Avada ist datenschutzrechtlich kein Problemfall, aber auch keine sorglose Angelegenheit. Das Theme selbst sammelt keine Besucherdaten und setzt keine zustimmungspflichtigen Cookies. Trotzdem gibt es zwei Punkte, die du aktiv einstellen musst: Google Fonts lädt Avada standardmäßig über Google-Server, und wer YouTube-Videos, Google Maps oder ähnliche Inhalte einbettet, baut damit externe Verbindungen auf, die im Cookie-Banner blockiert werden müssen.
Überblick
Was ist Avada?
Avada ist das meistverkaufte WordPress-Theme auf ThemeForest und wird von ThemeFusion entwickelt. Es kombiniert ein Theme mit einem vollständigen Page-Builder (Fusion Builder), einem Header- und Footer-Builder sowie einem integrierten Formular-Builder. Website-Betreiber können damit Seiten, Shops und Landingpages per Drag-and-Drop gestalten, ohne Code schreiben zu müssen.
Avada – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟢 | Avada setzt keine zustimmungspflichtigen Cookies auf Besucherebene. |
| Externe Verbindungen | 🟡 | Google Fonts lädt standardmäßig über Google; YouTube, Maps und andere Embeds entstehen je nach eingesetzten Elementen. |
| Datenschutzerklärung | 🟢 | Avada selbst muss nicht in die Datenschutzerklärung – eingebundene Dienste schon. |
| Drittlandtransfer | 🟡 | Entsteht, wenn Google Fonts über CDN geladen oder Drittanbieter-Embeds aktiviert werden. |
| Auftragsverarbeitung | 🟢 | ThemeFusion empfängt keine Besucherdaten, kein Vertrag erforderlich. |
| Benutzereingaben | 🔴 | Avada Forms ermöglicht Kontakt- und andere Formulare direkt im Theme. |
Datenverarbeitung
Was verarbeitet Avada datenschutzrechtlich?
Avada selbst verarbeitet keine Besucherdaten für ThemeFusion. Alle Daten, die über Avada entstehen, bleiben auf deinem eigenen Server oder fließen direkt zu den Drittanbietern, deren Inhalte du eingebettet hast. ThemeFusion bekommt davon nichts. Das macht Avada als Theme selbst datenschutzrechtlich unkritisch – der Handlungsbedarf liegt aber in zwei Bereichen: bei den externen Verbindungen, die Avada standardmäßig oder bei Aktivierung aufbaut, und bei den Formularen, die Avada direkt mitliefert.
Konkret bedeutet das: Sobald du auf deiner Website ein YouTube-Video, eine Google-Karte oder einen Facebook-Feed mit Avada-Elementen einbettest, baut deine Website beim Seitenaufruf automatisch eine Verbindung zu den Servern dieser Anbieter auf – bevor der Besucher irgendetwas getan hat. Das erfordert einen korrekt konfigurierten Cookie-Banner. Google Fonts sind ein Sonderfall: Avada lädt sie standardmäßig über Google-Server, bietet aber eine Einstellung, die das Laden auf deinen eigenen Server umstellt.
Cookies
Setzt Avada Cookies, die eine Zustimmung brauchen?
Avada setzt keine zustimmungspflichtigen Cookies auf Besucherebene. Wenn du die eingebaute Datenschutz-Zustimmungsfunktion von Avada aktivierst (unter Avada › Einstellungen › Datenschutz), setzt das Theme den Cookie privacy_embeds.
Dieser Cookie speichert die Entscheidung des Besuchers, welchen eingebetteten Drittanbieter-Inhalten er zugestimmt hat. Er ist funktional notwendig für diese Funktion und braucht keine eigene Zustimmung im Cookie-Banner.
Externe Verbindungen
Baut Avada externe Verbindungen zu fremden Servern auf?
Avada lädt standardmäßig Google Fonts und Font Awesome über die Google-Server. Dabei wird die IP-Adresse des Besuchers an Google übertragen. Du kannst das abstellen: Geh zu Avada › Einstellungen › Datenschutz und stelle die Option „Google- und Font-Awesome-Schriften“ auf „Lokal“. Avada lädt die Schriften dann von deinem eigenen Server – die Verbindung zu Google entfällt komplett. Dein Cookie-Banner muss diese Verbindung blockieren, bis der Besucher zustimmt, solange du sie nicht auf lokal umgestellt hast.
