Informationspflicht – Feedback WP

Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO)

Wir setzen das WordPress‑Plugin „FeedbackWP (Rate My Post / Star‑Rating & Feedback)“ ein, um Website‑Inhalte (Beiträge/Seiten) durch ein Bewertungs- und Feedbacksystem zu ergänzen. Die Verarbeitung erfolgt – abhängig von der aktivierten Plugin‑Konfiguration – insbesondere zu folgenden Zwecken:

• Erhebung von Bewertungen (z.B. Sterne-/Thumb‑Ratings) zu einzelnen Beiträgen/Seiten zur Messung von Nutzerzufriedenheit und Content‑Qualität.

• Erhebung von (privatem) Feedback nach einer Bewertung, um Verbesserungsbedarfe zu identifizieren (Feedback ist typischerweise nicht öffentlich sichtbar, sondern nur intern einsehbar).

• Analytics und Steuerung der Bewertungsfunktion (z.B. Auswertung von Stimmenanzahl, Durchschnittswerten, zeitlichen Mustern, Qualitätssignalen; operatives Monitoring).

• Missbrauchsprävention und Sicherstellung der Integrität des Bewertungssystems (z.B. Verhinderung von Mehrfachabstimmungen/Manipulationen über Cookies und/oder IP‑basierte Mechanismen; optional Restriktion auf eingeloggte Nutzer).

• Benachrichtigungs- und Workflow‑Unterstützung (z.B. E‑Mail‑Benachrichtigungen bei neuen Bewertungen/Feedback, sofern aktiviert).

• SEO-/Darstellungsoptimierung durch Bereitstellung strukturierter Daten (Schema‑Markup) und Anzeige von aggregierten Ratings im Frontend (sofern aktiviert; primär contentbezogen).

• Optionale Integrationen (z.B. Social‑Sharing nach positiver Bewertung; optionaler Bot‑Schutz über reCAPTCHA v3), soweit diese Funktionen im Plugin aktiviert werden.

Kategorien personenbezogener Daten (Art. 13 Abs. 1 lit. c DSGVO)

Je nach Einsatzumfang und Konfiguration können insbesondere folgende Datenkategorien verarbeitet werden:

• Bewertungs- und Interaktionsdaten

  • abgegebene Bewertung (z.B. Sternewert), betroffener Beitrag/Seite (Post‑ID/URL), Zeitstempel der Bewertung

  • ggf. Zeitdauer/„Time spent“ bis zur Bewertung (wenn analytisch erfasst)

• Technische Daten / Metadaten zur Missbrauchsprävention und Analyse

  • Keine IP‑Adresse (je nach Einstellung optional bzw. nur im Missbrauchs-/Sicherheitskontext)

  • Keine technische Client‑Informationen (z.B. Browser-/Gerätekennungen über User‑Agent), soweit im Rahmen der Analytics-/Security‑Funktionalität gespeichert

  • Keine URL/Seite, von der aus bewertet wurde (Kontext)

• Account-/Nutzerbezug (nur sofern aktiviert bzw. bei eingeloggten Nutzern)

  • Benutzername/Benutzerkennung (WordPress‑Account), sofern das Plugin dies in der Analytics‑Ansicht speichert oder die Bewertung auf eingeloggte Nutzer beschränkt ist

• Cookie-/Storage‑Daten

  • Cookies oder vergleichbare Speichertechnologien zur Verhinderung von Mehrfachabstimmungen sowie zur technischen Funktionsfähigkeit der Bewertung (z.B. „already voted“-Marker)

• Kommunikations-/Benachrichtigungsdaten (nur sofern aktiviert)

  • Inhalte von Benachrichtigungen (Bewertungs-/Feedback‑Details) in Systemmails an definierte Empfänger

• Optionale Drittanbieter‑Datenverarbeitungen (nur sofern aktiviert)

  • bei reCAPTCHA v3: technische Interaktions-/Risikodaten, die im Rahmen des Bot‑Schutzes verarbeitet werden

  • bei Social‑Sharing: Daten, die beim Klick auf eine Share‑Funktion an die jeweilige Plattform übertragen werden können

Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO)

Die Rechtsgrundlagen hängen vom konkreten Setup (insb. Aktivierung von Cookies, IP‑Speicherung, reCAPTCHA und Social‑Sharing) ab. Regelmäßig kommen folgende Grundlagen in Betracht:

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
  für den Betrieb eines manipulationsresistenten Bewertungs-/Feedbacksystems, die Qualitätssteuerung von Inhalten, die Optimierung der Nutzerkommunikation sowie die Abwehr von Missbrauch (z.B. Mehrfachvotings, Bot‑Voting).

