Tracking ohne Einwilligung: Was unsere Audits aufdecken
16,8 % aller geprüften Cookie-Banner haben schwerwiegende Mängel — Tracking-Dienste laden, bevor der Nutzer zugestimmt hat. In über 173.000 CMP-Bewertungen (Stand: März 2026) zeigen wir, welche Dienste am häufigsten betroffen sind.
Ein Cookie-Banner zu haben reicht nicht. Entscheidend ist, was technisch passiert, bevor der Nutzer klickt. Unsere Audits prüfen genau das: Mit einem echten Browser rufen wir die Website auf, lehnen — wo möglich — alle Cookies ab und messen, welche Dienste trotzdem geladen werden.
Das Ergebnis ist ernüchternd: Bei über 37.000 der über 187.000 bewerteten Websites laden Tracking-Dienste vor oder trotz Ablehnung der Einwilligung.
Die häufigsten Tracking-Dienste ohne Consent
Diese Dienste finden wir am häufigsten auf Websites mit schwerwiegenden CMP-Mängeln (rot bewertet):
| Dienst | Betroffen | Anteil an roten Audits |
|---|---|---|
| Google Tag Manager | 23.096 | 62.4 % |
| Google Analytics | 21.815 | 58.9 % |
| Google Ads | 12.079 | 35,7 % |
| Google Fonts | 7.926 | 23,4 % |
| Facebook Pixel | 6.613 | 19,5 % |
| Matomo | 6.248 | 18,5 % |
| Microsoft Clarity | 2.050 | 6,1 % |
| LinkedIn Insight Tag | 2.117 | 5.7 % |
| Hotjar | 1.479 | 4,4 % |
| TikTok Pixel | 1.008 | 3,0 % |
Stand: März 2026 — Basis: 33.864 rot bewertete Websites von über 173.000 Audits
Google-Dienste dominieren: Tag Manager und Analytics finden sich auf jeder zweiten rot bewerteten Website.
Google Tag Manager und Google Analytics sind die mit Abstand häufigsten Befunde — bei mehr als jeder zweiten rot bewerteten Website. Das liegt nicht am GTM oder GA selbst, sondern daran, dass die Einbindung falsch konfiguriert ist: Der Tag Manager lädt Tracking-Tags, ohne auf den Consent-Status zu warten.
Warum Matomo überrascht
Matomo wird oft als datenschutzfreundliche Alternative zu Google Analytics beworben — und das kann es auch sein. Trotzdem taucht Matomo bei 24,3 % der rot bewerteten Websites auf. Der Grund: Viele Betreiber nutzen Matomo mit Cookies und haben es trotzdem nicht korrekt in ihr CMP eingebunden.
Matomo kann datenschutzkonform ohne Cookie-Banner betrieben werden — aber nur mit den richtigen Einstellungen (cookielos, IP-Anonymisierung, kein Cross-Site-Tracking). Wer diese nicht aktiviert und Matomo gleichzeitig nicht im CMP blockiert, hat ein Problem.
Google Fonts: Ein unterschätztes Risiko
Google Fonts werden bei 25.728 der geprüften Websites eingesetzt. Bei 26,8 % davon stufen unsere Audits die Privacy als problematisch ein. Der Grund: Werden Google Fonts direkt von fonts.googleapis.com geladen, überträgt der Browser die IP-Adresse des Nutzers an Google-Server in den USA — ohne Einwilligung.
Die Lösung ist einfach: Google Fonts lokal hosten. Die Schriftdateien herunterladen und von Ihrem eigenen Server ausliefern. Damit entfällt die Datenübertragung an Google vollständig.
Was „rot" technisch bedeutet
Eine rote Bewertung bedeutet: Unser Audit-Browser hat die Einwilligung verweigert (oder der Banner bot keine Ablehnmöglichkeit), und trotzdem wurden Tracking-Dienste geladen. Das heißt konkret:
- Cookies werden gesetzt, bevor der Nutzer zustimmt.
- Tracking-Pixel feuern und übermitteln Daten an Drittanbieter.
- JavaScript-Tracker sammeln Nutzerdaten, obwohl der Consent fehlt.
Aus datenschutzrechtlicher Sicht ist das ein Verstoß gegen Art. 6 Abs. 1 DSGVO und § 25 TDDDG: Ohne Einwilligung dürfen keine nicht-essenziellen Cookies gesetzt oder Informationen vom Endgerät des Nutzers ausgelesen werden.
Die häufigsten Ursachen
1. Tag Manager ohne Consent-Integration
Der Google Tag Manager wird installiert und alle Tags feuern sofort — ohne Prüfung des Consent-Status. Die Lösung: GTM mit dem CMP verknüpfen und Tags erst nach positivem Consent auslösen (Consent Mode v2 oder Trigger über CMP-Events).
2. Scripts außerhalb des CMP eingebunden
Das CMP verwaltet einen Teil der Scripts, aber manche werden direkt im HTML-Code oder in einem separaten Plugin geladen — ohne Wissen des CMP. Häufig betroffen: Google Fonts, eingebettete YouTube-Videos, Google Maps.
3. CMP falsch konfiguriert
Das CMP ist installiert, aber die Zuordnung von Diensten zu Cookie-Kategorien stimmt nicht. Beispiel: Google Analytics wird als „essenziell" oder „funktional" kategorisiert statt als „Statistik" — und lädt damit ohne Einwilligung.
4. Consent Mode nicht implementiert
Google Consent Mode v2 ist seit März 2024 Pflicht für Google Ads und Google Analytics. Ohne Consent Mode sendet Google Analytics Daten, unabhängig davon ob der Nutzer zugestimmt hat.
Was Sie tun können
- Audit durchführen: Prüfen Sie Ihre Website mit unserem kostenlosen Audit — Sie sehen sofort, ob Dienste vor der Einwilligung laden.
- Tag Manager aufräumen: Alle Tags im GTM auf Consent-Trigger umstellen.
- Google Fonts lokal hosten: Schriften herunterladen und vom eigenen Server ausliefern.
- CMP-Kategorien prüfen: Ist jeder Dienst der richtigen Kategorie zugeordnet?
- Consent Mode v2 aktivieren: Für alle Google-Dienste den Consent Mode implementieren.
- Regelmäßig testen: Nach jedem Website-Update erneut prüfen — neue Plugins oder Einbettungen können das Setup brechen.
Quellen und Methodik
- Alle Zahlen basieren auf exatics-Audits deutscher Websites (Stand: Februar 2026, über 180.000 CMP-Bewertungen)
- Prüfung durch automatisierte Chromium-Browser mit echtem Banner-Klick (Ablehnung, wo möglich)
- Erkennung über technische Signaturen: JavaScript-Requests, Cookies, DOM-Elemente
- exatics: Ist Ihr Cookie-Banner wirklich korrekt eingerichtet?
- exatics: Dark Patterns in Cookie-Bannern erkennen