Die umfassende WordPress Plugins DSGVO Liste – Lösungen, Maßnahmen, Alternativen

Die umfassende WordPress Plugins DSGVO Liste – Lösungen, Maßnahmen, Alternativen

Die DSGVO verlangt ja so einiges von uns Selbstständigen. WordPress DSGVO konform zu nutzen ist an sich gar nicht so wild, allerdings dürfen die Plugins nicht vergessen werden!

Manche Plugins speichern personenbezogene Daten in der WordPress Datenbank, andere schicken sie sogar zu externen Servern.

Welches Plugin darf nun im Rahmen der DSGVO Vorgaben genutzt werden, bei welchem müssen Anpassungen vorgenommen werden und welche dürfen gar nicht mehr im Einsatz sein?

Genau das kann du hier in der Liste herausfinden. Ich werde sie laufend aktualisieren und neue Plugins hinzufügen!

Meine Infos basieren auf eigener Recherche und Kontakt zu Herstellern, natürlich kann ich nur den Ist-Zustand analysieren und auch keine rechtsverbindlichen Infos geben. Bitte prüfe auch immer selber nochmal nach, ob ich nicht etwas übersehen haben könnte, auch bei mir schleicht sich manchmal ein Fehler ein.

Haftungsausschluss

Da ich kein Anwalt bin und weder rechtskräftigen Aussagen tätigen kann noch darf, ist diese Auflistung nicht rechtlich verbindlich und es bestehen weder Garantie noch Gewähr auf die Richtigkeit. Ich habe zu meinem besten Wissen und Gewissen recherchiert.

Das hier ist der fünfte Teil meiner Artikelreihe zu WordPress und der DSGVO. Bestimmt interessieren dich auch die anderen Artikel dazu:

So entfernst du die IP Adresse bei WordPress Kommentaren
So baust du ein Google Analytics Opt-Out ein
Wie du in WordPress Google Fonts DSGVO konform einbaust
Spam-Kommentare DSGVO konform herausfiltern
Welche Plugins sind DSGVO konform?

Legende

Blaue Plugins

Das sind Plugins, die sowohl DSGVO konform sind und dich zudem bei der Umsetzung der gesetzlichen Vorgaben unterstützen.

Grüne Plugins

Diese Plugins sammeln keine personenbezogenen Daten, sind zum aktuellen Zeitpunkt DSGVO konform oder die Einhaltung der DSGVO wurde vom Hersteller zugesagt.

Das WordPress Telegramm
von Jonas Tietgen

Mache es wie mehr als 3.000 andere:

Abonniere das WordPress Telegramm und du bekommst wöchentlich WordPress Tipps per E-Mail, um deine Website zu verbessern!

Orangene Plugins

Diese Plugins sammeln personenbezogene Daten oder haben andere Konflikte mit der DSGVO. Allerdings gibt es Möglichkeiten, diese Plugins DSGVO konform einzustellen oder andere Maßnahmen hierfür zu ergreifen.

Rote Plugins

Diese Plugins sammeln oder versenden personenbezogene Daten, was sich nicht verhindern lässt. Sie folgen nicht den Vorgaben der DSGVO.

Newsletter- & Leadgewinnungs-Plugins

ActiveCampaign

Das Plugin sammelt personenbezogene Daten und sendet sie an die Server von ActiveCampaign. Da für das Betreiben des Newsletters sowieso ein ADV mit dem Newsletter-Tool nötig ist, muss bei dem Plugin selbst nichts weiter angepasst werden.

Bloom Email Opt-In

Sendet die vom Nutzer abgefragten Daten zum verbundenen Newsletter-Tool. Dieser Schritt darf nur durchgeführt werden, wenn der Nutzer über das Speichern der Daten informiert wurde. Um Bloom DSGVO-konform zu nutzen, benötigst du das Bloom – GDPR Overlay Plugin.

Mailpoet

Der Hersteller hat DSGVO Konformität bestätigt. (Quelle)

Thrive Leads*

Der Hersteller sagt zu, dass alle Thrive Produkte spätestens zum Stichtag 100% DSGVO konform sein werden. (Quelle)

Backup-Plugins

BackWPup

Wenn deine Website personenbezogene Daten speichert (IPs bei Kommentaren, E-Mail Adressen etc.), werden diese auch beim lokalen Ablegen des Backups auf deinem Server gespeichert. Wenn du deine Backups zudem an externe Cloud-Dienste (Google Drive, OneDrive, Dropbox etc.) sendest, überträgst du diese personenbezogenen Daten dorthin.

UpdraftPlus

Wenn deine Website personenbezogene Daten speichert (IPs bei Kommentaren, E-Mail Adressen etc.), werden diese auch beim lokalen Ablegen des Backups auf deinem Server gespeichert. Wenn du deine Backups zudem an externe Cloud-Dienste (Google Drive, OneDrive, Dropbox etc.) sendest, überträgst du diese personenbezogenen Daten dorthin (außer du nutzt UpdraftPlus Premium, damit kannst du Backups verschlüsseln).

Kommentar-Plugins

Disable Comments

Speichert keine personenbezogenen Daten und versendet sie nicht.

Remove IP

Das Plugin speichert und sendet keinerlei personenbezogene Daten. Es unterstützt dich dabei, die IP Adresse kommentierender Nutzer nicht zu speichern.

