Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Gravatar

Was macht Gravatar?

Gravatar ist ein weltweiter Avatar Dienst der Automattic Inc. aus den USA. WordPress, Kommentarsysteme und viele Webanwendungen rufen Nutzeravatare ab, indem sie die E Mail Adresse hashen und gravatar.com abfragen. Bei jeder Anfrage werden IP Adresse und E Mail Hash des Besuchers an Automattic in die USA übermittelt.

Gravatar, der Globally Recognised Avatar Dienst, wird von Automattic Inc. in San Francisco betrieben. Er ist fester Bestandteil des WordPress Kerns und wird von tausenden Kommentarsystemen, Foren und SaaS Anwendungen genutzt. Bei jeder Avatar Anfrage an gravatar.com werden IP Adresse, User Agent und ein E Mail Hash des Besuchers in die USA übermittelt.

Was Gravatar leistet

Soll eine Seite einen Avatar anzeigen (Kommentarautor, Forenmitglied, Profil Widget), berechnet die Website einen Hash der E Mail (historisch MD5, neuerdings SHA 256) und ruft eine URL der Form secure.gravatar.com/avatar/{hash} auf. Der Browser lädt das Bild direkt bei Automattic, das dabei IP Adresse, User Agent und die ausgangsseitige URL über den Referer Header protokollieren kann.

Erfasste Daten und Cookies

Gravatar setzt in der Regel keine Tracking Cookies auf der einbindenden Website, kann jedoch Automattic Cookies (wpcom_*, tk_*) setzen, wenn der Besucher in WordPress.com eingeloggt ist. Bei jeder Avatar Anfrage werden IP Adresse, E Mail Hash und Referer URL übertragen und in Automattic Logs gespeichert. Die deutschen Aufsichtsbehörden bestätigen, dass auch ein gehashter E Mail Identifier personenbezogen im Sinne von Erwägungsgrund 26 DSGVO ist.

DSGVO und ePrivacy Folgen

Das LG München I hat 2022 entschieden, dass das Laden externer Ressourcen, die die IP Adresse ohne Einwilligung an US Server übertragen, die DSGVO verletzt. Gravatar Anfragen folgen exakt diesem Muster. Auch wenn das Avatar Bild kein Cookie ist, fällt die IP Übermittlung unter Art. 6 DSGVO und der E Mail Hash unter Art. 4(1). Die sicherste Rechtsgrundlage ist die Einwilligung.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Datenübermittlung in die USA

Automattic ist nach dem EU US Data Privacy Framework selbst zertifiziert, was als Angemessenheitsbeschluss nach Art. 45 DSGVO für Übermittlungen an zertifizierte US Importeure gilt. Wird der DPF wie Privacy Shield und Safe Harbor erneut gekippt, müssen Übermittlungen auf Standardvertragsklauseln mit ergänzenden Maßnahmen und dokumentierter TIA gestützt werden. Den Zertifizierungsstatus von Automattic stets auf dataprivacyframework.gov überprüfen.

Konkrete Compliance Schritte

Deaktivieren Sie Gravatar in WordPress bis zur Einwilligung (Einstellungen > Diskussion > Avatare anzeigen) oder verwenden Sie ein Datenschutz Proxy wie das Plugin Avatar Privacy, das Avatare lokal speichert. Blockieren Sie Gravatar in Ihrer CMP unter der Kategorie funktional oder Marketing. Führen Sie Automattic als US Auftragsverarbeiter im Verarbeitungsverzeichnis, in der Datenschutzerklärung und im Banner. Bei Kommentaren bieten Sie einen generischen Identicon oder einen lokalen Fallback an.

GDPR consent category

Essenziell

Websites using Gravatar must obtain user consent under GDPR regulations.

Legal basisConsent (Art. 6(1)(a) GDPR and Art. 5(3) ePrivacy Directive). Gravatar reveals the visitor IP to a US third party and discloses an email hash, which is considered personal data by the EDPB. Consent or a strong contractual basis under Art. 6(1)(f) is required.

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive, TDDDG, LSSI CE, CCPA/CPRA, EU US Data Privacy Framework, CNIL guidance on email hashing (May 2022)

DPIA considerations

Eine eigenständige DSFA ist für Gravatar nicht zwingend erforderlich, die Übermittlung in die USA muss jedoch in einem Transfer Impact Assessment bewertet werden. Dokumentieren Sie E Mail Hash, IP Exposition, Speicherdauer und vertragliche Schutzmaßnahmen (DPF Zertifizierung oder SCCs).

Sample consent text

Diese Website nutzt Gravatar, betrieben von Automattic in den USA, zur Anzeige von Avataren in Kommentaren und Mitgliederbereich. Gravatar erhält einen Hash Ihrer E Mail Adresse sowie Ihre IP und kann diese in den USA speichern. Mit Ihrer Einwilligung werden Gravatar Anfragen ausgelöst.

