Jetpack ist eines der meistgenutzten WordPress-Plugins überhaupt – und eines der datenschutzrechtlich aufwändigsten. Schon direkt nach der Installation läuft die Statistikfunktion und überträgt Daten deiner Website-Besucher an Server in den USA. Das zieht mehrere Pflichten nach sich: Datenschutzerklärung, Cookie-Banner und ein Vertrag mit Automattic.
Überblick
Was ist Jetpack?
Jetpack ist ein Plugin des WordPress-Unternehmens Automattic, das viele Funktionen in einem Paket vereint: Besucherstatistiken, Schutz vor Anmeldeversuchen, Bildoptimierung, Kontaktformulare, Newsletter-Abonnements und Social-Media-Anbindung. Das Plugin verbindet deine WordPress-Website mit den Servern von WordPress.com, um diese Funktionen bereitzustellen.
Jetpack – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟡 | Zustimmungspflichtige Cookies nur bei aktivierter Werbefunktion; ohne WordAds keine zustimmungspflichtigen Cookies. |
| Externe Verbindungen | 🔴 | Statistikfunktion ist standardmäßig aktiv und baut Verbindungen zu Automattic-Servern auf; Cookie-Banner erforderlich. |
| Datenschutzerklärung | 🔴 | Jetpack muss in die Datenschutzerklärung; Besucherdaten werden an Automattic übertragen. |
| Drittlandtransfer | 🔴 | Datenübertragung in die USA findet statt; vertraglich durch Standardvertragsklauseln abgesichert. |
| Auftragsverarbeitung | 🔴 | Vertrag mit Automattic erforderlich; abrufbar über WordPress.com-Datenschutzeinstellungen. |
| Benutzereingaben | 🔴 | Formularblock, Newsletter-Abonnements und Kommentarfunktion übertragen Besucherdaten an Automattic. |
Datenverarbeitung
Welche Daten verarbeitet Jetpack und wann?
Jetpack arbeitet anders als die meisten Plugins: Es verbindet deine Website dauerhaft mit den Servern von WordPress.com. Das ist keine optionale Funktion, sondern die Grundlage, auf der fast alles in Jetpack läuft. Sobald jemand eine Seite deiner Website aufruft, überträgt Jetpack über seine standardmäßig aktive Statistikfunktion Daten zu Automattic – dazu gehören die IP-Adresse des Besuchers, der verwendete Browser, die aufgerufene Seite und der Zeitstempel des Besuchs. Das passiert automatisch im Hintergrund, ohne dass der Besucher etwas anklickt.
Dazu kommen Daten, die Jetpack mit WordPress.com synchronisiert: Beiträge, Seiten, Benutzerrollen und Einstellungen deiner Website werden auf Automattic-Servern zwischengespeichert. Das ermöglicht Funktionen wie das Verwalten deiner Website über WordPress.com, aber es bedeutet auch, dass deine Website-Daten dauerhaft außerhalb deines eigenen Servers liegen. Wer außerdem den Formularblock nutzt oder die Newsletter-Funktion aktiviert hat, überträgt auch die Eingaben deiner Besucher – Name, E-Mail-Adresse, Nachrichtentext – direkt an Automattic.
Cookies
Setzt Jetpack Cookies, die eine Zustimmung brauchen?
Jetpack setzt im sichtbaren Bereich deiner Website zustimmungspflichtige Cookies nur dann, wenn du die Werbefunktion WordAds aktiviert hast. In diesem Fall werden zwei Cookies gesetzt: einer speichert, ob ein Besucher aus Kalifornien kommt, der andere hält fest, ob der Besucher gezielter Werbung zugestimmt hat oder nicht. Beide sind zustimmungspflichtig – dein Cookie-Banner muss sie blockieren, bis der Besucher zustimmt.
Ohne aktivierte Werbefunktion setzt Jetpack im Frontend keine zustimmungspflichtigen Cookies. Der Mathe-Captcha-Cookie für den Login-Schutz ist technisch notwendig und braucht keine Zustimmung. Alle weiteren Jetpack-Cookies entstehen ausschließlich im Admin-Bereich und betreffen deine Besucher nicht.
Externe Verbindungen
Baut Jetpack Verbindungen zu externen Servern auf?
Jetpack baut beim Aufruf deiner Website Verbindungen zu Automattic-Servern auf – und das standardmäßig, ohne dass du etwas dafür einschalten musst. Die Statistikfunktion überträgt bei jedem Seitenaufruf Besucherdaten an stats.wp.com und lädt dabei ein unsichtbares Tracking-Pixel nach. Diese Verbindung entsteht automatisch, solange die Statistikfunktion aktiv ist. Dein Cookie-Banner muss diese Verbindung blockieren, bis der Besucher zustimmt – oder du deaktivierst die Statistikfunktion vollständig in den Jetpack-Einstellungen.
