Forschung
Which EU Countries Take Cookie Compliance Most Seriously?
GDPR Privacy Monitor Research · 2026-04-12 · 5 min Lesezeit
Die DSGVO ist eine einzige Verordnung. Ein Text. Unmittelbar anwendbar in jedem EU-Mitgliedstaat, ohne dass eine nationale Umsetzung erforderlich ist (anders als die ePrivacy-Richtlinie, die eine solche erfordert und damit eine weitere Variationsebene hinzufügt). Theoretisch unterliegt eine Website in Ungarn denselben rechtlichen Pflichten wie eine Website in Deutschland. In der Praxis ist die Kluft zwischen Theorie und Realität enorm.
Als wir 97.304 Websites in 25 der 27 EU-Mitgliedstaaten scannten, stellten wir fest, dass der Anteil der Hochrisiko-Websites von 20,9 % in Österreich bis 58,8 % in Ungarn reicht – ein Verhältnis von fast drei zu eins. Dieselbe Verordnung, dieselbe Scan-Methodik, dieselben Klassifizierungskriterien, deutlich unterschiedliche Ergebnisse. Die Daten legen nahe, dass Compliance weniger damit zusammenhängt, was das Gesetz sagt, als damit, wie aktiv es durchgesetzt wird.
Das vollständige Ranking
Die untenstehende Tabelle zeigt jedes Land in unserer Studie, gerankt nach dem Prozentsatz der als Hochrisiko klassifizierten gescannten Websites. Hochrisiko bedeutet, dass die Website erhebliche Einwilligungsverstöße aufwies: Pre-Consent-Tracking, Ablehnungsfluss-Fehler, fehlende Einwilligungsmechanismen bei gleichzeitigem aktivem Tracking oder Kombinationen davon. Wir zeigen auch die durchschnittliche Risikobewertung (eine kontinuierliche 0-100-Metrik) und die Banner-Erkennungsrate – den Prozentsatz der gescannten Websites, bei denen unser System ein Einwilligungsbanner identifiziert hat.
| Rang | Land | Hochrisiko-% | Durchschn. Risikobewertung | Banner-Erkennungsrate |
|---|---|---|---|---|
| 1 | Österreich | 20,9 % | 31,2 | -- |
| 2 | Deutschland | 23,7 % | 33,9 | 46,1 % |
| 3 | Schweden | 33,4 % | 49,0 | -- |
| 4 | Finnland | 40,3 % | 46,4 | 54,6 % |
| 5 | Belgien | 42,1 % | 47,4 | -- |
| 6 | Dänemark | 42,1 % | 48,3 | 57,0 % |
| 7 | Niederlande | 43,5 % | 53,1 | 40,3 % |
| 8 | Frankreich | 44,1 % | 49,7 | -- |
| 9 | Spanien | 44,1 % | 50,2 | -- |
| 10 | Italien | 44,6 % | 51,8 | -- |
| 11 | Griechenland | 52,5 % | 54,9 | -- |
| 12 | Polen | 53,3 % | 56,1 | -- |
| 13 | Rumänien | 53,9 % | 56,2 | -- |
| 14 | Tschechien | 55,1 % | 59,0 | -- |
| 15 | Ungarn | 58,8 % | 60,1 | -- |
Die durchschnittliche Risikobewertung bietet eine differenziertere Sicht als die binäre Hochrisiko-Klassifizierung. Beachten Sie, dass die Niederlande eine relativ moderate Hochrisiko-Rate (43,5 %) aufweisen, aber eine vergleichsweise hohe durchschnittliche Risikobewertung (53,1), was darauf hindeutet, dass zwar weniger niederländische Websites die Hochrisiko-Schwelle überschreiten, die betroffenen aber tendenziell schwerwiegender nicht konform sind. Schweden zeigt ein ähnliches Muster in umgekehrter Richtung: eine niedrigere Hochrisiko-Rate (33,4 %), aber eine relativ hohe Durchschnittsbewertung (49,0), was auf eine breite Streuung moderater Verstöße hindeutet.
