Zum Hauptinhalt springen
820107 analysierte Websites

EU-Bericht zu Datenschutz- und Cookie-Compliance

Datentransfers vor Einwilligung, Cookie-Einwilligung und CMP-Verbreitung auf 820107 EU-Websites — gemessen, nicht geschätzt.

44%

Cookie-Banner erkannt

20%

Ablehnen-Option verfügbar

16%

Hochrisiko vor Einwilligung

55%

Hosting mit EU-Hauptsitz

Cookie-Compliance

603327 gescannte Websites · ePrivacy / TTDSG

Cookie consent requires a valid legal basis under ePrivacy Directive 2002/58/EC Art. 5(3) and GDPR Art. 6/7. In Germany, TTDSG § 25 transposes these requirements. A compliant banner must offer equally prominent accept and reject options, and no tracking cookies may be set before consent.

44%

Banner detected

20%

Reject option

5%

Consent withdraw

11%

Google Consent Mode

11%

GCM v2 compliant

11%

GCM default denied

1%

IAB TCF detected

0%

TCF preset consent

Google Consent Mode Analysis

Of sites using Google Consent Mode, 92% have upgraded to v2 (mandatory since March 2024). GCM v2 with default 'denied' is Google's recommended approach for GDPR-aligned use of Analytics and Ads — tags defer data collection until user consent.

11%

use GCM

92%

of those: v2

11%

default denied

Note: GCM controls tag behavior but not resource loading. The gtag.js script itself still transfers the user's IP address. For full Art. 44 compliance, use server-side GTM on a first-party domain.

2.1

Avg cookies / site

1.1

Avg third-party scripts

2.1

Avg pre-consent

4.5

Avg issues

CMP Market Share

15798 sites with detected CMP

Consent Management Platforms (CMPs) implement the cookie consent requirements of ePrivacy Directive 2002/58/EC and GDPR. A CMP's quality directly affects legal compliance — misconfigured banners are a leading cause of GDPR enforcement actions.

Consent Management Platform distribution across 15798 sites with detected CMP

Complianz
31.4% (4967)
Cookiebot
24.9% (3941)
OneTrust
9.7% (1525)
CookieScript
6.5% (1022)
Didomi
4.0% (633)
Funding Choices
3.7% (592)
Klaro
3.0% (475)
Automattic, Inc.
3.0% (472)
TCF CMP #258
2.6% (411)
iubenda
2.5% (388)
Usercentrics
1.8% (287)
Consentmanager
1.6% (252)
AppConsent by SFBX®
1.3% (208)
SIRDATA
1.3% (205)
TCF CMP #2
0.8% (125)
TCF CMP #7
0.5% (73)
TCF CMP #5
0.4% (68)
TCF CMP #401
0.3% (54)
TCF CMP #123
0.3% (52)
CookieYes Limited
0.3% (48)

Data Residency & Schrems II

858237 sites with hosting data

GDPR Art. 28 requires processor agreements specifying data location. Art. 44-49 govern international transfers — the CLOUD Act gives US authorities access to data held by US companies regardless of server location. Schrems II (CJEU C-311/18) invalidated Privacy Shield and requires supplementary measures for US transfers.

73%

Hosted in EU/EEA

27%

Hosted outside EU

59%

Hosted domestically

Top hosting countries

DE
29.6%
US
20.7%
FR
9.8%
NL
6.3%
GB
4.5%
IT
3.7%
PL
3.7%
CH
2.3%
DK
2.3%
IE
2.2%

Top hosting providers

CLOUDFLARENET - Cloudflare, Inc. 79366 9.2%
IONOS-AS This is the joint network for IONOS, Fasthosts, Arsys, 1&1 Mail and Media and 1&1 Telecom. Formerly known as 1&1 Internet SE. 65077 7.6%
AMAZON-02 - Amazon.com, Inc. 51400 6.0%
HETZNER-AS 49846 5.8%
OVH 45031 5.2%
STRATO STRATO AG 28533 3.3%
WIX_COM 26530 3.1%
NMM-AS D - 02742 Friedersdorf Hauptstrasse 68 21354 2.5%
GOOGLE-CLOUD-PLATFORM - Google LLC 21245 2.5%
GOOGLE - Google LLC 16405 1.9%

Company headquarters

55%

Anbieter mit EU-Hauptsitz

45%

Nicht-EU-Anbieter (CLOUD Act / Schrems II)

Cloudflare (US) 86630 10.1%
IONOS (1&1) (DE) 65156 7.6%
Amazon Web Services (US) 55356 6.4%
Hetzner (DE) 50152 5.8%
OVHcloud (FR) 45100 5.3%
Google Cloud (US) 37650 4.4%
Strato (DE) 28556 3.3%
Wix (IL) 26586 3.1%
Aruba S.p.A. (IT) 14338 1.7%
GoDaddy (US) 12789 1.5%

Serverstandort über IP-Geolokalisierung (MaxMind GeoLite2). Firmensitz aus ASN-Registry. Eine Website kann physisch in der EU gehostet werden, aber einen US-Anbieter nutzen, der dem CLOUD Act unterliegt — gemäß Schrems II (CJEU C-311/18) erfordert dies SCCs mit ergänzenden Maßnahmen. · GDPR Art. 44-49

Methodik

Wie diese Daten erhoben wurden und was sie aussagen.

Alle Daten werden durch automatisierte, nicht-intrusive Scans öffentlich zugänglicher Websites erhoben. Es werden keine Zugangsdaten verwendet, keine Formulare abgesendet und keine privaten Daten abgerufen.

Cookie-Einwilligungsmechanismen werden mit einem Headless-Browser (Playwright) geprüft. Wir laden jede Website, ohne mit dem Einwilligungsbanner zu interagieren, und erfassen alle gesetzten Cookies, Drittanbieter-Requests und geladenen Ressourcen vor jeglicher Nutzerinteraktion — so wird der Zustand vor der Einwilligung erfasst.

Die CMP-Erkennung identifiziert die eingesetzte Consent-Management-Plattform (z. B. Cookiebot, OneTrust, Usercentrics) anhand von Skript-Signaturen, DOM-Elementen und API-Endpunkten. Unterstützung für Google Consent Mode und das IAB-TCF-Framework wird durch Prüfung der JavaScript-APIs erkannt.

Datentransfers vor Einwilligung werden nach Risikostufe klassifiziert — anhand der Jurisdiktion des empfangenden Unternehmens, des Umfangs der Datenverarbeitung und der Verfügbarkeit einer EU-Alternative. Hochrisiko-Transfers betreffen US-Dienste ohne angemessene Schutzmaßnahmen.

Hosting-Daten werden über IP-Geolokalisierung (MaxMind GeoLite2) für den Serverstandort und über ASN-Registry-Abfragen für den Firmensitz des Anbieters ermittelt.

Es werden keine einzelnen Websites genannt. Alle Statistiken sind aggregiert und anonymisiert. Regulatorische Verweise zeigen, welche Anforderungen sich auf jeden Befund beziehen — sie stellen keine Behauptung der Nichteinhaltung einer bestimmten Organisation dar.

Wo steht Ihre Website?

Führen Sie einen kostenlosen Datenschutz-Scan durch und sehen Sie, wie Ihre Cookie-Einwilligung, Transfers vor Einwilligung und Hosting-Compliance abschneiden — in 30 Sekunden, ohne Konto.

Basierend auf automatisierten Scans von 820107 europäischen Websites. Laufend aktualisiert.