Folgende WordPress-Tools helfen bei der DSGVO

Datenschutz DSGVO

Alles unterliegt der ständigen Weiterentwicklung (Evolution). Auch dieser Beitrag wird aufgrund eigener Erfahrung regelmäßig fortgeschrieben und wird nie vollständig sein.

Folgende Liste zeigt unsere Empfehlungen für Dienstleister, Plug-ins und Tools auf, die datensparsame Alternativen bieten.

Tipps und weitere Alternativen können gerne an info@knallblaumedia.de gesendet werden.

Verbot der Datenverarbeitung außerhalb der EU

Die DSGVO verbietet die Verarbeitung personenbezogener Daten außerhalb der EU, wenn in den sogenannten „Drittländern“ kein angemessenes Datenschutzniveau herrscht (Art. 44 bis 49 DSGVO). Zu diesen Drittländern gehören derzeit vor allem die USA. Dies zeigen aktuelle und bisherige Urteile unter folgender Zusammenfassung.

Unsere Empfehlung: Die sicherste Variante ist derzeit keine Dienstleister einzusetzen, die selbst oder über deren Dienstleister personenbezogene Daten in die USA oder andere unsichere Drittländer übermitteln.

FISA 702

Das US-Gesetz 50 U.S.C. § 1881a (oder FISA 702) erleichtert den Zugang zu den persönlichen Daten europäischer Nutzer. FISA 702 wurde im Jahr 2008 verabschiedet. Es erweitert die Möglichkeiten der Überwachung und des Datenzugriffs für US-Behörden grundlegend.

Nach FISA 702 können US-amerikanische „Anbieter elektronischer Kommunikationsdienste“ (wie in 50 U.S.C. § 1881(4) definiert) gezwungen werden, den US-Sicherheitsbehörden Zugang zu den personenbezogenen Daten von „Nicht-US-Personen“ zu gewähren

https://noyb.eu/de/projekt/eu-us-transfers

Ob und inwiefern der US-Geheimdienst Zugriff auf die Daten tatsächlich hat, ist natürlich schwer zu beurteilen. Als Verantwortlicher für die Daten ist es dementsprechend wichtig, diesen Punkt zu kennen und seine Dienstauswahl zu treffen.

Unsere Grundregel lautet daher: Jeder Dienst bzw. Drittanbieter, der eingebunden wird, kann Daten einsehen. Daher achten wir bei unseren DSGVO-Alternativen auf die größtmögliche Datensparsamkeit.

Wie enttarne ich DSGVO-kritische Dienste/Drittanbieter?

Der Schnell-Test mit Webbkoll

Auf der Webbkoll-Website lässt sich eine Analyse durchführen, welche Drittanfragen (Third-Party) ausgeführt werden. Taucht dort eine US-Flagge oder ein US-Unternehmen mit Sitz in der EU auf, besteht sehr wahrscheinlich Handlungsbedarf. Jetzt heißt es Prozesse prüfen und die aktuelle Gesetzeslage inklusive Urteile kontrollieren. Die einfache Frage, die sich jeder selbst stellen kann:

Kann ich als Betreiber einer Website gewährleisten, dass ein angemessenes Schutzniveau besteht?

Bei gewissen Diensten ist es offensichtlich und die Dienste sollten entfernt werden. Die Alternative dazu wäre der Kontakt zum Anbieter oder das Lesen des Datenverarbeitungsvertrages bzw. die Prüfung durch einen Datenschutzbeauftragten bzw. Anwalt.

Hinweis: Webbkoll kann nur Dienste erkennen, die bei der Auslieferung einer Website geladen werden. Es besteht weiterhin die Gefahr, dass innerhalb des WordPress-Backends Daten verarbeitet werden. Das betrifft zum Beispiel Funktionen wie IP-Abgleich zur SPAM-Abwehr innerhalb der Kommentar-Funktion oder eine Eintragung in ein Newsletter-Tool wie Mailchimp.

Wenig überraschend: Google verwendet Dienste, die über die USA laufen.

Prüfung des Datenverarbeitungsvertrages

Als Verantwortlicher einer Website oder weiteren Prozessen mit einer Datenverarbeitung muss ich selbstverständlich auch einen Vertrag durchlesen. Natürlich kann ich mich auf einen Anbieter verlassen und ihm mein Vertrauen schenken.

Schnellen Aufschluss ermöglicht die „Liste der beauftragten Unterauftragnehmer einschließlich der Verarbeitungsstandorte“ des Vertrages.

Dieses Beispiel zeigt einen „DSGVO-konformen Newsletter Anbieter“, der jedoch Daten durch Amazon verarbeiten lässt.

Jedem Betreiber sollte also das Risiko bewusst sein, welche Dienste eingesetzt werden.