Subscribe To „Double-Opt-In“ Comments

Speichert personenbezogene Daten in der WordPress Datenbank. Darüber muss der Nutzer informiert werden.

SEO-Plugins

All in One SEO Pack

Der Hersteller bestätigt 100% DSGVO Konformität. (Quelle)

Breadcrumb NavXT

Speichert und versendet keinerlei personenbezogene Daten.

Bananacontent

Das Plugin läuft nur im Backend, nicht im Frontend. Laut Support werden keine personenbezogenen an externe Server gesendet und es gäbe keinerlei Konflikte mit der DSGVO.

Google XML Sitemap

Es werden keinerlei Daten gespeichert oder an externe Server übertragen und folgt somit den Vorgaben der DSGVO.

Redirection

Die IP-Protokollierung soll auf „No IP logging“ gesetzt werden, sonst werden die IP-Adresse gespeichert. Dann gibt es keine Probleme mit der DSGVO.

Simple 301 Redirects

Speichert und verarbeitet keine persönlichen Daten. Keine Probleme mit der DSGVO.

Yoast SEO

Der Hersteller hat 100% DSGVO Konformität bis zum Stichtag zugesagt.

Sicherheits-Plugins

All In One WP Security & Firewall

Es werden zwar laut Hersteller keine personenbezogene Daten an externe Server versendet, allerdings werden je nach Einstellung persönliche Daten in deiner Datenbank gespeichert.

Beispielsweise werden durch die Aktivierung des Login Lockdowns oder durch Blacklisting IP Adressen in der WordPress Datenbank gespeichert. Bei Aktivierung der Brute Force Attack Prevention werden sogar Cookies gesetzt. Über all das muss der Seitenbesucher natürlich informiert werden!

iThemes Security

Bei Aktivierung des lokalen Brute-Force-Schutzes werden IP Adressen lokal in der WordPress Datenbank gespeichert. Bei Aktivierung des Netzwerk-Brute-Force-Schutzes werden die IP Adressen sogar an den externen Server von iThemes geschickt. Beides muss also deaktiviert sein, um DSGVO-konform zu sein.

Zudem werden IP Adressen in der lokalen Datenbank gespeichert, wenn folgende Einstellungen aktiv bzw. IP Adressen hinterlegt sind:

  • manuelle Benutzersperrung
  • Weiße Liste – Entriegelung
  • Schwarze Liste für Wiederholungstäter
  • 404 Erkennung

Möglicherweise lässt sich manches davon mit dem berechtigen Interesse begründen, sollte zur Sicherheit aber deaktiviert werden. Ist das alles deaktiviert, stellt sich die Frage, was das Plugin überhaupt noch machen soll… Hier einige Tipps zur Sicherheit deiner Website, ganz ohne Plugin.

Limit Login Attempts

Zur Abwehr von Brute-Force-Attacken werden IP-Adressen in der Datenbank gespeichert. Hier ist möglicherweise ein „berechtigtes Interesse“ vorhanden, welches diese Art der Nutzung zulässt.

Social-Plugins

AddToAny Share Buttons

Setzt Cookies zur Analyse und besserer UX der Share-Buttons und speichert typische Server-Log Daten. Die IP Adresse wird anonymisiert und keine personenbezogenen Daten werden gespeichert oder weitergegeben. Der Hersteller hat die DSGVO-Konformität vor dem Inkrafttreten der DSGVO zugesagt (Quelle).

Better Click To Tweet

Speichert keinerlei Daten. Die Verbindung zu Twitter muss vom Nutzer bestätigt werden und läuft über Twitter selbst ab.

Fuse Social Floating Sidebar

Speichert laut Support keine Daten, versendet sie nicht und nutzt auch keine Cookies. Ist laut Support also mit der DSGVO vereinbar.

Shariff Wrapper

Ist laut dem Hersteller 100% DSGVO konform.

Yoast SEO

Wird laut dem Hersteller 100% DSGVO konform.

Statistik-Plugins

Analytify

Um das Plugin zu nutzen, musst du die üblichen Google Analytics Vorkehrungen treffen (IP Anonymisierung, Vertrag, Opt-Out etc.). Hier findest du mehr Infos und die Quelle dieser Infos.

Google Analytics for WordPress by MonsterInsights

Um das Plugin zu nutzen, musst du die üblichen Google Analytics Vorkehrungen treffen (IP Anonymisierung, Vertrag, Opt-Out etc.). Hier findest du mehr Infos und die Quelle dieser Infos.

Google Analytics Dashboard for WP (GADWP)

Um das Plugin zu nutzen, musst du die üblichen Google Analytics Vorkehrungen treffen (IP Anonymisierung, Vertrag, Opt-Out etc.). Hier findest du mehr Infos und die Quelle dieser Infos.

Google Analytics Opt-Out

Unterstützt dich bei der Einrichtung eines Opt-Outs für Google Analytics. Sammelt selber weder Daten, noch gibt es Daten weiter.

Page-Builder Plugins

Divi Page Builder

Sowohl das Divi Theme als auch der Divi Page Builder wird zum Stichtag DSGVO konform sein, das hat mir der Support von Elegantthemes bestätigt.

