Cookie-Consent richtig einrichten: Technische Anleitung

Aktualisiert: März 2026 · Lesezeit: 13 Min.

Warum „Plugin installieren" nicht reicht

Kennen Sie das? Kunde ruft an, sagt „Wir haben doch Borlabs installiert, wieso kriegen wir trotzdem eine Abmahnung?" Tja. Weil ein Cookie-Consent-Plugin zu installieren ungefähr so viel bringt wie einen Rauchmelder zu kaufen und ihn in die Schublade zu legen.

Das Problem ist fast nie das Tool selbst. Cookiebot, Usercentrics, Borlabs, Complianz — die können alle ihren Job. Das Problem sitzt in der Konfiguration. Und ehrlich gesagt auch in dem Irrglauben, dass so ein Plugin automatisch erkennt, was es blockieren soll.

Tut es nämlich nicht. Jedenfalls nicht zuverlässig.

Wie Cookie-Consent technisch funktioniert

Bevor wir in die Praxis einsteigen — kurz die Theorie. Ein CMP (Consent Management Platform) arbeitet in drei Schritten:

1. Banner anzeigen: Der Nutzer sieht Kategorien (Notwendig, Statistik, Marketing) und entscheidet
2. Consent speichern: Die Entscheidung wird als Cookie gespeichert (ja, die Ironie)
3. Skripte steuern: Basierend auf dem gespeicherten Consent werden Tracking-Skripte geladen — oder eben nicht

Schritt 3 ist der Knackpunkt. Wenn Ihre Skripte direkt im HTML stehen (ein normales <script>-Tag im Header), lädt der Browser sie sofort — bevor das CMP überhaupt geladen ist. Ihr Banner kann dann anzeigen, was es will. Die Cookies sind längst gesetzt.

Methode 1: Skript-Typ ändern (einfachste Variante)

Die meisten CMPs nutzen einen simplen Trick: Sie ändern den type des Script-Tags. Statt type="text/javascript" wird z. B. type="text/plain" gesetzt. Der Browser ignoriert das Skript, weil er den Typ nicht kennt. Das CMP ändert den Typ erst nach Consent zurück.

Bei Borlabs Cookie sieht das so aus:

<script type="text/plain" data-borlabs-cookie-type="cookie" data-borlabs-cookie-id="google-analytics">

Bei Cookiebot funktioniert es ähnlich mit data-cookieconsent="statistics".

Vorteile und Grenzen

Funktioniert gut bei Skripten, die Sie selbst eingebunden haben. Scheitert bei Plugins, die ihre eigenen Skripte laden — die kümmern sich nämlich nicht um Ihre data-Attribute. Für WordPress heißt das: Sie müssen auch den Plugin-Output kontrollieren.

Methode 2: Google Tag Manager + Consent Mode v2

Der sauberere Weg für komplexere Setups. Statt Skripte direkt einzubinden, laufen alle über den Google Tag Manager (GTM). Das CMP kommuniziert mit dem GTM über den Consent Mode v2.

So funktioniert's:

1. CMP sendet Consent-Signal an den GTM (z. B. analytics_storage: granted)
2. GTM-Tags haben Consent-Trigger: Feuern nur wenn das passende Signal „granted" ist
3. Kein Consent → kein Tag → kein Cookie

Methode 3: Server-seitiges Tagging

Die Königsdisziplin. Statt im Browser des Nutzers laufen die Tags auf Ihrem eigenen Server (oder einem Google Cloud-Container). Vorteil: Sie haben volle Kontrolle darüber, welche Daten wohin fließen.

Das Setup ist allerdings nicht trivial — Sie brauchen einen Server-Side GTM Container, eine Domain für den Tagging-Server und die nötige Konfiguration. Für die meisten KMU ist das Overkill. Wer aber 50.000+ monatliche Besucher hat und auf Conversion-Daten angewiesen ist, sollte sich das ernsthaft ansehen.

CMP-Konfiguration: Die häufigsten Fehler

Aus geschätzt 300+ Cookie-Audits der letzten drei Jahre — hier die Hits:

1. Auto-Scan vertraut, nie geprüft: Cookiebot und Usercentrics scannen Ihre Website automatisch. Klingt gut, übersehen aber regelmäßig Skripte, die dynamisch nachgeladen werden.
2. Neue Plugins nicht erfasst: Sie installieren ein neues WordPress-Plugin, das ein Tracking-Skript mitbringt. Ihr CMP weiß davon nichts. Ergebnis: Cookie ohne Consent.
3. iFrames nicht blockiert: YouTube, Google Maps, Vimeo — diese Embeds setzen beim Laden sofort Cookies. Sie müssen mit Platzhaltern arbeiten (2-Klick-Lösung).
4. Google Fonts als Cookie-Schleuder: Ja, auch Google Fonts, wenn sie extern geladen werden, übertragen die IP-Adresse an Google. Kein Cookie, aber eine Datenübertragung ohne Consent.
5. Consent-Speicherung zu kurz: Wenn das Consent-Cookie nach 24 Stunden abläuft, nervt das Banner täglich. 6-12 Monate sind üblich und akzeptabel.

WordPress: Schritt-für-Schritt-Setup

Option A: Borlabs Cookie (ab 39 €/Jahr)

1. Plugin installieren und aktivieren
2. Unter „Cookies" → „Statistiken" Google Analytics hinzufügen
3. GA4-Skript aus dem Header entfernen und stattdessen in Borlabs einfügen
4. Für jedes weitere Tracking-Tool: eigenen Cookie-Eintrag anlegen
5. Content Blocker für YouTube, Google Maps etc. aktivieren
6. Testen: Website im Inkognito-Modus öffnen, ohne Consent klicken, DevTools → Application → Cookies prüfen

Option B: Complianz (kostenlos / ab 45 €/Jahr)

1. Plugin installieren, Wizard durchlaufen
2. Cookie-Scan durchführen lassen
3. Ergebnisse prüfen — nicht blind vertrauen
4. Fehlende Skripte manuell nachtragen
5. Placeholder-Modus für Embeds aktivieren
6. Gleicher Test wie oben

Der Test, der alles entscheidet

Nach der Einrichtung gibt es genau eine Frage: Werden Cookies gesetzt, bevor der Nutzer zugestimmt hat?

So testen Sie das:

1. Browser-Cache und Cookies löschen (oder Inkognito-Modus)
2. Website öffnen
3. Banner erscheint — NICHTS anklicken
4. DevTools öffnen (F12) → Application → Cookies
5. Wenn dort mehr als das CMP-eigene Cookie steht: Problem.

Alternativ — und deutlich schneller — nutzen Sie einen automatisierten Check, der das für Sie erledigt.

Reicht es, ein Cookie-Banner-Plugin zu installieren?

Nein, die Installation allein reicht nicht. Das Plugin muss korrekt konfiguriert sein: Alle Tracking-Skripte müssen blockiert werden, bis der Nutzer aktiv einwilligt. Viele Plugins blockieren standardmäßig gar nichts — Sie müssen manuell festlegen, welche Skripte welcher Kategorie zugeordnet werden.

Wie blockiere ich Skripte vor der Einwilligung im Google Tag Manager?

Im GTM setzen Sie einen Consent-Trigger: Tags feuern nur, wenn das CMP-Signal „granted" für die jeweilige Kategorie meldet. Mit dem Google Consent Mode v2 geht das über die consent-Konfiguration im GTM. Ohne korrekte Trigger feuern Ihre Tags trotzdem — unabhängig vom Banner.