Wordfence Security gehört zu den meistgenutzten Sicherheits-Plugins für WordPress – und aus Datenschutzsicht ist es kein schwieriger Fall, aber auch kein komplett unbeschriebenes Blatt. Das Plugin setzt keine Cookies, die deine Besucher tracken. Was du trotzdem im Blick haben musst: Im Standard schickt Wordfence die IP-Adressen deiner Besucher an Server in den USA, und dafür brauchst du einen Vertrag mit dem Anbieter sowie einen Eintrag in deiner Datenschutzerklärung.
Überblick
Was ist Wordfence Security?
Wordfence Security ist ein Sicherheits-Plugin für WordPress, das deine Website vor Hackerangriffen, Schadsoftware und unautorisierten Zugriffen schützt. Es enthält eine Firewall, einen Malware-Scanner und Login-Schutzfunktionen wie Zwei-Faktor-Authentifizierung. Anbieter ist Defiant Inc. mit Sitz in Seattle, USA.
Wordfence Security – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟢 | Nur technisch notwendige Cookies für eingeloggte Nutzer – keine Tracking-Cookies für Besucher. |
| Externe Verbindungen | 🟡 | Im Standard werden Besucher-IP-Adressen an US-Server übertragen – mit einer Einstellung deaktivierbar. |
| Datenschutzerklärung | 🔴 | Eintrag erforderlich, weil Defiant Inc. Besucherdaten auf eigenen Servern verarbeitet. |
| Drittlandtransfer | 🟡 | US-Transfer im Standard aktiv – über eine Einstellung abschaltbar. |
| Auftragsverarbeitung | 🔴 | Vertrag mit Defiant Inc. erforderlich – wird automatisch durch Akzeptanz der Nutzungsbedingungen abgeschlossen. |
| Benutzereingaben | 🟢 | Kein Formular für Website-Besucher vorhanden. |
Datenverarbeitung
Welche Daten verarbeitet Wordfence – und wo?
Wordfence arbeitet im Hintergrund deiner Website und prüft jeden Besucher, bevor WordPress überhaupt vollständig geladen ist. Dafür liest das Plugin die IP-Adresse des jeweiligen Besuchers aus und vergleicht sie mit einer zentralen Datenbank bekannter Angreifer. Diese Datenbank liegt auf Servern von Defiant Inc. in den USA. Im Standard schickt Wordfence die IP-Adresse eines Teils deiner Besucher dorthin – um im Gegenzug aktuelle Informationen über bekannte Angreifer zu erhalten.
IP-Adressen gelten als personenbezogene Daten, weil sie im Zweifel einer Person zugeordnet werden können. Das heißt: Diese Übertragung in die USA ist datenschutzrechtlich relevant, solange du sie nicht abschaltest. Die Schutzfunktion von Wordfence – Firewall, Malware-Scan, Login-Schutz – läuft aber auch ohne diese Cloud-Verbindung weiter, nur ohne die laufend aktualisierte Angreifer-Datenbank.
Cookies setzt Wordfence ausschließlich für Nutzer, die sich in deinem WordPress einloggen – also Admins und Redakteure, keine normalen Besucher. Formulare oder andere Eingabemöglichkeiten für Besucher enthält das Plugin nicht.
Cookies
Setzt Wordfence Cookies, die mein Cookie-Banner betreffen?
Wordfence setzt vier Cookies – keiner davon betrifft deine normalen Website-Besucher. Alle Cookies werden ausschließlich für Nutzer gesetzt, die sich in deinem WordPress-Backend einloggen, also Admins, Redakteure und andere Personen mit Login-Zugang.
Alle vier Cookies sind technisch notwendig oder funktional – sie brauchen keine Zustimmung im Cookie-Banner.
Externe Verbindungen
Baut Wordfence Verbindungen zu externen Servern auf?
Im Standard verbindet sich Wordfence mit Servern von Defiant Inc. in den USA. Dabei werden IP-Adressen deiner Besucher übertragen, damit Wordfence sie mit einer laufend aktualisierten Liste bekannter Angreifer abgleichen kann. Diese Verbindung entsteht serverseitig beim Seitenaufruf, bevor dein Cookie-Banner überhaupt greift – ein Cookie-Banner kann sie also nicht blockieren.