Elementor

Es werden laut Support keinerlei Daten gespeichert oder an externe Server übertragen und folgt somit den Vorgaben der DSGVO.

Thrive Architect*

Der Hersteller sagt zu, dass alle Thrive Produkte spätestens zum Stichtag 100% DSGVO konform sein werden. (Quelle)

WPBakery Page Builder

Es werden laut Support keinerlei Daten gespeichert oder an externe Server übertragen und folgt somit den Vorgaben der DSGVO.

Anti-Spam-Plugins

Antispam Bee

Ist in den Standardeinstellungen DSGVO-konform. Es müssen die Einstellungen „Öffentliche Spamdatenbank berücksichtigen“, „Kommentare aus bestimmten Ländern blockieren“ und am besten auch „Kommentare nur in einer bestimmten Sprache zulassen“ deaktiviert sein. Ansonsten werden personenbezogene Daten an externe Server gesendet. Hier gibts mehr Infos zur DSGVO-konformen Nutzung.

Email Address Encoder

Arbeitet nur auf dem lokalen Server und speichert keinerlei personenbezogene Daten.

Kontaktformular-Plugins

Contact Form 7

Speichert keine Daten, sondern sendet die ausgefüllten Kontaktformularfelder per E-Mail. Es muss direkt beim Formular eine Information über die Nutzung/Speicherung der Daten gegeben werden.

Flamingo

Speichert die Formulareingaben und somit personenbezogene Daten auf dem eigenen Server. Somit wird das Einverständnis hierfür benötigt und eine Info, wofür die Daten verwendet werden. Das „Recht auf Vergessenwerden“ sollte möglicherweise auch umgesetzt werden (hier eine Anleitung dazu).

Ninja Forms

Speichert keine Daten, sondern sendet die ausgefüllten Kontaktformularfelder per E-Mail. Es muss direkt beim Formular eine Information über die Nutzung/Speicherung der Daten gegeben werden. Eine ausführliche Erklärung und Anleitung zu Ninja Forms und der DSGVO gibts bei Ninjaforms selbst.

Membership- und Community-Plugins

Digimember

Speichert personenbezogene Daten (E-Mail Adresse, Name, Benutzername…) in der WordPress Datenbank. In Version 2 werden Passwörter zudem in der Datenbank als Klartext gespeichert (in Version 3 nicht mehr).

Möglicherweise ist die Speicherung der Daten in der eigenen Datenbank aufgrund des berechtigten Interesses zukünftig gestattet (wird auf Gerichtsurteile ankommen).

Zitat Support:
„Sie müssen weder mit uns (Digistore24) noch mit Digimember einen Auftragsverarbeitungsvertrag abschließen. Digistore24 ist kein Zahlungsdienstleister.“

Performance-Plugins

Autoptimize

Hat keine Verbindung nach außen und unterstützt dich durch die Möglichkeit zur Entfernung der Emojis und Verbindungen zu Google Font Servern sogar bei der Umsetzung der DSGVO.

BJ Lazy Load

Läuft nur lokal, speichert keine Daten, ist also DSGVO-konform.

Cache Enabler

Läuft lokal ohne Speicherung von personenbezogenen Daten. Hat also keinen Kontakt zur DSGVO.

Cachify

Läuft nur lokal und speichert keine Daten, ist also DSGVO konform.

Comet Cache

Läuft nur lokal und speichert keine personenbezogenen Daten. Die Pro-Version überträgt nicht-personenbezogene Daten wie die genutzte MySQL Version und ähnliches.

Crazy Lazy

Läuft nur lokal und speichert keine personenbezogenen Daten. Hat mit der DSGVO nichts zu tun.

WP Fastest Cache

Speichert keine personenbezogenen Daten und ist somit DSGVO konform.

WP-Optimize

Speichert keine personenbezogenen Daten und ist somit DSGVO konform.

WP Super Cache

Speichert keine personenbezogenen Daten und ist somit DSGVO konform.

WP Rocket

Speichert keine personenbezogenen Daten und ist somit DSGVO konform.

W3Total Cache

Speichert keine personenbezogenen Daten und ist somit DSGVO konform.

Medien Plugins

Add From Server

Arbeitet nur auf dem lokalen Server und speichert keinerlei personenbezogene Daten. Also alles gut mit der DSGVO.

Enable Media Replace

Läuft nur lokal, speichert keinerlei Daten und ist DSGVO-konform.

FooGallery

Läuft nur lokal und speichert keine personenbezogenen Daten – ist DSGVO-konform.

FooBox Image Lightbox

Keine externen Verbindungen und speichert keine personenbezogenen Daten – ist DSGVO-konform.

NextGEN Gallery

Keine externen Verbindungen und speichert keine personenbezogenen Daten – ist DSGVO-konform.

ShortPixel Image Optimizer

Das Plugin sendet die zu komprimierenden Bilder an den Server von ShortPixel. Sind auf einem Bild beispielsweise Personen zu erkennen, ist das rechtlich verboten (nicht direkt im Rahmen der DSGVO, aber durch die Verletzung von Persönlichkeitsrechten).

SVG Support

Läuft nur lokal und speichert keine Daten – ist DSGVO-konform.

Weitere Plugins

Advanced Custom Fields

Läuft nur lokal und speichert keinerlei personenbezogene Daten. Keine Probleme mit der DSGVO.

