Du bist dir nicht sicher, ob deine WordPress-Plugins DSGVO-konform sind und/oder Cookies setzen?

Hier findest du eine Übersicht darüber, welche Plugins personenbezogene Daten sammeln und welche nicht. Mit Alternativen und Lösungen, um diese DSGVO-konform zu nutzen.

Am Anfang dieses Artikels findest du zudem eine Liste mit nützlichen Datenschutz-Plugins, die dir dabei helfen können, WordPress DSGVO-konform zu nutzen.

Weitere nützliche Tipps, Listen und Tutorials findest du hier bei Blogmojo in der Kategorie DSGVO & Datenschutz sowie in meiner Facebook-Gruppe DSGVO & Internetrecht mit 10.000+ Mitgliedern!

Diese Artikel wird in regelmäßigen Abständen aktualisiert und um neue Plugins ergänzt. Mithilfe ist herzlich willkommen!

Falls du einen Fehler findest, dir Infos zur DSGVO-Konformität eines Plugins vorliegen oder Ergänzungswunsche bestehen, lass es mich gerne wissen.

Achtung: Dieser Blogbeitrag ist keine Rechtsberatung! Im Rahmen meiner Arbeit als Blogger und WordPress-Dienstleister habe ich mich zwar intensiv mit den geltenden Datenschutzbestimmungen und der DSGVO beschäftigt, ich bin jedoch weder Jurist noch Datenschutz-Experte. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen.

Nützliche Plugins

Folgende Plugins können dabei helfen, WordPress-Websites DSGVO-konform zu machen:

Autoptimize (entfernt Google Fonts und Emojis, funktioniert allerdings nicht immer, Alternative: Remove Google Fonts References)

(entfernt Google Fonts und Emojis, funktioniert allerdings nicht immer, Alternative: Remove Google Fonts References) Borlabs Cookie (umfangreiche und preislich günstige Opt-In-Lösung für Cookies, geeignet z. B. für Google Analytics, AdSense, Facebook Pixel oder Piwik. Es bietet zudem eine Zwei-Klick-Lösung für YouTube-Videos und iframes – sehr empfehlenswert!)

(umfangreiche und preislich günstige Opt-In-Lösung für Cookies, geeignet z. B. für Google Analytics, AdSense, Facebook Pixel oder Piwik. Es bietet zudem eine Zwei-Klick-Lösung für YouTube-Videos und iframes – sehr empfehlenswert!) Clearfy (erlaubt die Aktivierung diverser WordPress-Features aus Sicherheits-, Datenschutz oder Performance-Gründen, z. B. Emojis, Embed, Rest API, Gravatar etc. – eher für fortgeschrittene Nutzer geeignet!)

(erlaubt die Aktivierung diverser WordPress-Features aus Sicherheits-, Datenschutz oder Performance-Gründen, z. B. Emojis, Embed, Rest API, Gravatar etc. – eher für fortgeschrittene Nutzer geeignet!) DSGVO Pixel Mate (tolles Plugin, um Opt-Outs oder Opt-Ins für den Facebook Pixel oder Google Analytics einzubinden, optional können alle externen Ressourcen blockiert werden)

(tolles Plugin, um Opt-Outs oder Opt-Ins für den Facebook Pixel oder Google Analytics einzubinden, optional können alle externen Ressourcen blockiert werden) Google Analytics Germanized (hilft dabei, Google Analytics datenschutzkonform einzubinden, z. B. durch IP-Anomyisierung und Opt-In- und Opt-Out-Funktion)

(hilft dabei, Google Analytics datenschutzkonform einzubinden, z. B. durch IP-Anomyisierung und Opt-In- und Opt-Out-Funktion) Really Simple SSL (hilft bei der Umstellung einer WordPress-Website auf HTTPS)

Weitere nützliche Plugins und Details zu den genannten Plugins findest du in meinem Artikel: 19 geniale Datenschutz-Plugins, um WordPress DSGVO-sicher zu machen

