Tracking vor Cookie Consent ist kein Randproblem – es ist der häufigste DSGVO-Verstoß, den wir auf Kunden-Websites sehen. In unserer Auswertung von 1.001 Scans vom 20. Mai 2026 hatten 59,2 % der gescannten Websites mindestens einen Tracking-Dienst, der Daten übertrug, bevor der Nutzer irgendetwas angeklickt hatte. Das Erschreckende: 75,9 % dieser Websites hatten einen Cookie-Banner – der das Tracking aber nicht blockierte.
Was das Gesetz verlangt: Einwilligung vor dem Tracking
Die Grundregel ist einfach: Tracking ohne Einwilligung DSGVO-konform zu betreiben ist nicht möglich. Art. 6 Abs. 1 lit. a DSGVO und § 25 TDDDG verlangen, dass einwilligungspflichtige Dienste erst nach einer aktiven, informierten und freiwilligen Zustimmung des Nutzers aktiviert werden dürfen. Das gilt für:
- Analyse-Tools wie Google Analytics 4 oder Matomo (mit Tracking-Cookies)
- Werbe-Pixel wie Meta Pixel, LinkedIn Insight Tag, TikTok Pixel
- Heatmap-Tools wie Hotjar oder Microsoft Clarity
- CRM-Tracker wie HubSpot oder Leadinfo
- Re-Targeting-Dienste wie Google DoubleClick oder Criteo
Entscheidend ist der Zeitpunkt. Nicht ob ein Banner vorhanden ist, sondern ob das Tracking tatsächlich erst nach Klick auf „Akzeptieren" startet. Genau hier liegt das Problem – und es ist technisch, nicht rechtlich.
DSGVO und TDDDG: Zwei Gesetze, ein Problem
Viele Agenturen kennen die DSGVO, aber nicht das TDDDG – dabei greifen beide Gesetze gleichzeitig. Der Unterschied ist wichtig:
Die DSGVO (Datenschutz-Grundverordnung) ist EU-weit direkt anwendbares Recht. Sie regelt, ob und auf welcher Rechtsgrundlage personenbezogene Daten verarbeitet werden dürfen. Für Tracking ohne Einwilligung ist Art. 6 Abs. 1 lit. a DSGVO die einschlägige Norm: Einwilligung als Rechtsgrundlage.
Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, seit Dezember 2024 in Kraft, Nachfolger des TTDSG) ist deutsches Bundesgesetz. § 25 TDDDG regelt den technischen Akt selbst: das Speichern von Informationen auf dem Endgerät des Nutzers oder das Auslesen bereits gespeicherter Informationen – also das Setzen und Lesen von Cookies und vergleichbarer Tracking-Techniken. Entscheidend: Das TDDDG greift auch dann, wenn die erhobenen Daten nicht personenbezogen sind. Es reicht, dass überhaupt auf das Gerät zugegriffen wird.
Im Klartext: Für legales Tracking braucht es zwei Grundlagen gleichzeitig – die Einwilligung nach TDDDG § 25 für den technischen Zugriff auf das Endgerät und eine Rechtsgrundlage nach DSGVO Art. 6 für die anschließende Datenverarbeitung. Ein Cookie-Banner allein, der nur eine der beiden Ebenen abdeckt, ist nicht ausreichend.
Bußgelder und reale Fälle: Was passiert, wenn Tracking vor Consent feuert
Pre-Consent Tracking ist kein abstrakt-rechtliches Problem. Europäische Datenschutzbehörden verfolgen Verstöße aktiv – und die Bußgelder sind substanziell:
DSB Österreich, Januar 2022: Als erste europäische Datenschutzbehörde erklärte die österreichische DSB den Einsatz von Google Analytics auf einer österreichischen Website für rechtswidrig. Auslöser waren Musterbeschwerden der NGO noyb. Die Entscheidung war wegweisend – sie legte fest, dass die Übermittlung von IP-Adressen und Browser-Daten an US-Server ohne angemessenes Schutzniveau gegen die DSGVO verstößt. Dutzende EU-Behörden folgten mit ähnlichen Entscheidungen.
