Datenschutzrechtliche Aspekte von Tracking Tools verstehen

Die Einhaltung von Datenschutzvorgaben ist ein zentraler Aspekt beim Einsatz von Tracking Tools in Websites, Online Shops und Apps. Dieser Artikel erläutert die wichtigsten Anforderungen, die bei der Nutzung von Tools wie Google Analytics, Matomo oder dem Meta Pixel beachtet werden müssen. Zudem bietet er praxisnahe Tipps zur datenschutzkonformen Implementierung und Nutzung.

Ein wichtiger Hinweis vorab: Es handelt sich hierbei um keine Rechtsberatung, sondern um Erfahrungen aus der Online-Marketing-Praxis. Wenden Sie sich für rechtsverbindliche Auskünfte an Ihren Datenschutzbeauftragten oder Anwalt.

Grundlagen der Datenschutzrechtlichen Aspekte beim Einsatz von Tracking Tools

Tracking Tools erfassen umfangreiche Daten über das Verhalten von Nutzerinnen und Nutzern auf Websites. Diese Daten können von einfachen Nutzungsstatistiken bis hin zu personenbezogenen Informationen wie E-Mail-Adressen oder IP-Adressen reichen. Die Datenschutz-Grundverordnung (DSGVO) regelt dabei, welche Daten erhoben und verarbeitet werden dürfen und unter welchen Bedingungen dies geschehen kann.

Die wichtigste Frage, die sich Online-Marketing-Treibende hierbei immer wieder stellen, lautet dabei: Ist mein Tracking ohne die ausdrückliche Zustimmung der Website-Besucherinnen und -Besucher erlaubt?

Die DSGVO verlangt eine aktive Zustimmung, bevor personenbezogene Daten verarbeitet werden dürfen. Dies bedeutet, dass ein sogenanntes „Opt-out“ nicht ausreichend ist. Vielmehr müssen Nutzerinnen und Nutzer aktiv einwilligen, bevor Tracking-Dienste geladen werden.

In der Praxis ergeben sich zentrale Fragestellungen, welche die Beurteilung der datenschutzrechtlichen Situation und die darauf basierende Umsetzung der Tracking-Konfiguration beeinflussen.

Was sind die Ziele, die ich mit dem Tracking verfolge?

Der Einsatz von Tracking-Technologien verfolgt verschiedene Zwecke, darunter:

Optimierung der Website-Nutzung: Durch die Analyse des Nutzerverhaltens lassen sich Schwachstellen identifizieren und die Benutzererfahrung verbessern.
Effiziente Werbemaßnahmen: Tracking ermöglicht eine gezielte Ausspielung von Anzeigen (Conversion Tracking), indem nachvollzogen wird, welche Kampagnen zu bestimmten Nutzeraktionen führen.
Personalisierung und Automatisierung: On- und Offpage-Marketing-Aktivitäten können individualisiert und automatisiert werden, z. B. durch das Erstellen maßgeschneiderter Zielgruppen für Retargeting-Kampagnen.

Wo werden die Daten gespeichert und verarbeitet?

Die Speicherung und Verarbeitung von Tracking-Daten können auf unterschiedlichen Infrastrukturen erfolgen:

Eigene Server: Datenschutzfreundliche Lösungen wie Matomo erlauben es, die Daten auf eigenen Servern zu speichern und somit eine vollständige Datenkontrolle zu behalten.
Server der Tracking-Dienste: Dienste wie Google Analytics oder Meta Pixel speichern die Daten auf ihren eigenen Servern, die sich ggf. außerhalb der EU befinden, was zusätzliche Datenschutzherausforderungen mit sich bringt.
EU vs. Drittstaaten: Die Standortwahl der Server ist kritisch, da in Drittländern wie den USA andere Datenschutzbestimmungen gelten, die nicht immer den Anforderungen der DSGVO entsprechen.

Welche Daten werden erfasst?

