Borlabs Cookie richtig einstellen: Die optimale Konfiguration für die DSGVO

DSGVO

Ein Cookie-Banner ist schnell installiert – ein rechtssicheres, das Ihre Tracking-Daten nicht ruiniert, ist die eigentliche Arbeit. Borlabs Cookie 3 nimmt Ihnen davon viel ab, wenn Sie wissen, welche Schalter zählen. Diese Anleitung zeigt die konkreten Einstellungen für Cookie-Box, Service-Gruppen, Content-Blocker und Consent-Log – so, dass Sie die typischen Abmahnfallen vermeiden und den Google Consent Mode v2 sauber bedienen. Am Ende steht ein Banner, das rechtlich hält und trotzdem verwertbare Einwilligungsquoten liefert.

Vorab: Version, Lizenz und der Setup-Modus

Borlabs Cookie ist ein kostenpflichtiges Plugin (Lizenz ab 49 €/Jahr für eine Website im Tarif „Personal”; Stand: Juli 2026). Ohne gültigen Lizenzschlüssel erhalten Sie keine Updates und keine Service-Vorlagen – für ein Datenschutz-Werkzeug ist beides nicht verhandelbar.

Seit Version 3.0 hat sich die Terminologie geändert, was ältere Anleitungen unbrauchbar macht: Aus „Cookie-Gruppen” wurden Service-Gruppen, aus „Cookies” wurden Services (Dienste). Wenn Sie von 2.x kommen, werden Einstellungen beim Update größtenteils importiert – prüfen Sie danach jede Gruppe manuell nach.

Bevor Sie loslegen, aktivieren Sie unter Borlabs Cookie › Einstellungen den Setup-Modus. Das Banner erscheint dann nur für eingeloggte Administratoren, während Sie in Ruhe konfigurieren. Deaktivieren Sie außerdem vorübergehend Ihr Caching-Plugin (WP Rocket, W3 Total Cache, LiteSpeed) – gecachte Seiten liefern sonst veraltete Banner-Zustände aus und verfälschen jeden Test.

Grundgerüst: Service-Gruppen sauber anlegen

Die Service-Gruppen sind das Herzstück. Borlabs liefert vier Standardgruppen mit, die Sie unter Consent-Management › Service-Gruppen finden:

  • Essenziell – technisch notwendige Dienste (Session, Warenkorb, das Consent-Cookie selbst). Diese Gruppe ist immer aktiv und lässt sich vom Besucher nicht abwählen.
  • Statistik – Analyse-Tools wie Google Analytics 4 oder Matomo.
  • Marketing – Remarketing, Meta Pixel, Google Ads.
  • Externe Medien – eingebettete Inhalte wie YouTube, Vimeo oder Google Maps.

Die entscheidende DSGVO-Regel: Außer „Essenziell” darf keine Gruppe vorausgewählt sein. Vorangekreuzte Kästchen für Statistik oder Marketing sind laut EuGH (Planet49) unzulässig. Kontrollieren Sie das pro Gruppe im Feld „Vorab-Auswahl” bzw. „Standardmäßig aktiviert” und stellen Sie sicher, dass nur die essenzielle Gruppe gesetzt ist.

Legen Sie nicht mehr Gruppen an, als Sie wirklich brauchen. Jede zusätzliche Kategorie erhöht die Abbruchrate im Banner. Vier Gruppen decken die allermeisten Websites vollständig ab.

Unter Consent-Management › Cookie-Box steuern Sie Aussehen und – wichtiger – die Button-Logik. Hier entscheidet sich, ob Ihr Banner abmahnsicher ist.

Der Ablehnen-Button muss auf derselben Ebene und mit derselben Prominenz erreichbar sein wie „Alle akzeptieren”. Das ist keine Empfehlung: Die Datenschutzkonferenz (DSK) fordert in ihrer Orientierungshilfe für Anbieter von Telemedien gleichwertige Schaltflächen, und deutsche Gerichte werten versteckte oder benachteiligte Ablehnen-Optionen als unwirksame Einwilligung. Rechtsgrundlage für die Einwilligungspflicht selbst ist § 25 TDDDG (bis Mai 2024 TTDSG) in Verbindung mit Art. 6 und 7 DSGVO. Aktivieren Sie deshalb in der ersten Ebene der Box beide gleichwertigen Schaltflächen:

  • „Alle akzeptieren”
  • „Nur essenzielle” bzw. „Ablehnen”

Beide müssen dieselbe Größe, denselben Kontrast und dieselbe visuelle Gewichtung haben. Ein grauer, kleiner „Ablehnen”-Link neben einem großen grünen „Akzeptieren”-Button ist eine klassische Abmahnfalle (verbotenes „Nudging”). Der Button „Einstellungen” bzw. „Individuelle Auswahl” führt auf die zweite Ebene, wo der Besucher Gruppen einzeln zuschalten kann.

