by WPEngine zählt derzeit zu den größten WordPress-Hosts der Welt. Das Unternehmen hat derzeit mehr als 70.000 Kunden bei mehr als 130 Ländern weltweit inclusive Europa und Deutschland mit Hauptsitz in Austin, Texas.
Als auf WordPress spezialisierter Host ist WPEngine vor allem unter WordPress-Entwicklern und Marketing-Agenturen die bevorzugte Wahl, da das von WPEngine angebotene Framework eine Reihe von modernen Entwicklungsumgebungen und Sicherheiten anbietet. Zudem besteht das 24-Stunden Support-Team aus geschulten WordPress-Experten mit Developer-Erfahrung, die dafür bekannt sind über notwendige Werkzeuge und Wissen zu haben, um auch komplexere Ausfälle und Fehler für Kunden ad-hoc beheben zu können.
Um dem sehr stark Marketing-affinen angloamerikanischen Markt gerecht zu werden, ist WPEngine zudem bekannt als Web Host, der sich neuen Technologien frühzeitig anpasst und entsprechende Server-Konfigurationen anbietet. Hierzu sind im Besonderen der Fokus auf SEA/SEO und Online-Marketing-Tools insgesamt zu nennen.
Der Erfolg des Unternehmens geht vor allem darauf zurück, dass als Zielgruppe nicht die direkten Abnehmer, sondern vordergründlich Agenturen und Dienstleister, sowie auch B2B-Unternehmen weltweit anvisiert werden. Diese Zielgruppe möchte meist ein WordPress-Framework anbieten, dabei die technische Verantwortung bei WPEngine belassen, sowie die Administration über eine einfache, sichere und schnell nachvollziehbare Oberfläche durchführen. Die insgesamt angebotene Ein-Klick-Verfahren zur Sicherung, Wiederherstellung und Verwaltung von multiplen Staging-Systemen macht WPEngine derzeit auch für Entwickler und Software-Unternehmen äußerst attraktiv. Während beispielsweise in Deutschland Staging-Systeme eher unüblich sind, da Deutschland in Bezug auf Softwareentwicklung noch als eher konservativ gilt. Die Open-Source-Bewegung Ende der 90er Jahre fand in Deutschland erst viele Jahre später Akzeptanz, Konzepte wie Agile/Scrum sind erst wesentlich später bekannt geworden – und erst 10 Jahre nach der großen Eroberung von WordPress ist es auch langsam in Deutschland als professionelles CMS anerkannt worden.
Somit hat sich WPEngine in den letzten Jahren ein Alleinstellungsmerkmal in den USA aufbauen können, die in Konkurrenz zu großen Massenanbietern steht wie GoDaddy, BlueHost. Auch gegenüber WordPress.org hat sich WPEngine mittlerweile erfolgreich behaupten können.
WPEngine verwaltet derzeit 120.000 Brands und beschäftigt derzeit knapp 900 Mitarbeiter weltweit. Mit dem derzeitigen Investment von knapp US$ 300 Millionen gehört das Unternehmen somit zu den größten am Markt, hat einen jährliches Wachstum von knapp 50% mit 132 Millionen Umsatz im Jahr. Der Gesamtwert des Unternehmens wird derzeit auf über 1 Milliarde US-Dollar geschätzt.
WPEngine und DSGVO
In Bezug auf Hilfestellung und Erfüllung dokumentarischer Prozesse in Bezug auf DSGVO ist WPEngine allerdings vor allem im deutschen Sektor nicht beliebt und wird daher von vielen Datenschutzbeauftragten und auch Anwälten ablehnend beurteilt.
Damit ist WPEngine nicht allein, so ist Deutschland insgesamt dafür bekannt zahlreiche Angebote aus dem amerikanischen Markt mit Skepsis zu betrachten.
Das liegt daran, dass WPEngine, wie viele andere U.S.-amerikanische Unternehmen auch, dafür bekannt ist, nicht auf die DSGVO-Ansprüche von deutschen Unternehmen einzugehen, und ebenfalls keinen gesonderten Aufwänden nachgehen, um skeptische deutsche Datenschutzexperte vom Gegenteil zu überzeugen.
Es ist nicht ungewöhnlich, dass Unternehmen aufgrund starker Datenschutzdebatten, Deutschland als Absatzmarkt ignorieren. Obwohl der deutsche Markt zu den größten in Europa zählt, haben vor allem amerikanische Unternehmen mit globalen Wachstumsstrategien mittlerweile sich dazu entschlossen den deutschen Markt außer Acht zu lassen, wenn Datenschutzregeln ihnen zu aufwändig, unzweckmäßig oder gar schädlich erscheinen. Google Street View ist ein gutes Beispiel dafür.
