Persönliche Erfahrungen
Ausführlicher Vergleich
Drittanbieter-Tracking ist im Online-Shop weit verbreitet, etwa für Webanalyse, Conversion-Tracking, Remarketing, Affiliate-Programme oder personalisierte Werbung. Gleichzeitig gehört es zu den fehleranfälligsten Bereichen im E-Commerce, weil rechtliche Anforderungen und technische Umsetzung eng zusammenhängen. Schon kleine Änderungen an Themes, Plugins, Tags oder Consent-Einstellungen können dazu führen, dass optionale Tracking-Technologien vor einer Einwilligung starten oder Datenflüsse nicht mehr zur Datenschutzerklärung passen.
Für Shop-Betreiber lässt sich die Kernfrage einfach beantworten: Drittanbieter-Tracking ist nicht nur ein Marketing-Thema, sondern ein Zusammenspiel aus Consent, Technik, Transparenz und laufender Pflege. Je mehr externe Tools im Shop zusammenwirken, desto wichtiger werden saubere Kategorien, echtes Tag-Blocking und eine Datenschutzerklärung, die den realen Datenfluss abbildet.
Drittanbieter-Tracking meint die Messung, Beobachtung oder Auswertung des Nutzerverhaltens auf einer Website durch externe Anbieter oder eingebundene Dienste. Typisch sind Skripte, Tags, Pixel, iFrames, Cookies, SDKs oder serverseitige Schnittstellen, über die Daten an Dritte übermittelt oder mit deren Systemen verknüpft werden.
Praktisch geht es dabei nicht nur um klassische Webanalyse. Auch Conversion-Tracking, Retargeting, Affiliate-Tracking, personalisierte Werbung, eingebettete Inhalte mit Messfunktionen oder CRM-nahe Werbeschnittstellen können unter diesen Begriff fallen. Entscheidend ist weniger der Name des Tools als die tatsächliche Funktion: Werden Nutzer wiedererkannt, Daten an Dritte übermittelt, Profile gebildet oder Informationen auf dem Endgerät gespeichert oder ausgelesen, wird das Thema regelmäßig sensibel.
Nicht jede Messung im Shop ist automatisch Drittanbieter-Tracking. Eine interne Auswertung auf eigener Infrastruktur kann anders zu beurteilen sein als ein Setup, bei dem ein externer Anbieter Daten für eigene oder gemeinsame Zwecke verarbeitet. Für Shop-Betreiber ist diese Abgrenzung wichtig, weil daraus oft unterschiedliche Rollen, Datenflüsse und Transparenzanforderungen folgen.
| Variante | Was typischerweise passiert | Praxisrelevanz |
|---|---|---|
| Eigene Reichweitenmessung | Auswertung auf eigener oder strikt im Auftrag genutzter Infrastruktur | Kann organisatorisch kontrollierbarer sein |
| Drittanbieter-Tracking | Externe Dienste erfassen, empfangen oder verarbeiten Tracking-Daten | Höheres Risiko bei Consent, Empfängern und Drittlandtransfer |
| Serverseitige Weitergabe an Anbieter | Daten fließen nicht zwingend per Browser-Pixel, sondern über Server-Schnittstellen | Datenschutzrechtlich nicht automatisch unkritischer |
Tracking ist sensibel, weil es oft nicht für die bloße Vertragserfüllung erforderlich ist, sondern zusätzliche Zwecke verfolgt. Typisch sind Optimierung, Kampagnenmessung, Zielgruppenbildung oder personalisierte Werbung. Gleichzeitig können schon beim ersten Seitenaufruf personenbezogene Daten oder Online-Kennungen betroffen sein, etwa IP-Adressen, Cookie-IDs, Geräteinformationen, Eventdaten oder Kaufwerte.
Das Risiko steigt, wenn mehrere Systeme gekoppelt werden. In vielen Shops wirken Tag-Manager, Werbenetzwerke, Consent-Tools, Analyse-Dienste, Affiliate-Setups und CRM-Schnittstellen gleichzeitig zusammen. Dadurch werden Datenflüsse schnell unübersichtlich. In der Praxis entstehen Beanstandungen häufig nicht wegen „zu wenig Datenschutzerklärung“, sondern wegen Widersprüchen zwischen Banner, tatsächlichem Tracking-Verhalten und interner Tool-Landschaft.
