Warum verkauft Complianty kein eigenes Cookie-Banner?

Aus Unabhängigkeit: Ein Prüfwerkzeug, dessen Hersteller das eigene Consent-Banner verkauft, hat einen strukturellen Interessenkonflikt — es würde Befunde betonen, die das eigene Produkt löst, und das eigene Banner nie durchfallen lassen. Complianty verdient nichts daran, welches CMP auf einer Website läuft, und kann deshalb alle über 30 erkannten Consent-Plattformen gleich behandeln und ehrlich auditieren.

Reicht ein blockierendes Cookie-Banner für DSGVO-Konformität?

Nein. In einer laufenden Erhebung über mehr als 100.000 .de-Domains (Stand Juni 2026) verstießen 40,5 % der Websites mit Consent-Banner trotzdem gegen die Einwilligungspflicht. Ein Banner blockt nur, was ihm bekannt gemacht wurde: Hartkodierte Skripte, Tag-Manager-Tags ohne Consent-Trigger, falsch kategorisierte Dienste, Embeds und selbst gehostetes Tracking laufen daran vorbei. Dazu kommen AV-Verträge, Verarbeitungsverzeichnis, Datenschutzerklärung und Impressum, die ein Banner gar nicht adressiert — und die Drift durch Updates, die einmal konforme Setups wieder brechen.

Muss ich mein bestehendes CMP wechseln, um Complianty zu nutzen?

Nein. Complianty arbeitet CMP-neutral: Der Scanner erkennt über 30 Consent-Management-Plattformen (Borlabs, Cookiebot, Usercentrics, CCM19 samt Whitelabels, Complianz, Klaro u. v. m.), interagiert mit dem vorhandenen Banner und auditiert dessen Rechtskonformität. Kein Mandant muss migrieren — geprüft wird das, was da ist.

Was bedeutet CMP-neutrale Prüfung konkret?

Der Scanner erkennt das installierte Consent-Banner automatisch, misst das Verhalten der Website vor und nach der Einwilligung und prüft das Banner selbst auf Rechtskonformität — etwa ob Ablehnen so prominent ist wie Akzeptieren, ob Checkboxen vorangekreuzt sind und ob der Widerruf erreichbar ist. Da Complianty kein eigenes Banner verkauft, gelten für jedes CMP dieselben Maßstäbe; bei unklaren Fällen lautet das Ergebnis „manuelle Prüfung nötig" statt eines falschen Bestanden.

Warum Complianty bewusst kein Cookie-Banner verkauft: Wer prüft, darf nicht am Befund verdienen

Es ist die naheliegendste Produktfrage überhaupt, und wir hören sie regelmäßig: „Euer Scanner findet Tracking-Verstöße auf Kunden-Websites. Warum verkauft ihr nicht einfach das Cookie-Banner dazu, das sie behebt?" Die kurze Antwort: Weil ein Prüfwerkzeug, das am Befund verdient, kein Prüfwerkzeug mehr ist. Die lange Antwort handelt von Interessenkonflikten, von 40,5 % Verstößen trotz Consent-Banner — gemessen auf über 100.000 .de-Domains —, von Agentur-Realitäten mit zehn verschiedenen CMPs im Bestand — und davon, was „Lösen" im Datenschutz-Alltag wirklich bedeutet. Dieser Artikel ist unsere Begründung für eine Produktentscheidung, die auf den ersten Blick wie eine Lücke aussieht und auf den zweiten die Bedingung dafür ist, dass du unseren Berichten trauen kannst.

Die verlockende Logik von „Erkennen und Beheben in einem"

Das Argument für das Komplettpaket klingt bestechend, und es ist fair, es in seiner stärksten Form wiederzugeben: Ein Monitoring-Tool sagt dir, dass es brennt — gelöscht ist damit noch nichts. Wer also Scanner und Cookie-Banner aus einer Hand anbietet, schließt scheinbar den Kreis: Der Scanner findet den Tracker, der vor der Einwilligung feuert, das hauseigene Banner blockt ihn künftig, fertig. Ein Tool statt zwei, ein Vertrag statt zwei, „Problem gelöst" statt „Problem gemeldet".

