Forschung
We Scanned 97,000 EU Websites for GDPR Compliance. Here's What We Found.
GDPR Privacy Monitor Research · 2026-04-10 · 8 min Lesezeit
Acht Jahre nach Inkrafttreten der DSGVO haben wir beschlossen, nicht mehr über die Einhaltung der Einwilligungsregeln zu spekulieren, sondern sie zu messen. Wir haben unseren Scanner auf 97.304 Websites in 25 von 27 EU-Mitgliedstaaten gerichtet und genau aufgezeichnet, was in einem echten Browser vor, während und nach der Einwilligung passiert. Nicht was die Datenschutzerklärung verspricht. Nicht was das CMP-Dashboard meldet. Was tatsächlich im Browser passiert, wenn ein Erstbesucher auf eine Seite gelangt.
In unserem Datensatz war Pre-Consent-Tracking verbreitet: zwei Drittel der EU-Websites beginnen mit dem Tracking von Besuchern, bevor eine Einwilligungsinteraktion stattfindet. Mehr als die Hälfte zeigt überhaupt kein Einwilligungsbanner an. Und wenn Websites eine Ablehnungsschaltfläche anbieten, stoppt diese das Tracking in 80 % der Fälle nicht. Dies sind keine Einzelfälle oder technische Spitzfindigkeiten. Dies ist der Grundzustand der Einwilligungskonformität in der Europäischen Union im Jahr 2026.
Methodik: Wie wir gemessen haben
Bevor wir zu den Ergebnissen kommen, ist es wichtig, wie wir diese Daten erhoben haben, denn die Methodik bestimmt, ob Zahlen wie diese aussagekräftig oder irreführend sind.
Die Website-Liste
Unsere Stichprobe stammt aus der Tranco Top 1M-Liste, einem forschungstauglichen Domain-Ranking, das durch Kombination von mehrerer unabhängiger Ranking-Quellen erstellt wird. Tranco wurde speziell entwickelt, um Manipulation zu widerstehen und stabile Rankings für Web-Messstudien bereitzustellen, was es zur Standardquelle für großangelegte Webforschung macht. Wir haben nach Domains gefiltert, die mit 25 von 27 EU-Mitgliedstaaten assoziiert sind, basierend auf Ländercode-TLDs und Registrierungsdaten, was 114.748 Kandidaten-URLs ergab. Davon wurden 97.304 erfolgreich abgeschlossen – der Rest scheiterte an DNS-Fehlern, Verbindungs-Timeouts oder vollständig unerreichbaren Websites.
Was der Scanner macht
Jeder Scan verwendet unsere Produktions-Scanner-Engine: eine Go-Anwendung, die einen vollständigen Headless-Chromium-Browser über das Chrome DevTools Protocol steuert. Dies ist kein statischer HTML-Scraper oder eine Cookie-Datenbank-Abfrage. Für jede Website führt der Scanner folgende Schritte durch:
1. Start einer sauberen Chromium-Instanz ohne gespeicherte Cookies, ohne lokalen Speicher und ohne Browserverlauf – Simulation eines echten Erstbesuchers.
2. Navigation zur Ziel-URL und Warten auf das Laden der Seite.
3. Erstellung eines Pre-Consent-Snapshots: jedes gesetzte Cookie, jede getätigte Netzwerkanfrage, jede kontaktierte Drittanbieter-Domain – alles vor jeglicher Einwilligungsinteraktion.
4. Versuch der Erkennung des Einwilligungsbanners mithilfe einer Bibliothek, die 45 bekannte CMPs sowie generische Heuristiken abdeckt.
5. Interaktion mit dem Banner (Akzeptieren oder Ablehnen) und Aufzeichnung des Zustands nach der Interaktion.
6. Für den Ablehnungsfluss-Test: Neuladen der Seite und Überprüfung, ob die Ablehnung respektiert wurde oder ob Cookies wieder erscheinen.
Jeder Schritt erzeugt zeitgestempelte Nachweise: vollständige Cookie-Inventare, Netzwerkanfrage-Protokolle und Screenshots. Wenn wir sagen, dass eine Website „Tracking vor der Einwilligung aktiviert", meinen wir, dass wir tatsächliche HTTP-Anfragen an bekannte Tracking-Domains und tatsächliche Cookies im Browser beobachtet haben – nicht dass wir dies aus einem Script-Tag im HTML abgeleitet haben.