Eine Auswahl verschiedener Cookie-Plugins zum Einbinden eines Opt-Ins oder Cookie-Banners findet du in meinem Artikel: Die 5 besten WordPress Cookie Plugins in 2020 (inkl. Überblick über die Rechtslage)

Hinweis: Einige Dinge, wie z. B. das Entfernen der IP beim Kommentieren, Embeds oder Emojis lassen sich auch sehr gut mit Code-Snippets per Einige Dinge, wie z. B. das Entfernen der IP beim Kommentieren, Embeds oder Emojis lassen sich auch sehr gut mit Code-Snippets per functions.php (im Child-Theme) erledigen.

Orange Verarbeitet personenbezogene Daten, aber es ist noch keine Lösung bekannt, um es DSGVO-konform zu nutzen. Gelb Verarbeitet personenbezogene Daten, aber ist mit Anpassungen DSGVO-konform (z. B. Änderung der Plugin-Einstellungen, Opt-In, Erwähnung in der Datenschutzerklärung, AV-Vertrag etc.). Grün Verarbeitet keine personenbezogenen Daten und ist somit DSGVO-konform. FP Das Plugin setzt First-Party-Cookies, das heißt Cookies von deiner eigenen Domain. Solche Cookies sind oft als technisch notwendig einzustufen. TP Das Plugin setzt Third-Party-Cookies. Solche Cookies sind oft technisch nicht notwendig und erfordern dementsprechend ein Opt-In, das sich durch ein Cookie-Plugin realisieren lässt.

1. Social Plugins

Social Plugins, wie z. B. der Facebook Like Button, Pinterest Widgets oder eingebettete Twitter Timelines, ebenso wie von sozialen Netzwerken angeboten Remarketing-Tools, wie z. B. der Facebook Pixel, sammeln Nutzerdaten und verfolgen mitunter das Nutzerverhalten auch über die sozialen Netzwerke hinaus.

Das gilt selbstverständlich auch für alle WordPress-Plugins, die eine Integration dieser Technologien vornehmen, von denen einige in dieser Liste zu finden sind. Aber nicht nur diese sammeln Daten, sondern mitunter auch Dienste, die eigene Social-Sharing-Lösungen anbieten, wie z. B. AddThis.

2. Sicherheits-Plugins

Auch Sicherheits-Plugins sammeln unter Umständen personenbezogene Daten.

So werden z. B. IP-Adressen von Leuten, die versuchen, sich in deinen Adminbereich einzuloggen in der WordPress-Datenbank gespeichert oder mit Spammer-Datenbanken auf Dritt-Servern abgeglichen.

3. Anti-Spam-Plugins

Auch Anti-Spam-Plugins nutzen unter Umständen IP-Adressen oder über die Kommentarfunktionen eingegebene Daten, um Kommentar-Spam zu erkennen oder zu verhindern.

Plugin Version Details Cookies Akismet 4.1.2 Akismet übermittelt alle über das Kommentar-Formular eingegebenen Daten (Name, E-Mail, Kommentartext etc.) sowie die IP-Adresse des Nutzers an externe Server in den USA. Lösung: Das Zusatz-Plugin Akismet Privacy Policy erlaubt es, Nutzer vor dem Kommentieren auf das Speichern der Daten hinzuweisen. Nein Antispam Bee 2.9.1 Antispam Bee verarbeitet in den Standardeinstellungen keine personenbezogenen Daten. Wenn du es mit dem Datenschutz sehr genau nimmst, solltest du folgende Einstellungen deaktiviert lassen (sind standardmäßig deaktiviert): Kommentare nur in einer bestimmten Sprache zulassen (der Kommentartext wird an den Dienst franc gesendet)

