Consent Mode und Cookie-Banner: Warum ein Banner allein kein Tracking-Audit ist
Cookie-Banner, Consent Mode und Tag Manager müssen zusammen geprüft werden. Entscheidend ist nicht nur, ob ein Banner sichtbar ist, sondern ob Skripte wirklich erst nach passender Einwilligung feuern.
Viele Websites haben inzwischen ein Cookie-Banner. Das heißt aber nicht automatisch, dass Tracking sauber gesteuert wird. Ein Banner ist nur die sichtbare Oberfläche. Darunter liegen Tag Manager, Marketing-Pixel, Analytics-Skripte, Consent Mode, lokale Speicher, eingebettete Medien und oft mehrere Plugins, die alle in der richtigen Reihenfolge zusammenspielen müssen.
Der häufigste Fehler: Das Banner fragt nach Zustimmung, aber einzelne Skripte laufen schon vorher. Für Nutzer:innen sieht die Oberfläche korrekt aus. Technisch ist das Gegenteil möglich.
Banner prüfen reicht nicht
Ein echter Cookie- und Tracking-Check sollte mindestens drei Ebenen betrachten:
- Oberfläche: Sind Auswahl, Ablehnen, Akzeptieren und Einstellungen verständlich erreichbar?
- Technik: Welche Cookies, Local-Storage-Einträge und Netzwerkrequests entstehen vor und nach der Auswahl?
- Konfiguration: Wie sind Consent Tool, Tag Manager und einzelne Tags miteinander verbunden?
Gerade Consent Mode wird oft falsch verstanden. Er ersetzt keine Einwilligung. Er ist eine technische Steuerung, mit der Google-Tags ihr Verhalten je nach Consent-Signal anpassen können. Wenn das Consent-Signal falsch gesetzt wird, hilft auch die schönste Oberfläche nicht.
Typische Fehler in Website-Projekten
In Audits tauchen immer wieder ähnliche Muster auf:
- Analytics lädt bereits beim ersten Seitenaufruf.
- Marketing-Pixel feuern trotz Ablehnung.
- YouTube, Maps oder Chat-Widgets setzen externe Requests vor Zustimmung ab.
- Der Tag Manager enthält alte Tags, die niemand mehr kennt.
- Consent-Kategorien heißen im Banner anders als im Tag Manager.
- Ein Plugin lädt Skripte außerhalb des Consent-Tools.
- Der Ablehnen-Button ist sichtbar, aber technisch nicht gleichwertig umgesetzt.
Das Problem entsteht selten absichtlich. Meist wurde über Monate erweitert: ein neues Plugin, eine Kampagne, ein Relaunch, ein neues Pixel. Niemand prüft danach das Zusammenspiel.
Praktische Audit-Schritte
Ein wiederholbarer Tracking-Check kann so aussehen:
- Browserprofil leeren oder Inkognito nutzen.
- Seite ohne Einwilligung laden und Netzwerkrequests prüfen.
- Cookies und Local Storage vor jeder Auswahl dokumentieren.
- Ablehnen testen und erneut Requests prüfen.
- Einzelne Kategorien aktivieren und Verhalten vergleichen.
- Tag Manager Preview nutzen, falls vorhanden.
- Wichtige Unterseiten testen: Kontakt, Checkout, Buchung, Blog, Landingpages.
- Externe Einbettungen separat prüfen.
Wichtig ist: Nicht nur die Startseite testen. Tracking wird oft auf Landingpages, Formularseiten oder im Checkout anders eingebunden.
Wartung statt Einmalprojekt
Cookie-Setups veralten schnell. Neue Kampagnen, neue Plugins und neue Tools können das Verhalten ändern. Deshalb gehört Consent in die Wartung:
- Nach jedem neuen Marketing-Tag testen.
- Nach Plugin-Updates prüfen.
- Einmal pro Quartal einen kurzen Cookie-Scan durchführen.
- Tag Manager auf Altlasten prüfen.
- Consent-Dokumentation aktuell halten.
Fazit
Ein Cookie-Banner ist kein Nachweis dafür, dass Tracking korrekt gesteuert wird. Entscheidend ist, was technisch passiert. Ein guter Website-Check prüft deshalb Oberfläche, Netzwerkrequests und Tag-Konfiguration gemeinsam.
Quellen
- Google Tag Platform: Consent mode overview
- Google Tag Platform: Set up consent mode
- EDPB Guidelines 05/2020 on consent
Hinweis: Dieser Beitrag ist eine technische Einordnung und keine Rechtsberatung.