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
  soweit Funktionen aktiviert sind, die nicht zwingend für die Bereitstellung der Bewertungsfunktion erforderlich sind oder eine Einwilligung nach nationalem Endgeräte‑Recht erfordern (z.B. nicht erforderliche Cookies/Storage; Einbindung externer Dienste wie reCAPTCHA oder Social‑Media‑Integrationen, sofern diese nicht als zwingend erforderlich bewertet werden).

• Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen)
  nur soweit die Bewertungs-/Feedbackfunktion integraler Bestandteil einer vertraglichen Leistung ist (z.B. geschlossene Mitgliederbereiche/Services, bei denen Feedbackfunktion Teil des Leistungsversprechens ist).

• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
  in der Regel nicht primär einschlägig; kann im Einzelfall relevant werden (z.B. Nachweisführung in Streitfällen, sofern eine konkrete Pflicht besteht).

• § 25 TDDDG (Deutschland, Endgerätezugriff)
  soweit das Plugin Cookies/Storage auf dem Endgerät setzt/ausliest. Ob eine Einwilligung erforderlich ist, richtet sich nach der technischen Erforderlichkeit im konkreten Setup (z.B. reine Mehrfachvoting‑Verhinderung vs. weitergehende Tracking-/Integrationsmechanismen).

• § 26 BDSG (Beschäftigtendaten), ergänzend
  soweit im Backend Beschäftigtendaten betroffen sind (z.B. Administratoren/Redakteure, die Bewertungen bearbeiten/auswerten) und dies im Beschäftigungskontext erforderlich ist.

Website-Besucher (typischer Regelfall)

Website‑Besucher können freiwillig Bewertungen abgeben und (sofern aktiviert) privates Feedback übermitteln. Rechtsgrundlage ist regelmäßig Art. 6 Abs. 1 lit. f DSGVO (Qualitätssteuerung/Missbrauchsprävention).

Soweit zur Verhinderung von Mehrfachabstimmungen Cookies/Storage eingesetzt werden, ist zusätzlich der nationale Rahmen zum Endgerätezugriff (§ 25 TDDDG) zu berücksichtigen. Werden optionale externe Komponenten (z.B. reCAPTCHA v3 oder Social‑Sharing) eingebunden, erfolgt die Einbindung – je nach Ausgestaltung – einwilligungsbasiert (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TDDDG) oder auf Basis berechtigter Interessen, sofern eine belastbare Erforderlichkeitsbewertung dies trägt.

Berechtigte Interessen (Art. 13 Abs. 1 lit. d DSGVO)

Soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt wird, liegen unsere berechtigten Interessen insbesondere in:

• Qualitätsmanagement und zielgerichteter Optimierung von Website‑Inhalten anhand von Nutzerfeedback.

• Erhöhung von Interaktion und Nutzerbindung durch strukturierte Rückmeldemöglichkeiten.

• Integrität des Bewertungssystems (Schutz vor Mehrfachabstimmungen, Bot‑Voting, Manipulation).

• Betriebswirtschaftlicher Steuerung (Content‑Priorisierung, Verbesserung von Service-/Informationsangeboten).

• Rechtsdurchsetzung/-verteidigung im Einzelfall (z.B. bei missbräuchlichen Bewertungen/Spam), jeweils im erforderlichen und verhältnismäßigen Umfang.

Empfänger bzw. Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO)

Je nach Betriebsmodell und aktivierten Funktionen können Daten an folgende Empfänger/Kategorien übermittelt werden:

• Interne Empfänger (Need‑to‑know): Redaktion/Content‑Owner, Website‑Administration, IT, ggf. Qualitäts-/Beschwerdemanagement.

• Auftragsverarbeiter: Hosting‑Provider, Managed‑Service‑Provider, IT‑Dienstleister (Wartung/Support, Backup, Security), E‑Mail‑Provider (für Plugin‑Benachrichtigungen), jeweils soweit ein Zugriff im Rahmen der Leistungserbringung erforderlich ist.

• Drittanbieter (optional, nur bei Aktivierung):

  • Anbieter eines Bot‑Schutzes (z.B. reCAPTCHA), sofern im Plugin aktiviert

  • Social‑Media‑Plattformen, sofern Social‑Sharing aktiviert und durch Nutzer genutzt wird (Übermittlung regelmäßig erst bei Interaktion/Klick)

• Externe Empfänger im Anlassfall: Rechtsberater, Gerichte/Behörden/Strafverfolgungsbehörden, soweit eine Rechtsgrundlage besteht.

