All-In-One Security ist eines der meistgenutzten Sicherheitsplugins für WordPress – und für die meisten Websites datenschutzrechtlich gut handhabbar. Das Plugin speichert IP-Adressen und Sicherheitsereignisse auf deinem eigenen Server, ohne sie an TeamUpdraft oder andere Drittanbieter weiterzugeben.
Sobald du aber Google reCAPTCHA oder Cloudflare Turnstile aktivierst, ändert sich das: Dann fließen Daten deiner Besucher zu Diensten in den USA, und du brauchst entsprechende Einträge in deiner Datenschutzerklärung.
Überblick
Was ist All-In-One Security (AIOS)?
All-In-One Security ist ein Sicherheitsplugin für WordPress von TeamUpdraft. Es schützt deine Website vor unberechtigten Zugriffsversuchen, Spam-Kommentaren und verdächtigen Aktivitäten – unter anderem mit einer Firewall, einem Login-Schutz, einem Audit-Log und optionalen CAPTCHA-Funktionen für Formulare und Loginseiten.
All-In-One Security und Datenschutz im Überblick
| Cookies | Kein Tracking-Cookie; ein Sicherheitscookie für den Login-Schutz wird gesetzt. |
| Externe Verbindungen | Nur bei aktivierten CAPTCHA-Integrationen (Google reCAPTCHA, Cloudflare Turnstile). |
| Datenschutzerklärung | Erforderlich – IP-Adressen werden verarbeitet, bei CAPTCHA-Integrationen kommen weitere Pflichtangaben hinzu. |
| Drittlandtransfer | Nur bei aktiviertem Google reCAPTCHA oder Cloudflare Turnstile (USA). |
| Auftragsverarbeitung | Nicht erforderlich; TeamUpdraft erhält keine Besucherdaten. |
| Eingaben durch Besucher | Loginformular, Registrierung, Passwort-vergessen, Kommentare und CAPTCHA-Eingaben werden durch das Plugin überwacht. |
Datenverarbeitung
Welche Daten verarbeitet All-In-One Security?
All-In-One Security greift auf Daten zurück, die beim Besuch deiner Website ohnehin entstehen – vor allem IP-Adressen. Das Plugin nutzt sie, um Angriffe zu erkennen:
- zu viele Loginversuche hintereinander,
- Anfragen an nicht vorhandene Seiten (404-Fehler),
- Spam-Kommentare aus bestimmten Quellen
- Zugriffe aus Ländern, die du blockieren möchtest.
Diese Ereignisse werden in einem Sicherheitsprotokoll gespeichert, das du im WordPress-Adminbereich einsehen kannst. Der entscheidende Punkt: Alle diese Daten bleiben auf deinem eigenen Hosting-Server. TeamUpdraft bekommt sie nicht – die Verarbeitung läuft komplett bei dir ab.
Das ändert sich, wenn du Google reCAPTCHA oder Cloudflare Turnstile aktivierst. Diese CAPTCHA-Dienste prüfen, ob ein Besucher ein Mensch oder ein Bot ist – und schicken dafür Daten an Google bzw. Cloudflare, deren Server in den USA stehen.
Cookies
Setzt All-In-One Security Cookies?
All-In-One Security setzt keinen Tracking-, Statistik- oder Marketing-Cookie.
Das Plugin dokumentiert einen Sicherheitscookie, der im Zusammenhang mit dem cookiebasierten Login-Schutz gesetzt wird: Wenn du diese Funktion aktivierst, erhalten nur Besucher mit dem richtigen geheimen Link einen Cookie, der ihnen den Zugang zur WordPress-Loginseite erlaubt – alle anderen werden blockiert. Dieser Cookie dient ausschließlich dem Zugriffsschutz und erfasst kein Surfverhalten. Ein Cookie-Banner ist für diesen Cookie nicht erforderlich.
Externe Verbindungen
Baut All-In-One Security externe Verbindungen auf?
