WordPress DSGVO-konform machen: Der komplette Guide
WordPress hat zahlreiche DSGVO-Probleme ab Werk: Gravatar, Google Fonts, Emojis, REST API. Dieser Guide zeigt alle Fixes mit Code-Beispielen und Plugin-Empfehlungen.
WordPress betreibt rund 43 % aller Websites weltweit. Was viele Betreiber nicht wissen: Eine Standard-WordPress-Installation ist nicht DSGVO-konform. Bereits ohne installierte Plugins sendet WordPress Daten an externe Server — Gravatar-Bilder, Emoji-Scripts, oEmbed-Previews und mehr. Dieser Guide zeigt dir alle Probleme, die konkreten Fixes und welche Plugins und Tools du brauchst.
DSGVO-Probleme einer Standard-WordPress-Installation
Direkt nach der Installation hat WordPress mehrere datenschutzrechtliche Schwachstellen. Keine davon ist böse Absicht — aber jede überträgt ohne Einwilligung personenbezogene Daten an Dritte.
Gravatar (Profilbilder)
WordPress lädt bei jedem Kommentar automatisch das Profilbild des Nutzers von gravatar.com (Automattic, USA). Dabei wird die E-Mail-Adresse als Hash und die IP-Adresse des Besuchers an Automattic-Server übertragen.
Fix per functions.php:
// Gravatar deaktivieren
add_filter('avatar_defaults', function ($avatar_defaults) {
$avatar_defaults['mystery'] = 'Mystery Person';
return $avatar_defaults;
});
add_filter('get_avatar', function () {
return '';
});
add_filter('option_show_avatars', '__return_false');
Emoji-CDN (wp-emoji-release.min.js)
WordPress lädt ein Emoji-Script von s.w.org (Automattic CDN). Dieses Script ersetzt textbasierte Emojis durch Grafiken — und überträgt dabei die IP-Adresse an externe Server.
Fix per functions.php:
// WordPress Emoji-Script deaktivieren
remove_action('wp_head', 'print_emoji_detection_script', 7);
remove_action('admin_print_scripts', 'print_emoji_detection_script');
remove_action('wp_print_styles', 'print_emoji_styles');
remove_action('admin_print_styles', 'print_emoji_styles');
remove_filter('the_content_feed', 'wp_staticize_emoji');
remove_filter('comment_text_rss', 'wp_staticize_emoji');
remove_filter('wp_mail', 'wp_staticize_emoji_for_email');
Google Fonts (über Themes)
Die meisten WordPress-Themes laden Google Fonts direkt von Google-Servern. Das LG München hat 2022 klargestellt, dass dies ohne Einwilligung rechtswidrig ist.
Fix: Entweder ein Plugin wie OMGF nutzen oder die Fonts manuell lokal einbinden. Mehr dazu in unserem Artikel Google Fonts lokal einbinden.
oEmbed (externe Vorschauen)
Wenn du in WordPress eine YouTube- oder Twitter-URL in den Editor einfügst, wird automatisch ein Embed generiert. Beim Seitenaufruf werden dann Daten an den jeweiligen Drittanbieter gesendet — ohne Einwilligung.
Fix per functions.php:
// oEmbed-Discovery-Links entfernen
remove_action('wp_head', 'wp_oembed_add_discovery_links');
// oEmbed komplett deaktivieren (optional)
add_filter('embed_oembed_discover', '__return_false');
Besser: Embeds per Two-Click-Lösung einbinden (Platzhalter + Consent). Dazu mehr in unserem Artikel Social Media Embeds DSGVO-konform einbinden.
REST API (Benutzernamen-Leak)
Die WordPress REST API gibt unter /wp-json/wp/v2/users standardmäßig alle Benutzernamen preis. Fix: Den Filter rest_authentication_errors nutzen, um den Zugriff auf eingeloggte User zu beschränken. Alternativ das Plugin “WP Hide & Security Enhancer” einsetzen.
XML-RPC
Die XML-RPC-Schnittstelle wird selten gebraucht, ist aber ein häufiges Ziel für Brute-Force-Attacken. Fix: add_filter('xmlrpc_enabled', '__return_false'); in der functions.php.
