Complianz-Audit-Leitfaden für Agenturen (2026)
Prüfen Sie Ihr Complianz-Setup: WordPress-natives Consent-Management, was Selbst-Scans übersehen können und wann Multi-CMS-Portfolios unabhängige Verifikation brauchen.
Lukas Kontur · · 13 Min. Lesezeit
Kurzfassung - Complianz ist ein starkes WordPress-natives Consent-Management-Plugin, lizenzbasiert und sowohl mit jährlicher als auch monatlicher Abrechnung verkauft, mit tiefer Integration in den WordPress-Request-Lebenszyklus. Für reine WordPress-Betreiber ist es eine saubere Wahl. Der Haken zeigt sich, wenn das Portfolio einer Agentur Shopify, Custom-Next.js, Headless Commerce oder andere Nicht-WordPress-Sites umfasst: Der WordPress-tiefe Ansatz von Complianz reicht nicht einheitlich auf diese Oberflächen. Dieser Leitfaden erklärt, wie Sie eine Complianz-Installation prüfen und wo unabhängige Verifikation für Multi-CMS-Portfolios passt.
Wofür Complianz gut ist
Complianz ist ein WordPress-natives Plugin in einer Weise, in der SaaS-zentrierte CMPs es nicht sind. Das Plugin hakt sich an mehreren Stellen in den WordPress-Request-Lebenszyklus ein: Es verwaltet die Banner-UI, generiert Rechtsdokumente, führt einen hybriden Cookie-Scan aus (server-seitige Erkennung plus client-seitiges Rendern), verdrahtet Google Consent Mode v2 und speichert Einwilligungsnachweise in der WordPress-Datenbank. Multi-Region-Compliance (DSGVO, ePrivacy, CCPA, weitere) ist eingebaut. IAB-/TCF-Werberahmen und A/B-Tests sind über die Premium-Lizenztarife hinweg enthalten.
Das Preismodell ist lizenzbasiert, und die öffentliche Seite zeigt je nach Umschalter und Währung jährliche oder monatliche Beträge an. Bei Anzeige in jährlich USD kostet Personal $59/Jahr (1 Site), Professional $179/Jahr (5 Sites, als beliebt markiert) und Agency $399/Jahr (25 Sites). Die EUR-Preisseite weist für dieselben Tarife auch eine monatliche Abrechnung aus. Der Agency-Tarif ergänzt ein Multisite-Plugin mit domainübergreifender Cookie-Einwilligung und automatischer Konfiguration von Subsites. Eine kostenfreie WordPress-Plugin-Variante existiert mit reduziertem Funktionsumfang. Für eine WordPress-Werkstatt mit mehreren Sites unter einer Lizenz ist Complianz eine kosteneffiziente Option für reine WordPress-Portfolios.
Der Anbieter ist beim Geltungsbereich explizit: "Das Complianz-Plugin ist derzeit ausschließlich für WordPress verfügbar." Eine separate Shopify-App wird als anderes Produkt mit anderem Funktionsumfang angeboten.
Für einen Betreiber, dessen Hauptbedarf "Consent-Management auf einer WordPress-Site oder einer Flotte von WordPress-Sites" ist, ist Complianz eine starke Einzelwahl, und das ist eine echte Stärke des Produkts. Schwieriger wird es im Multi-CMS-Fall.
