt werden.
Kommentare nur in einer Sprache zulassen
Die DSGVO nervt? Schlage (fast) alle Fliegen mit einer Klappe!
Hier Google Fonts, dort Google Analytics Tracking Opt-Out, ach und natรผrlich auch ein Opt-Out fรผr den Facebook Pixelโฆ Ganz ehrlich, die DSGVO kann richtig nervenโฆ
Um gleich mehrere Fliegen mit einer Klappe zu schlagen, mรถchte ich dir das Plugin โReal Cookie Bannerโ empfehlen*. Ich nutze es selber auf allen Websites von mir und auch auf den Seiten meiner Kunden.
Das Plugin bietet dir die wichtigsten Mรถglichkeiten, und lรคsst dich ein funktionierendes Opt-In fรผr Google Analytics, Facebook Pixel und alle weiteren Cookies & externen Verbindungen auf deiner Website einbauen. Und es hat sogar noch mehr zeitsparende Funktionen, um dir die Anpassung an die DSGVO zu vereinfachen!
Klicke hier, um zur Kurzanleitung fรผr Real Cookie Banner zu kommen.
Welches Antispam-Plugin nutzt du?
Vorheriger Artikel dieser Serie
Wie du in WordPress Google Fonts DSGVO konform einbaust
tl;dr: Man kann die Optionen nutzen, aber es ist aufwรคndig
Sowohl die genannten Optionen bei AntiSpam Bee als auch Akismet als Ganzes kรถnnen weiterhin genutzt werden, wenn entsprechende Hinweise auf der Seite gesetzt werden! Sprich: sofern dem Besucher (in dem Fall sogar: dem Spamer – selbst der wird unter den Schutz der DSGVO gestellt) klar ist, dass seine (personenbezogenen) Daten (IP-Adresse) an externe Dritte gesendet wird, ist die Verarbeitung zulรคssig. Idealerweise bedarf es zusรคtzlich eines Vertrags zur Auftragsdatenverarbeitung (ADV-Vereinbarung) mit diesem Drittservice und dem Betreiber der Webseite.
Moin Stefan,
das ist soweit ich weiร nicht ganz richtig da in erster Linie mal das Verbot mit Erlaubnisvorbehalt gilt.
Grรผรe
Jonas
Wenn der nutzer vorher informiert wird liegt eine Einwilligung vor.
Moin,
soweit ich weiร ist ein Information nicht das Selbe wie eine aktive Einwilligung.
Klar, mit einer zusรคtzlichen Checkbox (die sowieso nรถtig wird), ist eine Einwilligung abfragbar.
Grรผรe
Jonas
Wenn eine Erlaubnis erteilt wird, kann eine Erlaubnis auch wieder entzogen werden. Das verwenden von externen Dienstleistern zur Verarbeitung von Daten benรถtigt zudem einen AVV (Auftragsverarbeitungsvertrag).
Wenn nun ein Nutzer dir die Erlaubnis entzieht das diese Daten (in dem Fall die IP) weiter verwendet wird, musst du dafรผr Sorge tragen das die Verarbeitung der Daten gestoppt, oder wenn gewรผnscht, gelรถscht wird. Auch bei deinem Dienstleister musst du das dann umsetzen lassen. Deswegen ist die Erlaubnis, selbst wenn sie DSGVO-konform ist, fรผr dich รคuรerst Problematisch, wenn nicht sogar unmรถglich, da ich kaum glaube das diese Unternehmen einen AVV mit dir schlieรen werden.
Hallo Jonas,
wie ist es eigentlich mit Disqus als Kommentar-Tool auf dem Blog und der DSGVO?
Danke dir.
