Akismet blockt Spam – und schickt dabei Besucherdaten in die USA

Akismet ist das meistgenutzte Anti-Spam-Plugin für WordPress und auf vielen Websites standardmäßig vorinstalliert. Aus Datenschutzsicht bringt es einige konkrete Aufgaben mit: Kommentardaten fließen zu Automattic in die USA, ein Vertrag mit dem Anbieter ist nötig, und die Datenschutzerklärung muss ergänzt werden. Cookies setzt Akismet dabei nicht.

Überblick

Was ist Akismet?

Akismet prüft jeden Kommentar, der auf deiner Website abgesendet wird, automatisch auf Spam. Dazu schickt das Plugin die Kommentardaten an einen externen Dienst von Automattic, der sie mit einer weltweiten Spam-Datenbank abgleicht und zurückmeldet, ob der Kommentar veröffentlicht werden soll oder nicht. Das Plugin wird von Automattic Inc. entwickelt – dem Unternehmen hinter WordPress.com.

Akismet – DSGVO-Risiko

KriteriumRisikoEinschätzung
Cookies🟢Akismet setzt keine Cookies im sichtbaren Bereich der Website.
Externe Verbindungen🔴Kommentardaten werden beim Absenden serverseitig an Automattic übertragen.
Datenschutzerklärung🔴Eigener Eintrag in der Datenschutzerklärung erforderlich.
Drittlandtransfer🔴Daten werden auf US-Servern von Automattic verarbeitet.
Auftragsverarbeitung🔴Vertrag mit Automattic als Auftragsverarbeiter nötig.
Benutzereingaben🔴Kommentarinhalt, IP-Adresse, E-Mail und weitere Daten werden übertragen.

Datenverarbeitung

Welche Daten verarbeitet Akismet?

Jedes Mal, wenn jemand auf deiner Website einen Kommentar absendet, schickt Akismet diesen Kommentar im Hintergrund an die Server von Automattic. Dort wird geprüft, ob es sich um Spam handelt, und das Ergebnis wird zurück an deine Website geschickt.

Das passiert serverseitig – der Besucher merkt davon nichts, der Kommentar wird einfach gefiltert. Was dabei übertragen wird: der Kommentarinhalt, der Name, die E-Mail-Adresse und die Website-URL des Kommentierenden, dazu die IP-Adresse, Browser-Informationen und der Zeitpunkt der Eingabe.

Akismet speichert diese Daten für zwei Wochen bis zu 90 Tage auf eigenen Servern und löscht sie danach automatisch.

Akismet und DSGVO: Datenübertragung zu Automattic-Servern in den USA
Wenn ein Besucher einen Kommentar abschickt, überträgt Akismet die Kommentardaten serverseitig an Automattic in den USA – ein Cookie-Banner kann diese Übertragung nicht blockieren.

Cookies

Setzt Akismet Cookies?

Akismet setzt keine Cookies im sichtbaren Bereich deiner Website. Das Plugin lädt ein kleines Skript, das ausschließlich den optionalen Datenschutzhinweis unter dem Kommentarformular anzeigt – mehr passiert dabei nicht. Dein Cookie-Banner muss für Akismet nichts blockieren.

Externe Verbindungen

Baut Akismet Verbindungen zu externen Servern auf?

Akismet überträgt Kommentardaten an die Server von Automattic unter der Domain rest.akismet.com. Diese Verbindung entsteht nicht beim Seitenaufruf, sondern erst dann, wenn jemand das Kommentarformular tatsächlich absendet.

Ein Cookie-Banner kann diese Verbindung nicht blockieren – die Daten sind zu dem Zeitpunkt bereits auf dem Weg. Direkt beim Kommentarformular sollte ein Hinweis auf deine Datenschutzerklärung stehen, in der du Akismet beschreibst. Außerdem brauchst du einen Vertrag mit Automattic.

Akismet auf deiner Website? DSGVO-Check in 60 Sekunden.

Gib deine Domain ein und sieh sofort, was los ist.

→ Datenschutz-Check starten

Benutzereingaben

Welche Eingaben von Besuchern verarbeitet Akismet?

Wenn ein Besucher auf deiner Website einen Kommentar abschickt, erfasst Akismet folgende Daten und überträgt sie an Automattic:

  • Kommentarinhalt
  • Name des Kommentierenden
  • E-Mail-Adresse
  • Website-URL (falls angegeben)
  • IP-Adresse
  • Browser-Informationen (Browsertyp und Betriebssystem)
  • Herkunftsseite (welche Seite der Besucher zuletzt besucht hat)
  • Zeitpunkt der Eingabe

Diese Daten landen bei Automattic in den USA und werden dort zur Spam-Prüfung verwendet.

Drittlandtransfer

Werden Kommentardaten in die USA übertragen?

Akismet überträgt Kommentardaten auf Server von Automattic in den USA und anderen Ländern außerhalb der EU. Automattic gibt an, diese Übertragung auf Basis eines EU-Standardvertrags durchzuführen – einem Abkommen, das die EU als zulässige Grundlage für solche Datenübertragungen anerkennt.

Dieser Standardvertrag ist Teil des Vertrags, den du mit Automattic abschließt. In deiner Datenschutzerklärung musst du auf diesen Transfer hinweisen.

Auftragsverarbeitung

Brauche ich einen Vertrag mit Automattic?

Akismet verarbeitet personenbezogene Daten deiner Website-Besucher im Auftrag – das macht einen Auftragsverarbeitungsvertrag mit Automattic zur Pflicht. Automattic stellt diesen Vertrag kostenlos bereit.

So schließt du ihn ab: Melde dich bei wordpress.com an, gehe unter deinem Profil auf „Datenschutz“ und scrolle zum Abschnitt „Datenverarbeitungsvereinbarung“. Klicke dort auf den Knopf zum Anfordern des Vertrags. Automattic schickt dir den Vertrag per E-Mail. Unterschreibe ihn und schicke ihn an privacypolicyupdates@automattic.com zurück.

Datenschutzerklärung

Muss Akismet in die Datenschutzerklärung?

Akismet muss in die Datenschutzerklärung, weil das Plugin personenbezogene Daten deiner Besucher an Automattic in die USA überträgt. Folgende Angaben gehören in den Eintrag:

  • Zweck: Schutz vor Spam-Kommentaren
  • Rechtsgrundlage: Berechtigtes Interesse (Schutz der Website vor unerwünschten Inhalten)
  • Empfänger: Automattic Inc., USA
  • Drittlandtransfer: Datenübertragung in die USA auf Basis eines EU-Standardvertrags
  • Speicherdauer: Automattic speichert die Daten zwischen 14 Tagen und 90 Tagen

Textvorschlag für deine Datenschutzerklärung

Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.

Akismet – Spam-Schutz für Kommentare

Diese Website nutzt Akismet, einen Dienst der Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA, zum Schutz vor Spam-Kommentaren. Wenn du einen Kommentar auf dieser Website abschickst, werden dein Kommentarinhalt, dein Name, deine E-Mail-Adresse, deine IP-Adresse sowie Browser- und Gerätedaten an Server von Automattic in den USA und anderen Ländern übertragen und dort auf Spam-Merkmale geprüft. Automattic speichert diese Daten für bis zu 90 Tage.

Grundlage für die Verarbeitung ist unser berechtigtes Interesse, die Website vor unerwünschten Inhalten zu schützen. Die Übertragung in die USA erfolgt auf Basis eines EU-Standardvertrags. Mit Automattic besteht ein Auftragsverarbeitungsvertrag. Weitere Informationen findest du in der Datenschutzerklärung von Akismet unter akismet.com/privacy.

Alternative

Gibt es eine datenschutzfreundlichere Alternative zu Akismet?

Antispam Bee vom Pluginkollektiv ist eine datenschutzfreundliche Alternative, die vollständig ohne Übertragung von Daten an Dritte auskommt. Das Plugin prüft Kommentare direkt auf deinem Server – mit einem Honeypot-Verfahren, das versteckte Felder im Kommentarformular nutzt, die nur Bots ausfüllen. Für deine Besucher ändert sich nichts.

Antispam Bee ist komplett kostenlos, auch für kommerzielle Websites. Im Gegensatz zu Akismet überträgt Antispam Bee keine Daten in die USA und braucht keinen Auftragsverarbeitungsvertrag.

Fehler

Typische Datenschutz-Fehler bei Akismet

Der häufigste Fehler ist ein fehlender Vertrag mit Automattic. Akismet ist auf vielen WordPress-Installationen standardmäßig vorinstalliert und aktiv – viele Betreiber wissen gar nicht, dass das Plugin läuft und Daten überträgt. Prüfe daher, ob Akismet auf deiner Website aktiv ist, und schließe den Vertrag mit Automattic ab, bevor du das Plugin weiter nutzt.

Ein zweiter häufiger Fehler ist eine unvollständige Datenschutzerklärung: Wer Akismet einsetzt, aber keinen eigenen Eintrag dazu hat, dem fehlt gegenüber Besuchern eine gesetzlich vorgeschriebene Information. Und direkt beim Kommentarformular sollte ein kurzer Hinweis stehen – zum Beispiel: „Mit dem Absenden dieses Kommentars werden deine Daten zur Spam-Prüfung an Akismet übertragen. Mehr dazu in unserer Datenschutzerklärung.“

DSGVO-Check

Wie erkenne ich, ob Akismet auf meiner Website aktiv ist?

Akismet verrät sich nicht über Cookies oder externe Verbindungen beim Seitenaufruf – die Datenübertragung findet erst statt, wenn ein Kommentar abgesendet wird. Den zuverlässigsten Hinweis findest du direkt in deinem WordPress-Adminbereich: Gehe auf „Plugins“ und schau, ob „Akismet Anti-Spam“ dort aufgelistet und aktiviert ist. Wenn du dir unsicher bist, ob auf deiner Website weitere Datenschutz-Probleme vorliegen, kannst du deine Website automatisch prüfen lassen.

Quellen und weiterführende Links

Dein DSGVO-Ergebnis in 60 Sekunden?

Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.

→ Datenschutz-Check starten

Sofia

Dipl.-Informatikerin, Webentwicklerin seit 2006 und Autorin bei Packt Publishing. Mit datenrein.de helfe ich WordPress-Betreibern, Datenschutz-Probleme zu erkennen und zu lösen – ohne Juristendeutsch und ohne Technik-Kauderwelsch.