Inhaltsverzeichnis

Werbeblocker blockieren nicht nur Tracking: Sie blockieren auch Banner mit Cookie-Zustimmung

Ad blocker block consent banners too. The TAGGRS Enhanced tracking script makes your tracking resilient to the ad blockers. Even the most advanced ones.

Von:

Mariusz Brucki | 28 Mai 2026 | Zuletzt aktualisiert: 28 Mai 2026

Werbeblocker können verhindern, dass CMP-Skripte vollständig geladen werden. Wenn eine Consent Management Platform (CMP) blockiert wird, erscheint das Zustimmungsbanner nicht und der Zustimmungsstatus des Nutzers wird nie aufgezeichnet. Tags, die vom Consent Mode V2 abhängen, werden in einem undefinierten Zustand ausgelöst. Dies führt sowohl zu einer Lücke bei der Einhaltung der GDPR als auch zu einer Messlücke.

In diesem Artikel erfährst du, was technisch passiert, was die GDPR-Durchsetzungsstellen verlangen und wie das server-side GTM mit dem CMP-Hosting eines Erstanbieters die Schwachstelle beseitigt.

Die Sequenz beginnt mit dem CMP-Skript. Die meisten CMPs (wie Cookiebot, OneTrust oder Quantcast) liefern das Skript über ein CDN eines Drittanbieters aus. Jeder Anbieter verwendet CDN-Domains, die öffentlich bekannt sind, über Tausende von Implementierungen hinweg konsistent sind und nach vorhersehbaren Zeitplänen aktualisiert werden.

Diese Konsistenz macht sie zielführend. Filterlisten funktionieren, indem sie Anfrageziele mit bekannten Domänen abgleichen. Eine CDN-Domäne, die auf Tausenden von Websites auftaucht, ist genau die Art von stabilem Muster, nach dem die Betreiber von Filterlisten suchen. EasyPrivacy, die Datenschutzfilter von uBlock Origin und verschiedene browserbasierte Blocker enthalten bereits gängige CMP-CDN-Domains.

Wenn ein Besucher, der einen dieser Blocker aktiviert hat, auf einer Seite landet, fordert der Browser das CMP-Skript an. Der Blocker fängt es ab. Das Skript wird nicht geladen. Die Seite wird ohne ein Zustimmungsbanner angezeigt.

Der Besucher sieht die Seite ganz normal. Nichts scheint kaputt zu sein. Auf der Seite der Website wird kein Zustimmungsstatus für diese Sitzung aufgezeichnet.

Was als Nächstes passiert, hängt davon ab, wie das Tag-Setup mit einem fehlenden Zustimmungssignal umgeht:

Tags, die mit dem Consent Mode V2 konfiguriert sind, warten auf ein Signal, das nie eintrifft.
Tags mit Rückfallvorgaben funktionieren so, wie die Voreinstellungen festgelegt wurden.
Tags ohne ausdrückliche Zustimmungserklärung können ohne gesetzliche Grundlage schießen.

In allen drei Fällen wurde dem Nutzer nie ein Banner gezeigt. Es gibt keine Aufzeichnungen über eine Entscheidung.

Der Consent Mode V2 von Google steuert das Verhalten der Tags durch Signalzustände pro Kategorie:

analytics_storage, ad_storage und ad_personalization. Jede Kategorie wird entweder als erlaubt oder als verweigert eingestuft. Tags warten auf das entsprechende Signal, bevor sie handeln.

Wenn die CMP blockiert ist, wird kein Signal ausgelöst. Der Tag empfängt nicht denied und hold. Es erhält kein granted und wird nicht ausgelöst. Es fällt in seinen Standardzustand zurück, eine Konfiguration, die sich im GTM-Container befindet, normalerweise in einer Tag-Vorlage oder einem Initialisierungsblock.

Manche Konfigurationen verzichten ganz auf explizite Voreinstellungen. Dabei wird davon ausgegangen, dass die CMP schnell lädt und ein Signal abgibt, bevor ein Tag aktiv wird. Diese Annahme funktioniert, wenn die CMP lädt.

Das Verhalten der Plattform im undefinierten Fall ist oft nicht das, was Teams erwarten:

GA4: Ein undefinierter Zustand kann dazu führen, dass Modellierungssignale durchgelassen werden.
Werbetags: Partial Firing in einem undefinierten Zustand kann ein Event registrieren, das die Attribution speist.
Einige Tag-Vorlagen: Das Fehlen einer ausdrücklichen Verweigerung wird als gewährt behandelt.

Das Ergebnis sind Messdaten, die nicht einem verifizierten Einwilligungsdatensatz zugeordnet werden können.

Nach Artikel 7 der DSGVO liegt die Beweislast bei dem für die Verarbeitung Verantwortlichen. Die Einwilligung muss freiwillig, ausdrücklich, in Kenntnis der Sachlage und unmissverständlich erteilt werden. Im Falle einer Anfechtung muss der für die Verarbeitung Verantwortliche in der Lage sein, nachzuweisen, dass die Einwilligung mit Aufzeichnungen für diese Sitzung erteilt wurde.

Eine blockierte CMP lässt den für die Verarbeitung Verantwortlichen ohne Beweise zurück: keine Aufzeichnungen über die Darstellung des Banners, keine Aufzeichnungen über die Reaktion des Nutzers. Drei EU-Durchsetzungsstellen haben sich direkt mit diesem Problem befasst:

Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) hat erklärt, dass Tracking ohne eine gültige Einwilligung gegen die DSGVO verstößt, unabhängig davon, was die Ursache für das Scheitern des Zustimmungsmechanismus war. Technische Fehler im Einwilligungsprozess entbinden den für die Verarbeitung Verantwortlichen nicht von seiner Verantwortung. (Quelle: autoriteitpersoonsgegevens.nl)
Die französische Datenschutzbehörde CNIL hat einen Leitfaden veröffentlicht, der besagt, dass vor der Verarbeitung personenbezogener Daten die Zustimmung eingeholt werden muss und dass die Unternehmen dafür verantwortlich sind, dass ihre Zustimmungsmechanismen tatsächlich funktionieren. Tags, die in einem undefinierten Fallback-Zustand abgefeuert werden, fallen nicht unter diesen Standard. (Quelle: cnil.fr)
Die deutsche Datenschutzkonferenz (DSK ) hat bekräftigt, dass die einwilligungsabhängige Verarbeitung überprüfbar und reproduzierbar sein muss. Vorgänge, die ohne einen Einwilligungsnachweis ablaufen, erfüllen diese Anforderung nicht. (Quelle: datenschutzkonferenz-online.de)

Alle drei Stellen haben sich in aktiven Durchsetzungsfällen auf die Zuverlässigkeit des Zustimmungsflusses berufen.

Die einzige Möglichkeit, die Einhaltung der Vorschriften sicherzustellen, ist, standardmäßig nichts zu senden. Das ist ein goldener Weg auf dem Tracking- und Analysemarkt, aber in Verbindung mit Adblockern kann es deinen Daten echten Schaden zufügen.

Der Datenverlust und wer tatsächlich davon betroffen ist

Der konforme Pfad hat einen echten Preis. Sitzungen, bei denen der CMP blockiert wurde, erzeugen keine Attributionsdaten, keine Conversion-Signale für Werbeplattformen und keine GA4-Events.

Das Ausmaß hängt von der Zielgruppe ab. Etwa 30 % der Internetnutzer/innen weltweit verwenden eine Form von Werbeblockern (GWI, 2025). Bei technischen Zielgruppen (Entwickler/innen, Vermarkter/innen, Analytiker/innen) ist der Anteil höher.

Die meisten dieser Nutzer blockieren die Messung nicht absichtlich. Die GWI-Studie aus dem Jahr 2025 zeigt, dass nur 26,6 % der Nutzer/innen von Werbeblockern weltweit "die Datenerfassung stoppen" als Grund für die Nutzung eines Werbeblockers angeben. Die Mehrheit (63,5 %) sagt, dass es zu viele Anzeigen gibt. Weitere 53,5 % sagen, dass die Werbung das Surfen stört, so Backlinko, 2025.

Diese Unterscheidung ist wichtig. Die meisten Nutzer, die einen Werbeblocker installiert haben, wollen keine Analysen. Sie wollen weniger Werbung und einen schnelleren Seitenaufbau. Wenn ein Einwilligungsbanner sie erreicht, werden viele es akzeptieren, und ihre Daten fließen auf rechtmäßiger Grundlage.

Die Sitzungen, die dunkel bleiben, sind diejenigen, bei denen das Banner nie erschienen ist, nicht weil der/die Nutzer/in abgelehnt hat, sondern weil der Zustimmungsmechanismus stillschweigend versagt hat.

Durch die Korrektur der CMP-Zustellung werden diese Sitzungen wiederhergestellt.

Die Ursache des Problems liegt darin, wo das CMP-Skript gehostet wird. Ein CDN eines Drittanbieters hat eine feste, bekannte Domain. Diese Domain erscheint in den Filterlisten. Jedes CMP, das von einem bekannten CDN geliefert wird, ist ein stabiles Ziel.

Das Hosten des CMP-Skripts auf einer Subdomain der ersten Partei ändert das. Die Subdomain gehört zu der Website. Sie erscheint nicht in allgemeinen Filterlisten, die auf CMP-Anbieter abzielen. Ein Blocker kann nicht gegen sie vorgehen, ohne auch die Erstanbieter-Assets der Website zu blockieren, was die meisten Filterlisten ausdrücklich vermeiden.

Wenn der Browser das CMP-Skript von einer von der Website kontrollierten Domain anfordert, wird das Skript geladen. Das Banner wird angezeigt. Der Nutzer sieht die Eingabeaufforderung und ein Zustimmungssignal wird ausgegeben, bevor irgendwelche Tags ausgelöst wurden.

Dies ist dasselbe Infrastrukturprinzip, das im Artikel Warum beim server-seitigen Tracking immer noch Daten verloren gehen können (und wie das Enhanced Tracking Script Abhilfe schafft) beschrieben wurde. Dort wurde durch die Verlagerung der Tracking-Anfrage zu einem First-Party-Endpunkt verhindert, dass Blocker die Anfrage mit bekannten Analyse-CDN-Mustern abgleichen. Auf die Einwilligungsebene angewandt, schützt die gleiche server-side Einrichtung einen anderen Teil: Die CMP erreicht den Browser, anstatt abgefangen zu werden, bevor das Banner erscheinen kann.

Serverseitiges GTM kann die CMP-Bereitstellung als Teil einer umfassenderen First-Party-Einrichtung übernehmen. Wenn das CMP-Skript von der gleichen Subdomain wie der Server-Container ausgeliefert wird, erreicht das Zustimmungssignal den Container, bevor die Mess- oder Werbetags ausgelöst werden.

Mit dem TAGGRS-Dashboard kannst du überprüfen, ob dies funktioniert. Überprüfe in der server-side Analyse, ob zustimmungspflichtige Tags in Sitzungen ausgelöst werden, in denen keine CMP-Anfrage aufgezeichnet wurde. Dieses Muster - aktive Events, aber kein CMP-Aufruf - bedeutet, dass das Zustimmungsbanner einen Teil der Zielgruppe nicht erreicht.

Installiere das TAGGRS Enhanced Tracking Script

1. Hoste das CMP-Skript auf einer Subdomain der ersten Partei. Entferne die feste CDN-Domain aus der Gleichung. Filterlisten können nicht stillschweigend eine Subdomain blockieren, die die Website kontrolliert.

2. Setze explizite Consent Mode V2-Standardwerte für alle Regionen. Jedes Tag im Container muss ein definiertes Verhalten für den Fall haben, dass kein Zustimmungssignal ausgelöst wurde. Kein Tag sollte in einem undefinierten Fallback-Zustand arbeiten.

3. Feuere die Zustimmungsbanner-Tags zuerst im GTM-Container ab. Konfiguriere den Zustimmungsinitialisierungsblock so, dass er vor jeder Messung oder jedem Werbetag ausgeführt wird. Das Signal muss vorhanden sein, bevor irgendetwas auf es einwirkt.