Für Layout und Position empfiehlt sich:

  • Layout: Box (mittig, mit optionaler Hintergrund-Abdunklung) oder Bar. Beides ist zulässig; eine mittige Box mit Overlay erzielt meist höhere Zustimmungsquoten.
  • Blockiermodus: Solange keine Einwilligung vorliegt, dürfen im Hintergrund keine nicht-essenziellen Skripte laufen. Belassen Sie es beim strikten Blockieren – das ist der Sinn des Plugins.
  • „Respektiere Do Not Track”: optional aktivierbar. Ist der Schalter gesetzt, bekommen Besucher, deren Browser ein Do-Not-Track-Signal sendet, die Box gar nicht erst zu sehen – es werden dann automatisch nur essenzielle Dienste geladen. Der praktische Nutzen ist gering, da aktuelle Browser das DNT-Signal kaum noch senden – als zusätzliche Vorsichtsmaßnahme schadet die Option aber nicht.

Achten Sie darauf, dass die Box auf Mobilgeräten bedienbar bleibt und den gesamten Inhalt nicht dauerhaft verdeckt. Ein Link zu Ihrer Datenschutzerklärung und zum Impressum gehört zwingend in die Box. Wie Sie die passende Datenschutzerklärung erstellen, lesen Sie unter /datenschutzerklaerung-wordpress/.

Dienste und Skripte korrekt einbinden

Ein Service ist die konkrete Anbindung eines Tools an eine Gruppe. Statt alles von Hand zu schreiben, nutzen Sie die Bibliothek mit über 100 vorbereiteten Vorlagen (Consent-Management › Services › Neu hinzufügen → Vorlage wählen). Für Google Analytics 4 etwa wählen Sie die GA4-Vorlage, tragen Ihre Mess-ID (G-XXXXXXXXXX) ein und ordnen den Service der Gruppe „Statistik” zu.

Zwei Wege, wie das Tracking-Skript geladen wird:

  1. Opt-in-Code im Service: Das eigentliche Skript liegt im Service-Feld „Opt-in-Code” und wird erst ausgeführt, wenn der Besucher zustimmt. Das ist der saubere Weg für neu integrierte Tools.
  2. Script-Blocker: Wenn ein anderes Plugin (z. B. ein GA-Plugin oder Ihr Theme) das Skript bereits selbst einbindet, blockiert der Script-Blocker dieses vorhandene <script> per Handle oder Suchmuster, bis die Einwilligung vorliegt. So verhindern Sie doppelt geladene Tags.

Nutzen Sie den mitgelieferten Scanner nur zur Orientierung: Er findet vorhandene Tools, übersieht aber alles, was über den Google Tag Manager oder mit Bedingungen anderer Systeme geladen wird. Verlassen Sie sich nie allein auf das Scan-Ergebnis, sondern gleichen Sie es mit einer manuellen Prüfung im Browser (Entwicklertools → Netzwerk/Anwendung) ab.

Content-Blocker für YouTube, Google Maps & Co.

Eingebettete externe Inhalte setzen oft schon beim Laden Cookies und übertragen die IP-Adresse an Dritte – auch das braucht eine Einwilligung. Der Content-Blocker ersetzt solche Einbettungen durch eine Vorschau mit Zustimmungshinweis. Erst nach Klick wird der echte Inhalt geladen.

Installieren Sie die passende Vorlage aus der Bibliothek (YouTube, Vimeo, Google Maps, Instagram); die Zuordnung zur Gruppe „Externe Medien” und das Ersetzungsmuster sind darin bereits hinterlegt. Prüfen Sie anschließend eine Seite mit Einbettung: Vor der Zustimmung darf kein Request an youtube.com oder google.com/maps gehen.