Kommentare aus bestimmten Ländern blockieren (die IP-Adresse des Kommentators wird an den Dienst IP2Country gesendet, wird aber um die hinteren Stellen gekürzt und somit anonymisiert) Die Deaktivierung dieser zwei Einstellungen ist laut Simon vom Pluginkollektivs jedoch nicht unbedingt erforderlich. Nein Cookies for Comments 0.5.5 Setzt ein First-Party-Cookie, das zur Spambekämpfung dient. Wahrscheinlich als “technisch notwendiges Cookie” anzusehen. FP WPBruiser 5.2.3 WPBruiser sendet keine IP-Adressen oder andere personenbezogenen Daten an Dritt-Server. Es speichert jedoch IP-Adressen zum Zwecke des Brute-Force- und Spam-Schutzes in der WordPress-Datenbank. Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). ? WP-SpamShield 1.9.42 Es werden Cookies vom eigenen Server gesetzt, aber keine personenbezogenen Daten an Dritt-Server gesendet, siehe FAQ. Mögliche Lösung: Speicherung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). FP

4. Statistik-Plugins

Statistik-Plugins speichern unter Umständen personenbezogene Daten, wie z. B. IP-Adressen oder setzen Cookies im Browser.

Vor allem bei Verwendung von Drittdiensten für Website-Statistiken (wie z. B. Google Analytics) ist Vorsicht geboten, da die Nutzung diverse Anpassungen erfordert.

5. Kontaktformulare

Über Kommentarformulare werden mitunter personenbezogene in der WordPress-Datenbank und auf deinem E-Mail-Server gespeichert.

6. Kommentar-Plugins

Durch Abgabe eines Kommentars werden personenbezogene Daten übermittelt (z. B. Name, E-Mail, IP-Adresse, ggf. über den Kommentartext etc.) und in der WordPress-Datenbank gespeichert.

Durch Nutzung mancher Kommentar-Plugins besteht die Möglichkeit, dass diese Daten auch an Dritte weitergegeben werden.

Plugin Version Details Cookies Disqus Comment System 3.0.17 Lädt externe Ressourcen vom Disqus-CDN. Setzt Tracking-Cookies. Durch Abgabe eines Kommentars werden zudem alle eingegebenen Daten, die IP-Adresse des Kommentators sowie andere Daten an Disqus-Server gesendet (und auch an Dritte weitergegeben). Lösung: Einen AV-Vertrag mit Disqus abschließen und Dienst (unbedingt!) mit Opt-In nutzen. TP Subscribe to Comments Reloaded 191028 Speichert E-Mail-Adressen in der WordPress-Datenbank. E-Mail-Adressen werden nicht auf Dritt-Servern verarbeitet. Erfordert diverse Anpassungen, wie z. B. Aktivieren des Double-Opt-Ins, Anpassung der gesendeten E-Mails, Anpassung des Opt-In-Texts etc. FP wpDiscuz 5.3.2 Durch Abgabe eines Kommentars werden eingegebene Daten in der WordPress-Datenbank gespeichert. Bei Verwendung von Social Logins werden eingegebene Daten mit Drittanbietern, wie z. B. Facebook, Twitter oder Google geteilt und Third-Party-Cookies gesetzt. Für die Abonnement-Funktion gibt es kein Double-Opt-In. Manche Premium-Addons, wie z. B. Google reCAPTCHA verarbeiten ebenfalls personenbezogene Daten. Lösung: Abonnement-Funktion für Kommentare deaktivieren, Social Logins nicht nutzen. FP und ggf. TP Yoast Comment Hacks 1.6 Verarbeitet keine personenbezogenen Daten und setzt keine Cookies. Es ist somit DSGVO-konform. Hinweis: Wenn du das Plugin nutzt, um Kommentatoren E-Mails zu schicken, stelle sicher, dass du nicht gegen das Kopplungsverbot verstößt. Nein

7. Membership-, Community- und Foren-Plugins

Wenn du einen Mitgliedsbereich in deine Website integriert hast, werden personenbezogene Daten zur Registrierung gespeichert, wie z. B. E-Mail-Adressen, Vornamen oder ggf. sogar Adress- oder Zahlungsdaten.

