Eine Abmahnung wegen Google Fonts kostet schnell 170 € — und WordPress lädt sie oft ungefragt. Hinzu kommen Cookie-Banner ohne echtes Opt-in, ein Kontaktformular ohne Einwilligung und ein eingebettetes YouTube-Video, das Daten in die USA sendet. Jeder dieser Punkte ist ein Risiko. Diese Checkliste zeigt, wie Sie Ihre WordPress-Seite Schritt für Schritt datenschutzkonform aufstellen.
HinweisDieser Artikel ist eine fachliche Orientierung und ersetzt keine Rechtsberatung. Für eine verbindliche Bewertung Ihres Einzelfalls wenden Sie sich bitte an einen Fachanwalt für IT-Recht.
TL;DR: WordPress ist nicht automatisch DSGVO-konform. Die größten Risiken sind nachladende Google Fonts, Tracking vor Einwilligung, fehlende oder statische Rechtstexte und eingebettete Inhalte von Drittanbietern. Mit dieser 10-Punkte-Checkliste schließen Sie die typischen Lücken. Bei WordPress Wartung setzen wir das im Prime-Paket mit Borlabs Cookie und dynamischen eRecht24-Rechtstexten um.
Warum WordPress nicht von Haus aus DSGVO-konform ist
WordPress ist ein flexibles System — und genau das ist datenschutzrechtlich die Herausforderung. Themes laden Schriften von externen Servern, Plugins setzen Cookies, Analyse-Tools tracken ab dem ersten Seitenaufruf. Vieles davon passiert im Hintergrund, ohne dass der Betreiber es bemerkt. Als Marke WordPress Wartung betreuen wir seit 2014 über 299 Websites und sehen dieselben Fehler immer wieder. Die folgende Checkliste arbeitet die zehn wichtigsten Punkte ab — jeweils mit konkreter Maßnahme und dem Risiko bei Nichtbeachtung.
Wichtig vorab: Datenschutzkonformität ist kein Zustand, den man einmal erreicht und abhakt. Sie ergibt sich aus dem Zusammenspiel vieler Bausteine, von denen sich jeder einzelne durch ein Update, ein neues Plugin oder geänderte Rechtsprechung verschieben kann. Ein Theme-Update kann externe Schriften reaktivieren, ein neues Marketing-Tool unbemerkt Cookies setzen, eine geänderte Behördenpraxis bisher tolerierte Verfahren angreifbar machen. Deshalb ist die folgende Liste auch eine Prüfroutine, die Sie regelmäßig wiederholen sollten — nicht nur einmal beim Aufsetzen der Seite. Wer eine Website beruflich oder gewerblich betreibt, fällt klar in den Anwendungsbereich der DSGVO; rein private Seiten ohne jede geschäftliche Absicht sind die seltene Ausnahme.
1. SSL/HTTPS-Verschlüsselung aktivieren
Jede Datenübertragung zwischen Besucher und Server muss verschlüsselt sein — insbesondere bei Formularen, die personenbezogene Daten übermitteln. Die DSGVO verlangt in Art. 32 angemessene technische Maßnahmen; ein gültiges SSL-Zertifikat ist dafür die Grundlage.
Was tun: Installieren Sie ein SSL-Zertifikat (bei den meisten Hostern über Let’s Encrypt kostenlos). Erzwingen Sie HTTPS per Weiterleitung und prüfen Sie, dass alle internen Ressourcen — Bilder, Skripte, Schriften — ebenfalls über HTTPS geladen werden, damit keine „Mixed Content“-Warnungen entstehen.
Risiko bei Nichtbeachtung: Unverschlüsselte Übertragung personenbezogener Daten gilt als Verstoß gegen die DSGVO und kann abgemahnt werden. Browser markieren die Seite zusätzlich als „nicht sicher“, was Vertrauen und Conversions kostet. Auch Suchmaschinen bewerten fehlendes HTTPS negativ — Datenschutz und Sichtbarkeit hängen hier unmittelbar zusammen.