Better Search Replace

Läuft nur lokal und speichert keinerlei personenbezogene Daten. Hat nichts mit der DSGVO zu tun.

Breadcrumb NavXT

Läuft nur lokal und speichert keinerlei personenbezogene Daten. Keine Probleme mit der DSGVO.

Broken Link Checker

Läuft nur lokal und speichert keinerlei personenbezogene Daten. Keine Probleme mit der DSGVO.

Contextual Related Posts

Läuft lokal, speichert keinerlei Daten und hat nichts mit der DSGVO am Hut.

Cookie Law Info

Läuft nur lokal und speichert keinerlei personenbezogene Daten. Da die DSGVO keinen Cookie-Hinweis verlangt, außer einen Passus in den Datenschutzerklärungen, fällt das Plugin nicht unter die „blaue-Kategorie“.

Cookie Notice von dFactory

Läuft nur lokal und speichert keinerlei personenbezogene Daten. Da die DSGVO keinen Cookie-Hinweis verlangt, außer einen Passus in den Datenschutzerklärungen, fällt das Plugin nicht unter die „blaue-Kategorie“.

Custom Sidebars – Dynamig Widget Area Manager

Arbeitet nur lokal und speichert keine personenbezogenen Daten. Keine Probleme mit der DSGVO.

Duplicate Post

Arbeitet nur auf dem lokalen Server und speichert keinerlei personenbezogene Daten. Keine Probleme mit der DSGVO.

Ginger – EU Cookie Law

Läuft lokal und speichert keinerlei personenbezogene Daten. Da die DSGVO keinen Cookie-Hinweis verlangt, außer einen Passus in den Datenschutzerklärungen, fällt das Plugin nicht unter die „blaue-Kategorie“.

Insert Headers and Footers

Läuft nur lokal und speichert keinerlei personenbezogene Daten. Keine Probleme mit der DSGVO.

Jetpack

Jetpack überträgt einen ganzen Haufen an Daten zu WordPress.com. Dazu zählen unter anderem E-Mail Adressen registrierter Benutzer und sämtliche Daten kommentierender Nutzer.

Welche Daten genau übertragen werden, findest du hier. Vom Jetpack Support ist allerdings eine DSGVO Konformität zugesagt, auf welche mit Version 6 schon ein großer Schritt zu gemacht wurde.

Loco Translate

Laut Support werden keinerlei personenbezogene Daten an externe Server gesendet. Auch auf dem eigenen Server werden keine personenbezogenen Daten gespeichert. Keine Probleme mit der DSGVO.

MetaSlider

Speichert und verarbeitet keine persönlichen Daten. Keine Probleme mit der DSGVO.

Regenerate Thumbnails

Speichert und verarbeitet keine persönlichen Daten. Keine Probleme mit der DSGVO.

Share a Draft

Speichert und verarbeitet keine persönlichen Daten. Keine Probleme mit der DSGVO.

Shortcodes Ultimate

Speichert und verarbeitet keine persönlichen Daten. Keine Probleme mit der DSGVO.

Table of Contents Plus

Speichert und verarbeitet keine persönlichen Daten. Keine Probleme mit der DSGVO.

TablePress

Laut Support werden keinerlei personenbezogene Daten gespeichert oder versendet. Keine Probleme mit der DSGVO.

Thrive Ovation

Der Hersteller sagt zu, dass alle Thrive Produkte spätestens zum Stichtag 100% DSGVO konform sein werden. (Quelle)

Thrive Ultimatum*

Der Hersteller sagt zu, dass alle Thrive Produkte spätestens zum Stichtag 100% DSGVO konform sein werden. (Quelle)

Thrive Headline Optimizer

Der Hersteller sagt zu, dass alle Thrive Produkte spätestens zum Stichtag 100% DSGVO konform sein werden. (Quelle)

Thrive Clever Widgets*

Der Hersteller sagt zu, dass alle Thrive Produkte spätestens zum Stichtag 100% DSGVO konform sein werden. (Quelle)

TinyMCE Advanced

Läuft nur im Backend, speichert keine personenbezogenen Daten und ist somit DSGVO konform.

WordPress Importer

Speichert und versendet keine personenbezogenen Daten und ist somit DSGVO konform.

WordPress Popular Posts

Speichert und versendet laut Support keine personenbezogenen Daten und ist somit DSGVO konform.

WPML

Ist laut Support auf dem Weg, DSGVO konform zu sein. Mehr Infos wird von WPML veröffentlicht, sobald es etwas neues gibt.

WP-PageNavi

Speichert und versendet keine personenbezogenen Daten und ist somit DSGVO konform.

Die DSGVO nervt? Schlage (fast) alle Fliegen mit einer Klappe!

Hier Google Fonts, dort Google Analytics Tracking Opt-Out, ach und natürlich auch ein Opt-Out für den Facebook Pixel… Ganz ehrlich, die DSGVO kann richtig nerven…

Um gleich mehrere Fliegen mit einer Klappe zu schlagen, möchte ich dir das Plugin „Pixelmate“ von Soulsites empfehlen. Ich nutze es selber auf allen Websites von mir und auch auf den Seiten meiner Kunden.

