Acht Mythen des Server Side Trackings

Server Side Tracking übermittelt anders als beim Client Side Tracking keine Nutzerinteraktionen direkt aus dem Browser oder der nativen App an die genutzten Analytics Tools, sondern schaltet einen Server (Proxy) zwischen. Ziel ist es, den unmittelbaren Datenaustausch zwischen den Geräten der Nutzer und den Tracking-Diensten zu vermeiden. Stattdessen werden die Daten über die Domain des Unternehmens erfasst und an den Proxy gesendet, der die Informationen vorverarbeitet, indem er etwa die IP-Adresse kürzt oder nutzerbezogene IDs entfernt. Erst dann gelangen die anonymisierten oder pseudonymisierten Daten an die vom Unternehmen genutzten Analyse- oder Werbesysteme. Die erfassten Daten lassen sich also so weit modifizieren und einschränken, dass nur die nötigsten Informationen an diese Tools weitergegeben werden, um die EU-Datenschutzvorgaben zu wahren.

Das sind die Fakten zum serverseitigen Tracking. Doch ringsherum ranken sich etliche Mythen, von den sich einige hartnäckig halten.

Mythos #1: Server Side Tracking ist wie First-Party-Tracking

Der erste und wohl gravierendste Mythos zum serverseitigen Tracking ist der Irrglaube, es handele sich um einen „eigenen“ zwischengeschalteten Tracking-Server. Denn „eigen“ heißt nur, dass dieser unter der Unternehmensdomain läuft, zum Beispiel data.meinshop.de für meinshop.de. Dabei gehört er in der Regel einem Drittanbieter, das Unternehmen betreibt den Server nicht selbst. Oftmals sind es Tag Management Systeme (TMS), die eine derartige Proxy-Funktion erfüllen, aber von einem Drittanbieter betrieben werden. Es handelt sich also eher um eine Verschleierung dieses zwischengeschalteten Systems. Somit sieht es zwar aus wie First-Party-Tracking, ist aber faktisch Third-Party-Tracking.

Mythos #2: Ad- und Tracking-Blockern lassen sich umgehen

Heutzutage setzen laut Statista über 35 Prozent der Internet-Nutzer Browser-Plugins wie Ad- und Tracking-Blocker ein, erfahrungsgemäß sind allerdings nur 10 bis 20 Prozent – was immer noch viel ist, und die Datenbasis reduziert. Durch die Proxy-Verschleierung lassen sich unter Umständen einige Plugins und sogar manche browserseitigen ITP-Technologien umgehen, aber sicher nicht alle: Zahlreiche Anti-Tracking-Mechanismen erkennen serverseitiges Tracking ebenso gut wie clientseitiges Tracking. Hier gilt es, zu jeder Zeit mit technologischen Innovationen zu rechnen.

Mythos #3:   Sie behalten stets die Datenhoheit

Zwar haben Marketer über die Proxy-Konfigurationen die Hoheit darüber, welche Daten sie an die Tracking- und Werbesysteme übermitteln, aber wenn der Tracking-Anbieter auf die Daten zugreifen oder sie sogar selbst zur websiteübergreifenden Profilbildung oder eigenen Marketingzwecken nutzen kann, ist die Datenhoheit nur ein Schein: Die Kontrolle über die erhobenen Daten hat dann der Proxy-Anbieter. Der Online-Marketer verfügt über keinerlei Einfluss oder Kontrollmöglichkeiten in Bezug auf die Datenverwertung, sobald der Tracking-Anbieter diese für eigene Zwecke nutzt. Marketer müssen also explizit darauf achten, wer die Daten am Ende wie verarbeitet. Das müssen Webseitenbetreiber dann auch gegenüber den Nutzern transparent darlegen.

Mythos #4: Sie benötigen keine Einwilligung

Die Einwilligung der Nutzer wäre nur dann obsolet, wenn das Tracking

  1. a) keine Daten von den Endgeräten, wie beispielsweise die Bildschirmauflösung, auslesen,
  2. b) auch keine Cookies oder ähnliche Techniken zur Wiedererkennung der Nutzer einsetzen und
  3. c) das Tracking-System die Daten nicht zu eigenen Zwecken verwenden würde.

Wird aber wie beim Google Tag Manager die Bildschirmauflösung standardmäßig erfasst, ist bereits eine Einwilligung erforderlich. Ebenfalls einwilligungspflichtig ist es, wenn der Tracking-Anbieter die Daten für eigene Zwecke verwendet oder die Informationen über verschiedene Webseiten hinweg verknüpft. Das Problem mit der Einwilligung: Laut Consent-Studie 2023 von etracker liegt die Einwilligungsrate bei rechtskonformer Consent-Gestaltung bei nur 17 Prozent, was die Grundlage für datengetriebenes Marketing erheblich reduziert.

Mythos #5: Die Anonymisierung macht das serverseitige Tracking rechtskonform

Eine vollständige Anonymisierung umfasst laut Rechtsprechung des Europäischen Gerichtshofs (EuGH), dass jegliche Rückverfolgbarkeit auf die betroffene Person durch den Datenverarbeiter unmöglich sein muss. Folglich müssten neben der IP-Adresse auch sämtliche IDs – etwa Client-ID, Device-ID, User-ID und Session-IDs – und sogar der Zeitstempel gelöscht oder transformiert werden, um die Identifikation einer Person gänzlich auszuschließen. Dies ist in der Realität jedoch so nicht umsetzbar.