Viele Grรผรe
Sladjan
Moin,
das geht absolut gar nicht, denn bei der Abgabe eines Kommentars werden alle eingegebenen Daten, also die IP-Adresse und andere Daten an Disqus-Server gesendet…
Grรผรe
Jonas
Danke Jonas. Die Einstellungen waren zwar schon so korrekt voreingestellt. Aber: Einen kleinen Schritt weiter im DSGVO-Durcheinander. Etwas mehr das abgehackt werden kann. lg Anita
Moin Anita,
sehr gerne! ๐
Grรผรe
Jonas
Hi Jonas,
danke fรผr deine Beitragsreihe zum Thema DSGVO! Konnte schon einiges umsetzen, deine Beitrรคge sind immer sehr nachvollziehbar geschrieben.
Ich bin schon relativ weit fortgeschritten in der Umsetzung. Mich wรผrde noch das Thema Share-Buttons zur DSGVO interessieren – eventuell wรคre das ja einen Beitrag wert.
„Welche Share Buttons darf ich รผberhaupt noch einsetzen und wie erkenne ich ‚verbotene‘ Lรถsungen“. Hier lese ich immer wieder nur von der Shariff-Lรถsung – ich denke aber es dรผrfen auch andere Buttons eingesetzt werden? Hier bin ich noch etwas ratlos.
Gruร und weiter so,
Markus
Moin Markus,
soweit ich weiร, sind die Shariff-Buttons die einzigen, die wirklich komplett den Vorschriften folgen ๐
Grรผรe
Jonas
Mir gefรคllt dein Kommentarfeld. Wie bekomme ich es hin?
Moin Brina,
was genau meinst du? Die Gestaltung des Kommentarfelds ist durch mein Theme „vorgegeben“.
Grรผรe
Jonas
Hallo Jonas,
zum Thema „Kommentare nur in einer Sprache zulassen“ – so sehe ich dies nicht besonders kritisch, denn wenn der Kommentartext an Google Translate geschickt wird und keine personenbezogenen Daten wie Name, E-Mail, IP Adresse des Kommentierenden, so dรผrfte diese Option doch keinerlei Problem darstellen…?
Moin Torben,
allerdings weiรt du nie, was an Inhalt in dem Kommentar steht…
Grรผรe
Jonas
Ich nutze anti-Spam von webvitaly und ich habe keinen blassen Schimmer, ob das DSGVO-gerecht ist. Es scheint keine Infos dazu zu geben
Moin Dirk,
wenn es keine Infos dazu gibt, wรผrde ich dir den Wechsel auf Antispam Bee empfehlen.
Grรผรe
Jonas
Hier hat sich der Entwickler zu Wort gemeldet: https://simon.blog/2018/euer-datenschutz-kotzt-mich-an/
Fazit: Nur die Spam-DB ist problematisch und wir mit Version 2.8 sowieso entfernt. Der Sprachfilter sowie die Lรคndererkennung sind DSGVO-konform!
Moin Tobi,
mittlerweile ist das Plugin DSGVO konform, absolut richtig!
Grรผรe
Jonas
Hallo
Ich habe gerade das Antispam Bee installiert und mir die Einstellungen angesehen. Aber den Punkt „รถffentliche Spamdatenbank berรผcksichtigen“ ist bei mir nicht zu finden. Aber es gibt einen Punkt „lokale Spamdatenbank berรผcksichtigen“, dieser ist standartmรครig angeklickt. Das darf doch so sein, oder?
LG
Sandra Hรผbel
Moin Sandra,
genau, diesen Punkt gibt es mittlerweile nicht mehr.
Die lokale Spamdatenbank ist kein Problem, absolut richtig!
Grรผรe
Jonas
Hallo Jonas,
vielen Dank fรผr den Tipp. Allerdings finde ich den Punkt „รffentliche Spamdatenbank berรผcksichtigen“ nicht. Kann es sein, dass der Punkt von AntiSpam Bee herausgenommen wurde? Oder versteckt er sich jetzt unter einem anderen Punkt?
Lg
Andreas
Moin Andreas,
diesen Punkt gibt es nicht mehr. Antispam Bee ist mittlerweile 100% DSGVO konform ๐
Grรผรe
Jonas
Moin,
ich kรคmpfe mich grade etwas durch die ganze Thematik und musste nun beim einstellen von Antispam Bee feststellen, dass es „รffentliche Spamdatenbank berรผcksichtigen“ gar nicht mehr gibt? Ist das richtig?
