5 Plugins für einen besseren Datenschutz in WordPress
Ende Mai war ich wie jeder Website-Betreiber damit beschäftigt, meinen Blog auf die neue Datenschutz-Grundverordnung vorzubereiten. Insgesamt habe ich dabei fünf neue Plugins für einen besseren Datenschutz in WordPress installiert, welche für den ein oder anderen Leser interessant sein mögen. Deshalb hier eine kurze Zusammenfassung.
Embed videos and respect privacy
Mit Embed videos and respect privacy können Videos von Youtube eingebunden werden, ohne dass mit jedem Aufruf Daten an Google fließen. Das Plugin zeigt dafür einen statischen Platzhalter und baut die Verbindung erst auf, wenn der Nutzer auf den Abspielen-Knopf klickt.
Hier ein Beispiel-Video:
Neben Youtube funktioniert das Plugin auch für Vimeo und anderen mit oEmbed eingebundenen Diensten. Es empfiehlt sich, die aktuelle Version 2.0 von Github zu installieren, da das Plugin auf WordPress.org leider noch nicht aktualisiert wurde.
Borlabs Cookie
Zum Inkraftreten der neuen Datenschutz-Grundverordnung habe ich noch das DSGVO Pixelmate Plugin für den Cookie-Hinweis eingesetzt, welches aber beim Akzeptieren der Cookies immer einen Reload der Website verursachte und auch Probleme mit dem Caching der Website hatte.
Deshalb bin ich nun auf Borlabs Cookie umgestiegen, welches wesentlich ausgereifter wirkt und sehr reibungslos funktioniert. Das Plugin kostet 29€ / Website und ist definitiv sein Geld wert.
Für detaillierte Informationen und hilfreiche CSS-Schnipsel für Styling-Anpassungen empfehle ich den Beitrag Borlabs Cookie: Vorstellung & Anleitung von Webtimiser.
Avatar Privacy
Mit Avatar Privacy werden die Gravatar-Bilder für Kommentare lokal zwischengespeichert und externe Anfragen an Gravatar.com vermieden. Die IP-Adresse von Besuchern wird so nicht an andere Server weitergegeben.
Local Emoji
In älteren Browsern werden Emojis als Grafiken von WordPress.org geladen. Mit Local Emoji existiert auch hier ein Plugin, um diese Anfrage an einen externen Server zu entfernen und die Grafiken lokal vom eigenen Server einzubinden.
Auf Avatar Privacy und Local Emoji bin ich durch Florian Brinkmann aufmerksam geworden. Er hat die beiden Plugins in seinem Beitrag Gravatare und Emoji-Fallbacks für WordPress-Sites vom eigenen Server laden ausführlicher vorgestellt.
Remove Comment IPs
Das Plugin Remove Comment IPs entfernt die gespeicherten IP-Adressen in WordPress Kommentaren aus der Datenbank. Damit Antispam-Plugins etwaige Spam-Kommentare zuverlässig abwehren können, werden die IPs allerdings erst nach 60 Tagen gelöscht.
Wer die Speicherung von IP-Adressen in Kommentaren komplett unterbinden möchte, findet in dem Beitrag WordPress und DSGVO: IP-Adresse bei Kommentaren entfernen einige Optionen.
Datenschutz in WordPress verbessern
Alle vorgestellten Plugins verbessern den Datenschutz in WordPress auf die eine oder andere Weise. Das Laden von Ressourcen von externen Servern wird reduziert oder erfolgt erst mit Einwilligung des Nutzers, nicht mehr benötigte Daten wie IPs von Kommentierenden werden gelöscht und bestimmte Cookies erst mit Erlaubnis des Besuchers eingesetzt.
Welche Plugins setzt du für einen besseren Datenschutz in WordPress ein?
