Borlabs Cookie einrichten: DSGVO-konformer Consent für WordPress

DSGVO

Borlabs Cookie ist eines der meistgenutzten kommerziellen Consent-Plugins für WordPress in Deutschland. Richtig eingerichtet, blockiert es Tracking-Skripte und externe Einbindungen zuverlässig, bis Besucher aktiv zustimmen - und protokolliert jede Einwilligung nachweisbar. Dieser Leitfaden führt Sie von der Installation über Dienste und Content-Blocker bis zu Google Consent Mode v2 und zeigt die Fehler, an denen die meisten Setups in der Praxis scheitern.

Borlabs Cookie ist ein kostenpflichtiges Plugin der Borlabs GmbH aus Hamburg. Es steht nicht im offiziellen WordPress-Verzeichnis: Sie kaufen eine Lizenz auf borlabs.io und laden die ZIP-Datei selbst hoch. Die Jahreslizenzen unterscheiden sich nur in der Zahl der erlaubten Websites - der volle Funktionsumfang ist überall enthalten: Personal 49 Euro (1 Website), die Business-Stufen 79 bis 179 Euro (3 bis 10 Websites) und die Agency-Stufen 229 bzw. 499 Euro (25 bzw. 99 Websites), jeweils pro Jahr zzgl. MwSt. (Stand: Juli 2026). Eine kostenlose Version im WordPress-Verzeichnis gibt es nicht. Die aktuelle Version ist 3.4.2 (Stand: Juli 2026); seit Version 3.4 bringt das Plugin einen Einrichtungsassistenten und einen barrierearmen Einwilligungsdialog (Tastatur- und Screenreader-Bedienung) mit.

Zur Einordnung: Ein Consent-Tool macht Ihre Website nicht automatisch rechtssicher. Es liefert die technische Grundlage - Blockieren bis zur Einwilligung, saubere Opt-in-Abfrage, Protokollierung. Welche Dienste Sie überhaupt einsetzen dürfen und was in die Datenschutzerklärung gehört, bleibt Ihre Aufgabe (siehe /dsgvo-website/).

Der rechtliche Rahmen: DSGVO und TDDDG

Seit Mai 2024 heißt das frühere TTDSG offiziell TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) - eine Anpassung an den Digital Services Act, inhaltlich weitgehend unverändert. Zentral bleibt § 25 TDDDG: Das Speichern von oder der Zugriff auf Informationen im Endgerät - praktisch jedes nicht zwingend notwendige Cookie und jedes Tracking-Skript - erfordert eine vorherige, aktive Einwilligung. Technisch notwendige Cookies (Session, Warenkorb, Login) sind ausgenommen (§ 25 Abs. 2). Vorangekreuzte Kästchen sind unzulässig (EuGH “Planet49”, C-673/17; BGH I ZR 7/16). Bußgelder reichen bis zu 300.000 Euro (§ 28 TDDDG).

Installation und Grundeinrichtung

  1. Lizenz auf borlabs.io kaufen, ZIP-Datei herunterladen.
  2. In WordPress unter Plugins › Installieren › Plugin hochladen die ZIP einspielen und aktivieren.
  3. Im neuen Menüpunkt Borlabs Cookie den Lizenzschlüssel eintragen - erst dann funktionieren automatische Updates.
  4. Den Einrichtungsassistenten (ab Version 3.4) durchlaufen. Er bietet drei Modi: eine automatische Schnelleinrichtung (“Quick Setup”), die empfohlene Pakete installiert und sichere Standardwerte setzt; eine benutzerdefinierte Einrichtung (“Custom Setup”) mit zusätzlichen Optionen für Layout, Farben, Logo und Sprachumschalter; sowie eine geführte Einrichtung (“Guided Setup”), die dieselben Schritte durchläuft, aber die Grundlagen und Hilfestellungen zusätzlich erklärt. Dabei legt er die Standard-Gruppen (Essenziell, Statistik, Marketing) und den Dialog an.

Halten Sie WordPress, PHP und das Plugin aktuell. Wenn Sie das IAB TCF (Transparency & Consent Framework) einsetzen - relevant vor allem bei programmatischer Werbevermarktung -, brauchen Sie mindestens Borlabs Cookie 3.4: Diese Version unterstützt das mit TCF 2.3 verpflichtende disclosedVendor-Segment und war für alle TCF-Nutzer ein Pflicht-Update, das bis spätestens 28. Februar 2026 zu installieren war (Stand: Juli 2026).

Dienste, Gruppen und der Dialog

In Version 3 heißen die früheren “Cookies” jetzt Dienste (Services), gebündelt in Dienste-Gruppen wie Essenziell, Statistik und Marketing. Jeder Dienst - etwa Google Analytics 4, Meta-Pixel oder Google Maps - kapselt den zugehörigen Code und den Blockier-Mechanismus. Der Besucher willigt pro Gruppe (oder pro Dienst) ein; erst dann führt Borlabs den hinterlegten Code aus.

Beispiel: Google Analytics 4 sauber einbinden

Legen Sie unter Borlabs Cookie › Consent-Management › Dienste einen neuen Dienst an - am einfachsten über eine Vorlage aus der Bibliothek (Library).

  • Vorlage “Google Analytics” wählen und der Gruppe Statistik zuordnen.
  • Mess-ID (G-XXXXXXX) eintragen.
  • Der Opt-in-Code lädt gtag.js erst nach Zustimmung, der Opt-out-Code räumt bei Widerruf auf.

