Ist es theoretisch möglich, dass dieser Dienst-Anbieter über das JavaScript den HTML-Quelltext der kompletten Seite ausliest bzw. manipuliert? Oder gibt es dagegen Sicherheitsmechanismen in JavaScript bzw. dem Browser?

ja es ist auch praktisch möglich - siehe zb google analytics ;)

sicherheitsmechanismen (same origin) greifen in diesem fall nicht, da das javascript ja vom seitenautor "bewusst" eingebunden wird - es gibt aber durchaus browsererweiterungen die externe scripte blockieren (adblock usw)