Plugin Version Details Cookies BuddyPress 5.0.0 Speichert personenbezogene Daten in der WordPress-Datenbank. Bei Installation von manchen Extensions werden personenbezogene Daten auch an Dritt-Server übertragen oder Cookies gesetzt. Die Verwendung zusammen mit BuddyPress GDPR halte ich empfehlenswert (das Plugin gibt Nutzern die Möglichkeit ihre Daten zu exportieren und selbst zu löschen). FP, ggf. TP Digimember 3.000.150 Digimember speichert personenbezogene Daten in der WordPress-Datenbank und sendet diese (bei entsprechender Einstellung) auch an Dritt-Server. Wird DigiMember zusammen mit DigiStore24 verwendet, werden Namen und E-Mails von Kunden an DigiMember gesendet und in der WordPress-Datenbank gespeichert. DigiMember wiederum sendet Zugangsdaten für Kunden an DigiStore24 zur Produkt-Auslieferung. Mehr Infos zur DSGVO, z. B. zum Recht auf Vergessenwerden, Einwilligungen oder Speicherung von IP-Adressen, findest du im offiziellen DSGVO-FAQ. FP OptimizePress 2.5.14 Speichert personenbezogene Daten in der WordPress-Datenbank. Bei Nutzung von Drittanbieter-Integration (z. B. Zahlungsdiensten) werden personenbezogene Daten ggf. auch an Dritt-Server übertragen. Weitere Infos zur Umsetzung der DSGVO bei OptimizePress findest du in den Policies und in diesem Guide. FP, ggf. TP Simple:Press 6.0 Speichert personenbezogene Daten in der WordPress-Datenbank. Bei Installation von manchen Extensions (z. B. Gravatar oder ShareThis) werden personenbezogene Daten auch an Dritt-Server übertragen. FP, ggf. TP Ultimate Member 2.0.56 Speichert personenbezogene Daten in der WordPress-Datenbank. Bei Installation von manchen Extensions (wie z. B. Mailchimp oder Social Login) werden personenbezogene Daten auch an Dritt-Server übertragen. Weitere Infos zur Umsetzung der DSGVO bei Ultimate Member findest du in dieser Übersicht. FP, ggf. TP

8. Ladezeit- und Performance-Plugins

Plugins zur Ladezeit- oder Performance-Optimierung einer WordPress-Website, wie z. B. Caching-Plugins, verarbeiten der Regel keine personenbezogenen Daten.

Manche Plugins, wie z. B. Autoptimize oder WP Rocket können sogar dabei helfen, deine Website datensparsamer zu gestalten.

9. SEO-Plugins

Bei SEO-Plugins werden in der Regel keine personenbezogenen Daten von Nutzern gespeichert. Das liegt daran, dass diese der technischen Optimierung der Website (Sitemaps, Meta-Titel etc.) an sich dienen oder im Hintergrund laufen.

10. Bilder- und Medien-Plugins

Hier sind Plugins aufgeführt, mit denen Bilder und andere Medien bearbeitet oder optimiert werden können:

11. Design-Plugins

Hier sind alle Plugins gelistet, mit denen du das Design oder die Struktur deiner Website verändern kannst (im Frontend, also dem für Besucher sichtbaren Bereich), wie z. B. Page-Builder, Slider-, Sidebar-, Widget- oder Menü-Plugins.

12. WooCommerce

13. Wartung- und Administration

Hier findest du alle Plugins, die zur Wartung oder Adminstration einer WordPress-Installation dienen, wie z. B. Plugins zum massenhaften Bearbeiten oder Duplizieren von Posts, zur Datenbank-Pflege oder zur individuellen Gestaltung des Adminbereichs.

Plugins in dieser Kategorie verarbeiten in der Regel keine personenbezogenen Daten und sind dementsprechend DSGVO-konform, da sie nur im Adminbereich aktiv sind.

