Ghost Kit und Datenschutz: Harmlos als Plugin, problematisch durch die falschen Blocks

Ghost Kit ist als Plugin selbst datenschutzrechtlich unauffällig. Kein eigenes Tracking, keine externen Verbindungen, keine Cookies. Der Haken liegt in den Blocks: Sobald du Google Maps, YouTube-Videos, GIFs von Giphy oder ein Kontaktformular auf deiner Website platzierst, entstehen Verbindungen zu externen Diensten – und dann wird es datenschutzrechtlich relevant.

Überblick

Was ist Ghost Kit?

Ghost Kit ist ein Plugin für den WordPress-Editor, das über 25 zusätzliche Inhaltsblöcke bereitstellt. Du kannst damit Spalten-Layouts, Akkordeons, Tabs, Karussells, Preistabellen, Countdown-Timer, Kontaktformulare und eingebettete Karten oder Videos in deine Seiten einbauen. Das Plugin wird von Devoice LLC angeboten und ist kostenlos verfügbar, mit einer optionalen kostenpflichtigen Pro-Version.

Ghost Kit – DSGVO-Risiko

KriteriumRisikoEinschätzung
Cookies🟢Ghost Kit setzt selbst keine Cookies für Website-Besucher.
Externe Verbindungen🟡Nur wenn du Blocks wie Google Maps, YouTube, Giphy oder GitHub Gist verwendest.
Datenschutzerklärung🟡Nötig, wenn du das Kontaktformular-Block einsetzt.
Drittlandtransfer🟢Ghost Kit selbst überträgt keine Daten in Länder außerhalb der EU.
Auftragsverarbeitung🟢Devoice LLC verarbeitet keine Besucherdaten – kein Vertrag nötig.
Benutzereingaben🟡Nur wenn du den Kontaktformular-Block auf deiner Website verwendest.

Datenverarbeitung

Was macht Ghost Kit aus Datenschutzsicht?

Ghost Kit selbst ist datenschutzrechtlich ein leeres Werkzeugkasten: Das Plugin lädt auf deiner Website keine externen Skripte, setzt keine Cookies und schickt keine Daten irgendwohin. Es stellt dir nur Bausteine zur Verfügung. Ob diese Bausteine datenschutzrelevant werden, hängt davon ab, welche Blocks du tatsächlich auf deinen Seiten einsetzt.

Sobald du bestimmte Blöcke platzierst, ändert sich das Bild:

  • Der Google Maps Block baut beim Laden der Seite eine Verbindung zu Googles Servern auf.
  • Der GIF-Block lädt Inhalte von Giphy.
  • Der Video-Block bettet YouTube- oder Vimeo-Videos ein.
  • Der GitHub-Gist-Block lädt Inhalte von GitHub.
  • Und wenn du das Kontaktformular mit Google reCAPTCHA aktivierst, entsteht beim Seitenaufruf ebenfalls eine Verbindung zu Google.

All diese Verbindungen entstehen nicht durch Ghost Kit selbst, sondern weil du den jeweiligen Block verwendet hast.

Wer Ghost Kit ausschließlich für Layout-Zwecke nutzt – also Spalten, Akkordeons, Tabs, Buttons, Countdown-Timer und ähnliche Elemente – hat aus Datenschutzsicht nichts zu beachten.

Ghost Kit und Datenschutz: Datenübertragung zu externen Diensten je nach verwendetem Block
Ghost Kit selbst überträgt keine Daten – sobald du aber Blocks wie Google Maps, YouTube oder das Kontaktformular verwendest, muss dein Cookie-Banner diese Verbindungen blockieren oder direkt beim Formular ein Datenschutzhinweis stehen.

Cookies

Setzt Ghost Kit Cookies?

Ghost Kit setzt selbst keine Cookies für deine Website-Besucher. Du brauchst deinen Cookie-Banner nicht wegen Ghost Kit anzupassen. Cookies entstehen nur, wenn du Blöcke verwendest, die externe Dienste einbinden – zum Beispiel Google reCAPTCHA im Kontaktformular oder YouTube im Video-Block. Diese Cookies stammen dann von den jeweiligen Drittanbietern, nicht von Ghost Kit selbst.

Externe Verbindungen

Baut Ghost Kit Verbindungen zu externen Diensten auf?

