GDPR/DSGVO: Ein Sieg für datenschutzkonforme Plugins wie „AntispamBee“ – Eine Niederlage für Datenschleudern wie „Akismet“ und „Jetpack“
Die anstehende DSGVO - kurz für Datenschutzgrundverordnung - treibt so manchen Webworker in den Wahnsinn. Aber eins steht ganz gewiss fest: Die wahren Gewinner dieses Gesetzes sind Plugins wie "AntispamBee", die bereits in der Vergangenheit dem Thema Datenschutz einen sehr hohen Stellenwert eingeräumt haben. Hut ab und Glückwunsch: Es zahlt sich aus! Dem gegenüber stehen die Verlierer: Die Datenkraken wie "Akismet" und "Jetpack"!
Es gibt WordPress-Plugins wie Sand am Meer. Doch nur wenige haben sich die Themen Datenschutz und Privatsphäre schon immer auf die Fahne geschrieben. Ironischerweise wird eins der „datenschutzunkonformsten“ Plugins – namentlich „Akismet“ – bereits „ab Werk“ mit WordPress ausgeliefert. Da werden die Kommentare zur Spam-Prüfung inklusive persönlicher Daten direkt zu Automattic geschickt. Ein Schelm, wer Böses dabei denkt.
Es sind die deutschen Plugin-Entwickler, die Lob und Anerkennung verdienen
Gerade Plugins aus Übersee gaben bisher einen feuchten Kehricht auf Themen wie Datenschutz. Alles spießig, viel zu deutsch! A propos Deutschland: Es sind die Deutschen, die sich im Prinzip am wenigsten „krumm biegen“ müssen, um der DSGVO gerecht zu werden. Viel zu wichtig waren die Themen Privatsphäre und Datenschutz bereits in der Vergangenheit. Und es ist auch kein Zufall, dass die datenschutzkonformsten Plugins ebenfalls aus deutschem Lande stammen. Plugins wie „AntispamBee“ zur Kommentar-Moderation oder „Shariff Wrapper“ für das beliebte „Social Sharing“ sind nur zwei Beispiele für hervorragende Plugins, die nicht sofort ohne Unwissen der Nutzer hunderte Kilobytes nach Übersee funken!
Jetpack und Akismet - Am besten gleich deinstallieren!
Wer eine Website in der EU betreibt und künftig auf Nummer sicher gehen will, sollte Plugins wie „Jetpack“ und „Akismet“ einfach schonmal nicht benutzen (der erste Schritt in eine bessere und datenschutzkonformere Welt)!
Akismet - Der Internet Explorer 6 der WordPress-Welt
Mir hat sich angesichts so starker Alternativen wie „AntispamBee“ eh nie wirklich erschlossen was Aksimet auszeichnen soll (der Internet Explorer 6 unter den WordPress-Plugins: Ab Werk ausgeliefert, daher am meisten genutzt und alle Daten werden fleißig denen geschickt, die immer predigen „WordPress gehöre der Foundation und nicht Automattic“).
Jetpack - "Ein Plugin sie zu knechten"
Und was „Jetpack“ anbelangt: Installiert euch lieber ein paar wenige Plugins für die Funktionen, die ihr wirklich braucht. Und nicht „ein Plugin sie zu knechten“ – um dann mittels Schieberegler „drölfzig“ Funktionen wieder auszuschalten. Nicht nur der datenschutz-sensible Besucher, auch wer Wert auf kurze Ladezeiten legt, wird es euch danken!
Alternative Einzel-Plugins "pro Funktionalität" statt Jetpack-Sammlung
Wer lieber einzelne Funktionalitäten „häppchenweise“ hinzufügen möchte, kann auf verschiedene Plugins setzen. Diese Liste ist allerdings nicht vollständig und zeigt nur ein paar Alternativen auf. Gerne können weitere Vorschläge via Kommentarfunktion entsprechend ergänzt werden.
- Statt „Easy Comment Forms“ einfach „Contact Form 7“ einsetzen (kein Charme-Bolzen aber da nichts an Einträgen in die Datenbank geschrieben wird, ist „CF7“ am ehesten „von Haus aus“ datenschutzkonform).
- Statt „Lazy Loading Images“ die entsprechende Alternative „BJ Lazy Load“ einsetzen oder „Crazy Lazy“ des PluginKollektivs
- Statt „Site Stats“ die datenschutzkonforme Alternative „Statify“ nutzen.
- Statt „Related Posts“ die (deutlich bessere) Alternative „YARRP“ einsetzen.
- Statt diverse halbgare „SEO-Funktionen“ (XML Sitemaps, Title Tags, …) zu nutzen, lieber direkt auf den Platzhirschen „YOAST SEO“ setzen.
- Statt „Brute-Force-Attack-Protection“ die deutlich umfangreichere „Ninja Firewall“ einsetzen – oder noch besser: Direkt auf Serverebene mit „Fail2Ban“ (entsprechend also kein WordPress-Plugin) arbeiten.
