CNIL-Bußgeld gegen Google: was 325 Mio. € für dein Tracking bedeuten

Im September 2025 verhängte die CNIL 325 Mio. € gegen Google wegen Consent-Verstößen. Was der Fall für dein Tracking-Setup heißt — und warum Server-Side dich nicht vom Consent befreit.

Am 1. September 2025 hat die französische Datenschutzbehörde CNIL ein Bußgeld von 325 Millionen Euro gegen Google verhängt. Der Fall ist kein Randthema für Konzern-Juristen, sondern ein klares Signal an jeden, der online Werbung schaltet und Daten erhebt: Die Durchsetzung der Consent-Regeln ist real geworden. Dieser Artikel erklärt, was passiert ist, warum es dich betrifft und welche Rolle Server-Side Tracking dabei spielt – und welche nicht.

Was die CNIL entschieden hat

Die CNIL verhängte das Bußgeld in zwei Teilen: 200 Millionen Euro gegen Google LLC und 125 Millionen Euro gegen Google Ireland Limited. Hintergrund war eine Beschwerde der Organisation NOYB aus dem Jahr 2022, der mehrere Prüfungen folgten.

Zwei Punkte standen im Zentrum:

  • Werbung zwischen E-Mails: In den Tabs „Werbung" und „Soziale Netzwerke" von Gmail wurden Anzeigen im Format echter E-Mails zwischen die Nachrichten gemischt – ohne die dafür nötige Einwilligung der Nutzer.
  • Cookies bei der Kontoerstellung: Beim Anlegen eines Google-Kontos wurden Nutzer faktisch zu Werbe-Cookies gedrängt, ohne klar darüber informiert zu werden, dass die Cookie-Setzung Bedingung für den Zugang zu den Diensten war.

Erschwerend wertete die CNIL, dass Google bereits 2020 (100 Mio. €) und 2021 (150 Mio. €) wegen ähnlicher Cookie-Verstöße belangt worden war. Am selben Tag traf es auch den Händler SHEIN mit 150 Millionen Euro. Die Botschaft der Behörde ist eindeutig: Die Aktion gegen unzulässige Cookie- und Consent-Praktiken läuft weiter.

Kernpunkt: Bestraft wurde nicht „Tracking" an sich, sondern fehlende oder erschlichene Einwilligung. Genau diese Frage entscheidet auch über die Rechtssicherheit deines eigenen Setups.

Warum das auch kleinere Unternehmen betrifft

Es ist verlockend, den Fall als Konzern-Problem abzutun. Das wäre ein Fehler. Die rechtliche Grundlage – das Setzen von Cookies und die Verarbeitung personenbezogener Daten nur mit gültiger Einwilligung – gilt für jede Website im EWR, unabhängig von der Größe. Die CNIL und die übrigen europäischen Behörden bauen seit Jahren systematisch Präzedenzfälle auf. Die Höhe der Summen gegen Google setzt den Maßstab, an dem sich die Durchsetzung gegen alle anderen orientiert.

Für dich heißt das konkret: Wenn dein Tracking personenbezogene Daten ohne saubere Einwilligung verarbeitet oder Cookies vor der Zustimmung setzt, ist das kein theoretisches Risiko mehr. Die Enforcement-Praxis ist da.

Was das mit Server-Side Tracking zu tun hat

Hier ist der Punkt, an dem viele falsch abbiegen. Ein verbreiteter Irrtum lautet: „Server-Side Tracking läuft über meine eigenen Server, also brauche ich keinen Consent." Das ist falsch – und im Licht solcher Bußgelder gefährlich falsch.

Server-Side Tracking ändert, wo Daten verarbeitet werden, nicht ob du eine Einwilligung brauchst. Personenbezogene Daten bleiben personenbezogen, egal ob ein Browser-Pixel oder dein Server sie an Meta oder Google sendet. Die Einwilligungspflicht hängt am Datum, nicht am Ort der Verarbeitung.

Was Server-Side aber tatsächlich leistet: Es macht die Einhaltung leichter prüfbar und sauberer durchsetzbar. Statt dass viele einzelne Browser-Tags je für sich entscheiden, ob sie feuern, läuft alles durch eine zentrale Logik. Diese eine Stelle prüft den Consent-Status, bevor irgendetwas an ein Werbenetzwerk geht. Wie Consent Mode v2 und Server-Side dabei zusammenspielen, haben wir hier aufgeschlüsselt: Consent Mode v2 & Server-Side Tracking richtig kombinieren.

99.8%Datenvollständigkeit
10×mehr Daten vs. Client-Side
<40msLatenz, deutsche Server

Wie ein sauberes Setup aussieht

Aus dem CNIL-Fall lassen sich konkrete Anforderungen ableiten, die ein rechtssicheres Tracking-Setup erfüllen muss:

  • Einwilligung zuerst, Verarbeitung danach. Keine personenbezogenen Daten und keine Werbe-Cookies, bevor das granted-Signal vorliegt. Die Reihenfolge ist nicht verhandelbar.
  • Echte Wahlfreiheit. Das Cookie-Banner darf die Zustimmung nicht erzwingen oder die Ablehnung verstecken. Genau dieser Punkt wurde Google zum Verhängnis.
  • Saubere Trennung im Datenfluss. Bei abgelehnter Einwilligung dürfen keine gehashten E-Mails oder Telefonnummern an die Conversion-APIs gehen.
  • Datenhoheit und Speicherort. Je klarer dokumentiert ist, wo und wie verarbeitet wird, desto leichter der Nachweis. Bei ADS-Tracking läuft die Verarbeitung auf eigenen deutschen Servern, ohne US-Cloud-Bezug – das vereinfacht die Schrems-II-Frage zusätzlich.

Wie sich diese Anforderungen technisch abbilden lassen, steht ausführlich in Server-Side Tracking & DSGVO.

Wie viele Conversions verlierst du gerade?

Kostenlose Demo — 30 Min. Teams-Call, kein Sales-Pitch.

Demo buchen

Die ehrliche Einordnung

Ein Bußgeld gegen Google ist kein Beleg dafür, dass „Tracking gefährlich" ist – sondern dafür, dass schlechtes Consent-Management gefährlich ist. Wer sauber arbeitet, kann weiter vollständige Daten für eingewilligte Nutzer erheben und an die Werbenetzwerke zurückspiegeln. Der Fall zeigt nur, wo die Grenze liegt: bei der Einwilligung, nicht beim Datenvolumen.

Server-Side Tracking ist dabei kein Freifahrtschein, sondern ein Werkzeug, das die Einhaltung an einer Stelle bündelt und damit prüfbar macht. Das ist der eigentliche Compliance-Vorteil – nicht die Illusion, ohne Consent auszukommen.

Befreit mich Server-Side Tracking von der Einwilligungspflicht?

Nein. Die Pflicht hängt an der Verarbeitung personenbezogener Daten, nicht am Ort. Server-Side macht die Einhaltung nur einfacher durchsetzbar und prüfbar.

Betrifft das CNIL-Urteil auch deutsche Unternehmen?

Die Entscheidung gilt formal in Frankreich, beruht aber auf europäischem Recht (DSGVO und ePrivacy). Deutsche Behörden verfolgen dieselbe Linie. Als Maßstab für die Enforcement-Praxis ist der Fall relevant.

Was war der konkrete Verstoß?

Werbung im E-Mail-Format zwischen Gmail-Nachrichten ohne Einwilligung sowie das Drängen zu Werbe-Cookies bei der Kontoerstellung ohne klare Information und gültige Einwilligung.

Wie stelle ich sicher, dass mein Setup sauber ist?

Indem Consent-Signal, Datenfluss und Speicherort zusammenpassen. Genau das prüfen wir in einer kostenlosen Demo am echten Datenfluss: Wir zeigen dir, was bei Zustimmung und bei Ablehnung passiert und wo dein aktuelles Setup nachschärfen sollte. Buch dir einen Termin, kein Sales-Pitch.

Kostenlose Demo

Kostenlose Demo buchen.

Keine Test-Software zum Ausprobieren — wir demonstrieren live im Teams-Call, wie viele Conversions dein Client-Side Tracking verliert und was Server-Side zurückholt. Kostenlos, auf Deutsch.

Unverbindlich Kein Risiko Auf Deutsch

Weiter lesen

Analytics & Daten

Google Analytics Server Side Tracking richtig aufsetzen

29. Juni 2026 · 7 Min
Analytics & Daten

Attributionsmodelle im Vergleich: welches passt zu dir?

24. Juni 2026 · 9 Min