Conversion-Tracking DSGVO-konform einrichten
Conversions für GA4, Google Ads und Meta zuverlässig und rechtssicher zu messen ist schwerer geworden, seit Cookies wegbrechen und Einwilligung Pflicht ist. Reine Browser-Pixel verlieren einen wachsenden Teil der Daten, und das DSGVO-konform aufzusetzen ist die zusätzliche Hürde. Wir richten dein Conversion-Tracking server-seitig ein, sodass die Daten, die du erheben darfst, vollständig in deinen Plattformen ankommen. Consent zuerst, dann saubere Messung.
Das Problem: reines Pixel-Tracking verliert Daten
Das klassische Conversion-Tracking läuft über Pixel, die der Browser des Nutzers direkt lädt: das Google-Tag, das Meta-Pixel, der GA4-Tag. Diese Pixel funktionieren nur, solange der Browser sie auch ausführt und die gesetzten Cookies behält. Genau das ist immer seltener der Fall. Adblocker und Browser-Erweiterungen blockieren die Skripte, bevor sie laden. Safari und Firefox kürzen die Lebensdauer clientseitig gesetzter Cookies über ITP drastisch. Und alles, wofür keine Einwilligung vorliegt, fällt ohnehin raus.
Die Folge ist nicht, dass du gar nichts mehr misst, sondern dass du systematisch zu wenig misst. Deine Conversion-Zahlen liegen unter den tatsächlichen Abschlüssen, und zwar nicht zufällig, sondern verzerrt nach Browser und Gerät. Das ist nicht nur ein Reporting-Ärgernis. Google Ads und Meta steuern ihre Gebote über genau diese Conversion-Signale. Kommen die Signale lückenhaft an, optimieren die Algorithmen auf ein unvollständiges Bild, und dein Smart Bidding wird schlechter, als es sein müsste.
Und dann kommt die zweite Schicht obendrauf: Das Ganze soll DSGVO-konform sein. Ein Pixel, das vor der Einwilligung feuert, ist nicht nur ein Datenleck, sondern ein Rechtsproblem. Du stehst also vor zwei Aufgaben gleichzeitig: weniger Daten verlieren und dabei sauber mit der Einwilligung umgehen. Beide Aufgaben hängen zusammen, und beide löst reines Pixel-Tracking schlecht.
Hintergrund im Wissensbereich: DSGVO-konformes Tracking, Server-Side-Tracking erklärt. Im Glossar: Consent Mode, Conversion.
Die Lösung: server-side Conversion-Tracking
Server-side Conversion-Tracking dreht den Datenfluss um. Statt dass der Browser jede Conversion direkt an Google und Meta schickt, läuft die Messung über einen eigenen Server, der auf deiner eigenen Subdomain liegt. Dieser Server nimmt das Event entgegen und gibt es kontrolliert an die Zielsysteme weiter. Das macht die Auslieferung robuster und gibt dir die Kontrolle darüber, welche Daten überhaupt das Haus verlassen. Vier Bausteine gehören dazu.
Consent Mode v2 zuerst
Bevor irgendetwas misst, klärt der Consent Mode, was der Nutzer erlaubt hat. Consent Mode v2 übersetzt die Entscheidung aus deinem Consent-Banner in Signale, die Google und Meta verstehen. Ohne Einwilligung wird nicht regulär getrackt, sondern höchstens auf Basis der dafür vorgesehenen, datensparsamen Mechanismen gemessen. Das ist die Voraussetzung dafür, dass alles Folgende rechtlich tragfähig ist.
Server-seitige Auslieferung
Die Conversions, für die Einwilligung vorliegt, laufen über deinen Server-Side-Container. Weil die Verbindung zu den Plattformen vom Server ausgeht und nicht aus dem Browser, greifen Adblocker und ITP hier nicht in gleicher Weise. Du verlierst weniger an der technischen Übertragung und entscheidest gleichzeitig serverseitig, welche Felder mitgehen und welche nicht.
Die Plattform-Schnittstellen: CAPI, Enhanced Conversions, GA4
Jede Plattform hat ihren offiziellen Weg, Conversions server-seitig entgegenzunehmen. Für Meta ist das die Conversions API, kurz CAPI. Für Google Ads sind es die Enhanced Conversions, die einwilligungsbasiert gehashte Kundendaten nutzen, um Abschlüsse besser zuzuordnen. Für GA4 ist es das server-seitige Measurement Protocol. Wir binden die an, die zu deinem Kanal-Mix passen, statt pauschal alles zu aktivieren.