Tier 1: Die Spitzenreiter – Deutschland und Österreich
Deutschland (23,7 % Hochrisiko) und Österreich (20,9 % Hochrisiko) sind klare Ausreißer. Ihre Websites werden im Vergleich zum EU-weiten Durchschnitt von 41 % etwa halb so häufig als Hochrisiko eingestuft. Um zu verstehen, warum, muss man sich das Durchsetzungsökosystem in beiden Ländern ansehen.
Deutschland: Tiefe und Breite der Durchsetzung
Deutschlands Datenschutzlandschaft ist einzigartig in Europa. Zusätzlich zum Bundes-BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) hat jedes der sechzehn deutschen Bundesländer eine eigene unabhängige Datenschutzaufsichtsbehörde. Das bedeutet, Deutschland hat insgesamt siebzehn Datenschutzbehörden, von denen mehrere zu den aktivsten in Europa bei der Durchsetzung von Einwilligungsregeln gehören.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) führte 2020-2021 ein branchenweites Audit der Cookie-Einwilligung auf Websites durch, versandte formelle Fragebögen an Hunderte von Unternehmen und verfolgte diese mit Durchsetzungsmaßnahmen. Die Hamburger Datenschutzbehörde veröffentlichte detaillierte Leitlinien zu Google Analytics und Einwilligungsanforderungen. Mehrere Landesdatenschutzbehörden haben koordinierte Durchsetzungskampagnen durchgeführt, die auf spezifische Verstöße abzielten – Pre-Consent-Tracking, fehlende Ablehnungsoptionen und nicht konforme Cookie-Banner.
Diese Durchsetzungsdichte schafft eine andere Risikokalkulation für deutsche Website-Betreiber. Wenn Branchenkollegen formelle Anfragen von der Datenschutzbehörde erhalten haben und die Durchsetzungsleitlinien spezifisch genug sind, um genau zu sagen, was akzeptabel ist und was nicht, werden die Kosten der Nichteinhaltung konkret statt theoretisch.
Es gibt auch eine kulturelle Dimension. Deutschlands Datenschutzbewusstsein reicht tiefer als die DSGVO. Das Volkszählungsurteil des Bundesverfassungsgerichts von 1983 etablierte die informationelle Selbstbestimmung als Grundrecht Jahrzehnte vor der DSGVO. Dies schuf eine gesellschaftliche Erwartung in Bezug auf Datenschutz, die sowohl das Unternehmensverhalten als auch die Verbrauchererwartungen auf eine Weise beeinflusst, die schwerer zu quantifizieren, aber deutlich in den Daten sichtbar ist.
Österreich: Frühe Post-Schrems-II-Durchsetzung
Österreichs DSB (Datenschutzbehörde) erlangte internationale Aufmerksamkeit, indem sie eine der ersten Durchsetzungsentscheidungen in der Schrems-II-Nachfolge erließ und feststellte, dass die Nutzung von Google Analytics durch eine Website gegen die DSGVO verstieß, weil die Datenübermittlungen in die USA keine angemessenen Garantien boten. Diese Entscheidung – später von der französischen CNIL und dem italienischen Garante bestätigt – sendete ein klares Signal an österreichische Website-Betreiber, dass Einwilligung und Tracking aktive Durchsetzungsprioritäten sind.
Österreichs 20,9 % Hochrisiko-Rate, die niedrigste in unserer Studie, deutet darauf hin, dass dieses Signal empfangen wurde. Wenn eine Datenschutzbehörde durch spezifische, veröffentlichte Entscheidungen demonstriert, dass Einwilligungsverstöße verfolgt werden, reagiert die Compliance-Rate. Österreich ist das klarste Beispiel in unseren Daten dafür, dass Durchsetzung mit messbarer Verhaltensänderung korreliert, obwohl andere Faktoren -- Marktstruktur, kulturelle Einstellungen -- wahrscheinlich ebenfalls beitragen.