Häufige Complianz-Implementierungsprobleme, die Selbst-Scans übersehen können
Die WordPress-native Integration von Complianz ist tatsächlich tief, und diese Tiefe ist auch die Quelle ihrer blinden Flecken: Der Schutz ist genau so gut wie das WordPress-native Skript-Lademodell. Vier Muster, die wir immer wieder sehen:
1. Race-Conditions zwischen Tag-Manager und Consent Mode. Universell über CMPs hinweg. Das Google Tag Manager-Snippet ist inline in der header.php oberhalb der Complianz-Ausgabe fest verdrahtet, sodass GTM initialisiert, bevor das Skript-Blocking des Plugins eingreifen kann. Oder Consent Mode v2 steht für einen oder mehrere der vier Parameter standardmäßig auf 'granted'. Wenn GTM-Snippets, Theme-Skripte oder von Plugins eingespeiste Tags ausgeführt werden, bevor der Einwilligungsstatus angewendet wird, kann sich das Live-Netzwerk beim ersten Laden trotzdem von der Plugin-Konfiguration unterscheiden. Verifizieren Sie das mit einem sauberen Browser-Trace, nicht nur über den WordPress-Admin-Status.
2. Theme- und Page-Builder-Skripteinspeisungen. Das automatische Blockieren von Complianz integriert sich mit dem standardmäßigen WordPress-Enqueue-Lebenszyklus und der WordPress Consent API. Marketing-Widgets, die in Theme-Dateien eingefügt werden, Custom-HTML-Blöcke in Page Buildern (Elementor, Divi, Gutenberg etc.) oder Drittanbieter-Plugins, die nicht an diesem Consent-Pfad teilnehmen, müssen möglicherweise weiterhin manuell behandelt werden. Der WordPress-Admin-Status kann korrekt aussehen, während die Live-Netzwerkaufzeichnung dennoch zeigt, dass ein Tracker früh zündet.
3. Multi-CMS-Portfolio-Mismatch. Das ist das schärfste Problem und das für Agenturen relevanteste. Die WordPress-Integration von Complianz ist tief; die Shopify-App ist ein separates Produkt mit anderem Funktionsumfang; und das WordPress-Plugin deckt Custom-Next.js, Headless Commerce oder beliebige Nicht-WordPress-Stacks nicht direkt ab. Ein Agentur-Portfolio, das "Complianz auf WordPress + irgendetwas anderes auf dem Rest" ist, hat per Definition uneinheitliche Abdeckung. Eine einheitliche Audit-Schicht, der das zugrundeliegende CMS egal ist, ist ein sauberer Weg, um zu verifizieren, ob das Einwilligungsverhalten über das Portfolio hinweg konsistent funktioniert.
4. Bedingte und verhaltensgesteuerte Marketing-Skripte. Ein scrollgesteuerter Recorder, ein verzögertes Chat-Widget, ein A/B-Test-Zweig oder ein dynamisch eingespeister Tag wird durch einen festen Crawler-Pfad möglicherweise nicht ausgelöst. Manuelle Verifikation: Aktion des Nutzers reproduzieren, Einwilligung ablehnen, neu laden, prüfen, ob der Tag dennoch zündet.
Schritt-für-Schritt-Audit-Checkliste
Jeder Schritt ist etwas, das Sie in einem Browser tun können; ein externer Scanner verkürzt die manuelle Arbeit.
- Öffnen Sie die Site in einem sauberen Browserprofil, mit geöffneten Entwicklertools, Netzwerkfilter auf "third-party". Neu laden. Alles, was vor dem Klick auf eine Banner-Schaltfläche zündet, ist verdächtig.
- Prüfen Sie die Position des GTM-Snippets. Wenn der GTM-Loader im Seitenquelltext oberhalb der Complianz-Ausgabe steht, läuft das automatische Blockieren des Plugins dem Tag-Manager hinterher. Verschieben Sie das GTM-Snippet in die consent-gesperrte Einspeisung von Complianz oder nutzen Sie die vom Plugin empfohlene GTM-Integration.
- Prüfen Sie den Standardzustand von Consent Mode v2. Suchen Sie auf der gerenderten Seite nach
gtag('consent', 'default'. Das Argument sollte alle vier Parameter auf'denied'setzen. - Klicken Sie auf Ablehnen. Neu laden. Dieselbe Netzwerk-Aufzeichnung prüfen. Im Netzwerk nach Ablehnung sollten keine Drittanbieter-Tracker erscheinen.