Das Plugin ist extrem einfach zu bedienen und baut für dich (unter anderem) ein funktionierendes Opt-Out oder Opt-In (was auch immer du möchtest) für Google Analytics und Facebook Pixel auf deiner Website ein. Und es hat sogar noch mehr zeitsparende Funktionen, um dir die Anpassung an die DSGVO zu vereinfachen!

Klicke hier, um mehr über das Plugin zu erfahren. Glaube mir, das Plugin lohnt sich!

WordPress Plugins DSGVO Pinterest Bild

5/5 (1 Review)

  1. Danke für den Artikel,

    Ich nutze UpdraftPlus. Ich habe einen virtuellen Server gemietet und spiele die Backups per ftp auf den Server. Darunter auch personengebundene Daten. Ist das so erlaubt?

      1. Verstehe ich das richtig, dass wenn man die Backups auf dem eigenen Server lässt, es ok ist und sonst mit dem Hoster einen ADV abschließen musst.
        Gruß
        Alex

  2. Hi Jonas,

    ich hätte noch eine ganze Reihe weiterer PlugIns, die zum Großteil NICHT aus D kommen und speziell von mir für meine SEO Websites verwendet werden. Da ich finde, dass solch ein Beitrag sowieso laufend angepasst werden muss…wie wäre es:
    Soll ich unsere Liste mal hinzufügen (muss natürlich noch beim jeweiligen Anbieter nachfragen und die Informationen dann anpassen) um deine Liste zu ergänzen?

  3. Digimember speichert Klartext-Passwörter (nebst deren Hash) auch in v3.
    Und es speichert IP-Adressen (neu in v3) bei jeder Anmeldung in einer log-Tabelle, wobei die Absicht darin besteht, die Anzahl der Logins von verschieden IP’s mit nur einem Account zu begrenzen, wohl, um missbräuchliche Login-Datenweitergabe zu verhindern. Wird jedoch ein Benutzer-Account gelöscht, bleiben die Log-Daten erhalten. – So ist das Plugin eine Abmahnzeitbombe.

      1. Ja Jonas, hab ich, ich habe auch in die Datenbank geschaut 🙂
        Die diesbzgl. Tabelle heißt prefix_digimember_user und die Spalte pw_generated. Schau in diese Tabelle, bevor sich ein neu registrierter Kursteilnehmer das erste Mal einloggt. Neu in DM v3 ist offenbar, dass nach dem ersten Login das Klartext-Passwort gelöscht wird. In DM v2 war die Spalte immer befüllt.
        Beim Upgrade von v2 auf v3 bleiben die Passwörter der Alt-Teilnehmer zudem im Klartext erhalten (möglicherweise, bis sie sich in v3 das erste Mal wieder anmelden).
        Passwörter werden weiterhin im Klartext zugemailt, und das ist weder sicher noch der Stand der Technik.
        Die neue IP-Adressengeschichte in v3 kommt dazu (Tabelle prefix_digimember_ip_log) . Die IP-Datensätze gelöschter User sind hier, soweit ich sehe, nur über Datenbankdirektzugriff löschbar, sprich: Site-Betreibern unzumutbar und mit der DSGVO unvereinbar 🙁

  4. Gibt es kostenlose Alternativen zu Updraft Plus welche verschlüsselte Backups anlegen? Und wie läuft das mit alten Backups ab? Muss ich die alle dann im Nachhinnein löschen?

    LG

    1. Moin,

      am besten schließt du einfach einen ADV mit deinem Cloud-Anbieter, das ist am einfachsten. Alternativ lädst du die Backups einfach runter auf deinen Rechner und speicherst sie auf einer externen Festplatte. Oder du verschlüsselst sie und lädst sie dann hoch 🙂

      Grüße
      Jonas

      1. Wenn ich die Backups also nur auf einer externen Festplatte speichere, benötige ich keinen ADV mit Updraft ? Wie lässt sich denn so ein Backup manuell verschlüsseln?

        1. Moin,

          mit Updraft benötigst du sowieso keinen ADV. Mit deinem Hoster auf jeden Fall und wenn du einen Cloud-Dienst nutzt, auch mit diesem. Klar, du kannst das Backup auch auf einer externen Festplatte speichern, zum Verschlüsseln gibt es Programme wie beispielsweise boxcryptor.

          Grüße
          Jonas

  5. Moin Jonas,

    vielen Dank für den interessanten Artikel zu dem aktuellen Thema DSGVO.

    Gut strukturiert und das Beste ist aber, dass ich kein rotes Plugin gefunden habe 😉

    in diesem Sinne

    Oliver

  6. Hallo Jonas!

    Vielen Dank für die übersichtliche Auflistung 🙂

    Unser Mitgliederbereichs Plugin Fastgecko.org wird auch zum Stichtag DVSGO konform sein.

    LG aus Tirol
    Daniel

  7. Hi there
    I am author of „Fuse Social Floating Sidebar“ just want to make small correction. Our plugin only saves social links that user provides in the plugin settings, so it do save the data in the site database but DOES NOT send that data to any external server and doesn’t store cookies.
    Hope that helps to understand that more better.
    Thank you.
    – Daniyal

  8. Hallo Jonas,
    klasse Sache – vielen Dank für die Liste! Bin schon alles durch. Eine große Frage habe ich zu Deadline Funnel. Der schaut ja auch auf die IP (kann man so einstellen), um eine Deadline sicherzustellen (vor allem bei einem Evergreen). Die wollen zwar auch bis zum Stichtag GDPR-konform sein, aber kann man überhaupt jemals noch eine automatisierte Deadline einsetzen?
    Gruß
    Heidi

    1. Moin Heidi,

      soweit ich das weiß, wird so etwas durch ein beim Nutzer gesetztes Cookie gelöst. Das dürfte vermutlich in Ordnung sein, solange der Nutzer über die Nutzung von Cookies informiert wird und eine Möglichkeit zum Opt-Out hat.

