CMS-Marktanteile in Deutschland: Welche Systeme dominieren – und wie steht es um den Datenschutz?
WordPress, TYPO3, Joomla oder doch ein Baukasten wie Wix? Wir haben über 1,7 Mio. deutsche Websites mit erkanntem Content-Management-System analysiert – nicht nur nach Verbreitung, sondern auch nach Datenschutz-Qualität. Das Ergebnis: Die Marktanteile überraschen wenig. Die Datenschutz-Unterschiede dagegen schon.
Von unseren über 2,5 Mio. geprüften Websites haben wir bei 66,3 % ein Content-Management-System erkannt – das sind über 1,7 Mio. Websites. Die folgenden Marktanteile beziehen sich auf diese Teilmenge. Nicht bei jeder Website lässt sich das CMS automatisiert identifizieren, daher ist die tatsächliche CMS-Verbreitung vermutlich höher.
Die meisten CMS-Vergleiche bewerten Funktionen, Preise und Bedienbarkeit. Was fehlt: Wie datenschutzkonform sind die Websites, die mit diesen Systemen betrieben werden? Unsere Audits prüfen nicht das CMS selbst, sondern das Ergebnis auf der Website: Werden Cookies korrekt blockiert? Laden Tracking-Dienste vor der Einwilligung? Ist das Cookie-Banner technisch korrekt konfiguriert?
Hinweis zur Methodik und rechtlicher Hinweis: Diese Auswertung basiert auf über 2,5 Mio. automatisiert geprüften Websites – eine umfangreiche Stichprobe, aber nur ein Ausschnitt des deutschsprachigen Webs. Allein unter der .de-Domain sind über 16 Millionen Domains registriert, auch wenn ein erheblicher Teil davon inaktiv ist.
Die Erkennung datenschutzrelevanter Sachverhalte erfolgt vollständig automatisiert durch technische Analyse von HTTP-Requests, Cookies, DOM-Elementen und JavaScript-Verhalten. Die Ergebnisse stellen keine rechtsverbindliche Bewertung dar und erheben keinen Anspruch auf vollständige oder fehlerfreie Erkennung. Es kann zu Abweichungen zwischen den automatisiert ermittelten Ergebnissen und der tatsächlichen datenschutzrechtlichen Situation einer Website kommen. Maßgeblich für die rechtliche Beurteilung ist stets die Einschätzung des zuständigen Datenschutzbeauftragten oder einer qualifizierten Rechtsberatung.
Die dargestellten Unterschiede zwischen Content-Management-Systemen spiegeln ausschließlich die statistische Verteilung der Audit-Ergebnisse auf den jeweils geprüften Websites wider – nicht die Qualität, Sicherheit oder Eignung der CMS-Software selbst. Die Ergebnisse lassen keinen Rückschluss auf die Tauglichkeit eines CMS zu und stellen keine Empfehlung für oder gegen die Verwendung eines bestimmten Systems dar. Die Konfiguration, das Plugin-Ökosystem und die individuellen Einstellungen der jeweiligen Website-Betreiber haben den entscheidenden Einfluss auf das Audit-Ergebnis.
Häufige Fragen zu CMS-Marktanteile in Deutschland
Welches CMS ist am datenschutzfreundlichsten?
In unseren Audits sind Websites mit Jimdo und Wix am häufigsten datenschutzkonform. Warum? Bei Baukästen steuert der Anbieter das Cookie-Banner zentral, und es gibt weniger Möglichkeiten, externe Dienste unkontrolliert einzubinden. Weniger externe Dienste bedeuten weniger Datenschutz-Risiken. Bei Self-hosted Systemen erreichen Websites mit Hugo und Kirby die besten Werte, weil diese Systeme technisch bedingt kaum Tracking mitbringen.
Ist WordPress DSGVO-konform?
WordPress selbst ist datenschutzneutral. Es kommt auf die Konfiguration an. Mit einem korrekt eingerichteten Cookie-Banner und bewusstem Plugin-Management erreichen WordPress-Websites gute Datenschutz-Werte. Ohne Cookie-Banner oder mit schlecht konfigurierten Plugins zeigen unsere Audits deutliche Mängel. Die endgültige rechtliche Bewertung obliegt Ihrem Datenschutzbeauftragten.
Warum schneidet Shopify beim Datenschutz schlechter ab?
Shopify bringt kein vorkonfiguriertes Cookie-Banner mit, das den DSGVO-Anforderungen entspricht. Viele Shopify-Apps laden außerdem Tracking-Dienste, bevor der Besucher zugestimmt hat. Wer einen Shopify-Shop betreibt, muss deshalb aktiv ein Cookie-Banner installieren und die Apps einzeln auf ihr Tracking-Verhalten prüfen.
