Server-Side Tracking klingt für viele Datenschutzbeauftragte zunächst nach mehr Tracking, nicht weniger. Das ist ein Missverständnis — und ein gefährliches. Richtig implementiert ist Server-Side Tracking nicht nur DSGVO-konform, sondern datenschutzfreundlicher als klassisches Client-Side Tracking.
Wo Client-Side Tracking datenschutzrechtlich scheitert
Das klassische Browser-Pixel schickt Nutzerdaten direkt aus dem Browser an US-amerikanische Infrastruktur. Meta, Google, TikTok — alle haben ihre Tracking-Server in den USA oder betreiben Infrastruktur unter US-Recht.
Das Problem: Datentransfers in die USA unterliegen seit dem Schrems-II-Urteil des EuGH (2020) strengen Anforderungen. Standard Contractual Clauses (SCCs) allein reichen nicht aus, wenn US-Behörden über den CLOUD Act auf die Daten zugreifen können. Und das können sie — bei US-amerikanischen Unternehmen immer.
Das Ergebnis: Viele Browser-Pixel-Implementierungen verstoßen strukturell gegen die DSGVO, auch wenn das in der Praxis selten verfolgt wird.
Was Server-Side Tracking hier ändert
Bei Server-Side Tracking entscheidest du, welche Daten an wen geschickt werden. Der Browser des Nutzers kommuniziert nicht mehr direkt mit Meta oder Google. Dein Server ist der einzige Datenpunkt.
Das ermöglicht:
- Datenpseudonymisierung vor dem Weiterschicken — IP-Adressen werden vor der Übertragung entfernt oder gehasht
- Kontrolle über den Datentransfer — du entscheidest, welche Felder übermittelt werden
- Keine direkte Browser-zu-USA-Verbindung mehr
Deutsche Server: Was das konkret bedeutet
Wir betreiben unsere Event-Pipeline ausschließlich auf deutschen Servern. Das ist kein Marketing-Punkt — das ist eine technische und rechtliche Entscheidung.
Was das bedeutet:
- Die Daten verlassen Deutschland nicht, bevor sie verarbeitet wurden
- Kein US-Cloud-Anbieter (AWS, GCP, Azure) ist in der Verarbeitungskette
- Der Serverstandort ist nachweisbar — relevant für Auftragsverarbeitungsverträge (AVV)
- Zugriff durch US-Behörden über den CLOUD Act ist nicht möglich
Unsere Infrastruktur läuft auf einem Kubernetes-Cluster auf Proxmox-Basis, vollständig self-hosted. Das ist kein SaaS, bei dem wir selbst in einer US-Cloud-Infrastruktur sitzen.
Die Latenz liegt bei unter 40ms — also keine Kompromisse bei der Performance.
Was tatsächlich an Werbenetzwerke übertragen wird
Wenn wir ein Conversion-Event an Meta CAPI oder Google Enhanced Conversions schicken, übertragen wir gehashte Nutzerdaten. Das ist technisch notwendig, damit die Werbenetzwerke das Event einem Nutzer in ihrem System zuordnen können.
Konkret: Wir hashen E-Mail-Adressen, Telefonnummern und Namen mit SHA-256, bevor sie übertragen werden. Der Klartext verlässt nie unser System.
Was nicht übertragen wird:
- Rohe IP-Adressen
- Browser-Fingerprinting-Daten
- Standortdaten jenseits des Landes
- Sonstige nicht relevante Nutzerdaten
Diese Datensparsamkeit ist nicht nur DSGVO-Pflicht — sie ist auch technisch sinnvoll. Die Werbenetzwerke brauchen nur das Hash-Signal zur Zuordnung.
Wie viele Conversions verlierst du gerade?
Kostenlose Demo — 30 Min. Teams-Call, kein Sales-Pitch.
Was in die Datenschutzerklärung muss
Wenn du Server-Side Tracking einsetzt, muss deine Datenschutzerklärung das abbilden. Die konkreten Punkte:
Auftragsverarbeitung
Du benötigst einen Auftragsverarbeitungsvertrag (AVV) mit uns als Dienstleister. Wir stellen diesen standardmäßig bereit. Der AVV dokumentiert, dass wir als Auftragsverarbeiter nach Art. 28 DSGVO handeln.
Zweck und Rechtsgrundlage
Der Zweck der Datenverarbeitung ist Conversion-Tracking zur Optimierung von Werbekampagnen. Die Rechtsgrundlage ist in der Regel berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) oder — bei vorhandenem Consent-Management — Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Drittempfänger
Auch wenn die Daten server-seitig weitergegeben werden, müssen die Werbenetzwerke (Meta, Google etc.) als Drittempfänger in der Datenschutzerklärung genannt werden. Der Kanal ist technisch anders, aber die Empfänger sind dieselben.
Kein "Server-Side = unsichtbar für den Nutzer"
Ein verbreiteter Fehler: Server-Side Tracking wird als "unsichtbar" behandelt und gar nicht dokumentiert. Das ist falsch. Die Verarbeitung findet statt — sie muss dokumentiert werden, unabhängig vom technischen Kanal.
ePrivacy-Konformität
Die ePrivacy-Richtlinie (und das noch nicht verabschiedete ePrivacy-Verordnung) regelt, wann Cookies und ähnliche Tracking-Technologien Einwilligung benötigen.
Server-Side Tracking ohne Cookie-Setzen im Browser ist ePrivacy-konform ohne Opt-in-Pflicht — wenn es auf berechtigtes Interesse gestützt ist und keine geräteindividuellen Informationen aus dem Browser ausgelesen werden.
Konkret: Wenn kein Cookie im Browser des Nutzers gesetzt wird und kein Browser-Fingerprinting stattfindet, greift die ePrivacy-Pflicht nicht. Der Event kommt von unserem Server — nicht aus dem Browser des Nutzers.
Das bedeutet: Funktioniert auch für Nutzer, die Cookies abgelehnt haben, solange das Tracking auf berechtigtes Interesse gestützt ist. Was in der Praxis der Normalfall ist.
Wenn du Fragen zur datenschutzrechtlichen Einordnung deines konkreten Setups hast, spreche ich das gerne in einer Demo durch. Nicht als Rechtsberatung — aber als technische Grundlage für das Gespräch mit deinem Datenschutzbeauftragten.