CookieYes-Audit-Leitfaden für Agenturen (2026)

Kurzfassung - CookieYes gehört zu den am weitesten verbreiteten CMPs im WordPress-Ökosystem, mit einem Google-zertifizierten Banner, einem großzügigen kostenfreien Tarif und Unterstützung für IAB TCF in den Tarifen Pro und Ultimate. Ein Selbst-Scan aus einem CMP heraus liefert ein nützliches operatives Inventar, ist aber nicht dasselbe Artefakt wie unabhängige Belege durch einen separaten Prüfer. Dieser Leitfaden erklärt, wie Sie eine CookieYes-Installation in der Praxis prüfen - und wann ein Selbst-Scan allein ausreicht.

CookieYes-Audit-Checkliste (Kurzfassung)

Prüfen Sie, ob der GTM-Loader oberhalb des CookieYes-Snippets steht - diese Reihenfolge bedeutet, dass GTM das Rennen beim ersten Rendern gewinnt.
Stellen Sie sicher, dass der Standardzustand von Consent Mode v2 für die vier Parameter analytics_storage, ad_storage, ad_user_data und ad_personalization auf denied gesetzt ist.
Erfassen Sie in einem sauberen Browserprofil mit geöffneten Entwicklertools jede Drittanbieter-Anfrage, die vor einem Banner-Klick ausgelöst wird.
Klicken Sie auf Alle ablehnen, laden Sie neu und erfassen Sie das Netzwerk erneut - nichts Nicht-Essenzielles sollte nach der Ablehnung erscheinen.
Vergleichen Sie das Netzwerkverhalten nach Ablehnung mit der CookieYes-Cookie-Erklärung; Abweichungen zwischen beiden sind ein häufiger Mangel.
Exportieren Sie eine .har-Datei mit Zeitstempeln als belastbaren Audit-Nachweis - aussagekräftiger als ein Dashboard-Screenshot.

Die ausführliche Fassung mit Hinweisen zu jedem Schritt finden Sie weiter unten.

Wofür CookieYes gut ist

CookieYes hat einen starken WordPress-Footprint: Es ist ein Google-zertifiziertes CMP, sein WordPress-Plugin hat mehr als 1 Million aktive Installationen, und das Unternehmen meldet mehr als 1,5 Millionen Unternehmen auf der Plattform. Für eine WordPress-Site beliebiger Größe ist das Plugin nur wenige Klicks von einem funktionierenden Banner entfernt, und die WordPress-Integration gehört zu den gründlicheren in der Kategorie (Custom Post Types, mehrsprachige Plugins, Page Builder).

Der kostenfreie Tarif ist ungewöhnlich großzügig. Für 0 €/0 $/0 £ pro Monat erhalten Sie 5.000 monatliche Seitenaufrufe und 100 gescannte Seiten auf einer Domain - genug für eine funktionierende Installation auf einer kleinen Website, ohne jemals zu zahlen. Der niedrigste kostenpflichtige Tarif (Basic, $10/Monat in USD-Anzeige) hebt das auf 100.000 monatliche Seitenaufrufe und 600 gescannte Seiten an. Google Consent Mode v2 ist auf allen Tarifen verfügbar, einschließlich des kostenlosen Tarifs. Der Pro-Tarif ($25/Monat in USD-Anzeige) ergänzt IAB TCF, GPC, Geo-Targeting und monatlich geplante Scans. Der Ultimate-Tarif ($55/Monat) hebt die Seitenaufruf-Obergrenze vollständig auf.

Für einen Betreiber, dessen Hauptbedarf darin besteht, "ein klares Banner auf einer WordPress-Site anzuzeigen, Einwilligung zu erfassen und die offensichtlichen Tags zu sperren", erledigt CookieYes die Aufgabe, und das ist eine echte Stärke des Produkts. Schwieriger wird es bei der nächsten Frage: Woher wissen Sie, dass es in echten Nutzersitzungen tatsächlich funktioniert, insbesondere auf Sites, die nicht WordPress sind?

