Vermutlich habt ihr es schon mitbekommen: bald tritt die DSGVO in Kraft. In dem Zusammenhang ist es eine gute Idee (wäre es vorher auch schon gewesen, aber man (also ich jedenfalls) hat sich ja nicht so viele Gedanken gemacht wie jetzt …), die Aufrufe externer Ressourcen – und damit die Übertragung der IP-Adresse des Users an einen anderen Server – von einer Website auf zwingend Notwendiges zu reduzieren.
Bei WordPress gibt es mit dem Emoji-Fallback für ältere Browser und der Gravatar-Funktion zwei Aspekte, die oft aktiv sind und Anfragen an einen anderen Server schicken. Nun könnten diese beiden Funktionen natürlich einfach deaktiviert werden, aber es gibt auch andere Wege. Hier stelle ich zwei Plugins vor, die datenschutz-technisch zumindest unbedenklicher sein sollten als die eingebauten Lösungen von WordPress (aber ich bin natürlich kein Anwalt).
Emoji-Fallback-Grafiken vom lokalen Server laden
Wenn ihr mit einem modernen Browser unterwegs seid, werden euch die Emojis direkt als solche angezeigt (?). Nutzt ihr einen älteren Browser ohne Emoji-Unterstützung, wandelt ein von WordPress mitgeliefertes Skript die Emojis in SVG- oder – falls SVG nicht unterstützt wird – PNG-Grafiken um. Standardmäßig werden diese Grafiken von der Domain https://s.w.org
geladen.
Das Plugin Local Emoji liefert diese Fallback-Grafiken vom Twemoji-Projekt mit und ändert die URL, sodass sie von eurem Server eingebunden werden.
Lokale Gravatare
Wenn ein Blog (wie dieses hier) die Gravatar-Funktion nutzt, wird bei jedem Kommentar mit einer Gravatar-verknüpften E-Mail-Adresse ein Bild von den Gravatar-Servern angezeigt – bei allen anderen das eingestellte Dummy-Bild, das ebenfalls von Gravatar geladen wird.
Mit dem Plugin Avatar Privacy werden verschiedene Funktionen mitgebracht:
- lokales Zwischenspeichern der Gravatare, sodass beim Aufruf einer Site keine Anfrage an Gravatar gestellt wird.
- eine Checkbox im Kommentarformular, mit der der User angeben kann, ob er – falls seine E-Mail-Adresse mit Gravatar verknüpft ist – seinen Gravatar anzeigen möchte.
- Die E-Mail-Adressen zur Identifizierung der Gravatar-Bilder werden über SHA256 und einen Salt gehasht, sodass keine Rückschlüsse auf die E-Mail-Adresse gemacht werden können, wie das bei Gravatar.com-URLs möglich ist.
- Auch die Standard-Avatar-Bilder werden vom eigenen Server ausgespielt.
Fazit
Zwei Plugins, die ziemlich problemlos zwei WordPress-Features (hoffentlich) unbedenklich machen, auf die ich ungern verzichten möchte ?
Ob das jetzt wirklich rechtlich notwendig ist, oder ob man den Einsatz von zum Beispiel Gravatar über ein berechtigtes Interesse in der Datenschutzerklärung rechtfertigen kann, kann und will ich nicht beurteilen. Aber es ist alleine schon einfach ein gutes Gefühl, den User bei einem Seitenaufruf mit möglichst wenigen Anfragen »nach außen« zu konfrontieren, wenn es nicht absolut notwendig ist 🙂
könntest du ggf. das Local Emoji übernehmen + aktualisieren?! Das wäre toll <3
Ich werde noch ein bisschen auf eine Antwort im Support-Forum warten und sonst mal per Mail nachfragen, ob ein Update möglich wäre. Falls Kakise es nicht mehr weitermachen möchte und abgeben wollen würde, könnte ich das vielleicht machen, ja 🙂