In den letzten Monaten hat unser Team E-Mails von WordPress-Nutzern erhalten, die Fragen zur ePrivacy-Richtlinie hatten.

Die meisten Menschen kennen mittlerweile die DSGVO, aber die ePrivacy-Richtlinie ist die Verordnung, die Ihnen konkret vorschreibt, wie Sie mit Cookies umgehen müssen.

Die Verwirrung ist verständlich. Es gibt mehrere EU-Datenschutzgesetze, die sich alle zu überschneiden scheinen, und die Bezeichnungen sind auch nicht gerade hilfreich.

Aber hier ist, was Sie wissen müssen: Wenn Sie Besucher aus Europa haben und irgendeine Art von Tracking auf Ihrer Website verwenden, gilt die ePrivacy-Richtlinie für Sie. Und zu verstehen, was sie verlangt, ist gar nicht so kompliziert, wie es die juristische Fachsprache vermuten lässt.

In diesem Artikel erkläre ich Ihnen, was die ePrivacy-Richtlinie ist und was WordPress-Betreiber darüber wissen müssen. Über die folgenden Links gelangen Sie direkt zum gewünschten Abschnitt.

Was ist die ePrivacy-Richtlinie?

Die ePrivacy-Richtlinie ist ein EU-Gesetz aus dem Jahr 2002, das 2009 aktualisiert wurde und speziell die elektronische Kommunikation regelt. Während die DSGVO personenbezogene Daten allgemein abdeckt, konzentriert sich die ePrivacy-Richtlinie auf Aspekte wie Cookies, E-Mail-Marketing und die Vertraulichkeit der Kommunikation.

Wenn Leute über das „Cookie-Gesetz“ sprechen, meinen sie genau das. Die ePrivacy-Richtlinie ist die Vorschrift, die besagt, dass man nicht einfach Tracking-Cookies auf dem Browser einer Person platzieren darf, ohne vorher um Erlaubnis zu fragen. Deshalb gibt es jetzt auf jeder Website, die Sie besuchen, einen Cookie-Banner.

Der Grund, warum sowohl die DSGVO als auch die ePrivacy-Verordnung für Cookies gelten, liegt darin, dass sie dasselbe Thema aus unterschiedlichen Blickwinkeln betrachten. Die DSGVO besagt, dass Sie eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten benötigen, und Tracking-Cookies sammeln personenbezogene Daten.

Laut ePrivacy benötigen Sie die Zustimmung, bevor Sie Informationen auf dem Gerät einer Person speichern oder darauf zugreifen können, was genau das ist, was Cookies tun. Es gelten also beide Gesetze, und die Einhaltung des einen bedeutet nicht automatisch, dass Sie auch das andere einhalten.

Betrachten wir nun den Unterschied zwischen der ePrivacy-Richtlinie und der DSGVO.

Wie sich die ePrivacy-Richtlinie von der DSGVO unterscheidet

Die Beziehung zwischen diesen beiden Gesetzen ist für viele Menschen verwirrend, daher wollen wir dies klarstellen.

Die DSGVO ist eine Verordnung, was bedeutet, dass sie in allen EU-Mitgliedstaaten in gleicher Weise unmittelbar gilt. Die ePrivacy-Richtlinie ist eine Richtlinie, was bedeutet, dass jedes EU-Land sie durch sein eigenes nationales Recht umsetzt.

Deshalb hört man vielleicht von der CNIL in Frankreich, dem TTDSG in Deutschland oder dem Garante in Italien. Sie alle setzen die ePrivacy-Richtlinie um, allerdings mit einigen lokalen Abweichungen.

Das praktische Ergebnis ist, dass zwar die Kernanforderung, nämlich die Einwilligung vor der Verwendung nicht essenzieller Cookies, überall gleich ist, die Durchsetzung und die spezifischen Auslegungen jedoch von Land zu Land variieren.

Frankreich hat die Cookie-Regeln besonders aggressiv durchgesetzt. In Deutschland ist eine sehr ausdrückliche Zustimmung erforderlich. Die Niederlande setzen die Regeln streng durch. Wenn Ihre Website Besucher aus mehreren EU-Ländern hat, sind Sie mit der strengsten Auslegung überall auf der sicheren Seite.

Was die ePrivacy-Richtlinie für Ihre Website vorschreibt

Die Kernanforderung ist klar: Bevor Sie nicht essentielle Cookies auf dem Gerät eines Besuchers setzen, benötigen Sie dessen Zustimmung.

Und Zustimmung im Sinne der ePrivacy-Verordnung bedeutet dasselbe wie im Sinne der DSGVO. Jemand muss aktiv zustimmen. Er muss wissen, womit er einverstanden ist. Und er muss später seine Meinung ändern können.

Das bedeutet, dass Sie auf Ihrer Website einige Dinge benötigen:

• Verwendet Ihre Website Cookies? Sie müssen Ihren Besuchern klar und deutlich erklären, welche Cookies Sie verwenden und warum. Hier kommt die Anzeige einer Cookie-Richtlinie ins Spiel.
• Können Benutzer Cookies akzeptieren/ablehnen? Sie müssen ihnen eine echte Wahlmöglichkeit geben, bei der das Akzeptieren und Ablehnen gleichermaßen einfach ist.
• Können Sie nicht erforderliche Cookies vor der Einwilligung blockieren? Dies ist der Punkt, den viele Websites falsch handhaben. Sie müssen tatsächlich nicht erforderliche Cookies blockieren, bis jemand seine Einwilligung erteilt hat. Es reicht nicht aus, nur ein Banner anzuzeigen, während Ihre Analyse- und Marketing-Tools bereits Daten erfassen.

Andererseits gibt es Ausnahmen. Unbedingt erforderliche Cookies bedürfen keiner Zustimmung, da Ihre Website ohne sie nicht funktionieren kann. Wenn jemand etwas in einen Warenkorb legt, benötigen Sie ein Cookie, um dies zu speichern.

Ebenso benötigen Sie ein Cookie, um jemanden, der sich angemeldet hat, angemeldet zu halten. Diese unverzichtbaren Cookies sind ohne Zustimmung zulässig. Sobald Sie jedoch Google Analytics, Facebook Pixel oder ein Tracking-Tool eines Drittanbieters hinzufügen, ist für deren Ausführung eine Zustimmung erforderlich.

Sehen wir uns nun an, wie Sie die ePrivacy-Richtlinie in WordPress einhalten können.

Machen Sie Ihre Website konform mit der ePrivacy-Richtlinie

Wenn Sie eine WordPress-Website mit Besuchern aus der EU betreiben, müssen Sie Folgendes tun.

Sie benötigen ein System zur Einholung der Zustimmung zur Verwendung von Cookies. Das bedeutet, dass beim ersten Besuch einer Website ein Banner oder Popup-Fenster angezeigt wird, in dem erklärt wird, dass Sie Cookies verwenden, und in dem den Besuchern die Möglichkeit gegeben wird, die Verwendung von Cookies zu akzeptieren oder abzulehnen. Außerdem müssen Sie Ihre Tracking-Skripte blockieren, bis die Zustimmung erteilt wurde.

Als Nächstes müssen Sie Besuchern die Möglichkeit geben, ihre Meinung zu ändern. In der Regel bedeutet dies, dass Sie in Ihrer Fußzeile einen Link zu den Cookie-Einstellungen einfügen. Wenn jemand letzte Woche Cookies akzeptiert hat und diese Zustimmung nun widerrufen möchte, sollte dies auf einfache Weise möglich sein.

Und Sie sollten Aufzeichnungen über die Einwilligung führen. Wenn eine Aufsichtsbehörde jemals fragt, wie Sie mit Einwilligungen umgehen, ist es hilfreich, wenn Sie über entsprechende Unterlagen verfügen. Die meisten Einwilligungstools erledigen dies automatisch.

So können Sie all dies auf Ihrer WordPress-Website implementieren.

1. Verwenden Sie ein WordPress Cookie Management Plugin

Die ePrivacy-Richtlinie schreibt vor, dass Sie Besuchern klare Informationen über Cookies geben und deren Zustimmung einholen müssen, bevor nicht unbedingt erforderliche Cookies gesetzt werden. Die manuelle Verwaltung ist fehleranfällig, daher benötigen Sie ein Plugin, das die technische Seite automatisch übernimmt.

Aus diesem Grund empfehle ich für diesen Prozess die Verwendung von WPConsent. Es ist das beste Plugin für die Verwaltung von Cookie-Einwilligungen für WordPress und übernimmt die Verwaltung von Einwilligungen, das Blockieren von Cookies, Einwilligungsbanner, Einwilligungsprotokolle und vieles mehr, was alles direkt den Anforderungen der ePrivacy-Richtlinie entspricht.

Was WPConsent von anderen SaaS-Cookie-Hinweis-Lösungen unterscheidet, ist, dass es sich um ein selbst gehostetes WordPress-Plugin für die Cookie-Einwilligung handelt. Das bedeutet, dass Sie die volle Kontrolle über Ihre Daten behalten und es auf einer unbegrenzten Anzahl von Seiten oder Seitenaufrufen ausführen können, im Gegensatz zu anderer Cookie-Software, die je nach Traffic-Volumen berechnet wird.

Das Plugin ist sehr einfach einzurichten und zu verwenden und bietet einen Einrichtungsassistenten, der Sie durch jeden Schritt der Konfiguration führt.

Sie können mit WPConsent Pro beginnen, das erweiterte Funktionen wie eine vorgefertigte Service-Bibliothek, mehrsprachige Unterstützung, Geolokalisierungsregeln und ein Add-on „Nicht verkaufen“ enthält. Es gibt auch eine kostenlose Version namens WPConsent Lite.

2. Scannen Sie Ihre Website nach Cookies und Tracking-Skripten

Bevor Sie die ePrivacy-Richtlinie einhalten können, müssen Sie genau wissen, welche Cookies Ihre Website setzt. Die Richtlinie verlangt, dass Sie diese Informationen den Nutzern vor ihrer Zustimmung offenlegen, daher ist eine genaue Cookie-Prüfung ein wichtiger erster Schritt.

WPConsent enthält einen integrierten Scanner, der Cookies und Tracking-Skripte auf Ihrer Website automatisch erkennt. Während des Einrichtungsassistenten führt WPConsent einen ersten Scan durch. Sie können ihn auch manuell ausführen, indem Sie in Ihrem WordPress-Dashboard zu „WPConsent » Scanner“ gehen und auf „Scan Your Website“ klicken.

Standardmäßig scannt das Plugin Ihre Homepage, aber Sie können zusätzliche Seiten auswählen, wie z. B. Ihre Checkout-Seite, Kontaktseite oder Ihren Warenkorb, um sicherzustellen, dass keine Cookies übersehen werden.

Sobald der Scan abgeschlossen ist, wird ein detaillierter Bericht mit nach Kategorien geordneten Cookies angezeigt. Gemäß der ePrivacy-Richtlinie ist diese Kategorisierung besonders wichtig:

• Unbedingt erforderliche Cookies – diese sind von der Einwilligungspflicht ausgenommen, da sie für das Funktionieren der Website unerlässlich sind (z. B. Sitzungscookies, Warenkorb-Cookies).
• Statistik-Cookies – diese erfordern eine vorherige Zustimmung, bevor sie gesetzt werden können (z. B. Google Analytics).
• Marketing-Cookies – diese erfordern eine vorherige, ausdrückliche Zustimmung, bevor sie gesetzt werden (wie Facebook Pixel).

WPConsent kategorisiert erkannte Cookies automatisch in diese Gruppen, sodass auf einen Blick erkennbar ist, was einer Zustimmung bedarf.

3. Blockieren Sie das Laden nicht unbedingt erforderlicher Cookies vor der Einwilligung.

Dies ist die wichtigste technische Anforderung der ePrivacy-Richtlinie: Nicht unbedingt erforderliche Cookies dürfen erst dann auf dem Gerät eines Besuchers platziert werden, wenn dieser aktiv seine Zustimmung gegeben hat.

Vorab angekreuzte Kästchen oder stillschweigende Zustimmung reichen nicht aus. Die Zustimmung des Nutzers muss eine eindeutige, bestätigende Handlung sein. WPConsent erledigt dies automatisch durch seine Skriptblockierungsfunktion, die verhindert, dass nicht erforderliche Skripte geladen werden, bis der Besucher ausdrücklich zugestimmt hat.

Cookie-Blockierung automatisch konfigurieren

Scrollen Sie im Abschnitt „Detaillierter Bericht“ nach unten und stellen Sie sicher, dass das Kontrollkästchen „Bekannte Skripte daran hindern, Cookies vor der Einwilligung hinzuzufügen“ aktiviert ist.

Klicken Sie anschließend auf die Schaltfläche „Cookies automatisch konfigurieren ”. Dadurch wird sichergestellt, dass Analyse-, Werbe- und andere nicht essentielle Skripte zurückgehalten werden, bis die Zustimmung erteilt wird.

Weitere Informationen finden Sie in unserer Anleitungzum Blockieren von Drittanbieter-Cookies in WordPress.

Eingebettete Inhalte vor Zustimmung blockieren

Die ePrivacy-Richtlinie gilt auch für eingebettete Inhalte von Drittanbietern wie YouTube-Videos, Google Maps und reCAPTCHA, die alle beim Laden Cookies setzen können.

Die Funktion „Inhaltsblockierung“ von WPConsent verhindert das Laden dieser Iframes, bis ein Besucher seine Zustimmung erteilt hat. Beispielsweise wird ein YouTube-Video anstelle des Ladens einen Platzhalter anzeigen und erst dann abgespielt, wenn der Besucher über das Cookie-Banner auf „Akzeptieren“ oder „Zustimmen“ klickt.

4. Ein Cookie-Zustimmungsbanner einrichten

Gemäß der ePrivacy-Richtlinie muss Ihr Einwilligungsbanner bestimmte Anforderungen erfüllen, um gültig zu sein:

• Die Zustimmung muss freiwillig erfolgen – die Ablehnung von Cookies muss genauso einfach sein wie deren Akzeptanz.
• Die Einwilligung muss informiert erfolgen – Besucher müssen wissen, wozu sie ihre Einwilligung geben, bevor sie zustimmen.
• Die Einwilligung muss spezifisch sein – Nutzer sollten verschiedene Kategorien von Cookies separat akzeptieren oder ablehnen können.
• Die Einwilligung muss eine eindeutige positive Handlung sein – vorab angekreuzte Kästchen oder „Einwilligung durch Scrollen“ sind nicht gültig.

Mit WPConsent ist es ganz einfach, ein Banner zu erstellen, das all diese Anforderungen erfüllt. Es bietet mehrere vorgefertigte Vorlagen (langes Banner, schwebendes Banner und modales Banner), die Sie oben oder unten auf der Seite positionieren können.

Achten Sie unbedingt darauf, dass Ihr Banner Folgendes enthält:

• Eine eindeutige Schaltfläche „Akzeptieren“ für alle nicht essenziellen Cookies.
• Eine ebenso auffällige Schaltfläche „Ablehnen “ oder „Abweisen “. Dies ist eine wichtige Anforderung der ePrivacy-Verordnung, die viele Websites nicht erfüllen.
• Eine Option „Einstellungen verwalten“, damit Besucher einigen Cookie-Kategorien zustimmen können, anderen jedoch nicht.

Sie können die Hintergrundfarbe, Textfarbe, Schaltflächengestaltung und Nachrichten des Banners an das Branding Ihrer Website anpassen.

Weitere Informationen finden Sie in unserer ausführlichen Anleitung zumErstellen eines Cookie-Einwilligungsbanners in WordPress.

WPConsent unterstützt auch mehrsprachige Banner, die besonders nützlich sind, wenn Ihre Website Besucher aus mehreren Ländern bedient. Mit der KI-gestützten automatischen Übersetzungsfunktion können Sie das Cookie-Banner und die Einstellungen in der Muttersprache Ihrer Besucher anzeigen.

5. Eine Seite mit den Cookie-Richtlinien hinzufügen

Die ePrivacy-Richtlinie verlangt, dass Sie den Nutzern klare und leicht zugängliche Informationen über die von Ihrer Website verwendeten Cookies zur Verfügung stellen, bevor diese ihre Zustimmung geben. Eine eigene Seite mit den Cookie-Richtlinien erfüllt diese Anforderung.

Ihre Cookie-Richtlinie sollte Folgendes umfassen:

• Welche Cookies Ihre Website verwendet und wie diese heißen.
• Der Zweck jedes Cookies (unbedingt erforderlich, Analyse, Marketing usw.).
• Ob es sich um Erstanbieter- oder Drittanbieter-Cookies handelt.
• Wie lange jedes Cookie gültig ist (Sitzung vs. dauerhaft).
• Wie Nutzer ihre Einwilligung jederzeit widerrufen können.

WPConsent macht dies ganz einfach. Gehen Sie zu WPConsent » Einstellungen, scrollen Sie zum Abschnitt „Cookie-Richtlinie “ und klicken Sie auf „Cookie-Richtlinienseite generieren“. Das Plugin erstellt automatisch eine Seite, auf der alle während des Scans erkannten Cookies aufgelistet sind, wodurch Sie viel Zeit sparen.

Sie sollten auch sicherstellen, dass Ihre bestehende Datenschutzerklärung auf Ihre Verwendung von Cookies verweist und einen Link zur Cookie-Richtlinie enthält.

WordPress enthält unter „Einstellungen“ » „Datenschutz“ ein integriertes Tool für Datenschutzrichtlinien, das eine Startvorlage bereitstellt, die Sie anpassen können.

6. Aufzeichnungen über die Einwilligung der Nutzer aufbewahren

Die Aufbewahrung von Einwilligungserklärungen wird zwar in der DSGVO ausdrücklich hervorgehoben, gilt jedoch auch gemäß der ePrivacy-Richtlinie als bewährte Vorgehensweise. In vielen Rechtsordnungen erwarten die Aufsichtsbehörden, dass Sie im Falle einer Anfechtung nachweisen können, dass eine gültige Einwilligung eingeholt wurde.

WPConsent übernimmt dies automatisch über sein Einwilligungsprotokollierungssystem. Sie müssen es zunächst auf der Seite „Einstellungen“ aktivieren.

Sobald dies erledigt ist, gehen Sie in Ihrem WordPress-Dashboard zu „WPConsent“ » „Consent Logs“, um alle seit der Aktivierung gesammelten Einwilligungsdaten anzuzeigen, einschließlich Zeitstempeln und den spezifischen Entscheidungen, die jeder Besucher getroffen hat.

Sie können Einwilligungsdatensätze auch als CSV-Dateien exportieren, um Compliance-Berichte zu erstellen oder auf behördliche Anfragen zu reagieren. So erhalten Sie einen zuverlässigen Prüfpfad, der belegt, dass nicht erforderliche Cookies nicht ohne vorherige Einwilligung gesetzt wurden – die zentrale Verpflichtung der ePrivacy-Richtlinie.

Häufige Cookies, die eine Einwilligung erfordern

Google Analytics ist wahrscheinlich das bekannteste Beispiel. Die von Google Analytics gesetzten Cookies „_ga“ und „_gid“ verfolgen das Besucherverhalten, was gemäß ePrivacy eine Einwilligung erfordert. Gleiches gilt fürFacebook Pixel mit seinem Cookie „_fbp“, Google Ads Tracking und alle anderen Analyse- oder Werbetools.

Auch Einbettungen von Drittanbietern setzen häufig Cookies. Wenn Sie ein Video von YouTube, Dailymotion oder Vimeo auf Ihrer Website eingebettet haben, können diese Anbieter den Besucher verfolgen.

Das Gleiche gilt für Social-Media-Buttons, Chat-Widgets und eingebettete Karten. Diese erfordern in der Regel eine Einwilligung, da sie von Dritten stammen und für die Funktion Ihrer Website nicht unbedingt erforderlich sind.

Die Cookies, für die keine Einwilligung erforderlich ist, sind diejenigen, die für das Funktionieren Ihrer Website wirklich unerlässlich sind. Dazu gehören Warenkorb-Cookies in WooCommerce, Login-Sitzungscookies, Sicherheitscookies und First-Party-Cookies, die Benutzereinstellungen wie Spracheinstellungen speichern. Diese gelten als unbedingt notwendig und können ohne Einwilligung gesetzt werden.

Die ePrivacy-Verordnung: Was kommt auf uns zu?

Die EU arbeitet an einer ePrivacy-Verordnung, die die Richtlinie ersetzen soll. Wenn sie verabschiedet wird, wäre sie wie die DSGVO in allen EU-Ländern direkt anwendbar, mit strengeren Anforderungen und Strafen auf DSGVO-Niveau. Die Verabschiedung hat sich um Jahre verzögert und könnte sich weiter verzögern, aber die Richtung geht in Richtung einer strengeren Durchsetzung, nicht in Richtung einer Lockerung.

Praktisch bedeutet dies, dass Sie auf der sicheren Seite sind, wenn Sie bereits jetzt die Vorschriften für eine ordnungsgemäße Einwilligung einhalten. Wenn Sie jedoch Abstriche machen, werden Sie wahrscheinlich von künftigen Vorschriften eingeholt werden.

Häufig gestellte Fragen zur ePrivacy-Richtlinie

Hier finden Sie einige häufig gestellte Fragen zur ePrivacy-Richtlinie.

1. Ist ePrivacy dasselbe wie die DSGVO?

Nein, es handelt sich um unterschiedliche Gesetze. Die DSGVO gilt für die gesamte Verarbeitung personenbezogener Daten. Die ePrivacy-Verordnung gilt speziell für die elektronische Kommunikation, einschließlich Cookies. Beide gelten für Cookies, jedoch aus unterschiedlichen Blickwinkeln. Die Einhaltung des einen Gesetzes bedeutet nicht automatisch, dass Sie auch das andere einhalten.

2. Benötige ich für alle Cookies eine Einwilligung?

Nein. Unbedingt erforderliche Cookies, die für die Funktion Ihrer Website unerlässlich sind, bedürfen keiner Zustimmung. Analytics- und Marketing-Cookies bedürfen hingegen einer Zustimmung.

3. Was passiert, wenn ich mich nicht daran halte?

Sie riskieren Geldstrafen von der Datenschutzbehörde des jeweiligen EU-Landes, das Maßnahmen ergreift. Verstöße gegen die ePrivacy-Verordnung gelten oft auch als Verstöße gegen die DSGVO, was Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes nach sich ziehen kann.

4. Gilt die ePrivacy-Verordnung auch, wenn ich mich nicht in der EU befinde?

Die ePrivacy-Verordnung gilt, wenn Sie Besucher aus der EU ansprechen oder in der EU ansässig sind. Wenn Ihre Website Besucher aus Europa hat, sollten Sie die Verordnung einhalten, unabhängig davon, wo Sie sich befinden.

5. Was ist der Unterschied zwischen der ePrivacy-Richtlinie und der ePrivacy-Verordnung?

Die Richtlinie ist das derzeit geltende Recht, das durch nationale Rechtsvorschriften in jedem EU-Land umgesetzt wird. Die Verordnung ist ein vorgeschlagener Ersatz, der direkt in allen EU-Ländern gelten würde und strengere Anforderungen vorsieht. Die Verordnung hat sich verzögert, wird aber voraussichtlich noch verabschiedet werden.

Ich hoffe, dieser Artikel hat Ihnen geholfen, mehr über die ePrivacy-Richtlinie und die Anforderungen für WordPress-Website-Betreiber zu erfahren. Vielleicht interessieren Sie sich auch für unsere Leitfäden zu WordPress und CCPA-Konformität sowie LGPD-Konformität für WordPress-Websites.

Wenn Ihnen dieser Artikel gefallen hat, dann folgen Sie uns bitte auf X (früher bekannt als Twitter). Sie können auch unten einen Kommentar hinterlassen, wenn Sie Hilfe benötigen.