WordPress & DSGVO: Website datenschutzkonform machen

WordPress betreibt einen großen Teil aller Websites — und genau deshalb tauchen hier dieselben Datenschutz-Baustellen immer wieder auf. Das liegt selten an WordPress selbst: Eine frische Installation lädt kaum externe Dienste. Kritisch wird es durch das Ökosystem darum herum — Themes, die Schriften von Google ziehen, Plugins, die Analytics oder Marketing-Pixel setzen, Cookie-Banner-Plugins, die nur Fassade sind, und eingebettete Inhalte wie YouTube oder Google Maps. Dieser Beitrag erklärt neutral, wo die typischen Probleme liegen, und führt dich mit einer Checkliste Punkt für Punkt durch das, was du selbst prüfen und umstellen kannst.

Hinweis: Dieser Artikel ist eine technische Einordnung und ersetzt keine Rechtsberatung. Im Zweifel ziehst du am besten deine Datenschutzbeauftragte oder einen Fachanwalt hinzu.

Warum WordPress typische Datenschutz-Baustellen hat

Der Reiz von WordPress ist seine Erweiterbarkeit: Für fast jede Funktion gibt es ein Theme oder ein Plugin. Genau diese Bausteine bringen aber oft eigene Drittdienste mit, ohne dass man es merkt. Ein Theme bindet Google Fonts dynamisch ein und überträgt damit die IP-Adresse deiner Besucher an einen Google-Server. Ein Analytics-Plugin setzt beim Seitenaufruf Cookies. Ein Bewertungs-, Karten- oder Video-Block lädt ein Widget, das eigene Skripte und Cookies nachzieht. Und Page-Builder ziehen häufig Icon-Sets oder Schriften von externen Servern.

Der gemeinsame Nenner: Nicht WordPress überträgt die Daten, sondern die einzelnen Erweiterungen — und zwar oft schon, bevor jemand in ein Cookie-Banner eingewilligt hat. Die gute Nachricht ist, dass sich die meisten dieser Punkte gezielt entschärfen lassen. Die folgende Checkliste geht sie der Reihe nach durch. Einen schnellen ersten Eindruck, welche Drittdienste deine Seite überhaupt lädt, bekommst du in rund einer Minute mit dem kostenlosen Schnellcheck.

Die WordPress-DSGVO-Checkliste

1. Google Fonts im Theme lokal einbinden

Viele Themes laden Schriften dynamisch von fonts.googleapis.com bzw. fonts.gstatic.com. Dabei wird die IP-Adresse deiner Besucher an einen Google-Server übertragen — in der Regel ohne Einwilligung. Die saubere Lösung ist Self-Hosting: Schriften lokal über deine eigene Domain ausliefern. Manche Themes bieten dafür eine Option, ansonsten helfen Plugins, die Google Fonts lokal bereitstellen, oder das händische Einbinden per @font-face.

Im Netzwerk-Tab prüfen: Seite öffnen, F12 → „Netzwerk", neu laden, nach „font" oder „google" filtern. Tauchen Requests an googleapis oder gstatic auf, lädt deine Seite Schriften noch extern. Tiefer steigt der eigene Ratgeber Google Fonts lokal einbinden ein.

2. Analytics & Tag Manager nur nach Consent laden

Analytics-Werkzeuge und der Google Tag Manager (GTM) sind in der Regel einwilligungspflichtig. In WordPress werden sie oft über ein Plugin oder fest im Theme eingebunden — und feuern dann schon beim Seitenaufruf, lange bevor jemand zugestimmt hat. Sorge dafür, dass nicht notwendige Tags erst nach einer aktiven Einwilligung laden: über einen Einwilligungs-Trigger deines Consent-Tools oder einen sauber konfigurierten Consent-Mode.

Im Netzwerk-Tab prüfen: In einem privaten Fenster die Seite laden, im Banner nichts anklicken und nach google-analytics, googletagmanager oder doubleclick filtern. Erscheinen diese Requests vor dem Klick, lädt Tracking ungefragt. Details dazu im Ratgeber Feuern Tracker vor der Einwilligung?

3. Cookie-Consent-Plugin richtig konfigurieren

Ein Banner-Plugin allein macht keine Seite konform. Entscheidend ist, dass es die Skripte tatsächlich blockiert, bis eine Einwilligung vorliegt — nicht nur einen Hinweis anzeigt. Achte außerdem darauf, dass „Ablehnen" ähnlich einfach erreichbar ist wie „Akzeptieren", dass nicht notwendige Kategorien nicht vorausgewählt sind und dass eine getroffene Wahl auch respektiert wird.

Im Netzwerk-Tab prüfen: Auf „Ablehnen" klicken und beobachten, ob danach trotzdem Tracker laden. Unter dem Tab „Anwendung" (Chrome/Edge) bzw. „Speicher" (Firefox) bei Cookies kontrollieren, ob schon vor dem Klick Analyse- oder Marketing-IDs gesetzt sind — ein reines Cookie für die Banner-Auswahl ist dagegen unkritisch.

4. Embeds (YouTube, Maps) per Zwei-Klick-Lösung

Eingebettete Inhalte sind ein häufiger blinder Fleck. Ein YouTube-Video oder eine Google-Maps-Karte lädt beim Aufruf der Seite Skripte und Cookies des Drittanbieters — auch hier ohne Einwilligung. Die übliche Lösung ist eine Zwei-Klick-Variante: Statt des Originals zeigst du zunächst eine Vorschau bzw. Platzhalter; der externe Inhalt lädt erst, wenn die Besucherin aktiv darauf klickt und damit einwilligt. Viele Consent-Plugins und einige Embed-Plugins bringen so eine Zwei-Klick-Funktion mit.

Im Netzwerk-Tab prüfen: Auf einer Seite mit Video oder Karte vor jeder Interaktion nach youtube, ytimg, googlevideo oder maps.googleapis filtern. Treffer vor dem Klick deuten auf ein Embed hin, das ungefragt lädt.

5. Kontaktformular-Plugin: TLS und Einwilligung

Über Kontakt- und Anmeldeformulare werden personenbezogene Daten erhoben. Achte auf zwei Dinge: Die Übertragung muss verschlüsselt erfolgen (HTTPS/TLS), und die Erhebung braucht eine nachvollziehbare Grundlage. Ein Einwilligungs-Hinweis mit Link zur Datenschutzerklärung ist üblich; eine vorangekreuzte Checkbox ist keine wirksame Einwilligung. Prüfe zudem, ob dein Formular-Plugin Daten an externe Dienste schickt (etwa Spam-Schutz oder ein CRM) — solche Drittübermittlungen gehören benannt und gegebenenfalls abgesichert.

Im Netzwerk-Tab prüfen: Beim Absenden beobachten, an welchen Host das Formular sendet, und ob das Schloss-Symbol bzw. https:// in der Adresszeile steht. Im Netzwerk-Tab erkennst du außerdem, ob das Formular zusätzliche Drittdienste (z. B. ein externes Captcha) kontaktiert.

6. Impressum und Datenschutzerklärung pflegen

Impressum und Datenschutzerklärung müssen vorhanden, leicht auffindbar und vor allem aktuell sein. Der häufigste Fehler ist nicht das Fehlen, sondern die Lücke zwischen Text und Technik: In der Datenschutzerklärung steht ein Dienst, den es längst nicht mehr gibt — oder ein eingesetzter Tracker fehlt. Gleiche deshalb die tatsächlich geladenen Drittdienste regelmäßig mit deiner Datenschutzerklärung ab.

So prüfst du: Liste die im Netzwerk-Tab gefundenen fremden Hosts auf und vergleiche sie mit den in deiner Datenschutzerklärung genannten Diensten. Wie das systematisch geht, zeigt der Ratgeber Datenschutzerklärung vs. Realität.

7. Server, Hoster und AVV

Dein Webhoster verarbeitet in deinem Auftrag personenbezogene Daten — etwa Server-Logfiles mit IP-Adressen und die Datenbank deiner WordPress-Installation. Dafür ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO die übliche Grundlage; seriöse Hoster stellen einen bereit. Dasselbe gilt für weitere Dienstleister, die du über Plugins anbindest (Newsletter-, Analyse-, Backup- oder Formular-Tools). Verschaffe dir einen Überblick, welche Dienste mitlesen, und kläre die jeweils nötigen Verträge.

So prüfst du: Geh deine aktiven Plugins durch und notiere, welche Daten an externe Anbieter fließen. Für jeden externen Verarbeiter brauchst du in der Regel einen AVV und einen Eintrag in deiner Datenschutzerklärung. Welche Verträge konkret erforderlich sind, klärst du am besten fachkundig.

Kurz zusammengefasst

• WordPress selbst ist selten das Problem — Themes, Plugins und Embeds übertragen die kritischen Daten, oft schon vor jeder Einwilligung.
• Die Kernpunkte: Google Fonts lokal einbinden, Analytics/GTM nur nach Consent laden, das Cookie-Plugin so konfigurieren, dass es wirklich blockiert, und Embeds als Zwei-Klick-Lösung umsetzen.
• Formulare brauchen TLS und eine saubere Einwilligung; Impressum und Datenschutzerklärung müssen aktuell sein und zur tatsächlich geladenen Technik passen.
• Für Hoster und externe Dienste ist in der Regel ein AVV nach Art. 28 DSGVO nötig. Prüfen kannst du das meiste selbst im Netzwerk-Tab — Treffer auf fremde Hosts vor dem Klick sind das zentrale Warnsignal.

Dieser Beitrag liefert technische Hinweise und mögliche Risiken, keine Rechtsberatung. Für eine verbindliche Einschätzung deiner konkreten Situation wendest du dich an deine Datenschutzbeauftragte oder einen Fachanwalt. Den passenden Prüfbereich findest du unter Datenschutz-Check für Websites.