Cookie-Banner prüfen: Ist Ihr Banner wirklich korrekt?
Die meisten Cookie-Banner sehen gut aus – funktionieren aber nicht richtig. Mehr als jedes dritte Cookie-Banner zeigt in unseren Audits technische Mängel. Die Folge: Cookies ohne Rechtsgrundlage, Datenschutzverstöße im Verborgenen und Datenerhebungen, die so nicht stattfinden dürften.
Ein Cookie-Banner auf der Website zu haben bedeutet nicht, dass der Datenschutz funktioniert. Das Banner ist nur die sichtbare Oberfläche – wie eine Haustür, die zwar abgeschlossen aussieht, aber nicht ins Schloss gefallen ist. Entscheidend ist, was technisch dahinter passiert: Werden Dienste vor der Einwilligung geladen? Reagiert das System tatsächlich auf den Klick? Werden Cookies gesetzt, obwohl noch niemand zugestimmt hat?
In über 2,3 Mio. Audits (Stand: April 2026) haben wir die Cookie-Banner deutscher Websites auf die Einhaltung der DSGVO und weiterer Datenschutzgesetze geprüft – mit einem echten Browser, der das Banner bedient und das Ergebnis technisch auswertet. Die Zahlen sind ernüchternd. Die gute Nachricht: Wir zeigen, wie Sie Ihren Cookie-Banner prüfen und die häufigsten Fehler beheben können.
Die folgenden Ausführungen stellen keine Rechtsberatung dar. Mehr zu unserer Methodik und zum Begriff Cookie-Banner.
Häufige Fragen zu Cookie-Banner
Wie prüft exatics Cookie-Banner?
Cookie-Banner werden in der Regel über sogenannte Consent-Management-Plattformen (Kurzform: CMP) gesteuert. Unsere Ergebnisse basieren auf dem aktuellen Stand unserer automatisierten Erkennung. Wir prüfen jede Website mit einem echten Browser, der das Banner bedient und das Ergebnis technisch auswertet. Die Prüfverfahren werden kontinuierlich weiterentwickelt – Ergebnisse können sich bei verbesserten Erkennungsmethoden ändern. Die Bewertung bezieht sich auf das Verhalten der Website zum Prüfzeitpunkt, nicht auf die Qualität der eingesetzten CMP-Systeme selbst. Die folgenden Ausführungen stellen keine Rechtsberatung dar. Für die rechtliche Bewertung Ihrer Cookie-Banner-Konfiguration konsultieren Sie bitte Ihren Datenschutzbeauftragten.
Was ist der Unterschied zwischen einem Cookie-Banner und einem Consent-Banner?
Der Begriff Cookie-Banner wird hier verwendet, da er sich umgangssprachlich eingebürgert hat. Korrekt müsste es Consent-Banner heißen, da es nicht um die Abfrage einer Zustimmung zum Setzen von Cookies geht, sondern faktisch um die Zustimmung zur Nutzung externer, zustimmungspflichtiger Dienste im Rahmen der gesetzlichen Anforderungen der DSGVO und/oder der erweiterten Anforderungen durch das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG).
Wie kann ich meinen Cookie-Banner testen?
Öffnen Sie Ihre Website im Inkognito-Modus und prüfen Sie über die Browser-Entwicklertools (Netzwerk-Tab), ob vor dem Klick auf „Akzeptieren" bereits Tracking-Requests abgefeuert werden. Automatisierte Tools wie exatics Audit übernehmen diese Prüfung in Sekunden.
Nach jedem CMP-Update, bei neuen Tracking-Diensten und mindestens vierteljährlich. Änderungen an Drittanbieter-Skripten können jederzeit neue Datenschutzprobleme verursachen.
Was passiert, wenn mein Cookie-Banner fehlerhaft ist?
Fehlerhafte Cookie-Banner können zu DSGVO-Verstößen führen. Datenschutzbehörden verhängen Bußgelder bis zu 20 Mio. € oder 4 % des Jahresumsatzes – auch für technische Mängel wie fehlende Ablehnmöglichkeit.
Was unsere Audits zeigen: Jedes dritte Banner fällt durch
94,5 % aller Websites mit Cookie-Banner weisen technische Mängel auf – davon 50,2 % mit schwerwiegenden Fehlern.
Unsere Auswertung über 2.370.279 Audits ergibt folgendes Bild:
Bewertung
Anteil
Bedeutung
Datenschutzkonform
5,5 %
Das Banner funktioniert technisch korrekt
Verbesserungsbedarf
44,3 %
Probleme erkannt – Handlungsbedarf
Schwerwiegende Mängel
50,2 %
Dringender Handlungsbedarf
Ampel-Verteilung über über 2,3 Mio. geprüfte Websites (Stand: April 2026)
Dabei ist zu beachten: Bei 29,4 % aller geprüften Websites wurde kein Cookie-Banner erkannt. Bei diesen Seiten war eine Bewertung des Banners nicht möglich. In vielen Fällen kann auch auf ein Banner verzichtet werden, da unsere Tests keine einwilligungspflichtigen Dienste erkannt haben.
Kurz gesagt: Rund zwei Drittel der Websites bestehen unseren technischen Check. Bei den übrigen laden Dienste vor der Einwilligung, das Banner reagiert nicht korrekt auf den Nutzerklick – oder es fehlen grundlegende Einstellungen.
Welche Cookie-Banner werden in Deutschland eingesetzt?
Borlabs Cookie ist mit Abstand das verbreitetste Consent-Management-System in unseren Audits – gefolgt von Complianz und Cookiebot.
CMP
Erkannte Installationen
Anteil
Borlabs Cookie
159.878
20,4 %
Complianz
145.063
18,5 %
Cookiebot
80.830
10,3 %
Cookie Law Info
66.699
8,5 %
Cookie Notice
66.683
8,5 %
Cookie Manager (CM4all)
61.040
7,8 %
Usercentrics
59.383
7,6 %
Top-7 Consent-Management-Systeme nach Installationen (Stand: April 2026)
Insgesamt erkennt exatics 145 verschiedene Consent-Management-Systeme. Der Markt ist fragmentiert: Neben den großen Anbietern gibt es enorm viele weniger bekannte und natürlich individuelle Lösungen. Allein als WordPress-Plugins gibt es über ein Dutzend Lösungen. Neben den stark verbreiteten Systemen wie Borlabs Cookie und Complianz gibt es viele weitere Plugins, einige davon mit eingeschränktem Funktionsumfang. Individuelle Lösungen oder Plugins, die direkt im Content-Management-System integriert sind, können für viele Websites gute Alternativen zu den zumeist kostenpflichtigen Lösungen der großen CMP-Anbieter sein.
Wichtig: Die Verbreitung eines Systems sagt nichts über dessen Qualität. Entscheidend ist die korrekte Konfiguration – und die ist bei jedem System anders.
Was macht ein Cookie-Banner technisch?
Ein korrekt funktionierender Cookie-Banner muss drei Aufgaben erfüllen: blockieren, fragen, freigeben.
Viele Website-Betreiber denken, der Cookie-Banner sei ein Hinweisfenster. Das ist er nicht. Das Cookie-Banner ist nur die sichtbare Ebene einer Consent-Verwaltung, die häufig von einer Consent-Management-Plattform (CMP) angezeigt wird, um als technisches Kontrollsystem drei Schritte zuverlässig auszuführen:
Blockieren – Bevor der Nutzer eine Entscheidung trifft, dürfen keine einwilligungspflichtigen Dienste laden. Weder Cookies noch Tracking-Scripts dürfen aktiv werden. Kein Google Analytics, kein Facebook Pixel, keine Marketing-Cookies. Das TDDDG verbietet den Zugriff auf Informationen der Endeinrichtung ohne Einwilligung – und Cookies sind die häufigste Form dieses Zugriffs.
Fragen – Das Cookie-Banner muss dem Nutzer eine echte Wahl bieten. „Alle akzeptieren" und „Alle ablehnen" müssen gleichwertig zugänglich sein. Vorausgewählte Checkboxen oder versteckte Ablehnoptionen sind nicht nur schlechter Stil – sie sind rechtswidrig.
Freigeben – Erst nach dem Klick auf „Alle akzeptieren" (oder die gezielte Auswahl einzelner Kategorien) dürfen die entsprechenden Dienste geladen werden. Das System muss die Einwilligung speichern und bei Folgebesuchen berücksichtigen.
Funktioniert auch nur einer dieser drei Schritte nicht, dann ist Ihr Cookie-Banner kein Schutz – sondern ein Risiko.
Automatisches Consent-Blocking: Die unerwartete Adblocker-Falle
Wer ein Consent-Tool einsetzt und dabei die Hoffnung hat, dass dieses alle Services korrekt blockiert, sollte eines bedenken: Wenn ein Adblocker die Ausführung des Consent-Tools blockiert – und das geschieht bei vielen – dann kann auch der beste Schutzmechanismus nicht greifen. Für solche Fälle muss zuvor der aktive Code, z.B. für das TikTok-Pixel oder auch Google Analytics, so verändert werden, dass er im Fall der Nicht-Existenz des Consent-Tools ebenfalls nicht ausgelöst wird. Es bedarf also in den allermeisten Fällen eines Eingriffs durch den Webentwickler oder die Webagentur. Einfach ein CMP einbinden reicht so gut wie nie aus. Prüfen Sie jetzt Ihre Webseite, ob Ihr Consent-Tool von Adblockern betroffen ist.
Welche Cookies erfordern eine Einwilligung?
Nicht alle Cookies sind gleich. Die DSGVO und das TDDDG unterscheiden zwischen technisch notwendigen Cookies und solchen, die nicht technisch notwendig sind, da sie beispielsweise für Tracking genutzt werden oder genutzt werden können. Dabei muss man auch unterscheiden, ob ein Dienst real technisch notwendig für die Bereitstellung der Informationen auf der Website ist. Ein Chat-Tool oder ein A/B-Testing mag zwar aus Sicht des Betreibers technisch notwendig sein. Aus Sicht des Datenschutzes ist es das aber nicht. Die Website funktioniert auch ohne diese Tools. Dass damit die gewünschten Services wie die Kundenansprache nicht möglich sind, ist kein Grund, diese Dienste als technisch notwendig einzustufen. Dies gilt ganz besonders, wenn die Dienste selbst nicht unter die Anforderungen der DSGVO oder – im Fall von Diensten außerhalb Deutschlands – unter die GDPR, der übergeordneten Regel auf EU-Ebene, fallen. Der Teufel steckt also mal wieder im Detail. Der Datenschutz verlangt, dass Nutzer vor dem Setzen nicht-essenzieller Cookies über deren Zweck informiert werden und die Möglichkeit haben, diese abzulehnen. Neben der DSGVO existieren international weitere Datenschutzgesetze wie der CCPA (California Consumer Privacy Act), die ähnliche Anforderungen an die Einhaltung von Cookie-Richtlinien stellen.
Notwendige Cookies: Session-Cookies, Warenkorb-Cookies, Consent-Cookies – diese dürfen ohne Einwilligung gesetzt werden, da sie für den Betrieb der Website erforderlich sind.
Statistik-Cookies: Cookies von Analytics-Diensten wie Google Analytics erfordern in der Regel eine Einwilligung, da sie personenbezogene Daten verarbeiten. Eine Ausnahme bilden datenschutzkonform konfigurierte Tools wie selbst gehostetes Matomo.
Marketing-Cookies: Cookies für Werbung, Remarketing und Social-Media-Tracking erfordern immer eine ausdrückliche Einwilligung des Nutzers.
Die Datenschutzerklärung (DSE) muss alle eingesetzten Dienste und die von diesen Diensten gesetzten Cookies und deren Zweck auflisten. Auch externe Dienste, die keine Cookies setzen, müssen in der DSE aufgeführt werden. Fehlt diese Information, liegt bereits ein Verstoß gegen die DSGVO vor – unabhängig davon, ob das Cookie-Banner technisch korrekt funktioniert. Die Einhaltung dieser Informationspflichten ist zwingend. Nutzer müssen die Möglichkeit haben, sich vor ihrer Entscheidung umfassend zu informieren.
Die fünf häufigsten Fehler bei Cookie-Bannern
1. Dienste laden vor der Einwilligung
Das häufigste Problem – und zugleich das gravierendste: Cookies und Tracking-Dienste sind bereits aktiv, bevor der Besucher das Banner überhaupt gesehen hat.
In unseren Audits sehen wir regelmäßig, dass Google Analytics, der Facebook Pixel oder andere Dienste Cookies setzen und Daten erfassen, während der Cookie-Banner noch angezeigt wird. Das passiert, weil der Tracking-Code direkt im HTML der Seite steht – ohne durch das Consent-System gesteuert zu werden.
Die Ursache? Häufig eine fehlerhafte Einbindung: Der Tracking-Code wurde manuell ins Theme eingefügt, statt über das Consent-System verwaltet zu werden. Oder das CMP wurde nachträglich installiert, ohne die bestehenden Tracking-Codes zu entfernen.
So prüfen Sie es: Öffnen Sie Ihre Website in einem privaten Browserfenster und schauen Sie in die Browser-Entwicklertools (Netzwerk-Tab), welche Requests vor dem Klick auf das Banner gesendet werden. Oder lassen Sie exatics die Prüfung automatisch durchführen – wir simulieren genau dieses Szenario.
2. Das Banner blockiert nicht – es informiert nur
Manche Cookie-Banner zeigen zwar einen Hinweis an, blockieren aber technisch gar nichts.
Das betrifft vor allem einfache Plugins in den verschiedenen Content-Management-Systemen. Dabei ist es vollkommen egal, ob man WordPress, Joomla, Contao oder andere typische Vertreter ansieht. Viele blenden nur einen Text-Hinweis ein. Der Besucher klickt auf „OK" oder „Verstanden", aber technisch passiert nichts: Die gleichen Cookies werden gesetzt und die gleichen Dienste laufen vor und nach dem Klick. Das Banner ist eine leere Hülle.
Das Problem dabei: Nach außen sieht es so aus, als würde der Datenschutz funktionieren – in Wirklichkeit findet keine Kontrolle statt. Rechtlich besonders heikel.
3. „Ablehnen" funktioniert nicht wie erwartet
Nach dem Klick auf „Ablehnen" oder „Nur notwendige Cookies" laufen trotzdem Tracking-Dienste weiter.
Viele Consent-Systeme sind so konfiguriert, dass „Alle akzeptieren" korrekt funktioniert – aber die Ablehn-Funktion nicht vollständig umgesetzt ist. Dienste, die bei der Erst-Konfiguration als „notwendig" markiert wurden, laufen auch nach der Ablehnung weiter – obwohl sie es nicht sind.
Ein typisches Beispiel: Google Analytics wird als „Statistik" kategorisiert und sollte bei Ablehnung blockiert werden. Aber durch einen Konfigurationsfehler im CMP lädt der Dienst trotzdem. Warum fällt das nicht auf? Weil die meisten Betreiber nur den „Akzeptieren"-Flow testen.
4. Das Banner erscheint auf jeder Seite erneut
Wenn das Banner bei jedem Seitenaufruf neu erscheint, wird die Einwilligung nicht gespeichert.
Das deutet auf ein technisches Problem hin: Das Consent-System setzt zwar ein eigenes Cookie, um die Entscheidung zu speichern – aber dieses Cookie wird blockiert. Häufige Ursachen:
Eine zu restriktive Cookie-Policy im CMP, die auch die eigenen Consent-Cookies blockiert
Ein Caching-Plugin, das die Cookie-Logik umgeht
Widersprüchliche Einstellungen zwischen CMP und Content-Security-Policy
Die Folge: genervte Besucher, verlorene Einwilligungen und verfälschte Analytics-Daten. Dreifach ärgerlich.
5. Individuelle Cookie-Banner ohne technische Steuerung
Selbstgebaute Cookie-Banner sehen oft professionell aus – haben aber bei einigen Lösungen keine Verbindung zum tatsächlichen Tracking.
Manche Agenturen oder Entwickler bauen eigene Cookie-Banner, die optisch perfekt zur Website passen. Sieht professionell aus – ist aber häufig nur Fassade. Diese Banner sind reine Frontend-Elemente: Sie zeigen Buttons an und speichern vielleicht eine Auswahl, steuern aber nicht, welche Scripts tatsächlich geladen werden.
exatics erkennt 145 verschiedene Consent-Management-Systeme. Darüber hinaus identifizieren wir auch individuelle Cookie-Banner mit einer Trefferquote von über 70 %. Bei diesen individuellen Lösungen können wir die technische Funktionalität allerdings nicht immer automatisiert akzeptieren oder prüfen – was oft bereits ein Warnsignal ist.
Warum ein Cookie-Banner Daten kostet – und was Sie dagegen tun können
Ein Cookie-Banner erzeugt nicht nur häufig Kosten bei dem Anbieter des CMP – es kostet noch viel mehr! Je nach Branche, Zielgruppe und den eingesetzten Analytics-Tools können zwischen 30 und bis zu 60 % der Analytics-Daten nicht erfasst werden.
Fakt ist: Jeder Cookie-Banner ist eine Hürde zwischen Ihrem Nutzer und Ihren Daten. Nicht jeder klickt auf „Akzeptieren". Viele ignorieren das Banner, manche lehnen ab, und ein wachsender Anteil nutzt Adblocker, die das Banner komplett blockieren.
Für Dienste wie Google Analytics, die eine Einwilligung erfordern, bedeutet das: Sie sehen nur noch einen Bruchteil Ihrer tatsächlichen Besucher. Die Zahlen in Ihrem Analytics-Dashboard sind systematisch zu niedrig – und die Verzerrung ist nicht gleichmäßig. Technikaffine Besucher lehnen in der Regel häufiger ab, bestimmte Altersgruppen ignorieren das Banner, und mobile Nutzer interagieren anders als Desktop-Nutzer.
Die Alternative: Consent-freie Webanalyse
Die gute Nachricht: Für die reine Reichweitenanalyse gibt es eine Alternative. Consent-freie Tools wie Matomo (self-hosted), etracker, Piwik PRO, Plausible oder Fathom können ohne Cookie-Banner betrieben werden – vorausgesetzt, die Konfiguration stimmt: keine Cookies, keine Details aus dem Endgerät des Besuchers und eine korrekte Anonymisierung der IP-Adresse.
Der Vorteil: Sie erfassen alle Besucher – nicht nur die, die auf „Akzeptieren" klicken. Mehr dazu in unseren Ratgebern zu den einzelnen Tools.
Wichtig: Consent-freie Webanalyse ersetzt keinen Cookie-Banner. Sobald Sie Dienste einsetzen, die eine Einwilligung nach DSGVO erfordern (Werbung, Remarketing, Social-Media-Plugins), brauchen Sie weiterhin ein Consent-System für diese Cookies.
IAB TCF: Der Werbestandard und seine Tücken
Das Transparency & Consent Framework (TCF) des IAB Europe ist der Industriestandard für die Einwilligungsverwaltung in der Online-Werbung – aber kein Garant für Rechtskonformität.
In unseren Audits erkennen wir über 120.085 Websites mit TCF-v2-Integration. Das Framework standardisiert, wie Cookies und Consent-Informationen zwischen CMP, Werbetreibenden und Verlagen ausgetauscht werden.
Was bedeutet das für Sie? Wenn Sie programmatische Werbung einsetzen, muss Ihr CMP die Einwilligung nicht nur einholen, sondern auch im TCF-Format an die Werbe-Auktionspartner weitergeben. Diese Anforderung wird häufig nur von kommerziellen Consent-Plattformen unterstützt. Viele kostenfreie Erweiterungen von Contao, TYPO3 oder WordPress unterstützen diesen Standard nicht. Hier sollten Sie also sinnvollerweise vor der Integration die Anforderungen mit den Entwicklern abstimmen.
Das Problem: Das TCF ist komplex, und viele Website-Betreiber verstehen nicht vollständig, welche Datenflüsse sie damit legitimieren. Eine technisch korrekte TCF-Implementierung bedeutet nicht automatisch, dass alle Werbe-Partner auch DSGVO-konform arbeiten. Die Verantwortung bleibt beim Website-Betreiber.
So prüfen Sie Ihren Cookie-Banner
Eine vollständige Prüfung erfordert mehr als einen Blick auf die Website – Sie müssen das Verhalten vor und nach dem Consent technisch vergleichen.
Cookie-Banner manuell testen
Öffnen Sie Ihre Website in einem privaten Browserfenster (alle Cookies gelöscht)
Öffnen Sie die Browser-Entwicklertools (F12) → Netzwerk-Tab
Laden Sie die Seite und prüfen Sie, welche Requests vor dem Consent-Klick gesendet werden
Suchen Sie nach bekannten Tracking-Domains: google-analytics.com, googletagmanager.com, facebook.net, connect.facebook.net
Klicken Sie auf „Alle akzeptieren" und prüfen Sie, welche neuen Requests erscheinen
Wiederholen Sie den Test mit „Ablehnen" – es dürfen keine Tracking-Requests erscheinen
Dieses Vorgehen ist die einfachste Methode, Ihren Cookie-Consent zu testen. Schnell. Direkt. Nachvollziehbar.
Automatische Prüfung mit exatics
Klingt aufwendig? Muss es nicht sein. exatics automatisiert genau diesen Prozess: Wir besuchen Ihre Website mit einem echten Browser, erkennen den Cookie-Banner, simulieren den Consent-Klick und vergleichen, welche Cookies und Technologien vor und nach der Einwilligung aktiv sind.
Bei den verbreitetsten Consent-Systemen – darunter Cookiebot, OneTrust, Usercentrics, Borlabs Cookie und Complianz – führen wir eine systemspezifische Interaktion durch. Das Ergebnis: Eine klare Bewertung mit konkreten Hinweisen, welche Dienste problematisch sind.
Alle einwilligungspflichtigen Dienste über das CMP steuern? Kein manuell eingebundener Tracking-Code außerhalb des Consent-Systems
Vor dem Consent keine Tracking-Requests? Prüfen Sie den Netzwerk-Tab im Browser
„Ablehnen" getestet? Nicht nur „Akzeptieren" – auch die Ablehn-Funktion muss korrekt arbeiten
Consent-Cookie wird gesetzt und gespeichert? Banner darf nicht bei jedem Seitenaufruf erneut erscheinen
Keine vorausgewählten Checkboxen? Alle optionalen Kategorien müssen standardmäßig deaktiviert sein
Gleichwertige Optionen? „Ablehnen" muss so einfach erreichbar sein wie „Akzeptieren"
Datenschutzerklärung vollständig? Muss alle Cookies, Tracking-Dienste und deren DSGVO-Rechtsgrundlagen nennen – inklusive Speicherdauer und Empfänger der Daten
CMP-Update regelmäßig durchgeführt? Veraltete Versionen haben bekannte Bugs und gefährden die DSGVO-Einhaltung
Muss ein Cookie-Banner einen Ablehnen-Button haben?
Ja. Seit dem EuGH-Urteil von 2022 muss die Ablehnung genauso einfach möglich sein wie die Zustimmung. Ein „Ablehnen"-Button muss auf der ersten Ebene des Banners sichtbar sein – nicht versteckt hinter „Einstellungen".
Was ist der Unterschied zwischen technischen und nicht-technischen Cookies?
Technisch notwendige Cookies (Session, Warenkorb) brauchen keine Einwilligung. Alle anderen – insbesondere Tracking-, Marketing- und Analyse-Cookies – dürfen erst nach aktivem Opt-in gesetzt werden.
