Die besten 3 Cookie Plugins für WordPress (DSGVO-konform)

Beste Opt-in Cookie Banner Plugins

Du fragst dich, wie du deine WordPress Website für den deutschen Markt rechtssicher gestaltest oder bist dir unsicher, ob du ein Opt-in Cookie-Banner Plugin benötigst? Dann bist du hier richtig! In diesem Artikel stelle ich dir nicht nur die aktuell drei besten WordPress Cookie Plugins vor, sondern wir werden uns auch alle gängigen Arten von Cookie-Bannern ansehen. Durch die Rechtsgrundlagen und Erklärungen zu aktuellen Urteilen, welche die Rechtslage klar darstellen, wirst du lernen, warum nicht jedes Cookie Consent Tool für deine Website geeignet ist. Zudem erfährst du, ob du überhaupt ein Cookie Plugin für deine WordPress Website benötigst. Es gibt also einiges zu wissen, um deine Website hinsichtlich Cookies DSGVO- bzw. ePrivacy-konform zu gestalten. Nachdem du diesen Artikel gelesen hast, werden viele Fragen für dich klarer sein!

Achtung: Dieser Artikel ist keine Rechtsberatung! Wir als Entwickler von WordPress Plugins und Auftragnehmer von Website Projekten haben uns intensiv mit dem Thema Cookie-Banner befasst, da es in unserer täglichen Arbeit unerlässlich ist. Jedoch sind wir weder Juristen, noch können wir die Vollständigkeit, Aktualität und Richtigkeit folgender Informationen garantieren. Lass dich im Zweifelsfall immer von einem Rechtsanwalt beraten.

Die besten Cookie Plugins für WordPress

Ich zeige dir im Folgenden zunächst die besten Opt-in Cookie-Banner Plugins für WordPress, um möglichst weitgehend den aktuellen rechtlichen Regularien der ePrivay-Richtlinie und der EU-DSGVO zu entsprechen. Dazu habe ich 17 WordPress Plugins getestet und möchte dir hier die drei besten genauer vorstellen. Beachte bitte, dass ich hier nur solche Plugins vorstelle, die direkt in deiner WordPress Installation laufen und nicht von einer Cloud des Herstellers abhängig sind. Dadurch vermeidest du unnötige weitere Rechtskonflikte und bist unabhängiger.

Real Cookie Banner

Real Cookie Banner

Aktuell ist Real Cookie Banner klar das beste Opt-in Cookie Plugin für WordPress, das du für deine Website verwenden kannst. Für wenig Geld bekommst du alles, was du brauchst, um Cookies sicher DSGVO-konform zu setzen und Einwilligungen zu dokumentieren.

Real Cookie Banner bietet dir zudem ein umfangreiches Cookie- und Consent-Management, das es dir ermöglicht, informierte Einwilligungen zum Setzen von Cookies nach der ePrivacy-Richtlinie einzuholen. In dem Cookie Banner auf deiner Website können Besucher einfach alles Cookies, nur bestimmten Cookie Gruppen oder jedem Cookie individuell zustimmen. Damit ist das Cookie Consent Banner für Datenschutz-Liebhaber genauso wie für ganz normale Nutzer, die einfach nur akzeptieren möchten, optimal geeignet. Zudem wird automatisch erkannt, ob der Nutzer einen "Do Not Track" Header gesetzt hat, womit er signalisiert, dass so wenige Cookies wie möglich gesetzt werden sollen. Diesen Wunsch kann der Cookie Consent Manager Real Cookie Banner automatisch umsetzen. Zusätzlich kannst du mit dem Geo-Restriction Feature pro Land entscheiden, ob der Cookie Banner angezeigt werden soll. So vermeidest du eine unnötige Ablenkung von deinem Inhalt! Zum Beispiel kannst du entscheiden, dass der WordPress Cookie-Hinweis für Nutzer außerhalb der EU nicht angezeigt wird.

Als Webseitenbetreiber wirst du dich besonders über das flexible Layout des Cookie-Banners freuen. Das WordPress-Plugin selbst sowie die zahlreichen Templates sind sowohl auf Deutsch als auch auf Englisch verfügbar. Real Cookie Banner funktioniert auch in mehrsprachigen Websites mit WPML, Polylang TranslatePress und Weglot, da wir explizite Integrationen für diese Plugins gebaut haben. Mit mehr als 200 Einstellungen kannst du den Cookie Banner so gestalten, dass er perfekt in deine Website passt. Im Gegensatz zu vielen anderen Cookie Bannern warnt dich Real Cookie Banner automatisch bei Design-Verstößen (z.B. zu wenig Kontrast zwischen Button-Farbe und Button-Schriftfarbe). Jede Änderung wird in einer Live-Vorschau angezeigt, so dass du dein perfektes Cookie-Banner in wenigen Minuten erstellen kannst. Außerdem sind die ca. 20+ Design-Voreinstellungen sehr praktisch, damit du nicht bei Null anfangen musst. Falls du etwas in deinem Cookie-Banner änderst, werden wir dich automatisch benachrichtigen, wenn eine neue Zustimmung erforderlich ist.

Ein weiteres Detail auf das Real Cookie Banner geachtet hat, sind Adblocker. Sie blocken zunehmend mehr Cookie Banner, wodurch der Website-Betreiber bei diesen Nutzern keine nicht essenziellen Cookies mehr setzen kann. Das heißt kein Google Analytics usw. Nicht aber mit diesem Plugin, denn das integrierte Anti-Ad-Blocker System verhindert effektiv, dass dein Cookie Consent Banner blockiert wird und du somit wichtige Daten nicht erfassen kannst.

Cookies werden in Cookie Gruppen in Real Cookie Banner gespeichert. Als Webseitenbetreiber findest du nach der Installation vier gängige Cookie-Gruppen mit beschreibenden Texten. Das Erstellen von Cookies ist ebenso einfach. Du kannst Cookies für bekannte Services wie Google Analytics aus über 100 Vorlagen auswählen. Alle rechtlichen und technischen Informationen sind in den Vorlagen bereits für dich ausgefüllt. Wenn du einen Service nutzt, für den es keine Vorlage gibt, hast du zwei Möglichkeiten: Entweder du forderst eine kostenlose Service-Vorlage von unseren Cookie-Experten an oder du erstellst selbst eine. Real Cookie Banner nimmt dich an die Hand und führt dich behutsam durch die Anforderungen des Gesetzes mit vielen anschaulichen Texten und Erklärungen zur aktuellen Rechtslage. Jedes Cookie (Service) kann auch seinen eigenen HTML/JavaSctipt-Code ausführen, wenn die Zustimmung erteilt oder widerrufen wird. So kannst du Services zum richtigen Zeitpunkt laden und Cookies entsprechend der gesetzlichen Vorgaben entfernen. Das Real Cookie Banner Plugin entfernt Cookies bei Opt-Out sogar automatisch für dich.

Wenn du Betreiber mehrerer Websites bist, solltest du unbedingt einen Blick auf das Consent Forwarding Feature werfen. Dieses Feature ermöglicht es dir, Besuchereinwilligungen weiterzuleiten und so Mehrfacheinwilligungen von einem Besucher auf mehreren Webseiten deines Unternehmens zu vermeiden (für WordPress Multisites oder mehrere WordPress Installationen; Weiterleitung als Einweg-Sync oder Zweiweg-Sync von Einwilligungen).

Ein weiterer Vorteil ist, dass Einwilligungen ausschließlich auf deinem Server verarbeitet und gespeichert werden. Es wird also nichts aus der Cloud im Browser deiner Besucher heruntergeladen.

Neben Cookies gibt es auch sogenannte Content Blocker, die mit einem oder mehreren Services verbunden sind. Wenn du zum Beispiel ein YouTube-Video in einen Artikel einbettest oder ein WordPress-Plugin automatisch Google Maps lädt, würden beim Besuch der Webseite personenbezogene Daten übertragen und Cookies gesetzt werden. Dazu brauchst du allerdings erst die Zustimmung des Besuchers. Real Cookie Banner ersetzt diese Inhalte automatisch durch Content Blocker, die deinen Besucher um Zustimmung bitten, wenn er diese nicht bereits gegeben hat. (Wenn dein Besucher das Laden eines externen Videos nur über einen Content Blocker zulässt, muss er das Video anschließend manuell starten. Wir ersparen ihm den Klick und starten YouTube und Vimeo Videos automatisch.) Mit 60+ Vorlagen ist es wieder einmal super einfach einzurichten - und dank der einfachen Struktur kannst du sogar deine eigenen Content Blocker in wenigen Minuten erstellen. Wir empfehlen dir auch unseren Knowledge Base Artikel Wie erstelle ich einen individuellen Content Blocker für weitere Informationen zu diesem Thema.