Die DSGVO verlangt, dass Sie eine erteilte Einwilligung nachweisen können (Art. 7 Abs. 1). Borlabs führt dafür ein Consent-Log, das jede Zustimmung protokolliert – bewusst ohne personenbezogene Daten, über eine anonyme Consent-ID statt über Klarnamen oder ungekürzte IP.

Kontrollieren Sie zwei Dinge:

  • Das Logging ist aktiv (Standardverhalten) und wird nicht durch ein Caching- oder „Datensparsam”-Plugin unterdrückt.
  • Die Speicherdauer der Einwilligung (Lebensdauer des Consent-Cookies) ist auf einen vertretbaren Wert gesetzt. In der Voreinstellung liegt sie bei 60 Tagen (Stand: Juli 2026); anpassen lässt sie sich unter Einstellungen im Feld „Cookie-Lebensdauer in Tagen”. Ein sehr langer Zeitraum ist datenschutzrechtlich schwerer zu begründen.

Wer Google Ads oder GA4 einsetzt, kommt am Consent Mode v2 nicht vorbei. Borlabs Cookie 3 unterstützt ihn direkt: Den Consent Mode aktivieren Sie nicht über einen globalen Schalter, sondern pro Google-Paket in der Bibliothek – öffnen Sie das jeweilige Paket (Google Analytics, Google Ads oder Google Tag Manager) und schalten Sie den Consent Mode darin ein (fehlt die Option, aktualisieren Sie das Paket zunächst über den Button am unteren Ende der Paketseite). Beim Tag-Manager-Paket ordnen Sie dabei die Consent-Signale (analytics_storage, ad_storage, ad_user_data, ad_personalization) Ihren Gruppen „Statistik” und „Marketing” zu.

Steuern Sie das Tracking über den Google Tag Manager, arbeiten Sie mit dem von Borlabs bereitgestellten Signal: Der dataLayer-Push borlabs-cookie-opt-in-[SERVICE-ID] eignet sich als Trigger, und über das First-Party-Cookie borlabs-cookie lässt sich der Consent-Status in einer GTM-Variable auslesen. So feuern Tags ausschließlich nach erteilter Einwilligung. Mehr dazu unter /google-consent-mode-v2/.

Häufige Fehler und wie Sie sie vermeiden

  • Vorausgewählte Gruppen außer „Essenziell” – rechtlich unzulässig, aber leicht übersehen.
  • Ungleiche Buttons in der ersten Ebene – der häufigste Abmahngrund.
  • Caching nicht deaktiviert beim Testen – Sie sehen einen Zustand, den Ihre Besucher nicht bekommen.
  • Doppeltes Tracking, weil ein Skript sowohl per Opt-in-Code als auch vom Original-Plugin geladen wird – entscheiden Sie sich pro Tool für einen Weg.
  • Setup-Modus vergessen zu deaktivieren vor dem Go-live – dann sieht kein Besucher das Banner.

FAQ

Muss ich für jede Website eine eigene Borlabs-Lizenz kaufen? Ja. Der Einstiegstarif „Personal” (49 €/Jahr) gilt für eine Website; für mehrere Projekte brauchen Sie einen größeren Tarif – „Business” deckt 3, 5 oder 10 Websites ab, die Agenturtarife 25 bzw. 99 (Stand: Juli 2026).

Reicht Borlabs Cookie allein für DSGVO-Konformität? Nein. Das Plugin setzt die technische Einwilligung korrekt um, ersetzt aber weder eine juristisch geprüfte Datenschutzerklärung noch die richtige Konfiguration Ihrer einzelnen Tools. Beides muss zusammenpassen.

Verliere ich durch das Banner viele Tracking-Daten? Ein Teil der Zustimmungen geht immer verloren – das ist gewollt. Mit dem Consent Mode v2 modelliert Google einen Teil der fehlenden Daten nach, sodass Conversion-Messung und Reporting trotzdem nutzbar bleiben.

Brauchen Sie Unterstützung bei DSGVO & Cookie-Consent (Borlabs & Co.)? Ypsilon.dev ist Ihre Webagentur aus Regensburg – jetzt kostenlose Erstberatung anfragen.