CNIL (Frankreich), 2022: Die französische Datenschutzbehörde CNIL erklärte im Januar 2022 ebenfalls Google Analytics für illegal und forderte Website- Betreiber auf, innerhalb eines Monats auf konforme Alternativen umzustellen. Im selben Jahr verhängte die CNIL Bußgelder von 150 Millionen Euro gegen Google und 60 Millionen Euro gegen Meta – weil deren Cookie-Banner es absichtlich schwerer machten, Cookies abzulehnen als zu akzeptieren.
CNIL, Juni 2023: Das Re-Targeting-Netzwerk Criteo wurde mit einem Bußgeld von 40 Millionen Euro belegt. Der Vorwurf: Tracking ohne gültige Einwilligung und fehlende Transparenz gegenüber Nutzern. Criteo hatte Nutzerdaten plattformübergreifend zusammengeführt, ohne nachweisbare Rechtsgrundlage.
Garante (Italien), Juni 2022: Auch die italienische Datenschutzbehörde untersagte den Einsatz von Google Analytics und gab Website-Betreibern 90 Tage, um ihre Setups anzupassen.
Für Agenturen bedeutet das: Die Haftung liegt beim Website-Betreiber – also beim Kunden. Aber wer die technische Verantwortung für das Setup trägt, steht im Zweifel auch in der Pflicht. Kein Kunde kann sich auf „die Agentur hat das gebaut" berufen, wenn er selbst verantwortliche Stelle ist. Umgekehrt riskiert eine Agentur, die wissentlich ein rechtswidriges Tracking-Setup ausliefert, Regressansprüche.
Das häufigste Missverständnis: Cookie Banner blockiert Tracking nicht
Viele Agenturen glauben, mit der Installation eines Cookie-Consent-Tools sei alles erledigt. In der Praxis stimmt das nicht. Ein Cookie Banner, der das Tracking nicht richtig blockiert, erfüllt keine Schutzfunktion – er ist juristisch gesehen wertlos und schafft trügerische Sicherheit.
Wie kann das passieren? Die häufigsten Ursachen:
-
Google Tag Manager lädt unkontrolliert: Das GTM-Snippet liegt direkt
im
<head>– und der GTM feuert Tags, bevor das CMP überhaupt initialisiert ist. Der GTM Tag Manager Consent Mode ist zwar vorhanden, aber falsch konfiguriert: Tags haben keine Consent-Bedingung und laufen ohne Einschränkung. In unserer Auswertung war der GTM das am häufigsten betroffene Tool. - CMP-Plugin unvollständig konfiguriert: Borlabs Cookie, Complianz und Wix Cookie Consent tauchten in unseren aktuellen Scans am häufigsten auf, wenn trotz vorhandenem Banner Pre-Consent Tracking stattfand. Der Grund liegt meist nicht am Tool selbst, sondern an Scripts, die manuell außerhalb des CMP eingebunden sind und deshalb nicht von ihm kontrolliert werden. Welches CMP für Agenturen das richtige ist und worauf du bei der Auswahl achten musst, erklärt unser Cookie Consent Tool Vergleich für Agenturen.
- Kein CMP – nur ein statischer Hinweis: 27,7 % der Websites mit Tracking-Verstößen hatten gar kein funktionierendes Consent Management. Das Cookie Consent Tool blockiert das Tracking in diesen Fällen schlicht nicht – weil es kein echtes Tool ist, sondern ein optischer Hinweis ohne technische Funktion.
Was unsere Scans verraten: Reale Zahlen, anonymisiert
Wir haben 1.001 Website-Scans vom 20. Mai 2026 ausgewertet. In 593 Fällen – also bei 59,2 % – feuerte mindestens ein einwilligungspflichtiger Tracking-Dienst vor dem Consent-Klick. Drei anonymisierte Fallbeispiele zeigen, wie Pre-Consent Tracking in der Praxis aussieht:
Fall 1 – Unternehmens-Website, kein CMP: Beim ersten Seitenaufruf gingen sofort Requests an Google Tag Manager, Meta Pixel, LinkedIn Insight Tag, Microsoft Clarity, YouTube und Google DoubleClick. Insgesamt 8 einwilligungspflichtige Dienste – ohne jede Steuerungsmöglichkeit für den Nutzer, weil kein Consent Management vorhanden war.
Fall 2 – Agentur-Website mit generischem Cookie-Banner: Ein Cookie-Hinweis war vorhanden, aber ohne technische Steuerungsfunktion. Trotzdem oder gerade deshalb feuerten vor Consent: Google Tag Manager, Google Ads, Mouseflow, Microsoft Clarity und Leadinfo. Der GTM hatte keine einzige Consent-Bedingung konfiguriert.
Fall 3 – WordPress-Site mit Complianz-Plugin: Hier war ein vollwertiges CMP installiert. Trotzdem luden vor dem Consent-Klick: Google Analytics 4, Google Fonts, ProvenExpert und Trustindex. Die Ursache: Diese Drittanbieter-Dienste waren direkt im Theme eingebunden und wurden vom Complianz-Plugin nicht erfasst – sie liefen am CMP vorbei.
Google Analytics feuert vor Einwilligung – und du merkst es nicht
Google Analytics 4 war in unserer aktuellen Auswertung das zweithäufigste Pre-Consent-Tool – in 152 von 1.001 Scans. Wie kommt es dazu?
Das klassische Setup: GA4 wird über den Google Tag Manager eingebunden.
Der GTM-Code wird so früh wie möglich im <head> platziert.
Wenn die Seite lädt, feuert der GTM sofort –
und mit ihm alle konfigurierten Tags, darunter der GA4-Tag. Das CMP lädt
erst danach, weil es oft über den GTM selbst oder als Plugin nachgeladen wird.
Ergebnis: Google Analytics lädt vor Cookie Banner, obwohl auf der Seite ein vollständiges Consent-Banner sichtbar ist. Nutzer können gar nicht schnell genug reagieren – die Datenübertragung ist längst passiert.
Die Lösung: Google Consent Mode v2 korrekt implementieren und den GTM so
konfigurieren, dass alle Tags standardmäßig auf denied stehen,
bis das Consent-Signal kommt. Ohne explizite Consent-Konfiguration im Tag
Manager hilft auch Consent Mode v2 nicht. Wichtig: Selbst bei korrekter
Konfiguration mit default: 'denied' sendet GA4 unter Umständen
noch sogenannte cookieless Pings für das Conversion-Modelling. Consent Mode v2
allein ist daher kein vollständiger Schutz – er reduziert das Datenvolumen,
ersetzt aber nicht die ausdrückliche Einwilligung.
Meta Pixel feuert vor Zustimmung – die GTM-Falle
Das Meta Pixel feuert vor Zustimmung aus demselben Grund wie GA4 – meist über den GTM ohne Consent-Bedingung. In 75 der 1.001 gescannten Websites war das der Fall. Separat dazu hatten 143 Websites gar kein CMP – dort lief das Meta Pixel vollständig unkontrolliert.
Das Problem verschärft sich durch den Pixel-Aufbau: Beim ersten Seitenaufruf
sendet der Pixel automatisch ein PageView-Event. Das übermittelt
IP-Adresse, Browser-Fingerprint und Referrer an Meta-Server in den USA –
alles ohne Einwilligung, alles DSGVO-relevant.
Besonders tückisch: Im GTM-Interface sieht das Setup korrekt aus. Erst wenn man den Consent Mode v2 prüft und nachschaut, ob der Tag tatsächlich eine Consent-Bedingung hat, wird das Problem sichtbar. Ohne Netzwerk-Interceptor lässt sich das im normalen Browser-Betrieb kaum erkennen.
Was die neuesten deutschen Urteile zu Meta Pixel und DSGVO für Agenturen konkret bedeuten – Haftung, Schadensersatz nach Art. 82 DSGVO und server-seitige Alternativen – erklärt unser Artikel Meta Pixel & DSGVO 2026: Was die neuen Urteile für Agenturen bedeuten.
Wie prüfe ich, ob Tracking vor Consent feuert?
Es gibt drei Methoden, um Tracking ohne Einwilligung erkennen zu können:
1. Manuell mit Browser-DevTools:
Öffne die Website im Inkognito-Modus, öffne sofort die DevTools (F12) und wechsle
zum Network-Tab. Lade die Seite neu. Noch bevor du auf den Cookie-Banner geklickt
hast, siehst du alle ausgehenden Requests. Filtere nach bekannten Tracking-Domains:
google-analytics.com, connect.facebook.net,
snap.licdn.com, analytics.tiktok.com,
clarity.ms. Jeder Treffer vor dem Consent-Klick ist ein Verstoß.
2. Mit Browser-Extensions: Tools wie „Privacy Badger" oder „uBlock Origin" zeigen Tracking-Requests an, helfen aber nicht bei der zeitlichen Einordnung relativ zum Consent-Zeitpunkt. Sie sind für einen schnellen Überblick geeignet, nicht für eine belastbare DSGVO-Prüfung.
3. Automatisiert mit einem Pre-Consent Tracking Prüf-Tool: Ein automatisierter Scanner wie Complianty öffnet die Seite in einem kontrollierten Browser-Kontext, protokolliert alle Requests vor dem Consent-Klick (Phase 1), führt dann den Consent-Klick durch und protokolliert alle neuen Requests danach (Phase 2). Das Ergebnis: Eine genaue Liste, welche Tools vor und welche erst nach Einwilligung feuern – datiert und exportierbar.
Website auf DSGVO-Verstöße prüfen – systematisch für alle Kunden
Für Agenturen, die mehrere Kunden-Websites betreuen, reicht manuelle Prüfung nicht. Die Situation ändert sich laufend: Plugin-Updates schmuggeln neue Scripts ein, Kunden integrieren eigenständig neue Tools, CMPs bekommen Breaking Changes. Um Website Tracking prüfen auf DSGVO-Compliance systematisch zu betreiben, braucht es:
- Automatische Wiederholungsscans: Mindestens wöchentlich, idealerweise nach jedem Deployment. Nur so fällt auf, wenn ein Plugin-Update plötzlich Google Analytics vor dem Cookie Banner lädt.
- Vergleich über Zeit: Nicht nur der aktuelle Status zählt, sondern ob neue Tools hinzugekommen sind. Ein New Tool Detected-Alert schlägt an, bevor das Problem eskaliert.
- Dokumentation des Scan-Zeitpunkts: Behörden können rückwirkend fragen, ob eine Website zu einem bestimmten Zeitpunkt konform war. Ein datierter Scan-Bericht ist der einzige belastbare Nachweis.
Alle weiteren DSGVO-Pflichten, die beim Website-Launch erfüllt sein müssen – von AVV über Datenschutzerklärung bis zum Verarbeitungsverzeichnis – fasst unsere vollständige DSGVO-Checkliste für Webagenturen zusammen. Welche DSGVO-Software sich für Agenturen mit mehreren Kunden am besten eignet, zeigt unser DSGVO-Software-Vergleich für Agenturen.
FAQ: Häufige Fragen zu Tracking und Cookie Consent
Ist Google Analytics ohne Cookie-Banner immer ein DSGVO-Verstoß?
Ja – sofern GA4 Cookies setzt oder Nutzerdaten an Google-Server überträgt, ist ohne vorherige Einwilligung sowohl § 25 TDDDG (Zugriff auf das Endgerät) als auch Art. 6 Abs. 1 DSGVO (Verarbeitung personenbezogener Daten) verletzt. Eine Ausnahme gilt nur für rein technisch notwendige Dienste, die keinerlei Tracking-Funktion haben – das trifft auf GA4 nicht zu.
Reicht Google Consent Mode v2 aus, um DSGVO-konform zu sein?
Nein. Consent Mode v2 ist ein Signalisierungsprotokoll, das Google mitteilt, ob eine Einwilligung vorliegt. Er ersetzt weder die Einwilligung selbst noch verhindert er zuverlässig alle Datenübertragungen: Bei aktiviertem Consent Mode v2 sendet GA4 auch ohne Einwilligung sogenannte cookieless Pings für das Conversion-Modelling. Consent Mode v2 ist ein sinnvoller Baustein – aber kein Ersatz für ein korrekt konfiguriertes CMP mit echter Consent-Bedingung im Tag Manager.
Was ist Pre-Consent Tracking genau?
Pre-Consent Tracking bezeichnet jede Datenübertragung an Drittanbieter, die stattfindet, bevor der Nutzer aktiv in das Tracking eingewilligt hat – also vor dem Klick auf „Akzeptieren" im Cookie-Banner. Entscheidend ist der technische Zeitpunkt der ersten Netzwerkanfrage, nicht ob ein Banner angezeigt wird.
Welche Tools feuern am häufigsten vor dem Cookie-Consent?
In unserer Auswertung von 1.001 Scans vom 20. Mai 2026 waren die häufigsten einwilligungspflichtigen Dienste vor Consent: Google Analytics 4 (152 Websites), Google Tag Manager (141 Websites), Meta Pixel (75 Websites) und Leadinfo (50 Websites). Ursache ist in fast allen Fällen ein GTM-Setup ohne Consent-Bedingungen.
Muss ein Cookie-Banner einen „Alles ablehnen"-Button haben?
Ja – nach ständiger Praxis der europäischen Datenschutzbehörden muss das Ablehnen von Cookies genauso einfach sein wie das Akzeptieren. Ein „Ablehnen"-Button muss auf der ersten Ebene des Banners sichtbar sein, ohne dass Nutzer in ein Untermenü navigieren müssen. Banners, die nur einen „Akzeptieren"-Button auf der ersten Ebene zeigen, verstoßen gegen diesen Grundsatz – die CNIL hat dafür 2022 Bußgelder in Höhe von insgesamt 210 Millionen Euro gegen Google und Meta verhängt.
Haftet die Agentur, wenn das Tracking des Kunden rechtswidrig ist?
Verantwortliche Stelle im Sinne der DSGVO ist grundsätzlich der Website-Betreiber, also der Kunde. Die Agentur kann jedoch in die Haftung geraten, wenn sie das rechtswidrige Setup wissentlich umgesetzt hat oder vertraglich die Verantwortung für die DSGVO-Konformität übernommen hat. In jedem Fall riskiert die Agentur Regressansprüche, wenn ein Bußgeld auf ein nachweislich fehlerhaftes technisches Setup zurückzuführen ist.
Fazit
Tracking vor Cookie Consent betrifft mehr als jede zweite geprüfte Website – und in 75,9 % der Fälle ist trotzdem ein Cookie-Banner vorhanden, der das Tracking nicht blockiert. Ein Cookie Banner, der das Tracking nicht richtig blockiert, ist kein Datenschutz, sondern Dekoration.
Als Agentur trägst du Mitverantwortung für die Websites deiner Kunden. Wer Pre-Consent Tracking erkennen und dokumentieren kann, hat einen klaren Vorteil – gegenüber der Aufsichtsbehörde und gegenüber Kunden, die eine nachweisbare Compliance-Geschichte brauchen.