69 % der Top-Websites laden Tracker, bevor Sie zustimmen
Vaclav Ras
Sieben von zehn Websites beginnen mit dem Tracking, bevor Sie auf „Akzeptieren" klicken. Das ist das zentrale Ergebnis unseres automatisierten Compliance-Scans von 100 populären Websites aus fünf Regionen — Tschechien, Slowakei, Deutschland, Österreich und internationale Domains (.com).
Das ist kein theoretisches Risiko. Nach der DSGVO und der ePrivacy-Richtlinie ist das Laden von Analytics- oder Werbe-Skripten vor der ausdrücklichen Einwilligung des Nutzers ein Verstoß. Dennoch zeigen unsere Daten, dass diese Praxis weit verbreitet ist — auch bei bekannten Marken.
Methodik
Jede Website wurde mit einem automatisierten Headless-Chromium-Browser gescannt, der auf einem EU-Server lief. Jeder Scan begann mit einem sauberen Browserprofil — keine Cookies, kein Cache, kein vorheriger Einwilligungsstatus. Der Scanner überwachte alle Netzwerkanfragen in vier Consent-Phasen: vor jeglicher Interaktion mit dem Consent-Banner, nach Annahme der Einwilligung, nach Ablehnung der Einwilligung und nach Seitenneuladen in beiden Zuständen.
Jeder erkannte Drittanbieter wurde nach Kategorie (Analytics, Werbung, funktional) klassifiziert, und seine erste Netzwerkanfrage wurde relativ zur Consent-Interaktion zeitlich eingeordnet. Ein Anbieter, der vor der Interaktion des Nutzers mit dem Banner feuert, wird als Pre-Consent-Verstoß markiert. Die endgültigen Compliance-Scores (0–100) und Bewertungen (A–F) wurden auf Basis des Anbieter-Verhaltens, der Banner-Erkennung, der Google-Consent-Mode-Implementierung und der Schwere der Verstöße berechnet.
Gesamtergebnisse
Von 100 gescannten Websites betrug der durchschnittliche Compliance-Score 81,5 von 100. Das klingt zunächst akzeptabel, doch die Notenverteilung zeigt ein anderes Bild:
| Bewertung | Websites | Anteil |
|---|---|---|
| A | 44 | 44 % |
| B | 16 | 16 % |
| C | 20 | 20 % |
| D | 14 | 14 % |
| F | 2 | 2 % |
Fast 4 von 10 Websites erhielten eine Bewertung von C oder schlechter. Die beiden F-bewerteten Websites — eBay.com (25 Punkte) und Welt.de (30,7 Punkte) — zeigten schwerwiegende Compliance-Verstöße mit mehreren Tracking-Anbietern, die ohne jegliche Einwilligung feuerten.
Durchschnittlicher Score nach Region
| Region | Websites | Durchschn. Score | Verstoßquote |
|---|---|---|---|
| Österreich (.at) | 20 | 90,3 | 55 % |
| Deutschland (.de) | 19 | 89,7 | 42 % |
| International (.com) | 20 | 82,6 | 55 % |
| Slowakei (.sk) | 19 | 74,2 | 100 % |
| Tschechien (.cz) | 20 | 70,6 | 100 % |
Deutschsprachige Märkte führten bei den Compliance-Scores, während mitteleuropäische Websites universelle Pre-Consent-Verstöße aufwiesen — trotz relativ hoher Consent-Mode-Adoption.
Pre-Consent-Verstöße
Das Kernergebnis: 69 von 100 Websites (69 %) luden mindestens einen Tracking-Anbieter, bevor der Nutzer mit dem Consent-Banner interagierte. Auf dem tschechischen und slowakischen Markt feuerte jede einzelne gescannte Website Tracker vor der Einwilligung.
Das bedeutet nicht, dass diese Websites keine Consent-Banner haben — 90 von 100 hatten ein erkennbares Cookie-Banner. Es bedeutet, dass die Banner dekorativ sind: Skripte laden unabhängig davon, ob der Nutzer zugestimmt hat.
Häufigste Anbieter vor Einwilligung
| Anbieter | Kategorie | Websites |
|---|---|---|
| Google Tag Manager | Funktional | 62 |
| Google Analytics 4 | Analytics | 24 |
| Meta Pixel | Werbung | 11 |
| Seznam Sklik | Werbung | 10 |
| Criteo | Werbung | 9 |
| Google Ads | Werbung | 6 |
| Adobe Launch | Funktional | 5 |
| Microsoft Clarity | Analytics | 4 |
| Matomo | Analytics | 3 |
| Adobe Analytics | Analytics | 3 |
| Exponea | Analytics | 3 |
| Heureka | Werbung | 3 |
| Pinterest Tag | Werbung | 2 |
| Hotjar | Analytics | 2 |
| TikTok Pixel | Werbung | 2 |
Google Tag Manager erschien auf 62 Websites vor der Einwilligung — damit ist er das häufigste Pre-Consent-Skript. Obwohl GTM selbst ein Tag-Container ist (kein Tracker), bedeutet sein Laden vor der Einwilligung typischerweise, dass auch alle darin konfigurierten Tags vor der Einwilligung feuern. GA4, der zweithäufigste Verstoß, erschien auf 24 Websites.
Werbe-Tracker sind aus rechtlicher Sicht besonders problematisch: Meta Pixel (11 Websites), Seznam Sklik (10 Websites) und Criteo (9 Websites) setzen Cookies und senden Nutzerdaten an Drittanbieter-Server — ohne Einwilligung.
Cookie-Banner-Erkennung
Von 100 gescannten Websites hatten 90 (90 %) ein erkennbares Consent-Banner. Die übrigen 10 zeigten entweder kein Banner an oder verwendeten eine nicht-standardmäßige Implementierung, die programmatisch nicht erkannt werden konnte.
Banner-Erkennung ist nicht gleichbedeutend mit Compliance. Wie oben gezeigt, feuerte die Mehrheit der Websites mit Bannern dennoch Tracker, bevor Nutzer die Möglichkeit hatten, mit ihnen zu interagieren.
Google Consent Mode v2
Die Adoption von Google Consent Mode v2 war hoch: 96 von 100 Websites (96 %) hatten ihn implementiert. Dies ist wahrscheinlich auf Googles Durchsetzungsfristen zurückzuführen, die Consent Mode für die weitere Nutzung von Google Ads und GA4-Funktionen im EWR voraussetzten.
Die Consent-Mode-Adoption korrelierte jedoch nicht mit tatsächlicher Compliance. Tschechien hatte eine 100%ige Consent-Mode-Adoption, aber gleichzeitig eine 100%ige Pre-Consent-Verstoßquote. Das deutet darauf hin, dass viele Implementierungen unvollständig sind — der Standard-Consent-Status ist möglicherweise nicht auf „denied" gesetzt, oder die Tag-Konfiguration respektiert keine Consent-Signale.
| Region | Consent-Mode-Adoption | Verstoßquote |
|---|---|---|
| Tschechien | 100 % (20/20) | 100 % |
| Österreich | 100 % (20/20) | 55 % |
| International (.com) | 95 % (19/20) | 55 % |
| Slowakei | 100 % (19/19) | 100 % |
| Deutschland | 89 % (17/19) | 42 % |
Schweregrad der Verstöße
Über alle 100 Websites hinweg haben wir 134 Verstöße insgesamt erfasst: 26 kritische und 108 Warnungen. Kritische Verstöße betrafen typischerweise Tracking-Skripte, die vollständig ohne Einwilligung geladen wurden, während Warnungen auf Probleme wie fehlende Consent-Mode-Standardzustände oder unvollständige Consent-Signal-Verarbeitung hinwiesen.
Beste und schlechteste Websites
Top 5 (Score 100, Bewertung A):
- Česká spořitelna (csas.cz) — Tschechien
- GMX.at — Österreich
- Profesia.sk — Slowakei
- Česká televize (ceskatelevize.cz) — Tschechien
- Tripadvisor.com — International
Diese Websites wiesen vollständige Compliance nach: kein Pre-Consent-Tracking, korrekte Banner-Implementierung und richtige Consent-Mode-Konfiguration.
Die 5 schlechtesten:
| Website | Region | Score | Bewertung |
|---|---|---|---|
| eBay.com | International | 25 | F |
| Welt.de | Deutschland | 30,7 | F |
| Expedia.com | International | 40 | D |
| Airbnb.com | International | 40 | D |
| iDNES.cz | Tschechien | 51 | D |
Regionale Einblicke
Tschechien — Alle 20 der meistbesuchten tschechischen Websites feuerten mindestens einen Tracker vor der Einwilligung, trotz universeller Consent-Mode-Adoption und Banner-Präsenz (19/20). Der durchschnittliche Score von 70,6 war der niedrigste aller Regionen. Der tschechische Markt behandelt Consent-Banner offensichtlich als Formalität und nicht als funktionale Barriere.
Slowakei — Ein ähnliches Muster wie in Tschechien: 100 % Verstoßquote mit einem durchschnittlichen Score von 74,2. Alle 19 gescannten slowakischen Websites luden Tracking-Skripte vor der Einwilligung. Dennoch stach Profesia.sk als perfekter Scorer hervor — ein Beweis, dass Compliance erreichbar ist.
Deutschland — Die beste Region nach Verstoßquote (42 %), obwohl Welt.de den Durchschnitt mit einer F-Bewertung drückte. Deutsche Websites profitieren von strengerer regulatorischer Durchsetzung und höherem Bewusstsein für DSGVO-Anforderungen.
Österreich — Hohe Durchschnittsscores (90,3), gepaart mit einer 55%igen Verstoßquote. Österreichische Websites implementierten Consent-Mechanismen generell korrekt, obwohl mehr als die Hälfte mindestens einen Anbieter hatte, der vor der Einwilligung durchschlüpfte.
International (.com) — Ein gemischtes Bild. Tripadvisor erzielte perfekte 100, während eBay (25) und Expedia (40) zu den schlechtesten insgesamt gehörten. Große internationale Plattformen haben oft komplexe Tag-Management-Setups, die ein konsistentes Consent-Gating erschweren.
Empfehlungen
Wenn Ihre Website in dieser Studie vorkommt — oder ähnliche Tracking-Setups verwendet — sollten Sie Folgendes prüfen:
- Überprüfen Sie die Tag-Feuerreihenfolge. Öffnen Sie DevTools, löschen Sie Cookies und laden Sie die Seite neu. Wenn Sie Netzwerkanfragen an Analytics- oder Werbe-Endpunkte sehen, bevor Sie mit dem Banner interagieren, liegt ein Verstoß vor.
- Setzen Sie Consent-Mode-Standardwerte auf „denied". Viele Implementierungen überspringen diesen Schritt. Ohne explizite Standardverweigerung feuern Tags in ihrem Standardzustand (consent-granted).
- Laden Sie GTM nicht vor der Einwilligung, es sei denn, Ihr GTM-Container ist so konfiguriert, dass er Consent-Signale respektiert. Ein Tag-Container, der alle Tags beim Seitenaufruf feuert, macht den Zweck eines Consent-Banners zunichte.
- Testen Sie den Ablehnungs-Flow. Viele Websites testen nur den „Akzeptieren"-Pfad. Überprüfen Sie, dass das Ablehnen der Einwilligung tatsächlich Tracking-Anfragen blockiert — sowohl auf der Ausgangsseite als auch nach dem Neuladen.
- Automatisieren Sie das Compliance-Monitoring. Manuelle Prüfungen finden Probleme einmalig. Automatisierte Scans erkennen Regressionen jedes Mal, wenn sich eine Tag- oder CMP-Konfiguration ändert.
Über diese Studie
Diese Analyse wurde mit AnalyticsProof durchgeführt, einer Plattform für automatisiertes Compliance-Monitoring. Die Daten stammen aus unserem öffentlichen Leaderboard, das regelmäßig 100 Websites in fünf Regionen scannt.
Sie können einen kostenlosen Scan Ihrer Website unter analyticsproof.com durchführen oder die vollständigen Leaderboard-Ergebnisse unter analyticsproof.com/leaderboard einsehen.
Bleiben Sie informiert
Erhalten Sie die neuesten Artikel zur Analytics-Compliance direkt in Ihr Postfach.