Datenschutz-Grundverordnung (DSGVO) – Plugins Teil 2

Nachdem ich gestern bereits einige Plugin-Kategorien vorgestellt habe, die mit Blick auf die DSGVO kritisch zu betrachten sind geht es heute weiter.

Zuvor noch ein kurzer, aber wichtiger Disclaimer:

Ich bin kein Jurist und kann mit diesem Blog-Beitrag auch keine Rechtsberatung leisten. Ich zeige Dir hier mein Verständnis der DSGVO und die aus meiner Sicht notwendigen Schritte auf. Diese erheben jedoch keinen Anspruch auf Vollständigkeit und ich kann hierfür auch keine Haftung übernehmen. Um sicherzustellen, dass für Deine spezielle Situation alles bedacht ist, kontaktiere bitte unbedingt einen Rechtsanwalt.

Sicherheits-Plugins

Die meisten Sicherheits-Plugins speichern IP-Adressen, zum Beispiel um zu erkennen, wenn von einer IP-Adresse sehr viele Login-Versuche auf eine Website erfolgen und diese dann zu sperren. Außerdem schreiben manche dieser Plugins Log-Dateien, in denen Login-Versuche mit den dazugehörigen IP-Adressen protokolliert werden.

Die wohl bekanntesten Sicherheits-Plugins sind:

  • Wordfence
  • iThemes Security
  • Bulletproof Security

Hier ist es empfehlenswert, mit dem Plugin-Entwickler Kontakt aufzunehmen und abzuklären, ob die Speicherung der IP-Adressen nur auf Deinem eigenen Webspace erfolgt oder ob Daten auch an den externe Server übertragen werden. Wenn letzteres der Fall ist muss ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden. Besser wäre es noch, wenn die Übermittlung und Speicherung von IP-Adressen komplett unterdrückt werden könnte.

Wenn Du ein solches Plugin im Einsatz hast musst Du einen entsprechenden Passus in der Datenschutzerklärung mit aufnehmen.

Ich selbst nutze bisher sehr gern das Plugin „Bulletproof Security“ als zusätzliche Absicherung meiner eigenen und Kunden-Websites. Mit Blick darauf, dass die wichtigsten Sicherheits-Maßnahmen für eine Website immer ein absolut sicheres Passwort und regelmäßige Aktualisierungen sind bieten Sicherheits-Plugins in der Regel nur einen marginalen Zusatznutzen. Ich denke daher darüber nach, Bulletproof Security zu deaktivieren wenn mir der Entwickler nicht zusichern kann, dass das Plugin 100% datenschutzkonform arbeitet.

PopUps

Viele PopUps, insbesondere solche, die mit Exit-Intend arbeiten, setzen ein Cookie auf dem Rechner Deines Besuchers. So kann sichergestellt werden, dass der Besucher Deiner Website das PopUp nicht bei jedem Seitenbesuch neu sieht sondern erst wieder nach einem festgelegten Zeitraum.

Bekannte PopUp-Plugins:

  • PopUp Ally
  • PopUp Maker
  • Bloom
  • Trhive Leads

Zwar sind Cookies von der DSGVO nicht direkt erfasst, aber in meinen Augen ist es trotzdem notwendig, sie im Rahmen der DSGVO nicht unbeachtet zu lassen.

Du solltest auch hier auf jeden Fall in der Datenschutzerklärung Deiner Website einen Hinweis geben dass Cookies gespeichert werden und wie lange diese gültig sind.

Was ich zum Zeitpunkt der Veröffentlichung dieses Artikels noch nicht weiß ist, ob es auch hier eine „Optout“-Möglichkeit geben muss oder ob es genügt, dass der Besucher selbst über seinen Browser die Speicherung von Cookies verhindern kann.

Sharing-Plugins

Sie gehören zum Blog wie Kaffeebohnen zur Kaffeemaschine: Die kleinen Buttons, mit dem Deine Leser Deine Beiträge direkt in ihren sozialen Netzwerken teilen können. Aber auch hier lauern Fallstricke beim Datenschutz

Bekannte Sharing-Plugins sind

  • Facebook Page Plugin
  • Shareaholic
  • Monarch
  • Easy Social Share Buttons for WordPress

Leider übermitteln die allermeisten Share-Buttons sofort beim Betreten Deiner Website Daten an die zugehörigen sozialen Netzwerke, wenn Deine Besucher dort eingeloggt sind. Und das ist – wie Du Dir zwischenzeitlich vermutlich denken kannst, nicht datenschutzkonform.