Übersicht: WordPress-Datenflüsse ohne Einwilligung
| Funktion | Externer Server | Übertragene Daten | DSGVO-Problem |
|---|---|---|---|
| Gravatar | gravatar.com (USA) | E-Mail-Hash, IP-Adresse | Drittlandtransfer ohne Rechtsgrundlage |
| Emoji-Script | s.w.org (USA) | IP-Adresse, Referrer | Drittlandtransfer ohne Einwilligung |
| Google Fonts | fonts.googleapis.com (USA) | IP-Adresse, User-Agent | Drittlandtransfer (LG München) |
| oEmbed | youtube.com, twitter.com etc. | IP-Adresse, Cookies | Tracking ohne Einwilligung |
| REST API | Eigener Server | Benutzernamen | Unberechtigte Datenoffenlegung |
| XML-RPC | Eigener Server | Login-Daten | Sicherheitsrisiko (Brute Force) |
| DNS Prefetch | Diverse externe Server | IP-Adresse | Unnötige Drittanbieterkontakte |
Die besten WordPress-Datenschutz-Plugins
Essenzielle Plugins
| Plugin | Zweck | Kosten |
|---|---|---|
| OMGF (Optimize My Google Fonts) | Google Fonts lokal hosten | Kostenlos |
| Complianz / Real Cookie Banner | Cookie-Banner + Consent | Ab 49 EUR/Jahr |
| WP Hide & Security Enhancer | REST API, XML-RPC, Versionsnummern verbergen | Kostenlos |
| Disable Emojis (GDPR friendly) | Emoji-CDN deaktivieren | Kostenlos |
| Shariff Wrapper | DSGVO-konforme Share-Buttons | Kostenlos |
Empfohlene Zusatz-Plugins
| Plugin | Zweck |
|---|---|
| Antispam Bee | Spam-Schutz ohne Drittanbieter (Alternative zu Akismet) |
| WP Mail SMTP | E-Mail-Versand über eigenen SMTP-Server statt PHP mail() |
| UpdraftPlus | Backups lokal oder auf EU-Servern |
| Wordfence / Solid Security | Security-Hardening |
Warnung vor Akismet: Akismet (bei WordPress vorinstalliert) sendet alle Kommentardaten inklusive IP-Adressen an Automattic-Server in den USA. Nutze stattdessen Antispam Bee als datenschutzfreundliche Alternative.
WooCommerce und DSGVO
WooCommerce bringt zusätzliche Anforderungen mit sich, da hier Zahlungsdaten, Bestellhistorien und Kundenadressen verarbeitet werden.
WooCommerce-spezifische Cookies
| Cookie | Zweck | Consent nötig? |
|---|---|---|
woocommerce_cart_hash | Warenkorb-Inhalt | Nein (funktional) |
woocommerce_items_in_cart | Warenkorb-Anzeige | Nein (funktional) |
wp_woocommerce_session_* | Session-ID | Nein (funktional) |
tk_* (Jetpack/WooCommerce Analytics) | Tracking | Ja |
Aufbewahrungsfristen
WooCommerce speichert Bestelldaten standardmäßig unbegrenzt. Das widerspricht dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO).
