gdpr-cmp-detected
Consent-Management-Plattform erkannt
Eine Cookie-Banner-Plattform ist auf Ihrer Seite im Einsatz. Der blueredix-Scanner klickt für Sie weder auf "Akzeptieren" noch auf "Ablehnen". Die Prüfung, ob die Plattform Tracker vor Einwilligung wirklich blockiert, sollten Sie selbst durchführen.
Worum es geht
Der blueredix-Scanner hat eine Cookie-Banner-Plattform auf Ihrer Seite erkannt: Cookiebot, Usercentrics, Borlabs, Klaro, CookieYes, OneTrust, Iubenda oder Real Cookie Banner. Solche Plattformen sind der empfohlene Weg, DSGVO und TDDDG einzuhalten, wenn Ihre Seite nicht-essenzielle Cookies oder Drittanbieter-Skripte verwendet.
Der Befund ist informativ, kein Problem an sich. Der Haken liegt darin, was der Scanner nicht prüft: Er beobachtet die Seite beim ersten Aufruf, bevor eine Einwilligung erteilt ist. Wir können bestätigen, dass die Banner-Plattform vorhanden ist. Wir klicken aber weder auf “Akzeptieren” noch auf “Ablehnen” und sprechen nicht die Plattform-API an, um zu fragen “was würdest du tun, wenn ich ablehne?”. Das müssen Sie selbst prüfen.
Warum das wichtig ist
Eine Consent-Plattform, die Tracker trotzdem feuern lässt, ist schlechter als gar keine Plattform: sie suggeriert eine rechtliche Absicherung, die faktisch nicht besteht. Zwei Fehlermuster sind häufig:
-
Die Plattform lädt, aber die Tracker liegen außerhalb ihrer Kontrolle. Ein Google-Tag-Manager-Snippet, ein Analytics-Tag oder ein Facebook-Pixel, das direkt im Seiten-Template eingebaut ist, feuert, sobald der Browser das HTML parst, bevor die Plattform überhaupt entscheiden kann. Die anderen Scanner-Checks (Tracker-Skripte, Tracking-Cookies) erkennen das und melden den konkreten Tracker.
-
Die Plattform ist auf “informieren, aber nicht blockieren” konfiguriert. Einige Plattformen werden mit einer Voreinstellung ausgeliefert, die nur den Banner zeigt, aber keine Skripte aktiv kapselt. Borlabs und Real Cookie Banner haben explizite Schalter “Skripte vor Einwilligung blockieren”; sind die aus, ist die Plattform Kosmetik.
Beide Muster sind so verbreitet, dass die deutsche Datenschutzkonferenz (DSK) sie ausdrücklich als wiederkehrende Verstöße benennt.
Was Sie selbst prüfen sollten
Öffnen Sie Ihre Startseite in einem frischen Inkognito-Fenster mit
geöffneten Entwicklertools (Tab “Netzwerk”) und lehnen Sie
Cookies im Banner ab. Dann die Seite neu laden. Filtern Sie das
Netzwerk-Log nach fonts.googleapis.com, google-analytics.com,
googletagmanager.com, connect.facebook.net und
doubleclick.net. Sie sollten keinerlei Requests an diese
Hosts sehen. Tauchen welche auf, blockt die Plattform sie nicht
zuverlässig vor Einwilligung.
Zweite Prüfung: Im Tab “Anwendung” → Cookies → Ihre Domain darf
die Cookie-Liste vor Einwilligung nur die Plattform-eigenen Cookies
enthalten (typische Namen: cookieyes-consent, borlabs-cookie,
CookieConsent), plus Ihre eigenen Session- und CSRF-Cookies.
Tracker-Cookies wie _ga, _gid, _fbp oder _pin_unauth
dürfen erst nach erteilter Einwilligung auftauchen.
Was zu tun ist, wenn die Prüfung fehlschlägt
- Auf WordPress-Seiten mit Tag Manager: jedes Analytics-/Werbe-Tag aus dem Seiten-Template in den Google Tag Manager verschieben und GTM so konfigurieren, dass die Tags nur bei einem Custom-Event feuern, das die Plattform nach Einwilligung auslöst.
- Real Cookie Banner / Borlabs: in den Plugin-Einstellungen von “nur fragen” auf “Skripte vor Einwilligung blockieren” umstellen und jedes Drittanbieter-Skript explizit registrieren.
- Cookiebot / Usercentrics: der Auto-Blocking-Modus scannt die Seite und blockiert bekannte Tracker. Stellen Sie sicher, dass das Auto-Blocking-Script-Tag im Header vor allen Tracker-Tags steht.