Ghost Kit selbst baut keine externen Verbindungen auf. Externe Verbindungen entstehen aber, wenn du bestimmte Blocks auf deinen Seiten platzierst. Konkret betrifft das folgende Blocks:

  • Google Maps Block: Beim Laden der Seite wird eine Verbindung zu maps.googleapis.com aufgebaut. Dein Cookie-Banner muss diese Verbindung blockieren, bis der Besucher zustimmt.
  • GIF-Block: Inhalte werden direkt von giphy.com geladen. Dein Cookie-Banner muss diese Verbindung blockieren, bis der Besucher zustimmt.
  • GitHub Gist Block: Code-Schnipsel werden von gist.github.com geladen. Dein Cookie-Banner muss diese Verbindung blockieren, bis der Besucher zustimmt.
  • Video-Block mit YouTube oder Vimeo: Beim Laden der Seite entsteht eine Verbindung zu www.youtube.com oder vimeo.com. Dein Cookie-Banner muss diese Verbindung blockieren, bis der Besucher zustimmt.
  • Kontaktformular mit reCAPTCHA: Wenn du im Formular-Block die reCAPTCHA-Option aktivierst, wird beim Laden der Seite eine Verbindung zu www.google.com/recaptcha aufgebaut. Dein Cookie-Banner muss diese Verbindung blockieren, bis der Besucher zustimmt.

Nutzt du Ghost Kit ausschließlich für Layout-Blocks wie Spalten, Akkordeons oder Buttons, entstehen keine externen Verbindungen.

Ghost Kit auf deiner Website? DSGVO-Check in 60 Sekunden.

Gib deine Domain ein und sieh sofort, was los ist.

→ Datenschutz-Check starten

Benutzereingaben

Verarbeitet Ghost Kit Eingaben von Website-Besuchern?

Ghost Kit verarbeitet Benutzereingaben, wenn du den Kontaktformular-Block auf einer Seite einsetzt. Besucher können dort Felder wie Name, E-Mail-Adresse, Telefonnummer, Betreff oder eine Nachricht ausfüllen. Diese Daten schickt WordPress dann als E-Mail an dich weiter – über den Mailserver deines Webhostings, nicht über einen externen Dienst. Das bedeutet: Ein Cookie-Banner hilft hier nicht, weil die Verbindung erst entsteht, wenn jemand das Formular absendet. Direkt beim Formular muss ein Hinweis auf deine Datenschutzerklärung stehen. Wer den Kontaktformular-Block nicht verwendet, hat mit diesem Punkt nichts zu tun.

Drittlandtransfer

Werden durch Ghost Kit Daten in Länder außerhalb der EU übertragen?

Ghost Kit selbst überträgt keine Daten in Länder außerhalb der EU. Datenübertragungen in die USA entstehen aber, wenn du Blöcke verwendest, die externe Dienste einbinden – etwa Google Maps, YouTube, Giphy, GitHub oder Google reCAPTCHA. Diese Übertragungen gehen auf das Konto der jeweiligen Drittanbieter, nicht auf Ghost Kit.

Auftragsverarbeitung

Brauche ich einen Vertrag mit Devoice LLC?

Devoice LLC, der Anbieter von Ghost Kit, verarbeitet keine Daten deiner Website-Besucher. Das Plugin läuft vollständig auf deinem eigenen Server – es schickt keine Besucherdaten an Devoice LLC. Du brauchst keinen Vertrag mit Devoice LLC.

Datenschutzerklärung

Muss Ghost Kit in die Datenschutzerklärung?

Ghost Kit selbst muss nicht in deine Datenschutzerklärung. Das Plugin verarbeitet keine Besucherdaten und stellt keine externe Verbindung her. Einen eigenen Eintrag für Ghost Kit brauchst du nicht.

Anders sieht es aus, wenn du den Kontaktformular-Block verwendest: Dann verarbeitest du Kontaktdaten deiner Website-Besucher, und das muss in deiner Datenschutzerklärung stehen. Die relevanten Angaben dafür:

  • Zweck: Bearbeitung von Kontaktanfragen.
  • Rechtsgrundlage: Einwilligung oder berechtigtes Interesse.
  • Empfänger: Nur du als Website-Betreiber. Die Daten werden nicht an Dritte weitergegeben.
  • Drittlandtransfer: Keiner – die Daten bleiben auf deinem Hosting-Server.
  • Speicherdauer: bis zur abschließenden Bearbeitung der Anfrage oder nach den gesetzlichen Aufbewahrungsfristen.

Textvorschlag für deine Datenschutzerklärung

Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.

Kontaktformular

Wenn du das Kontaktformular auf dieser Website verwendest, werden die von dir eingetragenen Daten – darunter Name, E-Mail-Adresse und deine Nachricht – ausschließlich zur Bearbeitung deiner Anfrage verarbeitet. Die Daten werden per E-Mail an uns weitergeleitet und auf dem Server unseres Webhostings gespeichert. Eine Weitergabe an Dritte findet nicht statt.

Die Daten werden gelöscht, sobald deine Anfrage abschließend bearbeitet ist, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Verarbeitung erfolgt auf Grundlage deiner Einwilligung beziehungsweise unseres berechtigten Interesses an der Beantwortung von Kontaktanfragen.

