Cookie-Banner sieht man heute auf fast jeder kommerziellen Website – aber brauchst du als KMU mit WordPress-Seite wirklich einen? Oder reicht es, lediglich deine Datenschutzerklärung aktuell zu halten?
Genau darum geht es in diesem Beitrag: Consent Management einfach erklärt – speziell für kleine und mittelgroße Unternehmen (KMU), die mit WordPress arbeiten. Ich zeige dir, wann ein Cookie Consent Banner rechtlich erforderlich ist – und wann du dir den Aufwand de facto auch sparen kannst.
Ob Google Analytics, YouTube-Videos, externe Karten, Schriften oder einfache Kontaktformulare: Du bekommst eine klare Übersicht, was du einwilligungspflichtig einbinden darfst – und wie du deine Seite DSGVO-konform und benutzerfreundlich gestaltest.
Disclaimer: Dieser Beitrag ist keineswegs als Rechtsberatung zu verstehen und erhebt schon gar keinen Anspruch auf Vollständigkeit – der Artikel soll dir eine ungefähre Entscheidungsgrundlage auf Basis von Erfahrungswerten (bei der Optimierung von Firmenwebsites unserer KMU-Kunden) liefern.
🟢 Kein Consent-Banner nötig: Technisch notwendig, berechtigtes Interesse & aus erster Hand
Inhalte und Features, wie die folgenden, dürfen auch ohne vorherige Einwilligung des Users geladen werden:
- Login-Cookies, Session-Cookies, Warenkorb-Cookies, Spracheinstellungs-Cookies etc. (soweit “technisch notwendig”)
- Schriftarten, die selbst-gehostet wurden (z.B. lokal eingebundene Google Fonts)
- selbst-gehostete Videos/Bilder (die entweder direkt aus deiner WP-Mediathek kommen oder via FTP auf den Webspace geladen wurden)
- selbst-gehostete Webanalyse-Tools (soweit dementsprechend konfiguriert)
- generell: alle Inhalte, die ohne externe Verbindung bzw. Tracking auskommen
Auch simple Kontaktformulare sind in der Regel nicht direkt einwilligungspflichtig, allerdings solltest Du bzw. dein Unternehmen in der Datenschutzerklärung darauf hinweisen, da Personendaten erhoben und diese verarbeitet werden. Selbiges gilt übrigens generell bei der Verwendung von Cookies (kaum eine moderne Website kommt ganz ohne aus). Du bist zumindest verpflichtet, in geeigneter Form darüber zu informieren.
Zusammenfassend kann man nicht-einwilligungspflichtige Dienst so zusammenfassen:
- Technisch notwendig → klare Ausnahmeregel bei der Einwilligungspflicht
- Berechtigtes Interesse → z. B. Server-Logfiles, zusätzliche Sicherheitsmaßnahmen
- „aus erster Hand“ → z. B. lokal eingebundene Fonts, On-Premise-Tools, keine externe Datenübertragung & Datenverarbeitung
Beschränkt sich das Webangebot also wirklich nur auf oben genannte Dienste? Bei ganz einfach gehaltenen Corporate Websites ist das manchmal der Fall. Dann kannst du auf einen Cookie Consent Banner sicherlich verzichten.
🔴 Consent-Banner erforderlich: Einwilligung vor dem Laden nötig!
Die folgenden Dienste (plakative Beispiele als kleiner Auszug, es gibt da draußen natürlich noch viel mehr davon) dürfen hingegen definitiv erst nach aktiver Zustimmung durch den/die Nutzer:in geladen werden. Es handelt sich um Services, die sich auf vielen KMU-Website wiederfinden und ich behaupte mal, die Wahrscheinlichkeit ist groß, dass dein Unternehmen irgendwas davon nutzt derzeit:
🍪 Cookies & Tracking
- Google Analytics, Google Tag Manager (mit Tracking)
- Facebook Pixel / Meta Conversion API
- Hotjar, Mouseflow etc.
- LinkedIn Insight Tag
- Google Ads Remarketing
🌍 Externe Medien & Dienste
- reCaptcha-Spamschutz (aus meiner Sicht fallweise jedoch technisch notwendig – nicht alle kostenpflichtigen Alternativen am Markt sind für Kleinunternehmer:innen zumutbar)
- Vimeo- oder YouTube-Videos (wenn nicht per 2-Klick-Lösung eingebunden)
- Google Maps (wobei es auch hier gute DSGVO-konforme 2-Klick-Lösungen gibt)
- Social Walls & andere Social Media Widgets (wie z.B. elfsight)
💬 Werbung & Retargeting
- DoubleClick / Google Ads / AdSense
- Meta Ads, TikTok Ads, LinkedIn Ads (bei dementsprechender Konfiguration mit Conversion Tracking)
- Affiliate-Links mit Trackingparametern (je nach Gestaltung)
🟡 Graubereiche: Vorsicht bei der Konfiguration
Folgende Faktoren sind meiner Meinung nach – zumindest hier in Österreich – rechtlich betrachtet eine ziemliche Grauzone. Man könnte so oder so argumentieren. Am Ende des Tages kommt es auf die Detailkonfiguration, die vorgenommen wurde (oder auch nicht 😉), an:
- Google Fonts: wenngleich der unsägliche “Abmahn-Anwalt” aus der Causa Google Fonts in Vertretung seiner “Mandantin” kläglich gescheitert ist – besser lokal hosten, wenn man auf Nummer sicher gehen will
- Kontaktformulare mit erweitertem Spamschutz: Achtung, kommt oft von Drittanbietern, ggf. auf datenschutzfreundlichere Alternativen umsteigen bzw. jedenfalls in der Datenschutzerklärung darauf hinweisen
- statische Social Media Feeds/Widgets: immer im Einzelfall prüfen, ob tatsächlich erst bei aktiven Klick eine Datenverbindung zum Social Network entsteht und sowieso in der Datenschutzerklärung darauf hinweisen
- CDNs: bei Content Delivery Networks können IP-Adressen übertragen werden
- einfache Webanalyse-Tools: können grundsätzlich auch völlig anonymisiert arbeiten, aber das ist meist Einstellungssache
✅ Best Practices für KMU mit WordPress
- Nutze ein DSGVO-konformes Consent Tool welches auch eine Einwilligungshistorie beinhaltet (wir setzen z.B. auf Borlabs Cookie, da es immer gut an rechtliche Notwendigkeiten angepasst ist und funktional gut weiterentwickelt wird)
- Verwende eine 2-Klick-Lösung für externe Einbindungen, bei der die Drittanbieter-Inhalte erst nach Aktivierung durch den User angezeigt werden (Tools wie Borlabs können genau das in vielen Fällen für dich automatisieren)
- Konfiguriere einwilligungspflichtige Services deiner Website so, dass sie erst nach Einwilligung durch den User effektiv geladen werden
- Halte deine Datenschutzerklärung möglichst aktuell
- Dokumentiere Consent-Einstellungen regelmäßig, idealerweise verfügst du auch über eine Historie aller getätigten Einwilligungen deiner User
Du bist dir unsicher, ob Eure WordPress-Website alle Anforderungen rund ums Consent Management erfüllt? Wir unterstützen gerne als unabhängiger Dienstleister dabei, dein Setup unter die Lupe zu nehmen – vom Design, über Inhalte bis zu den eingesetzten Tools/Services. Gemeinsam stellen wir sicher, dass deine Website nicht nur optisch überzeugt, sondern auch datenschutzmäßig sauber aufgestellt ist.
👉 Jetzt unverbindlich anfragen – wir beraten dich gerne!