14. Editor-Plugins

Alle Plugins zur Erweiterung, Deaktivierung oder Veränderung des Gutenberg- oder des klassischen TinyMCE-Editors in WordPress:

Plugin Version Details Cookies AddQuicktag 2.5.3 Verarbeitet keine personenbezogenen Daten und setzt keine Cookies. Es ist somit DSGVO-konform. Ist nur im Adminbereich aktiv. Nein Advanced TinyMCE Configuration 1.5 Verarbeitet keine personenbezogenen Daten und setzt keine Cookies. Es ist somit DSGVO-konform. Ist nur im Adminbereich aktiv. Nein Black Studio TinyMCE Widget 2.6.9 Verarbeitet keine personenbezogenen Daten und setzt keine Cookies. Es ist somit DSGVO-konform. Ist nur im Adminbereich aktiv. Nein Classic Editor 1.5 Verarbeitet keine personenbezogenen Daten und setzt keine Cookies. Es ist somit DSGVO-konform. Ist nur im Adminbereich aktiv. Achtung: Bitte beachte eingebettete Inhalte, wie z. B. Facebook-Posts, YouTube- oder Vimeo-Videos, ebenfalls DSGVO-konform zu nutzen. Eine Zwei-Klick-Lösung für solche Embeds ist z. B. mit Borlabs Cookie möglich. Nein Disable Gutenberg 1.9 Verarbeitet keine personenbezogenen Daten und setzt keine Cookies. Es ist somit DSGVO-konform. Ist nur im Adminbereich aktiv. Nein Gutenberg 6.8.0 Verarbeitet keine personenbezogenen Daten (lediglich im WordPress-Adminbereich wird die Schriftart Noto Serif über Google Fonts geladen, dies ist jedoch nur für eingeloggte Nutzer relevant). Achtung: Bitte beachte Einbettungs-Blöcke, wie z. B. Facebook-Posts, YouTube- oder Vimeo-Videos, ebenfalls DSGVO-konform zu nutzen. Eine Zwei-Klick-Lösung für solche Blöcke ist z. B. mit Borlabs Cookie möglich. Nein Gutenberg Ramp 1.1.0 Verarbeitet keine personenbezogenen Daten und setzt keine Cookies. Es ist somit DSGVO-konform. Ist nur im Adminbereich aktiv. Nein HTML Editor Syntax Highlighter 2.4.2 Verarbeitet keine personenbezogenen Daten und setzt keine Cookies. Es ist somit DSGVO-konform. Ist nur im Adminbereich aktiv. Nein TinyMCE Advanced 5.2.1 Verarbeitet keine personenbezogenen Daten und setzt keine Cookies. Es ist somit DSGVO-konform. Ist nur im Adminbereich aktiv. Nein TinyMCE Clear Float 1.3.2 Verarbeitet keine personenbezogenen Daten und setzt keine Cookies. Es ist somit DSGVO-konform. Ist nur im Adminbereich aktiv. Nein

15. Backup-Plugins

Hier findest du alle Plugins, mit denen du ein Backup deiner WordPress-Installation machen kannst oder die bei der Migration helfen.