Hier gibt es eigentlich nur eine Möglichkeit, der DSGVO zu entsprechen: Das entsprechende Plugin löschen und anstelle dessen Shariff Wrapper zu installieren. Shariff ist neben „2Click Social Media Buttons“, das aber seit einigen Jahren nicht mehr gewartet wird, das einzig datenschutzkonforme Sharing-Plugin, da es erst dann Daten übermittelt, wenn der Website-Besucher den Button anklickt.

Kontaktformular

Es liegt in der Natur der Dinge, dass Kontaktformulare die E-Mail-Adresse des Absenders übermitteln, sonst könntest Du ja auf die Anfrage gar nicht antworten.

Da die E-Mail-Adresse als personenbezogenes Datum gilt darf diese nicht unverschlüsselt übertragen werden. Wenn Du also ein Kontaktformular auf Deiner Seite nutzen möchtest musst Du für Deine Website ein SSL-Zertifikat einbinden. Du erkennst Websites mit einem SSL-Zertifikat an dem vorangestellten „https“ und dem grünen Schloss in der Adressleiste Deines Browsers.

Bekannte Kontaktformular-Plugins sind:

  • Contact Form 7
  • Ninja Forms
  • Gravity Forms
  • Jetpack

Bei den E-Mail-Adressen aus dem Kontaktformular gilt das selbe wie bei E-Mail-Adressen, die über ein Blog-Abo gewonnen werden: Du darfst diese Adressen ausschließlich dazu nutzen, um auf die Kontaktanfrage zu antworten. In keinem Fall darfst Du diese E-Mail-Adressen Deinem E-Mail-Verteiler hinzufügen um Newsletter zu versenden.

Manche dieser Plugins übermitteln die Angaben aus dem Kontaktformular nicht nur per Mail sondern speichern diese auch in der Datenbank Deiner WordPress-Installation. Dann ist auch hierfür eine Information in der Datenschutzerklärung erforderlich.

Morgen endet diese kleine Artikel-Serie mit Hinweisen zu Google Webfonts, eingebundenen Videos und einigen WordPress-spezifischen Themen wie Kommentaren und Gravatar.

Teil 1: DSGVO – Was ist jetzt zu tun?
Teil 2: Der Online-Auftritt
Teil 3: DSGVO – Was hat das mit Plugins zu tun?

Beitragsbild:
©Onypix – Fotolia.de

Print Friendly, PDF & Email

Kommentare

Datenschutz-Grundverordnung (DSGVO) – Plugins Teil 2 — 15 Kommentare

  1. tolle Tipps und Hinweise. Vielen Dank.

    Bin gerade auf meiner Vereinsseite über jetpack gehackt worden.

    Umso wichtiger es nicht nur aus Sicherheitsgründen sondern auch aus Sorge um den Datenschutz das Plugin zu löschen.

    lg

  2. Liebe Michaela, vielen Dank erst mal für deine immer wieder sehr hilfreichen und interessanten Artikel.

    Darf ich dich fragen, wie du vorgehst um herauszufinden welche Daten von den Plug-Ins wo und wie verarbeitet werden?

    Dann habe ich noch eine Sache die mich beschäftigt, es ist ja in der Diskussion, dass Google-fonts problematisch sind, da dabei der Browser des Nutzers eine Verbindung mit dem Google Server herstellt auf dem die Fonts bereitgestellt werden. Manche Themes nutzen standardmäßig gf. Nur was ist jetzt zu tun? Schreibe ich die Nutzung der gf in meine DSE mache ich ja erstmal darauf aufmerksam dass dies so ist. Theoretisch muss ich es aber doch unterlassen? Oder ist es dann ok wenn ich einen Auftragsdatenverarbeitungsvertrag mit google abschließe? Und wer könnte es überhaupt nachvollziehen was im Hintergrund geschieht? Natürlich wäre es mir absolut lieber ich weiß es.

    Bist du darüber schon klar? Oder weiß man noch nichts genaues?
    Grundsätzlich finde ich eine europaweitgeltende DSV nötig und gut. Schwierig finde ich einfach dass vieles nicht so 100% klar ist und man echt viel lesen darf um durchzublicken. Aber vielleicht ergibt sich alles im Gebrauch …

    Übereine Antwort würde ich mich sehr freuen.

    Viele Liebe Grüße & Danke, Belinda

    • Hallo Belinda,

      zu Google Fonts kommt kurzfristig noch ein weiterer Teil in dieser Artikelserie, in der ich erläutere, wie man Google Fonts auch lokal speichern kann.

      Wegen der Plugins: Bei einigen Plugins wie hier in der Serie dargestellt ist es aufgrund der Funktionsweise klar, dass bestimmte Daten gespeichert werden (Cookies bei PopUPs, IP-Adressen bei Sicherheits-Plugins, etc.)

