Ist Ihr Cookie-Banner wirklich korrekt?

Ein Cookie-Banner ist wie ein Türsteher vor Ihrer Website. Die Frage ist nur: Macht dieser Wächter seinen Job wirklich – und wie prüfen Sie das selbst?

Fakt ist: Die wenigsten Consent-Banner tun das, was sie sollen. Mehr als zwei Drittel zeigen in unseren Audits technische Mängel. Die Folgen reichen von Cookies ohne Rechtsgrundlage über Datenschutzverstöße im Verborgenen bis zu Datenerhebungen, die so nicht stattfinden dürften. Wir zeigen Ihnen die häufigsten Fallstricke und wie Sie Ihren Banner bei Bedarf korrigieren.

Zwei Ärzte mit Stethoskop untersuchen einen grimmigen Türsteher – einer am Kopf, einer am Herzen – als Sinnbild für die gründliche Prüfung eines Cookie-Banners

Ein Cookie-Banner auf der Website zu haben bedeutet nicht, dass der Datenschutz funktioniert. Das Banner ist nur die sichtbare Oberfläche – wie eine Theaterkulisse, die von vorn ein komplettes Wohnzimmer zeigt und hinten nur aus Sperrholz und Streben besteht. Entscheidend ist, was technisch dahinter passiert: Werden Dienste vor der Einwilligung geladen? Reagiert das System tatsächlich auf den Klick? Werden Cookies gesetzt, obwohl noch niemand zugestimmt hat?

In über 3 Mio. Audits (Stand: Juli 2026) haben wir die Cookie-Banner deutscher Websites darauf geprüft, ob sie zentrale technische Anforderungen aus DSGVO und TDDDG erfüllen, mit einem echten Browser, der das Banner bedient und das Ergebnis technisch auswertet. Die Zahlen sind ernüchternd. Beheben lässt sich das trotzdem: Wir zeigen, wie Sie Ihren Cookie-Banner prüfen und die häufigsten Fehler abstellen.

Die folgenden Ausführungen stellen keine Rechtsberatung dar. Mehr zu unserer Methodik und zum Begriff Cookie-Banner.

Häufige Fragen zu Ist Ihr Cookie-Banner wirklich korrekt?

Wie prüft exatics Cookie-Banner?

Cookie-Banner werden in der Regel über sogenannte Consent-Management-Plattformen (Kurzform: CMP) gesteuert. Unsere Ergebnisse basieren auf dem aktuellen Stand unserer automatisierten Erkennung. Wir prüfen jede Website mit einem echten Browser, der das Banner bedient und das Ergebnis technisch auswertet. Die Prüfverfahren werden kontinuierlich weiterentwickelt – Ergebnisse können sich bei verbesserten Erkennungsmethoden ändern. Die Bewertung bezieht sich auf das Verhalten der Website zum Prüfzeitpunkt, nicht auf die Qualität der eingesetzten CMP-Systeme selbst. Die folgenden Ausführungen stellen keine Rechtsberatung dar. Für die rechtliche Bewertung Ihrer Cookie-Banner-Konfiguration konsultieren Sie bitte Ihren Datenschutzbeauftragten.

Was ist der Unterschied zwischen einem Cookie-Banner und einem Consent-Banner?

Der Begriff Cookie-Banner wird hier verwendet, da er sich umgangssprachlich eingebürgert hat. Korrekt müsste es Consent-Banner heißen, da es nicht um die Abfrage einer Zustimmung zum Setzen von Cookies geht, sondern faktisch um die Zustimmung zur Nutzung externer, zustimmungspflichtiger Dienste im Rahmen der gesetzlichen Anforderungen der DSGVO und/oder der erweiterten Anforderungen durch das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG).

Wie kann ich meinen Cookie-Banner testen?

Öffnen Sie Ihre Website im Inkognito-Modus und prüfen Sie über die Browser-Entwicklertools (Netzwerk-Tab), ob vor dem Klick auf „Akzeptieren" bereits Tracking-Requests abgefeuert werden. Automatisierte Tools wie exatics Audit übernehmen diese Prüfung in Sekunden.

→ Mehr dazu
Wie oft sollte man seinen Cookie-Banner prüfen?

Nach jedem CMP-Update, bei neuen Tracking-Diensten und mindestens vierteljährlich. Änderungen an Drittanbieter-Skripten können jederzeit neue Datenschutzprobleme verursachen.

Was passiert, wenn mein Cookie-Banner fehlerhaft ist?

Fehlerhafte Cookie-Banner können Datenschutzverstöße darstellen und aufsichtsbehördliche Maßnahmen oder Bußgelder auslösen. Der DSGVO-Bußgeldrahmen reicht bei schweren Verstößen bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes; die konkrete Höhe hängt vom Einzelfall ab.

Die meisten Banner fallen bei unseren Audits durch

70,1 % der geprüften Cookie-Banner weisen technische Mängel auf, davon 46,0 % mit schwerwiegenden Fehlern.

Unsere Auswertung über 3.010.771 Audits ergibt folgendes Bild:

29,9 %

ohne erkannte Verstöße

24,2 %

mit Verbesserungsbedarf

46,0 %

mit schwerwiegenden Fehlern

Verteilung der Ergebnisse aus über 3 Mio. Audits (Stand: Juli 2026)

Dabei ist zu beachten: Bei 28,8 % der Audits wurde kein Cookie-Banner erkannt. In diesen Fällen war eine Bewertung nicht möglich. Oft kann auch auf ein Banner verzichtet werden, da unsere Tests keine einwilligungspflichtigen Dienste erkannt haben.

Knapp mehr als die Hälfte der Websites besteht unseren technischen Check ohne schwerwiegende Mängel. Bei den übrigen laden Dienste vor der Einwilligung, das Banner reagiert nicht korrekt auf den Nutzerklick, oder es fehlen grundlegende Einstellungen.

Welches Consent-System am weitesten verbreitet ist, sagt wenig über dessen Qualität aus. Entscheidend ist die korrekte Konfiguration, und die unterscheidet sich bei jedem System. Einen Überblick über die in Deutschland gängigen Consent-Tools und ihre tatsächliche Verbreitung bietet unser Ratgeber Welche Consent-Tools nutzt Deutschland?.

Welche Cookies erfordern eine Einwilligung?

Nicht alle Cookies sind gleich. Das TDDDG regelt, wann Informationen auf dem Endgerät gespeichert oder ausgelesen werden dürfen, und unterscheidet zwischen technisch notwendigen Vorgängen und solchen, die einer Einwilligung bedürfen, etwa für Tracking. Die DSGVO greift zusätzlich, sobald dabei personenbezogene Daten verarbeitet werden. Entscheidend ist, ob ein Dienst wirklich technisch notwendig für die Bereitstellung der Website ist. Ein Chat-Tool oder ein A/B-Testing mag aus Sicht des Betreibers nützlich sein, aus Sicht des Datenschutzes ist es das jedoch nicht: Die Website funktioniert auch ohne. Dass damit gewünschte Services wie die Kundenansprache entfallen, macht einen Dienst nicht technisch notwendig. Der Datenschutz verlangt, dass Nutzer vor dem Setzen nicht-essenzieller Cookies über deren Zweck informiert werden und die Möglichkeit haben, diese abzulehnen.

  • Notwendige Cookies: Session-Cookies, Warenkorb-Cookies, Consent-Cookies, diese dürfen ohne Einwilligung gesetzt werden, da sie für den Betrieb der Website erforderlich sind.
  • Statistik-Cookies: Cookies von Analytics-Diensten wie Google Analytics erfordern in der Regel eine Einwilligung, da sie personenbezogene Daten verarbeiten. Eine Ausnahme bilden entsprechend konfigurierte Tools wie selbst gehostetes Matomo.
  • Marketing-Cookies: Cookies für Werbung, Remarketing und Social-Media-Tracking erfordern in der Regel eine ausdrückliche Einwilligung des Nutzers.

Die Datenschutzerklärung (DSE) muss alle eingesetzten Dienste und die von diesen Diensten gesetzten Cookies und deren Zweck auflisten. Auch externe Dienste, die keine Cookies setzen, müssen in der DSE aufgeführt werden. Fehlt diese Information, kann bereits ein Verstoß gegen die DSGVO vorliegen, unabhängig davon, ob das Cookie-Banner technisch korrekt funktioniert. Die Einhaltung dieser Informationspflichten ist zwingend. Nutzer müssen die Möglichkeit haben, sich vor ihrer Entscheidung umfassend zu informieren.

Der Werbestandard IAB TCF und seine Fallstricke

Das Transparency & Consent Framework (TCF) des IAB Europe ist der Industriestandard für die Einwilligungsverwaltung in der Online-Werbung, ist jedoch kein Garant für Rechtskonformität.

In unseren Audits erkennen wir über 131.232 Websites mit TCF-v2-Integration. Das Framework standardisiert, wie Cookies und Consent-Informationen zwischen CMP, Werbetreibenden und Verlagen ausgetauscht werden.

Was bedeutet das für Sie? Wenn Sie programmatische Werbung einsetzen, muss Ihr CMP die Einwilligung einholen und sie im TCF-Format an die Werbe-Auktionspartner weitergeben. Diese Anforderung wird häufig nur von kommerziellen Consent-Plattformen unterstützt. Viele kostenfreie Erweiterungen von Contao, TYPO3 oder WordPress unterstützen diesen Standard nicht. Hier sollten Sie also sinnvollerweise vor der Integration die Anforderungen mit den Entwicklern abstimmen.

Hinzu kommt: Das TCF ist komplex, und viele Website-Betreiber verstehen nicht vollständig, welche Datenflüsse sie damit legitimieren. Eine technisch korrekte TCF-Implementierung bedeutet nicht automatisch, dass alle Werbe-Partner auch DSGVO-konform arbeiten. Die Verantwortung bleibt beim Website-Betreiber.

Weiterführende Artikel

Jetzt Ihren Cookie-Banner prüfen

Vertiefende Fragen zu Ist Ihr Cookie-Banner wirklich korrekt?

Muss ein Cookie-Banner einen Ablehnen-Button haben?

Ja. Seit dem EuGH-Urteil von 2022 muss die Ablehnung genauso einfach möglich sein wie die Zustimmung. Ein „Ablehnen"-Button muss auf der ersten Ebene des Banners sichtbar sein – nicht versteckt hinter „Einstellungen".

Was ist der Unterschied zwischen technischen und nicht-technischen Cookies?

Technisch notwendige Cookies (Session, Warenkorb) brauchen keine Einwilligung. Alle anderen – insbesondere Tracking-, Marketing- und Analyse-Cookies – dürfen erst nach aktivem Opt-in gesetzt werden.