Plugin Version Details Cookies BackWPup 3.6.10 Wenn du BackWPup benutzt, um Backups auf dem eigenen Server zu speichern, werden keine personenbezogenen Daten verarbeitet, weil diese an einem Ort bleiben (bitte beachte allerdings, dass sich durch Backups die Speicherdauer der Daten erhöhen kann). Wenn du das Plugin nutzt, um Backups auf einem anderen Server oder Cloud-Dienst (Google Drive, Dropbox etc.) zu erstellen, solltest du einen AV-Vertrag mit dem Provider abschließen und Nutzer im Rahmen der Informationspflicht darüber aufklären. Mehr Infos zu BackWPup und der DSGVO kann man in der Dokumentation nachlesen. Nein BackUpWordPress 3.10 Wenn du BackUpWordPress benutzt, um Backups auf dem eigenen Server zu speichern, werden keine personenbezogenen Daten verarbeitet, weil diese an einem Ort bleiben (bitte beachte allerdings, dass sich durch Backups die Speicherdauer der Daten erhöhen kann). Wenn du das Plugin nutzt, um Backups auf einem anderen Server oder Cloud-Dienst (Google Drive, Dropbox etc.) zu erstellen, solltest du einen AV-Vertrag mit dem Provider abschließen und Nutzer im Rahmen der Informationspflicht darüber aufklären. Nein Duplicator 1.3.22 Das Plugin an sich Verarbeitet keine personenbezogenen Daten und setzt keine Cookies. Es ist somit DSGVO-konform. Allerdings solltest du sicherstellen, dass du bei der Migration von einem Server zum anderen AV-Verträge mit beiden Hosting-Anbietern abgeschlossen hast. Nein UpdraftPlus 1.16.17 Wenn du UpdraftPlus benutzt, um Backups auf dem eigenen Server zu speichern, werden keine personenbezogenen Daten verarbeitet, weil diese an einem Ort bleiben (bitte beachte allerdings, dass sich durch Backups die Speicherdauer der Daten erhöhen kann). Wenn du das Plugin nutzt, um Backups auf einem anderen Server oder Cloud-Dienst (Google Drive, Dropbox, UpdraftVault etc.) zu erstellen, solltest du einen AV-Vertrag mit dem Provider abschließen und Nutzer im Rahmen der Informationspflicht darüber aufklären. Mehr Infos zu UpdraftPlus und der DSGVO kann man hier nachlesen. Nein WordPress Importer 0.6.4 Das Plugin an sich Verarbeitet keine personenbezogenen Daten und setzt keine Cookies. Es ist somit DSGVO-konform. Allerdings solltest du sicherstellen, dass du bei der Migration von einem Server zum anderen AV-Verträge mit beiden Hosting-Anbietern abgeschlossen hast. Nein

16. Code hinzufügen (CSS, JavaScript, etc.)

Hier findest du Plugins, mit denen du Code an bestimmten Stellen in WordPress einbinden kannst, z. B. HTML, CSS, Javascript oder JSON-LD.

Achtung: Bitte denke daran, den durch die Plugins eingefügten Code ebenfalls DSGVO-konform zu nutzen!

17. Newsletter- und Lead-Generierung

Hier findest du alle Newsletter-Plugins und Plugins, die zur Lead-Generierung eingesetzt werden, wie z. B. Pop-Up-Plugins, Plugins für Opt-In-Formulare oder ergänzende Plugins für Kontaktformulare.

Newsletter-Plugins speichern personenbezogene Daten entweder in der WordPress-Datenbank oder, falls es eine Schnittstelle zu einem Newsletter-Anbieter gibt, senden diese ggf. auch an Dritt-Server.

