Die DSGVO verlangt ja so einiges von uns Selbstständigen. WordPress DSGVO konform zu nutzen ist an sich gar nicht so wild, allerdings dürfen die Plugins nicht vergessen werden!
Manche Plugins speichern personenbezogene Daten in der WordPress Datenbank, andere schicken sie sogar zu externen Servern.
Welches Plugin darf nun im Rahmen der DSGVO Vorgaben genutzt werden, bei welchem müssen Anpassungen vorgenommen werden und welche dürfen gar nicht mehr im Einsatz sein?
Genau das kann du hier in der Liste herausfinden. Ich werde sie laufend aktualisieren und neue Plugins hinzufügen!
Meine Infos basieren auf eigener Recherche und Kontakt zu Herstellern, natürlich kann ich nur den Ist-Zustand analysieren und auch keine rechtsverbindlichen Infos geben. Bitte prüfe auch immer selber nochmal nach, ob ich nicht etwas übersehen haben könnte, auch bei mir schleicht sich manchmal ein Fehler ein.
WordPress ist nach der Installation erst einmal komplett DSGVO konform, erst die Plugins und Themes können Probleme verursachen.
[eckosc_status_message title=“Haftungsausschluss“ icon=“fa-exclamation-triangle“ type=“warn“ message=“Da ich kein Anwalt bin und weder rechtskräftigen Aussagen tätigen kann noch darf, ist diese Auflistung nicht rechtlich verbindlich und es bestehen weder Garantie noch Gewähr auf die Richtigkeit. Ich habe zu meinem besten Wissen und Gewissen recherchiert.“]
Wenn du meine 30 Plugin Tipps und noch vier meiner Geheimtipps kennen lernen möchtest, klicke hier.
Das hier ist der fünfte Teil meiner Artikelreihe zu WordPress und der DSGVO. Bestimmt interessieren dich auch die anderen Artikel dazu:
So entfernst du die IP Adresse bei WordPress Kommentaren
Real Cookie Banner – das beste WordPress Cookie Plugin [mit Rabatt]
Wie du Google Analytics DSGVO konform mit WordPress verbindest
Wie du den Facebook Pixel DSGVO konform mit WordPress verbindest
Wie du den Google Tag Manager DSGVO konform mit WordPress verbindest
Wie du in WordPress Google Fonts DSGVO konform einbaust
[toc]
Legende
Blaue Plugins
Das sind Plugins, die sowohl DSGVO konform sind und dich zudem bei der Umsetzung der gesetzlichen Vorgaben unterstützen.
Grüne Plugins
Diese Plugins sammeln keine personenbezogenen Daten, sind zum aktuellen Zeitpunkt DSGVO konform oder die Einhaltung der DSGVO wurde vom Hersteller zugesagt.
Orangene Plugins
Diese Plugins sammeln personenbezogene Daten oder haben andere Konflikte mit der DSGVO. Allerdings gibt es Möglichkeiten, diese Plugins DSGVO konform einzustellen oder andere Maßnahmen hierfür zu ergreifen.
Rote Plugins
Diese Plugins sammeln oder versenden personenbezogene Daten, was sich nicht verhindern lässt. Sie folgen nicht den Vorgaben der DSGVO.
Newsletter- & Leadgewinnungs-Plugins
ActiveCampaign
Das Plugin sammelt personenbezogene Daten und sendet sie an die Server von ActiveCampaign. Da für das Betreiben des Newsletters sowieso ein ADV mit dem Newsletter-Tool nötig ist, muss bei dem Plugin selbst nichts weiter angepasst werden.
Bloom Email Opt-In
Sendet die vom Nutzer abgefragten Daten zum verbundenen Newsletter-Tool. Dieser Schritt darf nur durchgeführt werden, wenn der Nutzer über das Speichern der Daten informiert wurde. Um Bloom DSGVO-konform zu nutzen, benötigst du das Bloom – GDPR Overlay Plugin.
Mailpoet
Der Hersteller hat DSGVO Konformität bestätigt. (Quelle)
Thrive Leads*
Der Hersteller sagt zu, dass alle Thrive Produkte spätestens zum Stichtag 100% DSGVO konform sein werden. (Quelle)
Backup-Plugins
BackWPup
Wenn deine Website personenbezogene Daten speichert (IPs bei Kommentaren, E-Mail Adressen etc.), werden diese auch beim lokalen Ablegen des Backups auf deinem Server gespeichert. Wenn du deine Backups zudem an externe Cloud-Dienste (Google Drive, OneDrive, Dropbox etc.) sendest, überträgst du diese personenbezogenen Daten dorthin.
UpdraftPlus
Wenn deine Website personenbezogene Daten speichert (IPs bei Kommentaren, E-Mail Adressen etc.), werden diese auch beim lokalen Ablegen des Backups auf deinem Server gespeichert. Wenn du deine Backups zudem an externe Cloud-Dienste (Google Drive, OneDrive, Dropbox etc.) sendest, überträgst du diese personenbezogenen Daten dorthin (außer du nutzt UpdraftPlus Premium, damit kannst du Backups verschlüsseln).
Kommentar-Plugins
Disable Comments
Speichert keine personenbezogenen Daten und versendet sie nicht.
Remove IP
Das Plugin speichert und sendet keinerlei personenbezogene Daten. Es unterstützt dich dabei, die IP Adresse kommentierender Nutzer nicht zu speichern.
Subscribe To „Double-Opt-In“ Comments
Speichert personenbezogene Daten in der WordPress Datenbank. Darüber muss der Nutzer informiert werden.
SEO-Plugins
All in One SEO Pack
Der Hersteller bestätigt 100% DSGVO Konformität. (Quelle)
Speichert und versendet keinerlei personenbezogene Daten.
Bananacontent
Das Plugin läuft nur im Backend, nicht im Frontend. Laut Support werden keine personenbezogenen an externe Server gesendet und es gäbe keinerlei Konflikte mit der DSGVO.
Google XML Sitemap
Es werden keinerlei Daten gespeichert oder an externe Server übertragen und folgt somit den Vorgaben der DSGVO.