Zwischenfazit

Bei unseren Alternativen haben wir einen Blick in die Datenverarbeitungsverträge geworfen. Je nach Zeitpunkt können sich gewisse Faktoren ändern und so ist es auch für uns die tägliche Aufgabe das Thema immer wieder zu beleuchten.


Statistik und Analyse-Tools

Problematische Tools

Google Analytics (Datenverarbeitung in den USA)

Jetpack von WordPress.com/Automattic (Datenverarbeitung in den USA)

DSGVO konforme Alternative

etracker (Datenverarbeitung in Deutschland)

Der Hamburger Statistik- und Analytics Anbieter etracker bietet eine zertifizierte Web-Analyse.

„Zur etracker DNA gehört ein sehr hoher Anspruch an den korrekten und vertraulichen Umgang mit Besucher- und Kundendaten. Als erstem Anbieter von Lösungen zur Analyse und Optimierung von Websites und Online-Marketing Maßnahmen überhaupt wurde uns bereits 2006 nach einem aufwendigen Prüfverfahren durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit die datenschutzrechtliche Konformität bescheinigt.“

https://www.etracker.com/datenschutz/

Im Gegensatz zu Google verarbeitet etracker die Daten nicht für eigene Zwecke. Diverse weitere Punkte sprechen für das Angebot von etracker.

Dank der Daten-Visualisierung erkennst du schnell Entwicklungen und kannst sofort reagieren. Copyright etracker

Datenschutzerklärung (DSGVO)

IT Recht Kanzlei*

Die Rechts-Kanzlei bietet einen einfachen Generator für Datenschutzerklärungen, Impressum, AGB und Widerrufserklärungen für diverse Plattformen.

Die WordPress-Schnittstelle übermittelt regelmäßig die generierten Rechtstexte und prüft auch die korrekte Übermittlung. Eine sehr umfassende Datenbank mit Hilfstexten und Handlungsanleitungen rundet das Angebot ab.

Die „it recht kanzlei münchen“ bietet über 235 Tools als Auswahl zur Konfiguration inklusive Anleitungen zur korrekten Einbindung.

Newsletter Tools

Problematische Tools

MailChimp (Datenverarbeitung in den USA)

DSGVO konforme Alternative

CleverReach (Datenverarbeitung in Deutschland)*


Spamschutz für Kontaktformulare

Problematische Tools

Google reCaptcha (Google, USA)

Der Google Dienst ist effektiv, doch leider wird dieser in den USA gehostet. Diverse Änderungen in der rechtlichen Interpretation von Gesetzen zeigen, dass eine Anpassung zwischen US-Dienstleister Änderungen und der eigenen Seite nötig macht.

DSGVO konforme Alternative

Honeypot for Contact Form 7 (WordPress) und div.

Eine effektive Alternative sind sogenannte Honeypot Felder in Formularen. Wird ein Formular händisch programmiert, können versteckte Formular Felder die Spreu vom Weizen trennen. Die Spam-Bots sehen nur häufig den HTML Code in Rohform. Dabei fallen Sie auf die Honeypot-Felder häufig rein. Der menschliche Nutzer bekommt diese nicht zu sehen. Es gibt diverse Plug-ins für die jeweiligen Erweiterungen, die eingesetzt werden. Für WordPress und Contact Form 7 setzen wir das kostenlose Plug-in Honeypot for Contact Form 7 ein.

Wer ein anderes Formular-Plug-in nutzt, kann die Google-Suche nach Pluginname und Honeypot durchführen.

Die Erweiterung funktioniert effektiv und zuverlässig.

Spamschutz für Kommentare

Problematische Tools

Akismet Anti-Spam (Automattic, USA)

Antispam Bee (pluginkollektiv.org, Deutschland)

Beide Plug-ins erfreuen sich wachsender Beliebtheit. Jedoch ist bei beiden eine Funktion integriert, die einen Abgleich von IP-Adressen durchführt. Während die Verarbeitung bei Akismet in den USA durchgeführt wird, findet dies bei Antispam Bee höchstwahrscheinlich in Deutschland statt.

Weitere Details über Antispam Bee gibt die Datenschutzerklärung auf der Entwicklerseite jedoch nicht her.

Falls Sie sich für Antispam Bee entscheiden, sollten Sie lediglich darauf achten, dass die drei Optionen „Öffentliche Spam-Datenbank berücksichtigen“, „Kommentare aus bestimmten Ländern blockieren“ und „Kommentare nur in einer bestimmten Sprache zulassen“ ausgeschaltet lassen. Alle drei verarbeiten die IP-Adresse des kommentierenden Besuchers und sind damit nicht DSGVO-konform.

DSGVO konforme Alternative

Honeypot Anti-Spam (WordPress)

Wie bei den Kontakt-Formularen gibt es auch für die Kommentare sogenannte Honeypot Felder. Hier fallen die Spam-Bots ebenfalls auf die unsichtbaren Felder hinein. Der menschliche Nutzer bekommt die Eingabefelder nicht zu sehen. Der Bot füllt die im HTML-Code versteckten Felder aus und wird in die Irre geführt.

