Ein DSGVO-konformes Cookie-Banner verlangt aktive Einwilligung, keine voreingestellten Zustimmungen, identische Buttongestaltung und jederzeitige Möglichkeit zum Widerruf. Technisch bedeutet das, externe Skripte vor dem Consent zu blockieren und Consent-Entscheidungen nachzuweisen. Dieser Artikel beschreibt die zentralen Anforderungen, typische Fehlerquellen und konkrete Umsetzungshinweise für Webprojekte, insbesondere mit WordPress.
Grundprinzipien eines DSGVO-konformen Cookie-Banners
Ein rechtskonformes Banner darf keine vorselektierten Optionen enthalten. Nutzer müssen aktiv zustimmen, bevor Cookies gesetzt oder externe Skripte geladen werden. Das Verbergen oder Verharmlosen der Zustimmung ist nicht zulässig und verletzt die Anforderungen an informierte Einwilligung.
Visuelle Gestaltung darf keine optische Bevorzugung einer Wahl erzeugen. Buttons mit unterschiedlicher Farbe oder hervorgehobene Zustimmungs-Buttons sind problematisch, weil sie die Freiwilligkeit der Entscheidung beeinträchtigen. Gleiches Design für alle Optionen unterstützt die neutrale Einholung der Einwilligung.
Technische Umsetzung: Skripte blockieren und Consent speichern
Wesentlich ist, dass technisch verhindert wird, dass Drittanbieter-Skripte vor der Einwilligung geladen werden. Das umfasst Tracking, Werbenetzwerke und Analyse-Tools, die über externe Domains Inhalte nachladen. Entweder werden solche Skripte serverseitig entfernt oder clientseitig per Consent-Manager blockiert.
Die Einwilligung selbst muss protokolliert werden, inklusive Timestamp, Scope (z. B. Statistik, Marketing), und Versionsstand der Einwilligungsoberfläche. Diese Daten dienen als Nachweis im Falle einer Prüfung und müssen für einen angemessenen Zeitraum verfügbar sein. Eine einfache Logdatei reicht oft nicht aus; besser sind strukturierte Consent-Records mit eindeutiger Nutzerreferenz.
Skript-Blocking-Strategien
Skript-Blocking lässt sich auf mehreren Ebenen realisieren: serverseitig über Template- oder Middleware-Logik, clientseitig über Consent-APIs oder über einen Tag-Manager mit Consent-Integrationen. Jede Strategie hat Vor- und Nachteile hinsichtlich Komplexität, Performance und Debugbarkeit. Wichtig ist, dass die gewählte Lösung zuverlässig verhindert, dass Ressourcen vor dem Consent ausgeführt werden.
Bei clientseitigem Blocking sollten Inline-Skripte vermieden oder eindeutig markiert werden, damit sie erst nach Erteilung der Zustimmung injiziert werden. Eine weitere Option ist die Verwendung eines Proxy-Services, der Drittanfragen filtert, bis Zustimmung vorliegt. Tests mit deaktiviertem Cache und verschiedenen Browsern sind erforderlich, um Seiteneffekte zu erkennen.
Consent-Protokollierung und Widerruf
Consent-Records sollten maschinenlesbar und unveränderbar gespeichert werden, idealerweise mit Prüfsumme oder Signatur, um Manipulation zu reduzieren. Außerdem muss der Nutzer jederzeit und einfach seine Einwilligung prüfen und widerrufen können; die Nutzeroberfläche muss diesen Zugriff klar bereitstellen. Technisch empfiehlt sich eine API, die Consent-Status liefert und ändert, damit Backend-Systeme und Microservices konsistent arbeiten.
Beim Widerruf sind Folgen für Sessions und nachgelagerte Verarbeitung zu berücksichtigen. Beispielsweise müssen Tracking-IDs invalidiert und nachgeladene Cookies gelöscht werden, soweit technisch möglich. Dokumentation der Widerrufsprozesse hilft bei Audits und reduziert Betriebsrisiken.
Häufige Fehler bei günstigen Cookie-Lösungen
Billige oder unzureichende Scripts laden oft Drittanbieter-Code bereits vor der Einwilligung und zeigen das Banner lediglich als optisches Element. In solchen Fällen ist die Zustimmung nachträglich wirkungslos, weil Tracking bereits stattgefunden hat. Das passiert häufig bei Webauftritten großer Portale, wo Implementierung oder Testing unzureichend sind.
Ein weiterer häufiger Fehler ist fehlende oder fehlerhafte Kategorisierung von Cookies. Wenn Cookie-Typen nicht sauber getrennt werden, kann eine Zustimmungsverweigerung technisch nicht durchgesetzt werden. Ebenso problematisch sind unklare Informationen im Banner, die die informierte Entscheidung der Nutzer verhindern.
WordPress: Plugins und richtige Konfiguration
Für WordPress gibt es etablierte Plugins, die Consent-Management und Skript-Blocking unterstützen. Bekannte Lösungen bieten Schnittstellen zum Blockieren von Shortcodes, Enqueuing-Mechanismen und Integrationen mit Tag-Managern. Plugins allein garantieren jedoch keine Rechtskonformität; sie müssen korrekt konfiguriert und in die konkrete Site-Architektur eingebunden werden.
Bei der Konfiguration unbedingt prüfen, ob das Plugin externe Ressourcen zuverlässig unterbindet, bis Consent vorliegt. Testfälle sollten das Laden externer Domains, das Setzen von Cookies und das Verhalten bei Widerruf abdecken. Nur so lässt sich sicherstellen, dass das Banner nicht nur kosmetisch vorhanden ist, sondern die Anforderungen praktisch erfüllt.
