Borlabs Cookie einrichten: DSGVO-konformer Consent für WordPress
Borlabs Cookie ist eines der meistgenutzten kommerziellen Consent-Plugins für WordPress in Deutschland. Richtig eingerichtet, blockiert es Tracking-Skripte und externe Einbindungen zuverlässig, bis Besucher aktiv zustimmen - und protokolliert jede Einwilligung nachweisbar. Dieser Leitfaden führt Sie von der Installation über Dienste und Content-Blocker bis zu Google Consent Mode v2 und zeigt die Fehler, an denen die meisten Setups in der Praxis scheitern.
Was Borlabs Cookie ist - und was nicht
Borlabs Cookie ist ein kostenpflichtiges Plugin der Borlabs GmbH aus Hamburg. Es steht nicht im offiziellen WordPress-Verzeichnis: Sie kaufen eine Lizenz auf borlabs.io und laden die ZIP-Datei selbst hoch. Die Jahreslizenzen unterscheiden sich nur in der Zahl der erlaubten Websites - der volle Funktionsumfang ist überall enthalten: Personal 49 Euro (1 Website), die Business-Stufen 79 bis 179 Euro (3 bis 10 Websites) und die Agency-Stufen 229 bzw. 499 Euro (25 bzw. 99 Websites), jeweils pro Jahr zzgl. MwSt. (Stand: Juli 2026). Eine kostenlose Version im WordPress-Verzeichnis gibt es nicht. Die aktuelle Version ist 3.4.2 (Stand: Juli 2026); seit Version 3.4 bringt das Plugin einen Einrichtungsassistenten und einen barrierearmen Einwilligungsdialog (Tastatur- und Screenreader-Bedienung) mit.
Zur Einordnung: Ein Consent-Tool macht Ihre Website nicht automatisch rechtssicher. Es liefert die technische Grundlage - Blockieren bis zur Einwilligung, saubere Opt-in-Abfrage, Protokollierung. Welche Dienste Sie überhaupt einsetzen dürfen und was in die Datenschutzerklärung gehört, bleibt Ihre Aufgabe (siehe /dsgvo-website/).
Der rechtliche Rahmen: DSGVO und TDDDG
Seit Mai 2024 heißt das frühere TTDSG offiziell TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) - eine Anpassung an den Digital Services Act, inhaltlich weitgehend unverändert. Zentral bleibt § 25 TDDDG: Das Speichern von oder der Zugriff auf Informationen im Endgerät - praktisch jedes nicht zwingend notwendige Cookie und jedes Tracking-Skript - erfordert eine vorherige, aktive Einwilligung. Technisch notwendige Cookies (Session, Warenkorb, Login) sind ausgenommen (§ 25 Abs. 2). Vorangekreuzte Kästchen sind unzulässig (EuGH “Planet49”, C-673/17; BGH I ZR 7/16). Bußgelder reichen bis zu 300.000 Euro (§ 28 TDDDG).
Installation und Grundeinrichtung
- Lizenz auf borlabs.io kaufen, ZIP-Datei herunterladen.
- In WordPress unter Plugins › Installieren › Plugin hochladen die ZIP einspielen und aktivieren.
- Im neuen Menüpunkt Borlabs Cookie den Lizenzschlüssel eintragen - erst dann funktionieren automatische Updates.
- Den Einrichtungsassistenten (ab Version 3.4) durchlaufen. Er bietet drei Modi: eine automatische Schnelleinrichtung (“Quick Setup”), die empfohlene Pakete installiert und sichere Standardwerte setzt; eine benutzerdefinierte Einrichtung (“Custom Setup”) mit zusätzlichen Optionen für Layout, Farben, Logo und Sprachumschalter; sowie eine geführte Einrichtung (“Guided Setup”), die dieselben Schritte durchläuft, aber die Grundlagen und Hilfestellungen zusätzlich erklärt. Dabei legt er die Standard-Gruppen (Essenziell, Statistik, Marketing) und den Dialog an.
Halten Sie WordPress, PHP und das Plugin aktuell. Wenn Sie das IAB TCF (Transparency & Consent Framework) einsetzen - relevant vor allem bei programmatischer Werbevermarktung -, brauchen Sie mindestens Borlabs Cookie 3.4: Diese Version unterstützt das mit TCF 2.3 verpflichtende disclosedVendor-Segment und war für alle TCF-Nutzer ein Pflicht-Update, das bis spätestens 28. Februar 2026 zu installieren war (Stand: Juli 2026).
Dienste, Gruppen und der Dialog
In Version 3 heißen die früheren “Cookies” jetzt Dienste (Services), gebündelt in Dienste-Gruppen wie Essenziell, Statistik und Marketing. Jeder Dienst - etwa Google Analytics 4, Meta-Pixel oder Google Maps - kapselt den zugehörigen Code und den Blockier-Mechanismus. Der Besucher willigt pro Gruppe (oder pro Dienst) ein; erst dann führt Borlabs den hinterlegten Code aus.
Beispiel: Google Analytics 4 sauber einbinden
Legen Sie unter Borlabs Cookie › Consent-Management › Dienste einen neuen Dienst an - am einfachsten über eine Vorlage aus der Bibliothek (Library).
- Vorlage “Google Analytics” wählen und der Gruppe Statistik zuordnen.
- Mess-ID (
G-XXXXXXX) eintragen. - Der Opt-in-Code lädt
gtag.jserst nach Zustimmung, der Opt-out-Code räumt bei Widerruf auf.
