⚡ [NEU] Mein SEO-Kurs "Keyword Mastery" ist da!Ja, zeig mir den SEO-Kurs!

Die 5 besten WordPress Cookie Plugins in 2020 (3 davon kostenlos)

Du willst deine WordPress-Website mit einem Cookie-Plugin rechtlich absichern? Oder du bist unsicher, ob ein einfacher Cookie-Hinweis ausreicht?

Dann bist du hier richtig!

In diesem Artikel stelle ich dir die 5 besten Cookie-Plugins für WordPress vor (inkl. Vor- und Nachteilen) und gebe dir einen kurzen Überblick über die aktuelle Rechtslage.

Und ja, um es vorwegzunehmen:

Seit einem BGH-Urteil Ende Mai 2020 ist für bestimmte Cookie-Arten ein Opt-in (eine explizite Einwilligung) ist in Deutschland endgültig Pflicht!

Zu den einwilligungspflichtigen Cookies gehören z. B. Google AdSense, Facebook-Pixel, Google Analytics und andere Werbe-Cookies. Mehr dazu findest du in Punkt 6 und 7 dieses Artikels.

Aber fangen wir doch mit den besten WordPress Cookie Plugins an:

Achtung: Dieser Blogbeitrag ist keine Rechtsberatung! Im Rahmen meiner Arbeit als Blogger und WordPress-Dienstleister habe ich mich zwar intensiv mit den geltenden Datenschutzbestimmungen und der DSGVO beschäftigt, ich bin jedoch weder Jurist noch Datenschutz-Experte. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen.

1. Borlabs Cookie

Borlabs Cookie

Preis: 39 € für 1 Website, 59 € für 2 Websites, 149 € für 25 Websites und 299 € für 99 Websites (enthält 1 Jahr Support und Updates)

Reden wir nicht um den heißen Brei herum:

Borlabs Cookie ist das beste Cookie-Plugin für WordPress auf dem Markt.

Es bietet von allen vorgestellten Plugins die meisten Einstellungsmöglichkeiten und das beste Gesamtpaket.

Borlabs ist kein einfaches Cookie-Hinweis-Plugin, sondern eine Opt-In-Lösung (auch Cookie Consent Plugin genannt, unter Punkt 6 gehe ich näher auf die verschiedenen Arten von Cookie-Plugins ein).

Das heißt Code und Scripte, wie z. B. den Facebook Pixel, Google Analytics oder Matomo (ehemals Piwik) werden mit Borlabs Cookie erst nach expliziter Zustimmung des Nutzers zu laden.

Mit Version 2 von Borlabs Cookie lassen sich dabei verschiedene Cookie-Gruppen anlegen, in die du deinen Code bzw. deine Scripte einteilen kannst:

Cookie-Gruppen in den Einstellungen von Borlabs Cookie anlegen

Die Opt-In-Aufforderung mit den angelegten Cookie-Gruppen wird direkt dann beim Aufruf einer Webseite geladen:

Cookie Pop-Up von Borlabs Cookie mit blockiertem Inhalt

Das Pop-Up kannst du dabei beliebig im Design anpassen. Du kannst Farben, Anzeigeposition, Schriftart, Schriftgröße, das Logo und die Animation und alle Texte verändern.

Doch das ist nicht alles!

Borlabs Cookie ergänzt WordPress auch noch um einem (sehr guten!) Content Blocker für eingebettete Inhalte.

Dadurch werden YouTube- und Vimeo-Videos, Facebook-Posts, Google Maps und Co. erst nach Klick auf einen Button geladen. Anstelle des Inhalts wird dann ein Vorschaubild mit Button angezeigt:

Von Borlabs Cookie blockiertes eingebettetes YouTube-Video

Mit der neusten Version von Borlabs Cookie erreiche ich zudem bei meinen Blogs in der Regel durchgängig eine Opt-In-Rate von 70% – 90%, was ein extrem guter Wert ist:

Opt-In-Statistik von Borlabs Cookies

Es gibt lediglich ein Manko an Borlabs Cookie, das hier nicht unerwähnt bleiben soll:

Seit Version 2.0 hat sich das Bezahlmodell von einer Einmalzahlung zu einem jährlichen Preis geändert. Wenn man bedenkt, wie viel Arbeit in dem Support und der Weiterentwicklung eines Plugins stecken, finde ich das jedoch durchaus gerechtfertigt.

Spar-Tipp: Gib beim Bestellvorgang den Gutschein-Code BLOGMOJO ein, um 5% auf Borlabs Cookie zu sparen.

Jetzt kaufenZum Testbericht

Vorteile

  • 100% kompatibel zum Gutenberg-Editor
  • Viele Anpassungs- und Einstellungsmöglichkeiten
  • schickes Design der Opt-In-Box
  • Zwei-Klick-Lösung für eingebettete Inhalte (z. B. von YouTube, Google Maps, Instagram, Twitter oder Vimeo)
  • Shortcode, um beliebige Inhalte zu blockieren und erst nach dem Klick verfügbar zu machen
  • Funktioniert mit den meisten gängigen Caching-Plugins
  • Opt-In-Statistiken im Dashboard
  • kompatibel zu vielen Page-Buildern, wie z. B. WPBakery, Thrive Architect oder Elementor
  • Verwaltung einzelner Cookies und Cookie-Gruppen
  • funktioniert mit mehrsprachigen Websites (WPML oder Polylang)
  • Sehr guter Support (auch auf Deutsch, denn der Entwickler kommt aus Deutschland)
  • Ständige Weiterentwicklung
  • Übersichtliche Plugin-Einstellungen, die sich auch mobil bedienen lassen
  • Script-Blocker zur Blockierung von Javascript, das durch andere Plugins in deine Website eingefügt wird
  • seit Version 2.2 kompatibel zum Werbenetzwerk Ezoic

Nachteile

  • Kein einmaliger, sondern jährlicher Preis
  • Cookie-Angaben sowie die dazugehörigen Scripte müssen manuell in den Einstellungen hinterlegt werden (zu gängigen Cookies und Scripten gibt es jedoch Vorlagen und ein Cookie-Scanner ist bereits in Entwicklung)

2. DSGVO Pixelmate

DSGVO Pixelmate

Preis: 39 € für eine Website, 89 € für 3 Websites, 199 € für 10 Websites, 349 € für beliebig viele Websites (alle Preise einmalig!)

Das Cookie-Plugin DSGVO Pixelmate wurde von Soulsites in Zusammenarbeit mit der Rechtsanwältin Sabrina Keese-Haufs entwickelt.

Es stellt eine sehr gute Alternative für Borlabs Cookie dar, wenn du…

  1. lediglich für Google Analytics, den Facebook Pixel und/oder wenige andere Scripte ein Opt-in brauchst.
  2. du auf erweiterte Einstellungs- und Anpassungsmöglichkeiten verzichten kannst.
  3. weniger Geld ausgeben willst (für eine Website kostet DSGVO Pixelmate einmalig 39 €, während Borlabs Cookie denselben Betrag jährlich kostet).

DSGVO Pixelmate überzeugt vor allem dadurch, dass es sich einfach und schnell konfigurieren lässt.

Um Google Analytics bzw. den Facebook Pixel einzubinden brauchst du z. B. nicht den kompletten Tracking-Code.

Es reichen die Google Tracking ID bzw. Facebook Pixel ID:

Opt-in für Google Analytics mit DSGVO Pixelmate einbinden

Auch sonstige Scripte lassen sich einfach und schnell in Head, Body oder Footer einbinden. Je nach Art kannst du diese in die Cookie-Gruppen Statistik oder Werbung einteilen:

Opt-in für sonstige Scripte mit DSGVO Pixelmate einbinden

Ähnlich wie Borlabs Cookie verfügt auch DSGVO Pixelmate über eine Option externe Ressourcen zu blockieren und erst nach dem Klick verfügbar zu machen (in den Einstellungen genannt “Datenkontrolle”).

Ein eingebundenes Vimeo-Video sieht bei aktivierter Datenkontrolle so aus:

Blockiertes Vimeo-Video mit DSGVO Pixelmate

Großer Vorteil gegenüber Borlabs Cookie, Complianz und Cookiebot:

Es kostet einmalig 39 € und du musst kein monatliches oder jährliches Abo abschließen.

