DSGVO-konformes WordPress: Wo Cookie-Banner aufhören und Datenschutz anfängt

Die meisten Website-Betreiber glauben, ein Cookie-Consent-Tool sei gleichbedeutend mit Datenschutz. Das ist so, als würde man glauben, ein Feuermelder sei gleichbedeutend mit Brandschutz. Der Melder ist wichtig. Aber er ist ein kleiner Teil eines größeren Systems.

Ein DSGVO-konformes WordPress entsteht nicht durch das Installieren eines Plugins. Es entsteht durch Entscheidungen zu Hosting, Drittanbietern, technischen Maßnahmen und Dokumentation – getroffen in der richtigen Reihenfolge und für das eigene Geschäftsmodell. Wir bauen seit Jahren WordPress-Websites für den Mittelstand und kennen die Stellen, an denen die DSGVO-Konformität in der Praxis bricht.

Warum WordPress strukturell datenschutzfreundlicher ist als Baukästen

WordPress hat einen entscheidenden Vorteil gegenüber Wix, Squarespace oder Jimdo: Sie hosten es selbst. Damit kontrollieren Sie den physischen Standort der Daten, schließen einen eigenen Auftragsverarbeitungsvertrag (AVV) mit Ihrem Hoster und entscheiden selbst, welche Skripte, Schriften und Tracker geladen werden.

Baukasten-Plattformen funktionieren anders. Wix hostet auf AWS und Google Cloud mit Serverstandorten weltweit. Squarespace nutzt US-Infrastruktur. Nach dem Schrems-II-Urteil des EuGH ist die Übertragung personenbezogener Daten in die USA nur unter strengen Bedingungen zulässig – das EU-US Data Privacy Framework liefert dafür zwar eine Rechtsgrundlage, deren Stabilität ist aber umstritten und kann jederzeit kippen.

WordPress auf einem EU-Server bei einem deutschen Hoster bringt Sie aus dieser Abhängigkeit heraus. Das ist die Basis – nicht das Ergebnis – einer DSGVO-konformen Website.

Die vier Säulen einer DSGVO-konformen WordPress-Website

1. EU-Hosting mit echtem Auftragsverarbeitungsvertrag

Die Daten dürfen die EU nicht unkontrolliert verlassen. Hosting in Deutschland oder der EU bei einem Anbieter, der einen sauberen AVV nach Art. 28 DSGVO bereitstellt, ist Pflicht. Praktisch heißt das: keine US-Cloud, keine Anbieter mit US-Konzernmutter, deren Datenzugriffe nicht abschließend geregelt sind.

Wir setzen für unsere Kunden auf deutsche Hoster mit transparenten AVVs, klar dokumentierten Sub-Auftragsverarbeitern und Rechenzentren in der EU. Der AVV wird vor dem Go-Live abgeschlossen und im Verarbeitungsverzeichnis hinterlegt.

2. Einwilligungsmanagement, das tatsächlich blockiert

Ein Cookie-Banner reicht nicht. Entscheidend ist, dass alle einwilligungspflichtigen Skripte erst nach der Zustimmung geladen werden – nicht parallel zum Banner. Viele kostenlose Consent-Plugins zeigen den Banner an, während Google Fonts, Analytics oder eingebettete Videos im Hintergrund längst laufen. Das ist kein Datenschutz, das ist Theater.

Wir setzen Consent-Lösungen ein, deren Blockier-Funktion nachweisbar greift: Real Cookie Banner, Borlabs Cookie oder vergleichbare Tools mit serverseitiger Logik. Geprüft wird mit echten Browser-Tools, bevor die Seite live geht.

3. Drittanbieter und externe Ressourcen unter Kontrolle

WordPress lädt von Haus aus diverse Inhalte von externen Servern: Google Fonts, Gravatare, jQuery aus dem WordPress-Repository, eingebettete YouTube-Videos, Schrift-Icons von Font Awesome. Jeder dieser Aufrufe ist eine Datenübertragung – oft in die USA – und braucht eine Rechtsgrundlage.

