Usercentrics: Reject-Pfad leakt Tracker

Usercentrics ist als deutscher CMP-Anbieter im DACH-Raum stark verbreitet. Wenn der dsgvochecker.de-Reject-Pfad-Test trotz vorhandenem Banner Tracker meldet, ist die Ursache fast immer eine von diesen vier. Alle Empfehlungen mit Quellen aus der offiziellen Usercentrics-Doku.

TL;DR: Die vier häufigsten Reject-Pfad-Lecks bei Usercentrics: (1) Tracker als "Essential" klassifiziert, (2) GTM-Implementierung ohne Auto-Blocking, (3) Google Consent Mode v2 nicht aktiv, (4) Custom-Service ohne Manual-Init-Block.

Ursache 1: Ist ein Tracker-Service falsch als "Essential" klassifiziert?

Essential-Services laufen immer — ohne Consent. Marketing-Pixel dürfen nie als Essential markiert sein.

In Usercentrics werden Tracker als "Service-Templates" konfiguriert, die einer Kategorie zugeordnet sind: Essential, Functional, Marketing, Statistics. Essential-Services laufen immer — ohne Consent-Abfrage, vor und nach Reject. Wenn ein Marketing-Pixel (z.B. Meta-Pixel, Google Analytics) versehentlich als Essential klassifiziert ist, leakt der Reject-Pfad.

Fix: Im Usercentrics Admin-Interface unter Configuration → Privacy Settings → Services jeden Eintrag prüfen. Tracker-Services müssen in Marketing oder Statistics sein — nie in Essential. Wenn unsicher, lieber in Functional als in Essential.

Quelle: Usercentrics Knowledge Hub — Cookie Categories Explained

Ursache 2: Wurde Usercentrics über GTM eingebaut statt direkt im Head?

Bei GTM-Implementation ist Auto-Blocking deaktiviert — das Skript ist da, blockt aber nichts.

Usercentrics dokumentiert es selbst klar: wenn der Usercentrics-CMP über Google Tag Manager als Tag eingebaut wird, ist die Auto-Blocking-Funktion nicht verfügbar — weil GTM Tags asynchron lädt und Auto-Blocking damit nicht zuverlässig wirkt. Ergebnis: Usercentrics-Skript ist da, blockt aber nichts automatisch.

Fix: Das Usercentrics-Init-Skript direkt in den <head> einbinden — vor allen Tracker-Skripten, vor GTM. GTM-Tags müssen dann zusätzlich mit Consent-Mode-Triggern abgesichert sein (siehe Ursache 3).

Quelle: Usercentrics Support — Implementing Usercentrics CMP v3 using GTM

Ursache 3: Ist Google Consent Mode v2 in Usercentrics aktiviert?

Ohne v2 fehlt GTM die Consent-Information — Marketing-Tags feuern dann sofort.

Auch mit korrektem Usercentrics-Setup feuern GTM-Tags, wenn ihr Trigger keine Consent-Bedingung prüft. Google verlangt seit 2024 flächendeckend Consent Mode v2, und Usercentrics ist als zertifizierter Google-CMP-Partner darauf vorbereitet — aber die Aktivierung muss explizit erfolgen.

Fix: Im Usercentrics Admin-Interface unter Configuration → Google Consent Mode die V2-Implementierung einschalten. Im GTM unter Admin → Container Settings → Consent Settings Default-Status auf denied setzen für alle analytics_storage, ad_storage, ad_user_data, ad_personalization. Usercentrics liefert dann die Updates an GTM.

Quelle: Usercentrics Support — Implementing Google Consent Mode with Usercentrics

Ursache 4: Hat Ihr Custom-Tool einen Manual-Init-Block?

Tools außerhalb der Service-Bibliothek brauchen einen Wrapper, der auf das Consent-Event hört.

Wenn Sie ein Tool nutzen, das nicht in Usercentrics' Service-Template-Bibliothek ist (eigene Pixel, Marketing-Tools, In-House-Analytics), müssen Sie ein Custom-Service-Template anlegen und den eigentlichen Tracker-Init-Code so wrappen, dass er auf das Usercentrics-Consent-Event hört. Wenn der Init-Code direkt im DOM liegt und sofort ausgeführt wird, läuft er vor und nach Reject.

Fix: Tracker-Init-Code als <script type="text/plain" data-usercentrics="Service-Name"> wrappen oder im JS auf das Event UC_UI_INITIALIZED warten und dann UC_UI.getServicesBaseInfo() abfragen, ob der Service Consent hat. Beispiel:

window.addEventListener('UC_UI_INITIALIZED', () => {
  const svc = UC_UI.getServicesBaseInfo()
    .find(s => s.name === 'Mein-Tracker');
  if (svc?.consent?.status === true) {
    // hier den Tracker-Init-Code ausführen
  }
});

Quelle: Usercentrics CMP v3 API Documentation

Wie verifiziere ich, dass der Fix wirkt?

Cache komplett leeren, dann erneut scannen. Wenn der Reject-Pfad sauber ist, sind Sie DSGVO-konform.

Nach jeder Änderung: Site komplett deployen, Cache leeren (CDN + Browser), und einen erneuten Reject-Pfad-Scan auf dsgvochecker.de starten. Wenn der Test "Reject-Pfad sauber" meldet, ist Ihr Usercentrics jetzt DSGVO-konform.

Verwandte Anleitungen

Cookiebot Auto-Blocking-Reihenfolge, GTM Consent Mode, SST Borlabs Cookie (WordPress) Content-Blocker, Plugin-Konflikte, Cache-Reset Alle CMPs im Überblick Welcher CMP ist im DACH-Markt verbreitet, Vergleich

Stand: 29.04.2026 · Quellen aus support.usercentrics.com sind bei den jeweiligen Punkten verlinkt.