Zurück zum Blog
DSGVOWordPressShopify

Cookie-Compliance für WordPress und Shopify

Nur 23% der Websites erfüllen die DSGVO-Cookie-Regeln. Ein praktischer Leitfaden zur Cookie-Compliance für WordPress und Shopify mit Plugin-Empfehlungen.

Von CookieCompliance Team||7 Min. Lesezeit
ENESDEFRIT
WordPress- und Shopify-Logos neben einem Cookie-Einwilligungsbanner auf einem Laptop-Bildschirm

97% der Websites Verwenden Cookies, Aber Nur 23% Sind Konform

WordPress betreibt 43% aller Websites. Shopify betreibt über 2,6 Millionen Online-Shops. Zusammen dominieren sie das Web. Dennoch erfüllen nur 23% der Websites die DSGVO-Anforderungen an die Cookie-Einwilligung vollständig, laut einer CNIL-Studie von 2025.

Die Lücke zwischen "einen Cookie-Banner haben" und "tatsächlich konform sein" ist, wo die meisten Website-Betreiber scheitern. Einen Banner zu installieren ist Schritt eins. Cookies vor der Einwilligung zu blockieren, Ablehnungsbuttons zu handhaben, die tatsächlich funktionieren, und mit Plugin-Änderungen Schritt zu halten, ist der schwierige Teil.

Dieser Leitfaden behandelt, was WordPress- und Shopify-Betreiber tun müssen, welche Tools auf jeder Plattform am besten funktionieren und welche Fehler zu Bußgeldern führen.

Was WordPress-Seiten Falsch Machen

WordPress selbst setzt einige Cookies für Sitzungsverwaltung und eingeloggte Benutzer. Diese sind unbedingt erforderlich und von der Einwilligung ausgenommen. Das Problem beginnt mit allem, was Sie darauf aufbauen: Themes, Plugins, Analyse- und Marketing-Tools.

Die häufigsten Verstöße bei WordPress:

  • Tracking-Skripte in Theme-Dateien. Google Analytics, Facebook Pixel oder anderer Tracking-Code, der direkt in header.php oder functions.php codiert ist, wird geladen, bevor ein Einwilligungsplugin ihn blockieren kann. Einwilligungsplugins können Code, der auf Theme-Ebene ausgeführt wird, nicht abfangen.
  • Doppeltes Tracking. Google Site Kit, MonsterInsights und GTM4WP gleichzeitig zu betreiben erzeugt doppeltes Tracking und widersprüchliche Einwilligungssignale. Wählen Sie eine Analyse-Integration, nicht drei.
  • Vorausgewählte Cookie-Kategorien. Einige Einwilligungsplugins setzen nicht-essentielle Cookies standardmäßig auf "an". Gemäß DSGVO Artikel 7 muss die Einwilligung eine klare positive Handlung beinhalten. Vorausgewählte Kästchen zählen nicht.
  • Fehlender Ablehnungsbutton. Ein Banner mit nur "Akzeptieren" und "Einstellungen verwalten" ist nicht konform. Nutzer müssen alle nicht-essentiellen Cookies mit der gleichen Anzahl von Klicks ablehnen können, die zum Akzeptieren nötig sind.

WordPress-Dashboard zeigt den Konfigurationsbildschirm eines Cookie-Einwilligungsplugins

WordPress: Das Richtige Einwilligungsplugin Wählen

Die drei führenden Einwilligungsplugins für WordPress verfolgen unterschiedliche Ansätze:

WPConsent speichert alle Einwilligungsdaten lokal in Ihrer WordPress-Datenbank, nicht auf externen Servern. Es enthält automatisches Script-Blocking für gängige Tracker (Google Analytics, Facebook Pixel), einen integrierten Cookie-Scanner mit geplanten Scans und Google Consent Mode v2-Unterstützung. Die kostenlose Version hat keine Seitenaufruf-Limits. Ideal für Website-Betreiber, die ihre Daten auf dem eigenen Server behalten möchten.

CookieYes ist eine cloudbasierte Lösung, die auf über 1,5 Millionen Seiten eingesetzt wird. Es scannt und kategorisiert Cookies automatisch, unterstützt über 40 Sprachen mit automatischer Übersetzung und ist ein Google-zertifizierter CMP mit IAB TCF 2.2-Unterstützung. Premium ab $100/Jahr. Ideal für mehrsprachige Seiten.

Complianz verwendet eine assistentenbasierte Einrichtung und deckt die breiteste Palette an Regulierungen ab: DSGVO, CCPA, ePrivacy, TTDSG, POPIA und mehr. Sein Script Center bietet Kontrolle auf Domain-Ebene darüber, welche Skripte vor der Einwilligung ausgeführt werden dürfen. Die kostenlose Version reicht für die meisten Seiten; Premium ab $59/Jahr. Ideal für Seiten, die Besucher aus mehreren Rechtsordnungen bedienen.

