Sauberes Tracking ist die Grundlage jeder belastbaren Entscheidung.

In den meisten mittelständischen Unternehmen ist Tracking und Datenerhebung eine Aufgabe, um die sich niemand wirklich kümmert. Es liegt zwischen Marketing „zu technisch" und IT „zu Marketing-spezifisch". Das Ergebnis: Setups, die irgendwann vor Jahren eingerichtet wurden, seitdem nie wieder geprüft, aber als Entscheidungsgrundlage für sechsstellige Marketing-Budgets und wichtigen Geschäftsentscheidungen dienen.

Das ist riskant, weil Tracking-Qualität multiplikativ auf jede nachgelagerte Entscheidung wirkt. Wenn dein Tracking 25 Prozent der Conversions nicht erfasst, ist nicht nur dein Reporting verzerrt. Dein Attributions-Modell ist verzerrt. Dein ROAS ist verzerrt. Deine Budget-Verteilung ist verzerrt. Du schaltest Kampagnen ab, die eigentlich profitabel sind und skalierst Kampagnen, die nur scheinbar funktionieren.

Aus meiner Praxis: Es gibt kaum einen Hebel, der bei B2B-KMU mit einem Marketing-Budget zwischen 50.000 und 500.000 Euro pro Jahr so viel Effekt hat wie eine saubere Tracking-Basis.

Anders gesagt: Bevor du in neue Tools, neue Kanäle oder in einen AI-Agent investierst, lohnt sich der Blick auf das, was du bereits hast. Häufig sind die größten Effizienzgewinne nicht im Frontend, sondern im Tracking-Layer versteckt.

Die klassische Tracking-Architektur funktioniert seit zwei Jahrzehnten gleich: Ein JavaScript-Snippet im Browser des Nutzers sammelt Daten und schickt sie direkt an Analytics-Tools, Conversion-Pixel und Werbe-Plattformen. Dieses Modell ist aus mehreren Gründen am Ende seiner Lebensdauer.

Browser Blocking

Erstens blockieren immer mehr Browser standardmäßig Tracking-Skripte. Safari mit Intelligent Tracking Prevention (ITP), Firefox mit Enhanced Tracking Protection, Brave und neuerdings auch Edge in restriktiven Modi. Hinzu kommen Adblocker, die laut Bitkom-Studie zur Internet-Nutzung inzwischen von einem erheblichen Teil der deutschen Internet-Nutzer eingesetzt werden.

Direkte Weitergabe der Daten an nicht EU-Länder

Zweitens verlangen Datenschutzbehörden zunehmend, dass personenbezogene Daten nicht direkt an Drittanbieter in Drittländern fließen. Nach dem EuGH-Urteil "Schrems II" und der nachfolgenden Praxis der deutschen Datenschutzaufsichten (siehe etwa die Beschlüsse der Datenschutzkonferenz) ist eine direkte Browser-zu-US-Anbieter-Verbindung in vielen Fällen kritisch.

Webseitenperformance

Drittens verlangsamt Client-Side-Tracking deine Website. Jedes externe Skript ist ein zusätzlicher Request, ein zusätzlicher Render-Block, ein zusätzlicher Punkt für Core Web Vitals.Server-Side-Tracking und Tracking-Domains adressieren alle drei Punkte gleichzeitig. Statt direkt aus dem Browser zu senden, geht die Tracking-Anfrage zunächst an deinen eigenen Server oder wird über eine Sub-Domain weitergeleitet.

Je nach verwendetem Tag Manager werden die Daten geprüft, ggf. anonymisiert oder gefiltert, und erst dann an die Zielsysteme weitergeleitet. Aus Sicht des Browsers ist es nur ein weiterer Request an deine eigene Domain, das bedeutet Adblocker greifen seltener, ITP-Beschränkungen entfallen, und du behältst die Kontrolle über das, was nach außen gesendet wird.

Irrglaube Server-Side-Tracking sei Einwilligungsfrei

Ein weit verbreiteter Mythos ist der Irrglaube, dass Server-Side-Tracking keiner Einwilligung bedarf. Auch hier kommt es darauf an, welche Informationen erhoben und an welche Instanz weitergeleitet werden. Nur weil ein Server als Mittelsmann dient, bedeutet das nicht automatisch, dass die Daten nicht trotzdem an eine Firma außerhalb der EU geschickt oder durch Drittfirmen verarbeitet werden. Beides bedarf definitiv der Einwilligung des Webseitenbesuchers!