      Grüße
      Jonas

  9. Hallo Jonas,

    vielen lieben Dank, dass du diese ganzen Informationen zur Verfügung stellst und dir die Mühe machst.
    Das ist ganz toll und eine große Hilfe.
    Ich konnte auch schon einige meiner Plugins hier finden und habe noch ein Paar Fragen:

    1)
    Mailchimp for WordPress:
    Damit sich die Leute auf meiner Seite zum Newsletter anmelden können, habe ich das Plugin Mailchimp für WordPress. Natürlich sammelt das Plugin Daten (Emailadresse) und teilt diese wieder einer anderen Seite (Mailchimp) mit.

    Frage: Werden denn diese Emailadressen irgendwo im WordPress auch noch gespeichert? Ich nutze nämlich auch BackWPup und möchte vermeiden, dass Emailadressen oder andere Daten der Webseitennutzer im Backup gespeichert werden.

    2) Plugins, von denen ich nicht erwarte, dass Sie Daten sammeln, aber sicher ist sicher:
    „Cookie Consent“ von Catapult_Themes
    „Multilingual Press“ von Inpsyde GmbH
    „Responsive Slider“ von AlienWP
    „Widgets on Pages“ von Todd Halfpenny

    Hast du eventuell Informationen zu diesen Plugins, aus man schließen kann, dass doch Daten erhoben werden? Bin über jede Info sehr sehr dankbar.

    3) „Wordfence Security“ von Wordfence:
    Hier werden definitiv IP-Adressen und Orte gesammelt.
    In welche Kategorie fällt dieses Plugin? Gibt es Informationen zur DSGVO?

    Puh, sehr viele Fragen jetzt, aber ich hoffe, dass es auch anderen helfen wird. 🙂

    Vielen lieben Dank schon einmal für deine Mühen.

    LG
    Julia

    1. Moin Julia,

      1) soweit ich weiß, werden die Daten von diesem Plugin lediglich weitergeleitet, nicht gespeichert
      2) Nehme ich in meine Liste auf, kommt demnächst!
      3) hab ich noch nicht im Detail angeschaut, allerdings verhält es sich hier vermutlich ähnlich wie bei iThemes Security.

      Grüße
      Jonas

  10. Erstmal danke für die Liste, aber eine Frage:
    ShortPixel Image Optimizer, was ist daran verboten?
    Es handlet sich bei den Betreibern um eine EU Unternehmen, eines Staates welches die DSGVO genauso befolgen muss wie wir.
    Sollte der reine Transfer verboten sein, dürfte man doch auch keine Daten mehr an eine Fotolabor senden um eine Stadtfoto drucken zu lassen?

    1. Moin Micha,

      wie ich gerade schon bei einem anderen Kommentar geschrieben habe:
      Meine Einschätzung hierzu ist, dass Bilder, welche gegen das Persönlichkeitsrecht verstoßen (Bilder mit erkennbaren Personen im Vordergrund, deren schriftliches Einverständnis nicht besteht), weder auf der eigenen Website platziert werden, noch an Dritte gesendet werden dürfen.

      Grüße
      Jonas

  11. Hallo Jonas,
    eine schöne Liste hast du da 🙂
    Da ich gesehen habe, dass mein Lieblings-Bildoptimierungsplugin ShortPixel rot markiert wurde, habe ich den Entwickler kontaktiert und er hat mich gebeten folgenden Kommentar auf deinem Blog zu hinterlassen:

    ShortPixel verwendet für die Bildoptimierung Server, die den Standort in Deutschland haben. Die Bilder werden für die Optimierung fast ausschließlich von öffentlich zugänglichen Websites heruntergeladen. Um die Bilder von passwort-geschützten Websites zu optimieren, muss der Admin/Websitebetreiber dies explizit durch eine Passworteingabe freigeben. ShortPixel verarbeitet keine personenbezogenen Daten, die Daten die verwendet werden dienen aussschließlich der Bildoptimierung, Debugging und Support. ShortPixel speichert alle Bilder 1 Stunde lang, danach werden sie gelöscht. Dis URLs der Bilder werden 40 Tage aus Debugging-Gründen gespeichert und danach aus der Datenbank von ShortPixel gelöscht.

    Für mich klingt das alles nicht unbedingt nach „rot“. Und wenn ich mit meinen Bildern gegen irgendwelche Persönlichkeitsrechte verstoße, dann tue ich das schon bevor ich das Plugin benutze, weil die Website ja öffentlich zugänglich ist.
    Schöne Grüße, Danijel

    1. Moin Danijel,

      meine Einschätzung hierzu ist, dass Bilder, welche gegen das Persönlichkeitsrecht verstoßen (Bilder mit erkennbaren Personen im Vordergrund, deren schriftliches Einverständnis nicht besteht), weder auf der eigenen Website platziert werden, noch an Dritte gesendet werden dürfen.

