CMS-Marktanteile in Deutschland: Welche Systeme dominieren – und wie steht es um den Datenschutz?
WordPress, TYPO3, Joomla oder doch ein Baukasten wie Wix? Wir haben über 350.000 deutsche Websites mit erkanntem Content-Management-System analysiert – nicht nur nach Verbreitung, sondern auch nach Datenschutz-Qualität. Das Ergebnis: Die Marktanteile überraschen wenig, die Datenschutz-Unterschiede dagegen schon.
Von unseren über 500.000 geprüften Websites haben wir bei 67,6 % ein Content-Management-System erkannt — das sind über 350.000 Websites. Die folgenden Marktanteile beziehen sich auf diese Teilmenge. Nicht bei jeder Website lässt sich das CMS automatisiert identifizieren, daher ist die tatsächliche CMS-Verbreitung vermutlich höher.
Die meisten CMS-Vergleiche bewerten Funktionen, Preise und Bedienbarkeit. Was fehlt: Wie datenschutzkonform sind die Websites, die mit diesen Systemen betrieben werden? Unsere Audits prüfen nicht das CMS selbst, sondern das Ergebnis auf der Website: Werden Cookies korrekt blockiert? Laden Tracking-Dienste vor der Einwilligung? Ist das Cookie-Banner technisch korrekt konfiguriert?
Hinweis zur Methodik und rechtlicher Hinweis: Diese Auswertung basiert auf über 500.000 automatisiert geprüften Websites — eine umfangreiche Stichprobe, aber nur ein Ausschnitt des deutschsprachigen Webs. Allein unter der .de-Domain sind über 16 Millionen Domains registriert, auch wenn ein erheblicher Teil davon inaktiv ist.
Die Erkennung datenschutzrelevanter Sachverhalte erfolgt vollständig automatisiert durch technische Analyse von HTTP-Requests, Cookies, DOM-Elementen und JavaScript-Verhalten. Die Ergebnisse stellen keine rechtsverbindliche Bewertung dar und erheben keinen Anspruch auf vollständige oder fehlerfreie Erkennung. Es kann zu Abweichungen zwischen den automatisiert ermittelten Ergebnissen und der tatsächlichen datenschutzrechtlichen Situation einer Website kommen. Maßgeblich für die rechtliche Beurteilung ist stets die Einschätzung des zuständigen Datenschutzbeauftragten oder einer qualifizierten Rechtsberatung.
Die dargestellten Unterschiede zwischen Content-Management-Systemen spiegeln ausschließlich die statistische Verteilung der Audit-Ergebnisse auf den jeweils geprüften Websites wider — nicht die Qualität, Sicherheit oder Eignung der CMS-Software selbst. Die Ergebnisse lassen keinen Rückschluss auf die Tauglichkeit eines CMS zu und stellen keine Empfehlung für oder gegen die Verwendung eines bestimmten Systems dar. Die Konfiguration, das Plugin-Ökosystem und die individuellen Einstellungen der jeweiligen Website-Betreiber haben den entscheidenden Einfluss auf das Audit-Ergebnis.
Häufige Fragen zu CMS-Marktanteile in Deutschland
Welches CMS ist am datenschutzfreundlichsten?
In unseren Audits zeigen Jimdo und Wix die höchsten Grün-Quoten. Das liegt an der kontrollierten Umgebung mit integriertem Cookie-Management. Bei Self-hosted Systemen erreichen Hugo und Kirby die besten Werte, weil sie technisch bedingt weniger Datenschutz-Risiken mitbringen.
Ist WordPress DSGVO-konform?
WordPress selbst ist datenschutzneutral – es kommt auf die Konfiguration an. Mit einem korrekt eingerichteten CMP und bewusstem Plugin-Management erreichen WordPress-Websites gute Datenschutz-Werte. Ohne CMP oder mit falsch konfigurierten Plugins zeigen unsere Audits deutliche Mängel.
Warum schneidet Shopify so schlecht ab?
Shopify bietet standardmäßig kein DSGVO-konformes Cookie-Banner. Viele Shopify-Apps laden Tracking-Scripts vor der Einwilligung. Die hohe Rot-Quote spiegelt wider, dass viele Shopify-Betreiber kein oder ein unzureichend konfiguriertes CMP einsetzen.
Wie werden die CMS erkannt?
Unsere Audits erkennen CMS anhand technischer Signaturen: HTML-Strukturen, Meta-Tags, JavaScript-Bibliotheken und HTTP-Header. Die Erkennung umfasst über 30 CMS und wird kontinuierlich erweitert.