Häufige CookieYes-Implementierungsprobleme, die Selbst-Scans übersehen können

Wie jeder automatisierte Scan folgt auch ein CookieYes-Scan einem begrenzten Scan-Pfad und einem begrenzten Beobachtungsfenster. Das Skript, das ausgelöst wird, wenn der Crawler Ihre Site besucht, ist nicht zwangsläufig dasselbe Skript, das ausgelöst wird, wenn ein echter Nutzer von einer deutschen IP an einem Dienstagnachmittag vorbeikommt. Vier Muster, die wir auf CookieYes-geschützten Sites in Audits realer Nutzer immer wieder sehen:

1. Race-Conditions zwischen Tag-Manager und Consent Mode. Das häufigste Problem und mit jedem anderen CMP am Markt geteilt. Das Google Tag Manager-Snippet ist inline oberhalb des CookieYes-Loaders fest verdrahtet, sodass GTM initialisiert (und jeder Tag mit Standard-Consent granted ausgelöst) wird, bevor der Auto-Blocker eingreifen kann. Oder Consent Mode v2 ist so verdrahtet, dass einer oder mehrere der vier Parameter standardmäßig auf 'granted' statt 'denied' stehen, was dasselbe Ergebnis ohne das Reihenfolgeproblem erzeugt. Die Prüfung ist einfach: Skriptreihenfolge prüfen, Consent-Mode-Standardwerte prüfen, dann den Netzwerk-Trace beim ersten Laden verifizieren.

2. Reichweitengrenzen des WordPress-Plugins. CookieYes kann nicht-essenzielle Skripte und Cookies in typischen WordPress-Plugin-Abläufen blockieren, der Anbieter weist in der eigenen Dokumentation jedoch darauf hin, dass Skripte oder Cookies, die außerhalb der Kontrolle von CookieYes erstellt werden, möglicherweise weiterhin manuell behandelt werden müssen. Wir sehen das am häufigsten bei Marketing-Widgets, die direkt in die footer.php eingefügt werden, bei Chat-Widgets, die per "fügen Sie dieses Snippet ein"-Anweisung installiert werden, und bei eingebetteten Formularen, die ihre eigene Analytik laden. Genau hier hilft ein Audit auf Browser-Ebene: Es verifiziert das Live-Netzwerk beim ersten Laden, nicht nur die Plugin-Konfiguration.

3. Nicht-WordPress-Installationen verzichten auf die Komfortfunktionen der WordPress-Plugin-Integration. Das automatische Cookie-Blockieren und das iFrame-Blockieren stehen tarifübergreifend zur Verfügung, doch die WordPress-spezifische Theme-Integration, die native Admin-UX und die plugin-eigenen Komfortfunktionen gibt es nur unter WordPress. Auf einer Shopify- oder Next.js-Site erhalten Sie das Banner, die Einwilligungsspeicherung und das automatische Blockieren, dennoch sollten Custom-Stack-Implementierungen weiterhin Skript für Skript verifiziert werden, weil Tags, die direkt in Theme-Dateien eingefügt oder von anderen Apps eingespeist werden, außerhalb des Einwilligungs-Pfads liegen können.

4. Bedingte und verhaltensgesteuerte Marketing-Skripte. Ein scrollgesteuerter Recorder, ein verzögertes Chat-Widget, ein A/B-Test-Zweig oder ein dynamisch eingespeister Tag wird durch einen festen Crawler-Pfad möglicherweise nicht ausgelöst. Behandeln Sie diese als manuelle Verifikationsziele: Aktion des Nutzers reproduzieren, Einwilligung ablehnen, neu laden und prüfen, ob der Tag dennoch zündet.

Schritt-für-Schritt-Audit-Checkliste

Jeder Schritt ist etwas, das Sie in einem Browser tun können; ein externer Scanner verkürzt die manuelle Arbeit.