Redirection
Die IP-Protokollierung soll auf „No IP logging“ gesetzt werden, sonst werden die IP-Adresse gespeichert. Dann gibt es keine Probleme mit der DSGVO.
Simple 301 Redirects
Speichert und verarbeitet keine persönlichen Daten. Keine Probleme mit der DSGVO.
Yoast SEO
Der Hersteller hat 100% DSGVO Konformität bis zum Stichtag zugesagt.
Sicherheits-Plugins
All In One WP Security & Firewall
Es werden zwar laut Hersteller keine personenbezogene Daten an externe Server versendet, allerdings werden je nach Einstellung persönliche Daten in deiner Datenbank gespeichert.
Beispielsweise werden durch die Aktivierung des Login Lockdowns oder durch Blacklisting IP Adressen in der WordPress Datenbank gespeichert. Bei Aktivierung der Brute Force Attack Prevention werden sogar Cookies gesetzt. Über all das muss der Seitenbesucher natürlich informiert werden!
iThemes Security
Bei Aktivierung des lokalen Brute-Force-Schutzes werden IP Adressen lokal in der WordPress Datenbank gespeichert. Bei Aktivierung des Netzwerk-Brute-Force-Schutzes werden die IP Adressen sogar an den externen Server von iThemes geschickt. Beides muss also deaktiviert sein, um DSGVO-konform zu sein.
Zudem werden IP Adressen in der lokalen Datenbank gespeichert, wenn folgende Einstellungen aktiv bzw. IP Adressen hinterlegt sind:
- manuelle Benutzersperrung
- Weiße Liste – Entriegelung
- Schwarze Liste für Wiederholungstäter
- 404 Erkennung
Möglicherweise lässt sich manches davon mit dem berechtigen Interesse begründen, sollte zur Sicherheit aber deaktiviert werden. Ist das alles deaktiviert, stellt sich die Frage, was das Plugin überhaupt noch machen soll… Hier einige Tipps zur Sicherheit deiner Website, ganz ohne Plugin.
Limit Login Attempts
Zur Abwehr von Brute-Force-Attacken werden IP-Adressen in der Datenbank gespeichert. Hier ist möglicherweise ein „berechtigtes Interesse“ vorhanden, welches diese Art der Nutzung zulässt.
Social-Plugins
Setzt Cookies zur Analyse und besserer UX der Share-Buttons und speichert typische Server-Log Daten. Die IP Adresse wird anonymisiert und keine personenbezogenen Daten werden gespeichert oder weitergegeben. Der Hersteller hat die DSGVO-Konformität vor dem Inkrafttreten der DSGVO zugesagt (Quelle).
Better Click To Tweet
Speichert keinerlei Daten. Die Verbindung zu Twitter muss vom Nutzer bestätigt werden und läuft über Twitter selbst ab.
Fuse Social Floating Sidebar
Speichert laut Support keine Daten, versendet sie nicht und nutzt auch keine Cookies. Ist laut Support also mit der DSGVO vereinbar.
Shariff Wrapper
Ist laut dem Hersteller 100% DSGVO konform.
Yoast SEO
Wird laut dem Hersteller 100% DSGVO konform.
Statistik-Plugins
Analytify
Um das Plugin zu nutzen, musst du die üblichen Google Analytics Vorkehrungen treffen (IP Anonymisierung, Vertrag, Opt-Out etc.). Hier findest du mehr Infos und die Quelle dieser Infos.
Google Analytics for WordPress by MonsterInsights
Um das Plugin zu nutzen, musst du die üblichen Google Analytics Vorkehrungen treffen (IP Anonymisierung, Vertrag, Opt-Out etc.). Hier findest du mehr Infos und die Quelle dieser Infos.
Google Analytics Dashboard for WP (GADWP)
Um das Plugin zu nutzen, musst du die üblichen Google Analytics Vorkehrungen treffen (IP Anonymisierung, Vertrag, Opt-Out etc.). Hier findest du mehr Infos und die Quelle dieser Infos.
Google Analytics Opt-Out
Unterstützt dich bei der Einrichtung eines Opt-Outs für Google Analytics. Sammelt selber weder Daten, noch gibt es Daten weiter.
Page-Builder Plugins
Divi Page Builder
Sowohl das Divi Theme als auch der Divi Page Builder wird zum Stichtag DSGVO konform sein, das hat mir der Support von Elegantthemes bestätigt.
Elementor
Es werden laut Support keinerlei Daten gespeichert oder an externe Server übertragen und folgt somit den Vorgaben der DSGVO.
Thrive Architect*
Der Hersteller sagt zu, dass alle Thrive Produkte spätestens zum Stichtag 100% DSGVO konform sein werden. (Quelle)
WPBakery Page Builder
Es werden laut Support keinerlei Daten gespeichert oder an externe Server übertragen und folgt somit den Vorgaben der DSGVO.
Anti-Spam-Plugins
Antispam Bee
Ist in den Standardeinstellungen DSGVO-konform. Es müssen die Einstellungen „Öffentliche Spamdatenbank berücksichtigen“, „Kommentare aus bestimmten Ländern blockieren“ und am besten auch „Kommentare nur in einer bestimmten Sprache zulassen“ deaktiviert sein. Ansonsten werden personenbezogene Daten an externe Server gesendet. Hier gibts mehr Infos zur DSGVO-konformen Nutzung.
Email Address Encoder
Arbeitet nur auf dem lokalen Server und speichert keinerlei personenbezogene Daten.
Kontaktformular-Plugins
Contact Form 7
Speichert keine Daten, sondern sendet die ausgefüllten Kontaktformularfelder per E-Mail. Es muss direkt beim Formular eine Information über die Nutzung/Speicherung der Daten gegeben werden.
Flamingo
Speichert die Formulareingaben und somit personenbezogene Daten auf dem eigenen Server. Somit wird das Einverständnis hierfür benötigt und eine Info, wofür die Daten verwendet werden. Das „Recht auf Vergessenwerden“ sollte möglicherweise auch umgesetzt werden (hier eine Anleitung dazu).
Ninja Forms
Speichert keine Daten, sondern sendet die ausgefüllten Kontaktformularfelder per E-Mail. Es muss direkt beim Formular eine Information über die Nutzung/Speicherung der Daten gegeben werden. Eine ausführliche Erklärung und Anleitung zu Ninja Forms und der DSGVO gibts bei Ninjaforms selbst.