Weitere externe Verbindungen entstehen je nach aktivierten Funktionen: Wenn du den Site Accelerator aktiviert hast, liefert Automattic deine Bilder über eigene Server aus – diese Verbindung ist für die Darstellung deiner Website notwendig und darf nicht durch den Cookie-Banner blockiert werden, gehört aber in deine Datenschutzerklärung. Wenn du die Newsletter-Anmeldefunktion von Jetpack nutzt, lädt das Anmeldeformular von widgets.wp.com – direkt beim Anmeldefeld muss ein Hinweis auf deine Datenschutzerklärung stehen.
Nutzt du Jetpack auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um Jetpack gibt.
Benutzereingaben
Was passiert mit Daten, die Besucher in Formulare eingeben?
Jetpack enthält einen Formularblock, der standardmäßig aktiv ist und Daten deiner Besucher direkt an Automattic überträgt. Wer ein Formular auf deiner Website ausfüllt und absendet, schickt Name, E-Mail-Adresse und den eingegebenen Text an Automattic-Server – nicht nur an deinen Hosting-Server.
Gleiches gilt für die Newsletter-Funktion: Wer sich über Jetpack für deinen Newsletter anmeldet, gibt seine E-Mail-Adresse an Automattic weiter. Auch Kommentare, die über die Jetpack-Kommentarfunktion abgegeben werden, landen mit IP-Adresse, Name und E-Mail auf WordPress.com-Servern.
Direkt beim Formular oder Anmeldefeld muss ein Hinweis auf deine Datenschutzerklärung stehen, weil ein Cookie-Banner diese Übertragungen nicht verhindern kann – sie entstehen erst, wenn jemand aktiv etwas eingibt und absendet.
Drittlandtransfer
Werden Daten in die USA übertragen?
Jetpack überträgt Besucherdaten in die USA. Automattic hat seinen Sitz in den USA, und die Statistikdaten sowie die synchronisierten Website-Daten landen auf Servern des Unternehmens außerhalb der EU.
Automattic sichert diesen Transfer durch Standardvertragsklauseln ab – das sind vertragliche Vereinbarungen mit der EU, die Datenschutz-Mindeststandards für solche Übertragungen festlegen. Den entsprechenden Vertrag kannst du in deinen Datenschutz-Einstellungen unter wordpress.com/me/privacy herunterladen. Den USA-Transfer musst du in deiner Datenschutzerklärung erwähnen.
Auftragsverarbeitung
Brauche ich einen Vertrag mit Automattic?
Jetpack verarbeitet Besucherdaten im Auftrag des Website-Betreibers – Statistikdaten, Formularinhalte, Kommentare und synchronisierte Website-Daten landen auf Automattic-Servern.
Das macht einen Vertrag zur Auftragsverarbeitung mit Automattic erforderlich. Automattic stellt diesen Vertrag bereit: Melde dich in deinem WordPress.com-Konto an, öffne die Einstellungen unter wordpress.com/me/privacy und lade den Vertrag dort herunter.
Datenschutzerklärung
Muss Jetpack in die Datenschutzerklärung?
Jetpack muss in die Datenschutzerklärung, weil Besucherdaten an Automattic übertragen werden. Folgende Angaben gehören in den Eintrag:
- Zweck: Statistik und Analyse der Website-Nutzung, Sicherheitsfunktionen, Bereitstellung von Formular- und Newsletter-Funktionen
- Rechtsgrundlage: Einwilligung (für Statistik und Tracking); berechtigtes Interesse (für Sicherheitsfunktionen wie Brute-Force-Schutz)
- Empfänger: Automattic, Inc., USA
- Drittlandtransfer: Datenübertragung in die USA, abgesichert durch Standardvertragsklauseln
- Speicherdauer: Laut Automattic-Datenschutzerklärung nur so lange wie für den jeweiligen Zweck nötig
Dienste, die du über Jetpack einbindest – etwa Google Analytics, Stripe oder andere Zahlungsanbieter – benötigen eigene Einträge in deiner Datenschutzerklärung.
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
Jetpack – Statistiken, Sicherheit und Website-Funktionen
Diese Website nutzt Jetpack, ein Plugin der Automattic, Inc., 60 29th Street #343, San Francisco, CA 94110, USA. Jetpack überträgt bei jedem Seitenaufruf Besucherdaten an Server von Automattic in den USA, darunter IP-Adresse, Browser-Informationen, aufgerufene Seite und Zeitstempel des Besuchs. Dies dient der statistischen Auswertung der Website-Nutzung sowie der Bereitstellung von Sicherheitsfunktionen.
Werden Formulare, Newsletter-Anmeldungen oder Kommentarfunktionen von Jetpack genutzt, werden die dabei eingegebenen Daten (Name, E-Mail-Adresse, Nachrichteninhalt) ebenfalls an Automattic übertragen.
