Consent & Tag Manager richtig einrichten – so trackst du Daten rechtskonform
Warum die meisten Website-Betreiber*innen trotz Cookie-Banner und Tag Manager rechtlich angreifbar bleiben – und wie du es besser machst
- Grundlagen des Consent und Tag Managements
- Das fundamentale Problem: Wenn Consent und Tags nicht synchron laufen
- Die integrierte Lösung: Tag und Consent Management aus einer Hand
- Consent-freies Analytics
- Software-Tipp: Mit diesem Tool setzt du ein integriertes Consent- und Tag-Management um
- Consent & Tag Manager einrichten: Implementierungs-Roadmap
- Fazit: Warum integrierte Lösungen unverzichtbar sind
Du hast einen Cookie-Banner implementiert, deine Tags laufen über einen Manager und nun wähnst du dich auf der rechtlich sicheren Seite? Diese trügerische Gewissheit teilen viele Website-Betreiber*innen – bis zur ersten Abmahnung. Denn die erschreckende Realität ist: Zahlreiche Websites führen trotz Consent-Tools unwissentlich rechtswidriges Tracking durch. Woran das liegt und wie du es selbst besser machst, erfährst du in diesem Artikel.
Das Wichtigste in Kürze
- Getrennte Consent- und Tag-Management-Systeme schaffen rechtliche und technische Probleme durch asynchrone Datenverarbeitung.
- Die DSGVO erfordert explizite Zustimmung vor jeder Datenverarbeitung, was durch manuelle Synchronisation oft nicht gewährleistet ist.
- Das Urteil des VG Hannover bestätigt, dass Tools wie der Google Tag Manager nicht automatisch DSGVO-konform sind.
- Integrierte Lösungen wie etracker ermöglichen nahtlose Consent- und Tag-Synchronisation für rechtssichere und performante Websites.
- Die Umstellung auf ein zentrales System reduziert Compliance-Risiken, verbessert die Website-Performance und spart Ressourcen.
Grundlagen des Consent und Tag Managements
Bevor wir genauer auf die rechtlichen Fallstricke getrennter Systeme eingehen, schauen wir uns zunächst die Basics an:
Was ist Consent Management?
Consent Management verwaltet die rechtlich wirksame Einholung und Dokumentation von Einwilligungen (eng. Consent) für Datenverarbeitungen auf deiner Website. Das System erfasst, welche Tracking-Kategorien User*innen zu welchem Zeitpunkt aktiviert oder deaktiviert haben – in der Regel in Form von Cookie-Bannern. Es speichert diese Entscheidungen rechtskonform und stellt sicher, dass nur explizit genehmigte Datenverarbeitungen stattfinden.
Generell gilt: Ohne gültiges Consent Management verstößt jede Datenerfassung gegen DSGVO-Vorschriften und macht dich abmahnfähig.
Was ist Tag Management?
Tags sind kleine Codeschnipsel, die Daten über Nutzer-Verhalten sammeln und an externe Plattformen wie Google Analytics, Meta Ads oder Hotjar übertragen. Das Tag Management organisiert die zentrale Implementierung und Steuerung aller dieser Tracking-Codes, Analysescripts und Marketing-Pixel auf deiner Website über eine einzige Benutzeroberfläche. Der Vorteil dieser Vorgehensweise: Statt jeden Code manuell in den Quellcode einzufügen, definierst du Trigger, Variablen und Bedingungen in einem zentralen Tool. So bestimmst du, wann welche Tags ausgeführt werden. Diese Systematik spart Zeit, reduziert technische Fehlerquellen und ermöglicht Marketing-Teams die eigenständige Verwaltung ihrer Tracking-Tools ohne Entwickler-Support.
Wie hängen Consent und Tag Management zusammen?
