Unser SEO-Kurs „New Level SEO“ hat Ende Oktober wieder seine Türen geöffnet!Ja, zeig mir den Kurs!
SEO-Fehler

10 Tage, 10 E-Mails

Du willst in 2022 mehr Besucher und Kunden über SEO bekommen?

Starte mit meinem kostenlosen E-Mail-Training, um 10 fatale SEO-Fehler zu vermeiden, die dich deine Google-Rankings kosten.

Die 5 besten WordPress Cookie Plugins in 2022 (ausführlicher Vergleich)

WordPress-Cookie-Plugins
Foto des Autors

Finn Hillebrandt

Zuletzt aktualisiert:

Du möchtest wissen, welches WordPress-Plugin am besten ist, um ein Cookie-Banner auf deiner Website anzuzeigen? Oder ob du überhaupt ein Cookie-Banner für deine Website benötigst?

Dann bist du hier richtig!

In diesem Artikel habe ich 5 der beliebtesten und am meisten empfohlenen WordPress-Cookie-Plugins für dich getestet.

Ich erkläre dir die Vor- und Nachteile der Plugins und worin sie sich unterscheiden, damit du die passende Lösung für deine Website finden und dich bestmöglich vor teuren Abmahnungen oder Bußgeldern schützen kannst. 💪

Bevor wir mit den Plugins starten, habe ich dir einen kleinen Guide rund um Cookies und Einwilligungen zusammengestellt.

Ich empfehle unbedingt, diesen zu lesen, um Missverständnisse zu vermeiden und später nicht in rechtliche Fettnäpfchen zu treten. ☝️

1. Was sind Cookies überhaupt?

Cookies (englisch „Kekse“) sind kleine Datensätze, die in einer Datenbank oder Textdatei im Browser deines Smartphones, Tablets oder PCs gespeichert werden:

Cookies dienen dazu, dich als Website-Besucher wiederzuerkennen und enthalten etwa Informationen zu aktiven Logins, Website-Einstellungen oder Warenkörben.

Zudem sind sie immer domainspezifisch, wie du oben im Screenshot von Mozilla Firefox erkennen kannst (in der Spalte „Website“).

2. Technisch erforderlich vs. nicht erforderlich

Der Gesetzgeber unterscheidet zwischen zwei verschiedenen Arten von Cookies:

💻 Technisch notwendige Cookies

Solche Cookies sind zum Betrieb deiner Website notwendig. Dazu zählen etwa Cookies, mit denen Warenkörbe oder Login-Daten gespeichert werden.

❌ Technisch nicht notwendige Cookies

Solche Cookies sind zum Betrieb deiner Website nicht zwingend notwendig. Dazu zählen Cookies, die du zu Marketing-, Webanalyse- oder Werbezwecken einsetzt, also für Dienste wie Google Analytics oder Google AdSense.

Wichtig zu verstehen ist:

Technisch nicht notwendige Cookies erfordern immer die explizite Einwilligung deiner Besucher. ☝️

3. First-Party vs. Third-Party-Cookies

Bei der Einordnung in „erforderlich“ und „nicht erforderlich“ kann ein weiteres Charakteristikum helfen:

Ob es sich um ein sogenanntes First-Party- oder um ein Third-Party-Cookie handelt.

Ein First-Party-Cookie wird von deiner eigenen Domain gesetzt. Dazu zählen bei deiner WordPress-Website etwa die Cookies, die bei der Kommentarfunktion die E-Mail, Website und Namen von Kommentatoren speichern, wenn diese den entsprechenden Haken setzen:

Third-Party-Cookies hingegen stammen von externen Diensten, die in deine Website eingebunden sind (wie Google Analytics oder Facebook Pixel).

Solche Cookies können datenschutzrechtlich problematisch sein, wenn die damit verknüpften Diensten auf vielen weiteren Websites zu finden sind. Denn dadurch können Nutzer „getrackt“, also deren Verhalten im Internet nachverfolgt werden (z. B. welche Websites oder Seiten Nutzer in welchem Zeitraum besucht haben).

Entsprechend kannst du dir als Faustregel merken:

Third-Party-Cookies erfordern meistens eine Einwilligung, First-Party-Cookies meistens nicht. ☝️

4. Gilt die Einwilligungspflicht nur für Cookies?

Nein, die Einwilligungspflicht gilt nicht nur für Cookies, sondern auch für andere Tracking-Methoden, wie Fingerprinting oder Tracking-Pixel.

