- Ein Cookie-Banner allein reicht nicht: Skripte müssen technisch blockiert werden, bevor der Besucher eingewilligt hat. Sonst ist die Einwilligung wertlos.
- Rechtsgrundlage ist § 25 TDDDG (früher TTDSG): Jeder Zugriff auf das Endgerät des Nutzers braucht vorher eine informierte, freiwillige Einwilligung. Opt-out ist nicht erlaubt.
- Alle drei Plugins blockieren Skripte vor Consent. Sie unterscheiden sich in Bedienbarkeit, Preis und Eignung für unterschiedliche Projektgrößen.
- Complianz passt gut für Eigenregie, Real Cookie Banner für Projekte mit vielen Diensten, Borlabs für Agenturen mit mehreren Sites.
Wer in WordPress einen Cookie-Banner einrichtet, glaubt oft, damit sei die DSGVO-Pflicht erledigt. Das stimmt leider nicht. Was zählt, ist nicht der Banner, sondern was darunter passiert: Werden Google Analytics, Facebook Pixel und Co. tatsächlich erst nach der Einwilligung geladen? Genau das prüfen Aufsichtsbehörden, und genau daran scheitern viele Websites. Dieser Artikel vergleicht die drei in der WordPress-Welt verbreitetsten Consent-Management-Plugins sachlich nach den Kriterien, die rechtlich und technisch wirklich zählen.
Was § 25 TDDDG konkret verlangt
Das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten, kurz TDDDG § 25 (das frühere TTDSG wurde im Mai 2024 in TDDDG umbenannt), ist in einem Satz zusammengefasst: Die Speicherung von Informationen auf dem Endgerät des Nutzers oder der Zugriff darauf ist nur zulässig, wenn der Nutzer auf Grundlage klarer und umfassender Informationen eingewilligt hat.
Drei Punkte sind dabei wichtig:
- Opt-in, nicht Opt-out: Die Einwilligung muss aktiv gegeben werden. Ein vorangekreuztes Häkchen, ein Banner der nur informiert, oder das Weitersurfen als Zustimmung zu werten ist nicht zulässig. Das folgt direkt aus Art. 4 Nr. 11 DSGVO und den Bedingungen des Art. 7 DSGVO.
- Granularität: Der Nutzer muss für jeden Zweck einzeln einwilligen können. Wer nur Analytics akzeptieren, aber Marketing ablehnen will, muss diese Wahl haben. Ein „Alles oder nichts“ genügt nicht.
- Nachweispflicht: Das Unternehmen muss beweisen können, dass eine wirksame Einwilligung vorlag. Dafür braucht es eine Consent-Dokumentation mit Zeitstempel, Version des Banners und gewählten Optionen.
Ausgenommen von der Einwilligungspflicht sind nur Cookies und Technologien, die technisch unbedingt erforderlich sind, damit ein ausdrücklich gewünschter Dienst erbracht werden kann. Das sind typischerweise Session-Cookies für den Login, der Warenkorb-Cookie in einem Shop oder ein CSRF-Schutz-Token. Google Analytics, Facebook Pixel und YouTube-Einbettungen fallen nicht darunter, sie setzen immer eine Einwilligung voraus.
Die Einwilligungspflicht für die Datenverarbeitung selbst ergibt sich zusätzlich aus Art. 6 Abs. 1 lit. a DSGVO. TDDDG und DSGVO greifen hier ineinander: Das TDDDG regelt den Gerätezugriff, die DSGVO die Datenverarbeitung. Wer beides sauber abdecken will, braucht ein Plugin, das beide Ebenen versteht.
Was ein DSGVO-Plugin wirklich leisten muss
Die häufigste Falle: Ein Banner erscheint, der Nutzer sieht „Akzeptieren“ und „Ablehnen“, doch im Hintergrund hat Google Analytics schon beim Laden der Seite Daten gesammelt. Der Banner ist dann reines Theater. Das Entscheidende ist die technische Skript-Blockierung, also ob das Plugin Third-Party-Skripte tatsächlich daran hindert, vor der Einwilligung zu laden.
