Zum Inhalt springen
DSGVO15. Juli 202611 min

Server-Side Tracking für Shopify: Der DSGVO-Guide

Wie du Server-Side Tracking in deinem Shopify-Shop datenschutzkonform aufsetzt — von der Einwilligung über das Cookie-Banner bis zur Datenminimierung. Ein praxisorientierter Einrichtungs-Guide.

Server-Side Tracking datenschutzkonform aufsetzen: Worum es geht

Server-Side Tracking löst die Datenverlust-Probleme des klassischen Browser-Trackings — doch die Einrichtung wirft eigene Datenschutzfragen auf. Dieser Guide zeigt Schritt für Schritt, wie du Server-Side Tracking in deinem Shopify-Shop so aufsetzt, dass der Datenschutz von Anfang an mitgedacht ist (Privacy by Design). Während unser Grundlagen-Artikel klärt, was datenschutzkonformes Tracking überhaupt bedeutet, geht es hier um die konkrete Reihenfolge der Einrichtung.

Wichtig vorab zur Rollenverteilung: Verantwortlicher im Sinne der DSGVO (Art. 4 Nr. 7 DSGVO) bleibst du als Shop-Betreiber — du bestimmst die Zwecke und Mittel der Verarbeitung und holst die Einwilligung deiner Endkunden ein. Eine Tracking-Lösung wie ShopiPixel agiert dabei als Auftragsverarbeiter gemäß Art. 28 DSGVO auf deine Weisung. Diese Rollenverteilung bestimmt, wer für welchen Schritt zuständig ist.

Schritt 1: Die Rechtsgrundlage klären

Bevor ein einziges Event fließt, steht die Rechtsgrundlage. Für Conversion Tracking ist in der Regel eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich. Das wird durch § 25 TDDDG bestätigt: Das Setzen und Auslesen von Informationen auf dem Endgerät des Nutzers, die nicht technisch notwendig sind, erfordert eine informierte Einwilligung.

Parallel dazu greift die Informationspflicht: Nutzer müssen klar und verständlich darüber informiert werden, welche Daten zu welchem Zweck erhoben werden (Art. 13 DSGVO). Diese Informationspflicht gegenüber den Endkunden obliegt dir als Verantwortlichem, nicht dem Auftragsverarbeiter.

Server-Side ändert die Rechtsgrundlage nicht

Ein häufiges Missverständnis: Server-Side Tracking bedeute, man könne ohne Einwilligung tracken. Das ist nicht der Fall. Da weiterhin personenbezogene Daten verarbeitet und an Werbeplattformen übermittelt werden, bleibt die Einwilligungspflicht bestehen. Server-Side verbessert die technische Umsetzung und die Kontrolle über die Datenflüsse — es ersetzt aber nicht die Rechtsgrundlage.

Schritt 2: Einwilligung und Cookie-Banner einrichten

Ein rechtskonformes Cookie-Consent-Banner ist die Basis für datenschutzkonformes Tracking. Die zentralen Anforderungen sind klar:

  • Die Einwilligung muss aktiv erfolgen (kein Pre-Checking von Checkboxen)
  • Die Ablehnung muss genauso einfach sein wie die Zustimmung
  • Die Einwilligung muss widerrufbar sein
  • Vor der Einwilligung dürfen keine nicht-notwendigen Cookies gesetzt werden
  • Die Einwilligungen müssen dokumentiert und nachweisbar sein

Die Shopify Customer Privacy API als Consent-Brücke

In Shopify läuft der Einwilligungs-Status über die Customer Privacy API. Der Vorteil beim Server-Side Ansatz: ShopiPixel respektiert diese Signale automatisch — Events werden nur gesendet, wenn der Kunde zugestimmt hat. Die Einwilligung deiner Shop-Besucher verwaltest du wie gewohnt über dein Consent-Tool, und das Tracking richtet sich nach diesem Status.

Damit du sicher weißt, dass die Consent-Signale in deinem Shop tatsächlich ankommen, führt dich das Onboarding durch die Einrichtung deines Cookie-Banners und prüft per Live-Test, ob ein Consent-Signal in deinem Shop registriert wird. So erkennst du sofort, ob ohne Banner in der EU keine Daten erfasst würden.

Schritt 3: Browser-Tracking und Server-Side rechtlich einordnen

Beide Methoden verarbeiten personenbezogene Daten — der Unterschied liegt in der Kontrolle. Beim Browser-Pixel werden oft unkontrolliert Daten an den Plattform-Server gesendet. Beim Server-Side Ansatz laufen alle Daten zunächst über den eigenen Server, sodass sich jedes einzelne Datenelement filtern lässt, bevor es die Plattform erreicht.

Warum Server-Side die Consent-Prüfung zuverlässiger macht

Server-Side Tracking kann den Consent-Status des Nutzers zuverlässiger durchsetzen als das Browser-Tracking. Hat ein Nutzer dem Tracking nicht zugestimmt, werden keine Events an die Werbeplattformen gesendet. Serverseitig lässt sich das robuster umsetzen als im Browser, wo Ad-Blocker oder Script-Fehler die Consent-Prüfung umgehen können.

Schritt 4: Datenminimierung und Hashing

Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) verlangt, dass nur die Daten erhoben werden, die für den Zweck tatsächlich erforderlich sind. Beim Conversion Tracking heißt das: nur die Informationen senden, die für die Attribution der Conversion wirklich notwendig sind.

PII-Hashing vor der Übermittlung

Personenbezogene Daten wie E-Mail-Adressen oder Telefonnummern können vor der Weitergabe an Werbeplattformen mit SHA-256 gehasht werden. Die Plattformen verwenden die gehashten Daten für das Matching, ohne die Klardaten zu erhalten. Das entspricht dem Grundsatz der Datenminimierung und ist beim Server-Side Ansatz ein fester Bestandteil des Datenflusses.

Consent Mode für Google

Für Google unterstützt ShopiPixel den Google Consent Mode v2 mit den Signalen „Ad User Data“ und „Ad Personalization“, die automatisch an Google Analytics 4 und Google Ads übermittelt werden. Für Besucher ohne Marketing-Einwilligung lässt sich optional ein anonymes Signal aktivieren — ohne personenbezogene Daten und ohne IP-Adresse. Google nutzt es ausschließlich, um aggregierte Conversions zu schätzen (Consent Mode Modeling). Diese Funktion ist standardmäßig deaktiviert und greift erst nach ausdrücklicher Aktivierung.

Schritt 5: EU-Hosting und Auftragsverarbeitung

Tracking-Daten sollten auf Servern innerhalb der EU verarbeitet werden, um Drittlandtransfer-Problematiken zu vermeiden. ShopiPixel setzt hierfür auf deutsche Server, sodass die Datenverarbeitung innerhalb der EU stattfindet.

Auftragsverarbeitungsvertrag (AVV) abschließen

Wenn ein Tracking-Anbieter personenbezogene Daten im Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich. Er sollte folgende Punkte regeln:

  • Art und Zweck der Datenverarbeitung
  • Kategorien betroffener Personen und personenbezogener Daten
  • Technische und organisatorische Maßnahmen (TOMs)
  • Regelungen zu Unterauftragsverarbeitern
  • Löschkonzept und Aufbewahrungsfristen
  • Unterstützung bei Betroffenenrechten

Schritt 6: Dokumentation und Nachweis

Zum Abschluss steht die Nachweisbarkeit. Alle Verarbeitungstätigkeiten sollten im Verzeichnis nach Art. 30 DSGVO dokumentiert werden. Die Einwilligungen selbst werden protokolliert, um der Nachweispflicht nach Art. 7 Abs. 1 DSGVO und § 25 TDDDG zu genügen. Ergänzend erfüllt ein internes Audit-Log die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Definiere außerdem Löschfristen, damit Event-Daten nur so lange gespeichert werden wie nötig.

Checkliste: Server-Side Tracking DSGVO-sauber aufsetzen

  1. Rechtsgrundlage klären (Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, § 25 TDDDG) und Rollen festlegen (Verantwortlicher vs. Auftragsverarbeiter).
  2. Cookie-Banner einrichten (aktive Einwilligung, einfache Ablehnung, Widerruf) und per Live-Test prüfen, ob das Consent-Signal ankommt.
  3. Tracking Consent-First betreiben: keine Events vor der Einwilligung senden.
  4. Datenminimierung umsetzen und personenbezogene Daten vor der Übermittlung hashen (SHA-256).
  5. Für Google den Consent Mode v2 nutzen; anonymes Modeling-Signal nur bewusst aktivieren.
  6. Tracking-Daten auf EU-Servern verarbeiten lassen und Drittlandtransfer vermeiden.
  7. Auftragsverarbeitungsvertrag (Art. 28 DSGVO) abschließen und aktuell halten.
  8. Verarbeitungstätigkeiten dokumentieren (Art. 30 DSGVO), Einwilligungen protokollieren und Löschfristen definieren.

Fazit

Server-Side Tracking und DSGVO lassen sich vereinbaren — mit der richtigen Reihenfolge bei der Einrichtung. Der Schlüssel liegt in der Kontrolle: Wer die Datenflüsse kontrolliert, kann Datenschutz und Tracking-Qualität gleichzeitig gewährleisten. ShopiPixel ist für den DSGVO-konformen Einsatz konzipiert — mit deutschen Servern, AVV inklusive und PII-Hashing vor jeder Übermittlung. Die Einwilligung deiner Shop-Besucher verwaltest du wie gewohnt über dein Consent-Tool, und ShopiPixel respektiert die Consent-Signale.

Weiterführende Ressourcen

Quellen und Hinweis: Dieser Beitrag verweist auf die Datenschutz-Grundverordnung (DSGVO), das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) sowie die Dokumentation der Shopify Customer Privacy API und des Google Consent Mode v2. Die hier bereitgestellten Informationen dienen ausschließlich der allgemeinen Orientierung und ersetzen keine individuelle Rechtsberatung. Für eine rechtskonforme Umsetzung, insbesondere zu den Anforderungen der DSGVO und des TDDDG, empfehlen wir die Konsultation eines spezialisierten Rechtsanwalts.