Gravatar gehört bei WordPress fast schon zur Grundausstattung und fällt vielen Website-Betreibern gar nicht auf. Genau das macht die Funktion datenschutztechnisch spannend: Schon ein simples Kommentarbild baut eine Verbindung zu Automattic Inc. auf und verarbeitet Daten außerhalb der EU. Wenn du Kommentare oder Benutzerprofile auf deiner Website nutzt, solltest du prüfen, ob Gravatar aktiv ist.
Überblick
Was ist Gravatar?
Gravatar ist ein Avatar-Dienst von Automattic. WordPress nutzt ihn, um Profilbilder bei Kommentaren oder Benutzerkonten automatisch anzuzeigen. Dafür gleicht WordPress die E-Mail-Adresse eines Nutzers mit einem zentralen Gravatar-Konto ab und lädt anschließend das passende Bild von einem externen Server.
Gravatar und Datenschutz im Überblick
| Cookies | Beim Abruf der Avatarbilder werden keine Tracking- oder Marketing-Cookies gesetzt. |
| Externe Verbindungen | Gravatar lädt Bilder direkt von externen Automattic-Servern wie gravatar.com oder secure.gravatar.com. |
| Datenschutzerklärung | Die Verarbeitung von E-Mail-Hash, IP-Adresse und technischen Abrufdaten muss erklärt werden. |
| Drittlandtransfer | Gravatar überträgt Daten in die USA und weitere Länder außerhalb der EU. |
| Auftragsverarbeitung | Für die selbstgehosteten WordPress-Websites gibt es keinen klaren Weg für einen Vertrag mit Automattic. |
| Eingaben durch Besucher | Die E-Mail-Adresse aus Kommentaren oder Benutzerprofilen wird für den Avatar-Abgleich verwendet. |
Datenverarbeitung
Warum Gravatar mehr macht als nur ein kleines Profilbild
Gravatar verarbeitet Daten jedes Mal, wenn deine Website ein Avatarbild anzeigen soll. WordPress bildet dafür aus der E-Mail-Adresse eines Kommentierenden einen festen Hashwert und ruft anschließend das passende Bild von Gravatar ab. Zusätzlich verarbeitet Automattic technische Abrufdaten wie die IP-Adresse und Browserinformationen.
Für Besucher sieht das wie ein normales kleines Kommentarbild aus. Technisch passiert aber eine direkte Verbindung zwischen dem Browser des Besuchers und den Servern von Automattic. Dadurch verlassen Daten deine Website und landen bei einem externen Anbieter.
Cookies
Setzt Gravatar Cookies?
Für den normalen Avatarabruf über Gravatar gibt es keine speziellen Tracking-, Statistik- oder Marketing-Cookies. Der Datenschutzpunkt bei Gravatar entsteht deshalb nicht durch Cookies, sondern durch die externe Verbindung zu den Gravatar-Servern.
Externe Verbindungen
Wann baut Gravatar Verbindungen zu externen Servern auf?
Gravatar baut externe Verbindungen auf, sobald deine Website Avatarbilder anzeigen soll. Die Bilder kommen direkt von Servern wie gravatar.com oder secure.gravatar.com. Dabei verbindet sich der Browser des Besuchers direkt mit Automattic.
Diese Verbindung entsteht bereits beim Laden einer Seite mit Kommentaren oder Benutzerprofilen.
Gravatar auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Welche Besucherdaten nutzt Gravatar?
Gravatar nutzt die E-Mail-Adresse aus Kommentaren oder Benutzerprofilen für den Avatarabgleich. WordPress wandelt die Adresse dafür in einen Hashwert um und übermittelt diesen Wert an Gravatar. Anschließend prüft der Dienst, ob ein passendes Profilbild existiert.
Drittlandtransfer
Überträgt Gravatar Daten in die USA?
Gravatar überträgt Daten in die USA und weitere Länder außerhalb der EU. Automattic betreibt den Dienst aus den USA und beschreibt selbst, dass Daten außerhalb des EU- und EWR-Raums verarbeitet werden.
Die Datenübertragung entsteht bereits beim Laden eines Avatarbildes.
Auftragsverarbeitung
Gibt es für Gravatar einen Vertrag mit Automattic?
Für die Gravatar-Funktion in WordPress lässt sich kein eindeutiger Weg für einen Vertrag mit Automattic ableiten. Automattic beschreibt Verträge für kostenpflichtige Dienste auf wordpress.com, aber nicht klar für die normale Gravatar-Nutzung innerhalb von WordPress.
Datenschutzerklärung
Welche Angaben braucht deine Datenschutzerklärung?
Gravatar gehört in deine Datenschutzerklärung, wenn deine Website Avatarbilder über den Dienst lädt.
- Zweck: Anzeige von Profilbildern bei Kommentaren oder Benutzerkonten.
- Verarbeitete Daten: Hash der E-Mail-Adresse, IP-Adresse und technische Abrufdaten.
- Empfänger: Automattic Inc.
- Drittlandtransfer: Datenübertragung in die USA und weitere Länder außerhalb der EU.
- Pflicht zur Bereitstellung: Die Bereitstellung der Daten erfolgt indirekt über Kommentare oder Benutzerprofile.
- Speicherdauer: Die Speicherdauer richtet sich nach den Vorgaben von Automattic Inc. und der Nutzung des Gravatar-Dienstes.
Alternative
So deaktivierst du Gravatar in WordPress
Die schnellste Lösung: Gehe in deinem WordPress-Backend zu Einstellungen > Diskussion und deaktiviere die Option Avatare anzeigen. Danach baut deine Website keine Verbindungen mehr zu Gravatar auf.
Wenn du Profilbilder weiterhin nutzen möchtest, aber keine externen Verbindungen willst, ist Simple Local Avatars die bessere Wahl. Das Plugin speichert Bilder direkt in deinem WordPress.
Fehler
Die typischen Datenschutzfehler bei Gravatar
Viele Website-Betreiber merken gar nicht, dass Gravatar aktiv ist, weil die Funktion direkt in WordPress eingebaut ist. Dadurch landen Avatarbilder und Besucherdaten automatisch bei Automattic, obwohl die Datenschutzerklärung nichts dazu sagt.
Ein weiterer häufiger Fehler: Kommentare bleiben aktiv, aber niemand prüft die Einstellung für Avatare unter Einstellungen > Diskussion. Dadurch laufen weiterhin externe Verbindungen zu Gravatar, obwohl die Funktion gar nicht bewusst genutzt wird.
DSGVO-Check
So prüfst du Gravatar auf deiner eigenen Website
Du kannst prüfen, ob deine Website Verbindungen zu Gravatar aufbaut. Öffne dafür deine Website mit Kommentaren oder Benutzerprofilen und suche in einem Datenschutz-Scan oder Browser-Test nach folgenden Verbindungen:
secure.gravatar.comgravatar.com/avatar
Wenn diese Verbindungen auftauchen, lädt deine Website Avatarbilder direkt über Gravatar.
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.