WordPress-Emojis wirken harmlos, sind aber datenschutztechnisch nicht ganz so unsichtbar, wie viele Websitebetreiber denken. Erstens speichert WordPress im Browser einen Session-Eintrag (sowas wie temporäres Cookie). Zweitens kann bei fehlender Emoji-Unterstützung eine Verbindung zur Domain https://s.w.org aufgebaut werden.
Am Ende dieses Artikels weißt du, ob du die Funktion aktiv lassen willst oder sie lieber deaktivierst.
Was sind WordPress-Emojis?
Emojis sind kleine Zeichenbilder, die du in Beiträgen, Seiten, Kommentaren oder Titeln verwenden kannst. WordPress bringt dafür eine eigene Emoji-Unterstützung mit, damit auch ältere Browser Emojis korrekt anzeigen können.
Dafür lädt WordPress im Frontend ein Emoji-Script und dieser liegt nicht auf deiner Website. Moderne Browser brauchen diese Hilfe meistens nicht mehr, weil sie Emojis selbst darstellen können.
Datenschutz und WordPress-Emojis auf einen Blick
| Frage | Einordnung |
|---|---|
| Rechtsgrundlage | Für die reine Darstellung kommt berechtigtes Interesse nach Artikel 6 Absatz 1 Buchstabe f Datenschutz-Grundverordnung in Betracht. Das heißt: Du brauchst einen nachvollziehbaren Grund für die technische Verarbeitung. |
| Einwilligung | Nein. |
| Auftragsverarbeitungsvertrag | Nein. |
| Drittland | Ja, denn s.w.org liegt wahrscheinlich in den USA. |
| Risiko | Niedrig bis mittel. Kritisch ist nicht das Emoji selbst, sondern die mögliche externe Verbindung ohne Einwilligung. |
Datenverarbeitung
Welche Daten entstehen durch den Emoji-Loader?
Der WordPress-Emoji-Script schreibt den Eintrag wpEmojiSettingsSupports in den sessionStorage des Browsers. Das ist kein klassisches Cookie und auch keine Tracking-ID. Der Browser speichert damit Testergebnisse zur Emoji-Unterstützung für bis zu eine Woche.
Im sessionStorage landen diese Werte:
flagals Testergebnis für Flaggen-Emojisemojials Testergebnis für allgemeine Emoji-Unterstützungtimestampals Zeitstempel für den Cache
Wenn der Browser Emojis nicht nativ unterstützt, kann WordPress Emoji-Bilder von s.w.org nachladen. Dabei überträgt der Browser technisch mindestens die IP-Adresse des Besuchers an diesen Server. Dabei gibt es keine gesicherten Informationen vor, ob und wie lange WordPress.org diese Zugriffsdaten speichert.
WordPress bindet über diese Emoji-Funktion keine zusätzlichen optionalen Drittdienste ein. Es gibt also kein verstecktes Google reCAPTCHA, kein Analytics und keinen weiteren Dienst, den du in diesem Zusammenhang separat betrachten musst.
Cookie-Banner
Brauche ich dafür einen Cookie-Banner?
Für WordPress-Emojis brauchst du keinen Cookie-Banner, weil der Script keine Tracking-Cookies setzt und keine Tracking-ID im Browser speichert. Es nutzt nur sessionStorage, also Speicherplatz im Browser.
Die sichere Lösung ist deshalb nicht, Emoji in Cookie-Banner einzubauen, sondern den Emoji-Script komplett zu deaktivieren. Dann entfernst du den sessionStorage-Eintrag und die mögliche externe Verbindung zu s.w.org direkt an der Quelle.
Datenschutzerklärung
Müssen WordPress-Emojis in die Datenschutzerklärung?
Wenn du die WordPress-Emoji-Funktion aktiv lässt, nimm sie in deine Datenschutzerklärung auf. Erkläre kurz, dass WordPress zur Emoji-Darstellung einen sessionStorage-Eintrag im Browser anlegt und bei fehlender Browser-Unterstützung Emoji-Dateien von s.w.org nachladen kann.
Diese Punkte gehören hinein:
- Zweck der Verarbeitung: Darstellung von Emojis
- Speicherung im Browser: sessionStorage-Eintrag
wpEmojiSettingsSupports - Gespeicherte Inhalte: Emoji-Support-Testergebnisse und Zeitstempel
- Mögliche externe Verbindung: Abruf von Emoji-Dateien über
s.w.org - Mögliche übertragene Daten: IP-Adresse und technische Zugriffsdaten des Browsers
- Rechtsgrundlage: berechtigtes Interesse nach Artikel 6 Absatz 1 Buchstabe f Datenschutz-Grundverordnung
Wenn du die Emoji-Funktion vollständig deaktivierst, brauchst du diesen Abschnitt nicht mehr.
Auftragsverarbeitung
Brauchst du einen Auftragsverarbeitungsvertrag?
Für die WordPress-Emoji-Funktion gibt es keinen Auftragsverarbeitungsvertrag. Denn du kannst auf die eventuell gespeicherten Daten bei s.w.org zugreifen, sie noch analysieren, noch irgendwie die Datenspeicherung steuern oder beeinflussen.
Ein Auftragsverarbeitungsvertrag wäre also nicht der praktische Hebel. Die saubere Lösung ist das Deaktivieren der Emoji-Funktion.
Alternative
Welche Alternative ist datenschutzfreundlicher?
| Alternative | Vorteil | Hinweis |
|---|---|---|
| Disable Emojis (GDPR friendly) | Deaktiviert das Emoji-Detection-Script, die Emoji-Styles und den DNS-Prefetch zu s.w.org. | Emojis zeigt der Browser weiterhin nativ an. Für moderne Browser entsteht dadurch normalerweise kein sichtbarer Nachteil. |
Welche Fehler passieren hier häufig?
Der häufigste Fehler ist simpel: Viele Websitebetreiber wissen nicht, dass WordPress Emojis überhaupt technisch nachlädt oder im Browser einen sessionStorage-Eintrag setzt. Weil Emojis rein für Darstellungen wirken, tauchen sie in Datenschutzprüfungen oft nicht auf.
Der zweite Fehler: Betreiber suchen im WordPress-Backend nach einer Einstellung zum Abschalten. Diese normale Admin-Einstellung gibt es in WordPress Core nicht. Entwickler können zwar über Filter wie emoji_url und emoji_svg_url eingreifen, aber das ist keine einfache Betreiber-Einstellung.
Nächste Schritte
Was machst du jetzt konkret?
- Deaktiviere die WordPress-Emoji-Funktion mit einem passenden Plugin wie Disable Emojis (GDPR friendly).
- Entferne den Abschnitt zu WordPress-Emojis aus deiner Datenschutzerklärung, nachdem du die Funktion vollständig deaktiviert hast.
- Nimm WordPress-Emojis in deine Datenschutzerklärung auf, wenn du die Funktion aktiv lässt.
Kostenloser Website-Scan
Prüfe deine eigene Website
Du möchtest wissen, welche Cookies, Tools und externen Verbindungen auf deiner Website auffallen? Datenrein scannt deine Website kostenlos und zeigt dir, welche Punkte du prüfen solltest.
