In den letzten Monaten hat unser Team E-Mails von WordPress-Benutzern erhalten, die sich nach der ePrivacy-Richtlinie erkundigen.

Die meisten Leute kennen zu diesem Zeitpunkt die DSGVO, aber die ePrivacy-Richtlinie ist die Verordnung, die Ihnen genau vorschreibt, was Sie bezüglich Cookies tun müssen.

Die Verwirrung ist verständlich. Es gibt mehrere EU-Datenschutzgesetze, die sich alle zu überschneiden scheinen, und die Namen helfen nicht.

Aber hier ist, was Sie wissen müssen: Wenn Sie Besucher aus Europa haben und irgendeine Art von Tracking auf Ihrer Website verwenden, gilt die ePrivacy-Richtlinie für Sie. Und zu verstehen, was sie erfordert, ist nicht so kompliziert, wie der juristische Jargon es klingen lässt.

In diesem Artikel zeige ich Ihnen, was die ePrivacy-Richtlinie ist und was WordPress-Besitzer wissen müssen. Sie können die untenstehenden Links verwenden, um zu Ihrem bevorzugten Abschnitt zu springen.

Was ist die ePrivacy-Richtlinie?

Die ePrivacy-Richtlinie ist ein EU-Gesetz aus dem Jahr 2002, das 2009 aktualisiert wurde und speziell die elektronische Kommunikation regelt. Während die DSGVO personenbezogene Daten im Allgemeinen abdeckt, konzentriert sich ePrivacy auf Dinge wie Cookies, E-Mail-Marketing und die Vertraulichkeit der Kommunikation.

Wenn Leute über „das Cookie-Gesetz“ sprechen, meinen sie das. Die ePrivacy-Richtlinie ist die Verordnung, die besagt, dass Sie nicht einfach Tracking-Cookies auf dem Browser einer Person platzieren können, ohne vorher zu fragen. Deshalb hat jede Website, die Sie besuchen, jetzt ein Cookie-Banner.

Der Grund, warum sowohl die DSGVO als auch ePrivacy für Cookies gelten, ist, dass sie dasselbe Problem aus verschiedenen Blickwinkeln betrachten. Die DSGVO besagt, dass Sie eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten benötigen, und Tracking-Cookies sammeln personenbezogene Daten.

ePrivacy besagt, dass Sie die Zustimmung benötigen, bevor Sie Informationen auf dem Gerät einer Person speichern oder darauf zugreifen, was genau Cookies tun. Beide Gesetze gelten also, und die Einhaltung eines Gesetzes bedeutet nicht automatisch, dass Sie auch das andere einhalten.

Nun wollen wir uns den Unterschied zwischen der ePrivacy-Richtlinie und der DSGVO ansehen.

Wie sich die ePrivacy-Richtlinie von der DSGVO unterscheidet

Die Beziehung zwischen diesen beiden Gesetzen ist für viele Menschen verwirrend, also lassen Sie uns das klären.

Die DSGVO ist eine Verordnung, was bedeutet, dass sie in allen EU-Mitgliedstaaten auf die gleiche Weise direkt gilt. ePrivacy ist eine Richtlinie, was bedeutet, dass jedes EU-Land sie durch sein eigenes nationales Recht umsetzt.

Deshalb hören Sie vielleicht von der CNIL in Frankreich, dem TTDSG in Deutschland oder der Garante in Italien. Sie alle setzen die ePrivacy-Richtlinie um, aber mit einigen lokalen Variationen.

Das praktische Ergebnis ist, dass die Kernanforderung, die Zustimmung vor nicht essenziellen Cookies, überall gleich ist, aber die Durchsetzung und spezifische Interpretationen von Land zu Land variieren.

Frankreich war besonders aggressiv bei der Durchsetzung von Cookie-Regeln. Deutschland verlangt eine sehr ausdrückliche Zustimmung. Die Niederlande haben eine strenge Durchsetzung. Wenn Ihre Website Besucher aus mehreren EU-Ländern hat, sind Sie mit der strengsten Auslegung überall sicher.

Was die ePrivacy-Richtlinie für Ihre Website erfordert

Die Kernanforderung ist unkompliziert: Bevor Sie nicht wesentliche Cookies auf dem Gerät eines Besuchers setzen, benötigen Sie dessen Zustimmung.

Und Zustimmung nach der ePrivacy bedeutet dasselbe wie nach der DSGVO. Jemand muss aktiv zustimmen. Sie müssen wissen, wozu sie zustimmen. Und sie müssen ihre Meinung später ändern können.

Das bedeutet einige Dinge, die Sie auf Ihrer Website benötigen werden:

• Verwendet Ihre Website Cookies? Sie müssen den Besuchern eine klare Erklärung zeigen, welche Cookies Sie verwenden und warum. Hier ist die Anzeige einer Cookie-Richtlinie hilfreich.
• Können Benutzer Cookies akzeptieren/ablehnen? Sie müssen ihnen eine echte Wahl geben, bei der Akzeptieren und Ablehnen gleichermaßen einfach sind.
• Können Sie nicht wesentliche Cookies vor der Zustimmung blockieren? Dies ist der Teil, den viele Websites falsch machen. Sie müssen nicht wesentliche Cookies tatsächlich blockieren, bis jemand zustimmt. Nur ein Banner anzuzeigen, während Ihre Analyse- und Marketing-Tools bereits verfolgen, ist nicht konform.

Andererseits gibt es Ausnahmen. Streng notwendige Cookies erfordern keine Zustimmung, da Ihre Website ohne sie nicht funktionieren kann. Wenn jemand etwas in einen Einkaufswagen legt, benötigen Sie einen Cookie, um sich daran zu erinnern.

Ebenso, wenn sich jemand anmeldet, benötigen Sie einen Cookie, um ihn angemeldet zu halten. Diese wesentlichen Cookies sind ohne Zustimmung in Ordnung. Aber sobald Sie Google Analytics, Facebook Pixel oder ein beliebiges Drittanbieter-Tracking hinzufügen, erfordern diese eine Zustimmung, bevor sie ausgeführt werden können.

Nun wollen wir uns ansehen, wie Sie die ePrivacy-Richtlinie in WordPress einhalten können.

Machen Sie Ihre Website konform mit der ePrivacy-Richtlinie

Wenn Sie eine WordPress-Website mit EU-Besuchern betreiben, müssen Sie Folgendes tun.

Sie benötigen eine Art Cookie-Zustimmungssystem. Das bedeutet ein Banner oder Popup, das erscheint, wenn jemand zum ersten Mal besucht, erklärt, dass Sie Cookies verwenden und ihm eine echte Wahl gibt, zu akzeptieren oder abzulehnen. Sie müssen auch Ihre Tracking-Skripte blockieren, bis die Zustimmung erteilt wurde.

Als Nächstes müssen Sie es den Besuchern ermöglichen, ihre Meinung zu ändern. Normalerweise bedeutet dies einen Link in Ihrer Fußzeile, um auf Cookie-Einstellungen zuzugreifen. Wenn jemand letzte Woche Cookies akzeptiert hat und diese Zustimmung nun widerrufen möchte, sollte er dies einfach tun können.

Und Sie sollten Aufzeichnungen über die Zustimmung führen. Wenn ein Aufsichtsbeamter jemals fragt, wie Sie die Zustimmung handhaben, hilft eine Dokumentation. Die meisten Zustimmungstools erledigen dies automatisch.

Hier erfahren Sie, wie Sie all dies auf Ihrer WordPress-Website implementieren können.

