Viele Datenschutzerklärungen beschreiben nur, was im Browser passiert — Google Analytics, der Meta-Pixel, ein paar Cookies. Sobald du auf Server-Side Tracking umstellst, verschiebt sich die Datenverarbeitung aber teilweise auf deinen eigenen Server. Genau dieser Schritt fehlt in fast jeder Standard-Datenschutzerklärung. Wer Server-Side Tracking betreibt, ohne die Datenschutzerklärung anzupassen, riskiert Abmahnungen und Auskunftsersuchen, die er nicht sauber beantworten kann.
Warum die Datenschutzerklärung bei Server-Side Tracking angepasst werden muss
Die Datenschutzerklärung muss bei Server-Side Tracking den zusätzlichen Verarbeitungsschritt auf deinem eigenen Server abbilden. Events gehen nicht direkt aus dem Browser an Meta oder Google, sondern zuerst an deinen Server — und dieser Schritt ist eine eigene, informationspflichtige Verarbeitungstätigkeit nach Art. 13 DSGVO.
Die meisten Mustertexte kennen diesen Schritt nicht. Sie beschreiben den Pixel, der direkt im Browser feuert. Bei einem serverseitigen Setup stimmt das nicht mehr: Die Daten laufen über eine zusätzliche Station, bevor sie das Werbenetzwerk erreichen. Verschweigt deine Erklärung das, ist sie unvollständig.
Konkret heißt das: Du beschreibst nicht nur welche Daten du erhebst, sondern auch wo sie verarbeitet werden und wer am Ende Empfänger ist. Bei ADS-Tracking läuft diese Verarbeitung über eigene Server in Deutschland — ein Punkt, der die Datenschutzerklärung sogar einfacher macht, weil keine Daten ungefragt in US-Clouds wandern.
Pflichtangaben für die Datenschutzerklärung bei Server-Side Tracking
Die Datenschutzerklärung für Server-Side Tracking muss mindestens diese Punkte abdecken: Art der verarbeiteten Daten, Zweck, Rechtsgrundlage, Verarbeitungsort, Empfänger und Speicherdauer. Das ergibt sich direkt aus Art. 13 DSGVO.
Im Detail solltest du folgende Angaben aufnehmen:
- Welche Daten verarbeitet werden — z. B. IP-Adresse, Geräteinformationen, Klick-IDs wie die gclid (Google Click Identifier) oder fbclid sowie gehashte Kontaktdaten bei Conversion-APIs.
- Der Verarbeitungsort — bei einem serverseitigen Setup nennst du, dass die Verarbeitung zunächst auf einem von dir kontrollierten Server stattfindet, und wo dieser steht.
- Die Empfänger — jedes Werbenetzwerk, an das du Daten weiterleitest: Meta, Google Ads, TikTok, LinkedIn und so weiter.
- Die Rechtsgrundlage — bei Marketing-Tracking in aller Regel die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.
- Die Drittlandübermittlung — falls Daten an Empfänger außerhalb der EU gehen (etwa an Meta in die USA), inklusive Hinweis auf die Rechtsgrundlage der Übermittlung.
Der Serverstandort gehört explizit rein
Wo dein Tracking-Server steht, ist kein Detail, sondern eine Pflichtangabe. Stehen die Server in Deutschland, ist das datenschutzrechtlich der unkomplizierteste Fall — und ein Argument, das du transparent benennen darfst. ADS-Tracking verarbeitet Events über eigene deutsche Server, bevor überhaupt etwas an ein Werbenetzwerk geht. Das reduziert die Drittlandproblematik im ersten Verarbeitungsschritt auf null.
Die Weitergabe an Werbenetzwerke transparent machen
Auch wenn die Daten serverseitig laufen, landen sie am Ende bei Meta, Google und Co. Diese Weitergabe musst du benennen. Wer hier so tut, als bliebe alles auf dem eigenen Server, beschreibt die Realität nicht korrekt. Welche First-Party-Daten dabei eine Rolle spielen, erklärt der Beitrag zu First-Party-Daten im Server-Side Tracking.
So bleibt deine Datenschutzerklärung DSGVO-konform
Eine Datenschutzerklärung ist nur die halbe Miete — sie muss zur tatsächlichen Verarbeitung passen. Der häufigste Fehler: Die Erklärung verspricht „Einwilligung vor jeder Verarbeitung", das Setup feuert aber trotzdem ohne Consent. Beides muss zusammenpassen, sonst hilft auch der beste Text nicht.
Drei Punkte entscheiden über die Konformität:
- Einwilligung vor personenbezogener Verarbeitung. Personenbezogene Daten dürfen erst nach aktiver Zustimmung an Werbenetzwerke gehen. Wie das Consent-Signal sauber bis zum Server durchgereicht wird, beschreibt der Artikel zum Consent Mode v2 im Server-Side Tracking.
- Übereinstimmung von Text und Technik. Was in der Erklärung steht, muss das System auch tun. Ein Tracking-Audit deckt Lücken zwischen Versprechen und Verhalten auf. Wie sich das auf Verarbeitung und Datenfluss auswirkt, zeigt der Beitrag Ist Server-Side Tracking DSGVO-konform?.
