Was ist Tracking? — Methoden, Datenschutz und Alternativen

Was bedeutet Tracking?

Tracking beschreibt die Erfassung und Auswertung des Nutzerverhaltens auf Websites. Wenn Sie eine Website besuchen, können verschiedene Technologien erfassen, welche Seiten Sie aufrufen, wie lange Sie verweilen, woher Sie kommen und welche Aktionen Sie durchführen. Für Website-Betreiber liefert Tracking wertvolle Erkenntnisse — gleichzeitig bestehen datenschutzrechtliche Anforderungen, die beachtet werden sollten.

Warum wird Tracking eingesetzt?

Website-Betreiber nutzen Tracking für verschiedene Zwecke:

• Webanalyse: Welche Seiten werden besucht? Wo steigen Nutzer aus? Wie finden Besucher die Website?
• Conversion-Tracking: Wird eine gewünschte Aktion durchgeführt (Kauf, Anmeldung, Kontaktanfrage)?
• Personalisierung: Inhalte und Empfehlungen an das Nutzerverhalten anpassen
• Werbung: Zielgerichtete Anzeigen auf Basis des Nutzerverhaltens (Retargeting)
• Fehlerbehebung: Technische Probleme identifizieren (lange Ladezeiten, Fehlerseiten)

Tracking-Methoden im Überblick

Cookies

Cookies sind kleine Textdateien, die im Browser des Nutzers gespeichert werden. Sie sind die bekannteste Tracking-Methode und werden in zwei Kategorien unterteilt:

• First-Party-Cookies: Werden von der besuchten Website selbst gesetzt. Beispiele: Session-Cookie für den Login, Warenkorb-Cookie, Spracheinstellung. Technisch notwendige First-Party-Cookies erfordern gemäß § 25 TDDDG Abs. 2 keine Einwilligung
• Third-Party-Cookies: Werden von Drittanbietern gesetzt — etwa Google Analytics, Facebook Pixel oder Werbenetzwerke. Diese erfordern nach § 25 TDDDG Abs. 1 in der Regel eine vorherige Einwilligung

Hinweis: Die großen Browser-Hersteller schränken Third-Party-Cookies zunehmend ein. Google Chrome hat angekündigt, Third-Party-Cookies schrittweise zu begrenzen. Safari und Firefox blockieren sie bereits standardmäßig.

Browser-Fingerprinting

Beim Browser-Fingerprinting werden technische Merkmale des Browsers und Geräts erfasst, um einen möglichst eindeutigen “Fingerabdruck” zu erstellen — ohne Cookies zu setzen. Erfasste Merkmale können sein:

• Browser-Version und installierte Plugins
• Bildschirmauflösung und Farbtiefe
• Betriebssystem und Sprache
• Installierte Schriftarten
• WebGL-Rendering und Canvas-Daten

Auch wenn keine Cookies gesetzt werden, kann Browser-Fingerprinting unter § 25 TDDDG fallen, da auf Informationen des Endgeräts zugegriffen wird. Die datenschutzrechtliche Bewertung ist noch nicht abschließend geklärt, die Tendenz der Aufsichtsbehörden geht jedoch in Richtung Einwilligungspflicht.

Tracking-Pixel (Zählpixel)

Ein Tracking-Pixel ist ein unsichtbares Bild (typischerweise 1×1 Pixel), das beim Laden einer Seite eine Anfrage an einen Server sendet. Dabei werden unter anderem IP-Adresse, Zeitpunkt und Seitenaufruf erfasst. Tracking-Pixel werden häufig eingesetzt von:

• E-Mail-Marketing-Tools (Öffnungsrate messen)
• Werbenetzwerken (Conversion-Tracking)
• Social-Media-Plattformen (Facebook Pixel, LinkedIn Insight Tag)

Da Tracking-Pixel in der Regel personenbezogene Daten übertragen (mindestens die IP-Adresse), ist eine Einwilligung in den meisten Fällen erforderlich.

URL-Parameter (UTM-Tracking)

UTM-Parameter (z. B. ?utm_source=newsletter&utm_medium=email) werden an URLs angehängt, um die Herkunft eines Besuchers zu erfassen. Diese Methode setzt keine Cookies auf dem Endgerät des Nutzers und wird vom Webserver ausgewertet.

UTM-Tracking gilt in der Regel als weniger datenschutzrechtlich problematisch, da keine Informationen auf dem Endgerät gespeichert werden. Dennoch sollten die erfassten Daten in der Datenschutzerklärung erwähnt werden, insbesondere wenn sie mit anderen Daten verknüpft werden.

Server-seitiges Tracking

Beim Server-seitigen Tracking wird die Erfassung vom Browser des Nutzers auf den eigenen Server verlagert. Statt JavaScript im Browser auszuführen, werden Seitenaufrufe und Ereignisse direkt auf dem Server protokolliert.

Vorteile:

• Wird nicht von Ad-Blockern blockiert
• Vollständigere Daten (keine Browser-seitigen Einschränkungen)
• Mehr Kontrolle über die verarbeiteten Daten

Server-seitiges Tracking entzieht sich nicht der DSGVO: Wenn personenbezogene Daten verarbeitet werden (z. B. IP-Adressen), gelten die gleichen Anforderungen an Rechtsgrundlage und Transparenz.

Local Storage und Session Storage

Neben Cookies können Websites auch den Local Storage und Session Storage des Browsers nutzen, um Daten lokal zu speichern. Local Storage hat keine automatische Ablaufzeit und kann größere Datenmengen aufnehmen als Cookies.

Auch der Zugriff auf Local Storage fällt unter § 25 TDDDG und erfordert für nicht technisch notwendige Zwecke eine Einwilligung.

Datenschutzrechtliche Anforderungen

§ 25 TDDDG: Zugriff auf das Endgerät

Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, ehemals TTDSG) regelt in § 25 den Zugriff auf Informationen des Endgeräts. Grundsatz: Jeder Zugriff erfordert eine Einwilligung — es sei denn, er ist technisch notwendig.

In der Praxis bedeutet das:

*Voraussetzung: Kein Zugriff auf das Endgerät, keine personenbezogenen Daten

DSGVO: Personenbezogene Daten beim Tracking

Sobald durch Tracking personenbezogene Daten verarbeitet werden — und das ist bei den meisten Methoden der Fall — gelten zusätzlich die Anforderungen der DSGVO:

• Rechtsgrundlage: Gemäß Art. 6 DSGVO wird eine Rechtsgrundlage benötigt. Für die meisten Tracking-Zwecke kommt die Einwilligung (lit. a) in Betracht
• Transparenz: Die Datenschutzerklärung muss über Art, Zweck und Umfang des Trackings informieren
• Datenminimierung: Gemäß Art. 5 DSGVO dürfen nur so viele Daten erhoben werden, wie für den Zweck erforderlich
• Drittlandtransfer: Wenn Tracking-Daten an Server außerhalb der EU übermittelt werden (z. B. Google in den USA), gelten die Anforderungen von Art. 44 ff. DSGVO

Cookie Banner und Consent Management

Wer einwilligungspflichtiges Tracking einsetzt, benötigt ein Cookie Banner mit:

• Aktiver Einwilligung (kein Opt-out, keine vorausgewählten Checkboxen)
• Gleichwertiger Ablehnungsmöglichkeit
• Granularer Auswahl nach Kategorien
• Widerrufsmöglichkeit

Details zur korrekten Umsetzung finden sich im Ratgeber zum DSGVO-konformen Cookie Banner.

Cookielose Alternativen

Wer den datenschutzrechtlichen Aufwand reduzieren und möglicherweise auf ein Cookie Banner verzichten möchte, kann auf cookielose Analyse-Tools umsteigen.

Plausible Analytics

Plausible ist ein EU-basiertes Analyse-Tool, das ohne Cookies und ohne personenbezogene Datenverarbeitung funktioniert. Es bietet grundlegende Metriken wie Seitenaufrufe, Verweildauer und Besucherquellen — ausreichend für die meisten KMU-Websites. Da kein Zugriff auf das Endgerät des Nutzers erfolgt, ist in der Regel kein Cookie Banner erforderlich.

Matomo (cookielose Konfiguration)

Matomo kann self-hosted und in einer cookielosen Konfiguration betrieben werden. In diesem Modus werden keine Cookies gesetzt und IP-Adressen anonymisiert. Die Daten verbleiben auf dem eigenen Server.

Vorteile cookieloser Analyse

• Kein Cookie Banner nötig — bessere Nutzererfahrung
• Vollständigere Daten (kein Datenverlust durch Banner-Ablehnung)
• Weniger rechtliches Risiko
• Schnellere Ladezeiten (keine CMP-Skripte)
• Vereinfachte DSGVO-Compliance

Tracking erkennen und prüfen

Für Website-Besucher

Wer wissen möchte, welche Tracking-Methoden eine Website einsetzt, kann folgende Tools nutzen:

• Browser-Entwicklertools (F12): Unter “Application” > “Cookies” und “Storage” die gesetzten Cookies einsehen. Unter “Network” ausgehende Anfragen an Tracking-Dienste identifizieren
• Browser-Erweiterungen: uBlock Origin, Privacy Badger oder Ghostery machen aktive Tracker sichtbar
• Online-Tools: Verschiedene Online-Scanner prüfen Websites auf eingesetzte Tracking-Technologien

Für Website-Betreiber

Wer die eigene Website auf Tracking-Konformität prüfen möchte, sollte:

1. Alle eingesetzten Tracking-Technologien dokumentieren
2. Prüfen, ob für jede Methode eine Rechtsgrundlage vorliegt
3. Das Cookie Banner auf korrekte Funktionalität testen (werden Cookies erst nach Einwilligung gesetzt?)
4. Die Datenschutzerklärung auf Vollständigkeit prüfen
5. Regelmäßige Überprüfung einrichten — neue Plugins oder eingebettete Inhalte können unbemerkt Tracking einführen

Checkliste: Tracking datenschutzkonform einsetzen

• Alle Tracking-Methoden auf der Website dokumentieren
• Für jede Methode die Rechtsgrundlage nach Art. 6 DSGVO bestimmen
• Cookie Banner für einwilligungspflichtige Technologien einrichten
• Datenschutzerklärung mit Angaben zu Tracking aktualisieren
• Prüfen: Werden Tracking-Skripte erst nach Einwilligung geladen?
• Cookielose Alternativen für Webanalyse evaluieren
• Bei Drittlandtransfer: Rechtsgrundlage nach Art. 44 ff. DSGVO prüfen
• Regelmäßige Überprüfung: Welche Tracker sind tatsächlich aktiv?

Häufige Fragen

Ist Tracking auf Websites erlaubt?

Tracking ist grundsätzlich möglich, erfordert aber in den meisten Fällen eine vorherige Einwilligung. Laut § 25 TDDDG ist der Zugriff auf das Endgerät des Nutzers nur mit aktiver Zustimmung zulässig, sofern er nicht technisch notwendig ist. Wer auf einwilligungsfreie Analyse-Tools wie Plausible setzt, kann unter Umständen auf ein Cookie Banner verzichten.

Welche Tracking-Methoden gibt es?

Zu den verbreiteten Methoden gehören: Cookies (First-Party und Third-Party), Browser-Fingerprinting, Tracking-Pixel, URL-Parameter (UTM), Server-seitiges Tracking und Local Storage. Jede Methode hat unterschiedliche datenschutzrechtliche Anforderungen. Detaillierte Informationen zu den gesetzlichen Grundlagen finden sich in der DSGVO-Checkliste für Websites.

Wie kann ich Tracking auf einer Website erkennen?

In den Browser-Entwicklertools (F12) unter “Application” > “Cookies” lassen sich gesetzte Cookies einsehen. Unter “Network” können ausgehende Anfragen an Tracking-Dienste identifiziert werden. Ergänzend gibt es Browser-Erweiterungen wie uBlock Origin oder Privacy Badger, die Tracker sichtbar machen. Für Website-Betreiber empfiehlt sich eine regelmäßige technische Überprüfung.

Gibt es Tracking ohne Cookies?

Ja. Server-seitiges Tracking, Browser-Fingerprinting und cookielose Analyse-Tools wie Plausible oder Matomo (cookielose Konfiguration) funktionieren ohne klassische Cookies. Dabei ist zu beachten, dass auch cookieloses Tracking datenschutzrechtlich relevant sein kann — insbesondere wenn personenbezogene Daten verarbeitet werden. Empfehlenswert ist, die Datenschutzerklärung auch für cookieloses Tracking zu aktualisieren.