- Statt „Site Monitoring“ einen externen Dienst wie „Uptime Robot“ nutzen.
- Statt „Site Backups“ ein Plugin wie „BackWPup“ einsetzen oder „Updraft Plus“ – oder auch diesen Job direkt serverseitig abwickeln (insofern die technischen Kenntnisse vorhanden sind).
- Statt „Spam Filtering“ auf das oben genannte „Antispam Bee“ setzen.
- Statt „Site Migration Tool“ lieber via „Duplicator“ eine Seite duplizieren. Eine entsprechende Anleitung habe ich damals „verbloggt“. Nach erfolgter Duplizierung kann Duplicator ja direkt entfernt werden.
Offensichtlich verfolgst Du die Diskussionen zu Jetpack nicht… Oder ignorierst Sie absichtlich.
Jetpack wird der DSGVO angepasst:
https://wptavern.com/jetpack-6-0-takes-steps-towards-gdpr-compliance
Warum nicht gleich WordPress deinstallieren, das derzeit auch noch nicht den Anforderungen der DSGVO entspricht? ;-)
DSGV ist seit 2 Jahren bekannt. Die Kritik am WordPress-Kern ist durchaus berechtigt und teile ich auch. Jetzt werden bei Jetpack also „Erste Schritte“ eingeleitet. Ich verfolge die Sache genau, allerdings sind das vorerst schöne Versprechungen – und es muss sich zeigen wie der Gros der Funktionen dann daenschutzkonform funktionieren sollen (was den Kern von WP anbelangt ist das schon deutlich konkreter ausformuliert). Und ich lasse mich gerne eines Besseren belehren. Kritisieren darf man die Datengier
dennoch (und erst Recht wenn man sich jetzt erst regt).
P. S. Nur so nebenbei: Gravatar in Kommentaren wird nicht mehr erlaubt sein…
Vielen Dank für die Hinweise und Anregungen zum Ersatz der Jetpack- und Akismet-Funktionen mit alternativen Plugins! Habe dazu ein paar Fragen/eine Anmerkung:
1. Zu YARPP: Das will, dass ich meine WP_POSTS Datenbanktabelle von InnoDB auf ein älteres Format umstelle, dass es in der bei mir verwendeten MariaDB schon seit längerem nicht mehr gibt bzw. schon vor Ewigkeiten durch InnoDB ersetzt wurde. Frage mich, was das soll, denn das Ersetzen dieses Formats durch InnoDB scheint ja seine guten Gründe gehabt zu haben. Das ist mir jedenfalls zu risikoreich, so dass meine Leser*innen in Zukunft wohl auf die Funktion ähnlicher Artikel werden verzichten müssen.
2. Für Funktionen wie Likes auf WordPress und das Einloggen mit verschiedenen sozialen Profilen scheint es keine Entsprechungen zu geben, also wird auch das in Zukunft wegfallen.
3. Hat jemand einen Tipp, wie ich das automatische Posten neuer Beiträge nach Twitter realisieren kann? Gibt da zwar wohl einige Plugins, aber entweder sind sie schon alt oder haben schlechte Bewertungen. Oder ich suche falsch. ;) Für einen brauchbaren Tipp wäre ich hier sehr dankbar, würde ungern auf Dienste wie IFTTT zurückgreifen müssen.
Vielen Dank!
Hallo Marco, wir haben YARPP schon oft eingesetzt und das immer mit InnoDB. Auf gar keinen Fall solltest du – vollkommen richtig – auf MyIsam setzen, das macht deine Installation quälend langsam. YARRP selber empfiehlt aber auch InnoDB.
In diesem Zusammenhang verstehe ich auch nicht, warum die REST API standardmäßig offen sein muss bzw. warum man auf Plugins angewiesen ist, diese zu deaktivieren. Meiner Ansicht nach gehört in die WP-Einstellungen eine Option, XML-RPC und REST API zu deaktivieren. (Okay, ich gebe zu: ob das für die nächsten Releases geplant ist, habe ich nicht verfolgt.)
Gebe dir 100% Recht. Die Option fehlt in der Tat.
Statt Yoast SEO empfehle ich das m.E. um längen bessere, ohne lästige Up-Sellings auskommende und performante „SEO Framework“ (https://de.wordpress.org/plugins/autodescription/)!
The SEO Framework ist echt klasse. Wüsste nicht, wieso ich noch Yoast einsetzen sollte.
Mich wundert, wieso es immer noch nicht aus dem Status des Geheintipps herausgekommen ist.
Vielen Dank für den Artikel!