Zum Plugin

Vorteile

  • einmaliger Preis, kein Jahres- oder Monatsabo
  • leicht zu bedienen
  • einfache Einbindung von Google Analytics, dem Facebook Pixel und sonstiger Scripte
  • Sonstige Scripte können mit dem Plugin in Head, Body oder Footer eingebunden werden
  • Aussehen des Cookie-Banners individuell anpassbar
  • Einteilen der Scripte in Cookie-Gruppen möglich (Statistik und Werbung)
  • Option zum Blockieren aller externen Ressourcen, z. B. für YouTube, Vimeo, Twitter und Google Maps
  • eigene Facebook-Gruppe zum Cookie-Plugin, in der man Fragen stellen kann
  • entwickelt in Zusammenarbeit mit einer Rechtsanwältin
  • Einblenden eines Widerrufs-Buttons möglich (erscheint im Footer)

Nachteile

  • Nicht so gut geeignet, um viele externe Scripte bzw. Cookies zu verwalten (dafür sind die Cookie-Gruppen von Borlabs Cookie besser)
  • Keine Detail-Informationen zu den verwendeten Cookies hinterlegbar
  • Keine Statistiken über Opt-In-Rate
  • Design-Anpassungen für die Cookie-Meldung nicht sonderlich umfangreich (nur zwei Layouts für das Cookie-Banner und keine Blockierung des gesamten Bildschirms möglich, z. B. mit schwarzem Hintergrund)
  • Kein Shortcode zum Blockieren externer Ressourcen
  • Platzhalter für blockierte externer Ressourcen nur bedingt anpassbar (nur Texte für YouTube und Vimeo-Videos können verändert werden)
  • Kein einfaches Zurücksetzen der Cookie-Einwilligungen seitens des Administrators möglich

3. Complianz

Complianz

Preis: kostenlos (mit geringerem Funktionsumfang), $55 für 1 Domain, $165 für 5 Domains, $335 für unbegrenzt viele Domains (enthält 1 Jahr Support und Updates)

Complianz wurde von Rogier Lankhorst entwickelt, der vor allem bekannt für das Plugin Really Simple SSL ist.

Mit 4+ Millionen Downloads gehört Really Simple SSL zu den beliebtesten WordPress-Plugins überhaupt.

Und auch mit Complianz ist dem Entwickler ein empfehlenswertes Plugin gelungen:

Complianz ist die eierlegende Wollmilchsau unter den Cookie-Plugins und zeichnet sich durch einen großen Funktionsumfang aus:

  • Einteilung der Cookies in Cookie-Gruppen
  • Viele Gestaltungsoptionen für das Cookie-Banner
  • Einen Content-Blocker für iframes und Embeds (YouTube, Vimeo, Google Maps etc.)
  • Einen Cookie-Scanner (ähnlich wie CookieBot, nur mit wöchentlichen Scans!)
  • Erstellung von Impressum und Datenschutzerklärung (nur Premium-Version)
  • Split-Testing des Cookie-Banners (nur Premium-Version)

Dazu kommt:

Die Basis-Version des Plugins ist kostenlos.

Eine bessere Alternative zu Borlabs Cookie also?

Leider nicht ganz.

Auch, wenn mir Funktionen wie der Cookie-Scanner und Split-Testing gut gefallen haben:

Ich habe bei Complianz immer wieder das Gefühl, dass viele Funktionen noch nicht so ganz ausgereift sind.

Und dass die Quantität der Funktionen auf Kosten von deren Qualität geht.

So sind die Plugin-Einstellungen und der Einrichtungsassistent nur lückenhaft oder schlecht auf Deutsch übersetzt. Hier z. B. die Startseite des Assistenten (schlecht bzw. gar nicht übersetzter Text ist pink hinterlegt):

Complianz ist leider lückenhaft ins Deutsche übersetzt

Auch der Content-Blocker bei Complianz ist verbesserungswürdig. Bei eingebetteten Instagram-Inhalten hatte das Plugin auf meiner Website Probleme mit längeren Texten:

Der Content-Blocker von Complianz ist noch nicht ganz ausgereift

Borlabs Cookie hat zudem das schickere (und besser individualisierbare) Cookie-Banner.

Das Cookie-Banner von Complianz ist vom Design her eher fade:

Cookie-Banner von Complianz

Allerdings:

Auch wenn Complianz nicht ganz an Borlabs Cookie herankommt, ist es auf jeden Fall eine bessere Alternative zu CookieBot.

