Seit der DSGVO 2018 und den verschärften Anforderungen durch aktuelle EuGH-Urteile ist Datenschutz für WordPress-Websites in Deutschland und der EU kein optionales Add-on mehr, sondern gesetzliche Pflicht. Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes sind möglich. Diese Checkliste zeigt dir alle Pflichtpunkte für eine DSGVO-konforme WordPress-Website im Jahr 2026.
DSGVO-Grundlagen für WordPress-Betreiber
Die Datenschutz-Grundverordnung (DSGVO) gilt für alle Websites, die Daten von EU-Bürgern verarbeiten — unabhängig davon, wo der Betreiber sitzt. Als WordPress-Website-Betreiber bist du in der Regel der 'Verantwortliche' im Sinne der DSGVO. Das bedeutet: Du musst sicherstellen, dass jede Datenverarbeitung auf einer Rechtsgrundlage (Art. 6 DSGVO) basiert, Nutzer transparent informiert werden, Betroffenenrechte (Auskunft, Löschung, Portabilität) erfüllbar sind und bei Verstößen die Aufsichtsbehörde innerhalb von 72 Stunden informiert wird. Die häufigsten Problembereiche bei WordPress-Websites sind: externe Schriftarten, eingebettete Videos, Analytics-Tools, Kontaktformulare und Cookie-Banner.
Cookie-Banner korrekt implementieren
Ein Cookie-Banner ist seit dem EuGH-Urteil vom Oktober 2019 Pflicht, wenn deine Website nicht ausschließlich technisch notwendige Cookies setzt. Ein DSGVO-konformer Cookie-Banner muss: vor dem Setzen nicht notwendiger Cookies erscheinen (kein 'Pre-Ticking'), gleichwertige Ablehnen- und Zustimmen-Optionen anbieten ('Dark Patterns' sind illegal), die Einwilligung dokumentieren und widerrufbar machen und konkret aufführen, welche Kategorien von Cookies gesetzt werden. Empfehlenswerte WordPress-Plugins für DSGVO-konformes Cookie-Management sind Complianz, Borlabs Cookie oder CookieYes. Gratis-Banner ohne Ablehnen-Option sind rechtswidrig.
Welche Cookies brauchen keine Einwilligung?
Technisch notwendige Cookies — Session-Cookies, Login-Cookies, Warenkorb-Cookies bei WooCommerce — benötigen keine Einwilligung. Alle anderen, insbesondere Analytics (Google Analytics, Matomo ohne Anonymisierung), Marketing (Facebook Pixel, Google Ads) und Komfort-Cookies, erfordern eine vorige, aktive Einwilligung des Nutzers.
Datenschutzerklärung und Impressum
Jede WordPress-Website benötigt eine vollständige Datenschutzerklärung (Art. 13/14 DSGVO) und ein Impressum (§ 5 TMG). Die Datenschutzerklärung muss alle Verarbeitungsvorgänge aufführen: Kontaktformulare, Analytics, eingebettete Inhalte, Hosting-Anbieter und Cookies. Nutze einen DSGVO-Generator (z.B. von der eRecht24 oder Datenschutz.org) als Basis und passe ihn auf deine spezifische Website an. Das Impressum muss Name, Adresse, E-Mail-Adresse und — bei gewerblichem Betrieb — Handelsregisternummer und USt-IdNr. enthalten. Beide Seiten müssen von jeder Unterseite aus in maximal zwei Klicks erreichbar sein.
Auftragsverarbeitungsverträge (AVV)
Wenn du externe Dienstleister nutzt, die Daten in deinem Auftrag verarbeiten (Hosting-Anbieter, E-Mail-Dienste, Analytics), benötigst du mit diesen einen Auftragsverarbeitungsvertrag (AVV). Seriöse Anbieter stellen diese automatisch bereit — prüfe deinen Hosting-Account auf entsprechende Dokumente.
Google Fonts lokal einbinden
Das Laden von Google Fonts direkt von Google-Servern ist nach einem Urteil des LG München (2022) in Deutschland ohne Einwilligung unzulässig, da dabei die IP-Adresse des Nutzers an Google-Server in den USA übermittelt wird. Die Lösung: Fonts lokal auf deinem Server hosten. Lade die gewünschten Fonts über google-webfonts-helper.herokuapp.com herunter, lade sie in dein WordPress-Theme-Verzeichnis hoch und binde sie via functions.php oder child-theme-CSS ein. Das WordPress-Plugin 'OMGF' (Optimize My Google Fonts) automatisiert diesen Prozess vollständig. Prüfe anschließend mit dem Privacy Badger oder dem Network-Tab der Browser-Entwicklertools, ob noch Anfragen an Google-Server stattfinden.
DSGVO-konforme Kontaktformulare
Kontaktformulare verarbeiten personenbezogene Daten (Name, E-Mail, ggf. Nachrichteninhalt). Pflichten: Verlinkung auf die Datenschutzerklärung direkt im Formular, keine übermäßige Datenerhebung (nur Felder, die wirklich benötigt werden), sichere Übertragung via HTTPS (Pflicht für alle WordPress-Websites), Speicherdauer in der Datenschutzerklärung angeben. Wenn du Formulardaten in der WordPress-Datenbank speicherst (Standard bei Contact Form 7 mit DB-Addon), musst du die Löschung nach Zweckerfüllung sicherstellen. Empfehlenswert: Fluent Forms oder WPForms mit aktivierter DSGVO-Option.
Problematische Dienste erkennen und ersetzen
Eingebettete Google Maps, YouTube-Videos und ähnliche Dienste übermitteln Nutzerdaten an US-Server ohne explizite Einwilligung. Nutze für Google Maps den 2-Klick-Ansatz (Karte wird erst nach Klick und Hinweis geladen) oder wechsle zu datenschutzkonformen Alternativen wie OpenStreetMap. YouTube-Videos binde über den Datenschutzmodus (youtube-nocookie.com) ein.
anipage.io als DSGVO-konformes Tool
Bei der Erstellung von WordPress-Websites über KI-Tools ist auch die Datenschutzkonformität des Tools selbst relevant. anipage.io ist in Deutschland entwickelt, verarbeitet Daten ausschließlich auf EU-Servern und überträgt keine Nutzerdaten an US-Hyperscaler. Die generierten WordPress-Seiten selbst sind DSGVO-neutral — sie enthalten standardmäßig keine externen Tracker, keine Google Fonts-CDN-Links und keine eingebetteten Drittinhalte. Dies gibt dir als Website-Betreiber eine saubere Ausgangsbasis, auf der du gezielt und mit Einwilligung weitere Dienste hinzufügen kannst.