2. Datenschutzerklärung dynamisch über eRecht24 einbinden
Die Datenschutzerklärung muss vollständig und stets aktuell sein. Sie muss jedes eingesetzte Tool, jeden Tracker und jeden Dienstleister benennen. Eine einmal kopierte, statische Erklärung veraltet schnell und wird zur Haftungsfalle.
Was tun: Binden Sie die Datenschutzerklärung dynamisch über die eRecht24-Schnittstelle ein. So aktualisiert sie sich automatisch, wenn sich die Rechtslage ändert oder neue Dienste hinzukommen. Listen Sie alle tatsächlich eingesetzten Tools auf — von Analytics über Schriftarten bis zum Hoster.
Risiko bei Nichtbeachtung: Eine unvollständige oder veraltete Datenschutzerklärung ist ein häufiger Abmahngrund. Aufsichtsbehörden können bei Verstößen gegen die Informationspflichten (Art. 13 DSGVO) Bußgelder verhängen.
3. Vollständiges Impressum bereitstellen
Das Impressum ist über das Digitale-Dienste-Gesetz (DDG, vormals TMG) für geschäftsmäßige Websites verpflichtend. Es muss leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein.
Was tun: Pflegen Sie ein vollständiges Impressum mit ladungsfähiger Anschrift, Kontaktdaten, Vertretungsberechtigtem und — falls relevant — Umsatzsteuer-ID und Aufsichtsbehörde. Auch hier empfiehlt sich die dynamische Pflege über eRecht24, damit Änderungen automatisch greifen. Verlinken Sie das Impressum aus dem Footer jeder Seite.
Risiko bei Nichtbeachtung: Ein fehlendes oder unvollständiges Impressum zählt zu den am häufigsten abgemahnten Wettbewerbsverstößen. Abmahnungen durch Mitbewerber oder Verbände sind hier besonders verbreitet.
4. Cookie-Consent-Tool mit echtem Opt-in einsetzen
Seit dem TTDSG (heute TDDDG) und der EuGH-Rechtsprechung gilt: Cookies und ähnliche Technologien, die nicht technisch zwingend nötig sind, dürfen erst nach aktiver Einwilligung gesetzt werden. Ein vorausgewähltes Häkchen oder ein bloßer „Weiter“-Klick reichen nicht aus.
Was tun: Setzen Sie ein professionelles Consent-Tool ein, das Tracking, Marketing-Skripte und externe Einbettungen vor der Einwilligung blockiert. Wir arbeiten bei WordPress Wartung mit Borlabs Cookie: Es blockiert Skripte zuverlässig, bietet eine echte „Ablehnen“-Option gleichwertig zum „Akzeptieren“ und dokumentiert die Einwilligungen revisionssicher.
Risiko bei Nichtbeachtung: Wird Tracking vor der Einwilligung ausgelöst, liegt ein klarer Verstoß vor. Cookie-Banner ohne gleichwertige Ablehn-Option oder mit Tracking im Hintergrund sind ein bekanntes Abmahn- und Prüfungsthema der Aufsichtsbehörden. Achten Sie zusätzlich darauf, dass eine einmal erteilte Einwilligung jederzeit widerrufbar ist — der Nutzer muss seine Auswahl so leicht ändern können, wie er sie getroffen hat. Ein gut konfiguriertes Consent-Tool stellt dafür einen dauerhaft erreichbaren Einstellungsdialog bereit und protokolliert jede Entscheidung mit Zeitstempel, sodass Sie die Einwilligung im Streitfall nachweisen können.
5. Google Fonts lokal hosten
Lädt Ihr Theme Schriften direkt von den Google-Servern, wird bei jedem Seitenaufruf die IP-Adresse des Besuchers an Google in die USA übertragen — ungefragt und ohne Einwilligung. Das Landgericht München hat genau dafür einen Schadensersatzanspruch bejaht.