Hallo Thomas,
vielen Dank für den informativen Beitrag. Im Moment sind alle meine Webseiten offline. Um irgendwann wieder online zu gehen, bastele ich auf meinem Localhost an einer WordPress Installation, die gänzlich ohne Datenverarbeitung auskommt, abgesehen von den gesetzlich vorgeschriebenen Logfiles durch meinen Hoster. Ich persönlich habe mich dazu entschlossen, alles zu deaktivieren, was irgendwie Cookies setzt oder nach Hause telefoniert. Die Kommentare sind deaktiviert, so dass auch hierüber keine Daten verarbeitet werden. Zum konsequenten Deaktivieren der Google Fonts und Emojis nutze ich Autoptimize, natürlich auch zur Optimierung. Das Plugin hat aber diese beiden zusätzlichen Funktionen, was letztendlich ja auch Optimierungen mit Blick auf Performance darstellt 😉 Schließlich: Mit Statify zähle ich Seitenaufrufe und verzichte zugunsten dem Datenschutz gänzlich auf ausführlichere Besucherstatistik.
Hallo Jens,
Sehr gerne. Ich wusste nicht, dass auch Autoptimize zusätzliche Funktionen dafür bereitstellt. Vielen Dank für die Ergänzung.
Ich halte es ebenfalls für eine gute Idee, keine oder so wenig wie möglich personenbezogene Daten auf seiner WordPress-Installation zu erfassen. Ich selbst kann noch nicht ganz von Google Analytics lassen, mit den 5 Plugins sind aber wenigstens einige Dinge abgeschaltet.
Viele Grüße,
Thomas
Hallo Thomas,
danke für Deine Antwort! Ein Nachtrag zu Autoptimize. Es scheint das einzige oder doch zumindest eines der wenigen Plugins zu sein, die wirklich konsequent die Leitungen zu Google bez. der Google Fonts kappt. Es gibt da ja noch einige andere, die da wohl nicht so konseqeunt sind, so jedenfalls Ergebnis meiner Recherche und eigener Ausprobiererei. Erst mit Aktivierung dieser Funktionen wurde mir seitens der bekannten Browseraddons einschl. Entwicklertools angezeigt, dass keine Kommunikation mit Google mehr stattfindet. Als Laie muss und kann ich mich hoffentlich darauf verlassen 😉
Da ich ja mit einem Themeentwickler spreche 😉 Es ist extrem wichtig, dass in einem Theme die Funktion von Hause aus vorgehalten wird, Google Fonts wirklich konsequent auszuschalten. Ich habe mir ja schon längere Zeit vorgenommen, Deine Themes mal näher anzuschauen. Im Moment ist das Vorhaben vertagt, da ich – wie geschrieben – offline bin.
Das Du auf Google Analytics im Moment nicht verzichten möchtest, kann ich absolut nachvollziehen, da Du ja mit Deinem Geschäft auf ausführlichere Statistiken im Sinne des Marketing angewiesen bist. Ich habe ja nur ein kleines Blog, was ich auch nur zum reinen privaten Freizeitvergnügen unterhalte.
Greetz!
Ja, viele der gängigen Plugins zum Entfernen von Google Fonts sind nur für die Default Themes wie TwentySixteen usw. konzipiert. Es ist für ein Plugin generell schwierig, das Einbinden von Google Fonts zu blockieren, weil jedes Theme die Fonts mit einen anderem Style-Handle lädt. Neben Themes binden auch manche Plugins Fonts von Google ein.
Erkennbar sind Google Fonts z.B. in den Chrome Developer Tools im Tab Sources, anhand der URL fonts.googleapis.com und fonts.gstatic.com. Daran lässt sich in der Tat erkennen, ob Google Fonts geladen werden.
In meinen eigenen Themes werden mit den letzten Updates die Fonts inzwischen lokal eingebunden, anstatt von Google zu laden: https://themezee.com/de/2018/04/updates-fuer-die-dsgvo/
Viele Grüße,
Thomas
Und das lokale Hosten bzw. Einbinden der Google Fonts ist lizenzrechtlich unbedenklich? Anders gefragt: was muss man dabei beachten?
Die Lizenz des Fonts muss beachtet und eingehalten werden, bevor er eingebunden wird. Die Lizenz hängt immer vom jeweiligen Font ab.
Die Google Fonts sind fast alle unter der SIL Open Font License lizenziert, welche das Einbinden und Hosten erlaubt. In meinen Themes verweise ich immer in der readme.txt auf die verwendeten Fonts und deren Lizenzen. Eine Übersicht der Lizenzen aller Google Fonts ist unter https://fonts.google.com/attribution zu finden.
