Tracking vor Einwilligung: Warum Google Analytics ohne Consent ein Problem ist
Sie klicken auf eine Website und noch bevor der Cookie-Banner erscheint, hat Google Analytics bereits Ihre Daten erfasst. Was für viele Nutzer unsichtbar bleibt, ist ein klarer DSGVO-Verstoß – und betrifft erschreckend viele Websites. Wir erklären, warum Tracking vor der Einwilligung problematisch ist und wie Sie es vermeiden.
Was bedeutet „Tracking vor Consent"?
Von „Tracking vor Consent" spricht man, wenn Analyse- oder Marketing-Tools wie Google Analytics, Facebook Pixel oder Hotjar bereits beim Seitenaufruf geladen werden – also bevor der Nutzer im Cookie-Banner eine Einwilligung erteilt hat. Technisch geschieht das, wenn die entsprechenden JavaScript-Snippets direkt im HTML eingebunden sind, ohne durch ein Consent-Management-Tool (CMP) blockiert zu werden.
Warum ist das ein DSGVO-Verstoß?
Nach § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, ehemals TTDSG) ist die Speicherung von Informationen auf dem Endgerät des Nutzers oder der Zugriff darauf nur mit Einwilligung zulässig – es sei denn, sie ist technisch erforderlich. Google Analytics ist nicht technisch erforderlich, daher brauchen Sie eine aktive Einwilligung vor dem Setzen des Tracking-Cookies.
Zusätzlich greift Art. 6 Abs. 1 DSGVO: Die Verarbeitung personenbezogener Daten (hier: IP-Adresse, Browserinformationen, Nutzungsverhalten) bedarf einer Rechtsgrundlage. Für Analytics-Tracking ist das die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.
Wie häufig ist das Problem?
Unsere Analysen zeigen: Rund 38% der deutschen Websites, die Google Analytics einsetzen, laden das Tracking-Skript vor oder gleichzeitig mit dem Cookie-Banner. In vielen Fällen ist das kein bewusster Verstoß, sondern ein technisches Problem bei der Integration des Consent-Management-Tools.
- !Tag Manager falsch konfiguriert – Google Tag Manager feuert Tags standardmäßig sofort, wenn kein Consent-Trigger konfiguriert ist.
- !CMP-Ladezeit – Wenn das CMP langsamer lädt als das Analytics-Skript, werden Daten vor dem Consent erhoben.
- !Hardcodierte Snippets – Analytics-Code direkt im HTML statt über den Tag Manager eingebunden.
Welche Bußgelder drohen?
Die Bußgelder für Tracking ohne Einwilligung können empfindlich sein. Die französische Datenschutzbehörde CNIL hat bereits Bußgelder in Millionhöhe verhängt – unter anderem 150 Millionen Euro gegen Google im Jahr 2022 wegen der Cookie-Praxis auf google.fr. In Deutschland sind die Bußgelder bisher moderater, aber die Behörden verschärfen zunehmend ihre Prüfpraxis.
So lösen Sie das Problem
1. Consent Management Platform (CMP) einsetzen
Nutzen Sie ein CMP wie Cookiebot, Usercentrics oder Borlabs Cookie (für WordPress). Das CMP muss so konfiguriert sein, dass es alle nicht-essentiellen Skripte blockiert, bis der Nutzer aktiv einwilligt.
2. Google Tag Manager richtig konfigurieren
Wenn Sie den Google Tag Manager nutzen, richten Sie einen Consent-Modus ein. Seit 2024 unterstützt der GTM den sogenannten „Consent Mode v2", der Tags erst nach Einwilligung auslöst. Stellen Sie sicher, dass kein Tag ohne Consent-Trigger feuert.
3. Regelmäßig testen
Prüfen Sie regelmäßig, ob Ihre Website tatsächlich keine Tracking-Skripte vor dem Consent lädt. Browser-Entwicklertools oder spezialisierte Scanner wie ScanCompliance.de helfen dabei, versteckte Verbindungen zu externen Diensten aufzudecken.
Tracking-Check: Lädt Ihre Website Skripte vor dem Consent?
Unser Scanner prüft automatisch, ob Tracking-Tools vor der Einwilligung geladen werden.
Kostenlosen Scan starten