Was tun: Laden Sie alle verwendeten Schriften herunter und hosten Sie sie lokal auf Ihrem eigenen Server. Prüfen Sie zusätzlich, ob Plugins oder das Theme heimlich weitere externe Schriften nachladen, und unterbinden Sie diese Verbindungen.
Risiko bei Nichtbeachtung: Dynamisch eingebundene Google Fonts haben eine Welle von Abmahnungen ausgelöst — die geforderten Beträge bewegten sich häufig im Bereich von etwa 100 bis 200 € pro Fall. Technisch ist die Umstellung schnell erledigt, der Schutz dafür dauerhaft.
6. Google Analytics oder Matomo datenschutzkonform konfigurieren
Webanalyse ist erlaubt — aber nur unter klaren Bedingungen. Bei einwilligungspflichtigen Tools wie Google Analytics 4 darf die Erfassung erst nach Opt-in starten. Datenschutzfreundlicher ist eine selbst gehostete Matomo-Instanz.
Was tun: Koppeln Sie jedes Analyse-Tool an Ihr Consent-Tool, sodass es erst nach Einwilligung lädt. Aktivieren Sie IP-Anonymisierung und kürzen Sie Speicherfristen. Wer ohne Cookie-Banner messen möchte, betreibt Matomo selbst gehostet im Cookieless-Modus — dann ist je nach Konfiguration keine Einwilligung nötig.
Risiko bei Nichtbeachtung: Tracking ohne Einwilligung verstößt gegen TDDDG und DSGVO. Bei Google Analytics kommt der Drittlandtransfer in die USA hinzu, der zusätzliche Anforderungen stellt.
7. Kontaktformular mit Einwilligung und SSL absichern
Über jedes Kontaktformular werden personenbezogene Daten verarbeitet. Der Nutzer muss wissen, was mit seinen Daten geschieht, und aktiv zustimmen.
Was tun: Ergänzen Sie eine nicht vorausgewählte Checkbox mit Verweis auf die Datenschutzerklärung. Übertragen Sie die Daten ausschließlich über HTTPS, erheben Sie nur die wirklich nötigen Felder (Datenminimierung) und setzen Sie statt Google reCAPTCHA besser ein datensparsames Verfahren wie Cloudflare Turnstile ein. Speichern Sie Einsendungen nicht länger als nötig.
Risiko bei Nichtbeachtung: Formulare ohne Einwilligung oder mit unnötiger Datenerhebung verstoßen gegen Grundsätze der DSGVO und können beanstandet werden — von Betroffenen wie von Aufsichtsbehörden.
8. Eingebettete Inhalte von Drittanbietern kontrollieren
YouTube-Videos, Google Maps, Social-Media-Feeds oder Schriftarten von externen Servern bauen oft schon beim Laden der Seite eine Verbindung zum Anbieter auf — inklusive Datenübertragung. Das ist ohne vorherige Einwilligung nicht zulässig.
Was tun: Nutzen Sie für YouTube den „No-Cookie“-Modus und betten Sie Videos, Karten und Feeds nur nach Einwilligung ein — etwa über eine Zwei-Klick-Lösung oder die Content-Blocker-Funktion Ihres Consent-Tools. Borlabs Cookie blockiert solche Einbettungen standardmäßig und gibt sie erst nach Zustimmung frei.
Risiko bei Nichtbeachtung: Ungefragt geladene Drittinhalte übertragen IP-Adressen und teils weitere Daten an die Anbieter. Das ist rechtlich vergleichbar mit dem Google-Fonts-Fall und entsprechend abmahngefährdet.
9. Auftragsverarbeitungsverträge mit Dienstleistern abschließen
Wer für Sie personenbezogene Daten verarbeitet — Hoster, Newsletter-Tool, Analyse-Dienst, Formular-Anbieter — ist Auftragsverarbeiter. Mit jedem dieser Dienstleister benötigen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.
