Scanner

Third-Party-Tracker auf deiner Website: Was die DSGVO verlangt

Google Analytics, Facebook Pixel, Hotjar und Co.: Welche Third-Party-Tracker DSGVO-relevant sind, welche Einwilligung nötig ist und wie du sie erkennst.

Compliso Team
5 Min. Lesezeit

Die meisten Websites laden im Hintergrund Dutzende externer Scripts — Google Analytics, Facebook Pixel, Hotjar, LinkedIn Insight Tag und mehr. Viele Website-Betreiber wissen nicht einmal, welche Tracker auf ihrer Seite aktiv sind, geschweige denn, ob sie DSGVO-konform eingebunden sind.

In diesem Artikel erklären wir, warum Third-Party-Tracker problematisch sind, welche Einwilligung die DSGVO verlangt und wie du versteckte Tracker auf deiner Website aufspürst.

Was sind Third-Party-Tracker?

Third-Party-Tracker sind Scripts, die von externen Anbietern auf deiner Website geladen werden. Sie setzen Cookies, lesen Browser-Informationen aus und senden Daten an die Server des Drittanbieters. Das passiert oft ohne dass der Nutzer es bemerkt — und genau das ist das Problem.

Der entscheidende Punkt: Sobald ein Third-Party-Script personenbezogene Daten verarbeitet (und dazu gehört bereits die IP-Adresse), greift die DSGVO. Und das betrifft praktisch jeden Tracker.

Die häufigsten Tracker und ihre Probleme

Google Analytics (GA4)

Google Analytics ist der am weitesten verbreitete Web-Analytics-Dienst. GA4 setzt mehrere Cookies (_ga, _ga_*) und überträgt bei jedem Seitenaufruf Daten an Google-Server — darunter IP-Adresse, Browser-Fingerprint, Seitenaufrufe und Interaktionen.

DSGVO-Anforderungen:

  • Einwilligung vor dem Laden des Scripts (Opt-in)
  • Google Consent Mode v2 muss implementiert sein
  • Auftragsverarbeitungsvertrag (AVV) mit Google abschließen
  • Erwähnung in der Datenschutzerklärung inkl. Drittlandtransfer (USA)
  • Speicherdauer der Cookies dokumentieren

Facebook Pixel (Meta)

Das Facebook Pixel trackt Nutzerverhalten auf deiner Website und sendet es an Meta, um Werbekampagnen zu optimieren. Es setzt Cookies wie _fbp und _fbc und kann Nutzer auch dann identifizieren, wenn sie nicht bei Facebook eingeloggt sind.

Besonders problematisch: Das Pixel überträgt standardmäßig detaillierte Event-Daten (Seitenaufrufe, Klicks, Warenkorbaktionen) an Meta-Server in den USA. Ohne explizite Einwilligung ist das ein klarer DSGVO-Verstoß.

TikTok Pixel

Ähnlich wie das Facebook Pixel trackt das TikTok Pixel Nutzeraktionen für Werbeoptimierung. Es setzt Third-Party-Cookies und überträgt Daten an Server in mehreren Ländern, darunter die USA und Singapur. Die Datenschutzrisiken sind vergleichbar mit dem Facebook Pixel, die Transparenz von TikTok zur Datenverarbeitung wird von Datenschutzbehörden jedoch noch kritischer bewertet.

LinkedIn Insight Tag

Der LinkedIn Insight Tag ermöglicht Conversion-Tracking und Retargeting für LinkedIn-Kampagnen. Er setzt den li_fat_id-Cookie und überträgt Daten über Seitenbesuche an LinkedIn. Auch hier gilt: Nur mit vorheriger Einwilligung und Erwähnung in der Datenschutzerklärung.

Hotjar und Session Recording

Hotjar geht einen Schritt weiter als klassische Analytics-Tools: Es zeichnet Mausklicks, Scrollverhalten und teilweise ganze Sessions auf. Nutzer werden per Session-Cookie (_hjSessionUser) identifiziert.

Besonders kritisch:

  • Session Recordings können versehentlich personenbezogene Daten in Formularen aufzeichnen
  • Heatmaps erfassen detailliertes Nutzerverhalten
  • Die Datenverarbeitung erfolgt auf Hotjar-Servern (EU, aber Subprozessoren in den USA)

Ohne Einwilligung ist der Einsatz von Hotjar nicht DSGVO-konform. Die französische Datenschutzbehörde CNIL hat Session-Recording-Tools explizit als einwilligungspflichtig eingestuft.

Weitere häufige Tracker

  • Google Tag Manager: Lädt selbst keine Cookies, ermöglicht aber das Nachladen beliebiger Scripts. Muss dennoch im Consent-Management berücksichtigt werden.
  • Google Ads Remarketing: Setzt Cookies für personalisierte Werbung. Einwilligung zwingend.
  • Pinterest Tag, Twitter Pixel, Snapchat Pixel: Alle setzen Third-Party-Cookies für Werbe-Tracking. Alle einwilligungspflichtig.
  • Intercom, Drift, HubSpot Chat: Chat-Widgets, die oft unbemerkt Tracking-Cookies setzen.
  • Vimeo, YouTube (ohne erweitertem Datenschutzmodus): Setzen beim Einbetten Cookies, auch wenn der Nutzer das Video nicht abspielt.

Was die DSGVO konkret verlangt

1. Einwilligung vor dem Laden (Opt-in)

Nach Art. 6 Abs. 1 lit. a DSGVO und der ePrivacy-Richtlinie (umgesetzt durch das TDDDG in Deutschland) gilt: Nicht-notwendige Tracker dürfen erst nach ausdrücklicher Einwilligung geladen werden. Das bedeutet:

  • Kein Script-Tag im HTML, der sofort lädt
  • Der Cookie-Banner muss Scripts aktiv blockieren, bis Consent erteilt wird
  • ”Berechtigtes Interesse” reicht bei Trackern in der Regel nicht als Rechtsgrundlage

2. Transparenz in der Datenschutzerklärung

Für jeden Tracker muss die Datenschutzerklärung enthalten:

  • Name des Dienstes und des Anbieters
  • Zweck der Datenverarbeitung
  • Welche Daten erhoben werden
  • Rechtsgrundlage (Einwilligung)
  • Speicherdauer der Cookies
  • Drittlandtransfer und Schutzmaßnahmen (z.B. EU-US Data Privacy Framework)

3. Auftragsverarbeitungsvertrag (AVV)

Für jeden Dienst, der in deinem Auftrag personenbezogene Daten verarbeitet, brauchst du einen AVV nach Art. 28 DSGVO. Google, Meta, LinkedIn und andere bieten standardisierte AVVs an, die du abschließen musst.

4. Datenminimierung

Art. 5 Abs. 1 lit. c DSGVO verlangt, dass du nur die Daten erhebst, die für den jeweiligen Zweck notwendig sind. Frage dich bei jedem Tracker: Brauche ich das wirklich? Gibt es eine datensparsamere Alternative?

Checkliste: Third-Party-Tracker DSGVO-konform einbinden

  • Vollständige Bestandsaufnahme aller Tracker auf der Website
  • Cookie-Banner blockiert alle nicht-notwendigen Scripts vor Consent
  • Google Consent Mode v2 implementiert (für Google-Dienste)
  • Datenschutzerklärung listet jeden Tracker mit allen Pflichtangaben auf
  • AVV mit jedem Tracker-Anbieter abgeschlossen
  • Cookie-Laufzeiten dokumentiert und angemessen
  • Drittlandtransfers identifiziert und abgesichert
  • Regelmäßige Prüfung auf neue oder unbekannte Tracker

Das Problem: Versteckte Tracker

Die größte Herausforderung ist, dass viele Tracker nicht offensichtlich sind. Ein WordPress-Plugin lädt im Hintergrund ein externes Script. Ein eingebettetes YouTube-Video setzt Google-Cookies. Ein Chat-Widget überträgt IP-Adressen an Server in den USA.

Manuell ist es nahezu unmöglich, alle Tracker zu identifizieren. Ein automatisierter Website-Scanner löst dieses Problem.

Third-Party-Tracker mit Compliso erkennen

Der Compliso Scanner crawlt deine Website und erkennt automatisch alle Third-Party-Tracker, Cookies und externe Verbindungen. Dabei werden vier Erkennungsmethoden kombiniert:

  • Cookie-Scan: Erkennung aller First-Party- und Third-Party-Cookies mit Name, Anbieter und Laufzeit
  • Netzwerk-Analyse: Identifikation aller externen Verbindungen und Datenübertragungen
  • Script-Erkennung: Zuordnung bekannter Tracker-Scripts zu Anbietern und Kategorien
  • Compliance-Check: Prüfung, ob Tracker vor Consent geladen werden

Du erhältst eine vollständige Liste aller Tracker auf deiner Website — inklusive der Tracker, von denen du vielleicht gar nicht wusstest, dass sie da sind.

Erfahre mehr über den Compliso Website-Scanner oder scanne deine Website jetzt kostenlos und finde heraus, welche Third-Party-Tracker auf deiner Seite aktiv sind.

third-party-tracker dsgvo google-analytics facebook-pixel tracking

Deine Website DSGVO-konform machen?

Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.

Jetzt kostenlos scannen Kostenlos registrieren