Apropos Einrichtung: Nach der Installation von Real Cookie Banner begrüßt dich das WordPress-Plugin mit einer Checkliste aller Aufgaben, um deinen Cookie Banner rechtssicher einrichten zu können. Das nimmt dir damit aber viele Fragen ab, was du noch machen musst, damit deine Website Cookies korrekt setzt.

Darüber hinaus unterstützt Real Cookie Banner den weitverbreiteten Standard TCF 2.0 und neuer. TCF (Transparency and Consent Framework) ist ein Standard des europäischen Digital Marketing Branchenverbandes IAB Europe. Er ermöglicht die Einholung einer standardisierten Einwilligung.

Mindestens genauso gut durchdacht ist die Dokumentation der Zustimmung in Real Cookie Banner. Das WordPress-Plugin dokumentiert nicht nur, welchen Cookies der Besucher zugestimmt hat. Als eines der wenigen Plugins bietet es auch eine Dokumentation der Zustimmungen inklusive aller Cookie-Gruppen, Cookies, Content-Blocker, Einstellungen und Design-Präferenzen. Damit kannst du im Streitfall genau zeigen, wie das Cookie-Banner zum Zeitpunkt der Zustimmung aussah und sich verhielt. Du kannst das DSGVO-Cookie Banner im Browser sogar genauso anzeigen, wie der Nutzer es zum Zeitpunkt der Zustimmung gesehen hat. Auf diese Weise kannst du falschen Vorwurf eines Datenschutzverstoßes entkräften.

Einmal erteilte Einwilligungen können auch von deinen Besuchern jederzeit in der Datenschutzerklärung eingesehen, geändert und widerrufen werden. Dazu fügst du einfach Shortcodes in deine Datenschutzerklärung ein und schon bist du rechtskonform.

Zu guter Letzt werfen wir noch einen Blick auf ein echtes Schmuckstück unseres Real Cookie Banners: den Scanner. Dieses Feature findet automatisch genutzte Services auf deiner Website, die für die Einrichtung deines Cookie Banners relevant sind, indem es die entsprechende Sitemap mit allen Unterseiten crawlt. Wir können aus Erfahrung bestätigen, dass du damit eine Menge Zeit und Nerven sparen kannst! Allerdings ist ein Service Scanner keine ultimative Lösung, denn es gibt Fälle, in denen unser Scanner nicht alle Services finden kann (so etwas ist einfach unmöglich). Nichtsdestotrotz ist dieses Feature eine enorme Hilfe, die du bei der Erstellung deines Real Cookie Banners nicht außer Acht lassen solltest.

An dieser Stelle könnte ich dir noch viel mehr über Real Cookie Banner erzählen, wie den Altershinweis zur Erfüllung von Jugendschutzvorgaben, Einholung der Einwilligung zur Datenverarbeitung in der USA, Statistiken über Einwilligungen von Besuchen oder den Support für Google Tag Manager und Matomo Tag Manager. Real Cookie Banner ist fast schon eine eierlegende Wollmilchsau zum Einholen von Einwilligungen für Cookies. Und gleichzeitig sehr übersichtlich und einfach zu bedienen.

Der Preis von 49 € pro Jahr und Website (bei mehreren Websites gibt es Rabatte) ist fast schon zu günstig für das, was dir geboten wird. Zudem kannst du die kostenlose Version ausprobieren und damit risikolos testen, ob du mit dem Plugin zurechtkommst.

Vorteile

  • Faires Preis-Leistung-Verhältnis
  • Eine Checkliste aller Aufgaben, um dein Cookie Banner rechtskonform einzurichten
  • Integrierter Service Scanner
  • Vollständig ins Deutsche und Englische übersetzt
  • Technische Angaben von HTTP-Cookies und Cookie-ähnlichen Informationen
  • Ausführung von Opt-in und Opt-out HTML/JavaScript Code
  • Content-Blocker zum Blocken von externen Inhalten und Plugins vor der Einwilligung in Cookies
  • Blockt bereits integrierte Elemente durch ein Theme oder Plugins
  • Individuelles Design mit 200+ Einstellungen und rund 20+ Design-Vorlagen
  • Live-Vorschau aller Designänderungen
  • Shortcodes ermöglichen einfach das Ändern und Widerrufen der Einwilligung
  • Vollständige Dokumentation der Einwilligungen
  • Geführte Konfiguration nach der Installation
  • Altershinweis zur Erfüllung von Jugendschutzvorgaben nach DSGVO
  • Einholung der Einwilligung zur Datenverarbeitung in der USA
  • Geo-Restriction Feature, um festzulegen, in welchen Ländern das DGSVO-Cookie Banner angezeigt werden soll
  • Funktion zur Weiterleitung von Zustimmungen, um mehrfache Zustimmungen von einem Besucher auf mehreren Websites zu vermeiden
  • TCF 2.0+ Kompatibilität
  • Support für Google Tag Manager und Matomo Tag Manager
  • WPML/Polylang/TranslatePress/Weglot and WordPress Mulisite Support
  • PageSpeed Insights optimiert
  • Automatisches Flushen aller bekannten Seiten-Caches (Keine veralteten Caches mehr, yeah!)

Nachteile

  • Plugin setzt rechtliche Anforderungen penibel genau um, wodurch die Einrichtung mind. eine Stunde in Anspruch nehmen kann
Real Cookie Banner: Dashboard
Real Cookie Banner: Dashboard
Real Cookie Banner: Cookie Dialog auf devowl.io
Real Cookie Banner: Cookie Dialog auf devowl.io

Borlabs Cookie

Borlabs Cookie

Borlabs Cookie ist ein weiteres gutes Opt-in Cookie Plugin für WordPress, das du für deine Website verwenden kannst. Und das zu einem fairen Preis.

Borlabs Cookie zeichnet sich in erster Linie dadurch aus, dass es einen großen Funktionsumfang mitbringt. Es funktioniert sowohl für (normale) WordPress Installationen als auch auf Multisite WordPress Installationen. Das Plugin erkennt Bots genauso wie Nutzer mit dem "Do Not Track" Header und behandelt diese Art von Nutzer gemäß des geltenden Rechts und deren Wünsche. Einzig eine Erkennung, ob ein Nutzer aus der EU kommt - Nicht-EU-Nutzern brauchst du meist kein Cookie-Banner anzeigen - gibt es nicht. Das wird jedoch nur für wenige Websites interessant sein, welche ein internationales Publikum ansprechen.

Das Herzstück des Plugins ist seine flexible Darstellung des WordPress Cookie-Banners bzw. Dialogs. Du kannst mit rund 100 Einstellungen feingranular steuern, wie das Banner auf deiner Website aussehen soll. Hier bleiben wenig Wünsche offen. Und falls doch, kannst du dies mit CSS, das direkt mit dem Cookie-Banner ausgeliefert wird, lösen. Jedoch kannst du während des Bearbeitens keine Live-Vorschau des Cookie-Banners sehen, weshalb wir gut 500-mal den F5-Button betätigen mussten, als wir Borlabs Cookie auf unserer Website einrichteten. Das nervte und hier hat Real Cookie Banner eine klar bessere Lösung gefunden.

Cookies können mit Borlabs Cookie in Cookie Gruppen unterteilt werden. Die Cookies selbst kannst du händisch eintragen. Dabei kannst du die meisten rechtlich wie technisch notwendigen Informationen hinterlegen. Über HTML und JavaScript, dass du selbst schreiben musst, kannst du zum Zeitpunkt der Einwilligung z.B. Google Analytics einbinden und bei einem Widerruf der Einwilligung dieses wieder von deiner Website entfernen. Hier setzt das Plugin ein gewisses informatisches Wissen voraus, da auch teils nicht alle gesetzten Cookies bei einem Widerruf automatisch löscht. Wenn man diese Hürde überwunden hat bietet das Plugin einem aber alle relevanten Features. Eine automatische Erkennung von Cookies gibt es nicht, aber immerhin Vorlagen für neun bekannte Dienste und Plugins.

Gibt der Nutzer nicht seine Einwilligung z.B. YouTube Videos und dessen Cookies einzubinden, so dürfen diese nicht geladen werden. Darum kümmert sich Borlabs Cookie ebenso. Es ersetzt die Elemente automatisch und zeigt stattdessen erneut die Frage nach einer Einwilligung an. Das ist clever gelöst!

Genauso lassen sich Scripts von WordPress-Plugins, die nicht geladen werden dürften, blocken. Das Feature ist jedoch nur noch für Profis zu bedienen und selbst dann ist das Verhalten nur schwer nachzuvollziehen. An dieser Stelle hat Real Cookie Banner erneut eine deutlich intuitiver Lösung für dasselbe Problem gefunden.