      Grüße
      Jonas

  12. Moin Moin,

    ich arbeite mit dem Caldera Forms und habe nun eine Checkbox mit in mein Formular eingebaut. -Ist das PlugIn nun der neuen Regelung entsprechend? -Über das Kontaktformular kann auch der Besuch auswählen, ob er ein Shooting haben möchte oder sich für einen Gutschein entscheidet. Eine Bezahlung ist über die Seite nicht möglich. Zählt das dann trotzdem schon zu einem Shop?

    Viele Grüße
    Ingo

    1. Moin Ingo,

      das kann ich dir leider nicht sagen, sorry!
      Ich schätze aber, da hier ein Kaufvertrag geschlossen wird, müssen gewisse Vorkehrungen getroffen werden (Widerrufserklärung?). In welcher Form, kann ich dir allerdings nicht sagen. Da müsstest du mal einen Anwalt fragen 🙂

      Grüße
      Jonas

  13. Wir benutzen einen Google Kalender. Die Termine werden dort ohne persönliche Daten eingetragen. Die Darstellung auf der Internetseite erfolgt mit dem Plugin „Simple Calendar“ (https://simplecalendar.io/)

    Ich ging davon aus, dass ich bei einer Analyse meiner Seite mit dem Tool https://webbkoll.dataskydd.net/en einen Kontakt zu Google sehe… dies ist aber nicht der Fall. Das wundert mich. Wie bekommt das Plugin die Termine von Google? Denn sobald der Browser eines Besuchers mit Google Kontakt aufnimmt, wird zumindest die IP-Adresse übertragen (vgl. Google Fonts).

    Hatte eine Supportanfrage auf der Pluginseite geschrieben… aber Support gibt’s wohl nur für zahlende Kunden. Ich hätte kein Problem damit, auf einen „internen“ Kalender umzusteigen… aber wenn’s nicht sein muss und das so funktioniert…

    Vielleicht hat ja jemand Ahnung und kann mir weiterhelfen?

    1. Moin,

      prüfe die Verbindungen lieber mal über die Browserconsole, dort kannst du deutlich klarer sehen, was für Verbindungen bestehen.
      Wenn das Plugin auf den Google Calendar zugreift, wird hier auch definitiv eine Verbindung entstehen 🙂

      Grüße
      Jonas

      1. „Wenn das Plugin auf den Google Calendar zugreift, wird hier auch definitiv eine Verbindung entstehen“

        Sehe ich genauso… aber nix… nada. Verwende die Web-Entwickler-Tools von Firefox. Keinerlei Verbindungen zu Google.
        Ist ja auch gut… aber ich verstehs nur nicht! Evtl. lädt das Plugin die Termine in eine Datenbank? Hmm….

        1. Der Kalender wird bestimmt über die HTTP-API von WordPress mittels Ctonjob aktualisiert. Diese API-Anfragen sieht man weder in Ghostery noch in der Browser-Konsole. Du kannst das Plugin „Snitch“ nutzen, eine Zeit laufen lassen und dann siehst du alle über die API versendeten Daten. Allerdings gibt es gemeine Pugins, die curl verwenden und damit die WordPress-HTTP-API umgehen. Die würde man selbst mit Snitch nicht entdecken.
          Weitere Hilfe kann das Plugin Crontrol geben, das dir in die Cronjobs Einblick verschafft.

          1. Danke!
            Ok… das wird mir langsam zu hoch 😉
            Frage: Wird denn über die von dir angesprochenen Vorgänge (cronjob, curl) beim Besucher der Website tatsächlich keine Verbindung zu google hergestellt? Dann wäre das ja voll in Ordnung in Hinblick auf die DSGVO…

            1. Da musst du aufpassen. Ja, ungefragtes Durchreichen deiner Verbindungsdaten an Dritte geht nicht. Aber selbst wenn das NICHT passiert, kann ein Ctonjob auch ohne Besucherverbindung pers.bezogene Daten übermitteln. Gerade Kalender sind dafür doch anfällig, wenn z.B
              im Termin Namen oder Adressen stehen. Man muss sich die übermittelten Daten genau anschauen.

              1. Danke dir für die schnellen Antworten. Darauf achten wir schon immer, dass in den Termine keine Adressen und Namen stehen.
                Ansonsten sehe ich nun kein Problem, den Kalender weiterhin zu nutzen… eine Verbindung zu Google wird nach mehrmaligem Überprüfen nicht hergestellt!