In meinen letzten Projekten habe ich diese Umstellung mehrfach durchgeführt. Typische Effekte: 10 bis 30 Prozent mehr erfasste Conversions, deutlich reduzierte JavaScript-Last auf der Webseite, und – nicht zu unterschätzen – ein DSGVO-Audit, das deutlich leichter zu führen ist.

Das deutsche Datenschutzrecht im Web-Tracking ist komplexer geworden, nicht einfacher. Drei Rechtsquellen wirken zusammen: die DSGVO auf europäischer Ebene, das TDDDG (vormals TTDSG) auf nationaler Ebene und die fortlaufende Auslegungspraxis der deutschen Datenschutzaufsichten. Wer ein Tracking-Setup heute baut, muss alle drei berücksichtigen. Drei Grundprinzipien, an denen ich mich bei jedem Projekt orientiere:

Zweck vor Tool

Bevor ich entscheide, welches Tracking-Tool eingesetzt wird, muss klar sein, welche Daten zu welchem Zweck erhoben werden. Pauschales „wir tracken alles" ist seit DSGVO Artikel 5 (Datenminimierung) nicht mehr haltbar. Und ganz im Ernst: Niemand hat Lust, sich durch einen riesigen Haufen unaussagekräftiger Daten zu wühlen.

Rechtsgrundlage zuerst klären

Jede Datenverarbeitung braucht eine Rechtsgrundlage. Für Web-Analytics gibt es im Wesentlichen zwei Optionen: Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO (was den Consent-Banner-Aufwand bedeutet) oder berechtigtes Interesse nach Art. 6 Abs. 1 lit. f. Letzteres ist nur in bestimmten Konstellationen tragfähig – etwa bei wirklich datenschutzfreundlichem Tracking ohne Cross-Site-Verfolgung, IP-Anonymisierung und ohne Profilbildung.

Tools wie etracker und Matomo lassen sich entsprechend konfigurieren.

EU-Hosting bevorzugen

Tracking-Setups, deren Daten auf US-Servern landen, sind nach Schrems II nur über zusätzliche Garantien (Standardvertragsklauseln + Transfer Impact Assessment) zu rechtfertigen. Für KMU ist der Aufwand selten wirtschaftlich. Lösungen mit reinem EU-Hosting (etracker mit Server in Hamburg, Matomo selbst gehostet auf EU-Servern) lösen das Problem strukturell.

Diese drei Prinzipien klingen nüchtern. In der Praxis sparen sie dir später viel Diskussion mit deinem Datenschutzbeauftragten, deiner Rechtsabteilung und im Ernstfall mit der Aufsichtsbehörde.

„Cookieless Tracking" ist eines der missverstandensten Konzepte der letzten Jahre. Die ehrliche Antwort: Es gibt nicht das cookieless Tracking. Es gibt mehrere Verfahren, die ohne dauerhaft im Browser gespeicherte Cookies auskommen – mit jeweils eigenen Stärken und Limitationen.

First-Party-Tracking ohne Cookies

Tools wie etracker setzen auf Session-Speicher und kurzlebige Identifier, die nicht persistent gespeichert werden. Datenschutzrechtlich vorteilhaft, aber Wiedererkennung über mehrere Sessions hinweg ist begrenzt.

Fingerprint-basiertes Tracking

Identifikation des Nutzers anhand von Browser-Eigenschaften, Bildschirmauflösung, installierten Schriften etc. Datenschutzrechtlich problematisch, weil es ohne Einwilligung kaum zulässig ist – auch wenn manche Tools es so anbieten.

Conversion-Modelling

Statt jeden einzelnen Nutzer zu tracken, werden statistische Modelle eingesetzt, um Conversions hochzurechnen. Wird von Google Ads und Meta inzwischen als Default genutzt, wenn weniger Tracking-Daten ankommen.

Server-Side First-Party-Identifier

Identifier werden serverseitig gesetzt, sind nicht für Drittanbieter sichtbar, und können datenschutzkonform betrieben werden. Aktuell der technisch und rechtlich sauberste Ansatz für KMU.

In meinen Projekten arbeite ich meist mit einer Hybrid-Strategie: Datenschutzfreundliche First-Party-Erfassung als Basis und – wo nötig – einwilligungsbasiertes Detail-Tracking für spezifische Marketing-Anwendungsfälle.

Wenn ich auf eine neue Kundenseite komme, mache ich fast immer dieselbe Übung zuerst: Tag-Inventar. Welche Tags und Pixel sind eingebaut? Welche feuern wirklich? Welche sind aktiv konfiguriert, aber treffen längst kein Zielsystem mehr? Welche feuern doppelt, weil sie über zwei Wege eingebunden wurden?

Die Ergebnisse sind oft dramatisch. In einem Projekt mit einem mittelständischen Online-Shop fand ich 24 aktive Tracking-Skripte, von denen 11 entweder doppelt vorhanden, fehlerhaft konfiguriert oder schlicht aus alten Kampagnen übriggeblieben waren. Die Seite hatte dadurch nicht nur ein Datenqualitätsproblem, sondern auch einen messbaren Ladezeit-Nachteil.

Tag-Management

Eine saubere Tag-Management-Architektur löst dieses Problem strukturell. Statt Tags direkt im Quellcode oder über verschiedene Kanäle einzubinden, läuft alles zentral über einen Tag Manager – idealerweise mit folgenden Eigenschaften:

Versionisierung

Jede Änderung ist dokumentiert und rollback-fähig. Klingt erstmal nach extra Overhead, da ich meine Tracking-Setups dokumentiere ist das Versionisieren des Trackingsetups in 5 Sekunden erledigt.

Workspace-Trennung

Bei großen Setups kann es durchaus Sinn ergeben deine Marketing-Tags und IT-Tags in getrennten Bereichen zu organisieren.

Testumgebung und Stage

Tags werden auf Staging geprüft, bevor sie live gehen. Zum einen kannst du so sicher sein, dass das Tracking-Setup funktioniert bevor du es deployst, und du kannst so vermeiden, dass die Test-Events deine echten Daten verfälschen. Vor allem im B2B Bereich, wo du seltener Conversions misst.

Hashen von personenbezogenen Daten

Sensitive Daten laufen nicht direkt aus dem Browser. Für die meisten meiner Projekte nutze ich den Google Tag Manager (auch in Server-Side-Konfiguration). Für Kunden mit besonders strengen Datenschutz-Anforderungen kommt der etracker Tag Manager zum Einsatz: mit Servern in der EU und ohne Datenfluss zu US-Anbietern.

Wenn dein Setup über Jahre gewachsen ist, ohne dass je aufgeräumt wurde, lohnt sich fast immer ein Tracking-Audit als ersten Schritt. In der Regel kann ich innerhalb von zwei bis drei Wochen einen vollständigen Bericht liefern, selbstverständlich mit priorisierter Liste, welche Maßnahmen den größten Effekt auf Datenqualität und Performance haben.

Tracking ist kein einmaliges Projekt. Es ist ein kontinuierlicher Prozess, der mit jedem neuen Marketing-Kanal, jeder neuen Kampagne und jeder Browser-Änderung erneut justiert werden muss. Genau das wird in der Praxis am häufigsten ignoriert.

Drei Routinen, die ich in jedem Setup verankere:

Monatlicher Pixel-Health-Check

Eine kurze Übersicht, ob alle relevanten Pixel zuverlässig feuern und ob die Zahlen in der erwarteten Größenordnung liegen. Dafür reicht oft ein simpler automatisierter Report.

Quartalsweiser Datenabgleich

Tracking-Zahlen gegen Backend-Daten prüfen. Wenn dein Shop-System 540 Bestellungen meldet und dein Tracking 380, weißt du, dass etwas nicht stimmt – aber nur, wenn jemand regelmäßig hinschaut.

Jährliches DSGVO-Review

Mindestens einmal pro Jahr wird geprüft, ob neue rechtliche Vorgaben Anpassungen am Tracking-Setup erfordern. Die Rechtsprechung verändert sich, dein Setup muss mitziehen.

Diese Routinen sind weder spektakulär noch teuer. Aber sie sind der Unterschied zwischen einem Tracking-Setup, das drei Jahre lang stabil läuft, und einem, das nach sechs Monaten wieder mehr Fragen als Antworten produziert. Wenn du Wert auf langfristige Datenqualität legst, gehört diese Kontinuität zum Projekt dazu – nicht als Add-on, sondern als integraler Teil.