Was ein ernstzunehmendes Consent-Management-Plugin leisten muss:
- Skripte und iFrames von Drittanbietern blockieren, bevor der Besucher eingewilligt hat
- Blockierung aufheben und Skripte nachladen, sobald eine Einwilligung für die entsprechende Kategorie vorliegt
- Einwilligungen mit Zeitstempel und Versionsnummer dokumentieren
- Opt-in als Standard, kein Opt-out
- Granulare Kategorien: mindestens Notwendig, Statistik, Marketing
- Widerruf jederzeit so einfach ermöglichen wie die ursprüngliche Zustimmung
Die allgemeinen rechtlichen Pflichten rund um eine DSGVO-konforme Website erklärt unser Artikel DSGVO-konforme Website ohne Abmahnangst. Was beim Cookie-Banner-Design und der Formulierung rechtlich gilt, behandelt Cookie-Banner gesetzeskonform umsetzen.
Complianz, Real Cookie Banner, Borlabs im Vergleich
Die Tabelle zeigt die wichtigsten Unterschiede auf einen Blick. Alle drei Plugins blockieren Skripte vor Consent, unterscheiden sich aber in Tiefe, Bedienbarkeit und Preis deutlich.
| Kriterium | Complianz | Real Cookie Banner | Borlabs Cookie |
|---|---|---|---|
| Skript-Blockierung vor Consent | Ja (Script Center) | Ja (Content Blocker) | Ja (automatisch) |
| Opt-in als Standard | Ja | Ja | Ja |
| Granulare Kategorien | Ja | Ja (über 160 Templates) | Ja (über 250 Service-Pakete) |
| Consent-Dokumentation | Ja (Pro) | Ja (auch Free) | Ja |
| Kostenlose Version | Ja (wordpress.org) | Ja (wordpress.org) | Nein |
| Einstiegspreis (1 Site) | 59 USD/Jahr (Pro, ca. 55 EUR)* | 59 EUR/Jahr (Pro) | 49 EUR/Jahr |
| Preismodell | Jahresabo | Jahresabo | Jahresabo |
| Aktive Installationen | über 1 Million | über 100.000 | nicht auf wordpress.org |
| Einrichtungsaufwand | mittel (Assistent) | mittel (Guided Setup) | gering (Scanner) |
| Passend für | Eigenregie, kleine Sites | Sites mit vielen Diensten | Agenturen, mehrere Sites |
Preise Stand Juni 2026, alle Anbieter ohne MwSt. (soweit angegeben). Jahresabos verlängern sich automatisch. Die Vergleichswerte beziehen sich auf die jeweils günstigste Einzelsite-Lizenz der Pro-Version. *Complianz berechnet in USD; der EUR-Gegenwert ist ein Richtwert und schwankt je nach Kurs.
Complianz im Detail
Complianz ist mit über einer Million aktiver Installationen das meistgenutzte DSGVO-Plugin im WordPress-Ökosystem. Die kostenlose Version auf wordpress.org deckt die Grundfunktionen ab, darunter Cookie-Scan, Banner-Anzeige und einfache Skript-Blockierung. Das sogenannte Script Center erlaubt es, Dienste per Kategorie zu blockieren und erst nach Einwilligung freizugeben. Auch Datenschutzrichtlinien und Impressum generiert das Plugin automatisch aus einer Fragenliste.
Die Pro-Version bei complianz.io kostet ab 59 USD im Jahr für eine Site und fügt A/B-Testing, erweiterte Geo-IP-Regeln (z.B. andere Banner-Variante für US-Besucher) und TCF-Integration für Werbenetzwerke hinzu. Die Consent-Dokumentation, die für den Nachweis wirksamer Einwilligungen wichtig ist, ist in der Pro-Version umfassender.
Stärken: sehr weit verbreitet, gute Dokumentation, kostenloser Einstieg möglich, Datenschutztexte inklusive, WCAG-AA-konformes Banner-Design.
Schwächen: Die volle Consent-Dokumentation erst in der Pro-Version, der Wechsel zu complianz.io für Pro-Funktionen kann für technisch weniger erfahrene Nutzer verwirrend sein.
Real Cookie Banner im Detail
Real Cookie Banner von devowl.io ist ein deutsches Plugin mit Fokus auf rechtliche Korrektheit. Die Free-Version auf wordpress.org ist funktionsfähig für kleine Sites, die Pro-Version bringt über 160 vorkonfigurierte Service-Templates und mehr als 130 Content-Blocker-Templates mit. Das bedeutet: Wer z.B. Google Maps, YouTube, Hotjar oder Facebook Pixel einbindet, findet fertige Konfigurationen, statt alles manuell einzutragen.
Die Consent-Dokumentation ist nach Angaben des Herstellers DSGVO-konform und auch in der Free-Version enthalten. Die Pro-Version kostet ab 59 EUR im Jahr für eine Site. Die Preise für mehr Sites sind ebenfalls als Jahresabos gestaffelt (3 Sites 89 EUR, 5 Sites 129 EUR, Stand Juni 2026).
Besonders praktisch: Das Plugin läuft vollständig auf dem eigenen Server, ohne externe Cloud-Anbindung. Das Unternehmen sitzt in Deutschland, was Support-Kommunikation in deutscher Sprache erleichtert.
Stärken: viele fertige Templates, deutsches Unternehmen, gute Dokumentation, Free-Version mit Consent-Log, kompetenter Support.
Schwächen: die meisten nützlichen Templates erst in der Pro-Version, etwas geringere Verbreitung als Complianz.
Borlabs Cookie im Detail
Borlabs Cookie ist ein kommerzielles Plugin, das es ausschließlich direkt beim Hersteller gibt, nicht auf wordpress.org. Es gibt keine kostenlose Version. Das Plugin richtet sich eher an Agenturen und Entwickler, die mehrere Sites betreuen: Die Agenturlizenz für 25 Sites kostet 229 EUR im Jahr, was pro Site günstiger ist als bei den Alternativen.
Die Einrichtung ist durch einen integrierten Scanner, der die Website analysiert und Service-Empfehlungen ausspricht, einsteigerfreundlicher als das Lesen langer Handbücher. Über 250 vorkonfigurierte Service-Pakete decken die meisten gängigen Drittanbieter ab. TCF v2.2 und Google Consent Mode v2 sind unterstützt, was für Websites mit Display-Werbung relevant ist.
Da Borlabs kein wordpress.org-Plugin-Repository-Eintrag hat, entfällt das dortige Bewertungs- und Review-System als öffentliche Qualitätskontrolle. Updates laufen über einen eigenen Kanal.
Stärken: günstiger bei Mehrfach-Lizenzen, einfacher Scanner, modernes Interface, Google Consent Mode v2.
Schwächen: kein Free-Tier, nur kommerziell verfügbar, kein wordpress.org-Eintrag, Abhängigkeit vom Hersteller-Kanal für Updates.
Technische Tiefe: Was unter der Haube passiert
Einsteiger können diesen Abschnitt überspringen. Für alle, die verstehen wollen, wie die Skript-Blockierung funktioniert:
Ein DSGVO-Plugin setzt üblicherweise auf eine von zwei Techniken. Die einfachere ist das Umbenennen von type="text/javascript" zu einem nicht-ausführbaren Typ wie type="text/plain". Der Browser ignoriert solche Skripte. Sobald die Einwilligung vorliegt, setzt das Plugin den Typ zurück und das Skript läuft. Diese Methode funktioniert für statisch eingebettete Skripte.
Schwieriger wird es bei Skripten, die WordPress-Plugins selbst einbetten, etwa ein WooCommerce-Zahlungsanbieter oder ein Chat-Widget. Hier muss das Consent-Plugin tief in den WordPress-Hook-Mechanismus eingreifen und das Laden per wp_enqueue_script verzögern. Complianz, Real Cookie Banner und Borlabs gehen diesen Weg über eigene APIs und Hook-Filter.
Wichtig ist auch das Nachladen nach Consent: Das Plugin muss Skripte, die zunächst blockiert wurden, dynamisch nachladen, ohne die Seite neu zu laden. Das geschieht über JavaScript, das nach der Einwilligung die blockierten Ressourcen lädt. Fehler dabei sind z.B. iFrames, die nach der Einwilligung nicht erscheinen, weil der dynamische Nachlademechanismus nicht greift. Das ist der Grund, warum Tests mit echtem Klickverhalten unverzichtbar sind.
Alle drei verglichenen Plugins dokumentieren, dass sie auf das Nachladen per JavaScript setzen. Wie zuverlässig das bei unbekannten Third-Party-Plugins greift, hängt immer vom konkreten Fall ab. Kein Plugin ist eine Blackbox-Garantie für alle denkbaren Drittanbieter-Kombinationen.
Praxisbeispiel aus einem Kundenprojekt
In einem Projekt für eine regionale Dienstleistungsfirma mit WordPress hatten wir Real Cookie Banner Free im Einsatz. Auf der Website wurden Google Analytics, ein eingebettetes YouTube-Video und ein Google Maps Kartenausschnitt genutzt. Die Free-Version blockiert zwar grundsätzlich, für YouTube und Google Maps gab es aber keine fertigen Content-Blocker-Templates, sodass wir beide manuell konfigurieren mussten. Das funktionierte, war aber zeitaufwendig.
Nach dem Upgrade auf Real Cookie Banner Pro standen fertige Templates für alle drei Dienste bereit, inklusive korrekter Kategorisierung. Die Consent-Logs wurden sauber geschrieben. Was wir in mehreren Projekten beobachten: Die meisten Probleme entstehen nicht durch fehlerhafte Plugins, sondern durch Drittanbieter-Skripte, die von einem anderen WordPress-Plugin eingebettet werden, ohne dass das Consent-Plugin davon weiß. Hier hilft ein Cookie-Scan nach jeder größeren Plugin-Änderung.
Für eine Agentur, die zwölf ähnliche Sites betreut, hätte Borlabs wirtschaftlich mehr Sinn gemacht. Bei Einzelprojekten mit bekannten Diensten ist der Preisunterschied zwischen den Optionen gering genug, dass die Einrichtungsfreundlichkeit den Ausschlag gibt.
Bevor Sie ein Plugin installieren: Prüfen Sie in zwei Minuten, welche Datenschutzbaustellen Ihre Website hat.
Sofort-Checkliste: Plugin richtig einrichten
- Cookie-Scan nach der Plugin-Installation durchführen und alle erkannten Dienste prüfen.
- Prüfen, ob Skripte wirklich erst nach Einwilligung laden: Im Browser-Netzwerk-Tab vor dem Akzeptieren kontrollieren, ob Third-Party-Anfragen fehlen.
- Opt-in als Standard sicherstellen: Kein Dienst darf vorausgewählt sein, außer der Kategorie „Notwendig“.
- Granulare Kategorien einrichten: mindestens Notwendig, Statistik/Analyse und Marketing getrennt.
- Consent-Dokumentation aktivieren und eine Testeinwilligung protokollieren.
- Widerrufsoption sichtbar platzieren, z.B. als Link im Footer.
- Nach jeder größeren Plugin-Installation erneut prüfen, ob neue Skripte außerhalb des Consent-Managements laden.
- Google Consent Mode v2 einrichten, wenn Sie Google-Dienste für Werbung oder Conversion-Tracking nutzen.
- Skript-Blockierung vor Consent ist das rechtliche Kernkriterium, nicht das Banner-Design. Wer nur einen Banner einblendet, ohne Skripte zu blockieren, ist nicht konform.
- Alle drei Plugins (Complianz, Real Cookie Banner, Borlabs) erfüllen die Grundanforderungen. Der Unterschied liegt in Umfang, Komfort und Preis bei mehreren Sites.
- Ohne Consent-Dokumentation fehlt der Nachweis. Bei Beschwerden bei Aufsichtsbehörden oder im Streitfall müssen Sie beweisen, dass eine gültige Einwilligung vorlag.
- Kein Plugin läuft wartungsfrei: Nach jeder Plugin-Änderung auf der Website ist ein Nachkontrolle sinnvoll, ob neue Dienste unkontrolliert laden.
Häufige Fragen zum WordPress DSGVO-Plugin
Reicht ein Cookie-Banner ohne Skript-Blockierung aus?
Nein. Ein Banner, der nur informiert, aber Skripte von Google Analytics oder Facebook nicht blockiert, bis der Nutzer einwilligt, ist rechtlich unzureichend. Nach § 25 TDDDG muss die Einwilligung vor dem Gerätezugriff vorliegen, nicht danach.
Was ist der Unterschied zwischen TTDSG und TDDDG?
Das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) wurde im Mai 2024 in TDDDG umbenannt. Der inhaltlich relevante § 25 blieb dabei unverändert. Wer aktuell von TTDSG spricht, meint dieselbe Regelung, verwendet aber die veraltete Bezeichnung.
Muss ich für ein DSGVO-Plugin bezahlen?
Die Free-Versionen von Complianz und Real Cookie Banner auf wordpress.org decken die Grundanforderungen für kleinere Websites ab. Für die vollständige Consent-Dokumentation, fertige Service-Templates und zuverlässigere Konfiguration empfiehlt sich die Pro-Version. Die Einstiegspreise liegen bei rund 49 bis 59 EUR im Jahr für eine einzelne Site.
Was ist technisch notwendig, was nicht?
Technisch notwendige Cookies sind solche, ohne die der ausdrücklich vom Nutzer gewünschte Dienst nicht funktioniert: Session-Cookie für den Login, Warenkorb-Cookie in einem Shop, CSRF-Schutz. Nicht notwendig sind alle Analyse-, Werbe- und Social-Media-Cookies, auch wenn ein Betreiber sie für nützlich hält. Für letztere braucht es immer eine Einwilligung.
Kann ich einfach Opt-out statt Opt-in anbieten?
Nein. Die DSGVO (Art. 4 Nr. 11 i.V.m. Art. 7) und § 25 TDDDG verlangen eine aktiv und freiwillig gegebene Einwilligung. Das bedeutet: Kein Dienst darf vorausgewählt sein, und „Weiter surfen“ gilt nicht als Zustimmung. Opt-out ist nur bei verarbeitungsrechtlich berechtigtem Interesse nach Art. 6 Abs. 1 lit. f DSGVO denkbar, nicht beim Gerätezugriff nach § 25 TDDDG.
Was passiert, wenn ich kein DSGVO-Plugin nutze?
Ohne Consent-Management laden Drittanbieter-Skripte unkontrolliert beim ersten Seitenaufruf. Das ist ein Datenschutzverstoß, der zu Abmahnungen durch Mitbewerber oder Beschwerden bei Datenschutzaufsichtsbehörden führen kann. Bußgelder nach der DSGVO können für Unternehmen empfindlich ausfallen.
Funktioniert ein Plugin auch mit dem Google Consent Mode v2?
Real Cookie Banner (Pro) und Borlabs Cookie unterstützen Google Consent Mode v2 explizit. Das ist relevant, wenn Sie Google Ads oder Google Analytics 4 mit Conversion-Tracking nutzen. Complianz Pro unterstützt Google Consent Mode ebenfalls. Ohne korrekte Consent-Mode-Integration verlieren Google-Dienste teilweise ihre Messfähigkeit.
Brauche ich nach einer Plugin-Installation noch etwas tun?
Ja. Ein Cookie-Scan direkt nach der Installation zeigt, welche Dienste erkannt wurden. Danach sollten Sie im Browser kontrollieren, ob Third-Party-Skripte wirklich geblockt sind, bevor Sie im Banner einwilligen. Außerdem ist nach jeder neuen Plugin-Installation auf der Website ein erneuter Check sinnvoll, denn jedes neue Plugin kann neue Tracker einbringen.