Du möchtest mehr Leser für deinen Blog und mehr Kunden für dein Online-Business?

Dann abonniere unseren kostenlosen Newsletter mit exklusiven Tipps und Angeboten rund um's Bloggen, SEO und Online-Business. Als Willkommensbonus erhältst du unser E-Book Die 12 Gesetze unglaublich erfolgreicher Blogartikel.

Abmeldung jederzeit möglich. Etwa 2 bis 5 E-Mails im Monat. Die Einwilligung umfasst die Hinweise zu Widerruf, Versanddienstleister und Statistik gemäß unserer Datenschutzerklärung.

Die 12 Gesetze unglaublich erfolgreicher Blogartikel

Die 5 besten Cookie-Plugins für WordPress in 2020 (inkl. Überblick über die aktuelle Rechtslage)

Du willst deine WordPress-Website mit einem Cookie-Plugin rechtlich absichern? Oder du bist unsicher, ob du überhaupt ein Cookie-Plugin brauchst?

Dann bist du hier richtig!

In diesem Artikel stelle ich dir die 5 besten Cookie-Plugins für WordPress vor und zeige dir, welche Arten von Cookie-Plugins es gibt und welche du für deine Website benötigst.

Zudem habe ich dir weiter unten einen Überblick über die aktuelle Rechtslage zusammengestellt.

Achtung: Dieser Blogbeitrag ist keine Rechtsberatung! Im Rahmen meiner Arbeit als Blogger und WordPress-Dienstleister habe ich mich zwar intensiv mit den geltenden Datenschutzbestimmungen und der DSGVO beschäftigt, ich bin jedoch weder Jurist noch Datenschutz-Experte. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen.

1. Borlabs Cookie

Borlabs Cookie

Preis: 39 € für 1 Website, 59 € für 2 Websites, 149 € für 25 Websites und 299 € für 99 Websites (enthält 1 Jahr Support und Updates)

Reden wir nicht um den heißen Brei herum:

Borlabs Cookie ist das beste Cookie-Plugin für WordPress auf dem Markt.

Es bietet von allen vorgestellten Plugins die meisten Einstellungsmöglichkeiten und das beste Gesamtpaket.

Borlabs ist kein einfaches Cookie-Hinweis-Plugin, sondern eine Opt-In-Lösung (auch Cookie Consent Plugin genannt, unter Punkt 5 gehe ich näher auf die verschiedenen Arten von Cookie-Plugins ein).

Das heißt Code und Scripte, wie z. B. den Facebook Pixel, Google Analytics oder Matomo (ehemals Piwik) werden mit Borlabs Cookie erst nach expliziter Zustimmung des Nutzers zu laden.

Mit Version 2 von Borlabs Cookie lassen sich dabei verschiedene Cookie-Gruppen anlegen, in die du deinen Code bzw. deine Scripte einteilen kannst:

Cookie-Gruppen in den Einstellungen von Borlabs Cookie anlegen

Die Opt-In-Aufforderung mit den angelegten Cookie-Gruppen wird direkt dann beim Aufruf einer Webseite geladen:

Cookie Pop-Up von Borlabs Cookie mit blockiertem Inhalt

Das Pop-Up kannst du dabei beliebig im Design anpassen. Du kannst Farben, Anzeigeposition, Schriftart, Schriftgröße, das Logo und die Animation und alle Texte verändern.

Doch das ist nicht alles!

Borlabs Cookie ergänzt WordPress auch noch um einem (sehr guten!) Content Blocker für eingebettete Inhalte.

Dadurch werden YouTube- und Vimeo-Videos, Facebook-Posts, Google Maps und Co. erst nach Klick auf einen Button geladen. Anstelle des Inhalts wird dann ein Vorschaubild mit Button angezeigt:

Von Borlabs Cookie blockiertes eingebettetes YouTube-Video

Mit der neusten Version von Borlabs Cookie erreiche ich zudem bei meinen Blogs in der Regel durchgängig  eine Opt-In-Rate von über 90%, was ein extrem guter Wert ist:

Opt-In-Statistik von Borlabs Cookies

Es gibt lediglich ein Manko an Borlabs Cookie, das hier nicht unerwähnt bleiben soll:

Seit Version 2.0 hat sich das Bezahlmodell von einer Einmalzahlung zu einem jährlichen Preis geändert. Wenn man bedenkt, wie viel Arbeit in dem Support und der Weiterentwicklung eines Plugins stecken, finde ich das jedoch durchaus gerechtfertigt.

Spar-Tipp: Gib beim Bestellvorgang den Gutschein-Code BLOGMOJO ein, um 5% auf Borlabs Cookie zu sparen.

Jetzt kaufenZum ausführlichen Testbericht

Vorteile

  • 100% kompatibel zum Gutenberg-Editor
  • Viele Anpassungs- und Einstellungsmöglichkeiten
  • schickes Design der Opt-In-Box
  • Zwei-Klick-Lösung für eingebettete Inhalte (z. B. von YouTube, Google Maps, Instagram, Twitter oder Vimeo)
  • Shortcode, um beliebige Inhalte zu blockieren und erst nach dem Klick verfügbar zu machen
  • Funktioniert mit den meisten gängigen Caching-Plugins
  • Opt-In-Statistiken im Dashboard
  • kompatibel zu vielen Page-Buildern, wie z. B. WPBakery, Thrive Architect oder Elementor
  • Verwaltung einzelner Cookies und Cookie-Gruppen
  • funktioniert mit mehrsprachigen Websites (WPML oder Polylang)
  • Sehr guter Support (auch auf Deutsch, denn der Entwickler kommt aus Deutschland)
  • Ständige Weiterentwicklung
  • Übersichtliche Plugin-Einstellungen, die sich auch mobil bedienen lassen
  • Script-Blocker zur Blockierung von Javascript, das durch andere Plugins in deine Website eingefügt wird

Nachteile

  • Kein einmaliger, sondern jährlicher Preis
  • Cookie-Angaben sowie die dazugehörigen Scripte müssen manuell in den Einstellungen hinterlegt werden (zu gängigen Cookies und Scripten gibt es jedoch Vorlagen und ein Cookie-Scanner ist bereits in Entwicklung)
  • Funktioniert mit manchen Anzeigenetzwerken nicht (wie z. B. mit Ezoic)

2. Complianz

Complianz

Preis: kostenlos (mit geringerem Funktionsumfang), $55 für 1 Domain, $165 für 5 Domains, $335 für unbegrenzt viele Domains (enthält 1 Jahr Support und Updates)

Complianz wurde von Rogier Lankhorst entwickelt, der vor allem bekannt für das Plugin Really Simple SSL ist.

Mit 4+ Millionen Downloads gehört Really Simple SSL zu den beliebtesten WordPress-Plugins überhaupt.

Und auch mit Complianz ist dem Entwickler ein empfehlenswertes Plugin gelungen:

Complianz ist die eierlegende Wollmilchsau unter den Cookie-Plugins und zeichnet sich durch einen großen Funktionsumfang aus:

  • Einteilung der Cookies in Cookie-Gruppen
  • Viele Gestaltungsoptionen für das Cookie-Banner
  • Einen Content-Blocker für iframes und Embeds (YouTube, Vimeo, Google Maps etc.)
  • Einen Cookie-Scanner (ähnlich wie CookieBot, nur mit wöchentlichen Scans!)
  • Erstellung von Impressum und Datenschutzerklärung (nur Premium-Version)
  • Split-Testing des Cookie-Banners (nur Premium-Version)

Dazu kommt:

Die Basis-Version des Plugins ist kostenlos.

Eine bessere Alternative zu Borlabs Cookie also?

Leider nicht ganz.

Auch, wenn mir Funktionen wie der Cookie-Scanner und Split-Testing gut gefallen haben:

Ich habe bei Complianz immer wieder das Gefühl, dass viele Funktionen noch nicht so ganz ausgereift sind.

Und dass die Quantität der Funktionen auf Kosten von deren Qualität geht.

So sind die Plugin-Einstellungen und der Einrichtungsassistent nur lückenhaft oder schlecht auf Deutsch übersetzt. Hier z. B. die Startseite des Assistenten (schlecht bzw. gar nicht übersetzter Text ist pink hinterlegt):

Complianz ist leider lückenhaft ins Deutsche übersetzt

Auch der Content-Blocker bei Complianz ist verbesserungswürdig. Bei eingebetteten Instagram-Inhalten hatte das Plugin auf meiner Website Probleme mit längeren Texten:

Der Content-Blocker von Complianz ist noch nicht ganz ausgereift

Borlabs Cookie hat zudem das schickere (und besser individualisierbare) Cookie-Banner.

Das Cookie-Banner von Complianz ist vom Design her eher fade:

Cookie-Banner von Complianz

Allerdings:

Auch wenn Complianz nicht ganz an Borlabs Cookie herankommt, ist es auf jeden Fall eine bessere Alternative zu CookieBot.

Im Test liegt es etwa gleichauf mit CookieBot, landet aber auf dem zweiten Platz, weil es deutlich günstiger und die Preisgestaltung fairer ist.

Zum Plugin

Vorteile

  • Einrichtung per Assistent
  • Brauchbare kostenlose Version
  • Cookie-Scanner, der Cookies auf der Website automatisch erkennt (mit wöchentlichen Scans)
  • Nimmt Rücksicht auf Gesetzgebung außerhalb der EU (wie z. B. COPPA oder CCPA)
  • Generiert automatisch eine Cookie Policy
  • Generiert bei Bedarf ein Impressum und eine Datenschutzerklärung (in der Premium-Version)
  • Scannt wöchentlich auf neue Cookies (CookieBot macht das nur monatlich)
  • CSS- und JS-Dateien werden komplett lokal geladen (und nicht wie bei CookieBot von Drittservern)
  • Split-Testing verschiedener Cookie-Banner möglich (in der Premium-Version)
  • To-Do-Liste im Dashboard
  • Deutlich günstiger als CookieBot
  • Sehr guter Support (selbst für die kostenlose Version)

Nachteile

  • Zum Teil nicht gut oder lückenhaft ins Deutsche übersetzt
  • Manche Funktionen sind noch nicht ganz ausgereift
  • Es lassen sich keine eigenen Cookie-Gruppen anlegen oder die Namen von vordefinierten Cookie-Gruppen ändern
  • Cookie-Banner ist nicht so schön gestaltet und nicht so gut individualisierbar
  • Content-Blocker blockiert nur Cookies externer Ressourcen, aber nicht die gesamte Verbindung (das heißt IP-Adressen werden trotzdem an externe Dienste übertragen)
  • Content-Blocker bietet keine schönen Platzhalter und hat zum Teil Darstellungsprobleme
  • Einstellungsseiten sind etwas unübersichtlich und nicht so schön gestaltet
  • Rechtssicherheit bei generierter Datenschutzerklärung gegeben?
  • Etwas teurer als Borlabs Cookie in der Premium-Version

3. Cookiebot

Cookiebot

Preis: kostenlos für eine Domain mit unter 100 Seiten, 9 € pro Domain und pro Monat mit unter 500 Seiten, 21 € pro Domain und pro Monat mit unter 5.000 Seiten, 37 € pro Domain und pro Monat mit über 5.000 Seiten

Cookiebot ist ein sehr interessantes Cookie-Plugin, dem ein anderes Konzept als Borlabs Cookie zugrunde liegt.

Es scannt nämlich deine Website automatisch auf Cookies!

Dabei teilt es sehr viele Cookies schon automatisch in verschiedene Kategorien ein, die beim Opt-In dann von Besuchern an- oder abgewählt werden können:

Von Cookiebot-Scanner gefundene Cookies

Cookies, die Cookiebot unbekannt sind, kannst du manuell in Kategorien einteilen:

Nicht klassifiziertes Cookie bei Cookiebot

Beim Aufruf deiner Website werden alle vom Cookie Bot gefundenen Cookies dann automatisch blockiert und erst gesetzt, nachdem der Nutzer dem zugestimmt hat:

Cookie-Pop-Up von Cookiebot

Kurzum:

Mit Cookiebot musst du deine bestehenden Scripte nicht manuell in das Plugin einfügen wie bei anderen Cookie-Plugins!

Doch trotz seines innovativen Konzepts landet das Plugin nur auf Platz 2.

Denn es zeigt deutliche Schwächen beim Content Blocker:

Erstens kann der lange nicht so viele Inhalte blockieren wie Borlabs Cookie. Zweitens zeigt Cookiebot nur einen unschönen Platzhalter-Text anstelle des blockierten Inhalts an, welcher sich leider auch nicht anpassen lässt:

Platzhalter von Cookiebot für blockiertes Video

Zudem wird der Cookiebot über ein externes und kein lokales Script geladen, was ich persönlich nicht sonderlich datenschutzfreundlich finde.

Was mich allerdings am meisten stört, ist das Preismodell, das sich nach Anzahl der Unterseiten einer Website richtet:

Für 9 € im Monat (das heißt 108 € pro Jahr) bekommst du 499 Unterseiten. Hört sich viel an, ist es aber nicht. Denn dazu zählen nicht nur Posts oder Seiten in WordPress, sondern auch Custom Post Types, Tags, Kategorien, Taxonomien, Pagination-Seiten oder sogar Medien-Seiten (wenn du keine Weiterleitung auf die Medien-Datei eingestellt hast).

Das heißt die meisten schon etwas länger bestehenden WordPress-Blogs oder -Websites fallen wahrscheinlich in den nächsthöheren Tarif für 21 € im Monat (252 € pro Jahr, bis 4.999 Unterseiten).

Das ist mehr als 8 Mal so teuer im Jahr wie Borlabs Cookie.

Zum Plugin

Vorteile

  • einfache Installation
  • für Websites bis zu 100 Seiten kostenlos
  • automatischer Cookie-Scan, bei dem alle Cookies auf deiner Website gesammelt und in Kategorien eingeteilt werden
  • alle Scripte und externen Ressourcen können so eingebunden bleiben, wie sie eingebunden sind, und müssen nicht ins Plugin verschoben werden (wie es bei Borlabs Cookie oder DSGVO Pixelmate der Fall ist)
  • kompatibel zu vielen Plugins von Dritt-Anbietern, wie z. B. Google Analyticator, Optinmonster, Google Analytics Dashboard for WP (GADWP), AddThis, Jetpack oder AddToAny
  • kompatibel mit jeder Website, nicht nur mit WordPress
  • hat einen Content Blocker, um eingebettete Inhalte zu blockieren

Nachteile

  • erfordert Erstellung eines Nutzer-Accounts, über den die meisten Einstellungen laufen
  • Cookiebot erfordert das Laden eines externen Scripts
  • Content Blocker blockiert nicht alle externen Ressourcen
  • Content Blocker blockiert nur Cookies externer Ressourcen, aber nicht die gesamte Verbindung (das heißt IP-Adressen werden trotzdem an externe Dienste übertragen)
  • Content Blocker bietet keine schönen Placeholder

4. DSGVO Pixelmate

DSGVO Pixelmate

Preis: 39 € für eine Website, 89 € für 3 Websites, 199 € für 10 Websites, 349 € für beliebig viele Websites (alle Preise einmalig)

DSGVO Pixelmate ist ebenfalls ein sehr gutes Cookie-Plugin.

Es wurde von Soulsites in Zusammenarbeit mit der Rechtsanwältin Sabrina Keese-Haufs, entwickelt.

Im Gegensatz zu CookieBot, Complianz oder Borlabs Cookie ist es nicht als umfassendes Consent-Management-System geeignet.

Es ist jedoch optimal, wenn du lediglich Google Analytics und/oder den Facebook Pixel datenschutzkonform in die eigene Website einbinden möchtest.

Und das geht einfach und schnell, denn du musst nicht den kompletten Tracking-Code einbinden.

Es reichen die Google Tracking ID bzw. Facebook Pixel ID:

Eingabe der Google Tracking ID bei DSGVO Pixelmate

Du kannst das Plugin dabei sowohl als Opt-Out als auch Opt-In konfigurieren:

DSGVO Pixelmate kann als Cookie-Opt-In oder Cookie-Opt-Out verwendet werden

Zusätzlich lassen sich auch der Google Tag Manager und weitere beliebige Scripte einbinden:

Weitere Scripte für das Opt-In oder Opt-Out

Ähnlich wie Borlabs Cookie verfügt auch DSGVO Pixelmate über eine Option externe Ressourcen zu blockieren und erst nach dem Klick verfügbar zu machen. Bisher funktioniert das jedoch leider nur für YouTube, Vimeo, Google Maps und Twitter.

Ein eingebundenes Vimeo-Video sieht dann so aus:

Blockiertes Vimeo-Video mit DSGVO Pixelmate

Alles in allem eignet sich DSGVO Pixelmate als einfache und schnelle Lösung, um ein Opt-In in deine Website zu integrieren.

Großer Vorteil gegenüber Borlabs Cookie und Cookiebot:

Es kostet einmalig 39 € und du musst kein monatliches oder jährliches Abo abschließen.

Es kann allerdings nicht mit dem Funktionsumfang von Borlabs Cookie, Complianz oder Cookiebot mithalten, weswegen es in meinem Ranking nur auf Platz 4 landet.

Zum Plugin

Vorteile

  • Wahl zwischen Opt-In und Opt-Out
  • leicht zu bedienen
  • einfache Einbindung von Google Analytics und dem Facebook Pixel
  • Aussehen des Cookie-Banners individuell anpassbar
  • kann externe Ressourcen blockieren
  • einmaliger Preis, kein Jahres- oder Monatsabo
  • eigene Facebook-Gruppe, in der man Fragen stellen kann
  • entwickelt in Zusammenarbeit mit einer Rechtsanwältin

Nachteile

  • Keine Statistiken über Opt-In-Rate
  • Keine Blockierung des gesamten Bildschirms möglich (z. B. mit schwarzem Hintergrund)
  • Kein Shortcode zum Blockieren externer Ressourcen
  • unterstützt bisher nur das Blockieren von YouTube, Vimeo, Twitter und Google Maps (andere eingebetteten Inhalte, wie z. B. Instagram-, Facebook-Posts oder iframes, werden nicht blockiert)
  • Aussehen des Content Blockers nicht anpassbar
  • Wenige fortgeschrittene Einstellungen
  • Nicht so gut geeignet, um viele externe Scripte bzw. Cookies zu verwalten (dafür sind die Cookie-Gruppen von Borlabs Cookie besser)
  • Kein einfaches Zurücksetzen der Cookie-Einwilligungen möglich
  • Plugin wird nicht so aktiv weiterentwickelt

5. Cookie Notice for GDPR von dfactory

Cookie Notice for GDPR

Preis: kostenlos

Cookie Notice for GDPR ist mit über 1 Millionen Downloads das mit Abstand beliebteste kostenlose Cookie-Plugin.

Du kannst es entweder als einfachen Cookie-Hinweis (um Nutzer über Cookies zu informieren) oder als Opt-In benutzen.

Für das Opt-In kannst du Scripte in den Plugin-Einstellungen eintragen, die dann erst nach Akzeptieren der Cookies geladen werden:

Script-Blockierung bei Cookie Notice for GDPR

Daneben bietet Cookie Notice for GDPR noch einige Zusatzeinstellungen, z. B. zum Designs des Cookie-Banners, zum Hinweis- und Buttontext oder zur Cookie-Laufzeit:

Weitere Einstellungen bei Cookie Notive for GDPR

Es eignet sich vor allem gut für private Websites oder kleinere Blogs, die nur ein oder zwei Scripte verwenden, die Cookies setzen.

Erweiterte Einstellungsmöglichkeiten bietet es leider nicht. Auch ein Content Blocker, wie ihn die anderen Cookie-Plugins haben, ist nicht enthalten.

Zum Plugin

Vorteile

  • komplett kostenlos
  • Verwendung als Opt-In möglich
  • Design und Position auf dem Bildschirm anpassbar
  • Bietet die Möglichkeit, Cookies im Nachhinein zu widerrufen
  • kommt ohne jQuery aus, was gut für die Ladezeit ist

Nachteile

  • Kein Support (Fragen im Support-Forum von WordPress werden in der Regel nicht beantwortet)
  • Wenige Einstellungsmöglichkeiten
  • Manchmal längere Zeiträume ohne Updates
  • Kein Content Blocker integriert
  • Wird nur in unregelmäßigen Abständen aktualisiert
  • altbackenes Design

6. Arten von Cookie-Bannern

Man unterscheidet generell drei Arten von Cookie-Bannern die sich jeweils in ihrem Umgang mit Cookies unterscheiden:

6.1 Einfacher Cookie-Hinweis

Hier wird ein einfaches Banner angezeigt, das darüber informiert, dass Cookies auf deiner Website verwendet werden:

Beispiel für einen einfachen Cookie-Hinweis in Form eines Banners

Das Banner lässt sich einfach wegklicken, ohne dass dies einen Einfluss darauf hat, wie Cookies gesetzt werden.

6.2 Opt-In

Ein Opt-In ist die datenschutzfreundlichste Art des Cookie-Banners.

Damit werden Cookies erst dann gesetzt, wenn der Nutzer dem explizit zugestimmt hat:

Datenschutzeinstellungen von Borlabs Cookie

6.3 Opt-Out

Äußerlich unterscheidet sich das Opt-Out oft kaum von einem Opt-In:

Beispiel für ein Cookie-Opt-Out

Dennoch unterscheidet es sich in seiner Funktionsweise erheblich:

Denn bei einem Opt-Out werden Cookies und dazugehörige Scripte bereits beim Aufruf der Website geladen.

Durch den Klick auf Ablehnen hat der Nutzer dann die Möglichkeit, dem Setzen des Cookies im Nachhinein zu widersprechen.

7. Ist ein Opt-In für Cookies Pflicht?

Die Rechtslage zum Umgang mit Cookies in Deutschland war jahrelang schwammig.

Klarheit sollte eigentlich die 2009 vom Europäischen Parlament verabschiedete Richtlinie 2009/136/EG (Cookie-Richtlinie) schaffen, in welcher ein Opt-In für Cookies vorgeschrieben wird.

Diese Richtlinie wurde jedoch nie in deutsches Recht umgesetzt, was für eine rechtliche Grauzone hierzulande gesorgt hat.

Wer darauf hoffte, dass DSGVO (Datenschutzgrundverordnung), die seit 25. Mai 2018 EU-weit angewendet wird, diesbezüglich Rechtssicherheit schaffen würde, wurde abermals enttäuscht.

Denn obwohl laut Erwägungsgrund 30 der DSGVO Cookies genauso wie IP-Adressen personenbezogene Daten sein können, ist der Umgang mit Cookies dort ebenfalls nicht eindeutig geregelt.

