DSGVO-Checkliste für Websites: Cookie-Compliance prüfen

Die meisten DSGVO-Checklisten behandeln alles auf einmal: HR-Daten, Lieferantenverträge, interne Prozesse. Das ist sinnvoll für Compliance-Beauftragte. Für Webseitenbetreiber:innen ist es wenig hilfreich.

Diese DSGVO-Checkliste für Websites ist anders. Sie konzentriert sich ausschließlich auf das, was Ihre Website betrifft: Cookies, Tracking-Tools und Ihr Consent-Banner. Gehen Sie die fünf Bereiche durch und Sie wissen in 20 Minuten genau, wo Sie stehen.

Cookie-Banner und Tracking-Tools sind die sichtbarste Schnittstelle zwischen Ihrer Website und dem Datenschutzrecht. Und sie sind der häufigste Angriffspunkt für Aufsichtsbehörden, Verbraucherzentralen und Abmahner:innen.

Der Grund ist einfach: Während interne Datenverarbeitungen für Außenstehende meist unsichtbar bleiben, lässt sich ein fehlerhaftes Cookie-Banner mit einem einzigen Seitenaufruf identifizieren. Datenschutzbehörden wie die deutsche DSK und europäische Pendants wie die spanische AEPD oder die französische CNIL haben in den vergangenen Jahren gezielt Cookie-Banner-Kampagnen durchgeführt und systematisch Bußgelder sowie Abmahnungen ausgesprochen.

Zu den häufigsten festgestellten Verstößen gehören: kein Ablehnen-Button auf erster Ebene, Cookies, die bereits vor der Einwilligung gesetzt werden, fehlende Granularität bei der Einwilligung und eine Datenschutzerklärung, die Drittanbieter-Tools nicht oder unvollständig benennt.

Die gute Nachricht: Mit der richtigen DSGVO-Checkliste für Ihre Website lassen sich die häufigsten Fehler schnell identifizieren und beheben.

Die Cookiebot DSGVO-Checkliste für Websites

Der Cookie-Banner ist meist der erste Kontaktpunkt zwischen Besucher:innen und Ihrer Datenschutzstrategie. Fehler in diesem Bereich gehören zu den häufigsten DSGVO-Verstößen bei Websites.

Anforderung	Was das bedeutet
Cookie-Banner erscheint, bevor nicht-essentielle Cookies feuern	Kein einziges Analytics-, Marketing- oder Funktions-Cookie darf geladen werden, bevor Nutzer:innen aktiv eingewilligt haben. Das gilt auch für Skripte, die im Hintergrund laufen.
„Ablehnen"-Button ist genauso prominent wie „Akzeptieren"	Gleichwertige visuelle Darstellung ist Pflicht. Ein kleiner grauer „Ablehnen"-Link neben einem großen grünen „Alles akzeptieren"-Button ist ein Dark Pattern und DSGVO-widrig.
Keine vorausgewählten Consent-Checkboxen	Pre-ticked Boxes sind nach DSGVO keine wirksame Einwilligung. Alle Kategorien müssen standardmäßig deaktiviert sein.
Granulare Einwilligung nach Kategorien möglich	Nutzer:innen müssen separat in funktionale, Analytics- und Marketing-Cookies einwilligen können, nicht nur „Alles oder nichts".
Einwilligung ist jederzeit widerrufbar	Der Widerruf muss genauso einfach sein wie die Einwilligung selbst. Ein zugänglicher Link im Footer ist eine bewährte Lösung.
Einwilligungen werden mit Zeitstempel und Auswahl protokolliert	Ohne Nachweis keine Compliance. Jede Einwilligung muss dokumentiert sein: wer, wann, zu welchen Kategorien.

Neben dem Banner selbst müssen Nutzer:innen auch transparent sehen können, welche Cookies und Tracking-Technologien eingesetzt werden.