Dieser Vorgang von WPEngnie ist nicht ungewöhnlich und durchaus nachvollziehbar. Beispielsweise sind amerikanische Unternehmen nicht bereit einen aufwändigen und rechtlich komplexen Auftragsverarbeitungvertrag (AVV) zu unterschreiben. Schaut man sich die Inhalte eines AVV genauer an, die in der EU von Auftragnehmern verlangt werden, sehen amerikanische Unternehmen eine Reihe von Pflichten auf sich zukommen, auf die sie nicht bereit sind einzugehen. So können AVVs oft kryptisch klingende DSVGO-Konzepte wie Löschkonzepte, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers nach Verlangen verlangen bereitzustellen. Damit nicht genug, verlangt ein AVV von amerikanischen Unternehmen, dass sie ihre amerikanischen Mitarbeiter zur Vertraulichkeit im Rahmen des DSVGO verpflichten und sie auch noch nach den Bestimmungen zum Datenschutz gem. DSVGO vertraut machen. Dass ein amerikanisches Unternhehmen keinerlei Sinn darin sieht ihre amerikanischen Mitarbeiter mit ausländischen Gesetzen vertraut zu machen ist nachvollziehbar. Das käme dem Verlangen eines chinesischen Unternehmens gleich, der von einem deutschen Dienstleister erwartet, dass sie ihre deutsche Mitarbeiter in chinesischen Gesetzen schult.
Weiterhin wird von dem amerikanischen Unternehmen gar verlangt DSGVO-kompatible Kontroll- und Sicherheitsmaßnahmen nicht nur einzurichten, sondern regelmäßig zu protokollieren, unverzüglich bei Verlangen auch offenzulegen, und zudem mit deutschen Behörden unentgeltlich zusammenzuarbeiten.
Für den Amerikaner klingen solche Verträge absurd und unrealistisch, weswegen hier die Zusammenarbeit mit deutschen Unternehmen verweigert wird. Zudem haben amerikanische Unternehmen nicht die Ressourcen für Kompetenzen aufgebaut, um solche kulturfremden Ansprüche aufzubringen. Solche AVVs und ähnliche Ansprüche werden oft daher nur von einige wenigen amerikanischen Unternehmen erfüllt, wie zum Beispiel Amazon Web Services (AWS) und Google.
Derweil ist das vor allem für Unternehmen, die in den Genuss moderner WordPress-Infrastrukturen kommen möchten nicht hilfreich, wenn die weitverbreitete Meinung in Deutschland herrscht, WPEngine sei nicht datenschutzkonform.
Aus diesem Grund weichen viele deutsche Unternehmen auf alternative Systeme aus, die jedoch von der Funktionalität, Effizienz, Einfachheit und vor allem der Servergeschwindigkeit her mit der modernen Infrastruktur von WPEngine nicht annähernd vergleichbar sind.
Je mehr Markanteil WPEngine gewann, desto mehr gelangte das Unternehmen daher in den letzten Jahren in die Beurteilungszwänge von zahlreichen deutschen Datenschutzexperten.
Somit steht fest, dass in Sachen WPEngine deutsche Datenschutzexperten auf sich selbst gestellt sind.
Daher möchten weiterhin in diesem Artikel die datenschutzrechtlichen Bestimmungen von WPEngine genauer unter die Lupe nehmen und somit Hilfestellungen anbieten WPEngine unter der Betrachtung von DSGVO für deutsche Unternehmen trotzdem nutzbar machen zu können.
Serverstandort
Um der Diskussion zu entgehen, dass der WordPress-Server außerhalb der EU liegt, empfehlen wir grundsätzlich die Wahl auf einen deutschen Server zu setzen. Bei der Erstellung eines WPEngine-Zugangs hat der Nutzer die Wahl den Serverstandort zu bestimmen. Im deutschen Raum bietet beispielsweise WPEngine einen Frankfurter Server an, der entsprechend durch die IP im A-Record erkennen lässt, dass es sich um einen Frankfurter Server handelt, welcher von der Google Cloud betreut wird.