Membership- und Community-Plugins
Digimember
Speichert personenbezogene Daten (E-Mail Adresse, Name, Benutzername…) in der WordPress Datenbank. In Version 2 werden Passwörter zudem in der Datenbank als Klartext gespeichert (in Version 3 nicht mehr).
Möglicherweise ist die Speicherung der Daten in der eigenen Datenbank aufgrund des berechtigten Interesses zukünftig gestattet (wird auf Gerichtsurteile ankommen).
Zitat Support:
„Sie müssen weder mit uns (Digistore24) noch mit Digimember einen Auftragsverarbeitungsvertrag abschließen. Digistore24 ist kein Zahlungsdienstleister.“
Performance-Plugins
Autoptimize
Hat keine Verbindung nach außen und unterstützt dich durch die Möglichkeit zur Entfernung der Emojis und Verbindungen zu Google Font Servern sogar bei der Umsetzung der DSGVO.
BJ Lazy Load
Läuft nur lokal, speichert keine Daten, ist also DSGVO-konform.
Cache Enabler
Läuft lokal ohne Speicherung von personenbezogenen Daten. Hat also keinen Kontakt zur DSGVO.
Cachify
Läuft nur lokal und speichert keine Daten, ist also DSGVO konform.
Comet Cache
Läuft nur lokal und speichert keine personenbezogenen Daten. Die Pro-Version überträgt nicht-personenbezogene Daten wie die genutzte MySQL Version und ähnliches.
Crazy Lazy
Läuft nur lokal und speichert keine personenbezogenen Daten. Hat mit der DSGVO nichts zu tun.
WP Fastest Cache
Speichert keine personenbezogenen Daten und ist somit DSGVO konform.
WP-Optimize
Speichert keine personenbezogenen Daten und ist somit DSGVO konform.
WP Super Cache
Speichert keine personenbezogenen Daten und ist somit DSGVO konform.
WP Rocket
Speichert keine personenbezogenen Daten und ist somit DSGVO konform.
W3Total Cache
Speichert keine personenbezogenen Daten und ist somit DSGVO konform.
Medien Plugins
Add From Server
Arbeitet nur auf dem lokalen Server und speichert keinerlei personenbezogene Daten. Also alles gut mit der DSGVO.
Enable Media Replace
Läuft nur lokal, speichert keinerlei Daten und ist DSGVO-konform.
FooGallery
Läuft nur lokal und speichert keine personenbezogenen Daten – ist DSGVO-konform.
FooBox Image Lightbox
Keine externen Verbindungen und speichert keine personenbezogenen Daten – ist DSGVO-konform.
NextGEN Gallery
Keine externen Verbindungen und speichert keine personenbezogenen Daten – ist DSGVO-konform.
ShortPixel Image Optimizer
Das Plugin sendet die zu komprimierenden Bilder an den Server von ShortPixel. Sind auf einem Bild beispielsweise Personen zu erkennen, ist das rechtlich verboten (nicht direkt im Rahmen der DSGVO, aber durch die Verletzung von Persönlichkeitsrechten).
SVG Support
Läuft nur lokal und speichert keine Daten – ist DSGVO-konform.
Weitere Plugins
Advanced Custom Fields
Läuft nur lokal und speichert keinerlei personenbezogene Daten. Keine Probleme mit der DSGVO.
Better Search Replace
Läuft nur lokal und speichert keinerlei personenbezogene Daten. Hat nichts mit der DSGVO zu tun.
Läuft nur lokal und speichert keinerlei personenbezogene Daten. Keine Probleme mit der DSGVO.
Broken Link Checker
Läuft nur lokal und speichert keinerlei personenbezogene Daten. Keine Probleme mit der DSGVO.
Contextual Related Posts
Läuft lokal, speichert keinerlei Daten und hat nichts mit der DSGVO am Hut.
Cookie Law Info
Läuft nur lokal und speichert keinerlei personenbezogene Daten. Da die DSGVO keinen Cookie-Hinweis verlangt, außer einen Passus in den Datenschutzerklärungen, fällt das Plugin nicht unter die „blaue-Kategorie“.
Cookie Notice von dFactory
Läuft nur lokal und speichert keinerlei personenbezogene Daten. Da die DSGVO keinen Cookie-Hinweis verlangt, außer einen Passus in den Datenschutzerklärungen, fällt das Plugin nicht unter die „blaue-Kategorie“.
Custom Sidebars – Dynamig Widget Area Manager
Arbeitet nur lokal und speichert keine personenbezogenen Daten. Keine Probleme mit der DSGVO.
Duplicate Post
Arbeitet nur auf dem lokalen Server und speichert keinerlei personenbezogene Daten. Keine Probleme mit der DSGVO.
Ginger – EU Cookie Law
Läuft lokal und speichert keinerlei personenbezogene Daten. Da die DSGVO keinen Cookie-Hinweis verlangt, außer einen Passus in den Datenschutzerklärungen, fällt das Plugin nicht unter die „blaue-Kategorie“.
Läuft nur lokal und speichert keinerlei personenbezogene Daten. Keine Probleme mit der DSGVO.
Jetpack
Jetpack überträgt einen ganzen Haufen an Daten zu WordPress.com. Dazu zählen unter anderem E-Mail Adressen registrierter Benutzer und sämtliche Daten kommentierender Nutzer.
Welche Daten genau übertragen werden, findest du hier. Vom Jetpack Support ist allerdings eine DSGVO Konformität zugesagt, auf welche mit Version 6 schon ein großer Schritt zu gemacht wurde.
Loco Translate
Laut Support werden keinerlei personenbezogene Daten an externe Server gesendet. Auch auf dem eigenen Server werden keine personenbezogenen Daten gespeichert. Keine Probleme mit der DSGVO.
MetaSlider
Speichert und verarbeitet keine persönlichen Daten. Keine Probleme mit der DSGVO.
Regenerate Thumbnails
Speichert und verarbeitet keine persönlichen Daten. Keine Probleme mit der DSGVO.
