WordPress DSGVO 2026: Pflichten + Checkliste

← Blog DSGVO-Grundlagen Compliance
9 Min. Lesezeit
Aktualisiert: 16. Juni 2026
WebLegal Team

Kostenlos · Ohne Registrierung · Ergebnis in 30 Sekunden

WordPress betreibt rund 40 % aller Websites weltweit – vom Blog bis zum WooCommerce-Shop. Doch WordPress zu installieren macht Ihre Website nicht automatisch DSGVO-konform. Bei einer selbst gehosteten Website (WordPress.org) sind Sie als Betreiber der Verantwortliche im Sinne der Datenschutz-Grundverordnung. WordPress.org liefert nur die Software; Ihr Hoster und jedes Ihrer Plugins handeln als Auftragsverarbeiter. Die Aufsichtsbehörden – auf Bundesebene die BfDI, auf Länderebene die jeweilige Landesdatenschutzbehörde – verlangen im Ernstfall von Ihnen Rechenschaft. Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden.

Prüfen Sie Ihre Website zuerst kostenlos mit unserem DSGVO-Konformitätsscanner, um die zu behebenden Punkte zu erkennen. Dieser Artikel erklärt, was WordPress für Ihre Konformität leistet und was nicht, welche Pflichten Sie selbst erfüllen müssen, die häufigsten Fehler und wie Sie Ihre Website schnell rechtssicher machen.

Was WordPress leistet (und was nicht)

Was WordPress bereitstellt

Der WordPress-Kern enthält einige datenschutzbezogene Funktionen:

  • Eine Datenschutzerklärungs-Vorlage: ein generischer Entwurf unter Einstellungen → Datenschutz. Es handelt sich um ein Grundgerüst, das nicht an Ihre Tätigkeit angepasst ist.
  • Werkzeuge für Betroffenenrechte: unter Werkzeuge → Persönliche Daten können Sie die Daten einer Person exportieren oder löschen (Auskunfts- und Löschrecht, Art. 15 und 17 DSGVO).
  • Eine Kommentar-Einwilligungs-Checkbox: standardmäßig aktiv, betrifft aber nur die Speicherung der Kommentatordaten – das ist kein Cookie-Banner.

Was WordPress NICHT bereitstellt

WordPress ist freie Software: Es schließt keinen Vertrag mit Ihnen und verfasst Ihre Rechtstexte nicht. Folgendes liegt vollständig in Ihrer Verantwortung:

  • Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 – dieser kommt von Ihrem Hoster (IONOS, Strato, Hetzner, All-Inkl …) und von jedem Plugin, nicht von WordPress.org.
  • Ein rechtskonformer Cookie-Banner (die Kommentar-Checkbox ist keiner).
  • Ihre individuelle Datenschutzerklärung, Ihre Cookie-Richtlinie, Ihre AGB, Ihre Nutzungsbedingungen und Ihr Impressum (Impressumspflicht nach § 5 DDG, vormals TMG).
  • Die Handhabung des Google Consent Mode v2, der für Google Analytics 4 und Google Ads unverzichtbar geworden ist.

Die 5 DSGVO-Pflichten für Ihre WordPress-Website

1. Eine vollständige Datenschutzerklärung veröffentlichen

Art. 13 und 14 DSGVO verlangen eine transparente Information. Ihre Datenschutzerklärung muss den Verantwortlichen, die Zwecke jeder Verarbeitung, die Rechtsgrundlagen, die Empfänger (Ihren Hoster und alle Drittanbieter-Plugins), die Speicherfristen und die Betroffenenrechte nennen.

Ablehnen muss so einfach sein wie Zustimmen (gleichwertige Buttons „Akzeptieren” und „Ablehnen”), nicht notwendige Cookies dürfen vor der Einwilligung nicht gesetzt werden, und die Auswahl muss jederzeit änderbar sein. Wenn Sie Google Analytics 4 oder Google Ads nutzen, muss Ihr Banner zusätzlich den Consent Mode v2 übermitteln. Statt mehrere Plugins zu stapeln, können Sie unseren kostenlosen DSGVO-Cookie-Banner einbinden – ohne Seitenaufruf-Limit und ohne Abo.

3. Ihre Plugins (Ihre Auftragsverarbeiter) erfassen

Jedes Plugin, das auf Besucherdaten zugreift, ist ein zusätzlicher Auftragsverarbeiter. Ihre Datenschutzerklärung muss sie abbilden, und Sie müssen sich vergewissern, dass jedes Plugin Garantien bietet (AVV, Datenstandort). Das ist die WordPress-Besonderheit: Die Flexibilität der Plugins ist zugleich Ihre größte Risikofläche.

4. Ihr Impressum veröffentlichen

§ 5 DDG verpflichtet jede geschäftsmäßige Website zu einem vollständigen Impressum (Anbieterkennzeichnung: Name, Anschrift, Kontakt, ggf. Register- und USt-IdNr.). Ein fehlendes oder unvollständiges Impressum ist abmahnfähig.

5. Ein Verzeichnis von Verarbeitungstätigkeiten führen

Art. 30 DSGVO verpflichtet Sie, Ihre Verarbeitungen zu dokumentieren: Zwecke, Datenkategorien, Empfänger und Speicherfristen.

Die häufigsten Fehler bei WordPress

  • Die Kommentar-Checkbox für einen Cookie-Banner halten: zwei verschiedene Dinge. Ohne echten Banner werden Ihre Analyse- und Werbe-Cookies ohne gültige Einwilligung gesetzt.
  • Google Analytics ohne Consent Mode v2 einbinden: GA4 setzt dann Tracker vor jeder Einwilligung – ein direkter Verstoß.
  • Die Standard-Datenschutzerklärung übernehmen: das generische Gerüst bildet weder Ihre realen Verarbeitungen noch Ihre Plugins ab.
  • Plugins installieren und vergessen: jedes aktive Plugin, das Daten speichert, erhöht Ihr Risiko. Deinstallieren Sie ungenutzte.
  • Den AVV des Hosters nicht abschließen: das Auftragsverarbeitungsverhältnis muss nach Art. 28 geregelt sein.
  • Formulare ohne Rechtsgrundlage: ein Kontakt- oder Newsletter-Formular (Contact Form 7, WPForms …) braucht eine Rechtsgrundlage und einen Datenschutzhinweis.

WordPress-Plugins und die DSGVO

Das Plugin-Ökosystem ist WordPress’ große Stärke, doch jedes Plugin, das Besucherdaten berührt, wird zum Auftragsverarbeiter. Prioritär zu prüfen:

  • Formulare: Contact Form 7, WPForms – Rechtsgrundlage und Speicherfrist prüfen.
  • Analytics: Google Analytics 4, Matomo – an Einwilligung und Consent Mode v2 koppeln.
  • Cookie-Management: spezialisierte Plugins wie Borlabs Cookie oder Real Cookie Banner sind in Deutschland verbreitet; achten Sie auf das blockierende Setzen vor Einwilligung.
  • E-Commerce: WooCommerce ergänzt die Pflichten des Fernabsatzes (Widerrufsrecht, AGB).
  • Newsletter und Page Builder: Brevo, Mailchimp, Elementor – Vorsicht bei Drittskripten, die vor der Einwilligung laden.

Viele dieser Plugins stammen von US-Unternehmen: Prüfen Sie, ob Drittlandübermittlungen durch das Data Privacy Framework oder Standardvertragsklauseln abgedeckt sind (Schrems II).

So machen Sie Ihre WordPress-Website konform

Vier Wege führen zu Ihren Rechtstexten:

Einen Anwalt beauftragen (500–2.000 €): individuell und fundiert, aber teuer und zeitaufwendig.

Kostenlose Vorlagen nutzen (0 €, hohes Risiko): generisch, oft veraltet und nie an Ihre Plugins oder Tätigkeit angepasst.

Eine generische KI nutzen (ChatGPT): plausible Entwürfe, die aber Pflichtklauseln auslassen und Widersprüche zwischen Ihren Dokumenten erzeugen.

Einen spezialisierten Rechtsgenerator nutzen (19,90 €–49,90 €): Der Rechtsdokumente-Generator von WebLegal erstellt Ihre 4 Dokumente (Datenschutzerklärung, Cookies, Nutzungsbedingungen, AGB) in unter 10 Minuten – mit garantierter Konsistenz. Das geführte Formular fragt Ihre Plugins, Analyse-Tools und Tätigkeit ab und erzeugt Dokumente, die wirklich zu Ihrer WordPress-Website passen.

Betreiben Sie einen Onlineshop? Siehe auch unsere Leitfäden WooCommerce DSGVO und PrestaShop DSGVO.

Fazit

WordPress zu nutzen entbindet Sie nicht von Ihren DSGVO-Pflichten. Als Verantwortlicher müssen Sie sicherstellen, dass Datenschutzerklärung, Cookie-Banner, AGB, Nutzungsbedingungen und Impressum rechtskonform sind – und dass Ihre Plugins keine Tracker vor der Einwilligung setzen. WordPress liefert Grundbausteine, doch die reichen nicht. 2026 ist Konformität keine Option mehr. Warten Sie nicht auf eine Abmahnung: Erstellen Sie jetzt Ihre rechtskonformen Dokumente für WordPress in unter 10 Minuten.

DSGVO E-Commerce 2026: 7 Audit-Auslöser - DSGVO-Grundlagen

DSGVO E-Commerce 2026: 7 Audit-Auslöser

⏱ 9 Min. Lesezeit
DSGVO-Grundlagen E-Commerce

Die 7 häufigsten DSGVO-Fehler in Online-Shops, die einen Datenschutz-Audit auslösen (Cookies, US-Transfers, Auftragsverarbeiter). Checkliste + Fixes.

Artikel lesen →
Firmenwebsite und DSGVO: Sind Sie konform? - DSGVO-Grundlagen

Firmenwebsite und DSGVO: Sind Sie konform?

⏱ 9 Min. Lesezeit
DSGVO-Grundlagen Multi

83% der Firmenwebsites verstoßen gegen die DSGVO. Prüfen Sie Impressum, Cookies und Kontaktformulare in 10 Minuten und vermeiden Sie hohe Bußgelder.

Artikel lesen →
DSGVO E-Commerce: Aktionsplan 10 Schritte - DSGVO-Grundlagen

DSGVO E-Commerce: Aktionsplan 10 Schritte

⏱ 10 Min. Lesezeit
DSGVO-Grundlagen E-Commerce Multi

DSGVO-Konformität in 10 Schritten für Ihren E-Commerce: vom Audit bis zur vollständigen Compliance. Praktischer Leitfaden für Ihren Online-Shop.

Artikel lesen →