CMS-Marktanteile: WordPress dominiert mit über 50 %
Unter allen Websites mit erkanntem CMS zeigt sich ein klares Bild:
| CMS | Websites | Anteil unter CMS-Websites | Anteil aller Audits |
|---|---|---|---|
| WordPress | 227.791 | 63,4 % | 42,9 % |
| TYPO3 | 44.108 | 12,3 % | 8,3 % |
| Joomla | 18.497 | 5,2 % | 3,5 % |
| Jimdo | 10.298 | 2,9 % | 1,9 % |
| Contao | 13.266 | 3,7 % | 2,5 % |
| Wix | 13.224 | 3,7 % | 2,5 % |
| Shopify | 6.533 | 1,8 % | 1,2 % |
| Webflow | 6.065 | 1,7 % | 1,1 % |
| Drupal | 7.052 | 2,0 % | 1,3 % |
| Squarespace | 3.850 | 1,1 % | 0,7 % |
CMS-Marktanteile unter über 350.000 Websites mit erkanntem CMS (Stand: März 2026)
WordPress macht über die Hälfte aller erkannten CMS-Installationen aus – ein Vorsprung, der sich auch in anderen Studien bestätigt. TYPO3 und Joomla folgen mit deutlichem Abstand als klassische Open-Source-Alternativen. Die Baukasten-Systeme Jimdo und Wix haben sich als feste Größen im deutschen Markt etabliert.
Datenschutz-Qualität: So schneiden die CMS ab
Die Überraschung: Nicht die großen Open-Source-Systeme zeigen die besten Datenschutz-Werte, sondern die Baukasten-Systeme Jimdo und Wix.
| CMS | Keine Verstöße | Schwerwiegende Mängel | Ø Privacy-Score |
|---|---|---|---|
| Jimdo | 88,6 % | 3,4 % | 93,3 |
| Wix | 85,8 % | 8,0 % | 88,0 |
| Joomla | 81,2 % | 8,4 % | 87,6 |
| Contao | 79,5 % | 7,9 % | 87,3 |
| TYPO3 | 69,7 % | 10,1 % | 82,4 |
| Hugo | 80,8 % | 11,5 % | 85,9 |
| WordPress | 67,1 % | 14,8 % | 78,7 |
| Drupal | 52,9 % | 18,4 % | 71,6 |
| Squarespace | 53,3 % | 25,2 % | 64,5 |
| Webflow | 48,0 % | 33,9 % | 57,8 |
| Magento | 33,9 % | 43,5 % | 48,2 |
| PrestaShop | 36,8 % | 42,9 % | 50,6 |
| Shopify | 27,6 % | 54,6 % | 36,8 |
Datenschutz-Bewertung nach CMS: Anteil der Websites ohne Verstöße, mit Handlungsbedarf und mit schwerwiegenden Mängeln in unseren Audits (Stand: März 2026)
Warum schneiden Baukasten-Systeme besser ab?
Jimdo und Wix liegen bei Grün-Quote und Privacy-Score deutlich vor WordPress und sogar vor TYPO3. Das klingt zunächst überraschend – erklärt sich aber durch die Architektur:
- Kontrollierte Umgebung: Baukasten-Systeme wie Jimdo oder Wix steuern das Cookie-Banner und die Tracking-Integration zentral. Der Betreiber kann weniger falsch konfigurieren.
- Weniger Plugins: WordPress-Websites laden im Schnitt deutlich mehr Drittanbieter-Scripts. Jedes Plugin ist eine potenzielle Datenschutz-Schwachstelle.
- Standard-Konfiguration: Jimdo setzt von Haus aus ein konservatives Cookie-Management ein. Bei WordPress muss der Betreiber selbst ein CMP installieren und korrekt konfigurieren.
Wichtig: Das bedeutet nicht, dass WordPress unsicherer ist. Es bedeutet, dass WordPress-Betreiber mehr Verantwortung für die korrekte Datenschutz-Konfiguration tragen. Mit einem gut konfigurierten CMP wie Borlabs Cookie oder Real Cookie Banner erreichen WordPress-Websites problemlos grüne Bewertungen.
