InspectWP Logo
Anleitung

Gravatar in WordPress deaktivieren (DSGVO)

8. Februar 2026

Gravatar (Globally Recognized Avatar) ist ein Dienst von Automattic, der Benutzerprofilbilder basierend auf E-Mail-Adressen bereitstellt. WordPress nutzt Gravatar standardmassig, um Avatare in Kommentaren, Autorenbeschreibungen und Benutzerprofilen anzuzeigen. Diese Integration ist zwar praktisch, wirft aber erhebliche Datenschutzbedenken auf, die jeder Seitenbetreiber verstehen sollte.

Warum Gravatar ein DSGVO-Problem darstellt

Wenn ein Besucher auf deiner WordPress-Website einen Kommentar hinterlasst, wird seine E-Mail-Adresse per MD5 gehasht und an Gravatars Server unter gravatar.com gesendet, um das Avatar-Bild abzurufen. Dieser Vorgang erzeugt mehrere DSGVO-Probleme:

  • IP-Adress-Ubermittlung: jede Gravatar-Anfrage sendet die IP-Adresse des Besuchers an Automattics Server in den USA. Unter der DSGVO gelten IP-Adressen als personenbezogene Daten, und ihre Ubermittlung in ein Drittland ohne angemessene Schutzmassnahmen erfordert eine ausdruckliche Einwilligung.
  • E-Mail-Hash-Offenlegung: der MD5-Hash der E-Mail-Adresse ist in der Gravatar-URL enthalten (z.B. gravatar.com/avatar/ab12cd34...). MD5 ist kein sicherer Hash-Algorithmus. Rainbow Tables und Brute-Force-Angriffe konnen gangige E-Mail-Hashes umkehren und so die E-Mail-Adressen deiner Besucher offenlegen.
  • Tracking-Potenzial: da der gleiche Hash auf allen Websites mit aktiviertem Gravatar verwendet wird, konnte Automattic theoretisch die Browsing-Aktivitaten eines Benutzers uber alle WordPress-Websites hinweg verfolgen, die er besucht oder kommentiert.
  • Kein Einwilligungsmechanismus: WordPress ladt Gravatar-Bilder automatisch, ohne den Besucher um Einwilligung zu bitten. Unter der DSGVO erfordert das Laden externer Ressourcen, die personenbezogene Daten ubermitteln, eine vorherige informierte Einwilligung.

Mehrere europaische Datenschutzbehorden haben Gravatar als problematisch eingestuft, und Websites, die Gravatar ohne Einwilligung laden, verstossen technisch gegen DSGVO-Anforderungen.

Avatare uber WordPress-Einstellungen deaktivieren

Der einfachste Weg, Gravatar-Anfragen zu stoppen, fuhrt uber das WordPress-Admin-Panel:

  1. Navigiere zu Einstellungen und dann zu Diskussion in deinem WordPress-Admin.
  2. Scrolle nach unten zum Bereich Avatare.
  3. Deaktiviere die Option "Avatare anzeigen".
  4. Klicke auf Anderungen speichern.

Dies deaktiviert die Avatar-Anzeige auf deiner gesamten Website vollstandig. Es werden keine Anfragen mehr an gravatar.com gestellt. Der Nachteil ist, dass du jegliche Avatar-Funktionalitat verlierst, was Kommentarbereiche und Autorenprofile weniger personlich wirken lasst.

Gravatar durch lokale Avatare per Code ersetzen

Wenn du weiterhin Avatare anzeigen mochtest, aber ohne externe Anfragen, kannst du die Gravatar-URL uberschreiben und auf ein lokales Standardbild verweisen. Fuge dies in die functions.php deines Themes oder ein benutzerdefiniertes Plugin ein:

// Gravatar durch lokalen Standard-Avatar ersetzen
add_filter('get_avatar_url', function($url, $id_or_email, $args) {
    // Lokales Standard-Avatar-Bild zuruckgeben
    return get_template_directory_uri() . '/images/default-avatar.png';
}, 10, 3);

// DNS-Prefetch zu gravatar.com verhindern
remove_action('wp_head', 'wp_resource_hints', 2);

Stelle sicher, dass du ein Standard-Avatar-Bild erstellst und es unter dem im Code angegebenen Pfad ablegst. Eine einfache generische Silhouette oder dein Website-Logo funktionieren gut. Das Entfernen von wp_resource_hints verhindert, dass WordPress einen DNS-Prefetch-Hinweis fur gravatar.com im HTML-Head hinzufugt, der sonst auch ohne das Laden tatsachlicher Bilder eine Verbindung zu Gravatars Servern herstellen wurde.