Zusätzlich bietet der Fusion Builder Elemente für YouTube-Videos, Vimeo, Google Maps, Facebook-Timelines, Twitter, Flickr und SoundCloud. Sobald du eines dieser Elemente auf einer Seite einsetzt, baut deine Website beim Seitenaufruf eine Verbindung zu den jeweiligen Servern auf. Dein Cookie-Banner muss diese Verbindungen blockieren, bis der Besucher zustimmt. Avada bringt dafür eine eigene Zustimmungsfunktion mit: Unter Avada › Einstellungen › Datenschutz › Zustimmungstypen kannst du festlegen, für welche dieser Dienste eine Zustimmung eingeholt werden soll. Alternativ übernimmt das dein bestehender Cookie-Banner-Dienst.
Avada auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Verarbeitet Avada Eingaben von Website-Besuchern?
Avada enthält einen integrierten Formular-Builder (Avada Forms), mit dem du Kontaktformulare, Anmeldeformulare und andere Formulare direkt im Theme anlegen kannst. Besucher können dort ihren Namen, ihre E-Mail-Adresse und weitere Angaben eintragen.
Diese Daten werden in deiner WordPress-Datenbank auf deinem eigenen Server gespeichert – ThemeFusion bekommt sie nicht zu sehen. Du bist als Website-Betreiber selbst dafür verantwortlich, wie du mit diesen Daten umgehst. Direkt beim Formular muss ein Hinweis stehen, dass du die eingetragenen Daten verarbeitest, und du musst in deiner Datenschutzerklärung erklären, zu welchem Zweck du das tust.
Drittlandtransfer
Werden durch Avada Daten in die USA übertragen?
Eine Datenübertragung in die USA entsteht, sobald du Google Fonts über das Google-CDN lädst oder Drittanbieter-Embeds wie YouTube, Google Maps oder Facebook aktivierst. In diesen Fällen verbindet sich die Website deiner Besucher mit Servern dieser Anbieter, die teilweise in den USA stehen. ThemeFusion selbst überträgt keine Besucherdaten – der Drittlandtransfer kommt ausschließlich durch die eingebetteten Dienste zustande. Wenn du Google Fonts auf deinen eigenen Server umstellst und keine Drittanbieter-Embeds einsetzt, entsteht kein Drittlandtransfer durch Avada.
Auftragsverarbeitung
Muss ich mit ThemeFusion einen Vertrag abschließen?
ThemeFusion empfängt keine Daten von Website-Besuchern deiner Seite. Avada ist ein Theme, das auf deinem eigenen Server läuft – ThemeFusion hat keinen Zugriff auf deine Besucher-Daten und bietet keinen Vertrag zur Auftragsverarbeitung an. Ein solcher Vertrag ist daher nicht erforderlich.
Anders verhält es sich mit den Drittanbietern, deren Inhalte du über Avada einbettest: Google, YouTube, Facebook und andere benötigen jeweils einen eigenen Vertrag zur Auftragsverarbeitung, soweit das nach deren Geschäftsbedingungen vorgesehen ist.
Datenschutzerklärung
Muss Avada in der Datenschutzerklärung stehen?
Avada selbst muss nicht in deine Datenschutzerklärung. ThemeFusion verarbeitet keine Besucherdaten, und das Theme läuft vollständig auf deinem eigenen Server. Es gibt daher keinen eigenen Eintrag für Avada oder ThemeFusion in der Datenschutzerklärung.
Für die Dienste, die du über Avada einbindest – Google Fonts (wenn über Google geladen), YouTube, Google Maps, Facebook, Vimeo und andere – brauchst du dagegen jeweils eigene Einträge in deiner Datenschutzerklärung. Gleiches gilt für deine Kontaktformulare: In der Datenschutzerklärung musst du beschreiben, welche Daten du über Formulare sammelst, zu welchem Zweck und wie lange du sie speicherst.
Drittanbieter
Mit welchen Diensten lässt sich Avada verbinden?
