Conversion Tracking DSGVO-konform:
rechtssicher messen ohne Datenverlust
DSGVO und vollständige Conversion-Daten gelten als Gegensatz. Sind sie nicht. Einwilligung, Consent Mode v2 und Server-Side Tracking auf deutscher Infrastruktur - rechtssicher aufgesetzt, und trotzdem messbar.
Conversion Tracking DSGVO-konform bedeutet, Conversions so zu messen, dass eine Rechtsgrundlage vorliegt: aktive Einwilligung nach Paragraf 25 TDDDG, eine vollständige Datenschutzerklärung und ein AV-Vertrag mit jedem Tracking-Anbieter. Server-Side Tracking und Consent Mode v2 gewinnen anschließend einen Teil der verlorenen Daten zurück - ohne die Einwilligung zu umgehen.
In einem kostenlosen Erstgespräch sehen wir uns Rechtsgrundlage und Datenverlust gemeinsam an - und zeigen, was dich dein aktuelles Setup pro Monat kostet.
DSGVO/TDDDG gegen
vollständige Conversion-Daten
Zwei legitime Ziele ziehen in entgegengesetzte Richtungen. Datenschutz verlangt Zurückhaltung, Performance-Marketing verlangt Signal. Wer nur eine Seite optimiert, verliert auf der anderen.
Die rechtliche Realität
Das TDDDG verlangt seit dem 13. Mai 2024 eine Einwilligung, bevor auf das Endgerät zugegriffen wird. Verstöße können mit bis zu 300.000 Euro Bußgeld geahndet werden.
Die Durchsetzung ist real: 2025 verhängte die französische CNIL 150 Mio. Euro gegen Shein und 325 Mio. Euro gegen Google für Cookies ohne Einwilligung.
Die Daten-Realität
In Deutschland lehnen rund 40 Prozent der Nutzer Cookies ab. Ohne Gegenmaßnahme fehlen dadurch 30 bis 50 Prozent der Conversion-Daten in deinen Tools.
Dein Smart Bidding optimiert dann auf einer verzerrten Basis - und verbrennt Werbebudget auf den falschen Kampagnen.
Der Ausweg ist kein Trick, sondern Architektur. Einwilligung sauber einholen, Consent Mode v2 als Signal setzen, Server-Side Tracking nur dort senden lassen, wo eine Rechtsgrundlage besteht - und so viel wie möglich in der EU verarbeiten.
Vier Bausteine, die zusammengehören
Rechtssicheres Conversion Tracking ruht nicht auf einem Cookie-Banner allein. Diese vier Elemente müssen vorhanden und technisch sauber verdrahtet sein.
Aktive Einwilligung (Consent)
Ein rechtskonformes Cookie-Banner ohne vorausgewählte Häkchen. Ablehnen muss so einfach sein wie Akzeptieren. Die Einwilligung muss vor dem ersten zustimmungspflichtigen Tag eingeholt werden.
Datenschutzerklärung
Die eingesetzten Tracking-Dienste, ihre Zwecke und die Datenverarbeitung müssen transparent benannt sein - inklusive Hinweis auf mögliche Drittlandtransfers.
AV-Vertrag nach Art. 28 DSGVO
Google Conversion Tracking, GA4, Meta und Co. sind Auftragsverarbeitung. Ein Auftragsverarbeitungsvertrag mit jedem Anbieter ist verpflichtend (e-recht24.de).
Paragraf 25 TDDDG
Vor dem Zugriff auf das Endgerät (Cookies, Kennungen) ist eine Einwilligung erforderlich. Seit 13. Mai 2024 das maßgebliche deutsche Gesetz, Bußgelder bis 300.000 Euro (cortina-consult.com).
Wie viel du durch das
Cookie-Banner verlierst
Realistische Ablehnungsquote in Deutschland - mit jedem korrekt platzierten Banner steigt sie eher, als dass sie fällt.
Ohne Gegenmaßnahme fehlt dieser Anteil in GA4 und den Ad-Plattformen - dein Reporting zeigt eine Welt, die es nicht gibt.
