Elfsight ist praktisch: Ein Widget einbetten, fertig. Aber hinter dem Komfort steckt eine externe Verbindung in die USA, die beim Laden der Seite automatisch entsteht, und je nach Widget eine ganze Kette weiterer Drittanbieter mit eigenen Cookies. Das macht Elfsight zu einem der datenschutzintensiveren Tools für WordPress-Websites – nicht weil es bösartig ist, sondern weil du als Website-Betreiber einiges selbst klären und einrichten musst.
Überblick
Was ist Elfsight?
Elfsight ist ein externer Dienst, der fertige Widgets für Websites bereitstellt: Bewertungsboxen, Social-Media-Feeds, Formulare, Chats, Karten, Kalender, Mediengalerien und vieles mehr. Du bindest ein kurzes Skript in deine Website ein, und Elfsight lädt das Widget von seinen eigenen Servern nach.
Elfsight und Datenschutz im Überblick
| Cookies | Elfsight selbst setzt nur ein technisches Cookie – Einwilligung kann trotzdem nötig sein, wenn du Widgets mit Drittanbieter-Cookies (z. B. YouTube, Facebook) nutzt. |
| Externe Verbindungen | Elfsight lädt beim Seitenaufruf ein Skript von elfsightcdn.com – Einwilligung der Besucher erforderlich. |
| Datenschutzerklärung | Elfsight muss in der Datenschutzerklärung genannt werden. |
| Drittlandtransfer | Elfsight überträgt Daten in die USA (Google Cloud, Standort Kalifornien). |
| Auftragsverarbeitung | Kein dokumentierter Auftragsverarbeitungsvertrag gefunden – kein Vertrag abschließbar. |
| Eingaben durch Besucher | Abhängig vom Widget – Formular-, Chat- und Buchungswidgets verarbeiten Benutzereingaben |
Datenverarbeitung
Welche Daten verarbeitet Elfsight – und wo landen sie?
Sobald ein Besucher eine Seite mit einem Elfsight-Widget öffnet, baut sein Browser eine Verbindung zu Elfsight-Servern auf.
Dabei übermittelt Elfsight mindestens IP-Adresse, Betriebssystem und Browsertyp. Diese Angaben speichert Elfsight 7 Tage, nach eigener Aussage zur Fehlerbehebung und zum Schutz vor Missbrauch. Das passiert bei jedem Widget-Aufruf, unabhängig davon, ob der Besucher etwas eingibt oder nur die Seite betrachtet.
Für Widgets mit Eingabefeldern – etwa Kontaktformulare, Buchungsmasken oder Abonnement-Formulare – werden eingegebene Inhalte zusätzlich auf Google-Cloud-Servern gespeichert. Elfsight selbst nennt in einer Community-Antwort Kalifornien, USA, als Speicherort. Das bedeutet: Besucherdaten verlassen die EU, sobald das Widget aktiv ist.
Cookies
Setzt Elfsight Cookies auf meiner Website?
Elfsight selbst setzt das Cookie elfsight_viewed_recently. Es läuft nach 15 Sekunden ab und dient technisch dazu, Mehrfachzählungen von Widget-Aufrufen zu verhindern – kein Tracking-Cookie.
Ob du für Elfsight trotzdem eine Einwilligung für Cookies brauchst, hängt davon ab, welche Widgets du einsetzt. Sobald du ein Widget nutzt, das Inhalte von Facebook, YouTube, Instagram, TikTok oder ähnlichen Plattformen lädt, können diese Plattformen eigene Cookies setzen – und die sind nicht technisch, sondern erfordern die Zustimmung deiner Besucher.
Elfsight weist selbst darauf hin, dass Facebook-, YouTube- und Tumblr-Widgets eigene Cookies dieser Plattformen auslösen können. Wenn du nur Widgets ohne externe Plattformen nutzt – etwa ein einfaches Formular oder eine Bewertungsbox ohne Social-Verbindung – brauchst du für Cookies keine Einwilligung.
