Seit der Einführung der DSGVO 2018 sind Abmahn-Anwälte ein eigener Wirtschaftszweig geworden. Eine fehlerhafte Datenschutzerklärung, ein Tracking-Cookie ohne Consent, ein US-CDN ohne Vertrag — alles Risiken für teure Briefe.

Die gute Nachricht: Wenn du beim Hosting sauber arbeitest, sind 80 % der DSGVO-Hausaufgaben erledigt. Hier ist die komplette Checkliste, was du wirklich brauchst — und was Marketing-Geschwätz ist.

Was die DSGVO konkret will

Im Kern geht es um: Wenn du personenbezogene Daten verarbeitest, musst du das transparent, sicher und mit Rechtsgrundlage tun. „Personenbezogen“ ist dabei mehr als nur Name und E-Mail — auch IP-Adressen, Cookie-IDs und Browser-Fingerprints zählen.

Praktisch bedeutet das für deine WordPress-Site fünf Bereiche, die geregelt sein müssen:

  1. Hoster und Auftragsverarbeitung
  2. Cookie-Consent
  3. Externe Dienste (Schriften, Maps, Videos)
  4. Datenschutzerklärung und Impressum
  5. Sicherheitsmaßnahmen

1. Server-Standort: EU bedeutet nicht automatisch sicher

Klassischer Reflex: „Ich nehm einen deutschen Hoster, dann passt das.“ Stimmt — fast.

Kein Reflex zu US-Anbietern

Ein US-Anbieter wie GoDaddy oder Bluehost ist DSGVO-rechtlich kompliziert, selbst wenn die Server in Frankfurt stehen. Der CLOUD Act erlaubt US-Behörden, auf Daten von US-Unternehmen zuzugreifen — egal wo die Hardware steht. Schrems II hat das EU-US Data Privacy Framework bestätigt, aber das bleibt rechtlich wackelig.

Empfehlung: EU-Anbieter mit EU-Server

Sicher unterwegs bist du mit europäischen Anbietern und europäischem Server-Standort. Klassiker: Raidboxes (Münster), All-Inkl (Friedersdorf), IONOS (Karlsruhe), Hetzner (Falkenstein), mittwald (Espelkamp).

2. AVV mit dem Hoster — kein Optional, sondern Pflicht

Sobald dein Hoster Daten verarbeitet (und das tut er — schon allein durch Server-Logs), brauchst du einen Auftragsverarbeitungsvertrag (AVV). Das ist Pflicht aus Art. 28 DSGVO.

Worauf achten:

  • Verfügbarkeit: Bei seriösen deutschen Hostern als Download im Kundenkonto, oft online abschließbar.
  • Liste der Subunternehmer: Wer hat sonst noch Zugriff (Backup-Provider, Monitoring)?
  • Standort der Subunternehmer: Sind US-Dienste mit dabei? Dann brauchst du Standardvertragsklauseln.

Praxistipp: Speichere den AVV als PDF mit Datum. Bei Anfragen einer Datenschutzbehörde kannst du nachweisen, dass du den Vertrag tatsächlich abgeschlossen hast.

3. Sicherheitsmaßnahmen — was technisch gefordert ist

DSGVO Art. 32 verlangt „angemessene technische und organisatorische Maßnahmen“. Übersetzt für Hosting:

  • SSL/TLS-Verschlüsselung: Jeder Hoster bietet heute Let’s Encrypt — keine Ausrede mehr.
  • Regelmäßige Backups: Datenverlust ist meldepflichtig, daher Pflicht zur Vorsorge.
  • Zugriffsschutz: 2-Faktor-Auth fürs Hoster-Panel, sichere Passwörter.
  • Patch-Management: Server-Software aktuell, OS-Updates regelmäßig.
  • Logging und Monitoring: Wer hat wann was gemacht?

Premium-Hoster mit ISO 27001-Zertifizierung haben das alles standardisiert dokumentiert — Pluspunkt im DSGVO-Audit.

4. Cookies und Tracking — der schwierigste Teil

Hier sehe ich in der Praxis die meisten Fehler. Die Regel ist einfach:

Tracking-Cookies und externe Tracking-Dienste dürfen erst NACH aktiver Einwilligung gesetzt werden.

„Aktiv“ heißt: Der Nutzer klickt auf „Akzeptieren“. Vorausgewählte Häkchen oder „Weiter scrollen heißt zustimmen“ sind nicht erlaubt (EuGH-Urteil Planet49).

Was brauchst du?