Die Nutzung der Statistikfunktion erfolgt auf Grundlage deiner Einwilligung. Die Datenübertragung in die USA erfolgt auf Grundlage von Standardvertragsklauseln, die mit Automattic abgeschlossen wurden. Mit Automattic wurde ein Vertrag zur Auftragsverarbeitung abgeschlossen. Weitere Informationen zur Datenverarbeitung durch Automattic findest du unter automattic.com/de/privacy.
Drittanbieter
Mit welchen Diensten lässt sich Jetpack verbinden?
Jetpack lässt sich mit einer Vielzahl externer Dienste verbinden, die du gezielt aktivieren kannst. Für Analytics bietet Jetpack eine direkte Anbindung an Google Analytics. Im Bereich Social Media kannst du Jetpack mit Facebook, Instagram, LinkedIn, Tumblr, Bluesky, Threads, Mastodon und Nextdoor verbinden, um Beiträge automatisch zu veröffentlichen.
Für Zahlungen auf deiner Website lässt sich Jetpack mit Stripe und PayPal koppeln. Zur Spam-Abwehr in Formularen und Kommentaren arbeitet Jetpack mit Akismet zusammen, einem weiteren Automattic-Dienst. Für Video-Hosting bietet Jetpack die eigene Funktion VideoPress an.
Alle diese Dienste werden nur aktiv, wenn du sie in den Jetpack-Einstellungen einschaltest. Jeder dieser Dienste benötigt unter Umständen einen eigenen Eintrag in deiner Datenschutzerklärung, sobald du ihn aktivierst.
Alternative
Gibt es eine datenschutzfreundlichere Alternative für die Statistikfunktion?
Für die Statistikfunktion – den häufigsten Einsatzgrund für Jetpack – gibt es eine deutlich datenschutzfreundlichere Alternative: Burst Statistics ist ein kostenloses WordPress-Plugin, das Besucherstatistiken lokal auf deinem eigenen Server speichert. Es überträgt keine Daten an externe Server, setzt keine zustimmungspflichtigen Cookies und schickt nichts in die USA. Installation und Bedienung funktionieren direkt über den WordPress-Adminbereich ohne technische Vorkenntnisse.
Für die übrigen Jetpack-Funktionen – Sicherheit, Backups, Social Sharing, Formulare – gibt es keine einzelne Alternative, die alles auf einmal ersetzt. Für jede dieser Funktionen gibt es aber eigenständige Plugins, die datenschutzfreundlicher arbeiten.
Fehler
Typische Datenschutz-Fehler bei Jetpack
Der häufigste Fehler: Jetpack wird installiert, die Statistikfunktion läuft sofort im Hintergrund – und niemand merkt, dass Besucherdaten bereits in die USA übertragen werden, bevor irgendetwas eingerichtet wurde. Viele Website-Betreiber denken, Jetpack sei ein harmloses Utility-Plugin, das nur im Admin-Bereich arbeitet. Das stimmt nicht: Die Statistikfunktion ist für Besucher unsichtbar, aber sofort aktiv.
Ein weiterer häufiger Fehler ist ein fehlender oder falsch konfigurierter Cookie-Banner. Die Verbindung zu stats.wp.com muss blockiert sein, bis der Besucher zugestimmt hat – viele Cookie-Banner sind nicht so eingestellt, dass sie diese Verbindung erkennen und aufhalten.
Außerdem wird der Vertrag mit Automattic oft vergessen. Das Plugin läuft, die Statistiken werden genutzt, aber der Vertrag wurde nie heruntergeladen und abgeschlossen – obwohl Automattic ihn anbietet und er Pflicht ist.
DSGVO-Check
Woran erkennst du, ob Jetpack auf deiner Website aktiv ist?
Du kannst in deinem Browser prüfen, ob deine Website Verbindungen zu Automattic-Servern aufbaut. Öffne deine Website in einem neuen Browser-Tab, drücke F12 (oder klicke mit der rechten Maustaste und wähle „Untersuchen“), wechsle zum Tab „Netzwerk“ und lade die Seite neu. Siehst du Anfragen an folgende Adressen, ist Jetpack aktiv und überträgt Besucherdaten:
stats.wp.compixel.wp.comwidgets.wp.coms0.wp.com,s1.wp.com,s2.wp.com
Alternativ kannst du einen Datenschutz-Scan durchführen, der diese Verbindungen automatisch erkennt und bewertet.
Quellen und weiterführende Links
- Jetpack – WordPress.org Plugin-Seite
- Jetpack – offizielle Support-Dokumentation
- Jetpack – Cookie-Übersicht
- Jetpack – Datenschutzzentrum
- Jetpack – DSGVO-Informationen und DPA-Abruf
- Automattic – Datenschutzhinweis für Website-Besucher
- Automattic – Datenschutzerklärung
Hast du Jetpack auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um Jetpack gibt – zusammen mit allen anderen Plugins und Diensten, die bei dir aktiv sind.