Über 20 technische Checks in vier Kategorien, alle direkt aus dem HTML, Cookies und Netzwerk-Requests einer öffentlich erreichbaren URL. Geprüft werden bis zu drei repräsentative Seiten (Startseite plus je eine Inhalts- und Formularseite, sofern auffindbar), nicht die komplette Website. Mit aktiviertem Tiefen-Scan wird zusätzlich das Cookie-Banner automatisch bedient und der Accept- mit dem Reject-Zustand verglichen. Kein Login, kein Tracking-Code auf eurer Seite. Tracking-Kern: Analytics-Tag, dataLayer, Tag Manager, Server-Side Tracking, Server-Side Event APIs (Meta CAPI, TikTok, LinkedIn, Enhanced Conversions) Consent & Privacy: Consent Mode V2, IAB TCF v2.2, Cookie-Banner-Erkennung, Pre-Consent-Cookies & -Scripts, 3rd-Party-Cookies Performance & UX: Tracking-Payload, Third-Party-Scripts, Privacy Sandbox (Core Web Vitals + Lighthouse-Audit sind Teil des Audit Sprints, nicht des kostenlosen Scans) Security & Bots: HTTPS, Security Headers (HSTS, CSP, XFO), Meta-Tags, JSON-LD, robots.txt, AI-Bot-Policy, llms.txt

Was ist der Tiefen-Scan?

Optionaler Modus (Checkbox vor dem Scan, ca. 15 Sekunden). Wir öffnen die Seite in einem echten Browser, bedienen das Cookie-Banner automatisch und vergleichen zwei Zustände: nach „Alle akzeptieren" und nach „Alle ablehnen". Daraus entstehen drei Befunde: ob „Ablehnen" wirklich respektiert wird (der häufigste DSGVO-Befund bei Aufsichtsbehörden), ob „Akzeptieren" die Messung aktiviert und ob nach dem Opt-in ein gtag-Consent-Update feuert. Voraussetzung ist ein bedienbares Cookie-Banner, sonst meldet das Tool „Consent-Simulation nicht möglich".

Kann ich den Befund teilen?

Ja. „Link kopieren" erzeugt einen stabilen Permalink mit Social-Vorschaubild, der 30 Tage abrufbar ist. „Als PDF speichern" liefert einen Ausdruck, „Als Ticket kopieren" einen Markdown-Block pro Befund für Jira, Linear oder GitHub, und „Einbetten" ein Health-Score-Badge zum Einbinden.

Welche Analytics-Tools werden geprüft?

GA4, GTM, Plausible (erkannt aber nicht im Detail geprüft), Matomo / Piwik PRO (erkannt). Server-Side Tracking (sGTM, stape.io, Custom-Endpoints) sehen wir nur indirekt, siehe Hinweis „Was dieses Tool nicht sieht" im Befund.

Was bedeutet ein roter Check?

Rot heißt: der Check ist negativ ausgefallen, z. B. kein Analytics-Tag gefunden, Consent Mode V2 fehlt, Pre-Consent-Cookies werden gesetzt. Ein roter Check ist noch kein Compliance-Verstoß, aber ein konkreter Punkt für die Setup-Review.

Warum ist das Tool kostenlos?

Weil ein ehrlicher Schnell-Check zeigt, ob es sich lohnt, tiefer zu schauen. Wenn drei oder mehr Checks rot sind, ist ein richtiger Audit das nächste Gespräch. Wenn alles grün ist, brauchst du uns nicht, und das sagen wir dann auch so.

Was sieht dieses Tool nicht?

Aus dem HTML, Cookies und Netzwerk-Requests einer öffentlichen Seite können wir Folgendes nicht erkennen: Server-Side Tracking (sGTM, Stape, eigene Endpoints) Conversion APIs (Meta CAPI, Google Enhanced Conversions, TikTok Events API) Alles hinter dem Browser. BigQuery-Export, dbt-Modelle, CDPs, Data-Warehouses Cookielose Tools ohne erkennbare DOM-Selektoren (Fathom, Pirsch, bestimmte Plausible-Setups)

Werden meine URLs gespeichert?

Der Scan selbst speichert keine personenbezogenen Daten. Damit ein Befund teilbar bleibt (Permalink, Social-Vorschaubild, Embed-Badge), legen wir das Ergebnis 30 Tage in der EU ab: geprüfte Domain, Score und die Befunde, sonst nichts. Danach löscht es sich automatisch. Wer den Befund zusätzlich per E-Mail anfordert, kommt in unsere EU-gehostete Lead-Liste (Listmonk, datensparsam).

Was sind Pre-Consent-Cookies und warum sind sie ein Problem?

Pre-Consent-Cookies werden gesetzt, bevor der Nutzer dem Cookie-Banner zugestimmt hat. Nach DSGVO und TTDSG sind sie nur erlaubt, wenn sie technisch notwendig sind. Analytics-, Marketing- oder Personalisierungs-Cookies fallen nicht darunter. Sie sind die häufigste Ursache für CMP-Beschwerden bei den Aufsichtsbehörden.

Reicht das Tool als Audit-Ersatz?

Nein. Über 20 Checks vs 60+ in einem echten Audit. Das Tool ist ein Frühwarnsystem, kein Compliance-Nachweis. Wenn mehrere Checks rot oder gelb sind, ist ein richtiger Audit das nächste Gespräch.

Was kostet ein Audit Sprint?

2.400 € netto Festpreis, 10 Arbeitstage, priorisierter Handlungsplan inklusive Server-Side, Data-Pipelines und Datenqualität. Mehr unter Audit Sprint anfragen.

Tool

Measurement Health Check

Eine URL. Ein Scan. Messung und Privacy in einem Befund. Über 20 Checks zu GA4, Consent Mode V2, Pre-Consent-Cookies, Performance und Security, kostenlos, ohne Account.

Zum Ausprobieren

20+ Checks in < 20 s
GA4, Consent Mode V2, Pre-Consent-Cookies, Security Headers, direkt aus HTML, Cookies, Netzwerk-Requests.
Kostenlos · ohne Account
Keine Newsletter-Wand, kein Tracking-Pixel auf Ihrer Seite. Eine URL rein, Befund raus.
EU-gehostet · cookiefrei
Scan läuft serverseitig in Falkenstein, Ergebnis im Browser. Ihre URL wird nicht gespeichert.

015 Checks

Tracking-Kern

GA4, GTM, dataLayer, Server-Side …

033 Checks

Performance & UX

Tracking-Payload, 3rd-Party-Scripts, Privacy Sandbox …

047 Checks

Security & Bots

HTTPS, Security Headers, robots.txt, AI-Bot-Policy …

Q01
Was prüft das Tool?
Über 20 technische Checks in vier Kategorien, alle direkt aus dem HTML, Cookies und Netzwerk-Requests einer öffentlich erreichbaren URL. Geprüft werden bis zu drei repräsentative Seiten (Startseite plus je eine Inhalts- und Formularseite, sofern auffindbar), nicht die komplette Website. Mit aktiviertem Tiefen-Scan wird zusätzlich das Cookie-Banner automatisch bedient und der Accept- mit dem Reject-Zustand verglichen. Kein Login, kein Tracking-Code auf eurer Seite.
- Tracking-Kern: Analytics-Tag, dataLayer, Tag Manager, Server-Side Tracking, Server-Side Event APIs (Meta CAPI, TikTok, LinkedIn, Enhanced Conversions)
- Consent & Privacy: Consent Mode V2, IAB TCF v2.2, Cookie-Banner-Erkennung, Pre-Consent-Cookies & -Scripts, 3rd-Party-Cookies
- Performance & UX: Tracking-Payload, Third-Party-Scripts, Privacy Sandbox (Core Web Vitals + Lighthouse-Audit sind Teil des Audit Sprints, nicht des kostenlosen Scans)
- Security & Bots: HTTPS, Security Headers (HSTS, CSP, XFO), Meta-Tags, JSON-LD, robots.txt, AI-Bot-Policy, llms.txt
Q02
Was ist der Tiefen-Scan?

Optionaler Modus (Checkbox vor dem Scan, ca. 15 Sekunden). Wir öffnen die Seite in einem echten Browser, bedienen das Cookie-Banner automatisch und vergleichen zwei Zustände: nach „Alle akzeptieren" und nach „Alle ablehnen". Daraus entstehen drei Befunde: ob „Ablehnen" wirklich respektiert wird (der häufigste DSGVO-Befund bei Aufsichtsbehörden), ob „Akzeptieren" die Messung aktiviert und ob nach dem Opt-in ein gtag-Consent-Update feuert. Voraussetzung ist ein bedienbares Cookie-Banner, sonst meldet das Tool „Consent-Simulation nicht möglich".
Q03
Kann ich den Befund teilen?

Ja. „Link kopieren" erzeugt einen stabilen Permalink mit Social-Vorschaubild, der 30 Tage abrufbar ist. „Als PDF speichern" liefert einen Ausdruck, „Als Ticket kopieren" einen Markdown-Block pro Befund für Jira, Linear oder GitHub, und „Einbetten" ein Health-Score-Badge zum Einbinden.
Q04
Welche Analytics-Tools werden geprüft?

GA4, GTM, Plausible (erkannt aber nicht im Detail geprüft), Matomo / Piwik PRO (erkannt). Server-Side Tracking (sGTM, stape.io, Custom-Endpoints) sehen wir nur indirekt, siehe Hinweis „Was dieses Tool nicht sieht" im Befund.
Q05
Was bedeutet ein roter Check?

Rot heißt: der Check ist negativ ausgefallen, z. B. kein Analytics-Tag gefunden, Consent Mode V2 fehlt, Pre-Consent-Cookies werden gesetzt. Ein roter Check ist noch kein Compliance-Verstoß, aber ein konkreter Punkt für die Setup-Review.
Q06
Warum ist das Tool kostenlos?

Weil ein ehrlicher Schnell-Check zeigt, ob es sich lohnt, tiefer zu schauen. Wenn drei oder mehr Checks rot sind, ist ein richtiger Audit das nächste Gespräch. Wenn alles grün ist, brauchst du uns nicht, und das sagen wir dann auch so.
Q07
Was sieht dieses Tool nicht?
Aus dem HTML, Cookies und Netzwerk-Requests einer öffentlichen Seite können wir Folgendes nicht erkennen:
- Server-Side Tracking (sGTM, Stape, eigene Endpoints)
- Conversion APIs (Meta CAPI, Google Enhanced Conversions, TikTok Events API)
- Alles hinter dem Browser. BigQuery-Export, dbt-Modelle, CDPs, Data-Warehouses
- Cookielose Tools ohne erkennbare DOM-Selektoren (Fathom, Pirsch, bestimmte Plausible-Setups)
Q08
Werden meine URLs gespeichert?

Der Scan selbst speichert keine personenbezogenen Daten. Damit ein Befund teilbar bleibt (Permalink, Social-Vorschaubild, Embed-Badge), legen wir das Ergebnis 30 Tage in der EU ab: geprüfte Domain, Score und die Befunde, sonst nichts. Danach löscht es sich automatisch. Wer den Befund zusätzlich per E-Mail anfordert, kommt in unsere EU-gehostete Lead-Liste (Listmonk, datensparsam).
Q09
Was sind Pre-Consent-Cookies und warum sind sie ein Problem?

Pre-Consent-Cookies werden gesetzt, bevor der Nutzer dem Cookie-Banner zugestimmt hat. Nach DSGVO und TTDSG sind sie nur erlaubt, wenn sie technisch notwendig sind. Analytics-, Marketing- oder Personalisierungs-Cookies fallen nicht darunter. Sie sind die häufigste Ursache für CMP-Beschwerden bei den Aufsichtsbehörden.
Q10
Reicht das Tool als Audit-Ersatz?

Nein. Über 20 Checks vs 60+ in einem echten Audit. Das Tool ist ein Frühwarnsystem, kein Compliance-Nachweis. Wenn mehrere Checks rot oder gelb sind, ist ein richtiger Audit das nächste Gespräch.
Q11
Was kostet ein Audit Sprint?

2.400 € netto Festpreis, 10 Arbeitstage, priorisierter Handlungsplan inklusive Server-Side, Data-Pipelines und Datenqualität. Mehr unter Audit Sprint anfragen.