Nutzer deiner Website können allen Cookies, nur essenziellen Cookies, einzelnen Cookie Gruppen oder auch nur einzelnen Cookies Einwilligungen geben. Damit sollte das Plugin allen rechtlichen Anforderungen gerecht werden. Einwilligungen speichert Borlabs Cookie in einfacher Form ab, was dem Zweck dienlich sein sollte. Im Streitfall fehlen aber Daten wie das Aussehen des Cookie Banners oder dessen Texte zum Zeitpunkt der Einwilligung, da Borlabs Cookie dies Informationen nicht archiviert. Zudem können mittels Shortcodes Links zum Ändern und Widerrufen der Einwilligung, z.B. in der Datenschutzerklärung, platziert werden. Damit erfüllst du auch hier die rechtlichen Anforderungen.

Gängige Mehrsprachen-Plugins wie WPML oder Polylang unterstützt Borlabs Cookie. Einen Wermutstropfen für Website Betreiber mit mehreren Sprachen gibt es aber: Du musst alle Einstellungen, Cookies, Content- und Script-Blocker für jede Sprache einzeln pflegen. Das kostet bei der initialen Einrichtung sehr viel Zeit und der Grund für eine einfachere Umsetzung ist nicht wirklich nachvollziehbar.

Vorsichtig solltest du zudem mit den Cookie- und Content Blocker Vorlagen in Borlabs Cookie sein. Es gibt nicht viele Vorlagen, weshalb du sowieso viele der rechtlichen und technischen Angaben selbst recherchieren muss. Selbst wenn es Vorlagen gibt, solltest du dich aber nicht blind darauf verlassen, denn z.B. in der Google Tag Manager Vorlagen sind schlicht falsche Cookies hinterlegt. Hier verwechselt der Entwickler des Plugins offensichtlich Google Tag Manager und Google Analytics. Eine gewisse technische und rechtliche Expertise wird von dir also erwartet, um Entscheidungen richtig treffen zu können.

Dasselbe gilt für Anleitungen in der Knowledge Base des Herstellers. So beschreibt Borlabs z.B. wie Google Tag Manager mit Borlabs Cookie verwendet werden kann. Die Anleitung erklärt wie Google Tag Manager vor der Einwilligung geladen werden kann. Das ist nach der gängigen Auffassung von Rechtsanwälten nicht mehr mit geltendem Recht vereinbar. Immerhin weist der Hersteller in diesem Knowledge Base Artikel darauf hin, dass er von einer Nutzung der gemeinsamen beiden Tools abraten würde. Eine Lösung bietet er jedoch nicht.

Alles in allem bekommst du mit Borlabs Cookie als Cookie Consent Manager ein funktional gute Lösung, mit der du mit informatischen und rechtlichen Kenntnissen alle Tools an der Hand hast den WordPress Cookie-Hinweis korrekt einzurichten. Um eine korrekte Einrichtung musst du dich mit wenig Hilfestellung des Herstellers jedoch selbst kümmern. Der Preis von 39 € brutto pro Website und Jahr (wenn du viele Websites hast, gibt es Rabatt) erscheint dies als gerechtfertigt! Eine kostenlose Version gibt es nicht, weshalb du dir vor dem Kauf sicher sein solltest, dass du mit dem Plugin zurechtkommen wirst. Aber wenigstens kannst du mit einem Gutschein für Borlabs Cookie ein paar Euro sparen.

Vorteile

  • Faires Preis-Leistung-Verhältnis
  • Erkennt Bots und "Do Not Track" Header
  • Feingranulares Customizing der Darstellung in rund 100 Einstellungen
  • Rechtlichen wie technischen Informationen pro Cookie können hinterlegt werden
  • Content- und Script-Blocker erfüllt die rechtlichen Anforderungen mit Verknüpfung zu der Cookies
  • Cookie Consent Banner sollte rechtlichen Anforderungen entsprechen, wenn er korrekt eingerichtet wird
  • Einwilligungen werden in einfacher Form dokumentiert
  • Shortcodes ermöglichen einfach das Ändern und Widerrufen der Einwilligung
  • WordPress Multisite Support

Nachteile

  • Rechtliche und informatische Expertise zur korrekten Einrichtung vorausgesetzt
  • Keine Unterscheidung zwischen EU- und Drittland-Nutzern möglich
  • Customizer des Banners ohne Live-Vorschau
  • Cookies müssen händisch eingetragen werden
  • Cookies werden nach Widerruf der Einwilligung nicht vollständig automatisch entfernt
  • Script-Blocker selbst für Profis nur schwer nutzbar
  • Cookie- und Content Blocker Vorlagen mit falschen Angaben und irreführende Artikel in der Knowledge Base des Herstellers
  • Dokumentation der Einwilligung im Streitfall womöglich nicht ausreichend
  • Mit Mehrsprachen-Plugins müssen Einstellungen, Cookies, etc. pro Sprache separat verwaltet werden
Borlabs Cookie: Cookie Einstellungen
Borlabs Cookie: Cookie Einstellungen
Borlabs Cookie-Banner auf devowl.io
Borlabs Cookie-Banner auf devowl.io

Complianz

Complianz

Eine weitere gelungene Lösung und Borlabs Cookie-Alternative ist Complianz. Das Cookie Plugin ist für mehrere Rechtsräume verfügbar. Es bringt sehr viele Features mit - fast zu viele. Der Preis ist etwas gehobener, aber für den Funktionsumfang weiterhin angemessen.

Complianz begrüßt den Website-Betreiber mit einem Einrichtungsassistenten. Dieser fragt zunächst nach, in welchen Rechtsraum sich die Website bewegt. Das Plugin kann dabei neben der EU-DSGVO auch Regeln der PECR (Vereinigtes Königreich), CCPA (USA) oder PIPEDA (Kanada) umsetzen. Neben Cookies werden auch Cookie-Richtlinien, als Teil der Datenschutzerklärung, von dem WordPress Cookie-Hinweis-Plugin für dich generiert.

Das Erscheinungsbild deines Cookie-Banners kannst du mit rund 25 Einstellungen anpassen. Was zunächst nach viel klingt, erweist sich in der Praxis als Einschränkung. Wir konnten den Opt-in Cookie-Banner nicht so anpassen, dass er vollständig in das Coperate Design unserer Website passte.

Das WordPress Cookie-Plugin hat einen integrierten Cookie-Scanner. Dieser erkennt automatisch Cookies auf deiner Website und gleicht sie mit einer Datenbank ab. Damit können gängige Dienste automatisch erkannt werden. Auch wenn Complianz eine effiziente Lösung für den Cookie-Scanner verwendet, weist sie in der Dokumentation zu Cookie-Scan Ergebnissen darauf hin, dass sogenannte Third Party Cookies mit der gewählten Lösung nicht erkannt werden. So könnte z.B. eine eigen gebaute Einbindung von Google Analytics nicht erkannt werden. Deswegen solltest du die Ergebnisse auf jeden Fall händisch kontrollieren. Was hingehen gut funktioniert ist, dass Cookies in Gruppen zusammengefasst werden. Deine Nutzer können dabei nur ganzen Gruppen, aber keinen einzelnen Cookies zustimmen, was rechtlich zumindest bedenklich ist.

Integrationen mit gängigen Diensten wie YouTube, Vimeo oder Google Maps erleichtern die Arbeit mit dem Cookie Consent Banner. Dieser erkennt automatisch, wenn ein solcher Dienst verwendet wird und blockt ihn, sofern der Nutzer nicht in die Cookies des Dienstes eingewilligt hat. Dasselbe gilt für JavaScript Dateien, die von Plugins hinzugefügt wurden. Auch sie können für die dahinterliegende Komplexität im Verhältnis einfach blockiert werden, wenn keine Einwilligung vorliegt.

Die Einwilligung geht für deine Nutzer leicht von der Hand. Ein Klick und die Entscheidung ist getroffen. Im Hintergrund dokumentiert Complianz die Einwilligung und viele der getroffenen Einstellungen. Damit bist du als Website-Betreiber im Zweifelsfall in der Lage zu beweisen, dass, wann und wie einer deiner Nutzer in Cookies eingewilligt hat.

Complianz bietet noch eine Vielzahl weiterer Features wie A/-B-Testing, Erkennung von EU-Nutzern oder Support von Mehrsprachen-Plugins. Diese Fülle an Features erschlagen einen als Website-Betreiber jedoch fast, da die Oberfläche des Plugins im WordPress Backend wenig aufgeräumt wirkt. So hat es mir einige Minuten Zeit gekostet, bis ich die im Plugin hinterlegten Cookies erst in einem Untermenüpunkt als verstecken zweiten Schritt eines Wizards gefunden habe. Das ist schade, da unter der Haube so viel steckt das viele Website-Betreiber wohl nie entdecken werden...

Zusammengefasst: Mit Complianz bekommst du eine der wohl mächtigsten Opt-in Cookie-Banner Plugins für WordPress. Jedoch bekommst du auch eine eigene Komplexität hinzu, die du erst einmal managen musst. Für Hobby-Blogger meine ich, ist das Plugin zu komplex. Der Preis von 49,00 € brutto pro Website und Jahr wirkt für das Gebotene fast schon wieder klein. Und eine kostenlose Version mit eingeschränkten Funktionen gibt es zum Reinschnuppern ebenso.

Vorteile

  • Einrichtungsassistenten, der Website-Betreiber begleitet
  • Neben der EU-DSGVO auf für weitere Gesetze ausgelegt
  • Generator für Cookie-Richtlinien inklusive
  • Cookie-Scanner zum automatischen Einpflegen von Cookies
  • Content- und Script-Blocker mit im Verhältnis einfacher Handhabung
  • Unterscheidung zwischen EU und Drittland Nutzern möglich
  • Einwilligungen werden vollständig dokumentiert
  • A/B-Testing Support
  • WordPress Multisite Support

Nachteile

  • Customizer des Banners ohne Live-Vorschau
  • Cookie-Scanner findet nicht alle Cookies
  • Customizing der Darstellung des Cookie-Banners nur eingeschränkt möglich
  • Einwilligung nur von gesamten Cookie-Gruppen möglich, was rechtlich zumindest bedenklich ist
  • Unübersichtliche Oberfläche mit sehr vielen Features, die viele Nutzer überfordern sollte

Alle weiteren WordPress Cookie Plugins

Zusätzlich zu den drei oben ausführlicher beleuchteten WordPress Cookie Banner-Plugins kenne ich zum Zeitpunkt, als dieser Artikel entsteht, 14 weitere Cookie Plugins. Diese kannst du dir unter anderem im offiziellen Plugin-Verzeichnis auf wordpress.org herunterladen. Ich möchte dir diese Plugins jedoch aus verschiedenen Gründen nicht empfehlen. Der Vollständigkeit halber liste ich sie im Folgenden auf und erkläre dir kurz, warum ich dir diese WordPress Plugins nicht empfehlen kann:

  • Cookie Notice for GDPR & CCPA: Sehr einfaches Cookie Banner, dass mit über 1 Mio. aktiven Installationen das beliebteste Cookie Banner Plugin für WordPress ist. Und es ist komplett kostenlos! Es ist dennoch nicht empfehlenswert. Du musst das Cookie Banner nur mit sechs Einstellungen optisch anpassen - für alles Weitere musst du CSS Code schreiben. Zudem erlaubt es nur einen HTML- und JavaScript-Code auszuführen, wenn den Cookies zugestimmt. Du müsstest entsprechende Skripte laut aktueller Rechtslage jeder pro Cookie ausführen können. Zudem überlässt dir das Plugin alle rechtlichen Angaben selbst in deiner Datenschutzerklärung zu hinterlegen. Um das richtigzumachen, musst du schon ein halber Rechtsanwalt sein. Kostenlos ist hier also nicht immer zielführend.
  • GDPR Cookie Compliance: Viele Einstellungsmöglichkeiten in der unübersichtlichen Oberfläche, aber leider kann nur zwischen essenziellen Cookies, Drittanbieter Cookies und zusätzlichen Cookies unterschieden werden. Dem Nutzer der Website wird nicht die Möglichkeit gegeben über jedes Cookie einzeln zu entscheiden. Das sollte mit geltendem Recht in Deutschland nicht vereinbar sein und sollte bei einer kostenpflichtigen Lösung nicht vorkommen.
  • Cookiebot: Das Plugin der allgemein exzellenten Lösung funktioniert nur mit einer Anbindung an deren Cloud-Service, womit sich eine dauerhafte Abhängigkeit ergibt. Der Preis von 108€ bis 444€ pro Jahr und Website (Stand: Juni 2020) ist zudem happig.
  • iubenda – Cookie and Consent Solution for the GDPR & ePrivacy: Das Plugin bindet nur das Script des Cloud-Services ein, in dem das Cookie Consent Banner gehostet ist. Entsprechend ergibt sich hier eine große Abhängigkeit und bei einem Ausfall der iubenda Server kann keine Einwilligung auf deiner Website mehr eingeholt werden. Das Preismodell ist mit einer Jahresgebühr plus Extrakosten pro Aufruf der Website über einem bestimmten Limit zudem eher kompliziert und im Zweifel teuer.
  • GDPR Cookie Consent Banner: Das Plugin ist ein Cookie Hinweis mit sehr einfach gehaltener Opt-out Möglichkeit und damit nicht mehr mit geltendem Recht zu vereinbaren.
  • GDPR Cookie Consent: Das Plugin ist meiner Auffassung nach in seinen Standardeinstellungen in Deutschland nicht rechtskonform. Der Website-Betreiber muss erst selbständig nachjustieren. Zudem sind essenzielle Funktionen wie die Dokumentation der Einwilligungen den zahlenden Nutzern vorbehalten. Die kostenlose Version erscheint mir somit in keinem guten Licht. Wer eine Lösung ohne großen Zeitaufwand haben möchte, sollte lieber ein anderes Plugin verwenden.
  • WP DSGVO Tools (GDPR): Mächtiges Plugin, das weit mehr kann, als nur Cookie-Banner anzuzeigen. Das Einrichten des Plugins ist jedoch nicht intuitiv und scheint nur mit Cookies von Services möglich zu sein, die vom dem Plugin explizit bereits vorab definiert wurden. Dieses kann auf einer nicht ganz einfachen Website schnell zum Problem werden.
  • Italy Cookie Choices (for EU Cookie Law): Das Plugin wurde zuletzt vor ca. zwei Jahren gepflegt und ist, wie der Name bereits verrät, eher an die italienische rechtliche Praxis angepasst. Es steckt kein Geschäftsmodell hinter dem Plugin, sodass mit einer langfristigen Pflege des WordPress Plugins nicht zu rechnen ist.
  • Smart Cookie Kit: Das Plugin hat einen sehr technischen Aufbau. Wenn du kein Softwareentwickler bist, wirst du Schwierigkeiten haben, das Plugin in irgendeiner Weise zu nutzen. Außerdem ist es nicht möglich, dass deine Besucher selbst entscheiden können, welches einzelne Cookie sie verwenden möchten, daher dürfte es in der EU nicht rechtskonform sein.
  • Cookii – Free GDPR Cookie Consent: Neben einer sehr beschränkten Anpassbarkeit kannst du mit diesem Plugin nur Google Analytics, Facebook Pixel und zwei eigene Cookies verwalten. Danach ist Schluss, was für die meisten Websites nicht ausreichen dürfte.
  • Surbma | GDPR Proof Cookie Consent & Notice Bar: Das Plugin kommt mit einer schönen Oberfläche, aber es erlaubt deinen Nutzern nicht in einzelne Cookies einzuwirken. Trotz eines guten Ansatzes ist es daher aus rechtlicher Perspektive nicht zu empfehlen.
  • GDPR Cookie Consent by Supsystic: Das WordPress Plugin sieht auf den ersten Blick schön aus, erfüllt aber nicht die rechtliche Anforderung, dass Nutzer feingranular auswählen können, welchen Cookie sie zustimmen möchten.
  • WordPress GDPR Cookie Compliance: Ein Plugin, dass versucht vieles umzusetzen, doch alles nur halb gelöst hat. Eine Einwilligung einholen ist möglich, aber der Nutzer kann nicht pro Cookie entscheiden und alle Cookie Informationen zu den Cookies sollen auf einer von dir zu gestaltenden Unterseite ausgeschrieben werden. Kreativ waren die Entwickler hier um Arbeit zu sparen. Rechtskonform scheint das aber nicht zu sein.
  • LuckyWP Cookie Notice (GDPR): Das Plugin bietet ein Opt-in Cookie-Banner für exakt ein Cookie und das dazugehörige Script. Wenn du mehr haben möchtest, musst du dich selbst darum kümmern. Das ist leider nicht mehr als ein guter Startpunkt für Webentwickler zum Cookie-Banner selbst basteln.

Arten von Cookie Bannern

Alle empfehlenswerten Cookie Banner Plugins, die ich dir gerade vorgestellt habe, sind sogenannte Opt-in Cookie-Banner. In der EU (und Deutschland) sind nach aktueller Rechtslage nur noch Opt-in Cookie-Banner zulässig - warum dies so ist, erkläre ich dir weiter unten in den Rechtsgrundlagen.

Wenn du dich selbst auf die Suche nach dem perfekten DSGVO Cookie-Hinweis für deine Bedürfnisse begibst, wirst du jedoch auch auf Plugins und Dienste stoßen, die dir andere Arten von Cookie-Bannern anbieten. Teilweise bezeichnen sich diese fälschlicherweise als rechtskonform, da sie nach mittlerweile überholten rechtlichen Vorgaben umgesetzt wurden oder die Aussage schlicht zum Marketing nutzen, ohne die Rechtslage zu beachten.

Deswegen erkläre ich dir welche Arten von Cookie-Bannern es gibt, sodass du diese selbst unterscheiden kannst. Das ist wichtig, damit du nicht fälschlicherweise ein Cookie-Banner verwendest, dass dich rechtlich in Bedrängnis bringen könnte.

Anzumerken ist dabei, dass manche eingebundenen WordPress Plugins oder Dienste technisch betrachtet mehrere Cookies oder Cookie ähnliche Daten setzt. Ich bezeichne der Einfachheit halber im Folgenden alle Cookies eines Dienstes zusammen als ein Cookie.

Opt-in Cookie-Banner

Cookie-Banner, welche die explizite Einwilligung deiner Besucher einholen, ob Cookies gesetzt werden dürfen, bezeichnet man als Opt-in Cookie-Banner. Diese Art von Cookie-Banner stellt sicher, dass deine Besucher bei dem ersten Besuch deiner Website einen Dialog oder Banner angezeigt bekommen, in dem sie auswählen können, welche Cookies gesetzt werden dürfen. Wichtig dabei ist, dass der Benutzer die freie Wahl haben muss, welche Cookies er zulassen möchte und jedes Cookie einzeln abgelehnt werden kann. Das Cookie-Banner darf Cookie nicht bereits vorauswählen und damit deine Besucher bevormunden. Das ist rechtlich explizit verboten. Was jedoch rechtlich nicht endgültig geklärt ist und deswegen üblicherweise verwendet wird, ist ein Button oder Link, mit dem der Nutzer allen Cookies mit nur einem Klick zustimmen kann.

Das Opt-In Cookie-Banner sorgt dafür, dass Cookies DSGVO-konform erst nach der Einwilligung gesetzt werden. Das heißt jedoch im Umkehrschluss auch, dass Dienste wie Google Analytics erst eingebunden werden dürfen, nachdem der Nutzer dem explizit zugestimmt hat.

Opt-out Cookie-Banner

Das Gegenmodell zu Opt-in Cookie-Bannern sind die Opt-out Cookie-Banner, wie der Name bereits verrät. Bei dieser Art vom Cookie-Bannern werden Cookies zunächst gesetzt (Kein Cookie-Opt-in-Verfahren). Der Nutzer deiner Website muss jedoch sofort nach dem Betreten deiner Website die Möglichkeit erhalten dem zu widersprechen. Typischerweise zeigen diese Lösungen einen "Do Not Sell My Personal Information" Link am unteren Bildschirmrand an. Widerspricht der Nutzer, so müssen alle Cookies wieder gelöscht und der Einsatz der entsprechenden Plugins und Dienste unterbunden werden.

Diese Art von Cookie-Banner fordert der California Consumer Privacy Act (CCPA), nicht aber das EU-Recht. Mit diesem Gesetz sollen Einwohner von Kalifornien in den Vereinigte-Staaten geschützt werden. Folglich ist diese Art von Cookie-Banner nur für Websites relevant, die sich an den Markt in den USA wenden. Gleichzeitig sollte das restriktivere Verfahren des Opt-in Cookie-Banners aus der EU die Anforderungen des CCPA genauso erfüllen.

Hinweis auf Cookies

Zum Zeitpunkt als dieser Artikel entsteht, sind bloße Hinweise auf die Verwendung von Cookies noch sehr verbreitet. So schreiben auch große Verlage aus Deutschland auf ihren Websites nach wie vor Texte wie:

"Wir verwenden Cookies, um Ihnen die bestmögliche Nutzungserfahrung zu bieten. Sie stimmen der Nutzung von Cookies und unseren Datenschutzbestimmungen zu."

Lange Zeit haben viele Websites, insbesondere in Deutschland, solche Hinweise auf ihrer Website stehen gehabt. Zudem gab es in der ganzen Datenschutzerklärung verstreut Anleitungen, wie der Benutzer der Nutzung bestimmter Cookies widersprechen könnte - eine sehr nutzerunfreundliche Umsetzung des Opt-out Verfahrens. Das erfüllte nach Auffassung vieler die Vorgaben des deutsche Rechts. Meist wurde aber in den Datenschutzerklärungen nicht für alle Cookies erklärt, wie man diesem widersprechen kann, sodass nur ein Hinweis auf die Cookies übrig blieb. Mittlerweile ist jedoch höchstrichterlich klargestellt worden, dass solche Hinweise auch in Deutschland nicht zulässig sind. Mehr dazu erkläre ich dir in dem Abschnitt Rechtsgrundlagen. Inzwischen ist jedoch höchstrichterlich geklärt, dass solche Hinweise in der EU nicht zulässig sind und auch nicht in Deutschland. Mehr dazu erkläre ich im Abschnitt Rechtsgrundlagen.

Cookie Gruppen: Welche Cookies gibt es und welche Cookies benötigen eine Einwilligung?

In dem Vergleich der besten Cookie Plugins wurde bereits mehrfach über Cookie Gruppen gesprochen. Dabei stellt sich die Frage, was für Cookie Gruppen es geben sollte und wie Cookies inhaltlich voneinander getrennt werden sollten.

Prinzipiell wird von Rechtswegen nicht vorgeschrieben, in welche Gruppen Cookies unterteilt werden müssen. Viel mehr ist die Frage noch nicht endgültig geklärt, ob Cookie Gruppen rechtlich in Deutschland zulässig sind. Aktuell kann aber davon ausgegangen werden, dass sie zulässig sein werden oder sogar zu empfehlen sind - dazu in den Rechtsgrundlagen mehr. Einzig zwischen essenziellen Cookies und allen anderen Cookies ist aus rechtlichen Gründen zu unterscheiden. Was der Unterschied ist, erkläre ich dir gleich.

Entsprechend unterteilen die meisten WordPress Cookie Plugin die Cookies in verschiedene Gruppen anhand deren Funktion bzw. Nutzen. Die meisten Plugins erlauben es aber auch zusätzlich eigene Gruppen einzuführen. Welche Cookies welcher Gruppe zugehörig sind ist zudem eine Frage, welches jede Website für sich beantworten muss. Je nach Nutzung eines Dienstes, Plugins oder Einbindung externer Medien kann die Einschätzung verschieden sein.

Im Folgenden möchte ich euch anhand einer typischen Aufteilung von Cookies in vier Gruppen mit Beispielen zeigen, was für Cookies meiner Rechtsauffassung nach in welche Gruppen gehören.

Essenzielle Cookies

Im rechtlichen Sinne sind Cookies, die für den Betrieb der Website technisch zwingend notwendig sind, von allen anderen Cookies zu unterscheiden. Diese Cookies werden meist essenzielle Cookies genannt und sind die einzige Art von Cookies, die ohne explizite Einwilligung auf dem Computer deiner Besucher abgelegt werden dürfen. Du musst dessen Funktion dennoch in deiner Datenschutzerklärung (oder dem dort verlinkten Cookie-Banner) erklären.

Wichtig ist dabei die Frage richtig zu beantworten, was technisch zwingend notwendige Cookies sind. Häufig werden nämlich organisatorisch als essenziell angesehene Cookies von Website Betreibern mit technisch zwingend notwendige Cookies gleichgesetzt. Das kann fatale Folgen haben, da zum Setzer diese Cookies eine Einwilligung benötigt wird. Doch was ist der Unterschied? Du solltest dich immer fragen, ob die Grundfunktionalität deiner Website nicht mehr aufrechterhalten werden kann, wenn ein Cookie nicht gesetzt werden darf. Damit ist explizit nicht gemeint, ob z.B. du ein Tool benötigst, um den Umsatz zu erwirtschaften, damit die Website ihre Kosten tragen kann. Es sind nur Cookies gemeint, die aus Sicht deiner Besucher unabdingbar sind.

Das klingt sehr abstrakt, weshalb ich dir Beispiele für die Antwort auf diese Frage geben möchte:

  • Beispiel für essenzielles Cookie: In einem Online-Shop kann das Warenkorb-Cookie oder in einem Mitgliederbereich das Login-Status Cookie als essenziell angesehen werden. In beiden Fällen wäre ohne das Cookie der Nutzen der Website grundlegend beeinträchtigt, da der Besucher weder Produkte in seinen Warenkorb legen könnte, noch den Mitgliederbereich aufrufen könnte.
  • Beispiel für strittiges Cookie: Google Fonts ist ein Dienst, mit dem schöne Schriftarten auf Websites angezeigt werden können, auch wenn sie nicht auf dem Computer oder mobilen Endgerät des Nutzers installiert sind. Dabei werden Google Daten übermittelt und teils Cookies gesetzt. Praktisch würde vermutlich jeder zustimmen, dass diese Cookies essenziell sind, da eine Website mit einer Standardschriftart komplett anders aussieht, als mit einer schönen und passenden Schriftart. Rechtlich betrachtet hat der Nutzer deiner Website jedoch keinen funktionalen Einschränkungen, wenn die Website weniger hübsch aussieht. Zudem hast du als Betreiber der Website technisch die Möglichkeit Schriftarten von deinem eigenen Server aus auszuliefern und entsprechend keine Daten an Google zu übermitteln. In Folge dieser Argumente ist rechtlich umstritten, ob Dienste wie Google Fonts als essenziell angesehen werden können. Zum Zeitpunkt als ich diesen Artikel schreibe, gibt es dazu noch keine höchstrichterliche Entscheidung. Wenn du auf Nummer Sicher gehen möchtest, solltest du solche Cookies eher als nicht essenziell einstufen.
  • Beispiel für nicht essenzielles Cookie: Du möchtest Google Analytics auf deiner Website einbinden, um Nutzer tracken und damit die Qualität und/oder dem Umsatz deiner Website zu steigern. Deine Website würde ohne diesen Dienst und seine Cookies genauso wie mit diesen funktionieren. Ob du damit z.B. deine Website auf lange Sicht verbessern könntest, spielt bei der rechtlichen Betrachtung keine Rolle.

Statistik Cookies

Einfacher als essenzielle Cookies einzuordnen sind alle nicht essenziellen Cookies, wie Statistik Cookies. Unter dieser Gruppe versteht man alle Dienste, welche Daten über das Verhalten deiner Besucher aufzeichnen, wenn aus den Daten am Ende ablesbar ist, wie eine Gruppe von Nutzern oder alle Nutzer gemeinsam sich verhalten haben. Wichtig ist hierbei, dass aufgrund des Verhaltens des Nutzers die Inhalte deiner Website für ihn nicht personalisiert werden dürfen, da das nicht mehr rein statistischen Zwecken dient.

Beispiel für statistische Cookies: Google Analytics, Matomo oder Clicky sind Tools, welche das Verhalten deiner Besucher umfassend aufzeichnen und sich in aggregierter Form auswerten lassen.

Marketing Cookies

Es gibt eine Vielzahl an Diensten, die es dir ermöglichen Daten über einzelne Nutzer zu sammeln und auszuwerten. Die Auswertung der erhobenen Daten kann dazu führen, dass du einen Nutzer anders behandelt, ihm andere Inhalte anzeigst oder verschieden viel Geld dafür ausgibst, dass er auf dritten Websites Werbung zu deiner Website angezeigt bekommt. Bei dieser Gruppe Cookies könnten, müssen aber nicht, die Daten monetär ausgewertet werden.

Beispiel für Marketing Cookies: Google Ads oder Facebook Ads bieten an, Tracker auf deiner Website zu verbauen, welche den Erfolg deiner Werbekampagne überwachen. Die gesammelten Daten entscheiden darüber, welchen Nutzern Werbung ausgespielt wird und können auch darüber entscheiden, wie viel du dafür bietest, dass ein Nutzer deine Werbung sieht. Genauso ist Hotjar als Heatmap-Recorder im Bereich von Marketing anzusiedeln. Du nutzt die erhobenen Daten zwar nicht, um Werbung zu schalten, jedoch kannst du dir eine Aufnahme aller Klicks jedes einzelnen Nutzers ansehen und durch die gewonnen Erkenntnisse deine Website zum erzielen von z.B. mehr Verkäufen optimieren.

Externe Medien und andere Cookies

Zuletzt fassen viele Cookie-Banner Plugins Cookies zusammen, welche nicht näher bestimmte externe Medien laden. Externe Medien werten den Inhalt deiner Website meist auf. Würden diese fehlen, könnten Nutzer deine Website trotzdem verwenden, ohne grundlegend einschränkt zu sein.

Beispiel: YouTube, Vimeo oder Twitch, von denen du Videos als Iframe direkt in deine Website einbettest und welche sofort von den Diensten geladen werden.

Rechtsgrundlage: Braucht jede WordPress Website ein Opt-in Cookie-Banner (als Plugin)?

Nachdem du nun viele Lösungen kennengelernt hast und zwischen Cookie-Banner Arten und Cookie Gruppen unterscheiden kannst, wirst du dich nun bestimmt fragen:

"Warum werden Opt-in Cookie-Banner benötigt? Und braucht auch meine WordPress Website ein Cookie-Banner?"

Kurze Antwort: Seit Mai 2020 ist in Deutschland endgültig klar, dass Opt-in Cookie Lösung für alle nicht essenziellen Cookies Pflicht sind. Das betrifft auch deine WordPress Website, da du für fast alle Cookies eine Einwilligung benötigst.

Ich möchte dir deswegen im Folgenden möglichst einfach und praxisnah erklären, warum Opt-in Cookie-Banner für Websites Pflicht sind. Wir sehen uns dabei alle rechtlich relevanten Entscheidungen an und werfen auch einen Blick darauf, was für Gesetzte voraussichtlich in der Zukunft Cookies weiter regeln.

§ 16 Abs. 3 TMG (vor 2009)

Bis 2009 war die Rechtslage zum Einsatz von Cookies in Deutschland eher schwammig geregelt. Einige werden § 15 Abs. 3 TMG als deutsche Lösung der Cookie-Frage in Hinterkopf haben. Der Paragraf geht davon aus, dass die Einwilligung durch fehlenden Widerspruch des Nutzers automatisch erteilt wird (Opt-out Verfahren). Strittig war dabei, wie das Opt-out Verfahren aussehen muss. So gab und gibt es viele Cookie-Hinweise auf deutschen Websites, bei denen man nur einwilligen kann. Wie man seine Einwilligung pro eingesetzten Dienst oder Cookie widerruft, musste in der Datenschutzerklärung der Website erläutert werden. In der Praxis geschah das selten ausreichend klar.

ePrivacy-Richtlinie, auch Cookie-Richtlinie genannt (2009)

Die 2009 verabschiedete ePrivacy-Richtlinie, formal Richtlinie 2009/136/EG, sollte für Klarheit sorgen. Sie wurde als "Cookie-Richtlinie" bekannt, da sie erstmals auf EU-Ebene regelt, dass nicht technisch essenzielle Cookies in einem Opt-in Verfahren gesetzt werden müssen.

Eine Richtlinie der EU ist jedoch nicht mit einem Gesetz gleichzusetzen. Richtlinien müssen in nationales Recht umgesetzt werden. In Deutschland wurde die Richtlinie aber nie umgesetzt. Das sorgte für eine Grauzone, da die EU sagte, Opt-in sei Pflicht, in Deutschland nationale Gesetze jedoch dem widersprachen.

EU-DSGVO (Mai 2018)

Von der Einführung der EU-DSGVO versprachen sich viele von dieser Rechtsklarheit. In Erwägungsgrund 30 der EU-DSGVO wurde jedoch lediglich geregelt, dass Cookies personenbezogene Daten sein können. Das ist für die Verordnung wichtig, da sie primär den Umgang mit personenbezogenen Daten regelt. Cookies können somit auch unter die Regeln der EU-DSGVO fallen.

Nicht ausdrücklich wurde in der EU-DSGVO hingegen geregelt, wie mit Cookies im Allgemeinem umzugehen ist. Das sollte die ePrivacy-Verordnung (nicht zu verwechseln mit der ePrivacy-Richtlinie) regeln, welche ursprünglich mit oder kurz nach der EU-DSGVO eingeführt werden sollte. Dieses Vorhaben scheiterte jedoch an dem politischen Diskussionsprozess.

EuGH-Urteil (Oktober 2019)

Der EuGH stellte am 01.10.2019 in der Rechtssache C-673/17 klar, dass der deutsche Sonderweg eines Opt-Out Verfahrens nicht im Einklang mit ePrivacy-Richtlinie steht.

Damit stellte das Gericht klar, dass nicht technisch unbedingt notwendige Cookies nur noch nach einer expliziten Einwilligung, über das sogenannte Opt-in Verfahren, gesetzt werden dürfen. Außerdem leiteten die Richter aus der Richtlinie 2009/136/EC ab, dass keine Vorauswahl für den Nutzer getroffen werden darf. Das heißt, Kontrollkästchen mit bereits standardmäßiger Zustimmung zu allen Cookies sind nicht erlaubt. Ob jedoch ein "Ich akzeptiere alle Cookies" Button, der womöglich präsenter als ein "Nur essenzielle Cookies akzeptieren" Button ist, dem geltenden Recht entspricht, wurde bei dem Verfahren nicht geklärt. Deswegen wird diese Art der Darstellung in Opt-in Cookie-Bannern auch von vielen WordPress Plugins angeboten und empfohlen.

BGH-Urteil (Mai 2020)

Das im Oktober 2019 von EuGH gefällte Urteil wurde auf Anrufen des BGH gefällt. Somit ging der Fall zum BGH zurück und er musste das EuGH-Urteil in deutsches Recht interpretieren.

Das BGH hat für Deutschland am 28.05.2020 (Az. I ZR 7/16 – Cookie-Einwilligung II) den § 15 Abs. 3 TMG so interpretiert, dass er mit der ePrivacy-Verordnung im Einklang steht. Das Gericht meinte der Wortlaut "sofern der Nutzer dem nicht widerspricht" im deutschen Gesetz sei als "sofern der Nutzer einwilligt" zu verstehen. Seitdem ist klargestellt, dass nicht essenzielle Cookies in Deutschland einer expliziten Einwilligung (Opt-in Verfahren) bedürfen.

Ein ausführlicher und lesenswerter Artikel zu dem Urteil wurde von Rechtsanwalt Dr. Schwenke auf datenschutz-generator.de veröffentlicht.

ePrivacy-Verordnung (vsl. 2021/2022)

Die oben bereits angesprochene ePrivacy-Verordnung (kurz ePVO) soll den Umgang mit Cookies in der EU endgültig einheitlich regeln. Im Gegensatz zu einer Richtlinie muss eine Verordnung nicht erst in nationales Recht umgesetzt werden, sondern wird sofort in den Mitgliedsstaaten der EU angewendet.

Nach dem BGH-Urteil vom Mai 2020 sind jedoch nur noch Änderungen im Detail zu erwarten, da die ePrivacy-Verordnung in der aktuell diskutieren Fassung auch Cookies per Opt-in Verfahren vorschreibt. Was sich mit der Einführung jedoch ändert ist, dass dann alle Websites in der EU oder solche, die EU Nutzer ansprechen, mit entsprechenden Opt-in Cookie-Bannern ausgestattet werden müssen. Es ist zu erwarten, dass die ePrivacy-Verordnung ab 2021 oder 2022 anzuwenden ist (Stand: Juni 2020).

Dürfen Cookies in Gruppen zusammengefasst werden?

Viele Opt-in WordPress Cookie Plugins fassen Cookies in Gruppen zusammen. Ob dies zulässig ist, gilt als umstritten. Gerichtlich wurde diese Frage noch nicht geklärt.

Die FAQ des Landesdatenschutzbeauftragten Baden-Würtenberg empfiehlt Cookies in Gruppen zusammenzufassen. Jedoch müssen alle Cookies aus der Gruppe auch einzeln beschrieben und an- bzw. abwählbar sein. Die britische Datenschutzbehörde ICO hält diesen Verhalten in ihrem Status-Bericht hingegen als nicht mit der ePrivacy-Richtlinie vereinbar. Klarheit könnte hier die ePrivacy-Verordnung in wenigen Jahren bringen.

Rechtsfolgen bei dem Einsatz von Cookies ohne Einwilligung

Falls nicht essenzielle Cookies ohne vorherige Einwilligung gesetzt werden, stellt das ein Verstoß gegen die ePrivacy-Richtlinie dar. Sind die erhoben Daten personenbezogen, so kann sogar ein Verstoß gegen die EU-DSGVO vorliegen. Beides kann abgemahnt und mit Bußgeldern belegt werden. Der Verbraucherzentrale Bundesverband (VZBV) hat bereits Abmahnungen versendet.

Demnach besteht ein potenzielles Risiko wegen eines fehlenden Opt-in Cookie-Banners in Deutschland abgemahnt zu werden. Angesichts der großen Menge der Websites, die aktuell noch gegen diese Richtlinie bzw. das Gesetz verstoßen, dürfte dies aber dazu führen, dass nicht alle Website Betreiber sofort abgemahnt werden. Die Chancen bzw. Gefahr für eine Abmahnung oder ein Bußgeld sollten jedoch mit der Zeit steigen und somit auch die Notwendigkeit zu handeln.

Welche Cookies setzt eine WordPress Website?

WordPress Websites werden in der Regel mit einer Vielzahl an Plugins und einem zusätzlich installieren Theme betrieben. Diese können eigene Cookies oder Cookie ähnliche Informationen ablegen. Entsprechend kann diese Frage nicht pauschal beantworten werden. Vielmehr muss das jeder Website Betreiber selbst in Erfahrung bringen. Cookie Scanner helfen dabei. Jedoch bringt nur ein Teil der WordPress Opt-in Cookie-Banner Plugins einen Cookie Scanner/ Website-Cookie-Checker mit. Deswegen zeige ich dir weiter unten, wie das unabhängig von deinem Plugin funktioniert.

Beantwortet werden kann jedoch, welche Cookies das WordPress CMS ohne Themes und Plugins setzt. Das ist in dem Support-Bereich auf WordPress.org ausführlich beschrieben. Unterschieden werden muss zwischen zwei Arten von Benutzern, für die unterschiedliche Cookies gesetzt werden.

Angemeldete Benutzer:

  • wordpress_[hash]: Anmeldeinformationen des Benutzers als Hash
  • wordpress_logged_in_[hash]: Login-Status und die Benutzerkennung
  • wp-settings-[time]-[UID]: Benutzerbezogene Einstellungen für das WordPress Backend

Nicht angemeldete Benutzer:

  • comment_author_[hash]: Name des Kommentators
  • comment_author_email_[hash]: E-Mail-Adresse des Kommentators
  • comment_author_url_[hash]: Website-URL des Kommentators

Die Cookies für nicht angemeldete Benutzer beziehen sich alle auf die Kommentarfunktion von WordPress. Entsprechend werden sie nur dann gesetzt, wenn ein Benutzer in dem Kommentarbereich deiner WordPress Website einen Kommentar hinterlassen hat. Die Cookies dienen dazu, dass der Benutzer seine Daten nicht nochmals eingeben muss, falls er einen weiteren Kommentar schreiben möchte.

Wie finde ich alle Cookies, die meine Website setzt?

Diese Frage ist erneut nicht ganz einfach zu beantworten. Viele Cookies werden beim ersten Besuch der Website gesetzt. Zum Beispiel, wenn Google Analytics in die Website eingebunden wird. Es gibt jedoch auch Scripts, die nur auf bestimmten Unterseiten in die Website eingebunden werden und Cookies setzen. Zum Beispiel lädt das Plugin Jetpack seine Kommentarfunktion nur, wenn ein Kommentarbereich auf der Unterseite sichtbar ist. Zuletzt gibt es Cookies, die nur gesetzt werden, wenn der Benutzer eine bestimmte Interaktion mit der Website eingeht. Als Beispiel können die im vorherigen Abschnitt angeführten Cookies des Standard-WordPress Kommentar-Systems genannt werden.

Außerdem ist technisch betrachtet Cookie nicht gleich Cookie. Der Begriff "Cookie" steht rechtlich für sogenannte HTTP-Cookies. Die anzuwendenden Gesetze schreiben aber auch vor, dass Cookie-ähnliche Informationen den gleichen Rechten unterliegen. Technisch gibt es eine Vielzahl an Möglichkeiten solche Informationen abzuspeichern. Im Folgenden die gängigsten Methoden kurz erläutert:

  • HTTP Cookie: Klassischer Cookie, der bei jeder Verbindung an den Server übertragen wird.
  • Local Storage: Moderne lokale Speicherung von Informationen, ähnlich wie bei Cookies, die aber nur von JavaScript-Anwendungen gelesen werden können.
  • Session Storage: Genauso wie Local Storage, aber technisch auf den jeweiligen Tab im Browser beschränkt, in dem die Informationen gesetzt wurden.
  • Pixel Tracker: Laden einer (meist) unsichtbaren Grafik, die den Nutzer eindeutig identifizieren kann.
  • Flash Local Shared Object: Objekt zum Speichern von Informationen über Benutzer in Flash-Dateien (wird kaum noch verwendet).
  • IndexedDB: Moderne Alternative zum Local Storage für größere Datenmengen (noch selten genutzt).

Der Komplexität nicht genug, wird beim Setzen vieler Cookies und Cookie ähnlicher Informationen deren Sichtbarkeit beschränkt. Das bedeutet, dass z.B. ein Cookie, dass von devowl.io gesetzt wird, nur vom Server und von Scripts der Domain devowl.io wieder gelesen werden dürfen. Notwendig ist das, um zu verhindern, dass eine dritte Website (Third Partys genannt) z.B. den aktiven Login zu deinem WordPress Backend - in einem Cookie gespeichert - abfängt und über deren Server an den Betreiber der dritten Website weiterleitet. Tools, die deine Cookies suchen, müssen somit die Rechte haben auf alle Cookies, auch von Drittanbieter Websites, die in deiner Website integriert sind (z.B. Google Analytics), auszulesen.

Tools, welche dir versprechen, Cookies auf deiner Website zu finden, müssen also kritisch hinterfragt werden. Durchläuft das Tool alle Unterseiten deiner Website? Kannst du dabei mit deiner Website interagieren, um das Setzen von Cookies auszulösen? Liest das Tool nicht nur HTTP-Cookies aus, sondern jede Art von Cookie ähnlichen Informationen? Und hat das Tool überhaupt die Rechte alle Cookies auch von 3th-Partys auszulesen?

In unserem Artikel Wie finde ich alle Cookies (Services) auf meiner Website? erklären wir ausführlich, wie du manuell alle Services (nicht nur Cookies, da du oft eine Einwilligung für mehr als Cookies benötigst) auf deiner Website finden kannst. Das ist allerdings eine ziemlich harte Arbeit und erfordert Konzentration und etwas technisches Wissen.

Um dies zu umgehen, ist unser Service Scanner eine tolle, alternative Herangehensweise. Der Scanner durchsucht automatisch alle Unterseiten deiner Website nach Services, die für die Erstellung eines individuellen Cookie-Banners relevant sind. Wie genau unser Scanner funktioniert sowie Vor- und Nachteile dieses Features kannst du in unserem Artikel Was findet der Service Scanner (und was nicht)? nachlesen.

Typische Fehler beim Einsatz von Cookie-Banner Plugins in WordPress Websites

Du hast eines der besten Opt-in Cookie-Banner Plugins in deiner WordPress Website installiert. Zudem hast du dich damit auseinandergesetzt, was Cookie Gruppen sind. Und zu guter Letzt hast du Cookies deiner Website ausgelesen. Mit diesen umfangreichen Vorbereitungen: Was kann jetzt noch schiefgehen? Leider eine ganze Menge!

Ich habe dir die Top 10 typischen Fehler aufgelistet, die insbesondere technisch weniger visierte Betreiber von WordPress Website regelmäßig machen:

  1. Cookie-Banner nicht aktiviert: Trivial, aber trotzdem passiert es. Das Cookie-Banner wurde vollständig eingerichtet, aber für deine Besucher ist es nicht aktiviert. Prüfe auf jeden Fall in einem privaten Fenster deines Browsers als nicht eingeloggter Benutzer auf deiner WordPress Website, ob das Cookie-Banner angezeigt wird.
  2. Cache verhindert Auslieferung des Cookie-Banners: Viele WordPress Websites nutzen Caching Plugins, um schneller zu laden. Falls das Cookie-Banner Plugin den Cache nach der Änderung einer Einstellung nicht ordentlich invalidiert, kann das dazu führen, dass das Cookie-Banner nicht oder nur in veralteter Fassung ausgeliefert wird. Leere auf jeden Fall den Page-Cache, nachdem du dein Cookie-Banner eingerichtet oder verändert hast!
  3. Nicht alle Cookies erfasst: Oben habe ich beschrieben wie kompliziert es ist wirklich alle Cookies und Cookie ähnlichen Informationen zu finden. Da geht schnell mal ein Cookie durch die Lappen. Prüfe also sorgfältig, ob du wirklich alle Cookies in deinem DSGVO-Cookie-Banner erfasst hast. Verlasse dich im Zweifelsfall nicht auf Cookie-Scanner Tools.
  4. Cookies falsch eingruppiert: Selbst wenn du alle Cookies gefunden hast, bringt das nichts, wenn du nicht essenzielle Cookies als essenzielle Cookies einstufst. Hinterfrage also, wie oben beschrieben, sehr genau, ob ein Cookie wirklich essenziell ist. Meistens ist die ehrliche Antwort: Nein.
  5. Cookies oder Cookie Gruppen nicht richtig beschrieben: Du musst nicht nur die technischen Namen von Cookies auflisten, sondern für alle Cookies beschreiben, von wem diese zu welchem Zweck gesetzt werden, wie lange sie auf dem Rechner deines Besuchers verbleiben und wo er die Datenschutzerklärung des Anbieters, der den Cookie setzt, finden kann. Falls du Cookie Gruppen verwendest, musst zu du zudem beschreiben, was für Cookies sich in dieser Gruppe befinden.
  6. Setzen des Cookies vor der Einwilligung: Alle Cookies korrekt beschreiben in deinem Cookie-Banner bringt jedoch auch nichts, wenn die Cookies vor der Einwilligung deines Besuchers bereits gesetzt werden. Stelle also sicher, dass wirklich alle nicht essenziellen Scripts und Cookies erst ausgeführt bzw. gesetzt werden, wenn du die Einwilligung deiner Besucher hast. Viele Opt-in Cookie-Banner Plugins für WordPress erlauben dir hierzu HTML und JavaScript anzugeben, was erst nach der Einwilligung ausgeführt wird. Das ist meist sicherer, als viele WordPress Plugins, die z.B. Google Analytics für dich in deine Website einbinden.
  7. Einwilligungen nicht ordentlich dokumentiert: Der Besucher deiner Website könnte jederzeit anzweifeln, dass er eingewilligt hat, dass du Cookies auf seinem Computer oder mobilen Endgerät setzen darfst. Dank der (einfach gesprochen) Beweislastumkehr der EU-DSGVO musst du beweisen, dass er eingewilligt hat. Folglich muss die Einwilligung über die nächsten ca. 5 Jahre, bis zur Verjährung der möglichen Straftat durch den möglichen Datenschutzverstoß, vollständig aufbewahrt werden. Achte bei der Auswahl des Cookie-Banner Plugins also darauf, dass dieses die Einwilligung vollständig dokumentiert und mache regelmäßig Backups von deiner Website.
  8. Keine Möglichkeit seine Einwilligung zu ändern: Du musst dem Besucher deiner Website die Möglichkeit geben seine Einwilligung jederzeit abzuändern. Stelle also sicher, dass in der Datenschutzerklärung oder dem Footer deiner Website es möglich ist, dass Cookie-Banner jederzeit wieder aufzurufen.
  9. Widerruf der Einwilligung nicht möglich: Genauso muss der Besucher deiner Website jederzeit seine Einwilligung zum Setzen von Cookies einfach, z.B. durch den Klick auf einen Link, widerrufen können. Einen solchen Link solltest du unbedingt in deiner Datenschutzerklärung platziert haben!
  10. Cookies nach Widerruf nicht gelöscht: Wenn dein Besucher seine Einwilligung zu einem oder mehreren Cookies widerruft, bist du als Website-Betreiber dafür verantwortlich, dass die entsprechenden Scripts ab dem Zeitpunkt des Widerrufs nicht mehr für diesen Benutzer ausgeführt werden und die bislang bereits gesetzten Cookies wieder von seinem Computer entfernt werden. Dazu bieten dir viele Opt-in Cookie-Banner Plugins an für WordPress an JavaScript auszuführen. Diese Möglichkeit solltest du unbedingt nutzen!

Du solltest auf jeden Fall vermeiden, dass du diese Fehler ebenso machst. Ansonsten kann der große Aufwand, den du dir zum Einrichten eines Opt-in Cookie-Banners auf deiner Website machst, für die Katz' gewesen sein.

Falls du Hilfe bei der Einrichtung deines Cookie-Banners benötigst, öffne gerne ein Support-Ticket bei uns und wir werden dir ein individuelles Angebot machen, um den Opt-in Cookie-Banner in deiner WordPress Website einzurichten.

Tipp: Weitere typische Fehler kannst du in unserem Artikel Vermeide die 15 häufigsten Fehler in deinem Cookie Banner! nachlesen.

Fazit: Opt-in Cookie-Banner sind fast immer Pflicht

Wir haben uns in diesem Artikel nicht nur angesehen was die besten Opt-in Cookie-Banner Plugins für WordPress sind, sondern auch eine Vielzahl an Verständnisfragen behandelt. Wenn du den Artikel vollständig gelesen hast, weißt du nun was für Arten von Cookie-Bannern es gibt, was Cookie-Gruppen sind und wie du Cookies in diese eingruppieren kannst, ob und auf welcher Rechtsgrundlage ein Cookie-Banner in deiner WordPress Website angezeigt werden muss, wie du herausfindest welche Cookies deine Website setzt und hast typische Fehler beim Einsatz eines DSGVO-Cookie-Banner Plugins kennengelernt. Die typischen Fehler solltest du auf jeden Fall vermeiden, da sonst deine ganze Mühe ein Cookie-Banner anzuwenden, nichts bringen könnten!

Zusammenfassend kann ich sagen, dass es sehr schwierig ist - insbesondere bei Projekten von Kunden, wenn du WordPress Websites als Auftragsarbeit baust - eine Website zu bauen, die keine Cookies setzt. Wenn sich deine Website an Nutzer aus der EU richtet, dann musst du nach aktueller Rechtslage zum Setzen der meisten Cookies die Einwilligung deiner Besucher einholen. Ein Opt-in Cookie-Banner ist dann für deine WordPress Website Pflicht!

Ich persönlich verwende für unsere Websites das Real Cookie Banner WordPress Plugin. Es bietet für einen vernünftigen Preis die meisten Features, ermöglicht dir eine rechtssichere Einrichtung und ist aktuell das Plugin, welches ich am besten empfehlen kann.

Abonniere den kostenlosen Newsletter!

Du möchtest mehr über WordPress erfahren? Erhalte News, Tipps und devowl.io Produkt-Updates etwa zweimal im Monat in deinen Posteingang!