Der Umfang der gesammelten Daten variiert je nach Tracking-Dienst und Konfiguration:

Reine Nutzungsdaten: Hierzu zählen besuchte Seiten, Verweildauer, Klickverhalten und andere nicht direkt personenbezogene Informationen.
Personenbezogene Daten: In einigen Fällen werden E-Mail-Adressen, eindeutige User-IDs oder IP-Adressen verarbeitet, was eine ausdrückliche Einwilligung der Nutzerinnen und Nutzer erfordert.
Zusammenführung von Daten: Einige Dienste versuchen, die gesammelten Daten mit anderen bekannten Datensätzen der Nutzerinnen und Nutzer zusammenzuführen, um so ein detaillierteres Bild über deren Online-Nutzung zu bekommen. Auch dies ist regelmäßig nicht ohne Einwilligung umsetzbar.

Die Beantwortung dieser Fragen und deren Auswirkungen auf die datenschutzrechtliche Einschätzung kann nicht pauschal erfolgen, sondern hängt immer von der individuellen Situation des jeweiligen Tracking Setups ab. Eine enge Zusammenarbeit mit Datenschutzbeauftragten und die regelmäßige Prüfung von Tracking Tools sowie deren Implementierung sind deshalb essenziell.

Einwilligung – das A und O des Trackings

Ein entscheidender Grundsatz der DSGVO ist die Einwilligung der Nutzerinnen und Nutzer. Ein Tracking ohne Zustimmung ist nur in sehr seltenen und speziellen Fällen möglich, wenn bspw. ausschließlich reine Nutzungsdaten auf einem eigenen Tracking Server innerhalb der EU gespeichert und verarbeitet werden und es keinen Datenaustausch mit anderen Diensten gibt.

Ohne eine ausdrückliche Zustimmung sollte deshalb i. d. R. kein Tracking erfolgen. Hier sind die wichtigsten Aspekte:

1. Klare und transparente Kommunikation

Gemäß Artikel 12 DSGVO müssen Nutzerinnen und Nutzer in einfacher und verständlicher Sprache über die Art, den Umfang und den Zweck der Datenerhebung informiert werden. Dazu gehören Informationen über:

die Speicherorte der Daten (z. B. innerhalb der EU oder in Drittländern),
die Dauer der Datenspeicherung sowie
mögliche Weitergaben an Dritte.

2. Widerrufsmöglichkeit

Die Einwilligung muss jederzeit widerrufen werden können. Unternehmen sollten eine gut sichtbare Funktionalität auf der Website bereitstellen, die dies ermöglicht. Nach einem Widerruf müssen sämtliche erhobenen Daten unverzüglich gelöscht werden.

3. Gestaltung von Consent-Bannern

Nutzerinnen und Nutzer müssen die Möglichkeit haben, mit einem Klick sowohl einzuwilligen als auch abzulehnen. Die Platzierung und Gestaltung dieser Banner sollten neutral sein und keine Bevorzugung einer Option suggerieren. Der Einsatz sogenannter „Dark Patterns“ (z. B. versteckte Ablehnungsbuttons oder voreingestellte Häkchen) ist nicht erlaubt.

Consent Tools sind unverzichtbare Helfer, um die Einwilligung der Nutzerinnen und Nutzer rechtssicher einzuholen und zu verwalten. Diese Tools speichern den Einwilligungsstatus und steuern, welche Dienste auf Basis der Zustimmung aktiviert werden.