Der Fusion Builder von Avada enthält fertige Elemente für eine Reihe von Drittanbieter-Diensten, die du per Klick auf jeder Seite einsetzen kannst. Im Bereich Medien und Inhalte sind das YouTube, Vimeo, SoundCloud und Flickr. Für Karten und soziale Netzwerke stehen Google Maps, Facebook-Timelines und Twitter zur Verfügung.
Avada ist außerdem vollständig mit WooCommerce integriert und bringt einen eigenen WooCommerce-Builder mit, mit dem du Shop-Seiten, Produktseiten und den Checkout gestalten kannst. Weitere Plugin-Integrationen bestehen mit Yoast SEO, The Events Calendar, bbPress und WPML.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu Avada?
Avada schneidet in den entscheidenden Datenschutz-Feldern bereits gut ab: keine eigenen Tracking-Cookies, externe Verbindungen abschaltbar, kein Datentransfer zu ThemeFusion. Themes wie Kadence oder GeneratePress haben in diesen Punkten keine messbaren Vorteile – Google Fonts lassen sich auch dort per Einstellung deaktivieren, und Drittanbieter-Embeds entstehen dort ebenfalls nur bei Aktivierung. Ein datenschutzfachlicher Grund, Avada zu ersetzen, ergibt sich aus der Recherche nicht.
Fehler
Typische Datenschutz-Fehler beim Einsatz von Avada
Der häufigste Fehler ist, Google Fonts auf der Google-CDN-Einstellung zu belassen. Avada stellt Google Fonts standardmäßig über Google-Server bereit. Wer das nicht aktiv auf „Lokal“ umstellt (Avada › Einstellungen › Datenschutz › Google- und Font-Awesome-Schriften), überträgt bei jedem Seitenaufruf die IP-Adresse des Besuchers an Google – ohne dass der Besucher dem zugestimmt hat.
Ein weiterer Fehler ist das Einbetten von YouTube-Videos, Google Maps oder Facebook-Inhalten, ohne den Cookie-Banner entsprechend zu konfigurieren. Diese Verbindungen entstehen beim Laden der Seite, nicht erst beim Klick. Wer sie nicht blockiert, bis der Besucher zugestimmt hat, verstößt gegen die Anforderungen an einen datenschutzkonformen Cookie-Banner.
Dritter typischer Fehler: Kontaktformulare mit Avada Forms einrichten, aber vergessen, die Datenschutzerklärung um einen Abschnitt zur Formular-Datenverarbeitung zu ergänzen und direkt beim Formular einen Hinweis auf die Datenschutzerklärung zu platzieren.
DSGVO-Check
Wie erkennst du, ob Avada auf deiner Website Datenschutzprobleme verursacht?
Avada lässt sich nicht über einen Cookie-Namen direkt erkennen, aber du kannst prüfen, ob deine Website externe Verbindungen aufbaut, die Avada verursacht. Öffne deine Website im Browser und prüfe im Netzwerk-Tab der Entwicklertools (F12), ob beim Laden der Seite Verbindungen zu fonts.googleapis.com oder fonts.gstatic.com aufgebaut werden. Wenn ja, lädt Avada Google Fonts noch über Google-Server und du musst die Einstellung auf „Lokal“ umstellen.
Prüfe außerdem, ob Verbindungen zu Domains wie youtube.com, maps.googleapis.com, facebook.com oder vimeo.com ohne vorherige Zustimmung entstehen. Wenn dein Cookie-Banner diese Verbindungen nicht blockiert, bis der Besucher zugestimmt hat, besteht Handlungsbedarf.
Am einfachsten prüfst du das mit einem automatischen Datenschutz-Scan, der deine Website direkt analysiert und zeigt, welche externen Verbindungen ohne Zustimmung entstehen.
Quellen und weiterführende Links
- Avada – offizielle Website
- Avada Help Center
- DSGVO und Avada Privacy Tools – offizielle Dokumentation
- Datenschutz und Zustimmung in Avada – offizielle Dokumentation
- Avada Privacy Bar – offizielle Dokumentation
- Typografie-Einstellungen in Avada – offizielle Dokumentation
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.