InspectWP Logo
Glossar

Was ist Gravatar?

8. Februar 2026 Aktualisiert am 19.04.2026

Gravatar, kurz für Globally Recognized Avatar, ist ein kostenloser Dienst von Automattic (dem Unternehmen hinter WordPress.com), der Profilbilder mit E-Mail-Adressen verknüpft. Das Konzept ist einfach: Du lädst einmal einen Avatar auf gravatar.com hoch, und er begleitet dich durchs Internet. Jede Website, die Gravatar unterstützt, kann dein Profilbild neben deinem Namen anzeigen, ohne dass du es erneut hochladen musst.

WordPress enthält Gravatar-Unterstützung seit Version 2.5 (2008), und sie ist bei jeder WordPress-Installation standardmäßig aktiviert. Das bedeutet, dass deine WordPress-Seite bei jedem Seitenaufruf mit Avataren Daten an Gravatars Server sendet, sofern du es nicht aktiv deaktivierst. Für viele Seitenbetreiber, besonders in der Europäischen Union, entsteht dadurch ein erhebliches Datenschutzproblem.

Wie Gravatar technisch funktioniert

Der technische Prozess hinter Gravatar ist unkompliziert, hat aber wichtige Datenschutz-Implikationen. Wenn WordPress einen Avatar für einen Benutzer oder Kommentator anzeigen muss, nimmt es dessen E-Mail-Adresse, wandelt sie in Kleinbuchstaben um, entfernt Leerzeichen und generiert einen MD5-Hash. Zum Beispiel wird die E-Mail user@example.com zu etwas wie b58996c504c5638798eb6b511e6f49af.

WordPress konstruiert dann eine Bild-URL wie diese:

https://secure.gravatar.com/avatar/b58996c504c5638798eb6b511e6f49af?s=96&d=mm

Der Parameter s setzt die Bildgröße (96 Pixel in diesem Fall), und der Parameter d gibt ein Standardbild an, das angezeigt wird, wenn kein Gravatar für diesen Hash existiert. Wenn der Browser eines Besuchers die Seite lädt, stellt er eine HTTP-Anfrage an secure.gravatar.com, um jedes Avatar-Bild abzurufen. Diese Anfrage enthält die IP-Adresse des Besuchers (wie jede HTTP-Anfrage), und die URL selbst enthält den MD5-Hash der E-Mail des Kommentators.

MD5-Hashes sind theoretisch einseitig, aber in der Praxis lassen sie sich für gängige E-Mail-Adressen leicht umkehren. Rainbow Tables und Hash-Lookup-Dienste können einen MD5-Hash oft in die ursprüngliche E-Mail zurückwandeln. Das bedeutet, Gravatar-URLs sind nicht wirklich anonymisiert.

Wo WordPress Gravatar standardmäßig verwendet

Gravatar-Bilder erscheinen an mehreren Stellen einer WordPress-Seite, und nicht alle davon sind offensichtlich:

  • Kommentarbereiche: Jeder Kommentar zeigt den Gravatar des Kommentators neben seinem Namen an. Bei einem Beitrag mit 50 Kommentaren sind das 50 separate Anfragen an Gravatars Server.
  • Admin-Dashboard: Der WordPress-Admin-Bereich zeigt Gravatars für den eingeloggten Benutzer, in Benutzerlisten und im „Auf einen Blick"-Widget.
  • Autoren-Bio-Boxen: Viele Themes zeigen den Gravatar des Autors im Autoren-Bio-Bereich unter Beiträgen an.
  • Benutzerprofilseiten: Im WordPress-Admin verwenden Benutzerprofile Gravatar als Standard-Avatar-Quelle.
  • BuddyPress und bbPress: Wenn du diese Community-Plugins verwendest, erscheinen Gravatars in Foren, Mitgliederverzeichnissen und Aktivitäts-Streams.
  • WooCommerce-Bewertungen: Produktbewertungen zeigen Gravatars der Rezensenten genau wie Blog-Kommentare.

Das DSGVO-Problem im Detail

Die Datenschutz-Grundverordnung (DSGVO) verlangt, dass personenbezogene Daten nur mit einer Rechtsgrundlage verarbeitet werden, typischerweise einer informierten Einwilligung. Das Standardverhalten von Gravatar in WordPress verursacht mehrere DSGVO-Konformitätsprobleme:

IP-Adressen-Übertragung: Wenn der Browser eines Besuchers ein Gravatar-Bild abruft, wird dessen IP-Adresse an Automattics Server (in den USA) gesendet. IP-Adressen gelten nach der DSGVO als personenbezogene Daten. Diese Datenübertragung geschieht ohne Wissen oder Einwilligung des Besuchers, und es gibt keinen Mechanismus in WordPress, um vor dem Laden von Gravatars um Erlaubnis zu fragen.

E-Mail-Hash-Offenlegung: Der MD5-Hash der E-Mail-Adresse jedes Kommentators ist in der Gravatar-URL eingebettet, die im HTML-Quellcode der Seite sichtbar ist. Obwohl es sich um einen Hash und nicht um die Klartext-E-Mail handelt, gilt er dennoch als personenbezogenes Datum, weil er umkehrbar ist oder verwendet werden kann, um dieselbe Person über mehrere Websites hinweg zu verfolgen. Automattic erhält diese Hashes als Teil jeder Bildanfrage.

Cross-Site-Tracking-Potenzial: Weil Gravatar denselben E-Mail-Hash über alle Websites hinweg verwendet, kann Automattic theoretisch ein Profil erstellen, auf welchen Seiten eine Person kommentiert. Selbst wenn sie das nicht aktiv tun, besteht die technische Möglichkeit, und darauf konzentriert sich die DSGVO-Konformität.

