Google Site Kit DSGVO-konform mit Borlabs Cookie einrichten

DSGVO

Google Site Kit schreibt den Google-Analytics- und AdSense-Code direkt in den <head> jeder Seite – und zwar, sobald die Seite lädt, ohne auf eine Einwilligung zu warten. Damit setzt Ihre Website Tracking-Cookies und überträgt IP-Adressen an Google, bevor der Besucher überhaupt auf den Cookie-Banner geklickt hat. Das ist nach § 25 TDDDG (früher TTDSG) und DSGVO abmahnfähig. Der Ausweg: gezielt nur die trackenden Dienste – Analytics und AdSense – mit Borlabs Cookie bis zur Einwilligung blockieren und Search Console sowie PageSpeed Insights unberührt lassen. Wie das gelingt und wie Sie im Netzwerk-Tab gegentesten, ob vor dem Klick wirklich nichts feuert, zeigt diese Anleitung Schritt für Schritt.

Warum Site Kit ein Einwilligungs-Problem verursacht

Google Site Kit ist kein einzelnes Tool, sondern bündelt mehrere Google-Dienste in einem WordPress-Dashboard:

  • Google Analytics 4 – setzt Cookies (_ga, _ga_*) und lädt gtag.js von googletagmanager.com.
  • Google AdSense – lädt Werbe-Code und setzt Werbe-/Personalisierungs-Cookies.
  • Google Tag Manager (optional über Site Kit) – Container-Skript, das weitere Tags nachlädt.
  • Search Console – arbeitet rein serverseitig über die Google-API, kein Frontend-Code.
  • PageSpeed Insights – reine API-Auswertung im Dashboard, kein Frontend-Code.

Der entscheidende Punkt: Search Console und PageSpeed Insights setzen keine Cookies und verarbeiten keine Besucherdaten im Browser. Sie müssen also nicht Site Kit als Ganzes deaktivieren – Sie blockieren gezielt nur Analytics und (falls aktiv) AdSense/Tag Manager. So behalten Sie die nützlichen Reports im Dashboard und werden trotzdem DSGVO-konform.

Standardmäßig platziert Site Kit den Analytics-Snippet bedingungslos. Zwar bringen neuere Site-Kit-Versionen einen Consent-Mode-Schalter mit (dazu unten mehr), aber der ersetzt keine echte Vorab-Blockierung – dazu brauchen Sie einen Consent Manager wie Borlabs Cookie.

Ansatz 1: Skripte hart blockieren (DSGVO-sicherste Variante)

Die von deutschen Aufsichtsbehörden bevorzugte Lösung: Der Analytics-Code lädt gar nicht, bis der Besucher aktiv zustimmt. Das erledigt der Script Blocker von Borlabs Cookie (in Borlabs 2.x wie 3.x vorhanden). Die Grundlogik: Site Kit reiht sein Skript per WordPress-Handle in die Seite ein – Borlabs fängt genau dieses Handle ab und gibt es erst nach Einwilligung frei.

So richten Sie es ein:

  1. Öffnen Sie in WordPress Borlabs Cookie → Script Blocker und legen Sie mit Neu einen Blocker an (z. B. Name „Google Site Kit Analytics”).
  2. Tragen Sie unter Suchen nach / Handle eine Zeichenkette ein, die im Site-Kit-Output vorkommt. Site Kit registriert das gtag.js seit jeher unter dem festen WordPress-Skript-Handle google_gtagjs – dieses Handle ist über alle aktuellen Site-Kit-Versionen hinweg stabil und wird von den mehr als vier Millionen Site-Kit-Installationen einheitlich verwendet (Stand: Juli 2026). Sie können daher wahlweise das Handle google_gtagjs oder die im Quelltext sichtbare URL-Phrase googletagmanager.com/gtag/js als Erkennungsmerkmal eintragen. Im Zweifel finden Sie den exakten String, indem Sie im Seitenquelltext nach googletagmanager suchen.
  3. Verknüpfen Sie den Blocker mit dem passenden Cookie / Service (Gruppe „Statistik” → Google Analytics). So wird das Skript automatisch freigegeben, sobald der Besucher die Statistik-Cookies akzeptiert.
  4. Speichern und Borlabs-Cache leeren (siehe Borlabs Cache zurücksetzen). Zusätzlich einen eventuellen Seiten-Cache (WP Rocket, LiteSpeed o. Ä.) leeren.

Test (wichtig): Öffnen Sie die Seite im Inkognito-Fenster, drücken Sie F12 → Reiter Netzwerk und filtern Sie nach gtag. Vor dem Klick auf „Akzeptieren” darf keine Anfrage an googletagmanager.com oder google-analytics.com erscheinen. Erst nach der Einwilligung soll das Skript nachladen. Ergänzend zeigt der Reiter Anwendung → Cookies, dass vorher keine _ga-Cookies gesetzt sind.

Wenn Analytics trotz Blocker weiterlädt, ist fast immer ein Cache oder ein falsches Handle schuld – die häufigsten Ursachen und Gegenmittel finden Sie im Artikel Borlabs blockiert Google Analytics nicht. Eine allgemeine Einführung in den Blocker liefert Borlabs Cookie Script Blocker richtig einrichten.

Seit März 2024 verlangt Google für Werbe- und Personalisierungsfunktionen im EWR den Consent Mode v2. Wer AdSense oder Google Ads über Site Kit nutzt, kommt daran nicht vorbei – ohne Consent-Signale schrumpfen Remarketing- und Conversion-Daten. Beim Consent Mode wird das Google-Skript zwar geladen, läuft aber im eingeschränkten Zustand: analytics_storage und ad_storage stehen per Default auf denied, und der Consent Manager schaltet sie nach dem Opt-in auf granted.

  • In Site Kit: aktivieren Sie den Consent-Mode-Schalter unter Site Kit → Settings → Admin Settings (Stand: Juli 2026). Damit der Schalter greift, müssen zusätzlich das kostenlose Plugin WP Consent API sowie ein Consent-Management-Plugin (z. B. Borlabs Cookie) installiert und aktiv sein – Site Kit bietet die Installation der WP Consent API direkt unterhalb des Schalters an.
  • In Borlabs Cookie 3.x: Consent Mode wird hier nicht global, sondern pro Dienst gesetzt. Installieren bzw. öffnen Sie unter Consent-Management → Services das jeweilige Paket (Google Analytics bzw. Google Ads) aus der Borlabs-Bibliothek und aktivieren Sie den Google Consent Mode in den Einstellungen genau dieses Dienstes; dort ordnen Sie auch die Speichertypen (analytics_storage, ad_storage, …) den passenden Service-Gruppen zu (Stand: Juli 2026).

Wichtige Einordnung: Der Consent Mode allein ist aus DSGVO-Sicht umstritten, weil Google auch im Zustand „denied” noch cookielose Pings sendet. Viele deutsche Datenschutzbehörden bewerten eine echte Vorab-Blockierung strenger und damit sicherer. Die robuste Empfehlung lautet daher: Ansatz 1 (hart blockieren) für Analytics und zusätzlich Consent Mode v2 dort aktivieren, wo Google es technisch fordert (Ads/AdSense).

Empfohlene Kombination – Schritt für Schritt

  1. Prüfen, welche Dienste Site Kit tatsächlich verbunden hat (Analytics? AdSense? Tag Manager?). Nur diese müssen behandelt werden.
  2. Für Analytics einen Borlabs Script Blocker anlegen und der Gruppe „Statistik” zuweisen.
  3. Für AdSense einen eigenen Blocker (Gruppe „Marketing”) anlegen – Details im Leitfaden Google AdSense in Borlabs Cookie einbinden.
  4. Consent Mode v2 in Site Kit und Borlabs aktivieren, sobald Werbedienste im Spiel sind.
  5. Alle Caches leeren und im Inkognito-Fenster gegentesten (Netzwerk-Tab, Cookies).
  6. Cookie-Banner-Texte an die neuen Dienste anpassen und einmal die eigene Einwilligung zurücksetzen, um den Erst-Besuch zu simulieren.

Passende Grundeinstellungen für den Banner selbst finden Sie in optimale Einstellungen für Borlabs Cookie.

Häufige Fehler und ihre Lösung

  • Analytics feuert trotz Blocker: Meist ein aktiver Seiten-Cache oder ein nicht passendes Handle. Erst Cache leeren, dann im Quelltext das reale Skript-Handle nachschlagen und den Blocker anpassen.
  • In GA4 brechen die Echtzeit-Zahlen ein: Das ist erwartbar und korrekt – Sie zählen jetzt nur noch Besucher, die zugestimmt haben. Für eine belastbare Gesamtsicht nutzen Sie Consent Mode v2 mit Modellierung.
  • Doppeltes Tracking: Wenn neben Site Kit noch ein separates GA-Plugin (oder ein gtag-Snippet im Theme) läuft, blockieren Sie nur eine Quelle. Entfernen Sie doppelte Einbindungen, bevor Sie den Blocker konfigurieren.
  • AdSense-Anzeigen erscheinen nicht mehr: Korrekt vor der Einwilligung – nach dem Opt-in müssen sie wieder laden. Falls nicht, prüfen Sie die Marketing-Gruppen-Zuordnung und den Consent-Mode-Schalter.

FAQ

Muss ich Google Site Kit blockieren, obwohl es direkt von Google stammt? Ja. Nicht Site Kit selbst ist das Problem, sondern die Dienste, die es einbindet: Google Analytics und AdSense setzen Cookies und verarbeiten personenbezogene Daten (u. a. die IP). Genau diese Skripte brauchen eine vorherige Einwilligung – die Herkunft des Plugins ändert daran nichts.

Reicht Google Consent Mode v2 aus, oder muss ich zusätzlich blockieren? Für Google Ads/AdSense im EWR ist Consent Mode v2 seit März 2024 technisch Pflicht. Rechtlich ist er in Deutschland aber umstritten, weil im Zustand „denied” weiterhin cookielose Signale an Google gehen. Die sichere Variante ist, Analytics zusätzlich über Borlabs hart zu blockieren und Consent Mode nur ergänzend zu nutzen.

Muss ich Search Console und PageSpeed Insights auch blockieren? Nein. Beide laufen serverseitig über die Google-API und setzen im Browser des Besuchers weder Cookies noch Tracking-Code. Sie können diese Dienste im Site-Kit-Dashboard ohne Consent-Bedenken weiter verwenden.

Brauchen Sie Unterstützung bei DSGVO & Cookie-Consent (Borlabs & Co.)? Ypsilon.dev ist Ihre Webagentur aus Regensburg – jetzt kostenlose Erstberatung anfragen.