InspectWP Logo
Glossar

Was ist Gravatar?

8. Februar 2026

Gravatar, kurz fuer Globally Recognized Avatar, ist ein kostenloser Dienst von Automattic (dem Unternehmen hinter WordPress.com), der Profilbilder mit E-Mail-Adressen verknuepft. Das Konzept ist einfach: Du laedst einmal einen Avatar auf gravatar.com hoch, und er begleitet dich durchs Internet. Jede Website, die Gravatar unterstuetzt, kann dein Profilbild neben deinem Namen anzeigen, ohne dass du es erneut hochladen musst.

WordPress enthaelt Gravatar-Unterstuetzung seit Version 2.5 (2008), und sie ist bei jeder WordPress-Installation standardmaessig aktiviert. Das bedeutet, dass deine WordPress-Seite bei jedem Seitenaufruf mit Avataren Daten an Gravatars Server sendet, sofern du es nicht aktiv deaktivierst. Fuer viele Seitenbetreiber, besonders in der Europaeischen Union, entsteht dadurch ein erhebliches Datenschutzproblem.

Wie Gravatar technisch funktioniert

Der technische Prozess hinter Gravatar ist unkompliziert, hat aber wichtige Datenschutz-Implikationen. Wenn WordPress einen Avatar fuer einen Benutzer oder Kommentator anzeigen muss, nimmt es dessen E-Mail-Adresse, wandelt sie in Kleinbuchstaben um, entfernt Leerzeichen und generiert einen MD5-Hash. Zum Beispiel wird die E-Mail user@example.com zu etwas wie b58996c504c5638798eb6b511e6f49af.

WordPress konstruiert dann eine Bild-URL wie diese:

https://secure.gravatar.com/avatar/b58996c504c5638798eb6b511e6f49af?s=96&d=mm

Der Parameter s setzt die Bildgroesse (96 Pixel in diesem Fall), und der Parameter d gibt ein Standardbild an, das angezeigt wird, wenn kein Gravatar fuer diesen Hash existiert. Wenn der Browser eines Besuchers die Seite laedt, stellt er eine HTTP-Anfrage an secure.gravatar.com, um jedes Avatar-Bild abzurufen. Diese Anfrage enthaelt die IP-Adresse des Besuchers (wie jede HTTP-Anfrage), und die URL selbst enthaelt den MD5-Hash der E-Mail des Kommentators.

MD5-Hashes sind theoretisch einseitig, aber in der Praxis lassen sie sich fuer gaengige E-Mail-Adressen leicht umkehren. Rainbow Tables und Hash-Lookup-Dienste koennen einen MD5-Hash oft in die urspruengliche E-Mail zurueckwandeln. Das bedeutet, Gravatar-URLs sind nicht wirklich anonymisiert.

Wo WordPress Gravatar standardmaessig verwendet

Gravatar-Bilder erscheinen an mehreren Stellen einer WordPress-Seite, und nicht alle davon sind offensichtlich:

  • Kommentarbereiche: jeder Kommentar zeigt den Gravatar des Kommentators neben seinem Namen an. Bei einem Beitrag mit 50 Kommentaren sind das 50 separate Anfragen an Gravatars Server.
  • Admin-Dashboard: der WordPress-Admin-Bereich zeigt Gravatars fuer den eingeloggten Benutzer, in Benutzerlisten und im "Auf einen Blick"-Widget.
  • Autoren-Bio-Boxen: viele Themes zeigen den Gravatar des Autors im Autoren-Bio-Bereich unter Beitraegen an.
  • Benutzerprofilseiten: im WordPress-Admin verwenden Benutzerprofile Gravatar als Standard-Avatar-Quelle.
  • BuddyPress und bbPress: wenn du diese Community-Plugins verwendest, erscheinen Gravatars in Foren, Mitgliederverzeichnissen und Aktivitaets-Streams.
  • WooCommerce-Bewertungen: Produktbewertungen zeigen Gravatars der Rezensenten genau wie Blog-Kommentare.

Das DSGVO-Problem im Detail

Die Datenschutz-Grundverordnung (DSGVO) verlangt, dass personenbezogene Daten nur mit einer Rechtsgrundlage verarbeitet werden, typischerweise einer informierten Einwilligung. Das Standardverhalten von Gravatar in WordPress verursacht mehrere DSGVO-Konformitaetsprobleme:

IP-Adressen-Uebertragung: Wenn der Browser eines Besuchers ein Gravatar-Bild abruft, wird dessen IP-Adresse an Automattics Server (in den USA) gesendet. IP-Adressen gelten nach der DSGVO als personenbezogene Daten. Diese Datenuebertragung geschieht ohne Wissen oder Einwilligung des Besuchers, und es gibt keinen Mechanismus in WordPress, um vor dem Laden von Gravatars um Erlaubnis zu fragen.

E-Mail-Hash-Offenlegung: Der MD5-Hash der E-Mail-Adresse jedes Kommentators ist in der Gravatar-URL eingebettet, die im HTML-Quellcode der Seite sichtbar ist. Obwohl es sich um einen Hash und nicht um die Klartext-E-Mail handelt, gilt er dennoch als personenbezogenes Datum, weil er umkehrbar ist oder verwendet werden kann, um dieselbe Person ueber mehrere Websites hinweg zu verfolgen. Automattic erhaelt diese Hashes als Teil jeder Bildanfrage.

Cross-Site-Tracking-Potenzial: Weil Gravatar denselben E-Mail-Hash ueber alle Websites hinweg verwendet, kann Automattic theoretisch ein Profil erstellen, auf welchen Seiten eine Person kommentiert. Selbst wenn sie das nicht aktiv tun, besteht die technische Moeglichkeit, und darauf konzentriert sich die DSGVO-Konformitaet.