Open Source vs. SaaS: Der Datenschutz-Vergleich
Die CMS-Landschaft teilt sich in zwei Welten:
| Eigenschaft | Self-hosted (WP, TYPO3, Joomla) | SaaS/Baukasten (Wix, Jimdo, Squarespace) |
|---|---|---|
| Hosting | Eigener Server (EU möglich) | Anbieter-Server (oft USA) |
| Cookie-Banner | Plugin erforderlich | Integriert |
| Kontrolle | Volle Kontrolle | Eingeschränkt |
| Datenschutz-Risiko | Hoch (Konfigurationsaufwand) | Niedrig (vorkonfiguriert) |
| Grün-Quote (Ø) | ~70 % | ~85 % |
Self-hosted Systeme bieten mehr Kontrolle – aber auch mehr Fehlerpotenzial. Die SaaS-Baukästen erreichen in unseren Audits bessere Werte, weil sie weniger Spielraum für Fehlkonfigurationen lassen.
Shopify und E-Commerce: Das Sorgenkind
Auffällig ist die hohe Rot-Quote bei den E-Commerce-Systemen Shopify (54,6 %), Magento (43,5 %) und PrestaShop (42,9 %). Die Ursachen:
- Shopify: Standardmäßig kein DSGVO-konformes Cookie-Banner. Viele Apps laden Tracking vor der Einwilligung. Die meisten Shopify-Shops in unseren Audits verwenden kein oder ein unzureichend konfiguriertes CMP.
- Magento/PrestaShop: Komplexe Plugin-Ökosysteme mit häufig veralteten Tracking-Integrationen. Cookie-Consent wird oft nachgerüstet, blockiert aber nicht alle vorhandenen Scripts.
Nischen-CMS: Die Datenschutz-Champions
Abseits der großen Systeme gibt es CMS, die technisch bedingt weniger Datenschutz-Probleme verursachen:
| CMS | Typ | Websites | Besonderheit |
|---|---|---|---|
| Hugo | Static Site Generator | 747 | Kein Server-seitiger Code, minimaler Datenschutz-Footprint |
| Kirby | Flat-File CMS | 1.580 | Keine Datenbank, schlanke Architektur |
| Ghost | Publishing CMS | 1.010 | Fokus auf Content, wenig Tracking-Plugins |
| Neos CMS | Enterprise CMS | 1.087 | Deutsches Ökosystem, DSGVO-Bewusstsein |
| Craft CMS | Professional CMS | 933 | Kein Plugin-Wildwuchs, kontrollierte Architektur |
| Eleventy | Static Site Generator | 237 | Wie Hugo: statisch generiert, minimaler Footprint |
Statische Generatoren wie Hugo und Eleventy sind von Natur aus datenschutzfreundlich: Sie erzeugen reine HTML-Dateien ohne serverseitige Logik. Tracking kann nur bewusst eingebaut werden – nicht versehentlich über ein Plugin.
Flat-File-Systeme wie Kirby oder schlankere CMS wie Ghost und Neos profitieren von kleineren Plugin-Ökosystemen. Weniger Plugins bedeuten weniger potenzielle Datenschutz-Schwachstellen.
Was bedeutet das für Ihre CMS-Wahl?
- WordPress bleibt die vielseitigste Option – erfordert aber aktive Datenschutz-Konfiguration. Investieren Sie in ein gutes CMP und prüfen Sie Ihre Website regelmäßig.
- TYPO3 und Contao sind solide Alternativen mit guten Datenschutz-Werten – besonders im deutschen Markt verbreitet und mit DSGVO-bewusstem Ökosystem.
- Jimdo und Wix eignen sich für kleinere Websites, die ohne technischen Aufwand gute Datenschutz-Werte erreichen möchten.
- Shopify erfordert besondere Aufmerksamkeit: Installieren Sie ein DSGVO-konformes CMP und prüfen Sie alle Apps auf Tracking-Verhalten.
- Hugo, Kirby, Ghost sind ideale Optionen für Projekte, bei denen Datenschutz oberste Priorität hat.
Unabhängig vom CMS gilt: Prüfen Sie Ihre Website regelmäßig mit einem automatisierten Audit. Denn nicht das System entscheidet über den Datenschutz – sondern die Konfiguration.
Weiterführende Artikel
- Cookie-Banner-Vergleich: So schneiden die Top-CMPs ab
- Consent-Tools in Deutschland: Welche CMPs werden eingesetzt?
- Tracking ohne Einwilligung: Was unsere Audits aufdecken
- Dark Patterns in Cookie-Bannern erkennen
- Matomo datenschutzkonform einsetzen
- Was ist exatics Audit? – Alle Prüfkategorien
Datenstand: 17. März 2026 · Basis: über 350.000 Websites mit erkanntem CMS