      1. nunja, es sollte ja auch (s)eine Gesinnung dahinter stecken und nicht noch schnell „mitnehmen“, bevor es teure Abmahnungen gibt #doppelmoral

        1. Gut, in dem Fall füttere ich den Troll mal:
          Ich finde die Grundsätze der DSGVO sehr gut. Datenschutz ist bisher viel zu wenig angegangen worden. Einige der von uns nun erwarteten Maßnahmen machen auch sehr viel Sinn, beispielsweise die SSL Verschlüsselung, Opt-Outs für Tracking, Datenschutzerklärungen mit ausführlichen Informationen etc.
          Andere machen in meinen Augen nur sehr wenig Sinn und wurden nicht durchdacht. Hierunter fällt meines Erachtens nach beispielsweise das „Kopplungsverbot“. Ich sehe ein, dass man Menschen nicht mit kostenlosem Kram hinter das Licht führen und sie dann per E-Mail mit Werbung beballern sollte. Allerdings kann ja auch klar kommuniziert werden, dass man ein kostenloses PDF / Ebook etc. bekommt, und sich zudem für den Newsletter einträgt. Erstens kennt jeder internetaffine Nutzer dieses Vorgehen und zweitens dient es beiden Seiten. Der Empfänger bekommt das kostenlose Material, und der Anbieter kann mit sinnvollen Inhalten weiterhin im Kontakt bleiben.
          Darum Bernd, biete ich aktuell die PDF Liste zum Download an, mit dem klaren Hinweis darauf, dass man sich für den Newsletter einträgt. Denn, möglicherweise kannst du es dir vorstellen, steckt unfassbar viel Zeit in der Recherche eines solchen Artikels.

          Grüße
          Jonas

  14. Vielen Dank für die Ausführliche Aufführung.
    Allerdings speichert Ginger Cookie die IP-Adresse unter log ob einem Cookie zugestimmt wurde oder nicht

      1. Hallo Jonas,
        ich habe das Plugin Installiert. Im Adminbereich gibt es ein Menupunkt mit Activity Logger.
        Dort werden die Ip´s is einer Tabelle angezeigt

        Time, IP, url, Cookie

        Bei Cookie steht dann Y oder N je nachdem ob der Besucher Zugestimmt hat oder nicht.
        Gruß Till

  15. Grrrrrr – hier läuft ja ungefragt Grrrravatar …

    na warte nur bis zum 25. , Jonas, meine Einwilligung für diese Datenweitergabe in die USA hast du von mir nicht … 😀

    Spaß muss sein … 🙂

  16. Sehr schöne Liste neben der von Blogmojo. Unter „Kontaktformular-Plugins“ hast du Flamingo aufgeführt. Dasselbe müsste doch auch für das Plugin „Contact Form DB (CFDB)“ gelten oder?

  17. Hallo Jonas,
    super Liste! Vielen Dank für deine Mühe.
    Ich nutze Formcraft als Kontaktformular. Weißt du, wie es damit ausschaut?
    LG Marion

    1. Moin Marion,

      bei Kontaktformularen ist es normalerweise immer das selbe: Es muss ein Hinweis auf die Datennutzung und Speicherung zum Formular dazugeschrieben werden. Ob das Plugin selber irgendwelche Daten an Dritte überträgt, kann ich dir nicht sagen.

      Grüße
      Jonas

  18. Hallo Jonas,
    ich gehe einmal davon aus das das von mir benutzte „WP Statistics“ keine Probleme mit der „DSGVO“ hat, da eigentlich alle Daten nur auf meinen Server gespeichert werden. Ist da meine Annahme richtig?

    MFG

  19. Hi Jonas,

    ich nutze wp-postratings als „Sternchen Bewertungen“ für meine Post. Ich nutze dieses Plugin da es Google Rich Snippets unterstützt. Leider werden alle Bewertungen mit IP Adresse gespeichert. Der Author des Plugins hat es jetzt geändert das die letzten 3 Stellen der IP maskiert sind. Reicht das? Oder kennst du eine bessere Alternative? Mir geht es hauptsächlich um die Rich Snippets in der Google Suche.
    Hoffe auf eine Antwort.
    DANKE

  20. Danke für den Artikel. Einiges interessantes dabei.
    Eine Frage habe ich noch zu den Kommentaren:
    da benutzte ich auf einem Blog stets das Gurken Subscribe to Comments.
    Das läuft mit Double Opt-in (Häkchen, Mail mit Bestätigungs-Link).
    Ist das somit „grün“ oder sollte man lieber ein anderes benutzen, da es „discontinued“ wurde?
    Danke für kurzes Feedback.

    1. Moin Alex,

      wenn es ein DOI gibt und die Adressen bei dir gespeichert werden, sollte das meiner Meinung nach kein Problem darstellen. Discontinued heißt allerdings, dass es keine Updates mehr gibt und somit Sicherheitslücken und entstehende Kompatibilitätsprobleme nicht behoben werden…

      Grüße
      Jonas

  21. Hi- hast Du eigentlich schon bemerkt, dass die Ladezeit Deiner Seite grottenschlecht ist?! Nutzt Du Pixelmate DSGVO? Ich habe es heute installiert und die Ladezeit meiner Seite geht total in die Knie. Es dauert fast ein Minute, bis die Seite da ist. Deaktiviere ich Pixelmate, ist alles wieder ok. Habe die angeschrieben, weil ich entweder eine Lösung oder mein Geld für die 3er Lizenz zurück will. Hatte das gleiche Problem schon Anfang des Jahres und bin dann auf Borlabs Cookie gewechselt, Da gibt es kein Problem. Heute wollte ich Pixelmate nochmal eine Chance geben und auf einer jungfräulichen WordPress-Installation einsetzen. Denkste – selbes Problem. Nutzt Du das auch? Dann erklärt sich die grottenschlechte Ladezeit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

WordPress DSGVO Podcast
Nächster Beitrag:

Podcast: WordPress und die DSGVO

Podcast: WordPress und die DSGVO