Drittlandübermittlungen (Art. 13 Abs. 1 lit. f DSGVO)

Drittlandübermittlungen (außerhalb des EWR) können insbesondere dann relevant werden, wenn:

• externe Dienste wie reCAPTCHA oder Social‑Media‑Funktionen eingebunden werden und deren Anbieter/Dienstleister Daten in Drittländern verarbeiten,

• Hosting-/Monitoring-/E‑Mail‑Dienstleister oder Supportleistungen außerhalb des EWR eingesetzt werden,

• Premium‑Funktionen/Lizenzprüfungen/Update‑Infrastrukturen von Anbietern außerhalb des EWR genutzt werden (konfigurationsabhängig).

Soweit Drittlandübermittlungen stattfinden, erfolgen diese nach Maßgabe der Art. 44 ff. DSGVO, insbesondere auf Grundlage eines Angemessenheitsbeschlusses oder geeigneter Garantien (z.B. Standardvertragsklauseln) sowie ggf. ergänzender technischer und organisatorischer Maßnahmen (z.B. Verschlüsselung, Datenminimierung, Zugriffsbeschränkung, Protokollierung). Operativ ist dies im Lieferantenmanagement (inkl. Transfer‑Assessment) zu verankern.

Speicherdauer / Löschfristen (Art. 13 Abs. 2 lit. a DSGVO)

Die Speicherdauer ist maßgeblich von der Plugin‑Konfiguration und unserem Löschkonzept abhängig. Typischerweise gilt:

• Bewertungsdaten (aggregiert, z.B. Durchschnitt/Anzahl): Speicherung grundsätzlich so lange, wie der jeweilige Beitrag/die Seite veröffentlicht ist bzw. solange die Bewertungsausspielung genutzt wird.

• Einzelereignisse/Analytics (z.B. Vote‑Logs, optionale IP‑Speicherung, Username, Zeitstempel, Zeitdauer): Speicherung für [X Tage/Monate] und anschließend Löschung/Anonymisierung, sofern keine längere Aufbewahrung zur Missbrauchsabwehr oder Rechtsverteidigung erforderlich ist.

• Feedback‑Inhalte: Speicherung bis zur Bearbeitung und Qualitätsauswertung, grundsätzlich für [X Monate]; längere Speicherung nur, wenn sachlich erforderlich (z.B. wiederkehrende Qualitätsmängel, Dokumentationsinteressen) und unter strikter Zugriffsbeschränkung.

• Cookies/Storage‑Marker: Speicherdauer entsprechend Konfiguration des Plugins bzw. des Browsers (z.B. Session/mehrere Tage), zur Verhinderung von Mehrfachabstimmungen.

• Backups: Soweit Bewertungs-/Feedbackdaten in Backups enthalten sind, werden diese gemäß Backup‑Retention ([X Tage/Monate]) vorgehalten; selektive Löschung in Backups ist technisch nicht immer sofort möglich und wird durch Retention‑Management und Zugriffsschutz kompensiert.

Pflicht zur Bereitstellung der Daten (Art. 13 Abs. 2 lit. e DSGVO)

Die Bereitstellung der Daten ist freiwillig. Ohne die Bereitstellung (z.B. Abgabe einer Bewertung/Feedback) können Sie jedoch die entsprechenden Funktionen nicht nutzen.

Wenn Sie Cookies/Storage blockieren, kann dies – je nach Konfiguration – dazu führen, dass das System Mehrfachabstimmungen nicht zuverlässig verhindern kann oder die Bewertungsfunktion technisch eingeschränkt ist. Bei aktivierter Einbindung externer Komponenten (z.B. reCAPTCHA) kann eine Blockade dazu führen, dass Bewertungen/Feedback nicht übermittelt werden können.

Automatisierte Entscheidungsfindung / Profiling (Art. 13 Abs. 2 lit. f DSGVO; Art. 22 DSGVO)

Im Rahmen des Plugins erfolgen automatisierte technische Entscheidungen (z.B. Zulassen/Ablehnen einer Bewertung) insbesondere zur:

• Verhinderung von Mehrfachabstimmungen (Cookie-/IP‑basierte Logik, sofern aktiviert),

• Ausspielungslogik (z.B. Feedback‑Widget nur nach negativer Bewertung),

• Spam-/Bot‑Abwehr (z.B. reCAPTCHA‑basierte Risiko-/Score‑Prüfung, sofern aktiviert).

Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO (mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung) liegt hierbei regelmäßig nicht vor, da es sich um funktionale Schutz- und Steuerungsmechanismen für ein Website‑Feature handelt. Sollte im Einzelfall eine atypische Wirkung entstehen (z.B. wiederholte technische Ablehnungen legitimer Nutzer), ist ein organisatorisches Prüf- und Korrekturverfahren (z.B. Konfigurationsanpassung/Whitelist) vorzusehen.