  • Cookie-Consent-Plugin: Standards sind Real Cookie Banner (sehr empfehlenswert für DSGVO) oder Borlabs Cookie.
  • Korrekte Konfiguration: Tracker dürfen WIRKLICH erst nach Consent laden. Ausblenden reicht nicht — sie dürfen nicht starten.
  • Kategorien anbieten: Notwendig / Statistik / Marketing — getrennt zustimmbar.

5. Google Fonts: lokal hosten

Ein Klassiker der Abmahnwelle 2022/2023: Google Fonts vom CDN laden. Das überträgt die IP des Besuchers an Google in die USA — ohne Einwilligung. Im Januar 2022 verurteilte das LG München genau das.

Lösung: Google Fonts lokal hosten. Plugin OMGF macht das mit einem Klick. Oder manuell:

  1. Auf fonts.google.com die gewünschte Schrift auswählen
  2. Über google-webfonts-helper die WOFF2-Dateien herunterladen
  3. Ins Theme legen, per @font-face einbinden
  4. Filter im Functions: elementor/frontend/print_google_fonts auf false

6. Externe Dienste: Maps, Videos, Social Embeds

Jedes externe Embed lädt potenziell Cookies und überträgt IPs. Drei Strategien:

  • Consent-Lösung: Inhalte erst nach Klick laden („Inhalt von YouTube laden“)
  • Lokale Alternative: Statt Google Maps z. B. OpenStreetMap mit Leaflet
  • Self-Hosted: Videos auf eigenem Server statt YouTube-Embed

Plugin-Empfehlung: Real Cookie Banner hat „Content Blocker“ für YouTube, Vimeo, Maps eingebaut.

7. E-Mail-Versand DSGVO-konform

Kontaktformulare, Newsletter, Bestellbestätigungen — alle versenden personenbezogene Daten. Drei Punkte:

  • SMTP statt PHP-mail(): Plugin FluentSMTP oder Post SMTP. Saubere Verschlüsselung, AVV mit dem Mail-Provider.
  • Newsletter-Tools: Brevo (DE-Server), CleverReach (DE), Mailjet (FR) statt Mailchimp (US).
  • Double-Opt-In: Pflicht für Newsletter — keine Ausnahmen.

8. Datenschutzerklärung und Impressum

Beides ist von jeder Seite aus erreichbar zu verlinken (meist im Footer). Die Datenschutzerklärung muss alle eingesetzten Dienste auflisten — Hoster, CDN, Analytics, Embed-Dienste, Plugins mit externen Verbindungen.

Generatoren wie eRecht24 oder Datenschutz-Generator.de liefern brauchbare Templates. Plugin WP Auto-Datenschutz oder iubenda für automatisches Update bei Änderungen.

9. Was ein DSGVO-tauglicher Hoster anbieten muss

Checkliste für deinen Hoster-Vergleich:

  • Server-Standort EU (Deutschland ideal)
  • AVV als Download verfügbar
  • SSL inklusive (Let’s Encrypt)
  • Tägliche Backups
  • Verschlüsselte Verbindung zum Backend (HTTPS, SFTP)
  • Trennung der Kunden-Daten (kein gemeinsamer DB-User)
  • ISO-27001-Zertifizierung als Bonus
  • Klare Privacy-Policy des Hosters
  • EU-rechtlicher Sitz des Anbieters

Was du NICHT brauchst

Marketing-Slogans, die nichts wert sind:

  • „DSGVO-zertifiziert“ — gibt es offiziell so nicht
  • „BSI-Grundschutz“ — meist Selbstauskunft, nicht zertifiziert
  • „100 % Datensicherheit“ — gibt es nicht

Praktischer Ablauf

Wenn du DSGVO-Hygiene neu aufsetzt:

  1. Hoster wählen mit EU-Sitz und AVV-Verfügbarkeit
  2. AVV abschließen, PDF speichern
  3. SSL aktivieren, alles auf HTTPS
  4. Cookie-Banner installieren und konfigurieren
  5. Google Fonts lokal hosten
  6. Externe Embeds mit Consent-Schicht versehen
  7. SMTP-Versand einrichten
  8. Datenschutzerklärung + Impressum erstellen, im Footer verlinken
  9. Verarbeitungsverzeichnis intern dokumentieren
  10. Bei sensiblen Daten: TOM (technisch-organisatorische Maßnahmen) dokumentieren

Klingt nach Arbeit — ist es auch, einmalig 1–2 Tage. Danach läuft es. Und du schläfst ruhiger.