Für WordPress setzen wir das kostenlose Plug-in Honeypot Anti-Spam ein.


Cookie-Hinweis & Cookie-Consent-Tool, Content-Blocker, Script-Blocker

Problematische Tools

Cookiebot (Cybot, Dänemark & USA)

Das Tool aus Dänemark verwendet bei genauer Überprüfung einen Serverstandort in den USA. Unter anderem wird eine Verbindung zu consentcdn.cookiebot.com aufgebaut. Laut Webbkoll versteckt sich hinter der IP-Adresse der Anbieter AKAMAI-AS. Ein Blick in die Datenschutzrichtlinie von Cookiebot gibt jedoch keinen Hinweis auf eine Verbindung zu AKAMAI-AS noch Serverstandorte in den USA.

DSGVO konforme Alternative

Borlabs.io (Deutschland)*

Borlabs ist ein Hamburger Anbieter mit einem ausgezeichnet entworfenem Cookie-Consent-Tool für WordPress. Schnell installiert und konfiguriert. Inklusive Content-Blocker für die meisten bekannten externen Dienste wie YouTube, Google Analytics etc.

Individuelle Scripte lassen sich ebenfalls hinzufügen und anpassen. Google Analytics oder Google Tag Manager kann zum Beispiel datenschutzkonform erst nach der Zustimmung des Nutzers geladen werden.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

5 Idee über “Folgende WordPress-Tools helfen bei der DSGVO

  1. Sebastian Bolt sagt:

    Hallo vincent,

    tolle und ausführliche Auflistung zu einem wichtigen Thema.

    Bei einem Punkt haben wir momentan aber noch keine Lösung gefunden: die Kontaktformulare. Mittlerweile haben uns zwei Hoster gesagt, dass eine Absicherung mit Honeypots (und konkret auch mit CF7 und deren Erweiterung) nicht geeignet seien, um SPAM effizient abzuwehren. Ich möchte unbedingt Google reCaptcha vermeiden, sowohl aus meiner persönlichen Einstellung, als auch aus der Tatsache, dass das mit der DSGVO schlecht vereinbar ist. Sowohl Mittwald als auch IONOS beharren aber bei den WordPress-Seiten darauf, dass sie den Mailversand erst wieder freischalten, nachdem eine reCaptcha-Lösung integriert wird.

    Hast Du eine Idee dazu`?

    Viele Grüße

    Sebastian

    • Vincent Rammelt sagt:

      Hi Sebastian,

      ich kenne das von meinem Hoster, dass er die phpmail Funktion deswegen abgeschaltet hat. Die Mails werden also bei mir eh über SMTP gesendet.

      Die Aussage von IONOS und Mittwald kann ich nicht ganz nachvollziehen. Ich habe die Kontaktformular mit Honeypots sehr erfolgreich abgesichert. Bei Kommentaren muss ich allerdings gestehen, funktioniert die aktuelle Lösung nicht so gut. Scheinbar hat der Plugin-Entwickler da eine schlechte Umsetzung durchgeführt und wird dadurch leicht erkannt.

      Welche Varianten empfehlen denn die beiden Hoster?

  2. Sebastian sagt:

    Hallo Vincent,

    ich habe deine Rückfrage jetzt erst gesehen, wegen der XING-Anfrage. Wir haben eine andere Captcha-Lösung empfohlen bekommen, die soweit bei diesen Seiten im Einsatz ist. Bisher haben wir keine negativen Rückmeldungen seitens der Kunden (wegen zuviel SPAM der durchkommt zum Beispiel) und auch nicht von den Hostern.
    Das hier ist das System:
    https://www.mtcaptcha.com/

    Für WordPress-Seiten gibt es sogar ein Plugin dazu:
    https://github.com/mtcaptcha-public/MTCaptcha-wordpress-plugin

    Hoffe, das hilft noch jemand anderem weiter – eventuell hat auch schon jemand Erfahrung damit?

    Viele Grüße Sebastian

    • Vincent Rammelt sagt:

      Hi Sebastian,

      ich kenne das Plugin nicht. In der Vergleichstabelle steht was von GDPR. Was das bedeutet, müsste man sich mal im Detail anschauen. Bedeutet aber dann im Vergleich zu einfachen Honeypot-Feldern mehr Aufwand.
      Und ein zweiter Grund: Captchas halten nicht nur Bots auf, sondern auch Menschen, die mit solchen Tools Probleme haben.

      Ich habe mich mir die Privacy-Seite angeschaut. Kein Hinweis, wo das Unternehmen sitzt. Es handelt sich laut Kontakt dann um ein US-Unternehmen und damit läuft man Gefahr aufgrund von FISA702 wieder Arbeit mit Datenschutz zu bekommen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.