Wir glauben, dass ehrliche Transparenz über Fähigkeiten und Einschränkungen mehr Vertrauen schafft als übertriebene Behauptungen. Hier ist genau, was GDPR Privacy Monitor prüft, unsere Konfidenzniveaus und was außerhalb unseres Umfangs liegt.
| Prüfkategorie | Was wir prüfen | Konfidenz |
|---|---|---|
| Tracking vor Einwilligung | Cookies, Tracker und Skripte, die vor der Einwilligung aktiv sind | HighHoch (Verifiziertes CMP) / Mittel (Kompatibles CMP) |
| Cookie-Klassifizierung | Kategorisierung in notwendig, analytisch, Marketing, funktional | HighHoch für 5.000+ bekannte Cookies; "nicht klassifiziert" für unbekannte |
| CMP-Erkennung | Vorhandensein des Consent-Banners und CMP-Typ-Identifizierung | HighHoch: CookieYes, Cookiebot. Mittel: OneTrust, iubenda, Complianz, Didomi, Quantcast + 15 weitere |
| Ablehnungsfluss-Verifizierung | Ob "Ablehnen" tatsächlich Tracking-Cookies und Drittanbieter-Anfragen stoppt | HighHoch für verifizierte CMPs mit bekannten Ablehnungs-Selektoren |
| Banner-Barrierefreiheit | Tastaturnavigation, Farbkontrast, Berührungsziele, ARIA-Labels (WCAG) | HighHoch (Browser-DOM-Messungen) |
| Visuelle Prominenz | Ob Ablehnen genauso prominent ist wie Akzeptieren (Dark-Pattern-Erkennung) | MediumMittel (CSS-Stichprobe, kann je nach Viewport variieren) |
| Cookie-Wall-Erkennung | Ob Inhalte bis zur Einwilligung blockiert werden | MediumMittel (heuristisch) |
| Google Consent Mode v2 | Erkennung und Abweichungsanalyse zwischen deklariertem Einwilligungsstatus und beobachtetem Verhalten | HighHoch (Laufzeit-Abfangen) |
| Datenfluss-Mapping | Drittanbieter-Datenziele, Organisationen und Angemessenheitsstatus | MediumMittel (45 % der Domains nicht zugeordnet) |
| Externes Laden von Schriftarten | Google Fonts und andere CDN-IP-Lecks vor Einwilligung (LG München-Urteil) | HighHoch (URL-Musterabgleich) |
| Gemischte Inhalte | HTTP-Ressourcen auf HTTPS-Seiten geladen (Sicherheit der Verarbeitung) | HighHoch (Netzwerkanfrage-Analyse) |
| Unsichere Cookies | Tracking-Cookies ohne Secure-Flag oder passendes SameSite | HighHoch (Cookie-Attribut-Prüfung) |
| Browser-Fingerprinting | Fingerprinting-sensitive API-Aufrufe vor Einwilligung (Canvas, WebGL, Schriftarten) | MediumMittel (zusammengesetztes Scoring abgefangener Signale) |
| Beweissammlung | HAR-Netzwerklog, Seiten-Screenshots, Banner-Screenshots | HighHoch (100 % Abdeckung bei erfolgreichen Scans) |
| Präferenzcenter-Analyse | Kategorie-Toggles der zweiten Ebene, vorausgewählte optionale Kategorien | HighHoch für verifizierte CMPs |
| DPA-Durchsetzungskontext | Historische Durchsetzungsbußgelder und Fälle, zugeordnet zu erkannten Befunden | HighHoch (strukturierte Durchsetzungsdatenbank, 22+ Jurisdiktionen) |
| Einschränkung | Warum | Was wir stattdessen tun |
|---|---|---|
| Server-seitiges Tracking | Server-zu-Server-Datenübertragungen sind nicht sichtbar | Wir erkennen Client-seitige Indikatoren und vermerken die Einschränkung im Bericht |
| Geo-gezielte Banner | Wir scannen aus der EU (Deutschland); geo-spezifische Konfigurationen können fehlen | Wir vermerken Viewport und Standort in jedem Bericht für Transparenz |
| Einwilligung für mobile Apps | Wir scannen Websites, keine nativen mobilen Apps | Mobiles Viewport-Scanning verfügbar für responsive Websites |
| Qualität der Datenschutzrichtlinie | Wir bewerten die Textqualität der Datenschutzrichtlinie nicht eingehend | KI-gestützte Richtlinienlücken-Erkennung identifiziert fehlende Offenlegungen |
| Cookie-Zweckgenauigkeit | Einige Cookies haben keine zuverlässige Klassifizierung in öffentlichen Datenbanken | Wir kennzeichnen als "nicht klassifiziert" mit ehrlicher Bewertung statt zu raten |
| Dynamisches SPA-Timing | Single-Page-Apps können Consent-Banner spät oder asynchron laden | Wir verwenden adaptive Wartestrategien und melden "konnte nicht erkannt werden" bei Unsicherheit |
| Änderungen nach dem Scan | Websites ändern sich nach dem Scannen | Kontinuierliche Überwachung erkennt Regressionen; jeder Bericht ist mit Zeitstempel versehen |
| Cross-Origin-Iframe-Banner | Einige CMPs rendern Banner in Cross-Origin-Iframes, die nicht inspiziert werden können | Wir erkennen CMP-Signale und melden Unsicherheit über Banner-Sichtbarkeit |
Wenn wir bei einem Befund nicht sicher sind, sagen wir es. Wir werden niemals falsch positive Ergebnisse erzeugen, um Erkennungszahlen aufzublähen. Ein ehrliches "kann nicht bestimmen" ist wertvoller als eine selbstbewusste falsche Antwort.
Unser Score von 0–100 zeigt technisches Risiko an, nicht den Rechtskonformitätsstatus. Ein niedriger Score bedeutet, dass weniger technische Risikoindikatoren gefunden wurden — es zertifiziert keine DSGVO-Konformität. Nur ein Rechtsberater kann die Konformität bestimmen.
Wir verkaufen keine Consent-Banner, CMP-Software oder Cookie-Lösungen. Das bedeutet, wir haben keinen Interessenkonflikt — wir können Ihnen ehrlich sagen, wenn Ihr CMP falsch konfiguriert ist, selbst wenn es ein beliebtes ist.
Jeder Befund ist durch HAR-Netzwerkdaten und Screenshots belegt. Sie können jeden Befund unabhängig überprüfen. Kein Black-Box-Scoring — volle Transparenz.
Führen Sie einen kostenlosen Scan durch und sehen Sie genau, was wir auf Ihrer Website erkennen, mit vollständigen Beweisen und einer transparenten Risiko-Score-Aufschlüsselung.
Kostenlosen Scan starten