BlueOcean Privacy AI

Ratgeber Ratgeber

Server-Side-Tracking & DSGVO: Was Agenturen wissen müssen

Serverseitiges Tracking gilt als Zukunft des Web-Trackings — aber macht es dich automatisch DSGVO-konform? Dieser Leitfaden erklärt verständlich, was dahintersteckt, was erlaubt ist und worauf es wirklich ankommt.

BlueOcean Privacy AI 4 Min. Lesezeit

Was ist serverseitiges Tracking?

Serverseitiges Tracking (Server-Side-Tracking) bedeutet: Daten über Website-Besucher werden nicht direkt im Browser an Dienste wie Google oder Meta geschickt, sondern zuerst an einen eigenen Server. Dieser Server entscheidet, welche Daten weitergegeben werden — und an wen.

Beim klassischen Client-Side-Tracking lädt die Website Skripte von Google, Meta & Co. direkt in den Browser. Diese Skripte sammeln Daten und senden sie eigenständig an die Anbieter — oft schon, bevor der Besucher zugestimmt hat.

Beim Server-Side-Tracking läuft der Datenfluss über einen zwischengeschalteten Server (z. B. einen Server-Container im Google Tag Manager). Die Website schickt das Ereignis an diesen Server, und erst der Server leitet — kontrolliert und gefiltert — an die Zieldienste weiter.

Der praktische Unterschied: Du bekommst die Kontrolle darüber, welche Daten dein Tracking-Setup verlassen, statt sie blind im Browser des Besuchers feuern zu lassen.

Server-Side-Tracking und DSGVO — was ist erlaubt?

Server-Side-Tracking ist nicht automatisch DSGVO-konform. Auch serverseitig gilt: Ohne Einwilligung des Besuchers dürfen keine nicht-notwendigen Tracker oder Marketing-Daten verarbeitet werden. Die Einwilligungspflicht hängt am Zweck der Daten, nicht an der Technik.

Ein verbreitetes Missverständnis ist, serverseitiges Tracking „umgehe" die Einwilligungspflicht. Das stimmt nicht. Die DSGVO (Art. 6, Art. 7) und das deutsche TDDDG knüpfen an den Zweck der Verarbeitung an — ob Marketing-Daten im Browser oder auf einem Server gesammelt werden, ändert nichts an der Einwilligungspflicht.

Richtig eingesetzt hilft Server-Side-Tracking aber bei der Datensparsamkeit (Art. 5 DSGVO): Du kannst auf dem Server vor der Weitergabe IP-Adressen kürzen, Felder entfernen oder Daten erst nach gültigem Consent weiterleiten.

Worauf es ankommt:

  • Consent zuerst. Tracker — ob client- oder serverseitig — dürfen erst nach Zustimmung feuern.
  • Transparenz. Die Datenschutzerklärung muss serverseitige Verarbeitung und Empfänger benennen (Art. 13 DSGVO).
  • Drittlandtransfer. Auch über einen EU-Server kann am Ende ein US-Dienst Empfänger sein — das muss geprüft und genannt werden.
In 5 Minuten prüfen, ob deine Seite sauber ist — kostenlos. Kostenlosen Website-Scan starten →

Server-Side vs. Client-Side Tracking im Vergleich

Client-Side-Tracking ist einfacher einzurichten, gibt aber Daten unkontrolliert aus dem Browser. Server-Side-Tracking ist aufwändiger, gibt dir dafür Kontrolle über den Datenfluss und ist robuster gegen Ad-Blocker.

KriteriumClient-SideServer-Side
Einrichtungeinfachaufwändiger (eigener Server/Container)
Kontrolle über Datengeringhoch (Filtern vor Weitergabe)
Robust gegen Ad-Blockerneinweitgehend
Einwilligung nötigjaja (gleiche Pflicht)
Datensparsamkeit möglichkaumja

Wichtig: Server-Side-Tracking ersetzt nicht das Einwilligungs-Management. Du brauchst weiterhin ein Cookie-Banner, das Tracker bis zur Zustimmung blockiert — egal ob die Daten später client- oder serverseitig fließen.

Server-Side-Tracking Anbieter im Überblick

Die bekanntesten Wege für serverseitiges Tracking sind der Server-Side Google Tag Manager, gehostete Dienste wie Stape oder JENTIS sowie eigene Server-Container. Welcher passt, hängt von Budget, technischem Know-how und Datenschutz-Anspruch ab.

  • Server-Side Google Tag Manager (sGTM): Googles eigene Lösung, flexibel, aber Einrichtung und Hosting liegen bei dir.
  • Gehostete Dienste (z. B. Stape, JENTIS): nehmen dir das Hosting ab; achte auf EU-Hosting und Auftragsverarbeitungsvertrag.
  • Eigener Container auf EU-Server: maximale Kontrolle und Datensouveränität, höchster Aufwand.

Unabhängig vom Anbieter bleibt die Pflicht bestehen, das Tracking erst nach Einwilligung auszulösen und es korrekt in der Datenschutzerklärung zu beschreiben.

Wie BlueOcean dabei hilft

BlueOcean Privacy AI sorgt für die Einwilligungs-Grundlage, auf der jedes Tracking — auch serverseitiges — erst sauber aufsetzen kann: Banner, das vor der Zustimmung blockiert, automatisch aktuelle Datenschutzerklärung und ein Scan, der zeigt, was wirklich feuert.

Server-Side-Tracking löst das Einwilligungs-Problem nicht — es verschiebt es nur. Genau hier setzt BlueOcean an:

  • Tracker blocken vor dem Laden: Nichts feuert, bevor dein Besucher zustimmt — die Voraussetzung für jedes rechtssichere Tracking-Setup.
  • Datenschutz-Text automatisch: Erkannte Dienste landen passend in der Datenschutzerklärung, inklusive serverseitiger Empfänger.
  • Scan zeigt die Wahrheit: Ein echter Browser prüft, was vor und nach der Zustimmung wirklich passiert — und vergibt eine klare DSGVO-Note.
  • Server in Deutschland: Deine Daten bleiben in der EU.

Prüf in Minuten, was deine Seite wirklich sendet

Gib eine Adresse ein und sieh sofort, welche Tracker vor der Zustimmung feuern — kostenlos.

Häufige Fragen zu Server-Side-Tracking

Ist Server-Side-Tracking ohne Einwilligung erlaubt?

Nein. Für nicht-notwendige Tracker und Marketing-Daten braucht es auch serverseitig eine Einwilligung. Die DSGVO knüpft an den Zweck der Verarbeitung an, nicht an die Technik.

Macht Server-Side-Tracking mich DSGVO-konform?

Nicht automatisch. Es hilft bei der Datensparsamkeit, ersetzt aber weder das Cookie-Banner noch die Einwilligung noch die Pflicht, die Verarbeitung transparent in der Datenschutzerklärung zu beschreiben.

Was ist der Unterschied zwischen Server-Side- und Client-Side-Tracking?

Beim Client-Side-Tracking senden Skripte im Browser Daten direkt an Dienste. Beim Server-Side-Tracking läuft der Datenfluss zuerst über einen eigenen Server, der filtern und kontrollieren kann, was weitergegeben wird.

Brauche ich trotzdem ein Cookie-Banner?

Ja. Ein Banner, das Tracker bis zur Zustimmung blockiert, ist Voraussetzung — unabhängig davon, ob die Daten später client- oder serverseitig verarbeitet werden.