Auch IP-Adressen von Website-Besuchern dürfen nur dann ohne Einwilligung gespeichert werden, wenn diese technisch notwendig für den Betrieb der Website sind. Online-Werbung über Google AdSense, Google Analytics und selbst extern geladene Webfonts wie Google Fonts sind zum Beispiel nicht technisch notwendig.

Deswegen spreche ich im Artikel häufiger von Diensten und nicht nur von Cookies.

Hinweis: Der Begriff „Cookie-Plugin“ ist entsprechend auch nicht weitreichend genug. Die Begriffe „Consent-Plugin“ oder „Opt-in-Plugin“ sind akkurater (sowohl „Opt-in“ als auch „Consent“ stehen im Englischen für Einwilligung). 🤓

5. Benötigt meine Website ein Cookie-Plugin?

Da die allermeisten Websites technisch nicht notwendige Cookies setzen oder externe Dienste nutzen, die deren IP-Adressen verarbeiten oder Besucher tracken, lautet die Antwort höchstwahrscheinlich:

Ja, du benötigst ein Cookie-Plugin! 👍

Es ist zwar möglich eine Website auch einwilligungsfrei zu gestalten, z. B. durch:

Aber das ist in vielen Fällen aufwendiger, erfordert mehr Auseinandersetzung mit der Technik und geht so gut wie immer mit einem Verzicht auf bestimmte Website-Features oder Daten einher.

Einfacher ist es, ein Plugin wie Real Cookie Banner zu benutzen, unseren aktuellen Testsieger:

Platz 3: Complianz

Complianz
Bestes Feature: Großer Funktionsumfang
Größte Einschränkung: Cookie-Scanner ist unzuverlässig
Preis: ab 39 € netto pro Jahr

Complianz ist die Eier legende Wollmilchsau unter den Cookie-Plugins. Es zeichnet sich durch einen großen Funktionsumfang aus:

Es bietet es einen Content-Blocker, viele Gestaltungsmöglichkeiten für das Cookie-Banner, Cookie-Gruppen und einen Einrichtungsassistenten, der dich Schritt für Schritt durch den Konfigurationsprozess führt.

Das Highlight von Complianz ist ein Cookie-Scanner, der deine Website wöchentlich oder manuell auf Cookies scannen kann und entsprechende Dienste dafür vorschlägt:

Cookie-Scan mit Complianz

Die Pro-Version bietet zusätzlich die Erstellung von Impressum, Datenschutzerklärung und anderen Rechtstexten an, die Möglichkeit Split-Tests für verschiedene Designs des Cookie-Banners durchzuführen sowie die Protokollierung von Einwilligungen.

Ist Complianz also eine bessere Alternative zu Borlabs Cookie oder Real Cookie Banner?

Leider nein.

Obwohl der Cookie-Scanner sicherlich hilfreich ist, muss man noch viele Dienste manuell konfigurieren und überprüfen, ob der Scanner überhaupt alle Dienste und Cookies gefunden hat (oder ob er alte Dienste, die schon lange nicht mehr auf der Website sind, immer noch listet). 😩

Zudem ist Complianz für deutsche Nutzer und Websites weniger gut geeignet:

Erstens sind Dokumentation und Support nur auf Englisch. Zweitens ist die Qualität der deutschen Übersetzung nicht sonderlich gut. Das war schon seit Einführung des Plugins so und hat sich seitdem leider nur geringfügig gebessert. 👎

Nehmen wir zum Beispiel den Punkt „Sicherheit & Zustimmung“ im Assistenten:

In allen vier Fragen (!) finden sich Übersetzungsfehler:

  • Mit „Einverständniserklärungen aktivieren“ ist eigentlich gemeint, dass Einwilligungen protokolliert werden
  • Mit „Datenanforderungsformularen“ sind Auskunftsersuchen nach Art. 15 DSGVO gemeint
  • Mit „Nicht verfolgen“ ist der „Do not Track“-Header gemeint
  • Mit „Sicherheitsmaßnahmen“ sind technisch organisatorische Maßnahmen (TOM) gemeint

Und das sorgt dafür, dass die Einrichtung unnötig lange dauert, weil man sich erst durch die (teilweise lückenhafte) Dokumentation wurschteln muss, bis man weiß, was gemeint ist oder man das Plugin möglicherweise falsch konfiguriert. 😕

Auch der Content-Blocker von Complianz ist nach wie vor verbesserungswürdig.

Er erkennt nicht alle eingebetteten Inhalte, selbst, wenn diese manuell über das Script-Center hinzugeführt worden sind. In folgendem Beispiel wurde zwar das YouTube-Video blockiert, der SoundCloud-Player aber nicht:

Der Content-Blocker von Complianz erkennt das eingebettete YouTube-Video, aber nicht den SoundCloud-Player

Zudem funktionieren die Platzhalter manchmal nicht und lassen sich zudem nicht individuell anpassen.

Allerdings:

Auch wenn Complianz nicht an Borlabs Cookie und Real Cookie Banner herankommt, ist es immer noch eine bessere Alternative zu Cookiebot oder DSGVO Pixelmate.

Vorteile

  • Einrichtung per Assistent
  • Brauchbare kostenlose Version
  • Cookie-Scanner zur automatischen Cookie-Erkennung (mit wöchentl. Scans)
  • Nimmt Rücksicht auf Gesetzgebung außerhalb der EU (wie COPPA oder CCPA)
  • Generiert automatisch eine Cookie-Richtlinie
  • Generierung von Impressum und Datenschutzerklärung (Premium)
  • CSS- und JS-Dateien werden komplett lokal geladen
  • Split-Testing verschiedener Cookie-Banner möglich (Premium)
  • To-do-Liste im Dashboard
  • Deutlich günstiger als Cookiebot
  • Design des Banners lässt sich individuell anpassen und bietet eine Live-Vorschau
  • Unterstützung für TCF 2.0

Nachteile

  • Support und Dokumentation nur auf Englisch
  • Einstellungen und Assistent sind oft nicht gut ins Deutsche übersetzt
  • Das Design des Cookie-Banners ist eher fade
  • Es lassen sich keine eigenen Cookie-Gruppen anlegen oder die Namen der vordefinierten Cookie-Gruppen ändern
  • Der Content-Blocker bietet keine schönen Platzhalter und ist nicht zu 100 % zuverlässig
  • Platzhalter des Content-Blockers sind nicht individuell anpassbar
  • Content-Blocker bietet nicht viele Vorlagen, zu blockierende Dienste werden zudem nicht automatisch gefunden oder vorgeschlagen
  • Der Cookie-Scanner erkennt nicht alle Dienste
  • Der Cookie-Scanner erkennt oft nicht, wenn Dienste von der Website entfernt wurden, und listet diese weiterhin
  • Trotz Cookie-Scanner muss man noch viele Dienste selbst konfigurieren
  • keine Detail-Übersicht über Cookies direkt im Cookie-Banner

Platz 4: DSGVO Pixelmate

DSGVO Pixelmate
Bestes Feature: einmaliger Preis
Größte Einschränkung: wenige Funktionen und Einstellungsmöglichkeiten
Preis: ab 39 € netto einmalig

Das Cookie-Plugin DSGVO Pixelmate stellt eine Alternative für Borlabs Cookie oder Real Cookie Banner dar, wenn du…

  1. lediglich für Google Analytics, den Facebook Pixel und/oder wenige andere Scripte ein Opt-in brauchst.
  2. du auf erweiterte Einstellungs- und Anpassungsmöglichkeiten verzichten kannst (siehe auch Liste der Nachteile weiter unten)
  3. weniger Geld ausgeben möchtest (für eine Website kostet es einmalig 39 €, während Borlabs Cookie und Real Cookie Banner das jährlich kosten).
  4. manche rechtliche Risiken durch fehlende Funktionen in Kauf nehmen kannst (DSGVO Pixelmate fehlt z. B. eine Protokollierung der Einwilligungen)

DSGVO Pixelmate überzeugt vorwiegend dadurch, dass es sich einfach und schnell konfigurieren lässt.

Um Google Analytics oder den Facebook Pixel einzubinden, brauchst du z. B. nicht den kompletten Tracking-Code. Es reichen die Google Tracking ID bzw. die Facebook Pixel ID:

DSGVO Pixelmate Google Analytics Einstellungen

Auch sonstige Scripte lassen sich einfach und schnell in Head, Body oder Footer einbinden. Je nach Art kannst du diese in die Cookie-Gruppen Notwendig, Tracking, Werbung oder Sonstige einteilen:

DSGVO Pixelmate Integrations Manager

Eine individuelle Benennung der Cookie-Gruppen oder das Hinzufügen von eigenen ist jedoch leider nicht möglich.