Im Test liegt das Cookie-Plugin etwa gleichauf mit CookieBot, landet aber auf dem zweiten Platz, weil es deutlich günstiger und die Preisgestaltung fairer ist.

Zum Plugin

Vorteile

  • Einrichtung per Assistent
  • Brauchbare kostenlose Version
  • Cookie-Scanner, der Cookies auf der Website automatisch erkennt (mit wöchentlichen Scans)
  • Nimmt Rücksicht auf Gesetzgebung außerhalb der EU (wie z. B. COPPA oder CCPA)
  • Generiert automatisch eine Cookie Policy
  • Generiert bei Bedarf ein Impressum und eine Datenschutzerklärung (in der Premium-Version)
  • Scannt wöchentlich auf neue Cookies (CookieBot macht das nur monatlich)
  • CSS- und JS-Dateien werden komplett lokal geladen (und nicht wie bei CookieBot von Drittservern)
  • Split-Testing verschiedener Cookie-Banner möglich (in der Premium-Version)
  • To-Do-Liste im Dashboard
  • Deutlich günstiger als CookieBot
  • Sehr guter Support (selbst für die kostenlose Version)
  • Design des Cookie-Banners lässt sich individuell anpassen

Nachteile

  • Zum Teil nicht gut oder lückenhaft ins Deutsche übersetzt
  • Manche Funktionen sind noch nicht ganz ausgereift
  • Standard-Design des Cookie-Banners eher fade
  • Es lassen sich keine eigenen Cookie-Gruppen anlegen oder die Namen der vordefinierten Cookie-Gruppen ändern
  • Content-Blocker bietet keine schönen Platzhalter und hat zum Teil Darstellungsprobleme
  • Einstellungsseiten sind etwas unübersichtlich und nicht so schön gestaltet
  • Teurer als Borlabs Cookie oder DSGVO Pixelmate

4. Cookiebot

Cookiebot

Preis: kostenlos für eine Domain mit unter 100 Seiten, 9 € pro Domain und pro Monat mit unter 500 Seiten, 21 € pro Domain und pro Monat mit unter 5.000 Seiten, 37 € pro Domain und pro Monat mit über 5.000 Seiten

Cookiebot ist ein sehr interessantes Cookie-Plugin, dem ein anderes Konzept als Borlabs Cookie zugrunde liegt.

Es scannt nämlich deine Website automatisch auf Cookies!

Dabei teilt es sehr viele Cookies schon automatisch in verschiedene Kategorien ein, die beim Opt-in dann von Besuchern an- oder abgewählt werden können:

Von Cookiebot-Scanner gefundene Cookies

Cookies, die Cookiebot unbekannt sind, kannst du manuell in Kategorien einteilen:

Nicht klassifiziertes Cookie bei Cookiebot

Beim Aufruf deiner Website werden alle vom Cookie Bot gefundenen Cookies dann automatisch blockiert und erst gesetzt, nachdem der Nutzer dem zugestimmt hat:

Cookie-Pop-Up von Cookiebot

Kurzum:

Mit Cookiebot musst du deine bestehenden Scripte nicht manuell in das Plugin einfügen wie bei anderen Cookie-Plugins!

Doch trotz seines innovativen Konzepts landet das Plugin nur auf Platz 2.

Denn es zeigt deutliche Schwächen beim Content Blocker:

Erstens kann der lange nicht so viele Inhalte blockieren wie Borlabs Cookie. Zweitens zeigt das Cookie-Plugin nur einen unschönen Platzhalter-Text anstelle des blockierten Inhalts an, welcher sich leider auch nicht anpassen lässt:

Platzhalter von Cookiebot für blockiertes Video

Zudem wird der Cookiebot über ein externes und kein lokales Script geladen, was ich persönlich nicht sonderlich datenschutzfreundlich finde.

Was mich allerdings am meisten stört, ist das Preismodell, das sich nach Anzahl der Unterseiten einer Website richtet:

Für 9 € im Monat (das heißt 108 € pro Jahr) bekommst du 499 Unterseiten. Hört sich viel an, ist es aber nicht. Denn dazu zählen nicht nur Posts oder Seiten in WordPress, sondern auch Custom Post Types, Tags, Kategorien, Taxonomien, Pagination-Seiten oder sogar Medien-Seiten (wenn du keine Weiterleitung auf die Medien-Datei eingestellt hast).