      Für alles andere nutze ich die Browser-Erweiterung Ghostery in Chrome, die anzeigt, welche Trackings über eine Website laufen und die Netzwerk-Analyse aus den Entwicklertools meines Browsers. Darüber kann man gut sehen, mit welchen externen Seiten die eigene Website kommuniziert.

      Herzliche Grüße
      Michaela

  3. Liebe Michaela,
    1000 Dank für Deine Mühe. Ich finde es leider teilweise schwierig die einzelnen PlugIn-Provider wie z.B. Wordfence zu kontaktieren. Sie antworten einfach nicht. Und auch bei WP habe ich noch keine AVV gefunden (Google bietet den Vertrag z.B. in deutsch einfach zum Download an). Kannst Du da helfen bzw. in Deinen Artikeln verlinken?

    • Hallo Julia,

      wenn der Support eines Plugins da nicht weiterhelfen kann, dann würde ich das Plugin löschen. Wie im Beitrag erwähnt sind Plugins wie Wordfence nicht unbedingt zwingend erforderlich um eine Website sicher zu halten. Und wenn der Einsatz nicht DSGVO-konform möglich ist würde ich eher empfehlen, darauf zu verzichten.

      Was den ADV mit WordPress angeht: Meinst Du, wenn Du WordPress auf wordpress.com nutzt?

      Herzliche Grüße
      Michaela

  4. Hallo,
    ich bin schon sehr gespannt auf den angekündigten letzten Teil. Der kommt doch noch – oder? Super! Vorab – vielen Dank!

    • Hallo Peter,
      ja, der letzte Teil (eventuell werden es auch nochmal zwei) kommt noch, versprochen.

      Die ersten vier Teile habe ich in einem Rutsch letzten Samstag runtergeschrieben und in einem Anfall von Optimismus gedacht ich schaffe es bestimmt, den letzten Teil in den vier Tagen bis zur Veröffentlichung von Teil 4 zu schreiben. Hat leider nicht geklappt, steht aber jetzt fürs WE definitiv auf meiner To-Do-Liste.

      Herzliche Grüße
      Michaela

    • Hallo Isa,

      Shariff habe ich im Beitrag bereits als Alternative genannt. Es gibt einmal das Plugin „Shariff“ und einmal „Shariff Wrapper“, wobei ich letzteres bevorzuge weil es ein paar mehr Einstellungs-Optionen hat.

      Herzliche Grüße
      Michaela

  5. Ah okay, du kennst beide 🙂 Ich habe mich darauf bezogen, dass du geschrieben hast, es wird nicht mehr gewartet. „Shariff Wrapper“ wird ja noch aktualisiert, gerade letzte Woche wieder.

    Bin gespannt auf den nächsten Artikel, danke für deine Recherche!

  6. Super Tipps, vielen lieben Dank für deine Mühe! Nur warte ich gerade ganz ungeduldig auf deine Infos zu einer DSGVO-konformen Lösung zum Problem mit den Google Fonts, die ich für mein Corporate Design natürlich unbedingt brauche… Habe bislang auch kein Child Theme – und hoffe auf eine anfänger-freundliche Anleitung. Bin mit dieser Sache total überfordert.

    • Hallo Yvonne,

      ich muss mich entschuldigen, weil ich den letzten Teil leider immer noch schuldig bin. Mein Tag hat aktuell leider irgendwie zuwenig Stunden, aber ich verspreche, er kommt noch.

      Herzliche Grüße
      MIchaela

  7. Hallo Michaela! Danke für die vielen tollen Tipps. Ich benutze auch das Plugin BulletProof Security. Hats du da schon etwas von dem Entwickler gehört? Wie hast du dioch bezüglich dieses Plugins entscheiden?
    Danke für deine Hilfe!

    • Hallo Sabine,

      BulletProof Security speichrt definitiv IP-Adressen, aber nur auf Deinem eigenen Webspace. Insbesondere, wenn die Login-Security eingeschaltet ist.
      Du brauchst also keinen ADV mit Bulletproof Security, aber Du solltest in der Datenschutzerklärung darauf hinweisen. Einen Mustertext hierfür habe ich aber leider ncoh nicht – ich fürchte, diese Website hier wird wegen der vielen Kundenanfragen zum Thema noch eine Weile nicht ganz DSGVO-konform sein. Ich hoffe, dass ich im Juni Zeit finde, mit meiner Anwältin meine eigene Datenschutzerklärung durchzusprechen. Dann kann ich dazu mehr sagen.

      Herzliche Grüße
      Michaela

  8. Hallo,
    super Blog.
    Hast du eine Ahnung wie es jetzt mit Wordfence aussieht, angeblich sind die jetzt sicher zu nutzen ?
    Gruß

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.


Ich möchte auch den WordPress-Rundbrief abonnieren