Cookie-Banner-Checkliste für Webagenturen: 20 Punkte vor jedem Kunden-Launch
Launch-Tage sind Stresstage — und genau dann geht der Datenschutz am häufigsten unter. 20 Prüfpunkte für Webagenturen vor jedem Kunden-Launch: von der Banner-Pflicht über Script-Blocking bis zur sauberen Übergabe an den Kunden.

Der Launch-Tag einer Kundenwebsite ist selten entspannt: DNS umgestellt, letzte Inhalte eingepflegt, der Kunde wartet auf die Freigabe-Mail. Genau in diesem Stress geht der Datenschutz am häufigsten unter — der Cookie-Banner läuft noch mit der Staging-Konfiguration, die Datenschutzerklärung stammt vom letzten Projekt, und das Google-Maps-iframe lädt fröhlich vor jeder Einwilligung.
Rechtlich verantwortlich für die Konformität ist der Betreiber der Website, also Ihr Kunde. Aber seien wir ehrlich: Der Kunde hat die Website bei Ihnen in Auftrag gegeben, weil er sich genau um solche Dinge nicht kümmern will. Liefert die Agentur eine nicht konforme Website ab, drohen ihr zwar keine direkten Bussen — wohl aber vertragliche Haftungsfragen aus dem Werkvertrag, unangenehme Diskussionen und ein Reputationsschaden, der teurer ist als jede Checkliste. Deshalb hier: 20 Punkte, die Sie vor jedem Kunden-Launch abhaken sollten — aufgeteilt in vier Blöcke: rechtlich, technisch, organisatorisch und Übergabe.
Ein Hinweis zur Anwendung: Die Checkliste funktioniert am besten als fester Bestandteil Ihres Launch-Prozesses — als Vorlage im Projektmanagement-Tool, die bei jedem Kundenprojekt kopiert wird. Wer sie ad hoc aus dem Gedächtnis abarbeitet, vergisst erfahrungsgemäss genau die Punkte, die später Ärger machen.
Block 1 — Rechtliche Grundlagen (Punkte 1 bis 6)
Diese sechs Punkte gehören in die Projektphase, nicht in die Launch-Woche. Wer sie erst am Schluss prüft, entdeckt Lücken, wenn es am wenigsten passt.
1. Banner-Pflicht geprüft. Nicht jede Website braucht einen Einwilligungs-Banner: Setzt die Site nur technisch notwendige Cookies, genügt in der Schweiz ein transparenter Hinweis in der Datenschutzerklärung. Sobald Statistik- oder Marketing-Tools laufen, führt kein Weg am Banner vorbei. Die Entscheidungslogik mit allen Fällen finden Sie auf unserer Übersichtsseite zur Cookie-Banner-Pflicht — ein überflüssiger Banner nervt Besucher, ein fehlender ist ein Verstoss.
2. Datenschutzerklärung aktuell — und im Namen des Kunden. Der Klassiker unter den Copy-Paste-Fehlern: In der Datenschutzerklärung steht noch die Agentur als Verantwortliche — oder gleich der Kunde aus dem letzten Projekt. Die Erklärung muss den tatsächlichen Betreiber nennen und die tatsächlich eingesetzten Tools abbilden. Auskunftsbegehren richten sich an den dort genannten Verantwortlichen; steht der Falsche drin, ist das Dokument wertlos.
3. Impressum korrekt und vollständig. Firma, Rechtsform, Sitzadresse, Kontaktmöglichkeit — das Bundesgesetz gegen den unlauteren Wettbewerb verlangt bei Online-Angeboten eine klare Anbieterkennzeichnung. Es ist der am einfachsten prüfbare Punkt der ganzen Website: Konkurrenten und Konsumentenschützer sehen einen Fehler auf einen Blick. Was genau hineingehört, steht in unserem Artikel zur Impressumspflicht in der Schweiz.
4. Alle Sprachen der Zielgruppe abgedeckt. Zweisprachige Website, aber Rechtstexte nur auf Deutsch? Eine Einwilligung muss informiert sein — wer den Text nicht versteht, kann nicht gültig einwilligen. Banner und Datenschutzerklärung gehören in jede Sprachversion der Website, in der Westschweiz und im Tessin ist das keine Kür, sondern Grundvoraussetzung.
5. Anwendbarkeit der Datenschutz-Grundverordnung geprüft. «Schweizer Firma» heisst nicht «nur Schweizer Recht». Nach dem Marktortprinzip gilt die europäische Datenschutz-Grundverordnung mit, sobald sich das Angebot erkennbar an Personen in der EU richtet — Versand nach Deutschland, Euro-Preise, gezielte Werbung. Was das konkret bedeutet, erklärt unser Guide zur Datenschutz-Grundverordnung; für den Banner heisst es vor allem: strengere Einwilligungsanforderungen.
6. Auftragsverarbeitungsverträge geschlossen. Hosting, Newsletter-Tool, Cookie-Consent-Anbieter — sie alle bearbeiten Personendaten im Auftrag des Kunden, und dafür braucht es Verträge. Wichtig: Vertragspartner ist der Kunde als Verantwortlicher, nicht die Agentur. Wann ein Auftragsverarbeitungsvertrag Pflicht ist und was hineingehört, zeigt unser Artikel zum Auftragsverarbeitungsvertrag.
Block 2 — Technik (Punkte 7 bis 13)
Hier entscheidet sich, ob der Banner tatsächlich etwas bewirkt oder nur Dekoration ist. Alle sieben Punkte lassen sich in unter einer Stunde durchtesten.
7. Script-Blocking vor der Einwilligung getestet. Seite im privaten Fenster laden, Entwickler-Tools öffnen, Network-Tab beobachten — und nichts anklicken. Gehen Anfragen an Google Analytics, Meta oder andere Tracker raus, laden Skripte vor der Einwilligung, und der Banner ist wirkungslos. Dieser Test dauert fünf Minuten und deckt den schwerwiegendsten aller Fehler auf.
8. Google Consent Mode V2 aktiv. Wer Google Analytics oder Google Ads für Zielgruppen im Europäischen Wirtschaftsraum einsetzt, kommt am Consent Mode V2 nicht vorbei — ohne korrekte Consent-Signale schränkt Google Werbefunktionen wie Remarketing ein. Prüfen Sie, ob der Banner die Signale tatsächlich übergibt. Die Einrichtung erklärt unser Artikel zum Google Consent Mode V2 in der Schweiz.
9. iframes blockiert — mit Platzhalter. Google Maps, YouTube und Vimeo setzen Cookies, sobald das iframe lädt — noch bevor irgendjemand eingewilligt hat. Korrekt ist: Das iframe wird blockiert und durch einen Platzhalter mit «Inhalt aktivieren» ersetzt, der den Inhalt erst nach Klick lädt. Testen Sie gezielt die Seiten mit Karte und Videos, dort passieren die meisten Pannen.
10. Banner in allen Sprachen der Website. Punkt 4 gilt auch technisch: Der Banner muss der Sprache der jeweiligen Seite folgen. Ein deutscher Banner auf der französischen Seitenversion untergräbt die informierte Einwilligung — und wirkt auf Besucher schlicht unfertig.
11. Mobile Darstellung getestet. Auf echten Geräten, nicht nur in der Geräte-Emulation der Entwickler-Tools. Rund 60 Prozent der Schweizer Website-Zugriffe kommen vom Smartphone; ein Banner, der den Ablehnen-Button unter den sichtbaren Bereich schiebt oder sich nicht schliessen lässt, behindert die freie Wahl der Mehrheit Ihrer Besucher.
12. «Ablehnen» gleichwertig zu «Akzeptieren». Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte verlangt in seinem Leitfaden gleichwertige Wahlmöglichkeiten: gleiche Grösse, gleicher Kontrast, gleiche Ebene. Ein grauer Ablehnen-Textlink neben einem leuchtenden Akzeptieren-Button gilt als Dark Pattern — und ist der Fehler, der bei Prüfungen als Erstes auffällt. Die Sorge vor sinkenden Zustimmungsraten ist übrigens meist unbegründet: Faire Banner schaffen Vertrauen, und Vertrauen zahlt auf die Marke des Kunden ein.
13. Cookie-Scan nach dem Launch. Die Live-Umgebung unterscheidet sich fast immer vom Staging: andere Domain, zusätzliche Dienste, Caching, echte Werbe-Tags. Scannen Sie die Live-Site direkt nach dem Launch und gleichen Sie das Ergebnis mit der Banner-Konfiguration ab — mit unserem Website-Scanner geht das in wenigen Minuten.
Block 3 — Organisation (Punkte 14 bis 17)
Der Launch ist kein Endpunkt, sondern der Beginn des Betriebs. Diese vier Punkte verhindern, dass eine heute konforme Website in sechs Monaten stillschweigend aus der Konformität rutscht.
14. Einwilligungs-Protokoll aktiv. Die Beweislast für Einwilligungen liegt beim Verantwortlichen. Ohne Protokoll mit Zeitstempel, pseudonymer Kennung und gewählten Kategorien lässt sich im Streitfall keine einzige Einwilligung nachweisen — wer nichts dokumentiert, steht da, als hätte er nie gefragt. Prüfen Sie vor der Übergabe, ob das Protokoll tatsächlich Einträge schreibt.
15. Verantwortlichkeit schriftlich geklärt. Der Kunde ist Verantwortlicher, die Agentur je nach Setup Auftragsverarbeiterin. Halten Sie im Projektvertrag fest, wer die Rechtstexte pflegt, wer auf Anfragen betroffener Personen reagiert und wer den Banner betreut. Ungeklärte Zuständigkeiten fallen im Zweifel auf die Agentur zurück — genau das will man vertraglich ausschliessen.
16. Prozess für neue Tools und Pixel definiert. Drei Monate nach dem Launch bittet das Marketing des Kunden um ein neues Conversion-Pixel — und niemand denkt an den Banner. Vereinbaren Sie deshalb einen festen Ablauf: Jedes neue Tool durchläuft die Schritte Banner-Kategorie zuweisen, Datenschutzerklärung ergänzen, Vertrag mit dem Dienstleister prüfen. Ohne Prozess ist die schönste Launch-Konformität nach einem Quartal Geschichte.
17. Re-Scan-Rhythmus festgelegt. Websites verändern sich schleichend: Plugin-Updates bringen neue Cookies mit, Dienste ändern ihre Domains. Ein automatischer Scan pro Quartal — besser monatlich — deckt Abweichungen zwischen Realität und Banner-Konfiguration auf, bevor es ein Kunde, ein Konkurrent oder eine Behörde tut.
Block 4 — Übergabe (Punkte 18 bis 20)
Die beste Konfiguration nützt wenig, wenn der Kunde sie nicht versteht. Die letzten drei Punkte machen aus einem Projektabschluss eine saubere Übergabe.
18. Der Kunde kennt sein Dashboard. Zeigen Sie bei der Übergabe, wo Einwilligungs-Statistiken, Banner-Einstellungen und Scan-Berichte zu finden sind — eine halbe Stunde reicht. Ein Kunde, der sein eigenes Consent-Setup versteht, ruft nicht bei jeder Kleinigkeit die Agentur an und merkt selbst, wenn etwas nicht stimmt.
19. Pflegeprozess für Rechtstexte vereinbart. Neues Produkt, neuer Newsletter-Anbieter, plötzlich ein Onlineshop — jede Geschäftsänderung kann die Datenschutzerklärung betreffen. Klären Sie explizit: Meldet der Kunde Änderungen an die Agentur, oder pflegt er die Texte über einen Generator selbst? Beides funktioniert; nur die ungeklärte Variante funktioniert nicht.
20. Dokumentation übergeben. Welche Tools sind eingebunden, welche Cookie-Kategorien konfiguriert, welche Verträge geschlossen, wer hat worauf Zugriff. Das klingt nach Fleissarbeit, spart aber bei jeder Auskunftsanfrage, jedem Relaunch und jedem Personalwechsel Stunden. Und im Streitfall belegt die Dokumentation, dass die Agentur sauber gearbeitet hat — sie ist damit auch Ihr eigener Schutz.
Für Agenturen mit vielen Kunden
Bei einer einzelnen Website ist diese Checkliste in ein bis zwei Stunden durchgearbeitet. Bei dreissig Kundenwebsites wird sie zum Prozessproblem — niemand prüft 600 Punkte von Hand, und schon gar nicht jedes Quartal. Genau dafür ist Aiara gebaut: ein zentrales Dashboard für alle Kundendomains, automatische Scans mit Benachrichtigung bei Abweichungen, generierte und gepflegte Rechtstexte pro Kunde sowie eingebaute Einwilligungs-Protokolle. Agenturen erhalten Partnerkonditionen mit Rabattstufen und Sammelrechnung — die Details finden Sie unter Aiara für Agenturen.
Häufige Fragen
Haftet die Webagentur, wenn der Cookie-Banner des Kunden nicht konform ist?
Gegenüber den Behörden haftet der Betreiber der Website — er ist der Verantwortliche im Sinne des Datenschutzgesetzes. Die Agentur kann aber vertraglich haften: Wer eine Website als Werk abliefert, schuldet ein mangelfreies Werk, und dazu gehört je nach Vereinbarung auch die zugesicherte Rechtskonformität. Dazu kommt der Reputationsschaden, wenn ein Kunde wegen einer frisch gelieferten Website Post vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten erhält.
Braucht jede Kunden-Website einen Cookie-Banner?
Nein. Setzt eine Website nur technisch notwendige Cookies, reicht in der Schweiz eine transparente Datenschutzerklärung. Sobald Statistik-, Komfort- oder Marketing-Cookies gesetzt werden — und das ist bei den meisten Business-Websites der Fall —, braucht es eine echte Einwilligungslösung. Richtet sich das Angebot auch an Personen in der EU, führt an einem Banner ohnehin kein Weg vorbei.
Wie teste ich, ob Skripte vor der Einwilligung blockiert werden?
Website im privaten Fenster öffnen, Entwickler-Tools starten, Network-Tab wählen, Seite neu laden — und nichts anklicken. Erscheinen Anfragen an google-analytics.com, facebook.com oder andere Tracking-Domains, lädt etwas vor der Einwilligung. Zusätzlich lohnt der Blick unter Application → Cookies: Dort sieht man, welche Cookies bereits ohne Zutun gesetzt wurden.
Wie oft sollten Agenturen Kunden-Websites neu scannen?
Mindestens quartalsweise, besser monatlich — und zusätzlich nach jedem grösseren Update, Plugin-Wechsel oder neu integrierten Marketing-Tool. Websites verändern sich schleichend: Ein Plugin-Update bringt ein neues Cookie mit, das Marketing ergänzt ein Pixel, und schon stimmt die Banner-Konfiguration nicht mehr mit der Realität überein.
Was bietet Aiara Webagenturen konkret?
Ein zentrales Dashboard für alle Kundendomains, automatische Cookie-Scans mit Benachrichtigung bei Abweichungen, generierte Rechtstexte in vier Sprachen, eingebaute Einwilligungs-Protokolle und ein Partnerprogramm mit Rabattstufen und Sammelrechnung. Damit lassen sich die meisten Punkte dieser Checkliste automatisieren, statt sie pro Kunde von Hand abzuhaken.
Bereit für sauberen Cookie-Consent?
Aiara macht Cookie-Banner, Datenschutzerklärung und Impressum für Ihre Webseite — DSG- und DSGVO-konform.
Aiara entdeckenWeitere Beiträge

25. März 2026 · 4 Min. Lesezeit
7 Cookie-Banner-Fehler, die Schweizer KMU teuer kommen können

5. Juli 2026 · 8 Min. Lesezeit
Consent-Log: Wie lange muss ich Cookie-Einwilligungen aufbewahren?

3. Juli 2026 · 8 Min. Lesezeit