Was ist ein DSGVO-Cookie-Audit? (Und wie man 2026 besteht)
Ein DSGVO-Cookie-Audit prüft die Einwilligung, bevor irgendein nicht-essentieller Cookie oder Tracker ausgelöst wird. Hier sind die häufigsten Fehler und wie Sie das Audit bestehen.
Die DSGVO ist acht Jahre alt, und der häufigste Compliance-Fehler auf KMU-Websites ist immer noch das Cookie-Banner. Jede EU-Aufsicht hat dazu Leitlinien; die meisten haben mindestens ein Bußgeld verhängt. Die Hürde ist nicht hoch — sie ist nur spezifisch.
Ein DSGVO-Cookie-Audit ist die strukturierte Prüfung, ob Ihre Website einer Kontrolle durch CNIL, BfDI, Garante, Datatilsynet oder den jeweiligen Landesbehörden standhält. Dieser Beitrag zeigt, was das Audit tut, welche Regeln es anwendet und welche Fehler wir auf KMU-Sites am häufigsten sehen.
Die rechtliche Grundlage (verständlich)
Zwei Vorschriften greifen. Die ePrivacy-Richtlinie (Art. 5(3)) verlangt Einwilligung, bevor nicht-strikt-notwendige Informationen auf einem Endgerät gesetzt oder gelesen werden. In Deutschland umgesetzt durch §25 TTDSG. Die DSGVO (Art. 4(11), Art. 7) definiert, wie eine gültige Einwilligung aussieht: freiwillig, spezifisch, informiert, eindeutig — und so leicht widerrufbar wie erteilt.
Was das Audit Schritt für Schritt prüft
1. Netzwerk-Erfassung beim ersten Seitenaufruf
Das Audit ruft Ihre Site als frischer Nutzer auf und protokolliert jeden gesetzten Cookie, jeden localStorage-Zugriff und jeden Netzwerk-Request, der vor der Interaktion mit dem Banner ausgelöst wird. Alles Nicht-Essentielle hier ist ein Verstoß. Diese Prüfung deckt die meisten echten Verstöße auf.
2. Cookie-Inventar vs. veröffentlichte Richtlinie
Das Audit listet jeden gesetzten Cookie auf und gleicht ihn mit Ihrer Cookie-Richtlinie ab. Diese soll alle Cookies offenlegen — Zweck, Dauer, Erst-/Drittanbieter. Die meisten KMU-Cookie-Richtlinien sind veraltete Vorlagen.
3. Banner-Design
- Gleichgewichtige Akzeptieren-/Ablehnen-Buttons. Wenn „Alle akzeptieren" prominent ist und „Ablehnen" in einem Settings-Link versteckt, ist die Einwilligung nicht freiwillig. CNIL hat Google und Facebook genau dafür mit 150 Mio. € und 60 Mio. € belegt.
- Keine vorausgewählten Häkchen.
- Granulare Kategorien. Ein einzelner Akzeptieren-Schalter reicht nicht; Nutzer müssen Analytics ohne Werbung wählen können.
- Widerruf so einfach wie Einwilligung. Ein dauerhafter Cookie-Einstellungen-Link in der Fußzeile öffnet dasselbe Banner.
- Keine Dark Patterns. Keine Countdown-Timer, kein „Durch Weiternutzung akzeptieren", kein „berechtigtes Interesse" für Werbung.
4. Einwilligungs-Nachweis
Die DSGVO verlangt, dass Sie für jeden Besucher nachweisen können, was wann gewählt wurde. Eine echte Consent Management Platform (CMP) leistet das; selbstgebaute Banner fast nie.
5. Verhalten von Drittanbieter-Skripten
Das Audit wiederholt die Prüfung nach „Alle akzeptieren", nach „Alle ablehnen" und nach granularen Teilauswahlen, um zu verifizieren, dass Skripte die Wahl respektieren. Häufigster Fehler: ein Skript, das trotz „Ablehnen" lädt — meist weil ein Tag-Manager es auf dem falschen Trigger feuert.
Die häufigsten Fehler auf KMU-Sites
Meta Pixel feuert beim Seitenaufruf. Mit Abstand am häufigsten. Die Meta-Anleitung sagt: ins <head>; das Snippet feuert sofort. In der EU ein Verstoß bei jedem Besuch.
Google Analytics ohne Consent Gate. GA4 hat Consent Mode v2, den die wenigsten KMU konfigurieren.
Hotjar/Microsoft Clarity/HubSpot zeichnen vor Einwilligung auf. Session-Recorder erfassen Eingaben und personenbezogene Daten — ohne Einwilligung ein klarer ePrivacy-Verstoß.
„Durch Weiternutzung stimmen Sie zu". Stillschweigende Einwilligung wird von jeder EU-Aufsicht abgelehnt. Wenn Ihr Banner so formuliert ist: heute ersetzen.
So bestehen Sie das Audit
- Echte CMP installieren, die Einwilligung dokumentiert (Cookiebot, Usercentrics, Iubenda, OneTrust, Termly).
- Jedes Analytics-, Werbungs- und Recording-Skript hinter den Consent-Gate verschieben.
- Banner mit gleichwertigen Buttons, ohne vorausgewählte Kategorien, mit granularen Toggles.
- Persistenten „Cookie-Einstellungen"-Link in die Fußzeile.
- Cookie-Richtlinie neu generieren — passend zu dem, was die Site wirklich setzt.
- Audit gegen Akzeptieren- und Ablehnen-Pfade erneut ausführen.
Cookie-Compliance bricht still. Marketing fügt einen neuen Tag in GTM hinzu, ein Entwickler integriert ein Chat-Widget, ein Drittanbieter aktualisiert sein Skript und setzt einen neuen Cookie. Die einzige Methode, die für KMU funktioniert: Baseline-Scan, Fixes, dann wöchentliche Scans, die das Cookie-Inventar diffen.
Genau das tut Veracly — kostenloser Baseline-Scan, dann kontinuierliches Monitoring mit Diff-Alarm bei neuen Trackern. Scan starten.
Häufige Fragen
Was ist ein DSGVO-Cookie-Audit?
Ein DSGVO-Cookie-Audit ist die strukturierte Prüfung, ob die Einwilligung erfasst wird, bevor irgendein nicht-essentieller Cookie oder Tracker gesetzt wird. Es erfasst den Netzwerkverkehr beim allerersten Seitenaufruf, prüft jeden Cookie und Speichervorgang und gleicht das Inventar mit der veröffentlichten Cookie-Richtlinie ab.
Welche Cookies brauchen Einwilligung?
Strikt notwendige Cookies (Session, Sicherheit, Lastverteilung, Speicherung der Einwilligung) brauchen keine Einwilligung. Alles andere schon — Analytics, Werbung, Personalisierung, A/B-Testing, Session-Recording, jedes Drittanbieter-Widget mit eigenen Cookies.
Ist Google Analytics 4 standardmäßig DSGVO-konform?
Nein. GA4 erfordert in der EU explizite Einwilligung, bevor Daten den Browser verlassen. Mehrere Aufsichten (CNIL, Garante, italienische DSB) haben spezifische GA4-Konfigurationen für unzulässig erklärt. Consent Mode v2 ist Pflicht.
Wie hoch sind Bußgelder für nicht-konforme Cookie-Banner?
Je nach Aufsicht: CNIL hat 60 Mio. € (Google), 40 Mio. € (Meta) und Beträge ab 600.000 € verhängt. Das Bußgeld skaliert mit Umsatz und Anzahl betroffener Besucher.
Sehen Sie, wo Ihre Website steht.
Starten Sie einen kostenlosen Veracly-Scan und erhalten Sie einen Multi-Jurisdiktionsbericht — EAA, DSGVO, ADA, UK Equality Act, AODA — mit Copy-Paste-Fixes für Entwickler.
Kostenlosen Scan starten