WordPress hat seit Version 4.2 eine eingebaute Emoji-Funktion, die auf jeder Seite aktiv ist – auch wenn du selbst gar keine Emojis verwendest. Das Skript, das WordPress dafür lädt, baut bei jedem Seitenaufruf eine Verbindung zu einem Server in den USA auf und überträgt dabei die IP-Adressen deiner Besucher. Das ist ein Datenschutzproblem, das sich mit einem einzigen Plugin in zwei Minuten lösen lässt.
Überblick
Was sind WordPress Emojis?
WordPress Emojis sind eine eingebaute Funktion, die seit WordPress 4.2 automatisch aktiv ist. Sie sorgt dafür, dass Emojis – also kleine Bildzeichen wie 😊 oder 👍 – in Beiträgen, Seiten und Kommentaren grafisch dargestellt werden. Dafür lädt WordPress im Hintergrund eine JavaScript-Datei und bei Bedarf Emoji-Grafiken von externen Servern.
WordPress Emojis – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟢 | Keine zustimmungspflichtigen Cookies. |
| Externe Verbindungen | 🔴 | Verbindung zu s.w.org (Automattic, USA) bei jedem Seitenaufruf. |
| Datenschutzerklärung | 🔴 | Eintrag für Automattic erforderlich, solange Emojis aktiv sind. |
| Drittlandtransfer | 🔴 | IP-Adressen werden an Server in den USA übertragen. |
| Auftragsverarbeitung | 🟢 | Kein AVV erforderlich. |
| Benutzereingaben | 🟢 | Keine Benutzereingaben. |
Datenverarbeitung
Was passiert im Hintergrund, wenn WordPress Emojis aktiv sind?
Beim Aufruf einer Seite auf deiner Website lädt WordPress automatisch eine JavaScript-Datei namens wp-emoji-release.min.js. Dieses Skript prüft, ob der Browser deines Besuchers Emojis selbst darstellen kann. Kann er das nicht – was bei modernen Browsern so gut wie nie der Fall ist –, lädt es die Emoji-Grafiken von der Adresse s.w.org nach. Dieser Server gehört Automattic Inc., dem Unternehmen hinter WordPress.com, mit Sitz in San Francisco, USA.
Bei jedem Abruf dieser Ressourcen wird die IP-Adresse deines Besuchers automatisch an Automattic übertragen – das ist technisch unvermeidlich, wenn ein Browser eine externe Datei anfordert. Eine IP-Adresse gilt als personenbezogenes Datum. Deine Besucher haben dazu nicht zugestimmt, und du als Betreiber hast die Verbindung nicht aktiv eingebaut – WordPress macht das von sich aus.
Zusätzlich schreibt WordPress seit Version 6.3 einen Eintrag in den sogenannten Sitzungsspeicher des Browsers (wpEmojiSettingsSupports). Das ist kein klassisches Cookie, sondern ein temporärer Zwischenspeicher, der beim Schließen des Browsers gelöscht wird. WordPress wertet ihn als technisch notwendige Cache-Maßnahme.
Cookies
Setzt die WordPress-Emoji-Funktion Cookies?
Die WordPress-Emoji-Funktion setzt keine zustimmungspflichtigen Cookies. Der einzige Speichereintrag, den das Emoji-Skript anlegt, ist ein temporärer Sitzungseintrag im Browser (wpEmojiSettingsSupports) – kein klassisches Cookie, und er wird beim Schließen des Browsers automatisch gelöscht. Dein Cookie-Banner muss dafür nichts blockieren.
Externe Verbindungen
Baut die WordPress-Emoji-Funktion eine Verbindung zu externen Servern auf?
WordPress Emojis bauen bei jedem Seitenaufruf eine Verbindung zu s.w.org auf – einem Server von Automattic Inc. in den USA. Das passiert durch zwei Mechanismen: Erstens bindet WordPress die JavaScript-Datei wp-emoji-release.min.js in den Seitenquelltext ein. Zweitens trägt WordPress einen sogenannten DNS-Prefetch-Hinweis für s.w.org ein, damit der Browser die Verbindung schon vorlädt, bevor sie tatsächlich gebraucht wird.
Diese Verbindung ist nicht zwingend für den Betrieb deiner Website notwendig. Alle modernen Browser zeigen Emojis direkt aus ihrer eigenen Systemschrift an – der externe Abruf ist für das normale Surfen schlicht überflüssig. Dein Cookie-Banner muss diese Verbindung blockieren, bis der Besucher zustimmt. Die einfachste Lösung ist das Plugin „Disable Emojis“, das die Verbindung vollständig unterbindet – und die Emoji-Anzeige in modernen Browsern trotzdem funktioniert.
Emojis auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Werden bei der WordPress-Emoji-Funktion Daten von Besuchern eingegeben?
Die WordPress-Emoji-Funktion nimmt keine Benutzereingaben entgegen. Das Skript läuft passiv im Hintergrund, ohne dass Besucher etwas eingeben oder auslösen müssen.
Drittlandtransfer
Werden Daten durch die WordPress-Emoji-Funktion in die USA übertragen?