Es gibt einen Punkt „IP-Adresse des Kommentators validieren. Ist das ein problem mit der neuen DSGVO?
Gruร
Frank
Moin Frank,
korrekt, den Punkt gibt es nicht mehr, lediglich die lokale Spamdatenbank.
Die Einstellung „IP-Adresse des Kommentators validieren“ ist kein Problem und kann ohne Bedenken aktiviert werden ๐
Grรผรe
Jonas
Ich habe soeben Antispam-Bee installiert und da stand in den FAQ, dass das Plugin zu 100% der DSGVO entspricht. Die oben genannten Einschrรคnkungen dรผrften also entschรคrft worden sein. Sicher bin ich mir natรผrlich nicht, aber wenn die Hersteller dies dezitiert ansprechen, wird es wohl so sein.
Moin Raphael,
das stimmt, der Artikel ist nun aktuell und angepasst an die DSGVO Konformitรคt von Antispam Bee.
Grรผรe
Jonas
Hi,
vielen Dank fรผr deinen Artikel. Ich werkel seit 2 Tagen an meinem ersten Blog und es gibt so viel zu beachten!
Deine Artikel-Serie macht das ganze etwas leichter. Antispam-Bee scheint seine Einstellungen mittlerweile geรคndert zu haben. Es gibt die Option die รถffentliche Spamdatenbank abzugleichen nicht mehr, nur noch die lokale. VG
Moin Alisha,
richtig, ich habe den Artikel gerade aktualisiert und auf die aktuellen Einstellungsmรถglichkeiten angepasst.
Grรผรe
Jonas
Kleiner Hinweis, der Abschnitt „Kommentare nur in einer Sprache zulassen“ ist so nicht mehr korrekt. Der Kommentar text geht jetzt nicht mehr zu Google, sondern wird an den Server des Herstellers in Deutschland geschickt (im Quellcode geprรผft). Es ist auch tatsรคchlich ausschlieรlich der Text. Ob das jetzt DSGVO-Konform ist oder nicht, weiร ich leider (noch) nicht ๐
Der Hersteller gibt an „compliant with European data privacy standards“, „100% GDPR compliant“. Gehe ich recht in der Annahme, dass deutsches vor europรคischem Recht gilt und die DSGVO vermutlich strikter ist?
Moin moin Siggi,
da hast du Recht, ich habe den Artikel gerade aktualisiert ๐
Soweit ich weiร, gilt generell deutsches vor europรคischen Recht, so oder so ist Antispam Bee DSGVO konform.
Grรผรe
Jonas
Bringt es nicht Sinn, das ganze Thema WordPress Spam mit Plugins wie Clean Talk oder WP Armour zu lรถsen? Da wird nicht nur Kommentar-Spam, sondern auch Formular-Spam verhindert. Ich habe damit gute Erfahrungen gemacht.
Gruร Gilbert
Moin Gilbert,
wenn das bei dir gut funktioniert, ist das natรผrlich auch eine Lรถsung. Wie immer bei WordPress, fรผhren mehrere Wege zum Ziel ๐
Grรผรe
Jonas
Ich habe auch mehrere Webseiten mit Wordpress. Je mach Projekt setzte ich unterschiedliche Tools ein. Mit Antispam Bee habe ich sehr gute Erfahrungen gemacht. SPAM-Kommentare wurden immer fehlerfrei identifiziert. Bei einem meiner Projekte hatte ich ein Problem mit Spam-Fake-Accounts. Dort habe ich dann WP Armour eingesetzt. Seit dem habe ich Ruhe. WP Armour erkennt SPAM-Kommentare und Fake-Accounts.
Moin Matthias,
WP Armour schaue ich mir an! Ironischerweise ist dein Kommentar von Antispam Bee falscherweise aussortiert worden…
Grรผรe
Jonas