Zum Inhalt springen
EARNST.
EN

Tracking & Compliance

DSGVO-konformes Tracking: Was erlaubt ist, was nicht, und wie Sie beides unter einen Hut bringen

EARNST · ·10 min

Die Rechtslage ist klar: Ohne Einwilligung kein Tracking. Aber zwischen "gar nicht tracken" und "alles tracken und hoffen" liegt ein Feld, das die meisten Unternehmen schlecht bespielen. Dieser Guide erklärt, welche Gesetze gelten, was technisch möglich ist, und wie Sie ein Setup aufbauen, das sowohl rechtlich hält als auch brauchbare Daten liefert.

Die drei Gesetze, die Sie kennen müssen

Tracking in Europa wird von drei Regelwerken bestimmt. Alle drei gelten gleichzeitig, und jedes hat eigene Anforderungen.

DSGVO (Datenschutz-Grundverordnung) regelt die Verarbeitung personenbezogener Daten. Jede IP-Adresse, jede Cookie-ID, jeder Browser-Fingerprint ist ein personenbezogenes Datum. Verarbeitung braucht eine Rechtsgrundlage — bei Tracking ist das in der Regel Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) funktioniert für Web-Analytics nicht, auch wenn manche Unternehmen das behaupten. Die Aufsichtsbehörden sehen das anders, und die Bußgelder sprechen für sich.

TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) ist die deutsche Umsetzung der ePrivacy-Richtlinie. § 25 TDDDG sagt: Zugriff auf Endgeräte (also Cookies setzen oder lesen) braucht Einwilligung. Ausnahme: technisch notwendige Zugriffe. Google Analytics ist nicht technisch notwendig. Meta Pixel ist nicht technisch notwendig. Das betrifft auch Österreich und die Schweiz mit ihren jeweiligen Umsetzungen.

ePrivacy-Verordnung — existiert als Entwurf, ist aber noch nicht in Kraft. Bis sie kommt, gilt die ePrivacy-Richtlinie über nationale Umsetzungen wie das TDDDG. Planen Sie nicht mit der ePrivacy-Verordnung, planen Sie mit dem, was jetzt gilt.

Das bedeutet für Sie: Jedes Cookie und jedes Tracking-Pixel braucht aktive Einwilligung. Vorausgefüllte Checkboxen zählen nicht. "Weitersurfen = Zustimmung" zählt nicht. Ein Cookie-Banner ohne echte Ablehnungsoption zählt nicht.

Was ohne Einwilligung erlaubt ist

Technisch notwendige Cookies brauchen keine Einwilligung. Dazu gehören Session-Cookies für Login-Funktionen, Warenkorb-Cookies, CSRF-Tokens, und Consent-Speicherung selbst. Auch Load Balancing und CDN-Funktionen fallen darunter.

Was nicht darunter fällt: alles, was dem Betreiber dient statt dem Nutzer. Analytics, A/B-Testing, Heatmaps, Remarketing, Conversion Tracking — all das braucht Einwilligung. Die Grenze ist einfach: Wenn die Website ohne dieses Cookie für den Nutzer genauso funktioniert, ist es nicht notwendig.

Server-Side Tracking ändert daran nichts. Auch wenn die Datenverarbeitung auf Ihrem Server stattfindet statt im Browser des Nutzers — die DSGVO gilt für die Verarbeitung personenbezogener Daten, egal wo sie stattfindet.

Google Consent Mode v2

Google verlangt seit März 2024 Consent Mode v2 für alle Werbetreibenden im EWR. Das ist keine optionale Empfehlung, sondern Voraussetzung für Remarketing und Conversion Tracking über Google Ads.

Consent Mode arbeitet mit vier Signalen:

  • analytics_storage — Erlaubt GA4, Cookies zu setzen und Daten zu erfassen
  • ad_storage — Erlaubt Google Ads und Floodlight, Cookies zu setzen
  • ad_user_data — Erlaubt, Nutzerdaten an Google für Werbezwecke zu senden
  • ad_personalization — Erlaubt personalisierte Werbung (Remarketing)

Im Standardzustand stehen alle vier auf denied. Erst nach Einwilligung schaltet Ihr Consent-Banner die jeweiligen Signale auf granted. Google empfängt die Consent-Signale und passt sein Verhalten an: Bei denied werden keine Cookies gesetzt und keine personenbezogenen Daten gespeichert. Stattdessen sendet Google Pings ohne Identifier — sogenannte Cookieless Pings — die für modellierte Conversions verwendet werden.

Das bedeutet für Sie: Auch ohne Einwilligung verlieren Sie nicht alle Daten. Google modelliert Conversions auf Basis der Cookieless Pings und der Daten von Nutzern, die eingewilligt haben. Die Qualität dieser Modellierung hängt vom Consent-Rate ab — je höher die Einwilligungsrate, desto besser die Daten.

Server-Side Tracking richtig einsetzen

Server-Side Tracking über einen GTM Server Container verschiebt die Datenverarbeitung vom Browser auf Ihren eigenen Server. Das hat drei konkrete Vorteile:

Datenqualität. Ad-Blocker und Browser-Restriktionen (ITP in Safari, ETP in Firefox) blockieren oder kürzen Third-Party Cookies. Ein Server Container setzt First-Party Cookies über Ihre eigene Domain. Safari kürzt Third-Party Cookies auf 7 Tage, First-Party Cookies über CNAME auf 7 Tage, aber First-Party Cookies die serverseitig gesetzt werden auf bis zu 400 Tage. Das bedeutet: Sie erkennen wiederkehrende Nutzer zuverlässiger.

Datenkontrolle. Im Client-Side Setup sendet der Browser Daten direkt an Google, Meta und andere Drittanbieter. Sie haben keine Kontrolle darüber, welche Daten mitgesendet werden. Im Server-Side Setup geht jeder Request zuerst an Ihren Server. Dort können Sie Daten filtern, anonymisieren oder anreichern bevor sie weitergeleitet werden. IP-Adressen kürzen, PII entfernen, Consent prüfen — alles unter Ihrer Kontrolle.

Performance. Weniger JavaScript im Browser bedeutet schnellere Ladezeiten. Statt fünf Tracking-Pixel lädt der Browser ein einziges Script, der Rest läuft serverseitig.

Aber: Server-Side Tracking ersetzt keine Einwilligung. Sie verarbeiten weiterhin personenbezogene Daten, und dafür brauchen Sie eine Rechtsgrundlage. Server-Side Tracking ist ein Werkzeug für bessere Datenqualität und mehr Kontrolle — kein Compliance-Trick.

First-Party Data aufbauen

Die Zukunft gehört First-Party Daten. Third-Party Cookies verschwinden, Browser werden restriktiver, und die Abhängigkeit von Plattformdaten wird zum Risiko. First-Party Daten sind Daten, die Sie selbst erheben: E-Mail-Adressen, Kaufhistorie, Newsletter-Anmeldungen, Account-Daten.

Für Ihr Tracking-Setup bedeutet das:

Nutzen Sie Enhanced Conversions in Google Ads. Dabei werden gehashte E-Mail-Adressen oder Telefonnummern an Google gesendet — mit Einwilligung — um Conversions auch dann zuzuordnen, wenn Cookies fehlen. Die Match-Rate liegt typischerweise 15-25% über reinem Cookie-basiertem Tracking.

Setzen Sie die Meta Conversions API (CAPI) ein. Statt sich auf das Meta Pixel im Browser zu verlassen, senden Sie Conversion-Events serverseitig an Meta. Gleicher Ansatz: First-Party Daten (E-Mail, Telefonnummer) für bessere Attribution.

Bauen Sie ein eigenes Event-Tracking auf. GA4 Custom Events für die Aktionen, die für Ihr Business relevant sind: Signups, Feature Usage, Checkout Steps. Diese Daten gehören Ihnen und sind unabhängig von Drittanbieter-Plattformen.

Häufige Fehler

Cookie-Banner ohne echte Wahl. Wenn "Ablehnen" versteckt ist, kleiner dargestellt wird, oder mehr Klicks erfordert als "Akzeptieren", ist das ein Dark Pattern. Aufsichtsbehörden ahnden das zunehmend. Die Lösung: Akzeptieren und Ablehnen gleichwertig darstellen.

Tracking vor Einwilligung laden. Google Analytics oder Meta Pixel werden im <head> geladen und feuern sofort — bevor der Nutzer eine Wahl getroffen hat. Consent Mode v2 Default-Einstellungen müssen vor jedem Script gesetzt werden. Scripts dürfen erst nach Einwilligung Cookies setzen.

Consent-Version nicht aktualisieren. Wenn Sie neue Tracking-Dienste hinzufügen, müssen bestehende Einwilligungen ungültig werden. Der Nutzer hat in Dienst A eingewilligt, nicht in Dienst A plus B. Versionierung im Consent-Banner löst das automatisch.

Server-Side als Compliance-Lösung verkaufen. Server-Side Tracking verbessert Datenqualität und Kontrolle. Es ersetzt keine Einwilligung. Wer das anders darstellt, riskiert Bußgelder.

Datenschutzerklärung nicht aktuell. Jeder Tracking-Dienst muss in der Datenschutzerklärung dokumentiert sein: Anbieter, Zweck, Rechtsgrundlage, Speicherdauer, betroffene Cookies. Fehlt das, ist die Einwilligung potenziell unwirksam.

Empfohlenes Setup

Ein rechtlich sicheres und datenstarkes Tracking-Setup besteht aus vier Komponenten:

1. Consent Management. Ein Consent-Banner das DSGVO-konform ist: echte Wahl, granulare Kategorien (Notwendig, Statistik, Marketing), Widerrufsmöglichkeit, versioniert. Google Consent Mode v2 Defaults werden vor jedem Script gesetzt.

2. GA4 mit Server-Side Tagging. GA4 über einen GTM Server Container, First-Party Cookies über Ihre Domain, IP-Anonymisierung serverseitig. Enhanced Conversions aktiviert für bessere Attribution.

3. Meta CAPI. Conversion-Events serverseitig an Meta senden. Deduplizierung mit dem Browser-Pixel. First-Party Daten (gehashte E-Mail) für höhere Match-Rates.

4. Google Ads mit Enhanced Conversions. Conversion Tracking über den Server Container. Gehashte First-Party Daten für Conversion-Zuordnung auch ohne Cookies.

Das Ergebnis: Sie erfassen die Daten, die Sie für Entscheidungen brauchen, ohne rechtliche Risiken einzugehen. Nutzer die einwilligen liefern vollständige Daten. Nutzer die ablehnen generieren modellierte Daten über Consent Mode. Und Sie behalten die Kontrolle über jeden Datenpunkt.

Projekt besprechen?

Erzählen Sie uns von Ihrem Vorhaben. Wir melden uns innerhalb von 24 Stunden.

1 Projekt
2 Details
3 Kontakt

Worum geht es?

Wählen Sie den Bereich, der am besten passt.

Wir respektieren Ihre Privatsphäre

Wir verwenden Cookies und Tracking-Technologien, um unsere Website zu analysieren und Werbung zu optimieren. Sie entscheiden, welche Kategorien Sie zulassen.

Datenschutz Impressum