Blog

DSGVO-Checkliste für WordPress-Websites 2026: Was wirklich Pflicht ist

Von · 31. Mai 2026 · 9 Minuten Lesezeit

Die DSGVO gilt seit 2018, aber sie wird noch immer oft missverstanden oder halbherzig umgesetzt. 2026 sind die Datenschutzbehörden deutlich aktiver als in den Anfangsjahren, und Abmahnungen wegen technischer DSGVO-Verstöße sind keine Seltenheit mehr. Diese Checkliste hilft dir, die wichtigsten Punkte für deine WordPress-Website systematisch abzuhaken.

Hinweis: Diese Checkliste ersetzt keine Rechtsberatung. Für verbindliche Auskünfte wende dich an einen Datenschutzanwalt oder zertifizierten Datenschutzbeauftragten.

1. Cookie-Consent korrekt implementiert

Der Cookie-Banner ist für viele das sichtbarste DSGVO-Element. Aber viele Implementierungen sind trotz Banner nicht konform:

  • Cookies dürfen erst nach aktiver Zustimmung gesetzt werden, nicht davor
  • Ablehnen muss genauso einfach sein wie Zustimmen (gleich große Buttons)
  • Kategorien müssen einzeln aus- und abwählbar sein (Marketing, Statistik, etc.)
  • Einwilligungen müssen dokumentiert und nachweisbar gespeichert werden
  • Nutzer müssen ihre Einwilligung jederzeit widerrufen können

Empfehlenswerte Cookie-Consent-Plugins für WordPress: Borlabs Cookie, Complianz, oder der kostenlose Real Cookie Banner. Kostenlose Banner-Lösungen ohne Consent-Management sind oft nicht ausreichend.

2. Google Fonts lokal einbinden

Das Laden von Google Fonts über Googles CDN überträgt die IP-Adresse des Besuchers an Google-Server in den USA, ohne Einwilligung. Das ist laut mehreren Gerichtsurteilen in Deutschland ein DSGVO-Verstoß. Die Lösung ist technisch einfach:

  • Schriften von google-webfonts-helper.herokuapp.com herunterladen
  • Schriften auf den eigenen Server hochladen
  • Im Theme oder via Plugin einbinden, nicht mehr über fonts.googleapis.com
  • Überprüfen mit dem WP Font-Helper-Plugin oder manuell in den Browser-DevTools

Wichtig: Viele Themes und Plugins laden Google Fonts eigenständig nach, auch wenn du sie im Theme deaktiviert hast. Prüfe das mit dem Plugin "OMGF" (Optimize My Google Fonts).

3. Datenschutzerklärung vollständig und aktuell

Deine Datenschutzerklärung muss alle Datenverarbeitungen auf deiner Website beschreiben. Häufig fehlende oder veraltete Punkte:

  • Google Analytics 4 statt Universal Analytics (nicht mehr aktiv seit 2023)
  • Neue Plugins oder Tools, die Daten verarbeiten
  • Kontaktformulare und wie lange die Daten gespeichert werden
  • Cookiefreie Alternativen wie Matomo oder Plausible
  • Hosting-Anbieter und Serverstandort korrekt angegeben
  • Für WooCommerce: Zahlungsanbieter und Logistikunternehmen als Empfänger

Generatoren wie der von Datenschutz-Generator.de helfen, eine aktuelle Datenschutzerklärung zu erstellen. Überprüfe sie mindestens einmal jährlich und bei jeder Änderung deines Tool-Stacks.

4. Kontaktformular DSGVO-konform gestalten

Kontaktformulare sind eine häufige DSGVO-Falle. Checkliste:

  • Hinweis auf Datenschutzerklärung direkt beim Formular
  • Nur die wirklich notwendigen Felder abfragen (Datensparsamkeit)
  • Wenn das Plugin Formulardaten in der Datenbank speichert: Wie lange? Wer hat Zugriff?
  • E-Mail-Versand: Wird ein Drittanbieter (Sendgrid, Mailgun) genutzt? Dann Datenschutzerklärung anpassen
  • Spam-Schutz ohne Google reCaptcha (reCaptcha überträgt Daten an Google), Alternative: hCaptcha oder Honeypot

5. Auftragsverarbeitungsvertrag (AVV)

Wenn du externe Dienste nutzt, die Daten deiner Website-Besucher verarbeiten, brauchst du einen Auftragsverarbeitungsvertrag. Das betrifft:

  • Hosting-Unternehmen (fast alle bieten AVVs online an)
  • E-Mail-Marketing-Dienste (Mailchimp, CleverReach, ActiveCampaign)
  • Analytics-Dienste (Google Analytics, soweit einwilligungsbasiert genutzt)
  • Zahlungsanbieter (hier oft andere vertragliche Regelungen, prüfen!)
  • Backup-Dienste, wenn Daten in der Cloud gespeichert werden

6. Impressum und technische Pflichtangaben

Das Impressum ist Pflicht nach TMG, nicht DSGVO, aber oft zusammen vergessen:

  • Vollständige Anschrift, keine Postfach-Adresse
  • Erreichbare E-Mail-Adresse (nicht nur Kontaktformular)
  • Bei GmbH/AG: Handelsregisternummer, Geschäftsführer
  • USt-IdNr., wenn vorhanden

Für WooCommerce kommen zusätzlich die Online-Streitbeilegung (ODR-Link der EU) und vollständige AGB als Pflicht dazu.

Laufende DSGVO-Compliance sicherstellen

DSGVO ist kein einmaliges Projekt. Jedes neue Plugin, jeder neue Dienst und jedes neue Feature auf deiner Website kann neue Datenschutzanforderungen auslösen. Integriere daher einen Datenschutz-Check in dein reguläres Website-Wartungsroutine.

Im Rahmen der Website-Pflege und Wartung von rocks.optimize prüfen wir bei relevanten Updates auch mögliche datenschutzrelevante Änderungen und informieren dich proaktiv.

Verwandte Artikel & Lexikon

M

Website-Optimierer und Gründer von rocks.optimize. Hilft KMU dabei, schnellere, sicherere und besser gefundene Websites zu bekommen.

WordPress DSGVO-konform halten

rocks.optimize Care Pro sorgt dafür, dass deine WordPress-Website nach Updates und Änderungen DSGVO-konform bleibt und informiert dich bei relevanten Neuerungen.

Erstgespräch buchen RocksCare Pro ansehen

Nützliche Lexikon-Einträge

Bereit, Ihre Website auf Erfolgskurs zu bringen?

Kostenloses Erstgespräch inkl. persönlicher Website-Analyse, unverbindlich & in 30 Minuten.

Jetzt Termin sichern