So funktioniert's Was wir prüfen Preise Artikel Über uns Kostenloser Scan →
WordPress-CNIL-Compliance 2026
← Alle Artikel WordPress · CNIL ⏱ 8 Min. Lesezeit Aktualisiert am 27. Juni 2026

WordPress-Compliance nach CNIL 2026: Was französische Website-Betreiber tun müssen

WordPress betreibt rund 40 % aller Websites. Die CNIL – Frankreichs Datenschutzbehörde – hat die Cookie-Einwilligung auf Websites seit 2021 zu einer ihrer obersten Durchsetzungsprioritäten gemacht. Diese beiden Fakten steuern auf eine Kollision zu.

Wenn Ihre WordPress-Website ein französisches Publikum hat, fallen Sie in den Zuständigkeitsbereich der CNIL. Das ist nicht bloß theoretisch: Die CNIL hat bereits Verlage, Händler und B2B-Softwareunternehmen – allesamt mit Standard-WordPress-Setups – für Verstöße belangt, die Sie an einem Nachmittag beheben können.

Dieser Leitfaden zeigt Ihnen genau, was die CNIL verlangt, welche Plugins sich lohnen und woran die meisten WordPress-Websites scheitern.

⚠️ Haftungsausschluss: Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Die Vorgaben der CNIL entwickeln sich weiter. Wenden Sie sich für konkrete Beratung an eine qualifizierte Anwältin oder einen qualifizierten Anwalt.


Warum WordPress-Websites bei CNIL-Prüfungen durchfallen

Das Vorgehen der CNIL bei der Durchsetzung ist konsistent. Die Behörde achtet auf drei Versäumnisse, in etwa in dieser Reihenfolge:

  1. Cookies werden vor der Einwilligung gesetzt. Google Analytics, Meta Pixel, LinkedIn Insight Tag – auf den meisten WordPress-Websites werden sie alle standardmäßig beim Laden der Seite ausgelöst. Ein Consent-Banner allein behebt das nicht, sofern das Banner nicht auch die Skripte blockiert.
  2. Cookies abzulehnen ist schwerer als sie zu akzeptieren. Die CNIL-Leitlinien von 2021 sind eindeutig: Das Ablehnen der Einwilligung muss genauso einfach sein wie das Akzeptieren. Ein Banner mit einer großen Schaltfläche „Alle akzeptieren“ ohne gleichwertige Schaltfläche „Alle ablehnen“ ist nicht konform. Die CNIL hat bereits allein dafür Bußgelder verhängt.
  3. Die Datenschutzerklärung ist unvollständig. Die CNIL verlangt die Offenlegung jedes externen Auftragsverarbeiters, der Rechtsgrundlage für jede Verarbeitungstätigkeit sowie der Speicherfristen. Eine allgemeine Seite nach dem Motto „Wir verwenden Cookies“ reicht nicht aus.

Schritt 1: Prüfen, was vor der Einwilligung läuft

Bevor Sie Ihr Cookie-Banner anfassen, finden Sie heraus, was tatsächlich geladen wird.

So prüfen Sie: Öffnen Sie Ihre Website in einem Inkognito-Fenster. Öffnen Sie die Entwicklertools des Browsers (F12 → Reiter „Netzwerk“). Laden Sie die Seite, ohne Cookies zu akzeptieren. Filtern Sie nach Anfragen an Drittanbieter. Jede externe Anfrage, die ausgelöst wird, bevor Sie irgendetwas anklicken, kann gegen die CNIL-Vorgaben verstoßen.

Häufige Übeltäter auf WordPress-Websites:

Wenn eines davon vor der Einwilligung geladen wird – auf einer Website mit französischem Publikum –, haben Sie ein CNIL-Problem.

Führen Sie einen kostenlosen Sitetals-Scan durch, um einen strukturierten Bericht darüber zu erhalten, was auf Ihrer Website vor der Einwilligung geladen wird.

⚠️ Warnung zu Google Site Kit: Wenn Sie GA4 über Site Kit (Googles offizielles WordPress-Plugin) installiert haben, fügt es möglicherweise GA4-Skripte direkt in Ihre Seite ein – unabhängig von Ihrem Consent-Plugin. Überprüfen Sie in den Chrome DevTools, dass gtag keine Anfragen vor der Einwilligung ausgelöst werden, selbst wenn Site Kit aktiv ist.


Schritt 2: Ein CNIL-konformes Cookie-Banner installieren

Nicht alle Cookie-Consent-Plugins sind CNIL-konform. Die wichtigsten Anforderungen:

WordPress-Plugin-Optionen

Plugin Schaltfläche „Alle ablehnen“ Blockiert Skripte automatisch Einwilligungsprotokoll Preis
Complianz ✅ Konfigurierbar ✅ Ja ✅ Ja €59/Jahr
Cookiebot ✅ Ja ✅ Ja ✅ Ja Ab €9/Monat
CookieYes ✅ Ja (Platzierung prüfen) ✅ In kostenpflichtigen Tarifen ✅ In kostenpflichtigen Tarifen Kostenlos + kostenpflichtig
WP GDPR Compliance ⚠️ Manuell ❌ Nein ❌ Nein Kostenlos

Plugin-Preise mit Stand Juni 2026 – aktuelle Preise auf der Website des jeweiligen Anbieters prüfen.

Complianz – Solider EU-Fokus, französische Sprache unterstützt, erstellt eine Cookie-Erklärung. Erfüllt die CNIL-Anforderungen bei korrekter Konfiguration.

Cookiebot – Scannt Ihre Website, kategorisiert Cookies automatisch, blockiert vor der Einwilligung. Stärker automatisierte Erkennung; höhere Kosten.

CookieYes – Grundfunktionen kostenlos, kostenpflichtige Tarife ergänzen automatisches Blockieren und Reporting. Für kleine Websites ausreichend; Platzierung der Schaltfläche „Alle ablehnen“ manuell prüfen.

Was Sie vermeiden sollten: Jedes Plugin, das nur ein Banner anzeigt, ohne Skripte zu blockieren. Das Banner ist nicht die Lösung – die Lösung besteht darin, die Skripte bis zur Einwilligung zu blockieren.


Schritt 3: Skript-Blockierung korrekt konfigurieren

Die Installation eines Consent-Plugins ist der erste Schritt. Es so zu konfigurieren, dass es Tracking-Skripte tatsächlich blockiert, ist der zweite – und genau daran scheitern die meisten Websites.

Für jedes Tracking-Skript auf Ihrer Website müssen Sie Ihrem Consent-Plugin mitteilen, es zu blockieren, bis der Nutzer die entsprechende Kategorie akzeptiert. In den meisten Plugins bedeutet das, den Skript-Tag umzuwandeln:

Vorher (wird sofort ausgelöst, nicht konform):

<script src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXX"></script>

Nachher (bis zur Einwilligung blockiert):

<script type="text/plain" data-category="analytics" src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXX"></script>

Die meisten Consent-Plugins erkennen das type="text/plain" + data-category-Muster und aktivieren das Skript erst, wenn der Besucher in diese Kategorie einwilligt.

Nach der Konfiguration testen: Inkognito öffnen, Reiter „Netzwerk“ öffnen, die Seite ohne Akzeptieren laden. Tracking-Skripte sollten nicht erscheinen. Analyse akzeptieren. Neu laden. Jetzt sollten sie geladen werden. Wenn sie in beiden Zuständen laden, funktioniert die Blockierung nicht.

⚠️ Konflikt mit Cache-Plugins: WP Rocket, W3 Total Cache und ähnliche Caching-Plugins liefern vorab generiertes HTML aus. Nachdem Sie die Skript-Blockierung konfiguriert haben, leeren Sie Ihren gesamten Seiten-Cache und testen Sie erneut im Inkognito-Modus. Jedes Mal, wenn Sie Ihre Consent-Konfiguration ändern, leeren Sie den Cache erneut.


Schritt 4: Aktualisieren Sie Ihre Datenschutzerklärung

Die CNIL verlangt, dass Ihre Datenschutzerklärung Folgendes enthält:


Wie eine CNIL-Durchsetzungsmaßnahme aussieht

Die CNIL belangte ein bekanntes Medienunternehmen (eine französische Content-Website) mit erheblichen Bußgeldern (Mai 2023). Die Verstöße:

Es handelte sich um ein Medienunternehmen. Es hatte ein Consent-Banner. Es war nicht korrekt konfiguriert. Das kam dem Unternehmen in Form erheblicher Bußgelder teuer zu stehen.


Mentions légales – die LCEN-Pflicht

Die CNIL-Compliance umfasst die Cookie-Einwilligung und den Datenschutz. Das Loi pour la Confiance dans l'Économie Numérique (LCEN, Art. 6) ist eine eigenständige, parallele Pflicht: Jede in Frankreich veröffentlichte oder gehostete Website muss eine Mentions légales-Seite anzeigen.

Erforderlicher Inhalt:

Diese Seite ist von Ihrer Datenschutzerklärung zu unterscheiden. Fehlende oder unvollständige Mentions légales stellen ein eigenständiges rechtliches Versäumnis dar, unabhängig von Ihrer DSGVO-/CNIL-Konfiguration.


Schnelle Compliance-Checkliste für WordPress


Führen Sie Ihre kostenlose CNIL-Compliance-Prüfung durch

Fügen Sie die URL Ihrer WordPress-Website ein. Erhalten Sie einen kostenlosen Scan, der zeigt, was vor der Einwilligung geladen wird, welche rechtlich erforderlichen Seiten fehlen und wo Compliance-Lücken gegenüber den CNIL-Anforderungen bestehen.

Kostenloser Scan unter Sitetals

Vollständiger PDF-Bericht mit Verweisen auf CNIL-Durchsetzungsentscheidungen und einer Checkliste zur Behebung: €49.


Weiterführende Lektüre:


Quellen: CNIL-Cookie-Leitlinien (September 2020, aktualisiert 2022) · CNIL-Durchsetzungsentscheidungen (Mai 2023, Juni 2023) · DSGVO Artikel 7 (Einwilligungsbedingungen) · ePrivacy-Richtlinie Artikel 5 Abs. 3 · LCEN Art. 6 (Mentions légales)

🩸 – Sitetals Redaktion