WordPress und Datenschutz – Was 1,1 Millionen Websites zeigen
WordPress ist das mit Abstand beliebteste CMS in Deutschland – und damit auch das System, bei dem Datenschutzprobleme am häufigsten auftreten. Wir haben 1.186.864 WordPress-Websites technisch geprüft (Stand: April 2026). Das Ergebnis: Rund die Hälfte steht datenschutzrechtlich solide da. Die andere Hälfte? Hat Nachholbedarf. Teilweise erheblichen.
Die Analyse zeigt die drei größten Problemfelder: externe Google Fonts, Google Analytics ohne Einwilligung und fehlerhafte oder fehlende Cookie-Banner. Klingt nach den üblichen Verdächtigen? Ist es auch – aber die Zahlen dahinter sind überraschend deutlich.
Hinweis: Die folgenden Ausführungen basieren auf unserer technischen Analyse von 2.441.753 Websites und stellen keine Rechtsberatung dar. Für die rechtliche Bewertung konsultieren Sie bitte Ihren Datenschutzbeauftragten.
Häufige Fragen zu WordPress und Datenschutz
Wie datenschutzkonform sind WordPress-Websites?
Von über 1,1 Millionen geprüften WordPress-Websites erreichen 49,6 % eine grüne Datenschutz-Bewertung. 32,8 % haben mindestens einen schwerwiegenden Verstoß. Die häufigsten Probleme: extern geladene Google Fonts, Google Analytics ohne Einwilligung und fehlerhafte Cookie-Banner.
Was sind die häufigsten Datenschutz-Probleme bei WordPress?
Die drei größten Probleme sind: 1. Google Fonts über externe Google-Server (IP-Übertragung ohne Einwilligung), 2. Google Analytics vor dem Cookie-Consent (betrifft geschätzt jede 12. WordPress-Website), 3. Cookie-Banner, die Tracking-Scripts nicht korrekt blockieren. Alle drei Probleme lassen sich mit Plugins und korrekter Konfiguration beheben.
Welches Cookie-Banner-Plugin ist für WordPress am besten?
Es gibt kein universell bestes Plugin – entscheidend ist die korrekte Konfiguration. Beliebte und gut bewertete Lösungen sind Borlabs Cookie, Complianz und Real Cookie Banner. Wichtig: Das Plugin muss Tracking-Scripts tatsächlich blockieren, nicht nur ein Banner anzeigen. Testen Sie nach der Einrichtung im Inkognito-Modus, ob bei Ablehnung keine Tracking-Requests mehr stattfinden.
WordPress im Datenschutz-Audit: Die Zahlen
Von den 1.186.864 WordPress-Websites in unserer Datenbank erreichen 49,6 % eine grüne Bewertung in der Datenschutz-Ampel. 17,6 % landen im gelben Bereich. Und 32,8 % sind rot – also mit mindestens einem schwerwiegenden Datenschutzverstoß.
Was bedeutet das konkret? Jede dritte WordPress-Website in Deutschland hat ein technisch messbares Datenschutzproblem. Keine Vermutung, keine Interpretation – gemessen mit einem echten Browser, der die Website so aufruft wie Ihre Besucher.
Im CMS-Vergleich liegt WordPress damit im Mittelfeld. Das klingt zunächst nicht dramatisch. Aber bei über einer Million Websites bedeuten 32,8 % Rot-Anteil: rund 375.000 WordPress-Seiten mit gravierenden Verstößen. Das ist eine Zahl, die man wirken lassen muss.
Die gute Nachricht: Die meisten dieser Probleme lassen sich mit wenigen Handgriffen beheben. Denn die Ursachen sind fast immer dieselben.
Problem 1: Google Fonts extern – der Klassiker
Google Fonts ist die häufigste Datenschutz-Schwachstelle auf WordPress-Websites. Von den 480.761 Websites mit Google Fonts in unserer gesamten Datenbank läuft ein großer Teil auf WordPress – kein Wunder, denn viele Themes und Page-Builder binden Fonts standardmäßig über Google-Server ein.