Du kannst diese Verbindung aber in den Plugin-Einstellungen abschalten: Gehe in deinem WordPress-Backend zu Wordfence > Alle Optionen > Brute-Force-Schutz > Weitere Optionen und deaktiviere dort die Option Am Echtzeit-Wordfence-Sicherheitsnetzwerk teilnehmen (englisch: „Participate in the Real-Time Wordfence Security Network“). Firewall und Brute-Force-Schutz laufen danach weiter – nur ohne die cloudgestützte Angreifer-Datenbank.
Wenn du diese Einstellung nicht deaktivierst, brauchst du einen Eintrag in deiner Datenschutzerklärung für die Verarbeitung durch Defiant Inc.
Wordfence auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Verarbeitet Wordfence Eingaben meiner Website-Besucher?
Wordfence verarbeitet keine Eingaben von Website-Besuchern. Das Plugin enthält kein Kontaktformular, kein Kommentarformular, keine Newsletter-Anmeldung und keinen Chat. Es arbeitet ausschließlich im Hintergrund und schützt deine Website vor Angriffen – ohne dass Besucher etwas eingeben oder absenden müssen. Dieser Punkt ist für Wordfence nicht relevant.
Drittlandtransfer
Werden durch Wordfence Daten in die USA übertragen?
Wordfence überträgt im Standardbetrieb Besucher-IP-Adressen an Server von Defiant Inc. in Seattle, USA. Die Datenschutzrichtlinie von Defiant bestätigt ausdrücklich, dass Daten in den USA oder anderen Ländern außerhalb der EU gespeichert und verarbeitet werden können. Die USA gelten datenschutzrechtlich als unsicheres Drittland, weil dort ein geringeres Datenschutzniveau herrscht als in der EU.
Defiant Inc. stützt diese Übertragung auf EU-Standardvertragsklauseln – das sind vertragliche Schutzregelungen, die Defiant in seinen Nutzungsbedingungen eingebunden hat. Wichtig: Defiant ist nicht nach dem EU-US-Datenschutzrahmen (Data Privacy Framework) zertifiziert (Stand: Januar 2026).
Den Transfer kannst du vollständig vermeiden, indem du in den Plugin-Einstellungen unter Wordfence > Alle Optionen > Brute-Force-Schutz > Weitere Optionen die Option Am Echtzeit-Wordfence-Sicherheitsnetzwerk teilnehmen deaktivierst. Wenn du das nicht tust, muss deine Datenschutzerklärung die Übertragung in die USA benennen.
Auftragsverarbeitung
Brauche ich einen Vertrag mit Defiant für Wordfence?
Defiant Inc. verarbeitet im Standardbetrieb Besucher-IP-Adressen auf eigenen Servern. Das macht Defiant zu einem Auftragsverarbeiter, und du als Website-Betreiber brauchst dafür einen schriftlichen Vertrag.
Das Gute: Dieser Vertrag kommt automatisch zustande, wenn du die Nutzungsbedingungen von Wordfence beim ersten Plugin-Install akzeptierst. Defiant hat ein vorausgefülltes Data Processing Addendum – das ist der englische Begriff für den Auftragsverarbeitungsvertrag – unter wordfence.com/data-processing-addendum veröffentlicht, das durch die Zustimmung zu den Nutzungsbedingungen in Kraft tritt. Du musst nichts separat unterschreiben oder hochladen.
Falls du die Netzwerk-Teilnahme (IP-Transfer) deaktivierst, verarbeitet Defiant keine Besucherdaten mehr auf eigenen Servern – dann entfällt auch die Pflicht für diesen Vertrag.
Datenschutzerklärung
Muss Wordfence in meine Datenschutzerklärung?
Solange Wordfence im Standard läuft und Besucher-IP-Adressen an Defiant-Server in den USA überträgt, muss das in deiner Datenschutzerklärung stehen. Folgende Punkte sind relevant:
- Zweck: Schutz der Website vor Hackerangriffen und Brute-Force-Attacken durch Firewall und Abgleich mit einer Angreifer-Datenbank.
- Rechtsgrundlage: Berechtigtes Interesse (Schutz der Website-Infrastruktur und der Besucher vor Angriffen).
- Empfänger: Defiant Inc., 800 5th Ave Ste 4100, Seattle, WA 98104, USA.
- Drittlandtransfer: Übertragung in die USA auf Basis von EU-Standardvertragsklauseln.
- Speicherdauer: Laut Defiant-Datenschutzrichtlinie – keine konkrete Frist öffentlich dokumentiert, Formulierung entsprechend offen halten.
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
Wordfence Security – Schutz vor Angriffen und Schadsoftware
Diese Website verwendet das Sicherheits-Plugin Wordfence Security des Anbieters Defiant Inc., 800 5th Ave Ste 4100, Seattle, WA 98104, USA. Wordfence schützt die Website vor Hackerangriffen, Brute-Force-Attacken und Schadsoftware durch eine Firewall und einen Malware-Scanner. Dabei werden IP-Adressen von Website-Besuchern serverseitig verarbeitet und zur Prüfung gegen eine laufend aktualisierte Angreifer-Datenbank an Server von Defiant Inc. in den USA übertragen.
Diese Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses am Schutz der Website-Infrastruktur und der Sicherheit unserer Besucher. Für die Datenübertragung in die USA stützt sich Defiant Inc. auf EU-Standardvertragsklauseln. Mit Defiant Inc. besteht ein Auftragsverarbeitungsvertrag. Weitere Informationen zur Datenverarbeitung durch Defiant Inc. findest du in der Datenschutzerklärung von Wordfence unter wordfence.com/privacy-policy.
Drittanbieter
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu Wordfence?
Keine der geprüften Alternativen schneidet datenschutzrechtlich messbar besser ab als Wordfence. Das liegt daran, dass Wordfence selbst bereits keine Tracking-Cookies setzt und den US-Transfer durch eine einzelne Einstellung vollständig abschalten lässt.
Vergleichbare Sicherheits-Plugins wie All In One WP Security oder WP Cerber bieten ähnliche Cloud-Verbindungen oder haben ähnliche Datenschutz-Eigenschaften. Wer den US-Transfer bei Wordfence deaktiviert und den Vertrag mit Defiant abschließt, ist auf einer sauberen datenschutzrechtlichen Basis.
Fehler
Typische Datenschutzfehler mit Wordfence
Der häufigste Fehler: Wordfence läuft seit Jahren auf der Website, aber die Datenschutzerklärung erwähnt Defiant Inc. und den US-Transfer mit keinem Wort. Viele Website-Betreiber wissen gar nicht, dass das Plugin im Hintergrund Besucher-IP-Adressen nach Amerika schickt – weil das Plugin keine sichtbaren Spuren hinterlässt und keine Cookies für Besucher setzt.
Ein weiterer typischer Fehler: Die Netzwerk-Teilnahme ist aktiv, obwohl sie niemand bewusst eingeschaltet hat – sie ist einfach standardmäßig an. Wer Wordfence installiert und die Einstellungen nicht geprüft hat, überträgt wahrscheinlich gerade Daten in die USA, ohne es zu wissen.
Außerdem wird der Auftragsverarbeitungsvertrag mit Defiant oft vergessen. Er kommt zwar automatisch durch die Zustimmung zu den Nutzungsbedingungen zustande, aber kaum jemand weiß das – und entsprechend fehlt der Nachweis in der Dokumentation.
DSGVO-Check
Woran erkenne ich, ob Wordfence auf meiner Website aktiv ist?
Wordfence setzt keine Cookies für normale Website-Besucher und lädt keine externen Skripte im sichtbaren Bereich deiner Website. Du kannst es deshalb nicht direkt im Browser erkennen.
Ob die Netzwerk-Teilnahme aktiv ist und Daten in die USA fließen, siehst du ausschließlich in deinen Wordfence-Einstellungen unter Wordfence > Alle Optionen > Brute-Force-Schutz > Weitere Optionen. Ein Datenschutz-Scan wie datenrein.de erkennt Wordfence direkt und zeigt dir, ob Handlungsbedarf besteht.
Quellen und weiterführende Links
- WordPress.org Plugin-Seite – Wordfence Security
- Wordfence Knowledge Base – offizielle Dokumentation
- Wordfence und DSGVO – offizielle GDPR-Seite von Defiant
- Auftragsverarbeitungsvertrag (DPA) – Defiant Inc.
- Datenschutzerklärung – Defiant Inc.
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.