Speichert und verarbeitet keine persönlichen Daten. Keine Probleme mit der DSGVO.
Shortcodes Ultimate
Speichert und verarbeitet keine persönlichen Daten. Keine Probleme mit der DSGVO.
Table of Contents Plus
Speichert und verarbeitet keine persönlichen Daten. Keine Probleme mit der DSGVO.
TablePress
Laut Support werden keinerlei personenbezogene Daten gespeichert oder versendet. Keine Probleme mit der DSGVO.
Thrive Ovation
Der Hersteller sagt zu, dass alle Thrive Produkte spätestens zum Stichtag 100% DSGVO konform sein werden. (Quelle)
Thrive Ultimatum*
Der Hersteller sagt zu, dass alle Thrive Produkte spätestens zum Stichtag 100% DSGVO konform sein werden. (Quelle)
Thrive Headline Optimizer
Der Hersteller sagt zu, dass alle Thrive Produkte spätestens zum Stichtag 100% DSGVO konform sein werden. (Quelle)
Thrive Clever Widgets*
Der Hersteller sagt zu, dass alle Thrive Produkte spätestens zum Stichtag 100% DSGVO konform sein werden. (Quelle)
TinyMCE Advanced
Läuft nur im Backend, speichert keine personenbezogenen Daten und ist somit DSGVO konform.
WordPress Importer
Speichert und versendet keine personenbezogenen Daten und ist somit DSGVO konform.
WordPress Popular Posts
Speichert und versendet laut Support keine personenbezogenen Daten und ist somit DSGVO konform.
WPML
Ist laut Support auf dem Weg, DSGVO konform zu sein. Mehr Infos wird von WPML veröffentlicht, sobald es etwas neues gibt.
Speichert und versendet keine personenbezogenen Daten und ist somit DSGVO konform.
Die DSGVO nervt? Schlage (fast) alle Fliegen mit einer Klappe!
Hier Google Fonts, dort Google Analytics Tracking Opt-Out, ach und natürlich auch ein Opt-Out für den Facebook Pixel… Ganz ehrlich, die DSGVO kann richtig nerven…
Um gleich mehrere Fliegen mit einer Klappe zu schlagen, möchte ich dir das Plugin „Borlabs Cookie“ empfehlen. Ich nutze es selber auf allen Websites von mir und auch auf den Seiten meiner Kunden.
Das Plugin bietet dir die wichtigsten Möglichkeiten, und lässt dich ein funktionierendes Opt-In für Google Analytics, Facebook Pixel und alle weiteren Cookies & externen Verbindungen auf deiner Website einbauen. Und es hat sogar noch mehr zeitsparende Funktionen, um dir die Anpassung an die DSGVO zu vereinfachen!
Klicke hier, um zur Kurzanleitung für Borlabs Cookie zu kommen.
Danke für den Artikel,
Ich nutze UpdraftPlus. Ich habe einen virtuellen Server gemietet und spiele die Backups per ftp auf den Server. Darunter auch personengebundene Daten. Ist das so erlaubt?
Moin Micha,
wenn du mit dem Unternehmen, von dem du den virtuellen Server mietest, einen ADV hast, sollte das in meinen Augen in Ordnung sein 🙂
Grüße
Jonas
Verstehe ich das richtig, dass wenn man die Backups auf dem eigenen Server lässt, es ok ist und sonst mit dem Hoster einen ADV abschließen musst.
Gruß
Alex
Moin Alex,
einen ADV mit deinem Hoster brauchst du so oder so 😉
Grüße
Jonas
Hi Jonas,
ich hätte noch eine ganze Reihe weiterer PlugIns, die zum Großteil NICHT aus D kommen und speziell von mir für meine SEO Websites verwendet werden. Da ich finde, dass solch ein Beitrag sowieso laufend angepasst werden muss…wie wäre es:
Soll ich unsere Liste mal hinzufügen (muss natürlich noch beim jeweiligen Anbieter nachfragen und die Informationen dann anpassen) um deine Liste zu ergänzen?
Moin Fabian,
schick mir doch gerne die Liste mal per E-Mail (info@wp-ninjas.de), dann gleiche ich das mit meinen Infos ab 🙂
Grüße
Jonas
Digimember speichert Klartext-Passwörter (nebst deren Hash) auch in v3.
Und es speichert IP-Adressen (neu in v3) bei jeder Anmeldung in einer log-Tabelle, wobei die Absicht darin besteht, die Anzahl der Logins von verschieden IP’s mit nur einem Account zu begrenzen, wohl, um missbräuchliche Login-Datenweitergabe zu verhindern. Wird jedoch ein Benutzer-Account gelöscht, bleiben die Log-Daten erhalten. – So ist das Plugin eine Abmahnzeitbombe.
Moin Frank,
hast du dazu eine Quelle? Ich habe mehrere Datenbanken von Seiten mit Digimember 3 angeschaut, dort waren keinerlei Passwörter gespeichert.
Grüße
Jonas
Ja Jonas, hab ich, ich habe auch in die Datenbank geschaut 🙂
Die diesbzgl. Tabelle heißt prefix_digimember_user und die Spalte pw_generated. Schau in diese Tabelle, bevor sich ein neu registrierter Kursteilnehmer das erste Mal einloggt. Neu in DM v3 ist offenbar, dass nach dem ersten Login das Klartext-Passwort gelöscht wird. In DM v2 war die Spalte immer befüllt.
Beim Upgrade von v2 auf v3 bleiben die Passwörter der Alt-Teilnehmer zudem im Klartext erhalten (möglicherweise, bis sie sich in v3 das erste Mal wieder anmelden).
Passwörter werden weiterhin im Klartext zugemailt, und das ist weder sicher noch der Stand der Technik.
Die neue IP-Adressengeschichte in v3 kommt dazu (Tabelle prefix_digimember_ip_log) . Die IP-Datensätze gelöschter User sind hier, soweit ich sehe, nur über Datenbankdirektzugriff löschbar, sprich: Site-Betreibern unzumutbar und mit der DSGVO unvereinbar 🙁
Gibt es kostenlose Alternativen zu Updraft Plus welche verschlüsselte Backups anlegen? Und wie läuft das mit alten Backups ab? Muss ich die alle dann im Nachhinnein löschen?