WordPress Emojis übertragen die IP-Adressen deiner Website-Besucher an Server von Automattic Inc. in San Francisco, USA. Das passiert bei jedem Seitenaufruf, solange die Emoji-Funktion aktiv ist. IP-Adressen gelten als personenbezogene Daten, und eine Übertragung in die USA ohne Einwilligung ist datenschutzrechtlich problematisch. Wer die Funktion per Plugin deaktiviert, beendet diese Übertragung vollständig.
Auftragsverarbeitung
Brauche ich einen Vertrag mit Automattic wegen der WordPress-Emoji-Funktion?
Für die WordPress-Emoji-Funktion ist kein Auftragsverarbeitungsvertrag mit Automattic erforderlich. Automattic stellt s.w.org als öffentliches CDN bereit – es handelt sich dabei nicht um eine Auftragsverarbeitung im datenschutzrechtlichen Sinne, und Automattic bietet für diese spezifische Verbindung auch keinen entsprechenden Vertrag an.
Datenschutzerklärung
Muss ich die WordPress-Emoji-Funktion in meine Datenschutzerklärung aufnehmen?
Solange WordPress Emojis aktiv sind, überträgst du die IP-Adressen deiner Besucher an Automattic in den USA. Das muss in deiner Datenschutzerklärung stehen. Wenn du die Funktion mit dem Plugin „Disable Emojis“ deaktivierst, entfällt diese Pflicht.
- Zweck: Darstellung von Emojis in WordPress-Inhalten über externe Grafiken.
- Rechtsgrundlage: Einwilligung.
- Empfänger: Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA.
- Drittlandtransfer: IP-Adressen der Besucher werden an Server in den USA übertragen.
- Speicherdauer: Keine eigene Speicherung durch die Emoji-Funktion; Protokollierung durch Automattic gemäß deren Datenschutzerklärung.
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
WordPress Emojis – Darstellung von Emoji-Grafiken
Auf dieser Website ist die eingebaute Emoji-Funktion von WordPress aktiv. Dabei werden Emoji-Grafiken von den Servern der Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA, geladen. Bei diesem Abruf wird die IP-Adresse der Besucher an Server in den USA übertragen. Rechtsgrundlage für diese Verarbeitung ist die Einwilligung der Besucher. Weitere Informationen zur Datenverarbeitung durch Automattic finden sich in der Datenschutzerklärung unter https://automattic.com/privacy/.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zur WordPress-Emoji-Funktion?
Das Plugin „Disable Emojis (DSGVO-freundlich)“ von Ryan Hellyer ist die empfohlene Lösung. Es entfernt das Emoji-Skript vollständig aus deiner Website, unterbindet die Verbindung zu s.w.org und stoppt den DNS-Prefetch-Eintrag. Das Plugin ist kostenlos, braucht keine Konfiguration und ist im WordPress-Plugin-Verzeichnis verfügbar. Nach der Aktivierung ist sofort alles erledigt.
Emojis werden danach weiterhin angezeigt – alle modernen Browser stellen sie direkt aus der Systemschrift dar. Die externe Verbindung und die IP-Übertragung in die USA entfallen komplett. Das Plugin wurde zuletzt im April 2026 aktualisiert und hat über 60.000 aktive Installationen.
Fehler
Typische Fehler mit WordPress Emojis und dem Datenschutz
Der häufigste Fehler ist, nicht zu wissen, dass die Emoji-Funktion überhaupt existiert. WordPress aktiviert sie automatisch – auch wenn du selbst keine Emojis einsetzt. Wer seine Website auf externe Verbindungen prüft, stellt oft überrascht fest, dass s.w.org bei jedem Aufruf angesteuert wird, obwohl im Inhalt gar kein einziges Emoji vorkommt.
Ein zweiter Fehler ist, die Verbindung im Cookie-Banner zwar einzutragen, aber nicht zu blockieren. Wenn das Emoji-Skript schon beim ersten Seitenaufruf lädt – also bevor der Besucher dem Cookie-Banner zugestimmt hat –, nützt ein nachträglicher Eintrag nichts. Die sauberste Lösung ist, die Funktion vollständig zu deaktivieren.
Wer die Emoji-Funktion deaktiviert, aber vergisst, den Eintrag in der Datenschutzerklärung zu entfernen, erzeugt ein anderes Problem: Die Datenschutzerkärung beschreibt dann eine Datenverarbeitung, die gar nicht stattfindet. Auch das sollte bereinigt werden.
DSGVO-Check
Woran erkennst du, ob die WordPress-Emoji-Funktion auf deiner Website aktiv ist?
Du kannst direkt prüfen, ob deine Website eine Verbindung zu s.w.org aufbaut. Öffne dazu eine beliebige Seite deiner Website im Browser, rufe die Entwicklertools auf (Taste F12) und wechsle zum Tab „Netzwerk“ . Lade die Seite neu und suche in der Liste der Anfragen nach s.w.org. Erscheint dieser Eintrag, ist die Emoji-Funktion aktiv und baut eine externe Verbindung auf.
Alternativ kannst du einen automatischen Datenschutz-Scan durchführen, der diese Verbindung direkt erkennt und auswertet.
Quellen und weiterführende Links
- WordPress.org – Offizielle Dokumentation zu Emojis
- WordPress.org – Plugin „Disable Emojis (DSGVO-freundlich)“
- WordPress Trac #59445 – Diskussion zu sessionStorage und DSGVO
- Automattic Inc. – Datenschutzerklärung
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.