Der saubere Weg: lokale Einbindung. Schriften, JavaScript-Bibliotheken und Icons werden auf den eigenen Server kopiert und von dort geladen. YouTube-Videos werden im erweiterten Datenschutzmodus oder über Vorschaubilder mit nachgelagertem Embed eingebunden. Gravatare deaktivieren wir standardmäßig.

4. Technische und organisatorische Maßnahmen (TOM)

Die DSGVO verlangt nachweisbare Schutzmaßnahmen: SSL-Verschlüsselung, sichere Passwörter, regelmäßige Updates, Zugriffskontrolle, Backups, Logging. Bei WordPress kommt hinzu: ein gehärteter wp-admin-Zugang (Zwei-Faktor-Authentifizierung, IP-Beschränkung, Brute-Force-Schutz) und ein Update-Prozess, der Sicherheitslücken nicht wochenlang offen lässt.

Diese Maßnahmen werden in den TOM dokumentiert und sind Teil unseres WordPress-Service. Wenn ein Vorfall passiert, müssen Sie nachweisen können, welchen Schutzstandard Sie zum Zeitpunkt des Vorfalls hatten.

Plugins und Tools für DSGVO-konformes WordPress

Es gibt kein Plugin, das eine WordPress-Site DSGVO-konform macht. Aber es gibt Plugins, die einzelne Anforderungen sauber abdecken. Was wir in Kundenprojekten standardmäßig einsetzen:

Consent Management: Real Cookie Banner oder Borlabs Cookie – beide blockieren Drittanbieter zuverlässig vor der Einwilligung und liefern den nötigen Nachweis.

Lokale Schriften und Skripte: OMGF (Optimize My Google Fonts) für Google Fonts, ergänzt durch manuelle Einbindung von Font Awesome und jQuery, sofern das Theme nicht selbst lokal lädt.

Datenschutzfreundliche Statistik: Matomo auf dem eigenen Server, mit IP-Anonymisierung und ohne Cookie-Pflicht in der datenschutzkonformen Konfiguration. Alternativ Plausible self-hosted.

Datenschutzerklärung: Generatoren wie eRecht24 oder Datenschutz-Generator.de für die Grundlage, anschließend angepasst an die tatsächlich eingesetzten Tools. Eine Datenschutzerklärung, die Tools auflistet, die Sie gar nicht nutzen, ist genauso falsch wie eine, die Tools verschweigt.

Sicherheit: Solid Security oder Wordfence für Login-Härtung, Updraft Plus für DSGVO-konforme Backups auf EU-Speicher.

Wichtig: Plugins ersetzen keine Architektur-Entscheidungen. Wer zuerst das Plugin installiert und dann über das Hosting nachdenkt, baut die Schutzlogik in der falschen Reihenfolge.

Typische DSGVO-Schwachstellen in bestehenden WordPress-Sites

Bei unseren WordPress-Notdienst-Einsätzen sehen wir immer wieder dieselben Muster:

Google Fonts wird trotz Cookie-Banner geladen, weil das Theme die Schriften direkt einbettet und kein Plugin die Anfragen blockiert. Das LG München hat 2022 entschieden: Diese Übertragung von IP-Adressen an Google ohne Einwilligung ist ein Datenschutzverstoß und schadensersatzpflichtig.

Eingebettete YouTube-Videos starten Tracking, sobald die Seite geladen wird – nicht erst beim Abspielen. Der erweiterte Datenschutzmodus (youtube-nocookie.com) hilft, ersetzt aber nicht die Einwilligung. Sauberer ist ein vorgeschaltetes Vorschaubild.

Kontaktformulare schicken Daten an Drittanbieter (z.B. Mailchimp oder Brevo), ohne dass im Formular auf die Verarbeitung hingewiesen wird und ohne dass ein AVV mit dem Anbieter besteht.

Das Theme lädt jQuery aus dem WordPress-Repository – was ein CDN-Aufruf ist, dessen Empfänger laut WordPress.org-Datenschutzhinweis durchaus auch US-Infrastruktur einschließt.

Backups landen unverschlüsselt auf einem US-Cloud-Speicher, weil die Standardeinstellung des Backup-Plugins das so vorsieht.