Für die Verarbeitung personenbezogener Daten ist regelmäßig eine Rechtsgrundlage nach Art. 6 DSGVO erforderlich. Hinzu kommt in Deutschland eine eigene Ebene für den Zugriff auf Endgeräte: § 25 TDDDG betrifft das Speichern von Informationen in Endeinrichtungen oder den Zugriff auf dort bereits gespeicherte Informationen. Das betrifft nicht nur klassische Cookies, sondern auch vergleichbare Tracking-Technologien.
In vielen praxisüblichen Tracking-Konstellationen wird deshalb über Einwilligung gesprochen. Das gilt besonders dann, wenn Tracking-Technologien nicht unbedingt erforderlich sind, Nutzer wiedererkannt werden, Daten an Dritte fließen oder Werbe- und Marketingzwecke verfolgt werden. Maßgeblich sind dann nicht nur die allgemeinen Anforderungen der DSGVO, sondern auch die Anforderungen an aktive, informierte und freiwillige Einwilligungen. Der EuGH hat dies mit Planet49 für Cookie-Einwilligungen deutlich geprägt.
| Regelwerk | Worum es geht | Typische Bedeutung im Shop | Häufiger Fehler |
|---|---|---|---|
| Art. 6 DSGVO | Rechtsgrundlage der Verarbeitung | Einordnung von Analytics, Ads, Remarketing, CRM-Anbindung | Rechtsgrundlage wird pauschal behauptet, aber nicht zum Setup passend geprüft |
| Art. 13 DSGVO | Informationspflichten | Erklärung von Zwecken, Empfängern, Rechten und Transfers | Datenschutzerklärung bleibt zu abstrakt oder veraltet |
| § 25 TDDDG | Zugriff auf Endgeräte | Cookies, Identifier, Pixel, ähnliche Tracking-Technologien | Optionale Technologien starten schon vor Einwilligung |
| Einwilligungsanforderungen | Freiwillig, informiert, spezifisch, aktiv | Consent-Banner und UI-Gestaltung | Weitersurfen oder voreingestellte Auswahl wird als Zustimmung gewertet |
Tracking ist nicht gleich Tracking. Für die Praxis hilft eine Einteilung nach Zwecken, weil daraus Banner-Kategorien, Datenschutzhinweise, interne Dokumentation und technische Steuerung abgeleitet werden können.
| Tracking-Art | Typisches Ziel | Typische Daten oder Events | Praxisrisiko |
|---|---|---|---|
| Webanalyse | Reichweite, Nutzungsmuster, Optimierung | Seitenaufrufe, Klickpfade, Geräteinfos, Events | Wiedererkennung, Drittanbieterübermittlung, unklare Consent-Einordnung |
| Ads- und Conversion-Tracking | Werbeerfolg, Attribution, Kampagnenbewertung | Conversions, Warenkorb, Umsatzwerte, Kampagnen-IDs | Marketingprofil, Datenweitergabe an Werbenetzwerke |
| Remarketing und Retargeting | Nutzer erneut ansprechen | Produktaufrufe, Warenkorbabbrüche, Segmente | Besonders hohe Eingriffsintensität |
| A/B-Tests und Personalisierung | Optimierung und Variantensteuerung | Experimentdaten, Verhalten pro Variante | Consent-Fragen je nach Technik und Zweck |
| Affiliate-Tracking | Provisionen und Herkunft zuordnen | Referrer, Klick-IDs, Bestellwerte | Drittanbieter-Cookies, mehrstufige Datenweitergabe |
| Eingebettete Drittinhalte mit Messfunktion | Medien, Karten, Social Plugins, Komfortfunktionen | IP-Adresse, Geräteinfos, Nutzungsdaten | Datenkontakt schon beim Laden der Seite |
Viele Datenflüsse beginnen schon beim Laden der Website. Der Browser lädt Skripte oder Tags, Kennungen werden gesetzt oder ausgelesen und erste Events werden an externe Systeme gesendet. Später folgen weitere Ereignisse wie Produktansicht, In-den-Warenkorb, Checkout, Kaufabschluss oder Newsletter-Anmeldung.
Vereinfachtes Schema Nutzer besucht Shop -> Seite lädt Skripte, Pixel oder Tags -> optional: Cookie oder Kennung wird gesetzt oder ausgelesen -> Events werden erfasst -> Daten gehen an Analyse-, Ads- oder Retargeting-Anbieter -> Reporting, Attribution oder Zielgruppenbildung
Für die Praxis ist vor allem wichtig, ob optionale Tracking-Technologien vor einer Einwilligung blockiert sind und ob sich der Datenfluss nach Ablehnung oder Widerruf tatsächlich ändert. Genau dort liegen viele technische Fehler.
Wenn für Tracking eine Einwilligung erforderlich ist, reicht ein guter Bannertext allein nicht aus. Entscheidend ist, dass die entsprechenden Tags, Skripte, Pixel oder eingebetteten Inhalte technisch wirklich blockiert bleiben, bis eine wirksame Auswahl getroffen wurde.
Besonders häufige Fehler entstehen durch hart eingebundene Skripte im Theme, vorzeitig ladende Plugins, falsch konfigurierte Tag-Manager oder iFrames, die bereits beim ersten Seitenaufruf Kontakte zu Drittanbietern herstellen. Auch ein späterer Widerruf muss praktisch funktionieren. Ein Link wie „Cookie-Einstellungen“ ist nur dann hilfreich, wenn er tatsächlich eine neue Auswahl erlaubt und optionales Tracking danach nicht weiterläuft.
Bei Tracking-Tools ist die Rollenverteilung oft entscheidend. Nicht jeder Anbieter ist automatisch Auftragsverarbeiter. Je nach Setup kann der Anbieter Daten im Auftrag verarbeiten, für eigene Zwecke verarbeiten oder in bestimmten Konstellationen mit dem Shop-Betreiber gemeinsam über Zwecke und Mittel entscheiden.
Für Händler ist deshalb eine toolbezogene Prüfung sinnvoll. Wer ist Empfänger? Welche Daten fließen? Für welche Zwecke nutzt der Anbieter sie? Gibt es Zusatzvereinbarungen oder Standardbedingungen, die auf eine bestimmte Rollenverteilung hindeuten? Diese Einordnung sollte nicht nur intern dokumentiert, sondern auch mit Datenschutzerklärung und Consent-Logik abgestimmt werden.
Viele Tracking- und Marketing-Anbieter arbeiten mit globaler Infrastruktur. Sobald personenbezogene Daten in Drittländer übermittelt werden oder dort verarbeitet werden können, sind zusätzlich die Regeln der Art. 44 ff. DSGVO relevant.
Für Shop-Betreiber ist vor allem wichtig, den tatsächlichen Datenfluss realistisch zu erfassen. Welche Dienste übertragen Daten wohin? Welche Schutzmechanismen nennt der Anbieter? Und wird dieser Punkt in der Datenschutzerklärung verständlich erklärt? Gerade bei Werbe- und Analytics-Setups wird der Drittlandaspekt in der Praxis häufig unterschätzt.
So pauschal stimmt das nicht. Auch andere Technologien als klassische Cookies können unter § 25 TDDDG fallen oder datenschutzrechtlich relevant sein. Entscheidend ist die tatsächliche Technik und der konkrete Datenfluss.
Analytics kann im Einzelfall weniger eingriffsintensiv sein, ist aber nicht automatisch unkritisch. Wiedererkennung, Drittanbieterübermittlung und Gerätezugriffe können auch bei Analyse-Tools relevant sein.
Eine Datenschutzerklärung informiert nur. Wenn für Tracking eine Einwilligung erforderlich ist, ersetzt sie kein Consent-Banner und kein technisches Blocking.
Das ist riskant. Für eine wirksame Einwilligung wird regelmäßig eine eindeutige bestätigende Handlung verlangt. Passive Verhaltensweisen sind dafür in der Praxis meist keine robuste Lösung.
Auch serverseitige Setups können datenschutzrechtlich relevant bleiben, wenn personenbezogene Daten an Anbieter fließen oder dieselben Zwecke verfolgt werden. Der Datenfluss wird nur anders technisch organisiert.
Ein Händler betreibt einen Shop auf Shopify und nutzt ein Consent-Tool, Google Ads Conversion-Tracking, Meta-Pixel und ein Analyse-Tool. Nach einem Theme-Update wird ein neues App-Snippet direkt in das Template eingebunden. Im Banner ist Marketing zwar weiterhin optional, das Pixel lädt aber bereits beim ersten Seitenaufruf. Gleichzeitig nennt die Datenschutzerklärung noch den alten Analyse-Dienst, während der neue Retargeting-Dienst dort noch gar nicht auftaucht.
Das eigentliche Problem liegt dann nicht nur in einem fehlerhaften Bannertext, sondern in der fehlenden Abstimmung zwischen Technik, Consent-Kategorien und Datenschutzerklärung. Genau solche Änderungen nach App- oder Theme-Updates gehören im Shop-Alltag zu den häufigsten Tracking-Risiken.
Das hängt vom konkreten Setup ab. In vielen praxisüblichen Konstellationen kann eine Einwilligung naheliegen, vor allem wenn Cookies oder vergleichbare Identifier eingesetzt werden, Nutzer wiedererkannt werden oder Daten an Drittanbieter fließen. Maßgeblich ist das Zusammenspiel aus § 25 TDDDG und DSGVO.
Häufig ja, weil diese Setups typischerweise werblich geprägt sind und oft auf Wiedererkennung, Attribution oder Zielgruppenbildung abzielen. Gerade bei Conversion- und Remarketing-Tools ist die Einwilligungsfrage in der Praxis meist besonders sensibel.
Nein. Eine Datenschutzerklärung informiert nur über die Verarbeitung. Wenn für Tracking eine Einwilligung erforderlich ist, braucht es zusätzlich eine technische Lösung, die Einwilligungen einholt und umsetzt.
Das ist regelmäßig eine schwache Grundlage. In der Praxis ist eine aktive und eindeutig bestätigende Handlung deutlich belastbarer als ein bloß passives Verhalten des Nutzers.
Das Gesetz gibt nicht jedes Detail des Designs vor. In der Praxis wird eine gut sichtbare und möglichst gleichwertige Ablehnmöglichkeit aber als deutlich risikoärmere Gestaltung angesehen, weil sonst die Freiwilligkeit der Einwilligung in Frage geraten kann.
Wenn Tracking-Daten an Anbieter außerhalb des EWR gehen oder dort verarbeitet werden können, sollten Nutzer transparent darüber informiert werden. Zusätzlich sollte nachvollziehbar bleiben, auf welchen Mechanismus sich der Transfer stützen soll, soweit ein solcher Transfer tatsächlich stattfindet.
Wenn Einwilligung die Grundlage ist, sollte sie dokumentiert werden können. Typisch sind Consent-Logs mit Zeitstempel, Auswahl je Zweck, Version der Bannertexte und eine interne Zuordnung, welche Tags welchem Zweck folgen.
Sehr häufig startet Tracking bereits beim ersten Seitenaufruf, weil Skripte direkt im Theme oder in Plugins eingebunden sind. Auch eingebettete Inhalte oder falsch konfigurierte Tag-Manager gehören zu den häufigsten Auslösern.
Drittanbieter/Tracking
Hinweis: Dieser Beitrag dient der allgemeinen Information für Online-Shop-Betreiber in Deutschland und ersetzt keine Rechtsberatung im Einzelfall.
Die Inhalte auf rechtstexte-onlineshops.de verbinden redaktionelle Recherche, Praxisbeobachtung und die Auswertung einschlägiger Quellen. Ziel ist eine realistische Orientierung für Shop-Betreiber, keine Einzelfallberatung.
Transparenz: Die Inhalte werden redaktionell erstellt und überprüft. Maßgeblich sind dabei rechtliche Quellen, praktische Erfahrungen aus Shop-Projekten und die Frage, welche Informationen für Shop-Betreiber im Alltag tatsächlich hilfreich sind.