ePrivacy + Cookie 2026

Tracking-Tools sortiert: Welche brauchen Einwilligung, welche nicht — und welche fliegen besser raus

Stand: 15. Dezember 20253 Min Lesezeit

Was drin steht

  • Vier Kategorien helfen beim Sortieren: zwingend (kein Banner-Eintrag), serverseitige Auswertung ohne Personen-Bezug (in vielen Fällen ohne Einwilligung), klassisches Tracking mit Personen-Bezug (Einwilligung-Pflicht), Marketing-Pixel (Einwilligung-Pflicht plus AVV mit oft kritischer Drittland-Übertragung).
  • Server-Side-Tracking ist 2026 die ehrlichste Alternative zu klassischen Drittanbieter-Skripten — eigene Datenhoheit, weniger Drittland-Probleme, weniger Browser-Blocker-Verluste. Aber: nicht „einwilligungsfrei“, sobald Personen-Bezug entsteht.
  • First-Party-Cookies sind nicht automatisch besser als Third-Party — was zählt, ist der Zweck der Verarbeitung, nicht die technische Herkunft. Wer First-Party-Cookies für Personen-Verfolgung nutzt, braucht Einwilligung.
  • Die kritischsten Tools im Mittelstand: eingebettete YouTube-Videos (Google-Drittland), eingebettete Karten (Google Maps mit Personen-Bezug-Risiko), Reichweiten-Messung mit Third-Party-Skript (klassisches GA4), Facebook-Pixel (USA-Drittland plus Einwilligung-pflichtig).
  • Wer Open-Source-Werkzeuge wie Matomo oder Plausible serverseitig betreibt, kommt in vielen Mittelstands-Fällen ohne Einwilligung aus — vorausgesetzt, die Konfiguration ist sauber anonym und es gibt keinen Personen-Bezug.

Cookie-Banner sind nur die Spitze. Darunter liegen 30–80 Werkzeuge, die in einer typischen Mittelstands-Website ablaufen — manche zwingend, manche optional, manche schlicht überflüssig. Hier kommt die Sortierung, mit der du heute aufräumst: was wirklich Einwilligung braucht, was nicht, und was du besser ganz rauswirfst.

Vier Kategorien — die Sortier-Logik

Kategorie 1 — Zwingend technisch notwendig

Was die Seite zum Funktionieren braucht. Kein Banner-Eintrag, keine Einwilligung. Beispiele:

  • Sitzungs-Cookies für Login und Warenkorb,
  • CSRF-Schutz-Token,
  • Sprach- oder Region-Wahl,
  • Last-Verteilung (Load-Balancer-Cookies),
  • Consent-Speicherung selbst (wo der Cookie-Banner sich merkt, was du geklickt hast).

Das ist § 25 TDDDG Absatz 2 — Cookies, die zur Bereitstellung des vom Nutzer gewünschten Dienstes unbedingt erforderlich sind.

Kategorie 2 — Serverseitige Auswertung ohne Personen-Bezug

Reichweiten-Messung, Performance-Monitoring, Server-Logs — wenn sauber anonymisiert konfiguriert. Kein Banner-Eintrag in vielen Fällen, aber die Datenschutz-Erklärung sollte den Zweck transparent machen.

Voraussetzung: keine Identifizierung einzelner Nutzer möglich, IP-Adressen werden gekürzt oder gehasht, kein Browser-Fingerprinting, keine Verkettung über Seiten oder Sitzungen hinweg.

Beispiele: Server-Logs mit gekürzter IP, Matomo selbst gehostet mit IP-Anonymisierung, Plausible (das ohne Personen-Bezug arbeitet), eigene Performance-Metriken über Beacon-API mit anonymem Marker.

Kategorie 3 — Klassisches Tracking mit Personen-Bezug

Browser-Cookies, Session-Identifier, IDs in Browser-Storage — Einwilligung-Pflicht, Banner-Eintrag, granulare Auswahl. Beispiele:

  • Google Analytics 4 in Standard-Konfiguration,
  • Heatmaps mit Sitzungs-Aufzeichnung,
  • A/B-Test-Werkzeuge mit Variant-Cookies,
  • Mehrwert-Dienste mit User-Identifizierung (Live-Chat-Werkzeuge, die Sitzungen erkennen).

Kategorie 4 — Marketing-Pixel und Drittanbieter-Tracker

Werbe-Tracking-Pixel, Conversion-Tracker, Retargeting-Skripte. Einwilligung-Pflicht, Banner-Eintrag, plus zusätzliche Herausforderung: viele dieser Tools übertragen in die USA (Drittland mit besonderer Sorgfalts-Pflicht seit Schrems II).

Beispiele: Facebook-Pixel, Google-Ads-Conversion-Tracking, LinkedIn-Insight-Tag, TikTok-Pixel, Outbrain, Taboola.

Die fünf häufigsten Tools im Mittelstand — sortiert

1. Google Analytics 4

Kategorie 3 oder 4 — je nach Konfiguration. Default: Personen-Bezug, USA-Drittland, Einwilligung-Pflicht. Mit IP-Anonymisierung und ohne Werbe-Funktionen: weiter Kategorie 3 (Einwilligung), aber besser handhabbar.

Alternative: Matomo selbst gehostet (in vielen Konfigurationen Kategorie 2 ohne Einwilligung), Plausible (kommerziell, EU-Hosting, anonym, ohne Cookies).

2. Eingebettete YouTube-Videos

Kategorie 4. YouTube lädt beim Aufruf bereits Google-Tracking-Cookies — auch wenn das Video nicht gestartet wird. Lösung: Zwei-Klick-Lösung („Klick zum Aktivieren“) mit Einwilligung-Pflicht oder Wechsel auf YouTube-NoCookie-Variante mit gleichzeitigem Banner-Eintrag.

3. Google Maps

Kategorie 3 oder 4 — Personen-Bezug bei Karten-Interaktion. Lösung: Karten-Bild als statische Vorschau, Klick zur Aktivierung des interaktiven Maps mit Einwilligung. Oder Alternativen wie OpenStreetMap-basiert (Leaflet, MapLibre) — diese laufen meist ohne Tracking.

4. Live-Chat-Werkzeuge

Kategorie 3 — Sitzungs-Identifier nötig für die Chat-Funktion. Einwilligung-Pflicht. Premium-Variante: eigenes Chat-Werkzeug auf eigener Infrastruktur (wie Hannes), das mit pseudonymer Sitzungs-ID ohne Personen-Identifizierung arbeitet.

5. Newsletter-Anmelde-Formular mit Drittanbieter

Wenn das Anmelde-Formular einen Drittanbieter-Skript lädt (Tracking-Pixel für Conversion-Messung): Kategorie 4. Wenn das Formular nur an einen Mail-Anbieter sendet, ohne Skript: Kategorie 1 (nur die Übermittlung der Daten unterliegt der DSGVO, kein Tracking).

Was du heute wegwerfen kannst — die typischen Altlasten

  • Heatmap-Werkzeug, das einmal eingebaut wurde und seit zwei Jahren niemand anschaut,
  • A/B-Test-Skript einer alten Kampagne, die längst abgeschlossen ist,
  • Social-Share-Buttons (Facebook, X, LinkedIn) mit Tracking-Skripten — Alternative: einfache Mailto- oder Copy-Link-Buttons ohne Tracking,
  • Tag-Manager mit 30 hinterlegten Tags, von denen 22 inaktiv sind — der Tag-Manager selbst lädt schon Tracking-fähige Skripte, auch wenn die Tags nicht feuern,
  • Google-Schriften (Web-Fonts) direkt von Google geladen — Personen-Bezug durch IP-Übertragung, einfacher selbst hosten.

Praktisches Vorgehen: einmal pro Quartal die Tag-Liste sichten, alles raus, was nicht aktiv genutzt wird oder dessen Nutzen niemand mehr nennen kann.

Server-Side-Tracking — die ehrliche Alternative

Statt 20 Drittanbieter-Skripte im Browser zu laden, sammelt deine Site die Daten selbst und schickt sie serverseitig an die Auswertungs-Werkzeuge weiter. Vorteile:

  • Eigene Datenhoheit — du entscheidest, was an wen geht,
  • Weniger Drittland-Probleme — die USA-Übertragung passiert kontrolliert, nicht im Browser jedes Nutzers,
  • Weniger Browser-Blocker-Verluste — Browser-Blocker erkennen Server-Side-Anbindungen schlechter,
  • Performance-Vorteil — keine 20 externen Skripte mehr im Browser.

Aber: Server-Side-Tracking ist nicht automatisch „einwilligungsfrei“. Sobald Personen-Bezug entsteht (Cookie gesetzt, ID erstellt), braucht es Einwilligung — egal ob im Browser oder auf dem Server. Wer Server-Side mit „kein Banner mehr nötig“ verwechselt, baut sich ein größeres Problem.

Was Hannes daraus macht

Wir prüfen im Audit jedes Werkzeug auf der Seite und ordnen es in eine der vier Kategorien ein. Liefern eine Tabelle: was bleibt, was fliegt raus, was wechselt auf eine datenschutzfreundlichere Alternative. Bei neuen Projekten bauen wir Standard mit Server-Side-Performance-Metrik, Matomo selbst gehostet oder Plausible, statisches Karten-Bild mit Klick-Aktivierung — Banner-Reibung minimal, Datenschutz hoch.

Wenn du wissen willst, was auf deiner Site läuft: frag Hannes — er zeigt dir eingebundene Werkzeuge und ihre Tracking-Stufe. Wer aufräumen will, buch einen Termin.

Häufige Fragen

Wenn ich Matomo selbst hoste, brauche ich wirklich keinen Banner-Eintrag?
Bei sauberer Konfiguration: korrekt. Voraussetzungen: IP-Anonymisierung aktiviert, keine User-IDs, keine Verkettung über Sitzungen hinweg, kein Browser-Fingerprinting, Aufbewahrungs-Frist begrenzt. Wer Matomo so betreibt, erfüllt § 25 Abs. 2 TDDDG („zur Bereitstellung des Dienstes erforderlich“ erweitert auf „pseudonyme Reichweiten-Messung im berechtigten Interesse“). Mit eingeschalteten Werbe-Features oder User-IDs: zurück zu Einwilligung-Pflicht.
Was ist mit Google Tag Manager — der lädt doch selbst keine Tracking-Daten?
Korrekt, aber: GTM selbst lädt das Skript von Google-Servern, was eine IP-Übertragung in die USA bedeutet. Datenschutz-Aufsichten in mehreren Bundesländern bewerten das als Drittland-Übertragung mit Einwilligungs-Pflicht. Sauberer Weg: selbst gehostete Tag-Manager-Alternative (Matomo Tag Manager, Piwik PRO) oder direkter Einbau der wenigen wirklich benötigten Skripte ohne Tag-Manager.
Reicht es, Google-Schriften selbst zu hosten?
Ja. Schriften lokal in der Site einbinden (statt von fonts.googleapis.com zu laden) löst das DSGVO-Problem. Vorteil zusätzlich: Performance — eine Schrift weniger, die im Browser nachgeladen werden muss. Tools wie google-webfonts-helper.herokuapp.com erzeugen die nötigen Dateien aus einer Google-Schrift in 2 Minuten.
Was, wenn der Werbe-Anbieter sagt, sein Pixel sei „einwilligungsfrei“?
Vorsicht. Pixel-Anbieter haben ein Interesse, ihren Tracker als unproblematisch darzustellen — aber die rechtliche Bewertung liegt bei dir, nicht beim Anbieter. Faustregel: Wenn das Pixel eine Identifier-Cookie setzt oder einen Personen-Bezug aufbaut, braucht es Einwilligung. Anbieter-Behauptungen reichen vor Aufsichts-Behörden nicht als Rechtfertigung.
Müssen wir Newsletter-Anmeldungen über ein Drittanbieter-Werkzeug abwickeln?
Nicht zwingend. Wer wenige Newsletter-Anmeldungen pro Monat hat, kann das mit eigenem Formular und einer Verarbeitungs-Logik im eigenen System lösen — ohne Drittanbieter-Tracking, ohne zusätzliche Datenschutz-Erklärung. Größere Volumen oder professionelle Versand-Anforderungen lohnen ein spezialisiertes Werkzeug — am besten ein EU-gehostetes ohne USA-Übertragung.
Wie oft sollten wir die Tag-Liste aufräumen?
Mindestens quartalsweise. Praktisch: einmal pro Quartal jemand schaut auf die aktive Werkzeug-Liste, fragt für jedes Werkzeug: „Nutzen wir die Daten wirklich? Wann zuletzt? Wer schaut da rein?“ Werkzeuge, die niemand nutzt, fliegen raus. Das ist die einfachste und wirksamste Datenschutz-Maßnahme — und gleichzeitig ein Performance-Gewinn.

Das regeln wir — so sieht das bei uns aus.

Unsicher, wo deine Seite steht? Frag Hannes — er schaut sie sich an und sagt dir ehrlich, was zu holen ist.

Weiterlesen

05.03.2026Newsletter-Einwilligung in der Praxis: Double-Opt-In, Beweispflicht, Bestätigungs-Logs15.02.2026Cookie-Banner 2026: Der ehrliche Stand nach TDDDG, EuGH und DE-Anpassung08.10.2025Cookie-Banner rechtssicher: Was 2025 wirklich rein muss — und was rausfliegt