Öffnen Sie die Site in einem sauberen Browserprofil, mit geöffneten Entwicklertools, Netzwerkfilter auf "third-party". Neu laden. Alles, was vor dem Klick auf eine Banner-Schaltfläche zündet, ist verdächtig.
Prüfen Sie die Position des GTM-Snippets. Wenn der GTM-Loader im Seitenquelltext oberhalb des CookieYes-Loaders steht, läuft der Auto-Blocker dem Tag-Manager hinterher. Stellen Sie unter WordPress sicher, dass die Plugin-Option "vor anderen Skripten laden" aktiviert ist.
Prüfen Sie den Standardzustand von Consent Mode v2. Suchen Sie auf der gerenderten Seite nach gtag('consent', 'default'. Das Argument sollte alle vier Parameter - analytics_storage, ad_storage, ad_user_data, ad_personalization - auf 'denied' setzen. Wenn einer auf 'granted' steht, ist das die Fehlkonfiguration.
Klicken Sie auf Ablehnen. Neu laden. Dieselbe Netzwerk-Aufzeichnung prüfen. Eine korrekt konfigurierte CookieYes-Installation sollte nach der Ablehnung keine Drittanbieter-Tracker im Netzwerk zeigen. Wenn Meta Pixel, LinkedIn Insight oder Google Analytics nach Ablehnung weiterhin zünden, wird der Einwilligungszustand nicht propagiert.
Testen Sie die Persistenz der Einwilligung über mehrere Seiten. Klicken Sie auf Ablehnen, navigieren Sie zu einer zweiten Seite. Das Banner sollte nicht erneut erscheinen. Wenn doch - das Muster consent_respawn -, sind Cookie-Geltungsbereich oder -Lebensdauer falsch, unabhängig davon, was das Dashboard meldet.
Auditieren Sie unter WordPress Theme- und Page-Builder-Einspeisungen. Durchsuchen Sie header.php, footer.php und alle "Custom HTML"-Blöcke des Page Builders nach fest verdrahteten Script-Tags. Diese umgehen das automatische Blockieren des Plugins.
Schalten Sie die Seite auf jede Ihrer Live-Sprachen um. Prüfen Sie, ob die Cookie-Erklärung übersetzt wird und die aufgeführten Tracker zum aktuellen Scan passen, nicht zu dem vom letzten Quartal.
Testen Sie von einer Nicht-EU-IP. Manche CookieYes-Konfigurationen targeten das Banner geografisch nur auf EU-Besucher. Wenn Sie Nutzer in der Schweiz, im Vereinigten Königreich oder in Brasilien bedienen, prüfen Sie, ob das Banner wie erwartet erscheint.
Vergleichen Sie die Netzwerk-Aufzeichnung mit der CookieYes-Erklärung. Jeder nicht-essenzielle Cookie-setzende Dienst oder jede Tracking-Domain, die vor der Einwilligung zündet, sollte klassifiziert in der Erklärung auftauchen. Drift zwischen Live-Verhalten und deklarierten Trackern ist ein häufiger Mangel.
Speichern Sie die Netzwerk-Aufzeichnung als Beweis. Eine .har-Datei mit Zeitstempeln ist ein belastbarer Audit-Nachweis - aussagekräftiger als ein Dashboard-Screenshot.

Wann CookieYes allein ausreicht

Wir empfehlen nicht, jede CookieYes-Bereitstellung mit einem externen Audit zu ergänzen. Für das folgende Profil reicht der eingebaute Scanner von CookieYes, und ein zweites Werkzeug ist Overhead:

Eine einzelne WordPress-Site, eine oder zwei Sprachen, eine Domain.
Das WordPress-Plugin von CookieYes (nicht nur das reine SaaS-Embed), damit Sie das automatische Blockieren und die Theme-bewusste Einspeisung erhalten.
Kein Google Tag Manager oder lediglich eine einfache Google Analytics 4-Installation über die gesperrte Einspeisung des Plugins.
Keine Anforderung an Kunden-Reporting.
Kein erhöhtes Prüfungsprofil (geringer Traffic, B2C ohne sensible Inhalte, keine früheren Beschwerden).

Für dieses Profil erledigt der kostenfreie oder Basic-Tarif von CookieYes die Aufgabe, und jedes zusätzliche Werkzeug ist eine Steuer. Insbesondere der kostenfreie Tarif (5.000 monatliche Seitenaufrufe, 100 gescannte Seiten) ist ein brauchbarer Einstiegspunkt für viele kleine reale Sites.

Wann unabhängiges Auditing sinnvoll ist

Der Bedarf an externer Verifikation skaliert mit drei Faktoren, und einer davon ist für CookieYes-Nutzer schärfer als für die meisten CMPs:

Multi-CMS-Portfolio. Das ist der schärfste Hebel. Das WordPress-Plugin von CookieYes ist auf der WordPress-Seite besonders tief; auf Shopify, Wix, Custom-Next.js oder Headless Commerce läuft dasselbe Produkt ohne die WordPress-spezifische Theme-Integration und Admin-UX. Agenturen, die ein Portfolio von Kunden auf heterogenen Stacks pflegen, profitieren von einer einheitlichen Audit-Schicht, der das CMS der Site egal ist. Ein externer Scanner liefert dasselbe Beweispaket für die WordPress-Site, den Shopify-Storefront und die Custom-Stack-Landingpage.

Komplexität der Marketing-Tags. GTM, Meta Pixel, Google Ads-Conversion, LinkedIn Insight, TikTok Pixel, server-seitiges Tagging - jeder zusätzliche Tag vergrößert die Angriffsfläche, auf der ein versehentliches "default-granted" Tracker vor der Einwilligung zünden kann.

Erhöhtes Prüfungsprofil. Die Implementierung der Cookie-Einwilligung ist ein wiederkehrender Gegenstand der Prüfung durch Datenschutzbehörden; daher ist für Betreiber, die im Falle einer Beschwerde Aufmerksamkeit der Aufsicht auf sich ziehen würden - traffic-starke Publisher, werbefinanzierte Medien, Finanzdienstleister, Gesundheitswesen -, ein dauerhafter, nicht anbietergebundener Nachweispfad materiell etwas anderes als ein Dashboard-Screenshot des Anbieters.

Beweispakete für Beschaffung. Unternehmenskunden in regulierten Branchen verlangen häufig unabhängige technische Belege im Rahmen des Lieferanten-Onboardings. Ein externer Scan-Bericht beantwortet diese Anforderung in einer Weise, wie es ein Screenshot des CookieYes-Dashboards nicht tut.

CookieYes vs. unabhängiges Auditing

Feature	CookieYes Free + paid tiers based on pageviews	GDPR Privacy Monitor Free + paid plans
Cookie scanner (self-scan)	✓	✕
Banner UI generator	✓	✕
WordPress plugin (1M+ installs)	✓	✕
Google-certified CMP	✓	✕
IAB TCF signaling	Pro tier+	✕
Geo-targeting	Pro tier+	✕
Free tier with real pageview budget	✓	Free + paid plans
Independent technical verification	✕	✓
Multi-CMS portfolio reports	✕	✓
Evidence pack for client deck / audit file	✕	✓

CookieYes und GDPR Privacy Monitor sind unterschiedliche Produkte für unterschiedliche Bedürfnisse. CookieYes erstellt und verwaltet Ihre Einwilligungs-UX, besonders gut auf WordPress; GDPR Privacy Monitor verifiziert, dass das Ergebnis sich im echten Betrieb korrekt verhält, unabhängig vom zugrundeliegenden CMS.

Risk score: 43 / 100

Eine saubere CookieYes-Installation auf einer einzelnen WordPress-Site sollte normalerweise im Niedrigrisiko-Bereich landen. Ein Wert in den 40ern bedeutet typischerweise, dass ein praktisches Problem vorliegt - zum Beispiel ein Tracker, der vor Einwilligung zündet, ein Persistenzproblem nach Ablehnung oder eine Banner-Konfiguration, die überprüft werden muss.

Sample scan

45 / 100

Medium Risk · 8 trackers · pre-consent tracking: yes

See sample report →

Führen Sie einen unabhängigen Scan auf der zu prüfenden Site durch

Kostenlosen Scan starten oder Beispielbericht ansehen, um zu sehen, wie eine externe Aufzeichnung neben dem CookieYes-Dashboard aussieht.

Häufig gestellte Fragen

Reicht der kostenfreie CookieYes-Tarif für meine kleine WordPress-Site?

Für eine einzelne kleine WordPress-Site mit unter 5.000 monatlichen Seitenaufrufen, einer oder zwei Sprachen, ohne GTM, ohne Marketing-Pixel jenseits von Google Analytics 4 und ohne Anforderung an Agentur-Reporting - ja, der kostenfreie Tarif ist tatsächlich ausreichend. Der kostenfreie Tarif von CookieYes gehört zu den großzügigeren am Markt und ist ein bedeutsamer brauchbarer Einstiegspunkt für kleine Sites. Wenn Sie ihm entwachsen, hebt der Basic-Tarif ($10/Monat in USD-Anzeige) das Seitenaufruf-Budget auf 100.000.

Wie schneidet CookieYes im Vergleich zu Cookiebot ab?

Unterschiedliche Produkte mit unterschiedlichen Standardzielgruppen. CookieYes ist plugin-zentriert und besonders stark auf WordPress; Cookiebot ist dashboard-zentriert und gleichermaßen stark über CMS-Integrationen hinweg. Beide sind Google-bewusst und beide haben glaubwürdige Scanner. Cookiebot unterstützt IAB TCF in den kostenpflichtigen Tarifen; CookieYes unterstützt IAB TCF in Pro und Ultimate. Der kostenfreie Tarif von CookieYes ist großzügiger für traffic-arme Sites; der Premium Lite-Tarif von Cookiebot liegt bei 7 €/Monat, wenn EUR ausgewählt ist, der Basic-Tarif von CookieYes bei $10/Monat in USD-Anzeige; die Preisgestaltung von Cookiebot hängt jedoch von der Anzahl der Domains und Unterseiten ab, sodass die Multi-Domain-Nutzung in Agenturen schnell über den Einstiegstarif hinauswachsen kann. Wählen Sie nach Ihrem primären Stack: WordPress-zentrierte Agenturen bevorzugen häufig CookieYes; Multi-CMS-Werkstätten und SaaS-zentrierte Teams bevorzugen häufig Cookiebot.

