InspectWP Logo
Best Practice

WordPress DSGVO-Konformitäts-Checkliste

8. Februar 2026

Die Datenschutz-Grundverordnung (DSGVO) gilt fur jede Website, die von Besuchern aus der Europaischen Union aufgerufen werden kann, unabhangig davon, wo die Seite gehostet wird. Fur WordPress-Seitenbetreiber bedeutet das, genau darauf zu achten, wie die Seite personenbezogene Daten erhebt, verarbeitet und ubermittelt. Diese Checkliste konzentriert sich auf die technischen Umsetzungsaspekte, die du selbst uberprufen und beheben kannst. Fur rechtliche Fragen rund um Auftragsverarbeitungsvertrage, Rechtsgrundlagen und spezifische regulatorische Anforderungen solltest du einen qualifizierten Datenschutzberater hinzuziehen.

Externe Dienste und grenzuberschreitende Datenubertragungen verwalten

Jede Ressource, die von einem externen Server geladen wird, ubermittelt mindestens die IP-Adresse des Besuchers an den Betreiber dieses Servers. Unter der DSGVO gilt eine IP-Adresse als personenbezogenes Datum. Ohne gultige Rechtsgrundlage oder ausdruckliche Einwilligung stellt das Laden externer Ressourcen einen Datenschutzverstoss dar. Besonders problematisch ist dies bei US-basierten Diensten, da der EU-US-Datentransferrahmen rechtlich umstritten bleibt.

  • Google Fonts lokal hosten: Wenn Google Fonts von fonts.googleapis.com geladen werden, sendet jeder Seitenaufruf die IP-Adresse des Besuchers, Browser-Details und die Referrer-URL an Googles Server. Deutsche Gerichte haben diese Praxis ohne Einwilligung fur rechtswidrig erklart, mit Bussgeldern ab 100 EUR pro Verstoss. Lade die Schriftdateien herunter und stelle sie von deinem eigenen Server bereit. Plugins wie "OMGF" oder "Local Google Fonts" automatisieren diesen Prozess. Uberprufe nach der Umstellung, dass keine Anfragen an fonts.googleapis.com oder fonts.gstatic.com mehr im Netzwerk-Tab deines Browsers auftauchen.
  • Gravatar deaktivieren oder Avatare lokal zwischenspeichern: WordPress sendet standardmassig MD5-Hashes von Kommentator-E-Mail-Adressen an Gravatars US-basierte Server. Selbst der Hash kann als personenbezogenes Datum gelten (er lasst sich fur bekannte E-Mail-Adressen umkehren). Deaktiviere Gravatar unter Einstellungen > Diskussion oder verwende ein Plugin, das Avatare lokal zwischenspeichert und sie nur einmal mit Einwilligung abruft.
  • Analytics selbst hosten oder einwilligungsbasierten Ansatz nutzen: Google Analytics ubertragt umfangreiche Besucherdaten an US-Server, einschliesslich IP-Adressen, Surfverhalten und Gerate-Fingerprints. Hoste entweder eine Analytics-Losung wie Matomo selbst (die alle Daten auf deinem Server behalt) oder implementiere Google Analytics hinter einem korrekten Einwilligungsmechanismus, der jegliches Tracking blockiert, bis der Besucher aktiv zustimmt. Serverseitige Analytics-Tools wie Plausible oder Fathom sind datenschutzfreundliche Alternativen, die ohne Cookies funktionieren.
  • Google Maps erst nach Einwilligung laden: Google-Maps-Einbettungen laden mehrere Tracking-Skripte und ubertragen Besucherdaten an Google. Zeige statt der direkten Einbettung ein statisches Bild oder einen Platzhalter mit einem "Karte laden"-Button. Lade die eigentliche Google-Maps-Einbettung erst, nachdem der Nutzer zur Zustimmung klickt. Derselbe Ansatz gilt fur Google reCAPTCHA, das ebenfalls Daten an Google ubertragt.
  • Alle externen Ressourcen-Ladungen uberprufen: Prufe neben den offensichtlichen Diensten auch CDN-gehostete Bibliotheken (jQuery von ajax.googleapis.com, Font Awesome von cdnjs.cloudflare.com), eingebettete YouTube- oder Vimeo-Videos, Social-Media-Widgets, Chatbots und andere Drittanbieter-Skripte. Jede externe Anfrage ist ein potenzielles DSGVO-Problem. Ersetze CDN-gehostete Bibliotheken wo moglich durch lokal gehostete Kopien.
  • Eingebettete Inhalte mit Fassaden-Muster behandeln: Verwende fur YouTube-Videos, Social-Media-Einbettungen und ahnliche Drittanbieter-Inhalte eine Zwei-Klick-Losung. Zeige zuerst ein Vorschaubild oder einen Platzhalter mit einem Datenschutzhinweis, dann lade die eigentliche Einbettung erst, nachdem der Besucher klickt. Plugins wie "Embed Privacy" erledigen das automatisch fur gangige Dienste.