Jede dieser Schwachstellen ist mit klarem Aufwand zu beheben. Aber sie zu finden setzt voraus, dass jemand systematisch hinschaut – mit Browser-Entwicklertools, einem Verarbeitungsverzeichnis und Verständnis für die Plugin-Architektur.

Was uns von Rechtsberatung und Plugin-Verkäufern unterscheidet

Rechtsanwälte und Datenschutzberater liefern Ihnen die juristische Bewertung. Plugin-Anbieter liefern Ihnen ein Werkzeug. Wir liefern die technische Umsetzung: Wir bauen das Hosting auf, konfigurieren die Plugins, härten den Admin, dokumentieren die TOM und übergeben die Site mit einem Datenschutz-Setup, das Sie nachweisbar betreiben können.

Das ersetzt keine juristische Prüfung – bei komplexen Verarbeitungen oder besonderen Datenkategorien arbeiten wir mit Datenschutzbeauftragten zusammen. Für die typische Mittelstands-Website mit Kontaktformular, Newsletter und Statistik decken wir den vollen Weg von Hosting bis Datenschutzerklärung ab.

Datenschutz ist kein Hindernis für Ihr digitales Geschäft. Er ist eine Qualitätsaussage: Sie nehmen die Daten Ihrer Kunden ernst – und können das nachweisen.

So gehen wir vor

DSGVO-Audit bestehender Website. Wir prüfen Ihre WordPress-Site systematisch auf Hosting, Drittanbieter-Aufrufe, Consent-Logik und Dokumentation. Sie bekommen eine Liste der Schwachstellen mit Priorisierung und Aufwandsschätzung.

Neuaufbau auf datenschutzfreundlicher Basis. Beim Relaunch oder Neuaufbau setzen wir die vier Säulen von Anfang an. Das ist günstiger als nachträgliche Reparatur und bringt nebenbei Performance-Vorteile durch lokale Ressourcen.

Laufender WordPress-Service. Im Rahmen unseres Service-Vertrags halten wir Plugin-Versionen, Hosting-Konfiguration und Datenschutzerklärung aktuell – damit Ihre Site nicht zwei Jahre nach dem Aufbau wieder dort steht, wo sie vor dem Aufbau war.

Wenn Ihre Website DSGVO-konform werden oder bleiben soll: Sprechen Sie uns an. Wir prüfen Ihren Status und nennen Ihnen die Schritte, die in Ihrem Fall den größten Hebel haben.

FAQ zum Thema
Weitere Inhalte zum Thema
  • Von Wix, Jimdo oder Squarespace zu WordPress: Der professionelle Weg vom Baukasten zur skalierbaren Lösung — ohne Datenverlust und SEO-Einbußen.
  • Maßgeschneiderte WordPress-Plugins statt Kompromisse mit Standardlösungen. Die Ideenfabrik entwickelt individuelle Erweiterungen für Ihre spezifischen Anforderungen.
  • Konzentrieren Sie sich auf den Inhalt Ihrer Website, um den Rest kümmern sich unsere Fachleute. Ob technischer Service, Updates oder Backups – es wird erledigt was erledigt werden muss und Ihre Website ist DSGVO-konform.
  • Das braucht Ihr WordPress: Hardware, PHP, MySQL/MariaDB, Server-Konfiguration. Professionelle Empfehlungen für optimale Performance und Sicherheit.
  • Ihr WordPress funktioniert nicht? Ein Update hat das System zum Absturz gebracht? Ihre Website wurde gehackt? Wir bringen das in Ordnung und bieten Ihnen eine Lösung für die Zukunft.
Produkte zum Thema
  • Schnelle Hilfe, wenn Ihre WordPress-Website ausgefallen, gehackt oder nach einem Update kaputt ist. Wir analysieren das Problem und stellen Ihre Seite wieder her — meist innerhalb eines Werktages.
  • Rundum-Schutz für Ihre WordPress-Website mit Priority-Support, Premium-Firewall, SEO- und Performance-Tools. Der Profi-Service für geschäftskritische Websites.
  • Professionelle WordPress-Wartung mit Updates, Sicherheits-Scans und Monitoring. Konzentrieren Sie sich auf Ihr Geschäft – wir halten Ihre Website sicher und aktuell.