blueredix logo
SCAN Schwachstellenscans auf Abruf ab 149 €
high gdpr-cmp-missing

Kein Cookie-Banner, aber Tracker vorhanden

Ihre Seite lädt beim allerersten Besuch Tracking-Cookies und Drittanbieter-Marketing-Skripte, und einen Consent-Banner haben wir nicht gefunden. Unter DSGVO und TDDDG ist das der Lehrbuch-Verstoß.

Worum es geht

Der Scanner hat Ihre Seite wie ein neuer Besucher geöffnet: keine vorherige Einwilligung, keine gesetzten Cookies. Beim allerersten Rendern lud die Seite mindestens ein Tracking-Skript (Google Analytics, Facebook Pixel, Hotjar etc.) oder setzte mindestens einen Tracking-Cookie. Eine der gängigen Consent-Banner-Plattformen (Cookiebot, Usercentrics, Borlabs, Klaro, OneTrust, Iubenda, Real Cookie Banner, CookieYes) konnten wir nicht erkennen.

Das ist der Lehrbuch-Verstoß gegen DSGVO und TDDDG: Tracker laufen auf Besucherdaten, ohne die nötige Einwilligung.

Warum das wichtig ist

Zwei Regelwerke verstärken sich gegenseitig:

  1. TDDDG §25 / Art. 5(3) ePrivacy-Richtlinie. Jede Speicherung oder jeder Zugriff auf Informationen auf dem Endgerät einer Nutzerin braucht ihre vorherige, informierte, freiwillige Einwilligung, es sei denn, die Speicherung ist für den ausdrücklich gewünschten Dienst unbedingt erforderlich. Analytics-, Werbe- und Verhaltens-Cookies sind das nicht.
  2. DSGVO Art. 6. Die Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage; bei Marketing- und Analyse-Trackern ist Einwilligung die einzige praktische Basis. Art. 7 regelt das “Wie” und verschärft die Anforderungen weiter.

Deutsche Aufsichtsbehörden haben für genau diese Befund-Kategorie Bußgelder im niedrigen vierstelligen bis zum mittleren sechsstelligen Bereich verhängt. Auch wenn kein Bußgeld fällt, blockt eine behördliche Anordnung typischerweise den Betrieb von Marketing-Analytics, bis die Plattform sauber ist, oft störender als das Bußgeld selbst.

Hinzu kommt das wettbewerbsrechtliche Risiko: Mitbewerber:innen mahnen zunehmend genau auf dieser Grundlage ab, mit dem Aufbau hin zu Schadensersatzklagen nach §3a UWG.

Wie Sie das beheben

Wählen Sie eine Consent-Banner-Plattform mit Blocking-Modus, installieren Sie sie und prüfen Sie, dass Tracker erst nach Einwilligung feuern.

Für KMU im DACH-Raum verbreitet:

  • Borlabs Cookie. Deutscher Anbieter, deutsche UI, beliebt bei WordPress. Etwa 39 €/Jahr.
  • Real Cookie Banner. Deutscher Anbieter, ebenfalls für WordPress. Kostenfreier Tarif für kleine Seiten.
  • Cookiebot. Dänisch, ausgereift, mehrsprachig. Kostenfrei bis 50 Unterseiten.
  • Usercentrics. Deutscher Anbieter, Enterprise-Fokus, im Einsatz bei mittelgroßen DACH-Unternehmen.
  • Klaro. Open Source, selbst gehostet. Technisch, aber ohne Lizenzkosten.

Welche auch immer Sie wählen, prüfen Sie in einem frischen Inkognito-Fenster mit offenen Entwicklertools: vor dem “Akzeptieren” dürfen keine Requests an Tracker-Hosts (google-analytics.com, googletagmanager.com, connect.facebook.net etc.) gehen, und im Tab “Anwendung” dürfen keine Tracker-Cookies erscheinen. Der blueredix-Scanner wiederholt diese Prüfung bei jedem Scan.

Tipps zur Konfiguration, falls die Prüfung fehlschlägt, finden Sie in unserem CMP-erkannt-Artikel; er beschreibt die häufigsten Konfigurationsfehler, bei denen Tracker trotz Banner ungebremst laufen.

Mehr dazu