Was „Pre-Consent" technisch bedeutet
Dies ist das entscheidende Konzept. Pre-Consent-Verhalten ist alles, was zwischen dem Moment des Seitenladens und dem Moment der ersten Interaktion des Nutzers mit einem Einwilligungsmechanismus passiert. In der Praxis beträgt dieses Zeitfenster typischerweise 2-5 Sekunden, aber bei vielen Websites verlängert es sich, wenn die Seite zusätzliche Ressourcen lädt. Während dieses Zeitfensters hatte der Besucher keine Möglichkeit, irgendetwas zu akzeptieren oder abzulehnen. Gemäß Artikel 5(3) der ePrivacy-Richtlinie (wie vom CJEU in Planet49, C-673/17, ausgelegt) erfordert die Speicherung von Informationen auf dem Gerät eines Nutzers oder der Zugriff auf bereits gespeicherte Informationen eine vorherige Einwilligung – mit Ausnahme von Cookies, die für den vom Nutzer angeforderten Dienst unbedingt erforderlich sind. Alles Nicht-Essentielle, das in diesem Zeitfenster ausgelöst wird, operiert per Definition ohne gültige Einwilligung.
Ergebnis 1: Pre-Consent-Tracking ist die Norm, nicht die Ausnahme
Die wichtigste Zahl dieser Studie: 68 % der gescannten Websites aktivieren Drittanbieter-Tracking, bevor der Nutzer seine Einwilligung gegeben hat. Eng damit verbunden: 66,6 % setzen Cookies vor der Einwilligung.
Dies sind nicht dieselben Metriken. Eine Website kann eine Drittanbieter-Tracking-Domain kontaktieren (ein Pixel auslösen, ein Skript laden), ohne dass diese Domain erfolgreich ein Cookie setzt – beispielsweise wenn der Browser Drittanbieter-Cookies blockiert. Umgekehrt kann ein First-Party-Analytics-Cookie gesetzt werden, ohne eine externe Domain zu kontaktieren. Beide Verhaltensweisen sind problematisch, stellen aber unterschiedliche technische Mechanismen und unterschiedliche rechtliche Risiken dar.
Das Ausmaß der Pre-Consent-Aktivität ist erheblich:
| Metrik | Wert |
|---|---|
| Durchschnittlich kontaktierte Drittanbieter-Domains vor Einwilligung | 10,4 |
| Median kontaktierter Drittanbieter-Domains vor Einwilligung | 6 |
| Maximum kontaktierter Drittanbieter-Domains vor Einwilligung | 171 |
Der Median von 6 ist wohl aussagekräftiger als der Durchschnitt. Die Hälfte aller gescannten Websites kontaktiert mindestens sechs externe Domains, bevor der Nutzer überhaupt die Möglichkeit hat, einzuwilligen. Dies sind keine Content-Delivery-Netzwerke oder Font-Server (die wir aus der Tracking-Klassifizierung ausschließen). Es handelt sich um Werbeplattformen und Analysedienste.
Die Aufschlüsselung der Pre-Consent-Aktivität nach Cookie-Kategorie zeigt, wofür dieses Tracking tatsächlich eingesetzt wird:
| Cookie-Kategorie | Betroffene Websites | % aller Websites |
|---|---|---|
| Analytics-Cookies vor Einwilligung gesetzt | 30.239 | 31,1 % |
| Marketing-Cookies vor Einwilligung gesetzt | 17.793 | 18,3 % |
| Pre-Consent-Tracker aktiv (jeder Typ) | 42.904 | 44,1 % |
Fast jede dritte EU-Website setzt Analytics-Cookies vor der Einwilligung. Fast jede fünfte setzt Marketing-Cookies. Die rechtliche Position dazu ist eindeutig: Der EDPB hat wiederholt bestätigt, dass Analytics- und Marketing-Cookies eine Einwilligung gemäß Artikel 5(3) ePrivacy erfordern. Das Planet49-Urteil des CJEU stellte klar, dass die Einwilligung eine aktive, bejahende Handlung sein muss – und sie kann nicht bejahend sein, wenn sie noch nicht stattgefunden hat.
Die praktische Konsequenz ist, dass zu dem Zeitpunkt, an dem ein Besucher ein Cookie-Banner sieht und überlegt, ob er akzeptieren oder ablehnen soll, sein Browser bereits einen Fingerabdruck erhalten hat, sein Besuch bereits von Analyseplattformen protokolliert wurde und in vielen Fällen sein Browserprofil bereits von Werbenetzwerken aktualisiert wurde. Die Einwilligungsentscheidung, wenn sie kommt, ist teilweise rückwirkend – und rückwirkende Einwilligung ist überhaupt keine Einwilligung.
Ergebnis 2: Die Einwilligungsbanner-Lücke
Mehr als die Hälfte der gescannten Websites – 53.508 von 97.304, also 55 % – zeigten kein Einwilligungsbanner an, das unser Erkennungssystem identifizieren konnte.
Diese Zahl erfordert eine sorgfältige Interpretation. Nicht jede Website ohne Banner verstößt zwangsläufig gegen das Gesetz. Eine Website, die keine nicht-essentiellen Cookies setzt und keine Drittanbieter-Tracking-Dienste kontaktiert, kann berechtigterweise ohne Einwilligungsmechanismus arbeiten. Die ePrivacy-Ausnahme für „unbedingt erforderliche" Cookies bedeutet, dass eine Website, die nur Sitzungs-Cookies für Login oder Warenkorb-Funktionalität verwendet, für diese spezifischen Cookies keine Einwilligungspflicht hat.
Aber das beobachten wir nicht. Von den 53.508 Websites ohne erkennbares Banner setzen 18.026 aktiv nicht-essentielle Cookies und kontaktieren Drittanbieter-Tracking-Domains. Diese Websites haben keinen Einwilligungsmechanismus und tracken Besucher vom ersten Seitenaufruf an. Uns ist keine gültige Rechtsgrundlage dafür weder nach DSGVO noch nach der ePrivacy-Richtlinie bekannt.
Die übrigen Websites ohne Banner fallen in verschiedene Kategorien: Websites, die tatsächlich keine nicht-essentiellen Cookies setzen (und daher möglicherweise kein Banner benötigen), Websites mit Einwilligungsmechanismen, die unser Erkennungssystem nicht identifizieren konnte, und Websites, die einfach nicht funktionsfähig oder Domains mit minimalem Inhalt sind. Unsere 45-CMP-Erkennungsbibliothek plus generische Heuristiken deckt die überwiegende Mehrheit der bekannten Einwilligungslösungen ab, aber individuelle Implementierungen in ungewöhnlichen Frameworks oder Sprachen können übersehen werden.
Dennoch ist die Zahl 18.026 die Untergrenze, nicht die Obergrenze, für Websites ohne Banner mit Tracking. Es handelt sich um Websites, bei denen wir positive Belege sowohl für Tracking-Aktivität als auch für das Fehlen eines Banners haben.
Ergebnis 3: Ablehnungsschaltflächen versagen in 80 % der Fälle
Wir haben diesem Ergebnis einen separaten Beitrag gewidmet, aber es verdient auch hier eine ausführliche Behandlung, da es den Kern des Einwilligungsmodells betrifft.
Von den 28.891 Websites, bei denen wir eine Ablehnungsschaltfläche erkannt und erfolgreich damit interagiert haben, setzten 80,4 % das Tracking fort, nachdem der Nutzer auf Ablehnen geklickt hatte. Nur 5.650 Websites (19,6 %) bestanden den Ablehnungsfluss-Test – das heißt, das Tracking wurde tatsächlich gestoppt und blieb gestoppt.
Die Fehler lassen sich in überlappende Kategorien aufteilen:
| Fehlertyp | Betroffene Websites |
|---|---|
| Nicht-essentielle Cookies nach Ablehnung weiterhin vorhanden | 10.848 |
| Tracking-Dienste nach Ablehnung weiterhin aktiv | 14.547 |
| Consent-Respawn erkannt (Cookies kehren nach Neuladen zurück) | 1.642 |
| Einzelne Cookies mit Respawn | 4.932 |
Consent-Respawn ist ein Muster, das wir im Rahmen dieser Forschung identifiziert haben. Der Nutzer klickt auf Ablehnen, das CMP entfernt Cookies, und beim nächsten Seitenladen erscheinen diese Cookies wieder. Auf 1.642 Websites haben wir 4.932 einzelne Cookies mit diesem Verhalten beobachtet. Der Mechanismus variiert – Drittanbieter-Skripte, die ungeachtet des Einwilligungsstatus erneut ausgeführt werden, Tag-Manager, die die Ablehnung nicht an alle integrierten Dienste weitergeben, serverseitige Set-Cookie-Header, die clientseitige Einwilligungsentscheidungen ignorieren – aber die Wirkung ist dieselbe. Die Ablehnungsschaltfläche wird zu einer vorübergehenden Pause, nicht zu einer dauerhaften Entscheidung.
Gemäß DSGVO Artikel 7(3) muss der Widerruf der Einwilligung genauso einfach sein wie ihre Erteilung, und der Verantwortliche muss auf diesen Widerruf reagieren. Eine Ablehnungsschaltfläche, die das Tracking tatsächlich nicht stoppt, erfüllt diese Anforderung nicht, unabhängig von der technischen Ursache.
Ergebnis 4: Vergleich nach Ländern
Die DSGVO ist eine einzige Verordnung, aber die Einhaltung ist nicht einheitlich. Der Anteil der Hochrisiko-Websites variiert um fast das Dreifache zwischen den EU-Mitgliedstaaten.
| Land | Hochrisiko-% | Durchschn. Risikobewertung |
|---|---|---|
| Ungarn | 58,8 % | 60,1 |
| Tschechien | 55,1 % | 59,0 |
| Rumänien | 53,9 % | 56,2 |
| Polen | 53,3 % | 56,1 |
| Griechenland | 52,5 % | 54,9 |
| Italien | 44,6 % | 51,8 |
| Spanien | 44,1 % | 50,2 |
| Frankreich | 44,1 % | 49,7 |
| Niederlande | 43,5 % | 53,1 |
| Belgien | 42,1 % | 47,4 |
| Dänemark | 42,1 % | 48,3 |
| Finnland | 40,3 % | 46,4 |
| Schweden | 33,4 % | 49,0 |
| Deutschland | 23,7 % | 33,9 |
| Österreich | 20,9 % | 31,2 |
Das Muster ist im Einklang mit Unterschieden in der Durchsetzungsaktivität. Deutschland und Österreich – Sitz des BfDI, sechzehn Landesdatenschutzbehörden und der DSB – gehören zu den aktivsten europäischen Behörden, die speziell auf Einwilligungs- und Cookie-Verstöße abzielen. Die DSB erließ eine der ersten Durchsetzungsentscheidungen nach Schrems II. Deutsche Landesdatenschutzbehörden haben branchenweite Cookie-Audits durchgeführt und verbindliche Leitlinien darüber veröffentlicht, was eine gültige Einwilligung darstellt.
Am anderen Ende haben Ungarn, Tschechien, Rumänien und Polen Datenschutzbehörden, die im Verhältnis zur Größe ihrer digitalen Volkswirtschaften typischerweise unterfinanziert sind und die Durchsetzung historisch auf Datenschutzverletzungen und Betroffenenanfragen statt auf Cookie-Einwilligung konzentriert haben. Dies ist keine Kritik an diesen Behörden – sie arbeiten mit den Budgets, die ihnen zur Verfügung stehen – aber es ist ein klarer Beleg dafür, dass Durchsetzung die Einhaltung fördert. Derselbe Gesetzestext, angewendet mit unterschiedlicher Durchsetzungsintensität, erzeugt deutlich unterschiedliche Ergebnisse.
Frankreich ist aufschlussreich. Die CNIL war eine der sichtbarsten Durchsetzungsbehörden Europas und hat Rekordstrafen gegen große Technologieunternehmen verhängt. Dennoch liegen französische Websites bei 44,1 % Hochrisiko, nahe am EU-Durchschnitt. Die Erklärung liegt wahrscheinlich in der Durchsetzungsstrategie der CNIL: Hochkarätige Maßnahmen gegen große Plattformen erzeugen Schlagzeilen, ändern aber nicht direkt das Verhalten von Tausenden kleiner und mittlerer Unternehmen, die den Long Tail des Webs ausmachen. Eine breite Verhaltensänderung erfordert entweder branchenweite Durchsetzungskampagnen (wie Deutschland sie verfolgt hat) oder eine allgemeine Erhöhung des wahrgenommenen Durchsetzungsrisikos.
Wir behandeln die Länderdaten ausführlicher in unserem Ländervergleichsbeitrag.
Ergebnis 5: CMP-Marktanteile und was sie uns sagen
Von den 43.796 Websites (45 %), die ein erkennbares Einwilligungsbanner zeigten, identifizierten wir 45 verschiedene Consent-Management-Plattformen. Der Markt ist an der Spitze konzentriert, aber im Long Tail fragmentiert.
| CMP | Websites | Marktanteil |
|---|---|---|
| Cookiebot | 6.481 | 14,8 % |
| OneTrust | 3.101 | 7,1 % |
| Usercentrics | 1.820 | 4,2 % |
| Complianz | 1.590 | 3,6 % |
| Didomi | 1.472 | 3,4 % |
| iubenda | 1.250 | 2,9 % |
| Generisch / nicht identifiziert | 15.179 | 34,7 % |
Die größte Einzelkategorie ist „Generisch / nicht identifiziert" mit 34,7 %. Dies sind Websites mit Einwilligungslösungen, die keiner der 45 CMP-Signaturen in unserer Erkennungsbibliothek entsprachen. Dazu gehören selbst entwickelte Cookie-Leisten, WordPress-Plugins ohne breite Bekanntheit, regionale CMP-Anbieter und Implementierungen, die so minimal sind, dass sie aus einem einzigen verbergbaren div mit einer „Verstanden"-Schaltfläche bestehen. Die Konformitätsqualität dieser Kategorie ist im Durchschnitt deutlich niedriger als die etablierter CMPs, obwohl wir noch keine CMP-spezifischen Konformitätsraten veröffentlicht haben.
Die Banner-Interaktionsdaten offenbaren eine weitere Sorge. Von den 43.796 erkannten Bannern:
| Banner-Funktion | Verbreitung |
|---|---|
| Ablehnungsoption in der ersten Ebene | 56,3 % |
| Keine sichtbare Ablehnungsoption | 19,6 % |
| Unsicher (mehrdeutige Benutzeroberfläche) | 24,1 % |
Fast jedes fünfte Einwilligungsbanner bietet keine sichtbare Möglichkeit, nicht-essentielle Cookies abzulehnen, ohne zu einer zweiten Einstellungsebene zu navigieren. Die EDPB-Leitlinien 05/2020 zur Einwilligung besagen, dass das Ablehnen der Einwilligung nicht mehr Aufwand erfordern sollte als das Erteilen. Ein Design, das zusätzliche Klicks zum Ablehnen erfordert, aber eine Ein-Klick-Akzeptanz bietet, ist gemäß diesen Leitlinien ein Dark Pattern, das die Gültigkeit der Einwilligung untergräbt.
Wir haben auch spezifische Dark-Pattern-Implementierungen erkannt: 3.454 Websites (7,9 % derjenigen mit Bannern) platzierten die Ablehnungsoption nur in einer zweiten Ebene, 84 Websites setzten Cookie-Walls ein (Blockierung von Inhalten bis zur Einwilligung), und 137 Websites zeigten Bot-Consent-Umgehung – bewusstes Verbergen des Banners vor automatisierten Scannern, während es menschlichen Besuchern angezeigt wird.
Ergebnis 6: Missbrauch der Cookie-Lebensdauer
Die CNIL empfiehlt eine maximale Cookie-Lebensdauer von 13 Monaten — ein Standard, den mehrere andere nationale Datenschutzbehörden übernommen oder referenziert haben. Dies ist keine feste gesetzliche Grenze im Text der DSGVO, spiegelt aber eine Auslegung des Grundsatzes der Speicherbegrenzung (Artikel 5(1)(e)) in Bezug auf Tracking-Identifikatoren wider.
Unser Scan ergab, dass 26.250 Websites (27 %) mindestens ein Cookie über dem 13-Monats-Schwellenwert hatten, was insgesamt 58.127 einzelne Cookies umfasst.
Der häufigste Verstoß betrifft das `_ga`-Cookie von Google Analytics, das standardmäßig mit einer Lebensdauer von zwei Jahren gesetzt wird. Das bedeutet, dass selbst Websites mit ansonsten funktionierenden Einwilligungsmechanismen oft allein deshalb einen Verstoß begehen, weil sie die Standard-GA-Cookie-Ablaufzeit nicht geändert haben. Es handelt sich um ein Konfigurationsproblem, nicht um eine technische Einschränkung – Google Analytics erlaubt benutzerdefinierte Cookie-Lebensdauern – aber der Standard ist nicht konform mit den EDPB-Empfehlungen, und die meisten Website-Betreiber ändern ihn nie.
Langlebige Cookies schaffen ein kumulierendes Datenschutzrisiko. Ein Zwei-Jahres-Cookie ist nicht nur „etwas länger als 13 Monate". Es bedeutet, dass ein Nutzer, der eine Website einmal besucht, einwilligt und nie zurückkehrt, trotzdem noch zwei Jahre lang von der Analytics dieser Website identifiziert und getrackt werden kann. Wenn der Nutzer später die Einwilligung widerruft oder die Rechtsgrundlage sich ändert, besteht das Cookie als Geister-Identifikator fort, bis es abläuft.
Weitere Ergebnisse
Einige weitere Ergebnisse der Studie verdienen eine kurze Erwähnung:
Fingerprinting. Wir haben Browser-Fingerprinting-Signale (Canvas-Fingerprinting, WebGL-Fingerprinting, Audio-Context-Fingerprinting) auf 4.114 Websites (4,2 %) erkannt. Fingerprinting ist besonders besorgniserregend, weil es nicht durch das Löschen von Cookies beseitigt werden kann – es nutzt inhärente Browser- und Geräteeigenschaften als Identifikatoren. Die ePrivacy-Richtlinie behandelt Fingerprinting hinsichtlich der Einwilligungspflicht gleichwertig zum Cookie-basierten Tracking. Google Consent Mode-Abweichungen. Unter den Websites, die Google Consent Mode implementieren, wurde festgestellt, dass 28,4 % ihn nutzen, während 13,7 % der Websites mit Google-Diensten keine Consent-Mode-Implementierung aufwiesen. Besorgniserregender ist, dass 11,9 % Abweichungen zeigten – der an Googles API gemeldete Einwilligungsstatus stimmte nicht mit dem tatsächlichen Tracking-Verhalten im Browser überein. Das bedeutet, das CMP teilt Google mit, dass die Einwilligung verweigert wurde, aber Tracking-Anfragen werden weiterhin gesendet. Barrierefreiheit. Einwilligungsbanner sind gesetzlich vorgeschriebene UI-Elemente, und wenn sie nicht barrierefrei sind, kann ein Teil der Nutzer seine Rechte nicht ausüben. Unter den erkannten Bannern: 25 % hatten Touch-Ziele unter den empfohlenen Mindestgrößen, 15,2 % hatten kontrastarmen Text und 3,4 % waren nicht per Tastatur bedienbar. Ein Banner, das nicht mit der Tastatur bedient werden kann, verweigert Nutzern, die auf unterstützende Technologie angewiesen sind, effektiv die Einwilligungsentscheidung – ein Verstoß, der sowohl die DSGVO als auch Barrierefreiheitsvorschriften betrifft.Gesamte Risikoverteilung
Zusammengefasst ergibt sich die Gesamtrisiko-Klassifizierung der 97.304 gescannten Websites:
| Risikostufe | Prozent |
|---|---|
| Hohes Risiko | 41,0 % |
| Niedriges Risiko | 27,6 % |
| Mittleres Risiko | 16,8 % |
| Nicht eindeutig | 14,9 % |
Die 14,9 % nicht eindeutiger Ergebnisse spiegeln Websites wider, bei denen der Scanner keine zuverlässige Bestimmung vornehmen konnte – typischerweise aufgrund von Bot-Erkennung, komplexen Single-Page-Application-Architekturen oder zeitabhängigem Verhalten. Wir berichten diese ehrlich, anstatt sie in eine Bestanden/Nicht-bestanden-Klassifizierung zu zwingen, denn falsches Vertrauen in Compliance-Daten ist schlimmer als zugegebene Unsicherheit.
Was das für Website-Betreiber bedeutet
Wenn Sie eine Website betreiben, die EU-Besucher bedient, adressieren vier Maßnahmen die häufigsten und risikoreichsten Ergebnisse:
1. Prüfen Sie, was vor der Einwilligung geladen wird. Öffnen Sie Ihre Website in einem privaten Browserfenster, öffnen Sie die Entwicklertools und beobachten Sie die Netzwerk- und Anwendungs-Tabs, bevor Sie mit einem Banner interagieren. Wenn Sie Anfragen an Analytics- oder Werbedomains sehen oder Cookies von diesen Diensten erscheinen, ist Ihr Pre-Consent-Verhalten nicht konform. Die Lösung liegt typischerweise in der Tag-Manager-Konfiguration: Stellen Sie sicher, dass nicht-essentielle Skripte blockiert werden, bis eine ausdrückliche Einwilligung aufgezeichnet wurde. 2. Testen Sie Ihren Ablehnungsfluss von Anfang bis Ende. Klicken Sie auf Ihrem eigenen Banner auf Ablehnen und prüfen Sie dann, ob nicht-essentielle Cookies verschwunden sind. Laden Sie dann die Seite neu und prüfen Sie erneut. Wenn Cookies wieder auftauchen, haben Sie ein Consent-Respawn-Problem, das eine Untersuchung erfordert, welche Skripte Ihren Einwilligungsmechanismus umgehen. Unsere Daten zeigen, dass dies eine überraschend große Anzahl von Websites betrifft, auch solche mit seriösen CMPs. 3. Überprüfen Sie Ihre Cookie-Lebensdauern. Wenn Sie Google Analytics mit Standardeinstellungen verwenden, hat Ihr `_ga`-Cookie eine Lebensdauer von zwei Jahren. Ändern Sie diese auf 13 Monate oder weniger. Überprüfen Sie alle Cookies, die Ihre Website setzt, und stellen Sie sicher, dass keines die empfohlene Höchstdauer von 13 Monaten überschreitet. Dies ist eine schnelle Konfigurationsänderung, die einen häufigen Compliance-Befund beseitigt. 4. Stellen Sie sicher, dass Ihr Banner barrierefrei ist und eine Ablehnung in der ersten Ebene bietet. Wenn Ihre Ablehnungsoption das Navigieren zu einer zweiten Einstellungsseite erfordert, während „Alle akzeptieren" mit einem Klick möglich ist, entspricht Ihr Einwilligungsmechanismus möglicherweise nicht den EDPB-Leitlinien. Überprüfen Sie das Banner auf Tastaturzugänglichkeit, Touch-Zielgrößen und Kontrastverhältnisse.Methodische Hinweise und ehrliche Einschränkungen
Wir möchten transparent machen, was diese Studie aussagen kann und was nicht.
Was sie gut misst: Pre-Consent-Verhalten, Cookie-Inventare, Netzwerkanfragen an bekannte Tracking-Domains, Bannerpräsenz und -struktur, Ablehnungsfluss-Ergebnisse und Cookie-Lebensdauern. Dies sind objektive, evidenzbasierte Messungen, die aus echtem Browserverhalten aufgezeichnet wurden. Was sie unvollkommen misst: Die CMP-Erkennung ist nicht zu 100 % umfassend. Websites mit Einwilligungslösungen, die nicht in unserer 45-CMP-Bibliothek enthalten sind, können fälschlicherweise als ohne Banner klassifiziert werden. GeoIP-abhängige Banner können je nach Netzwerkstandort des Scanners unterschiedlich angezeigt werden. Single-Page-Applications, die die Einwilligung im clientseitigen Status ohne DOM-Änderungen verwalten, sind schwieriger zu bewerten. Einige Websites erkennen automatisierte Browser und ändern ihr Verhalten entsprechend (wir haben 137 gefunden, die dies absichtlich tun). Was sie nicht misst: Berechtigtes Interesse (das eine rechtliche statt technische Bewertung erfordert), die Qualität von Datenschutzerklärungen, ob Einwilligungsaufzeichnungen ordnungsgemäß gespeichert werden oder ob Datenverarbeitungsaktivitäten verhältnismäßig sind. Dies sind wichtige Compliance-Dimensionen, die allein aus dem Browserverhalten nicht beobachtbar sind.Die 14,9 % nicht eindeutiger Ergebnisse sind unser Sicherheitsventil für Websites, bei denen wir keine zuverlässige technische Bestimmung treffen konnten. Wir bevorzugen ehrliche Unsicherheit gegenüber falscher Präzision.
Überprüfen Sie Ihre eigene Website. Führen Sie einen kostenlosen Scan auf gdprmonitor.eu durch und sehen Sie genau, was vor, während und nach der Einwilligung auf Ihrer Website passiert. Der Scanner erzeugt dieselben Nachweise wie in dieser Studie – Pre-Consent-Snapshots, Cookie-Inventare, Ablehnungsfluss-Ergebnisse und Risiko-Klassifizierung – für jede URL, die Sie einreichen.
Überprüfen Sie Ihre Website
Führen Sie einen kostenlosen DSGVO-Compliance-Scan durch — keine Registrierung erforderlich.
Website kostenlos scannen