edoobox in Divi mit Borlabs einbinden – und dabei die DSGVO im Auge behalten

Ich hab das neulich bei einem Kundenprojekt eingerichtet und dabei mehr gelernt, als ich erwartet hatte. Das Buchungssystem edoobox per iFrame in eine WordPress-Seite zu integrieren ist technisch kein Hexenwerk – aber DSGVO-konform zu machen? Da steckt mehr dahinter, als man auf den ersten Blick vermuten würde.

Dieser Artikel fasst meine Learnings zusammen. Ich zeige dir, warum ein Content Blocker zwingend notwendig ist, was edoobox von anderen Tools unterscheidet und wo die typischen Fallstricke bei der Einrichtung lauern. Spoiler: Es sind nicht die offensichtlichen.

Hinweis: Ich bin WordPress-Expertin, keine Juristin. Dieser Artikel gibt meine praktischen Erfahrungen wieder und erhebt keinen Anspruch auf Vollständigkeit oder rechtliche Verbindlichkeit. Im Zweifelsfall bitte immer eine auf Datenschutz spezialisierte Rechtsanwältin oder einen Rechtsanwalt hinzuziehen.

Was edoobox macht – und was dabei im Hintergrund passiert

edoobox ist ein Online-Buchungssystem aus der Schweiz, das sich besonders für Kursanbieter, Trainer und Seminarveranstalter eignet. Du kannst es per iFrame direkt in deine Website einbinden, sodass Besucherinnen und Besucher deine offenen Termine sehen und buchen können – ohne deine Seite verlassen zu müssen.

Klingt praktisch, ist es auch. Das Problem liegt aber nicht im Tool selbst, sondern darin, was beim Laden der Seite passiert: Das edoobox-Script lädt automatisch und baut sofort eine Verbindung zu Servern des Anbieters auf. Noch bevor dein Besucher irgendetwas angeklickt hat. Und genau das macht aus datenschutzrechtlicher Perspektive einen Unterschied.

Konkret werden beim Laden des iFrames Verbindungen zu diesen Domains aufgebaut:

• app1.edoobox.com – der eigentliche Buchungssystem-Server
• cdn1.edoobox.com – das Script, das den iFrame erst dynamisch erzeugt
• hostwwwdata.edoobox.com – für Kursinhalte und Verfügbarkeiten

Alle drei Domains müssen im Content Blocker berücksichtigt werden – dazu gleich mehr.

Warum ein Content Blocker – und warum nicht einfach ein Cookie reicht

Die Grundregel aus meiner Sicht: Wann immer beim Laden einer Seite automatisch Daten an einen Drittanbieter übertragen werden – also ohne dass der Besucher etwas tut –, dann muss dieser Drittanbieter geblockt werden, bis eine Einwilligung vorliegt. (Datenschutz in WordPress)

Das lässt sich ganz gut am Vergleich zweier Tools erklären, die ich beide regelmäßig bei Projekten einsetze:

Beispiel 1: Ein Newsletter-Tool wie rapidmail

Wenn du ein Anmeldeformular per iFrame einbindest, passiert beim Laden der Seite erst mal: nichts. Die Datenübertragung findet erst dann statt, wenn jemand aktiv seine E-Mail-Adresse einträgt und auf „Abonnieren“ klickt. Das ist eine bewusste Handlung der Person. Sie gibt ihre Daten freiwillig. Kein Content Blocker notwendig.

Beispiel 2: edoobox

Hier ist es anders. Sobald jemand die Seite aufruft, auf der edoobox eingebunden ist, lädt das Script sofort – automatisch, im Hintergrund, ohne jede Nutzerinteraktion. Verbindung zu den oben genannten Servern in der Schweiz wird aufgebaut, Cookies werden gesetzt.

Das ist der entscheidende Unterschied: automatisch vs. durch aktive Nutzerhandlung. Und das ist der Grund, warum edoobox einen Content Blocker braucht.

Dass edoobox selbst DSGVO-konform arbeitet und Server in der Schweiz (ISO 27001 zertifiziert) nutzt, ist dabei übrigens eine notwendige Voraussetzung – aber allein nicht ausreichend. Die Einwilligung deiner Website-Besucher muss trotzdem eingeholt werden, bevor Daten übertragen werden.

Die Einrichtung in Borlabs Cookie – Schritt für Schritt

Ich arbeite mit Borlabs Cookie. Die folgende Anleitung bezieht sich auf Borlabs 3.x. Bei anderen Consent-Tools funktioniert das Prinzip ähnlich, die Benennung der Menüpunkte weicht aber ab.

Schritt 1: Provider anlegen

Bevor du den Service anlegen kannst, brauchst du den Provider. Geh in Borlabs → Services → Provider → Neu anlegen:

• Name: Etzensperger Informatik AG
• Adresse: Kirchweg 24, CH-3366 Bettenhausen
• URL: https://www.edoobox.com
• Datenschutz-URL: https://www.edoobox.com/datenschutzrichtlinien

Schritt 2: Service anlegen

Borlabs → Services → Neu anlegen:

• ID und Name: edoobox
• Beschreibung: z.B. „edoobox ist ein Online-Buchungssystem für Kurse und Veranstaltungen. Beim Laden werden Cookies gesetzt und Daten an Server in der Schweiz übertragen.“
• Service-Gruppe: Externe Medien
• Provider: Etzensperger Informatik AG

Dann unter Adressen alle drei edoobox-Domains eintragen, jeweils mit dem Pfad /*:

• app1.edoobox.com
• cdn1.edoobox.com
• hostwwwdata.edoobox.com

Schritt 3: Content Blocker anlegen

Borlabs → Content Blocker → Neu anlegen. Name: edoobox, Service: edoobox.

Wichtig: Klick im Bereich „Vorschau gesperrter Inhalte“ auf „Voreinstellung anwenden“. Das füllt das HTML-Feld automatisch mit dem Standard-Platzhalter – inklusive des „Inhalt entsperren“-Buttons. Ohne diesen Schritt ist der Platzhalter leer und deine Besucherinnen und Besucher sehen nur eine weiße Fläche, ohne Möglichkeit, den Inhalt zu laden.

Schritt 4: Der entscheidende Punkt – der Borlabs Shortcode

Das ist der Part, bei dem ich selbst am längsten gebraucht habe, bis ich verstanden hatte, was hier eigentlich passiert – also pass gut auf.

Borlabs blockiert normalerweise iFrames, indem es im HTML-Quellcode nach einem <iframe>-Tag mit der entsprechenden Domain sucht und diesen ersetzt. Das klappt bei edoobox aber nicht – weil edoobox keinen direkten iFrame-Code liefert, sondern ein JavaScript-Script, das den iFrame erst dynamisch erzeugt, nachdem die Seite geladen wurde. Borlabs findet also keinen iFrame zum Blockieren.

Die Lösung: Du wickelst den edoobox-Code im Divi Code-Modul manuell in den Borlabs Shortcode ein:

[borlabs-cookie id="edoobox" type="content-blocker"]
<script type="text/javascript" src="https://cdn1.edoobox.com/edoobox.iframe.embedded.v2.2.5.js"></script>
[/borlabs-cookie]

Den genauen Shortcode kopierst du aus den Content-Blocker-Einstellungen oben – der steht dort fertig zum Kopieren.

Achtung: Das funktioniert nur, wenn der Code in einem Divi Code-Modul steckt – nicht in einem Text- oder Überschriften-Modul. Nur das Code-Modul gibt den HTML- und Shortcode-Inhalt unverändert aus. Ich hab’s zuerst im falschen Modul gehabt und mich gefragt, warum der Blocker nicht greift. Jetzt weißt du’s direkt.

Schritt 5: Den richtigen Button verwenden

Im HTML des Platzhalters gibt es zwei verschiedene Attribute für den „Inhalt entsperren“-Button:

• data-borlabs-cookie-unblock → entsperrt den Inhalt einmalig, setzt aber keinen Cookie
• data-borlabs-cookie-accept-service → speichert die Einwilligung dauerhaft

Wenn du das erste Attribut verwendest, erscheint der Blocker beim nächsten Seitenaufruf wieder – obwohl der Besucher doch schon auf „Entsperren“ geklickt hat. Das sorgt für Verwirrung. Verwende daher immer data-borlabs-cookie-accept-service.

Was mich dabei überrascht hat – und dich vielleicht auch

Cookie-Domain mit oder ohne www

In den Borlabs Cookie-Einstellungen unter Cookie-Einstellungen → Domain sollte die Domain mit einem Punkt beginnen: also .deinedomain.de statt www.deinedomain.de. So wird der Cookie sowohl auf der www- als auch auf der Non-www-Version gesetzt und der Browser erinnert sich an die Einwilligung unabhängig davon, über welche URL die Seite aufgerufen wird.

Der Cache ist oft der wahre Schuldige

Wenn du Änderungen in Borlabs vorgenommen hast, aber der iFrame weiterhin ungeblockt lädt – zuerst Cache leeren. Borlabs arbeitet über PHP Output Buffering: Wenn ein Caching-Plugin die fertige HTML-Seite ausliefert, kommt Borlabs gar nicht erst zum Zug. Das gilt auch für Cloudflare und andere CDN-Lösungen.

Das gleiche Prinzip gilt übrigens auch für Google Fonts – auch da muss die automatische Verbindung unterbunden werden.

„Speichern“ im Cookie-Banner entsperrt nicht automatisch alles

Wenn ein Besucher im Cookie-Banner auf „Speichern“ klickt, ohne dabei „Externe Medien“ zu aktivieren, hat er edoobox nicht zugestimmt. Der Content Blocker erscheint dann weiterhin. Das ist kein Fehler – das ist DSGVO-konformes Verhalten. Der Besucher muss entweder „Alles akzeptieren“ klicken oder im Cookie-Banner gezielt „Externe Medien“ freischalten.

Den Content Blocker an dein Website-Design anpassen

Der Standard-Platzhalter von Borlabs ist funktional, aber nicht besonders hübsch. Du kannst ihn mit CSS an das Design deiner Website anpassen – den Code trägst du direkt im Content Blocker unter „CSS“ ein.

Ein kurzer Hinweis zu den CSS-Klassen: Sie haben sich mit Borlabs 3.x geändert. Die aktuellen Klassen (Stand 2025) sind:

• .body .brlbs-cmpnt-container.brlbs-cmpnt-content-blocker .brlbs-cmpnt-cb-preset-a – der äußere Container
• .body div.brlbs-cmpnt-container .brlbs-cmpnt-cb-description – der Beschreibungstext
• .brlbs-cmpnt-cb-btn – der „Inhalt entsperren“-Button
• .body .brlbs-cmpnt-container.brlbs-cmpnt-content-blocker a.brlbs-cmpnt-cb-provider-toggle,
  body .brlbs-cmpnt-container.brlbs-cmpnt-content-blocker a.brlbs-cmpnt-cb-provider-toggle:hover – der „Weitere Informationen“-Link

Die Klassen findest du am einfachsten, indem du den Platzhalter im Browser-Entwicklertool (F12 → Inspektor) anschaust. So siehst du genau, wie die Elemente aufgebaut sind, und kannst gezielt stylen.

Mein Fazit

edoobox datenschutzkonform einzubinden ist lösbar – braucht aber ein paar mehr Handgriffe als das übliche „iFrame reinkopieren und fertig“. Was mich am meisten überrascht hat: dass das Script den iFrame dynamisch erzeugt und Borlabs ihn deshalb nicht direkt im HTML-Code erkennt. Das war die eigentliche Ursache, weshalb der Blocker zunächst nicht gegriffen hat.

Der saubere Weg ist: Borlabs Shortcode ums Script herum, Code-Modul in Divi, richtiges Button-Attribut. Wenn das alles sitzt, läuft es zuverlässig.

Falls du Fragen zur Einrichtung hast oder dir nicht sicher bist, ob deine Website korrekt konfiguriert ist – meld dich gerne bei mir. Ich schau mir das dann gemeinsam mit dir an.

FAQ – die Fragen, die ich bei diesem Thema immer wieder höre