Ein Cookie-Banner ist wie ein Türsteher vor Ihrer Website. Die Frage ist nur: Macht dieser Wächter seinen Job wirklich – und wie prüfen Sie das selbst?
Fakt ist: Die wenigsten Consent-Banner tun das, was sie sollen. Mehr als zwei Drittel zeigen in unseren Audits technische Mängel. Die Folgen reichen von Cookies ohne Rechtsgrundlage über Datenschutzverstöße im Verborgenen bis zu Datenerhebungen, die so nicht stattfinden dürften. Wir zeigen Ihnen die häufigsten Fallstricke und wie Sie Ihren Banner bei Bedarf korrigieren.
Ein Cookie-Banner auf der Website zu haben bedeutet nicht, dass der Datenschutz funktioniert. Das Banner ist nur die sichtbare Oberfläche – wie eine Theaterkulisse, die von vorn ein komplettes Wohnzimmer zeigt und hinten nur aus Sperrholz und Streben besteht. Entscheidend ist, was technisch dahinter passiert: Werden Dienste vor der Einwilligung geladen? Reagiert das System tatsächlich auf den Klick? Werden Cookies gesetzt, obwohl noch niemand zugestimmt hat?
In über 3 Mio. Audits (Stand: Juli 2026) haben wir die Cookie-Banner deutscher Websites darauf geprüft, ob sie zentrale technische Anforderungen aus DSGVO und TDDDG erfüllen, mit einem echten Browser, der das Banner bedient und das Ergebnis technisch auswertet. Die Zahlen sind ernüchternd. Beheben lässt sich das trotzdem: Wir zeigen, wie Sie Ihren Cookie-Banner prüfen und die häufigsten Fehler abstellen.
Die folgenden Ausführungen stellen keine Rechtsberatung dar. Mehr zu unserer Methodik und zum Begriff Cookie-Banner.
Häufige Fragen zu Ist Ihr Cookie-Banner wirklich korrekt?
Wie prüft exatics Cookie-Banner?
Cookie-Banner werden in der Regel über sogenannte Consent-Management-Plattformen (Kurzform: CMP) gesteuert. Unsere Ergebnisse basieren auf dem aktuellen Stand unserer automatisierten Erkennung. Wir prüfen jede Website mit einem echten Browser, der das Banner bedient und das Ergebnis technisch auswertet. Die Prüfverfahren werden kontinuierlich weiterentwickelt – Ergebnisse können sich bei verbesserten Erkennungsmethoden ändern. Die Bewertung bezieht sich auf das Verhalten der Website zum Prüfzeitpunkt, nicht auf die Qualität der eingesetzten CMP-Systeme selbst. Die folgenden Ausführungen stellen keine Rechtsberatung dar. Für die rechtliche Bewertung Ihrer Cookie-Banner-Konfiguration konsultieren Sie bitte Ihren Datenschutzbeauftragten.
Was ist der Unterschied zwischen einem Cookie-Banner und einem Consent-Banner?
Der Begriff Cookie-Banner wird hier verwendet, da er sich umgangssprachlich eingebürgert hat. Korrekt müsste es Consent-Banner heißen, da es nicht um die Abfrage einer Zustimmung zum Setzen von Cookies geht, sondern faktisch um die Zustimmung zur Nutzung externer, zustimmungspflichtiger Dienste im Rahmen der gesetzlichen Anforderungen der DSGVO und/oder der erweiterten Anforderungen durch das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG).
Wie kann ich meinen Cookie-Banner testen?
Öffnen Sie Ihre Website im Inkognito-Modus und prüfen Sie über die Browser-Entwicklertools (Netzwerk-Tab), ob vor dem Klick auf „Akzeptieren" bereits Tracking-Requests abgefeuert werden. Automatisierte Tools wie exatics Audit übernehmen diese Prüfung in Sekunden.
Nach jedem CMP-Update, bei neuen Tracking-Diensten und mindestens vierteljährlich. Änderungen an Drittanbieter-Skripten können jederzeit neue Datenschutzprobleme verursachen.
Was passiert, wenn mein Cookie-Banner fehlerhaft ist?
Fehlerhafte Cookie-Banner können Datenschutzverstöße darstellen und aufsichtsbehördliche Maßnahmen oder Bußgelder auslösen. Der DSGVO-Bußgeldrahmen reicht bei schweren Verstößen bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes; die konkrete Höhe hängt vom Einzelfall ab.
Die meisten Banner fallen bei unseren Audits durch
70,1 % der geprüften Cookie-Banner weisen technische Mängel auf, davon 46,0 % mit schwerwiegenden Fehlern.
Unsere Auswertung über 3.010.771 Audits ergibt folgendes Bild:
29,9 %
ohne erkannte Verstöße
24,2 %
mit Verbesserungsbedarf
46,0 %
mit schwerwiegenden Fehlern
Verteilung der Ergebnisse aus über 3 Mio. Audits (Stand: Juli 2026)
Dabei ist zu beachten: Bei 28,8 % der Audits wurde kein Cookie-Banner erkannt. In diesen Fällen war eine Bewertung nicht möglich. Oft kann auch auf ein Banner verzichtet werden, da unsere Tests keine einwilligungspflichtigen Dienste erkannt haben.
Knapp mehr als die Hälfte der Websites besteht unseren technischen Check ohne schwerwiegende Mängel. Bei den übrigen laden Dienste vor der Einwilligung, das Banner reagiert nicht korrekt auf den Nutzerklick, oder es fehlen grundlegende Einstellungen.
Welches Consent-System am weitesten verbreitet ist, sagt wenig über dessen Qualität aus. Entscheidend ist die korrekte Konfiguration, und die unterscheidet sich bei jedem System. Einen Überblick über die in Deutschland gängigen Consent-Tools und ihre tatsächliche Verbreitung bietet unser Ratgeber Welche Consent-Tools nutzt Deutschland?.
Was ein Cookie-Banner technisch leistet
Ein korrekt funktionierender Cookie-Banner muss drei Aufgaben zuverlässig erfüllen: blockieren, fragen, freigeben.
Viele Website-Betreiber denken, der Cookie-Banner sei ein Hinweisfenster. Das ist er nicht. Dahinter steckt eine Consent-Management-Plattform (CMP), die als technisches Kontrollsystem drei Schritte zuverlässig ausführen muss:
1
Blockieren
Bevor der Nutzer eine Entscheidung trifft, dürfen keine einwilligungspflichtigen Dienste laden. Weder Cookies noch Tracking-Scripts dürfen aktiv werden. Kein Google Analytics, kein Facebook Pixel, keine Marketing-Cookies. Das TDDDG verbietet den Zugriff auf Informationen der Endeinrichtung ohne Einwilligung, und Cookies sind die häufigste Form dieses Zugriffs.
2
Fragen
Das Cookie-Banner muss dem Nutzer eine echte Wahl bieten. „Alle akzeptieren" und „Alle ablehnen" müssen gleichwertig zugänglich sein. Vorausgewählte Checkboxen oder versteckte Ablehnoptionen gelten als rechtswidrig.
3
Freigeben
Erst nach dem Klick auf „Alle akzeptieren" (oder die gezielte Auswahl einzelner Kategorien) dürfen die entsprechenden Dienste geladen werden. Das System muss die Einwilligung speichern und bei Folgebesuchen berücksichtigen.
Funktioniert auch nur einer dieser drei Schritte nicht, ist Ihr Cookie-Banner kein Schutz, sondern ein Risiko, bis hin zur Abmahnung.
Wenn automatisches Consent-Blocking zur Adblocker-Falle wird
Wer ein Consent-Tool einsetzt und dabei die Hoffnung hat, dass dieses alle Services korrekt blockiert, sollte eines bedenken: Wenn ein Adblocker die Ausführung des Consent-Tools blockiert, kann auch der beste Schutzmechanismus nicht greifen. Für solche Fälle muss zuvor der aktive Code, z.B. für das TikTok-Pixel oder auch Google Analytics, so verändert werden, dass er im Fall der Nicht-Existenz des Consent-Tools ebenfalls nicht ausgelöst wird. Es bedarf also in den allermeisten Fällen eines Eingriffs durch den Webentwickler oder die Webagentur. Einfach ein CMP einzubinden reicht häufig nicht aus. Prüfen Sie jetzt Ihre Website, ob Ihr Consent-Tool von Adblockern betroffen ist.
Welche Cookies erfordern eine Einwilligung?
Nicht alle Cookies sind gleich. Das TDDDG regelt, wann Informationen auf dem Endgerät gespeichert oder ausgelesen werden dürfen, und unterscheidet zwischen technisch notwendigen Vorgängen und solchen, die einer Einwilligung bedürfen, etwa für Tracking. Die DSGVO greift zusätzlich, sobald dabei personenbezogene Daten verarbeitet werden. Entscheidend ist, ob ein Dienst wirklich technisch notwendig für die Bereitstellung der Website ist. Ein Chat-Tool oder ein A/B-Testing mag aus Sicht des Betreibers nützlich sein, aus Sicht des Datenschutzes ist es das jedoch nicht: Die Website funktioniert auch ohne. Dass damit gewünschte Services wie die Kundenansprache entfallen, macht einen Dienst nicht technisch notwendig. Der Datenschutz verlangt, dass Nutzer vor dem Setzen nicht-essenzieller Cookies über deren Zweck informiert werden und die Möglichkeit haben, diese abzulehnen.
Notwendige Cookies: Session-Cookies, Warenkorb-Cookies, Consent-Cookies, diese dürfen ohne Einwilligung gesetzt werden, da sie für den Betrieb der Website erforderlich sind.
Statistik-Cookies: Cookies von Analytics-Diensten wie Google Analytics erfordern in der Regel eine Einwilligung, da sie personenbezogene Daten verarbeiten. Eine Ausnahme bilden entsprechend konfigurierte Tools wie selbst gehostetes Matomo.
Marketing-Cookies: Cookies für Werbung, Remarketing und Social-Media-Tracking erfordern in der Regel eine ausdrückliche Einwilligung des Nutzers.
Die Datenschutzerklärung (DSE) muss alle eingesetzten Dienste und die von diesen Diensten gesetzten Cookies und deren Zweck auflisten. Auch externe Dienste, die keine Cookies setzen, müssen in der DSE aufgeführt werden. Fehlt diese Information, kann bereits ein Verstoß gegen die DSGVO vorliegen, unabhängig davon, ob das Cookie-Banner technisch korrekt funktioniert. Die Einhaltung dieser Informationspflichten ist zwingend. Nutzer müssen die Möglichkeit haben, sich vor ihrer Entscheidung umfassend zu informieren.
Die fünf häufigsten Fehler bei Cookie-Bannern
1. Dienste laden vor der Einwilligung
Das häufigste Problem, zugleich das gravierendste: Cookies und Tracking-Dienste sind bereits aktiv, bevor der Besucher das Banner überhaupt gesehen hat.
In unseren Audits sehen wir regelmäßig, dass Google Analytics, der Facebook Pixel oder andere Dienste Cookies setzen und Daten erfassen, während der Cookie-Banner noch angezeigt wird. Das passiert, weil der Tracking-Code direkt im HTML der Seite steht, ohne durch das Consent-System gesteuert zu werden.
Die Ursache? Häufig eine fehlerhafte Einbindung: Der Tracking-Code wurde manuell ins Theme eingefügt, statt über das Consent-System verwaltet zu werden. Oder das CMP wurde nachträglich installiert, ohne die bestehenden Tracking-Codes zu entfernen.
So prüfen Sie es selbst. Öffnen Sie Ihre Website in einem privaten Browserfenster und schauen Sie in die Browser-Entwicklertools (Netzwerk-Tab), welche Requests vor dem Klick auf das Banner gesendet werden. Oder lassen Sie exatics die Prüfung automatisch durchführen, wir simulieren genau dieses Szenario.
2. Das Banner blockiert nicht – es informiert nur
Manche Cookie-Banner zeigen zwar einen Hinweis an, blockieren jedoch technisch nichts.
Das betrifft vor allem einfache Plugins in den verschiedenen Content-Management-Systemen. Dabei ist es vollkommen egal, ob man WordPress, Joomla, Contao oder andere typische Vertreter ansieht. Viele blenden nur einen Text-Hinweis ein. Der Besucher klickt auf „OK" oder „Verstanden", doch technisch passiert nichts: Die gleichen Cookies werden gesetzt und die gleichen Dienste laufen vor und nach dem Klick. Das Banner ist eine leere Hülle.
Nach außen sieht es so aus, als würde der Datenschutz funktionieren, in Wirklichkeit findet keine Kontrolle statt. Rechtlich ist das besonders heikel.
3. „Ablehnen" funktioniert nicht wie erwartet
Nach dem Klick auf „Ablehnen" oder „Nur notwendige Cookies" laufen trotzdem Tracking-Dienste weiter.
Viele Consent-Systeme sind so konfiguriert, dass „Alle akzeptieren" korrekt funktioniert, die Ablehn-Funktion jedoch nicht vollständig umgesetzt ist. Dienste, die bei der Erst-Konfiguration als „notwendig" markiert wurden, laufen auch nach der Ablehnung weiter, obwohl sie es nicht sind.
Ein typisches Beispiel: Google Analytics wird als „Statistik" kategorisiert und sollte bei Ablehnung blockiert werden. Doch durch einen Konfigurationsfehler im CMP lädt der Dienst trotzdem. Warum fällt das nicht auf? Weil die meisten Betreiber nur den „Akzeptieren"-Flow testen.
4. Das Banner erscheint auf jeder Seite erneut
Wenn das Banner bei jedem Seitenaufruf neu erscheint, wird die Einwilligung nicht gespeichert.
Das deutet auf ein technisches Problem hin: Das Consent-System setzt zwar ein eigenes Cookie, um die Entscheidung zu speichern, doch dieses Cookie wird blockiert. Häufige Ursachen:
Eine zu restriktive Cookie-Policy im CMP, die auch die eigenen Consent-Cookies blockiert
Ein Caching-Plugin, das die Cookie-Logik umgeht
Widersprüchliche Einstellungen zwischen CMP und Content-Security-Policy
Das führt zu genervten Besuchern, verlorenen Einwilligungen und verfälschten Analytics-Daten.
5. Individuelle Cookie-Banner ohne technische Steuerung
Selbstgebaute Cookie-Banner sehen oft professionell aus, haben jedoch bei einigen Lösungen keine Verbindung zum tatsächlichen Tracking.
Manche Agenturen oder Entwickler bauen eigene Cookie-Banner, die optisch perfekt zur Website passen. Sieht professionell aus, ist jedoch häufig nur Fassade. Diese Banner sind reine Frontend-Elemente: Sie zeigen Buttons an und speichern vielleicht eine Auswahl, steuern jedoch nicht, welche Scripts tatsächlich geladen werden.
exatics erkennt 183 verschiedene Consent-Management-Systeme. Zusätzlich identifizieren wir individuelle Cookie-Banner mit einer Trefferquote von über 70 %. Bei diesen individuellen Lösungen können wir die technische Funktionalität allerdings nicht immer automatisiert bedienen oder vollständig prüfen, was oft bereits ein Warnsignal ist.
Warum ein Cookie-Banner Daten kostet – und was Sie dagegen tun können
Ein Cookie-Banner erzeugt nicht nur häufig Kosten bei dem Anbieter des CMP, es kostet noch viel mehr! Je nach Branche, Zielgruppe und eingesetztem Analytics-Tool kann ein erheblicher Teil der Analytics-Daten fehlen. In unseren Beobachtungen liegt der Verlust häufig bei 30 bis 60 %.
Jeder Cookie-Banner ist eine Hürde zwischen Ihrem Nutzer und Ihren Daten. Nicht jeder klickt auf „Akzeptieren". Viele ignorieren das Banner, manche lehnen ab, und ein wachsender Anteil nutzt Adblocker, die das Banner komplett blockieren.
Für Dienste wie Google Analytics, die eine Einwilligung erfordern, bedeutet das: Sie sehen nur noch einen Bruchteil Ihrer tatsächlichen Besucher. Die Zahlen in Ihrem Analytics-Dashboard sind systematisch zu niedrig, und die Verzerrung ist nicht gleichmäßig. Technikaffine Besucher lehnen in der Regel häufiger ab, bestimmte Altersgruppen ignorieren das Banner, und mobile Nutzer interagieren anders als Desktop-Nutzer.
Consent-freie Webanalyse als Option
Die gute Nachricht: Für die reine Reichweitenanalyse gibt es Alternativen. Tools wie Matomo (self-hosted), etracker, Piwik PRO, Plausible oder Fathom lassen sich in vielen Einsätzen ohne Zustimmungsabfrage betreiben, die genaue Notwendigkeit hängt von Konfiguration und Einsatzkontext ab: keine Cookies, keine Details aus dem Endgerät des Besuchers und eine korrekte Anonymisierung der IP-Adresse.
Der Vorteil: Sie erfassen deutlich mehr Besucher, nicht nur die, die auf „Akzeptieren" klicken. Mehr dazu in unseren Ratgebern zu den einzelnen Tools.
Consent-freie Webanalyse ersetzt keinen Cookie-Banner. Sobald Sie Dienste einsetzen, die eine Einwilligung nach DSGVO erfordern (Werbung, Remarketing, Social-Media-Plugins), brauchen Sie weiterhin ein Consent-System für diese Cookies.
Der Werbestandard IAB TCF und seine Fallstricke
Das Transparency & Consent Framework (TCF) des IAB Europe ist der Industriestandard für die Einwilligungsverwaltung in der Online-Werbung, ist jedoch kein Garant für Rechtskonformität.
In unseren Audits erkennen wir über 131.232 Websites mit TCF-v2-Integration. Das Framework standardisiert, wie Cookies und Consent-Informationen zwischen CMP, Werbetreibenden und Verlagen ausgetauscht werden.
Was bedeutet das für Sie? Wenn Sie programmatische Werbung einsetzen, muss Ihr CMP die Einwilligung einholen und sie im TCF-Format an die Werbe-Auktionspartner weitergeben. Diese Anforderung wird häufig nur von kommerziellen Consent-Plattformen unterstützt. Viele kostenfreie Erweiterungen von Contao, TYPO3 oder WordPress unterstützen diesen Standard nicht. Hier sollten Sie also sinnvollerweise vor der Integration die Anforderungen mit den Entwicklern abstimmen.
Hinzu kommt: Das TCF ist komplex, und viele Website-Betreiber verstehen nicht vollständig, welche Datenflüsse sie damit legitimieren. Eine technisch korrekte TCF-Implementierung bedeutet nicht automatisch, dass alle Werbe-Partner auch DSGVO-konform arbeiten. Die Verantwortung bleibt beim Website-Betreiber.
So prüfen Sie Ihren Cookie-Banner
Eine vollständige Prüfung erfordert mehr als einen Blick auf die Website, Sie müssen das Verhalten vor und nach dem Consent technisch vergleichen.
Cookie-Banner manuell testen
Öffnen Sie Ihre Website in einem privaten Browserfenster (alle Cookies gelöscht)
Öffnen Sie die Browser-Entwicklertools (F12) → Netzwerk-Tab
Laden Sie die Seite und prüfen Sie, welche Requests vor dem Consent-Klick gesendet werden
Suchen Sie nach bekannten Tracking-Domains: google-analytics.com, googletagmanager.com, facebook.net, connect.facebook.net
Klicken Sie auf „Alle akzeptieren" und prüfen Sie, welche neuen Requests erscheinen
Wiederholen Sie den Test mit „Ablehnen", es dürfen keine Tracking-Requests erscheinen
Dieses Vorgehen ist die einfachste Methode, Ihren Cookie-Consent zu testen, ganz ohne zusätzliche Werkzeuge, direkt im Browser.
Automatische Prüfung mit exatics
Diesen Aufwand nimmt Ihnen exatics ab und automatisiert die Prüfung vollständig. Wir besuchen Ihre Website mit einem echten Browser, erkennen den Cookie-Banner, simulieren den Consent-Klick und vergleichen, welche Cookies und Technologien vor und nach der Einwilligung aktiv sind.
Bei den verbreitetsten Consent-Systemen (darunter Cookiebot, OneTrust, Usercentrics, Borlabs Cookie und Complianz) führen wir eine systemspezifische Interaktion durch. Das Ergebnis: Eine klare Bewertung mit konkreten Hinweisen, welche Dienste problematisch sind.
Alle einwilligungspflichtigen Dienste über das CMP steuern? Kein manuell eingebundener Tracking-Code außerhalb des Consent-Systems
Vor dem Consent keine Tracking-Requests? Prüfen Sie den Netzwerk-Tab im Browser
„Ablehnen" getestet? Nicht nur „Akzeptieren", auch die Ablehn-Funktion muss korrekt arbeiten
Consent-Cookie wird gesetzt und gespeichert? Banner darf nicht bei jedem Seitenaufruf erneut erscheinen
Keine vorausgewählten Checkboxen? Alle optionalen Kategorien müssen standardmäßig deaktiviert sein
Gleichwertige Optionen? „Ablehnen" muss so einfach erreichbar sein wie „Akzeptieren"
Datenschutzerklärung vollständig? Muss alle Cookies, Tracking-Dienste und deren DSGVO-Rechtsgrundlagen nennen, inklusive Speicherdauer und Empfänger der Daten
CMP-Update regelmäßig durchgeführt? Veraltete Versionen haben bekannte Bugs und gefährden die DSGVO-Einhaltung
Vertiefende Fragen zu Ist Ihr Cookie-Banner wirklich korrekt?
Muss ein Cookie-Banner einen Ablehnen-Button haben?
Ja. Seit dem EuGH-Urteil von 2022 muss die Ablehnung genauso einfach möglich sein wie die Zustimmung. Ein „Ablehnen"-Button muss auf der ersten Ebene des Banners sichtbar sein – nicht versteckt hinter „Einstellungen".
Was ist der Unterschied zwischen technischen und nicht-technischen Cookies?
Technisch notwendige Cookies (Session, Warenkorb) brauchen keine Einwilligung. Alle anderen – insbesondere Tracking-, Marketing- und Analyse-Cookies – dürfen erst nach aktivem Opt-in gesetzt werden.