LG
Moin,
am besten schließt du einfach einen ADV mit deinem Cloud-Anbieter, das ist am einfachsten. Alternativ lädst du die Backups einfach runter auf deinen Rechner und speicherst sie auf einer externen Festplatte. Oder du verschlüsselst sie und lädst sie dann hoch 🙂
Grüße
Jonas
Wenn ich die Backups also nur auf einer externen Festplatte speichere, benötige ich keinen ADV mit Updraft ? Wie lässt sich denn so ein Backup manuell verschlüsseln?
Moin,
mit Updraft benötigst du sowieso keinen ADV. Mit deinem Hoster auf jeden Fall und wenn du einen Cloud-Dienst nutzt, auch mit diesem. Klar, du kannst das Backup auch auf einer externen Festplatte speichern, zum Verschlüsseln gibt es Programme wie beispielsweise boxcryptor.
Grüße
Jonas
Moin Jonas,
vielen Dank für den interessanten Artikel zu dem aktuellen Thema DSGVO.
Gut strukturiert und das Beste ist aber, dass ich kein rotes Plugin gefunden habe 😉
in diesem Sinne
Oliver
Moin Oliver,
na das ist doch super!:)
Grüße Jonas
Hallo Jonas!
Vielen Dank für die übersichtliche Auflistung 🙂
Unser Mitgliederbereichs Plugin Fastgecko.org wird auch zum Stichtag DVSGO konform sein.
LG aus Tirol
Daniel
Moin Daniel,
danke für die Info! Ich werde es bei der nächsten Überabeitung mit einbauen!
Grüße Jonas
Frage: Entspricht das All in One SEO Pack den Datenschutzrichtlinien?
Ja, ist nun auch in der Liste 🙂
Hi there
I am author of „Fuse Social Floating Sidebar“ just want to make small correction. Our plugin only saves social links that user provides in the plugin settings, so it do save the data in the site database but DOES NOT send that data to any external server and doesn’t store cookies.
Hope that helps to understand that more better.
Thank you.
– Daniyal
Hey,
thanks for clearing that up!
Cheers, Jonas
Hallo Jonas,
klasse Sache – vielen Dank für die Liste! Bin schon alles durch. Eine große Frage habe ich zu Deadline Funnel. Der schaut ja auch auf die IP (kann man so einstellen), um eine Deadline sicherzustellen (vor allem bei einem Evergreen). Die wollen zwar auch bis zum Stichtag GDPR-konform sein, aber kann man überhaupt jemals noch eine automatisierte Deadline einsetzen?
Gruß
Heidi
Moin Heidi,
soweit ich das weiß, wird so etwas durch ein beim Nutzer gesetztes Cookie gelöst. Das dürfte vermutlich in Ordnung sein, solange der Nutzer über die Nutzung von Cookies informiert wird und eine Möglichkeit zum Opt-Out hat.
Grüße
Jonas
Genial, danke für die Mühe die du dir gemacht hast.
Moin Michael,
sehr gerne! 🙂
Grüße
Jonas
Hallo Jonas,
vielen lieben Dank, dass du diese ganzen Informationen zur Verfügung stellst und dir die Mühe machst.
Das ist ganz toll und eine große Hilfe.
Ich konnte auch schon einige meiner Plugins hier finden und habe noch ein Paar Fragen:
1)
Mailchimp for WordPress:
Damit sich die Leute auf meiner Seite zum Newsletter anmelden können, habe ich das Plugin Mailchimp für WordPress. Natürlich sammelt das Plugin Daten (Emailadresse) und teilt diese wieder einer anderen Seite (Mailchimp) mit.
Frage: Werden denn diese Emailadressen irgendwo im WordPress auch noch gespeichert? Ich nutze nämlich auch BackWPup und möchte vermeiden, dass Emailadressen oder andere Daten der Webseitennutzer im Backup gespeichert werden.
2) Plugins, von denen ich nicht erwarte, dass Sie Daten sammeln, aber sicher ist sicher:
„Cookie Consent“ von Catapult_Themes
„Multilingual Press“ von Inpsyde GmbH
„Responsive Slider“ von AlienWP
„Widgets on Pages“ von Todd Halfpenny
Hast du eventuell Informationen zu diesen Plugins, aus man schließen kann, dass doch Daten erhoben werden? Bin über jede Info sehr sehr dankbar.
3) „Wordfence Security“ von Wordfence:
Hier werden definitiv IP-Adressen und Orte gesammelt.
In welche Kategorie fällt dieses Plugin? Gibt es Informationen zur DSGVO?
Puh, sehr viele Fragen jetzt, aber ich hoffe, dass es auch anderen helfen wird. 🙂
Vielen lieben Dank schon einmal für deine Mühen.
LG
Julia
Moin Julia,
1) soweit ich weiß, werden die Daten von diesem Plugin lediglich weitergeleitet, nicht gespeichert
2) Nehme ich in meine Liste auf, kommt demnächst!
3) hab ich noch nicht im Detail angeschaut, allerdings verhält es sich hier vermutlich ähnlich wie bei iThemes Security.
Grüße
Jonas
Hallo. hier ein Link von Wordfence selber: https://www.wordfence.com/blog/2018/05/wordfence-is-gdpr-compliant/
Perfekt, vielen Dank!
Erstmal danke für die Liste, aber eine Frage:
ShortPixel Image Optimizer, was ist daran verboten?
Es handlet sich bei den Betreibern um eine EU Unternehmen, eines Staates welches die DSGVO genauso befolgen muss wie wir.
Sollte der reine Transfer verboten sein, dürfte man doch auch keine Daten mehr an eine Fotolabor senden um eine Stadtfoto drucken zu lassen?
Moin Micha,
wie ich gerade schon bei einem anderen Kommentar geschrieben habe:
Meine Einschätzung hierzu ist, dass Bilder, welche gegen das Persönlichkeitsrecht verstoßen (Bilder mit erkennbaren Personen im Vordergrund, deren schriftliches Einverständnis nicht besteht), weder auf der eigenen Website platziert werden, noch an Dritte gesendet werden dürfen.
