Elementor selbst ist datenschutzrechtlich unkompliziert – das Plugin läuft lokal und schickt keine Besucherdaten nach außen. Datenschutzrelevant wird es erst durch die Inhalte, die du auf deinen Seiten einbaust: ein eingebettetes YouTube-Video, eine Google-Maps-Karte, Social-Media-Icons oder eine Google-Schriftart, die du extern lädst. Jedes dieser Elemente baut beim Seitenaufruf eine Verbindung zu einem externen Anbieter auf – und das braucht in den meisten Fällen die Zustimmung deiner Besucher.
Überblick
Was ist Elementor?
Elementor ist ein Page-Builder-Plugin für WordPress. Du ziehst Elemente wie Texte, Bilder, Buttons oder Formulare per Drag-and-drop auf deine Seite – ohne eine einzige Zeile Code schreiben zu müssen. Elementor ist eines der meistgenutzten Plugins im WordPress-Ökosystem und gibt es in einer kostenlosen und einer kostenpflichtigen Version (Elementor Pro).
Elementor – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟢 | Elementor setzt keine zustimmungspflichtigen Cookies für Website-Besucher. |
| Externe Verbindungen | 🟡 | Entsteht durch eingebundene Widgets – z. B. YouTube, Google Maps oder extern geladene Google Fonts. |
| Datenschutzerklärung | 🟢 | Kein eigener Eintrag nötig – Elementor verarbeitet keine Besucherdaten für sich selbst. |
| Drittlandtransfer | 🟡 | Nur durch eingebundene Widgets wie YouTube oder Google Maps sowie extern geladene Google Fonts. |
| Auftragsverarbeitung | 🟢 | Kein Vertrag mit Elementor nötig – alle Daten bleiben in deinem WordPress. |
| Benutzereingaben | 🟡 | Nur relevant, wenn du Elementor Pro nutzt und das Formular-Widget einsetzt. |
Datenverarbeitung
Was passiert mit Besucherdaten, wenn Elementor aktiv ist?
Elementor selbst speichert keine Besucherdaten und schickt nichts an externe Server. Alles, was das Plugin für den Betrieb braucht – Seitenstruktur, Design, Einstellungen – liegt in deiner WordPress-Datenbank auf deinem Hosting. Dein Hosting-Anbieter verwaltet diese Daten, nicht Elementor.
Datenschutzrelevant wird Elementor durch die Inhalte, die du auf deinen Seiten einbaust. Wenn du ein YouTube-Video einbettest, baut deine Website beim Seitenaufruf eine Verbindung zu YouTube auf – unabhängig davon, ob der Besucher das Video abspielt. Dasselbe gilt für Google Maps, Social-Media-Icons oder Share-Buttons. Jedes dieser Elemente überträgt die IP-Adresse des Besuchers an den jeweiligen Anbieter, sobald die Seite geladen wird.
Dazu kommt Google Fonts: Wenn du in Elementor eine Google-Schriftart verwendest und diese nicht lokal speicherst, lädt deine Website die Schrift bei jedem Seitenaufruf direkt von Google-Servern. Seit Version 3.32.1 ist das standardmäßig deaktiviert – bei älteren Installationen lohnt sich ein kurzer Blick in die Einstellungen.
Im Grundbetrieb gilt: Elementor läuft lokal, verarbeitet keine Besucherdaten für sich selbst und schickt nichts nach außen.
Cookies
Setzt Elementor Cookies auf meiner Website?
Elementor setzt keine zustimmungspflichtigen Cookies für Website-Besucher. Es gibt keine Marketing-Cookies, keine Tracking-Cookies und keine Statistik-Cookies, die Elementor im sichtbaren Bereich deiner Website hinterlässt. Dein Cookie-Banner muss für Elementor selbst nichts blockieren.
Externe Verbindungen
Wann baut Elementor Verbindungen zu externen Servern auf?
Elementor selbst baut im Grundbetrieb keine externen Verbindungen auf. Was externe Verbindungen erzeugt, sind die Widgets, die du auf deinen Seiten einsetzt.
Das Video-Widget bettet YouTube oder Vimeo ein – sobald eine Seite mit diesem Widget geladen wird, verbindet sich dein Browser mit den Servern von YouTube oder Vimeo, noch bevor jemand auf „Abspielen“ klickt. Das Karten-Widget lädt Google Maps direkt beim Seitenaufruf. Social-Media-Icons und Share-Buttons verbinden sich mit Facebook, Instagram, X und anderen Plattformen. Jede dieser Verbindungen überträgt die IP-Adresse des Besuchers an den jeweiligen Anbieter.
Dein Cookie-Banner muss alle diese Verbindungen blockieren, bis der Besucher zustimmt. Die meisten Cookie-Banner-Plugins können das automatisch – du musst die eingebundenen Dienste dort aber einmalig eintragen oder freischalten.
Dazu kommt Google Fonts: Wenn du in Elementor eine Google-Schriftart verwendest, kann Elementor diese entweder lokal von deinem Server oder direkt von Google-Servern laden. Seit Version 3.32.1 ist das externe Laden standardmäßig deaktiviert. Bei älteren Installationen lohnt sich ein Blick unter Elementor > Einstellungen > Erweitert > Google Fonts. Steht die Option nicht auf „Deaktivieren“, schickt deine Website bei jedem Seitenaufruf die IP-Adresse deiner Besucher an Google – auch ohne Zustimmung. In dem Fall muss dein Cookie-Banner diese Verbindung blockieren oder du deaktivierst Google Fonts vollständig.
Die optionale Funktion „Nutzungsdaten teilen“ in den Elementor-Einstellungen überträgt einmal pro Woche technische Daten über deine Plugin-Konfiguration an Elementor – das läuft ausschließlich im Hintergrund deines WordPress-Adminbereichs und betrifft deine Website-Besucher nicht.
Elementor auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Verarbeitet Elementor Formulardaten von Website-Besuchern?
Elementor in der kostenlosen Version enthält kein Formular-Widget. Website-Besucher können dort keine Daten eingeben, die Elementor verarbeitet.
Elementor Pro enthält ein Formular-Widget, mit dem du Kontaktformulare, Anmeldefelder oder andere Eingabemasken direkt auf deiner Seite einbauen kannst. Wenn du dieses Widget einsetzt, geben Besucher Daten ein – zum Beispiel Name, E-Mail-Adresse oder Nachrichten. Diese Daten werden standardmäßig lokal in deiner WordPress-Datenbank gespeichert und nicht an Elementor weitergeleitet. Direkt beim Formular muss ein kurzer Hinweis auf deine Datenschutzerklärung stehen, damit Besucher wissen, was mit ihren Daten passiert.
Wenn du das Formular-Widget nicht einsetzt, ist dieser Punkt für dich nicht relevant.
Drittlandtransfer
Werden durch Elementor Daten in die USA übertragen?
Elementor Ltd. hat seinen Sitz in Israel. Israel gilt datenschutzrechtlich als sicheres Drittland – ein Transfer von Daten zu Elementor selbst ist daher unproblematisch. Das betrifft aber ohnehin nur die Admin-Kommunikation, nicht deine Besucher.
Eine Datenübertragung in die USA entsteht durch Elementor in zwei Fällen: Erstens, wenn du Google Fonts extern lädst – dann übermittelt deine Website die IP-Adresse jedes Besuchers an Google in den USA. Das ist bei aktuellen Elementor-Installationen standardmäßig deaktiviert, bei älteren Installationen aber einen Blick wert.
Zweitens entstehen USA-Transfers durch eingebundene Widgets wie YouTube oder Google Maps – diese Verbindungen gehen direkt zu Google-Servern in den USA, sobald die jeweilige Seite aufgerufen wird.
Auftragsverarbeitung
Brauche ich einen Vertrag mit Elementor?
Elementor als Page-Builder-Plugin verarbeitet keine Besucherdaten auf eigenen Servern. Alle Daten, die deine Website verwaltet, bleiben in deiner WordPress-Installation auf deinem Hosting. Elementor Ltd. hat keinen Zugriff darauf. Ein Vertrag zur Auftragsverarbeitung mit Elementor ist daher nicht nötig.
Das gilt für die kostenlose Version und für Elementor Pro als Page-Builder. Wenn du zusätzliche Elementor-Produkte nutzt – zum Beispiel Site Mailer für den E-Mail-Versand oder Ally für Barrierefreiheit –, gelten für diese separate Regeln, weil sie eigene Plugins mit eigener Datenverarbeitung sind.
Datenschutzerklärung
Muss Elementor in meiner Datenschutzerklärung stehen?
Elementor selbst verarbeitet keine Besucherdaten und muss daher nicht in deine Datenschutzerklärung. Das Plugin läuft lokal in deinem WordPress, ohne Daten nach außen zu schicken.
Eingebundene Dienste, die über Elementor-Widgets aktiv werden – zum Beispiel Google Fonts, Google Maps, YouTube oder Social-Media-Plattformen –, benötigen eigene Einträge in deiner Datenschutzerklärung. Das gilt auch für Formulardaten, wenn du das Formular-Widget von Elementor Pro einsetzt. Diese Dienste sind jedoch nicht Elementor selbst, sondern eigenständige Drittanbieter.
Drittanbieter
Mit welchen Diensten lässt sich Elementor verbinden?
Elementor Pro bringt eine Reihe von Widgets mit, über die du externe Dienste direkt auf deinen Seiten einbinden kannst. Dazu gehören Video-Einbettungen von YouTube und Vimeo, Karten von Google Maps sowie Social-Media-Icons und Share-Buttons von Plattformen wie Facebook, Instagram und X (ehemals Twitter). Jedes dieser Elemente baut beim Seitenaufruf eine Verbindung zum jeweiligen Anbieter auf.
Im Bereich E-Mail und Formulare lässt sich Elementor Pro mit Marketing- und CRM-Diensten verbinden. Dazu zählen unter anderem Mailchimp, ActiveCampaign, HubSpot und Drip. Diese Verbindungen werden aktiv, wenn jemand ein Formular auf deiner Website absendet – nicht schon beim Seitenaufruf.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu Elementor?
Elementor selbst ist im Grundbetrieb datenschutzfreundlich – das Plugin verarbeitet keine Besucherdaten und setzt keine Tracking-Cookies. Die Datenschutzfragen entstehen nicht durch Elementor als solches, sondern durch Google Fonts und optional eingebundene Dienste.
Eine andere Page-Builder-Alternative löst dasselbe Problem nicht automatisch, weil vergleichbare Tools wie Beaver Builder oder Divi ähnliche Abhängigkeiten mitbringen. Es gibt keinen direkten Ersatz, der in diesem Bereich klar besser abschneidet.
Fehler
Häufige Datenschutzfehler bei Elementor
Der häufigste Fehler: YouTube-Videos, Google-Maps-Karten oder Social-Media-Icons sind direkt auf Seiten eingebettet, ohne dass der Cookie-Banner diese Verbindungen blockiert. Damit überträgt deine Website die IP-Adresse jedes Besuchers an YouTube, Google oder die jeweilige Plattform – noch bevor der Besucher irgendetwas angeklickt hat. Das ist zustimmungspflichtig. Prüfe in deinem Cookie-Banner, ob diese Dienste als blockierungspflichtig eingetragen sind.
Ein weiterer Fehler betrifft Google Fonts bei älteren Elementor-Installationen: Wer Elementor schon länger betreibt und die Einstellungen nie angepasst hat, sollte unter Elementor > Einstellungen > Erweitert > Google Fonts prüfen, ob die externe Ladefunktion noch aktiv ist. Bei Neuinstallationen ab Version 3.32.1 ist das kein Problem – das externe Laden ist dort standardmäßig deaktiviert.
Wer Elementor Pro nutzt und das Formular-Widget einsetzt, vergisst manchmal den Datenschutzhinweis direkt beim Formular. Dieser Hinweis ist Pflicht – ein allgemeiner Link zur Datenschutzerklärung im Footer reicht dafür nicht aus.
DSGVO-Check
Wie erkenne ich, ob Elementor auf meiner Website Datenschutzprobleme verursacht?
Elementor verrät sich nicht durch eigene Cookie-Namen oder externe Domains, die du im Browser prüfen könntest. Das Plugin selbst hinterlässt keine sichtbaren Spuren im Netzwerk-Traffic deiner Besucher.
Um zu prüfen, ob Google Fonts über deine Website extern geladen werden, kannst du in deinem Browser die Entwicklertools öffnen (Taste F12, dann „Netzwerk“) und deine Website aufrufen. Wenn du in der Liste der Anfragen Verbindungen zu fonts.googleapis.com oder fonts.gstatic.com siehst, laufen Google Fonts noch extern. Ein Datenschutz-Scan deiner Website zeigt dir das ebenfalls – zusammen mit allen anderen externen Verbindungen, die beim Seitenaufruf entstehen.
Quellen und weiterführende Links
- Elementor – WordPress.org Plugin-Seite
- Elementor – offizielle Dokumentation (Knowledge Base)
- Elementor – Anleitung: Google Fonts deaktivieren
- Elementor – Anleitung: Google Fonts lokal laden
- Elementor – Datenschutzvertrag für Plugin-Dienste (DPA)
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.