WordPress DSG-konform machen in 7 Schritten
Praktische Schritt-für-Schritt-Anleitung für die revDSG-Konformität Ihrer WordPress-Seite. Mit Datenschutzerklärung, Cookie-Banner, lokal gehosteten Google Fonts, Consent-Mode V2, Newsletter-Anpassung, Formular-Absicherung und Verzeichnis Bearbeitungstätigkeiten. In rund 4 Stunden Arbeit machen Sie Ihre Seite rechtskonform.
Bevor Sie anfangen
- Admin-Zugang zu WordPress
- Liste aller genutzten Tools (Analytics, Ads, Newsletter, Chat, Karten, Embeds)
- Geschäftsadresse und Kontakt eines Datenschutz-Verantwortlichen (falls vorhanden)
- Komplettes WordPress-Backup vor den Änderungen (UpdraftPlus oder BlogVault)
- Cookie-Banner-Plugin-Lizenz besorgen (Borlabs Cookie empfohlen, EUR 49)
Datenschutzerklärung mit revDSG-Bezug
Eine Schweizer Datenschutzerklärung enthält gemäss revDSG Art. 19: Name und Kontaktdaten des Verantwortlichen, Bearbeitungszwecke, Empfänger-Kategorien, Daten-Empfänger im Ausland (mit Land und Garantien), Aufbewahrungsdauer, Betroffenenrechte.
Tools für die Erstellung: Datenschutzgenerator.de (mit revDSG-Modul), iubenda, e-recht24. Generator-Output ist immer nur ein Startpunkt, individuelle Anpassung an die wirklich genutzten Tools nötig.
Pro genutztem Drittanbieter (Google Analytics, Meta Pixel, Mailchimp, HubSpot, Calendly, etc.) einen eigenen Absatz mit Anbieter, Zweck, Rechtsgrundlage und Drittlandtransfer.
Datenschutzerklärung als eigene Seite mit Slug /datenschutz anlegen und im Footer prominent verlinken. Auch im Cookie-Banner verlinken.
Cookie-Banner mit echter Wahl
Plugin installieren: Borlabs Cookie (EUR 49 einmalig, intuitiv), Complianz (Free für kleinere Seiten) oder Cookiebot (Abo ab EUR 11/Monat, auch für komplexere Setups).
Banner-Regeln: erscheint vor jeglichem Tracking. Buttons Akzeptieren und Ablehnen müssen gleichwertig sein (gleiche Grösse, Farbe, Position). Nur essentielle als dritte Option.
Kategorisierung: Notwendig (Session-Cookies, ohne Consent), Statistik (Analytics, mit Consent), Marketing (Ads, Meta Pixel, mit Consent), Extern (YouTube, Maps, mit Consent).
Im Plugin Content-Blocker aktivieren. Eingebettete YouTube-Videos, Google Maps oder Vimeo werden dann erst nach Consent geladen. Vorher zeigt der Banner einen Platzhalter mit Aufforderung.
Wichtig: Banner regelmässig (alle 12 Monate oder bei Tool-Änderungen) zurücksetzen, sodass Benutzer erneut zustimmen.
Google Fonts lokal hosten
Google-Fonts-Aufrufe an fonts.googleapis.com gelten als Datentransfer in die USA. Lösung: Schriften lokal hosten.
Plugin CAOS (Host Google Fonts Locally) installieren. Im Plugin-Menü Optimize klicken. Plugin scannt die Seite, findet alle Google-Fonts-Aufrufe, lädt die Dateien herunter und ändert die Quellen.
Manuelle Variante: im Theme-Code alle @import url('https://fonts.googleapis.com/...') entfernen. Schriften via google-webfonts-helper.herokuapp.com herunterladen, in /wp-content/themes/[theme]/fonts/ ablegen, im CSS via @font-face einbinden.
Nach Umstellung mit browser-network-tab prüfen, dass keine Anfragen an fonts.googleapis.com oder fonts.gstatic.com mehr gehen. Auch das Theme und alle Plugins prüfen.
@font-face {
font-family: 'Inter';
src: url('/wp-content/themes/mytheme/fonts/inter-regular.woff2') format('woff2');
font-weight: 400;
font-display: swap;
}Tracking nur nach Consent (Consent-Mode V2)
Google verlangt seit März 2024 für Ads in EU/EEA und neu auch in der Schweiz Consent-Mode V2. Ohne richtige Implementation laufen Conversion-Tracking und Audience-Listen leer.
Empfehlung: Google Tag Manager (GTM) statt direkte Code-Snippets im Theme. Tags lassen sich zentral über Consent-Trigger steuern.
Im Cookie-Banner-Plugin den Consent Mode V2 aktivieren (Borlabs ab v3, Complianz ab v6, Cookiebot nativ). Plugin sendet die richtigen Consent-Signale an GTM.
In GTM die Tags Google Analytics 4, Google Ads Conversion, Meta Pixel mit Trigger-Bedingung Consent für Statistik bzw. Marketing erteilt verknüpfen.
Mit dem GTM Preview-Modus testen: vor Consent dürfen keine GA4-Hits oder Pixel-Calls erscheinen. Nach Klick auf Akzeptieren sofort.
// GTM Default-Consent (vor Banner-Interaktion)
gtag('consent', 'default', {
ad_storage: 'denied',
analytics_storage: 'denied',
ad_user_data: 'denied',
ad_personalization: 'denied',
wait_for_update: 500
});Newsletter mit Double-Opt-In
Plugin oder Service prüfen: MailPoet, Brevo (ex-Sendinblue), Mailchimp, MailerLite. Alle unterstützen Double-Opt-In, muss aber explizit aktiviert werden.
Im Plugin Settings: Confirmation Email bzw. Double-Opt-In einschalten. Nach Anmeldung wird Bestätigungs-Mail verschickt, erst nach Klick auf Link ist Abonnent aktiv.
Wichtig: Anmelde-Quelle, Datum, Uhrzeit und IP-Adresse pro Abonnent loggen. Im Streitfall müssen Sie nachweisen können, wann und wie sich jemand angemeldet hat.
Im Anmelde-Formular eine aktiv ankreuzbare Checkbox für die Newsletter-Einwilligung. Vorausgefüllte Boxen sind nach revDSG ungültig. Text der Checkbox sollte Bezug auf die Datenschutzerklärung enthalten.
In jeder Newsletter-Mail einen funktionierenden Abmelde-Link einbauen. Abmeldung muss innert 24 Stunden umgesetzt werden, mit Bestätigung an den Abonnenten.
Formulare absichern und SSL prüfen
Kontaktformulare durchgehen: nur Felder als Pflicht markieren, die wirklich nötig sind. Name und E-Mail reichen meist. Adresse, Telefon, Geburtsdatum nur wenn relevant.
Bei Kontaktformularen (Gravity Forms, WPForms, Contact Form 7): Spam-Schutz aktivieren. Honeypot-Feld (unsichtbar für User, sichtbar für Bots) als datenschutz-freundliche Alternative zu reCAPTCHA.
Wenn doch reCAPTCHA: nur nach Consent laden (via Cookie-Banner) und in der Datenschutzerklärung erwähnen.
SSL-Zertifikat prüfen: Domain muss durchgehend auf HTTPS laufen. Im WordPress unter Settings, General die URLs auf https:// setzen. Bei Hostpoint, Infomaniak, cyon ist Let's Encrypt automatisch verfügbar.
Mit ssllabs.com/ssltest Domain prüfen. Note A oder besser ist Standard. Note B oder schlechter sofort beheben (alte TLS-Versionen, schwache Cipher).
Verzeichnis Bearbeitungstätigkeiten
Internes Dokument anlegen, das alle Datenbearbeitungen im Unternehmen auflistet. Nach revDSG Art. 12 Pflicht für Unternehmen ab 250 Mitarbeitenden, empfohlen für alle.
Pro Bearbeitung folgende Spalten: Zweck, Kategorien betroffener Personen, Datenkategorien, Empfänger, Aufbewahrungsdauer, technische und organisatorische Massnahmen, Auslandtransfers.
Beispiele für Bearbeitungen: Newsletter-Versand, Kundenkontakt via Kontaktformular, Auftragsabwicklung, Buchhaltung, Personalwesen, Webseiten-Analytics.
Vorlage als Excel oder Google Sheet aufbauen. Datenschutz-Verantwortlicher pflegt das Dokument, idealerweise zweimal pro Jahr Review.
Bei Datenpannen (Hack, Datenleck, falsch verschickte Mail) gemäss revDSG meldepflichtig: an EDÖB melden so rasch wie möglich, bei hohem Risiko auch an Betroffene.
Häufige Fehler vermeiden
Cookie-Banner mit Dark Patterns
Wenn der Ablehnen-Button kleiner, grauer oder versteckt ist als Akzeptieren, gilt die Zustimmung als nicht freiwillig. EDÖB und Konsumentenschutz haben das mehrfach kritisiert. Buttons müssen gleichwertig sein.