Mit bis zu 300.000 Euro können Verstöße gegen das TDDDG geahndet werden - der Anreiz, es richtig zu machen, ist beidseitig.
Das Tückische: Beide Kosten sind unsichtbar. Du siehst weder das Bußgeldrisiko noch das verbrannte Werbebudget direkt im Dashboard. In einem kostenlosen Erstgespräch machen wir beide sichtbar - mit einer belegbaren Euro-Zahl.
Consent Mode v2 als
Einwilligungs-Signal
Consent Mode v2 ist seit dem 6. März 2024 verpflichtend, um Personalisierungs- und Remarketing-Funktionen von Google Ads und GA4 im EWR weiter zu nutzen - getrieben durch den Digital Markets Act.
Was es leistet
Consent Mode v2 meldet Google in Echtzeit, ob eine Nutzerin zugestimmt hat, und steuert über vier Signale, welche Daten erhoben werden - darunter die neuen Signale ad_user_data und ad_personalization.
Im Advanced Mode kann die Conversion-Modellierung laut Google über 70 Prozent der durch Ablehnung verlorenen Conversion-Pfade rekonstruieren.
Die Abwägung Basic vs. Advanced
Der Advanced Mode sendet auch bei Ablehnung cookielose Pings. Aus Datenschutzsicht ist das umstritten - viele DACH-Experten empfehlen für maximale Rechtssicherheit den Basic Mode.
Wir behandeln das als dokumentierte Abwägung, nicht als Urteil. Welche Variante zu dir passt, hängt von Risikoappetit und Branche ab. Mehr dazu auf unserer Seite zu GA4 Consent Mode v2.
Server-Side: Daten zurückgewinnen,
Einwilligung respektieren
Server-Side Tracking ist der wirksamste Hebel gegen Datenverlust. Aber es ist kein Consent-Bypass. Diese Klarstellung trennt seriöse Anbieter von gefährlichen Versprechen.
Server-Side Tracking ist eine Architektur, bei der Events nicht direkt aus dem Browser, sondern über einen eigenen Server-Container an die Plattformen laufen. Das macht die Erfassung stabiler gegen Ad-Blocker, Safari ITP und iOS-Restriktionen - und gibt dir die Kontrolle darüber, welche Daten überhaupt das Haus verlassen. Was es nicht tut: eine fehlende Rechtsgrundlage ersetzen.
Den vollständigen, dir gehörenden Aufbau dieser Infrastruktur beschreibt unsere Seite zu Server-Side Tracking. Diese Seite hier klärt die rechtliche Einordnung - dort steht, wie wir es bauen.
Die Plattformen DSGVO-konform anbinden
Vendor-neutral und nach demselben Prinzip: Daten nur bei Einwilligung, Verarbeitung so weit wie möglich in der EU.
Google Analytics 4 (GA4)
GA4 mit korrekt verdrahtetem Consent Mode v2 und serverseitiger Erfassung. Conversion-Modellierung rekonstruiert einen Teil der durch Ablehnung verlorenen Pfade - nur im Advanced Mode, und nur als dokumentierte Abwägung.
Google Ads Enhanced Conversions
Gehashte First-Party-Daten (E-Mail, Telefon) werden serverseitig an Google übergeben - nur bei vorliegender Einwilligung. Das hebt die Match-Rate und macht Smart Bidding wieder zuverlässig.
Meta Conversions API (CAPI)
Server-Side statt nur Pixel: bessere Event Match Quality, redundante Erfassung gegen Browser-Blocker, saubere Deduplizierung. Auch hier gilt: Datenweitergabe nur bei Consent.
Matomo (consent-arm)
Eine selbst gehostete Matomo-Instanz kann je nach Konfiguration besonders datensparsam betrieben werden - eine Option für Teams, die maximale Datenhoheit über Plattform-Reichweite stellen.
Tieferer Einblick: Meta Conversions API einrichten und GA4 Consent Mode v2.
Schrems II, Data Privacy Framework
und das Restrisiko
Schrems II
Der EuGH kippte den Privacy Shield. US-Datentransfers wurden zum rechtlichen Dauerthema - viele Tracking-Setups standen plötzlich auf wackeligem Grund.
Data Privacy Framework
Der Angemessenheitsbeschluss machte Transfers an zertifizierte US-Empfänger wieder möglich. Ein Fundament - aber ein jüngeres, ungeklärtes.
Schrems III?
Datenschützer wie noyb haben ein Verfahren angekündigt. Das Framework gilt als instabil - wer kann, hält die Verarbeitung in der EU.
Deutsche Infrastruktur als
struktureller Vorteil
Die meisten Anbieter sind entweder Datenschutz-Juristen ohne Technik oder Tracking-Agenturen ohne rechtliche Tiefe. Wir sind beides - und hosten in Deutschland.
Hosting in Deutschland
Server-Container und Datenverarbeitung laufen auf Hetzner-Infrastruktur in deutschen Rechenzentren - so wenig US-Pfad wie technisch möglich.
ISO/IEC 27001:2022
Informationssicherheit nach anerkanntem Standard. Datenschutz ist kein Add-on, sondern in der Architektur verankert.
DSGVO-nativ
Datensparsamkeit, IP-Verkürzung und EU-Verarbeitung sind Standard, nicht nachträgliche Korrektur.
Du besitzt das Setup
Kein Vendor-Lock-in. Wir bauen die Infrastruktur, der Code und die Konfiguration gehören dir.
Warum wir gegen Standard-SaaS-Tracking-Stacks antreten, zeigt der SaaS-Friedhof. Was dich Tools auf Dauer wirklich kosten, rechnet der Cost-of-Software-Rechner vor.
Rechtlicher Hinweis
Dieser Beitrag bietet eine fachliche Einordnung aus der Tracking- und Infrastruktur-Praxis und ersetzt keine Rechtsberatung. Für eine verbindliche Bewertung deines konkreten Setups ziehe bitte eine auf Datenschutzrecht spezialisierte Kanzlei oder deinen Datenschutzbeauftragten hinzu.
Häufige Fragen
DSGVO-konformes Conversion Tracking - die wichtigsten Punkte
Ist Conversion Tracking ohne Einwilligung erlaubt?
In der Regel nein. Sobald für das Tracking auf Informationen im Endgerät zugegriffen oder Informationen gespeichert werden (etwa Cookies oder vergleichbare Kennungen), verlangt Paragraf 25 TDDDG eine aktive Einwilligung. Das gilt für das klassische Conversion Tracking über Google Ads oder das Meta Pixel ebenso wie für die meisten Server-Side-Setups. Ausnahmen sind eng (unbedingt erforderliche Vorgänge). Eine vollständig einwilligungsfreie Messung ist praktisch nur mit stark datensparsamen, cookielosen Verfahren wie einer entsprechend konfigurierten Matomo-Instanz denkbar - und auch das ist eine Einzelfallprüfung. Das ist eine fachliche Einordnung, keine Rechtsberatung.
Welche rechtliche Grundlage braucht Conversion Tracking in Deutschland?
Drei Bausteine gehören zusammen: erstens die aktive Einwilligung über ein rechtskonformes Cookie-Banner (keine vorausgewählten Häkchen, Ablehnen so einfach wie Akzeptieren), zweitens eine Datenschutzerklärung, die das Tracking und die eingesetzten Dienste benennt, und drittens ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO mit den Anbietern wie Google. Google Conversion Tracking gilt als Auftragsverarbeitung, daher ist der AV-Vertrag verpflichtend (e-recht24.de).
Brauche ich einen AV-Vertrag mit Google?
Ja. Wer Google-Dienste wie GA4, Google Ads Conversion Tracking oder den Server-Side Tag Manager mit Google-Tags nutzt, verarbeitet personenbezogene Daten im Auftrag und braucht einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Bei Google sind die entsprechenden Data Processing Terms beim Anlegen des Kontos zu akzeptieren beziehungsweise im Konto hinterlegt. Dasselbe Prinzip gilt für Meta, TikTok und andere Plattformen.
