Ist Ihr Cookie-Banner wirklich korrekt eingerichtet?
Die meisten Cookie-Banner sehen gut aus — funktionieren aber nicht richtig. In unseren Audits zeigt mehr als jeder vierte Banner technische Mängel. Die Folge: Datenschutzverstöße, die Sie nicht bemerken, und Daten, die Sie nicht erheben dürfen.
Ein Cookie-Banner auf der Website zu haben bedeutet nicht, dass der Datenschutz funktioniert. Der Banner ist nur die Oberfläche. Entscheidend ist, was technisch passiert: Werden Dienste vor der Einwilligung geladen? Reagiert das System tatsächlich auf den Klick des Nutzers? Werden Cookies gesetzt, obwohl der Besucher noch gar nichts angeklickt hat?
In über 173.036 Audits (Stand: März 2026) haben wir die Cookie-Banner deutscher Websites geprüft — mit einem echten Browser, der den Banner bedient und das Ergebnis technisch auswertet. Die Zahlen sind ernüchternd.
Hinweis: Die folgenden Ausführungen basieren auf unserer technischen Analyse und stellen keine Rechtsberatung dar. Für die rechtliche Bewertung Ihrer Cookie-Banner-Konfiguration konsultieren Sie bitte Ihren Datenschutzbeauftragten.
Was unsere Audits zeigen: Mehr als jeder vierte Banner hat Probleme
20,2 % aller geprüften Websites weisen technische Mängel am Cookie-Banner auf — davon 19,6 % mit schwerwiegenden Fehlern.
Unsere Auswertung über 173.036 Audits ergibt folgendes Bild:
| Bewertung | Anteil | Bedeutung |
|---|---|---|
| Grün | 48,6 % | Banner funktioniert technisch korrekt |
| Orange | 9,7 % | Probleme erkannt — Handlungsbedarf |
| Rot | 19,6 % | Schwerwiegende Mängel — dringender Handlungsbedarf |
| Kein Banner bewertet | 27,2 % | Kein Cookie-Banner erkannt oder nicht bewertbar |
Das bedeutet: Gut sieben von zehn Websites mit Cookie-Banner bestehen unseren technischen Check. Bei den übrigen werden entweder Dienste vor der Einwilligung geladen, der Banner reagiert nicht korrekt auf den Nutzerklick, oder es fehlen grundlegende Einstellungen.
Welche Cookie-Banner werden in Deutschland eingesetzt?
Borlabs Cookie ist mit Abstand das verbreitetste Consent-Management-System in unseren Audits — gefolgt von Complianz und Cookiebot.
| CMP | Erkannte Installationen |
|---|---|
| Borlabs Cookie | 14.871 |
| Complianz | 9.735 |
| Cookiebot | 8.907 |
| Usercentrics | 6.950 |
| CookieYes | 4.399 |
| Cookie Notice | 4.030 |
| Real Cookie Banner | 3.806 |
| Consentmanager | 2.375 |
Insgesamt erkennt exatics über 75 verschiedene Consent-Management-Systeme. Die Marktkonzentration ist gering — neben den Top-8-Systemen gibt es Dutzende kleinere Lösungen, viele davon WordPress-Plugins mit eingeschränktem Funktionsumfang.
Wichtig: Die Verbreitung eines Systems sagt nichts über dessen Qualität. Entscheidend ist die korrekte Konfiguration — und die ist bei jedem System anders.
Was macht ein Cookie-Banner technisch?
Ein korrekt funktionierender Cookie-Banner muss drei Aufgaben erfüllen: blockieren, fragen, freigeben.
Viele Website-Betreiber denken, der Cookie-Banner sei ein Hinweisfenster. Das ist er nicht. Ein Cookie-Banner ist ein technisches Kontrollsystem, das drei Schritte ausführen muss:
- Blockieren — Bevor der Besucher eine Entscheidung trifft, dürfen keine einwilligungspflichtigen Dienste laden. Kein Google Analytics, kein Facebook Pixel, keine Marketing-Cookies. Das TDDDG verbietet den Zugriff auf Informationen der Endeinrichtung ohne Einwilligung.
- Fragen — Der Banner muss dem Besucher eine echte Wahl bieten. „Alle akzeptieren" und „Alle ablehnen" müssen gleichwertig zugänglich sein. Vorausgewählte Checkboxen oder versteckte Ablehnoptionen sind nicht nur schlechter Stil — sie sind rechtswidrig.
- Freigeben — Erst nach dem Klick auf „Alle akzeptieren" (oder die gezielte Auswahl einzelner Kategorien) dürfen die entsprechenden Dienste geladen werden. Das System muss die Einwilligung speichern und bei Folgebesuchen berücksichtigen.
Wenn einer dieser drei Schritte nicht funktioniert, ist Ihr Cookie-Banner ein Datenschutzrisiko.
Die fünf häufigsten Fehler bei Cookie-Bannern
1. Dienste laden vor der Einwilligung
Das häufigste Problem: Tracking-Dienste sind bereits aktiv, bevor der Besucher den Banner überhaupt gesehen hat.
In unseren Audits sehen wir regelmäßig, dass Google Analytics, der Facebook Pixel oder andere Dienste Daten erfassen, während der Cookie-Banner noch angezeigt wird. Das passiert, weil der Tracking-Code direkt im HTML der Seite steht — ohne durch das Consent-System gesteuert zu werden.
Die Ursache ist meist eine fehlerhafte Einbindung: Der Tracking-Code wurde manuell ins Theme eingefügt, statt über das Consent-System verwaltet zu werden. Oder das Consent-System wurde nachträglich installiert, ohne die bestehenden Tracking-Codes zu entfernen.
So prüfen Sie es: Öffnen Sie Ihre Website in einem privaten Browserfenster und schauen Sie in die Browser-Entwicklertools (Netzwerk-Tab), welche Requests vor dem Klick auf den Banner gesendet werden. Oder lassen Sie exatics die Prüfung automatisch durchführen — wir simulieren genau dieses Szenario.
2. Der Banner blockiert nicht — er informiert nur
Manche Cookie-Banner zeigen zwar einen Hinweis an, blockieren aber technisch gar nichts.
Das betrifft vor allem einfache WordPress-Plugins, die nur einen Text-Hinweis einblenden. Der Besucher klickt auf „OK" oder „Verstanden", aber technisch passiert nichts: Die gleichen Dienste laufen vor und nach dem Klick. Der Banner ist eine leere Hülle.
Dieses Problem ist rechtlich besonders heikel, weil es nach außen so aussieht, als würde der Datenschutz funktionieren — während in Wirklichkeit keine Kontrolle stattfindet.
3. „Ablehnen" funktioniert nicht wie erwartet
Nach dem Klick auf „Ablehnen" oder „Nur notwendige Cookies" laufen trotzdem Tracking-Dienste weiter.
Viele Consent-Systeme sind so konfiguriert, dass „Alle akzeptieren" korrekt funktioniert — aber die Ablehn-Funktion nicht vollständig umgesetzt ist. Dienste, die bei der Erst-Konfiguration als „notwendig" markiert wurden, laufen auch nach der Ablehnung weiter — obwohl sie es nicht sind.
Ein typisches Beispiel: Google Analytics wird als „Statistik" kategorisiert und sollte bei Ablehnung blockiert werden. Aber durch einen Konfigurationsfehler im CMP wird der Dienst trotzdem geladen. Der Betreiber merkt es nicht, weil er nur den „Akzeptieren"-Flow testet.
4. Der Banner erscheint auf jeder Seite erneut
Wenn der Banner bei jedem Seitenaufruf neu erscheint, wird die Einwilligung nicht gespeichert.
Das deutet auf ein technisches Problem hin: Das Consent-System setzt zwar ein eigenes Cookie, um die Entscheidung zu speichern — aber dieses Cookie wird blockiert. Häufige Ursachen:
- Eine zu restriktive Cookie-Policy im CMP, die auch die eigenen Consent-Cookies blockiert
- Ein Caching-Plugin, das die Cookie-Logik umgeht
- Widersprüchliche Einstellungen zwischen CMP und Content-Security-Policy
Die Folge: Ihre Besucher werden bei jedem Seitenaufruf genervt, die Einwilligung geht verloren, und Ihre Analytics-Daten werden verfälscht.
5. Individuelle Cookie-Banner ohne technische Steuerung
Selbstgebaute Cookie-Banner sehen oft professionell aus — haben aber keine Verbindung zum tatsächlichen Tracking.
Manche Agenturen oder Entwickler bauen eigene Cookie-Banner, die optisch perfekt zur Website passen. Das Problem: Diese Banner sind reine Frontend-Elemente. Sie zeigen Buttons an und speichern vielleicht eine Auswahl — aber sie steuern nicht, welche Scripts geladen werden.
exatics erkennt über 75 verschiedene Consent-Management-Systeme. Darüber hinaus identifizieren wir auch individuelle Cookie-Banner mit einer Trefferquote von über 70 %. Bei diesen individuellen Lösungen können wir die technische Funktionalität allerdings nicht automatisiert prüfen — was oft bereits ein Warnsignal ist.
Warum ein Cookie-Banner Daten kostet — und was Sie dagegen tun können
Ein Cookie-Banner ist nicht kostenlos. Je nach Branche verlieren Sie durch den Banner 30 bis 60 % Ihrer Analytics-Daten.
Jeder Cookie-Banner ist eine Hürde zwischen Ihrem Besucher und Ihren Daten. Nicht jeder Besucher klickt auf „Akzeptieren". Viele ignorieren den Banner, manche lehnen ab, und ein wachsender Anteil nutzt Adblocker, die den Banner komplett blockieren.
Für Dienste wie Google Analytics, die eine Einwilligung erfordern, bedeutet das: Sie sehen nur noch einen Bruchteil Ihrer tatsächlichen Besucher. Die Zahlen in Ihrem Analytics-Dashboard sind systematisch zu niedrig — und die Verzerrung ist nicht gleichmäßig. Technikaffine Besucher lehnen häufiger ab, bestimmte Altersgruppen ignorieren den Banner, und mobile Nutzer interagieren anders als Desktop-Nutzer.
Die Alternative: Consent-freie Webanalyse
Für die reine Reichweitenanalyse gibt es eine rechtlich anerkannte Alternative: Consent-freie Tools wie Matomo (self-hosted), die ohne Cookie-Banner betrieben werden können. Voraussetzung ist eine datenschutzkonforme Konfiguration — kein Cookie, keine Browser-Feature-Detection, IP-Anonymisierung.
Der Vorteil: Sie erfassen alle Besucher, nicht nur die, die zufällig auf „Akzeptieren" klicken. Mehr dazu in unserem Ratgeber: Matomo datenschutzkonform einsetzen.
Wichtig: Consent-freie Webanalyse ersetzt keinen Cookie-Banner. Sobald Sie Dienste einsetzen, die eine Einwilligung erfordern (Werbung, Remarketing, Social-Media-Plugins), brauchen Sie weiterhin ein Consent-System.
IAB TCF: Der Werbestandard und seine Tücken
Das Transparency & Consent Framework (TCF) des IAB Europe ist der Industriestandard für die Einwilligungsverwaltung in der Online-Werbung — aber kein Garant für Rechtskonformität.
In unseren Audits erkennen wir über 12.000 Websites mit TCF-v2-Integration. Das Framework standardisiert, wie Consent-Informationen zwischen CMP, Werbetreibenden und Verlagen ausgetauscht werden.
Für Website-Betreiber ist das TCF relevant, wenn sie programmatische Werbung einsetzen. Das CMP muss dann nicht nur die Einwilligung einholen, sondern diese auch im TCF-Format an die Werbe-Auktionspartner weitergeben.
Das Problem: Das TCF ist komplex, und viele Website-Betreiber verstehen nicht vollständig, welche Datenflüsse sie damit legitimieren. Eine technisch korrekte TCF-Implementierung bedeutet nicht automatisch, dass alle Werbe-Partner auch DSGVO-konform arbeiten. Die Verantwortung bleibt beim Website-Betreiber.
So prüfen Sie Ihren Cookie-Banner
Eine vollständige Prüfung erfordert mehr als einen Blick auf die Website — Sie müssen das Verhalten vor und nach dem Consent technisch vergleichen.
Manuelle Prüfung (Grundlagen)
- Öffnen Sie Ihre Website in einem privaten Browserfenster (alle Cookies gelöscht)
- Öffnen Sie die Browser-Entwicklertools (F12) → Netzwerk-Tab
- Laden Sie die Seite und prüfen Sie, welche Requests vor dem Consent-Klick gesendet werden
- Suchen Sie nach bekannten Tracking-Domains:
google-analytics.com,googletagmanager.com,facebook.net,connect.facebook.net - Klicken Sie auf „Alle akzeptieren" und prüfen Sie, welche neuen Requests erscheinen
- Wiederholen Sie den Test mit „Ablehnen" — es dürfen keine Tracking-Requests erscheinen
Automatische Prüfung mit exatics
exatics automatisiert genau diesen Prozess: Wir besuchen Ihre Website mit einem echten Browser, erkennen den Cookie-Banner, simulieren den Consent-Klick und vergleichen, welche Technologien vor und nach der Einwilligung aktiv sind.
Bei den verbreitetsten Consent-Systemen — darunter Cookiebot, OneTrust, Usercentrics, Borlabs Cookie und Complianz — führen wir eine systemspezifische Interaktion durch. Das Ergebnis: Eine klare Ampelbewertung mit konkreten Hinweisen, welche Dienste problematisch sind.
Checkliste: Cookie-Banner korrekt einrichten
- Alle einwilligungspflichtigen Dienste über das CMP steuern? Kein manuell eingebundener Tracking-Code außerhalb des Consent-Systems
- Vor dem Consent keine Tracking-Requests? Prüfen Sie den Netzwerk-Tab im Browser
- „Ablehnen" getestet? Nicht nur „Akzeptieren" — auch die Ablehn-Funktion muss korrekt arbeiten
- Consent-Cookie wird gesetzt und gespeichert? Banner darf nicht bei jedem Seitenaufruf erneut erscheinen
- Keine vorausgewählten Checkboxen? Alle optionalen Kategorien müssen standardmäßig deaktiviert sein
- Gleichwertige Optionen? „Ablehnen" muss so einfach erreichbar sein wie „Akzeptieren"
- Datenschutzerklärung aktuell? Muss alle eingesetzten Dienste und die Rechtsgrundlagen nennen
- CMP-Update regelmäßig durchgeführt? Veraltete Versionen haben bekannte Bugs