Tracking vor Einwilligung: Was es ist und warum Aufsichtsbehörden es als Verstoß behandeln

Tracking vor Einwilligung ist eine Kategorie von Befunden in unserem Scanner. Sie wird ausgelöst, wenn der Browser zwischen dem Beginn eines frischen Seitenaufrufs und dem Moment, in dem ein Nutzer eine Aktion auf dem Einwilligungsbanner ausführt, eine oder mehrere Netzwerkanfragen sendet, die Identifikatoren enthalten, nicht-essenzielle Analytics-Payloads übertragen oder nicht-essenzielle Cookies setzen.

Dies ist der häufigste Mangel, den wir feststellen. In unserem Scan von 97.000 EU-Websites wurde die Mehrheit der Hochrisikoeinstufungen durch Tracking vor Einwilligung verursacht — nicht durch fehlende Banner oder defekte Ablehnen-Schaltflächen.

Worauf der Scanner achtet

Der Detektor beobachtet das Netzwerk vom Moment, in dem der Browser die Dokumentanfrage stellt, bis eines von drei Ereignissen eintritt:

Der Nutzer klickt eine Schaltfläche auf dem Einwilligungsbanner an (Akzeptieren, Ablehnen, Einstellungen).
Ein messbares Cookie oder ein localStorage-Eintrag zum Einwilligungsstatus wird geschrieben.
Ein Timeout läuft ab (standardmäßig 8 Sekunden), ohne dass ein Einwilligungssignal vorliegt.

Jede Anfrage, die in diesem Fenster ausgelöst wird, wird auf drei Signale untersucht:

Bekannter Tracker-Fingerabdruck. Die Zieldomäne, der Anfragepfad oder das Payload-Muster entspricht einem Eintrag in unserer Tracker-Datenbank. Dazu gehören Google Analytics, Meta Pixel, Hotjar, LinkedIn Insight, TikTok Pixel, X-Conversion-Pixel und viele andere.
Identifikator-tragende Payload. Die Anfrage enthält einen stabilen Client-Identifikator (Cookie, Fingerabdruck-Hash oder Query-Parameter, der über mehrere Seiten hinweg fortbesteht).
Nicht-essenzielles Cookie-Schreiben. Die Antwort setzt ein Cookie, das nach Klassifikation für die Funktionalität der Website nicht zwingend erforderlich ist.

Eines dieser Signale reicht aus, um den Befund auszulösen. Alle drei zusammen sind das typische Muster für einen Google-Tag-Manager-Container, der vor dem Einwilligungsgate feuert.

Der rechtliche Rahmen, in Kürze

Wir sind nicht Ihr Anwalt. Die nüchternen Fakten:

GDPR Art. 6(1)(a) verlangt eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Für nicht-essenzielle Tracker ist das die Einwilligung.
GDPR Art. 7 legt den Maßstab dafür fest, wie eine gültige Einwilligung auszusehen hat: freiwillig, spezifisch, informiert, eindeutig und widerrufbar.
ePrivacy Directive Art. 5(3) verlangt ausdrücklich eine Einwilligung, bevor Informationen auf dem Endgerät eines Nutzers gespeichert oder darauf zugegriffen wird — also bevor Cookies oder vergleichbare Identifikatoren gelesen oder geschrieben werden. Ob eine konkrete Netzwerkanfrage vor Einwilligung in einen Verstoß umschlägt, hängt davon ab, ob sie Informationen vom Gerät liest oder darauf schreibt, ob sie Identifikatoren enthält und ob sie sich als „unbedingt erforderlich" rechtfertigen lässt — all diese Fragen wägen die Aufsichtsbehörden seit Jahren ab.

Die nationalen Umsetzungen unterscheiden sich im Detail. Das deutsche TTDSG (jetzt TDDDG) und die französische Umsetzung über das Loi Informatique et Libertés, durchgesetzt durch die CNIL, haben die sichtbarste Vollzugspraxis hervorgebracht. DPAs in der gesamten EU haben vor Mustern des Trackings vor Einwilligung gewarnt; konkrete Vollzugsschwellen variieren je nach Rechtsordnung. Das zugrunde liegende Prinzip ist überall dasselbe: erst Einwilligung, dann Tracker.

Was Aufsichtsbehörden tatsächlich getan haben

Eine kurze, unvollständige Chronik von Entscheidungen, in denen Tracking vor Einwilligung der zentrale Befund war:

CNIL gegen Google (Dezember 2020): 100 Mio. EUR für das Setzen von Werbe-Cookies auf google.fr ohne vorherige Einwilligung.
CNIL gegen Amazon Europe Core (Dezember 2020): 35 Mio. EUR für dasselbe Muster auf amazon.fr.

Das sind nicht die einzigen Fälle — aber die tragenden. Das durchgehende Muster: Die Behörde hat das Netzwerkverhalten gemessen und die technische Realität als entscheidend behandelt, unabhängig vom Wortlaut der Datenschutzerklärung.

Die Skripte, die es am häufigsten verursachen

Grob in der Reihenfolge, wie häufig wir sie als Hauptursache eines Hochrisikoscans antreffen:

Google-Tag-Manager-Container, die ohne Consent-Mode-Gating konfiguriert sind oder bei denen Consent Mode so falsch konfiguriert ist, dass der Standardstatus „granted" lautet.
Meta Pixel, das direkt über <script src> geladen wird, statt hinter einem Einwilligungs-Callback zu warten.
Hotjar-Session-Recording, das gestartet wird, bevor das Banner geschlossen ist.
LinkedIn Insight für B2B-Retargeting, besonders auf Agentur- und SaaS-Seiten.
TikTok Pixel im Consumer-E-Commerce.
First-Party-Analytics-Implementierungen, die navigator-Eigenschaften lesen oder Fingerprinting-Cookies setzen, bevor irgendeine Nutzeraktion erfolgt.

Der gemeinsame Nenner ist fast nie das Skript selbst — es ist die Einrichtung. Jeder dieser Anbieter dokumentiert eine Methode, das Auslösen an ein Einwilligungssignal zu koppeln; die Standardanleitungen erwähnen das jedoch häufig nicht.

Wie ein sauberer Scan aussieht

Eine Seite, die unseren Pre-Consent-Check besteht, tut eines der folgenden Dinge:

Lädt überhaupt kein Drittanbieter-Tracking, bis eine Einwilligung erteilt wurde. Funktionale Cookies (Session, Sprachpräferenz, CSRF) sind in Ordnung.
Lädt den Tag-Manager im Status „denied", mit allen nicht-essenziellen Tags hinter expliziten Einwilligungssignalen, und aktualisiert den Status nach der Nutzeraktion über Google Consent Mode v2 oder einen gleichwertigen Mechanismus.
Lädt Tracker-Stubs, die keine Identifikatoren übertragen, bis das Einwilligungs-Flag gesetzt ist.

In unserem Korpus aus dem ersten Quartal 2026 mit 97.000 EU-Seiten hatten 68 % einen Tracking-Dienst aktiv, bevor irgendeine Einwilligungsentscheidung gefallen war. Die Minderheit der Seiten, die den Pre-Consent-Check besteht, weist ein gemeinsames Profil auf: Das Netzwerk im Pre-Consent-Fenster wird vom Dokument selbst, von CSS- und Schriftartdateien sowie einem Favicon dominiert — nichts, was einen Identifikator vom Gerät weg trägt.

Sample scan

78 / 100

High Risk · 23 trackers · pre-consent tracking: yes

See sample report →

Wie man es behebt

Die ehrliche Version: Es gibt keine Abkürzung. Jedes Tag muss daraufhin geprüft werden, ob es ausgelöst wird, bevor das Einwilligungssignal gesetzt ist. In der Praxis bewährte Schritte:

Öffnen Sie die Seite in einem sauberen Browserprofil mit geöffneten DevTools.
Filtern Sie das Netzwerk auf „Drittanbieter" und laden Sie die Seite neu.
Alles, was vor einem Klick auf eine Banner-Schaltfläche feuert, ist ein Kandidat.
Finden Sie für jeden Kandidaten den Loader (in der Regel ein Script-Tag, ein Tag-Manager-Trigger oder ein Inline-Snippet) und koppeln Sie ihn an das Einwilligungssignal.
Erneut testen. Wiederholen, bis das Pre-Consent-Fenster frei von Trackern ist.

Wenn Sie eine Consent-Management-Plattform einsetzen, ist deren „Bis Einwilligung blockieren"-Modus notwendig, aber nicht ausreichend — viele CMPs blockieren nur das Schreiben des Cookies, nicht die Anfrage. Article 5(3) der ePrivacy Directive verlangt eine Einwilligung, bevor Informationen auf dem Gerät eines Nutzers (Cookies, Local Storage, vergleichbare Identifikatoren) gespeichert oder abgerufen werden. Ob eine konkrete Netzwerkanfrage vor Einwilligung diese Pflicht auslöst, hängt davon ab, was die Anfrage vom Gerät liest oder darauf schreibt — eine sachverhaltsbezogene Frage.

Für ein Beispiel an Ihrer eigenen Domain starten Sie einen Scan und betrachten Sie das Panel „Pre-Consent-Netzwerk" im Bericht. Jede beanstandete Anfrage wird mit ihrem Initiator-Stack aufgelistet, sodass Sie sie bis zur Quelldatei in Ihrem Codebase zurückverfolgen können.