Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

The Events Calendar

Was macht The Events Calendar?

The Events Calendar ist ein weit verbreitetes WordPress Veranstaltungs Plugin von StellarWP. Es läuft auf dem Server des Betreibers, doch optionale Einbindungen von Google Maps, Google Fonts und Gravatar können Besucherdaten an Google und Automattic in den USA senden.

Was The Events Calendar ist

The Events Calendar ist ein beliebtes WordPress Plugin von StellarWP, mit dem Website Betreiber Veranstaltungen, Veranstaltungsorte und Organisatoren anlegen und anzeigen können. Es wird auf dem eigenen WordPress Server des Betreibers installiert und ausgeführt, sodass der Großteil der Verarbeitung in der bereits kontrollierten Hosting Umgebung bleibt. Das Plugin kann optional Google Maps für Veranstaltungsorte einbinden, Google Fonts für die Typografie laden und Gravatar Avatare anzeigen, und es kann Veranstaltungen über iCal und Google Calendar Feeds exportieren. Die Datenschutzfragen entstehen vor allem durch diese optionalen externen Einbindungen und weniger durch den Kalender selbst.

Welche Daten und Cookies betroffen sind

Das Kern Plugin ist für Besucher weitgehend cookiefrei und nutzt die übliche WordPress Sitzungsverwaltung für angemeldete Administratoren. Wird Google Maps eingebunden, kann Google eigene Cookies setzen und erhält die IP Adresse des Besuchers sowie die aufgerufene Seite. Das Laden von Google Fonts direkt von Google überträgt ebenfalls die IP Adresse an Google, und Gravatar Avatare geben eine gehashte E Mail Adresse und die IP Adresse an Automattic weiter. Betreiber, die Schriften lokal hosten und Karten deaktivieren, können den Kalender ohne nennenswerte Datenflüsse an Dritte betreiben.

DSGVO und ePrivacy Auswirkungen

Nach Art. 5(3) der ePrivacy Richtlinie erfordert das Laden nicht notwendiger Drittanbieter Ressourcen, die Informationen auf dem Endgerät lesen oder schreiben, eine vorherige Einwilligung. Deutsche und weitere europäische Gerichte haben von Google geladene Google Fonts als Übermittlung personenbezogener Daten gewertet, die eine Rechtsgrundlage benötigt. Der Betreiber bleibt für diese Einbindungen Verantwortlicher und muss eine gültige Grundlage nachweisen können. Die Anzeige des Kalenders vom eigenen Server kann dagegen meist auf das berechtigte Interesse gestützt werden.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Anforderungen an die Einwilligung

Sind Google Maps, extern gehostete Google Fonts oder Gravatar aktiv, ist es sicher, diese Ressourcen zu blockieren, bis der Besucher einwilligt. Ein Einwilligungsbanner oder ein Klick zum Laden Platzhalter für Karten erfüllt Art. 6(1)(a) DSGVO und die ePrivacy Regel zur vorherigen Einwilligung. Hostet der Betreiber Schriften lokal und entfernt Karten, ist für den Kalender selbst keine Einwilligung erforderlich. Der Einwilligungsstatus muss protokolliert und widerrufbar sein.

Internationale Datenübermittlungen

Google und Automattic sind Unternehmen aus den USA, daher ist jede an Google Maps, Google Fonts oder Gravatar gesendete IP Adresse eine Übermittlung in ein Drittland. Diese Übermittlungen können sich auf den EU US Datenschutzrahmen stützen, wenn der Empfänger zertifiziert ist, andernfalls auf Standardvertragsklauseln mit einer Folgenabschätzung der Übermittlung. Der einfachste Weg, das Übermittlungsrisiko zu beseitigen, ist das lokale Hosten der Schriften und der Verzicht auf externe Karten. Der Betreiber sollte den jeweils anwendbaren Mechanismus für jede verbleibende Einbindung festhalten.

Praktische Schritte zur Konformität

Prüfen Sie, welche externen Einbindungen aktiv sind, hosten Sie dann Google Fonts lokal und ersetzen Sie Live Karten durch einen einwilligungsgesteuerten Platzhalter. Fügen Sie ein Einwilligungsbanner hinzu, das Google Ressourcen und Gravatar blockiert, bis der Besucher zustimmt, und protokollieren Sie jede Entscheidung. Aktualisieren Sie die Datenschutzerklärung, um Google und Automattic als Empfänger zu nennen und die Drittlandübermittlungen zu beschreiben. Überprüfen Sie die Konfiguration nach jeder Plugin Aktualisierung, da neue Funktionen externe Aufrufe wieder einführen können.

GDPR consent category

Analytik

Websites using The Events Calendar must obtain user consent under GDPR regulations.

Legal basisArt. 6(1)(a) GDPR consent for loading Google Maps, Google Fonts and Gravatar, since Art. 5(3) ePrivacy requires prior consent before non essential third party assets that read terminal data are loaded. Core calendar display on the own server can rely on Art. 6(1)(f) legitimate interest.

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive, EU US Data Privacy Framework

DPIA considerations

Eine vollständige DSFA ist für den selbst gehosteten Kalender allein meist nicht erforderlich, da er nur wenige Daten auf dem Server des Betreibers verarbeitet. Eine gezielte Prüfung ist sinnvoll, wenn die Einbindungen von Google Maps und Google Fonts aktiv sind, da sie Drittlandübermittlungen der Besucher IP Adressen erzeugen. Dokumentieren Sie die aktivierten externen Ressourcen, den Einwilligungsmechanismus, der sie steuert, und die Möglichkeit, Schriften lokal zu hosten und Karten zu deaktivieren.

Sample consent text

Wir verwenden Google Maps und Google Fonts, um Veranstaltungsorte und das Layout darzustellen. Diese Dienste können Ihre IP Adresse an Google in den USA übermitteln. Stimmen Sie dem Laden dieser externen Karten und Schriften zu?

Technical details

Tracking methodSelf hosted WordPress plugin that can embed third party assets such as Google Maps tiles, Google Fonts and Gravatar images, plus optional iCal and Google Calendar feed links

Server locationPrimarily the site owner own WordPress server inside the chosen hosting region, however embedded Google Maps and Google Fonts requests reach Google servers

Cookieless tracking availableYes

Data transferred outside the EUThe core plugin runs on the operator own server, yet enabling Google Maps embeds or Google Fonts loaded from Google causes visitor IP addresses and request data to be sent to Google in the United States, which is a third country transfer that relies on the EU US Data Privacy Framework or Standard Contractual Clauses. Gravatar images load from Automattic servers in the United States. Operators can self host fonts and disable maps to avoid these transfers.

Third-party domains contacted

maps.googleapis.commaps.google.comfonts.googleapis.comfonts.gstatic.comsecure.gravatar.comcalendar.google.com

Cookies placed

Name	Type	Duration	Purpose
wordpress_logged_in	first party	session	Standard WordPress authentication cookie for logged in administrators managing events
NID	third party	6 months	Set by Google when Google Maps is embedded, used by Google for preferences and security
CONSENT	third party	up to 2 years	Set by Google through embedded Maps to store the visitor consent and preference state
tk_ai	third party	session	Set by Automattic when Gravatar or related features load, used for analytics on Automattic side

The Events Calendar erhebt Analyse-Daten — Sie benötigen rechtlich ein Cookie-Banner. Testen Sie FlowConsent kostenlos.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt The Events Calendar?

Das Kern Plugin setzt für Besucher praktisch keine Cookies und nutzt nur die üblichen WordPress Sitzungscookies für angemeldete Administratoren. Cookies entstehen, wenn optionale Einbindungen aktiv sind, da Google Maps NID und ähnliche Google Cookies setzen kann und Gravatar mit Automattic Cookies einhergehen kann. Wenn Sie Schriften lokal hosten und Karten deaktivieren, läuft der Kalender ohne Drittanbieter Cookies.

Ist eine Einwilligung für The Events Calendar erforderlich?

Für die Anzeige des Kalenders vom eigenen Server ist keine Einwilligung nötig, da sie auf dem berechtigten Interesse beruhen kann. Eine Einwilligung wird erforderlich, sobald Sie Google Maps, extern gehostete Google Fonts oder Gravatar aktivieren, weil diese Drittanbieter Ressourcen laden und die Besucher IP Adresse ins Ausland senden. Blockieren Sie in diesem Fall die Ressourcen, bis der Besucher zustimmt.

Was ist die Rechtsgrundlage der Verarbeitung?

Die Anzeige von Veranstaltungsdaten vom eigenen Server kann sich auf das berechtigte Interesse nach Art. 6(1)(f) DSGVO stützen. Das Laden von Google Maps, Google Fonts von Google oder Gravatar erfordert die Einwilligung nach Art. 6(1)(a), da Art. 5(3) ePrivacy eine vorherige Einwilligung für nicht notwendige Drittanbieter Ressourcen verlangt. Dokumentieren Sie die Grundlage für jede Funktion.

Werden Daten in die USA übermittelt?

Nur wenn externe Einbindungen aktiv sind. Von Google geladene Google Maps und Google Fonts senden die Besucher IP Adresse an Google in den USA, und Gravatar sendet Daten an Automattic dort. Diese Übermittlungen stützen sich auf den EU US Datenschutzrahmen oder auf Standardvertragsklauseln mit einer Folgenabschätzung. Lokales Hosten der Schriften und der Verzicht auf Karten vermeidet die Übermittlung vollständig.

Ist eine DSFA erforderlich?

Eine vollständige DSFA ist für den selbst gehosteten Kalender allein selten erforderlich, da er nur wenige Daten verarbeitet. Eine gezielte Prüfung ist sinnvoll, wenn die Einbindungen von Google Maps und Google Fonts aktiv sind, da sie Drittlandübermittlungen erzeugen. Halten Sie fest, welche Einbindungen aktiv sind, den Einwilligungsmechanismus und Maßnahmen wie das lokale Hosten der Schriften.

Wie setze ich die Konformität korrekt um?

Hosten Sie Google Fonts lokal, ersetzen Sie Live Karten durch einen einwilligungsgesteuerten Klick zum Laden Platzhalter und deaktivieren Sie Gravatar, wo möglich. Fügen Sie ein Einwilligungsbanner hinzu, das Google Ressourcen blockiert, bis der Besucher zustimmt, und protokollieren Sie jede Entscheidung. Nennen Sie Google und Automattic in Ihrer Datenschutzerklärung und überprüfen Sie die Einrichtung nach jedem Update.

Gibt es datenschutzfreundlichere Alternativen?

Sie können The Events Calendar behalten und einfach Schriften lokal hosten und Karten deaktivieren, was die meisten Bedenken beseitigt. Alternativen sind Modern Events Calendar oder eine vollständig selbst gehostete Einrichtung mit Karten auf Basis von OpenStreetMap, die Google vermeiden. Ziel ist es, Veranstaltungsdaten auf dem eigenen Server zu halten und nicht notwendige externe Aufrufe zu vermeiden.

Wie aktualisiere ich die Cookie Richtlinie?

Listen Sie die aktivierten optionalen Einbindungen wie Google Maps, Google Fonts und Gravatar mit Zweck, Empfänger und der Speicherdauer der gesetzten Cookies auf. Geben Sie an, dass diese Übermittlungen in die USA umfassen, und nennen Sie den Übermittlungsmechanismus. Überprüfen Sie die Richtlinie nach jedem Plugin Update, da neue Funktionen externe Aufrufe hinzufügen können.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note