Diese Logik steht auf drei Annahmen, die selten ausgesprochen werden:

Annahme 1: Das Banner des Anbieters ist die Behebung — wer es installiert, ist konform.
Annahme 2: Der Wechsel auf dieses Banner ist günstig — auch über einen Bestand von zehn, zwanzig oder dreißig Kunden-Websites hinweg.
Annahme 3: Die Prüfung bleibt ehrlich, wenn Prüfer und Verkäufer der Lösung dieselbe Firma sind.

Alle drei Annahmen halten der Praxis nicht stand. Gehen wir sie durch — in umgekehrter Reihenfolge, denn die dritte ist die grundsätzlichste.

Wer prüft, darf nicht am Befund verdienen

Es gibt einen Grund, warum die Werkstatt, die dein Auto repariert, nicht gleichzeitig die Hauptuntersuchung abnehmen darf. Es gibt einen Grund, warum das Handelsrecht die Unabhängigkeit des Abschlussprüfers regelt (§ 319 HGB) und warum Prüfung und Beratung bei börsennotierten Unternehmen getrennt gehören — eine Lehre, die nach jedem großen Bilanzskandal aufs Neue gezogen wird. Und es gibt einen Grund, warum du eine ärztliche Zweitmeinung nicht beim Chirurgen einholst, der die Operation verkaufen will. Das Prinzip ist immer dasselbe: Wer am Ergebnis einer Prüfung wirtschaftlich hängt, prüft nicht mehr frei. Das muss keine böse Absicht sein — es reicht die strukturelle Schieflage.

Übertragen auf DSGVO-Tools heißt das: Ein Scanner, dessen Hersteller ein eigenes Cookie-Banner verkauft, hat zwei eingebaute Verzerrungen, ganz gleich, wie redlich das Team dahinter arbeitet.

Befunde, die das eigene Banner löst, werden laut. Befunde, die es nicht löst, bleiben leise. Ein Tracker, der vor dem Consent feuert? Großes rotes Banner, denn dafür gibt es ein Produkt. Ein fehlender AV-Vertrag mit dem Newsletter-Anbieter, ein unvollständiges Impressum, ein Verarbeitungsverzeichnis, das seit zwei Jahren niemand angefasst hat? Dafür verkauft der Banner-Anbieter nichts — also taucht es in seiner Welt bestenfalls am Rand auf. Das Prüfraster folgt dem Produktkatalog, nicht der Rechtslage.
Das eigene Banner fällt nie durch. Ein ehrliches Banner-Audit prüft Dinge wie: Ist „Ablehnen" so prominent wie „Akzeptieren"? Gibt es Dark Patterns? Sind Checkboxen vorangekreuzt? Ist der Widerruf so einfach wie die Einwilligung (Art. 7 Abs. 3 DSGVO)? Stell dir den Prüfbericht vor, den ein Banner-Hersteller über sein eigenes Banner schreibt. Wird er die Standard-Konfiguration seines eigenen Produkts als Dark Pattern einstufen, wenn die Abschlussquote seiner Kunden davon abhängt? Die Frage beantwortet sich selbst.

Wir haben uns deshalb für die strukturelle Gegenposition entschieden: Complianty verdient keinen Cent daran, welches Consent-Tool auf einer Website läuft. Unser Scanner erkennt über 30 Consent-Management-Plattformen — Borlabs, Cookiebot, Usercentrics, Consentmanager, CCM19 samt seiner Whitelabel-Ableger, Complianz, Klaro und viele mehr — und behandelt sie alle gleich. Ein bestandenes Audit bei Borlabs freut uns exakt so sehr wie eines bei Usercentrics. Wenn unser Banner-Audit bei einem ambivalenten Fall nicht sicher ist, sagt es „manuelle Prüfung nötig" statt ein gefälliges Grün zu zeigen. Diese Ehrlichkeit kostet uns nichts — genau das ist der Punkt. Sie ist nur möglich, weil wir kein Banner im Regal haben.