Automatisierte Steuerung der Tracking Codes: Consent Tools sollten sicherstellen, dass keine Daten übermittelt werden, bevor eine Einwilligung erfolgt ist. Sie fragen deshalb optimalerweise nicht nur die Einwilligung oder Ablehnung der Nutzer ab und speichern diese, sondern steuern auch die Ausspielung der Tracking Codes in Abhängigkeit des Zustimmungsstatus.
Individuelle Anpassung des Layouts: Die Anpassung des Designs an das Aussehen der Website sowie die Positionierung auf dem Bildschirm der Nutzerinnen und Nutzer sollte möglich sein. Zudem kann eine optimierte Gestaltung des Consent Banners die Zustimmungsquote positiv beeinflussen.
Differenzierung nach Dienstgruppen: Einteilung in Kategorien wie Statistik, Marketing oder funktionale Dienste. Dies ist rein rechtlich nicht notwendig, kann aber dabei helfen, die Zustimmungsquote zu einzelnen Tracking Tools zu erhöhen.

Consent Tools sollten zusätzlich möglichst detaillierte Berichte über den Einwilligungsstatus führen, um bei Bedarf Nachweise liefern und die Zustimmungsquote bestmöglich einschätzen zu können.

Google bietet mit dem Consent Mode eine Funktion, die das Verhalten von Tracking Tags an den Einwilligungsstatus der Nutzerinnen und Nutzer anpasst und ein vermeintlich anonymisiertes Tracking ohne Einwilligungserfordernis ermöglicht. Doch hier sind Vorsicht und genaue Prüfung geboten.

Bei Zustimmung funktionieren die zugehörigen Tags vollständig.
Bei Ablehnung werden sogenannte „Pings“ an Google gesendet, die vermeintlich harmlose Informationen über Nutzeraktivitäten enthalten. Diese werden zur Datenmodellierung genutzt, um lückenhafte Daten zu vervollständigen.

Probleme und Empfehlungen

Diese Pings können dennoch sensible Informationen enthalten und stehen oft im Konflikt mit der DSGVO. Es ist deswegen dringend geboten, innerhalb der EU nur nach Nutzerzustimmung Daten an Google zu senden. Der Google Consent Mode sollte hierzulande nur dazu genutzt werden, nach Einwilligung des Nutzers in das Tracking die Parameterstatus „granted“ (= eingewilligt) an die Google-Dienste zu übermitteln, um eine vollständige Datenverarbeitung und -bereitstellung in Google Analytics 4 und Google Ads zu gewährleisten.

Erweiterte Conversions – Präzisere Daten mit Datenschutzherausforderungen

Erweiterte Conversions ermöglichen eine genauere Erfassung von Nutzeraktionen und bieten damit eine wertvolle Grundlage für leistungsstarke Gebotsstrategien im Online Marketing. Diese Funktion ergänzt vorhandene Conversion Tags, indem sie selbst erhobene Daten an Tracking-Dienste wie Google Ads oder Meta überträgt – allerdings in gehashter Form.

Wie funktionieren erweiterte Conversions?

Statt personenbezogene Daten wie E-Mail-Adressen, Telefonnummern oder User-IDs im Klartext weiterzugeben, werden diese vor der Übermittlung gehasht. Dabei handelt es sich um eine Form der Verschlüsselung, die sicherstellen soll, dass die Daten nicht direkt ausgelesen werden können. Google oder Meta nutzen diese Hash-Werte, um Nutzerinnen und Nutzer über verschiedene Geräte und Plattformen hinweg wiederzuerkennen und so die Genauigkeit des Conversion Trackings und der darauf basierenden Anzeigenausspielung zu erhöhen.

Datenschutzrechtliche Herausforderungen

Trotz der Verschlüsselung sind erweiterte Conversions nicht unumstritten. Unternehmen, die diese Technologie einsetzen möchten, sollten sich mit den folgenden Fragen auseinandersetzen:

Sind gehashte Daten noch personenbezogen? Auch wenn die Originaldaten nicht direkt lesbar sind, könnte es unter bestimmten Umständen möglich sein, sie zurückzuführen oder mit anderen Daten zu verknüpfen.
Wo findet das Hashen der Daten statt? Erfolgt die Verschlüsselung auf der Website selbst oder erst auf den Servern von Google oder Meta? Falls letzteres der Fall ist, besteht das Risiko, dass die Rohdaten bereits an den Tracking-Dienst übermittelt wurden, bevor sie geschützt werden.
Wie sicher ist der Hash-Algorithmus? Nicht alle Hash-Verfahren bieten den gleichen Schutz. Einige können mit ausreichender Rechenleistung geknackt oder durch Datenabgleiche rekonstruiert werden.

Die Nutzung erweiterter Conversions sollte deshalb niemals ohne Rücksprache mit einem Datenschutzbeauftragten erfolgen. Unternehmen müssen sicherstellen, dass:

Die Hashing-Technologie robust genug ist, um eine Rückführung auf Klartextdaten zu verhindern.
Die Hash-Verarbeitung auf der eigenen Website erfolgt, bevor die Daten an Dritte übermittelt werden.
Nutzerinnen und Nutzer in der Datenschutzerklärung transparent und vollständig über die Verwendung und Verarbeitung ihrer Daten informiert werden.

Datenschutzfreundliches Tracking – Tipps und Tricks

Datensparsamkeit: Erfassen Sie nur die Daten, die für Ihre Analyse wirklich notwendig sind.
Einsatz von eigener Tracking-Infrastruktur: Tools wie Matomo können auf einem eigenen Server betrieben werden, wodurch die Datenhoheit beim Website-Betreiber bleibt. Dies reduziert die Abhängigkeit von Drittanbietern und stärkt den Datenschutz.
Transparente und vollständige Datenschutzerklärung: Die Datenschutzerklärung muss von jeder Stelle der Website mit einem Klick erreichbar sein und sollte mindestens folgende Informationen enthalten:
- Eine Liste aller verwendeten Tracking-Tools,
- Details zur Datenverarbeitung, Speicherorte und Dauer,
- Kontaktmöglichkeiten für Datenschutzanfragen.
Regelmäßige Prüfungen: Datenschutz ist ein dynamisches Feld. Überprüfen Sie regelmäßig, ob Ihre Tracking-Maßnahmen den aktuellen rechtlichen Anforderungen entsprechen. Bleiben Sie insbesondere bei Updates großer Anbieter wie Google oder Meta aufmerksam und vertrauen Sie nicht unkritisch deren Aussagen zur vermeintlichen Datenschutzkonformität einzelner Funktionen.

Fazit

Die datenschutzkonforme Nutzung von Tracking Tools ist eine Gratwanderung zwischen der Wahrung der Nutzerrechte und den Anforderungen an ein effektives Online-Marketing. Unternehmen sollten stets mit ihrem Datenschutzbeauftragten zusammenarbeiten, um rechtliche Risiken zu minimieren und Vertrauen bei ihren Nutzerinnen und Nutzer aufzubauen. Mit einer transparenten und durchdachten Herangehensweise lassen sich diese Herausforderungen meistern und dennoch wertvolle Einblicke in das Nutzerverhalten gewinnen.

Sie benötigen Hilfe bei der datenschutzkonformen Implementierung von Tracking Tools? Unsere erfahrenen Tracking-Experten unterstützen Sie gern bei Ihrem Vorhaben. Zögern Sie nicht, wir freuen uns auf Ihre Anfrage!

Über die/den Verfasser:in

Michael Magura

Seit 2017 betreut Michael den Bereich Web Analytics bei der SEO-Küche und arbeitet dabei mit namhaften Kunden zusammen. Er fungiert er als zentraler Ansprechpartner für Tool-Implementierungen, Datenauswertungen und Visualisierungen. Seine Expertise umfasst eine Vielzahl von Tracking Tools wie Matomo, Google Analytics und etracker sowie Conversion Trackings für Werbenetzwerke und Social-Media-Plattformen wie Google Ads, Microsoft Advertising, Meta, LinkedIn und TikTok. Zudem beschäftigt er sich mit komplexen Themen wie der Erstellung von Tracking-Konzepten und -Dokumentationen, der Planung und Umsetzung von Server Side Trackings sowie der Durchführung von Anwenderschulungen und Workshops.

