WordPress betreibt rund 40 % aller Websites. Die CNIL – Frankreichs Datenschutzbehörde – hat die Cookie-Einwilligung auf Websites seit 2021 zu einer ihrer obersten Durchsetzungsprioritäten gemacht. Diese beiden Fakten steuern auf eine Kollision zu.
Wenn Ihre WordPress-Website ein französisches Publikum hat, fallen Sie in den Zuständigkeitsbereich der CNIL. Das ist nicht bloß theoretisch: Die CNIL hat bereits Verlage, Händler und B2B-Softwareunternehmen – allesamt mit Standard-WordPress-Setups – für Verstöße belangt, die Sie an einem Nachmittag beheben können.
Dieser Leitfaden zeigt Ihnen genau, was die CNIL verlangt, welche Plugins sich lohnen und woran die meisten WordPress-Websites scheitern.
⚠️ Haftungsausschluss: Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Die Vorgaben der CNIL entwickeln sich weiter. Wenden Sie sich für konkrete Beratung an eine qualifizierte Anwältin oder einen qualifizierten Anwalt.
Das Vorgehen der CNIL bei der Durchsetzung ist konsistent. Die Behörde achtet auf drei Versäumnisse, in etwa in dieser Reihenfolge:
Bevor Sie Ihr Cookie-Banner anfassen, finden Sie heraus, was tatsächlich geladen wird.
So prüfen Sie: Öffnen Sie Ihre Website in einem Inkognito-Fenster. Öffnen Sie die Entwicklertools des Browsers (F12 → Reiter „Netzwerk“). Laden Sie die Seite, ohne Cookies zu akzeptieren. Filtern Sie nach Anfragen an Drittanbieter. Jede externe Anfrage, die ausgelöst wird, bevor Sie irgendetwas anklicken, kann gegen die CNIL-Vorgaben verstoßen.
Häufige Übeltäter auf WordPress-Websites:
Wenn eines davon vor der Einwilligung geladen wird – auf einer Website mit französischem Publikum –, haben Sie ein CNIL-Problem.
Führen Sie einen kostenlosen Sitetals-Scan durch, um einen strukturierten Bericht darüber zu erhalten, was auf Ihrer Website vor der Einwilligung geladen wird.
⚠️ Warnung zu Google Site Kit: Wenn Sie GA4 über Site Kit (Googles offizielles WordPress-Plugin) installiert haben, fügt es möglicherweise GA4-Skripte direkt in Ihre Seite ein – unabhängig von Ihrem Consent-Plugin. Überprüfen Sie in den Chrome DevTools, dass
gtagkeine Anfragen vor der Einwilligung ausgelöst werden, selbst wenn Site Kit aktiv ist.
Nicht alle Cookie-Consent-Plugins sind CNIL-konform. Die wichtigsten Anforderungen:
| Plugin | Schaltfläche „Alle ablehnen“ | Blockiert Skripte automatisch | Einwilligungsprotokoll | Preis |
|---|---|---|---|---|
| Complianz | ✅ Konfigurierbar | ✅ Ja | ✅ Ja | €59/Jahr |
| Cookiebot | ✅ Ja | ✅ Ja | ✅ Ja | Ab €9/Monat |
| CookieYes | ✅ Ja (Platzierung prüfen) | ✅ In kostenpflichtigen Tarifen | ✅ In kostenpflichtigen Tarifen | Kostenlos + kostenpflichtig |
| WP GDPR Compliance | ⚠️ Manuell | ❌ Nein | ❌ Nein | Kostenlos |
Plugin-Preise mit Stand Juni 2026 – aktuelle Preise auf der Website des jeweiligen Anbieters prüfen.
Complianz – Solider EU-Fokus, französische Sprache unterstützt, erstellt eine Cookie-Erklärung. Erfüllt die CNIL-Anforderungen bei korrekter Konfiguration.
Cookiebot – Scannt Ihre Website, kategorisiert Cookies automatisch, blockiert vor der Einwilligung. Stärker automatisierte Erkennung; höhere Kosten.
CookieYes – Grundfunktionen kostenlos, kostenpflichtige Tarife ergänzen automatisches Blockieren und Reporting. Für kleine Websites ausreichend; Platzierung der Schaltfläche „Alle ablehnen“ manuell prüfen.
Was Sie vermeiden sollten: Jedes Plugin, das nur ein Banner anzeigt, ohne Skripte zu blockieren. Das Banner ist nicht die Lösung – die Lösung besteht darin, die Skripte bis zur Einwilligung zu blockieren.
Die Installation eines Consent-Plugins ist der erste Schritt. Es so zu konfigurieren, dass es Tracking-Skripte tatsächlich blockiert, ist der zweite – und genau daran scheitern die meisten Websites.
Für jedes Tracking-Skript auf Ihrer Website müssen Sie Ihrem Consent-Plugin mitteilen, es zu blockieren, bis der Nutzer die entsprechende Kategorie akzeptiert. In den meisten Plugins bedeutet das, den Skript-Tag umzuwandeln:
Vorher (wird sofort ausgelöst, nicht konform):
<script src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXX"></script>
Nachher (bis zur Einwilligung blockiert):
<script type="text/plain" data-category="analytics" src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXX"></script>
Die meisten Consent-Plugins erkennen das type="text/plain" + data-category-Muster und aktivieren das Skript erst, wenn der Besucher in diese Kategorie einwilligt.
Nach der Konfiguration testen: Inkognito öffnen, Reiter „Netzwerk“ öffnen, die Seite ohne Akzeptieren laden. Tracking-Skripte sollten nicht erscheinen. Analyse akzeptieren. Neu laden. Jetzt sollten sie geladen werden. Wenn sie in beiden Zuständen laden, funktioniert die Blockierung nicht.
⚠️ Konflikt mit Cache-Plugins: WP Rocket, W3 Total Cache und ähnliche Caching-Plugins liefern vorab generiertes HTML aus. Nachdem Sie die Skript-Blockierung konfiguriert haben, leeren Sie Ihren gesamten Seiten-Cache und testen Sie erneut im Inkognito-Modus. Jedes Mal, wenn Sie Ihre Consent-Konfiguration ändern, leeren Sie den Cache erneut.
Die CNIL verlangt, dass Ihre Datenschutzerklärung Folgendes enthält:
Die CNIL belangte ein bekanntes Medienunternehmen (eine französische Content-Website) mit erheblichen Bußgeldern (Mai 2023). Die Verstöße:
Es handelte sich um ein Medienunternehmen. Es hatte ein Consent-Banner. Es war nicht korrekt konfiguriert. Das kam dem Unternehmen in Form erheblicher Bußgelder teuer zu stehen.
Die CNIL-Compliance umfasst die Cookie-Einwilligung und den Datenschutz. Das Loi pour la Confiance dans l'Économie Numérique (LCEN, Art. 6) ist eine eigenständige, parallele Pflicht: Jede in Frankreich veröffentlichte oder gehostete Website muss eine Mentions légales-Seite anzeigen.
Erforderlicher Inhalt:
Diese Seite ist von Ihrer Datenschutzerklärung zu unterscheiden. Fehlende oder unvollständige Mentions légales stellen ein eigenständiges rechtliches Versäumnis dar, unabhängig von Ihrer DSGVO-/CNIL-Konfiguration.
Fügen Sie die URL Ihrer WordPress-Website ein. Erhalten Sie einen kostenlosen Scan, der zeigt, was vor der Einwilligung geladen wird, welche rechtlich erforderlichen Seiten fehlen und wo Compliance-Lücken gegenüber den CNIL-Anforderungen bestehen.
Vollständiger PDF-Bericht mit Verweisen auf CNIL-Durchsetzungsentscheidungen und einer Checkliste zur Behebung: €49.
Weiterführende Lektüre:
Quellen: CNIL-Cookie-Leitlinien (September 2020, aktualisiert 2022) · CNIL-Durchsetzungsentscheidungen (Mai 2023, Juni 2023) · DSGVO Artikel 7 (Einwilligungsbedingungen) · ePrivacy-Richtlinie Artikel 5 Abs. 3 · LCEN Art. 6 (Mentions légales)
🩸 – Sitetals Redaktion