Tracking ohne Einwilligung: Warum 4 von 5 KMU-Websites gegen die DSGVO verstoßen

Sie betreiben eine Website für Ihr Unternehmen. Google Analytics läuft, der Google Tag Manager ist eingebunden, vielleicht noch ein Facebook-Pixel. Alles ganz normal — so machen es alle. Aber haben Sie geprüft, ob diese Tools erst nach der Einwilligung Ihrer Besucher laden?

Wir haben Stichproben-Audits bei deutschen KMU-Websites aus fünf Branchen durchgeführt: Bei 4 von 5 geprüften Websites feuerten Tracking-Skripte vor der Einwilligung.

Was wir gefunden haben

In unseren Audits haben wir systematisch geprüft, welche Skripte beim ersten Seitenaufruf geladen werden — bevor der Nutzer überhaupt eine Wahl treffen konnte. Die Ergebnisse:

• Google Tag Manager (GTM) lud auf mehreren Websites sofort beim Seitenaufruf. Ein GTM-Container allein ist kein Verstoß — aber wenn er Tracking-Tags auslöst, bevor der Consent-Dialog beantwortet wurde, ist das ein Problem.
• Doppelte GTM-Container: Eine Website hatte zwei GTM-Container gleichzeitig eingebunden. Das deutet auf eine fehlerhafte Migration hin und verdoppelt das Risiko unkontrollierter Tags.
• Kein Cookie-Banner vorhanden: Auf einer Website fehlte jede Form der Einwilligungsverwaltung — trotz eingebundener Drittanbieter-Skripte.
• Google Fonts extern eingebunden: Nach dem Landgericht-München-Urteil ein bekanntes Risiko. Trotzdem bei mehreren geprüften Websites gefunden.

Warum das 2026 besonders riskant ist

Die Datenschutzaufsichtsbehörden haben ihre Prüfkapazitäten ausgebaut. Abmahnungen wegen DSGVO-Verstößen auf Websites sind keine Theorie mehr — sie passieren regelmäßig. Besonders betroffen:

• Websites mit Google Fonts (extern eingebunden) — bis zu 100 € pro Aufruf nach dem LG-München-Urteil
• Fehlende oder nicht funktionierende Cookie-Banner — Bußgelder bis zu 4 % des Jahresumsatzes nach DSGVO Art. 83
• Tracking ohne Einwilligung — Verstoß gegen § 25 TTDSG und Art. 6 DSGVO

Was Tracking ohne Einwilligung konkret bedeutet

Wenn ein Google-Analytics-Skript lädt, bevor der Nutzer zugestimmt hat, passiert Folgendes: Der Browser des Besuchers sendet Daten an Google-Server — IP-Adresse, Geräte-Informationen, Seitenaufruf. Diese Datenübertragung ist eine Verarbeitung personenbezogener Daten. Ohne vorherige Einwilligung ist das ein Verstoß.

Das gilt auch für den Google Tag Manager selbst, wenn er Tags auslöst, die Cookies setzen oder Daten an Dritte übermitteln. Viele Website-Betreiber gehen davon aus, dass der GTM „neutral“ ist. Das stimmt nur, wenn er korrekt konfiguriert ist — und das ist er bei den meisten KMU-Websites nicht.

Die drei häufigsten Ursachen

1. GTM-Container ohne Consent-Steuerung

Der Google Tag Manager wird eingebaut und alle Tags werden auf „Alle Seiten“ gesetzt. Es fehlt die Integration mit dem Consent Management Platform (CMP). Tags feuern sofort — unabhängig davon, ob der Nutzer zugestimmt hat.

2. CMP falsch konfiguriert

Ein Cookie-Banner ist vorhanden, aber die technische Verbindung zum GTM fehlt. Der Banner ist Dekoration — die Tracking-Skripte laden trotzdem sofort. In unseren Audits war das der häufigste Fall.

3. Migration ohne Cleanup

Bei einem Website-Relaunch wird ein neuer GTM-Container eingerichtet, aber der alte bleibt im Code. Zwei Container, doppelte Tags, keine Kontrolle. In einem unserer Audits haben wir genau dieses Muster gefunden.

So prüfen Sie Ihre Website

Eine vollständige DSGVO-Prüfung erfordert technische Analyse. Aber einen ersten Eindruck bekommen Sie so:

1. Öffnen Sie Ihre Website in einem neuen Inkognito-Fenster.
2. Öffnen Sie die Browser-Entwicklertools (F12) und wechseln Sie zum Tab „Netzwerk“.
3. Laden Sie die Seite — ohne den Cookie-Banner zu bedienen.
4. Filtern Sie nach Anfragen an google-analytics.com, googletagmanager.com, facebook.com oder andere Tracking-Dienste.

Wenn Sie Anfragen an diese Dienste sehen, bevor Sie zugestimmt haben, liegt wahrscheinlich ein DSGVO-Verstoß vor.

Was Sie jetzt tun sollten

Ein professioneller Website-Audit prüft automatisch, welche Skripte vor der Einwilligung laden, ob Ihr Cookie-Banner technisch korrekt funktioniert und ob alle Drittanbieter-Verbindungen DSGVO-konform sind.

Unsere Audit-Ergebnisse zeigen: Die meisten KMU-Websites haben diese Probleme — oft ohne es zu wissen. Der erste Schritt ist Transparenz.