Bei anderen Quellen für Fonts muss die Lizenz überprüft werden, oftmals sind diese nämlich nicht Open Source. Eventuell sind Lizenzgebühren nach Seitenaufrufen etc. zu entrichten oder der Font muss für eine kommerzielle Nutzung erworben werden. Auch eine Weitergabe innerhalb eines Theme ist häufig nicht gestattet.
Viele Grüße,
Thomas
Moin Thomas,
Vielen Dank für die Empfehlung des YouTube-Plugins, dafür fehlte mir bislang noch eine komfortable Lösung.
Wenn ich ebenfalls eine Empfehlung aussprechen darf, die vor allem für Websiten interessant sein könnte, die Anzeigen nutzen, dann ist das Privacy Modul von Advanced Ads. Das kann nicht nur Lösungen wie Borlabs Cookie verstehen und Anzeigen in Abnhängigkeit der (nicht) abgegebenen Zustimmung steuern, sondern auch zwischen personalisierten und nichtpersonalisierten AdSense-Anzeigen wechseln.
Wer mehr darüber erfahren will, schaut mal hier: https://wpadvancedads.com/manual/ad-cookie-consent/
Moin Joachim,
Sehr gerne. Vielen Dank für die Ergänzung zu Advanced Ads, dass klingt sehr nützlich für alle, die damit Anzeigen schalten. Ich kann Advanced Ads auch generell zur Verwaltung von Werbeanzeigen weiterempfehlen, tolles Plugin. Das Privacy Modul war mir bisher aber unbekannt.
Viele Grüße,
Thomas
Hallo Thomas,
danke für die wertvolle Tipps! Bei „Embed videos and respect privacy“ ist leider die responsive Umsetzung – je nach Theme – sehr mangelhaft. Vom Ansatz geht das Plugin aber definitiv in die richtige Richtung.
Beste Grüße
David
Hallo David,
Ja, das kann gut sein. Der iFrame für die eingebundenen Videos von Youtube haben beispielsweise eine fest definierte Höhe, weshalb sich auf mobilen Geräten nur die Breite automatisch anpasst. Ich glaube, ich habe das CSS des Plugins auch noch etwas angepasst dafür.
Viele Grüße,
Thomas
Hier mein CSS Code, falls dass hilft 🙂
.video-wrapped {
min-height: 420px !important;
display: flex;
align-items: center;
justify-content: center;
}
.video-wrapped.video-wrapped-clicked {
min-height: 0 !important;
}
.video-wrapped .video-wrapped-play {
margin: 0;
}
LG,
Thomas
Danke für die Tolle Übersicht Thomas!
Bzgl. der Kommentar-IPs kann ich auch https://wordpress.org/plugins/gdpr-comments/ wärmstens empfehlen. Hat zudem noch die Option, eine extra Checkbox hinzuzufügen.
Hallo Tim,
Vielen Dank für den Plugin-Tipp. Die Möglichkeit, Kommentar-IPs zu anonymisieren statt zu löschen, finde ich richtig gut. Sehr schön, dass die Anonymisierung auch für bereits vorhandene Kommentare vorgenommen werden kann.
Viele Grüße,
Thomas
Schöne Übersicht! Ich nutze Remove IP um die IPs erst garnicht zu speichern für die Kommentare! Die alten IPs habe ich dann über eine SQL Query rausgeschmissen. Ich sehe du nutzt noch Analytics – das habe ich durch Matomo / Piwik ersetzt.
Gerne! Vielen Dank für eine weitere Alternative mit Remove IP: https://de.wordpress.org/plugins/remove-ip/
Ja, ich bin relativ gut vertraut mit GAnalytics und analysiere dort auch recht viel und regelmäßig. Insbesondere bei meinem Theme Shop ist die Konfiguration des ganzen Trackings auch aufwendiger und ein schneller Wechsel mit wenigen Klicks gar nicht möglich. Deshalb scheue ich den Umstieg zu einem anderen Tool wie Matomo.
Viele Grüße,
Thomas
Hallo, Thomas,
ich verwende das kostenlose Plugin „Slimstat» anstelle von Google Analytics Dashboard, das laut Hersteller voll DSGVO-kompatibel ist. Ich bin noch nicht mit allen Bereichen vertraut, aber die Reichhaltigkeit der Informationen, die durch diverse Add-Ons erweitert werden kann, scheint mir enorm.