Consent und Tag Management bilden ein eng vernetztes System: Die Einwilligungen sind die rechtliche Voraussetzung, damit Tags ausgeführt werden. Die Tags setzen dann die genehmigter Datenverarbeitungen um. Am besten funktioniert das, wenn Consent-Entscheidungen unmittelbar als Trigger für entsprechende Tag-Aktivierungen dienen
Im Idealfall sieht dieser Vorgang so aus:
So weit, so gut? Leider nicht! Zwischen Anspruch und Realität klafft nämlich häufig eine Lücke, die immer dann Zustande kommt, wenn Unternehmen ihr Consent und Tag Management in getrennten Systemen verwalten:
Das fundamentale Problem: Wenn Consent und Tags nicht synchron laufen
Betrachten wir zunächst die rechtlichen Grundlagen des Consent Managements: Laut DSGVO (Datenschutzgrundverodnung) darf eine Website persönliche Daten nur verarbeiten, wenn die Nutzer*innen vorher ausdrücklich zustimmen. Diese Zustimmung muss:
freiwillig gegeben werden (ohne Zwang),
genau erklären, wozu die Daten genutzt werden (spezifisch),
klar verständlich sein (informiert und unmissverständlich).
Das Konzept des „Prior Consent“ (also: vorherige Zustimmung) erfordert dabei die explizite Einwilligung vor jeder einzelnen Datenverarbeitungsaktivität, nicht allein vor der Website-Nutzung generell. Selbst Millisekunden zwischen Consent-Erteilung und tatsächlicher Datensammlung können rechtliche Compliance gefährden, da Tracking-Pixel, Analytics-Codes und Marketing-Tags erst nach spezifischer Kategorien-Zustimmung aktiviert werden dürfen.
Aber ich nutze doch den Google Tag Manager – damit bin ich abgesichert, oder?
Diese Annahme teilen viele Website-Betreiber*innen: Wer auf etablierte Tools wie den Google Tag Manager (GTM) setzt, wähnt sich rechtlich auf der sicheren Seite. Das Verwaltungsgericht Hannover durchkreuzte 2025 jedoch genau diese Erwartung mit einem wegweisenden Urteil. Die Richter*innen stellten unmissverständlich fest: Auch die Nutzung vom Google Tag Manager benötigt eine ausdrückliche Einwilligung, da er personenbezogene Daten wie IP-Adressen und Geräteinformationen sammelt und Cookies auf Endgeräten setzt.
Entscheidend war dabei die Erkenntnis, dass GTM technisch nicht erforderlich ist – alternative Lösungen existieren, GTM dient lediglich der Bequemlichkeit von Website-Betreiber*innen. Das Gericht argumentierte klar: Der Google Tag Manager lädt primär Tracking-Codes von Werbedienstleistern und erfüllt damit ausschließlich kommerzielle Interessen, nicht jedoch User-Bedürfnisse. Diese Rechtsprechung bedeutet konkret: Selbst Google-Tools garantieren keine automatische DSGVO-Compliance – entscheidend bleibt die korrekte rechtliche Implementierung und zeitliche Synchronisation zwischen Consent-Erteilung und Tag-Aktivierung.
Technische Realität vs. rechtliche Anforderungen
Getrennte Consent- und Tag-Management-Systeme haben häufig ein fundamentales Problem: Jede Tag-Änderung, Kategorien-Anpassung oder Script-Aktualisierung erfordert eine manuelle Synchronisation zwischen beiden Plattformen, wodurch Fehlerquellen entstehen und sich dein Arbeitsaufwand verdoppelt. Dieser Aufbau schadet dauerhaft deiner Website-Geschwindigkeit: Browser müssen gleichzeitig verschiedene Scripts laden, Consent-Status prüfen und Tag-Zustände abgleichen, wodurch Laufzeit-Konflikte entstehen. All das gefährdet nicht nur die User Experience durch längere Ladezeiten, sondern schafft vor allem rechtliche Lücken, da zeitliche Unstimmigkeiten zwischen Einwilligung und Datensammlung entstehen.
Warum auch Cookie-Scanner keine Lösung sind
Um das Problem beim Abgleich anzugehen, setzen viele Website-Betreiber*innen auf sogenannte Cookie-Scanner. Diese prüfen deine Website allerdings normalerweise nur in wöchentlichen Abständen. Dadurch entstehen zwischen den Scan-Terminen rechtlich problematische Zeiträume, in denen neue Tags, geänderte Tracking-Parameter oder aktualisierte Third-Party-Scripts unerkannt und nicht zugeordnet bleiben. Anders formuliert: Passt du zwischen zwei Scans deine Tags an, laufen diese in der Zwischenzeit unerkannt und dadurch rechtswidrig.
Viele automatisierte Scanner versagen zudem regelmäßig bei der präzisen Kategorisierung von Tags. Mit fatalen rechtlichen Konsequenzen: Sobald ein einziger Tag inkorrekt deklariert wird, verlieren sämtliche erteilten Einwilligungen ihre Rechtswirksamkeit.
Die integrierte Lösung: Tag und Consent Management aus einer Hand
Integrierte Consent- und Tag-Management-Lösungen eliminieren systemische Schwachstellen durch native Verknüpfung beider Komponenten in einer einheitlichen Plattform.
Das Konzept der „verheirateten" Systeme
Verwaltet man Consent und Tags in einem zentralen System, hat das klare Vorteile: Consent-Entscheidungen fungieren als unmittelbare Trigger für Tag-Ausführungen ohne zwischengeschaltete API-Kommunikation oder zeitliche Verzögerungen. Diese synchrone Verarbeitung gewährleistet, dass Einwilligung und Datenerfassung exakt zum selben Zeitpunkt stattfinden – rechtlich einwandfrei und technisch optimiert. Der manuelle Synchronisationsaufwand entfällt und Konfigurationsfehler werden systematisch vermieden.
Praktische Umsetzung: Ein Beispiel
Die praktische Implementierung verdeutlicht die Effizienz einer All-in-One-Lösung:
Tag-Import: Upload des Tracking-Codes in die zentrale Tag-Bibliothek
Kategorien-Zuordnung: Automatische oder manuelle Zuweisung zu Consent-Kategorien
Trigger-Konfiguration: Definition von Aktivierungsbedingungen basierend auf Consent-Status
Validation: Automatische Überprüfung auf Vollständigkeit und Compliance-Konformität
Live-Schaltung: Sofortige Aktivierung mit synchroner Consent-Anbindung
Monitoring: Kontinuierliche Überwachung der Tag-Performance und Consent-Synchronisation
Das Ergebnis: Einheitliche Anbieter-Informationen, lückenlose Datenschutz-Details und rechtlich einwandfreie Tag-Ausführung ohne manuelle Nacharbeitung.
Consent-freies Analytics
Schön und gut, aber was machst du, wenn deine User*innen alle nicht-notwendigen Datenerhebungen ablehnen? Auch dann lassen sich Daten erheben. Das Stichwort hier: Cookie-loses Session Tracking.
Consent-befreites Tracking verstehen
Folgende Anforderungen müssen erfüllt werden, um nach DSGVO und TDDDG von der Einwilligungspflicht beim Tracking befreit zu sein:
Keine nicht erforderlichen Cookies setzen
Kein Auslesen von Geräteinformationen wie die Bildschirmauflösung
Keine Nutzung der Daten durch die Anbieter selber
Keine Website-übergreifende Profilbildung
Keine Re-Identifikationsmöglichkeit oder Anreicherung mit Alter und Geschlecht aus anderen Quellen
Kein Fingerprinting zur dauerhaften Wiedererkennung
Zusätzlich ist ein Adblock-sicheres Tracking möglich. Während herkömmliches Tracking die Daten direkt vom Browser deiner Besucher*innen an externe Server überträgt, sendest du beim serverseitigen Ansatz die Daten zunächst an deinen eigenen Server. Von dieser zentralen Sammelstelle leitest du Informationen kontrolliert an die jeweiligen Drittanbieter-Tools weiter.
Eine Alternative zum serverseitigen Tracking ist das Tracking über eine eigene Domain. Hierbei muss kein eigener Server eingerichtet und betrieben werden. Stattdessen wird einfach eine CNAME-Umleitung (Canonical Name) eingerichtet, wie dies bei E-Mail-Marketing-Plattformen gang und gäbe ist, um die Zustellbarkeit und das Vertrauen der Empfänger zu erhöhen.
Der entscheidende Vorteil: Sowohl serverseitiges Tracking als auch Tracking über eine eigene Domain bleibt vollständig unbeeinflusst von Ad-Blockern und Tracking Prevention, da die Browser-Server-Kommunikation als normale Website-Funktionalität erscheint.
Cookie-loses vs. Cookie-basiertes Tracking:
Beim cookie-basierten Tracking werden Tracking-Cookies im Browser der Nutzer*innen gespeichert, um ihr Verhalten zu analysieren. Da dies im Regelfall nicht für den eigentlichen Betrieb der Website erforderlich angesehen wird, setzt dies die Zustimmung über einen Cookie-Banner voraus. Beim cookie-losen Tracking werden keine Daten im Browser der Nutzer*innen gespeichert. Wenn zusätzlich die Daten in mildester Form im Hinblick auf die Privatsphäre der Nutzer*innen verarbeitet werden, ist oft keine Zustimmung erforderlich.
Cookie-loses Tracking | Cookie-basiertes Tracking |
|---|---|
✅ Keine Consent-Pflicht (bei berechtigtem Interesse) | ❌ Consent zwingend erforderlich |
✅ Adblocker-resistent (bei individueller Tracking Domain) | ❌ Blockierung durch Browser/Extensions |
✅ Browser-Restriktionen umgehen (bei individueller Tracking Domain) | ❌ Third-Party-Cookie-Limitations |
❌ Eingeschränkte User-Journey-Verfolgung | ✅ Detaillierte Personalisierung möglich |
❌ Begrenzte Cross-Device-Attribution | ✅ Umfassende Customer-Journey-Analyse |
Wichtig: Cookie-loses Tracking ist kein Freifahrtschein: Sobald Daten doch rückführbar sind (z. B. durch Fingerprinting), kann Consent wieder nötig werden.
Moderne Softwares realisieren automatische Modus-Umschaltungen basierend auf Consent-Status: Bei fehlender Einwilligung aktiviert sich Cookie-loses Session Tracking, während Consent-Erteilung erweiterte Funktionalitäten mit dem Setzen von Cookies freischaltet.
Hybride Tracking-Strategie als optimale Lösung
In der Praxis empfiehlt sich ein duales Setup aus Cookie-losem und Cookie-basiertem Tracking. Der Grund hierfür liegt auf der Hand: Cookie-basiertes Tracking sammelt umfassende Journey-Daten bei vorhandener Einwilligung, während Cookie-los alle Interaktionen ohne Consent-Abhängigkeit gemessen werden. Damit vereint das hybride Tracking die Vorteile aus beiden Welten: verlässliche Session-Daten aller Nutzer*innen plus kompletten Customer Journeys bei Einwilligung.
Software-Tipp: Mit diesem Tool setzt du ein integriertes Consent- und Tag-Management um
Wenn du ganzheitlich, zentralisiert und rechtskonform Websitedaten tracken möchtest, solltest du dir etracker genauer anschauen. Hierbei handelt es sich um eine All-in-One-Lösung, die sich an Website-Betreiber*innen aller Größenordnungen richtet – von kleinen Unternehmen bis zu Enterprise-Kund*innen, deren Marketing-Verantwortliche sowohl Website-Performance als auch digitales Marketing optimieren müssen. Das Tool vereint Tag Management, Consent Management und Data Management in einer einheitlichen Plattform und zielt darauf ab, die typischen Herausforderungen getrennter Systeme zu lösen.
Die Besonderheit liegt in der Systemarchitektur, die die manuelle Synchronisation zwischen verschiedenen Tools und dadurch zeitliche Verzögerungen eliminiert. Zusätzlich bietet etracker serverseitiges Data Management mit automatischer Deduplizierung, wodurch du doppelte Zählungen von Conversions vermeidest.
Kernfeatures und Highlights in der Übersicht
Integrierte Tag-Consent-Synchronisation: Direkte Kategorisierung beim Tag-Hinzufügen eliminiert doppelte Datenpflege und Laufzeit-Konflikte
Adblocker-Resistenz: Auslieferung über eigene Subdomain umgeht Browser-Blocker und gewährleistet zuverlässige Dialog-Anzeige
Hybrides Tracking-System: Automatische Modi-Umschaltung zwischen consent-freiem und consent-basiertem Tracking je nach Nutzer*innen-Präferenzen
Server-seitige Deduplizierung: Zentrale Conversion-Verwaltung verhindert Doppelzählungen zwischen client- und server-seitigen Datenflüssen
Real-time Testing: Live-Overlay ermöglicht sofortige Tag-Validierung vor Produktions-Deployment
Performance-Optimierung: Leichtgewichtiger Code verbessert Pagespeed durch eliminierte Script-Redundanzen
Design-Flexibilität: Vollständig anpassbare Consent-Dialoge mit individuellen Farben, Logos und mehrsprachigen Varianten
Rechtliche Compliance: Automatische Berücksichtigung DSGVO-konformer Einwilligungsanforderungen mit dokumentierter Nachweisführung
Consent & Tag Manager einrichten: Implementierungs-Roadmap
Wenn du nun darauf brennst, mit Hilfe von etracker ein einheitliches Consent- und Tag-Management einzurichten, solltest du die folgenden Schritte beachten:
Schritt 1: Status Quo erfassen
Mache eine komplette Bestandsaufnahme deiner aktuellen Tags und Consent-Tools. Liste alle Tracking-Codes auf, prüfe ihre Kategorien und finde heraus, wo zeitliche Lücken zwischen Einwilligung und Tag-Aktivierung entstehen. Achte besonders auf falsch kategorisierte Tags oder fehlende Dokumentation deiner Einwilligungsprozesse. Bewerte die Risiken jedes Problems und entscheide, was du zuerst angehen musst – rechtliche Verstöße haben dabei höchste Priorität.
Schritt 2: Migrations-Strategie
Wechsle schrittweise zu etracker und lasse beide Systeme parallel laufen, bis alles sicher funktioniert. Plane für den Worst Case: Was machst du, wenn etwas schiefgeht? Teste alle Tag-Kategorien gründlich, bevor du live gehst. Schule dein Team rechtzeitig – Marketing-Kolleg*innen und Technik-Verantwortliche müssen die neuen Workflows verstehen und sicher anwenden können.
Schritt 3: Success Metrics
Miss deinen Erfolg an harten Zahlen: Sinkt die Zeit zwischen Consent und Tag-Aktivierung? Musst du Tags noch manuell in zwei Systemen pflegen? Lädt deine Website schneller? Prüfe außerdem deine Compliance: Sind alle Tags korrekt kategorisiert? Kannst du jede Einwilligung lückenlos dokumentieren? Schaue dir diese Werte jeden Monat an und optimiere kontinuierlich nach.
Fazit: Warum integrierte Lösungen unverzichtbar sind
Getrennte Consent- und Tag-Management-Systeme schaffen mehr Probleme, als sie lösen: rechtliche Zeitbomben durch asynchrone Datenverarbeitung, Performance-Einbußen durch redundante Scripts und operationale Ineffizienz durch doppelte Datenpflege. Die Rechtsprechung des VG Hannover macht klar, dass selbst etablierte Tools wie der Google Tag Manager keine automatische DSGVO-Compliance gewährleisten. Integrierte Lösungen verhindern diese systemischen Schwächen durch native Verknüpfung von Consent-Entscheidungen und Tag-Aktivierungen – technisch elegant und rechtlich einwandfrei.
Der Umstieg auf verheiratete Systeme erfordert strategische Planung, zahlt sich jedoch durch geringere Compliance-Risiken, verbesserte Website-Performance und reduzierte Arbeitsaufwände aus. Wenn du die beschriebenen Probleme in deinem aktuellen Setup erkennst, teste etracker 30 Tage kostenfrei oder fordere eine Demo an – der erste Schritt zu rechtssicherer und effizienter Tag-Verwaltung.
Nils ist SEO-Texter bei OMR Reviews und darüber hinaus ein echter Content-Suchti. Egal, ob Grafik, Foto, Video oder Audio – wenn es um digitale Medien geht, ist Nils immer ganz vorne mit dabei. Vor seinem Wechsel zu OMR war er fast 5 Jahre lang als Content-Manager und -Creator in einem Immobilienunternehmen tätig und hat zudem eine klassische Ausbildung als Werbetexter.
