gdpr-tracker-script-pre-consent
Tracker-Skript vor Einwilligung geladen
Ein Drittanbieter-Tracking-Skript wird beim ersten Seitenaufruf heruntergeladen und ausgeführt, bevor die Besucherin eingewilligt hat. Unter DSGVO und TDDDG ist das eine unzulässige Verarbeitung, auch wenn das Skript "noch nichts macht".
Worum es geht
Die Seite enthält ein <script>-Tag, oder einen Inline-Schnipsel,
der zur Laufzeit eines erzeugt, das auf einen bekannten
Tracker-Host verweist. Das Skript wird beim ersten Seitenaufruf
abgerufen und ausgeführt, bevor die Besucherin überhaupt einen
Consent-Banner gesehen hat, geschweige denn etwas darin geklickt
hätte.
Häufige Übeltäter sind googletagmanager.com,
google-analytics.com, connect.facebook.net,
static.hotjar.com, script.crazyegg.com, cdn.mouseflow.com,
cdn.heapanalytics.com und cdn.matomo.cloud (wenn nicht selbst
gehostet). Sobald sie geladen werden, übertragen sie IP-Adresse,
User-Agent, Seiten-URL und eine eindeutige Kennung an den
Tracker-Anbieter.
Warum das wichtig ist
Einige Fakten zur rechtlichen Tragweite.
-
Die IP-Adresse ist personenbezogenes Datum. Der EuGH hat das in Breyer (C-582/14, 2016) bestätigt. Eine IP-Adresse ohne Einwilligung in ein Drittland zu schicken (USA bei Google, Meta, Hotjar) berührt DSGVO Art. 6 plus die durch Schrems II betroffenen Vorschriften zu Drittlandtransfers.
-
Einwilligung muss vorher erfolgen. TDDDG §25 und Art. 5(3) ePrivacy verlangen Einwilligung, bevor irgendetwas auf dem Endgerät gespeichert oder ausgelesen wird. Ein Skript, das beim ersten Parsen eine externe Ressource lädt und Browser-Speicher liest oder schreibt, tut genau das Verbotene.
-
“Es lädt nur, es trackt noch nicht” ist keine Verteidigung. Deutsche Behörden und Gerichte haben durchgehend entschieden, dass schon der Skript-Ladevorgang die Datenübertragung darstellt. Das Landgericht München I (Az. 3 O 17493/20, Januar 2022) hat 100 € Schadensersatz plus Unterlassung wegen eines einzigen Google-Fonts-Requests verhängt. Unser Google-Fonts-Artikel erklärt dieselbe Logik im Detail.
-
“Anonymes” Analytics ist nicht einwilligungsfrei. Google Analytics 4 lädt im “anonymen” Modus weiterhin das GTM/GA-Skript, setzt weiterhin Cookies, sofern nicht explizit deaktiviert, und schickt die IP weiterhin vor jeder Kürzung an Google. Schon das Laden des Skripts benötigt Einwilligung.
So beheben Sie das
Zwei sich ergänzende Wege, je nachdem wie das Skript auf Ihre Seite gelangt.
Wenn das Skript fest im Seiten-Template steht (hartkodiertes
<script>-Tag), verschieben Sie es in den
“Nach-Einwilligung”-Hook Ihrer Consent-Plattform. Die meisten
Plattformen liefern einen Wrapper, mit dem ein Skript als
Vendor-Name markiert wird. Die Plattform ersetzt es bis zur
Einwilligung durch einen Platzhalter.
Wenn das Skript über Google Tag Manager geladen wird, stellen
Sie in GTM jedes Analytics- oder Marketing-Tag von Trigger
“All Pages” auf ein Custom-Event um, das die Consent-Plattform
nach Einwilligung feuert. Cookiebot feuert
cookie_consent_update, Borlabs borlabs-cookie-config-loaded,
Real Cookie Banner RCB-CookieAcceptedCategory. Dokumentieren Sie
das GTM-Setup, damit es einen Plattform-Wechsel überlebt.
Nach der Behebung in einem frischen Inkognito-Fenster prüfen. Entwicklertools öffnen, auf den Netzwerk-Tab gehen, Cookies ablehnen, Seite neu laden, nach dem Tracker-Host filtern. Es darf kein Request rausgehen, bis Sie auf “Akzeptieren” klicken.