Server-Side-Tracking: Datenschutzkonformes Tracking verstehen und anwenden

Marktführende Browser kündigen an, den Support von 3rd-Party Cookies einzustellen. Damit können ab Ende 2024 keine Daten mehr über herkömmliche Analytics-Setups erfasst werden. Während Safari bereits seit einiger Zeit seine Datenschutzmaßnahmen drastisch verschärft hat, zieht auch Googles Chrome-Browser Ende 2024 nach. Die Konsequenz: Unternehmen mit Cookie-basierten Tracking-Setups droht der Verlust von Nutzerdaten! 

Damit die Webanalyse-Tools auch in Zukunft Daten erfassen können, bedarf es einer technischen Anpassung: Server-Side-Tracking (SST).

In unserer zweiteiligen Artikelserie erfahren Sie die wichtigsten Informationen, um das datenschutzkonforme Tracking zu implementieren. In diesem Beitrag geben wir einen allgemeinen Überblick über die Funktionsweise, Vorteile und wesentlichen Unterschiede zwischen Server-Side-Tracking und dem Client-basierten Tracking-Verfahren.

In unserem Artikel “Server-Side-Tracking: Praktische Anwendung und Herausforderungen” erfahren Sie dann mehr über die konkrete Anwendung des neuen Tracking-Setups.

Abb. 1: Server-Side-Tracking im Überblick: Daten werden über Server-Anfragen an einen eigenen Tracking-Server gesendet

Das wesentliche Funktionsprinzip von serverseitigem Tracking basiert auf der Datenverarbeitung von erfassten Website-Interaktionen auf einem selbstverwalteten (Cloud-)Server. Von diesem stehen die erhobenen Daten den verschiedenen Drittanbietern außerhalb der eigenen Domain zur Verfügung.

Im folgenden Beispiel veranschaulichen wir die Funktionsweise eines serverseitigen Aufbaus in der Praxis:

1. Der Web-Container des Google Tag Managers wird auf der Seite ausgeführt und erfasst Nutzerinteraktionen über JavaScript. Dieser induziert eine HTTP-Serveranfrage an den eigenen Tracking-Server und übermittelt die Informationen der Nutzerinteraktion. Bei einer erfolgreichen Übermittlung antwortet der Server per HTTP-Response mit einem 200er Status Code.

2. Zur Verarbeitung der eingehenden HTTP-Anfragen nutzt der Server-Container des Google Tag Managers die URL-Signaturen der angefragten URL und bereitet die Daten für den Transfer vor.

3. Die erfassten Interaktionsdaten werden basierend auf den verschiedenen URL-Signaturen per Serveranfrage an die unterschiedlichen Drittanbieter-Server gesendet.

Entscheidend dabei ist, dass die unmittelbaren Verbindungen zwischen Browser (Client) und Drittanbietern aufgelöst werden. Die entsprechenden Datensätze obliegen der eigenen Verwaltungshoheit. Deshalb ist die serverseitige Implementierung synonym für einen 1st-Party-Kontext. 

Wichtig: Konkrete Anforderungen zum Datenschutz und zum Opt-In Consent bleiben auch im Server-Side-Tracking relevant.

Bisherige Webanalyse-Tools, darunter Google Analytics, setzen ausschließlich auf eigene Cookies. So können Nutzer:innen bei wiederkehrenden Aufrufen einer Website erkannt werden. Die Erfassung der Nutzerdaten erfolgt durch eine direkte Serveranfrage an Drittanbieter-Server. Deshalb nennt sich dies auch Client-Side-Tracking. Dadurch können wertvolle Erkenntnisse über das Nutzerverhalten auf der Website gewonnen und Nutzerprofile erstellt werden.

Beim Client-Side Tracking werden Informationen über Nutzer:innen direkt an US-Anbieter gesendet. Diese platzierten zur Identifikation eigene Cookies im Browser und stehen nicht  im direkten Zusammenhang mit der eigenen Domain (3rd-Party Cookies). Insbesondere der Datentransfer außerhalb der EU wird bis heute von vielen Datenschützer:innen kritisiert. Sie sehen darin eine Verletzung der geltenden Datenschutzbestimmungen der DSGVO. Hinzu kommen die Methoden zur User-Identifikation über gespeicherte Cookie-IDs: Diese gewährleisten nach EU-Recht keine ausreichende Anonymität. Sie könnten als Footprint außerhalb der eigenen Website genutzt werden, um Nutzer:innen auch auf anderen Seiten zu identifizieren.

Nicht zuletzt vor diesem Hintergrund entschieden sich die führenden Browser künftig Cookies von Drittanbietern nicht mehr zu unterstützen. Mit Google Chrome stellt nun auch der größte Browser mit einem Anteil von 50 % aller Internet-User:innen den Support von 3rd-Party Cookies ein.

Abb. 2: Client-Side-Tracking im Überblick: Daten werden durch Browser-basierte Mechanismen wie Cookies und JavaScript erfasst und an Drittanbieter-Plattformen übermittelt

Der grundsätzliche Unterschied zwischen Server-Side-Tracking und Client-Side-Tracking besteht in der Nutzung von 1st-Party- und 3rd-Party Cookies bzw. der Verortung der Domain, auf der die Cookies gespeichert sind. Insbesondere Apples Browser “Safari” blockiert Drittanbieter-Ressourcen durch intelligente Erkennung (ITP: Intelligent Tracking Prevention). 

1st-Party Cookies über serverseitiges Tracking vermeiden diese und sorgen so für ein robustes Fundament in der Datenerhebung.

Aus datenschutzrechtlicher Perspektive besteht zwischen den beiden Verfahren jedoch kein fundamentaler Unterschied: Die Datenerfassung ist nur dann zulässig, sofern Nutzer:innen eine explizite Zustimmung durch Opt-In via Cookie-Banner geben. Somit sind die Implikationen für mehr Erhebungen tendenziell eher gering. Aufgrund des 1st-Party-Kontextes bleiben die gesetzten Cookies jedoch über eine längere Laufzeit auf der Website erhalten. Das ermöglicht eine höhere Datenqualität und eine Analyse des Nutzerverhaltens über einen längeren Zeitraum hinweg. 

Der zweite wesentliche Unterschied besteht technisch in der Nutzung von verschiedenen Frameworks. Während die Client-Side-Trackings in ihrem Kern ausschließlich auf JavaScript basieren, werden Server-Side-Installationen alleinig über den Server ausgespielt. Dies sorgt für eine Reduzierung der erforderlichen Ressourcen für das Kompilieren, Parsen und Ausführen von JavaScript-Anwendungen und kann die Ladezeiten für User:innen optimieren.

Weitere technische Unterschiede haben wir in dieser Übersicht kompakt zusammengefasst:

Mit dem SST-Verfahren können Sie neue technische Potenziale und Chancen erschließen. Die wichtigsten Vorteile des Server-Side-Tracking haben wir hier kurz zusammengefasst:

Vorteile: 

• Verbesserter Datenschutz/Datenhoheit und Compliance: Server-Side-Tracking ermöglicht eine bessere Kontrolle über die gesammelten Daten und hilft, sie gemäß den Datenschutzvorschriften wie der DSGVO zu verarbeiten. Die Daten werden an einen eigenen Server gesendet und erst später an Drittanbieter weitergeleitet. Außerdem können durch die zentrale Verarbeitung die Daten anonymisiert und pseudonymisiert werden, bevor sie weitergegeben werden.

• Vermeidung von Intelligent Tacking Prevention (ITP) durch Browser: Server-Side-Tracking erfolgt direkt zwischen Servern. Deshalb ist es schwieriger für browserbasierte Tracking-Blocker, diese Art der Datenerfassung zu erkennen und zu blockieren. Diese Blocker filtern in der Regel nur Inhalte, die direkt im Browser der Nutzer:innen geladen oder ausgeführt werden. Server-Side-Tracking umgeht diese Einschränkung, indem es die Erhebung von Nutzungsdaten unabhängig vom Endgerät gestaltet.

• Höhere Datenqualität: Server-Side-Tracking ist häufig präziser, da es weniger anfällig für Verzerrungen durch Ad-Blocker oder fehlerhafte Client-Skripte ist. Die erfassten Informationen sind durch die Datenverarbeitung auf dem Server vollständiger und genauer. Dies bietet eine zuverlässige Datenbasis für Analysen. Zudem können aus den HTTP-Headern je nach Hosting erweiterte Nutzerdaten ausgelesen werden, die vollständig in der eigenen Kontrolle liegen. Das betrifft standortbasierte Informationen, die auf IP-Adressen basieren. IP-Adressen werden jedoch nicht an Google übertragen. Damit ist es möglich, Informationen wie beispielsweise Stadt und Land zu nutzen, um länderspezifische Deployments zu konfigurieren.

• Datenkonsolidierung/Harmonisierung von Daten: Durch die Zentralisierung der Datenerfassung auf dem Server können Daten aus verschiedenen Quellen und Tracking-Systemen zusammengeführt und harmonisiert werden. Dies ermöglicht eine einheitliche Sicht auf das Nutzerverhalten und die Customer Journey über verschiedene Kanäle hinweg. Eine solche Konsolidierung erleichtert die Auswertung und Optimierung von Marketingkampagnen und verbessert die Nutzererfahrung.