All-In-One Security baut externe Verbindungen auf, wenn du eine der CAPTCHA-Integrationen aktivierst.
Bei Google reCAPTCHA verbindet sich deine Website mit Servern von Google – konkret mit www.google.com und www.gstatic.com. Bei Cloudflare Turnstile läuft die Verbindung über challenges.cloudflare.com. Diese Verbindungen entstehen automatisch, sobald eine Seite mit einem CAPTCHA-Feld geladen wird – also bevor ein Besucher irgendetwas eingibt oder zustimmt.
Das bedeutet: Wenn du Google reCAPTCHA oder Cloudflare Turnstile nutzt, braucht dein Cookie-Banner eine Einwilligung, bevor diese Verbindungen starten dürfen. Alternativ kannst du auf das in AIOS integrierte Mathe-CAPTCHA umstellen – das funktioniert ohne externe Verbindung.
Nutzt du AIOS,All-In-One Security auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um AIOS,All-In-One Security gibt.
Benutzereingaben
Welche Eingaben von Besuchern verarbeitet All-In-One Security?
All-In-One Security überwacht mehrere Formulare auf deiner WordPress-Website: das Loginformular mit Benutzername oder E-Mail-Adresse und Passwort, das Registrierungsformular, das Passwort-vergessen-Formular und den Kommentarbereich.
Das Plugin greift nicht auf die eingegebenen Inhalte selbst zu, sondern beobachtet das Verhalten – etwa wie oft jemand ein falsches Passwort eingibt oder von welcher IP-Adresse viele fehlgeschlagene Loginversuche kommen. Wenn du CAPTCHA aktivierst, kommt zusätzlich die CAPTCHA-Prüfung dazu, bei der Verhaltensdaten des Besuchers an den jeweiligen CAPTCHA-Anbieter übermittelt werden.
Drittlandtransfer
Überträgt All-In-One Security Daten in die USA?
All-In-One Security überträgt Besucherdaten in die USA, wenn du Google reCAPTCHA oder Cloudflare Turnstile aktiviert hast. Die Kerndaten des Plugins – also IP-Adressen und Sicherheitsereignisse – bleiben auf deinem Hosting-Server und verlassen die EU nicht.
Die Drittland-Übertragung entsteht ausschließlich durch die optionalen CAPTCHA-Integrationen: Google und Cloudflare sind US-amerikanische Unternehmen, deren Server für die CAPTCHA-Prüfung eingebunden werden. Wenn du diese Integrationen deaktivierst und stattdessen das Mathe-CAPTCHA von AIOS nutzt, entsteht kein Drittland-Transfer.
Auftragsverarbeitung
Brauche ich mit TeamUpdraft einen Vertrag zur Auftragsverarbeitung?
TeamUpdraft erhält keine Besucherdaten von deiner Website – alle Sicherheitslogs und IP-Adressen bleiben auf deinem eigenen Hosting-Server. Ein Vertrag zur Auftragsverarbeitung mit TeamUpdraft ist für die Nutzung von All-In-One Security daher nicht erforderlich.
Wenn du Google reCAPTCHA oder Cloudflare Turnstile aktivierst, verarbeiten diese Anbieter Besucherdaten in ihrem Namen. Google und Cloudflare stellen dafür eigene Nutzungsbedingungen und Datenschutzdokumente bereit.
Datenschutzerklärung
Was muss ich wegen All-In-One Security in die Datenschutzerklärung schreiben?
All-In-One Security muss in deine Datenschutzerklärung, weil das Plugin IP-Adressen deiner Besucher verarbeitet. Die Pflichtangaben im Überblick:
- Zweck: Schutz der Website vor unbefugten Zugriffen, Brute-Force-Angriffen, Spam und verdächtigen Aktivitäten.
- Rechtsgrundlage: Berechtigtes Interesse – der Schutz einer Website vor Angriffen ist ein anerkannter Grund, IP-Adressen ohne Einwilligung zu verarbeiten.
