Gravatar (Globally Recognized Avatar) ist ein Dienst von Automattic, der Profilbilder bereitstellt, die mit E-Mail-Adressen verknüpft sind. Wenn jemand einen Kommentar auf einer WordPress-Seite hinterlässt, wird dessen E-Mail-Adresse verwendet, um den Avatar von Gravatars Servern abzurufen.
Wie WordPress Gravatar nutzt
Standardmäßig sendet WordPress eine gehashte Version (MD5) der E-Mail-Adresse jedes Kommentators an gravatar.com, um das Profilbild abzurufen. Dies geschieht automatisch für:
- Kommentar-Autor-Avatare
- Benutzerprofilbilder im Admin-Bereich
- Autoren-Bio-Abschnitte
DSGVO-Bedenken
Gravatar wirft erhebliche Datenschutzbedenken unter der DSGVO auf:
- Datenübertragung an Dritte — E-Mail-Hashes werden ohne explizite Nutzereinwilligung an Automattics Server (USA) gesendet.
- Tracking-Potenzial — Gravatar kann Nutzer über verschiedene Websites hinweg anhand desselben E-Mail-Hashs verfolgen.
- IP-Adressen-Offenlegung — Browser der Besucher stellen Anfragen an gravatar.com und geben dabei ihre IP-Adressen preis.
- Kein Einwilligungsmechanismus — WordPress lädt Gravatare, ohne den Besucher um Erlaubnis zu fragen.
Alternativen
- Gravatar deaktivieren und lokal generierte Avatare verwenden
- Gravatar-Bilder lokal auf deinem Server zwischenspeichern
- Ein Plugin verwenden, das Gravatar durch datenschutzfreundliche Alternativen ersetzt
Was InspectWP prüft
InspectWP erkennt, ob deine WordPress-Seite Bilder von gravatar.com oder secure.gravatar.com lädt. Wenn Gravatar aktiv ist, wird es als DSGVO-Bedenken markiert, da personenbezogene Daten ohne explizite Einwilligung an einen Drittanbieter-Dienst übertragen werden.