• Optimierte Ladezeiten: Indem die Datenverarbeitung vom Client zum Server verlagert wird, werden die Ressourcen auf Seiten der Endnutzer:innen schonender eingesetzt. Dabei wird weniger JavaScript-Code im Browser der Nutzer:innen ausgeführt, was die Ladezeiten der Website beschleunigt. Eine schnellere Ladezeit verbessert die Nutzererfahrung und kann positive Auswirkungen auf die Conversion-Rate haben.

• Erweiterte Deployment-Optionen: Server-Side-Tracking bietet durch seine Flexibilität bei der Datenverarbeitung und -weiterleitung erweiterte Deployment-Optionen. Unternehmen können spezifische Logiken implementieren, um Daten vor der Weiterleitung an Analyse-Tools zu filtern, zu verarbeiten oder zu bereichern. Dies ermöglicht eine maßgeschneiderte Datennutzung, die genau auf die Anforderungen des Unternehmens und die Bedürfnisse der Nutzer:innen zugeschnitten ist. Beispielsweise kann ein standortbasiertes Deployment mittels IP-Adressen stattfinden, das einerseits zielgerichtete Auslieferung der Inhalte ermöglicht. Andererseits kann mit einer besseren Lokalisierung des Standortes die Compliance mit regionalen Datenschutzgesetzen gewährleistet werden. Beispielsweise werden bestimmte Tracking-Scripts nur in Regionen geladen, wo sie erlaubt sind. Eine weitere Methode ist die Platzierung von 1st-Party Cookies zur seitenübergreifenden Erfassung von User-Interaktionen und zum Erhalt wichtiger technischer Funktionen wie das Aufrechterhalten eines Login-Status.

• Technische Komplexität: Die Implementierung von Server-Side-Tracking erfordert tiefere technische Kenntnisse und Ressourcen, da dies serverseitige Konfigurationen und eventuell die Entwicklung eigener Schnittstellen umfasst. Zum einen ist die Konfiguration des Servers unterschiedlich komplex, je nachdem, ob es sich um einen selfhosted Server oder einen cloudhosted Server handelt. Zum anderen sind die einzelnen Vendor-Services vielschichtig. Abhängig vom Tagging System werden gegebenenfalls eigene API-Calls erforderlich, um Verbindungen herzustellen (z. B. Meta Conversion-API).

• Datenschutzbedenken: Trotz der Vorteile im Hinblick auf Datenschutzregelungen müssen Unternehmen transparent darüber informieren, welche Daten gesammelt werden, damit Nutzer:innen auch weiterhin entsprechend ihrer Präferenzen einwilligen oder ablehnen können. Oftmals wird cookieless Tracking falsch verstanden und Cookie-Banner werden nicht angepasst. Jedoch bedeutet cookieless Tracking nur, dass statt 3rd-Party Cookies nun 1st-Party Cookies gesetzt werden.

• Datenanbindungen/Konnektoren: Häufig sind verschiedene Konnektoren erforderlich, um Daten nahtlos zwischen Server und Drittanbieter Tools zu übertragen. Nicht alle Tools verfügen über solche Konnektoren und können damit einen Datentransfer sicherstellen. Aus diesem Grund sollten vor dem Setup alle Anbieter genauer überprüft werden.

• Kostenmanagement: Server-Side-Tracking ist mit zusätzlichen Kosten für Serverressourcen und möglicherweise für spezialisierte Drittanbieter-Dienste verbunden. In der Regel sind die Kosten bei kleinen und mittelständischen Unternehmen überschaubar, da die erforderlichen Datenmengen nur geringfügige Kosten verursachen. Eine grobe Kostenkalkulation von benötigten Ressourcen ist notwendig, um Budgets entsprechend zu planen und ungeplante Kosten zu vermeiden.

Klar erscheint: Server-Side-Tracking ist die nächste Generation der Nutzerdatenerhebung im Zeitalter des cookieless Trackings. Sie bietet Unternehmen in erster Linie Möglichkeiten zur vollständigen Organisation und Verwaltung erhobener Nutzerdaten. Gleichzeitig profitieren insbesondere Website-Besucher:innen von einer verbesserten Seitenladezeit in Folge reduzierter JavaScript-Bibliotheken von Drittanbietern. Durch die Einstellung des Supports aller gängigen Browser von 3rd-Party Cookies hat diese Entwicklung zusätzlich an Dynamik gewonnen. Wer Ende 2024 noch auf JavaScript-basiertes Client-Tracking setzt, wird künftig keine Webanalyse betreiben können.

Gerne unterstützen wir Sie bei der Umsetzung des Server-Side-Trackings für Ihre Website. Zudem zeigen wir Ihnen im Teil 2 unserer Artikelserie, wie die Umstellung auf Server-Side- Tracking funktioniert und welche Faktoren Sie beachten müssen.