Das heißt die meisten schon etwas länger bestehenden WordPress-Blogs oder -Websites fallen wahrscheinlich in den nächsthöheren Tarif für 21 € im Monat (252 € pro Jahr, bis 4.999 Unterseiten).

Das ist mehr als 8 Mal so teuer im Jahr wie Borlabs Cookie.

Zum Plugin

Vorteile

  • einfache Installation
  • für Websites bis zu 100 Seiten kostenlos
  • automatischer Cookie-Scan, bei dem alle Cookies auf deiner Website gesammelt und in Kategorien eingeteilt werden
  • alle Scripte und externen Ressourcen können so eingebunden bleiben, wie sie eingebunden sind, und müssen nicht ins Plugin verschoben werden (wie es bei Borlabs Cookie oder DSGVO Pixelmate der Fall ist)
  • kompatibel zu vielen Plugins von Dritt-Anbietern, wie z. B. Google Analyticator, Optinmonster, Google Analytics Dashboard for WP (GADWP), AddThis, Jetpack oder AddToAny
  • kompatibel mit jeder Website, nicht nur mit WordPress
  • hat einen Content Blocker, um eingebettete Inhalte zu blockieren

Nachteile

  • erfordert Erstellung eines Nutzer-Accounts, über den die meisten Einstellungen laufen
  • Cookiebot erfordert das Laden eines externen Scripts
  • Content-Blocker blockiert nicht alle externen Ressourcen
  • Content-Blocker blockiert nur Cookies externer Ressourcen, aber nicht die gesamte Verbindung (das heißt IP-Adressen werden trotzdem an externe Dienste übertragen)
  • Content-Blocker bietet keine schönen Platzhalter

5. Cookie Notice for GDPR von dfactory

Cookie Notice for GDPR

Preis: kostenlos

Cookie Notice for GDPR ist mit über 1 Millionen Downloads das mit Abstand beliebteste kostenlose Cookie-Plugin.

Du kannst es entweder als einfachen Cookie-Hinweis (um Nutzer über Cookies zu informieren) oder als Opt-in benutzen.

Für das Opt-in kannst du Scripte in den Plugin-Einstellungen eintragen, die dann erst nach Akzeptieren der Cookies geladen werden:

Script-Blockierung bei Cookie Notice for GDPR

Daneben bietet Cookie Notice for GDPR noch einige Zusatzeinstellungen, z. B. zum Designs des Cookie-Banners, zum Hinweis- und Buttontext oder zur Cookie-Laufzeit:

Weitere Einstellungen bei Cookie Notive for GDPR

Es eignet sich vor allem gut für private Websites oder kleinere Blogs, die nur ein oder zwei Scripte verwenden, die Cookies setzen.

Erweiterte Einstellungsmöglichkeiten bietet es leider nicht. Auch ein Content Blocker, wie ihn die anderen Cookie-Plugins haben, ist nicht enthalten.

Zum Plugin

Vorteile

  • komplett kostenlos
  • Verwendung als Opt-in möglich
  • Design und Position auf dem Bildschirm anpassbar
  • Bietet die Möglichkeit, Cookies im Nachhinein zu widerrufen
  • kommt ohne jQuery aus, was gut für die Ladezeit ist

Nachteile

  • Kein Support (Fragen im Support-Forum von WordPress werden in der Regel nicht beantwortet)
  • Wenige Einstellungsmöglichkeiten
  • Manchmal längere Zeiträume ohne Updates
  • Kein Content Blocker integriert
  • Wird nur in unregelmäßigen Abständen aktualisiert
  • altbackenes Design

6. Arten von Cookie-Bannern

Man unterscheidet generell drei Arten von Cookie-Bannern, die sich jeweils in ihrem Umgang mit Cookies unterscheiden:

6.1 Einfacher Cookie-Hinweis

Hier wird ein einfaches Banner angezeigt, das darüber informiert, dass Cookies auf deiner Website verwendet werden:

Beispiel für einen einfachen Cookie-Hinweis in Form eines Banners

Das Banner lässt sich einfach wegklicken, ohne dass dies einen Einfluss darauf hat, dass Cookies beim Weitersurfen gesetzt werden (oder bereits gesetzt wurden).

Achtung: Ein einfacher Cookie-Hinweis bietet keine Rechtssicherheit. Das bloße Informieren über Cookies reicht in vielen Fällen nicht aus und kann zu Abmahnungen oder Bußgeldern durch Datenschutzbehörden führen.

6.2 Opt-in

Ein Opt-in ist die datenschutzfreundlichste Art des Cookie-Banners.

Damit werden Cookies erst dann gesetzt, wenn der Nutzer dem explizit zugestimmt hat. Vor allem für Cookies, die zu Werbe- und Marktforschungszwecken gesetzt werden, ist ein Opt-in zwingend erforderlich.

Hier ein Beispiel mit dem WordPress-Plugins Borlabs Cookie:

Datenschutzeinstellungen von Borlabs Cookie

6.3 Opt-out

Äußerlich unterscheidet sich das Opt-out oft kaum von einem Opt-in:

Beispiel für ein Cookie-Opt-Out

Dennoch unterscheidet es sich in seiner Funktionsweise erheblich:

Denn bei einem Opt-out werden Cookies und dazugehörige Scripte bereits beim Aufruf der Website geladen.

Durch den Klick auf Ablehnen hat der Nutzer dann die Möglichkeit, dem Setzen des Cookies im Nachhinein zu widersprechen.

Achtung: Auch ein Opt-out bietet keine Rechtssicherheit im Umgang mit Werbe- oder Marktforschungs-Cookies, da diese beim Besuch auf der Website ohne explizite Zustimmung des Nutzers gesetzt werden.

7. Ist ein Opt-in für Cookies Pflicht?

Um es vorweg zu nehmen:

Ja, für technisch nicht notwendige Cookies, die zu Werbe- und Marktforschungszwecken diesen.

Wenn du also z. B. Google Adsense oder den Facebook Pixel auf deiner WordPress-Website nutzt, kommst du um ein Cookie-Plugin oder eine andere Consent-Lösung nicht herum.

Rechtliche Unsicherheiten im Umgang mit Cookies bestehen jedoch nach wie vor.

Aber fangen wir doch von vorne an:

7.1 Aktuelle Rechtslage in Deutschland

Seit es Cookies gibt, ist die Rechtslage zum Umgang mit ihnen in Deutschland schwammig.

Klarheit sollte eigentlich die 2009 vom Europäischen Parlament verabschiedete Richtlinie 2009/136/EG (Cookie-Richtlinie) schaffen, in der ein Opt-in für Cookies vorgeschrieben wird.

Diese Richtlinie wurde jedoch nie in deutsches Recht umgesetzt, was für eine rechtliche Grauzone gesorgt hat (selbst nach der Einführung der europaweiten DSGVO).

Für mehr Klarheit sorgte in diesem Jahr allerdings ein Urteil des Bundesgerichtshofs (BGH) vom 28.05.2020, das die Einwilligungspflicht nach der Cookie-Richtlinie bestätigt hat.

Dabei bezieht sich der BGH vor allem auf § 15 Abs. 3 des Telemediengesetzes:

(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. […]

Der letzte fett markierte Teil wird in der Entscheidung des BGH als sofern der Nutzer einwilligt hat interpretiert:

Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.

Kurzum:

Opt-outs (siehe 6.3) und einfache Cookie-Banner (siehe 6.1) mit Texten á la “Wir nutzen auf dieser Website Cookies. Wenn Sie weitersurfen, erklären Sie sich damit einverstanden.” sind für die Nutzung nicht notwendiger Cookies endgültig Geschichte.

Weitere Details und einen umfangreichen FAQ zum BGH-Urteil findest du auch bei Rechtsanwalt Dr. Schwenke.

7.2 Für welche Cookie-Arten brauche ich ein Opt-in?

Für Cookies, mit denen Nutzerprofile zur Marktforschung oder für Werbezwecke erstellt werden. Denn diese sind nicht unbedingt technisch notwendig oder “essenziell” und erfordern damit eine Einwilligung.

Dazu zählen mit großer Sicherheit:

  • Facebook-Pixel
  • Cookies von Werbediensten (wie z. B. Google AdSense, Ezoic, Media.net, plista, Taboola, Amazon Native Shopping Ads, Outbrain etc.)
  • Google Analytics mit eingeschalteten Werbefunktionen (z. B. bei Nutzung von Universal Analytics mit User ID, Zielgruppen, Verknüpfung zu AdSense oder Google Ads oder aktivierten Berichten zu demografischen Merkmalen und Interessen)

7.3 Welche Cookies sind technisch notwendig?

Neben Werbe-Cookies gibt es allerdings noch andere Cookie-Arten, die nicht auf die gleiche Weise von den Urteilen des BGH und EuGH betroffen sind.

Dies lässt sich aus Art. 5 Abs 3. der ePrivacy-Richtlinie von 2002 entnehmen:

Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.

Dazu dürften z. B. zählen:

  • Cookies zur Speicherung von Cookie-Einstellungen (irgendwie logisch, oder?)
  • Cookies zum Ausblenden von Pop-Ups oder Bannern
  • Cookies zum Speichern von Schriftgröße oder Sprachauswahl
  • Session-Cookies (Cookies, die beim Schließen des Browsers wieder gelöscht werden, z. B. zum Speichern eines Warenkorbs)
  • Cookies zum Load-Balancing (Verteilen der Server-Last)

Hier ist die Rechtslage nicht ganz eindeutig. Rechtsanwalt Dr. Schwenke schreibt treffend dazu:

Die Ansichten wann Cookies unbedingt erforderlich sind, reichen von “Nie” bis “Google-Analytics-Cookies sind notwendig, um eine Website wirtschaftlich zu betreiben und damit überhaupt am Leben zu erhalten“.

Deshalb gilt:

Hol dir lieber eine Einwilligung, wenn du dir nicht sicher bist, ob ein Cookie technisch notwendig ist oder nicht.

8. FAQ

Hier findest du häufige Fragen und Antworten rund um das Thema Cookie-Plugins und Cookies im Allgemeinen:

8.1 Welche Cookies setzt WordPress selbst?

Auch, wenn du keine Plugins installiert oder Scripte zusätzlich eingebunden hast, werden von WordPress Cookies gesetzt. Dazu zählen:

Für angemeldete Benutzer:

  1. wordpress_[hash]: In diesem Cookie werden beim Login deine WordPress-Nutzerdaten gespeichert (als Hash, also verschlüsselt)
  2. wordpress_logged_in_[hash]: Cookie, um einen eingeloggten Nutzer zu identifizieren. Wird nach dem Login gesetzt.
  3. wp-settings-{time}-[UID]: Cookie, in dem Einstellungen zum Admin-Bereich und der Website gespeichert werden. Enthält die User-ID deines WordPress-Nutzers.

Für nicht angemeldete Benutzer:

  1. comment_author_{HASH}: In diesem Cookie wird der Name eines Kommentators gespeichert (als Hash, also verschlüsselt).
  2. comment_author_email_{HASH}: In diesem Cookie wird die E-Mail-Adresse eines Kommentators gespeichert (als Hash, also verschlüsselt).
  3. comment_author_url_{HASH}: In diesem Cookie wird die Website-URL eines Kommentators gespeichert (als Hash, also verschlüsselt).
  4. wordpress_test_cookie: Cookie, das WordPress setzt, um zu testen, ob Cookies im Browser gesetzt werden können.

Die ersten drei Kommentar-Cookies nur dann gesetzt, wenn jemand beim Abschicken des Kommentars bei der Checkbox Meinen Namen, E-Mail und Website in diesem Browser speichern, bis ich wieder kommentiere. einen Haken gesetzt hat.

Die Länge der Cookies können mithilfe des Hooks auth_cookie_expiration angepasst werden. Wie man diesen Hook nutzt, kannst du im Developer Bereich von wordpress.org nachlesen.

Alle von WordPress gesetzten Cookies sind jedoch sehr wahrscheinlich als technisch notwendig anzusehen und bedürfen dementsprechend keines Opt-Ins.

8.2 Brauche ich für Matomo ein Opt-in?

Generell ist Matomo (ehemals Piwik), wenn du es auf deinem eigenen Server betreibst, als datenschutzfreundlicher anzusehen als Google Analytics.

Zudem lässt sich das Analyse-Tool auch ohne Cookies verwenden (allerdings werden auch ohne Cookies Nutzerprofile erstellt).

Es kommt allerdings entscheidend darauf an, wie du es nutzt.

Dient Matomo nur zur Erstellung von Besucherstatistiken, ist das rechtliche Risiko bei der Nutzung ohne Opt-in laut Rechtsanwalt Dr. Schwenke gering. Nutzt du es hingegen, um Nutzerprofile zur Marktforschung oder für Werbezwecke zu erstellen, sieht die Sache anders aus.

8.3 Brauche ich für Google Analytics ein Opt-in?

Wie bei Matomo kommt es zunächst darauf an, wie du Google Analytics benutzt:

Wenn du Werbefunktionen aktiviert hast (z. B. Universal Analytics mit User ID, Zielgruppen, Verknüpfung zu AdSense oder Google Ads oder aktivierten Berichten zu demografischen Merkmalen und Interessen) dann auf jeden Fall.

Wenn diese deaktiviert sind und du zudem die IP-Anonymisierung aktiviert hast, könnte eine Einwilligung mittels Cookie-Plugin oder einem anderen Consent-Tool jedoch nicht unbedingt erforderlich sein.

Da scheiden sich aber (wieder einmal) die Geister.

Das BayLDA sowie der LfDI Baden-Württemberg sind z. B. der Meinung, dass Google Analytics generell nur mit Einwilligung verwendet werden darf.

Die DSK erachtet zudem Nutzerkennungen, wie sie bei Google Analytics (auch unabhängig von anonymizeIP) verwendet werden, auch nicht als Pseudonymisierung:

Im Hinblick auf die Verwendung von Pseudonymen ist generell anzumerken, dass die Tatsache, dass die Nutzer etwa über IDs oder Kennungen bestimmbar gemacht werden, keine Pseudonymisierungsmaßnahme i. S. d. DSGVO darstellt.

8.4 Wie finde ich heraus, welche Cookies meine Website setzt?

Die einfachste Möglichkeit, um herauszufinden, welche Cookies deine Website setzt, ist das Tool Webbkoll.

Neben weiteren Infos zu HTTPS, HTTP Header etc. zeigt es dir auch eine Liste der First-Party-Cookies (von deiner eigenen Domain) und Third-Party-Cookies (von Dritt-Domains) an:

First-Party-Cookies und Third-Party-Cookies bei Webbkoll

8.5 Kann ich einen Cookie-Hinweis in WordPress ohne Plugin einbinden?

Ja, das ist mit Cookiebot möglich.

Der Cookie-Consent-Dienst kann anstelle des WordPress-Plugins auch manuell als JavaScript in den <head>-Bereich deiner Website eingebunden werden.

8.6 Dürfen Cookies bei der Einwilligung in Gruppen zusammengefasst werden?

Dazu gibt es noch keine Gerichtsurteile.

Laut einem FAQ des LfDI Baden-Württemberg, ist die Möglichkeit der Gliederung von Cookies in einzelne Kategorien erlaubt.

Auch die DSK spricht in ihrer Orientierungshilfe lediglich von einer Nennung der einzelnen Akteure, aber nicht davon, dass eine Einwilligung für jeden einzelnen Akteur gesondert erfolgen muss:

Beim erstmaligen Öffnen einer Website erscheint das Banner beispielsweise als eigenes HTML-Element. In der Regel besteht dieses HTML-Element aus einer Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge, die unter Nennung der beteiligten Akteure und deren Funktion ausreichend erklärt wird und über ein Auswahlmenü aktiviert werden können.

Finn Hillebrandt

Über den Autor

Finn ist der Gründer von Blogmojo. Er ist Vollzeit-Blogger und SEO-Nerd. Und das schon seit über 10 Jahren. Er setzt dabei nicht auf Hörensagen, sondern führt ständig eigene Tests und Case Studys durch, um zu sehen, was bei Google gerade funktioniert. Er liebt Schokolade, die so dunkel ist, dass er sie mit niemandem teilen muss (90 % und mehr).

Werbehinweis für Links mit Sternchen (*)

Es handelt sich um einen Affiliate-Link, das heißt, wenn du auf der verlinkten Website etwas kaufst, erhalten wir eine Provision. Dies hat keinerlei Einfluss darauf, wie wir ein Tool oder einen Anbieter bewerten. Wir empfehlen nur Tools bzw. Anbieter, hinter denen wir auch wirklich stehen. Für dich entstehen dadurch natürlich keine zusätzlichen Kosten! Du hilfst jedoch uns und diesem Projekt. Danke! ❤