Zur Vita

Ihr Contentplan 2026: Themen finden, priorisieren und veröffentlichen

Eine Contentstrategie entfaltet ihr volles Potenzial dann, wenn aus einzelnen Maßnahmen ein stimmiges, leistungsfähiges Gesamtsystem wird. Nach dem Erkennen wertvoller Inhalte für Sichtbarkeit, Kundenansprache und Markenentwicklung ist der nächste Schritt, diese Potenziale noch gezielter zu nutzen: weg von punktuellen Aktionen, hin zu einem durchdachten, kontinuierlichen Ansatz, der langfristig Wirkung zeigt […]

Digitale Marketing-Hebel mit Smartphone und Analyse-Dashboard auf einer Hand

SEO, GEO und SEA: Unterschied, Vergleich und welcher Hebel zu Ihrem Ziel passt

SEO, GEO und SEA: Unterschied, Vergleich und welcher Hebel zu Ihrem Ziel passt Das Wichtigste in Kürze SEO, GEO und SEA sind drei unterschiedliche Disziplinen im Suchmaschinenmarketing. SEO optimiert für organische Google-Rankings, SEA bucht bezahlte Anzeigen, GEO sorgt für Sichtbarkeit in KI-Suchsystemen wie ChatGPT, Perplexity und Google AI Overviews. Der […]

Mini-Einkaufswagen mit Kartons auf einem Laptop, symbolisiert den Online-Shop und den digitalen Einkauf

Mehr Umsatz im Shop: Produktdaten & Darstellungen, die verkaufen

Sie interessieren sich für einen Mantel, den Sie auf der Webseite eines Online-Shops entdeckt haben. Sie klicken sich durch die Bilder und sehen sich dann den Rest der Produktseite an. Allerdings können Sie keine zufriedenstellenden Angaben zum Material oder zum Herstellungsland des Mantels finden und auch Kundenrezensionen zum Produkt sind […]

Person bedient digitalen Bildschirm mit vernetztem Kommunikationsnetzwerk für Digital PR und Online-Reichweite

Digital PR für KMU – Von der Idee zum Presse-Erfolg

Wer viel sagt, wird oft auch gehört. Auf Unternehmen, welche im Internet sichtbar sein wollen, umgemünzt bedeutet das: Unternehmen, von denen auf vielen Plattformen zu hören und zu lesen ist, erhöht ihre Chancen auf Sichtbarkeit in Suchmaschinen und KI-Modellen. Wichtig dabei ist, dass sie authentisch bleiben und transparent und offen […]

Team im Strategieworkshop vor einem Whiteboard mit Notizzetteln und Prozessskizzen zur Planung digitaler Inhalte im B2B

GEO im B2B: Wie erklärungsbedürftige Leistungen in KI-Systemen sichtbar werden

Im B2B verändert sich Sichtbarkeit gerade spürbar. Nicht, weil klassische SEO plötzlich an Bedeutung verliert, sondern weil Suchmaschinen und KI-Systeme Informationen heute anders aufbereiten. Sie listen nicht nur Ergebnisse auf, sondern fassen Inhalte zusammen, ordnen sie ein und verdichten sie zu Antworten. Für Anbieter komplexer Leistungen heißt das: Sichtbarkeit entsteht […]

Webanalyse-Studie 2026: Tracking und Datenschutz im deutschen Autohandel

Websites als digitale Ausstellungsräume sind wie in vielen Branchen auch für Autohäuser längst zum wichtigen Verkaufsraum geworden. Gerade in Zeiten, in denen die Automobilbranche eine tiefe Krise durchläuft und die Margen unter massivem Druck stehen, zählt jeder investierte Euro. Datengetriebene Website-Optimierungen und hocheffizient gesteuerte Kampagnen sind längst nicht mehr nur […]

Datenschutzrechtliche Aspekte beim Einsatz von Tracking Tools