- Testen Sie die Persistenz der Einwilligung über mehrere Seiten. Klicken Sie auf Ablehnen, navigieren Sie zu einer zweiten Seite. Das Banner sollte nicht erneut erscheinen.
- Auditieren Sie Theme- und Page-Builder-Einspeisungen. Durchsuchen Sie
header.php,footer.phpund alle "Custom HTML"-Blöcke des Page Builders nach fest verdrahteten Script-Tags. Diese umgehen das automatische Blockieren des Plugins. - Bei Multisite-Installationen (Agency-Tarif) jede Subsite separat auditieren. Domainübergreifende Einwilligungs-Synchronisation ist eine Agency-Funktion; pro-Subsite-Drift ist real.
- Schalten Sie die Seite auf jede Ihrer Live-Sprachen um. Prüfen Sie, ob die Cookie-Erklärung übersetzt wird und die aufgeführten Tracker übereinstimmen.
- Testen Sie von einer Nicht-EU-IP. Wenn Ihr Complianz-Setup Geo-Targeting nutzt, prüfen Sie, ob das Banner für Nicht-EU-Besucher wie erwartet rendert.
- Bei Multi-CMS-Portfolios jede Nicht-WordPress-Site mit der gleichen Checkliste auf ihrem nativen Stack auditieren. Die WordPress-tiefe Integration von Complianz reicht nicht einheitlich auf Shopify-, Next.js- oder Custom-Stack-Sites.
Wann Complianz allein ausreicht
Für das folgende Profil reicht der eingebaute Scanner von Complianz, und ein zweites Werkzeug ist Overhead:
- Eine einzelne WordPress-Site oder eine Flotte von WordPress-Sites unter einer Agency-Lizenz.
- Das Complianz-Plugin (Personal-, Professional- oder Agency-Tarif) auf jeder Site installiert.
- Standardmäßige Theme- und Page-Builder-Nutzung; keine Marketing-Widgets, die direkt in Theme-Dateien eingefügt werden.
- Kein Google Tag Manager oder lediglich eine einfache Google Analytics 4-Installation, die durch die gesperrte Einspeisung des Plugins geleitet wird.
- Keine Anforderung an Kunden-Reporting.
- Kein erhöhtes Prüfungsprofil.
Für dieses Profil erledigt die Complianz-Lizenz die Aufgabe, und jedes zusätzliche Werkzeug ist eine Steuer. Insbesondere der Agency-Tarif ist eine kosteneffiziente Möglichkeit, Einwilligungen über eine Flotte von WordPress-Sites zu verwalten.
Wann unabhängiges Auditing sinnvoll ist
Der Bedarf an externer Verifikation skaliert mit drei Faktoren, und einer davon ist für Complianz-Nutzer deutlich schärfer als für SaaS-CMP-Nutzer:
Multi-CMS-Portfolio. Das ist der schärfste Hebel. Die WordPress-Integration von Complianz ist exzellent; die Shopify-App ist separat; und das WordPress-Plugin deckt Custom-Next.js, Headless Commerce oder beliebige Nicht-WordPress-Stacks nicht direkt ab. Agenturen, die ein Portfolio mit einem davon pflegen, brauchen eine einheitliche Audit-Schicht, die unabhängig vom CMS dasselbe Beweispaket erzeugt.
Komplexität der Marketing-Tags. GTM, Meta Pixel, Google Ads-Conversion, LinkedIn Insight, TikTok Pixel, server-seitiges Tagging - jeder zusätzliche Tag vergrößert die Angriffsfläche, auf der ein versehentliches "default-granted" Tracker vor der Einwilligung zünden kann.
Erhöhtes Prüfungsprofil. Für Betreiber, die im Falle einer Beschwerde Aufmerksamkeit der Aufsicht auf sich ziehen würden, ist ein nicht anbietergebundener Nachweispfad nützlich, weil die Implementierung der Cookie-Einwilligung ein wiederkehrender Gegenstand der Prüfung durch Datenschutzbehörden ist.