WordPress Cookie-Compliance Einrichten

  1. Installieren Sie Ihr gewähltes Einwilligungsplugin
  2. Führen Sie den ersten Cookie-Scan durch, um alle Cookies auf Ihrer Seite zu identifizieren
  3. Verschieben Sie jeglichen Tracking-Code aus header.php oder functions.php in das Verwaltungssystem des Einwilligungsplugins
  4. Konfigurieren Sie das Banner-Design mit gleich sichtbaren "Alle akzeptieren"- und "Alle ablehnen"-Buttons
  5. Aktivieren Sie das automatische Script-Blocking für Analyse- und Marketing-Skripte
  6. Aktivieren Sie Google Consent Mode v2 in den Plugin-Einstellungen
  7. Wenn Sie GTM4WP neben einem Einwilligungsplugin verwenden, deaktivieren Sie die doppelte GTM-Container-Ausgabe in einem von beiden
  8. Testen Sie in einem Inkognito-Fenster: Öffnen Sie DevTools, navigieren Sie zu Ihrer Seite und überprüfen Sie, dass vor der Einwilligung keine nicht-essentiellen Cookies erscheinen

Plugin-Konflikte Handhaben

Plugin-Konflikte sind die Hauptursache für WordPress-Cookie-Compliance-Fehler:

  • GTM4WP + Einwilligungsplugin: Beide können den GTM-Container-Code ausgeben, was zu Doppelzählung führt. Deaktivieren Sie die Container-Ausgabe in GTM4WP und lassen Sie das Einwilligungsplugin es handhaben.
  • Google Site Kit + Einwilligungsplugin: Site Kit hat keine integrierte Einwilligungsverwaltung. Es funktioniert neben CookieYes, Complianz und Cookiebot ohne Konflikte, aber Sie brauchen ein separates Einwilligungsplugin.
  • MonsterInsights: Hat ein integriertes EU-Compliance-Addon. Wenn Sie es neben einem Einwilligungsplugin verwenden, deaktivieren Sie die doppelten Einwilligungseinstellungen, um Konflikte zu vermeiden.
  • WooCommerce: Warenkorb- und Sitzungs-Cookies sind essentiell und dürfen nicht blockiert werden. Schlecht konfigurierte Einwilligung, die "alle Cookies" blockiert, wird den Checkout zerstören.

Was Shopify-Shops Falsch Machen

Shopify setzt eigene Cookies für Warenkorbverwaltung, Sitzungen und Analyse. In 2025-2026 hat Shopify mehrere Cookies abgekündigt: _shopify_y und _shopify_s werden ab Januar 2026 nicht mehr gesetzt, und _tracking_consent wurde im September 2025 abgekündigt.

Die häufigsten Verstöße bei Shopify:

  • Sich auf den nativen Banner verlassen. Shopifys integrierter Cookie-Banner blockiert keine Drittanbieter-Skripte, scannt keine Cookies und bietet keine granulare Kategorisierung. Er verwaltet nur Cookies innerhalb von Shopifys eigenem Ökosystem.
  • Cookies von Drittanbieter-Apps. Bewertungs-Apps, Heatmaps, Live-Chat-Widgets und Marketing-Apps setzen alle ihre eigenen Cookies. Shopifys nativer Banner kontrolliert sie nicht.
  • Kein Einwilligungsprotokoll. Shopifys native Lösung bietet keine prüfungsfähigen Einwilligungsprotokolle. Wenn ein Regulierer Sie auffordert, die Einwilligung nachzuweisen, benötigen Sie zeitgestempelte Protokolle mit Benutzer-ID, Entscheidung, genehmigten Kategorien und Banner-Version.
  • Direkte Cookie-Manipulation. Einige Entwickler lesen oder ändern Shopify-Cookies direkt, anstatt die Customer Privacy API zu verwenden. Das wird nicht mehr funktionieren, wenn Shopify neue Versionen veröffentlicht.

Shopify-Adminbereich zeigt die Konfiguration der Kundendatenschutz-Einstellungen

Shopify: Die Richtige Einwilligungs-App Wählen

Shopifys nativer Banner ist für die DSGVO-Compliance unzureichend, wenn Ihr Shop Drittanbieter-Marketing-, Analyse- oder Personalisierungstools verwendet.

Pandectes GDPR Compliance hat eine 5,0-Bewertung mit 2.655 Rezensionen. Es bietet automatische DSGVO/CCPA-Banner mit Google Consent Mode v2-Integration.