CMS-Marktanteile: WordPress dominiert mit über 50 % Marktanteil
Unter allen Websites mit erkanntem CMS zeigt sich ein klares Bild:
| CMS | Websites | Anteil unter CMS-Websites | Anteil aller Audits |
|---|---|---|---|
| WordPress | 1.250.420 | 73,4 % | 48,6 % |
| TYPO3 | 120.394 | 7,1 % | 4,7 % |
| Joomla | 110.971 | 6,5 % | 4,3 % |
| Contao | 51.823 | 3,0 % | 2,0 % |
| Wix | 49.122 | 2,9 % | 1,9 % |
| Shopify | 23.670 | 1,4 % | 0,9 % |
| Webflow | 21.519 | 1,3 % | 0,8 % |
| Squarespace | 21.001 | 1,2 % | 0,8 % |
| Drupal | 19.567 | 1,1 % | 0,8 % |
| Kirby | 6.169 | 0,4 % | 0,2 % |
| Hugo | 3.646 | 0,2 % | 0,1 % |
| Jimdo | 3.557 | 0,2 % | 0,1 % |
| Magento | 3.477 | 0,2 % | 0,1 % |
| PrestaShop | 2.475 | 0,1 % | 0,1 % |
| Shopware | 2.392 | 0,1 % | 0,1 % |
CMS-Marktanteile unter über 1,7 Mio. Websites mit erkanntem CMS (Stand: Mai 2026)
WordPress macht über die Hälfte aller erkannten CMS-Installationen aus – ein Vorsprung, der sich auch in anderen Studien bestätigt. TYPO3 und Joomla folgen mit deutlichem Abstand als klassische Open-Source-Alternativen. Die Baukasten-Systeme Jimdo und Wix haben sich als feste Größen im deutschen Markt etabliert.
Datenschutz-Qualität: So schneiden die CMS ab
Jetzt wird es spannend. Denn nicht die großen Open-Source-Systeme zeigen die besten Datenschutz-Werte, sondern die Baukasten-Systeme Jimdo und Wix. Klingt überraschend? Erklärt sich aber logisch.
| CMS | Keine Verstöße | Schwerwiegende Mängel | Ø Privacy-Score |
|---|---|---|---|
| Jimdo | 74,6 % | 19,8 % | 82,0 |
| Contao | 69,4 % | 19,1 % | 80,2 |
| Wix | 69,0 % | 26,6 % | 79,0 |
| Kirby | 68,3 % | 18,5 % | 79,8 |
| Hugo | 67,0 % | 22,8 % | 76,6 |
| TYPO3 | 63,7 % | 22,6 % | 76,8 |
| Shopware | 60,3 % | 32,1 % | 70,7 |
| Joomla | 59,0 % | 23,8 % | 73,7 |
| Drupal | 49,4 % | 32,9 % | 65,6 |
| WordPress | 49,3 % | 31,7 % | 65,8 |
| PrestaShop | 35,2 % | 51,9 % | 48,1 |
| Shopify | 33,4 % | 60,8 % | 42,4 |
| Webflow | 33,4 % | 63,0 % | 41,1 |
| Magento | 26,4 % | 64,5 % | 39,3 |
| Squarespace | 6,1 % | 75,2 % | 21,4 |
Datenschutz-Bewertung nach CMS: Anteil der Websites ohne Verstöße, mit Handlungsbedarf und mit schwerwiegenden Mängeln in unseren Audits (Stand: Mai 2026)
Warum schneiden Baukasten-Systeme besser ab?
Websites mit Jimdo und Wix sind deutlich häufiger datenschutzrechtlich korrekt eingebunden als Websites mit WordPress – und liegen sogar vor TYPO3. Aber wie ist das möglich? Die Antwort liegt im Aufbau der Systeme:
- Kontrollierte Umgebung: Baukasten-Systeme steuern das Cookie-Banner und die Tracking-Integration zentral. Der Betreiber kann weniger falsch konfigurieren – und tut es deshalb seltener.
- Weniger Plugins: WordPress-Websites laden im Schnitt deutlich mehr Drittanbieter-Scripts. Jedes Plugin ist eine potenzielle Datenschutz-Schwachstelle.
- Standard-Konfiguration: Baukästen wie Jimdo setzen von Haus aus ein konservatives Cookie-Management ein. Bei offenen Content-Management-Systemen wie WordPress, TYPO3 oder Contao muss der Betreiber selbst ein CMP installieren und korrekt konfigurieren.
Wichtig: Das bedeutet nicht, dass WordPress unsicherer ist. Es bedeutet, dass WordPress-Betreiber mehr Verantwortung für die korrekte Datenschutz-Konfiguration tragen. Mit einem gut konfigurierten CMP erreichen WordPress-Websites problemlos Ergebnisse ohne datenschutzrelevante Mängel. Das gilt auch für alle anderen Open-Source-Content-Management-Systeme wie TYPO3, Joomla oder Contao. Denn auch hier muss der Betreiber ein passendes CMP suchen und korrekt integrieren oder umsetzen lassen. Bedauerlicherweise steckt hier der Teufel im Detail – wie so häufig im Datenschutz.
Open Source vs. SaaS: Der Datenschutz-Vergleich
Die Landschaft der Content-Management-Systeme teilt sich in zwei Welten – und beide haben ihre Tücken:
| Eigenschaft | Self-hosted (WP, TYPO3, Joomla) | SaaS/Baukasten (Wix, Jimdo, Squarespace) |
|---|---|---|
| Hosting | Eigener Server (EU möglich) | Anbieter-Server (oft USA) |
| Cookie-Banner | Plugin oder externes CMP erforderlich | Integriert |
| Kontrolle | Volle Kontrolle | Eingeschränkt |
| Datenschutz-Risiko | Hoch (Konfigurationsaufwand) | Niedrig (vorkonfiguriert) |
| Datenschutzkonform (Ø) | ~70 % | ~85 % |
Kurz gesagt: Self-hosted Systeme bieten mehr Kontrolle – aber auch mehr Fehlerpotenzial. Die SaaS-Baukästen erreichen in unseren Audits bessere Werte, weil sie weniger Spielraum für Fehlkonfigurationen lassen.
Shopify und E-Commerce: Das Sorgenkind
Auffällig ist der hohe Anteil an Websites mit schwerwiegenden Datenschutz-Mängeln bei den E-Commerce-Systemen Shopify (60,8 %), Magento (64,5 %) und PrestaShop (51,9 %). Die Ursachen:
- Shopify: In unseren Audits zeigen viele Shopify-Shops Datenschutz-Mängel. Häufige Ursache: Shopify liefert kein vorkonfiguriertes Cookie-Banner mit, und viele Apps laden Tracking-Dienste vor der Einwilligung. Wer einen Shopify-Shop betreibt, muss aktiv ein CMP installieren und alle Apps prüfen.
- Magento/PrestaShop: Ähnliches Bild – viele Erweiterungen, die Tracking-Dienste einbinden. Das Cookie-Banner wird oft nachgerüstet, blockiert aber nicht immer alle vorhandenen Dienste.
Fakt ist: Wer einen Online-Shop betreibt, muss beim Datenschutz besonders genau hinschauen – denn E-Commerce-Websites laden typischerweise mehr Drittanbieter-Dienste als einfache Unternehmensseiten.
Nischen-CMS: Die Datenschutz-Champions
Abseits der großen Systeme gibt es CMS, die technisch bedingt weniger Datenschutz-Probleme verursachen:
| CMS | Typ | Websites | Besonderheit |
|---|---|---|---|
| Hugo | Static Site Generator | 3.646 | Erzeugt reine HTML-Seiten – Tracking nur möglich, wenn bewusst eingebaut |
| Kirby | Flat-File CMS | 6.169 | Schlankes System ohne Datenbank – weniger Angriffsfläche |
| Ghost | Publishing CMS | 2.248 | Fokus auf Inhalte, kaum Tracking-Erweiterungen verfügbar |
| Neos CMS | Enterprise CMS | 2.548 | Deutsches Ökosystem, starkes DSGVO-Bewusstsein in der Community |
| Craft CMS | Professional CMS | 3.109 | Überschaubares Plugin-Angebot, weniger Risiko durch Drittanbieter |
| Eleventy | Static Site Generator | 945 | Wie Hugo: erzeugt reine HTML-Seiten, Tracking nur bewusst möglich |
Statische Generatoren wie Hugo und Eleventy sind von Natur aus datenschutzfreundlich: Sie erzeugen fertige HTML-Seiten, die keinerlei Tracking von sich aus mitbringen. Wer Tracking will, muss es bewusst einbauen – nicht versehentlich über ein Plugin. Das ist wie ein Haus ohne Schlösser, in das aber auch niemand eine Tür eingebaut hat.
Flat-File-Systeme wie Kirby oder schlankere CMS wie Ghost und Neos profitieren von kleineren Plugin-Ökosystemen. Weniger Plugins bedeuten weniger potenzielle Datenschutz-Schwachstellen.