Externe Verbindungen
Welche externen Verbindungen baut Elfsight auf?
Elfsight lädt bei jedem Seitenaufruf das Plattform-Skript von elfsightcdn.com. Diese Verbindung entsteht automatisch beim Laden der Seite und dabei werden IP-Adresse und Gerätedaten an Server außerhalb der EU übertragen. Das ist ohne Einwilligung nicht erlaubt.
Zusätzlich zu diesen Elfsight-eigenen Verbindungen bauen bestimmte Widgets direkte Verbindungen zu Drittplattformen auf: Ein Google-Maps-Widget verbindet sich mit Google-Servern und lädt dabei automatisch auch Google Fonts nach. Social-Feed-Widgets bauen direkte Verbindungen zu Facebook, Instagram, TikTok, YouTube oder anderen Plattformen auf. Bewertungswidgets verbinden sich mit Google Reviews, Yelp, Tripadvisor oder ähnlichen Diensten.
Diese Verbindungen laufen nicht über Elfsight, sondern direkt zwischen dem Browser deines Besuchers und der jeweiligen Plattform – zusätzlich zur Elfsight-Verbindung.
Nutzt du Elfsight auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um Elfsight gibt.
Benutzereingaben
Welche Eingaben können Besucher in Elfsight-Widgets machen?
Ob Besucher Daten eingeben können, hängt davon ab, welches Elfsight-Widget du einsetzt. Ein reines Bewertungs-Widget oder ein Social-Feed zeigt nur Inhalte an.
Sobald du aber ein Formular-, Chat-, Buchungs- oder Abstimmungs-Widget nutzt – etwa Form Builder, Contact Form, Subscription Form, Appointment Booking oder AI Chatbot – können Besucher personenbezogene Daten eingeben: Name, E-Mail-Adresse, Telefonnummer, Nachrichten oder andere Angaben.
Diese Eingaben werden auf Elfsight-Servern gespeichert, nach eigener Aussage auf Google Cloud mit Standort in den USA. Wenn du ein solches Widget verwendest, trägst du als Website-Betreiber die Verantwortung dafür, dass Besucher darüber informiert sind – und dass du weißt, wie du diese Daten einsehen, exportieren oder löschen kannst.
Drittlandtransfer
Überträgt Elfsight Daten in die USA?
Elfsight überträgt Besucherdaten in die USA. Elfsight hat seinen Sitz in Andorra, speichert Daten aber auf Google Cloud mit Standort Kalifornien, USA. Damit verlassen Daten deiner Website-Besucher die EU, sobald ein Elfsight-Widget auf deiner Seite aktiv ist.
In deiner Datenschutzerklärung musst du diesen Transfer in die USA benennen.
Auftragsverarbeitung
Muss ich mit Elfsight einen Auftragsverarbeitungsvertrag abschließen?
Elfsight verarbeitet bei bestimmten Widgets personenbezogene Daten deiner Besucher – zum Beispiel Formulareingaben oder Gerätedaten. Normalerweise wäre dafür ein Auftragsverarbeitungsvertrag mit dem Anbieter nötig.
Für Elfsight wurde kein öffentlich dokumentierter Prozess gefunden, über den Website-Betreiber einen solchen Vertrag abschließen können. Elfsight weist in seiner Community darauf hin, dass individuelle rechtliche Vereinbarungen auf Anfrage möglich sein können.
Ein Standardprozess, der für normale Website-Betreiber zugänglich und belastbar ist, ist nicht dokumentiert.
Datenschutzerklärung
Was muss in die Datenschutzerklärung, wenn ich Elfsight nutze?
Elfsight muss in deiner Datenschutzerklärung genannt werden. Die nötigen Angaben:
- Zweck: Einbindung externer Widgets (z. B. Formulare, Bewertungen, Social Feeds) über den Dienst Elfsight.