Consentmo hat ebenfalls eine 5,0-Bewertung mit 1.747 Rezensionen. Seit Januar 2026 unterstützt es IAB TCF 2.3 und bietet native mobile Banner für iOS und Android.

CookieYes hat eine 4,7-Bewertung und ist ein Google-zertifizierter CMP mit IAB TCF 2.2-Unterstützung, konsistent mit seiner WordPress-Version.

Shopify Cookie-Compliance Einrichten

  1. Gehen Sie zu Einstellungen > Kundendatenschutz und aktivieren Sie die Einwilligungserfassung für anwendbare Regionen (UK, EWR)
  2. Installieren Sie Ihre gewählte CMP-App aus dem Shopify App Store
  3. Setzen Sie die Standardeinstellung auf Blockierung aller nicht-essentiellen Cookie-Gruppen
  4. Überprüfen Sie alle installierten Apps und identifizieren Sie, welche nicht-essentielle Cookies setzen
  5. Konfigurieren Sie den CMP, um Drittanbieter-Skripte (Marketing-Pixel, Analyse) bis zur Einwilligung zu blockieren
  6. Aktivieren Sie Google Consent Mode v2 in den CMP-Einstellungen
  7. Verwenden Sie immer die Customer Privacy API, lesen oder ändern Sie Shopify-Cookies nie direkt
  8. Testen Sie den Checkout-Ablauf, um sicherzustellen, dass essentielle Warenkorb-Cookies nicht blockiert werden
  9. Konfigurieren Sie geo-gezielte Banner für verschiedene Rechtsordnungen (EU, Kalifornien, etc.)
  10. Stellen Sie sicher, dass die Einwilligungsaufzeichnung nur bei Besucherinteraktion erfolgt, nie automatisch

Google Consent Mode v2: Pflicht Seit Juli 2025

Google Consent Mode v2 wurde für EWR- und UK-Traffic im Juli 2025 ohne Übergangsfrist zur Pflicht. Ohne es funktionieren Conversion-Tracking und Remarketing für europäische Besucher nicht.

Die kritische Anforderung: Der Consent Mode-Standardzustand muss vor dem Auslösen von Google-Tags gesetzt werden. Das bedeutet, der Einwilligungs-Initialisierungscode muss das allererste Skript im <head> sein.

67% der Consent Mode v2-Setups erfüllen die Compliance-Standards nicht, meist wegen falscher Standardzustände, Race Conditions mit Tracking-Skripten oder falscher Zuordnung von Einwilligungssignalen.

Bei WordPress enthalten alle drei großen Einwilligungsplugins (WPConsent, CookieYes, Complianz) integrierte Consent Mode v2-Unterstützung. Bei Shopify ist Consent Mode v2 keine native Option und erfordert eine Drittanbieter-CMP-App wie Consentmo oder Pandectes.

Die Bußgelder Sind Real

SHEIN wurde im September 2025 mit 150 Millionen Euro bestraft, weil Werbe-Cookies gesetzt wurden, bevor Nutzer einwilligen konnten, und weil der "Alle ablehnen"-Button tatsächlich nicht funktionierte. Microsofts Bing wurde mit 60 Millionen Euro bestraft, weil Ablehnung schwieriger als Akzeptanz war. Coolblue wurde mit 40.000 Euro für vorausgewählte Einwilligungskästchen bestraft.

Das sind keine Einzelfälle. Gemäß DSGVO Artikel 83 können Cookie-Verstöße zu Bußgeldern von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes führen. Unter CCPA bringt jeder Verstoß Strafen von $2.500 (unbeabsichtigt) bis $7.500 (vorsätzlich).

Die Durchsetzung weitet sich auf KMU und kleinere Websites aus. Allein Spanien hat über 1.021 DSGVO-Bußgelder verhängt. Die Ära, in der nur große Techunternehmen ins Visier genommen wurden, ist vorbei.

Prüfen Sie Ihren Shop oder Ihre Seite Jetzt

Egal ob Sie WordPress oder Shopify betreiben, der schnellste Weg herauszufinden, ob Ihre Seite Cookie-Compliance-Probleme hat, ist sie zu scannen. Scannen Sie Ihre Website kostenlos, um genau zu sehen, was ein Regulierer finden würde: Pre-Consent-Cookies, Tracker, die vor der Einwilligung laden, und Banner-Probleme.

Es dauert 30 Sekunden und gibt Ihnen eine klare Liste, was zu beheben ist. Die oben genannten Plugins und Apps erledigen die meisten Korrekturen, aber Sie müssen erst wissen, was kaputt ist.

Ist Ihre Website konform?

Scannen Sie Ihre Website kostenlos und finden Sie heraus, ob Ihr Cookie-Banner die DSGVO-Anforderungen erfüllt.

Website Scannen - Kostenlos