Empfehlung:
- Bestelldaten: Steuerrechtlich 10 Jahre aufbewahren, dann löschen
- Kundenkonten: Auf Anfrage löschen (Art. 17), mindestens nach 3 Jahren Inaktivität anonymisieren
- Logfiles: Maximal 7 Tage
Payment-Provider
Jeder Payment-Provider (Stripe, PayPal, Klarna, Mollie) braucht:
- Einen Auftragsverarbeitungsvertrag (AVV)
- Erwähnung in der Datenschutzerklärung mit Drittlandtransfer-Hinweis
- Bei Klarna/PayPal: Hinweis auf Bonitätsprüfung, falls zutreffend
Cookie-Banner für WordPress: Compliso vs. Plugins
WordPress-Cookie-Banner-Plugins haben systembedingte Einschränkungen. Ein externer Cookie-Banner wie Compliso hat dagegen Vorteile:
| Kriterium | WordPress-Plugins (z.B. Complianz) | Compliso Cookie-Banner |
|---|---|---|
| Script-Blocking | PHP-basiert, nicht alle Scripts erfasst | Shadow DOM + MutationObserver, blockiert zuverlässig |
| Performance | Lädt als WordPress-Plugin (PHP + JS) | Standalone < 15 KB, kein PHP-Overhead |
| Google Consent Mode v2 | Je nach Plugin unterschiedlich | Nativ integriert |
| Automatische Cookie-Erkennung | Teilweise, manuelles Nachtragen nötig | Via Compliso Scanner automatisch |
| Theme-Konflikte | CSS-Konflikte mit WordPress-Themes möglich | Shadow DOM isoliert Styles vollständig |
| Updates | Abhängig von Plugin-Entwickler | Zentral via CDN, immer aktuell |
| Multi-Domain | Separates Plugin pro Installation | Ein Account, mehrere Domains |
Der Compliso Cookie-Banner lässt sich in jede WordPress-Seite mit einem einzigen Script-Tag integrieren:
<!-- Im <head> der WordPress-Seite (z.B. via Header-Plugin oder header.php) -->
<script
src="https://cdn.compliso.de/banner.js"
data-compliso-id="DEINE-DOMAIN-ID"
async
></script>
EU-Hosting: Warum der Serverstandort wichtig ist
Für WordPress-Hosting gilt: Wähle einen Anbieter mit Servern in der EU. Das vermeidet Drittlandtransfer-Probleme und reduziert die DSGVO-Dokumentationspflichten.
| Hoster | Serverstandort | DSGVO-Empfehlung |
|---|---|---|
| Hetzner | Deutschland | Empfohlen |
| IONOS | Deutschland | Empfohlen |
| All-Inkl | Deutschland | Empfohlen |
| Mittwald | Deutschland | Empfohlen |
| Raidboxes | Deutschland | Empfohlen (WordPress-spezialisiert) |
| SiteGround | Niederlande | Akzeptabel (EU) |
| Kinsta | Belgien (Google Cloud) | Eingeschränkt (Google Cloud, AVV nötig) |
| WP Engine | USA/London | Nur mit DPF-Zertifizierung |
Mehr zum Thema in unserem Artikel Server-Standort und EU-Hosting.
Praxis-Checkliste: WordPress DSGVO-konform
- Gravatar deaktiviert?
- Emoji-CDN-Script entfernt?
- Google Fonts lokal eingebunden (kein Laden von Google-Servern)?
- oEmbed-Discovery deaktiviert oder Two-Click-Lösung für Embeds?
- REST API für nicht-eingeloggte User eingeschränkt?
- XML-RPC deaktiviert?
- Akismet durch Antispam Bee ersetzt?
- Cookie-Banner mit echtem Script-Blocking aktiv?
- Google Consent Mode v2 implementiert (falls Google-Dienste genutzt)?
- Datenschutzerklärung vollständig und aktuell?
- AVV mit allen Dienstleistern (Hosting, Payment, Newsletter)?
- WooCommerce-Aufbewahrungsfristen konfiguriert (falls Shop)?
- SSL/TLS-Verschlüsselung aktiv?
- Regelmäßige Scans auf neue Tracker und Cookies?
Deine WordPress-Seite scannen
Du bist dir nicht sicher, ob deine WordPress-Seite wirklich DSGVO-konform ist? Der Compliso Scanner erkennt automatisch alle typischen WordPress-Probleme: externe Google Fonts, Gravatar-Anfragen, oEmbed-Verbindungen, fehlende SSL-Konfiguration und versteckte Tracker durch Plugins.
Kombiniert mit dem Compliso Cookie-Banner erhältst du eine Lösung, die unabhängig von deinem WordPress-Theme funktioniert und alle Scripts zuverlässig blockiert, bis der Nutzer einwilligt.
Jetzt kostenlos scannen und alle WordPress-DSGVO-Probleme auf einen Blick sehen.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.