10 wichtige Datenschutz-Plugins für WordPress

Das beliebte Content-Management-System WordPress generiert einen Großteil aller Webseiten. Folglich ist die Vereinbarkeit von WordPress mit dem Datenschutz ein praxisrelevantes Thema. Aufgrund der vielen Zusatzmodule ist der Datenschutz von WordPress-Seiten jedoch nicht immer ganz einfach einzuhalten.

Für WordPress werden mittlerweile sehr viele sogenannte Plugins angeboten, die Konformität mit der DSGVO versprechen. Im Folgenden werden Lösungen vorgestellt, die aus datenschutzrechtlicher Sicht gelungen erscheinen.

Die Angebote von DSGVO-konformen Plugins ist in ständiger Entwicklung. Daher sind die folgenden Beispiele nicht als abschließende Liste zu verstehen. Vor der Aktivierung auf der Webseite sollten Plugins auf ihre Datenschutztauglichkeit getestet werden. Insbesondere sollte der Webseitenbetreiber grundsätzlich stets darauf achten, ob nach der Installation eines Plugins neue Cookies gesetzt werden, die entweder bedenklich sind oder in die Datenschutz­erklärung aufgenommen werden müssen.

Cookie-Consent

Eine zugegebenermaßen trocken wirkende Lösung für Cookie-Zustimmungen ist das Plugin „WP DSGVO Tools (GDPR)“ der österreichischen Legalweb. Es entspricht den Anforderungen an eine diskriminierungsfreie Gestaltung der Auswahlflächen. Webseiten-Betreiber, die nicht auf dauerhafte Cookies verzichten können, erhalten so eine datenschutzkonforme Möglichkeit, die Zustimmung der Besucher abzufragen.

Die rechtlichen Texte wie das Impressum und die Datenschutzerklärung können mitgeneriert werden. Das Angebot ist auf Deutschland und Österreich spezialisiert und wird von Anwälten betreut. Die kostenlose Variante erlaubt bereits die wesentlichen Einstellungen und ermöglicht Anpassungen der Farben und Hinweistexte.

Video-Einbettungen

Ein häufiges Problem sind Videos, die sich zum Beispiel auf Youtube befinden und in eine Webseite eingebettet werden. Hierbei setzt die Videoplattform automatisch mehrere Cookies, mit denen Nutzer nachverfolgt werden können. Dies geschieht wohl auch, wenn der erweiterte Datenschutzmodus beim Erstellen des Codes zum Einbinden aktiviert wird. Das Tracking ohne Zustimmung der Nutzer ist jedoch datenschutzrechtlich ungünstig.

Daher bieten einige WordPress-Plugins an, zunächst nur das Vorschaubild anzuzeigen und das Video erst nach Zustimmung des Nutzers zu aktivieren. Diese Methode ist gegenüber einem generellen Einverständnis der Webseitenbesucher zu bevorzugen. Es wird in dem Moment der Auswahl des Bildes klarer, welche Daten an wen übermittelt werden.

Ein einfaches Plugin ist YouTube Lyte. Wie der Name verrät, richtet sich die Lösung auf Videos von YouTube. Zweck des Plugins ist es, die Ladezeit der Seite zu verringern. Dazu wird zunächst nur das Vorschaubild angezeigt. In den Einstellungen lässt sich zudem angeben, dass das Vorschaubild auf dem eigenen Server abgelegt wird. Somit wird das Ziel erreicht, keine Verbindung zum Server von YouTube herzustellen und keine Cookies zu setzen, bis der Nutzer auf das Vorschaubild klickt. Zur Anwendung des Plugins benötigt der Webseitenbetreiber jedoch ein Google-Konto, um einen Developer-API-Key zu erhalten.

Eine allgemeinere Lösung, die beispielsweise auch für die Videoplattform Vimeo funktioniert, ist die Integration von Video-Popups. Bei dem Plugin „WP Video Popup“ wird der Link zum Video in einem Shortcode auf der jeweiligen Seite eingefügt. Einem Bild oder Button wird ein bestimmter CSS-code hinzugefügt, der das Element als „Trigger“ identifiziert. Erst wenn das Element angeklickt wird, öffnet sich ein Popup mit dem Video. Neben dem Element lässt sich ein Hinweis auf die Datenverbindung zur Videoplattform platzieren. In der kostenlosen Variante des Plugins kann nur ein Video pro Seite auf diese Weise eingebunden werden.

Wer eine komfortablere Lösung möchte, muss ein zahlungspflichtiges Abonnement nutzen. Das oben vorgestellte „WP DSGVO Tools (GDPR)“ erlaubt zum Beispiel in der Premiumvariante, den Umgang mit der Einbettung von Videos zu steuern und die Erlaubnis zur Datenübertragung per Cooki-Consent einzuholen.

Social Buttons

Innerhalb des Editors von WordPress werden Buttons zum Teilen auf sozialen Netzwerken wie Facebook, Twitter oder LinkedIn normalerweise als statische Links eingefügt. Will der Webseiten-Betreiber jedoch Social Buttons, die anzeigen, wie oft der Beitrag geteilt wurde, muss er eine Javascript-Lösung verwenden. Diese hat jedoch den datenschutzrechtlichen Nachteil, dass automatisch Nutzerdaten an das soziale Netzwerk geleitet werden.  

