Euer Datenschutz kotzt mich an – Spam-Schutz in Zeiten der DSGVO

Die neue europäische Datenschutz-Grundverordnung ist dieser Tage in aller Munde. Kaum ein Kundengespräch kommt ohne die ominöse Buchstabenkombination aus. War es jetzt DSVGO, DGSVO oder DSGVO? Scheißegal, ab 25. Mai wird es ernst, was den Datenschutz angeht, und das ist gut so.

Wer jetzt konkrete Handlungsanweisungen von mir erwartet, wird vom folgenden Beitrag enttäuscht werden. Ich interessiere mich ausreichend für das Thema, um meine WordPress-Installationen, die von Freunden, Bekannten und Kunden bis zum 25.5. auf Linie zu bringen, aber mein Interesse reicht nicht aus, mich durch elende Gesetzestexte zu quälen und das ganze hier wiederzukäuen. Das können andere besser. Ich möchte über ein einziges WordPress-Plugin schreiben, das im Moment wieder in vielen Artikeln auftaucht: Antispam Bee.

Antispam Bee ist eines der Plugins, die von einer Gruppe names „Pluginkollektiv” betreut und weiterentwickelt werden. Das Pluginkollektiv besteht aus WordPress-Entwicklerinnen und -Entwicklern, die sich zum Ziel gesetzt haben, die hervorragenden Plugins von Sergej Müller zu pflegen und für die vielen hunderttausend Nutzer auf dem bestmöglichen Stand zu halten. Kleiner Disclaimer: ich selbst gehöre dem Pluginkollektiv an, bin im Folgenden also nicht nur unbeteiligter Dritter.

Der Kniff an Antispam Bee – wie an allen Plugins des Kollektivs: es ist von Anfang für den deutschen und europäischen Datenschutz konzipiert und heute deshalb die perfekten Lösungen für alle, die ihre Seiten etwas konformer mit der DSGVO machen wollen.

Nun ist das Problem mit dem DSGVO-Hype, dass sich jetzt alle, wirklich alle, berufen fühlen, ihr gefährliches Halbwissen ungeprüft in Blog-Beiträge zu gießen. Bestimmt ein dutzend Mal habe ich in den letzen Wochen Beiträge gelesen, die WordPress-Plugins nach ihrer Gefährlichkeit im Hinblick auf die DSGVO bewerten und teilweise auch konkrete Handlungsvorschläge machen.

… another popular solution to fight spam is Antispam Bee

Matt Mullenweg, Q&A WordCamp Europe 2014

Ein Beliebter Vorschlag: Akismet durch Antispam Bee ersetzen – beide Plugins haben sich die Spam-Bekämpfung auf die Fahnen geschrieben. Beide Plugins erreichen dieses Ziel ziemlich zuverlässig. Akismet nutzt dafür eine zentrale Datenbank und ist darauf angewiesen, die Daten von Kommentatorinnen und Kommentatoren an einen fremden Server zu senden um sie dort verarbeiten zu lassen. Antispam Bee wende direkt in WordPress intelligente Spam-Erkennung an und muss daher keine (personenbezogenen) Daten an Dritte weitergeben.

So weit so richtig.

Dann landen wir aber schnell im Land der Illusionen und verworrenen Ideen: häufig lese ich, Antispam Bee sei unter DSGVO-Gesichtspunkten mit Vorsicht zu genießen. Angeführt wird unsere optionale Nutzung einer externen Spam-Datenbank, der Filter nach Ursprungsland des Kommentars sowie die Funktion zum Filtern der Kommentare nach Sprache (auf Basis einer Google API). Schauen wir uns diese Kritik also einmal im Detail an, haben die Autoren hier korrekt recherchiert?

Externe Spam-Datenbank ☠️

Ein Schuss, ein Treffer. Die Nutzung einer externen Spam-Datenbank, wie wir sie aktuell in Antispam Bee anbieten, ist mit der DSGVO bestenfalls problematisch, schlimmsten Falls nicht erlaubt.

