Google erklärt Back Button Hijacking zum Spam – was du bis 15. Juni tun musst

Google kündigt Spam-Richtlinien selten mit Vorlauf an. Diesmal schon. Am 13. April 2026 hat der Search Central Blog eine neue Richtlinie veröffentlicht, die am 15. Juni 2026 in Kraft tritt: Back Button Hijacking gilt ab dann als expliziter Verstoß gegen Googles Spam-Regeln.

Seiten, die dagegen verstoßen, riskieren manuelle Spam-Maßnahmen oder automatische Rankingverluste. Betroffen sind nicht nur Betreiber, die das bewusst eingebaut haben. Die größere Gefahr liegt in Drittanbieter-Scripts, die täglich auf Websites laufen, ohne dass jemand sie wirklich geprüft hat.

Zwei Monate Vorlauf klingt komfortabel. Für viele Setups reicht diese Zeit gerade so.

Was Back Button Hijacking bedeutet

Der Nutzer besucht eine Website. Er liest, entscheidet sich dagegen und drückt den Zurück-Button. Normalerweise landet er zurück bei Google. Beim Back Button Hijacking passiert das nicht. Stattdessen landet er auf einer anderen Seite, die er nie angefordert hat. Oder er sieht Werbung, die seinen Klick abgefangen hat. Oder er steckt in einer Navigationsfalle, die ihm das Verlassen erschwert.

Kein Nutzer hat das angefordert. Google nennt es, was es ist: Täuschung des Nutzers. Und ab dem 15. Juni behandelt Google es wie jede andere Form von Spam.

Was die neue Richtlinie konkret erfasst

Unerwünschte Weiterleitungen. Manipulierte Browser-History. Überschriebene Navigation durch Werbung oder Widgets.

Der entscheidende Punkt: Auch wenn ein Drittanbieter das Problem verursacht, haftet die Website. Google macht keinen Unterschied zwischen eigenem und eingebundenem Code.

Drittanbieter-Scripts: das unterschätzte Risiko

Die meisten Betreiber haben ihren eigenen Code im Griff. Das Problem liegt woanders: in Werbenetzwerken, Affiliate-Widgets, Chatbots, Push-Notification-Overlays und Content-Recommendation-Tools, die täglich auf tausenden Websites laufen. Viele dieser Dienste manipulieren den Browser-Verlauf, um Sitzungsdauer und Engagement-Kennzahlen zu verbessern. Für dich ist es ein Compliance-Risiko. Wer solche Scripts eingebunden hat und bis zum 15. Juni nichts unternimmt, verstößt ab diesem Tag automatisch gegen Googles Spam-Richtlinien.

Die vier Schritte des Audits

1. Navigation manuell testen.
2. JavaScript auf History-Manipulationen prüfen (history.pushState, history.replaceState, history.go(), popstate-Listener, window.location.replace/assign/href).
3. Schritt 3: Alle Drittanbieter-Scripts auflisten.
4. Schritt 4: Problemquellen deaktivieren oder ersetzen.

Typische Problemquellen in der Praxis

Popup- und Overlay-Systeme. Chatbots und Konversations-Widgets. Affiliate- und Retargeting-Scripts. WordPress-Plugins und Theme-Scripts. Wer solche Scripts eingebunden hat, trägt das Risiko – nicht der Anbieter.

Was nach dem 15. Juni gilt

Googles Spam-System arbeitet auf zwei Ebenen: algorithmisch und manuell. In der Search Console zeigt sich das als Einbruch bei Impressionen und Klicks. Manuelle Maßnahmen sind schwerwiegender: Seiten können für bestimmte Suchanfragen oder vollständig aus den Ergebnissen verschwinden. Nach einer Bereinigung: Überprüfungsanfrage stellen, Bearbeitungszeit typischerweise zwei bis vier Wochen.

Die Konsequenz ist klar: Wer jetzt handelt, muss keine dieser Szenarien durchlaufen.

Für alle Kunden im YGGDRASIL-Betreuungsmodell führt NORDWYND diesen Audit als Teil der laufenden Betreuung proaktiv durch. Wer jetzt prüft, hat bis zum 15. Juni noch Spielraum. Wer wartet, nicht mehr.