Zum Inhalt springen
Sorrel
← Blog

14. Mai 2026 · Florian Wartner

Tracker ohne Einwilligung erkennen: So finden Sie versteckte Skripte

Versteckte Tracker laden oft vor jeder Einwilligung und verstoßen gegen § 25 TTDSG. So spüren Sie sie mit Browser-Tools und einem automatischen Scan zuverlässig auf.

trackerdsgvoscan

Tracker ohne Einwilligung erkennen Sie, indem Sie noch vor dem Klick auf „Akzeptieren" die Netzwerkanfragen und gesetzten Cookies Ihrer Website prüfen. Jeder Aufruf an Drittanbieter-Domains wie google-analytics.com, facebook.net oder hotjar.com vor der Einwilligung ist ein Verstoß gegen § 25 Abs. 1 TTDSG. Mit den Browser-Entwicklertools und einem automatisierten Scanner finden Sie auch tief eingebettete Skripte.

Warum versteckte Tracker so gefährlich sind

Nach § 25 Abs. 1 TTDSG ist das Speichern von Informationen auf dem Endgerät - und der Zugriff darauf - nur mit Einwilligung zulässig, sofern es nicht technisch zwingend erforderlich ist. Der BGH hat das in Planet49 (I ZR 7/16) bestätigt: Eine aktive Einwilligung ist Pflicht, voreingestellte Häkchen reichen nicht.

Das Tückische: Viele Tracker laden, ohne dass Betreiber es wissen. Sie stecken in eingebundenen Schriftarten, Karten-Embeds, Social-Media-Buttons, A/B-Testing-Tools oder werden über Tag-Manager nachgeladen. Selbst wenn der Consent-Banner sauber konfiguriert ist, können Plugins eigene Skripte mitbringen, die sich nicht an die Einwilligung halten.

Hinzu kommt: Tracker setzen nicht immer nur Cookies. Auch Fingerprinting, Local Storage und unsichtbare Zählpixel fallen unter § 25 TTDSG, sobald sie Informationen auf dem Endgerät speichern oder darauf zugreifen. Wer nur nach klassischen Cookies sucht, übersieht einen Teil der relevanten Vorgänge. Die Aufsichtsbehörden bewerten den technischen Vorgang des Speicherns und Auslesens - unabhängig von der konkreten Technologie.

Methode 1: Browser-Entwicklertools

Der manuelle Weg liefert die belastbarsten Beweise:

  1. Öffnen Sie ein Inkognito-Fenster, damit keine alten Cookies das Bild verfälschen.
  2. Drücken Sie F12 und wechseln Sie zum Tab Netzwerk. Aktivieren Sie „Cache deaktivieren".
  3. Laden Sie die Seite, ohne den Consent-Banner anzuklicken.
  4. Filtern Sie nach Drittanbieter-Domains. Jede Anfrage an Analytics-, Ads- oder Social-Dienste ist verdächtig.
  5. Prüfen Sie unter Anwendung → Cookies, welche Cookies bereits gesetzt wurden.

Findet sich hier vor jeder Interaktion ein _ga-, _fbp- oder _hjSession-Cookie, lädt ein Tracker ohne Einwilligung.

Methode 2: Quelltext und Tag-Manager prüfen

Schauen Sie in den HTML-Quelltext nach <script>-Einbindungen externer Domains. Achten Sie besonders auf:

  • Google Tag Manager: Welche Tags feuern auf dem Trigger „All Pages" statt erst nach Consent?
  • Eingebettete Inhalte: YouTube-Videos im Standardmodus, Google Maps, eingebettete Tweets.
  • Webfonts: Von Google-Servern geladene Schriften übertragen die IP-Adresse. Wie Sie das lösen, zeigt unser Beitrag Google Fonts richtig lokal einbinden.

Der Tag-Manager ist die häufigste Quelle für übersehene Tracker, weil sich Tags dort unabhängig vom sichtbaren Code verwalten lassen.

Methode 3: Automatisierter Scan

Der manuelle Check ist gründlich, aber zeitaufwendig - und bei Unterseiten kaum skalierbar. Ein automatisierter Scanner lädt die Seite in einer echten Browser-Umgebung, protokolliert jede Netzwerkanfrage und jedes Cookie vor und nach dem Consent und ordnet die Domains bekannten Diensten zu.

Prüfen Sie Ihre Website jetzt kostenlos - Sorrel listet jeden Tracker auf, der vor der Einwilligung lädt, samt Anbieter, Zweck und Rechtsgrundlage. Auf der Seite Funktionen sehen Sie den vollen Prüfumfang.

Die häufigsten versteckten Tracker

| Dienst | Cookie/Signal | Typische Quelle | | --- | --- | --- | | Google Analytics | _ga, _gid | gtag.js, Tag Manager | | Meta Pixel | _fbp | Marketing-Plugin | | Hotjar | _hjSession | Heatmap-Tool | | Google Maps | NID-Cookie | Karten-Embed | | YouTube | VISITOR_INFO | Video-Embed |

Beachten Sie auch den Drittlandtransfer: Übermitteln diese Dienste Daten in die USA, müssen Sie das nach Schrems II (EuGH C-311/18) gesondert dokumentieren und rechtlich absichern.

Häufige Fragen

Welche Tracker sind ohne Einwilligung erlaubt?

Nur technisch zwingend notwendige, etwa der Session-Cookie für den Warenkorb oder ein Cookie, das die Consent-Entscheidung selbst speichert. Statistik- und Marketing-Tracker brauchen immer eine vorherige Einwilligung nach § 25 Abs. 1 TTDSG. Details erklärt unser Beitrag § 25 TTDSG: Cookies erklärt.

Reicht es, den Consent-Banner zu prüfen?

Nein. Ein korrekter Banner garantiert nicht, dass alle Skripte ihn respektieren. Plugins, Embeds und Tag-Manager-Tags umgehen die CMP häufig. Sie müssen das tatsächliche Ladeverhalten im Browser prüfen - nicht nur die Banner-Konfiguration.

Wie oft sollte ich scannen?

Bei jeder Änderung an Website, Plugins oder Marketing-Tools - mindestens aber monatlich. Tracker schleichen sich oft durch Updates ein. Eine regelmäßige automatische Überwachung bieten unsere Tarife. Eine vollständige Übersicht aller Prüfpunkte finden Sie in der DSGVO-Website-Checkliste 2026.