InspectWP Logo
Best Practice

WordPress DSGVO-Konformitäts-Checkliste

8. Februar 2026 Aktualisiert am 19.04.2026

Die Datenschutz-Grundverordnung (DSGVO) gilt für jede Website, die von Besuchern aus der Europäischen Union aufgerufen werden kann, unabhängig davon, wo die Seite gehostet wird. Für WordPress-Seitenbetreiber bedeutet das, genau darauf zu achten, wie die Seite personenbezogene Daten erhebt, verarbeitet und übermittelt. Diese Checkliste konzentriert sich auf die technischen Umsetzungsaspekte, die du selbst überprüfen und beheben kannst. Für rechtliche Fragen rund um Auftragsverarbeitungsverträge, Rechtsgrundlagen und spezifische regulatorische Anforderungen solltest du einen qualifizierten Datenschutzberater hinzuziehen.

Externe Dienste und grenzüberschreitende Datenübertragungen verwalten

Jede Ressource, die von einem externen Server geladen wird, übermittelt mindestens die IP-Adresse des Besuchers an den Betreiber dieses Servers. Unter der DSGVO gilt eine IP-Adresse als personenbezogenes Datum. Ohne gültige Rechtsgrundlage oder ausdrückliche Einwilligung stellt das Laden externer Ressourcen einen Datenschutzverstoß dar. Besonders problematisch ist dies bei US-basierten Diensten, da der EU-US-Datentransferrahmen rechtlich umstritten bleibt.

  • Google Fonts lokal hosten: Wenn Google Fonts von fonts.googleapis.com geladen werden, sendet jeder Seitenaufruf die IP-Adresse des Besuchers, Browser-Details und die Referrer-URL an Googles Server. Deutsche Gerichte haben diese Praxis ohne Einwilligung für rechtswidrig erklärt, mit Bußgeldern ab 100 EUR pro Verstoß. Lade die Schriftdateien herunter und stelle sie von deinem eigenen Server bereit. Plugins wie „OMGF" oder „Local Google Fonts" automatisieren diesen Prozess. Überprüfe nach der Umstellung, dass keine Anfragen an fonts.googleapis.com oder fonts.gstatic.com mehr im Netzwerk-Tab deines Browsers auftauchen.
  • Gravatar deaktivieren oder Avatare lokal zwischenspeichern: WordPress sendet standardmäßig MD5-Hashes von Kommentator-E-Mail-Adressen an Gravatars US-basierte Server. Selbst der Hash kann als personenbezogenes Datum gelten (er lässt sich für bekannte E-Mail-Adressen umkehren). Deaktiviere Gravatar unter Einstellungen > Diskussion oder verwende ein Plugin, das Avatare lokal zwischenspeichert und sie nur einmal mit Einwilligung abruft.
  • Analytics selbst hosten oder einwilligungsbasierten Ansatz nutzen: Google Analytics überträgt umfangreiche Besucherdaten an US-Server, einschließlich IP-Adressen, Surfverhalten und Geräte-Fingerprints. Hoste entweder eine Analytics-Lösung wie Matomo selbst (die alle Daten auf deinem Server behält) oder implementiere Google Analytics hinter einem korrekten Einwilligungsmechanismus, der jegliches Tracking blockiert, bis der Besucher aktiv zustimmt. Serverseitige Analytics-Tools wie Plausible oder Fathom sind datenschutzfreundliche Alternativen, die ohne Cookies funktionieren.
  • Google Maps erst nach Einwilligung laden: Google-Maps-Einbettungen laden mehrere Tracking-Skripte und übertragen Besucherdaten an Google. Zeige statt der direkten Einbettung ein statisches Bild oder einen Platzhalter mit einem „Karte laden"-Button. Lade die eigentliche Google-Maps-Einbettung erst, nachdem der Nutzer zur Zustimmung klickt. Derselbe Ansatz gilt für Google reCAPTCHA, das ebenfalls Daten an Google überträgt.
  • Alle externen Ressourcen-Ladungen überprüfen: Prüfe neben den offensichtlichen Diensten auch CDN-gehostete Bibliotheken (jQuery von ajax.googleapis.com, Font Awesome von cdnjs.cloudflare.com), eingebettete YouTube- oder Vimeo-Videos, Social-Media-Widgets, Chatbots und andere Drittanbieter-Skripte. Jede externe Anfrage ist ein potenzielles DSGVO-Problem. Ersetze CDN-gehostete Bibliotheken wo möglich durch lokal gehostete Kopien.
  • Eingebettete Inhalte mit Fassaden-Muster behandeln: Verwende für YouTube-Videos, Social-Media-Einbettungen und ähnliche Drittanbieter-Inhalte eine Zwei-Klick-Lösung. Zeige zuerst ein Vorschaubild oder einen Platzhalter mit einem Datenschutzhinweis, dann lade die eigentliche Einbettung erst, nachdem der Besucher klickt. Plugins wie „Embed Privacy" erledigen das automatisch für gängige Dienste.

