Datenschutzkonformes Conversion Tracking

Tracking und Datenschutz: Kein Widerspruch

Die Datenschutz-Grundverordnung (DSGVO) hat die Regeln für Conversion Tracking in der EU grundlegend verändert. Viele Shop-Betreiber stehen vor der Frage: Wie kann ich meine Werbekampagnen effektiv messen, ohne gegen Datenschutzvorschriften zu verstoßen? Die Antwort liegt in einem durchdachten Ansatz, der Technik und Recht verbindet.

DSGVO-Anforderungen an Conversion Tracking

Die DSGVO stellt konkrete Anforderungen an die Verarbeitung personenbezogener Daten im Kontext von Conversion Tracking:

Rechtsgrundlage

Für Conversion Tracking ist in der Regel eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich. Dies wird durch die ePrivacy-Richtlinie (umgesetzt im TTDSG) bestätigt: Das Setzen und Auslesen von Cookies, die nicht technisch notwendig sind, erfordert eine informierte Einwilligung des Nutzers.

Transparenz

Nutzer müssen klar und verständlich darüber informiert werden, welche Daten zu welchem Zweck erhoben werden (Art. 13 DSGVO). Die Datenschutzerklärung muss die eingesetzten Tracking-Technologien benennen und erklären.

Datenminimierung

Es dürfen nur die Daten erhoben werden, die für den Zweck tatsächlich erforderlich sind (Art. 5 Abs. 1 lit. c DSGVO). Beim Conversion Tracking bedeutet das: Nur die Informationen senden, die für die Attribution der Conversion tatsächlich notwendig sind.

Auftragsverarbeitung

Wenn ein Drittanbieter (wie ein Tracking-Tool) personenbezogene Daten verarbeitet, ist eine Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 DSGVO erforderlich. Diese regelt die Pflichten des Auftragsverarbeiters und die Rechte des Verantwortlichen.

Consent Management: Die Grundlage

Ein rechtskonformes Cookie-Consent-Banner ist die Basis für datenschutzkonformes Tracking. Die Anforderungen sind klar:

• Die Einwilligung muss aktiv erfolgen (kein Pre-Checking von Checkboxen)
• Die Ablehnung muss genauso einfach sein wie die Zustimmung
• Die Einwilligung muss widerrufbar sein
• Vor der Einwilligung dürfen keine nicht-notwendigen Cookies gesetzt werden
• Die Einwilligungen müssen dokumentiert und nachweisbar sein

Server-Side Tracking als datenschutzfreundliche Alternative

Server-Side Tracking bietet gegenüber Browser-Tracking mehrere datenschutzrelevante Vorteile:

Datenkontrolle

Beim Server-Side Tracking laufen alle Daten über den eigenen Server. Der Shop-Betreiber hat volle Kontrolle darüber, welche Informationen an welche Plattform weitergegeben werden. Im Gegensatz zum Browser-Pixel, das oft unkontrolliert Daten an den Plattform-Server sendet, kann beim Server-Side Ansatz jedes einzelne Datenelement gefiltert werden.

PII Hashing

Personenbezogene Daten wie E-Mail-Adressen oder Telefonnummern können vor der Weitergabe an Werbeplattformen gehasht werden. Die Plattformen können die gehashten Daten für das Matching verwenden, ohne die Klardaten zu erhalten. Dies entspricht dem Grundsatz der Datenminimierung.

Consent-Respektierung

Server-Side Tracking kann den Consent-Status des Nutzers respektieren. Wenn ein Nutzer dem Tracking nicht zugestimmt hat, werden keine Events an die Werbeplattformen gesendet. Dies lässt sich serverseitig zuverlässiger umsetzen als im Browser, wo Ad-Blocker oder Script-Fehler die Consent-Prüfung umgehen können.

Keine Third-Party-Cookies

Server-Side Tracking arbeitet ausschließlich mit First-Party-Daten und benötigt keine Third-Party-Cookies. Das ist nicht nur datenschutzfreundlicher, sondern auch zukunftssicher, da Third-Party-Cookies von allen großen Browsern sukzessive eingeschränkt oder komplett blockiert werden.

AVV: Die vertragliche Absicherung

Wenn ein Tracking-Anbieter personenbezogene Daten im Auftrag verarbeitet, ist eine AVV zwingend erforderlich. Die AVV sollte folgende Punkte regeln:

• Art und Zweck der Datenverarbeitung
• Kategorien betroffener Personen und personenbezogener Daten
• Technische und organisatorische Maßnahmen (TOMs)
• Regelungen zu Unterauftragsverarbeitern
• Löschkonzept und Aufbewahrungsfristen
• Unterstützung bei Betroffenenrechten

Best Practices für datenschutzkonformes Tracking

• Consent-First: Tracking erst nach Einwilligung aktivieren. Keine Events vor Consent senden.
• Server-Side bevorzugen: Server-Side Tracking gibt mehr Kontrolle über die Datenflüsse und ermöglicht Privacy-by-Design.
• Datenminimierung umsetzen: Nur die Daten senden, die für die Attribution tatsächlich erforderlich sind.
• PII hashen: Personenbezogene Daten vor der Weitergabe an Werbeplattformen hashen.
• Deutsche/EU Server nutzen: Tracking-Daten sollten auf Servern innerhalb der EU verarbeitet werden, um Drittlandtransfer-Problematiken zu vermeiden.
• AVV abschließen: Mit jedem Tracking-Anbieter eine AVV abschließen und aktuell halten.
• Löschfristen definieren: Event-Daten nur so lange speichern wie nötig.
• Dokumentieren: Alle Verarbeitungstätigkeiten im Verzeichnis nach Art. 30 DSGVO dokumentieren.

Fazit

Conversion Tracking und DSGVO lassen sich vereinbaren — mit der richtigen Umsetzung. Server-Side Tracking, kombiniert mit einem sauberen Consent Management und durchdachten Datenschutzmaßnahmen, ermöglicht präzises Conversion Tracking bei gleichzeitiger Einhaltung aller Datenschutzanforderungen. Der Schlüssel liegt in der Kontrolle: Wer die Datenflüsse kontrolliert, kann Datenschutz und Tracking-Qualität gleichzeitig gewährleisten.