Plugin Version Details Cookies Boxzilla 3.2.14 Setzt lediglich ein First-Party-Cookie, in dem gespeichert wird, ob und wann jemand ein Pop-Up weggeklickt hat, damit es erst nach einer vorgegeben Zeit wieder angezeigt werden kann. FP MC4WP – Mailchimp for WP 4.6.1 Speichert E-Mail- und IP-Adressen von Nutzern, die sich in Formulare eintragen, in der WordPress-Datenbank. Um Mailchimp DSGVO-konform zu nutzen, sind weitere Maßnahmen erforderlich, wie z. B. Abschließen eines AV-Vertrags, Passus in der Datenschutzerklärung, aktiviertes Double Opt-In, Impressum und Link zu Datenschutzerklärung in jeder E-Mails etc. ? MC4WP – Mailchimp for WP Pro 4.6.1 Speichert E-Mail- und IP-Adressen von Nutzern, die sich in Formulare eintragen, in der WordPress-Datenbank. Bei eingeschalteten E-Mail-Benachrichtungen werden mitunter personenbezogene Daten an die eingestellte E-Mail-Adresse geschickt. Um Mailchimp DSGVO-konform zu nutzen, sind weitere Maßnahmen erforderlich, wie z. B. Abschließen eines AV-Vertrags, Passus in der Datenschutzerklärung, aktiviertes Double Opt-In etc. ? MC4WP – MailChimp User Sync 1.8.0 Das Plugin fügt WordPress-Nutzer automatisch zu einer festgelegten MailChimp-Liste hinzu. Bei Registrierung müssen diese entsprechend in die zusätzliche Datenverarbeitung einwilligen und über diese informiert werden. Um Mailchimp DSGVO-konform zu nutzen, sind weitere Maßnahmen erforderlich, wie z. B. Abschließen eines AV-Vertrags, Passus in der Datenschutzerklärung, aktiviertes Double Opt-In etc. Nein Thrive Leads 2.2.4.3 Speichert E-Mail-Adressen von Nutzern, die sich in Formulare eintragen, in der WordPress-Datenbank. Setzt ein First-Party-Cookie, in dem gespeichert wird, ob und wann jemand ein Pop-Up weggeklickt hat, damit es erst nach einer vorgegeben Zeit wieder angezeigt werden kann. Um per API verbundene Newsletter-Anbieter DSGVO-konform zu nutzen, sind weitere Maßnahmen erforderlich, wie z. B. Abschließen eines AV-Vertrags, Passus in der Datenschutzerklärung, aktiviertes Double Opt-In etc. FP

18. Sonstige Plugins

Hier sind alle WordPress-Plugins gelistet, für die es noch keine Kategorien gibt:

19. Wie teste ich Plugins?

Du hast eins oder mehrere deiner Plugins nicht in der Liste gefunden? Oder du willst einfach nur wissen, wie ich beim Testen der Plugins vorgehe?

Kein Problem!

Im Folgenden zeige ich dir Schritt für Schritt, wie ich Plugins auf DSGVO-Konformität überprüfe:

Ich schaue mir zunächst an, ob durch ein Plugin direkt Daten vearbeitet werden.

Dies ist zum Beispiel bei Kontaktformularen-, Foren- oder Newsletter-Plugins der Fall. Hier geben Benutzer selbst Daten ein, wie z. B. ihren Namen oder ihre E-Mail-Adresse.

Bei solchen Plugins überprüfe ich zuerst, was mit diesen direkt eingegeben Daten eigentlich passiert:

Werden sie in Logfiles oder in der WordPress-Datenbank auf dem eigenen Server gespeichert?

Werden sie an mich selbst per E-Mail weitergeleitet?

Werden sie an Dritt-Server weitergeleitet? Und wenn ja, auf welche Weise werden dort die Daten verarbeitet? Brauche ich einen AV-Vertrag dafür?

Lässt sich das Plugin datensparsamer Nutzen, z. B. durch Anpassung der Einstellungen oder vom Entwickler bereit gestelltem Code?

Ist dies abgeschlossen oder werden durch das Plugin gar keine Daten direkt verarbeitet, überprüfe ich ob indirekt Daten verarbeitet werden.

Dazu schaue ich mir zunächst an, ob durch das Plugin auf der Website externe Ressourcen über Drittserver geladen werden (z. B. Fonts, JS- und CSS-Dateien). Dies überprüfe ich mit Webbkoll oder den Chrome Developer Tools im Browser:

Wenn ja, recherchiere ich im nächsten Schritt, welche Daten durch den Drittserver überhaupt gespeichert werden, z. B.:

in der Datenschutzerklärung des Entwicklers oder Dienstes

durch direkte Nachfrage

im AV-Vertrag oder in den AGB

in der Plugin-Dokumentation

durch Recherche bei Google oder in einschlägigen Datenbanken, z. B. von Ghostery.

Dazu gehört selbstverständlich auch, zu überprüfen, ob und zu welchem Zweck Cookies gesetzt werden:

Dann überprüfe ich noch einmal, ob durch das Plugin indirekt Daten auf meinem eigenen Server gespeichert werden (oft schwieriger ausfindig zu machen als bei direkter Datenverarbeitung).