- Dokumentation der Verarbeitung. Verarbeitungsverzeichnis und gegebenenfalls ein Auftragsverarbeitungsvertrag (AVV) gehören dazu, wenn ein Dienstleister beteiligt ist.
Wie viele Conversions verlierst du gerade?
Kostenlose Demo — 30 Min. Teams-Call, kein Sales-Pitch.
Was sich gegenüber Client-Side Tracking konkret ändert
Beim Client-Side Tracking läuft die Verarbeitung im Browser des Nutzers — die Datenschutzerklärung beschreibt dort meist nur den Pixel und die Cookies. Beim Server-Side Tracking kommt eine zwischengeschaltete Station hinzu, die du als Verantwortlicher kontrollierst.
Der praktische Unterschied für deine Datenschutzerklärung:
- Du beschreibst einen zusätzlichen Verarbeitungsschritt auf deinem Server.
- Du nennst, dass du als Betreiber dieses Servers Verantwortlicher für diesen Schritt bist.
- Du machst transparent, dass gehashte oder gekürzte Daten statt voller Roh-IDs übergeben werden können.
Das ist datenschutzrechtlich kein Nachteil — im Gegenteil. Server-Side Tracking gibt dir mehr Kontrolle darüber, was überhaupt das Haus verlässt. Du kannst Daten vor der Weitergabe filtern, kürzen oder hashen. Dass dieser Ansatz die Datenqualität gleichzeitig stabil hält, zeigt der Beitrag zu 99,8 % Datenvollständigkeit.
Ein Mustertext reicht für Server-Side Tracking nie aus. Den serverseitigen Verarbeitungsweg, deine konkreten Empfänger und den Serverstandort musst du individuell ergänzen — sonst beschreibt die Erklärung ein anderes System als das, das du tatsächlich betreibst.
Häufige Fehler in Datenschutzerklärungen mit Server-Side Tracking
Die meisten Fehler entstehen nicht aus bösem Willen, sondern aus Copy-Paste. Ein Mustertext für Google Analytics wird übernommen, das Setup ist aber ein anderes.
Typische Lücken:
- Der Serverstandort fehlt komplett. Es steht nichts davon, dass Daten zuerst über einen eigenen Server laufen.
- Empfänger werden nicht genannt. Es heißt nur „Analyse-Tools", obwohl Daten an mehrere Werbenetzwerke gehen.
- Die Rechtsgrundlage stimmt nicht. Marketing-Tracking braucht Einwilligung, nicht „berechtigtes Interesse".
- Drittlandübermittlung wird verschwiegen. Sobald Daten an Meta in die USA gehen, ist ein Hinweis Pflicht.
Wenn dein Tracking über mehrere Domains läuft, kommt ein weiterer Punkt dazu: Du musst beschreiben, wie Daten domainübergreifend verknüpft werden. Die technische Seite dazu erklärt der Artikel zum Cross-Domain-Tracking server-side.
FAQ
Muss ich Server-Side Tracking überhaupt in der Datenschutzerklärung nennen?
Ja. Sobald personenbezogene Daten verarbeitet werden, greift die Informationspflicht nach Art. 13 DSGVO — egal, ob die Verarbeitung im Browser oder auf deinem Server passiert. Den serverseitigen Schritt zu verschweigen, macht die Erklärung unvollständig.
Ändert sich die Datenschutzerklärung gegenüber Client-Side Tracking?
Ja. Du beschreibst den zusätzlichen Verarbeitungsschritt auf deinem Server, nennst den Serverstandort und machst die Weitergabe an Werbenetzwerke wie Meta oder Google transparent. Der Pixel-Standardtext reicht dann nicht mehr.
Reicht ein Mustertext aus dem Internet?
Nein. Mustertexte beschreiben fast immer nur Client-Side-Tools. Den serverseitigen Verarbeitungsweg, deine konkreten Empfänger und die Rechtsgrundlage musst du individuell ergänzen, damit Text und Technik zusammenpassen.
Ist Server-Side Tracking mit deutschen Servern datenschutzfreundlicher?
Ja, im ersten Verarbeitungsschritt. Wenn die Daten zuerst über einen Server in Deutschland laufen, hast du Kontrolle darüber, was an die Werbenetzwerke geht, und vermeidest eine ungefilterte Drittlandübermittlung direkt aus dem Browser.
Wer ist für die serverseitige Verarbeitung verantwortlich?
Als Betreiber der Website bleibst du Verantwortlicher im Sinne der DSGVO. Setzt du einen Dienstleister für die Infrastruktur ein, regelt ihr die Rollen über einen Auftragsverarbeitungsvertrag (AVV).
Wenn du wissen willst, ob deine Datenschutzerklärung zu deinem tatsächlichen Setup passt, schau dir das in einer kostenlosen Demo an: Wir zeigen dir live, welche Daten dein Tracking verarbeitet, wohin sie laufen und welche Angaben in deiner Erklärung fehlen — ohne Sales-Pitch, einfach am konkreten Beispiel.