Grüße
Jonas
Hallo Jonas,
eine schöne Liste hast du da 🙂
Da ich gesehen habe, dass mein Lieblings-Bildoptimierungsplugin ShortPixel rot markiert wurde, habe ich den Entwickler kontaktiert und er hat mich gebeten folgenden Kommentar auf deinem Blog zu hinterlassen:
ShortPixel verwendet für die Bildoptimierung Server, die den Standort in Deutschland haben. Die Bilder werden für die Optimierung fast ausschließlich von öffentlich zugänglichen Websites heruntergeladen. Um die Bilder von passwort-geschützten Websites zu optimieren, muss der Admin/Websitebetreiber dies explizit durch eine Passworteingabe freigeben. ShortPixel verarbeitet keine personenbezogenen Daten, die Daten die verwendet werden dienen aussschließlich der Bildoptimierung, Debugging und Support. ShortPixel speichert alle Bilder 1 Stunde lang, danach werden sie gelöscht. Dis URLs der Bilder werden 40 Tage aus Debugging-Gründen gespeichert und danach aus der Datenbank von ShortPixel gelöscht.
Für mich klingt das alles nicht unbedingt nach „rot“. Und wenn ich mit meinen Bildern gegen irgendwelche Persönlichkeitsrechte verstoße, dann tue ich das schon bevor ich das Plugin benutze, weil die Website ja öffentlich zugänglich ist.
Schöne Grüße, Danijel
Moin Danijel,
meine Einschätzung hierzu ist, dass Bilder, welche gegen das Persönlichkeitsrecht verstoßen (Bilder mit erkennbaren Personen im Vordergrund, deren schriftliches Einverständnis nicht besteht), weder auf der eigenen Website platziert werden, noch an Dritte gesendet werden dürfen.
Grüße
Jonas
Moin Moin,
ich arbeite mit dem Caldera Forms und habe nun eine Checkbox mit in mein Formular eingebaut. -Ist das PlugIn nun der neuen Regelung entsprechend? -Über das Kontaktformular kann auch der Besuch auswählen, ob er ein Shooting haben möchte oder sich für einen Gutschein entscheidet. Eine Bezahlung ist über die Seite nicht möglich. Zählt das dann trotzdem schon zu einem Shop?
Viele Grüße
Ingo
Moin Ingo,
das kann ich dir leider nicht sagen, sorry!
Ich schätze aber, da hier ein Kaufvertrag geschlossen wird, müssen gewisse Vorkehrungen getroffen werden (Widerrufserklärung?). In welcher Form, kann ich dir allerdings nicht sagen. Da müsstest du mal einen Anwalt fragen 🙂
Grüße
Jonas
Wir benutzen einen Google Kalender. Die Termine werden dort ohne persönliche Daten eingetragen. Die Darstellung auf der Internetseite erfolgt mit dem Plugin „Simple Calendar“ (https://simplecalendar.io/)
Ich ging davon aus, dass ich bei einer Analyse meiner Seite mit dem Tool https://webbkoll.dataskydd.net/en einen Kontakt zu Google sehe… dies ist aber nicht der Fall. Das wundert mich. Wie bekommt das Plugin die Termine von Google? Denn sobald der Browser eines Besuchers mit Google Kontakt aufnimmt, wird zumindest die IP-Adresse übertragen (vgl. Google Fonts).
Hatte eine Supportanfrage auf der Pluginseite geschrieben… aber Support gibt’s wohl nur für zahlende Kunden. Ich hätte kein Problem damit, auf einen „internen“ Kalender umzusteigen… aber wenn’s nicht sein muss und das so funktioniert…
Vielleicht hat ja jemand Ahnung und kann mir weiterhelfen?
Moin,
prüfe die Verbindungen lieber mal über die Browserconsole, dort kannst du deutlich klarer sehen, was für Verbindungen bestehen.
Wenn das Plugin auf den Google Calendar zugreift, wird hier auch definitiv eine Verbindung entstehen 🙂
Grüße
Jonas
„Wenn das Plugin auf den Google Calendar zugreift, wird hier auch definitiv eine Verbindung entstehen“
Sehe ich genauso… aber nix… nada. Verwende die Web-Entwickler-Tools von Firefox. Keinerlei Verbindungen zu Google.
Ist ja auch gut… aber ich verstehs nur nicht! Evtl. lädt das Plugin die Termine in eine Datenbank? Hmm….
Der Kalender wird bestimmt über die HTTP-API von WordPress mittels Ctonjob aktualisiert. Diese API-Anfragen sieht man weder in Ghostery noch in der Browser-Konsole. Du kannst das Plugin „Snitch“ nutzen, eine Zeit laufen lassen und dann siehst du alle über die API versendeten Daten. Allerdings gibt es gemeine Pugins, die curl verwenden und damit die WordPress-HTTP-API umgehen. Die würde man selbst mit Snitch nicht entdecken.
Weitere Hilfe kann das Plugin Crontrol geben, das dir in die Cronjobs Einblick verschafft.
Danke!
Ok… das wird mir langsam zu hoch 😉
Frage: Wird denn über die von dir angesprochenen Vorgänge (cronjob, curl) beim Besucher der Website tatsächlich keine Verbindung zu google hergestellt? Dann wäre das ja voll in Ordnung in Hinblick auf die DSGVO…
Da musst du aufpassen. Ja, ungefragtes Durchreichen deiner Verbindungsdaten an Dritte geht nicht. Aber selbst wenn das NICHT passiert, kann ein Ctonjob auch ohne Besucherverbindung pers.bezogene Daten übermitteln. Gerade Kalender sind dafür doch anfällig, wenn z.B
im Termin Namen oder Adressen stehen. Man muss sich die übermittelten Daten genau anschauen.
Danke dir für die schnellen Antworten. Darauf achten wir schon immer, dass in den Termine keine Adressen und Namen stehen.
Ansonsten sehe ich nun kein Problem, den Kalender weiterhin zu nutzen… eine Verbindung zu Google wird nach mehrmaligem Überprüfen nicht hergestellt!
Vielen Dank Jonas für diese tolle und hilfreiche Liste!
