Schweregrad: HochVerantwortlich: CMP-AdminZeit bis zur Behebung: 1-2 h
Cookies und Tracker vor Einwilligung
Beheben Sie Analyse-, Marketing- und Drittskripte, die aktiv werden, bevor der Besucher eine Consent-Entscheidung getroffen hat.
Umfasst: pre_consent_analytics_cookie, pre_consent_marketing_cookie, pre_consent_tracker
- Re-run the scan in a fresh session and confirm the finding disappears.
- Verify that no non-essential cookies are set before interaction.
Schweregrad: HochVerantwortlich: CMP-AdminZeit bis zur Behebung: 30-90 min
Kein Consent-Banner
Stellen Sie ein First-Layer-Consent-Banner wieder her oder bereit, bevor optionales Tracking oder Speichern beginnt.
Umfasst: no_consent_banner, no_consent_banner_cmp_signals
- Clear cookies and re-open the site to confirm the banner appears immediately.
- Reject optional cookies and verify the site remains usable.
Schweregrad: HochVerantwortlich: CMP-AdminZeit bis zur Behebung: 15-60 min
Keine Ablehnungsoption oder unterdrückte Ablehnung
Machen Sie die Ablehnung so einfach und sichtbar wie die Zustimmung, indem Sie fehlende, versteckte oder abgeschwächte Reject-Aktionen korrigieren.
Umfasst: no_reject_option, reject_suppressed, reject_below_fold
- Verify Reject is visible and clickable above the fold on both desktop and mobile.
- Click Reject and confirm optional tags do not fire.
Schweregrad: HochVerantwortlich: EntwicklungZeit bis zur Behebung: 1-2 h
Cookie-Wall
Entfernen Sie Muster, die Inhalte blockieren, bis der Besucher optionales Tracking akzeptiert.
Umfasst: cookie_wall
- Reject optional cookies and confirm content remains visible and usable.
- Confirm only optional processing is disabled, not the page itself.
Schweregrad: MittelVerantwortlich: MarketingZeit bis zur Behebung: 30-120 min
Nicht klassifizierte Cookies
Klassifizieren Sie unbekannte Cookies, dokumentieren Sie deren Zweck und verhindern Sie nicht deklarierte Speicherung in Produktion.
Umfasst: unclassified_cookie
- Re-run cookie inventory after categorizing the unknown entries.
- Confirm declarations and CMP category labels match the runtime cookies.
Schweregrad: HochVerantwortlich: CMP-AdminZeit bis zur Behebung: 1-2 h
Google Consent Mode stimmt nicht mit dem Verhalten überein
Beheben Sie Fälle, in denen Google-Tags so arbeiten, als wäre Einwilligung erteilt, obwohl der Laufzeitstatus auf denied steht.
Umfasst: consent_mode_mismatch, consent_mode_default_granted, consent_mode_runtime_conflict
- Reject optional consent and confirm that Google analytics or ads requests do not fire.
- Accept consent and confirm requests start only after the consent update.
Schweregrad: HochVerantwortlich: EntwicklungZeit bis zur Behebung: 1-3 h
Drittanbieter-Requests vor Einwilligung
Verhindern Sie, dass optionale Anbieter bereits vor der Entscheidung des Besuchers Netzwerk-Requests senden.
Umfasst: pre_consent_third_party_request, third_party_data_flow_before_consent
- Confirm that only essential third-party requests remain before consent.
- Accept optional consent and verify optional vendors load only afterward.
Schweregrad: MittelVerantwortlich: EntwicklungZeit bis zur Behebung: 30-90 min
Google Fonts vor Einwilligung oder externe Font-Requests
Hosten Sie Schriften lokal und entfernen Sie externe Font-Aufrufe, die schon vor dem Opt-in Requests auslösen.
Umfasst: pre_consent_external_font, google_fonts_before_consent
- Reload the page with a clean cache and confirm no Google Fonts requests occur.
- Check multiple templates and breakpoints to ensure no remote font reference remains.
Schweregrad: MittelVerantwortlich: EntwicklungZeit bis zur Behebung: 30-120 min
Unsichere Tracking-Cookies (Secure- oder SameSite-Probleme)
Härten Sie Cookie-Flags, damit optionale Cookies nicht mit schwachen Browser-Standards ausgeliefert werden.
Umfasst: tracking_cookie_missing_secure, tracking_cookie_missing_samesite, insecure_tracking_cookie
- Inspect cookies again after deployment and confirm attributes changed as expected.
- Test in Chrome and another major browser to catch cross-browser differences.
Schweregrad: HochVerantwortlich: EntwicklungZeit bis zur Behebung: 1-3 h
Fingerprinting vor Einwilligung
Verschieben oder ersetzen Sie Skripte, die Browser-Fähigkeiten prüfen, bevor der Besucher eine Consent-Entscheidung getroffen hat.
Umfasst: pre_consent_fingerprinting_signal, fingerprinting_risk_before_consent
- Confirm fingerprinting-sensitive APIs no longer run before consent.
- Re-test after Accept to ensure optional vendors still work when consent is granted.
Schweregrad: HochVerantwortlich: CMP-AdminZeit bis zur Behebung: 1-2 h
Google Consent Mode nicht erkannt
Implementieren Sie Consent-Mode-Defaults und Updates so, dass Google-Tags einen expliziten Consent-Status erhalten, statt ohne jedes Signal zu laufen.
Umfasst: consent_mode_not_detected, consent_mode_missing
- Prüfen Sie, dass Consent-Mode-Defaults bereits beim ersten Laden vor optionalen Tags vorhanden sind.
- Prüfen Sie, dass Reject Google-Storage-Zustände auf denied hält.
Schweregrad: HochVerantwortlich: CMP-AdminZeit bis zur Behebung: 30-90 min
Analytics vor Einwilligung
Verhindern Sie, dass Analytics-Tools laden oder Speicher setzen, bevor der Besucher explizit eingewilligt hat.
Umfasst: pre_consent_analytics_cookie, analytics_before_consent
- Bestätigen Sie, dass vor Accept keine Analytics-Requests laufen.
- Bestätigen Sie, dass vor der Einwilligung keine Analytics-Cookies vorhanden sind.
Schweregrad: HochVerantwortlich: CMP-AdminZeit bis zur Behebung: 30-90 min
Marketing-Cookies vor Einwilligung
Blockieren Sie Ad-Tech- und Remarketing-Cookies, bis der Besucher Marketing-Verarbeitung aktiv akzeptiert hat.
Umfasst: pre_consent_marketing_cookie, marketing_cookie_before_consent
- Bestätigen Sie, dass vor der Einwilligung keine Marketing-Cookies gesetzt werden.
- Bestätigen Sie, dass Marketing-Requests erst nach Accept starten.
Schweregrad: HochVerantwortlich: MarketingZeit bis zur Behebung: 30-60 min
Meta Pixel vor Einwilligung
Verhindern Sie, dass Meta Pixel vor Marketing-Einwilligung lädt oder Events sendet.
Umfasst: meta_pixel_before_consent, pre_consent_meta_pixel
- Bestätigen Sie, dass vor der Einwilligung keine Meta-Requests gesendet werden.
- Bestätigen Sie, dass `_fbp` oder ähnliche Identifier vor dem Opt-in fehlen.
Schweregrad: HochVerantwortlich: CMP-AdminZeit bis zur Behebung: 30-60 min
GA4 vor Einwilligung
Verhindern Sie, dass GA4 initialisiert, Cookies setzt oder Page-View-Traffic sendet, bevor Analytics-Consent erteilt wurde.
Umfasst: ga4_before_consent, pre_consent_ga4
- Bestätigen Sie, dass vor der Einwilligung keine GA4-Requests gesendet werden.
- Bestätigen Sie, dass `_ga`-Cookies pre-consent fehlen.
Schweregrad: HochVerantwortlich: EntwicklungZeit bis zur Behebung: 1-2 h
GTM-Tags feuern vor Einwilligung
Auditieren und begrenzen Sie GTM-Trigger so, dass optionale Tags nicht schon beim ersten Laden ohne gültigen Consent-Status feuern.
Umfasst: gtm_tags_before_consent, pre_consent_gtm_fire
- Bestätigen Sie im Preview-Modus, dass optionale GTM-Tags pre-consent nicht feuern.
- Bestätigen Sie, dass beim ersten Laden nur essenzielle Tags verbleiben.
Schweregrad: HochVerantwortlich: CMP-AdminZeit bis zur Behebung: 15-45 min
Reject nur in der zweiten Ebene
Zeigen Sie Reject bereits in der ersten Ebene an, statt Nutzer zu zusätzlichen Klicks oder Einstellungsdialogen zu zwingen, um optionale Verarbeitung abzulehnen.
Umfasst: reject_in_second_layer, reject_not_first_layer
- Bestätigen Sie, dass Reject in der ersten Ebene auf Desktop und Mobilgerät vorhanden ist.
- Bestätigen Sie, dass Reject aus der ersten Ebene optionale Tags blockiert.
Schweregrad: HochVerantwortlich: EntwicklungZeit bis zur Behebung: 30-90 min
Consent-Banner wird auf Mobilgeräten nicht angezeigt
Beheben Sie Viewport-, CSS- und Lazy-Load-Probleme, durch die das Consent-Banner auf Mobilgeräten verschwindet oder gar nicht rendert.
Umfasst: mobile_banner_missing, consent_banner_mobile
- Bestätigen Sie, dass das Banner auf einem echten Mobilgerät erscheint.
- Bestätigen Sie, dass Nutzer mobil Accept und Reject bedienen können.
Schweregrad: MittelVerantwortlich: EntwicklungZeit bis zur Behebung: 30-90 min
Consent-Status wird nicht gespeichert
Beheben Sie Consent-Speicherung und Reload-Verhalten, damit die Entscheidung des Besuchers über Seiten und Sitzungen hinweg erinnert und durchgesetzt wird.
Umfasst: consent_not_persisted, consent_state_lost
- Bestätigen Sie, dass dieselbe Wahl nach Reload und Cross-Page-Navigation bestehen bleibt.
- Bestätigen Sie, dass Reject bei Wiederbesuch denied bleibt.
Schweregrad: HochVerantwortlich: EntwicklungZeit bis zur Behebung: 1-2 h
Drittanbieter-Embeds vor Einwilligung
Verzögern Sie YouTube-, Karten-, Chat-, Buchungs- und andere Drittanbieter-Embeds, bis der Besucher eingewilligt oder sie ausdrücklich selbst geladen hat.
Umfasst: pre_consent_embed, third_party_embed_before_consent
- Bestätigen Sie, dass Embed-Anbieter beim ersten Laden keine Requests erhalten.
- Bestätigen Sie, dass das Embed erst nach Opt-in oder Click-to-load geladen wird.
Schweregrad: HochVerantwortlich: MarketingZeit bis zur Behebung: 15-45 min
Hotjar vor Einwilligung
Verhindern Sie, dass Hotjar Session-Replay- oder Heatmap-Skripte lädt, bevor der Besucher Analytics- oder Marketing-Consent erteilt hat.
Umfasst: hotjar_before_consent, pre_consent_hotjar
- Bestätigen Sie, dass Hotjar vor der Einwilligung nicht lädt.
- Bestätigen Sie, dass Hotjar-Cookies pre-consent nicht vorhanden sind.
Schweregrad: MittelVerantwortlich: MarketingZeit bis zur Behebung: 30-120 min
Cookie-Erklärung veraltet
Gleichen Sie Ihre veröffentlichte Cookie-Erklärung mit den Cookies und Anbietern ab, die in der Laufzeit-Evidence tatsächlich beobachtet werden.
Umfasst: cookie_declaration_outdated, declaration_mismatch
- Bestätigen Sie, dass jeder beobachtete Cookie in der Erklärung auftaucht.
- Bestätigen Sie, dass entfernte Anbieter nicht mehr gelistet sind, wenn sie nicht mehr laufen.
Schweregrad: HochVerantwortlich: EntwicklungZeit bis zur Behebung: 1-2 h
Cookies werden nach Reject weiterhin gesetzt
Beheben Sie Flows, bei denen optionale Cookies oder Requests weiterlaufen, obwohl der Besucher Tracking ausdrücklich abgelehnt hat.
Umfasst: cookies_after_reject, reject_not_enforced
- Reject und Reload: Bestätigen Sie, dass optionale Cookies weiter fehlen.
- Reject und Reload: Bestätigen Sie, dass optionale Requests blockiert bleiben.
Schweregrad: MittelVerantwortlich: EntwicklungZeit bis zur Behebung: 30-90 min
Consent-Banner durch CSP blockiert
Aktualisieren Sie die Content Security Policy so, dass CMP-Skript, Styles oder iframe-Ressourcen laden können, ohne unnötig größere Sicherheitslücken zu öffnen.
Umfasst: cmp_blocked_by_csp, consent_banner_csp_error
- Bestätigen Sie, dass CSP-Fehler für CMP-Assets verschwinden.
- Bestätigen Sie, dass das Banner rendert und Benutzereingaben normal akzeptiert.
Schweregrad: HochVerantwortlich: EntwicklungZeit bis zur Behebung: 1-3 h
Consent-Probleme bei serverseitigem GTM
Richten Sie serverseitiges GTM-Routing und Consent-Weitergabe so aus, dass serverseitiges Tagging den Consent-Status des Besuchers nicht umgeht.
Umfasst: ssgtm_consent_issue, server_side_gtm_before_consent
- Bestätigen Sie, dass optionale Events vor der Einwilligung nicht an serverseitiges GTM weitergeleitet werden.
- Bestätigen Sie, dass Accept den beabsichtigten Event-Flow aktiviert und Reject ihn denied hält.