Mythos #6: Sie haben beste Datenqualität

Fataler noch als die Reduktion der Stichprobe ist die Verzerrung der Daten durch Einwilligungen (sog. Consent Bias). Nutzer sind generell sehr wechselhaft im Zustimmen oder Ablehnen von Cookies – anders als etwa bei der Wahl politischer Parteien: Nutzer stimmen dem Tracking heute spontan zu, lehnen es morgen aber auf derselben Website genauso spontan ab. Dieses inkonsistente Einwilligungsverhalten sorgt dafür, dass sich die Datenbasis verzerrt und sowohl Kampagnenerfolgsparameter als auch andere steuerungsrelevante KPI beliebig über- oder unterschätzt werden. Daran ändert auch ein serverseitiges Tracking nichts. Und auch, wenn Nutzer keine Ad- und Tracking-Blocker verwenden oder sich einige davon durch das Server Side Tracking umgehen lassen, bleibt die Problematik an sich bestehen: Die Consent-Pflicht beschneidet und verzerrt die Datenbasis soweit, dass eine gezielte Online-Steuerung unmöglich wird. Hinzu kommt, dass auch eine vollständige Anonymisierung, so wie Datenschützer sie fordern, die Webanalyse-Daten völlig unbrauchbar macht.

Mythos #7: Sie können weiterhin US-Dienste und Retargeting einsetzen

Ein Vorteil des serverseitigen Tracking bestand für viele Marketer darin, dass durch die serverseitige Anonymisierung und Pseudonymisierung – die ja in der Form gar nicht praktikabel ist –, den Anforderungen der DSGVO genüge getan war, um die erfassten Daten auch in den USA oder von einem US-Tool weiterverarbeiten zu dürfen. Mit dem seit Juli 2023 gültigen Data Privacy Framework scheint dies nun überflüssig. Dabei stehen Datenschützer bereits in den Startlöchern, um auch diesen Angemessenheitsbeschluss aufgrund seiner Widersprüchlichkeit zur Rechtslage zu kippen. Aber selbst mit dem Data Privacy Framework sind bestimmte Verfahren, zum Beispiel Retargeting, ohne Einwilligung des Nutzers aus Datenschutzgründen nicht gestattet.

Mythos #8: Server Side Tracking ist leicht zu implementieren und kostengünstig

Das genaue Gegenteil ist der Fall! Die Implementierung ist für Online-Marketer sehr aufwendig, da jedes Datum identifiziert werden muss, das modifiziert werden soll: von einfachen Nutzer-IDs über URLs, die beispielsweise Namen oder Nutzer-IDs enthalten, bis hin zu technischen Feinheiten wie Zeitstempeln oder IP-Anonymisierung, auch für das neue Internet Protokoll Version 6 (IPv6). Der Implementierungsaufwand entkräftet auch das Argument der Kostengünstigkeit: Viele Online-Marketer halten Server Side Tracking für ein Schnäppchen, weil sie damit eine kostenlose Tracking-Lösung nutzen können. Richtig ist aber, dass moderne Tracking-Systeme meist kostengünstiger sind als die Proxy-Lösung selbst und keiner komplexen Implementierung bedürfen. Obendrein machen sich Unternehmen beim serverseitigen Tracking vom Proxy-Anbieter abhängig. Doch was, wenn der Anbieter insolvent geht oder aufgekauft wird? Die Risiken eines Ausfalls oder einer erforderlichen Neuimplementierung lassen sich minimieren, wenn das Unternehmen auf einen seit Jahren etablierten Tracking-Anbieter statt auf ein „Serverside Startup“ setzt.

Fazit: Die hybride Wahrheit

Statt auf die Mythen des Server Side Tracking hereinzufallen, können Marketer es in eine hybride Lösung integrieren: Das heißt, sie kombinieren auf der Client-Seite ein einwilligungsfreies, cookie-loses und datenschutzkonformes Session-Tracking mit dem Tracking unter der eigenen Domain. So lassen sich Visits und Conversions zuverlässig erfassen – und zwar ohne Einwilligung –, während die serverseitige „Verschleierung“ Tracking-Blocker abwehrt. Dies maximiert die Stichprobe und gleichzeitig die Datenqualität. Somit können Online-Marketer auch die automatisierte Gebotssteuerung bei Google, Bing und Facebook via Upload mit datenschutzkonformen Conversion-Daten versorgen. Entscheidend für den Erfolg einer Hybridlösung ist jedoch das Tracking-System selbst, das genau folgende Anforderungen erfüllen muss:

  • Eine intelligente Vorverarbeitung der Conversion-Daten für den Upload in Werbesysteme bieten,
  • Tracking unter der Unternehmensdomain verorten,
  • Cookie-less Tracking gestatten,
  • Die langfristige Rechtssicherheit durch seinen EU-Standort gewährleisten.

Erst dann hält Server Side Tracking wirklich, was es verspricht!

Olaf Brandt

ist Geschäftsführer der etracker.

Roger Homrich

Recent Posts

Gefahren im Foxit PDF-Reader

Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.

2 Tagen ago

Bitdefender entdeckt Sicherheitslücken in Überwachungskameras

Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.

2 Tagen ago

Top-Malware in Deutschland: CloudEye zurück an der Spitze

Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…

2 Tagen ago

Podcast: „Die Zero Trust-Architektur ist gekommen, um zu bleiben“

Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…

3 Tagen ago

Google schließt weitere Zero-Day-Lücke in Chrome

Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…

3 Tagen ago

Hacker greifen Zero-Day-Lücke in Windows mit Banking-Trojaner QakBot an

Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…

3 Tagen ago