Eine Schritt-für-Schritt-Anleitung für Deutschland und Europa
Einleitung
WordPress ist das weltweit beliebteste Content-Management-System und auch in Deutschland weit verbreitet. Wer hier einen Blog oder eine Webseite betreibt, muss jedoch nicht nur auf Design und Funktion, sondern auch auf den Datenschutz gemäß der Datenschutz-Grundverordnung (DSGVO) achten.
In diesem Leitfaden erfährst du, wie du WordPress datenschutzfreundlich installierst, den passenden Hoster auswählst und mithilfe der richtigen Plugins rechtlich auf der sicheren Seite bleibst.
1. Hosting – die Grundlage für Datenschutz
Wenn du eine WordPress-Installation haben willst, die den Vorgaben der DSGVO entspricht, dann ist der erste Schritt die Wahl eines Hosting-Anbieters. Dieser Server muss sich in Deutschland oder der EU befinden. Außerdem brauchst du eine Auftragsverarbeitungsvereinbarung, die klar definiert, was der Anbieter mit deinen Daten machen darf.
Empfohlene deutsche Hoster:
- Netcup (DE)
- Hetzner (DE)
- All-Inkl (DE)
- Webgo (DE)
- Dogado (DE)
- Mittwald (DE)
- Strato (DE)
- IONOS von 1&1 (DE)
- Raidboxes (DE, spezialisiert auf WordPress)
Tipp: Vermeide US-Hoster oder Anbieter mit Datenübermittlung in Drittländer ohne ausreichende Garantien (Stichwort: Schrems II). Das reduziert rechtliche Risiken.
Ich persönlich nutze seit Ende Januar einen Speicherplatz auf dem eigenen Server meines Bekannten André Grellmann, der bei Netcup gehostet wird. Er hat mir den Platz und das komplette Hosting angeboten. Das heißt, er hostet meine Domains, Webseiten und E-Mails. Da konnte ich nicht Nein sagen. Ich bezahle einen Freundschaftspreis. Neben Hetzner, All-Inkl und Webgo ist Netcup im Allgemeinen sehr zu empfehlen, da es sich um einen sehr guten Anbieter handelt, der seinen Kunden einen hervorragenden Service bietet.
2. WordPress installieren – sicher und sauber
Du hast zwei Möglichkeiten:
- 1-Klick-Installation über den Hoster (schnell, aber oft mit vorinstallierten Plugins)
- Manuelle Installation von wordpress.org (sauber, maximale Kontrolle)
Manuelle Installation – Schritt-für-Schritt:
- WordPress von wordpress.org herunterladen
- Per FTP auf deinen Webspace hochladen
- MySQL/MariaDB-Datenbank anlegen
- Installationsskript im Browser starten (
deine-domain.com/wp-admin/install.php)
3. Grundkonfiguration – Datenschutz von Anfang an
- HTTPS aktivieren (kostenloses Let’s Encrypt-Zertifikat, was ich auch verwende)
- Vorinstallierte Plugins prüfen und unnötige löschen
- Benutzername nicht „admin“ wählen
- Standard-Theme durch eigenes oder Child-Theme ersetzen. Ein Child-Theme ist ein untergeordnetes Theme in WordPress, das das Design und die Funktionen eines Parent-Themes (übergeordnetes Theme) erbt, aber eigene Anpassungen ermöglicht. Der Vorteil dabei ist, dass du Änderungen am Design oder Code vornehmen kannst, ohne dass diese bei einem Update des Parent-Themes überschrieben werden
4. DSGVO-konforme Plugins – meine Empfehlungen
Cookie- und Consent-Management
- Borlabs Cookie (DE, kostenpflichtig) – blockiert Skripte bis Zustimmung erfolgt. Das verwende ich zum Beispiel. Es ist sehr empfehlenswert, auch wenn es für Anfänger:innen schon etwas überdimensioniert ist
- Complianz – erkennt Cookies automatisch, mehrsprachig
- Real Cookie Banner (DE) – detaillierte Konfiguration für deutsche Rechtslage
Statistik und Analyse
- Statify – datenschutzfreundlich, keine Cookies. Wie ich vor ein paar Tagen ja schon ausführlich geschrieben habe, verwende ich das auch. Absolut zu empfehlen! Ich liebe dieses Plugin einfach 😍
- Matomo (Selbstgehostet) – Eine datenschutzfreundliche und Open-Source-Alternative zu Google Analytics, die aber auch mächtig ist
Sicherheit
- Antispam Bee (DE) – ohne externe US-Dienste. Das verwende ich auch. Ebenfalls sehr zu empfehlen! Ich liebe es auch 😎
- Two-Factor – offizielles WordPress-Plugin zur 2-Faktor-Authentifizierung (per E-Mail, App oder Token), erhöht die Login-Sicherheit erheblich. Das benutze ich auch. Ich empfehle es!
- Limit Login Attempts Reloaded – Schutz vor Brute-Force-Angriffen
Caching und Performance
- Borlabs Cache (DE) – leistungsstarker Page-Cache, DSGVO-freundlich und einfach konfigurierbar. Es gibt eine kostenlose und eine kostenpflichtige Variante davon. Ich verwende die kostenpflichtige Variante, aber in vielen Fällen reicht die kostenlose schon aus. Beide Varianten sind auf jeden Fall empfehlenswert
- Cache Enabler – schlanker, datenschutzfreundlicher Page-Cache ohne externe Requests
- WP Super Cache – etabliertes, schlankes Caching-Plugin
- LiteSpeed Cache – sehr schnell, ideal für LiteSpeed-Server
- Autoptimize – optimiert HTML, CSS und JS, ohne personenbezogene Daten zu sammeln. Ich habe es auch kurz verwendet, war mit Borlabs Cache aber zufriedener. Das heißt jedoch nicht, dass ich es nicht empfehlen würde. Manchmal passt ein Plugin einfach nicht optimal zu einem Blog oder einer Webseite. Du musst es austesten
Suchmaschinenoptimierung (SEO)
- Yoast SEO – etabliert, mit Datenschutz-Optionen; ideal für Einsteiger. Das stimmt. Ich verwende es auch
- The SEO Framework – leichtgewichtig, werbefrei, DSGVO-konform
- Rank Math – sehr umfangreich, Datenschutzmodus aktivierbar (Tracking deaktivierbar). Ich habe es kurz getestet, hatte dann aber leider Probleme mit der Datenbank. Das lag am Zusammenspiel mit Borlabs Cache. Wie bei Autoptimize schon gesagt, muss es bei dir aber nicht der Fall sein. Plugins muss man immer austesten, ob sie mit den anderen Plugins und deinem Theme kompatibel sind
Sonstiges
- Shariff Wrapper – DSGVO-konforme Social-Media-Buttons. Ich verwende es auch. Empfehlenswert!
- Disable Emojis – verhindert unnötige Requests an WordPress
- Local Google Fonts oder OMGF | Host Google Fonts Locally – bindet Google Fonts lokal ein, verhindert externe Verbindungen und macht die Schriftarten-Nutzung DSGVO-konform
5. Rechtliche Pflichtseiten
In Deutschland sind gemäß DSGVO und TMG (Telemediengesetz) folgende Seiten Pflicht:
- Datenschutzerklärung (inkl. Hosting, Cookies, Plugins)
- Impressum (vollständige Kontaktdaten, Verantwortlicher)
- Cookie-Banner (nur bei nicht technisch notwendigen Cookies)
Tipp: Kostenlose Generatoren wie e-recht24.de oder datenschutz-generator.de helfen bei der Erstellung. Ich verwende zum Beispiel datenschutz-generator.de. Sehr gut!
6. Laufende Wartung – Datenschutz ist kein Einmalprojekt
- WordPress, Themes und Plugins regelmäßig updaten
- Datenschutzerklärung anpassen, wenn neue Tools hinzugefügt werden
- Regelmäßige Backups erstellen (möglichst verschlüsselt)
Fazit
Wer WordPress in Deutschland oder der EU betreibt, sollte den Datenschutz nicht als lästige Pflicht, sondern als Qualitätsmerkmal betrachten. Mit dem richtigen Hosting, einer sauberen Installation und den passenden Plugins ist es problemlos möglich, einen Blog oder eine Webseite aufzubauen, die leistungsstark und rechtssicher sind beziehungsweise Besucher:innen Vertrauen geben.
Grüße, Lorenzo
PS: Dieser Blogbeitrag enthält unbezahlte Werbung.
PSS: Du darfst diesen Blogbeitrag hier mit den nachfolgenden Buttons gerne teilen:
Danke für den Beitrag, Lorenzo. Da ich noch Anfänger bin, finde ich solche Beiträge immer recht hilfreich. So kann ich vergleichen, ob ich auf dem richtigen Weg bin.