Google Fonts via CDN trotz Cookie-Banner
Cookie-Banner schützt nicht vor Fonts-Calls, weil diese schon vor der Banner-Anzeige stattfinden. Fonts müssen entweder lokal gehostet sein oder via Content-Blocker erst nach Consent geladen werden.
Newsletter ohne Double-Opt-In
Single-Opt-In (Anmeldung ohne Bestätigungs-Mail) ist nach revDSG nicht strikt verboten, aber riskant. Im Streitfall können Sie nicht nachweisen, dass der Empfänger zugestimmt hat. Double-Opt-In ist Industrie-Standard.
Datenschutzerklärung nur vom Generator
Generator-Output ist Startpunkt, nicht Endlösung. Wenn Sie Tools nutzen (Hotjar, Calendly, HubSpot, Crisp Chat, etc.) die der Generator nicht kennt, fehlen die Absätze. Auch Subverarbeiter und Drittstaatentransfers müssen genannt sein.
Was wenn etwas nicht klappt?
Cookie-Banner erscheint nicht oder erst spät
Caching-Plugin (WP Rocket, W3 Total Cache) kann den Banner überspringen. Cache leeren und Plugin-Reihenfolge prüfen. Borlabs Cookie hat eine Option Force Cache Bypass. Bei CloudFlare-Cache eine Page-Rule für die Cookie-Banner-JS-Dateien anlegen.
Google Analytics zeigt nach Consent-Mode V2 weniger Daten
Das ist normal. Vor Consent-Mode V2 wurde alles getrackt, jetzt nur noch nach Consent. Verlust 30 bis 60 Prozent je nach Branche ist üblich. Lösung: Server-Side-Tagging via GTM oder Tools wie Plausible/Matomo evaluieren, die ohne Consent funktionieren.
Embeddings (YouTube, Maps) werden nach Consent-Mode nicht geladen
Im Cookie-Banner-Plugin den Content-Blocker für die jeweiligen Anbieter aktivieren und Platzhalter konfigurieren. Bei Borlabs Cookie unter Content Blocker die Sektion YouTube/Maps öffnen und Privacy-Settings setzen.
SSL-Zertifikat zeigt Probleme nach Umstellung
Plugin Really Simple SSL installieren. Es findet automatisch HTTP-Ressourcen, die auf einer HTTPS-Seite eingebunden sind (Mixed Content). Diese werden auf HTTPS umgeschrieben. Nach Plugin-Lauf SSL-Labs erneut testen.
Lieber von uns einrichten lassen?
Wir machen Audit, Datenschutzerklärung, Cookie-Banner-Setup, Google-Fonts-Lokalisierung, Newsletter-Anpassung und 30 Min. Übergabe in einem Rutsch. Ab CHF 580 für ein KMU.
Verwandte Anleitungen und Services
Vertiefen oder direkt machen lassen.
Häufige Fragen
Was unterscheidet revDSG von DSGVO?
revDSG seit 1. September 2023 ist DSGVO-ähnlich, aber milder. Pflichten zu Informationen, Bearbeitungsverzeichnis und Meldungen sind ähnlich. Bussen tiefer (bis CHF 250'000), Auftragsbearbeiter-Verträge weniger formalistisch.
Brauche ich einen Cookie-Banner ohne Tracking?
Wenn wirklich kein Tracking, keine externen Schriften, keine Embeds und keine Marketing-Cookies, dann nein. In der Praxis trifft das aber kaum eine Seite. Sobald Google Fonts via CDN oder eingebettete YouTube-Videos laden, ist Consent nötig.
Was kostet ein Cookie-Banner-Plugin?
Borlabs Cookie EUR 49 einmalig. Complianz Free für kleinere Seiten, Pro EUR 79/Jahr. Cookiebot ab EUR 11/Monat bis EUR 49/Monat. Für KMU meist Borlabs Cookie das beste Preis-Leistungs-Verhältnis.
Wie viel kostet die DSG-Konformitätsprüfung professionell?
Bei AmuraDesign ab CHF 580 für ein KMU mit Standard-WordPress-Seite. Beinhaltet Audit, Cookie-Banner-Setup, Google-Fonts-Lokalisierung, Datenschutzerklärung-Generator, Newsletter-Anpassung und Übergabe.
Wer haftet wenn die Seite nicht DSG-konform ist?
Verantwortlich ist immer der Betreiber, nicht das Webdesign-Studio. Bussen können nach revDSG bis CHF 250'000 betragen, in der Praxis selten. Schwerwiegender ist Reputationsverlust und Klagen.