Datenschutzkonformes Tracking ohne Einwilligung (Cookies) für GA4

Stellen Sie sich vor: Sie investieren viel Geld in Google Ads, doch am Ende sehen Sie nur einen Bruchteil der tatsächlichen Erfolge. Warum? Weil bis zu 50% Ihrer Tracking-Daten verloren gehen – durch abgelehnte Cookie-Banner, Ad-Blocker und moderne Browser-Tracking-Preventions. Das bedeutet: Ihr ROAS wirkt schlechter, erfolgreiche Kampagnen werden unterschätzt, und wertvolle Einblicke in die Customer Journey fehlen.

Doch es gibt eine Lösung! Mit der Kombination aus Advanced Google Consent Mode und Server Side Tracking können Sie diese Verluste nicht nur drastisch reduzieren, sondern nahezu 100% Ihrer Daten zurückgewinnen – datenschutzkonform und effizient. In diesem Beitrag erfahren Sie, wie diese Technologien funktionieren, warum sie entscheidend für Ihre Marketingstrategie sind und wie Sie damit Ihren Werbeerfolg sichtbar steigern. Bleiben Sie dran – es geht um nichts weniger als den Erfolg Ihrer Kampagnen!

Datenschutzkonformes Tracking ohne Einwilligung – was bedeutet das eigentlich?

Es gibt verschiedene Möglichkeiten, Nutzerdaten datenschutzkonform zu tracken, doch nur wenige, dies ohne die Einwilligung (Cookies) zu tun und dabei gleichzeitig datenschutzkonform zu sein. Viele dieser Methoden klingen nur auf den ersten Blick rechtlich sicher, erfüllen jedoch in der Praxis nicht zwangsläufig alle Anforderungen. Der Schlüssel liegt im Verständnis von Datenschutzgesetzen wie der Datenschutzgrundverordnung (DSGVO), dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG), der ePrivacy-Verordnung und dem Digital Markets Act (DMA) und wie Sie diese Anforderung innerhalb der Tracking-Methoden umsetzen. Diese Regelwerke definieren genau, welche Anforderungen bei der Datenverarbeitung erfüllt werden müssen. Selbst wenn Sie Nutzerdaten ohne Einwilligung tracken wollen, bedeutet dies nicht, die Privatsphäre und Wünsche Ihrer Besucher zu missachten, sondern es bedeutet intelligente Wege zu finden, sich im Rahmen der Datenschutzanforderungen zu bewegen und die Effizienz Ihres Trackins zu optimieren. Wie genau Sie das erreichen, gucken wir uns in den nächsten Abschnitten an. 

Wenn Sie sich die Details über die Datenschutzgesetze nicht aneignen möchten, können Sie den nächsten Absatz überspringen. Wir empfehlen jedoch sich mit den gängigsten Datenschutzgesetzen für Europa vertraut zu machen, um den rechtlichen Rahmen zu verstehen, in dem wir uns bewegen.

Die Datenschutz-Grundverordnung (DSGVO)

Die DSGVO legt die Anforderungen für die Verarbeitung personenbezogener Daten fest. Sie zielt weniger auf Cookies und Tracking-Technologien ab, sondern stellt die personenbezogene Datenverarbeitung in den Fokus.

Zu den zentralen Grundsätzen zählt Artikel 5 der DSGVO, der regelt, wie personenbezogene Daten verarbeitet werden dürfen. Ebenfalls relevant ist Artikel 6, der die Rechtmäßigkeit der Verarbeitung definiert und sechs Rechtsgrundlagen dafür nennt. Eine davon ist Punkt 1a), der besagt, dass eine Datenverarbeitung nur mit der Einwilligung der betroffenen Person rechtmäßig ist. Alternativ regeln die Punkte 1b) bis 1f), wann eine Verarbeitung ohne Einwilligung erlaubt ist – beispielsweise, wenn sie zur Erfüllung eines Vertrags oder gesetzlicher Verpflichtungen notwendig ist.

Um die Anforderungen der DSGVO zu verstehen, ist es essenziell, die Begriffsbestimmungen in Artikel 4 zu kennen. Dieser Artikel klärt wichtige Definitionen, darunter:

• Personenbezogene Daten: Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen beispielsweise Name, Kennnummer, Standortdaten, Online-Kennungen oder besondere Merkmale wie physische, genetische oder wirtschaftliche Eigenschaften.
• Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten – einschließlich Erheben, Erfassen, Speichern, Auslesen, Verwalten, Übermitteln, Löschen und sogar der Einschränkung.

Ein besonders diskussionswürdiger Begriff ist das „berechtigte Interesse“, das in Artikel 6, Punkt 1f) genannt wird. Hier heißt es, dass eine Verarbeitung rechtmäßig ist, wenn sie „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen“.

Unternehmen könnten argumentieren, dass sie Daten ohne Einwilligung verarbeiten dürfen, um ihre berechtigten Interessen zu wahren. Doch ob diese Auslegung vor Gericht Bestand hat, bleibt in vielen Fällen unklar.