Dazu schaue ich erstens in die Plugin-Einstellungen (dort finden sich z. B. Hinweise auf Logfiles), zweitens noch einmal in die Datenbank und drittens, ob das Plugin Dateien auf dem Server speichert, die personenbezogene Daten enthalten.

19.3 Abschließende Beurteilung

Sobald ich einen Überblick über alle direkt und indirekt verarbeiteten Daten habe, geht es an die Beurteilung.

Im Zuge dessen stelle ich mir unter anderem folgende Fragen:

Welche Rechtsgrundlage käme für die Verarbeitung dieser Daten in Frage?

Ist ggf. eine Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtiges Interesse) möglich?

Kann ich alle rechtlichen Bedingungen erfüllen, um die Daten auf meiner Website verarbeiten zu dürfen (dazu gehört z. B. das Vorhandensein eines AV-Vertrags, wenn es sich um einen Auftragsverarbeiter handelt)?

Kann ich Besucher transparent über die Verarbeitung informieren? Gibt es noch offene Fragen zur Datenverarbeitung, die ich nicht beantworten kann?

Gibt es ggf. einen vorgefertigten Passus vom Entwickler oder einem Rechtsanwalt, den ich direkt in meine Datenschutzerklärung einfügen kann?

Habe ich die Möglichkeit, erhobene Daten zu löschen?

20. FAQ

Hier findest du Antworten auf häufige Fragen zu Cookies und Datenschutz bei WordPress-Plugins:

20.1 Wie kann ich das rechtliche Risiko durch Plugins verhindern?

Auch ohne Programmierer oder ein WordPress-Experte zu sein, kannst du durch Einhalten einiger Faustregeln bei Plugins für deutlich besseren Datenschutz sorgen:

Je weniger Plugins du installiert hast, desto besser (damit wird deine Website zudem sicherer, denn Sicherheitslücken in Plugins sind beliebte Einfallstore für Hacker) Alles, was ein Formular zur direkten Dateneingabe durch Website-Nutzer hat, muss in die Datenschutzerklärung Die originalen Teilen-Buttons von Facebook, Twitter und Co. oder andere Social Plugins sind nie eine gute Idee (diese sollten, wenn überhaupt, nur mit Opt-In verwendet werden). Wenn du etwas von deinem eigenen Server laden kannst, dann lade es von deinem eigenen Server Wenn du dir bei einem Plugin nicht sicher bist, ob es datenschutzkonform ist oder nicht, dann lass es lieber weg. Je komplexer ein Plugin ist und je mehr Funktionen es bietet, desto eher könnte es datenschutzrechtlich bedenklich sein.

Zur Überprüfung, ob von deiner Website Cookies gesetzt werden oder Verbindungen zu Drittservern hergestellt werden, empfehlen sich folgenden Tools:

Manchmal ja und manchmal nein:

Ja, weil manche Plugins erst durch zusätzliche Einstellungen in den Premium-Varianten DSGVO-konform werden oder AV-Verträge nur für zahlende Nutzer angeboten werden. Nein, weil der Funktionsumfang in Premium-Versionen oft höher ist und durch zusätzliche Features (z. B. Integration von Google Analytics, reCAPTCHA, Social Plugins etc.) personenbezogene Daten verarbeitet werden könnten.

In Art. 4 der DSGVO sind personenbezogene Daten wie folgt definiert:

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Dazu können zählen:

Vor- und Nachname

Alter

Familienstand

Geburtsdatum

E-Mail-Adresse

Adresse

Kontodaten

IP-Adresse

21. Changelog

Hier findest du eine Übersicht über alle vorgenommenen Änderungen am Artikel:

7. November 2019:

Einige Plugins, bei denen die Nutzung eines Cookie-Plugins möglich ist, von Rot auf Gelb umgestellt

Einige Rechtschreibfehler behoben

6. November 2019: