WP Rocket gehört zu den beliebtesten Caching-Plugins für WordPress – und aus Datenschutzsicht ist es eine der angenehmeren Überraschungen. Im Grundbetrieb passiert datenschutzrechtlich nichts, was dich beschäftigen müsste. Wer aber bestimmte optionale Funktionen aktiviert, hat konkrete Pflichten.
Überblick
Was ist WP Rocket?
WP Rocket ist ein bezahltes WordPress-Plugin des französischen Unternehmens WP Media. Es speichert fertig geladene Seiten zwischen und optimiert Dateien wie CSS und JavaScript, damit deine Website schneller lädt. Die Einrichtung funktioniert ohne technisches Vorwissen direkt im WordPress-Adminbereich.
WP Rocket – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟢 | WP Rocket setzt keine Cookies für Website-Besucher. |
| Externe Verbindungen | 🟡 | Nur wenn du RocketCDN, Cloudflare oder Sucuri aktivierst. |
| Datenschutzerklärung | 🟡 | Nur nötig wenn du RocketCDN, Cloudflare, Sucuri oder die RUCSS-Funktion aktivierst. |
| Drittlandtransfer | 🟡 | Nur bei aktiviertem Cloudflare-Addon oder RocketCDN – beide übertragen Daten in die USA. |
| Auftragsverarbeitung | 🟢 | Kein Vertrag nötig – WP Rocket verarbeitet keine personenbezogenen Besucherdaten. |
| Benutzereingaben | 🟢 | WP Rocket verarbeitet keine Eingaben von Website-Besuchern. |
Datenverarbeitung
Was macht WP Rocket mit den Daten deiner Besucher?
WP Rocket arbeitet im Hintergrund deines Servers – es speichert fertige HTML-Seiten zwischen, damit dein Server sie nicht bei jedem Besuch neu zusammenbauen muss. Dabei berührt das Plugin die Daten deiner Besucher nicht. Keine Cookies, keine Verbindungen zu fremden Servern, keine Weiterleitung von Besucherdaten.
Eine Ausnahme gibt es: Die Funktion „Nicht verwendetes CSS entfernen“ schickt technische Seitendaten von deinem Server an einen eigenen WP-Media-Server, damit das CSS dort verarbeitet werden kann. Dabei werden keine personenbezogenen Daten übertragen – nur HTML- und CSS-Strukturen deiner Seiten. Diese Übertragung passiert server-zu-server und ist für Besucher nicht sichtbar.
Anders sieht es aus, wenn du RocketCDN, Cloudflare oder Sucuri über WP Rocket aktivierst. Diese Dienste liefern Dateien deiner Website über ihre eigenen Server aus – dabei sehen sie die IP-Adressen deiner Besucher. Das ist datenschutzrechtlich relevant und muss in der Datenschutzerklärung stehen.
Cookies
Setzt WP Rocket Cookies auf meiner Website?
WP Rocket setzt keine Cookies für Website-Besucher. Du musst dein Cookie-Banner für WP Rocket nicht anpassen und brauchst keine Zustimmung der Besucher einzuholen. Das ist von WP Media offiziell dokumentiert und gilt für den gesamten Funktionsumfang des Plugins.
Externe Verbindungen
Baut WP Rocket Verbindungen zu fremden Servern auf?
Im Grundbetrieb baut WP Rocket keine Verbindungen zu fremden Servern auf, die für deine Besucher sichtbar wären. Das Plugin arbeitet lokal auf deinem Server.
Wenn du RocketCDN aktivierst (Einstellung: „Inhaltsnetzwerk aktivieren“ im CDN-Tab), werden Bilder, CSS- und JavaScript-Dateien deiner Website über das StackPath-Netzwerk ausgeliefert. Diese Verbindung ist technisch notwendig für die CDN-Funktion und muss nicht im Cookie-Banner blockiert werden – sie gehört aber in die Datenschutzerklärung.
Wenn du das Cloudflare-Addon aktivierst (Einstellung: „Add-ons > Cloudflare“) oder das Sucuri-Addon aktivierst (Einstellung: „Add-ons > Sucuri“), laufen Anfragen deiner Besucher über die Server dieser Anbieter. Auch diese Verbindungen sind technisch notwendig und müssen nicht im Cookie-Banner blockiert werden – aber sie müssen in der Datenschutzerklärung stehen.
WP Rocket auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Werden Eingaben meiner Website-Besucher an WP Rocket weitergegeben?
WP Rocket verarbeitet keine Eingaben von Website-Besuchern. Das Plugin greift nicht auf Formularfelder, Kommentare oder andere Nutzereingaben zu. Dieser Punkt ist für WP Rocket nicht relevant.
Drittlandtransfer
Werden durch WP Rocket Daten in die USA übertragen?
Im Grundbetrieb überträgt WP Rocket keine Daten in die USA. WP Media sitzt in Frankreich, alle Kerndaten bleiben auf europäischen Servern.
Wenn du das Cloudflare-Addon aktivierst (Einstellung: „Add-ons > Cloudflare“), werden Besucherdaten an Cloudflare Inc. mit Sitz in den USA übertragen. Cloudflare hat mit der EU Vereinbarungen zur Datenübertragung getroffen, dennoch muss dieser Transfer in deiner Datenschutzerklärung erwähnt werden.
Wenn du RocketCDN aktivierst (Einstellung: „Inhaltsnetzwerk aktivieren“ im CDN-Tab), werden Dateien deiner Website über StackPath ausgeliefert, einen US-amerikanischen CDN-Anbieter. Auch das muss in der Datenschutzerklärung stehen.
Auftragsverarbeitung
Muss ich mit WP Media einen Vertrag zur Datenverarbeitung abschließen?
WP Rocket verarbeitet keine personenbezogenen Daten deiner Besucher. WP Media bietet keinen entsprechenden Vertrag an – und das ist folgerichtig, weil keiner nötig ist. Du musst hier nichts unternehmen.
Datenschutzerklärung
Muss WP Rocket in meine Datenschutzerklärung?
Solange du WP Rocket nur für Caching und Datei-Optimierung nutzt, ohne RocketCDN, Cloudflare, Sucuri oder die Funktion „Nicht verwendetes CSS entfernen“ zu aktivieren, brauchst du keinen Eintrag in der Datenschutzerklärung.
Wenn du RocketCDN oder Cloudflare aktivierst, ändert sich das. Dann übermittelt deine Website Besucherdaten an externe Anbieter mit Servern in den USA. Für die Datenschutzerklärung brauchst du folgende Angaben:
- Zweck: Schnellere Auslieferung von Website-Dateien über ein Inhaltsnetzwerk
- Rechtsgrundlage: Berechtigtes Interesse an einer performanten Website
- Empfänger: StackPath LLC (bei RocketCDN) bzw. Cloudflare Inc. (bei Cloudflare-Addon)
- Drittlandtransfer: Übertragung in die USA
- Speicherdauer: Abhängig von den Einstellungen des jeweiligen Anbieters
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
WP Rocket / RocketCDN – Geschwindigkeitsoptimierung und Inhaltsnetzwerk
Auf dieser Website ist WP Rocket installiert, ein Plugin zur Geschwindigkeitsoptimierung des französischen Anbieters WP Media (Lyon, Frankreich). Im Rahmen der RocketCDN-Funktion werden statische Dateien wie Bilder, CSS- und JavaScript-Dateien über das Netzwerk von StackPath LLC (USA) ausgeliefert.
Dabei wird die IP-Adresse des Besuchers an StackPath übermittelt. Zweck der Verarbeitung ist die schnellere Auslieferung von Website-Inhalten. Rechtsgrundlage ist das berechtigte Interesse an einer performanten und zuverlässigen Website. Eine Übertragung von Daten in die USA findet statt. StackPath hat mit der EU entsprechende Vereinbarungen zur Datenübertragung getroffen. Weitere Informationen findest du in der Datenschutzerklärung von StackPath unter stackpath.com.
Drittanbieter
Mit welchen Diensten lässt sich WP Rocket verbinden?
WP Rocket bietet mehrere optionale Verbindungen zu externen Diensten, die du im Adminbereich aktivieren kannst. Im CDN-Bereich kannst du RocketCDN aktivieren, den eigenen CDN-Dienst von WP Media auf Basis von StackPath, oder ein beliebiges anderes Inhaltsnetzwerk einbinden.
Im Add-ons-Bereich des Plugins stehen Cloudflare und Sucuri zur Verfügung. Cloudflare ist ein US-amerikanischer Dienst für Sicherheit und Performance, Sucuri ein auf Website-Sicherheit spezialisierter Anbieter. Keiner dieser Dienste ist nach der Installation von WP Rocket automatisch aktiv – du musst sie bewusst einschalten.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu WP Rocket?
WP Super Cache ist eine kostenlose Alternative, die denselben Kernzweck erfüllt: Seiten zwischenspeichern und schneller ausliefern. Das Plugin stammt von Automattic, wird aktiv gewartet und kommt ohne externe Serververbindungen, ohne SaaS-Dienste und ohne CDN-Addons aus.
Es lässt sich ohne technische Vorkenntnisse einrichten und ist direkt über das WordPress-Plugin-Verzeichnis verfügbar. Aus reiner Datenschutzsicht ist WP Super Cache die unkompliziertere Wahl.
Fehler
Typische Datenschutzfehler mit WP Rocket
Der häufigste Fehler: RocketCDN oder das Cloudflare-Addon werden bei der Einrichtung aktiviert und dann vergessen – ohne dass die Datenschutzerklärung aktualisiert wurde. Beide Funktionen übertragen Besucherdaten an US-amerikanische Server, das muss dokumentiert sein.
Ein weiterer Fehler: Die Funktion „Nicht verwendetes CSS entfernen“ wird aktiviert, ohne zu wissen, dass dabei Seitendaten an einen externen WP-Media-Server übertragen werden. Auch das gehört in die Datenschutzerklärung, sobald du diese Funktion nutzt.
Wer WP Rocket nur für einfaches Seiten-Caching nutzt, ohne diese Funktionen zu aktivieren, hat aus Datenschutzsicht nichts zu tun.
DSGVO-Check
So erkennst du, ob WP Rocket auf deiner Website aktiv ist
WP Rocket setzt keine Cookies und baut im Grundbetrieb keine externen Verbindungen auf, die du im Browser direkt sehen würdest. Das Plugin verrät sich nicht durch Cookie-Namen oder auffällige Domains in den Netzwerkanfragen deines Browsers.
Ein automatischer Datenschutz-Scan kann direkt prüfen, ob WP Rocket auf deiner Website installiert ist und welche seiner Funktionen aktiv sind – und ob dabei Verbindungen zu externen Diensten wie RocketCDN oder Cloudflare aufgebaut werden.
Quellen und weiterführende Links
- WP Rocket – offizielle Website
- WP Rocket – Knowledge Base
- WP Rocket – DSGVO-Compliance (offizielle Aussage)
- WP Rocket – RocketCDN Dokumentation
- WP Rocket – SaaS-Dienst und Remove Unused CSS
- WP Super Cache – WordPress.org Plugin-Seite
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.