4. Überprüfe das TAGGRS Dashboard. Prüfe, dass zustimmungspflichtige Tags nicht in Sitzungen abgefeuert werden, in denen keine CMP-Anfrage aufgezeichnet wurde. Erkenne Lücken, bevor sie in einem Audit auftauchen.

5. Dokumentiere die Einwilligungsarchitektur. Halte den CMP-Anbieter, den Hosting-Pfad und die expliziten Standardzustände für jede Region und Tag-Kategorie fest. Wenn eine Aufsichtsbehörde Beweise verlangt, ist die Dokumentation das Erste, was ein/e Kontrolleur/in vorlegt.

FAQ

Können Werbeblocker jede CMP blockieren, oder nur bestimmte Plattformen?

Jeder CMP, der sein Skript über ein CDN eines Drittanbieters bereitstellt, ist gefährdet. Die Standardinstallationen von Cookiebot, OneTrust und Quantcast laden alle das Skript von der Infrastruktur des Anbieters. CMPs, die First-Party-Hosting als Konfigurationsoption unterstützen, sind nicht per se betroffen, aber die Funktion muss aktiv aktiviert werden.

Das deutlichste Signal ist eine Diskrepanz zwischen dem server-seitigen Anfragevolumen und den CMP-Zustimmungsprotokolleinträgen. Wenn der Server-Container Anfragen in Sitzungen erhält, in denen kein Zustimmungssignal in den CMP-Einträgen erscheint, wurde das Banner für diese Nutzer wahrscheinlich nicht geladen. Das TAGGRS-Dashboard macht dies anhand der Anfragekategorien sichtbar. Du kannst auch direkt testen, indem du eine gemeinsame Filterliste in einem Browser aktivierst und überprüfst, ob dein eigenes Einwilligungsbanner angezeigt wird.

Sie behandelt das Verhalten der Tags korrekt, behebt aber nicht das eigentliche Problem. Wenn du die Standardeinstellungen auf "verweigert" setzt, werden die Tags im undefinierten Zustand nicht ausgelöst, was die richtige Konfiguration ist. Was sie nicht kann, ist, den Nutzern ein Banner zu zeigen, das sie nie erhalten haben. Eine Aufsichtsbehörde, die einen Nachweis der Zustimmung für eine bestimmte Sitzung verlangt, wird diesen nicht finden. Die Standardeinstellungen betreffen die Einhaltung der Vorschriften auf der Tag-Ebene. Das CMP-Hosting des ersten Anbieters befasst sich mit der Einhaltung der Vorschriften auf der Ebene der Einverständniserklärung.

Das Enhanced Tracking Script schützt die Tracking-Anfrage, nachdem die Zustimmung eingeholt wurde. Es verhindert, dass Werbeblocker das Browser-zu-Server-Ereignis abfangen, bevor es den Server-Container erreicht. Ein blockiertes Zustimmungsbanner ist einen Schritt früher: Dem Nutzer wurde nie eine Aufforderung angezeigt, es wurde nie ein Zustimmungssignal aufgezeichnet, und alle Tags, die ausgelöst wurden, taten dies ohne eine rechtmäßige Grundlage. Die beiden Probleme haben dieselbe Infrastruktur (First-Party-Delivery), setzen aber an unterschiedlichen Stellen des Datenflusses an. Das Enhanced Tracking Script von TAGGRS ist ein perfektes Tool, um das CMP vor Adblockern zu verstecken und ein Cookie-Banner über den GTM-Container des Servers ordnungsgemäß zu laden.

Über den Autor

Mariusz Brucki

Mariusz Brucki is the Founder of Measurelake.com and an Analytics Engineer with deep expertise in tracking, data pipelines, and server-side measurement. With roots in performance marketing, he builds ROI-focused solutions for marketers and agencies. Having worked with global brands like Greenpeace and Docplanner, he brings an AI-driven, privacy-aware approach to scalable analytics.

Ready to
track smarter?

Sieh, wie Server-side Tracking in deiner Marketingstrategie funktioniert. Live mit einem Experten.