Was tun: Erstellen Sie eine Liste aller Dienste, die Daten Ihrer Besucher verarbeiten. Schließen Sie mit jedem einen AVV ab — bei seriösen Anbietern steht dieser online bereit. Dokumentieren Sie die Verträge zusammen mit Ihrem Verarbeitungsverzeichnis.
Risiko bei Nichtbeachtung: Fehlende AVVs sind ein klassischer Prüfungspunkt der Aufsichtsbehörden. Ohne gültigen Vertrag ist die Datenverarbeitung durch den Dienstleister nicht rechtmäßig abgesichert.
10. Server-Standort und Drittlandtransfer prüfen
Wo Ihre Website und die verarbeiteten Daten liegen, ist datenschutzrechtlich relevant. Server innerhalb der EU bzw. des EWR unterliegen direkt der DSGVO; Transfers in Drittländer wie die USA brauchen eine zusätzliche Rechtsgrundlage.
Was tun: Wählen Sie einen Hoster mit Serverstandort in Deutschland oder der EU. Prüfen Sie bei jedem eingesetzten Tool, wohin Daten fließen. Wo ein US-Transfer unvermeidbar ist, achten Sie auf eine tragfähige Grundlage (etwa das EU-US Data Privacy Framework) und dokumentieren Sie diese.
Risiko bei Nichtbeachtung: Unkontrollierte Drittlandtransfers ohne geeignete Garantien zählen zu den Punkten, die Aufsichtsbehörden besonders streng bewerten.
Datenschutz ist eine laufende Aufgabe, kein Häkchen
Die zehn Punkte sind nicht gleich aufwendig — und nicht gleich dringend. Erfahrungsgemäß lassen sich die größten Risiken mit überschaubarem Einsatz entschärfen: lokale Schriften, ein echtes Opt-in-Consent-Tool und dynamische Rechtstexte decken einen Großteil der typischen Abmahngründe ab. Der schwierigere Teil ist, diesen Stand zu halten. Genau hier scheitern viele Seiten: Beim Aufsetzen wird sauber gearbeitet, doch nach Monaten haben Updates, neue Plugins und ein zwischenzeitlich eingebundenes Tool die Konformität still ausgehöhlt.
Praktisch bewährt hat sich ein fester Prüfrhythmus: Nach jedem größeren Theme- oder Plugin-Update kontrollieren, ob externe Verbindungen neu hinzugekommen sind; bei jedem neuen Tool prüfen, ob ein AVV vorliegt und ob es in die Datenschutzerklärung gehört; und mindestens einmal im Quartal die gesamte Liste durchgehen. Wer das nicht selbst leisten kann oder will, sollte die Aufgabe verbindlich delegieren — an eine interne Verantwortlichkeit oder an einen Wartungsdienstleister, der den Datenschutz aktiv mitdenkt und nicht nur Backups einspielt.
Übersicht: DSGVO-Punkt, Risiko und Lösung
| DSGVO-Punkt | Risiko bei Nichtbeachtung | Lösung |
|---|---|---|
| SSL/HTTPS | Unverschlüsselte Datenübertragung, „nicht sicher“-Warnung | SSL-Zertifikat installieren, HTTPS erzwingen |
| Datenschutzerklärung | Abmahnung wegen veralteter/unvollständiger Angaben | Dynamisch über eRecht24 einbinden |
| Impressum | Häufiger Wettbewerbs-Abmahngrund | Vollständig, dynamisch gepflegt, im Footer verlinkt |
| Cookie-Consent | Tracking ohne Einwilligung, Behördenprüfung | Borlabs Cookie mit echtem Opt-in |
| Google Fonts | IP-Transfer an Google, Abmahnwelle (ca. 100–200 €) | Schriften lokal hosten |
| Analytics/Matomo | Tracking ohne Opt-in, US-Datentransfer | An Consent koppeln oder Matomo cookieless |
| Kontaktformular | Verarbeitung ohne Einwilligung | Checkbox, HTTPS, Datenminimierung, Turnstile |
| Eingebettete Inhalte | Ungefragter Datentransfer an Drittanbieter | No-Cookie-Modus, Zwei-Klick/Content-Blocker |
| Auftragsverarbeitung | Unzulässige Verarbeitung, Behördenprüfung | AVV mit jedem Dienstleister abschließen |
| Server-Standort | Unkontrollierter Drittlandtransfer | EU-Hoster, Datenflüsse dokumentieren |
Häufige Fragen
Ist WordPress automatisch DSGVO-konform?