Event-Deduplizierung, damit nichts doppelt zählt
Wenn ein Event sowohl im Browser als auch über den Server ankommt, darf es nur einmal gezählt werden. Über eine gemeinsame Event-ID erkennen die Plattformen das Duplikat und verwerfen die zweite Meldung. Ohne saubere Deduplizierung kippt die Logik ins Gegenteil: Du verlierst nicht Conversions, sondern erfindest welche, und das verzerrt deine Zahlen genauso wie der Datenverlust vorher. Deshalb gehört die Deduplizierung von Anfang an ins Setup, nicht als Nachbesserung.
Die Mechanik im Produkt: Server-Side-Tracking, Consent Mode v2. Tiefer zu den Schnittstellen: Meta Conversions API, Enhanced Conversions.
DSGVO-konform heißt: Consent zuerst
Ein Missverständnis hört man oft: Server-Side-Tracking sei eine Art Umgehung der Einwilligung, weil die Daten ja nicht mehr direkt aus dem Browser fließen. Das ist falsch, und es ist gefährlich falsch. Ob du clientseitig oder serverseitig misst, ändert nichts an der Rechtsgrundlage. Sobald du für das Tracking auf das Endgerät zugreifst oder dort etwas speicherst, brauchst du die Einwilligung nach Paragraf 25 TDDDG. Server-Side verschiebt nur den Ort der Verarbeitung, nicht die Frage, ob du verarbeiten darfst.
Der ehrliche Punkt ist also: Server-Side-Tracking und DSGVO-Konformität sind kein Entweder-oder und auch kein Trick, sondern gehören zusammen. Das Consent-Management steht am Anfang der Kette und entscheidet, welche Events überhaupt entstehen. Der Server-Side-Teil sorgt danach dafür, dass die erlaubten Events vollständig und kontrolliert ankommen. Der Gewinn liegt nicht darin, mehr zu tracken als erlaubt, sondern darin, von dem, was du tracken darfst, weniger an Technik und Browser-Restriktionen zu verlieren.
Dazu kommt die Datenhoheit. Weil der Server-Side-Container auf deiner Infrastruktur in Deutschland läuft, entscheidest du, welche Daten an Google und Meta weitergehen, und kannst personenbezogene Felder hashen oder weglassen. Den US-Bezug, der bei der Weitergabe an die Plattformen entsteht, begrenzt das auf einwilligende Nutzer und auf die Conversions, die du bewusst konfiguriert hast. Was genau in deinem Fall zulässig ist, gehört in die Hände deiner Rechtsberatung. Wir bauen das technische Fundament so, dass diese Entscheidung sauber abbildbar ist.
Die DSGVO-Lösung im Überblick: DSGVO-konformes Tracking. Im Glossar: Server-Side-Tracking, First-Party-Data.
So läuft die Einrichtung
Die Einrichtung folgt einer festen Reihenfolge, weil jeder Schritt auf dem vorigen aufbaut. Wer mit der Technik anfängt und die Rechtsgrundlage nachschiebt, baut das Setup zweimal. Deshalb gehen wir so vor.
1. Messkonzept
Zuerst klären wir, welche Conversions überhaupt zählen: Kauf, Lead, Registrierung, und mit welchem Wert. Ohne ein sauberes Messkonzept misst du am Ende viel, aber nicht das Richtige. Hier legen wir auch fest, welche Plattformen die Daten brauchen.
2. Consent
Wir prüfen, ob dein Consent-Tool die Einwilligung sauber erfasst und an den Consent Mode v2 weitergibt. Stimmt diese Schicht nicht, ist alles Weitere angreifbar. Erst wenn der Consent-Status verlässlich vorliegt, geht es an die Auslieferung.
3. Server-Container
Wir setzen den Server-Side-Container auf deiner eigenen Subdomain auf, mit Hosting in Deutschland. Das ist die zentrale Schaltstelle, über die ab jetzt die Conversions laufen und an der du entscheidest, welche Daten weitergehen.
4. Ziele und Deduplizierung
Jetzt binden wir die Plattform-Schnittstellen an, die du brauchst: Meta CAPI, Google Enhanced Conversions, GA4 server-seitig. Dazu richten wir die Event-Deduplizierung über gemeinsame Event-IDs ein, damit Browser- und Server-Event nicht doppelt zählen.
5. Prüfen
Zum Schluss prüfen wir, ob die Events korrekt ankommen, ob die Deduplizierung greift und ob vor der Einwilligung nichts feuert. Erst wenn das verlässlich steht, ist die Einrichtung fertig. Ein Tracking-Setup, das nicht geprüft wurde, ist kein fertiges Setup.
Plattform-spezifisch weiterlesen: Meta Conversions API einrichten, Google-Ads-Tracking DSGVO-konform. Wo dein Setup heute steht, zeigt das kostenlose Website-Audit.
Häufige Fragen zu DSGVO-konformem Conversion-Tracking
Wie richte ich Conversion-Tracking DSGVO-konform ein?
In zwei Schichten. Zuerst klärst du die Rechtsgrundlage: Conversion-Tracking greift auf das Endgerät zu und braucht in aller Regel eine aktive Einwilligung über ein Consent-Tool. Erst danach geht es um die Technik. Statt nur auf Browser-Pixel zu setzen, misst du server-seitig und gibst die Conversions, für die Einwilligung vorliegt, über die offiziellen Schnittstellen an GA4, Google Ads und Meta weiter. Consent zuerst, dann saubere, server-seitige Auslieferung: in dieser Reihenfolge ist das Setup belastbar und prüfbar.
Brauche ich für Conversion-Tracking eine Einwilligung?
In den allermeisten Fällen ja. Sobald du für das Tracking auf Informationen im Endgerät zugreifst oder sie dort speicherst, also Cookies oder vergleichbare Techniken nutzt, brauchst du nach Paragraf 25 TDDDG die Einwilligung der Nutzer. Das gilt unabhängig davon, ob die Daten clientseitig über ein Pixel oder serverseitig erhoben werden. Server-seitig zu messen ändert nichts an der Einwilligungspflicht. Den konkreten Fall solltest du immer mit deiner Rechtsberatung oder deinem Datenschutzbeauftragten klären, eine Lösungs-Seite ersetzt das nicht.
Was ist server-side Conversion-Tracking?
Beim klassischen Tracking lädt der Browser des Nutzers die Pixel von Google und Meta direkt und schickt die Conversion an deren Server. Beim server-side Conversion-Tracking läuft die Messung über einen eigenen Server, meist einen Server-Side-Tag-Manager-Container, der auf deiner eigenen Subdomain liegt. Dieser Server nimmt das Event entgegen und gibt es kontrolliert an die Zielsysteme weiter. Der Vorteil: Die Auslieferung ist weniger anfällig für Adblocker und Browser-Restriktionen, und du behältst die Kontrolle darüber, welche Daten überhaupt das Haus verlassen.
Unterstützt ihr Meta CAPI und Google Enhanced Conversions?
Ja, beides. Wir richten die Meta Conversions API und Google Enhanced Conversions im server-seitigen Setup ein, inklusive Event-Deduplizierung zwischen Browser und Server, damit eine Conversion nicht doppelt gezählt wird. Für GA4 nutzen wir das server-seitige Measurement Protocol. Welche dieser Schnittstellen in deinem Fall sinnvoll sind, hängt von deinem Kanal-Mix ab, und genau das klären wir im Erstgespräch.
Hostet ihr in Deutschland?
Ja. Die Infrastruktur läuft auf Servern in Deutschland, ohne Datentransfer in ein Drittland für die Kern-Verarbeitung. IP-Adressen werden gehasht statt im Klartext gespeichert, und einen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO bekommst du dazu. Das ist relevant, weil bei der Weitergabe von Conversion-Daten an Google und Meta ein US-Bezug entsteht, der nur für einwilligende Nutzer und nur für die konkret konfigurierten Conversions gilt.
Was kostet die Einrichtung?
Das hängt von deinem Setup ab: Shop-System, Anzahl der Conversions, welche Plattformen du anbindest und ob ein Consent-Tool schon sauber eingebunden ist. Deshalb nennen wir hier keinen Listenpreis, der ohnehin nicht auf dein Volumen passen würde. Im Erstgespräch schauen wir auf dein konkretes Setup und machen dir ein individuelles Angebot. Der ehrlichste Startpunkt ist ein Blick auf das, was bei dir heute schon misst und was verloren geht.