Ist vielleicht einen Blick wert.
Übrigens werde ich bei jedem Aufruf Deiner Site erneut gefragt, ob das Setzen eines Plugins okay ist. AdBlock und uOrigin sind ausgeschaltet.
Lieben Gruss und danke für die vielen hilfreichen Infos,
Olaf
Hallo Olaf,
Vielen Dank für den Tipp zu Slimstat.
Mmh normalerweise sollte das Plugin einen Cookie mit deiner Auswahl setzen, sodass die Cookie Notice kein weiteres Mal angezeigt wird. Das klappt nicht, wenn das Setzen von Cookies in den Browser-Einstellungen verboten wurde oder der Inkognito-Modus des Browsers verwendet wird. Dann taucht die Cookie Notice immer wieder auf.
Eventuell besteht aber auch ein Problem mit dem Caching, dann liegt es tatsächlich am Blog. Werde ich überprüfen, herzlichen Dank für den Hinweis.
Viele Grüße,
Thomas
Ich hatte wegen der Datenschutzproblematik von Gravatar die Profilbilder schon vor dem Wirksam-Werden der DSGVO deaktiviert. Damit der Kommentabereich nicht so nackt wirkte, kam https://wordpress.org/plugins/wp-first-letter-avatar/ zum Einsatz. Das sieht hübsch aus. Leider ist das letzte Update ein Jahr her.
Mit der DSGVO habe ich in meinem reanimierten Blog die Kommentare komplett geschlossen. Dort stoßen so viele Rechte, Pflichten und Missbrauchsmöglichkeiten aufeinander, dass ich die rechtliche Situation erst mal beobachten möchte.
Es gibt mehrere Rechtsgrundlagen für Datenverarbeitung. Alles von einer Einwilligung abhängig zu machen, die man mittels Checkbox einholt, ist für mich keine praktikable Lösung für die Kommentarmoderation.
Vielen Dank für den Tipp zu WP First Letter Avatar, das Plugin kannte ich noch nicht. Super Idee als Alternative zu Gravatar, sieht Klasse aus.
Die Kommentarfunktion ganz abzuschalten wäre mir zu drastisch. Ich gehe davon aus, dass die Kommentare mit der neuen Checkbox von WordPress Core alle datenschutzrechtlichen Vorgaben erfüllen.
Viele Grüße,
Thomas
Ich stimme da dem Vorredner zu. Eigentlich ist eine Checkbox für eine Einverständniserklärung ohne eine halbwegs funktionierende Altersverifikation problematisch. Jedenfalls hat mir das mal ein Fachjurist so erklärt. Klang für mich plausibel, obwohl ich jetzt nicht selbst von Fach bin.
Thomas, an deiner Stelle würde ich das genauso machen. Bei dir wird aber rege kommentiert. Wenn man mit einem Miniblog nur selten Kommentare erwarten kann und ansonsten vom Spambots drangsaliert wird, stehen mit der DSGVO (bürokratischer) Aufwand und Nutzen in keinem akzeptablen Verhältnis mehr.
Ich bin auch nur juristischer Laie. Als Freelancer musste ich mich aber in die Verordnung und Interpretationen einlesen. Die Rechtsgrundlage der Einwilligung scheint am bequemsten. Sie ist aber tückisch. Schon weil eine Einwilligung jederzeit widerrufen werden kann.
Die Altersverifikation, die Jens erwähnt, wird durch die Einwilligung notwendig (Art. 8 DSGVO). Deutschland hat den Spielraum der Verordnung nicht genutzt, die Altersgrenze auf 13 herunterzusetzen. D. h. ein 14-Jähriger kann noch nicht mal eine Nachricht mittels Kontaktformular absenden, wenn man dies als Website-Betreiber explizit von einer Einwilligung in Datenverarbeitung abhängig macht. Was für eine Einschränkung von Freiheit im Netz!
Verständlich, bei seltenen Kommentaren die Kommentarfunktion gleich ganz abzuschalten. Mache ich auf anderen Websites auch 🙂
Das Einwilligungen widerrufen werden können, finde ich nicht schlimm. Auf Wunsch müssen ja auch alle personenbezogene Daten gelöscht werden. Das mit der Altersverifikation ist interessant, wie so oft aber nicht wirklich alltagstauglich 🙂