- Rechtsgrundlage: Einwilligung der Website-Besucher.
- Empfänger: Elfsight, SL, Andorra.
- Drittlandtransfer: Daten werden auf Google-Cloud-Servern in den USA (Kalifornien) gespeichert.
- Speicherdauer: Laut Elfsight werden Verbindungsdaten wie IP-Adresse, Betriebssystem und Browsertyp 7 Tage gespeichert. Bei Widgets mit Formulareingaben hängt die Speicherdauer von den Widget-Einstellungen ab.
Falls du Widgets mit Eingabefeldern nutzt, ergänze, welche Daten dabei konkret erhoben werden – also etwa Name, E-Mail-Adresse oder Nachrichteninhalt.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu Elfsight?
Eine einzelne Alternative, die alle Elfsight-Widgets ersetzt, gibt es nicht. Elfsight bietet sehr viele verschiedene Widget-Typen an, und je nachdem, was du davon nutzt, gibt es unterschiedliche WordPress-nahe Alternativen, die ohne externe Cloud-Server auskommen:
- Für Formulare: WPForms, Forminator oder Contact Form 7 – speichern Eingaben auf deinem eigenen Server.
- Für Kalender und Veranstaltungen: The Events Calendar.
- Für die Anzeige von Google-Bewertungen bietet sich Rich Showcase for Google Reviews an.
Social Feeds, Bewertungsboxen von externen Plattformen oder Messenger-Chats lassen sich oft ohne externe Dienste nicht sinnvoll ersetzen, weil die Daten von diesen Plattformen stammen.
Fehler
Typische Fehler beim Einsatz von Elfsight
Der häufigste Fehler: Das Elfsight-Skript lädt beim Seitenaufruf sofort, obwohl kein Cookie-Banner vorhanden ist oder der Banner Elfsight nicht blockiert. Damit baut die Website externe Verbindungen in die USA auf, ohne dass Besucher zugestimmt haben.
Ein zweiter verbreiteter Fehler ist, dass nur Elfsight selbst im Cookie-Banner eingetragen ist, aber die durch das Widget mitgeladenen Drittanbieter – etwa Google Maps, Facebook oder YouTube – nicht separat aufgeführt werden. Diese können eigene Cookies setzen, die ebenfalls einer Einwilligung bedürfen.
Dazu kommt oft, dass Widgets mit Formularen genutzt werden, ohne dass die Datenschutzerklärung beschreibt, welche Daten dort erhoben werden und wo sie gespeichert werden.
Und schließlich: Wer mehrere Elfsight-Widgets auf verschiedenen Seiten einbindet, verliert leicht den Überblick, welche Drittanbieter dadurch aktiv werden – besonders wenn Widgets nachträglich gewechselt oder ergänzt werden.
DSGVO-Check
Wie erkennst du, ob Elfsight auf deiner Website aktiv ist?
Elfsight verrät sich über eine externe Verbindung und ein Cookie, die du direkt im Browser prüfen kannst.
Im Browser-Entwicklerwerkzeug (Tab „Netzwerk“) siehst du, ob deine Website beim Laden eine Verbindung zu elfsightcdn.com aufbaut. Wenn ja, ist Elfsight aktiv und die Verbindung wird hergestellt, bevor ein Besucher irgendetwas anklickt.
Im Browser-Entwicklerwerkzeug (Tab „Anwendung“ → Cookies) oder in einem Cookie-Test-Tool kannst du nach dem Cookie elfsight_viewed_recently suchen. Wenn es gesetzt wird, bevor du dem Cookie-Banner zugestimmt hast, ist dein Banner falsch konfiguriert.
Ein Datenschutz-Scan prüft diese Verbindungen und Cookies automatisch für dich – zusammen mit allen anderen aktiven Plugins und Diensten auf deiner Website.
Hast du Elfsight auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um Elfsight gibt – zusammen mit allen anderen Plugins und Diensten, die bei dir aktiv sind.