Der entscheidende Punkt: Kopieren Sie den Tracking-Code nicht zusätzlich fest ins Theme. Sonst lädt er unabhängig vom Consent - der häufigste Grund für Abmahn-Risiken trotz Banner.
Content-Blocker: externe Einbindungen erst nach Klick laden
Das ist die eigentliche Stärke von Borlabs. Ein eingebettetes YouTube-Video, eine Google-Map oder ein Instagram-Feed lädt externe Ressourcen - und überträgt IP-Adresse und teils Cookies an den Anbieter - schon beim Seitenaufruf, lange bevor der Besucher irgendetwas anklickt. Genau hier verlieren die meisten WordPress-Seiten ihre DSGVO-Konformität.
Der Content-Blocker ersetzt das Embed durch einen Platzhalter mit Hinweistext. Das externe Element wird erst geladen, wenn der Besucher aktiv zustimmt. Borlabs bringt Blocker-Vorlagen für YouTube, Vimeo, Google Maps, Google reCAPTCHA, Instagram, Facebook und weitere Dienste mit. Prüfen Sie nach dem Aktivieren jede Seite mit Einbettungen, ob der Platzhalter erscheint.
Skript-Blocker: fest verdrahtete Skripte bändigen
Wenn ein Tracking-Skript direkt im Theme, in der header.php oder über ein anderes Plugin fest eingebunden ist, greift die Dienst-Logik nicht automatisch. Dafür gibt es unter Borlabs Cookie › Consent-Management › Skript-Blocker den Skript-Blocker: Sie hinterlegen den Handle bzw. Namen des Skripts, und Borlabs hält es zurück, bis die passende Einwilligung vorliegt. Das ist neben dem doppelt eingebundenen Analytics-Code die häufigste Ursache dafür, dass Skripte trotz Banner zu früh feuern.
Google Consent Mode v2
Für Google Ads und Google Analytics 4 ist Consent Mode v2 seit März 2024 im EWR faktisch Pflicht - ohne ihn brechen Conversions und Remarketing-Zielgruppen weg. Borlabs übergibt die Consent-Signale (ad_storage, analytics_storage, ad_user_data, ad_personalization) an Google und aktualisiert sie, sobald der Besucher zustimmt oder ablehnt. Consent Mode v2 aktivieren Sie nicht über einen globalen Schalter, sondern pro Dienst: Installieren Sie das Google-Analytics- bzw. Google-Ads-Paket aus der Bibliothek - der Basis-Modus ist nach der Installation bereits aktiv, und die Consent-Mode-Optionen justieren Sie im jeweiligen Dienst unter Consent-Management › Dienste (Zahnrad-Symbol). Für komplexere Setups steuern Sie den Consent Mode über das Google-Tag-Manager-Paket.
Einwilligungen protokollieren
Borlabs speichert jede Einwilligung mit eindeutiger Consent-ID, Zeitstempel und Version in der Datenbank sowie im Browser-Cookie borlabs-cookie. Das ist Ihr Nachweis nach Art. 7 Abs. 1 DSGVO (“Rechenschaftspflicht”). Löschen Sie die Protokolle nicht vorschnell und binden Sie sie in Ihr Löschkonzept ein.
Typische Fehler und ihre Lösung
- Skript lädt trotz Banner: Es ist hart im Theme oder per anderem Plugin eingebunden. Lösung: Skript-Blocker oder Content-Blocker nutzen - nicht nur den Code ins Statistik-Feld kopieren.
- Banner erscheint zum Testen nicht erneut: Löschen Sie das Cookie
borlabs-cookieim Browser oder testen Sie im Inkognito-Fenster. - Caching/CDN: Da Borlabs clientseitig per JavaScript und Cookie arbeitet, ist ein Seiten-Cache meist unproblematisch. Vorsicht nur bei Setups, die Markup serverseitig abhängig vom Cookie verändern; das hängt von Ihrer konkreten Cache- und Hosting-Konstellation ab.
- Google Fonts oder Maps laden weiterhin extern: Extern eingebundene Schriften sind ein eigenes DSGVO-Thema - lokal hosten (siehe /google-fonts-dsgvo/).
- Consent Mode v2 nicht aktiv: Google-Conversions fehlen im Reporting. Schalter und Gruppen-Zuordnung prüfen.
FAQ
Ist Borlabs Cookie kostenlos? Nein. Es ist ein kommerzielles Plugin mit Jahreslizenz ab 49 Euro pro Jahr (zzgl. MwSt., Stand: Juli 2026); eine kostenlose Version im WordPress-Verzeichnis existiert nicht.
Macht Borlabs meine Website automatisch DSGVO-konform? Nein. Das Plugin liefert die technischen Werkzeuge - Blockieren, Opt-in, Protokoll. Welche Dienste zulässig sind und was in die Datenschutzerklärung gehört, müssen Sie separat klären, im Zweifel juristisch.
Reicht der Standard-Dialog rechtlich aus? Der Dialog ist so angelegt, dass “Akzeptieren” und “Ablehnen” gleichwertig erreichbar sind - wichtig, um unzulässige Dark Patterns zu vermeiden. Stellen Sie sicher, dass keine Kategorie vorausgewählt ist und Ablehnen genauso einfach bleibt wie Zustimmen.
Brauchen Sie Unterstützung bei DSGVO & Cookie-Consent (Borlabs & Co.)? Ypsilon.dev ist Ihre Webagentur aus Regensburg – jetzt kostenlose Erstberatung anfragen.