Wenn Du eine WordPress-Website betreibst, bist Du nach der Datenschutz-Grundverordnung (DSGVO) in vielen Fällen verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu führen. Dabei geht es nicht nur um den Datenschutz „hinter den Kulissen“, sondern auch ganz konkret um die Tools, Plugins und Formularlösungen, die Du auf Deiner Seite einsetzt. In diesem Artikel erfährst Du, was ein VVT ist, wann es verpflichtend wird und wie Du typische WordPress-Verarbeitungen korrekt dokumentierst – inklusive hilfreicher Beispiele und Empfehlungen.
Was ist ein Verzeichnis von Verarbeitungstätigkeiten (VVT)?
Das VVT ist laut Art. 30 DSGVO eine Übersicht aller Prozesse, bei denen Du auf Deiner Website personenbezogene Daten verarbeitest. Dazu gehören unter anderem:
- Kontaktformulare
- Newsletter-Anmeldungen
- Tracking- und Analyse-Tools
- Benutzerregistrierungen
- Kommentarfunktionen
- Sicherheits-Plugins (z. B. Loginversuche)
Das VVT dokumentiert also WER (Du als Verantwortlicher oder Dienstleister) WAS, WARUM, WIE und WIE LANGE verarbeitet – und mit WEM ggf. Daten geteilt werden.
Wann brauchst Du ein VVT?
Du brauchst ein VVT, wenn Du regelmäßig und automatisiert personenbezogene Daten verarbeitest. Das betrifft so gut wie alle Betreiber von WordPress-Webseiten – insbesondere, wenn Du:
- ein Kontaktformular anbietest,
- Google Analytics, Matomo oder ähnliche Tools nutzt,
- Newsletter-Dienste wie Mailchimp oder Brevo (ehem. Sendinblue) einsetzt,
- ein Mitgliedersystem betreibst (z. B. WooCommerce, BuddyPress, LMS-Plugins),
- personenbezogene IP-Adressen durch Sicherheitsplugins wie Wordfence oder Antispam Bee verarbeitest.
Fazit: Als Website-Betreiber kommst Du in der Regel um ein VVT nicht herum.
Was muss ins VVT? – Typische Einträge für WordPress-Websites
Hier einige konkrete Beispiele, die Du für Deine WordPress-Seite dokumentieren solltest:
1. Kontaktformular (z. B. mit WPForms, Contact Form 7 oder Formidable Forms)
- Zweck: Kontaktaufnahme durch Besucher
- Datenkategorien: Name, E-Mail-Adresse, Nachrichtentext, IP-Adresse
- Empfänger: Webhoster, ggf. E-Mail-Dienstleister
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme)
- Speicherdauer: bis zur Bearbeitung abgeschlossen oder gemäß gesetzlicher Vorgaben
2. Newsletter-Anmeldung (z. B. mit MailPoet, Mailchimp, Brevo)
- Zweck: Versand von Newslettern
- Datenkategorien: Name, E-Mail-Adresse, Opt-In-Datum, IP-Adresse
- Empfänger: Newsletter-Dienstleister
- Rechtsgrundlage: Einwilligung, Art. 6 Abs. 1 lit. a DSGVO
- Speicherdauer: bis Widerruf oder Austragung
3. Webanalyse (z. B. Matomo, Google Analytics)
- Zweck: Reichweitenanalyse
- Datenkategorien: IP-Adresse (gekürzt oder pseudonymisiert), Verhalten auf der Website
- Empfänger: Anbieter der Analysesoftware, ggf. Hosting-Anbieter
- Rechtsgrundlage: Einwilligung, Art. 6 Abs. 1 lit. a DSGVO (über Cookie-Banner)
- Speicherdauer: individuell je nach Tool (oft 14 bis 26 Monate)
4. Sicherheits-Plugins (z. B. Wordfence, iThemes Security)
- Zweck: Schutz vor Angriffen, Login-Überwachung
- Datenkategorien: IP-Adresse, Login-Versuche, Benutzername
- Empfänger: Sicherheitsdienstleister
- Rechtsgrundlage: berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO
- Speicherdauer: individuell, z. B. 7–30 Tage
Praktische Tipps: So führst Du Dein VVT effizient
✅ Nutze Vorlagen
Zahlreiche Datenschutz-Generatoren und Kanzleien bieten VVT-Vorlagen als Word- oder Excel-Dateien an. Für WordPress-Websites findest Du sogar spezialisierte Versionen (z. B. bei eRecht24 Premium, datenschutz-generator.de oder Datenschutzkanzleien wie Spreu24).
✅ Plugins als Hilfe nutzen
Einige Datenschutz-Plugins wie Complianz oder WP DSGVO Tools bieten interne Listen mit Verarbeitungstätigkeiten, die Du exportieren und für das VVT verwenden kannst.
✅ Regelmäßig aktualisieren
Installierst Du ein neues Plugin oder führst Du neue Formulare ein, muss das VVT angepasst werden. Achte auch auf Änderungen bei Drittanbietern (z. B. Serverstandort, Subunternehmer).
SEO-Hinweis: Warum das VVT auch indirekt Deine Sichtbarkeit stärkt
Ein korrekt geführtes VVT trägt zur Rechtssicherheit und Transparenz bei – beides wichtige Punkte für Vertrauen bei Nutzern und damit für Conversions. Zudem hilft es Dir, beim Einsatz von Cookies und Tracking-Diensten sauber zwischen berechtigtem Interesse und Einwilligung zu unterscheiden – was wiederum positive Auswirkungen auf die Ladezeit, Bounce-Rate und DSGVO-konforme Rankings haben kann.
Fazit: Das VVT gehört zur WordPress-Website wie das Impressum
Auch wenn es zunächst nach Bürokratie klingt: Das Verzeichnis von Verarbeitungstätigkeiten schützt nicht nur Deine Besucher, sondern auch Dich als Website-Betreiber. Je klarer Du dokumentierst, welche Daten Du wie und warum verarbeitest, desto besser kannst Du im Fall einer Datenschutzprüfung reagieren – und umso mehr Vertrauen vermittelst Du.
Wenn Du WordPress-Plugins bewusst auswählst und die wichtigsten Tools dokumentierst, bist Du auf der sicheren Seite.