Tracking ohne Einwilligung: Was unsere Audits aufdecken
30,0 % aller geprüften Websites zeigen schwerwiegende Datenschutz-Mängel – Tracking-Dienste laden und erheben personenbezogene Daten, bevor der Nutzer zugestimmt hat – ein klarer DSGVO-Verstoß. In über 2,9 Mio. CMP-Bewertungen (Stand: Mai 2026) zeigen wir, welche Dienste am häufigsten betroffen sind.
Ein Cookie-Banner zu haben reicht nicht. Entscheidend ist, was technisch passiert, bevor der Nutzer klickt. Werden personenbezogene Daten übertragen? Welche Tracking-Methoden kommen zum Einsatz? Unsere Audits prüfen genau das: Wir rufen die Website mit einem echten Browser auf, lehnen alle Cookies ab – und messen, welche Dienste trotzdem laden.
Das Ergebnis ist ernüchternd: Bei über 850.000 der über 2,9 Mio. bewerteten Websites laden Tracking-Dienste vor oder trotz Ablehnung der Einwilligung. Cookies werden gesetzt, Daten an Drittanbieter übermittelt. Ohne Rechtsgrundlage.
Hinweis zur Methodik: Die folgenden Ergebnisse basieren auf dem aktuellen Stand unserer automatisierten Erkennung. Unsere Prüfverfahren werden kontinuierlich weiterentwickelt – Ergebnisse können sich bei verbesserten Erkennungsmethoden ändern.
Häufige Fragen zu Tracking ohne Einwilligung
Was ist Tracking ohne Einwilligung?
Tracking ohne Einwilligung liegt vor, wenn Analyse- oder Marketing-Dienste wie Google Analytics, Facebook Pixel oder Google Ads Daten erfassen, bevor der Nutzer im Cookie-Banner zugestimmt hat. Das ist ein DSGVO-Verstoß.
→ Mehr dazuWelche Tracking-Dienste laden am häufigsten ohne Consent?
Google Tag Manager (bei knapp der Hälfte der betroffenen Websites), Google Analytics, Google Ads, Facebook Pixel und Matomo – in dieser Reihenfolge. Besonders kritisch: Der Tag Manager lädt oft weitere Dienste nach.
→ Mehr dazuIst Google Fonts ein Tracking-Problem?
Ja. Extern eingebundene Google Fonts übertragen die IP-Adresse des Besuchers an Google-Server – ohne Einwilligung ein DSGVO-Verstoß. Die Lösung: Google Fonts lokal auf dem eigenen Server hosten.
→ Mehr dazuDie häufigsten Tracking-Dienste ohne Consent
Welche Dienste laden am häufigsten ohne Einwilligung? Diese Tabelle zeigt die häufigsten Befunde auf Websites mit schwerwiegenden CMP-Mängeln:
| Dienst | Betroffen | Anteil an roten Audits |
|---|---|---|
| Google Tag Manager | 367.854 | 41,1 % |
| Google Analytics | 359.488 | 40,2 % |
| Google Ads | 191.074 | 21,4 % |
| Google Fonts | 316.686 | 35,4 % |
| Facebook Pixel | 80.700 | 9,0 % |
| Matomo | 41.078 | 4,6 % |
| Microsoft Clarity | 19.832 | 2,2 % |
| LinkedIn Insight Tag | 14.608 | 1,6 % |
| Hotjar | 14.062 | 1,6 % |
| TikTok Pixel | 9.637 | 1,1 % |
Anteil der Tracking-Dienste auf Websites mit schwerwiegenden Datenschutz-Mängeln (Stand: Mai 2026)
Stand: Mai 2026 – Basis: 894.844 Websites mit schwerwiegenden Mängeln von über 2,9 Mio. Audits
Google Tag Manager und Google Analytics sind die mit Abstand häufigsten Befunde – bei mehr als jeder zweiten Website mit schwerwiegenden Mängeln. Das Problem dabei: Es liegt häufig nicht an den Tools selbst, sondern an deren Einbindung. Der Tag Manager lädt Tracking-Tags, die personenbezogene Daten erheben – ohne auf den Consent-Status zu warten. Cookies, Pixel, JavaScript-Tracker: alles aktiv, ohne gültige Einwilligung.
Warum Matomo überrascht
Matomo wird oft als datenschutzfreundliche Alternative zu Google Analytics beworben – und das kann es auch sein. Trotzdem taucht Matomo bei 4,6 % der Websites mit Datenschutz-Verstößen auf. Der Grund: Viele Betreiber nutzen Matomo mit Tracking-Cookies und haben es trotzdem nicht korrekt in ihr CMP eingebunden.
Fakt ist: Matomo kann datenschutzkonform ohne Cookie-Banner betrieben werden – aber nur mit den richtigen Einstellungen (cookielos, IP-Anonymisierung, kein Cross-Site-Tracking). Wer diese nicht aktiviert und Matomo gleichzeitig nicht im CMP blockiert, hat ein Problem.
Google Fonts: Ein Sonderfall
Google Fonts sind streng genommen kein Tracking-Dienst – trotzdem ein Dauerbrenner in unseren Audits. Warum? Extern eingebundene Google Fonts übermitteln die IP-Adresse des Nutzers an Google-Server in den USA. Ohne Einwilligung. Die Lösung ist einfach: Google Fonts lokal hosten. Mehr dazu in unserem Überblick der häufigsten Datenschutz-Verstöße.
Was „schwerwiegende Mängel" technisch bedeutet
Wenn unser Audit schwerwiegende Mängel feststellt, bedeutet das: Der Audit-Browser hat die Einwilligung verweigert (oder das Banner bot keine Ablehnmöglichkeit) – und trotzdem wurden Tracking-Dienste geladen. Konkret:
- Cookies werden gesetzt, bevor der Nutzer zustimmt.
- Tracking-Pixel feuern und übermitteln Daten an Drittanbieter.
- JavaScript-Tracker analysieren das Nutzerverhalten und sammeln personenbezogene Daten, obwohl der Consent fehlt.
Aus datenschutzrechtlicher Sicht ist das ein Verstoß gegen Art. 6 Abs. 1 DSGVO und § 25 TDDDG (ehemals TTDSG): Ohne ausdrückliche Einwilligung dürfen keine nicht-essenziellen Tracking-Cookies gesetzt und keine personenbezogenen Daten vom Endgerät des Nutzers ausgelesen werden. Bei Verstößen drohen DSGVO-Bußgelder und Abmahnungen.
Die häufigsten Ursachen
1. Tag Manager ohne Consent-Integration
Der Google Tag Manager wird installiert – und alle Tags feuern sofort. Daten werden erhoben, Tracking-Cookies gesetzt. Ohne Prüfung des Consent-Status. Die Lösung: GTM mit dem CMP verknüpfen und Tags erst nach positivem Consent auslösen (Consent Mode v2 oder Trigger über CMP-Events).
2. Scripts außerhalb des CMP eingebunden
Das CMP verwaltet einen Teil der Scripts – aber manche werden direkt im HTML-Code oder in einem separaten Plugin geladen. Ohne Wissen des CMP. Diese Dienste erheben dann unkontrolliert Daten. Häufig betroffen: Google Fonts, eingebettete YouTube-Videos, Google Maps.
3. CMP-Konfiguration nicht auf Website abgestimmt
Das CMP ist installiert, aber die Zuordnung von Diensten zu Cookie-Kategorien stimmt nicht. Ein typisches Beispiel: Google Analytics wird als „essenziell" oder „funktional" eingestuft statt als „Statistik" – und lädt damit ohne Einwilligung.
4. Consent Mode nicht implementiert
Google Consent Mode v2 ist seit März 2024 Pflicht für Google Ads und Google Analytics. Ohne Consent Mode sendet Google Analytics Daten, unabhängig davon ob der Nutzer zugestimmt hat.
Was Sie tun können
- Audit durchführen: Prüfen Sie Ihre Website mit unserem kostenlosen Audit. In wenigen Sekunden sehen Sie, ob Dienste vor der Einwilligung laden.
- Tag Manager aufräumen: Alle Tags im GTM auf Consent-Trigger umstellen.
- Google Fonts lokal hosten: Schriften herunterladen und vom eigenen Server ausliefern.
- CMP-Kategorien prüfen: Ist jeder Dienst der richtigen Kategorie zugeordnet?
- Consent Mode v2 aktivieren: Für alle Google-Dienste den Consent Mode implementieren.
- Regelmäßig testen: Nach jedem Website-Update erneut prüfen – neue Plugins oder Einbettungen können das Setup brechen.
Quellen und Methodik
- Alle Zahlen basieren auf exatics-Audits deutscher Websites (Stand: Februar 2026, über 180.000 CMP-Bewertungen)
- Prüfung durch automatisierte Chromium-Browser mit echtem Banner-Klick (Ablehnung, wo möglich)
- Erkennung über technische Signaturen: JavaScript-Requests, Cookies, DOM-Elemente
- exatics: Ist Ihr Cookie-Banner wirklich korrekt eingerichtet?
- exatics: Dark Patterns in Cookie-Bannern erkennen
Weiterführende Artikel
- Welche Consent-Tools nutzt Deutschland?
- Cookie-Banner-Vergleich: So schneiden die Top-CMPs ab
- Häufigste Datenschutz-Verstöße auf deutschen Websites
- Google Analytics und der Consent Mode
- CMS-Marktanteile: Welche Systeme schneiden beim Datenschutz am besten ab?
- Was ist exatics Audit? – Alle Prüfkategorien
* Aufgrund einer notwendigen Änderung in den Bewertungen verschiedener Services und der Korrektur von Bewertungen für die Effizienz von Consent-Bannern haben sich unsere Ratings korrigiert.
Vertiefende Fragen zu Tracking ohne Einwilligung
Wie prüfe ich, ob meine Website vor dem Consent trackt?
Öffnen Sie Ihre Website im Inkognito-Modus, lehnen Sie alle Cookies ab und beobachten Sie den Netzwerk-Tab der Entwicklertools. Jeder Request an Tracking-Domains (google-analytics.com, facebook.net etc.) ist ein Verstoß.
Zählt der Google Tag Manager als Tracking?
Der Tag Manager selbst setzt keine Cookies, überträgt aber die IP-Adresse des Nutzers an Google. Vor allem ist er das Einfallstor: Falsch konfiguriert lädt er alle eingebundenen Dienste vor dem Consent.