Cookie Checker: Setzt Ihre Website Cookies ohne Einwilligung?

Cookies vor der Einwilligung sind der häufigste Abmahngrund 2026. Der Cookie Checker erkennt jeden Tracking-Cookie, jedes Skript und prüft, ob Ihr Consent-Banner TTDSG-konform funktioniert.

  • 60+ Prüfpunkte
  • Sofort-Report
  • Server in Deutschland 🇩🇪
  • Keine Speicherung Ihrer Daten

Cookies prüfen — sofort sehen, was Ihre Site setzt

URL eingeben, in 60 Sekunden sehen Sie jeden Cookie samt Anbieter, Zweck und Kategorie. Inkl. Prüfung Ihres Consent-Banners.

Warum Cookies das größte DSGVO-Risiko sind

Seit der Einführung der DSGVO 2018 und der Verschärfung durch das TTDSG 2021 sind Cookies die mit Abstand häufigste Quelle für Abmahnungen und Bußgelder im deutschen Netz. Es gibt drei strukturelle Gründe dafür.

Erstens: Cookies sind technisch leicht messbar. Ein Abmahn-Scanner muss nicht raten, ob Sie Daten an Dritte übermitteln — er kann jeden gesetzten Cookie direkt im Browser-Inspector sehen. Diese Beweisbarkeit macht den Verstoß einfach zu dokumentieren und gerichtsfest.

Zweitens: fast jede Website verstößt. Aus über 10.000 Scans der letzten 12 Monate finden sich Cookie-Verstöße auf 87 % aller geprüften Sites. Selbst Sites mit installiertem Consent-Banner setzen oft Cookies vor dem Klick — entweder weil das Banner schlecht konfiguriert ist oder weil Drittanbieter-Skripte (Analytics, Tag Manager) die Consent-Logik ignorieren.

Drittens: klare Rechtsprechung. Das TTDSG §25 ist eindeutig formuliert. Das EuGH-Urteil "Planet49" (C-673/17) hat festgestellt, dass vor-aktivierte Checkboxen keine wirksame Einwilligung darstellen. Diese Klarheit erleichtert Anwälten die Klagebegründung und Behörden die Bußgeld-Bemessung.

Was der Cookie Checker prüft

Der Cookie Checker simuliert einen Erst-Besucher Ihrer Website in einer headless Chromium-Umgebung. Wir registrieren jeden Cookie, jeden lokalen Speicher-Eintrag (LocalStorage, SessionStorage) und jedes externe Skript, das ohne Einwilligung geladen wird.

Cookies vor Consent

Hauptprüfung: Werden Cookies gesetzt, bevor der Banner-Klick erfolgt? Wir zählen, kategorisieren und klassifizieren jeden gefundenen Cookie nach Anbieter (Google, Meta, Hotjar, eigener Server), Zweck (Analytics, Marketing, Funktion, Notwendig) und Lebensdauer.

Drittanbieter-Skripte

Google Tag Manager, Facebook Pixel, LinkedIn Insight Tag, Hotjar, Microsoft Clarity, Intercom — alles Drittanbieter, die unabhängig vom Consent-Banner Daten erheben können. Der Checker erkennt jedes geladene Skript und prüft, ob der Ladevorgang vor oder nach dem Consent-Klick erfolgt.

Consent-Banner-Funktionalität

Wir simulieren drei Szenarien automatisch: (1) Erst-Besuch ohne Banner-Interaktion — was wird gesetzt? (2) Klick auf "Ablehnen" — werden tatsächlich keine Tracking-Cookies gesetzt? (3) Klick auf "Akzeptieren" — werden die Cookies entsprechend der Anbieter-Liste gesetzt? Bei Banner ohne sichtbare Ablehnen-Option wird das als Verstoß markiert.

Opt-In vs. Opt-Out-Erkennung

Vorgehakte Checkboxen ("Wir gehen davon aus, dass Sie zustimmen, klicken Sie hier, um abzulehnen") sind seit Planet49 unzulässig. Der Cookie Checker prüft den Banner-Markup auf vorhandene checked-Attribute in Consent-Checkboxen.

Häufige Cookie-Fehler in der Praxis

Aus der Auswertung der häufigsten Cookie-Verstöße — sortiert nach Häufigkeit:

  1. Google Analytics feuert vor Consent. Klassischer Fehler bei direkter Integration ohne Tag Manager: Das gtag-Snippet im <head> lädt sofort, setzt _ga-Cookie noch vor dem Consent-Banner. Häufigkeit: 47 % aller geprüften Sites mit Analytics.
  2. Google Tag Manager ohne Consent-Mode. GTM wird geladen, ohne den Consent-Mode v2 zu nutzen. Selbst wenn die Tags später auf "Consent prüfen" konfiguriert sind, ist die GTM-Container-Datei selbst bereits ein Drittanbieter-Aufruf an Google. Häufigkeit: 31 %.
  3. Consent-Banner ohne gleichwertige Ablehnen-Option. "Akzeptieren" als großer auffälliger Button, "Einstellungen" als kleiner Link daneben. Nicht rechtskonform. Häufigkeit: 62 %.
  4. Cookies mit zu langer Lebensdauer. Analytics-Cookies mit 24-Monats-Lebensdauer sind nach DSGVO-Datenminimierung problematisch. Empfehlung: maximal 13 Monate. Häufigkeit: 28 %.
  5. Drittanbieter-Cookies aus eingebetteten YouTube-Videos. Standard-Embeds setzen Tracking-Cookies bei Sichtbarkeit. Häufigkeit auf Sites mit YouTube-Embeds: 95 %.

So beheben Sie Cookie-Verstöße — Schritt für Schritt

Die Korrektur folgt einem klaren Muster, das in 80 % aller Fälle anwendbar ist:

  1. Consent-Tool installieren. Empfohlen für WordPress: Borlabs Cookie (€39 einmalig) oder Real Cookie Banner (€59 jährlich). Für Shopware: integriertes Plugin. Für statische Sites: Cookiebot (ab €11/Monat) oder Self-Hosted-Lösung wie Klaro.
  2. Alle Drittanbieter-Skripte über das Consent-Tool gating. Das bedeutet: Google Analytics, Tag Manager, Pixel und ähnliches werden erst nach Consent-Klick geladen. Bei WordPress macht das Plugin das automatisch; bei statischen Sites müssen Sie die Skripte manuell wrappen.
  3. Consent-Mode v2 aktivieren (für Google-Tools). Damit funktionieren Analytics-Sampling und Conversion-Tracking auch ohne Cookies — als anonymisierte Daten.
  4. Cookies mit langer Lebensdauer reduzieren. In Google Analytics 4 ist das die Default-Setting; bei manuellen Implementierungen müssen Sie es im Tracking-Code festlegen.
  5. YouTube-Embeds auf nocookie-Modus umstellen. URL-Schema youtube.com/embed/ ersetzen durch youtube-nocookie.com/embed/. Spart erstmals den Cookie, erst beim Klick auf "Wiedergabe" werden Cookies gesetzt — und dann mit Hinweis.
  6. Validieren mit dem Cookie Checker. Nach den Änderungen erneut scannen — alle drei Szenarien (kein Klick, ablehnen, akzeptieren) sollten passendes Verhalten zeigen.

Der Audit-Report für €49 enthält für jeden der genannten Schritte konkrete Code-Beispiele und Plugin-Konfigurationen. Wer die Umsetzung outsourcen möchte, wählt das Full-Service-Paket (€299) — wir konfigurieren das Consent-Tool für Sie und liefern ein Re-Audit-Zertifikat.

Spezial-Szenarien: Wann normale Konfiguration nicht reicht

WordPress-Sites mit vielen Marketing-Plugins

Sites mit Marketing-Stack — Newsletter-Tool, A/B-Test-Plattform, Affiliate-Tracking, Heatmap-Tool, Live-Chat — haben oft 15 bis 25 Drittanbieter-Skripte gleichzeitig im Einsatz. Ein generisches Consent-Tool deckt das meist nicht ab; einzelne Plugins ignorieren die Consent-Logik. Lösung: Sniffer-Modus im Cookie Checker aktivieren, alle gefundenen Skripte einzeln im Consent-Tool kategorisieren und explizit gating.

Shopify-Sites mit App-Ecosystem

Shopify lädt selbst eine Reihe von Tracking-Skripten (Shopify Analytics, Shop App). Externe Shopify-Apps (Klaviyo, Yotpo, ReCharge) ergänzen weitere Tracking-Punkte. Lösung: Shopify Customer Privacy API nutzen, alle App-Tracking-Skripte über die offizielle Consent-Schnittstelle steuern. Der Audit-Report enthält die genauen Code-Snippets dazu.

Single-Page-Applications mit dynamischen Skripten

React-, Vue- und Angular-Sites laden Tracking-Skripte oft dynamisch beim Routen-Wechsel. Ein klassisches Consent-Tool, das auf DOMContentLoaded wartet, greift hier zu früh. Lösung: Consent-State im globalen Store (Redux, Pinia) halten und jede dynamische Skript-Injektion gegen diesen State prüfen.

Multi-Brand-Sites mit unterschiedlichen Tracking-Anforderungen

Wenn unter einer Hauptdomain mehrere Marken mit unterschiedlichen Tracking-Setups laufen, brauchen Sie ein Consent-Tool mit Mandanten-Fähigkeit. Cookiebot und Usercentrics unterstützen das nativ; Borlabs Cookie nur über Multisite-Setup. Audit-Report listet die Optionen mit Vor- und Nachteilen.

Häufige Frage: Reicht eine Datenschutzerklärung für Cookies aus?

Nein — und das ist ein häufiges Missverständnis. Die Datenschutzerklärung erfüllt die Informationspflicht nach Art. 13 DSGVO, nicht das Einwilligungs-Erfordernis aus TTDSG §25. Beide Pflichten sind kumulativ: Informieren und einwilligen lassen. Eine ausführliche Datenschutzerklärung allein reicht nicht — Sie brauchen zusätzlich den korrekt funktionierenden Consent-Banner.

Cookies vs. LocalStorage vs. Server-Side-Tracking

Häufige Verwechslung in der Praxis: TTDSG §25 regelt nicht nur Cookies im klassischen Sinn, sondern jede Speicherung von Informationen im Endgerät des Nutzers. Das umfasst Cookies, LocalStorage, SessionStorage, IndexedDB, Web SQL und Cache-API. Wer Tracking-Daten in LocalStorage statt im Cookie speichert, ist nicht aus der Pflicht — das Gesetz ist technologie-neutral formuliert. Server-Side-Tracking (etwa GA4 mit Measurement Protocol) unterliegt zwar nicht §25, aber weiterhin den DSGVO-Anforderungen an Rechtsgrundlage, Transparenz und Auftragsverarbeitungs-Vertrag.

Cookie-Verstöße erkennen — Banner sicher konfigurieren

Kostenloser Erst-Scan. Vollständiger Bericht ab €19. Keine Registrierung nötig.

  • 60+ technische Prüfpunkte (Cookies, Fonts, Tracking, SSL)
  • Sofort-Report mit Risiko-Priorisierung
  • Konkrete Handlungsempfehlungen (Audit-Report)
  • Code-Beispiele zur sofortigen Behebung
  • PDF-Export für interne Dokumentation
  • Re-Scan inklusive nach Korrektur
  • Server in Deutschland — keine Speicherung Ihrer Inhalte

Häufige Fragen

Was sagt das TTDSG §25 konkret?

§25 Abs. 1 TTDSG schreibt vor, dass das Speichern von Informationen in einer Endeinrichtung des Endnutzers oder der Zugriff auf solche Informationen — also das Setzen oder Lesen von Cookies — nur mit Einwilligung zulässig ist. Ausnahme nach Abs. 2: technisch unbedingt erforderliche Cookies (etwa Warenkorb, Session-Cookie). Alles andere (Analytics, Marketing, Personalisierung) braucht aktive Zustimmung. Wer Analytics-Cookies vor dem Consent-Klick setzt, verstößt direkt gegen §25.

Welche Cookies sind technisch unbedingt erforderlich?

Streng ausgelegt: nur Cookies, ohne die die Website objektiv nicht funktioniert. Das umfasst Session-Cookies für Login-Status, Warenkorb-Cookies in Shops, CSRF-Tokens für Formular-Sicherheit, Sprach-Präferenz-Cookies und Consent-Speicher-Cookies (paradoxerweise muss das Consent-Tool selbst einen Cookie setzen). Analytics-Cookies — auch Google Analytics — sind nicht unbedingt erforderlich, weil die Site auch ohne sie funktioniert. Das gilt auch für Marketing-Pixel und Personalisierungs-Cookies.

Was ist ein korrekter Cookie-Banner?

Ein TTDSG-konformer Banner erfüllt fünf Kriterien: (1) erscheint vor jedem Cookie-Setzen, (2) bietet 'Ablehnen' visuell gleichwertig zu 'Akzeptieren', (3) listet alle Cookie-Kategorien transparent auf, (4) speichert die Entscheidung nachvollziehbar (Audit-Log), (5) ermöglicht jederzeit das Zurückziehen der Einwilligung. Banner mit nur 'OK'-Button, vorgehakten Checkboxen oder versteckter Ablehnen-Funktion sind nicht rechtskonform.

Wie behebe ich Cookie-Verstöße?

Drei Schritte: Erstens ein professionelles Consent-Tool installieren — empfohlen sind Borlabs Cookie (€39 einmalig), Cookiebot (ab €11/Monat), Real Cookie Banner (€59 jährlich) oder Usercentrics. Zweitens das Tool konfigurieren: Cookie-Kategorien definieren, Drittanbieter-Skripte erst nach Consent feuern lassen, individuelle Einwilligungs-Texte einsetzen. Drittens validieren: Cache leeren, im Inkognito-Modus aufrufen, mit dem Cookie Checker re-scannen. Der Audit-Report für €49 enthält eine Schritt-für-Schritt-Anleitung für jedes der genannten Tools.

Was kostet ein Cookie-Verstoß im schlimmsten Fall?

Spannweite je nach Behörde und Verstoß-Schwere: Privates Abmahnschreiben €170 bis €500 plus €700 bis €1.200 Anwaltskosten, behördliches Bußgeld nach §25 TTDSG bis €300.000, DSGVO-Bußgeld nach Art. 83 bis €20 Mio. oder 4 % des weltweiten Jahresumsatzes. Konkrete Beispiele: 2023 verhängte die spanische AEPD €1,2 Mio. gegen einen Mittelständler für Cookie-Verstöße. Die irische DPC sanktionierte 2024 mehrere US-Konzerne mit zweistelligen Millionenbeträgen. Für KMU sind Abmahnungen mit €1.500 bis €3.500 Direkt-Kosten der realistische Maßstab.

Weitere DSGVO-Themen

Pillar: vollständiger DSGVO Check → Kostenloser Erst-Scan → Cookie-Scan starten →