Danke, Martin. 🙏
Das freut mich sehr. Genau das wollte ich mit meinem Blogbeitrag erreichen. 👍
Inhaltlich kann ich das gar nicht beurteilen – das mag schon alles so rechtlich passend sein. Aber wenn ich mir die Liste der Plugins rein quantitativ anschaue und sehe, dass man Cookie-Banner nutzen muss, bin ich froh kein WordPress zu nutzen. 😉
Grüße
Hallo Hendrik,
vielen Dank für deinen ehrlichen Kommentar. Ich kann deinen Punkt gut nachvollziehen. Es stimmt: Gerade im WordPress-Umfeld sammeln sich schnell viele Plugins an, und ein Cookie-Banner wirkt auf den ersten Blick wie zusätzlicher Aufwand.
Aber genau hier setzt der Blogbeitrag an. Datenschutzkonformität ist eher eine Frage der sorgfältigen Auswahl und Konfiguration als der Menge der Plugins.
Mit dem richtigen Set an Tools kannst du effizient arbeiten.
Ein Plugin wie Borlabs Cookie oder Complianz übernimmt die Banner-Funktion.
– Zusätzliche Plugins helfen nur, wenn sie tatsächlich nötig sind – und oft lassen sich mehrere Funktionen in einem Plugin bündeln.
Falls du dich von Anfang an gegen WordPress entschieden hast, gibt es natürlich auch einfache statische Seiten-Generatoren (wie Hugo oder 11ty), bei denen du das Banner selbst verwalten kannst – dafür brauchst du beispielsweise nur ein kleines Skript oder eine offene Lösung wie CookieInfo.
Fazit: Datenschutz geht natürlich mit Aufwand einher, aber du kannst ihn minimal halten, indem du Tools bewusst auswählst statt auf Quantität zu setzen.
Grüße, Lorenzo
Hallo Lorenzo,
eine sehr gute Anleitung. Daumen hoch. Allerdings muss ich mal folgendes dazu anmerken:
– Dogado ist meiner Ansicht nach nicht mehr zu empfehlen. Ich war viele Jahre bei der Tochter Alfahosting, und aufgrund der permanenten Ausfälle und dem inzwischen unfähigen Support musste ich entnervt von dort wegziehen.
– Ich habe immer die manuelle Installation vorgezogen. Aber es ist auch absolut nichts gegen die 1-Klick-Installation einzuwenden. Wer technisch nicht versiert ist, sollte unbedingt auf die manuelle Installation verzichten.
– Bei den Cookie-Bannern scheiden sich die Geister, ob du die überhaupt brauchst, wenn du keine Daten woanders hin funkst. Ich habe bei mir keins mehr, da ich keinen Cookie setze, bis auf das technisch notwendige WordPress Session Cookie.
– Statt Limit Logon Attempts kannst du auch auf eine 2-Faktor-Authentifizierung zurückgreifen.
Das nur als Anmerkung, nicht als Kritik. Der Artikel ist wirklich gut, mein Freund.
Hallo Henning,
vielen Dank für dein ausführliches Feedback und das Lob. Es freut mich sehr, dass dir die Anleitung gefällt! 😊
Zu deinen Anmerkungen:
Dogado/Alfahosting: Es tut mir leid, dass du dort schlechte Erfahrungen gemacht hast. So etwas ist natürlich ärgerlich. Ich habe bisher hauptsächlich positive Erfahrungen und Bewertungen gehört, aber das hängt natürlich auch stark von der individuellen Nutzung und den Erwartungen ab.
Manuelle vs. 1-Klick-Installation: Da bin ich ganz deiner Meinung. Für technisch versierte Nutzer:innen bietet die manuelle Installation mehr Kontrolle, für Einsteiger:innen ist die 1-Klick-Variante oft stressfreier.
Cookie-Banner sind tatsächlich ein Dauerbrenner. Rechtlich herrscht nach wie vor Uneinigkeit und die konkrete Pflicht hängt stark vom Einzelfall ab. Wer technisch sicherstellen kann, dass keine unnötigen Cookies gesetzt werden, kann in manchen Fällen darauf verzichten, aber viele setzen lieber auf Nummer sicher.
„Limit Login Attempts” vs. 2FA: Die Zwei-Faktor-Authentifizierung ist tatsächlich eine sehr effektive Sicherheitsmaßnahme – ich habe den Hinweis inzwischen auch in den Artikel aufgenommen. Danke fürs Anstoßen!
Danke noch mal für deine konstruktiven Hinweise, mein Freund – genau solche Kommentare machen einen Blog lebendig. 🙌
Grüße, Lorenzo