Cookie Consent korrekt implementieren

Die ePrivacy-Richtlinie (oft „Cookie-Richtlinie" genannt) ergänzt die DSGVO und verlangt eine Einwilligung vor dem Setzen nicht-essenzieller Cookies. Die korrekte Umsetzung des Cookie-Consents ist einer der am genauesten überwachten Aspekte der DSGVO-Konformität.

  • Ein professionelles Consent-Management-Plugin installieren: Verwende eine dedizierte Consent Management Platform (CMP) wie Complianz, Real Cookie Banner oder Cookiebot. Diese Plugins bewältigen die rechtliche Komplexität der Cookie-Kategorisierung, Einwilligungsprotokollierung und Skript-Blockierung. Kostenlose Lösungen haben oft wichtige Funktionen wie Einwilligungsprotokollierung oder automatische Skript-Erkennung nicht.
  • Nicht-essenzielle Cookies und Skripte vor der Einwilligung blockieren: Dies ist die wichtigste technische Anforderung. Dein Consent-Plugin muss tatsächlich verhindern, dass Tracking-Cookies, Analytics-Skripte und Marketing-Pixel geladen werden, bis der Besucher seine Einwilligung gibt. Einen Banner anzuzeigen, ohne Skripte zu blockieren, ist nicht konform. Teste dies, indem du deine Seite im Inkognito-Fenster öffnest, alle Cookies ablehnst und prüfst, ob noch Drittanbieter-Anfragen im Netzwerk-Tab erscheinen.
  • Granulare Cookie-Kategorien anbieten: Besucher müssen zwischen verschiedenen Kategorien wählen können: Funktional (für den Betrieb der Seite notwendig), Statistik (Analytics und Performance-Messung) und Marketing (Werbung und Tracking). Ein einfaches „Alle akzeptieren" ohne Alternativen ist nicht DSGVO-konform.
  • Ablehnen genauso einfach wie Akzeptieren machen: Der „Alle ablehnen"- oder „Nur essenzielle akzeptieren"-Button muss genauso prominent und leicht erreichbar sein wie der „Alle akzeptieren"-Button. Die Ablehnen-Option hinter „Einstellungen verwalten" zu verstecken, eine kleinere Schrift zu verwenden oder zusätzliche Klicks zu erfordern, wurde von mehreren europäischen Datenschutzbehörden als nicht konform eingestuft.
  • Widerruf der Einwilligung jederzeit ermöglichen: Besucher müssen ihre Cookie-Präferenzen nach der ersten Entscheidung ändern können. Füge einen permanenten Link im Footer hinzu (z. B. „Cookie-Einstellungen" oder „Datenschutz-Einstellungen"), der den Einwilligungsdialog erneut öffnet. Dies ist eine rechtliche Anforderung, keine Option.
  • Einwilligungsnachweise protokollieren und speichern: Im Streitfall oder bei einer Prüfung musst du nachweisen können, dass eine Einwilligung erteilt wurde. Dein Consent-Plugin sollte einen zeitgestempelten Nachweis jeder Einwilligungsentscheidung speichern, einschließlich der akzeptierten Kategorien und der zum Zeitpunkt geltenden Version der Datenschutzerklärung.

WordPress-Datenspeicherung und Verarbeitungsanforderungen

Neben Cookies verarbeitet WordPress personenbezogene Daten auf mehrere weitere Arten, die unter der DSGVO Beachtung erfordern.

  • Kommentarformular-Daten korrekt behandeln: WordPress speichert den Namen, die E-Mail-Adresse und die Website-URL von Kommentatoren. Es setzt außerdem Cookies, um diese Informationen für wiederkehrende Besucher zu merken. Deaktiviere diese Cookies entweder in Einstellungen > Diskussion oder ersetze das Standardverhalten durch eine ausdrückliche Einwilligungs-Checkbox, die auf deine Datenschutzerklärung verlinkt.
  • Datenschutz-Einwilligungs-Checkbox zu allen Formularen hinzufügen: Jedes Formular, das personenbezogene Daten erhebt (Kontaktformulare, Newsletter-Anmeldungen, Registrierungsformulare), benötigt eine Checkbox, in der der Nutzer ausdrücklich der Verarbeitung seiner Daten zustimmt. Die Checkbox darf nicht vorangekreuzt sein, und die Beschriftung sollte auf deine Datenschutzerklärung verlinken. Die meisten Formular-Plugins (Contact Form 7, WPForms, Gravity Forms) unterstützen dies nativ.
  • localStorage- und sessionStorage-Nutzung überprüfen: Diese Browser-Speichermechanismen können genau wie Cookies zum Tracking verwendet werden. Prüfe, welche Daten deine Plugins in localStorage und sessionStorage speichern. Alle Daten, die einen Besucher identifizieren oder verfolgen können, fallen unter die DSGVO. Du kannst dies in den Browser-Entwicklertools unter dem Tab „Application" überprüfen.
  • Speicherdauer für Kontaktformular-Daten begrenzen: Speichere Formulareinreichungen nicht unbegrenzt. Konfiguriere dein Formular-Plugin so, dass Einreichungen nach einem definierten Zeitraum (z. B. 90 Tage) automatisch gelöscht werden. Wenn du die Daten länger für einen bestimmten Zweck benötigst, dokumentiere diesen Zweck in deiner Datenschutzerklärung.
  • Datenaufbewahrungsrichtlinien implementieren: Unter dem Grundsatz der Speicherbegrenzung der DSGVO sollten personenbezogene Daten nicht länger als nötig aufbewahrt werden. Dies gilt für Benutzerkonten, Kommentare, Bestelldaten (bei WooCommerce), Protokolldateien und Analytics-Daten. Definiere Aufbewahrungsfristen für jede Datenkategorie und setze sie durch, entweder manuell oder automatisiert.
  • Betroffenenrechte unterstützen: Die DSGVO gibt Einzelpersonen das Recht, eine Kopie aller über sie gespeicherten personenbezogenen Daten anzufordern und deren Löschung zu verlangen. WordPress enthält eine eingebaute Datenschutz-Werkzeuge-Seite (unter Werkzeuge > Personenbezogene Daten exportieren und Werkzeuge > Personenbezogene Daten löschen), die dabei hilft. Du solltest den Prozess jedoch testen und sicherstellen, dass er Daten aus allen deinen Plugins abdeckt.

Erforderliche rechtliche Seiten für DSGVO-Konformität

Bestimmte Seiten sind für jede Website, die in der EU zugänglich ist, gesetzlich vorgeschrieben. Fehlende oder unvollständige rechtliche Seiten können zu Abmahnungen, Bußgeldern oder Unterlassungserklärungen führen.

  • Datenschutzerklärung (überall in der EU erforderlich): Muss alle Datenverarbeitungsaktivitäten in klarer, verständlicher Sprache beschreiben. Nenne, welche Daten du erhebst, warum du sie erhebst, wie lange du sie speicherst, an wen du sie weitergibst und welche Rechte die Besucher haben. WordPress bietet unter Einstellungen > Datenschutz eine Vorlage, die die Grundlagen abdeckt, aber du musst sie für deine spezifischen Plugins und Dienste anpassen.
  • Cookie-Richtlinie (empfohlen): Kann eine eigenständige Seite oder ein Abschnitt innerhalb deiner Datenschutzerklärung sein. Liste alle Cookies auf, die deine Seite setzt, ihren Zweck, ihre Dauer und ob sie Erst- oder Drittanbieter-Cookies sind. Dein Consent-Management-Plugin generiert diese Liste normalerweise automatisch.
  • Impressum (in Deutschland und Österreich erforderlich): Muss den vollständigen rechtlichen Namen, die Postadresse, E-Mail-Adresse und Telefonnummer des Seitenbetreibers enthalten. Für Unternehmen zusätzlich die Handelsregisternummer, USt-IdNr. und die verantwortliche Person. Dies ist nach dem deutschen Telemediengesetz (TMG) und dem österreichischen E-Commerce-Gesetz (ECG) vorgeschrieben.

WordPress-DSGVO-Konformität mit InspectWP überprüfen

Der DSGVO-Bereich von InspectWP erkennt automatisch Gravatar-Nutzung, extern geladene Google Fonts, Google-Analytics-Tracking, Google-Maps-Einbettungen, Facebook-Pixel und Tracking-Skripte sowie andere externe Ressourcen, die Besucherdaten an Dritte übermitteln. Nutze ihn als Ausgangspunkt für dein DSGVO-Audit. Plane regelmäßige Scans, um neue externe Ressourcen zu erkennen, die möglicherweise eingeschleust werden, wenn Plugins aktualisiert oder neue Inhalte veröffentlicht werden.

Vorheriger Artikel

WordPress Sicherheits-Checkliste

Nächster Artikel

WordPress SEO-Checkliste

Verwandte Artikel

Neue WordPress-Seite launchen — Was du prüfen solltest

WordPress Performance-Optimierung

WordPress SEO-Checkliste

Alle Artikel anzeigen

Prüfe jetzt deine WordPress-Seite

InspectWP analysiert deine WordPress-Seite auf Sicherheitslücken, SEO-Probleme, DSGVO-Konformität und Performance — kostenlos.

Seite kostenlos analysieren