CookieYes ist Google-zertifiziert. Heißt das, es ist standardmäßig konform?

Nein, und die Zertifizierung behauptet das auch nicht. Die Google-Zertifizierung bedeutet, dass die Consent Mode v2-Integration des CMP die Anforderungen von Google erfüllt - sie zertifiziert nicht, dass eine bestimmte Installation die Einwilligungsentscheidungen der Nutzer in echten Sitzungen respektiert. Die Zertifizierung ist ein anbieterseitiges Signal; Ihre konkrete Bereitstellung kann weiterhin Tracker vor der Einwilligung zünden, wenn der Tag-Manager fehlkonfiguriert ist oder Skripte die Plugin-Reichweite umgehen. Eine unabhängige Verifikation schließt die Lücke zwischen "das CMP ist zertifiziert" und "diese konkrete Installation funktioniert".

Funktioniert CookieYes außerhalb von WordPress?

Ja. Das SaaS-Dashboard erzeugt einen Script-Tag, der in jede HTML-Seite eingefügt werden kann, und die Einwilligungsspeicherung funktioniert auf Shopify, Wix, Headless oder Custom-Stack-Sites genauso. Die Preisseite von CookieYes listet das automatische Cookie-Blockieren und das iFrame-Blockieren als tarifübergreifend verfügbare Funktionen, einschließlich außerhalb von WordPress. Genuin WordPress-only ist die WordPress-Plugin-Schicht: Theme-Integration, WordPress-eigene Admin-UX und plugin-spezifische Komfortfunktionen. Auf Shopify- oder Custom-Stack-Sites erhalten Sie weiterhin das Banner, die Einwilligungsspeicherung und das automatische Blockieren, dennoch sollten Betreiber das Skript-für-Skript-Gating verifizieren, weil Tags, die in Theme-Dateien eingefügt oder von anderen Apps eingespeist werden, außerhalb des Einwilligungs-Pfads liegen können. Agenturen mit Multi-CMS-Portfolios kombinieren CookieYes oft mit einer unabhängigen Audit-Schicht, um zu bestätigen, dass das Live-Verhalten auf allen Stacks dem Dashboard entspricht.

Warum kann CookieYes sauber aussehen, während ein Agentur-Audit dennoch Tracker vor Einwilligung findet?

Üblicherweise weil ein Tag außerhalb des plugin-kontrollierten Pfads sitzt, GTM nicht consent-aware ist oder ein Skript ausgeführt wird, bevor der Einwilligungsstatus angewendet wird. Ein Live-Browser-Trace deckt diese Lücke auf. Ein Self-Scan-Dashboard reproduziert möglicherweise nicht jede Race-Condition beim ersten Laden oder jeden nutzerausgelösten Pfad, während ein sauberer Browser-Netzwerk-Trace zeigt, was tatsächlich zündet, bevor der Nutzer mit dem Banner interagiert.

Führen Sie einen kostenlosen CookieYes-Verifikationsscan durch

Bevor Sie einen Maßnahmenplan schreiben, sehen Sie, was eine unabhängige Aufzeichnung auf der zu prüfenden Site zeigt. Der kostenlose Scan von GDPR Privacy Monitor liefert eine Aufschlüsselung auf Netzwerkebene: Was zündet vor der Einwilligung, was überlebt eine Ablehnung und was sagt die Cookie-Erklärung im Vergleich zu dem, was das Netzwerk tatsächlich tut. Für den ersten Scan ist kein Konto erforderlich.

Kostenlosen Scan starten oder Beispielbericht ansehen, um sich vor einer Entscheidung das Format anzusehen.

Weitere Audit-Leitfäden: Cookiebot · OneTrust · Iubenda · Complianz Hintergrund: Tracking vor Einwilligung erklärt

Preis- und Funktionsangaben am 06.05.2026 anhand von cookieyes.com/pricing verifiziert. Die Preisseite von CookieYes ist bei Änderungen maßgeblich. Setzen Sie eine vierteljährliche Erinnerung zur Neuverifikation.