Tier 2: Die nordische Mitte – Schweden, Finnland, Dänemark
Schweden (33,4 %), Finnland (40,3 %) und Dänemark (42,1 %) befinden sich in einem mittleren Band, das besser ist als der EU-Durchschnitt, aber deutlich hinter den deutsch-österreichischen Spitzenreitern liegt.
Die nordischen Länder teilen starke kulturelle Werte in Bezug auf Privatsphäre und institutionelles Vertrauen, aber ihre Datenschutzbehörden haben bei der Einwilligung generell eine weniger aggressive Durchsetzungshaltung eingenommen. Die schwedische IMY (Integritetsskyddsmyndigheten) hat bemerkenswerte Entscheidungen erlassen – darunter eine bedeutende Geldstrafe gegen Google wegen Versäumnissen beim Recht auf Vergessenwerden – aber ihre einwilligungsspezifische Durchsetzung war begrenzter. Finnlands tietosuojavaltuutettu und Dänemarks Datatilsynet haben sich ähnlich auf Datenschutzverletzungsmeldungen und Branchenleitlinien konzentriert statt auf breit angelegte Cookie-Einwilligungskampagnen.
Schwedens 33,4 % Hochrisiko-Rate ist dennoch deutlich besser als der westeuropäische Durchschnitt, was darauf hindeutet, dass kulturelle Einstellungen zur Privatsphäre teilweise eine geringere Durchsetzungshäufigkeit kompensieren können. Nordische Internetnutzer sind insgesamt datenschutzbewusster, was einen Marktdruck für bessere Einwilligungsimplementierungen erzeugen kann, auch ohne regulatorischen Druck.
Die Banner-Erkennungsraten sind hier aufschlussreich. Dänemark zeigt eine Banner-Erkennungsrate von 57,0 % – die höchste für jedes Land, für das wir diesen Datenpunkt haben – und Finnland zeigt 54,6 %. Das bedeutet, nordische Websites setzen eher ein Einwilligungsbanner ein, auch wenn die Implementierung dahinter nicht immer vollständig konform ist. Es deutet auf ein Bewusstsein für die Verpflichtung hin, auch wenn die Umsetzung hinterherhinkt.
Tier 3: Westeuropa – Frankreich, Niederlande, Belgien, Spanien, Italien
Fünf westeuropäische Länder liegen eng beieinander zwischen 42,1 % und 44,6 % Hochrisiko: Belgien (42,1 %), Niederlande (43,5 %), Frankreich (44,1 %), Spanien (44,1 %) und Italien (44,6 %). Dieses Cluster liegt nahe am EU-weiten Durchschnitt von 41 % und könnte eine Compliance-Basislinie darstellen – das Niveau, das man erreicht, wenn Durchsetzung existiert, aber nicht häufig oder gezielt genug ist, um die Nadel wesentlich zu bewegen.
Frankreich: Das Paradox der hochkarätigen Durchsetzung
Frankreich ist bemerkenswert, weil die CNIL wohl die international sichtbarste Datenschutzbehörde in Europa ist. Sie hat Rekordstrafen gegen Google (150 Millionen Euro für Einwilligungsverstöße 2022), Amazon (35 Millionen Euro) und Microsoft (60 Millionen Euro) verhängt. Sie veröffentlichte detaillierte Leitlinien zu Cookies und Einwilligung im Jahr 2020 und gewährte französischen Websites eine sechsmonatige Übergangsfrist zur Einhaltung. Sie führte koordinierte Durchsetzungswellen gegen Websites durch, die keine Ablehnungsoptionen implementiert hatten.
Dennoch liegt Frankreich bei 44,1 % Hochrisiko – genau im westeuropäischen Durchschnitt. Wie kann der aktivste Durchsetzer nur durchschnittliche Compliance erzielen?
Die Antwort liegt wahrscheinlich in der Struktur des französischen Webs. Frankreich hat eine große, vielfältige digitale Wirtschaft mit Hunderttausenden von Websites, die von kleinen und mittleren Unternehmen, Kommunalbehörden und Organisationen betrieben werden, die CNIL-Durchsetzungsnachrichten möglicherweise nicht genau verfolgen. Die hochkarätigen Maßnahmen der CNIL gegen Technologiegiganten erzeugen internationale Schlagzeilen, ändern aber möglicherweise nicht das Verhalten der Tausenden kleiner Unternehmenswebsites mit Standard-WordPress-Installationen und unkonfigurierten Einwilligungs-Plugins. Durchsetzung, die auf den Kopf der Verteilung abzielt, bewegt nicht unbedingt den Schwanz.
Dies ist eine wichtige Erkenntnis für alle Datenschutzbehörden: Schlagzeilenstrafen schrecken große Unternehmen ab, verschieben aber möglicherweise nicht die Gesamtkonformitätsrate, die vom Long Tail kleiner und mittlerer Websites dominiert wird. Breite Verhaltensänderung erfordert entweder Massendurchsetzung (mit aktuellen DPA-Ressourcen nicht praktikabel) oder Werkzeuge, die Compliance zum Standard machen statt zur Ausnahme.
Niederlande: Niedrige Banner-Rate, moderates Risiko
Die Niederlande zeigen ein interessantes Muster: eine Hochrisiko-Rate von 43,5 % (moderat), aber nur eine Banner-Erkennungsrate von 40,3 % – die niedrigste unter den Ländern, für die wir diese Daten haben. Das bedeutet, niederländische Websites setzen seltener ein Einwilligungsbanner ein, aber unter denen, die eines haben, könnte die Implementierungsqualität etwas besser sein. Es kann auch ein niederländisches Web-Ökosystem widerspiegeln, das viele Websites mit minimalem Tracking (kein Banner nötig) neben Websites umfasst, die stark tracken, ohne sich um ein Banner zu kümmern.
Die niederländische AP (Autoriteit Persoonsgegevens) war bei der allgemeinen DSGVO-Durchsetzung aktiv, hat aber weniger einwilligungsspezifische Entscheidungen erlassen als die deutschen Datenschutzbehörden oder die CNIL. Die Durchsetzungsprioritäten der AP haben sich auf staatliche Datenverarbeitung, Gesundheitsdaten und großflächige Überwachung konzentriert, wobei Einwilligungsverstöße vergleichsweise weniger Aufmerksamkeit erhielten.
Tier 4: Ost- und Südeuropa – Griechenland, Polen, Rumänien, Tschechien, Ungarn
Das untere Ende des Rankings wird von mittel- und osteuropäischen Ländern dominiert, mit Hochrisiko-Raten von 52,5 % (Griechenland) bis 58,8 % (Ungarn). In diesen Ländern weist mehr als die Hälfte der gescannten Websites ein Hochrisiko-Konformitätsprofil auf.
| Land | Hochrisiko-% | Durchschn. Risikobewertung |
|---|---|---|
| Griechenland | 52,5 % | 54,9 |
| Polen | 53,3 % | 56,1 |
| Rumänien | 53,9 % | 56,2 |
| Tschechien | 55,1 % | 59,0 |
| Ungarn | 58,8 % | 60,1 |
Der gemeinsame Nenner ist nicht ein Mangel an rechtlicher Verpflichtung – die DSGVO gilt identisch – sondern ein Muster unterfinanzierter Datenschutzbehörden mit weniger Durchsetzungsmaßnahmen, die speziell auf Einwilligung abzielen. Ungarns NAIH, Polens UODO, Rumäniens ANSPDCP und Tschechiens UOOU haben alle ihre begrenzten Durchsetzungsbudgets auf Bereiche wie Datenschutzverletzungsmeldungen, Betroffenenanfragen und aufsehenerregende Beschwerden konzentriert, statt auf proaktive Cookie-Einwilligungsaudits.
