816013 websites geanalyseerd

EU-rapport privacy & cookienaleving

Gegevensoverdrachten vóór toestemming, cookietoestemming en CMP-adoptie op 816013 EU-websites — gemeten, niet geschat.

45%

Cookiebanner gedetecteerd

21%

Weigeroptie beschikbaar

16%

Hoog-risico vóór toestemming

55%

Hosting met EU-hoofdkantoor

In dit rapport

Cookie-compliance CMP Market Share Pre-Consent Transfers Data Residency & Schrems II

Cookie-compliance

702465 websites gescand · ePrivacy / TTDSG

Cookie consent requires a valid legal basis under ePrivacy Directive 2002/58/EC Art. 5(3) and GDPR Art. 6/7. In Germany, TTDSG § 25 transposes these requirements. A compliant banner must offer equally prominent accept and reject options, and no tracking cookies may be set before consent.

45%

Banner detected

21%

Reject option

Consent withdraw

11%

Google Consent Mode

11%

GCM v2 compliant

11%

GCM default denied

IAB TCF detected

TCF preset consent

Google Consent Mode Analysis

Of sites using Google Consent Mode, 93% have upgraded to v2 (mandatory since March 2024). GCM v2 with default 'denied' is Google's recommended approach for GDPR-aligned use of Analytics and Ads — tags defer data collection until user consent.

11%

use GCM

93%

of those: v2

11%

default denied

Note: GCM controls tag behavior but not resource loading. The gtag.js script itself still transfers the user's IP address. For full Art. 44 compliance, use server-side GTM on a first-party domain.

2.2

Avg cookies / site

1.1

Avg third-party scripts

2.2

Avg pre-consent

4.7

Avg issues

CMP Market Share

20719 sites with detected CMP

Consent Management Platforms (CMPs) implement the cookie consent requirements of ePrivacy Directive 2002/58/EC and GDPR. A CMP's quality directly affects legal compliance — misconfigured banners are a leading cause of GDPR enforcement actions.

Consent Management Platform distribution across 20719 sites with detected CMP

Complianz

34.1% (7063)

Cookiebot

27.2% (5637)

OneTrust

9.5% (1969)

CookieScript

6.7% (1382)

Funding Choices

3.6% (755)

Didomi

3.2% (658)

Klaro

2.9% (603)

Automattic, Inc.

2.5% (526)

iubenda

2.0% (424)

TCF CMP #258

1.7% (344)

Consentmanager

1.3% (271)

Usercentrics

1.3% (270)

SIRDATA

1.0% (217)

AppConsent by SFBX®

1.0% (213)

TCF CMP #2

0.6% (117)

TCF CMP #NaN

0.3% (68)

TCF CMP #5

0.3% (55)

CookieYes Limited

0.3% (53)

TCF CMP #401

0.2% (47)

TCF CMP #7

0.2% (47)

Data Residency & Schrems II

855847 sites with hosting data

GDPR Art. 28 requires processor agreements specifying data location. Art. 44-49 govern international transfers — the CLOUD Act gives US authorities access to data held by US companies regardless of server location. Schrems II (CJEU C-311/18) invalidated Privacy Shield and requires supplementary measures for US transfers.

73%

Hosted in EU/EEA

27%

Hosted outside EU

59%

Hosted domestically

Top hosting countries

29.6%

20.6%

9.8%

6.3%

4.5%

3.7%

2.3%

2.2%

Top hosting providers

CLOUDFLARENET - Cloudflare, Inc. 77835 9.1%

IONOS-AS This is the joint network for IONOS, Fasthosts, Arsys, 1&1 Mail and Media and 1&1 Telecom. Formerly known as 1&1 Internet SE. 65088 7.6%

AMAZON-02 - Amazon.com, Inc. 51317 6.0%

HETZNER-AS 49870 5.8%

OVH 45060 5.3%

STRATO STRATO AG 28534 3.3%

WIX_COM 26550 3.1%

NMM-AS D - 02742 Friedersdorf Hauptstrasse 68 21356 2.5%

GOOGLE-CLOUD-PLATFORM - Google LLC 21217 2.5%

GOOGLE - Google LLC 16405 1.9%

Company headquarters

55%

Provider met hoofdkantoor in de EU

45%

Niet-EU-provider (CLOUD Act / Schrems II)

Cloudflare (US) 85062 9.9%

IONOS (1&1) (DE) 65088 7.6%

Amazon Web Services (US) 55268 6.5%

Hetzner (DE) 50058 5.8%

OVHcloud (FR) 45061 5.3%

Google Cloud (US) 37622 4.4%

Strato (DE) 28540 3.3%

Wix (IL) 26547 3.1%

Aruba S.p.A. (IT) 14326 1.7%

GoDaddy (US) 12780 1.5%

Serverlocatie via IP-geolocatie (MaxMind GeoLite2). Hoofdkantoor uit ASN-register. Een site kan fysiek in de EU gehost worden maar een Amerikaanse provider gebruiken die onderworpen is aan de CLOUD Act — volgens Schrems II (CJEU C-311/18) vereist dit SCCs met aanvullende maatregelen. · GDPR Art. 44-49

Methodologie

Hoe deze gegevens zijn verzameld en wat ze vertegenwoordigen.

Alle gegevens worden verzameld via geautomatiseerde, niet-intrusieve scans van publiek toegankelijke websites. Er worden geen inloggegevens gebruikt, geen formulieren ingediend en geen privegegevens benaderd.

Cookietoestemmingsmechanismen worden getest met een headless browser (Playwright). We laden elke site zonder interactie met een toestemmingsbanner en registreren alle gezette cookies, uitgevoerde verzoeken naar derden en geladen resources vóór enige gebruikersinteractie — zo leggen we de toestand vóór toestemming vast.

CMP-detectie identificeert het gebruikte Consent Management Platform (bijv. Cookiebot, OneTrust, Usercentrics) via scripthandtekeningen, DOM-elementen en API-endpoints. Ondersteuning voor Google Consent Mode en het IAB TCF-framework wordt gedetecteerd via JavaScript-API-probing.

Gegevensoverdrachten vóór toestemming worden geclassificeerd op risiconiveau op basis van de jurisdictie van het ontvangende bedrijf, de reikwijdte van de gegevensverwerking en of er een in de EU gevestigd alternatief bestaat. Overdrachten met hoog risico betreffen in de VS gevestigde diensten zonder passende waarborgen.

Hostinggegevens worden bepaald via IP-geolocatie (MaxMind GeoLite2) voor serverlocatie en ASN-registeropzoekingen voor het hoofdkantoor van het providerbedrijf.

Er worden geen individuele websites genoemd. Alle statistieken zijn geaggregeerd en geanonimiseerd. Regelgevingsverwijzingen tonen welke vereisten betrekking hebben op elke bevinding — ze beweren geen niet-naleving van een specifieke organisatie.

Waar staat jouw website?

Voer een gratis privacyscan uit en zie hoe je cookietoestemming, overdrachten vóór toestemming en hostingnaleving zich verhouden — in 30 seconden, zonder account.

Scan nu uw website Volledig beveiligingsrapport

Gebaseerd op geautomatiseerde scans van 816013 Europese websites. Continu bijgewerkt.