Sie haben einen Cookie-Banner auf Ihrer Website installiert und denken, Sie seien konform. Leider reicht ein Banner mit einem Button „Akzeptieren” nicht aus. Er muss Drittanbieter-Skripte tatsächlich blockieren, solange der Nutzer keine Einwilligung erteilt hat. Genau daran scheitern die meisten kostenlosen Lösungen — und sogar einige kostenpflichtige.
2026 lädt eine durchschnittliche Website 20 bis 40 Drittanbieter-Skripte: Analytics, Werbung, Chat, Video-Embeds, Heatmaps, Marketing-Tools. Wenn Ihr Banner auch nur einige davon vor der Einwilligung durchlässt, verstoßen Sie gegen § 25 TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz) und potenziell gegen die DSGVO. Die BfDI und die Landesdatenschutzbehörden haben zwischen 2020 und 2025 zahlreiche Unternehmen aus diesem Grund gerügt, die französische CNIL hat allein über 150 Unternehmen sanktioniert.
Dieser Artikel listet die 37 am häufigsten übersehenen Tracker kostenloser Banner auf, erklärt, wie Sie Ihre aktuelle Konfiguration überprüfen, und vergleicht die technischen Ansätze der wichtigsten Lösungen auf dem Markt.
Ihre Website in 10 Sekunden kostenlos testen →
Warum 37 Dienste? Die Checkliste 2026
Wir haben die hundert meistbesuchten Websites auditiert und die Liste der Drittanbieter-Dienste erstellt, die systematisch Probleme mit der DSGVO-Konformität verursachen. Das Ergebnis: 37 Dienste, die jeder seriöse Cookie-Banner standardmäßig erkennen und blockieren muss.
Analytics & Heatmaps (14 Dienste)
| Dienst | Anbieter | Cookie ohne Einwilligung? |
|---|---|---|
| Google Analytics 4 | ❌ Unzulässig | |
| Google Tag Manager | ❌ Unzulässig (wenn er nicht eingewilligte Tags auslöst) | |
| Hotjar | Contentsquare | ❌ Unzulässig |
| Microsoft Clarity | Microsoft | ❌ Unzulässig |
| Matomo (selbst gehostet) | Matomo | ⚠️ Ausgenommen bei cookieloser Konfiguration |
| Plausible | Plausible | ✅ Ausgenommen (cookielos) |
| Mixpanel | Mixpanel | ❌ Unzulässig |
| Segment | Twilio | ❌ Unzulässig (je nach Zielen) |
| Amplitude | Amplitude | ❌ Unzulässig |
| Heap | Heap | ❌ Unzulässig |
| FullStory | FullStory | ❌ Unzulässig |
| LogRocket | LogRocket | ❌ Unzulässig |
| Pendo | Pendo | ❌ Unzulässig |
| Smartlook | Smartlook | ❌ Unzulässig |
Merke: Nur Plausible und Matomo im cookielosen Modus dürfen ohne Einwilligung geladen werden. Alle anderen erfordern ein aktives Opt-in.
Werbung & Social Marketing (12 Dienste)
| Dienst | Anbieter | Cookie ohne Einwilligung? |
|---|---|---|
| Meta Pixel (Facebook) | Meta | ❌ Unzulässig |
| TikTok Pixel | TikTok | ❌ Unzulässig |
| Google Ads | ❌ Unzulässig | |
| LinkedIn Insight Tag | Microsoft | ❌ Unzulässig |
| Pinterest Tag | ❌ Unzulässig | |
| Twitter/X Pixel | X | ❌ Unzulässig |
| Snapchat Pixel | Snap | ❌ Unzulässig |
| Reddit Pixel | ❌ Unzulässig | |
| Quora Pixel | Quora | ❌ Unzulässig |
| Outbrain | Outbrain | ❌ Unzulässig |
| Taboola | Taboola | ❌ Unzulässig |
| Marketo | Adobe | ❌ Unzulässig |
Ein ohne Einwilligung geladener Meta Pixel gehört zu den am häufigsten sanktionierten Verstößen bei europäischen Datenschutzbehörden. Die CNIL hat zwischen 2023 und 2025 mehrere öffentliche Entscheidungen zu diesem Grund veröffentlicht, und die DSK sowie die Landesdatenschutzbehörden verfolgen denselben Ansatz.
Video- & Karten-Embeds (3 Dienste)
| Dienst | Anbieter | Cookie ohne Einwilligung? |
|---|---|---|
| YouTube | ❌ Unzulässig (außer im Modus youtube-nocookie.com) | |
| Vimeo | Vimeo | ❌ Unzulässig |
| Google Maps | ❌ Unzulässig |
Viele Websites binden ein YouTube-Video auf ihrer Startseite ein, ohne zu bemerken, dass der YouTube-iframe rund dreißig Cookies lädt, noch bevor der Nutzer auf Play klickt. Ein konformer Banner muss den iframe durch eine Consent-Wall ersetzen, bis die Einwilligung erteilt wurde.
Chat & Kundensupport (7 Dienste)
| Dienst | Anbieter | Cookie ohne Einwilligung? |
|---|---|---|
| Intercom | Intercom | ❌ Unzulässig |
| Crisp | Crisp | ❌ Unzulässig |
| Tawk.to | Tawk | ❌ Unzulässig |
| Zendesk Messaging | Zendesk | ❌ Unzulässig |
| Drift | Drift | ❌ Unzulässig |
| Olark | Olark | ❌ Unzulässig |
| HubSpot | HubSpot | ❌ Unzulässig |
Support-Chats stellen ein besonderes Problem dar: Sie werden von Webmastern als „funktional” wahrgenommen, obwohl sie in Wirklichkeit Identifikations-, Standort- und Verlaufsdaten sammeln — und damit einwilligungspflichtig sind.
Strikte Ausnahme (1 Dienst)
Nur ein Dienst ist von der Einwilligung ausgenommen: Stripe für Cookies, die für die Zahlungssicherheit (Betrugsprävention) strikt erforderlich sind. Auch dort sind nur die sicheren Session-Cookies ausgenommen, nicht die zugehörigen Marketing-Cookies.
Der Cookie-Banner-Vergleich (April 2026)
Bevor Sie einen Banner installieren, prüfen Sie objektiv, was er abdeckt. Hier ein Vergleich der gängigsten Lösungen nach technischen und überprüfbaren Kriterien.
| Kriterium | WebLegal CCB | Typischer kostenloser Banner | Kommerzielle Lösung (Termly / Iubenda / Cookiebot Free Tier) |
|---|---|---|---|
| Preis | Kostenlos, ohne Begrenzung von Seiten oder Domains | Kostenlos, aber oft begrenzt (1 Domain, < 100 Seiten, Wasserzeichen) | Kostenpflichtig ab der ersten seriösen Website oder auf 1 Domain begrenzt |
| Standardmäßig erkannte Tracker | 37 Dienste + erweiterbare Regex | 5 bis 15 im Allgemeinen | 20 bis 30 |
| Gepflegte Sprachen | 14 EU-Sprachen + 16 Fallbacks | 1 bis 3 (Englisch + 2 weitere) | 10 bis 50 je nach Plan |
| Google Consent Mode v2 | 7 von 7 Signalen (einschl. security_storage) | Oft unvollständig (3 bis 5 Signale) | 7 von 7 in der kostenpflichtigen Version |
| Consent-Wall für Embeds | 9 lokalisierte Embeds (YouTube, Vimeo, Maps, TikTok, Twitter, Instagram, Facebook, Spotify, SoundCloud) | Selten, oft nicht vorhanden | Teilweise, plan-abhängig |
| Skriptgröße | 40 KB unminifiziert (~12 KB gzip) | 30 bis 60 KB | 80 bis 300 KB (OneTrust: 300+ KB) |
| Offener / auditierbarer Code | ✅ Lesbar, bewusst unminifiziert | Variabel | Selten (verschleiert, minifiziert) |
| Automatische Erkennung bestehender CMP | ✅ 36 CMPs erkannt (für Anti-Konflikt-Scanner) | Nein | Teilweise |
| Drittanbieter-Hosting (DSGVO) | Skript bereitgestellt von weblegal.ai (EWR) | Variabel (oft US-CDN) | Oft US-CDN (Drittlandtransfer meldepflichtig) |
Besondere Merkmale von WebLegal CCB:
- Das leichteste auf dem Markt unter den vollständigen Lösungen. Ein 40-KB-Skript (12 KB gzip) gegenüber 80 bis 300 KB bei Alternativen. Weniger Latenz, bessere Core Web Vitals, positive SEO-Auswirkungen.
- Bewusst unminifiziert. Der Code ist für Entwickler, Datenschutzbeauftragte oder BfDI-Experten lesbar. Das ist ein Argument für Transparenz und Konformität: Sie können exakt rechtfertigen, was der Banner auf Ihrer Website tut.
- Echte Lokalisierung der Ersatzbildschirme. Wenn ein deutscher Nutzer auf ein blockiertes YouTube-Video stößt, ist der Consent-Wall auf Deutsch, nicht standardmäßig auf Englisch. Gleiche Logik für Vimeo, Spotify, Instagram, TikTok usw.
- Vollständiger Consent Mode v2 seit April 2026. Alle 7 Google-Signale werden ab dem ersten Laden gesendet und nach der Einwilligung aktualisiert. Null Verlust bei Google Ads-Conversions durch ein fehlendes Signal.
So testen Sie Ihren aktuellen Banner
Bevor Sie die Lösung wechseln, testen Sie, was Ihr aktueller Banner tatsächlich tut. Zwei praktische Methoden:
Methode 1 — Automatischer Scanner (30 Sekunden)
Geben Sie Ihre URL in unseren Konformitätsscanner ein. Er analysiert Ihre Seite in einem Headless-Browser, erkennt die vor dem Klick auf „Akzeptieren” gesetzten Cookies und listet die ohne Einwilligung geladenen Dienste auf. Ergebnis in 10 Sekunden, ohne Anmeldung.
Methode 2 — Chrome DevTools (5 Minuten)
- Öffnen Sie Ihre Website im Inkognito-Modus
- F12 → Tab Application → Cookies (vor jeder Interaktion)
- Schauen Sie sich die bereits gesetzten Cookies an: Wenn Sie außer Ihren eigenen Session-Cookies +
wl_cc_consent(oder Äquivalent) etwas anderes sehen, haben Sie ein Problem - Tab Network, Filter
XHR/Fetch→ schauen Sie sich Anfragen angoogle-analytics.com,facebook.net,tiktok.com,hotjar.coman: jede Anfrage vor dem Klick ist ein Verstoß
Methode 3 — Dedizierte Erweiterung
Die Chrome-Erweiterung CMP Verifier (kostenlos) simuliert einen Besucher, der abgelehnt und dann akzeptiert hat, und sagt Ihnen, ob die Einwilligungsregeln eingehalten wurden. Sehr nützlich, um die Konformität gegenüber Ihrem Datenschutzbeauftragten zu dokumentieren.
Die vier häufigsten Fehler
Fehler 1 — Der Banner erscheint, blockiert aber nichts
Das ist der häufigste Fehler bei kostenlosen WordPress-Plugins „Banner in 1 Klick”. Das Plugin zeigt den Banner an, speichert die Einwilligung… berührt die Skripte aber nicht. Google Analytics lädt weiter. Ergebnis: Sie haben den Aufwand für den Banner betrieben ohne jeden juristischen Nutzen.
So prüfen Sie es: Wenden Sie Methode 2 oben an. Wenn Sie _ga- oder _fbp-Cookies vor dem Klick sehen, ist es bestätigt.
Fehler 2 — YouTube-/Vimeo-Embeds laden trotzdem
Selbst wenn Ihr Banner Google Analytics blockiert, lässt er oft <iframe src="https://www.youtube.com/embed/...">-Einbindungen direkt in Ihren Seiten durch. Jede lädt 20 bis 30 Google-Cookies.
Lösung: Der Banner muss den iframe dynamisch ersetzen durch einen Wartebildschirm mit dem Hinweis „Dieses Video verwendet Cookies. Zum Ansehen akzeptieren.” Das ist der Consent-Wall — Standard bei WebLegal CCB, optional oder fehlend bei vielen anderen.
Fehler 3 — „Alle ablehnen” ist nicht gleichwertig mit „Alle akzeptieren”
Die europäischen Datenschutzbehörden, darunter die DSK, BfDI und CNIL, fordern seit 2021, dass Ablehnen genauso einfach sein muss wie Akzeptieren. Wenn Ihr Banner einen großen grünen Button „Alle akzeptieren” bietet, „Ablehnen” aber hinter einem Textlink drei Klicks tief versteckt, sind Sie rechtswidrig. Zwischen 2022 und 2025 dokumentierte Bußgelder dieser Art: über 50 öffentliche Entscheidungen allein bei der CNIL.
Fehler 4 — Der Banner blockiert Googlebot
Einige Banner werden auch Indexierungs-Robotern angezeigt, was von Google als missbräuchliches Interstitial interpretiert werden und Ihrer SEO schaden kann. Ein moderner Banner muss bekannte User-Agents (Googlebot, Bingbot, DuckDuckBot) erkennen und ihr Crawling nicht stören.
Status bei WebLegal CCB: Funktion in Planung — siehe unsere öffentliche Roadmap (Issue #174).
WebLegal CCB in 2 Minuten installieren
Wenn Sie nach der Lektüre migrieren möchten, so gehen Sie vor:
- Gehen Sie zu weblegal.ai/de/cookie-banner/
- Geben Sie Ihren Seitennamen und die verwendeten Cookie-Kategorien an
- Kopieren Sie das Snippet (eine Zeile
<script src="...">) - Fügen Sie es vor jedem anderen Drittanbieter-Skript im
<head>-Tag Ihrer Website ein - Testen Sie mit Methode 1 oben
Keine Anmeldung, keine Kreditkarte, keine Seiten- oder Domainbegrenzung. Das Snippet ist ein einzelnes 40-KB-Skript, gehostet auf weblegal.ai — Ihre Website lädt nichts anderes, solange der Besucher nicht mit dem Banner interagiert.
FAQ
Reicht mein kostenloser WordPress-Banner aus?
Wahrscheinlich nicht. Die meisten kostenlosen Plugins zeigen einen Banner an, blockieren aber keine Skripte. Testen Sie mit Methode 2 (DevTools), um Gewissheit zu bekommen. Wenn Sie vor dem Klick _ga-, _fbp-, _gcl_au- oder .hotjar.com-Cookies sehen, verstoßen Sie gegen die Regeln.
Kann man sich auf „strikt notwendige Cookies” beschränken?
Ja, sofern Sie tatsächlich keinen Analyse-, Werbe- oder Drittanbieter-Chat-Tracker verwenden. Konkret: kein Google Analytics, kein Facebook Pixel, kein eingebettetes YouTube, keine Google Maps, kein Intercom. Ein Blog ohne Marketing-Tools kommt ohne aus. Ein E-Commerce-Shop: niemals.
Sind kostenpflichtige Banner besser?
Nicht automatisch. Ein kostenpflichtiger Banner bietet in der Regel mehr Sprachen und ausgefeiltere Admin-Oberflächen, aber nicht zwangsläufig eine bessere Blockierqualität. Das Skriptgewicht (bei OneTrust manchmal 200-300 KB) kann auch Ihrer SEO über die Core Web Vitals schaden.
Wie weise ich die Konformität meines Banners gegenüber der Datenschutzbehörde nach?
Bewahren Sie drei Elemente auf:
- den verwendeten Skriptcode (oder die öffentliche URL wie
https://weblegal.ai/js/wl-cookie-consent.js) - einen regelmäßigen Scan Ihrer eigenen Website (Screenshot + Bericht)
- ein Einwilligungsregister — den Nachweis, dass Sie die Wahl des Nutzers speichern
Bei WebLegal wird die Einwilligung in einem Cookie wl_cc_consent mit Datum und Kategorien gespeichert, dessen Format öffentlich dokumentiert ist.
Muss der Banner auch Besuchern außerhalb der EU angezeigt werden?
Standardmäßig ja. Es ist technisch möglich, den Banner auf EU-Besucher zu beschränken, aber nicht empfohlen:
- Wenn ein Nicht-EU-Besucher sich mit einem EU-Konto authentifiziert, müssen Sie seine Rechte respektieren
- ähnliche Regelungen existieren mittlerweile im Vereinigten Königreich (UK GDPR), in Kalifornien (CCPA), in Brasilien (LGPD) und breiten sich auf weitere Rechtsordnungen aus
- die UX-Kohärenz ist mit einem universellen Banner besser
Zusammenfassung
Die Konformität eines Cookie-Banners beruht auf drei technischen Kriterien:
- Er muss die 20 bis 40 gängigen Drittanbieter-Skripte tatsächlich erkennen und blockieren — nicht nur einen Banner anzeigen.
- Er muss Consent Mode v2 vollständig implementieren (7 Google-Signale), um Ihre Marketing-Daten zu erhalten.
- Er muss Embeds (YouTube, Vimeo, Maps usw.) durch lokalisierte Wartebildschirme ersetzen.
Ein 10-Sekunden-Test mit unserem Scanner zeigt Ihnen, wo Sie stehen. Eine Migration zu WebLegal CCB dauert 2 Minuten, kostet null Euro und deckt die hier aufgeführten 37 Dienste ab.