TL;DR — WordPress wird von mehr als 40 % aller Websites weltweit genutzt und ist damit ein vorrangiges Ziel für die DSGVO-Cookie-Konformität. Standardmäßig setzt WordPress nur wenige First-Party-Cookies, aber Plugins und Themes fügen oft Dutzende von Drittanbieter-Skripten ohne Kontrolle hinzu. Um konform zu sein, muss eine WordPress-Website alle Drittanbieter-Skripte vor der Einwilligung blockieren, ein gültiges Cookie-Banner anzeigen und Einwilligungsnachweise speichern.
Die DSGVO-Cookie-Verwaltung auf WordPress erfolgt nicht automatisch. Die Plattform selbst ist neutral, aber sobald WooCommerce, Google Analytics, ein Meta Pixel oder ein Formular-Plugin installiert wird, werden Cookies gesetzt, bevor der Nutzer zustimmen konnte. Der BfDI und andere europäische Behörden sanktionieren regelmäßig Websites wegen Nichteinhaltung. Dieser Leitfaden erklärt, welche Cookies WordPress setzt, wie man sie kontrolliert und wie man eine dauerhafte Konformität herstellt.
Welche Cookies setzt WordPress standardmäßig?
WordPress Core setzt nur sehr wenige First-Party-Cookies. Die wichtigsten sind wordpress_logged_in_[hash] (Sitzung des angemeldeten Nutzers), wp-settings-[user-id] (Admin-Schnittstelleneinstellungen) und wordpress_test_cookie (funktionaler Test-Cookie, der nach der Überprüfung gelöscht wird). Diese sind rein funktional und benötigen gemäß DSGVO und ePrivacy-Richtlinie keine Einwilligung.
Plugins, die Risiken verursachen
Das eigentliche Risiko entsteht durch Plugins und Themes. WooCommerce fügt Warenkorb-Cookies hinzu (funktional, befreit), aber zugehörige Zahlungs- und Remarketing-Plugins setzen oft Werbe-Cookies. Google Analytics / GA4 setzt _ga, _gid und _ga_XXXXXXXX — alle einwilligungspflichtig. Meta Pixel setzt _fbp und _fbc — ausdrückliche Einwilligung erforderlich. Formular-Plugins mit reCAPTCHA, Cache-Plugins, die Drittanbieter-Skripte einbinden, und Jetpack können ebenfalls analytische oder Werbe-Cookies setzen.
Wie auditiert man Cookies auf einer WordPress-Website?
Bevor eine CMP installiert wird, muss man genau wissen, welche Cookies die Website setzt. Die Drei-Schritte-Methode.
Schritt 1 — Website scannen
Verwenden Sie einen Cookie-Scanner: den FlowConsent-Scanner (/de/scan), Chrome DevTools (Application > Cookies) oder eine dedizierte Extension. Scannen Sie alle Hauptseiten, WooCommerce-Produktseiten und Seiten mit Formularen. Notieren Sie jeden Cookie: Name, Domain, Dauer, Wert.
Schritt 2 — Cookies klassifizieren
Für jeden identifizierten Cookie bestimmen Sie seine Art (First-Party oder Third-Party), seine Kategorie (funktional/essenziell, analytisch, Werbung, Personalisierung), seine Aufbewahrungsdauer und seinen Aussteller. Funktionale Cookies sind von der Einwilligungspflicht befreit. Alle anderen benötigen eine vorherige Zustimmung.
Schritt 3 — Cookie-Richtlinie aktualisieren
Die Cookie-Richtlinie muss alle aktiven Cookies, ihren Zweck, ihre Dauer und ihren Aussteller auflisten. Sie muss über das Banner und die Fußzeile zugänglich sein. Wiederholen Sie diesen Schritt nach jeder Plugin-Installation.
Welche CMP für WordPress wählen?
Eine CMP (Consent Management Platform) zeigt das Banner an, erfasst die Einwilligung, blockiert Skripte vor der Zustimmung und speichert Nachweise. Vier unverzichtbare Kriterien: echtes Skript-Blocking vor der Einwilligung, Ablehnung mit einem Klick erreichbar, zeitgestempelte Einwilligungsnachweise und Integration mit Google Consent Mode v2.
FlowConsent integriert sich nativ auf WordPress über ein JavaScript-Snippet und unterstützt Consent Mode v2 ohne zusätzliche Konfiguration. Häufige Alternativen (Axeptio, Cookiebot, CookieYes) bieten ebenfalls dedizierte WordPress-Plugins an. Das entscheidende Kriterium ist nicht der Preis, sondern die funktionale Konformität: Werden Skripte wirklich vor dem Klick blockiert?
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Häufige Fehler auf WordPress-Websites
Fehler 1: Skripte laden vor der Einwilligung. Im privaten Browser (ohne Cookies) prüfen, ob GA, Meta Pixel und andere nicht in den Netzwerkanfragen erscheinen, bevor auf Akzeptieren geklickt wird.
Fehler 2: Ablehnung erfordert mehrere Klicks. Die Ablehnung muss mit einem Klick vom Hauptbanner aus erreichbar sein.
Fehler 3: Die Cookie-Richtlinie ist veraltet. Die Website nach jeder Plugin-Installation neu scannen und die Liste aktualisieren.
Fehler 4: GA lädt auch für eingeloggte Admins. Administratorrollen vom analytischen Tracking ausschließen.
Fehler 5: Kein Link 'Cookies verwalten' in der Fußzeile. Einen zugänglichen Link in der Fußzeile hinzufügen, der das Einstellungspanel öffnet.
Fehler 6: Keine Einwilligungsnachweise gespeichert. Cookie-Logging in der CMP aktivieren: Datum, Uhrzeit, Richtlinienversion, Auswahl, Sitzungskennung.
DSGVO-Cookie-Compliance-Checkliste für WordPress
- Alle aktiven Cookies auf Hauptseiten, Produktseiten und Formularen scannen.
- Jeden Cookie klassifizieren: funktional, analytisch, Werbung, Personalisierung.
- Eine gültige CMP installieren und konfigurieren (Banner + Skript-Blocking + Logging).
- Sicherstellen, dass die Ablehnung mit einem Klick vom Hauptbanner erreichbar ist.
- In DevTools (privates Surfen) prüfen, dass kein Drittanbieter-Skript vor der Einwilligung lädt.
- CMP mit Google Consent Mode v2 integrieren, wenn GA4 oder Google Ads verwendet werden.
- Cookie-Richtlinie mit Zwecken und Aufbewahrungsdauern aller aktiven Cookies aktualisieren.
- Link 'Cookies verwalten' in der Fußzeile hinzufügen.
- Speicherung von Einwilligungsnachweisen aktivieren (zeitgestempelte Logs).
- Monatlichen Re-Scan und Re-Scan nach jeder Plugin-Installation einplanen.
WordPress ist flexibel, aber diese Flexibilität birgt Risiken, wenn jedes Plugin unkontrolliert eigene Skripte hinzufügt. DSGVO-Konformität beruht auf drei Säulen: regelmäßige Audits, Skript-Blocking vor der Einwilligung und Nachweisverwaltung. Scannen Sie Ihre WordPress-Website unter /de/scan, um zunächst zu ermitteln, welche Cookies aktiv sind.