WordPress DSGVO – wie Sie Ihre Website rechtssicher machen und Abmahnungen vermeiden
Die DSGVO gilt seit 2018 – und trotzdem sind die meisten WordPress-Websites nicht vollständig konform. Fehlende Cookie-Consent-Banner, unverschlüsselte Kontaktformulare, Google Fonts, die von externen Servern geladen werden, eingebettete YouTube-Videos ohne Zwei-Klick-Lösung – die Liste der typischen Verstöße ist lang. Und die Konsequenzen sind real: Abmahnungen, Bußgelder und Vertrauensverlust bei Kunden.
WordPress DSGVO-Konformität ist kein einmaliges Projekt, sondern eine fortlaufende Pflicht. Jedes neue Plugin, jedes eingebettete Element und jede Formularänderung kann neue Datenschutzfragen aufwerfen. Dieser Beitrag zeigt die wichtigsten Maßnahmen, die jede WordPress-Website umsetzen muss – technisch verständlich, rechtlich fundiert und mit konkreten Handlungsanweisungen.
Wichtiger Hinweis: Dieser Beitrag ersetzt keine Rechtsberatung. Für verbindliche Datenschutz-Aussagen konsultieren Sie einen spezialisierten Anwalt oder Datenschutzbeauftragten.
Ist Ihre WordPress-Website DSGVO-konform? Kostenlose Ersteinschätzung anfordern
Die fünf häufigsten DSGVO-Verstöße bei WordPress-Websites
Bevor wir über Lösungen sprechen, müssen wir die Probleme kennen. Diese fünf Verstöße finden wir bei über 80 Prozent der WordPress-Websites, die wir analysieren.
Verstoß 1: Google Fonts werden extern geladen
Standardmäßig laden viele WordPress-Themes Google Fonts direkt von Google-Servern. Dabei wird die IP-Adresse des Besuchers an Google übertragen – ohne Einwilligung. Das Landgericht München hat 2022 entschieden, dass dies einen DSGVO-Verstoß darstellt, und Schadensersatz in Höhe von 100 Euro pro Seitenaufruf zugesprochen. Die Lösung: Google Fonts lokal hosten. Plugins wie „OMGF” oder „Local Google Fonts” automatisieren diesen Prozess.
Verstoß 2: Fehlender oder mangelhafter Cookie-Consent-Banner
Ein Cookie-Banner, das nur informiert aber keine echte Wahl bietet, ist rechtlich wertlos. DSGVO-konform ist nur ein Banner, das vor dem Laden von Tracking-Cookies die ausdrückliche Einwilligung einholt – mit gleichwertigen Optionen für Akzeptieren und Ablehnen. Cookie-Consent-Tools wie Borlabs Cookie, Complianz oder Real Cookie Banner erfüllen diese Anforderungen für WordPress.
Verstoß 3: Kontaktformulare ohne Datenschutz-Hinweis
Jedes Kontaktformular, das personenbezogene Daten erhebt, braucht einen Hinweis auf die Datenschutzerklärung und eine Checkbox, mit der der Nutzer der Datenverarbeitung zustimmt. Die Datenübertragung muss verschlüsselt erfolgen (HTTPS). Und die eingegebenen Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist.
Verstoß 4: Externe Einbindungen ohne Einwilligung
YouTube-Videos, Google Maps, Social-Media-Widgets und externe Schriftarten übertragen Nutzerdaten an Drittanbieter-Server. Ohne vorherige Einwilligung verstößt das gegen die DSGVO. Die Lösung: Zwei-Klick-Lösungen oder Fassaden, die den externen Inhalt erst nach Klick nachladen. Plugins wie „Embed Privacy” oder die Zwei-Klick-Funktion von Borlabs Cookie lösen dieses Problem elegant.
Verstoß 5: Unvollständige oder veraltete Datenschutzerklärung
Die Datenschutzerklärung muss alle eingesetzten Tools, Cookies und Datenverarbeitungen vollständig auflisten – und bei jeder Änderung aktualisiert werden. Ein neues Tracking-Plugin installiert? Die Datenschutzerklärung muss ergänzt werden. Ein Chat-Widget hinzugefügt? Gleiches gilt. Viele Websites haben Datenschutzerklärungen, die seit 2018 nicht aktualisiert wurden – und damit unvollständig sind.
Die technische DSGVO-Checkliste für WordPress
Diese Maßnahmen sollte jede WordPress-Website umsetzen. Die Liste ist nach Priorität geordnet – beginnen Sie oben und arbeiten Sie sich durch.
SSL-Zertifikat aktivieren und HTTPS erzwingen – Pflicht seit der DSGVO und Rankingfaktor bei Google. Cookie-Consent-Tool installieren und konfigurieren – alle Cookies und Tracker müssen korrekt kategorisiert sein. Google Fonts lokal hosten – kein externes Laden von Google-Servern. Kontaktformulare mit Datenschutz-Checkbox und verschlüsselter Übertragung ausstatten. Externe Einbindungen mit Zwei-Klick-Lösung absichern. Datenschutzerklärung erstellen oder aktualisieren – per Datenschutz-Generator und anwaltlicher Prüfung. Impressum vollständig und korrekt halten. Auftragsverarbeitungsverträge (AVV) mit allen Dienstleistern abschließen – Hoster, E-Mail-Provider, Analytics-Tools. Tracking nur nach Einwilligung aktivieren.
Die besten DSGVO-Plugins für WordPress
Borlabs Cookie – der Premium-Standard
Borlabs Cookie ist das umfassendste Cookie-Consent-Plugin für WordPress im deutschsprachigen Raum. Es bietet automatische Cookie-Erkennung, granulare Einwilligungsverwaltung, Zwei-Klick-Lösungen für externe Inhalte und rechtssichere Opt-in/Opt-out-Mechanismen. Die Kosten liegen bei 59 Euro pro Jahr für eine Website. Für deutschsprachige Unternehmenswebsites ist Borlabs Cookie die erste Wahl.
Complianz – die All-in-One-Lösung
Complianz kombiniert Cookie-Consent mit automatischem Cookie-Scan, Datenschutzerklärungsgenerator und regionaler Anpassung (DSGVO, ePrivacy, CCPA). Die kostenlose Version deckt die Grundlagen ab, die Premium-Version (ab 49 Euro/Jahr) bietet A/B-Tests für Consent-Banner und erweiterte Funktionen.
Real Cookie Banner – die deutsche Alternative
Real Cookie Banner ist ein deutsches Plugin, das besonderen Wert auf Rechtskonformität im DACH-Raum legt. Es bietet vorgefertigte Service-Templates für hunderte gängige WordPress-Plugins und externe Dienste, die die Konfiguration erheblich vereinfachen. Kosten: ab 69 Euro pro Jahr.
Die drei häufigsten DSGVO-Fehler bei WordPress
Fehler Nummer eins: Einen Cookie-Banner installieren und denken, damit sei alles erledigt. Ein Cookie-Banner ist nur ein Element der DSGVO-Konformität. Ohne korrekte technische Umsetzung – Cookies wirklich erst nach Einwilligung laden, externe Ressourcen blockieren, Formulare absichern – ist der Banner nur Dekoration. Er schützt Sie nicht vor Abmahnungen, wenn die Technik dahinter nicht stimmt.
Fehler Nummer zwei: WordPress-Plugins installieren, ohne die Datenschutz-Auswirkungen zu prüfen. Jedes Plugin, das externe Verbindungen herstellt oder Nutzerdaten verarbeitet, hat DSGVO-Relevanz. Bevor Sie ein Plugin aktivieren, prüfen Sie: Welche Daten verarbeitet es? Wo werden diese gespeichert? Braucht es einen AVV? Muss die Datenschutzerklärung ergänzt werden?
Fehler Nummer drei: Die DSGVO als einmaliges Projekt behandeln. Datenschutz ist ein fortlaufender Prozess. Jedes Website-Update, jedes neue Plugin, jede Änderung der Marketing-Tools kann neue Datenschutz-Anforderungen schaffen. Regelmäßige Überprüfungen – mindestens halbjährlich – sind notwendig. Die regelmäßige Wartung Ihrer Website sollte immer auch einen DSGVO-Check beinhalten.
DSGVO und Marketing – was ist erlaubt?
Die DSGVO schränkt Online-Marketing nicht ein – sie regelt es. Conversion Tracking ist mit Einwilligung erlaubt. E-Mail Marketing ist mit Double-Opt-in erlaubt. Retargeting ist mit Cookie-Einwilligung erlaubt. Google Analytics ist mit IP-Anonymisierung und Einwilligung erlaubt. Die DSGVO verlangt Transparenz und Einwilligung – sie verbietet kein Marketing.
Der Schlüssel liegt in der korrekten technischen Umsetzung: Tracking erst nach Einwilligung starten, Daten nur so lange speichern wie nötig, und alle Verarbeitungen in der Datenschutzerklärung dokumentieren. Wer das sauber aufsetzt, hat rechtliche Sicherheit und kann sein Marketing automatisieren, ohne DSGVO-Risiken einzugehen.
DSGVO-Check für Ihre WordPress-Website
Wir prüfen Ihre Website auf die häufigsten DSGVO-Verstöße: Cookie-Banner, Google Fonts, externe Einbindungen, Formulare und Datenschutzerklärung. Sie erhalten eine konkrete Maßnahmenliste – kostenlos und unverbindlich.
DSGVO-Risiken eliminieren – jetzt Website prüfen lassen
Häufig gestellte Fragen zur DSGVO und WordPress
Brauche ich einen Cookie-Banner für meine WordPress-Website?
Ja, wenn Ihre Website Cookies setzt, die nicht technisch notwendig sind – also Tracking-Cookies, Marketing-Cookies oder Analyse-Cookies. Ein reiner Informations-Banner reicht nicht: Sie müssen eine aktive Einwilligung einholen, bevor nicht-notwendige Cookies geladen werden.
Muss ich Google Fonts lokal hosten?
Ja. Das Landgericht München hat 2022 entschieden, dass das externe Laden von Google Fonts die IP-Adresse an Google überträgt und damit gegen die DSGVO verstößt. Die lokale Einbindung ist technisch einfach und sollte für jede WordPress-Website Standard sein.
Was passiert, wenn meine Website nicht DSGVO-konform ist?
Die Konsequenzen reichen von Abmahnungen durch Wettbewerber oder Verbraucherschützer über Bußgelder der Datenschutzbehörden bis hin zu Schadensersatzforderungen Betroffener. In der Praxis sind Abmahnungen mit Kosten von 500 bis 5.000 Euro am häufigsten. Bußgelder können deutlich höher ausfallen.
Wie oft muss ich meine Datenschutzerklärung aktualisieren?
Bei jeder Änderung an der Website, die die Datenverarbeitung betrifft: neues Plugin, neues Tracking-Tool, neues Kontaktformular, neuer Newsletter-Anbieter. Mindestens halbjährlich sollte eine vollständige Überprüfung stattfinden. Eine veraltete Datenschutzerklärung ist einer der häufigsten Abmahngründe.