Das Problem dabei: Bei jeder externen Font-Anfrage wird die IP-Adresse des Besuchers an Google übertragen. Ohne Einwilligung. Ohne Rechtsgrundlage. Das Landgericht München I hat 2022 klargestellt, dass das ein Verstoß gegen die DSGVO ist. Punkt.
Warum trifft es WordPress besonders? Weil die Schriftarten-Einbindung oft unsichtbar passiert. Ein Theme wie Astra, Divi oder OceanWP lädt Google Fonts im Hintergrund. Ein Page-Builder fügt eigene Font-Referenzen hinzu. Und nach dem nächsten Theme-Update? Kann alles wieder von vorn beginnen. Das ist wie eine Tür, die Sie abschließen – und die sich beim nächsten Update selbst wieder öffnet.
Die Lösung ist gut dokumentiert und technisch einfach: Google Fonts lokal einbinden. Plugins wie OMGF erledigen das automatisch. Viele aktuelle Themes bieten die Option direkt in den Einstellungen an.
Problem 2: Google Analytics ohne Einwilligung
Jede 12. WordPress-Website in unserer Datenbank lädt Google Analytics, bevor der Besucher überhaupt die Möglichkeit hatte, zuzustimmen. Das sind geschätzt rund 98.000 WordPress-Seiten – und jede einzelne hat ein ernstes Datenschutzproblem.
Fakt ist: 269.103 Websites in unserer gesamten Datenbank feuern Google Analytics vor dem Consent. Bei WordPress ist der Anteil überproportional hoch. Der Grund? Die Einbindung erfolgt häufig über den Google Tag Manager – und der wird gerne direkt im Theme-Header platziert, komplett am Cookie-Banner vorbei.
Die Konsequenz ist eindeutig: Tracking ohne Einwilligung verstößt gegen Art. 6 DSGVO und § 25 TDDDG. Dabei ist es technisch kein Hexenwerk, Analytics erst nach dem Consent zu laden. Jede vernünftige CMP kann das. Vorausgesetzt, sie ist korrekt konfiguriert.
Und genau da liegt das Problem: Viele WordPress-Betreiber installieren ein Cookie-Banner-Plugin, aktivieren es – und gehen davon aus, dass alles funktioniert. Ob das Banner den Tag Manager tatsächlich blockiert, prüft niemand. Vertrauen ist gut. Cookie-Banner prüfen ist besser.
Warum WordPress besonders betroffen ist
WordPress macht es einfach, eine Website zu erstellen. Aber es macht es auch einfach, Datenschutzfehler zu machen – ohne es zu merken. Das liegt an der Architektur des Systems.
Jedes Plugin kann externe Verbindungen herstellen. Ein Slider-Plugin lädt Bilder von einem CDN. Ein Formular-Plugin bindet reCAPTCHA ein. Ein Social-Media-Widget verbindet sich mit Facebook. Und jede dieser Verbindungen überträgt potenziell personenbezogene Daten – die IP-Adresse des Besuchers, mindestens.
Bei einem typischen WordPress-Setup mit 15 bis 25 Plugins summiert sich das schnell. Nicht jedes Plugin ist problematisch, aber die Kombination aus vielen Plugins, wechselnden Themes und regelmäßigen Updates macht die Datenschutz-Kontrolle zur Daueraufgabe. Das ist kein einmaliges Projekt – das ist Wartung.
Dazu kommt: WordPress-Websites werden häufig von Einzelunternehmern, kleinen Agenturen oder Vereinen betrieben. Nicht jeder hat einen Datenschutzbeauftragten. Nicht jeder prüft nach jedem Update, ob die Cookie-Einstellungen noch stimmen. Verständlich – aber riskant.
So machen Sie Ihre WordPress-Website datenschutzkonform
Die gute Nachricht: Die häufigsten Probleme lassen sich systematisch angehen. Hier ist der Fahrplan – vom Schnellsten zum Gründlichsten.
