WordPress DSGVO: Checkliste, Plugins & rechtssichere Umsetzung (2026)

WordPress DSGVO-konform zu machen ist keine Option — es ist Pflicht. Verstöße kosten bis zu 20 Mio. € Bußgeld oder 4 % des weltweiten Jahresumsatzes. In diesem Leitfaden erkläre ich, was Sie als WordPress-Betreiber konkret umsetzen müssen: Datenschutzerklärung, Cookie-Consent, Plugins und technische Maßnahmen — vollständig und verständlich.

Was fordert die DSGVO von WordPress-Betreibern?

Die Datenschutz-Grundverordnung (DSGVO / GDPR) gilt seit Mai 2018 EU-weit für alle Websites, die personenbezogene Daten von EU-Bürgern verarbeiten — also praktisch jede WordPress-Website. Betroffen sind Sie, wenn Ihre Website:

  • Kontaktformulare verwendet (Namen, E-Mail-Adressen)
  • Kommentare ermöglicht (IP-Adressen werden gespeichert)
  • Google Analytics, Facebook Pixel oder ähnliche Tracking-Tools nutzt
  • Social-Media-Buttons einbindet (Like-Button, Share-Button)
  • Google Fonts oder externe Ressourcen lädt (IP-Übertragung an US-Server)
  • Cookies setzt (technische, analytische oder Marketing-Cookies)
  • Newsletter-Anmeldungen verwaltet

Kurz gesagt: Jede WordPress-Website verarbeitet personenbezogene Daten und muss DSGVO-konform sein — auch private Blogs und kleine Unternehmensseiten.

⚠️ Abmahnrisiko beachten: In Deutschland existieren aktive Abmahnkanzleien, die systematisch nach DSGVO-Verstößen suchen. Besonders häufig abgemahnt werden: Google Fonts ohne Einwilligung, fehlendes Impressum, falscher Cookie-Banner, und fehlende Datenschutzerklärung.

Datenschutzerklärung für WordPress: Was muss rein?

Die Datenschutzerklärung muss alle Datenverarbeitungsvorgänge auf Ihrer Website transparent erläutern. Sie muss jederzeit leicht zugänglich sein — typischerweise im Footer verlinkt.

Pflichtinhalt Rechtsgrundlage Hinweis
Name & Kontakt des Verantwortlichen Art. 13 DSGVO Entspricht dem Impressum
Hosting-Anbieter & Server-Logs Art. 6 Abs. 1 lit. f IP-Speicherung erwähnen
Kontaktformular-Daten Art. 6 Abs. 1 lit. b/f Zweck + Speicherdauer
Cookies & Tracking-Tools Art. 6 Abs. 1 lit. a Je Tool eigener Abschnitt
Betroffenenrechte Art. 15–22 DSGVO Auskunft, Löschung, Widerspruch
Beschwerderecht Aufsichtsbehörde Art. 77 DSGVO Zuständige Landesbehörde nennen

Empfehlung für Datenschutzerklärungen: Generatoren wie Datenschutz-Generator.de (Dr. Thomas Schwenke, kostenlos), e-recht24.de (kostenpflichtig, aber aktuell) oder der Generator der IT-Recht Kanzlei (ab 9,90 €/Monat). Die Erklärung muss individuell angepasst werden — keine generischen Vorlagen einfach kopieren.

Cookie-Consent: So setzen Sie ihn rechtssicher um

Seit dem EuGH-Urteil „Planet49“ (2019) und der Bestätigung durch den BGH ist klar: Cookies, die nicht technisch notwendig sind, benötigen eine aktive, informierte Einwilligung — vorab angekreuzte Checkboxen sind ungültig.

✅ Rechtssicherer Cookie-Banner

  • Klare Ablehnoption gleichwertig sichtbar
  • Keine vorausgewählten Cookies
  • Einzelne Kategorien abwählbar
  • Einwilligung widerrufbar (Einstellungen)
  • Consent-Nachweis gespeichert
❌ Häufige Fehler

  • „Durch Nutzung stimmen Sie zu“
  • Nur OK-Button, kein Ablehnen
  • Cookies vor Einwilligung gesetzt
  • Nicht alle Kategorien erklärbar
  • Kein Widerruf möglich

Empfohlene Cookie-Consent-Plugins für WordPress

Plugin Preis Bewertung
Complianz kostenlos / ab 49 €/Jahr ⭐ Empfehlung — automatische Erkennung
Borlabs Cookie ab 39 €/Jahr Sehr mächtig, Profi-Lösung
Cookiebot kostenlos bis 100 Unterseiten Gut für kleinere Websites
DSGVO All in One kostenlos Einfach, für kleine Blogs

DSGVO-konforme WordPress Plugins: Worauf achten?

Nicht jedes WordPress-Plugin ist DSGVO-konform. Besonders kritisch sind Plugins, die externe Ressourcen laden oder Daten an Drittserver übertragen. Checkliste vor der Plugin-Installation:

  • Serverstandort — Werden Daten in die USA übertragen? (Stichwort: Schrems II)
  • Auftragsverarbeitungsvertrag (AVV) — Muss mit jedem Dienstleister geschlossen werden
  • Google Fonts lokal laden — Nicht über Google CDN, sondern eigenen Server
  • Gravatar deaktivieren — Überträgt E-Mail-Hashes an Gravatar-Server (USA)
  • Embeds blockieren — YouTube, Vimeo, Google Maps erst nach Einwilligung laden
  • WooCommerce — Bestell- und Kundendaten, Zahlungsanbieter AVV beachten

Besonders kritisch: Google Fonts. Das LG München hat 2022 geurteilt, dass das Laden von Google Fonts über das Google CDN ohne Einwilligung eine DSGVO-Verletzung darstellt. Lösung: Google Fonts lokal herunterladen und vom eigenen Server ausliefern.

Google Fonts lokal einbinden: Schritt für Schritt

Das Laden von Google Fonts über das Google CDN (fonts.googleapis.com) überträgt die IP-Adresse jedes Besuchers an US-Server — ohne Einwilligung eine klare DSGVO-Verletzung (LG München, Az. 3 O 17493/20). Die einzige rechtssichere Lösung: Fonts selbst hosten.

Methode 1: Manuell mit Google Webfonts Helper

  1. Öffnen Sie google-webfonts-helper.vercel.app
  2. Schriftart suchen und alle benötigten Schnitte auswählen
  3. ZIP-Paket mit allen Font-Dateien herunterladen
  4. Dateien per FTP hochladen: /wp-content/themes/ihr-theme/fonts/
  5. Generierten CSS-Code in Ihre style.css oder functions.php einfügen
  6. Alle <link>-Tags und @import-Aufrufe auf fonts.googleapis.com entfernen
Methode 2: Plugin OMGF (Optimize My Google Fonts)

Das kostenlose Plugin OMGF automatisiert den gesamten Prozess: Es erkennt alle Google Fonts-Aufrufe, lädt die Dateien lokal herunter und ersetzt alle externen Anfragen automatisch. Empfohlen für Elementor, Divi und andere Page-Builder, die eigene Font-Instanzen laden.

⚠️ Page-Builder beachten: Elementor, Divi und Beaver Builder laden oft eigene Google Fonts unabhängig vom Theme. Bei Elementor: Einstellungen → Allgemein → Google Fonts-API deaktivieren. Bei Divi: Theme Options → Performance → Google Fonts deaktivieren und Schriften manuell einbinden.

Gravatar & WordPress Emojis deaktivieren

WordPress lädt standardmäßig zwei externe Ressourcen, die IP-Adressen an US-Server übertragen, ohne dass die meisten Betreiber es wissen: Gravatar (Kommentar-Avatare von Automattic/USA) und das WordPress Emoji-Skript (von s.w.org).

Problem Lösung
Gravatar (Kommentar-Avatare) Dashboard → Einstellungen → Diskussion → Avatare anzeigen: deaktivieren
WordPress Emoji-Skript In functions.php: remove_action('wp_head', 'print_emoji_detection_script', 7); und remove_action('wp_print_styles', 'print_emoji_styles');
Beide automatisch deaktivieren Plugin „Disable Emojis (GDPR friendly)“ (kostenlos) oder „Perfmatters“

Google Analytics & DSGVO: So geht es richtig

Google Analytics 4 (GA4) ist DSGVO-konform einsetzbar — aber nur unter bestimmten Bedingungen. Die alte Version Universal Analytics (UA) ist seit Juli 2023 abgeschaltet.

GA4 DSGVO-konform nutzen

  • AVV mit Google abschließen
  • IP-Anonymisierung aktivieren
  • Datenspeicherung auf 14 Monate begrenzen
  • Nur nach Einwilligung laden (Cookie-Consent)
  • In Datenschutzerklärung erwähnen
DSGVO-freundliche Alternativen

  • Matomo — selbst gehostet, kein Cookie nötig
  • Plausible — EU-Server, kein Cookie
  • Fathom — datenschutzfreundlich
  • etracker — deutsches Unternehmen

Für kleinere Websites empfehle ich Plausible Analytics (ab 9 $/Monat): kein Cookie-Consent nötig, EU-Server, DSGVO-konform by design, und ein übersichtliches Dashboard. Spart den Cookie-Consent-Aufwand für Analytics komplett.

Kontaktformulare DSGVO-konform gestalten

Kontaktformulare erfassen personenbezogene Daten und müssen entsprechend gestaltet sein. Die häufigsten Fehler und ihre Lösung:

Anforderung Umsetzung
Datenschutzhinweis Link zur Datenschutzerklärung direkt beim Formular
Minimale Datenerhebung Nur erforderliche Felder (Name + E-Mail reicht meist)
E-Mail-Speicherung Speicherdauer definieren und in DSE angeben
Spam-Schutz Honeypot statt reCAPTCHA (reCAPTCHA = Google = AVV nötig)
Plugin-Auswahl Contact Form 7 + Flamingo, Gravity Forms oder Forminator

Auftragsverarbeitungsvertrag (AVV): Wer braucht ihn?

Der Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO Pflicht, sobald Sie personenbezogene Daten durch einen externen Dienstleister verarbeiten lassen. Das betrifft nahezu jede WordPress-Website — denn Hosting, Analytics und Kontaktformulare sind alle Auftragsverarbeitung.

Diese Dienste erfordern zwingend einen AVV:

  • Hosting-Anbieter (Ionos, Strato, Hetzner, All-Inkl.) — AVV im Kundenportal unter Datenschutz abschließen
  • Google Analytics / GA4 — AVV in den Google-Kontoeinstellungen → Datenschutz & Sicherheit → Datenverarbeitung
  • Newsletter-Tools (Mailchimp, CleverReach, Brevo) — jeweils im jeweiligen Konto unter Datenschutz/Legal
  • Zahlungsanbieter (PayPal, Stripe, Klarna) — AVV-Regelungen sind in den AGB / DPA-Dokumenten enthalten
  • E-Mail-Anbieter (Google Workspace, Microsoft 365) — bei Nutzung für geschäftliche Kommunikation

Die gute Nachricht: Die meisten großen Anbieter stellen den AVV als Online-Formular oder standardisiertes DPA-Dokument bereit, das Sie digital unterzeichnen können. Bei Hetzner und Ionos finden Sie den AVV direkt im Kundenportal. Bei Google aktivieren Sie ihn in den Kontoeinstellungen. Bewahren Sie abgeschlossene AVVs dokumentiert auf — Aufsichtsbehörden können diese anfordern.

⚠️ Kein AVV = DSGVO-Verstoß: Fehlt der AVV mit einem Auftragsverarbeiter, ist die gesamte Datenverarbeitung durch diesen Dienst rechtswidrig — selbst wenn Cookie-Banner, Datenschutzerklärung und alle anderen Maßnahmen korrekt sind. Gehen Sie Ihre genutzten Dienste systematisch durch und schließen Sie fehlende AVVs nach.

WordPress DSGVO Checkliste 2026

Diese Checkliste deckt die wichtigsten DSGVO-Pflichten für WordPress-Websites ab. Haken Sie jeden Punkt ab, bevor Sie Ihre Website live schalten:

Pflichtpunkte vor dem Go-Live:

  • Impressum — vollständig nach § 5 TMG
  • Datenschutzerklärung — alle Verarbeitungsvorgänge abgedeckt
  • Cookie-Consent-Banner — rechtskonform mit Ablehnoption
  • Google Fonts — lokal gehostet, nicht via Google CDN
  • Google Analytics — AVV, IP-Anonymisierung, nur nach Consent
  • Kontaktformular — Datenschutzhinweis, minimale Daten
  • SSL-Zertifikat — HTTPS auf allen Seiten
  • Auftragsverarbeitungsverträge — mit Hosting-Anbieter, Google, Newsletter-Tool
  • Social-Media-Buttons — nur als 2-Klick-Lösung oder nach Consent
  • Eingebettete Videos — YouTube/Vimeo erst nach Einwilligung laden
  • Kommentarfunktion — IP-Speicherung in DSE erwähnen
  • Newsletter — Double-Opt-In, Widerrufsmöglichkeit
Als WordPress-Freelancer aus Landau setze ich Ihre Website vollständig DSGVO-konform auf — Cookie-Consent, Google Fonts lokal, Datenschutzerklärung-Integration, AVV-Checkliste. Keine rechtlichen Unsicherheiten, keine Abmahnrisiken.