Denn als Rechtmäßigkeitsgrund für den Einsatz von Cookies könnte sowohl Art. 6 Abs. lit. a DSGVO (explizite Einwilligung, z. B. durch ein Cookie-Plugin) als auch Art. 6 Abs. lit. f DSGVO (berechtigtes Interesse seitens des Website-Betreibers) in Frage kommen.

Damit blieb weiterhin die Frage ungeklärt:

7.1 Welche Cookies erfordern ein Opt-In?

Damit ist es jedoch seit zwei Urteilen des Europäischen Gerichtshofes (EuGH) von Juli bzw. Oktober 2019 vorbei.

Im EuGH-Urteil vom 29.07.2019 (die Pressemitteilung dazu ist hier zu finden) geht es um Social Plugins, deren Nutzung nach Ansicht des Gerichtshof eine Einwilligung erfordert:

Was die Einwilligung nach Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 betrifft, so muss diese vor dem Erheben der Daten der betroffenen Person und deren Weitergabe durch Übermittlung erklärt werden. Daher obliegt es dem Betreiber der Website und nicht dem Anbieter des Social Plugins, diese Einwilligung einzuholen, da der Verarbeitungsprozess der personenbezogenen Daten dadurch ausgelöst wird, dass ein Besucher diese Website aufruft.

Dabei nimmt der EuGH auch Bezug auf Richtlinie 2002/58/EG (ePrivacy-Richtlinie) sowie die bereits erwähnte Cookie-Richtlinie.

Das Urteil betrifft zwar in erster Linie nur Social Plugins, denn im Prozess ging es um den Gefällt-mir-Button von Facebook. Doch es lässt sich höchstwahrscheinlich auch auf Cookies von anderen Online-Marketing- oder Tracking-Tools, wie z. B. Google Analytics, Google AdSense oder den Facebook Pixel übertragen.

Für endgültige Klarheit sorgte dann das EuGH-Urteil vom 01.10.2019:

Darin hat der Gerichtshof erstens entschieden, dass alle Cookies, die nicht unbedingt technisch notwendig sind, eine explizite Einwilligung (Opt-In) seitens des Nutzers erfordern.

Zweitens stellte der Gerichtshof fest, dass Kontrollkästchen zur Cookie-Einwilligung nicht vorangekreuzt sein dürfen. Denn Einwilligungen müssen immer “aktiv, ohne jeden Zweifel und in Kenntnis der Sachlage” erfolgen (siehe z. B. Art. 4 Nr. 11 DSGVO und Erwägungsgrund 17 der Richtlinie 2002/58/EG).

Und das heißt im Klartext:

Opt-Outs (siehe Punkt 6.3) oder einfache Cookie-Banner (siehe Punkt 6.1) für, die von einer Einwilligung durch Weitersurfen ausgehen, sind zum Setzen technisch nicht notwendiger Cookies nicht mehr erlaubt!

Neu ist diese Auslegung der Rechtslage übrigens nicht. Denn auch die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, vertrat bereits im April 2018 die Position, dass Tracking-Cookies ein Opt-In erfordern.

Ein Punkt blieb jedoch nach wie vor offen:

7.2 Urteil des BGH (Update: 28.05.2020)

Die beiden EuGH-Urteile von Juli bzw. Oktober 2019 mussten noch in deutsches Recht umgewandelt oder im Sinne dessen interpretiert werden.

Dies ist mit einem Urteil des Bundesgerichtshofs (BGH) vom 28.05.2020 jetzt geschehen.

Dabei bezieht sich der BGH vor allem auf § 15 Abs. 3 des Telemediengesetzes:

(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. […]

Der letzte fett markierte Teil wird in der Entscheidung des BGH als sofern der Nutzer einwilligt hat interpretiert:

Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.

Das heißt Cookie-Banner mit Texten á la “Wir nutzen auf dieser Website Cookis. Wenn Sie weitersurfen, erklären Sie sich damit einverstanden.” sind für die Nutzung nicht notwendiger Cookies endgültig Geschichte.

Weitere Details und einen umfangreichen FAQ zum BGH-Urteil findest du auch bei Dr. Schwenke.

7.3 Welche Cookies sind technisch notwendig und welche nicht?

Cookies, mit denen Nutzerprofile zur Markforschung oder für Werbezwecke erstellt werden, sind nicht unbedingt technisch notwendig oder “essenziell” und erfordern damit eine Einwilligung.

Soviel dürfte klar sein.

Dazu zählen mit großer Sicherheit:

  • Facebook-Pixel
  • Cookies von Werbediensten (wie z. B. Google AdSense, Ezoic, Media.net, plista, Taboola, Amazon Native Shopping Ads, Outbrain etc.)
  • Google Analytics mit eingeschalteten Werbefunktionen (z. B. bei Nutzung von Universal Analytics mit User ID, Zielgruppen, Verknüpfung zu AdSense oder Google Ads oder aktivierten Berichten zu demografischen Merkmalen und Interessen)

Neben solchen Cookies gibt es allerdings noch andere Cookie-Arten, die nicht auf die gleiche Weise von den Urteilen des BGH und EuGH betroffen sind, wie sich aus Art. 5 Abs 3. der ePrivacy-Richtlinie von 2002 entnehmen lässt:

Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung oder Erleichterung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder, soweit dies unbedingt erforderlich ist, um einen vom Teilnehmer oder Nutzer ausdrücklich gewünschten Dienst der Informationsgesellschaft zur Verfügung zu stellen.

Dazu dürften z. B. zählen:

  • Cookies zur Speicherung von Cookie-Einstellungen (irgendwie logisch, oder?)
  • Cookies zum Ausblenden von Pop-Ups oder Bannern
  • Cookies zum Speichern von Schriftgröße oder Sprachauswahl
  • Session-Cookies (Cookies, die beim Schließen des Browsers wieder gelöscht werden, z. B. zum Speichern eines Warenkorbs)
  • Cookies zum Load-Balancing (Verteilen der Server-Last)

Doch auch hier ist die Rechtslage nicht ganz eindeutig.

Rechtsanwalt Dr. Schwenke schreibt treffend dazu:

Die Ansichten wann Cookies unbedingt erforderlich sind, reichen von “Nie” bis “Google-Analytics-Cookies sind notwendig, um eine Website wirtschaftlich zu betreiben und damit überhaupt am Leben zu erhalten“.

Deshalb gilt:

Bei Cookies bei denen du dir nicht sicher bist, ob sie technisch notwendig sind oder nicht, lieber eine Einwilligung holen!

8. FAQ

Hier findest du häufige Fragen und Antworten rund um das Thema Cookie-Plugins und Cookies im Allgemeinen:

8.1 Welche Cookies setzt WordPress selbst?

Auch, wenn du keine Plugins installiert oder Scripte zusätzlich eingebunden hast, werden von WordPress Cookies gesetzt. Dazu zählen:

Für angemeldete Benutzer:

  1. wordpress_[hash]: In diesem Cookie werden beim Login deine WordPress-Nutzerdaten gespeichert (als Hash, also verschlüsselt)
  2. wordpress_logged_in_[hash]: Cookie, um einen eingeloggten Nutzer zu identifizieren. Wird nach dem Login gesetzt.
  3. wp-settings-{time}-[UID]: Cookie, in dem Einstellungen zum Admin-Bereich und der Website gespeichert werden. Enthält die User-ID deines WordPress-Nutzers.

Für nicht angemeldete Benutzer:

  1. comment_author_{HASH}: In diesem Cookie wird der Name eines Kommentators gespeichert (als Hash, also verschlüsselt).
  2. comment_author_email_{HASH}: In diesem Cookie wird die E-Mail-Adresse eines Kommentators gespeichert (als Hash, also verschlüsselt).
  3. comment_author_url_{HASH}: In diesem Cookie wird die Website-URL eines Kommentators gespeichert (als Hash, also verschlüsselt).
  4. wordpress_test_cookie: Cookie, das WordPress setzt, um zu testen, ob Cookies im Browser gesetzt werden können.

Die ersten drei Kommentar-Cookies nur dann gesetzt, wenn jemand beim Abschicken des Kommentars bei der Checkbox Meinen Namen, E-Mail und Website in diesem Browser speichern, bis ich wieder kommentiere. einen Haken gesetzt hat.

Die Länge der Cookies können mithilfe des Hooks auth_cookie_expiration angepasst werden. Wie man diesen Hook nutzt, kannst du im Developer Bereich von wordpress.org nachlesen.

Alle von WordPress gesetzten Cookies sind jedoch sehr wahrscheinlich als technisch notwendig anzusehen und bedürfen dementsprechend keines Opt-Ins.

8.2 Brauche ich für Matomo ein Opt-in?

Generell ist Matomo (ehemals Piwik), wenn du es auf deinem eigenen Server betreibst, als datenschutzfreundlicher anzusehen als Google Analytics.

Zudem lässt sich das Analyse-Tool auch ohne Cookies verwenden (allerdings werden auch ohne Cookies Nutzerprofile erstellt).

Es kommt allerdings entscheidend darauf an, wie du es nutzt.

Dient Matomo nur zur Erstellung von Besucherstatistiken ist das rechtliche Risiko bei der Nutzung ohne Opt-in laut Rechtsanwalt Dr. Schwenke gering. Nutzt du es hingegen, um Nutzerprofile zur Marktforschung oder für Werbezwecke zu erstellen, sieht die Sache anders aus.

8.3 Brauche ich für Google Analytics ein Opt-in?

Wie bei Matomo kommt es zunächst darauf an, wie du Google Analytics benutzt:

Wenn du Werbefunktionen aktiviert hast (z. B. Universal Analytics mit User ID, Zielgruppen, Verknüpfung zu AdSense oder Google Ads oder aktivierten Berichten zu demografischen Merkmalen und Interessen) dann auf jeden Fall.

Wenn diese deaktiviert sind und du zudem die IP-Anonymisierung aktiviert hast, könnte eine Einwilligung mittels Cookie-Plugin oder einem anderen Consent-Tool jedoch nicht unbedingt erforderlich sein.

Da scheiden sich aber (wieder einmal) die Geister.

Das BayLDA sowie der LfDI Baden-Württemberg sind z. B. der Meinung, dass Google Analytics generell nur mit Einwilligung verwendet werden darf.

Die DSK erachtet zudem Nutzerkennungen, wie sie bei Google Analytics (auch unabhängig von anonymizeIP) verwendet werden, auch nicht als Pseudonymisierung:

Im Hinblick auf die Verwendung von Pseudonymen ist generell anzumerken, dass die Tatsache, dass die Nutzer etwa über IDs oder Kennungen bestimmbar gemacht werden, keine Pseudonymisierungsmaßnahme i. S. d. DSGVO darstellt.

8.4 Wie finde ich heraus, welche Cookies meine Website setzt?

Die einfachste Möglichkeit, um herauszufinden, welche Cookies deine Website setzt ist das Tool Webbkoll.

Neben weiteren Infos zu HTTPS, HTTP Header etc. zeigt es dir auch eine Liste der First-Party-Cookies (von deiner eigenen Domain) und Third-Party-Cookies (von Dritt-Domains) an:

First-Party-Cookies und Third-Party-Cookies bei Webbkoll

8.5 Kann ich einen Cookie-Hinweis in WordPress ohne Plugin einbinden?

Ja, das ist mit Cookiebot möglich.

Der Cookie-Consent-Dienst kann anstelle des WordPress-Plugins auch manuell als JavaScript in den <head>-Bereich deiner Website eingebunden werden.

8.6 Dürfen Cookies bei der Einwilligung in Gruppen zusammengefasst werden?

Dazu gibt es noch keine Gerichtsurteile.

Laut einem FAQ des LfDI Baden-Württemberg, ist die Möglichkeit der Gliederung von Cookies in einzelne Kategorien erlaubt.

Auch die DSK spricht in ihrer Orientierungshilfe lediglich von einen Nennung der einzelnen Akteure, aber nicht davon, dass eine Einwilligung für jeden einzelnen Akteur gesondert erfolgen muss:

Beim erstmaligen Öffnen einer Website erscheint das Banner beispielsweise als eigenes HTML-Element. In der Regel besteht dieses HTML-Element aus einer Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge, die unter Nennung der beteiligten Akteure und deren Funktion ausreichend erklärt wird und über ein Auswahlmenü aktiviert werden können.

8.7 Was ist mit der ePrivacy-Verordnung?

Die ePrivacy-Verordnung, mit der Opt-Ins für Cookies europaweit zur Pflicht werden sollen, kommt frühestens 2020, wahrscheinlich sogar erst 2021 oder 2022.

Durch die beiden EuGH-Urteile und das BGH-Urteil wird die Verordnung jedoch nicht mehr viel an der Rechtslage ändern.

Alles zum aktuellen Stand der Verordnung kannst du in meinem ausführlichen Artikel ePrivacy-Verordnung: Alles, was du wissen musst (inkl. Timeline!) nachlesen.

Finn Hillebrandt

Über den Autor

Finn ist Gründer von Blogmojo und seit 2011 als Internet-Unternehmer selbstständig. Er ist WordPress-Fan und absoluter SEO-Nerd, der mindestens 2 Case Studys gleichzeitig am Laufen hat, um zu sehen, was bei Google gerade funktioniert. Er liebt Espresso und Schokolade, die so dunkel ist, dass er sie mit niemandem teilen muss (90% und aufwärts).

Werbehinweis für Links mit Sternchen (*)

Es handelt sich um einen Affiliate-Link, das heißt, wenn du auf der verlinkten Website etwas kaufst, erhalten wir eine Provision. Dies hat keinerlei Einfluss darauf, wie wir ein Tool oder einen Anbieter bewerten. Wir empfehlen nur Tools bzw. Anbieter, hinter denen wir auch wirklich stehen. Für dich entstehen dadurch natürlich keine zusätzlichen Kosten! Du hilfst jedoch uns und diesem Projekt. Danke! ❤