Euer Datenschutz kotzt mich an – Spam-Schutz in Zeiten der DSGVO

Die neue europäische Datenschutz-Grundverordnung ist dieser Tage in aller Munde. Kaum ein Kundengespräch kommt ohne die ominöse Buchstabenkombination aus. War es jetzt DSVGO, DGSVO oder DSGVO? Scheißegal, ab 25. Mai wird es ernst, was den Datenschutz angeht, und das ist gut so.

Wer jetzt konkrete Handlungsanweisungen von mir erwartet, wird vom folgenden Beitrag enttäuscht werden. Ich interessiere mich ausreichend für das Thema, um meine WordPress-Installationen, die von Freunden, Bekannten und Kunden bis zum 25.5. auf Linie zu bringen, aber mein Interesse reicht nicht aus, mich durch elende Gesetzestexte zu quälen und das ganze hier wiederzukäuen. Das können andere besser. Ich möchte über ein einziges WordPress-Plugin schreiben, das im Moment wieder in vielen Artikeln auftaucht: Antispam Bee.

Antispam Bee ist eines der Plugins, die von einer Gruppe names „Pluginkollektiv” betreut und weiterentwickelt werden. Das Pluginkollektiv besteht aus WordPress-Entwicklerinnen und -Entwicklern, die sich zum Ziel gesetzt haben, die hervorragenden Plugins von Sergej Müller zu pflegen und für die vielen hunderttausend Nutzer auf dem bestmöglichen Stand zu halten. Kleiner Disclaimer: ich selbst gehöre dem Pluginkollektiv an, bin im Folgenden also nicht nur unbeteiligter Dritter.

Der Kniff an Antispam Bee – wie an allen Plugins des Kollektivs: es ist von Anfang für den deutschen und europäischen Datenschutz konzipiert und heute deshalb die perfekten Lösungen für alle, die ihre Seiten etwas konformer mit der DSGVO machen wollen.

Nun ist das Problem mit dem DSGVO-Hype, dass sich jetzt alle, wirklich alle, berufen fühlen, ihr gefährliches Halbwissen ungeprüft in Blog-Beiträge zu gießen. Bestimmt ein dutzend Mal habe ich in den letzen Wochen Beiträge gelesen, die WordPress-Plugins nach ihrer Gefährlichkeit im Hinblick auf die DSGVO bewerten und teilweise auch konkrete Handlungsvorschläge machen.

… another popular solution to fight spam is Antispam Bee

Matt Mullenweg, Q&A WordCamp Europe 2014

Ein Beliebter Vorschlag: Akismet durch Antispam Bee ersetzen – beide Plugins haben sich die Spam-Bekämpfung auf die Fahnen geschrieben. Beide Plugins erreichen dieses Ziel ziemlich zuverlässig. Akismet nutzt dafür eine zentrale Datenbank und ist darauf angewiesen, die Daten von Kommentatorinnen und Kommentatoren an einen fremden Server zu senden um sie dort verarbeiten zu lassen. Antispam Bee wende direkt in WordPress intelligente Spam-Erkennung an und muss daher keine (personenbezogenen) Daten an Dritte weitergeben.

So weit so richtig.

Dann landen wir aber schnell im Land der Illusionen und verworrenen Ideen: häufig lese ich, Antispam Bee sei unter DSGVO-Gesichtspunkten mit Vorsicht zu genießen. Angeführt wird unsere optionale Nutzung einer externen Spam-Datenbank, der Filter nach Ursprungsland des Kommentars sowie die Funktion zum Filtern der Kommentare nach Sprache (auf Basis einer Google API). Schauen wir uns diese Kritik also einmal im Detail an, haben die Autoren hier korrekt recherchiert?

Externe Spam-Datenbank ☠️

Ein Schuss, ein Treffer. Die Nutzung einer externen Spam-Datenbank, wie wir sie aktuell in Antispam Bee anbieten, ist mit der DSGVO bestenfalls problematisch, schlimmsten Falls nicht erlaubt.

