Tracking-Pixel-Audit: DSGVO- & ePrivacy-Compliance für KMU
Tracking-Pixel teilen Besucherdaten beim Auslösen mit Werbenetzwerken. Was ein Audit prüft, warum Pixel auf KMU-Sites das meist-bestrafte Element sind und wie Sie sie konform betreiben.
Auf den meisten KMU-Sites ist nicht das Cookie-Banner das größte Risiko, sondern die Tracking-Pixel dahinter. Pixel feuern standardmäßig beim Page-Load. In EU/UK ist das bei jedem Besuch ein Verstoß.
Dieser Beitrag zeigt, was ein Tracking-Pixel-Audit prüft, das Verhalten Plattform für Plattform und die zwei Installations-Patterns, die Pixel funktionsfähig halten ohne das Recht zu brechen.
Was ein Pixel tatsächlich tut
- Browser sendet HTTP-Request an die Plattform (z.B.
connect.facebook.net). - Request enthält URL, Referrer, IP, User Agent, Bildschirmgröße und alle vom Site-Code angehängten Custom-Parameter.
- Plattform setzt einen Cookie auf eigener Domain. Bei Login auf Facebook/TikTok/LinkedIn wird der Besuch der Identität zugeordnet.
- Pixel lädt sein JS und kann weitere Events feuern (PageView, ViewContent, AddToCart, Lead, Purchase).
Für EU/UK-Besucher ist alles ab Schritt 1 personenbezogene Datenverarbeitung. Einzig zulässige Rechtsgrundlage: Einwilligung — vor Auslösen des Pixels.
Plattform für Plattform
Meta Pixel
Standard-Snippet lädt fbevents.js sofort und feuert PageView. Häufigster Verstoß auf KMU-Sites in der EU.
TikTok Pixel
Feuert ebenfalls beim Page-Load. Audit prüft CMP-Gate und ttq.consent('granted').
LinkedIn Insight Tag
Feuert auf jeder Seite und setzt First- und Third-Party-Cookies. Auf B2B-Sites besonders häufig ungeschützt.
Google Ads Conversion Tracking
Eng mit Consent Mode v2 integriert. Audit prüft den Consent-State im gtag.
Warum Pixel das größte Risiko sind
CNIL, Garante und AEPD haben Pixel-Verstöße in 2024 zu einer Priorität erklärt. Bußgelder im Bereich 5.000–50.000 € gegen kleine E-Commerce-Sites — klein genug, um keine Schlagzeilen zu machen, groß genug, ein KMU zu gefährden.
Die zwei funktionierenden Patterns
Pattern 1: CMP-gegateter Skript-Load
Sauberer Ansatz. CMP feuert ein Event bei Einwilligung in eine Kategorie; Sie laden das Pixel-Skript nur dann.
Pattern 2: Consent-Mode-Integration
Bei Google, Meta, TikTok unterstützt: Skript lädt, verhält sich aber bis zur Einwilligung anonym. Pragmatisch — manche Aufsichten haben Bedenken zu „modellierten" Signalen.
Veracly fingerprintet jeden bekannten Tracker, meldet Timing und Consent-State und liefert einen Copy-Paste-Fix für Ihre CMP/GTM. Scan starten.
Häufige Fragen
Brauchen Tracking-Pixel Einwilligung nach DSGVO?
Ja. Meta Pixel, TikTok Pixel, LinkedIn Insight Tag, Google Ads Conversion Tag, Pinterest Tag und ähnliche sind Drittanbieter-Tracker, die Daten auf dem Endgerät speichern und an die Plattform übertragen. Einwilligung ist Pflicht.
Was ist der Unterschied zwischen Pixel und Cookie?
Ein Cookie ist eine Datei auf dem Endgerät. Ein Pixel ist ein Bild oder JS, das beim Laden einen HTTP-Request an die Plattform sendet — URL, Referrer, IP, User Agent, plus alle vom Site-Code angehängten Daten. Die meisten Pixel setzen zusätzlich Cookies.
Kann ich serverseitig tracken, um Einwilligung zu umgehen?
Nein. Server-Side-Tracking (z.B. Meta Conversions API) erfordert weiterhin Einwilligung nach DSGVO, wenn personenbezogene Daten verarbeitet werden. Es ändert nur die Übertragung, nicht die Rechtsgrundlage.
Wie installiere ich einen Pixel konform?
Zwei Muster: (1) Pixel-Skript hinter den Consent-Gate der CMP — nur laden, wenn Werbe-Cookies akzeptiert sind. (2) Consent-Mode-Integration der Plattform (Google Consent Mode v2, Meta Data Processing Options, TikTok Consent API).
Sehen Sie, wo Ihre Website steht.
Starten Sie einen kostenlosen Veracly-Scan und erhalten Sie einen Multi-Jurisdiktionsbericht — EAA, DSGVO, ADA, UK Equality Act, AODA — mit Copy-Paste-Fixes für Entwickler.
Kostenlosen Scan starten