Beweispakete für Beschaffung. Unternehmenskunden in regulierten Branchen verlangen häufig unabhängige technische Belege im Rahmen des Lieferanten-Onboardings. Ein externer Scan-Bericht beantwortet diese Anforderung in einer Weise, wie es ein Screenshot des Complianz-Dashboards nicht tut.
Complianz vs. unabhängiges Auditing
| Feature | Complianz Personal $59/yr · Professional $179/yr · Agency $399/yr (yearly USD; monthly billing also available) | GDPR Privacy Monitor Free + paid plans |
|---|---|---|
| Cookie scanner (self-scan) | ✓ | ✕ |
| WordPress-native plugin | ✓ | ✕ |
| Multi-region compliance (GDPR/CCPA/ePrivacy) | ✓ | ✕ |
| Google Consent Mode v2 | ✓ | ✕ |
| IAB/TCF advertising frameworks | ✓ | ✕ |
| A/B testing | ✓ | ✕ |
| Multi-site cross-domain (Agency tier) | Agency tier | ✕ |
| License-based (yearly or monthly) | ✓ | Free + paid plans |
| Independent technical verification | ✕ | ✓ |
| Multi-CMP / multi-CMS portfolio reports | ✕ | ✓ |
Acht Zeilen sprechen für Complianz, weil Complianz tiefe CMP-Arbeit leistet, die ein Audit-Werkzeug nicht repliziert. Complianz verwaltet Einwilligungen auf WordPress; GDPR Privacy Monitor verifiziert, dass das Ergebnis sich im echten Betrieb korrekt verhält, und produziert ein einheitliches Beweispaket über WordPress-, Shopify-, Custom-Stack- und Headless-Sites hinweg.
Eine saubere Complianz-Installation auf einer einzelnen WordPress-Site sollte normalerweise im Niedrigrisiko-Bereich landen. Ein Wert in den 40ern bedeutet typischerweise, dass ein praktisches Problem vorliegt - zum Beispiel ein Skript in einer Theme-Datei, das die Plugin-Reichweite umgeht, ein Tag, der vor Einwilligung zündet, oder ein Tracker, der nach Ablehnung nicht respektiert wird.
Führen Sie einen unabhängigen Scan auf der zu prüfenden Site durch
Kostenlosen Scan starten oder Beispielbericht ansehen, um zu sehen, wie eine externe Aufzeichnung neben dem Complianz-Dashboard aussieht.
Häufig gestellte Fragen
Ist Complianz nur für WordPress?
Das Plugin ja. Der Anbieter von Complianz stellt explizit klar: "Das Complianz-Plugin ist derzeit ausschließlich für WordPress verfügbar." Eine separate Shopify-App wird als anderes Produkt mit anderem Funktionsumfang angeboten; das WordPress-Plugin deckt Custom-Next.js, Headless Commerce oder beliebige Nicht-WordPress-Stacks nicht direkt ab. Für Multi-CMS-Portfolios kombinieren Sie entweder Complianz auf den WordPress-Sites mit einem anderen CMP an anderer Stelle oder nutzen eine einheitliche Audit-Schicht, der das CMS egal ist.
Wie schneidet Complianz im Vergleich zu Cookiebot oder CookieYes auf WordPress ab?
Complianz ist WordPress-nativer: Es integriert sich an mehreren Stellen in den Request-Lebenszyklus, generiert Rechtsdokumente innerhalb von WordPress und speichert Einwilligungsnachweise in der WordPress-Datenbank. Cookiebot und CookieYes sind SaaS-zentrierte Produkte, die ein WordPress-Plugin ergänzend zu ihrem Hauptangebot ausliefern. Für einen reinen WordPress-Betreiber kann das lizenzbasierte Modell von Complianz bei jährlicher Abrechnung günstiger sein als die wiederkehrenden SaaS-Abonnements der Wettbewerber; bei monatlicher Abrechnung verringert sich der Abstand. Für Multi-CMS-Portfolios reisen die SaaS-zentrierten Produkte besser.
Wie genau ist der Complianz-Scanner?
Complianz kombiniert server-seitige Erkennung mit browser-basierten Prüfungen, was für WordPress-Sites nützlich ist. Eine Laufzeit-Verifikation bleibt sinnvoll, um zu bestätigen, was vor Einwilligung und nach Ablehnung tatsächlich zündet. Seine Grenzen sind eher struktureller als technischer Natur: Wie jeder automatisierte Scan folgt er einem begrenzten Scan-Pfad und einem begrenzten Beobachtungsfenster, sodass Tags oder Embeds, die an reales Nutzerverhalten geknüpft sind, möglicherweise nicht von jedem Crawler-Pfad ausgelöst werden. Selbst-Scans sind nützliches Inventar; sie sind kein unabhängiger technischer Beweis.
Was ist der Unterschied zwischen Complianz Free, Personal, Professional und Agency?
Die kostenfreie WordPress-Plugin-Variante deckt das Wesentliche ab. Personal ($59/Jahr bei Anzeige in jährlich USD, 1 Site) ergänzt den vollen Funktionsumfang. Professional ($179/Jahr, 5 Sites, als beliebt markiert) ist der typische Mittelmarkt-Tarif. Agency ($399/Jahr, 25 Sites) ergänzt ein Multisite-Plugin mit domainübergreifender Cookie-Einwilligung und automatischer Konfiguration von Subsites - der richtige Tarif für eine WordPress-Werkstatt, die viele Sites unter einer Lizenz pflegt. Die Preisseite weist für dieselben Tarife auch eine monatliche Abrechnung aus, wenn EUR ausgewählt ist. Alle kostenpflichtigen Tarife enthalten 1 Jahr Support.
Warum kann ein Complianz-Dashboard sauber aussehen, während ein Agentur-Audit dennoch Tracker vor Einwilligung findet?
Üblicherweise eines von zwei Dingen: Ein Skript in der header.php oder ein Custom-HTML-Block eines Page Builders umgeht das automatische Blockieren des Plugins, oder GTM-Tags sind nicht consent-aware. Complianz integriert sich tief mit dem WordPress-Request-Lebenszyklus und der WordPress Consent API; Skripte, die von Plugins, Themes oder Tag-Managern geladen werden, die nicht an diesem Consent-Pfad teilnehmen, müssen möglicherweise weiterhin manuell behandelt oder unabhängig verifiziert werden. Ein Netzwerk-Trace mit echtem Nutzer bringt diese Fälle zutage, wo das Self-Scan-Dashboard das nicht tut.
Führen Sie einen kostenlosen Complianz-Verifikationsscan durch
Bevor Sie einen Maßnahmenplan schreiben, sehen Sie, was eine unabhängige Aufzeichnung auf der zu prüfenden Site zeigt. Der kostenlose Scan von GDPR Privacy Monitor liefert eine Aufschlüsselung auf Netzwerkebene: Was zündet vor der Einwilligung, was überlebt eine Ablehnung und was sagt die Cookie-Erklärung im Vergleich zu dem, was das Netzwerk tatsächlich tut. Für den ersten Scan ist kein Konto erforderlich.
Kostenlosen Scan starten oder Beispielbericht ansehen, um sich vor einer Entscheidung das Format anzusehen.
Weitere Audit-Leitfäden: Cookiebot · CookieYes · OneTrust · Iubenda Hintergrund: Tracking vor Einwilligung erklärt
Preis- und Funktionsangaben am 06.05.2026 anhand von complianz.io/pricing verifiziert. Die Preisseite von Complianz ist bei Änderungen maßgeblich. Setzen Sie eine vierteljährliche Erinnerung zur Neuverifikation.
Zuletzt aktualisiert: