WordPress datenschutzfreundlich einrichten

Veröffentlicht: 3. Juli 2025 von Matze – 11 Kommentare

Standardmäßig ist WordPress nicht sehr datenschutzfreundlich konfiguriert. Allerdings kannst du das durch das Verändern von Einstellungen und mit ein paar Plugins verbessern – der Community sei Dank.

Standard-Plugins

Auch wenn sich nicht jeder darüber freut, kommt WordPress mit zwei vorinstallierten Plugins, Akismet Anti-spam und Hello Dolly. Während letzteres keine Datenschutz-Implikationen besitzt, hat es ersteres sehr wohl. Akismet sendet viele Daten zu Servern von Automattic in die USA, sodass es schwer bis unmöglich ist, seine Verwendung zu rechtfertigen. Auch ist deren Datenschutzerklärung bei weitem von Anforderungen der Europäischen Union entfernt.

Deinstalliere deshalb das Akismet-Plugin. Und wenn du schon mal dabei bist, kannst du Hello Dolly auch direkt deinstallieren.

Emojis

Wer hätte gedacht, dass Emojis einen negativen Einfluss auf den Datenschutz deiner Besucher haben können? Das kommt daher, dass WordPress standardmäßig Emojis von WordPress.org lädt, wenn das jeweilige Gerät diese nicht nativ unterstützt. Da es keine rechtsgültige Begründung dafür gibt, das zu tun (da du sie auch einfach lokal ausliefern könntest), solltest du das deaktivieren. Daneben ist das auch praktisch kein Problem mehr, denn alle Geräte heutzutage unterstützen Emojis nativ. Du kannst das Plugin Disable Emojis verwenden, um sie zu deaktivieren.

Avatare

Alle Avatare in WordPress werden standardmäßig via Gravatar geladen. Das ist ein Dienst, der E-Mail-Adressen mit Avataren verknüpft (und einige weitere Funktionen). In der Praxis heißt das: wenn du ein Gravatar-Konto hast, kannst du dort deine E-Mail-Adresse(n) angeben und für jede einen Avatar definieren, der dann auf magische Weise überall angezeigt wird, wo du diese E-Mail-Adresse verwendest (und Gravatar unterstützt wird). Das klingt nach einer tollen Idee – und ist es sicherlich auch aus dieser Perspektive – doch es führt dazu, dass deine E-Mail-Adresse (in einer gehashten Form) von jeder Website zu Gravatar gesendet wird, auf der du sie hinzugefügt hast. Damit weiß Gravatar genau, welche Websites du besucht hast. Gravatar ist auch ein Dienst von Automattic und wie bereits beim Akismet-Plugin-Problem angemerkt, interessieren die sich leider nicht wirklich für Datenschutzgesetze außerhalb der USA. Deshalb ist das Versenden dieser Informationen – die zweifellos personenbezogen sind – ohne Zustimmung durch den Benutzer problematisch. Aber WordPress macht das automatisch für jeden registrierten Benutzer und auch für jeden, der einen deiner Beiträge kommentiert.

Dafür gibt es zwei Lösungen.

Avatare deaktivieren

Du kannst die Verwendung von Avataren komplett deaktivieren. Um das zu tun, gehe zu Einstellungen > Diskussion > Avatare > Avataranzeige und deaktiviere das Auswahlkästchen für die Option „Avatare anzeigen“. Das deaktiviert jegliche Avatar-Logik und sendet damit keine Daten mehr zu Gravatar.

Avatar Privacy

Du kannst das Plugin Avatar Privacy verwenden, um den Datenschutz für die Avatar-Verwendung zu verbessern. Es kommt mit den folgenden Funktionen:

• Lädt Gravatar-Bilder nur nach expliziter Einwilligung des Benutzers herunter
• Speichert Gravatar-Bilder auf dem Server zwischen, um sie dann lokal auszuliefern
• Zeigt keine gehashten E-Mail-Adressen in Gravatar-URLs an
• Fügt eine Option hinzu, um Avatare lokal hochzuladen

In der Praxis brauchst du Avatar Privacy lediglich installieren und kannst dann die Avatar-Funktion von WordPress (weiter) verwenden.

Speichern von Kommentar-IP-Adressen deaktivieren

WordPress speichert die IP-Adresse von jeder Person, die auf deiner Website kommentiert, unendlich lang. Weil das zumindest für eine kurze Zeit argumentierbar ist, beispielsweise um auf bekannte Spam-IP-Adressen zu prüfen, ist die unendlich lange Speicherung generell verboten. Deshalb solltest du das deaktivieren.

Du kannst entweder das Plugin „Remove IP“ dafür verwenden (sei unbesorgt bezüglich des letzten Aktualisierungsdatums, es ist so klein, dass es keine Aktualisierung benötigt):

Oder du kannst ein Code-Snippet verwenden, und es zu deiner Website als MU-Plugin unter /wp-content/mu-plugins hinzufügen:

<?php
\add_filter( 'pre_comment_user_ip', '__return_empty_string' );
Code-Sprache: PHP (php)

Gespeicherte IP-Adressen entfernen

Wenn du bereits Kommentare auf deiner Website hast, solltest du die bereits gespeicherten IP-Adressen spätestens jetzt entfernen. Auch dafür gibt es ein Plugin, namens „GDPR Tools: comment ip removement“:

Kommentar-Spam

Da Akismet sofort deinstalliert werden sollte, kann es sein, dass du unter Kommentar-Spam leidest. Um dieses Problem zu lösen, verwaltet das Pluginkollektiv ein kostenloses und datenschutzfreundliches Plugin namens „Antispam Bee“, um Kommentar-Spam zu bekämpfen.

Eingebettete Inhalte blockieren

Das Hinzufügen von eingebetteten Inhalten zu deiner Website heißt auch immer, dass du externe Ressourcen lädst. Das hat nicht nur Implikationen bei der Ladezeit, sondern generiert auch Datenschutzprobleme. Wenn du nicht ohne eingebettete Inhalte kannst oder willst, verwende das Plugin „Embed Privacy“. Es fügt ein Overlay über besagte eingebettete Inhalte und lädt sie erst nach expliziter Einwilligung.

REST API deaktivieren

WordPress kommt mit einer eingebauten REST API und benötigt diese auch für die interne Kommunikation. Sie kann jedoch auch einfach dazu verwendet werden, um Daten von deiner Website zu extrahieren, beispielsweise die Namen aller Benutzer. Das Plugin „Disable REST API“ erlaubt dir, den Zugriff auf die API nach Benutzerrolle zu verwalten und sie auch für unregistrierte Benutzer zu sperren, damit solche Daten nicht öffentlich einsehbar sind.

Analysewerkzeuge

Tracking ist im Normalfall nie datenschutzfreundlich. Deshalb ist es vielleicht das Beste, deine Benutzer gar nicht erst zu verfolgen. Insbesondere nicht mit bekannten Werkzeugen wie Google Analytics. Diese sammeln so viele Daten, dass es kaum definierbar ist, welche. Neben selbst gehosteten Optionen wie Matomo ist möglicherweise ein noch datenschutzfreundlicheres Plugin eine Option. Während Statify nur Seitenaufrufe sammelt und daher nie eine Einwilligung benötigt, kann Koko Analytics identisch konfiguriert werden (oder es verfolgt Benutzer mit einem Cookie oder Fingerprinting, was wiederum eine Einwilligung benötigt).

Newsletter

Die Verwendung eines Newsletters selbst ist problemlos möglich, wenn du es richtig machst. Und oft findet eine Registrierung dafür auf einer WordPress-Website statt, weshalb es Teil dieser Anleitung ist. Du benötigst definiert einen sogenannten doppelte Opt-out-Mechanismus. Das heißt, dass wenn sich ein Benutzer für deinen Newsletter registriert, du ihm eine E-Mail an die angegebene E-Mail-Adresse schicken musst, bei der der Benutzer explizit bestätigen muss, beispielsweise durch Klick auf einen Link, dass die Registrierung tatsächlich gewollt war. Erst nach dieser Bestätigung darfst du ihm E-Mails zuschicken.

Während es außerdem freundlich(er) aussehen mag, deine Newsletter-Abonnenten bei ihrem Namen anzusprechen, darfst du ein solches Eingabefeld niemals als Pflichtfeld deklarieren. Es ist nicht erforderlich, um ein Newsletter zuzusenden. Es ist in Ordnung, es optional für ein verbessertes Benutzererlebnis zu machen, aber es sollte die Entscheidung deiner zukünftigen Abonnenten sein, ob sie dir ihren Namen geben wollen.

Hab außerdem im Kopf, dass ein Großteil der Newsletter-Anbieter Tracking-Links innerhalb der E-Mails verwendet, die an deine Abonnenten verschickt werden, um erkennen zu können, ob und wie sie mit deinem Newsletter interagiert haben. Stelle sicher, dass du diese Funktion mit den für dich geltenden Datenschutzgesetzen in Einklang verwendest, wenn du sie verwendest.

WooCommerce

Wenn du WooCommerce auf deiner Website verwendest, stelle sicher, dass du die Einstellungen überprüfst. Manche davon sind definitiv nicht gewünscht und haben teils gar keinen Nutzen für dich – wohl aber für Automattic, das Unternehmen, das WooCommerce hauptsächlich verwaltet.

Manche dieser Einstellungen sind zu finden unter:

• WooCommerce > Einstellungen > Erweitert > WooCommerce.com > Nutzungsaufzeichnung > Tracking aktivieren
• WooCommerce > Einstellungen > Erweitert > Funktionen > Bestellungszuordnung
• WooCommerce > Einstellungen > Erweitert > Funktionen > Remote-Protokollierung

Die Liste ist nicht notwendigerweise vollständig. Zusätzlich kann es sein, dass mit einer Aktualisierung neue derartige Optionen vorhanden sind, und manchmal werden selbst existierende Optionen (wieder) aktiviert. Stelle demnach sicher, dass du die WooCommerce-Einstellungen regelmäßig prüfst.

Datenschutzerklärung

Zuletzt benötigt deine Website mit ziemlicher Sicherheit eine Datenschutzerklärung, da immer irgendwelche Daten gesammelt/verarbeitet werden (so funktionieren Netzwerke und das Internet). Du erhältst eine von einem Anwalt, kannst einen Online-Generator dafür verwenden, oder mein Plugin „Impressum Plus“, das dir den Großteil der Arbeit dafür abnimmt und automatisch eine Datenschutzerklärung generiert, die auf deine Website zugeschnitten ist.

Du kannst darüber noch mehr in meinem dedizierten Beitrag darüber erfahren, wie du eine Datenschutzerklärung in WordPress bekommst.

Fazit

Wenn du deine Website mit WordPress starten möchtest, gibt es definitiv Dinge, die du machen solltest, um am Ende eine datenschutzfreundliche zu bekommen. Glücklicherweise ist nichts davon Zauberei und auch ohne technische Kenntnisse möglich. Ich hoffe, diese Liste kann dir den Weg durch die einzelnen Arbeitsschritte erleichtern.