Anforderung	Was das bedeutet
Alle Cookies deklariert mit Name, Zweck, Laufzeit und Anbieter	Jedes Cookie auf Ihrer Website muss aufgelistet sein – inklusive Drittanbieter-Cookies. Pauschalformulierungen wie „wir verwenden Cookies zu Analysezwecken" reichen nicht aus.
Die Cookie-Richtlinie ist direkt aus dem Banner verlinkt oder zugänglich	Nutzer:innen müssen vor der Einwilligung Zugang zur vollständigen Cookie-Richtlinie haben. Ein direkter Link im Banner ist Pflicht.
Cookie-Richtlinie aktualisiert sich automatisch bei neuen Trackern	Jedes Mal, wenn ein neues Tool integriert oder ein Skript geändert wird, muss die Deklaration angepasst werden. Manuelle Pflege ist fehleranfällig – automatisches Scannen ist der Standard.

Bereich 3: Datenschutzerklärung

Die Datenschutzerklärung ist das zentrale Dokument für Transparenz auf Ihrer Website. Sie muss alle relevanten Datenverarbeitungen verständlich erklären.

Anforderung	Was das bedeutet
Die Datenschutzerklärung beschreibt alle Datenverarbeitungen, inkl. Cookies und Tracking-Tools	Neben Cookies muss auch jede weitere Datenverarbeitung beschrieben sein.
Alle Drittanbieter-Dienste sind namentlich aufgeführt	Google Analytics, Facebook Pixel, YouTube – alle eingesetzten Tools müssen mit Anbieter, Zweck und Rechtsgrundlage aufgeführt sein.
Datenübermittlungen in Drittländer (insbesondere USA) sind benannt und rechtlich begründet	Bei US-Diensten (z. B. Google oder Meta) ist ein Hinweis auf den Datentransfer in Drittländer erforderlich.
Alle Betroffenenrechte (Art. 15–22 DSGVO) aufgeführt	Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch – und jeweils, wie Nutzer:innen diese Rechte ausüben können.
Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten (DSB) angegeben	Die Kontaktdaten des Verantwortlichen sind Pflicht. Falls ein Datenschutzbeauftragter (DSB) bestellt ist, sollen auch dessen Kontaktdaten erscheinen.

Bereich 4: Drittanbieter-Tools & Tracking

Viele DSGVO-Probleme entstehen nicht durch die Website selbst, sondern durch externe Dienste. Analyse-Tools, Marketing-Pixel oder eingebettete Inhalte können Daten übertragen, bevor Besucher:innen ihre Einwilligung gegeben haben.

Anforderung	Was das bedeutet
Alle Drittanbieter-Tools bis zur Einwilligung blockiert	Kein Skript von einem Drittanbieter darf vor der Einwilligung geladen werden. Dies muss technisch sichergestellt sein, nicht nur vertraglich.
Google Analytics ist mit IP-Anonymisierung oder Google Consent Mode v2 konfiguriert	Ohne Consent Mode v2 oder aktive IP-Anonymisierung ist der Einsatz von Google Analytics in Deutschland rechtlich problematisch. Consent Mode v2 ist der aktuelle Standard.
Facebook Pixel / Meta Pixel bis zur Einwilligung blockiert	Der Meta Pixel darf erst nach expliziter Einwilligung feuern.
YouTube-Einbettungen und Google Maps erfordern eine Einwilligung, bevor sie geladen werden	Diese Inhalte dürfen erst geladen werden, nachdem Besucher ihre Einwilligung gegeben haben. Vorher müssen sie blockiert werden, damit keine Daten an Google übertragen werden.
Google reCAPTCHA ist blockiert oder an eine Einwilligung gekoppelt	reCAPTCHA darf erst aktiviert werden, nachdem Besucher:innen ihre Einwilligung gegeben haben. Vorher muss der Dienst blockiert werden, damit keine Daten an Google übertragen werden.

Bereich 5: Einwilligungs-Protokolle & Dokumentation

Neben der technischen Umsetzung verlangt die DSGVO auch eine nachvollziehbare Dokumentation der Einwilligungen.

Anforderung	Was das bedeutet
Einwilligungsnachweise werden gespeichert	Für jeden Consent-Vorgang muss protokolliert sein: Nutzer-ID, Zeitstempel und eingewilligte Kategorien
Einwilligung läuft nach 12 Monaten ab und wird neu angefordert	Einwilligungen sind nicht unbegrenzt gültig. Nach spätestens 12 Monaten müssen Nutzer:innen erneut gefragt werden.
Nachweise sind für eine mögliche Prüfung durch die Aufsichtsbehörde verfügbar	Im Fall einer Prüfung durch eine deutsche Datenschutzbehörde müssen Sie Ihre Consent-Dokumentation unverzüglich vorlegen können.

Die häufigsten Fehler in der Checkliste und wie Cookiebot sie behebt

Wenn Sie diese Checkliste durchgehen und feststellen, dass mehrere Punkte noch nicht erfüllt sind, besteht ein konkretes rechtliches Risiko. Nicht in einem abstrakten Sinne, sondern messbar: Verbraucherzentralen und Aufsichtsbehörden prüfen Cookie-Banner aktiv und systematisch.

Cookiebot nimmt Ihnen die technisch aufwändigsten Punkte dieser Checkliste ab.

Cookies feuern vor der Einwilligung: Cookiebot blockiert alle nicht notwendigen Skripte automatisch beim Seitenaufruf. Kein Cookie wird gesetzt, bis Nutzer:innen aktiv eingewilligt haben.

Keine granulare Einwilligung: Cookiebot zeigt standardmäßig Cookie-Kategorien und ermöglicht Nutzer:innen eine differenzierte Auswahl.

Veraltete Cookie-Richtlinie: Cookiebot scannt Ihre Website regelmäßig und aktualisiert die Deklaration, wenn neue Tracker hinzukommen oder bestehende sich ändern.

Keine Consent-Protokollierung: Cookiebot speichert jeden Einwilligungsvorgang mit Zeitstempel, gewählter Version und Auswahl der Nutzer:innen.

Kein automatischer Consent-Ablauf: Cookiebot erinnert Nutzer:innen nach 12 Monaten automatisch daran, ihre Einwilligung zu erneuern.

Prüfen Sie Ihre Website mit der DSGVO-Checkliste

Der kostenlose Cookiebot Scanner erkennt automatisch Cookies und Tracking-Technologien auf Ihrer Website und zeigt Ihnen, wo DSGVO-Risiken bestehen.

Website kostenlos scannen

DSGVO-Checkliste für Ihre Website: Cookies, Tracking und Consent in 20 Minuten prüfen

Bleiben Sie auf dem Laufenden

Die Cookiebot DSGVO-Checkliste für Websites

Bereich 3: Datenschutzerklärung

Bereich 4: Drittanbieter-Tools & Tracking

Bereich 5: Einwilligungs-Protokolle & Dokumentation

Die häufigsten Fehler in der Checkliste und wie Cookiebot sie behebt

Prüfen Sie Ihre Website mit der DSGVO-Checkliste

DSGVO-Checkliste für Ihre Website: Cookies, Tracking und Consent in 20 Minuten prüfen

Warum Cookie Compliance die häufigste DSGVO-Schwachstelle auf Websites ist

Die Cookiebot DSGVO-Checkliste für Websites

Bereich 1: Cookie-Banner & Consent

Bereich 2: Cookie-Richtlinie

Bereich 3: Datenschutzerklärung

Bereich 4: Drittanbieter-Tools & Tracking

Bereich 5: Einwilligungs-Protokolle & Dokumentation

Die häufigsten Fehler in der Checkliste und wie Cookiebot sie behebt

Prüfen Sie Ihre Website mit der DSGVO-Checkliste

Bleiben Sie auf dem Laufenden