Was bedeutet das für Ihre CMS-Wahl?
- WordPress bleibt die vielseitigste Option – ob Blog, Unternehmensseite oder Online-Shop. Das riesige Ökosystem an Plugins und Erweiterungen macht es flexibel – erfordert aber aktive Datenschutz-Konfiguration. Investieren Sie in ein gut konfiguriertes CMP und prüfen Sie Ihre Website regelmäßig. Für die Reichweitenanalyse lohnt sich ein Blick auf consent-freie Tools wie Matomo, etracker, Piwik PRO oder Plausible.
- TYPO3 und Contao sind solide Alternativen mit guten Datenschutz-Werten – besonders im deutschen Markt verbreitet und mit DSGVO-bewusstem Ökosystem.
- Jimdo und Wix eignen sich für kleinere Websites, die ohne technischen Aufwand gute Datenschutz-Werte erreichen möchten.
- Shopify erfordert besondere Aufmerksamkeit: Installieren Sie ein DSGVO-konformes CMP und prüfen Sie alle Apps auf Tracking-Verhalten.
- Hugo, Kirby, Ghost eignen sich für Projekte, bei denen Datenschutz und ein minimaler technischer Footprint oberste Priorität haben.
Unabhängig vom CMS gilt: Prüfen Sie Ihre Website regelmäßig mit einem automatisierten Audit. Denn nicht das System entscheidet über den Datenschutz – sondern die Konfiguration. Messbar. Prüfbar. Verbesserbar.
Quellen und Hinweise
- CMS-Erkennung: Wir identifizieren das eingesetzte CMS anhand typischer Merkmale im Quellcode der Website.
- Datenschutz-Bewertung: Ein echter Browser ruft die Website auf, klickt sich durch das Cookie-Banner und prüft, welche Dienste vorher und nachher laden.
- Stichprobe: über 2,5 Mio. deutsche Websites (Ausschnitt, nicht repräsentativ für alle 16 Mio.+ .de-Domains).
- Die dargestellten Unterschiede zwischen CMS spiegeln die Konfiguration der geprüften Websites wider, nicht die Qualität der CMS-Software selbst.
- Die rechtliche Einordnung stellt keine Rechtsberatung dar.
Weiterführende Artikel
- Cookie-Banner-Vergleich: So schneiden die Top-CMPs ab
- Consent-Tools in Deutschland: Welche CMPs werden eingesetzt?
- Tracking ohne Einwilligung: Was unsere Audits aufdecken
- Dark Patterns in Cookie-Bannern erkennen
- Matomo datenschutzkonform einsetzen
- Datenqualität in der Webanalyse: Warum Ihre Zahlen nicht stimmen Was ist exatics Audit? – Alle Prüfkategorien
Datenstand: 1. Mai 2026 · Basis: über 1,7 Mio. Websites mit erkanntem CMS
* Aufgrund einer notwendigen Änderung in den Bewertungen verschiedener Services und der Korrektur von Bewertungen für die Effizienz von Consent-Bannern haben sich unsere Ratings korrigiert.
Vertiefende Fragen zu CMS-Marktanteile in Deutschland
Wie funktioniert die Prüfung?
Unsere Audits funktionieren wie ein Testbesuch: Ein echter Browser ruft Ihre Website auf, erkennt das Cookie-Banner und prüft, welche Dienste vor und nach dem Klick auf „Akzeptieren“ laden. So sehen wir, ob Tracking-Dienste ohne Einwilligung aktiv sind. Das eingesetzte CMS erkennen wir anhand typischer Merkmale im Quellcode der Website. Die Erkennung umfasst über 30 verschiedene Content-Management-Systeme.
Wie repräsentativ sind die Ergebnisse?
Die Auswertung basiert auf {stat:total_audits_round} geprüften Websites. Das ist eine umfangreiche Stichprobe, aber nur ein Ausschnitt. Allein unter .de gibt es über 16 Millionen registrierte Domains. Unsere Ergebnisse zeigen Trends und Tendenzen, sind aber keine bevölkerungsrepräsentative Statistik.
Sagt die Datenschutz-Bewertung etwas über die Qualität des CMS aus?
Nein. Unsere Audits bewerten nicht das CMS, sondern die Website. Wenn viele Websites mit einem bestimmten CMS Datenschutz-Mängel zeigen, heißt das nicht, dass das System unsicher ist. Es bedeutet, dass die Betreiber dieser Websites mehr Aufwand in die richtige Konfiguration stecken müssen.