WordPress datenschutzkonform installieren

Eine Schritt-für-Schritt-Anleitung für Deutschland und Europa

Einleitung

WordPress ist das weltweit beliebteste Content-Management-System und auch in Deutschland weit verbreitet. Wer hier einen Blog oder eine Webseite betreibt, muss jedoch nicht nur auf Design und Funktion, sondern auch auf den Datenschutz gemäß der Datenschutz-Grundverordnung (DSGVO) achten.

In diesem Leitfaden erfährst du, wie du WordPress datenschutzfreundlich installierst, den passenden Hoster auswählst und mithilfe der richtigen Plugins rechtlich auf der sicheren Seite bleibst.

Symbolbild: WordPress

1. Hosting – die Grundlage für Datenschutz

Wenn du eine WordPress-Installation haben willst, die den Vorgaben der DSGVO entspricht, dann ist der erste Schritt die Wahl eines Hosting-Anbieters. Dieser Server muss sich in Deutschland oder der EU befinden. Außerdem brauchst du eine Auftragsverarbeitungsvereinbarung, die klar definiert, was der Anbieter mit deinen Daten machen darf.

Empfohlene deutsche Hoster:

Tipp: Vermeide US-Hoster oder Anbieter mit Datenübermittlung in Drittländer ohne ausreichende Garantien (Stichwort: Schrems II). Das reduziert rechtliche Risiken.

Ich persönlich nutze seit Ende Januar einen Speicherplatz auf dem eigenen Server meines Bekannten André Grellmann, der bei Netcup gehostet wird. Er hat mir den Platz und das komplette Hosting angeboten. Das heißt, er hostet meine Domains, Webseiten und E-Mails. Da konnte ich nicht Nein sagen. Ich bezahle einen Freundschaftspreis. Neben Hetzner, All-Inkl und Webgo ist Netcup im Allgemeinen sehr zu empfehlen, da es sich um einen sehr guten Anbieter handelt, der seinen Kunden einen hervorragenden Service bietet.

2. WordPress installieren – sicher und sauber

Du hast zwei Möglichkeiten:

  • 1-Klick-Installation über den Hoster (schnell, aber oft mit vorinstallierten Plugins)
  • Manuelle Installation von wordpress.org (sauber, maximale Kontrolle)

Manuelle Installation – Schritt-für-Schritt:

  1. WordPress von wordpress.org herunterladen
  2. Per FTP auf deinen Webspace hochladen
  3. MySQL/MariaDB-Datenbank anlegen
  4. Installationsskript im Browser starten (deine-domain.com/wp-admin/install.php)

3. Grundkonfiguration – Datenschutz von Anfang an

  • HTTPS aktivieren (kostenloses Let’s Encrypt-Zertifikat, was ich auch verwende)
  • Vorinstallierte Plugins prüfen und unnötige löschen
  • Benutzername nicht „admin“ wählen
  • Standard-Theme durch eigenes oder Child-Theme ersetzen. Ein Child-Theme ist ein untergeordnetes Theme in WordPress, das das Design und die Funktionen eines Parent-Themes (übergeordnetes Theme) erbt, aber eigene Anpassungen ermöglicht. Der Vorteil dabei ist, dass du Änderungen am Design oder Code vornehmen kannst, ohne dass diese bei einem Update des Parent-Themes überschrieben werden

4. DSGVO-konforme Plugins – meine Empfehlungen

Cookie- und Consent-Management

  • Borlabs Cookie (DE, kostenpflichtig) – blockiert Skripte bis Zustimmung erfolgt. Das verwende ich zum Beispiel. Es ist sehr empfehlenswert, auch wenn es für Anfänger:innen schon etwas überdimensioniert ist
  • Complianz – erkennt Cookies automatisch, mehrsprachig
  • Real Cookie Banner (DE) – detaillierte Konfiguration für deutsche Rechtslage

Statistik und Analyse

  • Statify – datenschutzfreundlich, keine Cookies. Wie ich vor ein paar Tagen ja schon ausführlich geschrieben habe, verwende ich das auch. Absolut zu empfehlen! Ich liebe dieses Plugin einfach 😍
  • Matomo (Self-Hosted) – Eine datenschutzfreundliche und Open-Source-Alternative zu Google Analytics, die aber auch mächtig ist

Sicherheit

Caching und Performance

  • Borlabs Cache (DE) – leistungsstarker Page-Cache, DSGVO-freundlich und einfach konfigurierbar. Es gibt eine kostenlose und eine kostenpflichtige Variante davon. Ich verwende die kostenpflichtige Variante, aber in vielen Fällen reicht die kostenlose schon aus. Beide Varianten sind auf jeden Fall empfehlenswert
  • Cache Enabler – schlanker, datenschutzfreundlicher Page-Cache ohne externe Requests
  • WP Super Cache – etabliertes, schlankes Caching-Plugin
  • LiteSpeed Cache – sehr schnell, ideal für LiteSpeed-Server
  • Autoptimize – optimiert HTML, CSS und JS, ohne personenbezogene Daten zu sammeln. Ich habe es auch kurz verwendet, war mit Borlabs Cache aber zufriedener. Das heißt jedoch nicht, dass ich es nicht empfehlen würde. Manchmal passt ein Plugin einfach nicht optimal zu einem Blog oder einer Webseite. Du musst es austesten

Suchmaschinenoptimierung (SEO)

  • Yoast SEO – etabliert, mit Datenschutz-Optionen; ideal für Einsteiger. Das stimmt. Ich verwende es auch
  • The SEO Framework – leichtgewichtig, werbefrei, DSGVO-konform
  • Rank Math – sehr umfangreich, Datenschutzmodus aktivierbar (Tracking deaktivierbar). Ich habe es kurz getestet, hatte dann aber leider Probleme mit der Datenbank. Das lag am Zusammenspiel mit Borlabs Cache. Wie bei Autoptimize schon gesagt, muss es bei dir aber nicht der Fall sein. Plugins muss man immer austesten, ob sie mit den anderen Plugins und deinem Theme kompatibel sind

Sonstiges

5. Rechtliche Pflichtseiten

In Deutschland sind gemäß DSGVO und TMG (Telemediengesetz) folgende Seiten Pflicht:

  • Datenschutzerklärung (inkl. Hosting, Cookies, Plugins)
  • Impressum (vollständige Kontaktdaten, Verantwortlicher)
  • Cookie-Banner (nur bei nicht technisch notwendigen Cookies)

Tipp: Kostenlose Generatoren wie e-recht24.de oder datenschutz-generator.de helfen bei der Erstellung. Ich verwende zum Beispiel datenschutz-generator.de. Sehr gut!

6. Laufende Wartung – Datenschutz ist kein Einmalprojekt

  • WordPress, Themes und Plugins regelmäßig updaten
  • Datenschutzerklärung anpassen, wenn neue Tools hinzugefügt werden
  • Regelmäßige Backups erstellen (möglichst verschlüsselt)

Fazit

Wer WordPress in Deutschland oder der EU betreibt, sollte den Datenschutz nicht als lästige Pflicht, sondern als Qualitätsmerkmal betrachten. Mit dem richtigen Hosting, einer sauberen Installation und den passenden Plugins ist es problemlos möglich, einen Blog oder eine Webseite aufzubauen, die leistungsstark und rechtssicher sind beziehungsweise Besucher:innen Vertrauen geben.

Grüße, Lorenzo

PS: Dieser Blogbeitrag enthält unbezahlte Werbung.

PSS: Du darfst diesen Blogbeitrag hier mit den nachfolgenden Buttons gerne teilen:

3 Kommentare

  1. Danke für den Beitrag, Lorenzo. Da ich noch Anfänger bin, finde ich solche Beiträge immer recht hilfreich. So kann ich vergleichen, ob ich auf dem richtigen Weg bin.

    Antworten

  2. Inhaltlich kann ich das gar nicht beurteilen – das mag schon alles so rechtlich passend sein. Aber wenn ich mir die Liste der Plugins rein quantitativ anschaue und sehe, dass man Cookie-Banner nutzen muss, bin ich froh kein WordPress zu nutzen. 😉
    Grüße

    Antworten

  3. Hallo Lorenzo,

    eine sehr gute Anleitung. Daumen hoch. Allerdings muss ich mal folgendes dazu anmerken:
    – Dogado ist meiner Ansicht nach nicht mehr zu empfehlen. Ich war viele Jahre bei der Tochter Alfahosting, und aufgrund der permanenten Ausfälle und dem inzwischen unfähigen Support musste ich entnervt von dort wegziehen.
    – Ich habe immer die manuelle Installation vorgezogen. Aber es ist auch absolut nichts gegen die 1-Klick-Installation einzuwenden. Wer technisch nicht versiert ist, sollte unbedingt auf die manuelle Installation verzichten.
    – Bei den Cookie-Bannern scheiden sich die Geister, ob du die überhaupt brauchst, wenn du keine Daten woanders hin funkst. Ich habe bei mir keins mehr, da ich keinen Cookie setze, bis auf das technisch notwendige WordPress Session Cookie.
    – Statt Limit Logon Attempts kannst du auch auf eine 2-Faktor-Authentifizierung zurückgreifen.

    Das nur als Anmerkung, nicht als Kritik. Der Artikel ist wirklich gut, mein Freund.

    Antworten

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert