Cookie-Consent-Banner

Was diese Prüfung macht

Durchsucht die gerenderte Seite nach (a) nicht-essenziellen Third-Party-Trackern — Google Analytics, Meta Pixel, TikTok Pixel, Hotjar, fbq, gtag — und (b) einem Cookie-Consent-Banner von Cookiebot, OneTrust, Iubenda, Osano, Termly, Klaro, Borlabs, Cookieyes oder einem eigenen Dialog. Die Prüfung fällt durch, wenn Tracker vorhanden sind, aber kein Banner gefunden wird.

Warum es wichtig ist

Nach EU- und UK-Recht brauchen nicht-essenzielle Cookies und ähnliche Tracking-Technologien eine vorherige, freiwillige, spezifische, informierte und unmissverständliche Zustimmung, bevor sie feuern dürfen. “Weiternutzung gilt als Zustimmung” zählt nicht, und vorausgewählte Checkboxen auch nicht.

• DSGVO-Bußgelder. Bis zu 4 % vom weltweiten Jahresumsatz. Aufsichtsbehörden (CNIL in Frankreich, AEPD in Spanien, Garante in Italien) haben Sites wiederholt dafür belangt, Google Analytics oder Meta Pixel vor dem Consent zu zünden.
• Sammelklage-Risiko. US-Bundesstaatengesetze (CCPA/CPRA, Colorado CPA, Virginia VCDPA) und der Digital Services Act der EU schaffen separate Private-Right-of-Action-Pfade.
• Conversions. Ohne Consent Mode v2 verwerfen Google Ads und Analytics nicht zugestimmte Events, statt sie zu modellieren — Reporting und Werbezielgruppen verschlechtern sich schleichend.

Wie du es behebst

Wähle ein Banner, das IAB TCF v2.2 + Google Consent Mode v2 unterstützt (die Kombination, die Google seit März 2024 für EWR-Nutzer verlangt):

• Cookiebot — kostenpflichtig, umfassend, scannt deine Seite wöchentlich, um die Cookie-Liste aktuell zu halten.
• OneTrust — Enterprise; die Wahl, wenn du OneTrust ohnehin fürs Privacy-Management nutzt.
• Iubenda — bezahlbar, mehrsprachig, gut für KMU.
• Klaro — Open Source, self-hosted.

Cookiebot-Beispiel — diesen Block in den <head> setzen, vor jedem anderen Tracking-Skript:

<script id="Cookiebot"
  src="https://consent.cookiebot.com/uc.js"
  data-cbid="YOUR-CBID"
  data-blockingmode="auto"
  type="text/javascript"></script>

Setze jeden Tracker (GA4, gtag, Meta Pixel usw.) auf type="text/plain" mit data-cookieconsent="statistics" (oder "marketing") — Cookiebot schreibt sie erst nach dem Consent auf text/javascript um.

Google Consent Mode v2 — initialisiere gtag('consent', 'default', { ... }) mit allem auf denied, bevor du GA lädst, und aktualisiere im Callback des Banners auf granted. Sonst verwirft GA 100 % der EWR-Events statt sie zu modellieren.

Audit, was wirklich feuert. Öffne DevTools → Application → Cookies in einem Inkognito-Fenster und lade die Seite, ohne das Banner zu klicken. Wenn du _ga, _fbp, _hjSessionUser_* oder irgendetwas aus einer Tracker-Domain siehst, feuert es vor dem Consent — das ist der Verstoß.

Häufig gestellte Fragen

Brauche ich ein Banner, wenn ich nur Google Analytics nutze?

Ja — im EWR, UK und in der Schweiz ist GA von jeder Aufsichtsbehörde, die darüber entschieden hat, als nicht-essenziell eingestuft worden. Dasselbe gilt, wenn du nur Meta Pixel oder ein Drittanbieter-A/B-Test-Tool laufen lässt.

Was ist mit cookieloser Analytics wie Plausible oder Fathom?

Wenn das Tool keine Cookies setzt, keine Geräte fingerprintet und keine personenbezogenen Daten überträgt, kannst du argumentieren, dass es essenziell ist, und auf das Banner verzichten. Plausible und Fathom vermarkten sich auf dieser Basis als “DSGVO-freundlich ohne Banner” — prüfe ihr aktuelles Statement, bevor du dich darauf verlässt.

Mein Audit fällt durch, obwohl ich ein Banner habe — wie kommt das?

Entweder lädt das Banner-Skript erst, nachdem ein Tracker schon gefeuert hat (die Tracker laufen vor der Consent-Entscheidung), oder das Banner erscheint nur in bestimmten Regionen und MetricSpot auditiert von außerhalb dieser Region, oder die Detektionssignatur passt nicht zum Anbieter. Prüfe es, indem du DevTools öffnest und die Request-Reihenfolge beim ersten Laden beobachtest.