Der entscheidende Punkt: Kopieren Sie den Tracking-Code nicht zusätzlich fest ins Theme. Sonst lädt er unabhängig vom Consent - der häufigste Grund für Abmahn-Risiken trotz Banner.

Content-Blocker: externe Einbindungen erst nach Klick laden

Das ist die eigentliche Stärke von Borlabs. Ein eingebettetes YouTube-Video, eine Google-Map oder ein Instagram-Feed lädt externe Ressourcen - und überträgt IP-Adresse und teils Cookies an den Anbieter - schon beim Seitenaufruf, lange bevor der Besucher irgendetwas anklickt. Genau hier verlieren die meisten WordPress-Seiten ihre DSGVO-Konformität.

Der Content-Blocker ersetzt das Embed durch einen Platzhalter mit Hinweistext. Das externe Element wird erst geladen, wenn der Besucher aktiv zustimmt. Borlabs bringt Blocker-Vorlagen für YouTube, Vimeo, Google Maps, Google reCAPTCHA, Instagram, Facebook und weitere Dienste mit. Prüfen Sie nach dem Aktivieren jede Seite mit Einbettungen, ob der Platzhalter erscheint.

Skript-Blocker: fest verdrahtete Skripte bändigen

Wenn ein Tracking-Skript direkt im Theme, in der header.php oder über ein anderes Plugin fest eingebunden ist, greift die Dienst-Logik nicht automatisch. Dafür gibt es unter Borlabs Cookie › Consent-Management › Skript-Blocker den Skript-Blocker: Sie hinterlegen den Handle bzw. Namen des Skripts, und Borlabs hält es zurück, bis die passende Einwilligung vorliegt. Das ist neben dem doppelt eingebundenen Analytics-Code die häufigste Ursache dafür, dass Skripte trotz Banner zu früh feuern.

Für Google Ads und Google Analytics 4 ist Consent Mode v2 seit März 2024 im EWR faktisch Pflicht - ohne ihn brechen Conversions und Remarketing-Zielgruppen weg. Borlabs übergibt die Consent-Signale (ad_storage, analytics_storage, ad_user_data, ad_personalization) an Google und aktualisiert sie, sobald der Besucher zustimmt oder ablehnt. Consent Mode v2 aktivieren Sie nicht über einen globalen Schalter, sondern pro Dienst: Installieren Sie das Google-Analytics- bzw. Google-Ads-Paket aus der Bibliothek - der Basis-Modus ist nach der Installation bereits aktiv, und die Consent-Mode-Optionen justieren Sie im jeweiligen Dienst unter Consent-Management › Dienste (Zahnrad-Symbol). Für komplexere Setups steuern Sie den Consent Mode über das Google-Tag-Manager-Paket.

Einwilligungen protokollieren

Borlabs speichert jede Einwilligung mit eindeutiger Consent-ID, Zeitstempel und Version in der Datenbank sowie im Browser-Cookie borlabs-cookie. Das ist Ihr Nachweis nach Art. 7 Abs. 1 DSGVO (“Rechenschaftspflicht”). Löschen Sie die Protokolle nicht vorschnell und binden Sie sie in Ihr Löschkonzept ein.

Typische Fehler und ihre Lösung

  • Skript lädt trotz Banner: Es ist hart im Theme oder per anderem Plugin eingebunden. Lösung: Skript-Blocker oder Content-Blocker nutzen - nicht nur den Code ins Statistik-Feld kopieren.
  • Banner erscheint zum Testen nicht erneut: Löschen Sie das Cookie borlabs-cookie im Browser oder testen Sie im Inkognito-Fenster.
  • Caching/CDN: Da Borlabs clientseitig per JavaScript und Cookie arbeitet, ist ein Seiten-Cache meist unproblematisch. Vorsicht nur bei Setups, die Markup serverseitig abhängig vom Cookie verändern; das hängt von Ihrer konkreten Cache- und Hosting-Konstellation ab.
  • Google Fonts oder Maps laden weiterhin extern: Extern eingebundene Schriften sind ein eigenes DSGVO-Thema - lokal hosten (siehe /google-fonts-dsgvo/).
  • Consent Mode v2 nicht aktiv: Google-Conversions fehlen im Reporting. Schalter und Gruppen-Zuordnung prüfen.

FAQ

Ist Borlabs Cookie kostenlos? Nein. Es ist ein kommerzielles Plugin mit Jahreslizenz ab 49 Euro pro Jahr (zzgl. MwSt., Stand: Juli 2026); eine kostenlose Version im WordPress-Verzeichnis existiert nicht.

Macht Borlabs meine Website automatisch DSGVO-konform? Nein. Das Plugin liefert die technischen Werkzeuge - Blockieren, Opt-in, Protokoll. Welche Dienste zulässig sind und was in die Datenschutzerklärung gehört, müssen Sie separat klären, im Zweifel juristisch.

Reicht der Standard-Dialog rechtlich aus? Der Dialog ist so angelegt, dass “Akzeptieren” und “Ablehnen” gleichwertig erreichbar sind - wichtig, um unzulässige Dark Patterns zu vermeiden. Stellen Sie sicher, dass keine Kategorie vorausgewählt ist und Ablehnen genauso einfach bleibt wie Zustimmen.

Brauchen Sie Unterstützung bei DSGVO & Cookie-Consent (Borlabs & Co.)? Ypsilon.dev ist Ihre Webagentur aus Regensburg – jetzt kostenlose Erstberatung anfragen.