Borlabs Cookie Script Blocker einrichten: Skripte DSGVO-konform blockieren

DSGVO

Google Analytics, Meta Pixel oder ein YouTube-Embed feuern schon beim Seitenaufruf – lange bevor jemand auf „Akzeptieren” geklickt hat. Genau das ist der häufigste DSGVO-Verstoß auf WordPress-Seiten. Der Script Blocker von Borlabs Cookie stoppt solche Skripte, bis eine Einwilligung vorliegt. Nach dieser Anleitung konfigurieren Sie ihn korrekt, erkennen, wann Sie ihn wirklich brauchen – und wann eine andere Borlabs-Funktion die bessere Wahl ist.

Script Blocker, Content Blocker, Service-Code: drei Wege, ein Ziel

Der häufigste Einrichtungsfehler ist, den falschen Mechanismus zu wählen. Borlabs Cookie kennt drei, die oft verwechselt werden:

  • Service-/Cookie-Code (Opt-in-Code): Sie hinterlegen den Tracking-Code direkt im Service (in Borlabs 2.x „Cookie” genannt). Er wird erst ausgeführt, wenn die passende Einwilligung erteilt ist. Der sauberste Weg, wenn Sie den Code selbst einbinden – etwa den Google-Tag über einen eigenen Service.
  • Script Blocker: Neutralisiert Skripte, die andere Plugins oder Ihr Theme bereits selbst ausgeben und die Sie nicht direkt bearbeiten können – zum Beispiel ein Analytics-Plugin, das seinen Code fest einbaut.
  • Content Blocker: Für eingebettete Inhalte wie YouTube, Google Maps oder Instagram. Er ersetzt das Embed durch eine Platzhalter-Box mit Freigabe-Button.

Faustregel: Code, den Sie selbst einfügen, gehört in einen Service. Code, den ein Fremd-Plugin erzeugt, fängt der Script Blocker ab. Sichtbare Einbettungen übernimmt der Content Blocker. Die komplette Grundeinrichtung mit Service-Gruppen und Cookie-Box beschreibt der Beitrag Borlabs Cookie richtig einstellen.

Wie der Script Blocker technisch arbeitet

Der Script Blocker durchsucht die HTML-Ausgabe der Seite nach einem definierten Muster. Findet er einen Treffer, verändert er das <script>-Tag so, dass der Browser es nicht ausführt (unter anderem wird type="text/javascript" durch einen neutralen Typ wie text/plain ersetzt und das Tag mit data-Attributen markiert). Erst nach erteilter Einwilligung gibt Borlabs das Skript wieder frei und lädt es nach.

Wichtig ist die Konsequenz daraus: Der Blocker greift nur bei Skripten, die serverseitig im Quelltext stehen. Code, der erst später per AJAX nachgeladen wird, erreicht er nicht zuverlässig – dafür ist der Service-Opt-in-Code die bessere Wahl.

Voraussetzungen und Versionsunterschiede

Borlabs Cookie ist ein kostenpflichtiges Plugin der Borlabs GmbH (Hamburg). Mit Version 3.0 (2024) wurde die Oberfläche grundlegend überarbeitet: „Cookies” heißen jetzt Services, „Cookie-Gruppen” heißen Service-Gruppen. Die Funktion Script Blocker gibt es in beiden Generationen, die Menüwege unterscheiden sich aber.

  • In Borlabs 2.x finden Sie den Script Blocker im Menü unter Borlabs Cookie → Script Blocker.
  • In Borlabs 3.x wurde die Oberfläche umstrukturiert. Das Blockieren fremder Skripte ist hier in den reorganisierten Service-/Blocker-Bereich gewandert und wird zusätzlich durch den integrierten Scanner unterstützt, der beim Seiten-Scan ladende Skripte automatisch erkennt und zum Blockieren vorschlägt.

Prüfen Sie im Zweifel Ihre installierte Version unter Plugins → Installierte Plugins, bevor Sie einem Menüpfad folgen.

Script Blocker Schritt für Schritt einrichten

1. Das störende Skript identifizieren

Öffnen Sie die betroffene Seite im Inkognito-Fenster und danach die Entwicklertools (F12) → Reiter Netzwerk. Filtern Sie nach „JS” und laden Sie neu. Notieren Sie, welche Fremd-Domains oder Dateinamen schon vor dem Consent geladen werden – etwa gtag/js, fbevents.js oder ein Plugin-Skript. Bleibt ausgerechnet Google Analytics trotz Blocker aktiv, hilft der spezielle Beitrag Google Analytics wird nicht blockiert weiter. Alternativ suchen Sie im Reiter Elemente nach dem <script>-Tag und einem charakteristischen Textbaustein darin (z. B. der Tracking-ID oder dem Skriptpfad).

2. Eine Blockade-Regel anlegen

Legen Sie im Script Blocker eine neue Regel an. Borlabs bietet zwei Ansatzpunkte:

  • JavaScript-Handle: Wird das Skript sauber per wp_enqueue_script eingebunden, tragen Sie hier den WordPress-Handle ein (z. B. google-analytics). Den Handle sehen Sie oft im Quelltext im Attribut id="…-js" des zugehörigen Tags.
  • Suchphrase/Keyword: Für Inline-Skripte hinterlegen Sie einen möglichst eindeutigen Textausschnitt aus dem <script>-Tag – etwa die Tracking-ID G-XXXXXXX oder den Pfad connect.facebook.net.

Wählen Sie die Phrase präzise. Zu allgemeine Begriffe wie jquery oder function blockieren versehentlich fremde, funktionswichtige Skripte. Die beiden relevanten Felder im Regelformular heißen „JavaScript-Handles” (für sauber per wp_enqueue_script eingebundene Skripte) und „Suchphrasen” (für Inline-Code); über die Schaltfläche „Scannen” durchsucht Borlabs anschließend Ihre Seite und hebt die passenden Treffer automatisch hervor (Stand: Juli 2026). Beachten Sie: Nach dem Speichern lassen sich Handles und Suchphrasen einer Regel nicht mehr nachträglich ändern – dann müssen Sie die Regel löschen und neu anlegen.

3. Mit einem Service verknüpfen

Damit das Skript nach der Einwilligung wieder startet, weisen Sie die Regel dem passenden Service zu (in 2.x der passenden Cookie-Definition), etwa Ihrem Analytics- oder Marketing-Service. Die Kopplung sorgt dafür, dass Borlabs das Skript exakt dann freigibt, wenn der Nutzer diese Kategorie akzeptiert – nicht früher und nicht pauschal. Die Zuordnung zur richtigen Service-Gruppe (Statistik, Marketing …) steuert außerdem, unter welchem Schalter die Einwilligung im Banner erscheint.

4. Testen – zweimal

Leeren Sie zuerst alle Caches (Caching-Plugin, Server-Cache, ggf. CDN). Öffnen Sie die Seite dann im Inkognito-Fenster:

  1. Vor dem Klick auf „Akzeptieren”: Das Skript darf im Netzwerk-Tab nicht erscheinen.
  2. Nach der Einwilligung: Es muss nachgeladen werden und funktionieren.

Prüfen Sie zusätzlich die JavaScript-Konsole auf Fehler. Bricht nach der Freigabe eine Funktion, ist meist die Ladereihenfolge gestört – dazu gleich mehr.

Typische Fehler und ihre Lösung

  • Der Blocker greift zu weit und die Seite bricht. Ursache ist fast immer eine zu unspezifische Suchphrase. Präzisieren Sie das Keyword oder wechseln Sie auf die Handle-Methode.
  • Das Skript lädt trotz Regel weiter. Häufig wird es per AJAX oder inline nach dem Rendern eingefügt und ist so für den Script Blocker unsichtbar. In diesem Fall den Code über einen Service-Opt-in-Code einbinden statt über den Blocker.
  • Caching überlagert die Blockade. Aggressive Caching- oder Optimierungs-Plugins können den bearbeiteten Quelltext überschreiben. Cache nach jeder Änderung leeren und Borlabs-relevante Bereiche von HTML-Minify/Combine ausnehmen.
  • Nach der Freigabe erscheinen Konsolenfehler. Wird ein abhängiges Skript vor seiner Bibliothek geladen, scheitert die Ausführung. Achten Sie auf die korrekte Reihenfolge bzw. koppeln Sie abhängige Skripte an denselben Service.
  • Der Google Consent Mode fehlt. Der Script Blocker verhindert das Laden – er ersetzt aber nicht die Signalübergabe an Google-Dienste. Wer Consent Mode v2 braucht, richtet ihn zusätzlich ein; die Einbindung beschreibt der Abschnitt zu Consent Mode in Borlabs Cookie richtig einstellen.

FAQ

Brauche ich den Script Blocker, wenn ich Google Analytics über einen eigenen Service einbinde? Nein. Wenn Sie den Tag-Code selbst als Opt-in-Code in einem Service hinterlegen, wird er ohnehin erst nach Einwilligung ausgeführt. Der Script Blocker ist für Skripte gedacht, die andere Plugins oder das Theme unkontrolliert ausgeben.

Blockiert der Script Blocker auch eingebettete YouTube-Videos? Dafür ist der Content Blocker zuständig, nicht der Script Blocker. Er ersetzt das Embed durch einen Platzhalter mit Freigabe-Button. Wie Sie Embeds und iframes in Borlabs steuern, zeigt WordPress-iframes in Borlabs zulassen.

Warum lädt mein Skript nach dem Klick auf „Akzeptieren” nicht neu? Meist ist die Regel keinem Service zugeordnet oder dem falschen. Ohne diese Kopplung weiß Borlabs nicht, bei welcher Einwilligung es freigeben soll. Prüfen Sie außerdem, ob ein Cache den alten Zustand ausliefert.

Brauchen Sie Unterstützung bei DSGVO & Cookie-Consent (Borlabs & Co.)? Ypsilon.dev ist Ihre Webagentur aus Regensburg – jetzt kostenlose Erstberatung anfragen.