Die Vorstellung, ein (auch technisch blockierendes) Cookie-Banner sei „die Behebung", scheitert bereits an der Empirie. Wir scannen laufend deutsche Websites quer durch alle Branchen — Stand Juni 2026 liegen Ergebnisse für weit über 100.000 .de-Domains vor, gewertet wird jeweils der jüngste Scan pro Website. Die Messung:

40,5 %

der Websites mit Consent-Banner verstoßen trotzdem

53,9 %

aller Verstöße passieren auf Websites, die ein Banner haben

100.000+

Gescannte .de-Domains
Stand Juni 2026

Vier von zehn Websites, die ein Consent-Banner installiert haben, tracken trotzdem vor der Einwilligung — und mehr als die Hälfte aller Verstöße, die wir finden, passiert nicht auf Seiten ohne Banner, sondern auf Seiten mit Banner. Das ist keine Anomalie unseres Korpus, sondern der Normalfall, und er hat nachvollziehbare technische Gründe. Ein Cookie-Banner — auch ein gutes, auch ein „blockierendes" — blockt nämlich genau das, was man ihm beigebracht hat. Nicht mehr. Die typischen Wege, auf denen Tracking am Banner vorbeiläuft:

Hartkodierte Skripte im Theme oder in Plugins. Das Analytics-Snippet, das ein Entwickler 2021 direkt ins Template geschrieben hat, fragt kein Banner um Erlaubnis — egal, welches Banner installiert ist.
Tag-Manager-Container ohne Consent-Verknüpfung. Im Google Tag Manager feuern Tags, deren Trigger nie mit dem Consent-Status verdrahtet wurden. Das Banner zeigt brav seine Kategorien — der Container ignoriert sie.
Embeds und Drittinhalte. Das YouTube-Video, die Google-Maps-Karte, die extern geladene Schriftart: alles Verbindungen zu Drittservern, die je nach Einbindung vor jeder Interaktion aufgebaut werden — oft in den ersten Millisekunden des Seitenaufbaus.
Falsch kategorisierte Dienste. Der Tracking-Dienst, der im Banner als „technisch notwendig" eingetragen wurde — aus Versehen oder Bequemlichkeit — lädt immer, Einwilligung hin oder her.
First-Party- und server-side Setups. Geproxiete oder selbst gehostete Tools laufen über die eigene Domain. Ein Banner, das auf bekannte Drittanbieter-Domains achtet, sieht sie schlicht nicht.
Drift. Der gefährlichste Fall, weil er nach der sauberen Einrichtung passiert: Ein Plugin-Update bringt ein neues Skript mit, ein Kollege ergänzt ein Conversion-Pixel, ein Theme-Wechsel wirft die Consent-Verknüpfung weg. Die Website war konform — am Tag der Abnahme.

Jetzt die entscheidende Beobachtung: Keinen einzigen dieser Fälle behebt der Wechsel auf ein anderes Banner. Wer von Banner A auf Banner B migriert, hat danach dieselben hartkodierten Skripte, dieselben unverdrahteten Tag-Manager-Trigger, dieselben Embeds — nur eben hinter einem anderen Banner. Die eigentliche Behebung ist Integrationsarbeit im Stack des Kunden: Skripte finden, Trigger verdrahten, Embeds in Zwei-Klick-Lösungen überführen, Kategorien korrigieren. Diese Arbeit kann dir kein Banner-Hersteller abnehmen, denn sie findet nicht im Banner statt, sondern im Theme, im Plugin, im Tag Manager. Und weil sie mit jedem Update aufs Neue driftet, ist Konformität kein Zustand, den man einmal kauft, sondern ein Prozess, den man überwacht. Genau dafür gibt es kontinuierliches Monitoring mit nachvollziehbaren Beweis-Snapshots — nicht als Ersatz für die Behebung, sondern als das Werkzeug, das die Behebung überhaupt erst zielgenau und dauerhaft macht.

Annahme 2 zerlegt: Agenturen haben nicht ein CMP — sie haben zehn

Die zweite stille Annahme des Komplettpakets: Der Umstieg auf das hauseigene Banner sei eine Kleinigkeit. Für eine einzelne, frisch gebaute Website mag das stimmen. Die Realität einer Agentur mit Bestand sieht anders aus: Der WordPress-Kunde läuft mit Borlabs, der Shop mit der Shopsystem-eigenen Lösung, zwei Corporate-Sites mit Cookiebot, der Verein mit einem CCM19-Whitelabel, das niemand mehr als solches erkennt, drei ältere Projekte mit Complianz — und bei zwei Neukunden hat der Vorgänger Usercentrics hinterlassen. Das ist kein konstruiertes Beispiel: Unser Scanner unterscheidet über 30 Consent-Management-Plattformen, weil draußen schlicht über 30 im Einsatz sind.

„Lösung im selben Stack" heißt für diesen Bestand: Rip-and-Replace, multipliziert mit der Zahl der Mandanten. Bei jedem einzelnen Kunden das vorhandene CMP entfernen, das neue einbauen, sämtliche Dienste neu kategorisieren, das Styling an die Marke anpassen, die Consent-Verknüpfungen neu testen, den Kunden informieren und den Aufwand abrechnen. Wer zwanzig Mandanten betreut, kauft mit dem Komplettpaket ein zwanzigfaches Migrationsprojekt — und handelt sich anschließend eine Abhängigkeit ein, die selten mitgedacht wird: Wenn Prüfung und Banner aus einer Hand kommen, kannst du den Prüfer nicht mehr wechseln, ohne das Banner zu wechseln. Und das Banner nicht ohne den Prüfer. Aus „ein Tool statt zwei" wird „ein Ausgang statt zwei".

Unsere Antwort darauf ist CMP-Neutralität als Arbeitsprinzip: Complianty prüft das Banner, das da ist — erkennt es, klickt es, misst davor und danach, auditiert seine Rechtskonformität. Kein Mandant muss migrieren, damit die Prüfung funktioniert. Und wo tatsächlich ein neues CMP gebraucht wird (etwa weil gar keines da ist), empfehlen wir aktiv eines — nämlich das, das zum Stack des Kunden passt: Borlabs für die WordPress-Agentur, Cookiebot oder Usercentrics für Enterprise-Anforderungen, CCM19 für Preisbewusste. Wir können diese Empfehlung ohne Hintergedanken aussprechen, weil bei uns keine Provision und kein Produktinteresse dranhängt. Auch das ist eine Form von „Lösen" — nur eben eine, bei der die Agentur die Wahl behält.

Was „Lösen" im Agentur-Alltag wirklich heißt

Bleibt der Kern des Framings: Ein Monitoring melde nur, behoben werde anderswo. Das unterschätzt, was zwischen „Alarm" und „erledigt" tatsächlich passiert — und wer es tut. Der reale Workflow einer Agentur, die einen Consent-Verstoß sauber abräumt, sieht so aus:

1. Befund mit Beweis. Nicht „irgendwas ist rot", sondern: welcher Request, an welchen Host, wie viele Millisekunden vor dem Consent-Klick, auf welcher Unterseite — als eingefrorener Beweis-Snapshot, den man dem Kunden und im Zweifel der Aufsichtsbehörde zeigen kann.
2. Priorisierung. Ein Pre-Consent-Tracker ist kritisch. Ein fehlender AV-Vertrag auch. Eine Banner-Sprache, die nicht zur Seitensprache passt, ist ein Hinweis. Wer dreißig Websites betreut, braucht diese Sortierung, sonst regiert das Bauchgefühl.
3. Behebung im bestehenden Stack — durch die Agentur. Das GTM-Tag verdrahten, das hartkodierte Skript hinter die Einwilligung legen, das Embed kapseln. Diese Arbeit macht die Agentur, denn sie kennt Theme, Plugins und Deployment. Kein Tool-Anbieter nimmt sie ihr ab — auch keiner, der das Gegenteil verspricht.
4. Re-Scan als Nachweis. Nach dem Fix zeigt der nächste Scan: Der Request ist weg. Erst jetzt ist „gelöst" — belegt durch eine unabhängige Messung, nicht durch die Selbstauskunft des Tools, das die Lösung verkauft hat.
5. Dokumentation, die mitzieht. Der neue Dienst gehört ins Verarbeitungsverzeichnis (Art. 30 DSGVO), die Datenschutzerklärung muss ihn nennen, der AV-Vertrag muss existieren. Bei Complianty wird das VVT aus den erkannten Tools erzeugt, die Datenschutzerklärung daraus generiert und nach jedem Scan auf Konsistenz geprüft — weicht sie vom tatsächlichen Befund ab, entsteht automatisch ein To-Do. Die Erklärung wächst also mit der Website mit, statt in einem PDF-Friedhof zu altern.

Schritt 5 ist auch der, an dem die Rechenschaftspflicht hängt: Art. 5 Abs. 2 DSGVO verlangt, die Einhaltung der Grundsätze nachweisen zu können. Im Streitfall — Abmahnung, Beschwerde, Anfrage der Aufsichtsbehörde — ist ein lückenloser, datierter Prüfpfad aus unabhängiger Quelle bares Geld wert. Ein „alles grün", ausgestellt von der Firma, die dir das Banner verkauft hat, ist dagegen genau das, wonach es klingt: eine Eigenbescheinigung.

Wann ein Alles-aus-einer-Hand-Paket trotzdem passt

Der Fairness halber: Es gibt Konstellationen, in denen ein gebündelter Stack aus Banner, Datenschutztext und Scanner pragmatisch ist. Wer als Freelancer auf der grünen Wiese startet, eine Handvoll gleichartiger Websites betreut und noch kein CMP im Bestand hat, spart mit einem Bündel echte Einrichtungszeit — und ein integriertes Banner, das von Tag eins korrekt verdrahtet ist, ist allemal besser als gar keines. Das erkennen wir an, ohne Bauchschmerzen.

Nur zwei Dinge sollte man dabei wissen. Erstens: Die Rechnung kippt mit der Heterogenität. Sobald Mandanten mit bestehenden CMPs dazukommen, wird aus dem bequemen Bündel ein Migrationszwang pro Neukunde. Zweitens: Auch das beste Bündel beantwortet eine Frage strukturell nicht — wer prüft das Bündel? Die Einwilligung, die das integrierte Banner einsammelt, die Erklärung, die die integrierte KI schreibt, das Grün, das der integrierte Scanner zeigt: Es prüft sich am Ende alles selbst. Das Vier-Augen-Prinzip ist im Datenschutz keine Pedanterie, sondern der Grund, warum Prüfberichte überhaupt etwas bedeuten.

Prüfen und Heilen gehören getrennt

Dass Complianty kein Cookie-Banner verkauft, ist also keine Lücke im Funktionsumfang, sondern die Architektur der Glaubwürdigkeit: Wir erkennen über 30 CMPs und bevorzugen keines. Wir auditieren Banner auf Ablehnen-Prominenz, Dark Patterns und Widerrufbarkeit, ohne dass ein eigenes Produkt im Ergebnis gut aussehen muss. Wir sagen „manuelle Prüfung nötig", wo andere ein verkaufsförderndes Grün zeigen würden. Und wir messen nach der Behebung unabhängig nach, statt uns selbst zu bescheinigen, dass unsere eigene Lösung funktioniert.

Ein Alert behebt keinen Verstoß — das stimmt. Aber ein gekauftes Banner eben auch nicht, wie zehntausende .de-Domains zeigen, die trotz Banner vor der Einwilligung tracken. Was Verstöße behebt, ist die Arbeit der Agentur im Stack ihres Kunden: gezielt, belegt, nachgemessen. Unsere Aufgabe ist, diese Arbeit so präzise, so beweisbar und so dauerhaft wie möglich zu machen — als unabhängige Instanz, die am Befund nichts verdient. Denn das Ziel ist nicht, mehr Verstöße zu finden oder mehr Produkte zu verkaufen. Das Ziel ist, dass du dem grünen Häkchen vertrauen kannst.