Kostenloses DSGVO-Gespräch anfragen →

Häufige Fragen zur WordPress DSGVO

Gilt die DSGVO auch für private Websites und Blogs? +
Ja. Die DSGVO gilt für alle Websites, die personenbezogene Daten verarbeiten — unabhängig von der Größe oder dem kommerziellen Charakter. Eine Ausnahme gibt es nur für rein private, nicht öffentliche Aktivitäten (z. B. ein passwortgeschütztes privates Fotoalbum). Sobald eine Website öffentlich zugänglich ist und Daten verarbeitet (IP-Adressen, Kontaktformulare), gilt die DSGVO.
Brauche ich für technisch notwendige Cookies keinen Banner? +
Richtig. Technisch notwendige Cookies (Session-Cookies, Login-Cookies, Warenkorb-Cookies) brauchen keine vorherige Einwilligung. Sie müssen aber in der Datenschutzerklärung erwähnt werden. Analytische Cookies (Google Analytics), Marketing-Cookies (Facebook Pixel) und personalisierungsbezogene Cookies benötigen immer eine aktive Einwilligung.
Was droht bei DSGVO-Verstößen wirklich? +
Bei schweren Verstößen können Bußgelder bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes verhängt werden. In der Praxis für kleinere Websites relevanter: Abmahnungen durch Mitbewerber oder Verbände (Streitwert oft 1.000–3.000 €), Unterlassungserklärungen und Schadenersatzforderungen von betroffenen Personen (Art. 82 DSGVO). Das LG München verurteilte 2022 eine Website zu 100 € Schadensersatz wegen Google Fonts.
Muss ich Google Analytics wegen der DSGVO abschalten? +
Nein, Google Analytics 4 kann DSGVO-konform eingesetzt werden: AVV mit Google abschließen, IP-Anonymisierung aktivieren, Daten nur nach Einwilligung sammeln (Cookie-Consent), Datenspeicherung begrenzen und in der Datenschutzerklärung dokumentieren. Alternativ: datenschutzfreundliche Tools wie Matomo (self-hosted) oder Plausible Analytics, die oft ohne Cookie-Consent auskommen.
Wie oft muss ich die Datenschutzerklärung aktualisieren? +
Die Datenschutzerklärung muss immer dann aktualisiert werden, wenn sich die Datenverarbeitungsvorgänge auf der Website ändern: neues Plugin installiert, neues Analysetool, neue Zahlungsmethode, neue Newsletter-Software. Empfehlung: Abonnement bei IT-Recht Kanzlei oder e-recht24, die automatisch Updates liefern wenn sich Rechtslage ändert (ab ~9,90 €/Monat).

Fazit: WordPress DSGVO ist lösbar

Die DSGVO klingt kompliziert — ist aber bei WordPress mit den richtigen Maßnahmen gut umsetzbar. Die wichtigsten Schritte: Datenschutzerklärung erstellen, Cookie-Consent korrekt implementieren, Google Fonts lokal laden und alle externen Dienste erst nach Einwilligung aktivieren.

Wer seine WordPress-Website neu aufbauen lässt, sollte DSGVO-Konformität von Anfang an einplanen — nachträgliches Korrigieren ist aufwändiger und teurer als ein sauberer Aufbau von Beginn an.

Das könnte Sie auch interessieren

→ WordPress Website erstellen lassen

Professionelle WordPress-Website ab 759 € – Festpreis, inkl. DSGVO.
Das könnte Sie auch interessieren

→ WordPress Online Shop erstellen lassen

WooCommerce-Shop ab 1.200 € – DSGVO-konform, inkl. PayPal & Stripe.
DSGVO-Setup ab
299 €
Einmalig · inkl. Cookie-Consent

Kostenloses Angebot☎ Jetzt anrufen

Ihre Vorteile
✔ Cookie-Consent korrekt eingerichtet
✔ Google Fonts lokal gehostet
✔ DSE-Integration inklusive
✔ AVV-Checkliste abgearbeitet
✔ Abmahnsicher zum Go-Live



0/5 (0 Bewertung)

NAVIGATION

Angebot anfordern
Angebot anfordern