Du möchtest wissen, welches WordPress-Plugin am besten ist, um ein Cookie-Banner auf deiner Website anzuzeigen? Oder ob du überhaupt ein Cookie-Banner für deine Website benötigst?
Dann bist du hier richtig!
In diesem Artikel habe ich 5 der beliebtesten und am meisten empfohlenen WordPress-Cookie-Plugins für dich getestet.
Ich erkläre dir die Vor- und Nachteile der Plugins und worin sie sich unterscheiden, damit du die passende Lösung für deine Website finden und dich bestmöglich vor teuren Abmahnungen oder Bußgeldern schützen kannst.
Bevor wir mit den Plugins starten, habe ich dir einen kleinen Guide rund um Cookies und Einwilligungen zusammengestellt.
Ich empfehle unbedingt diesen zu lesen, um Missverständnisse zu vermeiden und später nicht in rechtliche Fettnäpfchen zu treten. ☝️
1. Was sind Cookies überhaupt?
Cookies (englisch „Kekse“) sind kleine Datensätze, die in einer Datenbank oder Textdatei im Browser deines Smartphones, Tablets oder PCs gespeichert werden:

Cookies dienen dazu, dich als Website-Besucher wiederzuerkennen und enthalten etwa Informationen zu aktiven Logins, Website-Einstellungen oder Warenkörben.
Zudem sind sie immer domainspezifisch, wie du oben im Screenshot von Mozilla Firefox erkennen kannst (in der Spalte „Website“).
2. Technisch notwendig vs. nicht notwendig
Der Gesetzgeber unterscheidet zwischen zwei verschiedenen Arten von Cookies:
👍 Technisch notwendige Cookies
Solche Cookies sind zum Betrieb deiner Website notwendig. Dazu zählen etwa Cookies, mit denen Warenkörbe oder Login-Daten gespeichert werden.
❌ Technisch nicht notwendige Cookies
Solche Cookies sind zum Betrieb deiner Website nicht zwingend notwendig. Dazu zählen Cookies, die du zu Marketing-, Webanalyse- oder Werbezwecken einsetzt, also für Dienste wie Google Analytics oder Google AdSense.
Wichtig zu verstehen ist:
Technisch nicht notwendige Cookies erfordern immer die explizite Einwilligung deiner Besucher. ☝️
3. First-Party- vs. Third-Party-Cookies
Bei der Einordnung in „notwendig“ und „nicht notwendig“ kann ein weiteres Charakteristikum helfen:
Ob es sich um ein sogenanntes First-Party- oder um ein Third-Party-Cookie handelt.
Ein First-Party-Cookie wird von deiner eigenen Domain gesetzt. Dazu zählen bei deiner WordPress-Website etwa die Cookies, die bei der Kommentarfunktion die E-Mail, Website und Namen von Kommentatoren speichern, wenn diese den entsprechenden Haken setzen:

Third-Party-Cookies hingegen stammen von externen Diensten, die in deine Website eingebunden sind (wie Google Analytics oder der Facebook Pixel).
Solche Cookies können datenschutzrechtlich problematisch sein, wenn die damit verknüpften Dienste auf vielen weiteren Websites zu finden sind. Denn dadurch können Nutzer „getrackt“, also deren Verhalten im Internet nachverfolgt werden (z. B. welche Websites oder Seiten Nutzer in welchem Zeitraum besucht haben).
Entsprechend kannst du dir als Faustregel merken:
Third-Party-Cookies erfordern meistens eine Einwilligung, First-Party-Cookies meistens nicht. ☝️
4. Gilt die Einwilligungspflicht nur für Cookies?
Nein, die Einwilligungspflicht gilt nicht nur für Cookies, sondern auch für andere Tracking-Methoden, wie Fingerprinting oder Tracking-Pixel.
Auch IP-Adressen von Website-Besuchern dürfen nur dann ohne Einwilligung gespeichert werden, wenn diese technisch notwendig für den Betrieb der Website sind. Online-Werbung über Google AdSense, Google Analytics und selbst extern geladene Webfonts wie Google Fonts sind zum Beispiel nicht technisch notwendig.
Deswegen spreche ich im Artikel häufiger von Diensten und nicht nur von Cookies.
5. Benötigt meine Website ein Cookie-Plugin?
Da die allermeisten Websites technisch nicht notwendige Cookies setzen oder externe Dienste nutzen, die deren IP-Adressen verarbeiten oder Besucher tracken, lautet die Antwort höchstwahrscheinlich:
Ja, du benötigst ein Cookie-Plugin!
Es ist zwar möglich eine Website auch einwilligungsfrei zu gestalten, z. B. durch:
- Lokale Einbindung von Google Fonts
- Verzicht auf eingebettete Inhalte (z. B. YouTube-Videos oder Google Maps)
- Verzicht auf die originalen Like- und Teilen-Buttons (und Nutzung von Zwei-Klick-Lösungen)
- Verzicht auf Google Analytics oder Nutzung von datenschutzfreundlicheren Alternativen zu Google Analytics
Aber das ist in vielen Fällen aufwendiger, erfordert mehr Auseinandersetzung mit der Technik und geht so gut wie immer mit einem Verzicht auf bestimmte Website-Features oder Daten einher.
Einfacher ist es, ein Plugin wie Real Cookie Banner zu benutzen, unseren aktuellen Testsieger:

Real Cookie Banner ist das aktuell beste WordPress-Cookie-Plugin auf dem Markt.
Es bietet nicht nur einen etwas größeren Funktionsumfang als das zweitplatzierte Plugin, Borlabs Cookie, sondern lässt sich auch noch schneller konfigurieren, hat ein schöneres Interface und überzeugt durch mehr Liebe zum Detail. ❤️
Eins der größten Kaufargumente für Real Cookie Banner ist eine riesige Auswahl an Service-Vorlagen. Es bietet aktuell 150+ Vorlagen und deckt damit wahrscheinlich weit über 90 % aller verwendeten Dienste auf WordPress-Websites ab:

Das erspart enorm viel Arbeit der Einrichtung, denn dadurch musst du viel weniger Details zu deinen Cookies und Diensten selbst eintragen.
Seit Version 2.6 bietet Real Cookie Banner sogar einen Scanner, der jede Unterseite auf deiner WordPress-Website nach Diensten durchsucht, die möglicherweise ein Opt-in erfordern:

Ist der Scanner fertig, kannst du gefundene Dienste direkt zu deinem Cookie-Banner hinzufügen. Einfacher geht’s nicht!
Der Scanner und die Vorlagen decken dabei selbstverständlich auch eingebettete Inhalte, wie YouTube- und Vimeo-Videos, Instagram-Posts, Google Maps und über 100 weitere Dienste.
Diese werden mit dem sogenannten Content-Blocker blockiert und erst freigeschaltet, wenn eine Einwilligung erteilt wurde. Vorher erscheint ein Platzhalter.
Seit Version 3.0 ist es sogar möglich, ein lokal geladenes Vorschaubild anzeigen zu lassen:

Das Design des Cookie-Banners ist ebenfalls sehr einfach und umfangreich anpassbar. Im Gegensatz zu Borlabs Cookie und vielen anderen Plugins, kannst du Änderungen per Live-Vorschau ansehen:

Bei vielen anderen Cookie-Plugins legst du Farben, Texte, Größe oder Position des Banners in den Plugin-Einstellungen fest und musst dann erst einmal den Cache deines Caching-Plugins löschen (Real Cookie Banner macht das bei Änderungen am Banner übrigens automatisch). Zum Schluss musst du noch den Browser-Cache löschen, damit du deine Design-Änderungen sehen kannst.
Und das 10 bis 30 Mal. Bis das Design endlich passt. Voll nervig!
Das Update auf Version 4.0 steht voll im Fokus der Barrierefreiheit. Mit dem Update sind nun die 12 wichtigsten EU-Länder (zusätzlich zu Deutschland und Österreich) abgedeckt und das Plugin wurde sogar rechtskonform in die jeweiligen Sprachen übersetzt. Zusätzlich wurde der Einwilligungsdialog im Cookie Banner und Content Blocker in Real Cookie Banner gemäß dem WCAG 2.2 Level AA Standard barrierefrei gestaltet.
Auf rechtliche Details legen die Entwickler von Real Cookie Banner ebenfalls sehr großen Wert, wie man z. B. an der Einwilligungshistorie sehen kann.
In der Historie werden nicht nur sämtliche Details zur Einwilligung gespeichert, sondern auch, wie das Cookie-Banner zum Zeitpunkt der Einwilligung genau aussah:

Auch gibt es Optionen, um einen Altershinweis zur Einwilligung im Cookie-Banner anzuzeigen oder auf die Datenverarbeitung in den USA hinzuweisen (letzteres kann laut Dr. Schwenke rechtliche Risiken durch den Fall des Privacy Shields mindern):

Das Plugin informiert dich zudem darüber, dass du den Inhalt oder das Verhalten des Cookie-Banners angepasst hat, und weist dich darauf hin, dass du alle Besucher lieber um eine erneute Einwilligung bitten solltest:

Mein Fazit:
Ich bin begeistert und kann Real Cookie Banner bedingungslos weiterempfehlen!
Vorteile
- Design des Cookie-Banners visuell mit dem Customizer anpassbar
- Content-Blocker für eingebettete Inhalte (YouTube, Google Maps, Instagram, Twitter, Vimeo etc.)
- Service-Scanner, mit dem das Plugin nach bekannten Diensten auf allen Unterseiten sucht
- Erklärungen oder weiterführende Links zu jedem Einstellungspunkt
- schnell ladende und übersichtliche Einstellungen
- 150+ Vorlagen für Dienste und 120+ für Content-Blocker
- Unterstützung für TCF 2.0+
- deutscher Support
- Umfangreiche Einrichtungs-Checkliste
- Geo-Restrictions (um das Banner für bestimmte Länder auszublenden)
- Seite wird nach Opt-out neu geladen (ist bei Borlabs nicht so)
- Hineinschnuppern dank kostenloser Version
- Einfacher Im- und Export von Einwilligungen und Einstellungen
- Einwilligungshistorie zeigt, wie das Banner zum Einwilligungszeitpunkt aussah
- Altershinweis und Hinweis zur Datenverarbeitung in den USA
Nachteile
- Einzel-Lizenz 10 € teurer als bei Borlabs Cookie (mit meinem Gutschein gleicht sich das jedoch wieder aus)
- Agentur-Lizenz für 299 € umfasst nur 25 Websites (Borlabs Cookie bietet 99 Websites zum selben Preis)
- iframes werden nicht automatisch blockiert (müssen als Dienst hinzugefügt werden)
- Split-Tests für Cookie-Banner nicht möglich
- Scanner findet nicht 100 % aller verwendeten Dienste (informiert aber darüber und auch zeigt keine Dienste mehr an, die nicht mehr auf der Website sind)

Borlabs Cookie ist eines der beliebtesten Cookie-Plugins für WordPress im deutschsprachigen Raum.
Und das hat auch seine Gründe:
Es bietet einen großen Funktionsumfang, viele Anpassungsmöglichkeiten und ein schickes Cookie-Banner. Und das alles zu einem fairen Preis.
Und seit dem Update im Januar 2024 auf die neue Version Borlabs 3.0 ist auch der bisher größte Nachteil, die langwierige, manuelle Einrichtung endlich verschwunden.
Denn mit der Version 3.0 bietet Borlabs nun einen Scanner, der dir die (fast) automatische Einrichtung von Borlabs Cookie ermöglicht.
Auch die Cookie-Plugins Complianz und Cookiebot erkennen Cookies und zum Teil auch Dienste sogar vollautomatisch (was aber leider nicht zuverlässig funktioniert, weshalb Borlabs Cookie immer noch die bessere Lösung ist).
Zudem ergänzt Borlabs Cookie WordPress um einen guten Content-Blocker für eingebettete Inhalte.
Dadurch werden eingebettete YouTube- und Vimeo-Videos, Facebook-Posts, Google Maps und Co. erst nach Klick auf einen Button geladen. Anstelle des Inhalts wird dann ein Vorschaubild mit Button angezeigt:

Vorteile
- Viele Anpassungs- und Einstellungsmöglichkeiten
- Schickes Design der Opt-in-Box
- Einfacher Import und Export von Einwilligungen und Einstellungen
- Zwei-Klick-Lösung für eingebettete Inhalte (z. B. von YouTube, Google Maps, Instagram, Twitter oder Vimeo)
- Shortcode, um beliebige Inhalte zu blockieren und erst nach dem Klick verfügbar zu machen
- Funktioniert mit den meisten gängigen Caching-Plugins
- Opt-in-Statistiken im Dashboard
- Kompatibel zu vielen Page-Buildern, wie WPBakery, Thrive Architect oder Elementor
- Verwaltung einzelner Cookies und Cookie-Gruppen
- Funktioniert mit mehrsprachigen Websites (WPML oder Polylang)
- Deutscher Support
- Ständige Weiterentwicklung
- Übersichtliche Plugin-Einstellungen, die sich auch mobil bedienen lassen
- Script-Blocker zur Blockierung von Javascript, das durch andere Plugins in deine Website eingefügt wird
- Kompatibel zum Werbenetzwerk Ezoic
- Unterstützung für TCF 2.0
Nachteile
- Kein Cookie-Scanner oder Check, welche Services oder Embeds auf der Website integriert sind
- Dienste und dazugehörige Cookies müssen manuell in den Einstellungen hinterlegt werden (es gibt zwar Vorlagen, aber nur für 17 bzw. 24 Dienste)
- Script Blocker ist kompliziert einzurichten (selbst für WordPress-Veteranen wie mich)
- Seite wird nach Opt-out nicht automatisch neu geladen
- zum Teil unübersichtlicher Einstellungsbereich (vor allem der Tab „Cookie Box“)
- Änderungen am Design der Cookie Box kann man nicht live anschauen
- kein Installations-Assistent oder eine Konfigurations-Checkliste
Platz 3: Complianz

Complianz ist die Eier legende Wollmilchsau unter den Cookie-Plugins und Cookie-Consent-Tools. Es zeichnet sich durch einen großen Funktionsumfang aus:
Es bietet es einen Content-Blocker, viele Gestaltungsmöglichkeiten für das Cookie-Banner, Cookie-Gruppen und einen Einrichtungsassistenten, der dich Schritt für Schritt durch den Konfigurationsprozess führt.
Das Highlight von Complianz ist ein Cookie-Scanner, der deine Website wöchentlich oder manuell auf Cookies scannen kann und entsprechende Dienste dafür vorschlägt:

Die Pro-Version bietet zusätzlich die Erstellung von Impressum, Datenschutzerklärung und anderen Rechtstexten an, die Möglichkeit Split-Tests für verschiedene Designs des Cookie-Banners durchzuführen sowie die Protokollierung von Einwilligungen.
Ist Complianz also eine bessere Alternative zu Borlabs Cookie oder Real Cookie Banner?
Leider nein.
Obwohl der Cookie-Scanner sicherlich hilfreich ist, muss man noch viele Dienste manuell konfigurieren und überprüfen, ob der Scanner überhaupt alle Dienste und Cookies gefunden hat (oder ob er alte Dienste, die schon lange nicht mehr auf der Website sind, immer noch listet).
Zudem ist Complianz für deutsche Nutzer und Websites weniger gut geeignet:
Erstens sind Dokumentation und Support nur auf Englisch. Zweitens ist die Qualität der deutschen Übersetzung nicht sonderlich gut. Das war schon seit Einführung des Plugins so und hat sich seitdem leider nur geringfügig gebessert.
Nehmen wir zum Beispiel den Punkt „Sicherheit & Zustimmung“ im Assistenten:

In allen vier Fragen (!) finden sich Übersetzungsfehler:
- Mit „Einverständniserklärungen aktivieren“ ist eigentlich gemeint, dass Einwilligungen protokolliert werden
- Mit „Datenanforderungsformularen“ sind Auskunftsersuchen nach Art. 15 DSGVO gemeint
- Mit „Nicht verfolgen“ ist der „Do not Track“-Header gemeint
- Mit „Sicherheitsmaßnahmen“ sind technisch organisatorische Maßnahmen (TOM) gemeint
Und das sorgt dafür, dass die Einrichtung unnötig lange dauert, weil man sich erst durch die (teilweise lückenhafte) Dokumentation wurschteln muss, bis man weiß, was gemeint ist oder man das Plugin möglicherweise falsch konfiguriert.
Auch der Content-Blocker von Complianz ist nach wie vor verbesserungswürdig.
Er erkennt nicht alle eingebetteten Inhalte, selbst, wenn diese manuell über das Script-Center hinzugeführt worden sind. In folgendem Beispiel wurde zwar das YouTube-Video blockiert, der SoundCloud-Player aber nicht:

Zudem funktionieren die Platzhalter manchmal nicht und lassen sich zudem nicht individuell anpassen.
Allerdings:
Auch wenn Complianz nicht an Borlabs Cookie und Real Cookie Banner herankommt, ist es immer noch eine bessere Alternative zu Cookiebot oder DSGVO Pixelmate, den viert- und fünftplatzierten Cookie-Plugins.
Vorteile
- Einrichtung per Assistent
- Brauchbare kostenlose Version
- Cookie-Scanner zur automatischen Cookie-Erkennung (mit wöchentl. Scans)
- Nimmt Rücksicht auf Gesetzgebung außerhalb der EU (wie COPPA oder CCPA)
- Generiert automatisch eine Cookie-Richtlinie
- Generierung von Impressum und Datenschutzerklärung (Premium)
- CSS- und JS-Dateien werden komplett lokal geladen
- Split-Testing verschiedener Cookie-Banner möglich (Premium)
- To-do-Liste im Dashboard
- Design des Banners lässt sich individuell anpassen und bietet eine Live-Vorschau
- Unterstützung für TCF 2.0
Nachteile
- Support und Dokumentation nur auf Englisch
- Einstellungen und Assistent sind oft nicht gut ins Deutsche übersetzt
- Das Design des Cookie-Banners ist eher fade
- Es lassen sich keine eigenen Cookie-Gruppen anlegen oder die Namen der vordefinierten Cookie-Gruppen ändern
- Der Content-Blocker bietet keine schönen Platzhalter und ist nicht zu 100 % zuverlässig
- Platzhalter des Content-Blockers sind nicht individuell anpassbar
- Content-Blocker bietet nicht viele Vorlagen, zu blockierende Dienste werden zudem nicht automatisch gefunden oder vorgeschlagen
- Der Cookie-Scanner erkennt nicht alle Dienste
- Der Cookie-Scanner erkennt oft nicht, wenn Dienste von der Website entfernt wurden, und listet diese weiterhin
- Trotz Cookie-Scanner muss man noch viele Dienste selbst konfigurieren
- keine Detail-Übersicht über Cookies direkt im Cookie-Banner
Platz 4: DSGVO Pixelmate

Das Cookie-Plugin DSGVO Pixelmate stellt eine Alternative für Borlabs Cookie oder Real Cookie Banner dar, wenn du…
- lediglich für Google Analytics, den Facebook Pixel und/oder wenige andere Scripte ein Opt-in brauchst.
- du auf erweiterte Einstellungs- und Anpassungsmöglichkeiten verzichten kannst (siehe auch Liste der Nachteile weiter unten)
- weniger Geld ausgeben möchtest (für eine Website kostet es einmalig 39 €, während Borlabs Cookie und Real Cookie Banner das jährlich kosten).
- manche rechtliche Risiken durch fehlende Funktionen in Kauf nehmen kannst (DSGVO Pixelmate fehlt z. B. eine Protokollierung der Einwilligungen)
DSGVO Pixelmate überzeugt vorwiegend dadurch, dass es sich einfach und schnell konfigurieren lässt.
Um Google Analytics oder den Facebook Pixel einzubinden, brauchst du z. B. nicht den kompletten Tracking-Code. Es reichen die Google Tracking ID bzw. die Facebook Pixel ID:

Auch sonstige Scripte lassen sich einfach und schnell in Head, Body oder Footer einbinden. Je nach Art kannst du diese in die Cookie-Gruppen Notwendig, Tracking, Werbung oder Sonstige einteilen:

Eine individuelle Benennung der Cookie-Gruppen oder das Hinzufügen von eigenen ist jedoch leider nicht möglich.
Ähnlich wie Borlabs Cookie und Real Cookie Banner verfügt auch DSGVO Pixelmate über eine Option externe Ressourcen zu blockieren und erst nach dem Klick verfügbar zu machen (in den Einstellungen Datenkontrolle genannt).
Ein eingebundenes Vimeo-Video sieht bei aktivierter Datenkontrolle so aus:

Nachteil dabei:
Das Overlay wird leider nur für Vimeo und YouTube angezeigt. Der Text ist entsprechend auch nur für die beiden Dienste individuell anpassbar.
Alle weiteren externen Dienste werden von der Datenkontrolle zwar blockiert, aber ohne, dass ein Overlay angezeigt wird.
Vorteile
- einmaliger Preis, kein Jahres- oder Monatsabo
- leicht zu bedienen
- einfache Einbindung von Google Analytics und dem Facebook Pixel
- Sonstige Scripte können mit dem Plugin in Head, Body oder Footer eingebunden werden
- Design des Cookie-Banners individuell anpassbar
- Einteilen der Scripte in Cookie-Gruppen möglich
- Option zum Blockieren aller externen Ressourcen, z. B. für YouTube, Vimeo, Twitter und Google Maps
- eigene Facebook-Gruppe zum Cookie-Plugin, in der man Fragen stellen kann
- entwickelt in Zusammenarbeit mit einer Rechtsanwältin
- Einblenden eines Widerrufs-Buttons möglich (erscheint im Footer)
Nachteile
- das Plugin wird nicht so häufig aktualisiert
- nicht so gut geeignet, um viele Dienste bzw. Cookies zu verwalten
- kein Cookie- oder Dienste-Scanner
- keine Detail-Informationen zu den verwendeten Cookies hinterlegbar
- keine Statistiken über Opt-in-Raten
- Design-Anpassungen für die Cookie-Meldung nicht sonderlich umfangreich
- kein Shortcode zum Blockieren externer Ressourcen
- Platzhalter für blockierte externer Ressourcen nur bedingt anpassbar (nur Texte für YouTube- und Vimeo-Videos können verändert werden)
- kein einfaches Zurücksetzen der Cookie-Einwilligungen seitens des Administrators möglich
- keine Protokollierung der Einwilligungen
- keine Unterstützung für TCF

Cookiebot ist ein Cookie-Plugin und Cookie-Consent-Manager, der mittlerweile zur deutschen Usercentrics GmbH gehört und sich dadurch abheben möchte, Nutzern möglichst viele Einstellungen abzunehmen.
Es war das erste WordPress-Plugin auf dem Markt, das einen Cookie-Scanner geboten hat.
Dieser teilt sehr viele Cookies schon automatisch in verschiedene Kategorien ein, die beim Opt-in dann von Besuchern an- oder abgewählt werden können:

Cookies, die Cookiebot unbekannt sind, kannst du manuell in Kategorien einteilen:

Beim Aufruf deiner Website werden alle vom Cookiebot gefundenen Cookies dann automatisch blockiert und erst gesetzt, nachdem der Nutzer dem zugestimmt hat.
Doch trotz des Scanners landet das WordPress-Plugin nur auf Platz 5. Und dafür gibt es drei Gründe:
1. Der Cookie-Scanner ist wie der Scanner von Complianz leider nicht sonderlich zuverlässig. Er findet häufig Cookies und Dienste nicht oder zeigt Cookies an, die schon länger nicht mehr auf der Website verwendet werden.
2. Der Content-Blocker von Cookiebot kann nicht so viele Inhalte blockieren wie Real Cookie Banner oder Borlabs Cookie und zeigt nur einen unschönen Platzhalter-Text anstelle des blockierten Inhalts an, welcher sich leider auch nicht anpassen lässt:

3. Cookiebot wird über ein externes und kein lokales Script geladen, was nicht sonderlich datenschutzfreundlich ist.
Ein weiterer großer Nachteil ist das Preismodell, das sich nach Anzahl der Unterseiten einer Website richtet:
Für 144 € pro Jahr bekommst du bis 499 Unterseiten. Das hört sich viel an, ist es aber nicht. Denn dazu zählen nicht nur Posts oder Seiten in WordPress, sondern auch Tags, Kategorien oder sogar Medien-Seiten.
Das heißt, die meisten schon etwas länger bestehenden WordPress-Blogs oder -Websites fallen wahrscheinlich in den nächsthöheren Tarif für 336 € pro Jahr. Das ist 7 bis 9 Mal so teuer im Jahr wie Borlabs Cookie, Real Cookie Banner oder Complianz.
Vorteile
- Einfache Installation
- Für Websites bis zu 50 Seiten kostenlos
- Automatischer Cookie-Scan, bei dem alle Cookies auf deiner Website gesammelt und in Kategorien eingeteilt werden
- Alle Scripte und externen Ressourcen können eingebunden bleiben und müssen nicht ins Plugin verschoben werden (wie bei Borlabs Cookie oder Pixelmate)
- Kompatibel zu vielen Plugins von Dritt-Anbietern, wie Google Analyticator, Optinmonster, AddThis, Jetpack oder AddToAny
- Kompatibel mit jeder Website, nicht nur mit WordPress
- Hat einen Content Blocker, um eingebettete Inhalte zu blockieren
- Unterstützung für TCF 2.0
Nachteile
- Erfordert Erstellung eines Nutzer-Accounts, über den die meisten Einstellungen laufen
- Cookiebot lädt Script über externe Server
- Content-Blocker blockiert nicht alle externen Ressourcen
- Content-Blocker blockiert nur Cookies, aber nicht die gesamte Verbindung (IP-Adressen werden also trotzdem an externe Dienste übertragen)
- Content-Blocker bietet keine schönen Platzhalter
- Der Cookie-Scanner erkennt nicht alle Dienste
- Der Cookie-Scanner erkennt oft nicht, wenn Dienste von der Website entfernt wurden, und listet diese weiterhin
1. Eine Opt-in-Funktion
Ein gutes WordPress-Cookie-Plugin muss eine Opt-in-Funktion bieten. Das heißt, Scripte und dazugehörige Cookies werden erst nach Einwilligung des Nutzers geladen.
Alles andere (einfacher Cookie-Hinweis oder Opt-out) sind datenschutzrechtlich bedenklich.
2. Einen Content-Blocker
Eingebettete Inhalte, wie YouTube- und Vimeo-Videos, Podcast-Player oder Google Maps setzen bereits beim Seitenaufbau Cookies und stellen Verbindungen zu Drittservern her.
Ein gutes Cookie-Plugin enthält einen Content-Blocker, der eingebettete Inhalte erst nach Einwilligung des Nutzers lädt.
3. Links zu Impressum und Datenschutzerklärung im Cookie-Banner
Trotz Cookie-Banner müssen rechtlich erforderliche Seiten erreichbar bleiben.
Links zu Datenschutzerklärung und Impressum sollten entweder im Cookie-Banner stehen können oder zumindest nicht davon abgedeckt werden:

4. Die Möglichkeit Cookies nach der Einwilligung wieder abzuwählen
Nachdem ein Nutzer eine Einwilligung für Cookies gegeben hat, muss er die Möglichkeit haben, diese Einwilligung zu widerrufen.
Rechtsanwalt Dr. Thomas Schwenke schreibt dazu:
Nutzer müssen deren Cookie-Einstellungen ändern können (um so insbesondere ihren Widerspruch erklären zu können). Platzieren Sie daher die Möglichkeit, die Einstellungen zu ändern, deutlich. Zu empfehlen ist die Platzierung, in der Datenschutzerklärung und zusätzlich im Fußbereich der Webseite.
Mit Borlabs Cookie und Real Cookie Banner lässt sich dies durch die Platzierung von Shortcodes in Footer und Datenschutzerklärung umsetzen.
5. Protokollierung der Einwilligung
Laut Art. 7 Abs. 1 DSGVO müssen Website-Betreiber Einwilligungen in Datenverarbeitung nachweisen können.
Das heißt, um maximale Rechtssicherheit zu gewährleisten, sollte ein Cookie-Plugin Einwilligungen von Nutzern protokollieren.
6. Details zu Cookies direkt im Cookie-Banner
Nach Erwägungsgrund 32 der DSGVO sollte die „Einwilligung durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“
Laut Dr. Schwenke ist man rechtlich auf der sichersten Seite, wenn bereits das Cookie-Banner Detailinformationen zu den Cookies enthält, in die Website-Besucher einwilligen. Dazu zählen Art und Funktionsweise der Cookies, deren Lebensdauer und die dazugehörigen Dienste (z. B. Matomo oder Google Analytics) sowie eine Widerspruchsmöglichkeit.
Vergleichstabelle
Real Cookie Banner | Borlabs Cookie | Complianz | DSGVO Pixelmate | Cookiebot | |
---|---|---|---|---|---|
Preis pro Jahr (für eine Website, zzgl. MwSt.) | 41,18€ | 39€ | 59€ | 39€ | 144€ |
Kostenlose Version vorhanden | für kleine Websites |
||||
Cookie- und Consent-Management | |||||
Einrichtungshilfe | Checkliste & Warnungen | Assistent & Scanner | Assistent | ||
Vorlagen für Cookies oder Dienste | 150+ Dienste-Vorlagen |
20 Dienste-Vorlagen |
|
|
3.500 Cookie-Beschreibungen |
Individuelle Cookie-Gruppen | vordefinierte Gruppen |
vordefinierte Gruppen |
vordefinierte Gruppen |
||
Content-Blocker | |||||
Vorlagen für Dienste, Plugins und Embeds | 120+ Vorlagen |
7 Vorlagen |
18 Vorlagen |
2 Vorlagen |
|
Anpassbare Platzhalter-Texte | Teilweise nur Vimeo und YouTube |
||||
Benutzerdef. Blockieren von HTML-Elementen (z. B. mit Shortcodes oder CSS-Klasse) | |||||
Benutzerdef. Blockieren anhand URLs oder Domains | |||||
Standardmäßiges Blockieren aller Drittanbieter-Verbindungen | |||||
Cookie-Banner | |||||
Anpassbares Banner-Design | sehr viele Einstellungen |
viele Einstellungen |
viele Einstellungen |
viele Einstellungen |
wenige Einstellungen |
Designvorlagen | 20 Vorlagen |
2 Vorlagen |
|||
Live-Vorschau von Design-Änderungen | |||||
Banner bietet Detailinformationen zu Cookies an | Verweis auf Cookie-Richtlinie |
||||
Cookie-Banner auf bestimmten Seiten ausblenden | |||||
Altershinweis aktivierbar | |||||
Hinweis zur Datenverarbeitung in der USA aktivierbar | |||||
A/B-Tests für das Banner-Design | |||||
Geoblocking | |||||
Einwilligungen | |||||
Protokollierung von Einwilligungen | |||||
Protokollierung des Banner-Designs zum Einwilligungszeitpunkt | |||||
Hinweis auf erneutes Einholen der Einwilligungen nach Einstellungsänderung | |||||
Export der Einwilligungen | |||||
Einwilligungs-Statistiken | mit auswählbarem Zeitraum |
der letzten 10.000 Einwilligungen |
ohne auswählbarem Zeitraum |
mit auswählbarem Zeitraum |
|
Shortcodes für Einwilligungsgeschichte, -änderung und -widerruf | |||||
Sonstiges | |||||
Deutscher Support | |||||
Deutsche Dokumentation | |||||
Unterstützung für TCF v2.0 | |||||
Native WordPress-Lösung | Cloud-Dienst |
||||
Im- und Export von Einstellungen | |||||
Unterstützung mehrsprachiger Websites | nur WPML und nur DE/EN |
||||
Unterstützung von Multisites | Teilweise |
Die Tabelle wurde zuletzt am 23. Januar 2024 komplett aktualisiert. Verglichen wurden Real Cookie Banner Pro 4.0, Borlabs Cookie 3.0, Complianz Premium 6.2.4, DSGVO Pixelmate 4.1.2 und Cookiebot 4.10.
Man unterscheidet generell drei Arten von Cookie-Bannern, die sich jeweils in ihrem Umgang mit Cookies unterscheiden:
Einfacher Cookie-Hinweis
Hier wird ein einfaches Banner angezeigt, das darüber informiert, dass Cookies auf deiner Website verwendet werden:

Das Banner lässt sich einfach wegklicken, ohne dass dies einen Einfluss darauf hat, dass Cookies beim Weitersurfen gesetzt werden (oder bereits gesetzt wurden).
Opt-in
Ein Opt-in ist die datenschutzfreundlichste Art des Cookie-Banners.
Damit werden Cookies erst dann gesetzt, wenn der Nutzer dem explizit zugestimmt hat. Vor allem für Cookies, die zu Werbe- und Marktforschungszwecken gesetzt werden, ist ein Opt-in zwingend erforderlich.
Hier ein Beispiel-Banner von Real Cookie Banner:

Opt-out
Äußerlich unterscheidet sich das Opt-out oft kaum von einem Opt-in:

Dennoch unterscheidet es sich in seiner Funktionsweise erheblich:
Denn bei einem Opt-out werden Cookies und dazugehörige Scripte bereits beim Aufruf der Website geladen.
Durch den Klick auf Ablehnen hat der Nutzer dann die Möglichkeit, dem Setzen des Cookies im Nachhinein zu widersprechen.
Rechtslage in Deutschland
Die Rechtslage zum Umgang mit Cookies war lange Zeit in Deutschland schwammig.
Klarheit sollte bereits die 2009 vom Europäischen Parlament verabschiedete Richtlinie 2009/136/EG (Cookie-Richtlinie) schaffen, in der ein Opt-in für Cookies vorgeschrieben wurde.
Diese Richtlinie wurde jedoch für mehr als ein Jahrzehnt nicht in deutsches Recht umgesetzt, was für eine rechtliche Grauzone sorgte (selbst nach der Einführung der europaweiten DSGVO im Mai 2018).
Für mehr Klarheit sorgte jedoch ein Urteil des Bundesgerichtshofs (BGH) vom 28.05.2020, das die Einwilligungspflicht nach der Cookie-Richtlinie bestätigt hat.
Dem Urteil vom BGH ging am 01.10.2019 ein Urteil des EuGH voraus.
Dabei bezieht sich der BGH vor allem auf § 15 Abs. 3 des Telemediengesetzes:
(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. […]
Der letzte fett markierte Teil wird in der Entscheidung des BGH als sofern der Nutzer einwilligt hat interpretiert:
Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.
Kurzum:
Opt-outs und einfache Cookie-Banner mit Texten á la „Wir nutzen auf dieser Website Cookies. Wenn Sie weitersurfen, erklären Sie sich damit einverstanden.“ sind für die Nutzung nicht notwendiger Cookies nicht mehr zulässig.
Weitere Details und Antworten auf häufige Fragen findest du bei Rechtsanwalt Dr. Schwenke.
Für welche Cookie-Arten benötige ich ein Opt-in?
Für Cookies, mit denen Nutzerprofile zur Marktforschung oder für Werbezwecke erstellt werden. Denn diese sind nicht unbedingt technisch notwendig oder „essenziell“ und erfordern damit eine Einwilligung.
Dazu zählen mit großer Sicherheit:
- Facebook-Pixel
- Cookies von Werbediensten (wie Google AdSense, Ezoic, Media.net, plista, Taboola, Amazon Native Shopping Ads, Outbrain etc.)
- Google Analytics mit eingeschalteten Werbefunktionen (z. B. bei Nutzung von Universal Analytics mit User ID, Zielgruppen, Verknüpfung zu AdSense oder Google Ads oder aktivierten Berichten zu demografischen Merkmalen und Interessen)
Welche Cookies sind technisch notwendig?
Neben Werbe-Cookies gibt es Cookie-Arten, die nicht auf die gleiche Weise von den Urteilen des BGH und EuGH betroffen sind und keine Einwilligung erfordern.
Dies lässt sich aus Art. 5 Abs. 3 der ePrivacy-Richtlinie von 2002 entnehmen:
Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Zu „unbedingt erforderlichen“ Cookies gehören mit großer Sicherheit:
- Cookies zur Speicherung von Cookie-Einstellungen
- Cookies zum Speichern von Schriftgröße oder Sprachauswahl
- Cookies zum Speichern des Login-Status eines Nutzers
- Cookies zur Umsetzung erforderlicher Sicherheitsmaßnahmen (z. B. Verteidigung gegen Brute-Force-Angriffe)
- Warenkorb-Cookies (Cookies, die beim Schließen des Browsers wieder gelöscht werden, z. B. zum Speichern eines Warenkorbs)
- Cookies zum Load-Balancing (Verteilen der Server-Last)
Dürfen Cookies bei der Einwilligung in Gruppen zusammengefasst werden?
Dazu gibt es noch keine Gerichtsurteile.
Laut einer FAQ des LfDI Baden-Württemberg, ist die Möglichkeit der Gliederung von Cookies in einzelne Kategorien erlaubt.
Auch die DSK spricht in ihrer Orientierungshilfe lediglich von einer Nennung der einzelnen Akteure, aber nicht davon, dass eine Einwilligung für jeden einzelnen Akteur gesondert erfolgen muss:
Beim erstmaligen Öffnen einer Website erscheint das Banner beispielsweise als eigenes HTML-Element. In der Regel besteht dieses HTML-Element aus einer Übersicht aller einwilligungsbedürftigen Verarbeitungsvorgänge, die unter Nennung der beteiligten Akteure und deren Funktion ausreichend erklärt werden und über ein Auswahlmenü aktiviert werden können.
Benötige ich für Matomo ein Opt-in?
Generell ist Matomo (ehemals Piwik), wenn du es auf deinem eigenen Server betreibst, als datenschutzfreundlicher anzusehen als Google Analytics.
Zudem lässt sich das Analyse-Tool auch ohne Cookies verwenden (allerdings werden auch ohne Cookies Nutzerprofile erstellt).
Es kommt allerdings entscheidend darauf an, wie du es nutzt.
Dient Matomo nur zur Erstellung von Besucherstatistiken, ist das rechtliche Risiko bei der Nutzung ohne Opt-in laut Rechtsanwalt Dr. Schwenke gering. Nutzt du es hingegen, um Nutzerprofile zur Marktforschung oder für Werbezwecke zu erstellen, sieht die Sache anders aus.
Benötige ich für Google Analytics ein Opt-in?
Wie bei Matomo kommt es zunächst darauf an, wie du Google Analytics benutzt:
Wenn du Werbefunktionen aktiviert hast (z. B. Universal Analytics mit User ID, Zielgruppen, Verknüpfung zu AdSense oder Google Ads oder aktivierten Berichten zu demografischen Merkmalen und Interessen) dann auf jeden Fall.
Wenn diese deaktiviert sind und du zudem die IP-Anonymisierung aktiviert hast, könnte eine Einwilligung mittels Cookie-Plugin oder einem anderen Consent-Tool jedoch nicht unbedingt erforderlich sein.
Da scheiden sich aber (wieder einmal) die Geister.
Das BayLDA sowie der LfDI Baden-Württemberg sind z. B. der Meinung, dass Google Analytics generell nur mit Einwilligung verwendet werden darf.
Die DSK erachtet zudem Nutzerkennungen, wie sie bei Google Analytics (auch unabhängig von anonymizeIP) verwendet werden, auch nicht als Pseudonymisierung:
Im Hinblick auf die Verwendung von Pseudonymen ist generell anzumerken, dass die Tatsache, dass die Nutzer etwa über IDs oder Kennungen bestimmbar gemacht werden, keine Pseudonymisierungsmaßnahme i. S. d. DSGVO darstellt.
FAQ
Hier habe ich dir die Antworten auf die häufigsten Fragen rund um WordPress-Cookie-Plugins zusammengestellt:
Auch, wenn du keine Plugins installierst oder Scripte zusätzlich eingebunden hast, werden von WordPress Cookies gesetzt. Dazu zählen:
Für angemeldete Benutzer:
- wordpress_[hash]: In diesem Cookie werden beim Login deine WordPress-Nutzerdaten gespeichert (als Hash, also verschlüsselt)
- wordpress_logged_in_[hash]: Cookie, um einen eingeloggten Nutzer zu identifizieren. Wird nach dem Login gesetzt.
- wp-settings-{time}-[UID]: Cookie, in dem Einstellungen zum Admin-Bereich und der Website gespeichert werden. Enthält die User-ID deines WordPress-Nutzers.
Für nicht angemeldete Benutzer:
- comment_author_{HASH}: In diesem Cookie wird der Name eines Kommentators gespeichert (als Hash, also verschlüsselt).
- comment_author_email_{HASH}: In diesem Cookie wird die E-Mail-Adresse eines Kommentators gespeichert (als Hash, also verschlüsselt).
- comment_author_url_{HASH}: In diesem Cookie wird die Website-URL eines Kommentators gespeichert (als Hash, also verschlüsselt).
- wordpress_test_cookie: Cookie, das WordPress setzt, um zu testen, ob Cookies im Browser gesetzt werden können.
Die ersten drei Kommentar-Cookies nur dann gesetzt, wenn jemand beim Abschicken des Kommentars bei der Checkbox Meinen Namen, E-Mail und Website in diesem Browser speichern, bis ich wieder kommentiere. einen Haken gesetzt hat.
Die Länge der Cookies kann mithilfe des Hooks auth_cookie_expiration angepasst werden. Wie man diesen Hook nutzt, kannst du im Developer Bereich von wordpress.org nachlesen.
Alle von WordPress gesetzten Cookies sind jedoch sehr wahrscheinlich als technisch notwendig anzusehen und bedürfen dementsprechend keines Opt-ins.
Ja, das ist mit Cookiebot möglich.
Der Cookie-Consent-Dienst kann anstelle des WordPress-Plugins auch manuell als JavaScript in den <head>-
Bereich deiner Website eingebunden werden.
Ja, es gibt z. B. kostenlose Versionen von Real Cookie Banner, Cookiebot und Complianz.
Allerdings musst du damit rechnen, dass diese einen geringeren Funktionsumfang haben und dadurch mitunter weniger Rechtssicherheit und Einrichtungskomfort bieten.
Die einfachste Möglichkeit, um herauszufinden, welche Cookies deine Website setzt, ist das Tool Webbkoll.
Neben weiteren Infos zu HTTPS, HTTP Header etc. zeigt es dir auch eine Liste der First-Party-Cookies (von deiner eigenen Domain) und Third-Party-Cookies (von Dritt-Domains) an:
Ja, die gibt es. Cookiebot zum Beispiel kann als cloudbasiertes Cookie-Consent-Tool in jede Website eingebunden werden, unabhängig von ihrem CMS oder ihrer Plattform.
Weitere cloudbasierte Lösungen findest du in meinem ausführlichen Vergleich von Cookie-Consent-Tools.