Ist Server-Side Tracking automatisch DSGVO-konform?
Nein. Das ist das häufigste Missverständnis. Server-Side Tracking verbessert Datenqualität, Stabilität und Kontrolle, ersetzt aber keine Rechtsgrundlage. Lehnt eine Nutzerin im Banner ab, darf auch ein serverseitiger Container ohne Einwilligung keine personenbezogenen Daten an Google, Meta oder TikTok weitergeben - auch nicht in anonymisierter oder gehashter Form. Server-Side ist kein Consent-Bypass. Richtig aufgesetzt setzt es die Einwilligung serverseitig durch und sammelt vollständigere Daten nur dort, wo eine Rechtsgrundlage besteht (tobiasbatke.com).
Wie viel Conversion-Daten verliere ich durch das Cookie-Banner?
In Deutschland lehnen realistisch rund 40 Prozent der Nutzer Cookies ab. Ohne Gegenmaßnahme fehlen dadurch etwa 30 bis 50 Prozent der Conversion-Daten in GA4 und den Ad-Plattformen (konzept54.de). Diese Lücke optimiert deine Bidding-Algorithmen auf einer verzerrten Datenbasis - du zahlst doppelt: einmal an Datenschutz und einmal an verschwendetem Werbebudget. Consent Mode v2 plus Server-Side gewinnt einen Teil davon rechtskonform zurück.
Ist der EU-US-Datentransfer (Data Privacy Framework) sicher?
Seit dem Angemessenheitsbeschluss vom Juli 2023 ist der Transfer in die USA über das EU-US Data Privacy Framework grundsätzlich wieder möglich, wenn der Empfänger zertifiziert ist. Das Framework gilt jedoch als instabil: Datenschützer wie noyb haben bereits ein Verfahren nach dem Muster von Schrems II beziehungsweise ein mögliches Schrems III angekündigt (jentis.com, taggrs.io). Wer das Restrisiko reduzieren will, hält so viele Verarbeitungsschritte wie möglich in der EU - genau hier setzt deutsche Infrastruktur an.
Was ändert das TDDDG für mein Tracking?
Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) hat seit dem 13. Mai 2024 das TTDSG abgelöst und ist das maßgebliche deutsche Gesetz für die Cookie-Einwilligung. Es verlangt eine Einwilligung, bevor auf das Endgerät zugegriffen wird, und ergänzt die DSGVO. Verstöße können mit Bußgeldern von bis zu 300.000 Euro geahndet werden (cortina-consult.com). Praktisch heißt das: Das Banner muss vor jedem zustimmungspflichtigen Tag stehen, und die Einwilligung muss technisch sauber an alle nachgelagerten Tools durchgereicht werden.
Was ist der Unterschied zwischen Consent Mode und Server-Side Tracking?
Consent Mode v2 ist ein Einwilligungs-Signal: Es teilt Google in Echtzeit mit, ob eine Nutzerin zugestimmt hat, und steuert darüber, welche Daten erhoben und ob Conversions modelliert werden. Server-Side Tracking ist eine Architektur: Events laufen über einen eigenen Server-Container statt direkt aus dem Browser, was sie stabiler gegen Ad-Blocker und ITP macht und dir die Datenhoheit gibt. Beides ergänzt sich. Consent Mode regelt das Ob, Server-Side regelt das Wie und Wo. Erst zusammen entsteht ein rechtssicher aufgesetztes und datentechnisch vollständiges Setup.
Rechtssicher messen,
ohne Daten zu verlieren.
In einem kostenlosen Erstgespräch sehen wir uns Rechtsgrundlage und Datenverlust gemeinsam an - und zeigen, was dich dein aktuelles Setup pro Monat kostet. Der direkte Einstieg in ein DSGVO-konformes, vollständiges Tracking.