Datentransfer in ein Drittland: Automattic ist ein US-amerikanisches Unternehmen. Nach dem Schrems-II-Urteil des Europaeischen Gerichtshofs von 2020 erfordert die Uebermittlung personenbezogener Daten in die USA zusaetzliche Schutzmassnahmen. Viele Rechtsexperten betrachten die Standard-Gravatar-Nutzung auf europaeischen Websites als nicht konform, weil kein Auftragsverarbeitungsvertrag besteht und keine Moeglichkeit existiert, eine ordnungsgemaesse Einwilligung vor der Datenuebertragung einzuholen.

Deutsche Datenschutzbehoerden sind bei diesem Thema besonders streng. Mehrere Gerichtsurteile und behoerdliche Stellungnahmen haben festgestellt, dass das Laden von Gravatar-Bildern ohne Einwilligung gegen die DSGVO verstoesst. Die Rechtslage ist sehr aehnlich wie beim bekannten Google-Fonts-Urteil, bei dem ein Muenchner Gericht Schadensersatz fuer das Laden von Google Fonts von externen Servern ohne Einwilligung zugesprochen hat.

Performance-Auswirkungen auf deine WordPress-Seite

Neben dem Datenschutz beeinflusst Gravatar auch die Ladegeschwindigkeit deiner Seite. Jedes Gravatar-Bild erfordert eine separate HTTP-Anfrage an einen externen Server. Bei einem Blogbeitrag mit vielen Kommentaren summiert sich das schnell:

  • Jeder Avatar erfordert einen DNS-Lookup fuer secure.gravatar.com (zumindest bei der ersten Anfrage).
  • Jedes Bild ist eine separate HTTP-Anfrage mit eigenem Latenz-Overhead.
  • Wenn Gravatars Server langsam oder nicht erreichbar sind, stockt das Seitenrendering, waehrend der Browser auf die Bilder wartet.
  • Gravatar-Bilder koennen nicht von deinen lokalen Caching- oder Bildoptimierungs-Plugins optimiert werden.
  • Browser-Verbindungslimits bedeuten, dass viele gleichzeitige Gravatar-Anfragen das Laden deiner eigenen Ressourcen blockieren koennen.

Bei einer Seite mit 30 Kommentaren koenntest du 30 externe HTTP-Anfragen hinzufuegen, die die Browser deiner Besucher ausfuehren muessen, bevor die Seite vollstaendig geladen ist. Fuer Besucher mit langsamen Mobilverbindungen ist das eine spuerbare Verzoegerung.

Alternativen zu Gravatar fuer WordPress

Es gibt mehrere Ansaetze, um Gravatar zu ersetzen und trotzdem Avatare auf deiner WordPress-Seite anzuzeigen:

  • Avatare komplett deaktivieren: unter Einstellungen > Diskussion "Avatare anzeigen" deaktivieren. Das ist die einfachste Loesung, entfernt aber die visuelle Identitaet aus Kommentaren.
  • Lokal generierte Avatare verwenden: Plugins wie "Simple Local Avatars" oder "WP User Avatar" lassen Benutzer Profilbilder hochladen, die auf deinem eigenen Server gespeichert werden. Keine externen Anfragen, keine Datenschutzbedenken.
  • Generierte Standard-Avatare: WordPress kann einfache geometrische Avatare (wie Identicons oder Retro-Muster) basierend auf dem E-Mail-Hash generieren, ohne Gravatars Server zu kontaktieren. Einige Plugins implementieren dies lokal.
  • Lokales Gravatar-Caching: Plugins wie "Avatar Privacy" oder "Cache Gravatar" laden Gravatar-Bilder einmal herunter und liefern sie von deinem lokalen Server aus. Das bewahrt das Gravatar-Erlebnis, eliminiert aber externe Anfragen bei jedem Seitenaufruf. Allerdings sendet der initiale Download trotzdem Daten an Gravatar, sodass es das DSGVO-Problem nur teilweise loest.
  • Einwilligungsbasiertes Laden: einige DSGVO-Cookie-Consent-Plugins koennen das Laden von Gravatar blockieren, bis der Besucher einwilligt. Das ist der konformste Ansatz, wenn du Gravatar weiter nutzen moechtest, bedeutet aber, dass Avatare unsichtbar bleiben, bis die Einwilligung erteilt wird.

Was InspectWP prueft

InspectWP durchsucht den HTML-Quellcode und die Netzwerkanfragen deiner WordPress-Seite nach Verbindungen zu gravatar.com oder secure.gravatar.com. Wenn Gravatar-Bilder erkannt werden, markiert der Report dies als DSGVO-Bedenken im Datenschutz-Abschnitt. Dieser Hinweis zeigt an, dass deine Seite personenbezogene Daten (Besucher-IP-Adressen und E-Mail-Hashes) an Automattics US-basierte Server uebertraegt, ohne einen expliziten Einwilligungsmechanismus. Der Report empfiehlt, entweder Gravatar komplett zu deaktivieren, auf lokal gehostete Avatare umzusteigen oder eine einwilligungsbasierte Ladeloesung zu implementieren.

Vorheriger Artikel

Was ist die WordPress REST API?

Nächster Artikel

Was ist HTTP/2?

Verwandte Artikel

Was ist eine Web Application Firewall (WAF)?

Was sind Core Web Vitals?

Was ist WordPress Multisite?

Alle Artikel anzeigen

Prüfe jetzt deine WordPress-Seite

InspectWP analysiert deine WordPress-Seite auf Sicherheitslücken, SEO-Probleme, DSGVO-Konformität und Performance — kostenlos.

Seite kostenlos analysieren