Technical details

Tracking methodImage based avatar service. Pages query the Gravatar HTTP API with an MD5 (or SHA-256) hash of the visitor email address. Gravatar then returns the matching avatar and logs the request, including the visitor IP address and user agent.

Server locationOperated by Automattic Inc. in San Francisco, United States. Requests are served by a global CDN with edge nodes worldwide, while user data and Gravatar profiles are stored in the United States.

Data transferred outside the EUEvery request to secure.gravatar.com or gravatar.com transfers the visitor IP address, user agent and the hashed email to Automattic servers in the United States. Automattic is self certified under the EU US Data Privacy Framework. Without consent or proper safeguards the transfer is unlawful.

Third-party domains contacted

gravatar.comsecure.gravatar.com0.gravatar.comen.gravatar.comautomattic.com

Cookies placed

Name	Type	Duration	Purpose
wpcom_loggedin	third_party	2 weeks	Set by Automattic for visitors signed in to WordPress.com when avatars are fetched.
tk_ai	third_party	1 year	Anonymous identifier used by Automattic Tracks for product analytics across Automattic properties.
tk_lr	third_party	1 year	Stores the landing page referrer for Automattic Tracks analytics.

Gravatar ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt Gravatar?

Gravatar selbst setzt selten Cookies auf der einbindenden Website. Ist der Besucher in WordPress.com angemeldet, können in der gravatar.com Antwort Sitzungs Cookies von Automattic wie wpcom_loggedin, wp_api_sec, tk_ai oder tk_lr auftreten. Diese Drittanbieter Cookies erfordern eine Einwilligung.

Ist eine Einwilligung für Gravatar erforderlich?

Ja, im EWR. Selbst wenn die Avatar Anfrage keine Erstanbieter Cookies setzt, überträgt sie IP Adresse und E Mail Hash an Automattic in die USA. Nach Art. 6 DSGVO ist die Einwilligung die sicherste Rechtsgrundlage, insbesondere nach der LG München Entscheidung zu ähnlichen Google Fonts Anfragen.

Was ist die Rechtsgrundlage für die Gravatar Verarbeitung?

Empfohlen wird die Einwilligung nach Art. 6(1)(a) DSGVO. Berechtigtes Interesse nach Art. 6(1)(f) kann nur dann argumentiert werden, wenn lokale Avatar Fallbacks angeboten und eine TIA dokumentiert ist. In WordPress ist die einfachste Lösung, externe Avatare standardmäßig zu deaktivieren.

Werden Daten in die USA übermittelt?

Ja. Jede Gravatar Anfrage erreicht Automattic Infrastruktur in den USA. Automattic stützt die Übermittlung auf das EU US Data Privacy Framework. Prüfen Sie regelmäßig den Zertifizierungsstatus von Automattic auf dataprivacyframework.gov und dokumentieren Sie die Übermittlung im Verarbeitungsverzeichnis.

Benötige ich für Gravatar eine DSFA?

Eine eigenständige DSFA ist in der Regel nicht erforderlich. Wird Gravatar jedoch mit Kommentarsystemen, Analytics oder Marketing kombiniert, muss die Gesamt DSFA der Website E Mail Hash, IP Exposition und USA Übermittlung berücksichtigen. Eine TIA bleibt verpflichtend.

Wie wird Gravatar korrekt implementiert?

Deaktivieren Sie externe Avatare in WordPress (Einstellungen > Diskussion > Avatare anzeigen abwählen), installieren Sie einen Datenschutz Proxy (Plugin Avatar Privacy), der Gravatar lokal zwischenspeichert, oder blockieren Sie Gravatar in Ihrer CMP unter der Kategorie Marketing. Stellen Sie einen generischen Identicon als Fallback bereit. Dokumentieren Sie die Entscheidung in der Datenschutzerklärung.

Welche Alternativen zu Gravatar gibt es?

Selbst gehostete Alternativen: Libravatar (föderiert, DSGVO konform), Avatar Privacy (WordPress Plugin), Boring Avatars (prozedurale SVG Identicons) oder Speicherung hochgeladener Avatare auf eigenem Server oder Objektspeicher. Jede beseitigt die USA Übermittlung vollständig.

Wie aktualisiere ich die Cookie Richtlinie, wenn sich Gravatar ändert?

Wenn Automattic Datenschutzerklärung, AGB oder Übermittlungsmechanismus aktualisiert, übernehmen Sie die Änderungen in die Cookie Tabelle und die Datenschutzerklärung. Ändert sich der DPF Status (Aussetzung oder Aufhebung), erhöhen Sie die Banner Version, um zuvor erteilte Einwilligungen ungültig zu machen.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note