Die Funktion ist standardmäßig nicht aktiviert, und auch ohne sie erkennt das Plugin Spam ziemlich zuverlässig. Um eine versehentliche Fehlkonfiguration zu vermeiden, werden wir die Integration dieser Datenbank in Antispam Bee Version 2.8 daher entfernen. 2.8 befindet sich im Moment in der Entwicklung auf Github und wird noch vor dem 25. Mai veröffentlicht werden. Wer nicht so lang warten will und schon heute auf Nummer sicher gehen möchte, sollte die eigenen Einstellungen einmal überprüfen und die Option „Öffentliche Spamdatenbank berücksichtigen” im Zweifelsfall ausschalten.

Länderfilter 👌

Nächste Station: der Länderfilter. Hier geht’s um IP-Adressen und die Länder in denen Menschen wohnen. Da muss es doch ein Problem mit dem Datenschutz geben?

Tatsächlich werden die IP-Adressen für diese Abfragen nur gekürzt verarbeitet und übertragen. Also kein Problem, was den Datenschutz betrifft. IP-Adressen, deren hintere Abschnitte weggekürzt werden, gelten nicht mehr als persönliche Daten.

Sprachfilter 🙆‍♂️

Die letzte höchst verdächtige Funktion auf unserer Liste: der Sprachfilter über die Google API. Bevor wir uns aufregen, weil ich gerade Google gesagt habe: einatmen, ausatmen.

Der Sprach-Check ist ein super effektives Instrument im Werkzeugkasten von Antispam Bee. Wenn ich einen Blog-Beitrag zum Beispiel in deutscher Sprache veröffentliche, kann ich mit großer Sicherheit davon ausgehen, dass ich keine ernsthaften russischen, indischen oder chinesischen Kommentare erhalte. Kommt dennoch ein Kommentar in einer Fremdsprache herein, handelt es sich ziemlich sicher um Spam.

Diese Erkennung können wir (noch) nicht lokal in WordPress vornehmen. Daher müssen wir Daten des Kommentars an Google senden, das die Erkennung für uns übernimmt (ein Dienst, den das Pluginkollektiv bezahlt, damit alle Antispam Bee kostenfrei einsetzen können). Wer hier ein Datenschutzprobleme vermutet, liegt jedoch falsch. Wurde der Sprachfilter aktiviert, werden die ersten zehn Worte jedes Kommentars an den Google Dienst zur Spracherkennung gesendet. Drei Worte des Kommentar-Inhalts. Nicht die E-Mail-Adresse, nicht der Name der kommentierenden Person, nicht die IP-Adresse. Unterm Strich: keine personenbezogenen Daten und damit auch kein Problem.

Fazit

Wer in Antispam Bee aktuell die Überprüfung über eine externe Spam-Datenbank aktiv hat, sollte diese Entweder jetzt deaktivieren, mit dem nächsten Update wird sie sowieso entfallen.

Spread the Word. Freunde lassen Freunde keinen Quatsch über Antispam Bee bloggen 🙂

Hinter den Kulissen arbeitet das Kollektiv derweil fleißig weiter an der optimalen Nutzbarkeit all seiner Plugins. Für diese Arbeit verlangt das Kollektiv nichts, es wird von alleine nicht bei euch anklopfen, euch offensiv um Spenden bitten oder anmerken, wie viele freie Abende für die Arbeit an Plugins  geopfert wurde.  Es freut sich aber dennoch über kleine Spenden, die zur Deckung laufender Kosten immer gerne gesehen sind.

[Update 13.05.2018] Ab sofort steht die erste Beta-Version von Antispam Bee 2.8 zum Testen auf GitHub bereit.

[Update 22.05.2018] Antispam Bee 2.8 ist veröffentlicht und kann über die Plugin-Updates direkt im WordPress-Backend geladen werden. 🎉 Alternativ gibts das Plugin natürlich auch direkt auf WordPres.org. Ihr wollte euch beim Pluginkollektiv bedanken? Hinterlasst eine Bewertung des Plugins ❤️