Cookie Consent korrekt implementieren

Die ePrivacy-Richtlinie (oft "Cookie-Richtlinie" genannt) erganzt die DSGVO und verlangt eine Einwilligung vor dem Setzen nicht-essenzieller Cookies. Die korrekte Umsetzung des Cookie-Consents ist einer der am genauesten uberwachten Aspekte der DSGVO-Konformitat.

  • Ein professionelles Consent-Management-Plugin installieren: Verwende eine dedizierte Consent Management Platform (CMP) wie Complianz, Real Cookie Banner oder Cookiebot. Diese Plugins bewaltigen die rechtliche Komplexitat der Cookie-Kategorisierung, Einwilligungsprotokollierung und Skript-Blockierung. Kostenlose Losungen haben oft wichtige Funktionen wie Einwilligungsprotokollierung oder automatische Skript-Erkennung nicht.
  • Nicht-essenzielle Cookies und Skripte vor der Einwilligung blockieren: Dies ist die wichtigste technische Anforderung. Dein Consent-Plugin muss tatsachlich verhindern, dass Tracking-Cookies, Analytics-Skripte und Marketing-Pixel geladen werden, bis der Besucher seine Einwilligung gibt. Einen Banner anzuzeigen ohne Skripte zu blockieren ist nicht konform. Teste dies, indem du deine Seite im Inkognito-Fenster offnest, alle Cookies ablehnst und pruft, ob noch Drittanbieter-Anfragen im Netzwerk-Tab erscheinen.
  • Granulare Cookie-Kategorien anbieten: Besucher mussen zwischen verschiedenen Kategorien wahlen konnen: Funktional (fur den Betrieb der Seite notwendig), Statistik (Analytics und Performance-Messung) und Marketing (Werbung und Tracking). Ein einfaches "Alle akzeptieren" ohne Alternativen ist nicht DSGVO-konform.
  • Ablehnen genauso einfach wie Akzeptieren machen: Der "Alle ablehnen"- oder "Nur essenzielle akzeptieren"-Button muss genauso prominent und leicht erreichbar sein wie der "Alle akzeptieren"-Button. Die Ablehnen-Option hinter "Einstellungen verwalten" zu verstecken, eine kleinere Schrift zu verwenden oder zusatzliche Klicks zu erfordern, wurde von mehreren europaischen Datenschutzbehorden als nicht konform eingestuft.
  • Widerruf der Einwilligung jederzeit ermoglichen: Besucher mussen ihre Cookie-Praferenzen nach der ersten Entscheidung andern konnen. Fuge einen permanenten Link im Footer hinzu (z.B. "Cookie-Einstellungen" oder "Datenschutz-Einstellungen"), der den Einwilligungsdialog erneut offnet. Dies ist eine rechtliche Anforderung, keine Option.
  • Einwilligungsnachweise protokollieren und speichern: Im Streitfall oder bei einer Prufung musst du nachweisen konnen, dass eine Einwilligung erteilt wurde. Dein Consent-Plugin sollte einen zeitgestempelten Nachweis jeder Einwilligungsentscheidung speichern, einschliesslich der akzeptierten Kategorien und der zum Zeitpunkt geltenden Version der Datenschutzerklarung.

WordPress-Datenspeicherung und Verarbeitungsanforderungen

Neben Cookies verarbeitet WordPress personenbezogene Daten auf mehrere weitere Arten, die unter der DSGVO Beachtung erfordern.

  • Kommentarformular-Daten korrekt behandeln: WordPress speichert den Namen, die E-Mail-Adresse und die Website-URL von Kommentatoren. Es setzt ausserdem Cookies, um diese Informationen fur wiederkehrende Besucher zu merken. Deaktiviere diese Cookies entweder in Einstellungen > Diskussion oder ersetze das Standardverhalten durch eine ausdruckliche Einwilligungs-Checkbox, die auf deine Datenschutzerklarung verlinkt.
  • Datenschutz-Einwilligungs-Checkbox zu allen Formularen hinzufugen: Jedes Formular, das personenbezogene Daten erhebt (Kontaktformulare, Newsletter-Anmeldungen, Registrierungsformulare), benotigt eine Checkbox, in der der Nutzer ausdrucklich der Verarbeitung seiner Daten zustimmt. Die Checkbox darf nicht vorangekreuzt sein, und die Beschriftung sollte auf deine Datenschutzerklarung verlinken. Die meisten Formular-Plugins (Contact Form 7, WPForms, Gravity Forms) unterstutzen dies nativ.
  • localStorage- und sessionStorage-Nutzung uberprufen: Diese Browser-Speichermechanismen konnen genau wie Cookies zum Tracking verwendet werden. Prufe, welche Daten deine Plugins in localStorage und sessionStorage speichern. Alle Daten, die einen Besucher identifizieren oder verfolgen konnen, fallen unter die DSGVO. Du kannst dies in den Browser-Entwicklertools unter dem Tab "Application" uberprufen.
  • Speicherdauer fur Kontaktformular-Daten begrenzen: Speichere Formulareinreichungen nicht unbegrenzt. Konfiguriere dein Formular-Plugin so, dass Einreichungen nach einem definierten Zeitraum (z.B. 90 Tage) automatisch geloscht werden. Wenn du die Daten langer fur einen bestimmten Zweck benoetigst, dokumentiere diesen Zweck in deiner Datenschutzerklarung.
  • Datenaufbewahrungsrichtlinien implementieren: Unter dem Grundsatz der Speicherbegrenzung der DSGVO sollten personenbezogene Daten nicht langer als notig aufbewahrt werden. Dies gilt fur Benutzerkonten, Kommentare, Bestelldaten (bei WooCommerce), Protokolldateien und Analytics-Daten. Definiere Aufbewahrungsfristen fur jede Datenkategorie und setze sie durch, entweder manuell oder automatisiert.
  • Betroffenenrechte unterstutzen: Die DSGVO gibt Einzelpersonen das Recht, eine Kopie aller uber sie gespeicherten personenbezogenen Daten anzufordern und deren Loschung zu verlangen. WordPress enthalt eine eingebaute Datenschutz-Werkzeuge-Seite (unter Werkzeuge > Personenbezogene Daten exportieren und Werkzeuge > Personenbezogene Daten loschen), die dabei hilft. Du solltest den Prozess jedoch testen und sicherstellen, dass er Daten aus allen deinen Plugins abdeckt.

Erforderliche rechtliche Seiten fur DSGVO-Konformitat

Bestimmte Seiten sind fur jede Website, die in der EU zuganglich ist, gesetzlich vorgeschrieben. Fehlende oder unvollstandige rechtliche Seiten konnen zu Abmahnungen, Bussgeldern oder Unterlassungserklarungen fuhren.

  • Datenschutzerklarung (uberall in der EU erforderlich): Muss alle Datenverarbeitungsaktivitaten in klarer, verstandlicher Sprache beschreiben. Nenne, welche Daten du erhebst, warum du sie erhebst, wie lange du sie speicherst, an wen du sie weitergibst und welche Rechte die Besucher haben. WordPress bietet unter Einstellungen > Datenschutz eine Vorlage, die die Grundlagen abdeckt, aber du musst sie fur deine spezifischen Plugins und Dienste anpassen.
  • Cookie-Richtlinie (empfohlen): Kann eine eigenstandige Seite oder ein Abschnitt innerhalb deiner Datenschutzerklarung sein. Liste alle Cookies auf, die deine Seite setzt, ihren Zweck, ihre Dauer und ob sie Erst- oder Drittanbieter-Cookies sind. Dein Consent-Management-Plugin generiert diese Liste normalerweise automatisch.
  • Impressum (in Deutschland und Osterreich erforderlich): Muss den vollstandigen rechtlichen Namen, die Postadresse, E-Mail-Adresse und Telefonnummer des Seitenbetreibers enthalten. Fur Unternehmen zusatzlich die Handelsregisternummer, USt-IdNr. und die verantwortliche Person. Dies ist nach dem deutschen Telemediengesetz (TMG) und dem osterreichischen E-Commerce-Gesetz (ECG) vorgeschrieben.

WordPress-DSGVO-Konformitat mit InspectWP uberprufen

Der DSGVO-Bereich von InspectWP erkennt automatisch Gravatar-Nutzung, extern geladene Google Fonts, Google-Analytics-Tracking, Google-Maps-Einbettungen, Facebook-Pixel und Tracking-Skripte sowie andere externe Ressourcen, die Besucherdaten an Dritte ubermitteln. Nutze ihn als Ausgangspunkt fur dein DSGVO-Audit. Plane regelmasige Scans, um neue externe Ressourcen zu erkennen, die moglicherweise eingeschleust werden, wenn Plugins aktualisiert oder neue Inhalte veroffentlicht werden.

Vorheriger Artikel

WordPress Sicherheits-Checkliste

Nächster Artikel

WordPress SEO-Checkliste

Verwandte Artikel

Neue WordPress-Seite launchen — Was du prüfen solltest

WordPress Performance-Optimierung

WordPress SEO-Checkliste

Alle Artikel anzeigen

Prüfe jetzt deine WordPress-Seite

InspectWP analysiert deine WordPress-Seite auf Sicherheitslücken, SEO-Probleme, DSGVO-Konformität und Performance — kostenlos.

Seite kostenlos analysieren