Feuern Tracker vor der Einwilligung? Cookie-Banner richtig prüfen

Fast jede Website nutzt heute irgendeine Form von Tracking: Reichweitenmessung, Conversion-Pixel, Heatmaps, eingebettete Videos. Damit das datenschutzkonform abläuft, hat sich ein einfaches Grundprinzip etabliert — Consent vor Tracking. Der häufigste Fehler in der Praxis ist dabei nicht ein fehlendes Banner, sondern ein Banner, das nur eine Fassade ist: Es fragt höflich nach Einwilligung, während die Skripte im Hintergrund längst geladen und Cookies gesetzt wurden. Dieser Beitrag erklärt neutral, worauf es ankommt, welche Fehlkonfigurationen typisch sind und wie du in wenigen Minuten selbst prüfst, was deine Seite vor dem ersten Klick lädt.

Hinweis: Dieser Artikel ist eine technische Einordnung und ersetzt keine Rechtsberatung. Im Zweifel ziehst du am besten deine Datenschutzbeauftragte oder einen Fachanwalt hinzu.

Das Prinzip: erst Einwilligung, dann Tracker

Für das Speichern von Informationen auf dem Endgerät deiner Besucher — und für den Zugriff darauf, etwa über Cookies oder ähnliche Techniken wie localStorage — gilt in Deutschland § 25 TDDDG. Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz löste 2024 das frühere TTDSG ab und setzt die europäischen ePrivacy-Vorgaben um. Vereinfacht gesagt: Nur das, was unbedingt erforderlich ist, damit ein vom Nutzer ausdrücklich gewünschter Dienst funktioniert, darf ohne Einwilligung gesetzt werden. Alles andere — Analyse, Marketing, Profilbildung — braucht eine vorherige, aktive Einwilligung.

Werden dabei personenbezogene Daten verarbeitet, tritt zusätzlich die DSGVO hinzu: Die Einwilligung ist hier die naheliegende Rechtsgrundlage nach Art. 6 Abs. 1 lit. a DSGVO. Der Europäische Gerichtshof hat im Verfahren Planet49 (Urteil vom 1. Oktober 2019, Rechtssache C-673/17) klargestellt, dass ein bereits vorangekreuztes Kästchen keine wirksame Einwilligung ist — die Zustimmung muss durch eine aktive Handlung erfolgen. Das ist der Kern des Prinzips: Schweigen oder bloßes Weiterscrollen ist keine Einwilligung.

Was „notwendig" wirklich heißt

Notwendig sind in der Regel nur technische Bausteine ohne Tracking-Charakter, zum Beispiel:

• der Session-Cookie, der einen Warenkorb oder einen Login über Seitenwechsel hinweg zusammenhält,
• ein Cookie, das sich die Sprach- oder die Cookie-Auswahl deiner Besucher merkt,
• Schutzmechanismen wie ein CSRF-Token oder eine Lastverteilung.

Nicht notwendig — und damit einwilligungspflichtig — sind dagegen praktisch alle Analyse- und Marketing-Werkzeuge: Web-Analytics mit personenbeziehbaren Kennungen, Conversion- und Retargeting-Pixel (etwa von Meta/Facebook, LinkedIn oder Google Ads), eingebettete Karten, Videos oder Schriften von Drittservern sowie — fast immer — der Google Tag Manager selbst.

Der häufige Fehler: Banner zeigt an, Skript feuert schon

Viele Banner sind rein optisch korrekt — sie erscheinen, bieten „Akzeptieren" und „Ablehnen" und verlinken die Datenschutzerklärung. Technisch laufen die Tracker aber bereits, bevor irgendjemand geklickt hat. Solche Setups deuten auf ein Datenschutzproblem hin, weil die Einwilligung dann nur nachträglich eingeholt wird, obwohl die Verarbeitung längst begonnen hat. Typische Ursachen:

1. Der Google Tag Manager lädt sofort

Der Google Tag Manager (GTM) ist ein Container, der weitere Tags ausspielt. Wird das GTM-Snippet einfach unverändert in den <head> gesetzt, lädt es beim Seitenaufruf — und feuert je nach Konfiguration sofort die hinterlegten Tags (Analytics, Pixel, …). Der GTM „weiß" von sich aus nichts über deinen Consent-Status. Erst wenn du Tags an einen Einwilligungs-Trigger koppelst oder den Consent-Mode sauber einrichtest, warten sie auf die Zustimmung. Ohne diese Kopplung ist das Banner reine Dekoration.

2. Vorab gesetzte Cookies und Pixel

Manche Skripte werden noch direkt im Quelltext eingebunden — etwa ein klassisches Analytics-Snippet oder ein Marketing-Pixel, „fest verdrahtet" im Template. Dann hilft kein Banner der Welt: Das Skript lädt unabhängig vom Klick. Verräterisch sind Cookies, die schon beim ersten Aufruf gesetzt sind, bevor du überhaupt etwas entschieden hast.

3. „Akzeptieren" leichter als „Ablehnen"

Auch die Gestaltung des Banners zählt. Wenn „Alle akzeptieren" ein großer, grüner Button ist, „Ablehnen" aber nur ein blasser Link zwei Ebenen tiefer, kann das als unzulässiges Nudging gewertet werden. Aufsichtsbehörden und Gerichte erwarten, dass das Ablehnen ähnlich einfach erreichbar ist wie das Zustimmen. Das ist eine Gestaltungsfrage, deren konkrete Bewertung im Einzelfall einer fachkundigen Prüfung bedarf.

So prüfst du im Browser, was vor dem Klick lädt

Du brauchst dafür keine Spezialsoftware — die Entwicklertools deines Browsers reichen. Wichtig ist die richtige Reihenfolge: erst messen, dann klicken. Öffne deine Seite am besten in einem frischen privaten Fenster, damit keine alte Einwilligung gespeichert ist.

Schritt für Schritt im Netzwerk-Tab

• Öffne ein privates/Inkognito-Fenster und rufe deine Seite auf. Drücke F12 (oder Rechtsklick → „Untersuchen") und wechsle auf den Tab „Netzwerk".
• Aktiviere „Cache deaktivieren" und lade die Seite neu — aber klicke noch nichts im Banner an.
• Filtere die Requests nach verdächtigen Hosts, etwa google-analytics, googletagmanager, doubleclick, connect.facebook.net oder hotjar. Tauchen solche Requests auf, bevor du zugestimmt hast, deutet das auf Tracking vor Einwilligung hin.

Cookies und Speicher kontrollieren

• Wechsle auf den Tab „Anwendung" (Chrome/Edge) bzw. „Speicher" (Firefox) und sieh dir unter Cookies an, was schon gesetzt ist — vor dem Klick. Ein reines Cookie für die Banner-Auswahl ist unkritisch; Analytics- oder Marketing-IDs dagegen sollten dort noch nicht stehen.
• Schau auch in localStorage und sessionStorage — manche Tracker weichen dorthin aus.
• Klicke anschließend bewusst auf „Ablehnen" und prüfe, ob danach trotzdem Tracker laden. Das ist der ehrlichste Test: Eine Ablehnung muss respektiert werden.

Vergiss die Unterseiten nicht. Tracker werden oft nur auf bestimmten Templates eingebunden — auf der Startseite, im Blog, im Checkout oder bei eingebetteten Inhalten. Prüfe deshalb mehrere Seitentypen, nicht nur die Startseite.

Wenn dir die manuelle Prüfung zu fummelig ist: Der kostenlose Schnellcheck lädt deine Seite automatisiert und macht sichtbar, welche eingebundenen Drittdienste schon beim Aufruf aktiv werden — ein schneller erster Eindruck, der keine fachkundige Prüfung ersetzt.

Was du gegen die typischen Fehler tust

• Tags an Consent koppeln: Im Google Tag Manager feuern nicht notwendige Tags erst, wenn eine Einwilligung vorliegt — über Einwilligungs-Trigger deines Consent-Tools oder einen sauber konfigurierten Consent-Mode.
• Fest verdrahtete Skripte entfernen: Analytics- und Pixel-Snippets gehören nicht ungesteuert ins Template, sondern hinter die Einwilligung.
• Ablehnen so leicht machen wie Zustimmen: gleichwertige Buttons, kein verstecktes „Ablehnen", keine Vorauswahl nicht notwendiger Kategorien.
• Datenschutzerklärung abgleichen: Was du einsetzt, muss auch dort benannt sein — und umgekehrt sollte nichts beschrieben sein, das gar nicht (mehr) lädt. Mehr dazu im Soll-Ist-Abgleich.

Kurz zusammengefasst

• Nicht notwendige Tracker (Analytics, Marketing-Pixel, Google Tag Manager) dürfen erst nach einer aktiven Einwilligung laden — Grundlage sind § 25 TDDDG und, bei Personenbezug, Art. 6 DSGVO.
• Häufigster Fehler ist nicht ein fehlendes Banner, sondern ein Banner, das anzeigt, während die Skripte schon feuern — etwa weil der GTM sofort lädt oder Pixel fest im Template stecken.
• Eine wirksame Einwilligung verlangt eine aktive Handlung; ein vorangekreuztes Kästchen genügt nicht (EuGH, Planet49, C-673/17).
• Prüfen kannst du es selbst: im Netzwerk-Tab und unter Cookies/Speicher der Entwicklertools schauen, was vor dem Klick lädt — und ob „Ablehnen" respektiert wird.

Dieser Beitrag liefert technische Hinweise und mögliche Risiken, keine Rechtsberatung. Für eine verbindliche Einschätzung deiner konkreten Situation wendest du dich an deine Datenschutzbeauftragte oder einen Fachanwalt.