Ich habe bisher immer Jetpack (bzw. die Shortcode Funktion) für meine Rezepte genutzt. Nun habe ich aufgrund der DSGVO aber auch bedenken und würde auf dieses Plugin gerne verzichten. Kennt jemand zufällig eine Alternative zu dem Plugin, das mit den Shortcodes von WordPress funktioniert? Ich würde ungern alle Rezepte in ein komplett neues Plugin einpflegen müssen und schätze die Freiheit nur mit einem Shortcode arbeiten zu können. Meine Recherche hat leider noch nichts vergleichbares ergeben.
Vielen Dank und liebe Grüße
Lena
Dies war mir ja gar nicht bewusst mit Jetpack…… Man lernt immer was dazu bei solch tollen Blogs!
Zu Anfang eine kurze Info für dich. Es fehlt hier in der Kommentar-Funktion eine Einwilligung, dass die Daten gespeichert werden. Dies muss meines Wissens nach für Formulare und Kommentare enthalten sein. So ein Text zum bestätigen der Datenschutzbestimmungen mit setzen eines Hakens.
Jetpack habe ich lange Zeit benutzt, wenn auch nicht alle Funktionen. Mittlerweile habe ich es erst einmal rausgeschmissen und gemerkt, dass mir doch wichtige Sachen fehlen. Ich nutze die Windows-Wordpress-App um Artikel zu schreiben. Das geht jetzt ohne Jetpack nicht mehr. Zudem fehlt die automatische teilen auf Social Media Funktion. (Bislang noch keine gute kostenlose alternative gefunden).
Reicht es nicht einfach das Statistik-Modul zu deaktivieren?
Das ist eigentlich das einzige Modul das ich nutze welches Daten sammelt und an WordPress sendet. Alles andere müsste doch intern (auf dem eigenen Server) laufen. Damit wäre man doch eigentlich save oder?
Für die Statistik nutze ich aktuell Statify obwohl es mir doch etwas zu spartanisch ist. Aber reicht für den Anfang bis das ganze DSGVO Wirrwarr geklärt ist.
Hallo Chris, danke für deinen Kommentar. Meines Wissens reicht es aus die IP des Kommentierendens in WordPress zu „verschleiern“ bzw. löschen zu lassen (das ist bei uns der Fall im Rahmen der Kommentarfunktion). Da man anonymisiert posten kann ohne Login, ist die IP das einzige personengebundene Datum. Anwälte sind wir natürlich nicht. Das würde anders aussehen, wenn wir die IP wiederum speichern und auswerten würden, ja.
Bezüglich deiner Rückfrage mit den Statistiken: Wir nutzen PIWIK/Matobo um die Log-Daten grafisch auszuwerten. Die IP wird so oder so aber anonymisiert. Für das Statistik-Modul muss man Jetpack mit WordPress.com verbinden. Inwiefern da auch Daten fließen wenn man nur ein Modul benutzt, kann ich nicht sagen. Es würde mich allerdings schwer wundern, wenn sich Jetpack da dennoch sehr sparsamverhält ;-) Wunder gibt es bekanntlich aber immer wieder. Vielleicht kannst du es ja mal testen/prüfen und deine Erfahrungen hier veröffentlichen. Wäre eine interessante Information zum Thema. Viele Grüße.
Bezüglich Kontaktformulare habe ich in einem Webinar einer Rechtsanwältin gehört, dass Contact Forms 7 ebenfalls Daten auf US-Servern speichert. Uns wurde damals Ninja Forms empfohlen. Hab seitdem auf fünf Websites überall Ninja Forms am Laufen. Hat auch ein paar mehr Features, die bei CF7 nur per zusätzlichem Plugin möglich sind.
Grüße Sascha
Hi zusammen,
für alle, die sich mit der DSGVO-Konformität von Backups beschäftigen, noch ein Hinweis auf unsere Doku BackWPup, Backups und die DSGVO (https://backwpup.de/doku/backwpup-backups-und-die-dsgvo/), wo wir ausführlich beschreiben, inwiefern Backups DSGVO-konform sind und was wir als Pluginhersteller tun, damit unsere Nutzer ihr Backup konform gestalten :) Und noch ein weiterer Hinweis: Ab der 3.6 Pro Version von BackWPup bieten wir die Möglichkeit an, Backups zu verschlüsseln. Wenn unsere Pro Nutzer ihr Backup also in Clouds hochladen, dann sind sie dort verschlüsselt und können nicht eingesehen werden (für den Fall, dass Fremde Zugriff auf diese Cloud bekommen sollten.) Hier erklären wir ausführlicher, wie das Verschlüsseln funktioniert: https://backwpup.de/doku/wie-kann-ich-backups-verschluesseln-bevor-sie-hochgeladen-werden/
Viele Grüße
Jessie von Inpsyde
Hmm… Lässt sich anstelle des Cookie-Banner-Cookies vielleicht die Info, dass der Nutzer sein Einverständnis gegeben hat, im localStorage speichern?
Hallo Norbert. Das dürfte problemlos funktionieren, da im Cookie an sich ja nur gespeichert werden muss, dass der Banner bereits akzeptiert (oder ggf. verworfen) wurde.