Die Funktion ist standardmäßig nicht aktiviert, und auch ohne sie erkennt das Plugin Spam ziemlich zuverlässig. Um eine versehentliche Fehlkonfiguration zu vermeiden, werden wir die Integration dieser Datenbank in Antispam Bee Version 2.8 daher entfernen. 2.8 befindet sich im Moment in der Entwicklung auf Github und wird noch vor dem 25. Mai veröffentlicht werden. Wer nicht so lang warten will und schon heute auf Nummer sicher gehen möchte, sollte die eigenen Einstellungen einmal überprüfen und die Option „Öffentliche Spamdatenbank berücksichtigen” im Zweifelsfall ausschalten.

Länderfilter 👌

Nächste Station: der Länderfilter. Hier geht’s um IP-Adressen und die Länder in denen Menschen wohnen. Da muss es doch ein Problem mit dem Datenschutz geben?

Tatsächlich werden die IP-Adressen für diese Abfragen nur gekürzt verarbeitet und übertragen. Also kein Problem, was den Datenschutz betrifft. IP-Adressen, deren hintere Abschnitte weggekürzt werden, gelten nicht mehr als persönliche Daten.

Sprachfilter 🙆‍♂️

Die letzte höchst verdächtige Funktion auf unserer Liste: der Sprachfilter über die Google API. Bevor wir uns aufregen, weil ich gerade Google gesagt habe: einatmen, ausatmen.

Der Sprach-Check ist ein super effektives Instrument im Werkzeugkasten von Antispam Bee. Wenn ich einen Blog-Beitrag zum Beispiel in deutscher Sprache veröffentliche, kann ich mit großer Sicherheit davon ausgehen, dass ich keine ernsthaften russischen, indischen oder chinesischen Kommentare erhalte. Kommt dennoch ein Kommentar in einer Fremdsprache herein, handelt es sich ziemlich sicher um Spam.

Diese Erkennung können wir (noch) nicht lokal in WordPress vornehmen. Daher müssen wir Daten des Kommentars an Google senden, das die Erkennung für uns übernimmt (ein Dienst, den das Pluginkollektiv bezahlt, damit alle Antispam Bee kostenfrei einsetzen können). Wer hier ein Datenschutzprobleme vermutet, liegt jedoch falsch. Wurde der Sprachfilter aktiviert, werden die ersten zehn Worte jedes Kommentars an den Google Dienst zur Spracherkennung gesendet. Drei Worte des Kommentar-Inhalts. Nicht die E-Mail-Adresse, nicht der Name der kommentierenden Person, nicht die IP-Adresse. Unterm Strich: keine personenbezogenen Daten und damit auch kein Problem.

Fazit

Wer in Antispam Bee aktuell die Überprüfung über eine externe Spam-Datenbank aktiv hat, sollte diese Entweder jetzt deaktivieren, mit dem nächsten Update wird sie sowieso entfallen.

Spread the Word. Freunde lassen Freunde keinen Quatsch über Antispam Bee bloggen 🙂

Hinter den Kulissen arbeitet das Kollektiv derweil fleißig weiter an der optimalen Nutzbarkeit all seiner Plugins. Für diese Arbeit verlangt das Kollektiv nichts, es wird von alleine nicht bei euch anklopfen, euch offensiv um Spenden bitten oder anmerken, wie viele freie Abende für die Arbeit an Plugins  geopfert wurde.  Es freut sich aber dennoch über kleine Spenden, die zur Deckung laufender Kosten immer gerne gesehen sind.

[Update 13.05.2018] Ab sofort steht die erste Beta-Version von Antispam Bee 2.8 zum Testen auf GitHub bereit.

[Update 22.05.2018] Antispam Bee 2.8 ist veröffentlicht und kann über die Plugin-Updates direkt im WordPress-Backend geladen werden. 🎉 Alternativ gibts das Plugin natürlich auch direkt auf WordPres.org. Ihr wollte euch beim Pluginkollektiv bedanken? Hinterlasst eine Bewertung des Plugins ❤️

14 Antworten

  1. […] 9.5.2018: Im Zuge der DSGVO findet auch dieser Beitrag wieder Beachtung. Wie Simon Kraft in einem Blogbeitrag ausführt, sendet Antispam Bee nur die ersten drei Wörter des Kommentars zur Sprachermittlung und ist somit […]

  2. Danke für die Ausführung und Deinen Kommentar.
    Ich weise gerne auf Deinen Artikel hin und das sich hier demnächst was tut.

