DSGVO-konforme WordPress-Website 2026: Der vollständige Leitfaden

Die Datenschutz-Grundverordnung (DSGVO) ist seit 2018 in Kraft – und die Bußgelder werden 2026 konsequenter als je zuvor verhängt. Für WordPress-Betreiber bedeutet das: Eine datenschutzkonforme Website ist keine Option, sondern rechtliche Pflicht. In diesem Leitfaden erfährst du Schritt für Schritt, wie du deine WordPress-Website vollständig DSGVO-konform gestaltest.

Grundlagen: Was fordert die DSGVO von Website-Betreibern?

Die DSGVO schützt personenbezogene Daten von EU-Bürgern. Als Website-Betreiber verarbeitest du personenbezogene Daten sobald du IP-Adressen speicherst, Cookies setzt, Formulare verwendest oder Google Analytics einsetzt. Das betrifft praktisch jede WordPress-Website.

Die Kernpflichten der DSGVO für Website-Betreiber: Transparenz durch vollständige Datenschutzerklärung, informierte Einwilligung vor der Datenverarbeitung, Recht auf Auskunft, Berichtigung und Löschung für betroffene Personen sowie technische und organisatorische Maßnahmen zum Datenschutz (TOM).

Cookie-Einwilligung: Rechtssichere Implementierung

Das Cookie-Banner ist für die meisten Besucher der erste DSGVO-Kontakt mit deiner Website. Schlecht umgesetzte Cookie-Banner sind eine der häufigsten Abmahnursachen. Diese Anforderungen müssen erfüllt sein:

Das Banner muss erscheinen, bevor nicht-notwendige Cookies gesetzt werden. Die Ablehnung muss genauso einfach möglich sein wie die Zustimmung – ein prominenter „Ablehnen“-Button ist zwingend. Cookie-Kategorien (Notwendig, Funktional, Analytisch, Marketing) müssen einzeln aktivierbar und deaktivierbar sein. Die einmal gegebene Einwilligung muss gespeichert und widerrufbar sein.

Empfohlene DSGVO-konforme Cookie-Plugins für WordPress: Borlabs Cookie (39 €/Jahr, sehr umfangreich), Real Cookie Banner (Deutsche Lösung, ab kostenlos), Complianz (ab kostenlos). Finger weg von Gratis-Lösungen ohne aktive Wartung – Rechtslage ändert sich regelmäßig.

Google Analytics DSGVO-konform nutzen

Google Analytics ist das meistgenutzte Web-Analyse-Tool und gleichzeitig ein DSGVO-Problemfall. Das Schrems-II-Urteil und nationale Aufsichtsbehörden haben Google Analytics in mehreren EU-Ländern als nicht DSGVO-konform eingestuft. So nutzt du es trotzdem rechtssicher:

Google Analytics 4 mit Server-Side-Tagging: Durch serverseitiges Tagging werden Daten zunächst auf deinem Server verarbeitet, bevor sie an Google gesendet werden. Dabei können personenbezogene Daten wie IP-Adressen bereits vorher anonymisiert werden. Technisch aufwändig, aber aktuell die rechtssicherste Lösung für GA4-Nutzung in der EU.

DSGVO-konforme Alternativen: Matomo (selbst gehostet, keine Datenweitergabe an Dritte), Plausible (EU-Server, DSGVO-konform, keine Cookies), Fathom Analytics. Diese Alternativen sind rechtlich einfacher zu handhaben, bieten jedoch weniger Features als GA4.

Auftragsverarbeitungsvertrag (AVV): Wenn du Google Analytics nutzt, muss ein AVV mit Google abgeschlossen werden. Google bietet diesen automatisch über die Nutzereinstellungen an – prüfe, ob er in deinem Account aktiviert ist.

Kontaktformulare und Newsletter DSGVO-konform gestalten

Kontaktformulare sammeln personenbezogene Daten (Name, E-Mail, Telefon). Folgende Anforderungen gelten:

Datenschutzhinweis im Formular: Direkt beim Formular muss ein kurzer Hinweis erscheinen („Ihre Daten werden zur Bearbeitung Ihrer Anfrage gemäß unserer Datenschutzerklärung verarbeitet. [Link zur Datenschutzerklärung]“). Ein separates Opt-In-Feld für die Datenschutzerklärung ist optional, aber empfehlenswert.

Newsletter-Anmeldung: Für Newsletter gilt das Double-Opt-In-Verfahren. Nach der Anmeldung erhält der Nutzer eine Bestätigungs-E-Mail und muss aktiv bestätigen. Ohne diese Bestätigung darf er keine Newsletter erhalten. Alle Newsletter-Anmeldungen müssen protokolliert werden (wer hat wann zugestimmt).

Formular-Daten: Wo werden Formulardaten gespeichert? Contact Form 7 und WPForms speichern standardmäßig Einträge in der WordPress-Datenbank (in Deutschland OK) oder senden sie per E-Mail. Problematisch wird es, wenn Drittanbieter-CRMs (z. B. Salesforce mit US-Servern) eingebunden werden – hier ist ein AVV erforderlich.

Datenschutzerklärung: Was muss rein?

Die Datenschutzerklärung muss vollständig, verständlich und aktuell sein. Pflichtangaben umfassen: Name und Kontaktdaten des Verantwortlichen, Datenschutzbeauftragter (falls vorhanden), Rechtsgrundlagen der Datenverarbeitung, Verarbeitungszwecke und -kategorien, Übermittlungen in Drittländer, Speicherdauer, Betroffenenrechte, Recht auf Beschwerde bei der Aufsichtsbehörde.

Für jede eingebundene Drittanbieter-Lösung (Google Maps, YouTube, FontAwesome, Stripe) muss ein eigener Abschnitt in der Datenschutzerklärung vorhanden sein. Tools wie Datenschutz-Generator.de (kostenlos) oder eRecht24 (kostenpflichtig) generieren rechtskonforme Datenschutzerklärungen. Lass die Datenschutzerklärung von einem Anwalt prüfen – die Kosten sind überschaubar und geben Rechtssicherheit.

Externe Dienste DSGVO-konform einbinden

Google Fonts: Das direkte Laden von Google Fonts überträgt IP-Adressen an Google-Server in den USA. Lösung: Fonts lokal auf deinem Server hosten. Mit dem Plugin „OMGF | Optimize My Google Fonts“ geht das automatisch. Seit einem Urteil des LG München (2022) ist das direkte Laden von Google Fonts in Deutschland abmahnfähig.

YouTube-Videos: YouTube-Einbettungen setzen beim Laden der Seite Cookies – auch ohne Play-Button-Klick. Lösung: YouTube-Videos mit dem „erweiterten Datenschutzmodus“ (youtube-nocookie.com) einbetten oder via Cookie-Consent-Wrapper erst nach Einwilligung laden.

Google Maps: Ähnliches Problem wie YouTube. Lösung: Google Maps erst nach Cookie-Einwilligung laden oder als Screenshot mit Link zur Google-Maps-Seite einbetten.

WordPress-Sicherheit und DSGVO: Technische Maßnahmen

Die DSGVO fordert angemessene technische Schutzmaßnahmen. Diese sind für WordPress-Betreiber essenziell:

SSL/HTTPS: Pflicht seit Jahren – ohne HTTPS werden Formulardaten unverschlüsselt übertragen. Modernes SSL (TLS 1.3) ist Standard bei allen seriösen Hostern. Sichere Passwörter und Zwei-Faktor-Authentifizierung für alle Admin-Accounts reduzieren das Risiko von Datenlecks. Regelmäßige Backups an sicherem, möglichst EU-basiertem Speicher (kein US-Cloud ohne Datenschutzabkommen). Berechtigungen: Gib WordPress-Benutzern nur die minimal notwendigen Rechte (Principle of Least Privilege).

FAQ: DSGVO für WordPress-Betreiber

Brauche ich als kleiner Blog auch eine DSGVO-konforme Website?
Ja. Die DSGVO gilt für alle Websites, die personenbezogene Daten von EU-Bürgern verarbeiten – unabhängig von der Größe. Auch wenn du nur Google Analytics oder ein Kontaktformular verwendest, bist du betroffen.

Was passiert, wenn ich gegen die DSGVO verstoße?
Bußgelder von bis zu 20 Millionen € oder 4 % des weltweiten Jahresumsatzes. Für kleine Websites realistischer: Abmahnungen von Mitbewerbern oder Verbraucherschutzvereinen (Streitwert typisch 1.000–5.000 €) und Bußgelder der Aufsichtsbehörden im vier- bis fünfstelligen Bereich.

Muss ich einen Datenschutzbeauftragten benennen?
Nur wenn du mehr als 20 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigst, bestimmte besondere Datenkategorien verarbeitest oder umfangreiche regelmäßige Überwachung vornimmst. Für die meisten kleinen Websites nicht erforderlich.

Wie oft muss ich meine Datenschutzerklärung aktualisieren?
Immer dann, wenn du neue Dienste einbindest, bestehende Tools änderst oder sich die Rechtslage verändert. Mindestens jährlich sollte eine Überprüfung stattfinden. Abonniere Newsletter von eRecht24 oder Datenschutz.org für aktuelle Informationen.

Du möchtest deine WordPress-Website DSGVO-konform aufstellen? Gemici Design unterstützt dich bei der datenschutzkonformen Konfiguration und empfiehlt geprüfte Rechtstools. Jetzt unverbindlich anfragen.