1. Verwenden Sie ein WordPress Cookie-Management-Plugin

Die ePrivacy-Richtlinie verlangt, dass Sie den Besuchern klare Informationen über Cookies geben und deren Zustimmung einholen, bevor nicht wesentliche Cookies platziert werden. Die manuelle Verwaltung ist fehleranfällig, daher benötigen Sie ein Plugin, das die technische Seite automatisch handhabt.

Deshalb empfehle ich für diesen Prozess die Verwendung von WPConsent. Es ist das beste Cookie-Consent-Management-Plugin für WordPress und kümmert sich um Consent-Management, Cookie-Blockierung, Consent-Banner, Consent-Protokolle und mehr, die alle direkt den Anforderungen der ePrivacy-Richtlinie entsprechen.

Was WPConsent von anderen SaaS-Cookie-Hinweis-Lösungen unterscheidet, ist, dass es ein selbst gehostetes WordPress-Cookie-Consent-Plugin ist. Das bedeutet, Sie behalten die volle Kontrolle über Ihre Daten und können es auf unbegrenzten Seiten oder Seitenaufrufen ausführen, im Gegensatz zu anderer Cookie-Software, die nach dem Traffic-Volumen berechnet wird.

Das Plugin ist sehr einfach einzurichten und zu verwenden und bietet einen Setup-Assistenten, der Sie durch jeden Schritt der Konfiguration führt.

Sie können mit WPConsent Pro beginnen, das erweiterte Funktionen wie eine vorgefertigte Service-Bibliothek, mehrsprachige Unterstützung, Geolocation-Regeln und ein Do Not Sell-Add-on enthält. Es gibt auch eine kostenlose WPConsent Lite-Version.

2. Scannen Sie Ihre Website nach Cookies und Tracking-Skripten

Bevor Sie die ePrivacy-Richtlinie einhalten können, müssen Sie genau wissen, welche Cookies Ihre Website setzt. Die Richtlinie verlangt, dass Sie diese Informationen den Nutzern mitteilen, bevor sie zustimmen. Daher ist ein genaues Cookie-Audit ein entscheidender erster Schritt.

WPConsent enthält einen integrierten Scanner, der automatisch Cookies und Tracking-Skripte auf Ihrer gesamten Website erkennt. Während des Setup-Assistenten führt WPConsent einen ersten Scan durch. Sie können ihn auch manuell ausführen, indem Sie in Ihrem WordPress-Dashboard zu WPConsent » Scanner gehen und auf Website scannen klicken.

Standardmäßig scannt das Plugin Ihre Homepage, aber Sie können zusätzliche Seiten wie Ihre Checkout-Seite, Kontaktseite oder Ihren Warenkorb auswählen, um sicherzustellen, dass keine Cookies übersehen werden.

Sobald der Scan abgeschlossen ist, sehen Sie einen detaillierten Bericht mit nach Kategorien geordneten Cookies. Gemäß der ePrivacy-Richtlinie ist diese Kategorisierung besonders wichtig:

• Essenzielle Cookies – diese sind von den Zustimmungsanforderungen ausgenommen, da sie für die Funktion der Website unerlässlich sind (z. B. Sitzungs-Cookies, Warenkorb-Cookies).
• Statistik-Cookies – diese erfordern die vorherige Zustimmung, bevor sie gesetzt werden (z. B. Google Analytics).
• Marketing-Cookies – diese erfordern die vorherige, ausdrückliche Zustimmung, bevor sie gesetzt werden (z. B. Facebook Pixel).

WPConsent kategorisiert erkannte Cookies automatisch in diese Gruppen, sodass Sie auf einen Blick sehen können, was eine Zustimmung erfordert.

3. Blockieren Sie das Laden nicht essenzieller Cookies vor der Zustimmung

Dies ist die wichtigste technische Anforderung der ePrivacy-Richtlinie: Nicht essenzielle Cookies dürfen nicht auf dem Gerät eines Besuchers platziert werden, bevor dieser aktiv zugestimmt hat.

Vorausgewählte Kontrollkästchen oder stillschweigende Zustimmung sind nicht ausreichend. Die Zustimmung des Nutzers muss eine klare, affirmative Handlung sein. WPConsent handhabt dies automatisch durch seine Skriptblockierungsfunktion, die verhindert, dass nicht essenzielle Skripte geladen werden, bis der Besucher ausdrücklich zugestimmt hat.

Automatische Konfiguration der Cookie-Blockierung

Klicken Sie im Abschnitt "Detaillierter Bericht" ganz nach unten und stellen Sie sicher, dass das Kontrollkästchen „Bekannte Skripte am Setzen von Cookies vor der Zustimmung verhindern“ aktiviert ist.

Klicken Sie dann auf die Schaltfläche Cookies automatisch konfigurieren. Dies stellt sicher, dass Analyse-, Werbe- und andere nicht wesentliche Skripte zurückgehalten werden, bis die Zustimmung erteilt wird.

Weitere Details finden Sie in unserem Leitfaden zum Blockieren von Drittanbieter-Cookies in WordPress.

Eingebettete Inhalte vor der Zustimmung blockieren

Die ePrivacy-Richtlinie gilt auch für eingebettete Inhalte von Drittanbietern wie YouTube-Videos, Google Maps und reCAPTCHA, die alle Cookies setzen können, sobald sie geladen werden.

Die Inhaltsblockierungsfunktion von WPConsent verhindert das Laden dieser iframes, bis ein Besucher zustimmt. Zum Beispiel wird ein YouTube-Video einen Platzhalter anzeigen, anstatt zu laden, und wird erst abgespielt, wenn der Besucher zum Akzeptieren klickt oder über das Cookie-Banner zustimmt.

4. Cookie-Zustimmungsbanner einrichten

Gemäß der ePrivacy-Richtlinie muss Ihr Zustimmungsbanner bestimmte Anforderungen erfüllen, um gültig zu sein:

• Die Zustimmung muss freiwillig erfolgen – die Ablehnung von Cookies muss genauso einfach sein wie die Annahme.
• Die Zustimmung muss informiert erfolgen – Besucher müssen wissen, wozu sie zustimmen, bevor sie zustimmen.
• Die Zustimmung muss spezifisch sein – Benutzer sollten in der Lage sein, verschiedene Cookie-Kategorien separat zu akzeptieren oder abzulehnen.
• Die Zustimmung muss eine klare affirmative Handlung sein – vorab angekreuzte Kästchen oder „Zustimmung durch Scrollen“ sind nicht gültig.

WPConsent macht es einfach, ein Banner zu erstellen, das all diese Anforderungen erfüllt. Es bietet mehrere vordefinierte Vorlagen (langes Banner, schwebendes Banner und modales Banner), die Sie am oberen oder unteren Rand der Seite positionieren können.

Stellen Sie vor allem sicher, dass Ihr Banner Folgendes enthält:

• Eine klare Akzeptieren-Schaltfläche für alle nicht wesentlichen Cookies.
• Eine ebenso prominente Ablehnen-Schaltfläche. Dies ist eine wichtige ePrivacy-Anforderung, die viele Websites falsch machen.
• Eine Option Präferenzen verwalten, damit Besucher einigen Cookie-Kategorien zustimmen können, anderen jedoch nicht.

Sie können die Hintergrundfarbe, Textfarbe, Schaltflächengestaltung und Nachrichten des Banners an das Branding Ihrer Website anpassen.

Weitere Informationen finden Sie in unserem detaillierten Leitfaden zum Erstellen eines Cookie-Zustimmungsbanners in WordPress.

WPConsent unterstützt auch mehrsprachige Banner, die besonders nützlich sind, wenn Ihre Website Besucher aus mehreren Ländern bedient. Sie können die KI-gestützte automatische Übersetzungsfunktion verwenden, um das Cookie-Banner und die Einstellungen in der Muttersprache Ihrer Besucher anzuzeigen.

5. Cookie-Richtlinien-Seite hinzufügen

Die ePrivacy-Richtlinie verlangt, dass Sie den Nutzern klare, zugängliche Informationen über die Cookies, die Ihre Website verwendet, zur Verfügung stellen, bevor sie zustimmen. Eine spezielle Cookie-Richtlinien-Seite erfüllt diese Anforderung.

Ihre Cookie-Richtlinie sollte Folgendes abdecken:

• Welche Cookies Ihre Website verwendet und deren Namen.
• Der Zweck jedes Cookies (zwingend erforderlich, Analyse, Marketing usw.).
• Ob die Cookies First-Party oder Third-Party sind.
• Wie lange jeder Cookie gültig ist (Sitzung vs. persistent).
• Wie Nutzer ihre Zustimmung jederzeit widerrufen können.

WPConsent macht dies einfach. Gehen Sie zu WPConsent » Einstellungen, scrollen Sie zum Abschnitt Cookie-Richtlinie und klicken Sie auf Cookie-Richtlinien-Seite generieren. Das Plugin erstellt automatisch eine Seite, die alle während des Scans erkannten Cookies auflistet, und spart Ihnen somit erheblich Zeit.

Sie sollten auch sicherstellen, dass Ihre bestehende Datenschutzerklärung Ihre Verwendung von Cookies erwähnt und auf die Cookie-Richtlinie verlinkt.

WordPress enthält ein integriertes Tool für Datenschutzerklärungen unter Einstellungen » Datenschutz, das eine Vorlage für den Einstieg bietet, die Sie anpassen können.

6. Aufzeichnungen über die Zustimmung der Nutzer führen

Während die Aufzeichnung der Zustimmung unter der DSGVO expliziter betont wird, gilt sie auch gemäß der ePrivacy-Richtlinie als bewährte Praxis. Und in vielen Gerichtsbarkeiten erwarten Regulierungsbehörden, dass Sie nachweisen können, dass eine gültige Zustimmung eingeholt wurde, wenn Sie angefochten werden.

WPConsent kümmert sich automatisch durch sein System zur Protokollierung der Zustimmung darum. Sie müssen es zuerst aktivieren, indem Sie zur Einstellungsseite gehen.

Sobald dies erledigt ist, gehen Sie in Ihrem WordPress-Dashboard zu WPConsent » Zustimmungsprotokolle, um alle gesammelten Zustimmungsdaten seit der Aktivierung anzuzeigen, einschließlich Zeitstempel und der spezifischen Entscheidungen, die jeder Besucher getroffen hat.

Sie können Zustimmungsdatensätze auch als CSV-Dateien exportieren, für Compliance-Berichte oder als Reaktion auf behördliche Anfragen. Dies gibt Ihnen eine zuverlässige Audit-Trail, die zeigt, dass nicht wesentliche Cookies nicht ohne vorherige Zustimmung platziert wurden – die Kernverpflichtung der ePrivacy-Richtlinie.

Gängige Cookies, die eine Zustimmung erfordern

Google Analytics ist wahrscheinlich das häufigste. Die von ihm gesetzten _ga- und _gid-Cookies verfolgen das Verhalten der Besucher, und das erfordert gemäß ePrivacy eine Zustimmung. Dasselbe gilt für Facebook Pixel mit seinem _fbp-Cookie, Google Ads-Tracking und allen anderen Analyse- oder Werbetools.

Third-Party-Einbettungen setzen oft auch Cookies. Wenn Sie ein YouTube-, Dailymotion- oder Vimeo-Video auf Ihrer Website eingebettet haben, können diese Besucher verfolgen.

Dasselbe gilt für Social-Media-Buttons, Chat-Widgets und eingebettete Karten. Diese erfordern im Allgemeinen eine Zustimmung, da sie von Drittanbietern stammen und für die Funktionalität Ihrer Website nicht unbedingt erforderlich sind.

Die Cookies, die keine Zustimmung benötigen, sind diejenigen, die für die Funktionsweise Ihrer Website wirklich unerlässlich sind. Warenkorb-Cookies in WooCommerce, Login-Sitzungs-Cookies, Sicherheits-Cookies und First-Party-Cookies, die Benutzereinstellungen wie Spracheinstellungen speichern. Diese gelten als zwingend erforderlich und können ohne Zustimmung gesetzt werden.

Die ePrivacy-Verordnung: Was kommt auf uns zu

Die EU arbeitet an einer ePrivacy-Verordnung als Ersatz für die Richtlinie. Wenn sie verabschiedet wird, wäre sie wie die DSGVO in allen EU-Ländern direkt anwendbar, mit strengeren Anforderungen und Strafen auf DSGVO-Niveau. Sie verzögert sich seit Jahren und könnte dies auch weiterhin tun, aber die Richtung geht in Richtung strengerer Durchsetzung, nicht lockerer.

Das bedeutet praktisch, dass Sie, wenn Sie jetzt mit ordnungsgemäßer Opt-in-Zustimmung konform sind, auf der sicheren Seite sind. Wenn Sie Abstriche machen, werden zukünftige Vorschriften Sie wahrscheinlich einholen.

FAQs zur ePrivacy-Richtlinie

Hier sind einige häufig gestellte Fragen zur ePrivacy-Richtlinie.

1. Ist ePrivacy dasselbe wie die DSGVO?

Nein, es sind unterschiedliche Gesetze. Die DSGVO deckt die gesamte Verarbeitung personenbezogener Daten ab. ePrivacy deckt speziell die elektronische Kommunikation ab, einschließlich Cookies. Beide gelten für Cookies, aber aus unterschiedlichen Blickwinkeln. Die Einhaltung des einen bedeutet nicht automatisch, dass Sie die Einhaltung des anderen erfüllen.

2. Benötige ich für alle Cookies eine Zustimmung?

Nein. Streng notwendige Cookies, die für die Funktion Ihrer Website unerlässlich sind, erfordern keine Zustimmung. Analyse- und Marketing-Cookies erfordern eine Zustimmung.

3. Was passiert, wenn ich nicht konform bin?

Sie riskieren Geldstrafen von der Datenschutzbehörde in dem EU-Land, das Maßnahmen ergreift. Verstöße gegen ePrivacy gelten oft auch als DSGVO-Verstöße, die Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes nach sich ziehen können.

4. Gilt ePrivacy, wenn ich nicht in der EU bin?

ePrivacy gilt, wenn Sie EU-Besucher ansprechen oder in der EU niedergelassen sind. Wenn Ihre Website Besucher aus Europa hat, sollten Sie unabhängig von Ihrem Standort konform sein.

5. Was ist der Unterschied zwischen der ePrivacy-Richtlinie und der ePrivacy-Verordnung?

Die Richtlinie ist das aktuelle Gesetz, das durch nationale Gesetzgebung in jedem EU-Land umgesetzt wird. Die Verordnung ist ein vorgeschlagener Ersatz, der direkt in allen EU-Ländern mit strengeren Anforderungen gelten würde. Die Verordnung hat sich verzögert, wird aber immer noch irgendwann erwartet.

Ich hoffe, dieser Artikel hat Ihnen geholfen, die ePrivacy-Richtlinie zu verstehen und was WordPress-Website-Besitzer wissen müssen. Möglicherweise möchten Sie auch unsere Anleitungen zu WordPress und CCPA-Compliance und LGPD-Compliance für WordPress-Websites sehen.

Wenn Ihnen dieser Artikel gefallen hat, folgen Sie uns bitte auf X (ehemals Twitter). Sie können auch unten einen Kommentar hinterlassen, wenn Sie Hilfe benötigen.