Zum Inhalt springen
Unabhängiges Tool. Nicht von Google LLC. „Google" und „Google Fonts" sind Marken der Google LLC und werden ausschließlich beschreibend verwendet.
Lösung: Consenta

Meta Pixel und Google Analytics — was 2026 ohne Consent (nicht) erlaubt ist

· DSGVO

TL;DR: Meta Pixel und Google Analytics dürfen vor der aktiven Einwilligung des Besuchers nicht geladen werden — auch nicht in „abgespeckter“ Form, auch nicht mit Consent Mode v2 als Default-Denied-Modus. Das Data Privacy Framework (DPF, 2023) hat den Drittland-Transfer adressiert, aber nicht die Einwilligungspflicht für nicht-essentielles Tracking ersetzt.

Die Diskussion um Meta Pixel und Google Analytics zieht sich seit Schrems II (2020) — und die rechtliche Lage 2026 ist trotz mehrerer Zwischenschritte erstaunlich stabil geblieben: Tracking ohne Consent ist nicht zulässig, Punkt. Was sich 2023–2025 geändert hat, betrifft die Mechanik des Datentransfers, nicht die Einwilligungspflicht.

Was sich seit 2020 verändert hat

  • Juli 2023 — Data Privacy Framework (DPF): Die EU-Kommission hat den Nachfolger des Privacy Shield mit einem Angemessenheitsbeschluss versehen. US-Unternehmen, die DPF-zertifiziert sind (Meta, Google sind dabei), gelten für Datentransfers wieder als „angemessenes Schutzniveau“ im Sinne von Art. 45 DSGVO.
  • Frühjahr 2024 — Consent Mode v2 wird Pflicht für Google Ads: Wer in der EU Google Ads schalten will, muss ad_user_data und ad_personalization-Signale via Consent Mode v2 übertragen. Default ist „denied“, erst bei Banner-Klick wird auf „granted“ gewechselt.
  • 2024–2025 — EDPB- und nationale Aufsichtsbehörden: Mehrere Bußgeldverfahren gegen größere Werbetreibende wegen Tracking ohne Consent. Tenor: DPF heilt nicht das Fehlen einer Rechtsgrundlage für die Verarbeitung als solche.

Der häufigste Irrtum: „mit DPF ist alles OK“

Das Data Privacy Framework adressiert eine spezifische Frage: darf personenbezogene Daten in die USA übertragen werden? Mit DPF lautet die Antwort wieder „ja, sofern der Empfänger DPF-zertifiziert ist“.

Das hat aber nichts mit der Frage zu tun: darf die Verarbeitung überhaupt stattfinden? Diese Frage beantwortet sich über Art. 6 DSGVO + § 25 TTDSG. Für Tracking-Cookies und Pixel ist die einzig zulässige Rechtsgrundlage die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TTDSG. Berechtigtes Interesse (lit. f) trägt nicht — das ist seit den Planet49- und IAB-Europe-Urteilen klar.

Konkret: Selbst wenn Meta DPF-zertifiziert ist (was sie sind), brauchst du für den Pixel trotzdem ein Consent-Banner-Klick auf „Akzeptieren“ — vorher darf der Pixel nicht laden.

Consent Mode v2 ist kein Ersatz für Consent

Google bewirbt Consent Mode v2 als „die Lösung für DSGVO-konformes Tracking“. Das ist marketingseitig verständlich, technisch unscharf. Was Consent Mode v2 wirklich macht:

  • Wenn Default-Denied gesetzt ist, sendet das GA-Skript cookieless Pings an Google — keine personenbezogenen Daten, keine Cookies, aber Google bekommt trotzdem Aggregat-Signale (User-Modeling, Conversion-Modeling).
  • Wenn der Nutzer „Akzeptieren“ klickt, wird auf Granted-Mode umgeschaltet, Cookies werden gesetzt, vollständige Daten fließen.

Der wichtige Punkt: das GA-Skript selbst muss vor dem Consent bereits geladen werden, damit Consent Mode überhaupt funktioniert. Genau das ist der Knackpunkt — denn das Laden eines Skripts von googletagmanager.com oder google-analytics.com ist selbst schon ein Drittland-Datentransfer (IP-Übermittlung), der ohne Rechtsgrundlage rechtswidrig ist.

Die saubere Lösung: das GA-Skript erst nach Consent laden — nicht im Default-Denied-Modus mit cookieless Pings. Das machen ordentliche Consent-Tools per Default so.

Meta Pixel: noch eindeutiger

Meta Pixel hat keine Cookieless-Variante. Sobald connect.facebook.net/en_US/fbevents.js geladen ist, läuft Tracking. Es gibt keine Default-Denied-Halbwert-Lösung. Das bedeutet:

  • Ohne Consent: Pixel-Skript darf nicht in den DOM eingefügt werden — auch nicht als <script async>.
  • Mit Consent: nach Banner-Klick wird das Skript dynamisch nachgeladen.

Die meisten Meta-Pixel-Plugins für WordPress fügen das Skript hartcodiert in wp_head ein. Das funktioniert ohne Consent-Plugin nur dann DSGVO-konform, wenn die Site überhaupt kein Consent-Banner zeigt — was wiederum nicht zulässig ist, sobald Pixel läuft. Klassischer Catch-22.

Wie du prüfst, ob deine Seite Pixel/GA vor Consent lädt

Der Scanner startet einen Erweiterten DSGVO-Scan, der die häufigsten Tracker-Domains prüft: Google Analytics, Tag Manager, Meta Pixel (Skript + Tracking-Bild), TikTok, Hotjar, Microsoft Clarity, HubSpot. Der Scan läuft ohne Consent-Klick — er sieht also exakt das, was ein Erstbesucher beim Aufruf deiner Seite sieht. Wenn der Scanner Pixel oder GA findet, weißt du: das Skript lädt vor jedem Banner-Klick.

Praxis-Empfehlung

  1. Alle Tracker und Marketing-Pixel per Default blockieren — kein Skript darf vor dem Consent-Banner-Klick im DOM landen.
  2. Beim Klick auf „Akzeptieren“ werden die freigegebenen Skripte dynamisch nachgeladen.
  3. Consent-Log mit Timestamp, IP-Hash und Banner-Version führen — Nachweispflicht im Beschwerdefall.
  4. Für Web-Analytics ohne Consent-Banner: serverseitige Lösungen wie Plausible Analytics (selbst gehostet oder in der EU) oder Matomo selbst gehostet — keine Pixel, keine Cookies.

Schriften lokal hosten + Drittdienste blocken — beides mit Consenta

Seit v1.13 erledigt Consenta zwei Probleme in einem Plugin: Der Site-wide Font-Localizer scannt deine Seite, lädt alle gefundenen Google-Schriften automatisch herunter und liefert sie ab dann lokal aus — ohne WOFF2-Handarbeit. Der Auto-Blocker stoppt zusätzlich Maps, Videos, Tracking-Pixel und andere Drittdienste vor der Einwilligung des Besuchers.

Consenta ansehen →

Themen: Consent Mode, Google Analytics, Meta Pixel, Tracking