WordPress Cookies: DSGVO-konform verwalten in 2025

WordPress zählt zu den beliebtesten Content-Management-Systemen – und ist gleichzeitig eine der größten Herausforderungen für DSGVO-Compliance. Über 43 % aller Websites nutzen WordPress (W3Techs, 2025), doch viele setzen Cookies rechtswidrig. Dieser Leitfaden zeigt Ihnen, welche Cookies WordPress standardmäßig verwendet, welche rechtlichen Anforderungen Sie erfüllen müssen und wie Sie mit den richtigen Tools Bußgelder vermeiden.

Die gute Nachricht : Eine frische WordPress-Installation ohne Plugins setzt kaum problematische Cookies. Die schlechte Nachricht: Sobald Sie Plugins installieren, was praktisch jeder macht, wird die Cookie-Landschaft komplex.

Die Standard-WordPress-Cookies

Das sind die Standard-WordPress-Cookies:

Session-Cookies für angemeldete Nutzer:

• wordpress_[hash]: Authentifizierung nach Login
• wordpress_logged_in_[hash]: Speichert Login-Status
• Lebensdauer: Bis zu 2 Tage (bei aktiviertem „Angemeldet bleiben” bis zu 14 Tage)
• DSGVO-Status: Technisch notwendig, keine Einwilligung erforderlich

Kommentar-Cookies:

• comment_author_[hash]: Speichert Namen des Kommentators
• comment_author_email_[hash]: E-Mail-Adresse
• comment_author_url_[hash]: Website-URL
• Lebensdauer: 347 Tage (fast ein Jahr!)
• DSGVO-Status: Umstritten – seit WordPress 4.9.6 gibt es eine Checkbox zur Einwilligung

Test-Cookie:

• wordpress_test_cookie: Prüft, ob Browser Cookies akzeptiert
• Lebensdauer: Session
• DSGVO-Status: Technisch notwendig

WordPress nutzt standardmäßig ausschließlich Session-Cookies für essentielle Funktionen. Diese sind nach § 25 TDDDG von der Einwilligungspflicht ausgenommen. Aber sobald Sie auch nur ein einziges Plugin installieren, ändert sich die Situation fundamental.

Die versteckten Plugin-Cookies

Die eigentliche Cookie-Herausforderung bei WordPress liegt in den Plugins. Zu typischen Cookie-Sündern zählen:

Google Analytics & Tracking:

• _ga, _gid, _gat: Google Analytics-Cookies
• Problem: Personenbezogene Daten ohne Einwilligung

Social Media Plugins:

• Facebook: fr, _fbp, datr
• Twitter: personalization_id
• Problem: Third-Party-Tracking ohne Einwilligung

Marketing & Werbung:

• Google Ads: _gcl_au, test_cookie
• Facebook Pixel: Diverse Tracking-Cookies
• Problem: Reichweiten-Tracking ohne Rechtsgrundlage

Formulare & Newsletter:

• MailChimp, HubSpot, Contact Form 7 mit Tracking
• Problem: Oft versteckte Analytics-Integration

Die rechtliche Landschaft für WordPress-Cookies in Deutschland ist durch drei Regelwerke definiert: DSGVO, TDDDG und die ePrivacy-Richtlinie. Verstöße werden zunehmend geahndet.

DSGVO & TDDDG

Nach Art. 6 DSGVO ist die Verarbeitung personenbezogener Daten nur mit Rechtsgrundlage erlaubt. Cookie-Daten mit Personenbezug sind DSGVO-relevant. Bei Nichtbeachtung drohen Bußgelder bis 20 Millionen Euro oder 4 % des Jahresumsatzes.

Laut § 25 TDDDG besteht Einwilligungspflicht für alle nicht-technisch notwendigen Cookies. Opt-in ist verpflichtend und Opt-out rechtswidrig. Die Einwilligung muss eingeholt werden, bevor die Cookies gesetzt werden. Auch hier drohen Bußgelder in Höhe von bis zu 300.000 Euro.

In der Planet49-Entscheidung (EuGH, 2019) stellte der Europäische Gerichtshof klar: Selbst nicht-personenbezogene Cookies erfordern die aktive Einwilligung. Vorausgewählte Checkboxen sind unzulässig.

Die ePrivacy-Richtlinie (2002/58/EG), oft als „Cookie-Richtlinie” bezeichnet, bildet die europäische Grundlage für nationale Regelungen wie das TDDDG. Sie legt fest, dass das Speichern von Informationen auf Endgeräten oder der Zugriff darauf nur mit Einwilligung der Nutzer erfolgen darf – unabhängig davon, ob personenbezogene Daten verarbeitet werden. Damit ist sie der zentrale europäische Rechtsrahmen für Cookie- und Tracking-Technologien im Online-Marketing.

Was macht ein Cookie-Banner rechtssicher?

Ein rechtssicherer Cookie-Banner muss den Vorgaben der DSK-Orientierungshilfe (2024) und der EDSA-Guidelines entsprechen. Entscheidend ist das Opt-in-Prinzip: Cookies dürfen erst nach aktiver Zustimmung gesetzt werden, vorausgewählte Häkchen sind unzulässig, und „Ablehnen” muss gleichwertig zu „Akzeptieren” dargestellt sein. Nutzer müssen ihre Auswahl granular treffen können – also zwischen Kategorien wie „Essentiell”, „Statistik”, „Marketing” oder „Externe Medien” unterscheiden und in den erweiterten Einstellungen einzelne Dienste abwählen können.

Zudem gelten klare Informationspflichten: Der Banner muss angeben, welche Cookies gesetzt werden, zu welchem Zweck, von wem sie stammen, wie lange sie gespeichert werden und einen Link zur Datenschutzerklärung enthalten. Das Widerrufsrecht ist jederzeit und ebenso einfach wie die Einwilligung auszuüben – das Banner muss also erneut aufrufbar sein.

Nach Art. 7 DSGVO besteht außerdem eine Dokumentationspflicht: Jede Einwilligung sollte mit Zeitstempel, Banner-Version, Umfang der Zustimmung und idealerweise IP-Adresse protokolliert werden.

Wer diese Anforderungen ignoriert, riskiert Abmahnungen – insbesondere bei WordPress-Websites, die kostenlose oder technisch unvollständige Cookie-Plugins einsetzen.

Die Grenze zwischen technisch notwendigen und einwilligungspflichtigen Cookies ist oft nicht eindeutig. Diese Übersicht hilft, beide Gruppen klar zu unterscheiden.

Technisch notwendige Cookies (keine Einwilligung erforderlich)

Session-Management

Diese Cookies sind essentiell, damit grundlegende Website-Funktionen funktionieren – etwa, dass ein Warenkorb befüllt bleibt oder ein eingeloggter Nutzer nicht ständig abgemeldet wird.
Beispiele: PHPSESSID (PHP-Session-ID), wordpress_[hash] (Login-Cookie), woocommerce_cart_hash (Warenkorb-Inhalt).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Sicherheit

Cookies, die der Sicherheit dienen, schützen Nutzer und Website-Betreiber vor Angriffen oder Missbrauch. Dazu gehören CSRF-Token, Load-Balancer-Cookies oder Anti-DDoS-Mechanismen.
Beispiel: Das Cloudflare-Cookie __cfduid war umstritten, da es personenbezogene Daten enthalten kann – die Rechtslage ist hier differenziert zu betrachten.

Barrierefreiheit

Auch Cookies, die Nutzerpräferenzen speichern, zählen zu den technisch notwendigen – etwa Schriftgröße, Kontrastmodus oder Sprachwahl. Sie verbessern die Zugänglichkeit und das Nutzererlebnis, ohne personenbezogene Daten zu tracken.

Wichtig

Selbst technisch notwendige Cookies müssen in der Datenschutzerklärung genannt und erläutert werden. Transparenz bleibt Pflicht, auch wenn keine Einwilligung erforderlich ist.

Einwilligungspflichtige Cookies

Statistik & Analytics

Diese Cookies messen Nutzerverhalten und helfen, Website-Performance und Conversion-Raten zu analysieren. Dazu gehören Tools wie Google Analytics (_ga, _gid), Matomo (auch bei Selbst-Hosting) oder Heatmap-Dienste wie Hotjar und Crazy Egg.
Eine Ausnahme gilt nur, wenn Analytics vollständig anonymisiert und ohne IP-Speicherung betrieben werden – das ist jedoch rechtlich unsicher und sollte mit Vorsicht bewertet werden.

Marketing & Werbung

Marketing-Cookies ermöglichen personalisierte Werbung und Retargeting. Sie sammeln Daten über das Nutzerverhalten, um gezielte Anzeigen auszuspielen – z. B. Google Ads (_gcl_au, IDE), Facebook Pixel (_fbp, fr) oder Affiliate-Tracking-Cookies.
Solche Cookies sind immer einwilligungspflichtig, da sie personenbezogene Profile über verschiedene Websites hinweg erstellen.

Social Media

Durch eingebettete Inhalte oder Social-Buttons (z. B. „Gefällt mir”-Buttons) werden Daten bereits beim Laden der Seite an Plattformen wie Facebook, Twitter oder Instagram übertragen.
Das ist besonders problematisch, da die Daten häufig in die USA übermittelt werden – und damit unter die Schrems-II-Problematik fallen. Hier ist eine ausdrückliche Einwilligung unverzichtbar.

Funktional (Grauzone)

Cookies, die Komfortfunktionen ermöglichen, liegen rechtlich zwischen „notwendig” und „einwilligungspflichtig”. Dazu zählen Einstellungen für YouTube-Videos (z. B. Lautstärke, Qualität) oder Google-Maps-Interaktionen (z. B. Zoom-Level).
Regel: Wenn der Dienst von einem Drittanbieter stammt, ist grundsätzlich eine Einwilligung erforderlich.

Sonderfälle & häufige Irrtümer

„Google Fonts lokal einbinden = kein Cookie-Problem”

• Richtig: Lokales Hosting vermeidet Google-Verbindung
• Falsch: Cookies sind nicht das einzige Problem (Datenschutzerklärung anpassen!)

„WooCommerce-Cookies sind immer technisch notwendig“

• Richtig: Cart-Cookies sind notwendig
• Falsch: WooCommerce Google Analytics Integration erfordert eine Einwilligung!

„Matomo Self-Hosted braucht keine Einwilligung”

• Umstritten: LfDI Baden-Württemberg sagt „Ja” bei anonymer IP und Opt-out
• Vorsichtiger: Einwilligung trotzdem einholen (rechtssicherer)

Der WordPress-Plugin-Markt bietet dutzende Cookie-Lösungen. Doch nur wenige erfüllen die strengen deutschen Anforderungen. Im Folgenden finden Sie eine Auswahl der fünf besten, rechtssicheren Plugins.

Die Top 5 DSGVO-konformen Cookie-Plugins

1. CookieYes

CookieYes ist ein WordPress-Plugin mit cloud-basierter Consent-Management-Plattform, das sich nahtlos in WordPress integriert. Es erkennt Cookies automatisch, kategorisiert sie intelligent und ermöglicht Multi-Domain-Verwaltung in einer Lizenz. Über ein Compliance-Dashboard lassen sich Audit-Logs, Zustimmungsraten und Banner-Varianten verwalten, inklusive nativem Google Consent Mode v2. Für Unternehmen mit internationalem Traffic ist CookieYes die ideale, skalierbare Lösung.

2. Real Cookie Banner

Das deutsche Plugin Real Cookie Banner zählt zu den beliebtesten Lösungen auf WordPress.org. Es bietet eine geführte Einrichtung, einen automatischen Cookie-Scanner und über 160 Templates für gängige Dienste wie Google Analytics oder Meta Pixel. Der integrierte Content-Blocker lädt YouTube- oder Google-Maps-Inhalte erst nach Zustimmung. Einwilligungen werden in der WordPress-Datenbank dokumentiert, TCF 2.2 und der Google Consent Mode v2 sind integriert – ideal für mittelständische Unternehmen und Agenturen.

3. Borlabs Cookie

Borlabs Cookie ist ein Klassiker unter den DSGVO-Plugins und richtet sich an technisch versierte Nutzer:innen. Es bietet einen JavaScript-Blocker, volle Kompatibilität mit Caching- und Übersetzungs-Plugins sowie seit 2024 einen automatischen Cookie-Scanner. Dank TCF 2.2-Framework eignet es sich besonders für Agenturen und Teams mit hohen Anforderungen an Kontrolle und Performance.

4. Complianz GDPR/CCPA Cookie Consent

Das niederländische Plugin Complianz deckt sowohl DSGVO- als auch CCPA-Anforderungen ab. Mit einem Setup-Wizard, Geo-Targeting und Google-Tag-Manager-Integration ist es besonders für global agierende Websites geeignet. Die Funktion ‘Proof of Consent’ dokumentiert Einwilligungen revisionssicher – ideal für internationale Projekte mit unterschiedlichen Datenschutzvorgaben.

5. DSGVO Pixelmate

DSGVO Pixelmate richtet sich an Marketing-Teams, die mit Google Analytics 4 oder dem Meta Pixel arbeiten. Es unterstützt den Server-Side Google Tag Manager und lässt sich direkt in Page Builder wie Elementor oder Divi integrieren. Eine kompakte, aber effiziente Lösung für rechtssicheres Performance-Tracking und DSGVO-konformes Marketing.

Empfehlung:

Für professionelle WordPress-Projekte mit hohen Compliance-Anforderungen empfiehlt sich CookieYes aufgrund der Cloud-basierten Infrastruktur, die automatische Updates bei Rechtsänderungen garantiert, und der Enterprise-Features wie A/B-Testing und Multi-Domain-Support.

Die korrekte Implementierung eines Cookie-Banners entscheidet über Rechtskonformität. Diese Anleitung führt Sie durch den Prozess – unabhängig vom gewählten Plugin.

Phase 1: Vorbereitung (vor Plugin-Installation)

Schritt 1: Cookie-Audit durchführen

• Öffnen Sie Ihre Website im Browser
• Drücken Sie F12 (Developer Tools)
• Navigieren Sie zu „Application” → „Cookies”
• Dokumentieren Sie alle gefundenen Cookies
• Tool-Tipp: Nutzen Sie automatische Scanner wie CookieYes Cookie Scanner

Schritt 2: Plugin-Analyse

Prüfen Sie alle installierten Plugins auf Cookie-Verwendung – beispielsweise:

• Google Analytics by MonsterInsights → setzt _ga, _gid
• WooCommerce → setzt woocommerce_cart_hash, woocommerce_items_in_cart
• Contact Form 7 + Google reCAPTCHA → _GRECAPTCHA
• Social Media Plugins (Shariff, AddThis) → diverse Third-Party-Cookies

Schritt 3: Datenschutzerklärung vorbereiten

• Erstellen Sie diese vor dem Cookie-Banner.
• Die Sektion „Cookies” muss alle beim Audit gefundenen Cookies auflisten.

Phase 2: Plugin-Installation & Grundkonfiguration

Schritt 1: Plugin installieren

WordPress-Dashboard → Plugins → Installieren → „CookieYes” suchen → Aktivieren

Schritt 2: Wizard durchlaufen 

Moderne Plugins wie CookieYes führen Sie durch geführte Konfiguration:

1. Cookie-Kategorien definieren:
   • ✓ Notwendig (immer aktiv, nicht abwählbar)
   • ✓ Funktional (z. B. Spracheinstellungen)
   • ✓ Analytisch (Google Analytics, Matomo)
   • ✓ Leistung (Caching-Cookies)
   • ✓ Werbung (Google Ads, Facebook Pixel)
2. Scanner ausführen: Automatische Cookie-Erkennung
3. Services zuordnen: Plugin erkennt z.B. Google Analytics und ordnet es „Analytisch” zu

Schritt 3: Banner-Design anpassen

• Layout: Popup (zentral) vs. Banner (unten)
• Farben: An Corporate Design anpassen
• Texte: Klare, verständliche Sprache (kein Juristendeutsch!)
• Buttons: „Alle akzeptieren”, „Nur Notwendige”, „Einstellungen”

Phase 3: Services & Content-Blocker konfigurieren

Hier erfahren Sie, wie Sie Dienste wie GA4, YouTube oder Facebook Pixel DSGVO-konform über das CookieYes-Plugin steuern. Achtung: Das Plugin übernimmt in den meisten Fällen die notwendige Blockierung (Content-Blocking) automatisch, sofern die Dienste korrekt über die Plugin-Oberfläche eingebunden werden.

Google Analytics 4 einbinden (Beispiel):

Wenn Sie den GA4-Tracking-Code direkt im Quellcode oder über ein anderes Plugin eingebunden haben, müssen Sie diesen zuerst entfernen. CookieYes übernimmt die Steuerung des Codes.

1. Service hinzufügen: „Google Analytics” aus Template-Bibliothek wählen
2. Tracking-ID eingeben: Ihre GA4 Measurement-ID (G-XXXXXXXXXX)
3. Kategorie: „Analytisch” zuweisen
4. Opt-in-Code: Das Plugin generiert automatisch den einwilligungsabhängigen Code

YouTube-Videos blockieren (Content-Blocker; Beispiel):

Eingebettete Inhalte wie YouTube-Videos oder Social-Media-Feeds stellen oft schon vor der Nutzereinwilligung eine Verbindung zu Drittanbietern her. CookieYes bietet hierfür eine automatische Lösung:

1. Content-Blocker aktivieren für „YouTube” in den Plugin-Einstellungen
2. Plugin ersetzt <iframe> automatisch durch einen visuellen Platzhalter, z. B . ein Vorschaubild mit einem „Video laden”-Button
3. Nach dem Klick auf den Platzhalter oder allgemeiner Zustimmung zur entsprechenden Kategorie wird das Video nachgeladen und die Verbindung zum Drittanbieter hergestellt.

Facebook Pixel korrekt einbinden (Beispiel):

Das Facebook Pixel (Meta Pixel) muss so eingebunden werden, dass es erst nach expliziter Zustimmung des Nutzers aktiv wird.

// ALT (rechtswidrig):

<!– Meta Pixel Code direkt im Header –>

// NEU (DSGVO-konform):

1. Facebook Pixel Service in Cookie-Plugin anlegen

2. Pixel-ID hinterlegen

3. Plugin lädt Code nur nach Einwilligung

4. Conversions API serverseitig ergänzen für bessere Datenqualität und zur Umgehung von Browser-Blockern

Phase 4: Testing & Qualitätssicherung

Bevor Sie Ihr Cookie-Banner live schalten, sollten Sie sicherstellen, dass es technisch, rechtlich und performanceseitig einwandfrei funktioniert. Diese Phase gewährleistet, dass Ihre Lösung DSGVO-konform und nutzerfreundlich ist.

Schritt 1: Technisches Testing

Zuerst prüfen Sie, ob das Cookie-Banner technisch korrekt eingebunden wurde und alle Skripte wie vorgesehen blockiert oder geladen werden. Ziel ist es, sicherzustellen, dass vor der Einwilligung keine Tracking-Cookies aktiv sind und alle Zustände sauber funktionieren.

• Inkognito-Modus öffnen: Kein Cookie-Cache verfälscht Test
• Banner erscheint? Beim ersten Besuch
• Cookies blockiert? F12 → Application → Cookies → vor der Einwilligung dürfen nur „Notwendige” gesetzt sein
• Alle Kategorien ablehnen: Tracking-Cookies dürfen nicht erscheinen
• Nur Analytisch akzeptieren: Nur GA-Cookies, keine Marketing-Cookies

Schritt 2: Rechtliche Prüfung

Hier geht es darum, ob Ihr Banner die rechtlichen Mindestanforderungen erfüllt. Prüfen Sie, ob Einwilligung, Transparenz und Widerrufsmöglichkeiten vollständig umgesetzt sind – denn das sind die häufigsten Fehlerquellen bei Audits.

• ✓ Opt-in (keine vorausgewählten Häkchen)?
• ✓ „Ablehnen” gleichwertig zu „Akzeptieren”?
• ✓ Datenschutzerklärung verlinkt?
• ✓ Widerruf-Button auf jeder Seite erreichbar?
• ✓ Einwilligung wird dokumentiert (Logs prüfen)?

Schritt 3: Performance-Check

Jetzt sollte sichergestellt werden, dass das Cookie-Plugin die Ladezeit und Benutzerfreundlichkeit der Seite nicht negativ beeinflusst. Ein zu langsames Banner oder Layoutfehler auf mobilen Geräten können die Nutzererfahrung beeinträchtigen – und damit auch die Einwilligungsrate.

• Seitenladezeit vor/nach Plugin (max. +200ms akzeptabel)
• Mobile Darstellung prüfen
• Caching-Kompatibilität testen

Phase 5: Wartung & Updates

Ein DSGVO-konformes Cookie-Management-System braucht laufende Pflege. Nur durch regelmäßige Wartung und Updates bleibt die Lösung verlässlich und rechtssicher:

Monatlich:

• Neue Plugins installiert? → Cookie-Scan wiederholen
• Einwilligungsraten überprüfen (sollten über 40 % liegen)

Quartalsweise:

• Rechtslage überprüfen (folgen Sie Datenschutz-Blogs)
• Plugin-Version aktuell? (automatische Updates empfohlen)
• Datenschutzerklärung noch aktuell?

Bei Rechtsänderungen:

• Professionelle Plugins wie CookieYes aktualisieren Templates automatisch
• Neue Einwilligungsversion erfordert erneute Nutzer-Einwilligung

Die meisten Datenschutzverstöße entstehen nicht durch böse Absicht, sondern durch kleine Versäumnisse – etwa falsche Plugin-Wahl oder fehlende Konfiguration. Diese typischen Fehler sollten Sie vermeiden:

1. Kostenloses Plugin ohne Script-Blocker

Viele Gratis-Plugins zeigen nur ein Banner, blockieren Cookies aber nicht technisch – ein klarer Verstoß gegen § 25 TDDDG.

Tipp: Verwenden Sie ein Plugin mit Script-Blocker wie Real Cookie Banner, Borlabs Cookie oder CookieYes.

2. Google Analytics manuell eingebunden

Wird der GA-Code per „Header & Footer”-Plugin oder functions.php eingebaut, umgeht er das Cookie-Plugin.

Tipp: Entfernen Sie den Code und binden Sie Analytics über das Cookie-Plugin oder den Google Tag Manager mit Consent Mode ein.

3. Kein Content-Blocker für YouTube & Co.

YouTube-Iframes laden sofort und übertragen IP-Adressen in die USA – ein DSGVO-Verstoß.

Tipp: Aktivieren Sie Content-Blocker oder setzen Sie auf Zwei-Klick-Lösungen bzw. datenschutzfreundlichere Anbieter wie Vimeo.

4. Banner erscheint nur auf der Startseite

Oft verursachen Caching-Plugins wie WP Rocket oder W3 Total Cache, dass das Banner auf Unterseiten fehlt.

Tipp: Testen Sie im Inkognito-Modus und schließen Sie Banner-Skripte vom Caching aus.

5. „Ablehnen”-Button versteckt

Unfaire Banner mit dominanten „Akzeptieren”-Buttons gelten als Dark Pattern und sind rechtswidrig.

Tipp: Beide Optionen müssen gleichwertig sichtbar und farblich neutral gestaltet sein.

6. Fehlende Einwilligungs-Dokumentation

Einwilligungen müssen laut Art. 7 DSGVO nachweisbar sein – inklusive Zeitstempel, Banner-Version und Auswahl.

Tipp: Nutzen Sie Tools wie CookieYes, die Einwilligungs-Logs automatisch speichern und exportieren.

7. Keine Plugin-Updates

Veraltete Plugins sind ein Compliance-Risiko – etwa nach Änderungen wie dem Google Consent Mode v2.

Tipp: Aktivieren Sie automatische Updates oder überprüfen Sie diese quartalsweise manuell.

8. Unstimmigkeit zwischen Banner und Datenschutzerklärung

Beide müssen dieselben Cookies, Anbieter und Zwecke nennen – sonst droht Abmahngefahr.

Tipp: Nutzen Sie Plugins wie CookieYes, die Cookie-Listen automatisch synchronisieren.

CookieYes synchronisiert beide automatisch und generiert aus Ihrer Banner-Konfiguration eine aktuelle Cookie-Policy. So vermeiden Sie Widersprüche und halten alle Dokumente konsistent.