  3. Super cool, danke für deinen Artikel! Werde ich auf jeden Fall weiter empfehlen!

    Viele Grüße, Bettina

  4. An dieser Stelle Mal vielen Dank für eure Arbeit. Nutze das Plugin seit Jahren und hab nie Probleme gehabt. Weiter so!

  5. […] sendet die IP-Adresse an externe Server. Diese Option muss daher deaktiviert werden. Der Entwickler hat versprochen diese Option in Antispam Bee 2.8 komplett zu […]

  6. Das nenn ich mal qualifiziert. Vielen Dank dafür. Habe eben Antispam Bee installiert.

  7. Vielen Dank für Deine Erläuterungen, die ich auf jeden Fall noch weiter verbreiten werde. Und ja….mich kotzt er auch an, der so genannte Datenschutz 😉

  8. Hoi 🙂

    Zitat: „Wurde der Sprachfilter aktiviert, werden die ersten zehn Worte jedes Kommentars an den Google Dienst zur Spracherkennung gesendet. Drei Worte des Kommentar-Inhalts.“

    Frage: Was nun, drei oder zehn Worte?

    Und noch was: Auf Github steht, dass ihr dafür den Dienst franc verwendet. Ist das noch aktuell?

    Abschliessend: Ich find die Antispam-Biene supertoll und hab‘ die gerne im Einsatz. Ich hoffe, das länger zurückliegende Update lässt nicht darauf schliessen, dass das Plugin versandet…

    1. Hej, ich sollte wohl mal wieder ein Update an diesen Artikel schreiben 😅

      In der Tat haben wir den Google-Dienst zur Spracherkennung in der Zwischenzeit komplett aus dem Plugin geworfen, dementsprechend werden dafür mittlerweile weder drei noch zehn Worte an Google übertragen 🙂

      Und dass wir mal 4 Monate kein Update haben ist nicht super ungewöhnlich, wir sind definitiv noch lange nicht am Ende.

  9. […] Mit Antispam Bee bist du in Sachen DSGVO auf der sicheren Seite. Weder speichert es personenbezogene Daten, noch sendet es sie irgendwo in die Weltgeschichte. Bei Simon findest du mehr Details über Antispam Bee und die DSGVO. […]

  10. […] Wie das mit der DSGVO genau aussieht ​kannst du hier nachlesen.​​​ […]

  11. Ich weiß, der Beitrag ist ein wenig älter, aber ich hätte eine Idee um das IP Problem zu umgehen:
    Wordpress übermittelt mehrere (sagen wir 5) IP Adressen, von denen 4 zufällig generiert werden und nur eine die IP des Kommentierenden ist. Der Server gibt zu jeder IP den Spam-Wert zurück.
    Da nur das lokale WordPress weiß, welche die zu untersuchende IP ist, findet die Verareitung lokal mit einem „berechtigtem Interesse“ statt.

    Natürlich müsste diese Idee noch einmal von einem obersten Datenschützer oder einem Anwalt abgenickt werden.

    1. Hi Gino,
      das wäre sicher eine Möglichkeit, differential Privacy ist da das Stichwort. Trotzdem kann ich mir da mehrere Fallstricke vorstellen, weil natürlich trotzdem noch ein personenbezogenes Datum verarbeitet wird.
      Zum Glück zeigt die Praxis, dass Antispam Bee uneingeschränkt ohne das Verarbeiten von IP-Adressen funktioniert, daher werden wir uns in diese Richtung erstmal keine Sorgen mehr machen müssen.

    Mentions

  • 💬 Antispam Bee, DSGVO u. WordPress-Sicherheit – WP Letter

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert