Akismet ist eines der meistgenutzten WordPress-Plugins überhaupt – und eines der wenigen, das mit dem WordPress automatisch installiert wird. Datenschutztechnisch ist es kritisch. Es gibt konkrete Pflichten, die viele Betreiber übersehen, die es einsetzen.
Am Ende dieses Artikels weißt du, was du in deine Datenschutzerklärung schreiben musst, wo du den Auftragsverarbeitungsvertrag bekommst und ob du einen Cookie-Banner brauchst. Oder lieber zu einer datenschutzfreundlichen Alternative wechselst.
Was ist Akismet?
Akismet ist ein Spam-Filter-Plugin von Automattic, dem Unternehmen hinter WordPress.com. Es prüft automatisch Kommentare, Kontaktformular-Einsendungen, Forum-Beiträge und WooCommerce-Produktbewertungen auf Spam – und zwar nicht lokal, sondern über den Akismet-Dienst in der Cloud. Dafür ist ein API-Schlüssel erforderlich, den du nach der Aktivierung einrichten musst.
Datenschutz und Akismet auf einen Blick
| Punkt | Ergebnis |
|---|---|
| Cookies / Tracking im Frontend | Keine |
| Personenbezogene Besucherdaten | Ja – bei jeder geprüften Einsendung |
| Drittlandtransfer (außerhalb EU) | Ja – USA und weltweit |
| Rechtsgrundlage | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) |
| Auftragsverarbeitungsvertrag (AVV) | Erforderlich |
| Eintrag in Datenschutzerklärung | Erforderlich |
| Cookie-Banner erforderlich | Nein |
Datenverarbeitung
Welche Daten überträgt Akismet – und wohin?
Jedes Mal, wenn jemand auf deiner Website einen Kommentar hinterlässt oder ein Formular absendet, schickt Akismet diese Angaben zur Prüfung an Automattic. Das betrifft folgende Daten:
- IP-Adresse des Einsenders
- User-Agent (Browserkennung)
- Referrer (die Seite, von der der Besucher kam)
- Name, Benutzername und E-Mail-Adresse
- Inhalt des Kommentars oder der Formulareinsendung
Diese Daten werden auf Servern von Automattic gespeichert – weltweit, also auch außerhalb der EU. Akismet gibt an, für solche Übertragungen Standardvertragsklauseln zu nutzen, die unter EU-Datenschutzrecht als Absicherung für Drittlandtransfers anerkannt sind. Die Aufbewahrungsdauer ist kurz: Die meisten spambezogenen Daten werden nach zwei bis neunzig Tagen automatisch gelöscht.
Eine Einstellung, die den Speicherort oder den Datenfluss steuert, gibt es nicht. Wer Akismet nutzt, stimmt diesen Bedingungen zu.
Cookie-Banner
Brauche ich wegen Akismet einen Cookie-Banner?
Nein. Akismet setzt keine Tracking-Cookies und schreibt keine Daten in den Local Storage oder Session Storage des Browsers.
Datenschutzerklärung
Muss Akismet in die Datenschutzerklärung?
Da Akismet Besucherdaten verarbeitet und dabei Daten in die USA überträgt, muss das in der Datenschutzerklärung stehen. Folgende Angaben gehören rein:
- Name und Kontaktdaten von Automattic als Empfänger der Daten
- Welche Daten übertragen werden (IP-Adresse, E-Mail, Name, Kommentarinhalt etc.)
- Zweck der Verarbeitung: Spam-Schutz
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse – Schutz vor Spam)
- Hinweis auf den Drittlandtransfer in die USA und die Absicherung durch Standardvertragsklauseln
- Aufbewahrungsdauer: zwei bis neunzig Tage
- Link zur Datenschutzerklärung von Automattic
Textvorschlag für Datenschutzerklärung
Wir nutzen für unsere Website Akismet, eine Anti-Spam-Lösung für WordPress. Dienstanbieter ist das amerikanische Unternehmen Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA.
Automattic verarbeitet Daten von Ihnen u.a. auch in den USA. Akismet bzw. Automattic ist aktiver Teilnehmer des EU-US Data Privacy Frameworks, wodurch der korrekte und sichere Datentransfer personenbezogener Daten von EU-Bürgern in die USA geregelt wird. Mehr Informationen dazu finden Sie auf https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en.
Zudem verwendet Automattic sogenannte Standardvertragsklauseln (= Art. 46. Abs. 2 und 3 DSGVO). Standardvertragsklauseln (Standard Contractual Clauses – SCC) sind von der EU-Kommission bereitgestellte Mustervorlagen und sollen sicherstellen, dass Ihre Daten auch dann den europäischen Datenschutzstandards entsprechen, wenn diese in Drittländer (wie beispielsweise in die USA) überliefert und dort gespeichert werden. Durch das EU-US Data Privacy Framework und durch die Standardvertragsklauseln verpflichtet sich Automattic, bei der Verarbeitung Ihrer relevanten Daten, das europäische Datenschutzniveau einzuhalten, selbst wenn die Daten in den USA gespeichert, verarbeitet und verwaltet werden. Diese Klauseln basieren auf einem Durchführungsbeschluss der EU-Kommission. Sie finden den Beschluss und die entsprechenden Standardvertragsklauseln u.a. hier: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=de.
Die Datenverarbeitungsbedingungen (Data Processing Agreements), welche auf die Standardvertragsklauseln verweisen, finden Sie unter https://wordpress.com/support/data-processing-agreements/.
Mehr über die Daten, die durch die Verwendung von Akismet bzw. WordPress verarbeitet werden, erfahren Sie in der Datenschutzerklärung auf https://automattic.com/de/privacy/?tid=331778073666.
Auftragsverarbeitung
Brauche ich mit Automattic einen AVV?
Ja. Automattic verarbeitet die Besucherdaten in deinem Auftrag – das ist klassische Auftragsverarbeitung im Sinne der DSGVO, und dafür brauchst du einen Auftragsverarbeitungsvertrag (AVV). Akismet stellt ein Data Processing Addendum bereit, das du über dein WordPress.com-Konto anfordern kannst: im Dashboard unter wordpress.com/me/privacy über den Button „Request a DPA“. Ohne diesen Vertrag fehlt die datenschutzrechtliche Grundlage für die Zusammenarbeit.
Typische Fehler bei Akismet
Der häufigste Fehler: Akismet läuft, aber es fehlt der AVV. Viele Betreiber aktivieren das Plugin, richten den API-Schlüssel ein – und vergessen dann, das Data Processing Addendum bei Automattic anzufordern. Das Formular dafür ist versteckt, aber vorhanden.
Ein weiterer Fehler: Akismet fehlt komplett in der Datenschutzerklärung. Weil das Plugin keine Cookies setzt und unsichtbar im Hintergrund arbeitet, landet es schnell auf der Strecke. Der Drittlandtransfer in die USA macht einen Eintrag aber Pflicht.
Und noch ein Klassiker: Der Datenschutzhinweis unter dem Kommentarformular ist in den Akismet-Einstellungen deaktiviert. Unter WP Admin > Plugins > Akismet Antispam > Settings lässt sich einstellen, ob Besucher sehen, dass Akismet verwendet wird. Das ist kein Ersatz für die Datenschutzerklärung, aber ein sinnvoller Hinweis direkt am Formular.
Alternative
Gibt es eine datenschutzfreundlichere Alternative?
Ja, und die ist gut etabliert: Antispam Bee vom Pluginkollektiv, einer ehrenamtlichen europäischen Entwicklergruppe. Das Plugin prüft Kommentare vollständig lokal auf deinem eigenen Server – es werden keine personenbezogenen Daten an externe Dienste übertragen. Kein API-Schlüssel, kein externer Account, kein Drittlandtransfer, kein AVV.
| Alternative | Vorteil gegenüber Akismet | Hinweis |
|---|---|---|
| Antispam Bee (Pluginkollektiv) | Lokale Verarbeitung, kein Drittlandtransfer, kein AVV nötig, kein Konto erforderlich, kostenlos | Schützt nur WordPress-Kommentare, nicht Kontaktformulare. Die Option „Öffentliche Spamdatenbank berücksichtigen“ deaktiviert lassen – diese sendet IP-Adressen an externe Server. |
Nächste Schritte
Was musst du konkret tun?
- DPA (Auftragsverarbeitungsvertrag) anfordern: Logge dich in dein WordPress.com-Konto ein, gehe zu
wordpress.com/me/privacyund klicke auf „Request a DPA“. - Datenschutzerklärung ergänzen: Trag Akismet mit den oben genannten Pflichtangaben ein – Zweck, Datenfelder, Rechtsgrundlage, Drittlandtransfer, Aufbewahrungsdauer, Link zur Automattic-Datenschutzerklärung.
- Datenschutzhinweis am Formular aktivieren: Gehe in den Akismet-Einstellungen unter
WP Admin > Plugins > Akismet Antispam > Settingszu „Privacy“ und aktiviere den Hinweis unter dem Kommentarformular.
Kostenloser Website-Scan
Prüfe deine eigene Website
Du möchtest wissen, welche Cookies, Tools und externen Verbindungen auf deiner Website auffallen? Datenrein scannt deine Website kostenlos und zeigt dir, welche Punkte du prüfen solltest.