Nein. WordPress liefert die technische Basis, aber Konformität entsteht erst durch die richtige Konfiguration. Themes und Plugins laden häufig externe Ressourcen, setzen Cookies oder tracken vor der Einwilligung. Erst wenn Sie die Punkte dieser Checkliste umsetzen, ist Ihre Seite datenschutzkonform aufgestellt.
Reicht ein einfaches Cookie-Banner aus?
Nicht zwingend. Ein Banner, das nur über Cookies informiert oder schon im Hintergrund trackt, erfüllt die Anforderungen nicht. Nötig ist ein echtes Opt-in: Nicht notwendige Skripte bleiben blockiert, bis der Nutzer aktiv zustimmt, und das Ablehnen muss ebenso einfach sein wie das Akzeptieren. Tools wie Borlabs Cookie setzen genau das technisch um.
Warum sind Google Fonts ein so häufiges Problem?
Weil viele Themes Schriften standardmäßig direkt von Google laden — und dabei bei jedem Aufruf die IP-Adresse des Besuchers ohne Einwilligung in die USA übertragen. Gerichte haben darin einen Datenschutzverstoß gesehen. Die Lösung ist einfach: Schriften lokal hosten. Mehr zu typischen Sicherheits- und Datenschutzlücken lesen Sie in unserem Beitrag WordPress gehackt — was tun?.
Wer haftet für DSGVO-Verstöße auf der Website?
Verantwortlich ist grundsätzlich der Betreiber der Website, also Sie als Unternehmen. Auch wenn eine Agentur die Seite erstellt hat, bleibt die datenschutzrechtliche Verantwortung bei Ihnen. Deshalb lohnt sich eine laufende WordPress-Wartung, die Rechtstexte, Plugins und Einwilligungen kontinuierlich aktuell hält.
So setzen Sie die Checkliste um
Datenschutz ist kein einmaliges Projekt, sondern eine Daueraufgabe: Neue Plugins, geänderte Rechtsprechung und Tool-Updates verschieben die Anforderungen laufend. Drei konkrete nächste Schritte:
- Bestandsaufnahme machen: Gehen Sie die zehn Punkte für Ihre Seite durch und notieren Sie, was fehlt — besonders Google Fonts, Consent-Tool und Rechtstexte.
- Schnell wirksame Lücken zuerst schließen: Schriften lokalisieren, echtes Opt-in einrichten und die Datenschutzerklärung dynamisch über eRecht24 aktuell halten.
- Konformität dauerhaft sichern: Legen Sie Verantwortlichkeiten fest oder geben Sie die laufende Pflege in professionelle Hände — inklusive Monitoring nach jedem Update.
Als Marke WordPress Wartung (Inhaber Alexander Fischl, München) richten wir Borlabs Cookie und dynamische eRecht24-Rechtstexte im Prime-Paket oder als Zusatzleistung ein und halten Ihre Seite dauerhaft sauber. Wie sich das auf Ihr Budget auswirkt, zeigt unsere Übersicht zu den WordPress-Wartungskosten. Einen Gesamtüberblick über unser Angebot finden Sie auf der Startseite.
Sie möchten wissen, wo Ihre WordPress-Seite beim Datenschutz steht? Schildern Sie uns kurz Ihr Setup über unsere Schnellanfrage oder schreiben Sie an info@wordpresswartung.com — wir melden uns mit einer ehrlichen Einschätzung.