privacy

Drittanbieter-Tracker

MetricSpot zählt die einzigartigen Drittanbieter-Domains, die Skripte oder Pixel auf der Seite laden. Jede ist ein Datenschutz-Hop, ein Performance-Kosten und eine Consent-Pflicht.

Was diese Prüfung macht

Erfasst jeden Netzwerk-Request beim Rendern der Seite, gruppiert sie nach registrierbarer Domain und meldet die Anzahl der einzigartigen Drittanbieter-Hosts, die JavaScript, Pixel, Beacons oder Tracking-iframes ausspielen. First-Party-Domains (du und deine Subdomains) werden ausgeschlossen. CDNs, die deine eigenen Assets ausliefern (cdn.yourdomain.com), werden ausgeschlossen. Fonts und Analytics, die bekannten Tracker-Fingerabdrücken entsprechen, sind enthalten.

Häufige Verdächtige, die in der Liste auftauchen:

  • Tag-Manager: googletagmanager.com
  • Analytics: google-analytics.com, analytics.google.com, mixpanel.com, segment.io, amplitude.com
  • Ad-Tech: doubleclick.net, googlesyndication.com, facebook.net, connect.facebook.net, bat.bing.com, ads.linkedin.com, t.co, analytics.tiktok.com
  • Session-Replay / Heatmaps: hotjar.com, static.hotjar.com, fullstory.com, clarity.ms
  • Support-Widgets: intercom.io, widget.intercom.io, drift.com, js.driftt.com, zendesk.com
  • Fonts und SDKs: fonts.googleapis.com, fonts.gstatic.com, js.stripe.com, cdn.shopify.com (wenn es nicht dein eigener Store ist)

Drei oder weniger ist eine gesunde Basis. Über sieben bist du eine typische Marketing-Seite — und du hast echte GDPR-Arbeit vor dir.

Warum es zählt

Jede Drittanbieter-Domain auf deiner Seite ist drei Probleme auf einmal.

  • Ein Datenschutz-Hop, den du offenlegen musst. Nach GDPR Artikel 13 und der ePrivacy-Richtlinie muss jeder nicht-essenzielle Drittanbieter-Empfänger personenbezogener Daten in deiner Datenschutzerklärung benannt sein und seine Einwilligung muss vorliegen, bevor sein Skript feuert. CNIL hat Seiten speziell wegen unzureichender Offenlegung der Empfängerliste verwarnt und gebußgeldet.
  • Eine Performance-Steuer, die du nicht voll kontrollieren kannst. HTTP Archives third-party-web-Report zeigt durchgängig, dass Ad-Tech, Tag-Manager und Chat-Widgets zu den langsamsten Drittparteien im Web gehören — sie schieben Largest Contentful Paint oft jenseits 4 Sekunden und Interaction to Next Paint in den Fail-Bereich. Jedes Skript, das du nicht ausspielst, ist eine Steuer, die du nicht zahlst.
  • Eine Consent-Oberfläche, die leicht bricht. Feuert auch nur ein Skript in deinem Tag-Manager vor der Einwilligung — weil es hartcodiert außerhalb des Consent-Gates ist oder der Consent-Listener spät lädt — bist du im Verstoß, egal wie gut dein Cookie-Consent-Banner ist.

Sechs Tracker sind grob der Median für eine Content-Seite. Zwölf bis zwanzig ist normal für eine E-Commerce- oder SaaS-Marketing-Seite. Vierzig-plus tauchen auf News-Seiten mit programmatischer Werbung auf — und dort landen auch die meisten GDPR-Bußgelder.

So behebst du es

Mach eine Bestandsaufnahme. Öffne die Seite in den Chrome DevTools → Network-Tab → filtere nach Domain. Gruppiere Drittanbieter-Requests nach registrierbarer Domain und frage zu jedem: “Verdient das hier seinen Platz noch?”

# Kurzer CLI-Audit mit curl + einem Parser deiner Wahl
curl -s https://yourdomain.com/ \
  | grep -oE 'https?://[^"'"'"']+' \
  | awk -F/ '{print $3}' \
  | sort -u

Lass einen Lighthouse-Audit laufen (DevTools → Lighthouse → Generate Report) — die Diagnose “Reduce the impact of third-party code” listet jede Domain mit ihrer Blocking-Zeit.

Schneide weg, was du nicht brauchst. Die häufigsten Wins:

  • Entferne Google Tag Manager und binde GA4 direkt inline ein. GTM ist eine Gewohnheit, keine Anforderung. Verwaltest du nur GA + ein, zwei Pixel, inline gtag.js und lösche den GTM-Container.
  • Hoste Fonts selbst. fonts.googleapis.com ist nach GDPR ein Tracker (so urteilte ein deutsches Gericht 2022). Lade die WOFF2-Dateien herunter, serve sie vom eigenen Origin und entferne die Google-Fonts-URL.
  • Ersetze Drittanbieter-Chat durch E-Mail. Intercom-, Drift- und Zendesk-Widgets wiegen jeweils 100–300 KB und laufen mit kontinuierlichen Heartbeat-Requests. Ein mailto:-Link tut das nicht.
  • Entferne tote Pixel. Marketing-Teams fügen Pixel für Kampagnen hinzu und vergessen, sie zu entfernen. Auditiere Pixel-Alter und entferne alles, was älter ist als dein typischer Kampagnen-Zyklus.

Gate alles, was du behalten musst, hinter Consent. Jeder verbliebene nicht-essenzielle Tracker darf erst laden, nachdem der/die Nutzer:in im Banner zugestimmt hat. Nutze Google Consent Mode v2 + IAB TCF v2.2 oder das Äquivalent für deinen Stack. Siehe Cookie-Consent-Banner.

Lazy-Loade Support-Widgets. Spiele Intercom nicht auf jeder Seite aus. Lade es nur, wenn jemand auf einen “Chat with us”-Button klickt:

<button id="open-chat">Chat with us</button>
<script>
  document.getElementById('open-chat').addEventListener('click', () => {
    const s = document.createElement('script');
    s.src = 'https://widget.intercom.io/widget/YOUR_APP_ID';
    document.head.appendChild(s);
  });
</script>

Verschieb Analytics server-seitig. Tools wie Plausible, Fathom oder ein selbst-gehostetes Matomo eliminieren den Client-seitigen Tracker komplett. Server-seitiges GTM verschiebt Googles Stack auf deine eigene Domain (immer noch GA, immer noch trackbar, aber nur eine Drittanbieter-Domain im Network-Panel).

Audite Abhängigkeiten, nicht nur deinen Code. Ein WordPress-Plugin oder eine Shopify-App kann lautlos drei oder vier Tracker hinzufügen, ohne dass du es weißt. Nach jedem Plugin-Install den Audit erneut laufen lassen.

Häufig gestellte Fragen

Wie viele sind zu viele?

Hängt vom Seitentyp ab. Eine SaaS-Marketing-Seite kommt meist mit 4–6 aus: GA4 + GTM + ein Werbe-Pixel + Stripe + dein CDN. Eine programmatisch monetarisierte Content-Seite hat 20+ und da führt kein Weg vorbei — diese Seiten brauchen aber auch Cookie-Consent-Banner-Plumbing, das wasserdicht ist. Die Anzahl selbst ist nicht das Problem; die Consent- und Offenlegungspflichten, die mitkommen, schon.

Sind Fonts wirklich Tracker?

Ja, wenn sie von einem Drittanbieter-CDN ausgeliefert werden. fonts.googleapis.com loggt die anfragende IP. Ein Landgericht München I (Urt. v. 20.01.2022, Az. 3 O 17493/20) verurteilte einen Seitenbetreiber 2022 zu 100 € speziell wegen Einbettung von Google Fonts ohne Einwilligung. Hoste deine Fonts selbst und das Problem verschwindet.

Schadet das Entfernen von Trackern meinen Analytics?

Doppelte Tracker zu entfernen schadet nicht — die meisten Seiten haben zwei Analytics-Tools, die wegen Consent-Verlust ohnehin um 30% auseinanderliegen. Einen Tracker zu entfernen, den du tatsächlich nutzt, stoppt offensichtlich den Datenfluss; in dem Fall ersetze ihn durch ein datenschutzfreundliches Äquivalent (Plausible, Fathom, selbst-gehostetes Matomo) statt ihn einfach zu löschen.

Quellen

Zuletzt aktualisiert 2026-05-11