- Berechtigtes Interesse: Sicherheit und Verfügbarkeit der Website.
- Empfänger: keine Weitergabe an Dritte; die Daten bleiben auf deinem Hosting-Server.
- Drittlandtransfer: nicht zutreffend für die Kern-Sicherheitsfunktionen.
- Speicherdauer: Abhängig von den Einstellungen deines Sicherheitslogs; du solltest eine angemessene Frist festlegen und in der Datenschutzerklärung angeben.
Wenn du Google reCAPTCHA oder Cloudflare Turnstile aktiviert hast, brauchst du zusätzliche Einträge für diese Dienste: Empfänger (Google LLC bzw. Cloudflare, Inc.), Drittland-Transfer in die USA sowie Einwilligung als Rechtsgrundlage – weil diese Verbindungen beim Laden der Seite entstehen und nicht für den Betrieb der Website selbst notwendig sind.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu All-In-One Security?
Als vergleichbar umfassendes WordPress-Sicherheitsplugin ist Wordfence Security eine direkte Alternative – mit Firewall, Malware-Scan und Login-Schutz. Wordfence kommuniziert allerdings mit eigenen Servern für Signaturen und Updates, was eigene Datenschutzfragen aufwirft.
Wenn es dir darum geht, externe Verbindungen bei AIOS zu vermeiden, ist die einfachste Lösung ein Wechsel innerhalb des Plugins: Statt Google reCAPTCHA oder Cloudflare Turnstile das eingebaute Mathe-CAPTCHA aktivieren – das funktioniert vollständig ohne externe Verbindung und ohne Drittland-Transfer.
Fehler
Typische Datenschutzfehler bei All-In-One Security
Der häufigste Fehler: Google reCAPTCHA oder Cloudflare Turnstile ist aktiviert, aber der Cookie-Banner blockiert diese Verbindungen nicht – und in der Datenschutzerklärung fehlen die entsprechenden Einträge. Viele Website-Betreiber aktivieren CAPTCHA einmal für den Login-Schutz und vergessen danach, was damit datenschutzrechtlich ausgelöst wird.
Ein zweiter häufiger Fehler: All-In-One Security fehlt komplett in der Datenschutzerklärung. Weil das Plugin im Hintergrund läuft und keine sichtbaren Elemente auf der Website erzeugt, wird es oft übersehen – obwohl IP-Adressen der Besucher verarbeitet werden.
Ein dritter Fehler betrifft die Speicherdauer: Das Sicherheitsprotokoll sammelt Einträge, ohne dass eine Löschfrist eingestellt ist. Wenn du keine Speicherdauer in den AIOS-Einstellungen festlegst, stapeln sich Einträge auf unbestimmte Zeit – und deine Datenschutzerklärung kann dann keine genaue Angabe dazu machen.
DSGVO-Check
Woran erkenne ich, ob All-In-One Security auf meiner Website aktiv ist?
All-In-One Security verrät sich nicht durch einen eigenen Cookie-Namen oder eine erkennbare externe Domain – die Kerndaten des Plugins verarbeitet dein Hosting-Server intern. Einen eindeutigen Hinweis im Browser wirst du bei der reinen AIOS-Installation daher nicht finden.
Anders sieht es bei den optionalen CAPTCHA-Integrationen aus: Wenn deine Website Verbindungen zu www.google.com, www.gstatic.com oder challenges.cloudflare.com aufbaut, kann das auf ein aktives Google reCAPTCHA oder Cloudflare Turnstile hinweisen – nicht zwingend von AIOS, aber ein klares Signal, dass eine CAPTCHA-Integration läuft.
Am zuverlässigsten prüfst du das mit einem Datenschutz-Scan, der deine Website direkt analysiert und externe Verbindungen beim Seitenaufruf aufzeichnet.
Hast du AIOS,All-In-One Security auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um AIOS,All-In-One Security gibt – zusammen mit allen anderen Plugins und Diensten, die bei dir aktiv sind.