Hinweis: Die Blocks für Google Maps, YouTube, Giphy, GitHub Gist und Google reCAPTCHA binden externe Dienste ein, die jeweils eigene Einträge in deiner Datenschutzerklärung benötigen.

Drittanbieter

Mit welchen externen Diensten verbindet sich Ghost Kit?

Ghost Kit stellt mehrere Blocks bereit, die externe Dienste direkt einbinden. Der Google Maps Block lädt Karten über die Google Maps API – dafür ist ein Google-API-Schlüssel erforderlich. Der GIF-Block ruft animierte Bilder von Giphy ab, einem US-amerikanischen Bilddienst. Der Video-Block kann YouTube- oder Vimeo-Videos einbetten, je nachdem, welche URL du im Block angibst. Der GitHub Gist Block zeigt Code-Schnipsel direkt von GitHub an. Und im Kontaktformular-Block lässt sich Google reCAPTCHA aktivieren, das beim Laden der Seite eine Verbindung zu Google aufbaut.

Über die Typografie-Einstellungen von Ghost Kit kannst du Google Fonts für deine Website auswählen. Wenn du das tust, lädt dein Browser die Schriften direkt von Googles Servern – auch das ist eine externe Verbindung, die im Cookie-Banner blockiert werden muss.

Alle diese Verbindungen entstehen nur dann, wenn du den jeweiligen Block tatsächlich auf einer Seite platzierst oder die entsprechende Einstellung aktivierst. Die Blöcke für Spalten, Tabs, Akkordeons, Buttons, Countdown und ähnliche Layout-Elemente verbinden sich nicht mit externen Diensten.

Alternative

Gibt es eine datenschutzfreundlichere Alternative zu Ghost Kit?

Eine direkte Alternative, die denselben Funktionsumfang bietet und in allen Datenschutzfeldern besser abschneidet, gibt es nicht. Vergleichbare Gutenberg-Block-Plugins wie Spectra oder Kadence Blocks bieten ebenfalls optionale Blocks für Google Maps, Videos und Formulare – und haben damit dieselben potenziellen Datenschutzfragen. Der Unterschied liegt nicht im Plugin, sondern in den Blocks, die du verwendest. Wer bei Ghost Kit auf die Blocks mit externen Diensten verzichtet, hat datenschutzrechtlich nichts zu beanstanden.

Fehler

Typische Datenschutzfehler bei Ghost Kit

Der häufigste Fehler ist, einen Block mit externen Verbindungen auf einer Seite zu platzieren und den Cookie-Banner nicht entsprechend einzurichten. Wer zum Beispiel eine Google Maps Karte einbettet, muss seinen Cookie-Banner so konfigurieren, dass die Karte erst nach Zustimmung des Besuchers geladen wird. Passiert das nicht, baut die Website beim Seitenaufruf eine unkontrollierte Verbindung zu Google auf.

Ein weiterer Fehler passiert beim Kontaktformular: Das Formular steht auf der Seite, aber in der Datenschutzerklärung fehlt der Eintrag zur Kontaktformular-Verarbeitung – oder direkt beim Formular gibt es keinen Hinweis auf die Datenschutzerklärung. Beides ist zu ergänzen.

Wer das reCAPTCHA im Formular-Block aktiviert und es vergisst, trägt damit eine dauerhafte Verbindung zu Google in seine Website ein, ohne es zu bemerken. Es lohnt sich, nach der Ersteinrichtung zu prüfen, welche Optionen im Formular-Block tatsächlich aktiv sind.

DSGVO-Check

So erkennst du, ob Ghost Kit externe Verbindungen aufbaut

Ghost Kit selbst verrät sich nicht durch eigene Cookie-Namen oder externe Domains. Ob auf deiner Website problematische Blocks aktiv sind, lässt sich am einfachsten mit einem Datenschutz-Scan prüfen, der deine Website direkt analysiert. Der Scan zeigt dir, ob deine Seiten Verbindungen zu Domains wie maps.googleapis.com, giphy.com, gist.github.com, www.youtube.com, vimeo.com oder www.google.com/recaptcha aufbauen. Wenn eine dieser Domains auftaucht, ist ein entsprechender Ghost Kit Block aktiv und du musst deinen Cookie-Banner darauf einstellen.

Quellen und weiterführende Links

Dein DSGVO-Ergebnis in 60 Sekunden?

Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.

→ Datenschutz-Check starten

Sofia

Dipl.-Informatikerin, Webentwicklerin seit 2006 und Autorin bei Packt Publishing. Mit datenrein.de helfe ich WordPress-Betreibern, Datenschutz-Probleme zu erkennen und zu lösen – ohne Juristendeutsch und ohne Technik-Kauderwelsch.