Dies ist ein rationales Verhalten für unterfinanzierte Regulierungsbehörden. Wenn man ein kleines Team und eine große Wirtschaft zu beaufsichtigen hat, priorisiert man Beschwerden gegenüber proaktiver Durchsetzung, und Beschwerden über Cookie-Einwilligung sind im Vergleich zu Beschwerden über Datenschutzverletzungen oder verweigerte Betroffenenanfragen relativ selten. Das Ergebnis ist, dass Einwilligungsverstöße weitgehend unkontrolliert bleiben und Website-Betreiber kein nennenswertes Durchsetzungsrisiko zu befürchten haben.
Diese Daten spiegeln nicht die Kompetenz oder das Engagement dieser Datenschutzbehörden wider. Mehrere mittel- und osteuropäische Datenschutzbehörden arbeiten mit Personal-Bevölkerungs-Verhältnissen, die nur einen Bruchteil dessen betragen, was deutsche Landesbehörden haben. Ungarns NAIH beispielsweise beaufsichtigt ein Land mit 10 Millionen Menschen. Bayerns BayLDA, das eine ähnlich große Bevölkerung innerhalb eines deutschen Bundeslandes beaufsichtigt, verfügt historisch über mehr Ressourcen und ein fokussierteres Mandat.
Die Erkenntnis ist strukturell: Einheitliche Regulierung ohne einheitliche Durchsetzung erzeugt uneinheitliche Compliance. Dies ist ein zentrales Ergebnis in den Länderdaten.
Die Durchsetzungskorrelation
Wenn man die Durchsetzungsintensität der Datenschutzbehörden gegen die Compliance-Raten aufträgt (hier narrativ, da wir kein Diagramm veröffentlichen), ist der Zusammenhang erkennbar. Die Länder mit den meisten speziell auf Einwilligung abzielenden Durchsetzungsmaßnahmen – Deutschland, Österreich – haben die niedrigsten Hochrisiko-Raten. Länder mit schlagzeilenträchtiger, aber konzentrierter Durchsetzung (Frankreich) zeigen durchschnittliche Compliance. Länder mit minimaler einwilligungsspezifischer Durchsetzung zeigen die höchsten Verstöße.
Diese Korrelation beweist keine Kausalität – kulturelle Faktoren, Marktstruktur und die Reife des lokalen Technologiesektors spielen alle eine Rolle. Aber die Stärke des Musters über 25 Länder hinweg ist mit Durchsetzung als bedeutendem Faktor vereinbar, auch wenn kulturelle und strukturelle Unterschiede ebenfalls eine Rolle spielen.
Einige bemerkenswerte Durchsetzungsmaßnahmen, die die Nadel bewegt zu haben scheinen:
- Deutschland (2020-2022): Mehrere Landesdatenschutzbehörden führten koordinierte Cookie-Einwilligungsaudits durch und versandten formelle Schreiben an Hunderte von Websites. Das BayLDA veröffentlichte ein FAQ zur Einwilligung, das zu einem De-facto-Compliance-Standard wurde.
- Österreich (2022): Die Google-Analytics-Entscheidung der DSB wurde in österreichischen Tech- und Wirtschaftsmedien breit berichtet und löste eine sichtbare Welle von GA-zu-Matomo-Migrationen aus.
- Frankreich (2021-2022): Die Cookie-Durchsetzungswelle der CNIL richtete sich gegen mehr als 100 Websites wegen nicht konformer Einwilligungsimplementierungen, obwohl die Auswirkungen auf größere Betreiber konzentriert erscheinen.
- Italien (2022): Der Garante erließ aktualisierte Cookie-Leitlinien, die Compliance-Aktivitäten bei größeren italienischen Websites auslösten, obwohl die 44,6 % Hochrisiko-Rate darauf hindeutet, dass sich der Effekt nicht weit verbreitete.
Banner-Erkennungsraten nach Ländern
Die Banner-Erkennungsrate – der Prozentsatz der Websites, bei denen unser Scanner einen Einwilligungsmechanismus identifiziert hat – variiert erheblich zwischen den Ländern:
| Land | Banner-Erkennungsrate |
|---|---|
| Dänemark | 57,0 % |
| Finnland | 54,6 % |
| Deutschland | 46,1 % |
| Niederlande | 40,3 % |
Dänemark führt mit 57,0 %, was darauf hindeutet, dass dänische Websites am ehesten eine Form von Einwilligungsmechanismus einsetzen, auch wenn ihre Gesamt-Compliance-Qualität (42,1 % Hochrisiko) mittelmäßig ist. Deutschlands 46,1 % ist niedriger als angesichts der niedrigen Verstoßrate zu erwarten wäre, aber das ist konsistent: Deutsche Websites, die tracken, tun dies eher mit ordnungsgemäßer Einwilligung, während deutsche Websites, die nicht tracken, vernünftigerweise ohne Banner arbeiten können.
Die 40,3 % der Niederlande sind die niedrigste Zahl, die wir haben, was mit dem oben notierten niederländischen Muster übereinstimmt: insgesamt weniger Banner, aber nicht unbedingt schlechtere Compliance unter denen, die eines einsetzen.
Diese Raten spiegeln auch die methodische Realität wider. Eine Website, die keine nicht-essentiellen Cookies setzt und keine Drittanbieter-Tracking-Domains kontaktiert, benötigt unter der ePrivacy-Ausnahme für unbedingt erforderliche Cookies tatsächlich kein Einwilligungsbanner. Eine gewisse Variation in den Banner-Raten ist daher zu erwarten und legitim.
Was das für grenzüberschreitende Unternehmen bedeutet
Wenn Sie eine Website oder einen digitalen Dienst betreiben, der Nutzer in mehreren EU-Ländern bedient, hat diese Datenlage direkte praktische Auswirkungen.
Ihr Compliance-Risiko wird von Ihrem Markt mit der stärksten Durchsetzung bestimmt. Wenn Ihre Website deutsche Nutzer bedient, wird die Messlatte effektiv durch die Erwartungen der deutschen Datenschutzbehörden gesetzt, unabhängig davon, wo Ihr Unternehmen seinen Sitz hat. Unter dem One-Stop-Shop-Mechanismus der DSGVO kann Ihre federführende Aufsichtsbehörde in Ihrem Heimatland sein, aber jede Datenschutzbehörde kann bei Beschwerden ihrer eigenen Einwohner tätig werden. Eine ungarische Website, die deutsche Besucher bedient, kann der Prüfung deutscher Datenschutzbehörden unterliegen. Benchmarking gegen den Durchschnitt Ihres eigenen Landes ist unzureichend. Wenn Sie ein polnischer Website-Betreiber sind und 53,3 % Ihrer Mitbewerber Hochrisiko sind, bedeutet „durchschnittlich" zu sein immer noch, dass Sie nach dem Buchstaben der DSGVO nicht konform sind. Die Verordnung passt ihre Anforderungen nicht nach Ländern an. Nur die Durchsetzungswahrscheinlichkeit variiert – und Durchsetzungstrends bewegen sich in eine Richtung. Datenschutzbehörden, die Einwilligung bisher nicht priorisiert haben, werden dies wahrscheinlich tun, wenn die europäische Koordination zunimmt. Der EDPB drängt auf Konvergenz. Die Cookie-spezifischen Leitlinien, Taskforce-Aktivitäten und Kohärenzstellungnahmen des Europäischen Datenschutzausschusses zielen darauf ab, die Durchsetzungslücke zwischen den Mitgliedstaaten zu verringern. Der Bericht der EDPB-Einwilligungsbanner-Taskforce von 2023 identifizierte häufige Verstöße und forderte koordinierte Durchsetzung, und mehrere zuvor weniger aktive Datenschutzbehörden haben als Reaktion darauf ein verstärktes Augenmerk auf Einwilligung signalisiert. Niedrige Durchsetzung in einem bestimmten Markt wird wahrscheinlich nicht auf unbestimmte Zeit der Status quo bleiben.Das DSGVO-Harmonisierungsproblem
Die Länderdaten in dieser Studie sind in gewisser Hinsicht eine Herausforderung für das Harmonisierungsziel der DSGVO. Die Verordnung sollte einen einheitlichen Standard in der gesamten EU schaffen und den Flickenteppich nationaler Datenschutzgesetze ersetzen. Was den Gesetzestext betrifft, ist das gelungen. Was die Compliance-Realität betrifft, noch nicht.
Eine Website in Österreich hat eine dreimal geringere Wahrscheinlichkeit, als Hochrisiko eingestuft zu werden, als eine Website in Ungarn. Ein französischer Nutzer, der auf „Ablehnen" klickt, hat die gleiche 80,4 %-Versagensrate wie ein polnischer Nutzer. Das Einwilligungsbanner erscheint eher in Dänemark als in den Niederlanden. Keine dieser Unterschiede hat eine rechtliche Grundlage – sie sind alle Folgen unterschiedlicher Durchsetzung.
Dies wirft eine schwierige Frage auf: Kann ein regulatorisches Rahmenwerk, das auf nationalen Durchsetzungsbehörden mit völlig unterschiedlichen Ressourcen und Prioritäten beruht, einen einheitlichen Schutz gewährleisten? Die Daten legen nahe, dass die Antwort derzeit Nein lautet. Die Kluft zwischen Deutschland/Österreich und Ungarn/Tschechien schließt sich nicht – und sie wird sich nicht schließen ohne eine erhebliche Neuverteilung der DPA-Ressourcen oder eine Verlagerung auf eine EU-weite Durchsetzung für häufige, technisch messbare Verstöße wie Pre-Consent-Tracking.
Cookie-Einwilligung ist ironischerweise eine der am einfachsten in großem Maßstab überprüfbaren DSGVO-Pflichten. Im Gegensatz zur Beurteilung der Rechtmäßigkeit einer Datenverarbeitungsaktivität oder der Angemessenheit einer Datenschutz-Folgenabschätzung ist die Überprüfung, ob eine Website Tracking-Cookies vor der Einwilligung setzt, eine objektive, automatisierbare Messung. Wenn die EU bei diesem am besten messbaren Verstoß keine Durchsetzungskonvergenz erreichen kann, sind die Aussichten für Konvergenz bei schwierigeren Fragen gering.
Methodische Anmerkung
Die Website-Auswahl wurde aus der Tranco Top 1M-Liste entnommen und nach Länderzugehörigkeit gefiltert. Die Länderzuordnung verwendete Ländercode-TLDs als primäres Signal, ergänzt durch Registrierungs- und Hosting-Daten, wenn TLDs mehrdeutig waren (z. B. `.com`-Domains). Websites mit unklarer Länderzugehörigkeit wurden aus der Länderanalyse ausgeschlossen, aber in die EU-weiten Gesamtzahlen einbezogen.
Jede Website wurde mit identischen Kriterien gescannt: Pre-Consent-Verhalten, Banner-Erkennung, Ablehnungsfluss-Tests (wo eine Ablehnungsschaltfläche identifiziert wurde), Cookie-Lebensdauer-Analyse und Barrierefreiheitsbewertung. Der Scanner machte keine Anpassungen nach Herkunftsland – eine ungarische Website wurde mit derselben Methodik und denselben Schwellenwerten bewertet wie eine deutsche.
Die Stichprobengrößen variieren nach Ländern und spiegeln die Verteilung der EU-Websites in der Tranco-Liste wider. Länder mit größeren digitalen Volkswirtschaften (Deutschland, Frankreich, Niederlande) tragen mehr Websites bei. Alle Prozentsätze werden gegen die länderspezifische Stichprobe berechnet, nicht gegen die EU-weite Gesamtzahl.
Sehen Sie, wo Ihre Website steht. Führen Sie einen kostenlosen Scan auf gdprmonitor.eu durch und erhalten Sie dieselbe Compliance-Bewertung, die wir auf jede Website in dieser Studie angewendet haben – mit vollständigen Nachweisen, Risikobewertung und umsetzbaren Ergebnissen.
Überprüfen Sie Ihre Website
Führen Sie einen kostenlosen DSGVO-Compliance-Scan durch — keine Registrierung erforderlich.
Website kostenlos scannen