Datentransfer in ein Drittland: Automattic ist ein US-amerikanisches Unternehmen. Nach dem Schrems-II-Urteil des Europäischen Gerichtshofs von 2020 erfordert die Übermittlung personenbezogener Daten in die USA zusätzliche Schutzmaßnahmen. Viele Rechtsexperten betrachten die Standard-Gravatar-Nutzung auf europäischen Websites als nicht konform, weil kein Auftragsverarbeitungsvertrag besteht und keine Möglichkeit existiert, eine ordnungsgemäße Einwilligung vor der Datenübertragung einzuholen.

Deutsche Datenschutzbehörden sind bei diesem Thema besonders streng. Mehrere Gerichtsurteile und behördliche Stellungnahmen haben festgestellt, dass das Laden von Gravatar-Bildern ohne Einwilligung gegen die DSGVO verstößt. Die Rechtslage ist sehr ähnlich wie beim bekannten Google-Fonts-Urteil, bei dem ein Münchner Gericht Schadensersatz für das Laden von Google Fonts von externen Servern ohne Einwilligung zugesprochen hat.

Performance-Auswirkungen auf deine WordPress-Seite

Neben dem Datenschutz beeinflusst Gravatar auch die Ladegeschwindigkeit deiner Seite. Jedes Gravatar-Bild erfordert eine separate HTTP-Anfrage an einen externen Server. Bei einem Blogbeitrag mit vielen Kommentaren summiert sich das schnell:

  • Jeder Avatar erfordert einen DNS-Lookup für secure.gravatar.com (zumindest bei der ersten Anfrage).
  • Jedes Bild ist eine separate HTTP-Anfrage mit eigenem Latenz-Overhead.
  • Wenn Gravatars Server langsam oder nicht erreichbar sind, stockt das Seitenrendering, während der Browser auf die Bilder wartet.
  • Gravatar-Bilder können nicht von deinen lokalen Caching- oder Bildoptimierungs-Plugins optimiert werden.
  • Browser-Verbindungslimits bedeuten, dass viele gleichzeitige Gravatar-Anfragen das Laden deiner eigenen Ressourcen blockieren können.

Bei einer Seite mit 30 Kommentaren könntest du 30 externe HTTP-Anfragen hinzufügen, die die Browser deiner Besucher ausführen müssen, bevor die Seite vollständig geladen ist. Für Besucher mit langsamen Mobilverbindungen ist das eine spürbare Verzögerung.

Alternativen zu Gravatar für WordPress

Es gibt mehrere Ansätze, um Gravatar zu ersetzen und trotzdem Avatare auf deiner WordPress-Seite anzuzeigen:

  • Avatare komplett deaktivieren: Unter Einstellungen > Diskussion „Avatare anzeigen" deaktivieren. Das ist die einfachste Lösung, entfernt aber die visuelle Identität aus Kommentaren.
  • Lokal generierte Avatare verwenden: Plugins wie „Simple Local Avatars" oder „WP User Avatar" lassen Benutzer Profilbilder hochladen, die auf deinem eigenen Server gespeichert werden. Keine externen Anfragen, keine Datenschutzbedenken.
  • Generierte Standard-Avatare: WordPress kann einfache geometrische Avatare (wie Identicons oder Retro-Muster) basierend auf dem E-Mail-Hash generieren, ohne Gravatars Server zu kontaktieren. Einige Plugins implementieren dies lokal.
  • Lokales Gravatar-Caching: Plugins wie „Avatar Privacy" oder „Cache Gravatar" laden Gravatar-Bilder einmal herunter und liefern sie von deinem lokalen Server aus. Das bewahrt das Gravatar-Erlebnis, eliminiert aber externe Anfragen bei jedem Seitenaufruf. Allerdings sendet der initiale Download trotzdem Daten an Gravatar, sodass es das DSGVO-Problem nur teilweise löst.
  • Einwilligungsbasiertes Laden: Einige DSGVO-Cookie-Consent-Plugins können das Laden von Gravatar blockieren, bis der Besucher einwilligt. Das ist der konformste Ansatz, wenn du Gravatar weiter nutzen möchtest, bedeutet aber, dass Avatare unsichtbar bleiben, bis die Einwilligung erteilt wird.

Was InspectWP prüft

InspectWP durchsucht den HTML-Quellcode und die Netzwerkanfragen deiner WordPress-Seite nach Verbindungen zu gravatar.com oder secure.gravatar.com. Wenn Gravatar-Bilder erkannt werden, markiert der Report dies als DSGVO-Bedenken im Datenschutz-Abschnitt. Dieser Hinweis zeigt an, dass deine Seite personenbezogene Daten (Besucher-IP-Adressen und E-Mail-Hashes) an Automattics US-basierte Server überträgt, ohne einen expliziten Einwilligungsmechanismus. Der Report empfiehlt, entweder Gravatar komplett zu deaktivieren, auf lokal gehostete Avatare umzusteigen oder eine einwilligungsbasierte Ladelösung zu implementieren.

Vorheriger Artikel

Was ist die WordPress REST API?

Nächster Artikel

Was ist HTTP/2?

Verwandte Artikel

Was ist eine Meta Description?

Was ist Mixed Content?

Was ist Lazy Loading?

Alle Artikel anzeigen

Prüfe jetzt deine WordPress-Seite

InspectWP analysiert deine WordPress-Seite auf Sicherheitslücken, SEO-Probleme, DSGVO-Konformität und Performance — kostenlos.

Seite kostenlos analysieren