Gravatar
Dienst von Automattic, der E-Mail-Adressen zu Profilbildern auflöst — mit DSGVO-Relevanz für WordPress-Betreiber.
Aktualisiert: 23. Februar 2026
Was ist Gravatar?
Gravatar (Globally Recognized Avatar) ist ein Dienst von Automattic (dem Unternehmen hinter WordPress.com), der es ermöglicht, ein einziges Profilbild an alle Websites zu verknüpfen, die Gravatar unterstützen. Das Prinzip: Eine Person registriert sich unter gravatar.com mit ihrer E-Mail-Adresse und lädt ein Bild hoch. Websites, die Gravatare einbinden, schicken einen MD5-Hash der E-Mail-Adresse des Nutzers an die Gravatar-Server und erhalten als Antwort das zugehörige Bild — oder ein Platzhalterbild, falls kein Konto existiert.
WordPress ist seit Version 1.5 mit Gravatar-Unterstützung ausgeliefert und ruft Gravatare standardmäßig für Kommentar-Autoren ab.
- Betreiber: Automattic Inc. (San Francisco, USA)
- Datenschutzkontakt: privacy@automattic.com
- Datenübertragung: MD5-Hash der E-Mail-Adresse, IP-Adresse
- Server-Standort: USA (Datenübertragung in Drittland)
- Standard in WordPress: Seit Version 1.5, aktiviert per default
- Deaktivierung: Einstellungen → Diskussion → „Avatare anzeigen"
Wie funktioniert Gravatar technisch?
Wenn WordPress einen Kommentar mit E-Mail-Adresse anzeigt, generiert es eine URL nach diesem Muster:
https://secure.gravatar.com/avatar/MD5_HASH_DER_EMAIL?s=80&d=mm
Der Browser des Seitenbesuchers ruft dieses Bild direkt von secure.gravatar.com ab. Dabei überträgt er:
- Den MD5-Hash der E-Mail-Adresse (im URL-Pfad sichtbar)
- Die IP-Adresse des Besuchers
- Browser-Fingerprint-Informationen (User-Agent, Referrer)
MD5 gilt nicht mehr als kryptographisch sicher. E-Mail-Adressen aus bekannten Datensätzen lassen sich durch Brute-Force gegen MD5-Hashes abgleichen. Der Hash ist daher als pseudonym, nicht als anonym zu betrachten.
Das DSGVO-Problem
Gravatar wirft drei datenschutzrechtliche Fragen auf:
Datenübertragung in die USA: Die IP-Adressen der Seitenbesucher werden an US-Server von Automattic übertragen. Nach dem Schrems-II-Urteil des EuGH (2020) ist eine solche Übertragung ohne zusätzliche Schutzmaßnahmen (Standardvertragsklauseln, TIA) problematisch. Automattic bietet Standardvertragsklauseln an, die aber in der Datenschutzerklärung dokumentiert werden müssen.
Fehlende Rechtsgrundlage: Seitenbesucher, die Kommentare lesen (ohne selbst zu kommentieren), übertragen ihre IP-Adresse an Automattic, ohne darüber informiert zu werden und ohne eine Rechtsgrundlage nach DSGVO Art. 6.
Kommentarautoren vs. Besucher: Kommentarautoren können durch Hinweis beim Kommentarformular informiert werden. Besucher, die nur die Seite lesen, haben aber keine Möglichkeit, dem zu widersprechen — es sei denn, sie deaktivieren Bilder im Browser.
Gravatar in der Praxis — Lösungen
Option 1: Gravatar deaktivieren WordPress-Admin → Einstellungen → Diskussion → Avatare → „Avatare anzeigen" deaktivieren. Die einfachste und sicherste Lösung.
Option 2: Gravatare lokal cachen Plugins wie WP User Avatar oder Simple Local Avatars laden Gravatare einmalig herunter und liefern sie vom eigenen Server aus. Damit entfällt die Verbindung zu Gravatar-Servern bei jedem Seitenaufruf.
Option 3: Gravatar nur nach Einwilligung laden Komplexer umzusetzen, aber möglich: Gravatare werden erst geladen, wenn der Nutzer im Cookie-Banner eingewilligt hat.
Option 4: Dokumentieren und Standardvertragsklauseln nutzen Wer Gravatar aktiv lassen möchte, muss Automattics Standardvertragsklauseln in seiner Datenschutzerklärung dokumentieren und über die Datenübertragung informieren.
Was passiert ohne diese Maßnahmen?
Ohne Maßnahme sind Datenschutzbeschwerden bei der zuständigen Aufsichtsbehörde möglich. Abmahnungen durch Mitbewerber oder Verbraucherverbände sind in der Praxis wahrscheinlicher als Bußgelder der Behörden. Der praktische Aufwand für die Deaktivierung oder lokale Cachierung ist gering — das Risiko steht in keinem Verhältnis dazu.
Häufige Fragen
Ist der MD5-Hash einer E-Mail wirklich ein personenbezogenes Datum? Ja, nach herrschender Meinung der Datenschutzbehörden. MD5-Hashes von E-Mail-Adressen sind keine echten Einwegfunktionen mehr — gängige E-Mail-Formate lassen sich durch Rainbow-Tables oder Brute-Force mit vertretbarem Aufwand zurückrechnen. Der Hash ist daher personenbezogen im Sinne der DSGVO.
Betrifft das auch WooCommerce-Shops? Ja. In WooCommerce-Bestellbestätigungen, Kontobereich und Kommentaren werden ebenfalls Gravatare geladen, wenn das Feature aktiv ist.
Muss ich das in der Datenschutzerklärung erwähnen, wenn ich Gravatar deaktiviere? Nein. Wenn Gravatar vollständig deaktiviert ist und keine Verbindung zu den Servern hergestellt wird, entfällt die Informationspflicht.