Auftragsverearbeitungsvertrag (AVV)
Auf einen Auftragsverearbeitungsvertrag (AVV) — zu English Data Processing Agreement oder Data Processing Addendum — abgekürzt DPO — ist WPEngine aus den bereits oben genannten gründen nicht bereit einzugehen. Insgesamt wird kaum ein amerikanisches Unternehmen ein Dokument wie AVV unterschreiben. Es wird seitens WPEngine lediglich auf das Dokument auf https://wpengine.com/legal/dpa/ aufmerksam gemacht, welches als AVV jedoch nicht genutzt werden kann.
Der Kontakt bei WPEngine zum Executive Team sowie eine Anfrage beim legal@wpengine.com führte unsererseits ebenfalls zu keinem positiven Ergebnis, was auch hier kaum verwunderlich ist aufgrund der Fülle von Verpflichtungen eines AVVs, der für ein amerikanisches Unternehmen eher als wirklichkeitsfremd gilt.
Daher bleibt als Alternativlösung die Möglichkeit über ein externes Unternehmen den Auftrag für ein WordPress-Hosting zu beauftragen. Dieses Unternehmen kann dann mit dem deutschen Unternehmen ein AVV abschließen, um dann schließlich WPEngine als Unternehmen zu beauftragen. Somit würde also zwischen dem deutschen Unternehmen und einer externen Agentur ein AVV bestehen, womit die rechtlichen Richtlinien für ein AVV zumindest erfüllt wären.
Als problematisch ist zu betrachten, dass bei https://wpengine.com/legal/privacy/ der Punkt “Web server logs” darlegt, dass WPEngine Web Server Logs speichern. Das heißt, trotz eines bestehenden AVVs und eines Serverstandorts in Deutschland, kann nach wie vor das amerikanische Unternehmen WPEngine Zugang auf die IP-Adressen der Website-Besucher haben.
Das einzige Lichtblick bleibt bestehen, dass letztlich für den Außenstehenden nicht erkannt werden kann, wer was speichert und ob überhaupt etwas gespeichert wird. Denn aus lediglich einer Frankfurter IP-Adresse kann nicht ohne Weiteres auf WPEngine zurückgeschlossen werden.
Nicht feststellbar ist ebenfalls, ob WPEngine auch tatsächlich diese IP-Adressen aus dem Frankfurter Server auch sammelt oder darauf von den USA aus zugreift. Aufgrund der internationalen Aufstellung von WPEngine ist es ohne eine klare Bestätigung oder Auswertung somit nicht möglich festzustellen oder zu beweisen, dass WPEngine auf IP-Adressen deutscher Website-Besucher zugreift. Und WPEngine ist auch ehrlich mit der Aussage zu behaupten, dass diese Möglichkeit besteht.
Im Grunde heißt es, dass die Wahl auf WPEngine mit einem Frankfurter Server möglicherweise vor Abmahnungen schützen kann, da die Nachvollziehbarkeit und Beweisbarkeit nicht gegeben ist, sofern der Serverstandort als Frankfurt gewählt wird. Die Angabe von WPEngine, dass Sie sich grundsätzlich erlauben Zugang auf IP-Adressen zu haben sollte möglicherweise im Zweifelsfall vor Gericht nicht eindeutig geklärt werden, wenn nicht klare und nachweisbaren ein Beweis dargelegt werden, dass der Zugang auch aus den USA tatsächlich erfolgt.
Dass dies durchaus für deutsche Datenschutzbeauftragten ein beunruhigender Zustand ist lässt sich jedoch ebenfalls nachvollziehen. Schließlich ist es nicht das Ziel von Datenschutzexperten sich auf Risiken Grauzonen zu verlassen oder ihre Entscheidung auf bestehender Nicht-Beweisbarkeiten zu treffen.
Dennoch bleibt festzuhalten, auch wenn das möglicherweise keine zufriedenstellende Lösung für deutsche Unternehmen ist, dass letztlich der Beweis, ob und wie Daten aus den USA gesammelt werden nicht bewiesen werden kann. Im Zweifelsfall und für den Fall, dass WPEngine mal in die Schlagzeilen geraten sollte, schützt diese Tatsache jedoch nicht vor einer unangenehmen Abmahnung und ein möglicher Streit mit dem Abmahnenden, was nun beweisbar ist und was nicht. Hier bleibt als Trost letztlich der amerikanische Spruch:
“Well cross that bridge, when we get there”.
