Datenschutz & Recht 6 Min Lesezeit

ePrivacy und Tracking im Online-Shop — was nach dem Cookie-Banner-Aus erlaubt bleibt

Shop-Tracking 2025 rechtssicher: TDDDG, DSA, Server-Side-Tracking, Consent Mode v2, First-Party-Cookies und Plausible. Was noch erlaubt ist und was nicht.

Bild: Carlos Muza · Unsplash License

Thorsten Heß
Thorsten Heß MOLOTOW Web Development

„Cookie-Banner sind tot, alle schalten auf Server-Side-Tracking um.” Solche Sätze hören wir seit Anfang 2025 fast täglich. Die Wahrheit ist leider ein bisschen anders. Cookie-Banner sind nicht tot, sondern nur weniger omnipräsent. Server-Side-Tracking löst nicht alle Datenschutzprobleme. Und was 2025 im Online-Shop an Tracking erlaubt ist, steht zu großen Teilen nach wie vor im guten alten TDDDG — nur dass neue Bausteine wie die DSA und Consent Mode v2 die Spielregeln beeinflussen.

Wir sind MOLOTOW Web Development aus Lahr im Schwarzwald und beraten Shop-Betreiber zum Zusammenspiel von Recht, Technik und Messbarkeit. Dieser Beitrag erklärt, was 2025 realistisch geht — und was trotz aller Beratungsversprechen immer noch nicht.

Die Rechtsgrundlagen — kurz und bündig

Zwei Ebenen spielen zusammen, und zwar in dieser Reihenfolge:

  1. § 25 TDDDG (ehemals TTDSG) regelt den Zugriff auf das Endgerät. Bevor Du auf dem Rechner Deines Besuchers etwas speicherst oder ausliest — egal ob Cookie, LocalStorage, Pixel, Fingerprint —, brauchst Du eine Einwilligung. Ausgenommen sind nur technisch unbedingt erforderliche Zugriffe (Warenkorb, Login-Session).
  2. DSGVO Art. 6 regelt die Verarbeitung der Daten, sobald sie zu Dir gekommen sind. Tracking, Profilbildung und Conversion-Messung stützen sich hier meist auf Einwilligung (Art. 6 Abs. 1 lit. a), manchmal auf berechtigtes Interesse (lit. f) — das aber deutlich seltener als Marketing-Blogs suggerieren.

Zusätzlich seit 2024 relevant: Der Digital Services Act (DSA) mit seinen Transparenzpflichten und dem Verbot zielgerichteter Werbung gegenüber Minderjährigen, sowie die europäische Rechtsprechung zu Consent-Formen, die den DSK-Maßstab verschärft hat.

Wer hier tiefer einsteigen will, findet in unserem Beitrag Cookie-Banner 2025 — die aktuelle Rechtslage den Hintergrund zur Einwilligung.

Server-Side-Tracking — was es löst und was nicht

Server-Side-Tracking wird oft als „Wundermittel” verkauft. Die Idee: Nicht der Browser des Besuchers schickt die Daten direkt an Google oder Meta, sondern Dein Server. Das hat ein paar echte Vorteile:

  • Adblocker-Resistenz: Ohne direkten Meta-Pixel-Request kommt der Blocker nicht so leicht dazwischen.
  • Datenkontrolle: Du entscheidest, welche Parameter Du an Dritte weitergibst.
  • Performance: Kein schweres Client-Skript, das Deine Core Web Vitals drückt.

Was es nicht löst: Die TDDDG-Pflicht besteht trotzdem, wenn irgendwo ein Cookie, eine Client-ID oder ein Fingerprint beteiligt ist. Und die DSGVO-Verarbeitung bleibt zustimmungspflichtig, wenn die Daten am Ende bei Google oder Meta landen und dort zur Zielgruppenbildung verwendet werden. Ein serverseitiger Google-Tag-Manager, der exakt dieselben Events an Google Analytics schickt, ist nicht magisch einwilligungsfrei.

Kurz: Server-Side-Tracking ist ein technischer Fortschritt, kein rechtlicher Blankoscheck.

First-Party-Cookies und die Illusion der Unsichtbarkeit

First-Party-Cookies klingen unverfänglich, weil sie auf Deiner Domain gesetzt werden. Juristisch macht das keinen Unterschied: § 25 TDDDG fragt nicht, ob der Cookie von Google oder von Dir stammt, sondern ob er technisch unbedingt erforderlich ist. Ein First-Party-Analytics-Cookie ist also genauso einwilligungspflichtig wie ein Third-Party-Cookie — wenn er zur Messung, Profilbildung oder Reichweiten-Analyse dient.

Die einzige Ausnahme: Cookies, die für die Kernfunktion der Seite zwingend nötig sind. Warenkorb, Login, Sprachwahl, Consent-Status. Alles andere: Einwilligung.

Consent Mode v2 — Google macht Druck

Seit März 2024 verlangt Google für den EWR den Consent Mode v2, um Werbedaten (Google Ads, Floodlight) überhaupt noch verarbeiten zu dürfen. Im Kern sendet er zwei Signale: ad_storage und ad_user_data. Ohne Zustimmung werden nur aggregierte, anonyme Signale übertragen („modeled conversions”), mit Zustimmung die vollen Daten.

Für Shop-Betreiber heißt das praktisch:

  • Cookie-Banner muss Consent Mode v2 unterstützen. Borlabs Cookie, Cookiebot, Usercentrics, Klaro und Co. haben die Integration inzwischen. Alte DIY-Lösungen nicht unbedingt.
  • Modeled Conversions sind keine Einwilligung. Wer glaubt, man könne auf den Banner verzichten, weil Google ja „modeliert”, irrt. Auch modelled data braucht ein Consent-Signal im Tag — ohne Banner kein Signal.
  • Transparenz in der Datenschutzerklärung ist Pflicht: Welche Signale werden in welcher Form übertragen?

Saubere Alternativen: Plausible, Matomo und Co.

Wer wenig Aufwand und wenig Banner-Reibung will, setzt auf datenschutzfreundliche Analytics-Tools. Zwei haben sich in der Praxis bewährt:

  • Plausible Analytics: Open Source, EU-gehostet, cookiefrei. Keine personenbezogenen Daten, keine Einwilligung nötig — zumindest nach der klaren Mehrheitsmeinung der Landesdatenschutzbehörden. Für 80 Prozent der KMU-Shops völlig ausreichend.
  • Matomo im Cookieless-Modus mit IP-Anonymisierung und ohne Fingerprinting. Ebenfalls weitgehend einwilligungsfrei, selbst gehostet volle Datenhoheit.

Was Du damit verlierst: Die nahtlose Integration mit Google Ads, Retargeting-Audiences und Cross-Device-Attribution. Was Du gewinnst: Ruhe, Rechtssicherheit und ein deutlich schlankeres Setup.

Conversion-Tracking ohne Schleudertrauma

Wer Google Ads oder Meta schaltet, braucht Conversion-Daten. Pragmatisch und rechtskonform geht das 2025 so:

  1. Banner sauber aufsetzen — gleichwertiger Ablehnen-Button, Granularität nach Kategorie, Widerruf im Footer.
  2. Tag-Management mit Consent-Gate: Google Tag Manager, Matomo Tag Manager oder serverseitiger GTM feuern nur bei Einwilligung.
  3. Consent Mode v2 konfigurieren, um modeled conversions zu erlauben.
  4. Enhanced Conversions aktivieren (gehashte E-Mail-Adressen) für bessere Attribution — nur bei expliziter Einwilligung für Werbezwecke.
  5. Dokumentation: Datenschutzerklärung und Verzeichnis von Verarbeitungstätigkeiten aktuell halten.

Das ist nicht das Maximum, was messtechnisch geht — es ist das Maximum, was rechtssauber geht.

Was in der Praxis schiefläuft

Aus unseren Audits der letzten 18 Monate die häufigsten Fehler:

  • Tags feuern vor Consent: Meta-Pixel lädt schon im <head>, bevor der Banner überhaupt Zeit hatte.
  • „Technisch erforderlich” wird missverstanden: Retargeting ist nie technisch erforderlich, auch wenn ein Beratungsanbieter das behauptet.
  • Server-Side-GTM ohne rechtliche Prüfung: Der Request geht zwar vom Server, aber die Client-ID ist trotzdem da, und Google Analytics behandelt sie wie immer.
  • Kein Widerrufslink: Einwilligung ist einfach, Widerruf ist fummelig. Das ist rechtswidrig.
  • Datenschutzerklärung passt nicht zum Tool-Stack: Meta-Pixel wird beschrieben, im Banner taucht er gar nicht auf — oder umgekehrt.

Häufige Fragen

Darf ich Facebook-Conversion-API serverseitig nutzen?

Ja, aber nur mit expliziter Einwilligung. Die Conversion-API ist ein technischer Kanal, keine rechtliche Ausnahme. Meta wird die Daten im gleichen Umfang verarbeiten wie über den Pixel — die Einwilligungspflicht bleibt.

Reicht ein Hinweis in der Datenschutzerklärung?

Nein. Ein Hinweis informiert, aber er ersetzt keine Einwilligung. Ohne aktive Handlung des Nutzers vor dem ersten Tracking-Request ist die Verarbeitung rechtswidrig.

Was gilt für eingebettete YouTube-Videos und Google Maps?

Beides ist klassisch einwilligungspflichtig, weil im Moment des Aufrufs Daten an Google fließen. Lösung: Content-Blocker im Consent-Tool (Borlabs, Klaro) oder lokale Einbettung von Maps-Alternativen wie Leaflet mit OpenStreetMap.

Funktioniert berechtigtes Interesse als Rechtsgrundlage für Analytics?

Theoretisch ja, praktisch fast nie. Die Aufsichtsbehörden akzeptieren es nur in engen Ausnahmen (z.B. reines Server-Log-Monitoring). Für Marketing-Analytics, Retargeting und Conversion-Tracking ist Einwilligung der Standard.

Fazit

Der Cookie-Banner ist nicht weg, er wird nur kleiner und smarter — und das Tracking dahinter braucht 2025 mehr Sorgfalt, nicht weniger. Wer ernsthaft messen will, kombiniert ein sauberes Consent-Management mit datenschutzfreundlichen Tools wie Plausible für die Basis und Consent-Mode-gestützte Google-Integration dort, wo Werbung wirklich läuft. Wer sich die Hälfte davon schenkt und glaubt, es falle schon nicht auf, bekommt früher oder später eine Abmahnung oder ein Behördenschreiben.

Wir richten Shop-Tracking rechtssauber und messtauglich ein — von Banner bis Conversion-API. Schreib uns über unser Kontaktformular oder wirf einen Blick auf unsere Webentwicklung.

Dieser Beitrag ist keine Rechtsberatung. Für verbindliche Einschätzungen zu Deinem konkreten Setup sprich bitte mit einem Fachanwalt für IT-Recht oder einem zertifizierten Datenschutzbeauftragten.

Beitrag teilen
Thorsten Heß — Gründer MOLOTOW Web Development

Über den Autor

Thorsten Heß

Gründer · MOLOTOW Web Development

Seit über 20 Jahren beschäftige ich mich mit dem Web — von der ersten handgeschriebenen HTML-Seite bis zu komplexen KI-gestützten Plattformen. Bei MOLOTOW Web Development in Lahr entwickeln wir für kleine wie für mittelständische Unternehmen Lösungen, die nicht nur gut aussehen, sondern auch nach Jahren noch wartbar sind. Seit 2024 ergänzen wir unser Portfolio um zertifizierte KI-Beratung nach dem EU AI Act. Wenn Du eine Idee, ein Problem oder nur eine kurze Frage hast — schreib uns.

Kontakt aufnehmen Alle Blog-Beiträge

Verwandte Beiträge

KI-Compliance-Checkliste 2025 — DSGVO und EU AI Act zusammen denken
Datenschutz & Recht

KI-Compliance-Checkliste 2025 — DSGVO und EU AI Act zusammen denken
Cookie-Banner 2025 — was die aktuelle Rechtslage für Dich ändert
Datenschutz & Recht

Cookie-Banner 2025 — was die aktuelle Rechtslage für Dich ändert
Verpackungsgesetz und LUCID 2025 — Pflichten für Online-Shop-Betreiber
Datenschutz & Recht

Verpackungsgesetz und LUCID 2025 — Pflichten für Online-Shop-Betreiber
Lieber direkt? +49 7821 509 4500 mail@molotow-web.com