Plugin fur lokale Avatar-Verwaltung verwenden

Mehrere Plugins machen es einfach, Gravatar durch lokal gehostete Avatare zu ersetzen und Benutzern die Moglichkeit zu geben, eigene Profilbilder hochzuladen, ohne einen externen Dienst zu nutzen:

  • One User Avatar (WP User Avatar): erlaubt jedem Benutzer, ein benutzerdefiniertes Profilbild hochzuladen, das auf deinem Server gespeichert wird. Enthalt eine Standard-Avatar-Option fur Benutzer, die noch keines hochgeladen haben. Einfach einzurichten und funktioniert mit den meisten Themes.
  • Simple Local Avatars: ein schlankes Plugin, das ein Avatar-Upload-Feld zu Benutzerprofilen hinzufugt. Alle Bilder werden lokal gespeichert, und es umgeht Gravatar vollstandig. Es unterstutzt auch den Import vorhandener Gravatar-Bilder in den lokalen Speicher fur eine einmalige Migration.
  • Avatar Privacy: die umfassendste Option. Es blockiert Gravatar standardmassig, lasst Benutzer sich fur Gravatar entscheiden, wenn sie mochten, generiert einzigartige Standard-Avatare (wie Identicons im GitHub-Stil) und ubernimmt das Einwilligungsmanagement fur die Avatar-Anzeige.

Generierte Avatare als datenschutzfreundliche Alternative

Wenn du mochtest, dass jeder Kommentator einen einzigartigen Avatar hat, ohne auf einen externen Dienst angewiesen zu sein, sind generierte Avatare eine hervorragende Losung. WordPress enthalt einige eingebaute Optionen (Identicons, Wavatars, MonsterID), aber diese werden standardmassig von Gravatars Servern generiert. Um sie lokal zu generieren, kann das Avatar Privacy Plugin Identicons und andere generierte Avatare vollstandig auf deinem Server erstellen, ganz ohne externe Anfragen.

Ein anderer Ansatz sind CSS-basierte Avatare, die den ersten Buchstaben des Kommentatornamens in einem farbigen Kreis anzeigen. Dies erfordert keine Bilder, keine externen Anfragen und bietet ein sauberes, modernes Erscheinungsbild. Mehrere schlanke Plugins und Code-Snippets sind fur diesen Ansatz verfugbar.

Performance-Vorteile durch Deaktivierung von Gravatar

Neben dem Datenschutz verbessert das Entfernen von Gravatar auch die Performance deiner Website. Jedes Gravatar-Bild ist eine externe HTTP-Anfrage an gravatar.com. Bei einem Blogbeitrag mit 20 Kommentaren bedeutet das 20 zusatzliche DNS-Lookups und Bild-Downloads von einem externen Server. Durch das lokale Bereitstellen von Avataren (oder deren Verzicht) eliminierst du diese externen Anfragen, reduzierst die Seitenladezeit und verbesserst deine Core Web Vitals. Das ist besonders auf mobilen Verbindungen spurbar, wo die Latenz zu externen Servern sich schnell summiert.

Cookie-Consent-Uberlegungen

Falls du dich entscheidest, Gravatar aktiviert zu lassen (zum Beispiel hinter einem Cookie-Consent-Banner), beachte, dass du es korrekt mit deiner Consent-Management-Plattform integrieren musst. Gravatar-Bilder sollten erst geladen werden, nachdem der Besucher seine ausdruckliche Einwilligung zu externen Medien oder Drittanbieter-Diensten gegeben hat. Die meisten Cookie-Consent-Plugins wie Complianz, GDPR Cookie Compliance oder Borlabs Cookie konnen so konfiguriert werden, dass sie Gravatar bis zur Einwilligung blockieren, aber dies erfordert manuelle Einrichtung und Tests.

Mit InspectWP verifizieren

Fuhre nach dem Deaktivieren von Gravatar einen neuen InspectWP-Scan auf deiner Website durch. Der DSGVO-Bereich deines Reports zeigt an, ob Gravatar noch als externer Dienst geladen wird. Wenn du es erfolgreich entfernt hast, sollte die Gravatar-Prufung nicht mehr als Problem erscheinen. Uberprufe auch den Bereich fur externe Ressourcen im Report, um zu bestatigen, dass keine Anfragen an gravatar.com oder secure.gravatar.com verbleiben.

Vorheriger Artikel

WordPress REST API deaktivieren

Nächster Artikel

Google Fonts lokal in WordPress einbinden

Verwandte Artikel

XML-Sitemap in WordPress erstellen

WordPress Debug-Log absichern

WordPress-Versionsnummer verstecken

Alle Artikel anzeigen

Prüfe jetzt deine WordPress-Seite

InspectWP analysiert deine WordPress-Seite auf Sicherheitslücken, SEO-Probleme, DSGVO-Konformität und Performance — kostenlos.

Seite kostenlos analysieren