Personenbezogene Daten bei WPEngine
Wer eine Website unter WPEngine betreibt muss in erster Linie beim Speichern von personenbezogenen Daten auf der WordPress-Installation darauf achten, wo diese Daten liegen. Obwohl der Serverstand bei WPEngine ein deutscher Server ist, argumentieren deutsche Datenschutzexperten, dass letztlich ein amerikanisches Unternehmen dahintersteckt, der jederzeit auf diese Daten zugreifen kann.
Daher kann es hilfreich sein, wenn auf der Website insgesamt gar keine Daten gespeichert werden, und beispielsweise Kontaktanfragen und Speicherung direkt über eine gesicherte E-Mail-Verbindung versandt werden. Wenn gar keine personenbezogenen Daten auf dem Server gespeichert werden, verliert im Grunde die DSGVO ihre Einsatzberechtigung.
Als einziger Nachteil bleibt jedoch weiterhin die IP der Website-Besucher, die jedoch weiterhin in den Logbüchern bei WPEngine gespeichert werden können. Dieses Argument kann aus dem Mindset des deutschen Datenschutzbeauftragten also dann immer noch dazu führen, WPEngine als datenschutzrechtlich problematisch auszusprechen.
Alternative Lösungen mit WPEngine
Headlesss WordPress
Eine weitere Möglichkeit auf WPEngine zu hosten und trotzdem die datenschutzrechtlichen Bestimmungen einzuhalten ist die Betreibung eines Headless WordPress. Mit einem einem Headless WordPress kann WordPress auf WPEngine gehostet werden, der die Website wird jedoch auf einen deutschen Server quasi gespiegelt.
So funktioniert das: Hierbei wird WordPress gewöhnlich auf WPEngine gehostet. Die Domain und die URL jedoch werden auf einem anderen Framework gehostet, wie zum Beispiel auf einem datenschutzkonformen deutschen Server. Die Nutzer greifen sodann auf den deutschen Server zu, wo die IPs der Nutzer ebenfalls gespeichert werden, ohne, dass WPEngine Zugang darauf hätte. Und dann wird bei jedem Zugang die jeweiligen Inhalte aus dem WPEngine-Server geladen, wie beispielsweise durch REST-URL bzw. REST-API. Somit liegen zwar die Inhalte auf WPEngine, die Inhalte werden jedoch von einem deutschen Server aus geladen.
Diese Methode ist durchaus aufwändiger, da nun zwei Server verwaltet werden müssen. Zudem macht diese Methode den Einsatz eines Frameworks wie WP Gatsby und ähnliche Lösungen notwendig. WPEngine bietet eine eigene Lösung namens “Atlas” an, welches die Möglichkeit bietet die WordPress-Website auf einen anderen Server anzuzeigen bzw. zu spiegeln.
Statische HTML
In Zusammenhang mit der Headless-Methodik ist es möglich, Websites als statische HTML zu kreieren. Auch hier wird im Grunde die gesamte Website weiterhin auf WPEngine gehostet. WPEngine kreiert jedoch mit dem Einsatz eines Headless WordPress Framworks nun alle Daten als pures HTMLs auf einem deutschen Server. Die Nutzer greifen sodann auf einen deutschen Server zu, wo alle Daten gespeichert werden, während WPEngine lediglich die Daten liefert.
Dieses Konzept sorgt zudem für einen immensen Speed-Vorteil, da nun die gesamte Website per HTML geladen wird.
In diesem oben genannten Fall jedoch ist eine Trennung notwendig: HTML muss auf einem deutschen Server kreiert werden. Diese Methodik erfordert daher eine etwas aufwändigere Konfiguration, wo nun zwei Server zum Einsatz kommen müssen — auch hier sind Headless WordPress-Konzepte notwendig, wie der Einsatz von WP Gatsby, Atlas oder andere Frameworks.
Welche Host-Alternativen gibt es zu WPEngine?
Eine Alternative für WPEngine gibt es im deutschen Raum nicht.
Die Unternehmensgröße und Funktionalitäten von WPEngine sind derweil den deutschen Hosts deutlich voraus. Die Zusammenarbeit zwischen Staging, Development und Production, der Existenz von 1-Klick-Backups von allen drei Ebenen sowie einer ausgefeilten Rechtemanagement für Developer, sowie die Support-Infrastruktur, sowie der günstige Preis, ist bei WPEngine weltweit noch führend.
Deutsche Unternehmen, die auf den Genuss von WPEngine kommen wollen, brauchen daher aufwändige Workarounds, wenn der Datenschutz als Stolperstein die wirtschaftlichen Ziele verhindert.
Wenn man grundsätzlich auf WPEngine verzichten möchte oder muss, gilt es grundsätzlich die zwei Hauptfunktionen von WPEngine auszugliedern — Staging und WordPress-Management. Daher empfehlen wir für deutsche Unternehmen auf die Ebene “Staging” mit einem anderen Dienstleister abzudecken, vor allem wenn die Website Development-getrieben ist.
HostEurope als WordPress-Host
Das von HostEurope angebotene Supreme Paket verspricht tägliche Backups mit einem 1-Click-Restore, 1-Click-Staging sowie ein 24h Support. HIer ist jedoch nicht davon auszugehen, dass der Support dedizierte WordPress-Hosting-Erfahrung hat, da WordPress grundsätzlich ein Anbieter von vielen Hosting-Paketen und nicht nur auf WordPress spezialisiert ist.
HostEurope wird von vielen Datenschutzbeauftragten empfohlen, wobei es sich hier ebenfalls um ein amerikanisches Unternehmen handelt (GoDaddy). Somit ist es ohnehin widersprüchlich, weswegen WPEngine aufgrund der möglichen Zugangs auf den Frankfurter-Server (wie oben beschrieben) als problematisch, und HostEurope als datenschutzrechtlich in Ordnung gilt. In beiden Fällen haben amerikanische Unternehmen die Möglichkeit auf die IP-Logbücher zuzugreifen.
Wie in vielen Fällen haben unserer Erfahrung nach Datenschutzbeauftragte verschiedene Meinungen und Präferenzen, die nicht immer mit dem DSGVO im Einklang stehen. In meiner Karriere habe ich leider oft mit Datenschutzbeauftragten zu tun gehabt, die eher nach dem Prinzip des Confirmation Bias handeln — also Dinge so interpretieren, so dass sie ihren eigene persönliche Erwartungen erfüllen.
Viele amerikanisches Dienstleister sind daher auch mittlerweile dazu geneigt die Zusammenarbeit mit dem Dienstleister zu beenden, als uns zu sehr mit Datenschutz-Aufgaben zu beschäftigen, die über deren Core-Kompetenzen hinausgehen.
Ionos (1&1) als WordPress-Host
Das von HostEurope angebotene Supreme Paket verspricht tägliche Backups mit einem 1-Click-Restore, 1-Click-Staging sowie ein 24h Support. HIer ist jedoch nicht davon auszugehen, dass der Support dedizierte WordPress-Hosting-Erfahrung hat, da WordPress grundsätzlich ein Anbieter von vielen Hosting-Paketen und nicht nur auf WordPress spezialisiert ist.
HostEurope wird von vielen Datenschutzbeauftragten empfohlen, wobei es sich hier ebenfalls um ein amerikanisches Unternehmen handelt (GoDaddy). Somit ist es ohnehin widersprüchlich, weswegen WPEngine aufgrund der möglichen Zugangs auf den Frankfurter-Server (wie oben beschrieben) als problematisch, und HostEurope als datenschutzrechtlich in Ordnung. In beiden Fällen haben amerikanische Unternehmen die Möglichkeit auf die IP-Logbücher zuzugreifen.
Raidboxes als WordPress Host (nicht empfohlen)
Das Unternehmen ist zwar bekannt dafür die DSGVO-Richtlinien zu erfüllen, aber unsere persönliche Erfahrung hat deutlich gemacht, dass es sich hierbei um ein unterentwickeltes Dashboard mit vielen Schwächen handelt. Zumal es sich hierbei um ein kleines Unternehmen handelt im Vergleich zu Riesen wie GoDaddy (HostEurope) und ein Support ebenfalls einen sehr unprofessionellen Eindruck hinterlassen hat. Datenverluste und Systemausfälle scheinen hier an der Tagesordnung zu liegen.
WP Space als WordPress Host (nicht empfohlen)
WP Space bietet leider keinen 24-Support an und verschleiert insgesamt die Unternehmensgröße. Es ist davon auszugehen, dass es sich hierbei um ein kleines Unternehmen handelt. Ebenfalls ist unklar, wie die beworbene Staging-Umgebung funktioniert.
WP-Projects als WordPress Host (nicht empfohlen)
Das Unternehmen bietet keine 30-tägige Backups an. Ebenfalls konnten wir hier kein 1-Click-Backup/Restore, Staging-Umgebung und ebenfalls kein Support entdecken. Die Website hat zudem kein Impressum aufgeführt, so dass das Unternehmen dahinter auf den ersten Blick nicht erkannt werden kann.