Kleinen Hinweis zum Plugin „Redirection“. Die IP-Protokollierung soll auf „No IP logging“ gesetzt werden, sonst werden die IP-Adresse gespeichert.
(Quelle: https://wordpress.org/support/topic/gdpr-general-data-protection-regulation-4/)
Viele Gruße
Jose
Moin Jose,
danke für den Hinweis, ich habe das ergänzt 🙂
Grüße
Jonas
Gute Zusammenstellung, vielen Dank für die Arbeit!
Das ist natürlich schon lustig, sorry: ein Artikel bzgl. DSGVO und dann E-Mail-Adressen sammeln für ein PDF #kopplungsverbot #dsgvo
Moin Bernd,
nun, welches Datum haben wir denn? 😉 Sollte man deiner Meinung nach seine Möglichkeiten beschneiden, bevor es nötig ist?
Grüße
Jonas
nunja, es sollte ja auch (s)eine Gesinnung dahinter stecken und nicht noch schnell „mitnehmen“, bevor es teure Abmahnungen gibt #doppelmoral
Gut, in dem Fall füttere ich den Troll mal:
Ich finde die Grundsätze der DSGVO sehr gut. Datenschutz ist bisher viel zu wenig angegangen worden. Einige der von uns nun erwarteten Maßnahmen machen auch sehr viel Sinn, beispielsweise die SSL Verschlüsselung, Opt-Outs für Tracking, Datenschutzerklärungen mit ausführlichen Informationen etc.
Andere machen in meinen Augen nur sehr wenig Sinn und wurden nicht durchdacht. Hierunter fällt meines Erachtens nach beispielsweise das „Kopplungsverbot“. Ich sehe ein, dass man Menschen nicht mit kostenlosem Kram hinter das Licht führen und sie dann per E-Mail mit Werbung beballern sollte. Allerdings kann ja auch klar kommuniziert werden, dass man ein kostenloses PDF / Ebook etc. bekommt, und sich zudem für den Newsletter einträgt. Erstens kennt jeder internetaffine Nutzer dieses Vorgehen und zweitens dient es beiden Seiten. Der Empfänger bekommt das kostenlose Material, und der Anbieter kann mit sinnvollen Inhalten weiterhin im Kontakt bleiben.
Darum Bernd, biete ich aktuell die PDF Liste zum Download an, mit dem klaren Hinweis darauf, dass man sich für den Newsletter einträgt. Denn, möglicherweise kannst du es dir vorstellen, steckt unfassbar viel Zeit in der Recherche eines solchen Artikels.
Grüße
Jonas
Vielen Dank für die Ausführliche Aufführung.
Allerdings speichert Ginger Cookie die IP-Adresse unter log ob einem Cookie zugestimmt wurde oder nicht
Moin Till,
hast du hierzu eine Quelle für mich? 🙂
Grüße
Jonas
Hallo Jonas,
ich habe das Plugin Installiert. Im Adminbereich gibt es ein Menupunkt mit Activity Logger.
Dort werden die Ip´s is einer Tabelle angezeigt
Time, IP, url, Cookie
Bei Cookie steht dann Y oder N je nachdem ob der Besucher Zugestimmt hat oder nicht.
Gruß Till
All right, danke für die Info!
Ist es somit doch nicht mehr DSGVO Konform? In der Liste steht nämlich noch, dass es das ist.
Grrrrrr – hier läuft ja ungefragt Grrrravatar …
na warte nur bis zum 25. , Jonas, meine Einwilligung für diese Datenweitergabe in die USA hast du von mir nicht … 😀
Spaß muss sein … 🙂
Und schon gehts los 😀
Und die Emojis kommen auch aus Übersee, oh je …
Hast du etwa was gegen Einwanderer????? Dann muss ich deine IP, die ich nur zu Zwecken der Strafverfolgung für einen kurzen Zeitraum speichere, an die Behörden weitergeben!!!! 😉
Sehr schöne Liste neben der von Blogmojo. Unter „Kontaktformular-Plugins“ hast du Flamingo aufgeführt. Dasselbe müsste doch auch für das Plugin „Contact Form DB (CFDB)“ gelten oder?
Moin Frank,
beim schnellen Überfliegen der Pluginbeschreibung schätze ich, dass du Recht hast! 🙂
Grüße
Jonas
Hallo Jonas,
super Liste! Vielen Dank für deine Mühe.
Ich nutze Formcraft als Kontaktformular. Weißt du, wie es damit ausschaut?
LG Marion
Moin Marion,
bei Kontaktformularen ist es normalerweise immer das selbe: Es muss ein Hinweis auf die Datennutzung und Speicherung zum Formular dazugeschrieben werden. Ob das Plugin selber irgendwelche Daten an Dritte überträgt, kann ich dir nicht sagen.
Grüße
Jonas
Hallo Jonas,
ich gehe einmal davon aus das das von mir benutzte „WP Statistics“ keine Probleme mit der „DSGVO“ hat, da eigentlich alle Daten nur auf meinen Server gespeichert werden. Ist da meine Annahme richtig?
MFG
Du musst aufjedenfall die IP Adressen maskieren/hashen.
https://wp-statistics.com/2017/05/26/settings-page/
Und einen Hinweis in deine Datenschutzerklärung.
OK, Danke
Hi Jonas,
ich nutze wp-postratings als „Sternchen Bewertungen“ für meine Post. Ich nutze dieses Plugin da es Google Rich Snippets unterstützt. Leider werden alle Bewertungen mit IP Adresse gespeichert. Der Author des Plugins hat es jetzt geändert das die letzten 3 Stellen der IP maskiert sind. Reicht das? Oder kennst du eine bessere Alternative? Mir geht es hauptsächlich um die Rich Snippets in der Google Suche.
Hoffe auf eine Antwort.
DANKE
Hi Jonas,
vielen Dank für diese ausführliche Liste und für alle andere sehr interessante Blogbeiträge !
Ein Plugin die ich nutzen möchte habe ich hier leider nicht gefunden. Ich weiß nicht ob ich den kaufen soll oder nicht. Kennst du wp_bewertung Plugin ? Falls ja, weißt du zufällig ob dieser Plugin konform DSGVO ist ? Falls nicht, könntest du vielleicht ein andere Bewertung Plugin empfehlen ?
Liebe Grüße
Daniela
Moin Daniela,
schau dir mal Schema Pro an, damit kannst du Bewertungen zulassen, die DSGVO konform sind und zudem in Google angezeigt werden.
Grüße
Jonas
Hi Jonas,
danke, dass du unser Backup Plugin BackWPup in deiner Liste aufführst 🙂 Ich hab noch ein, zwei Ergänzungen für alle, die sich mit der DSGVO-Konformität von Backup Plugins auseinandersetzen: In unserer Dokumentation BackWPup, Backups und die DSGVO (https://backwpup.de/doku/backwpup-backups-und-die-dsgvo/) beschreiben wir ausführlich, welche Auswirkungen die DSGVO auf Backups hat und was du als BackWPup Nutzer beachten solltest – z.B., ob du einen AV Vertrag brauchst oder nicht. Außerdem: Ab der 3.6 Pro Version von BackWPup können Nutzer ihre Backups verschlüsseln. Wenn Nutzer also ihr Backup in einer Cloud speichern und Fremde Zugriff auf diese Cloud bekommen, können sie trotzdem nicht an die Daten im Backup herankommen. Wie das ganze funktioniert erklären wir in dieser Dokumentation: https://backwpup.de/doku/wie-kann-ich-backups-verschluesseln-bevor-sie-hochgeladen-werden/
Liebe Grüße,
Jessie von Inpsyde
Danke für den Artikel. Einiges interessantes dabei.
Eine Frage habe ich noch zu den Kommentaren:
da benutzte ich auf einem Blog stets das Gurken Subscribe to Comments.
Das läuft mit Double Opt-in (Häkchen, Mail mit Bestätigungs-Link).
Ist das somit „grün“ oder sollte man lieber ein anderes benutzen, da es „discontinued“ wurde?
Danke für kurzes Feedback.
Moin Alex,
wenn es ein DOI gibt und die Adressen bei dir gespeichert werden, sollte das meiner Meinung nach kein Problem darstellen. Discontinued heißt allerdings, dass es keine Updates mehr gibt und somit Sicherheitslücken und entstehende Kompatibilitätsprobleme nicht behoben werden…
Grüße
Jonas
Hi Jonas
Danke dir. Habe in der Zwischenzeit dennoch all meine Blogs auf ein „sichereres DSGVO“ Plugin umgestellt. Man tut halt was man kann. 😉
Hi- hast Du eigentlich schon bemerkt, dass die Ladezeit Deiner Seite grottenschlecht ist?! Nutzt Du Pixelmate DSGVO? Ich habe es heute installiert und die Ladezeit meiner Seite geht total in die Knie. Es dauert fast ein Minute, bis die Seite da ist. Deaktiviere ich Pixelmate, ist alles wieder ok. Habe die angeschrieben, weil ich entweder eine Lösung oder mein Geld für die 3er Lizenz zurück will. Hatte das gleiche Problem schon Anfang des Jahres und bin dann auf Borlabs Cookie gewechselt, Da gibt es kein Problem. Heute wollte ich Pixelmate nochmal eine Chance geben und auf einer jungfräulichen WordPress-Installation einsetzen. Denkste – selbes Problem. Nutzt Du das auch? Dann erklärt sich die grottenschlechte Ladezeit.
Moin Claus,
ich bin schon mit dem Hersteller in Kontakt, er arbeitet gerade an einer Lösung.
Grüße
Jonas
Hallo Jonas,
hast Du Infos, ob das Memberwunder als Membership-Plugin und der EZplayer DSGVO-konform sind. Oder, wie kann ich bei einem Plugin herausbekommen, ob es irgendwohin Daten sendet, oder auch unverschlüsselt speichert, oder was noch so DSGVO-relevant sein könnte?
Viele Grüße
Thomas
Moin Thomas,
leider nein. Frage im Zweifel einfach mal beim Hersteller nach.
Grüße
Jonas
Hallo zusammen,
Kann mir jemand sagen, 1. wo Limit Login Attempts die IP Adressen speichert? Ist das in der Datenbank meines Hosters oder wo ? 2.Weiß vllt auch jemand, wie lange diese gespeichert werden ?
Zudem frage ich mich 3. ob es legal ist, Updraft Plus zu benutzen, wenn ich die Backups auf dem Server meines Hosters kurzzeitig speichere, sie dann herunterlade und auf dem Server lösche.
Vielen Dank im Voraus!!!
PS.: Ihr habt wirklich einen Wahnsinnsartikel verfass:) ohne euch wäre ich verloren 😉
Moin David,
die IP Adressen sind in der Datenbank gespeichert und werden dort nicht automatisch gelöscht, soweit ich weiß. Ist es korrekt eingestellt, werden sie aber als md5-Hash verschlüsselt, und nicht als Klartext abgespeichert.
Wieso sollte Updraft nicht legal sein? Mit deinem Hoster musst du sowieso einen Auftragsverarbeitungsvertrag geschlossen haben, da gibts also kein Problem.
Grüße
Jonas
Und was ist mit dem SEO-Plugin „Rank Math“ ? Ist es datenschutzkonform?
Danke Marga
Moin Marga,
ja, da ist alles konform 🙂
Hi Jonas,
ich plane grade einen Woocommerce Shop und müsste auf einige zusätzliche Woocommerce Plugins setzen. Wie kommst du an die Infos der Plugin Hersteller bzgl. DSGVO? Du schreibst du prüfst es teilweise selber – Wie läuft das ab? Wie kann ich das umsetzen?
Danke und beste Grüße
Sascha
Moin Sascha,
in erster Linie nutze ich Google und schaue dort nach einer Kombination aus dem Pluginnamen und DSGVO bzw. GDPR. Zusätzlich schaue ich im Supportforum des Plugins bzw. der Knowledgebase / Dokumentation.
Ansonsten geht auch immer der direkte Kontakt zum Hersteller oder man prüft es über die Konsole im Browser und checkt die ausgehenden / eingehenden Verbindungen.
Grüße
Jonas
Hi Jonas,
super, danke für deine Rückmeldung. Dann schau ich mal ob ich so weiterkomme.
Beste Grüße
Sascha