Schritt 1: Google Fonts lokal einbinden
Installieren Sie das Plugin OMGF oder aktivieren Sie die lokale Font-Einbindung in Ihrem Theme. Prüfen Sie danach mit den Browser-Entwicklertools (F12 → Netzwerk → filtern nach fonts.googleapis.com), ob keine externen Font-Requests mehr stattfinden. Ausführliche Anleitung: Google Fonts DSGVO-konform einbinden.
Schritt 2: Tracking über die CMP steuern
Stellen Sie sicher, dass Google Analytics, der Tag Manager und alle Werbe-Pixel ausschließlich über Ihre Consent-Management-Plattform geladen werden. Das bedeutet: Keine Script-Tags direkt im Theme-Header. Alles über den Tag Manager, und der Tag Manager über die CMP. Erst nach Einwilligung.
Schritt 3: Cookie-Banner testen
Öffnen Sie Ihre Website im Inkognito-Modus. Lehnen Sie alle Cookies ab. Prüfen Sie dann im Netzwerk-Tab, ob trotzdem Tracking-Requests abgefeuert werden. Wenn ja: Ihr Banner blockiert nicht korrekt. Detaillierte Anleitung: Cookie-Banner prüfen.
Schritt 4: Plugin-Audit durchführen
Prüfen Sie jedes aktive Plugin auf externe Verbindungen. Besondere Aufmerksamkeit verdienen: Google Maps, reCAPTCHA, YouTube-Embeds, Social-Media-Widgets und Analytics-Plugins. Jede externe Verbindung braucht entweder eine Einwilligung oder eine datenschutzfreundliche Alternative.
Schritt 5: Regelmäßig prüfen
Nach jedem Theme- oder Plugin-Update kann sich die Datenschutz-Situation ändern. Ein automatisierter Audit deckt Veränderungen auf, bevor sie zum Problem werden. Schnell. Regelmäßig. Ohne manuellen Aufwand.
Was prüft exatics bei WordPress-Websites?
Unser Audit behandelt WordPress-Websites wie jede andere Website auch: Wir starten einen echten Browser und analysieren alles, was beim Seitenaufruf passiert. Keine Quelltext-Analyse, sondern echtes Laden – so wie Ihre Besucher es erleben.
Im Detail prüfen wir unter anderem:
- Externe Ressourcen – Google Fonts, Google Analytics, Tag Manager, reCAPTCHA, YouTube und Dutzende weitere Dienste
- Consent-Mechanismus – Ist ein Cookie-Banner vorhanden? Blockiert es Tracking vor der Einwilligung?
- Timing – Werden Scripts vor oder nach dem Consent geladen?
- Cookies – Welche Cookies werden gesetzt und von wem?
Das Ergebnis ist eine klare Bewertung mit konkreten Handlungsempfehlungen – keine juristischen Allgemeinplätze, sondern technisch nachvollziehbare Befunde.
Weiterführende Artikel
Vertiefende Fragen zu WordPress und Datenschutz
Warum lädt mein WordPress-Theme Google Fonts extern?
Viele WordPress-Themes binden Google Fonts standardmäßig über die Google-Server ein, weil das die einfachste Implementierung ist. Das betrifft sowohl kostenlose als auch Premium-Themes wie Astra, Divi, Enfold oder OceanWP. Auch Page-Builder wie Elementor fügen eigene Font-Referenzen hinzu. Prüfen Sie die Theme-Einstellungen auf eine Option wie Load Google Fonts locally oder nutzen Sie das Plugin OMGF, das alle externen Font-Referenzen automatisch durch lokale ersetzt.
Kann ein WordPress-Plugin Datenschutzprobleme verursachen?
Ja, jedes Plugin kann potenziell externe Verbindungen herstellen und damit personenbezogene Daten übertragen. Typische Beispiele: Google Maps Plugins, reCAPTCHA-Integrationen, YouTube-Embed-Plugins, Social-Media-Widgets und Slider mit CDN-Anbindung. Bei einem typischen WordPress-Setup mit 15 bis 25 Plugins kann sich das schnell summieren. Prüfen Sie jedes aktive Plugin auf externe Verbindungen und stellen Sie sicher, dass datenübertragende Dienste erst nach Einwilligung geladen werden.