Was bedeuten also die DSGVO-Anforderungen für Sie? 

Wenn Sie als Unternehmen personenbezogene Daten von Nutzern in Europa verarbeiten (siehe oben), müssen Sie nach der DSGVO eine aktive Einwilligung der betroffenen Personen einholen. Die Einhaltung betrifft dabei jedes Unternehmen, das personenbezogene Daten von Nutzern in Europa verarbeitet – unabhängig davon, ob das Unternehmen seinen Sitz in Europa hat.

Da die Verarbeitung nahezu jeden Aspekt im Zusammenhang mit personenbezogenen Daten umfasst, gibt es kaum Argumente dafür, auf die Einholung der Einwilligung verzichten zu können. Wie bereits erwähnt, gibt es jedoch einige wenige Ausnahmen, die in Artikel 6, Absatz 1 Buchstaben a) bis f) der DSGVO definiert sind. Diese Ausnahmen gelten jedoch nur in besonderen Fällen.

Aus diesem Grund empfehlen wir die Nutzung eines Consent Managers (auch bekannt als Cookie-Banner), um den Besuchern Ihrer Website oder Ihres Online-Shops die Möglichkeit zu geben, aktiv einzuwilligen und diese Einwilligungen rechtskonform zu dokumentieren.

Das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) bzw. das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)

Puh, versuchen Sie einmal, diese beiden Begriffe schnell hintereinander auszusprechen – gar nicht so einfach! Ebenso komplex ist es, sich in diesem Geflecht aus Datenschutzanforderungen zurechtzufinden und die Unterschiede klar zu definieren. Fest steht jedoch: Das TTDSG, das ursprünglich am 1. Dezember 2021 in Kraft trat, wurde am 13. Mai 2024 durch das TDDDG ersetzt.

Die Namensänderung des Gesetzes wurde durch das Aufkommen des Digital Services Act (DSA) geprägt und der Sonderbegriff „Telemedium“ wurde durch die neue Terminologie „digitaler Dienst“ ersetzt. Ursprünglich war das TTDSG eine Zusammenführung des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG). Wahnsinn, wer soll da noch durchblicken?

Das Wesentliche im Fokus

Das TDDDG ergänzt die Datenschutzvorschriften der DSGVO und gilt speziell für Telekommunikations- und digitale Dienste. Es regelt vor allem den Umgang mit Cookies und Tracking-Technologien.

Ein zentraler Bestandteil ist § 25 TDDDG, „Schutz der Privatsphäre bei Endeinrichtungen“. Dieser Paragraph besagt, dass:

• Speicherung von Informationen in der Endeinrichtung des Endnutzers oder
• Zugriff auf bereits gespeicherte Informationen

nur dann zulässig ist, wenn der Endnutzer auf der Grundlage klarer und umfassender Informationen eingewilligt hat. Dabei sind die Maßstäbe der DSGVO, insbesondere Artikel 6, maßgeblich.

Wann ist keine Einwilligung erforderlich?

1. Übertragung von Nachrichten
   Was bedeutet das?
   Wenn der alleinige Zweck darin besteht, eine Nachricht über ein öffentliches Telekommunikationsnetz zu übertragen, ist keine Einwilligung erforderlich.

   Beispiel:
   Ein Internetanbieter speichert vorübergehend Daten, um sicherzustellen, dass eine E-Mail, ein Chat oder eine Website übertragen werden kann. Diese technische Speicherung ist notwendig für die Kommunikation und benötigt daher keine Zustimmung.

2. Technisch notwendige Funktionen für gewünschte Dienste
   Was bedeutet das?
   Wenn eine Funktion unbedingt erforderlich ist, um einen Service bereitzustellen, den der Nutzer ausdrücklich angefordert hat, ist ebenfalls keine Einwilligung nötig.

   Beispiel:
   Ein Online-Shop verwendet ein Cookie, um Produkte im Warenkorb zu speichern, damit der Nutzer seinen Einkauf abschließen kann. Diese Funktion ist notwendig für den gewünschten Service „Einkauf“.

Zusammenfassung

Keine Einwilligung ist erforderlich, wenn Daten ausschließlich für den Betrieb von Kommunikationszwecken oder wesentliche Funktionen eines angeforderten Dienstes benötigt werden. Für Cookies, die zu Analyse- oder Marketingzwecken verwendet werden, ist hingegen eine aktive Einwilligung erforderlich.

Zusammenspiel von DSGVO und TDDDG

Ein entscheidender Punkt ist, wann welches Gesetz Anwendung findet:

1. Keine personenbezogenen Daten:
   Werden bei der Nutzung von Technologien keine personenbezogenen Daten verarbeitet, gelten nur die Vorgaben des TDDDG.

2. Verarbeitung personenbezogener Daten:
   Wenn Cookies verwendet werden, die das Nutzerverhalten nachverfolgen (z. B. Tracking-Cookies), gelten sowohl das TDDDG als auch die DSGVO, da personenbezogene Daten verarbeitet werden.

Der Anwendungsbereich des TDDDG ist damit breiter gefasst als der der DSGVO, da er sämtliche im Rahmen der Nutzung digitaler Dienste erhobenen Informationen abdeckt – nicht nur personenbezogene Daten.

EPrivacy-Verordnung

Vor dem Inkrafttreten des TTDSG war lange unklar, welche Regelungen für den Einsatz von Cookies gelten. Bis dahin galt die ePrivacy-Richtlinie aus dem Jahr 2002, auch bekannt als Cookie-Richtlinie. Ursprünglich war geplant, dass eine neue Version der ePrivacy-Verordnung zeitgleich mit der DSGVO in Kraft tritt. Doch aufgrund von Uneinigkeiten verzögerte sich der Prozess, und bis heute stagnieren die Verhandlungen. Eine neue Version der Verordnung gibt es daher noch nicht.

Ziele der ePrivacy-Verordnung

Die neue Verordnung soll die Datenschutzanforderungen der DSGVO ergänzen, indem sie zusätzliche, starke Garantien für die Vertraulichkeit und den Schutz aller Formen elektronischer Kommunikation schafft. Im Fokus stehen dabei insbesondere:

• Die Wahrung der Vertraulichkeit elektronischer Kommunikation
• Strengere Regeln für die Datenverarbeitung durch Unternehmen

Die ePrivacy-Verordnung wird damit eine zentrale Rolle beim Schutz von Nutzerdaten spielen, sobald sie verabschiedet ist.

Digital Markets Act (DMA)

Am 6. März 2024 trat das europäische Gesetz für digitale Märkte (DMA) in Kraft. Es verfolgt das Ziel, faire Wettbewerbsbedingungen im Internet zu schaffen. Warum ist dieses Gesetz von Bedeutung? Es richtet sich speziell an große und marktbeherrschende Plattformen wie Google, die als sogenannte Gatekeeper eingestuft werden. Diese Gatekeeper müssen nun Regeln einhalten, die den Missbrauch ihrer Marktmacht verhindern sollen.

Der DMA hat auch Auswirkungen auf die Datenverarbeitung, da Google mit Google Ads und Analytics eine erhebliche Marktdominanz besitzt. Viele Unternehmen nutzen diese Dienste zur Nutzeranalyse und Monetarisierung.

Um den Anforderungen des DMA gerecht zu werden, hat Google angekündigt, dass der Google Consent Mode ab dem 6. März 2024 für alle Unternehmen, die im europäischen Raum tätig sind und Google Dienste verwenden, verpflichtend ist. Dieser sogenannte Einwilligungsmodus stellt sicher, dass Unternehmen den Einwilligungsstatus ihrer Nutzer in Bezug auf Cookies oder App-IDs an Google übermitteln. Der Consent Mode arbeitet dabei mit Ihrem Consent Manager (Cookie-Banner) zusammen, um die Zustimmung der Besucher einzuholen (später dazu mehr).

Welche Auswirkungen haben die Datenschutzgesetze auf mein Tracking ohne Einwilligung (Cookies)?

Das Ziel eines datenschutzkonformen Trackings ohne Einwilligung ist es, eine bis zu 100% vollständige Datenbasis zu erhalten. Die Betonung liegt auf datenschutzkonform, denn auch wenn wir ohne Einwilligung Nutzerdaten erfassen möchten, müssen wir die Anforderungen der Datenschutzgesetze einhalten.

Datenschutzkonformes Tracking ohne Einwilligung ist kein Freifahrtschein, um rücksichtslos Nutzerdaten zu sammeln, wenn Nutzer ihre Einwilligung nicht gegeben haben (dazu später mehr). Mit dem richtigen Tracking-Setup können Sie jedoch eine Möglichkeit schaffen, Ihre Datenbasis zu erweitern. Was bedeutet das konkret?

Auch bei einem Tracking ohne Einwilligung ist die Implementierung eines Consent Managers (z. B. eines Cookie-Banners) auf Ihrer Website oder Ihrem Online-Shop zwingend erforderlich. Zudem müssen Einwilligungen und Ablehnungen dokumentiert werden, um den Datenschutzanforderungen zu entsprechen. Je nach Einwilligungsrate (Consent-Rate) erhalten Sie jedoch nur die Daten der Nutzer, die der Datenerfassung zugestimmt haben.

Ein Beispiel: Wenn Ihre Einwilligungsrate 60% beträgt, sehen Sie in Google Analytics im besten Fall auch nur diese 60% der Nutzerdaten. Doch mit zwei Methoden können Sie bis zu 100% der Nutzerdaten erfassen und dabei weiterhin die Datenschutzgesetze einhalten.

Lassen Sie uns im nächsten Schritt genauer betrachten, wie datenschutzkonformes Tracking ohne Einwilligung funktioniert.

Wie funktioniert datenschutzkonformes Tracking ohne Einwilligung (Cookies)?

Zugegeben, der Titel klingt fast wie eine Einladung, das Gesicht eines Datenschutzbeauftragten entgleisen zu sehen. Aber wie Sie vielleicht schon vermuten, geht es in diesem Artikel nicht darum, auf fragwürdige Weise Daten von Nutzern zu sammeln und ihre Privatsphäre zu verletzen. Vielmehr beleuchten wir, wie Unternehmen wertvolle Daten für Marketing, Analysen oder Geschäftsentscheidungen nutzen können – ohne auf Cookies und die Einwilligung der Besucher angewiesen zu sein.

Entscheidend ist, dass im Marketing nicht zwangsläufig personenbezogene Daten benötigt werden. Vielmehr kommt es darauf an, verlässliche Informationen über die Interaktionen der Nutzer mit der eigenen Website zu sammeln: Welche Buttons werden geklickt? Wie weit scrollen die Nutzer? Wie bewegen sie sich auf der Seite?

Die Herausforderung für Unternehmen besteht darin, den Spagat zwischen den Datenschutzgesetzen, die wir oben beschrieben haben, und einem erfolgreichen Tracking mittels Daten zu meistern. Einfach gesagt, ist es essenziell, eine hochwertige Datenbasis durch Tracking zu generieren, auf deren Grundlage Sie datengestützte Entscheidungen und Strategien treffen können. Diese müssen jedoch gleichzeitig alle Datenschutzanforderungen erfüllen und damit die Rechte und die Privatsphäre Ihrer Besucher wahren. Schwierig wird dies vor dem Hintergrund strenger Vorgaben z.B. die der DSGVO die für Europa gilt. Diese betrachtet nahezu jede Datenverarbeitung als potenzielles Risiko für die Privatsphäre der Nutzer.

Nicht falsch verstehen: Die DSGVO ist ein wichtiger Meilenstein für den Schutz von Nutzerdaten, und ich bin froh, dass es sie gibt. Allerdings fehlt eine einfache Möglichkeit, nicht personenbezogene Daten für Analyse- und Marketingzwecke zu erfassen – etwa durch eine klare Regelung, die dies ohne Einwilligung erlaubt.

Da diese Option bisher nicht besteht, müssen Unternehmen auf alternative Lösungen setzen, um dennoch wertvolle Daten zu erhalten – datenschutzkonform und ohne Einwilligung. Der Spagat zwischen Datenschutz und Tracking gelingt dabei durch die Kombination zweier Methoden: dem Advanced Consent Mode von Google und dem Server Side Tracking (auch Server Tagging genannt) über den Server Tag Manager, ebenfalls von Google. Gucken wir uns die beiden Methoden einmal im Detail an:

Der Google Consent Mode

Google Consent Mode: Funktion und Auswirkungen

Der Google Consent Mode beeinflusst das Verhalten von Google Analytics, Google Ads und Drittanbietern, die Cookies nutzen. Er passt sich dynamisch an, je nachdem, ob ein Besucher der Datenverarbeitung zugestimmt hat oder nicht. Dadurch wird sichergestellt, dass die Vertraulichkeit und Sicherheit der Daten gemäß den Anforderungen des DMA gewährleistet sind.

Google bietet dabei zwei Varianten des Consent Modes an: den Basic Mode und den Advanced Mode. Sehen wir uns die Unterschiede genauer an:

Google Consent Mode: Basic Mode

Der Basic Mode ist die Basisversion des Consent Modes und verhindert das Laden von Google-Tags, bis ein Besucher mit dem Consent Manager (Cookie-Banner) interagiert hat. Ziel ist es, zu verhindern, dass vor der Benutzerinteraktion Daten an Google übermittelt werden.

Abb.: Wie der Basic Consent Mode von Google funktioniert 

Funktionsweise:

• Erst nach Einwilligung des Nutzers laden die Google-Tags die Zustimmungsmodus-APIs und führen sie aus
• Die Tags senden dann die Informationen über den Einwilligungsstatus in folgender Reihenfolge:
  1. Standardeinwilligungszustände
  2. Aktualisierte Einwilligungszustände

Ohne Einwilligung:
Wenn der Nutzer keine Einwilligung erteilt, werden keine Daten an Google übermittelt, und die Google-Tags werden gar nicht erst ausgelöst.

Vorteil:
Google sichert sich durch diese Methode ab, dass Unternehmen Google-Dienste DSGVO- und DMA-konform nutzen können.

Conversion-Modellierung:
Google bietet eine Conversion-Modellierung an, um Datenverluste auszugleichen, wenn Besucher den Consent Manager ablehnen. Dies ermöglicht es Unternehmen, ihre Kampagnen weiterhin mit Basisdaten zu optimieren, auch wenn keine vollständigen Informationen vorliegen.

Google Consent Mode: Advanced Mode

Der Advanced Mode funktioniert ähnlich wie der Basic Mode, weist jedoch einige entscheidende Unterschiede auf.

Abb.: Wie der Advanced Consent Mode von Google funktioniert 

Funktionsweise:

1. Standardmäßig wird die Zustimmung verweigert, sofern keine individuellen Standardeinstellungen definiert sind. Währenddessen senden die Google-Tags cookie-freie Pings.
2. Die Zustimmung wird erst nach der Benutzerinteraktion mit dem Cookie-Banner aktualisiert.
3. Bei Zustimmung übermitteln die Google-Tags vollständige Messdaten.

Unterschied zum Basic Mode:
Im Gegensatz zum Basic Mode, bei dem ohne Einwilligung keinerlei Daten übermittelt werden, erzeugt der Advanced Mode cookie-freie Pings, die ohne Zustimmung verarbeitet werden können.

Cookie-freie Pings im Einwilligungsmodus

Der Einwilligungsmodus (Consent Mode) von Google bietet eine Möglichkeit, datenschutzkonform Tracking-Daten zu nutzen – selbst wenn Nutzer ihre Einwilligung verweigern. Hier ist, was dabei passiert:

Was passiert, wenn Nutzer ihre Einwilligung erteilen?

Gibt ein Websitebesucher seine Einwilligung, arbeiten die entsprechenden Tags wie gewohnt:

• Cookies werden gesetzt, um die Website zu analysieren oder personalisierte Anzeigen auszuspielen
• Tracking-Technologien können ohne Einschränkungen genutzt werden

Was passiert, wenn Nutzer ihre Einwilligung verweigern?

Lehnen Nutzer die Einwilligung ab, verhindern die Tags das Setzen von Cookies. Trotzdem ist es möglich, wichtige Informationen an die Google-Server zu senden – ohne personenbezogene Daten wie Cookies oder eindeutig identifizierbare Signale zu verwenden. Dies geschieht über sogenannte Pings.

Welche Arten von Pings gibt es?

1. Pings zum Einwilligungsstatus

   • Übermitteln Informationen darüber, ob Cookies für Werbung (ad_storage) oder Analyse (analytics_storage) erlaubt sind
   • Diese Pings werden auf allen Seiten ausgelöst, die den Einwilligungsmodus aktiviert haben

   • Ändert der Nutzer später seine Einwilligung (z. B. über das Cookie-Banner), wird der neue Status ebenfalls übermittelt

2. Conversion-Pings

   • Signalisiert, dass eine Conversion stattgefunden hat (z. B. ein Kauf oder das Ausfüllen eines Formulars)

3. Google Analytics-Pings

   • Diese Pings werden auf Seiten gesendet, auf denen Google Analytics implementiert ist
   • Sie protokollieren Aktionen wie Seitenaufrufe oder Ereignisse, jedoch ohne personenbezogene Daten

Welche Daten enthalten diese Pings?

Die Pings übertragen ausschließlich allgemeine und nicht personenbezogene Informationen:

• Funktionsbezogene Informationen:

  • Zeitstempel (wann die Seite geladen wurde)
  • Informationen über den Browser (User-Agent)

  • Referrer-URL (die Adresse der vorherigen Seite)

• Zusammengefasste/nicht personenbezogene Daten:

  • Informationen, ob in der URL ein Anzeigenklick enthalten ist (z. B. GCLID/DCLID)
  • Status der Einwilligung (z. B. „Ja“ oder „Nein“)
  • Eine zufällig generierte Zahl für jede Seitenladung
  • Daten zur verwendeten Consent Management Platform (z. B. Entwickler-ID)

Warum ist das wichtig?

Der Einwilligungsmodus ermöglicht es Websitebetreibern, Marketing- und Analyseziele zu erreichen, ohne die Privatsphäre der Nutzer zu verletzen.

• Das Konzept der Pings stellt sicher, dass keine personenbezogenen Daten gespeichert werden
• Gleichzeitig können wichtige Einblicke gewonnen werden, um die Website- und Kampagnenperformance zu optimieren

Server Side Tracking/Tagging

Nachdem Der Google Consent Mode die Einwilligung überprüft hat, setzt das Konzept des Server Side Trackings oder auch Tagging genannt ein.

Dabei können zwei grundlegende Ansätze unterschieden werden, um mit Tag-Management-Systemen Nutzeraktivitäten im Internet zu erfassen: Web Tag Manager (für clientseitiges Tracking) und Server Tag Manager (für serverseitiges Tracking). Beide Varianten fügen Code-Schnipsel in den Webseiten-Code ein, wodurch Analyse-Tools wie Google Analytics Daten über die Nutzer sammeln und auswerten können.

Den Web Tag Manager kennen Sie vielleicht bereits, da er häufig für clientseitiges Tracking verwendet wird. Der Server Tag Manager hingegen erweitert diese Funktionalität, indem er das Tracking auf einen eigenen Server auslagert. Der Unterschied zwischen den beiden Ansätzen ist recht einfach:

• Clientseitiges Tracking: Die Tags werden auf dem Gerät des Nutzers ausgeführt (z. B. im Browser).
• Serverseitiges Tracking: Die Tags werden auf einem eigenen Server ausgeführt. Dabei wird ein Proxy-Server zwischen Ihrer Webseite oder Ihrem Online-Shop und  Drittanbieterdiensten (z. B. Google-Dienste) geschaltet.

Funktionsweise von Server Side Tracking im Detail:

Abb.: Wie Server Side Tracking funktioniert

1. Proxy-Server: Der Tracking-Code sendet die Daten nicht direkt an Drittanbieter wie Google Analytics, sondern zuerst an einen eigenen Server, z. B. über den Google Tag Manager Server Container.
2. Datenfilterung: Auf diesem Server können die Daten geprüft, minimiert und pseudonymisiert werden, bevor sie an Drittanbieter weitergeleitet werden.
3. Custom Identifiers: Statt Cookies können serverseitig generierte IDs verwendet werden, um pseudonymisierte Nutzerdaten zu verfolgen.

Warum Server Side Tracking wichtig ist

Durch die Auslagerung auf einen eigenen Server gewinnen Sie nicht nur mehr Kontrolle über die Daten, sondern können auch Datenschutzanforderungen besser erfüllen. Gleichzeitig erhalten Sie weiterhin wertvolle Erkenntnisse über das Nutzerverhalten – und das ohne Einwilligungspflicht.

Falls Sie mehr über die Vor- und Nachteile der beiden Ansätze erfahren möchten, empfehle ich Ihnen diese Artikel: Client Side Tracking und Server Side Tracking.

Die Kombination aus dem Google Advanced Consent Mode und Server Side Tracking

Wenn Sie den Advanced Consent Mode von Google nutzen möchten, müssen Sie zusätzlich Server-Side-Tracking implementieren, damit das Tracking datenschutzkonform ist. Der Hintergrund ist folgender: Wenn wir ohne Einwilligung tracken und nur den Advanced Consent Mode von Google implementieren, wird während der Kommunikation zwischen Ihrer Website und Google Analytics die IP-Adresse Ihrer Besucher übermittelt. Dies ist nicht datenschutzkonform.

Aus diesem Grund ist die Kombination aus Advanced Consent Mode und Server-Side-Tracking notwendig, um Nutzerdaten datenschutzkonform ohne Einwilligung zu tracken. Durch Server-Side-Tracking wird ein Server zwischen Ihrer Website und Google Analytics geschaltet. Der entscheidende Vorteil dabei ist, dass der eigene Server nun als Vermittler fungiert und keine personenbezogenen Daten, wie die IP-Adressen der Nutzer, an Google Analytics weitergegeben werden.

Einfach gesagt: Datenschutzkonformes Tracking ohne Einwilligung ist nur möglich, wenn beide Verfahren implementiert werden.

Die Kombination aus Consent Mode und Server Side Tracking bietet also eine effiziente Lösung, um trotz strenger Datenschutzvorgaben und technischer Einschränkungen wertvolle Daten zu sammeln. Dabei spielen drei Kernfunktionen eine wichtige Rolle:

1. Consent-Prüfung: Der Consent Mode regelt, welche Daten verarbeitet werden dürfen – vollständig, anonymisiert oder gar nicht.
2. Verarbeitung im Server: Im Server-Umfeld werden die Daten weiter anonymisiert und sicher verarbeitet. Die Filterlogik kann individuell angepasst werden, um den Datenschutzanforderungen zu entsprechen.
3. Tracking ohne Einwilligung: Auch für Nutzer ohne Consent können anonymisierte oder pseudonymisierte Daten (z. B. Conversion-Pings) verarbeitet werden, die keinen Personenbezug mehr herstellen.

Abb.: Wie Sie eine 100% vollständige Datenbasis erreichen

Ziel: Datenverlust minimieren

Diese Kombination ermöglicht es, wertvolle Daten zu erhalten, die durch die Ablehnung des Cookie-Banners, Ad-Blocker oder Browser-Tracking-Preventions (z. B. Safari ITP, Firefox ETP) verloren gehen würden. Schauen wir uns die Vorteile an einem konkreten Beispiel an:

Das E-Commerce-Unternehmen „ShopPlus“ und die Herausforderung unvollständiger Daten

Das fiktive Unternehmen „ShopPlus“ steht vor folgenden Herausforderungen:

1. Die Consent-Rate liegt bei 60%, was bedeutet, dass 40% der Nutzer das Cookie-Banner ablehnen. Dadurch fehlen Tracking-Daten für diese Nutzer.
2. Etwa 10-15% der Nutzer blockieren Daten durch Ad-Blocker oder Browser-Tracking-Preventions.
3. Insgesamt verliert „ShopPlus“ durchschnittlich 50% der Datenbasis, was sich negativ auf wichtige KPIs auswirkt:
   • Conversions: Welche Kampagnen führen zu Käufen?
   • Customer Journey: Wie bewegen sich Nutzer auf der Website?
   • ROAS (Return on Ad Spend): Welche Anzeigen liefern den besten Umsatz?

Der aktuelle Zustand ohne Advanced Consent Mode und Server Side Tracking

1. Abgelehnte Cookies: Für Nutzer ohne Consent werden keine Conversion- oder Traffic-Quellen-Daten erfasst.
2. Ad-Blocker: Aktivitäten dieser Nutzer werden komplett blockiert, selbst wenn Cookies akzeptiert wurden.
3. Browser-Tracking-Prevention: Daten wie Referrer, Zeitstempel oder Sitzungsdaten gehen verloren, da Cookies frühzeitig gelöscht werden oder gar nicht erst gesetzt werden.

Folgen:

• 40-50% der Daten gehen verloren
• Marketingentscheidungen basieren auf einem unvollständigen Datensatz
• KPIs wie ROI und ROAS sind verfälscht, da viele Conversions unsichtbar bleiben

Was ist das Problem?

Wenn „ShopPlus“ große Summen in bezahlte Anzeigen wie Google Ads investiert, kann ein Datenverlust durch niedrige Consent-Raten, Ad-Blocker und Browser-Tracking-Preventions gravierende Folgen haben. Die Berechnungen für Conversions oder den ROI basieren dann auf unvollständigen Daten. Das hat zur Folge, dass Marketingkampagnen weniger erfolgreich erscheinen, als sie tatsächlich sind.

Ein Beispiel zur Veranschaulichung:
Ein Nutzer klickt auf eine Google-Anzeige, lehnt Cookies ab, kauft aber dennoch ein Produkt. Ohne den Consent Mode wird diese Conversion nicht erfasst. Das System kann die Anzeige nicht als Conversion-Treiber erkennen und stuft sie als ineffektiv ein.

Die Konsequenzen:

• „ShopPlus“ könnte falsche Entscheidungen treffen, z. B. das Budget kürzen oder die Kampagne pausieren – obwohl diese effektiv ist
• 50% der Nutzerdaten gehen verloren, wodurch Customer Journeys und Zielgruppenanalysen verzerrt werden
• Remarketing-Kampagnen performen schlechter, da keine vollständigen Audiences erstellt werden können
• Budgetentscheidungen basieren auf ungenauen KPIs. Beispielsweise wird der ROAS (Return on Ad Spend) falsch berechnet, weil nicht alle Conversions sichtbar sind

Die Lösung: Kombination aus Advanced Consent Mode und Server Side Tracking

Einsatz des Google Consent Mode:

• Nutzer, die Cookies ablehnen, werden anonymisiert getrackt
• Statt Cookies werden Conversion-Pings (z. B. „Ein Kauf ist erfolgt“) erfasst und aggregierte Daten an Google Analytics gesendet
• Beispiel: Ein Nutzer kauft nach einem Klick auf eine Anzeige ein Produkt, auch wenn er Cookies abgelehnt hat. Diese anonymisierte Conversion wird dennoch erfasst

Einsatz von Server Side Tracking:

• Der Tracking-Code sendet Daten zuerst an einen eigenen Server, der diese prüft, anonymisiert und dann an Tools wie Google Analytics weiterleitet
• Ad-Blocker umgehen: Daten, die vom eigenen Server kommen, werden von Ad-Blockern nicht erkannt
• Browser-Tracking-Preventions minimieren: Durch serverseitig generierte IDs können Sitzungen und Nutzer pseudonymisiert wiedererkannt werden

Ergebnisse: Eine vollständige Datenbasis

Mit dieser Kombination kann „ShopPlus“ nahezu 100% aller relevanten Daten erfassen, unabhängig davon, ob Nutzer Cookies ablehnen oder Ad-Blocker einsetzen:

• Nutzer ohne Consent: Anonymisierte Conversion-Daten fließen dennoch in die Analyse ein
• Ad-Blocker: Server-Side-Tracking umgeht diese, da die Daten vom eigenen Server kommen
• Tracking-Preventions: Serverseitige IDs minimieren den Verlust von Sitzungs- und Conversion-Daten

Die Vorteile für „ShopPlus“

1. Verbesserte Kennzahlen:

   • ROAS: Jede Conversion wird erfasst, unabhängig von der Consent-Rate, was präzise ROI-Berechnungen ermöglicht
   • Customer Journey: Auch Nutzer ohne Consent werden pseudonymisiert analysiert, wodurch ein vollständiges Bild entsteht
   • Attribution: Alle relevanten Conversions werden erfasst, sodass Kampagnen nicht mehr unterschätzt werden
2. Reduzierung von Datenverlust:
   • Bis zu 100% der relevanten Conversions können modelliert oder erfasst werden
   • Datenverlust durch Tracking-Preventions und Ad-Blocker wird minimiert
3. Bessere Marketingentscheidungen:
   • Präzisere Kennzahlen ermöglichen eine optimale Budgetverteilung
   • Kampagnen können gezielt optimiert werden, was den Umsatz steigert
4. Rechtssicherheit:
   • Alle Daten werden datenschutzkonform gemäß DSGVO, TDDDG, ePrivacy-Verordnung und DMA verarbeitet.

Fazit: Datenschutzkonformes Tracking ohne Cookies und Einwilligung

Die Kombination aus Advanced Consent Mode und Server Side Tracking ermöglicht es, datenschutzkonformes Tracking auch ohne Cookies und Einwilligung durchzuführen. Zwar werden etwa 50% der Daten anonymisiert, doch das reicht völlig aus: Unternehmen wie „ShopPlus“ interessieren sich nicht für die Namen einzelner Nutzer, sondern für Daten, die sich auf betriebswirtschaftliche Kennzahlen auswirken.

Durch diesen Ansatz bleiben alle relevanten Datenschutzanforderungen erfüllt, da weder Personenbezug hergestellt wird noch Cookies ohne Einwilligung gesetzt werden. Gleichzeitig erhält „ShopPlus“ die nötigen Daten, um fundierte Entscheidungen zu treffen und seine Marketingstrategie zu optimieren.

Der optimale Technologie-Stack für datenschutzkonformes Tracking ohne Einwilligung (Cookies)

In diesem Abschnitt erfahren Sie, welche Komponenten Sie für ein ideales Tracking-Setup benötigen, um datenschutzkonform und ohne Cookies wertvolle Nutzerdaten zu erfassen.

1. Google-zertifizierte Consent Management Plattform (CMP)

Um den Advanced Consent Mode von Google nutzen zu können, benötigen Sie eine von Google zertifizierte Consent Management Plattform (CMP), auch bekannt als Cookie-Banner.

Google hat spezifische Zertifizierungskriterien für CMPs festgelegt, die unter anderem:

• IAB-TCF-Anforderungen erfüllen müssen
• Die nahtlose Integration des Google Consent Mode unterstützen

Wir empfehlen unabhängig von unserer Zusammenarbeit die CMP von Usercentrics. Diese Plattform verfügt über eine der besten Google-Zertifizierungen und bietet neben dem Consent Management einen großen Funktionsumfang.

Eine vollständige Übersicht der Google-zertifizierten CMPs finden Sie hier: Liste Google zertifizierte CMP.

2. Advanced Consent Mode von Google

Der Advanced Consent Mode ist ein zentraler Bestandteil eines datenschutzkonformen Tracking-Setups. Er ermöglicht die Erfassung wertvoller Nutzerdaten durch cookie-freie Pings – auch wenn Nutzer keine Einwilligung erteilt haben.

Wichtig:

• Diese Methode ist datenschutzkonform gemäß DSGVO.
• Sie erfordert technisches Know-how, um korrekt eingerichtet zu werden.

Mit dem Advanced Consent Mode können Sie grundlegende Nutzerdaten sammeln, wie beispielsweise:

• Seitenaufrufe
• Klickverhalten
• Referrer-URLs

3. Server Side Tracking

Server Side Tracking hilft, eine vollständige und zuverlässige Datenbasis zu schaffen. Es umgeht Einschränkungen durch Ad-Blocker oder Tracking-Prevention-Mechanismen moderner Browser.

Was wird benötigt?

1. Google Server Tag Manager (kostenlos)
2. Eigener Server, z. B. über die Google Cloud (je nach Kapazität kostenpflichtig, aber in der Regel erschwinglich)

Herausforderungen:

• Die Integration des Server Tag Managers in Ihren Technologie-Stack erfordert technisches Fachwissen.
• Fehlerhafte Einstellungen können dazu führen, dass Sie Ihre Daten verlieren.

Ihr Vorteil: Ein zuverlässiger, datenschutzkonformer Technologie-Stack

Durch die Kombination aus einer Google-zertifizierten CMP, dem Advanced Consent Mode und Server Side Tracking erhalten Sie:

• Verlässliche und vollständige Daten, auch ohne Einwilligung der Nutzer
• Datenschutzkonforme Lösungen, die den Anforderungen der DSGVO gerecht werden
• Ein zukunftssicheres Tracking-Setup, das unabhängig von Browser-Updates oder Ad-Blockern bleibt

Falls Sie Unterstützung bei der Integration dieses Tracking-Setups benötigen, stehen wir Ihnen gerne zur Verfügung. Kontaktieren Sie uns für ein kostenloses Erstgespräch, und wir erarbeiten gemeinsam die optimale Lösung für Ihr Unternehmen.