Schon vor einigen Jahren hat Heise Online das Open-Source Tool „Shariff“ entwickelt, mit dem die Social Buttons zunächst vom Nutzer aktiviert werden müssen, bevor Daten mit dem Sozialen Netzwerk ausgetauscht werden. Mit dem WordPress-Plugin „Shariff Wrapper“ lässt sich diese Lösung einfach integrieren.

Fonts

Die meisten WordPress-Themes erlauben es, die verwendeten Zeichensätze anzupassen. Dabei können Dateien von externen Diensten wie Google Fonts eingebunden werden. Der externe Anbieter kann eventuell über die IP-Adresse oder mittels gesetzter Cookies die Besucher der Seite nachverfolgen. Daher müsste das Einbinden fremder Fonts zumindest in der Datenschutzerklärung erwähnt werden. Möglicherweise ist sogar eine Zustimmung der Besucher erforderlich.

Eleganter ist es, die Zeichensätze selbst auf der eigenen WordPress-Installation zu hinterlegen. Diesen Schritt automatisiert das Plugin „Optimize My Google Fonts (OMGF)“. Gleichzeitig werden DNS-Abfragen verringert und die Ladegeschwindigkeit der Webseite optimiert. Google erlaubt ausdrücklich die Ablage der Fonts auf dem eigenen Server.

Weiterhin sollte das kleine Plugin „Disable Emojis (GDPR friendly)“ aktiviert werden. Wie der Name erkennen lässt, werden die standardmäßig von WordPress eingebundenen Emojis abgeschaltet, die auf externen CDN-Servern lagern. Auch dadurch wird die Ladegeschwindigkeit optimiert. Die aktuellen Browser unterstützen Emojis von Hause aus, ohne dass weitere Zeichensätze geladen werden müssen.

Statistiken

Ein Kernbedürfnis für Webseiten-Betreiber ist die Messung der Besucher und die Auswertung, wie die Besucher auf die Webseite gelangen. Schließlich wollen sie wissen, wie beliebt die Seite ist und welche Inhalte besonders gefragt sind. Die Seite lässt sich für Suchmaschinen nur optimieren, wenn die Besucherströme analysiert werden können. Allerdings ist das Tracking der Besucher das größte datenschutzrechtliche Problem, das häufig erst die Cookie-Banner erforderlich macht.

Das beliebte und kostenlose Plugin Matomo verspricht, DSGVO-konforme Statistiken zu erstellen. Es ermöglicht umfassende Einstellungen und eine genaue Analyse der Webseiten-Besucher. Mit dem Plugin werden die Besucherdaten auf dem eigenen Server gespeichert. Das hat bei hohem Besucheraufkommen möglicherweise Performance-Verluste zur Folge. Alternativ kann die Cloud-Lösung von Matomo die Besucherdaten sammeln, wozu aber ein Hinweis in der Datenschutzerklärung aufgenommen werden muss. Im Gegensatz zu Google Analytics hat Matomo den Vorteil, dass die Daten in Deutschland gehosted werden. Die Cloud-Lösung von Matamo kostet allerdings einen monatlichen Beitrag.

Die Datenschutzerklärung muss ergänzt werden, weil Matomo standardmäßig ein Cookie setzt und gleichzeitig ein Tracking-Script in die Seiten einfügt. Wegen des Cookies ist auch eine Zustimmung der Besucher erforderlich. Leider lässt sich das Setzen des Cookies nicht einfach abstellen. Dazu muss in den Code des Tracking-Scripts eingegriffen werden. Außerdem wird es dann fraglich, inwieweit die Statistiken noch korrekt sind.

Als schlankere Alternative kann das Plugin WP Statistics genutzt werden. Es setzt keine Cookies und nutzt standardmäßig kein Tracking-Script. Zudem lassen sich die gespeicherten IP-Adressen der Besucher anonymisieren. Damit kann das Plugin ohne Nutzerzustimmung und ohne Cookie-Hinweis eingesetzt werden. Die Daten werden auf dem eigenen Server gespeichert. Betreiber größerer Webseiten sollten daher auf die Datenmenge achten und entsprechend den Zeitraum der Speicherung anpassen. Für kleinere Webseiten mit gemäßigten Aufrufzahlen erscheint das Plugin als eine praktikable Lösung, die datenschutzrechtliche Kopfschmerzen vermeidet.

Nutzerdatenanfrage

Mit Inkrafttreten der DSGVO besteht das Recht auf Auskunft über die gespeicherten Daten. WordPress hat seitdem in der Administrationsfläche eine Funktion integriert, die den Export der Daten registrierter Nutzer ermöglicht. Einzelne Nutzeranfragen müssen jedoch manuell erledigt werden. Ein komfortables Front-End bietet das Plugin „GDPR Data Request Form“. Mit dieser Lösung können die Nutzer ihre Daten selbst verwalten und wahlweise den Datenexport anstoßen oder die eigenen Daten löschen. Um Missbrauch vorzubeugen, muss die Anfrage des Nutzers per E-Mail-Link bestätigt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.