Server-Side Tracking und Datenschutz

Eine der häufigsten Fragen, die wir von Kunden hören: "Ist Server-Side Tracking DSGVO-konform?" Die kurze Antwort: Ja, wenn es richtig gemacht wird. Die lange Antwort folgt hier.

Auch bei Server-Side Tracking gilt: Ohne gültige Einwilligung des Nutzers darfst du keine personenbezogenen Daten verarbeiten. sGTM ändert nichts an dieser Grundregel.

Was sGTM besser macht:

  • Du hast volle Kontrolle darüber, welche Daten an welche Drittanbieter fließen
  • Du kannst Daten filtern und anonymisieren, bevor sie dein Server verlassen
  • Es gibt keine unkontrollierten Drittanbieter-Skripte auf deiner Website

Seit März 2024 ist Consent Mode v2 für Google Ads und GA4 Pflicht. Server-Side GTM unterstützt Consent Mode nativ.

So funktioniert es:

  1. Der Nutzer gibt oder verweigert seine Einwilligung über dein Consent-Banner
  2. Der Consent-Status wird an den sGTM-Server gesendet
  3. Der Server entscheidet basierend auf dem Consent, welche Tags feuern dürfen
  4. Ohne Consent werden keine personenbezogenen Daten weitergeleitet

Data Processing Agreements (DVV)

Für jeden Dienst, an den du Daten weiterleitest, brauchst du einen Auftragsverarbeitungsvertrag (AVV/DVV):

  • Google: AVV über die Google Ads / Analytics Einstellungen
  • Meta: Datenverarbeitungsbedingungen im Business Manager
  • Cloud-Hosting: AVV mit deinem Hosting-Provider (z.B. Google Cloud)

First-Party Data: Der sichere Hafen

Server-Side Tracking mit First-Party Cookies und First-Party Domain ist aus Datenschutzsicht die sicherste Variante:

  • Cookies werden unter deiner Domain gesetzt (kein Third-Party-Kontext)
  • Daten fließen über deinen Server (keine direkten Verbindungen zu Drittanbietern)
  • Du hast ein vollständiges Datenverarbeitungsverzeichnis

Was du NICHT darfst

  • Tracking ohne Consent betreiben (auch nicht server-seitig)
  • Fingerprinting als Alternative zu Cookies nutzen
  • Daten an Drittanbieter senden, die keinen AVV haben
  • Consent-Signale ignorieren oder umgehen

Checkliste für DSGVO-konformes sGTM

  • [ ] Consent Management Platform (CMP) mit TCF 2.2 Support
  • [ ] Consent Mode v2 implementiert und getestet
  • [ ] AVV mit allen Datenempfängern abgeschlossen
  • [ ] Datenschutzerklärung aktualisiert (sGTM erwähnen)
  • [ ] Datenverarbeitungsverzeichnis aktualisiert
  • [ ] Data Residency: Server in der EU (empfohlen)
  • [ ] Regelmäßige Audits der weitergeleiteten Daten

Fazit

Server-Side Tracking ist nicht nur datenschutzfreundlicher als klassisches Browser-Tracking — es gibt dir auch die Werkzeuge, um Compliance nachweisbar umzusetzen. Der Schlüssel liegt in der korrekten Implementierung.