Ähnlich wie Borlabs Cookie und Real Cookie Banner verfügt auch DSGVO Pixelmate über eine Option externe Ressourcen zu blockieren und erst nach dem Klick verfügbar zu machen (in den Einstellungen Datenkontrolle genannt).

Ein eingebundenes Vimeo-Video sieht bei aktivierter Datenkontrolle so aus:

Blockiertes Vimeo-Video mit DSGVO Pixelmate

Nachteil dabei:

Das Overlay wird leider nur für Vimeo und YouTube angezeigt. Der Text ist entsprechend auch nur für die beiden Dienste individuell anpassbar.

Alle weiteren externen Dienste werden von der Datenkontrolle zwar blockiert, aber ohne, dass ein Overlay angezeigt wird.

Vorteile

  • einmaliger Preis, kein Jahres- oder Monatsabo
  • leicht zu bedienen
  • einfache Einbindung von Google Analytics und dem Facebook Pixel
  • Sonstige Scripte können mit dem Plugin in Head, Body oder Footer eingebunden werden
  • Design des Cookie-Banners individuell anpassbar
  • Einteilen der Scripte in Cookie-Gruppen möglich
  • Option zum Blockieren aller externen Ressourcen, z. B. für YouTube, Vimeo, Twitter und Google Maps
  • eigene Facebook-Gruppe zum Cookie-Plugin, in der man Fragen stellen kann
  • entwickelt in Zusammenarbeit mit einer Rechtsanwältin
  • Einblenden eines Widerrufs-Buttons möglich (erscheint im Footer)

Nachteile

  • das Plugin wird nicht so häufig aktualisiert
  • nicht so gut geeignet, um viele Dienste bzw. Cookies zu verwalten
  • kein Cookie- oder Dienste-Scanner
  • keine Detail-Informationen zu den verwendeten Cookies hinterlegbar
  • keine Statistiken über Opt-in-Raten
  • Design-Anpassungen für die Cookie-Meldung nicht sonderlich umfangreich
  • kein Shortcode zum Blockieren externer Ressourcen
  • Platzhalter für blockierte externer Ressourcen nur bedingt anpassbar (nur Texte für YouTube- und Vimeo-Videos können verändert werden)
  • kein einfaches Zurücksetzen der Cookie-Einwilligungen seitens des Administrators möglich
  • keine Protokollierung der Einwilligungen
  • keine Unterstützung für TCF

Platz 5: Cookiebot

Cookiebot
Bestes Feature: einfache Einrichtung
Größte Einschränkung: Preis richtet sich nach Unterseiten
Preis: ab 144 € netto pro Jahr, kostenlos bis 100 Unterseiten

Cookiebot ist ein Cookie-Plugin und Cookie-Consent-Manager, der mittlerweile zur deutschen Usercentrics GmbH gehört und sich dadurch abheben möchte, Nutzern möglichst viele Einstellungen abzunehmen.

Es war das erste Plugin auf dem Markt, das einen Cookie-Scanner geboten hat.

Dieser teilt es sehr viele Cookies schon automatisch in verschiedene Kategorien ein, die beim Opt-in dann von Besuchern an- oder abgewählt werden können:

Von Cookiebot-Scanner gefundene Cookies

Cookies, die Cookiebot unbekannt sind, kannst du manuell in Kategorien einteilen:

Nicht klassifiziertes Cookie bei Cookiebot

Beim Aufruf deiner Website werden alle vom Cookiebot gefundenen Cookies dann automatisch blockiert und erst gesetzt, nachdem der Nutzer dem zugestimmt hat.

Doch trotz des Scanners landet das Plugin nur auf Platz 5. Und dafür gibt es drei Gründe:

1. Der Cookie-Scanner ist wie der Scanner von Complianz leider nicht sonderlich zuverlässig. Er findet häufig Cookies und Dienste nicht oder zeigt Cookies an, die schon länger nicht mehr auf der Website verwendet werden.

2. Der Content-Blocker von Cookiebot kann nicht so viele Inhalte blockieren wie Real Cookie Banner oder Borlabs Cookie und zeigt nur einen unschönen Platzhalter-Text anstelle des blockierten Inhalts an, welcher sich leider auch nicht anpassen lässt:

Platzhalter von Cookiebot für blockiertes Video

3. Cookiebot wird über ein externes und kein lokales Script geladen, was ich persönlich nicht sonderlich datenschutzfreundlich finde.

Ein weiterer großer Nachteil ist das Preismodell, das sich nach Anzahl der Unterseiten einer Website richtet:

Für 144 € pro Jahr bekommst du bis 499 Unterseiten. Das hört sich viel an, ist es aber nicht. Denn dazu zählen nicht nur Posts oder Seiten in WordPress, sondern auch Tags, Kategorien oder sogar Medien-Seiten.

Das heißt, die meisten schon etwas länger bestehenden WordPress-Blogs oder -Websites fallen wahrscheinlich in den nächsthöheren Tarif für 336 € pro Jahr. Das ist 7 bis 9 Mal so teuer im Jahr wie Borlabs Cookie, Real Cookie Banner oder Complianz.

Vorteile

  • einfache Installation
  • für Websites bis zu 100 Seiten kostenlos
  • automatischer Cookie-Scan, bei dem alle Cookies auf deiner Website gesammelt und in Kategorien eingeteilt werden
  • alle Scripte und externen Ressourcen können eingebunden bleiben und müssen nicht ins Plugin verschoben werden (wie bei Borlabs Cookie oder Pixelmate)
  • kompatibel zu vielen Plugins von Dritt-Anbietern, wie Google Analyticator, Optinmonster, AddThis, Jetpack oder AddToAny
  • kompatibel mit jeder Website, nicht nur mit WordPress
  • hat einen Content Blocker, um eingebettete Inhalte zu blockieren
  • Unterstützung für TCF 2.0

Nachteile

  • erfordert Erstellung eines Nutzer-Accounts, über den die meisten Einstellungen laufen
  • Cookiebot lädt Script über externe Server
  • Content-Blocker blockiert nicht alle externen Ressourcen
  • Content-Blocker blockiert nur Cookies, aber nicht die gesamte Verbindung (IP-Adressen werden also trotzdem an externe Dienste übertragen)
  • Content-Blocker bietet keine schönen Platzhalter
  • Der Cookie-Scanner erkennt nicht alle Dienste
  • Der Cookie-Scanner erkennt oft nicht, wenn Dienste von der Website entfernt wurden, und listet diese weiterhin

Vergleichstabelle

Real Cookie Banner Borlabs Cookie Complianz DSGVO Pixelmate Cookiebot
Preis pro Jahr (für eine Website, zzgl. MwSt.) 41,18 39 39 39 144
Kostenlose Version vorhanden Ja Nein Ja Nein Ja
für kleine Websites
Cookie- und Consent-Management
Einrichtungshilfe Checkliste & Warnungen Nein Assistent Nein Nein
Vorlagen für Cookies oder Dienste Ja
150+ Dienste-Vorlagen
Ja
20 Dienste-Vorlagen

Ja
25 Vorlagen/450 erkannte Dienste

Ja
9 Dienste-Vorlagen

Ja
3.500 Cookie-Beschreibungen
Individuelle Cookie-Gruppen Ja Ja Nein
vordefinierte Gruppen
Nein
vordefinierte Gruppen
Nein
vordefinierte Gruppen
Content-Blocker
Vorlagen für Dienste, Plugins und Embeds Ja
120+ Vorlagen
Ja
7 Vorlagen
Ja
18 Vorlagen
Ja
2 Vorlagen
Nein
Anpassbare Platzhalter-Texte Ja Ja Nein Teilweise
nur Vimeo und YouTube
Nein
Benutzerdef. Blockieren von HTML-Elementen (z. B. mit Shortcodes oder CSS-Klasse) Ja Ja Nein Nein Ja
Benutzerdef. Blockieren anhand URLs oder Domains Ja Ja Ja Ja Nein
Standardmäßiges Blockieren aller Drittanbieter-Verbindungen Nein Ja Nein Ja Nein
Cookie-Banner
Anpassbares Banner-Design Ja
sehr viele Einstellungen
Ja
viele Einstellungen
Ja
viele Einstellungen
Ja
viele Einstellungen
Ja
wenige Einstellungen
Designvorlagen Ja
20 Vorlagen
Nein Nein
Nein Ja
2 Vorlagen
Live-Vorschau von Design-Änderungen Ja Nein Ja Nein Nein
Banner bietet Detailinformationen zu Cookies an Ja Ja Nein
Verweis auf Cookie-Richtlinie
Nein Ja
Cookie-Banner auf bestimmten Seiten ausblenden Ja Ja Ja Nein Nein
Altershinweis aktivierbar Ja

Nein

Nein Nein Nein
Hinweis zur Datenverarbeitung in der USA aktivierbar Ja Nein Nein Nein Nein
A/B-Tests für das Banner-Design Nein Nein Ja Nein Nein
Geoblocking Ja Nein Ja Nein Ja
Einwilligungen
Protokollierung von Einwilligungen Ja Ja Ja Nein Ja
Protokollierung des Banner-Designs zum Einwilligungszeitpunkt Ja Nein Nein Nein Nein
Hinweis auf erneutes Einholen der Einwilligungen nach Einstellungsänderung Ja Nein Nein Nein Nein
Export der Einwilligungen Ja Nein Ja Nein Ja
Einwilligungs-Statistiken Ja
mit auswählbarem Zeitraum
Ja
der letzten 10.000 Einwilligungen
Ja
ohne auswählbarem Zeitraum
Nein Ja
mit auswählbarem Zeitraum
Shortcodes für Einwilligungsgeschichte, -änderung und -widerruf Ja Ja Ja Nein Ja
Sonstiges
Deutscher Support Ja Ja Nein Ja Nein
Deutsche Dokumentation Ja Ja Nein Ja Nein
Unterstützung für TCF v2.0 Ja Ja Ja Nein Ja
Native WordPress-Lösung Ja Ja Ja Ja Nein
Cloud-Dienst
Im- und Export von Einstellungen Ja Ja Ja Nein Nein
Unterstützung mehrsprachiger Websites Ja Ja Ja Ja
nur WPML und nur DE/EN
Ja
Unterstützung von Multisites Ja Ja Ja Ja Teilweise

Die Tabelle wurde zuletzt am 29. Juni 2022 komplett aktualisiert. Verglichen wurden Real Cookie Banner Pro 3.0, Borlabs Cookie 2.2.52, Complianz Premium 6.2.4, DSGVO Pixelmate 4.1.2 und Cookiebot 4.10.

Rechtslage in Deutschland

Dieser Blogbeitrag ist keine Rechtsberatung! Als Blogger und WordPress-Experte habe ich mich zwar intensiv mit geltendem Datenschutzrecht beschäftigt, bin jedoch kein Jurist. Deshalb kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen.

Die Rechtslage zum Umgang mit Cookies war lange Zeit in Deutschland sehr schwammig.

Klarheit sollte bereits die 2009 vom Europäischen Parlament verabschiedete Richtlinie 2009/136/EG (Cookie-Richtlinie) schaffen, in der ein Opt-in für Cookies vorgeschrieben wurde.

Diese Richtlinie wurde jedoch für mehr als ein Jahrzehnt nicht in deutsches Recht umgesetzt, was für eine rechtliche Grauzone sorgte (selbst nach der Einführung der europaweiten DSGVO im Mai 2018).

Für mehr Klarheit sorgte jedoch ein Urteil des Bundesgerichtshofs (BGH) vom 28.05.2020, das die Einwilligungspflicht nach der Cookie-Richtlinie bestätigt hat.

Dem Urteil vom BGH ging am 01.10.2019 ein Urteil des EuGH voraus.

Dabei bezieht sich der BGH vor allem auf § 15 Abs. 3 des Telemediengesetzes:

(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. […]

Der letzte fett markierte Teil wird in der Entscheidung des BGH als sofern der Nutzer einwilligt hat interpretiert:

Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.

Kurzum:

Opt-outs und einfache Cookie-Banner (siehe Arten von Cookie-Bannern) mit Texten á la „Wir nutzen auf dieser Website Cookies. Wenn Sie weitersurfen, erklären Sie sich damit einverstanden.“ sind für die Nutzung nicht notwendiger Cookies nicht mehr zulässig.

Weitere Details und Antworten auf häufige Fragen findest du bei Rechtsanwalt Dr. Schwenke.

Für Cookies, mit denen Nutzerprofile zur Marktforschung oder für Werbezwecke erstellt werden. Denn diese sind nicht unbedingt technisch notwendig oder „essenziell“ und erfordern damit eine Einwilligung.

Dazu zählen mit großer Sicherheit:

  • Facebook-Pixel
  • Cookies von Werbediensten (wie Google AdSense, Ezoic, Media.net, plista, Taboola, Amazon Native Shopping Ads, Outbrain etc.)
  • Google Analytics mit eingeschalteten Werbefunktionen (z. B. bei Nutzung von Universal Analytics mit User ID, Zielgruppen, Verknüpfung zu AdSense oder Google Ads oder aktivierten Berichten zu demografischen Merkmalen und Interessen)

Welche Cookies sind technisch notwendig?

Neben Werbe-Cookies gibt es Cookie-Arten, die nicht auf die gleiche Weise von den Urteilen des BGH und EuGH betroffen sind und keine Einwilligung erfordern.

Dies lässt sich aus Art. 5 Abs 3. der ePrivacy-Richtlinie von 2002 entnehmen:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Zu „unbedingt erforderlichen“ Cookies gehören mit großer Sicherheit:

  • Cookies zur Speicherung von Cookie-Einstellungen
  • Cookies zum Speichern von Schriftgröße oder Sprachauswahl
  • Cookies zum Speichern des Login-Status eines Nutzers
  • Cookies zur Umsetzung erforderlicher Sicherheitsmaßnahmen (z. B. Verteidigung gegen Brute-Force-Angriffe)
  • Warenkorb-Cookies (Cookies, die beim Schließen des Browsers wieder gelöscht werden, z. B. zum Speichern eines Warenkorbs)
  • Cookies zum Load-Balancing (Verteilen der Server-Last)

Dürfen Cookies bei der Einwilligung in Gruppen zusammengefasst werden?

Dazu gibt es noch keine Gerichtsurteile.

Laut einer FAQ des LfDI Baden-Württemberg, ist die Möglichkeit der Gliederung von Cookies in einzelne Kategorien erlaubt.

Auch die DSK spricht in ihrer Orientierungshilfe lediglich von einer Nennung der einzelnen Akteure, aber nicht davon, dass eine Einwilligung für jeden einzelnen Akteur gesondert erfolgen muss:

Beim erstmaligen Öffnen einer Website erscheint das Banner beispielsweise als eigenes HTML-Element. In der Regel besteht dieses HTML-Element aus einer Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge, die unter Nennung der beteiligten Akteure und deren Funktion ausreichend erklärt wird und über ein Auswahlmenü aktiviert werden können.

Benötige ich für Matomo ein Opt-in?

Generell ist Matomo (ehemals Piwik), wenn du es auf deinem eigenen Server betreibst, als datenschutzfreundlicher anzusehen als Google Analytics.

Zudem lässt sich das Analyse-Tool auch ohne Cookies verwenden (allerdings werden auch ohne Cookies Nutzerprofile erstellt).

Es kommt allerdings entscheidend darauf an, wie du es nutzt.

Dient Matomo nur zur Erstellung von Besucherstatistiken, ist das rechtliche Risiko bei der Nutzung ohne Opt-in laut Rechtsanwalt Dr. Schwenke gering. Nutzt du es hingegen, um Nutzerprofile zur Marktforschung oder für Werbezwecke zu erstellen, sieht die Sache anders aus.

Benötige ich für Google Analytics ein Opt-in?

Wie bei Matomo kommt es zunächst darauf an, wie du Google Analytics benutzt:

Wenn du Werbefunktionen aktiviert hast (z. B. Universal Analytics mit User ID, Zielgruppen, Verknüpfung zu AdSense oder Google Ads oder aktivierten Berichten zu demografischen Merkmalen und Interessen) dann auf jeden Fall.

Wenn diese deaktiviert sind und du zudem die IP-Anonymisierung aktiviert hast, könnte eine Einwilligung mittels Cookie-Plugin oder einem anderen Consent-Tool jedoch nicht unbedingt erforderlich sein.

Da scheiden sich aber (wieder einmal) die Geister.

Das BayLDA sowie der LfDI Baden-Württemberg sind z. B. der Meinung, dass Google Analytics generell nur mit Einwilligung verwendet werden darf.

Die DSK erachtet zudem Nutzerkennungen, wie sie bei Google Analytics (auch unabhängig von anonymizeIP) verwendet werden, auch nicht als Pseudonymisierung:

Im Hinblick auf die Verwendung von Pseudonymen ist generell anzumerken, dass die Tatsache, dass die Nutzer etwa über IDs oder Kennungen bestimmbar gemacht werden, keine Pseudonymisierungsmaßnahme i. S. d. DSGVO darstellt.

FAQ

Hier habe ich dir die Antworten auf die häufigsten Fragen rund um WordPress-Cookie-Plugins zusammengestellt:

Auch, wenn du keine Plugins installierst oder Scripte zusätzlich eingebunden hast, werden von WordPress Cookies gesetzt. Dazu zählen:

Für angemeldete Benutzer:

  1. wordpress_[hash]: In diesem Cookie werden beim Login deine WordPress-Nutzerdaten gespeichert (als Hash, also verschlüsselt)
  2. wordpress_logged_in_[hash]: Cookie, um einen eingeloggten Nutzer zu identifizieren. Wird nach dem Login gesetzt.
  3. wp-settings-{time}-[UID]: Cookie, in dem Einstellungen zum Admin-Bereich und der Website gespeichert werden. Enthält die User-ID deines WordPress-Nutzers.

Für nicht angemeldete Benutzer:

  1. comment_author_{HASH}: In diesem Cookie wird der Name eines Kommentators gespeichert (als Hash, also verschlüsselt).
  2. comment_author_email_{HASH}: In diesem Cookie wird die E-Mail-Adresse eines Kommentators gespeichert (als Hash, also verschlüsselt).
  3. comment_author_url_{HASH}: In diesem Cookie wird die Website-URL eines Kommentators gespeichert (als Hash, also verschlüsselt).
  4. wordpress_test_cookie: Cookie, das WordPress setzt, um zu testen, ob Cookies im Browser gesetzt werden können.

Die ersten drei Kommentar-Cookies nur dann gesetzt, wenn jemand beim Abschicken des Kommentars bei der Checkbox Meinen Namen, E-Mail und Website in diesem Browser speichern, bis ich wieder kommentiere. einen Haken gesetzt hat.

Die Länge der Cookies kann mithilfe des Hooks auth_cookie_expiration angepasst werden. Wie man diesen Hook nutzt, kannst du im Developer Bereich von wordpress.org nachlesen.

Alle von WordPress gesetzten Cookies sind jedoch sehr wahrscheinlich als technisch notwendig anzusehen und bedürfen dementsprechend keines Opt-ins.

Ja, das ist mit Cookiebot möglich.

Der Cookie-Consent-Dienst kann anstelle des WordPress-Plugins auch manuell als JavaScript in den <head>-Bereich deiner Website eingebunden werden.

Ja, es gibt z. B. kostenlose Versionen von Real Cookie Banner, Cookiebot und Complianz.

Allerdings musst du damit rechnen, dass diese einen geringeren Funktionsumfang haben und dadurch mitunter weniger Rechtssicherheit und Einrichtungskomfort bieten.

Die einfachste Möglichkeit, um herauszufinden, welche Cookies deine Website setzt, ist das Tool Webbkoll.

Neben weiteren Infos zu HTTPS, HTTP Header etc. zeigt es dir auch eine Liste der First-Party-Cookies (von deiner eigenen Domain) und Third-Party-Cookies (von Dritt-Domains) an:

First-Party-Cookies und Third-Party-Cookies bei Webbkoll
Finn Hillebrandt

Finn Hillebrandt

Gründer von Blogmojo, SEO-Experte mit 11+ Jahren Erfahrung, WordPress-Fan

Finn hilft Online-Unternehmern mehr Kunden und Besucher über Google zu bekommen.

Er setzt dabei nicht auf Hörensagen, sondern führt ständig eigene Tests und Recherchen durch, um herauszufinden, wie Google wirklich tickt. Achtung, Nerd-Alarm! 🤓

Er teilt sein Wissen hier auf dem Blog in 80+ Fachartikeln zu Online-Business, WordPress und SEO sowie in Online-Kursen, wie z. B. seinem SEO-Kurs „New Level SEO“ und seinem Mini-Kurs „Kann ich ranken?“.

Erfahre mehr über Finn und das Team, folge ihm auf Instagram, Twitter und LinkedIn oder tritt seiner Facebook-Gruppe SEO & Affiliate-Marketing bei.

Werbehinweis für Links mit Sternchen (*)

Es handelt sich um einen Affiliate-Link, das heißt, wenn du auf der verlinkten Website etwas kaufst, erhalten wir eine Provision. Dies hat keinerlei Einfluss darauf, wie wir ein Tool oder einen Anbieter bewerten.

Wir empfehlen nur Tools bzw. Anbieter, hinter denen wir auch wirklich stehen. Für dich entstehen dadurch natürlich keine zusätzlichen Kosten! Du hilfst jedoch uns und diesem Projekt. Danke! ❤️

Du willst in 2022 mehr Besucher und Kunden über SEO bekommen?
10 SEO-Fehler

Dann starte mit meinem E-Mail-Training, um 10 fatale SEO-Fehler zu vermeiden, die dich deine Google-Rankings kosten.

Es kostet dich keinen Cent, nur deine E-Mail-Adresse. 😉

👉 Ja, zeig mir das Training!