morefire
MENÜ

Volle Datenkontrolle und besserer Datenschutz mit Server-side Tagging

Am 12. August 2020 startete die Public Beta des Server-side Taggings im Google Tag Manager und eröffnet uns damit eine Menge neuer Möglichkeiten. Zwar gab es vorher bereits Lösungen dafür, aber durch die (fast) kostenlose Lösung von einem Big Player wie Google wird Server-side Tagging nun deutlich massentauglicher.

Während die Webanalyse den Launch feiert wird sich so manch anderer fragen: “Was ist das überhaupt, dieses Server-side Tagging? Und was ist so toll daran?”. In diesem Artikel wollen wir uns genau dieser Frage annehmen und versuchen das doch sehr technische Thema verständlich zu erklären. Außerdem schauen wir uns an, welche Vorteile Server-side Tagging für Deinen Datenschutz hat

Was ist Server-side Tagging?

Server-side Tagging kommt mit diversen Vorteilen. Die zentrale Verbesserung ist die vollständige Kontrolle über Deine Daten. Schauen wir uns dafür zunächst mal das klassische Webtracking an und wie es bisher aufgesetzt wurde.

Klassisches Webtagging

Web Tagging - morefire

Wenn Deine Webseite lädt, lädt sie zunächst einmal das GTM Snippet und den damit verbundenen Container. Außerdem werden dadurch alle weiteren, darin enthaltenen Tags geladen (Google Analytics, Facebook, Google Ads etc.). Diese laden JavaScript Bibliotheken, die dabei helfen Daten zu sammeln und anschließend an ihre jeweiligen Plattformen wegzuschicken. Das alles passiert auf User-Seite. Dein Browser übernimmt die komplette Arbeit. 

Dabei kommuniziert Dein Browser immer direkt mit den Endpunkten der verschiedenen Anbieter (Google Analytics schickt seine Daten z.B. an google-analytics.com). Diese Tracking Codes sammeln üblicherweise allerlei Informationen über Dich, Dein Gerät und Deinen Browser. Wenn sie diese Daten nach Hause schicken werden außerdem noch Cookies angehangen, die mit Deiner Webseiten Domain sowie der Server Domain zusammenhängen (Datenschutzmaßnahmen der Browser mal außen vor gelassen).

Server-side Tagging

Schauen wir uns nun an, was bei Server-side Tagging passiert. Dabei setzen wir unseren eigenen Server als Mittelsmann in die bisherige Datenübermittlungs-Kette. 

Server Tagging - morefire

Auf diesem Server ist ein neuer GTM Server Container hinterlegt. Dieser nimmt die Daten der Tracking Codes (die eigentlich direkt an die Tools gegangen wären) entgegen, verarbeitet und (falls notwendig) verändert diese. Anschließend werden sie an die Tracking Anbieter weiter geleitet.

An dieser Stelle sei ausdrücklich darauf hingewiesen, dass das Server-side Tagging das Webtracking nicht ablöst. Denn wir brauchen auf Deiner Webseite weiterhin zumindest ein Minimum an Tracking, was Interaktionen erfasst und dann als Anfrage an Deinen Server sendet.

Das sind die Vorteile von Server-side Tagging

Wir haben uns nun also als Mittelsmann in die Datenübertragung eingeschaltet. Vielleicht fragst Du Dich jetzt, warum wir dieser Kette einen zusätzlichen Schritt hinzufügen? Damit kommen wir zu den verschiedenen Vorteilen des Server-side Taggings.

Volle Datenkontrolle

Dieser Punkt ist der zentrale Vorteile von Server-side Tagging. Indem Du einen eigenen Server als Zwischenstation einsetzt erhältst Du vollständige Kontrolle über alle Daten, die an Drittanbieter weitergeschickt werden. Jede Information läuft über Deinen eigenen Server und kann dort manipuliert, verändert oder entfernt werden. Tracking Tools (insbesondere die, die in den USA sitzen) sehen nur noch Daten über Deine Nutzer, die Du ihnen auch weiterleiten willst. 

Damit übernimmst Du auch die volle Kontrolle und Verantwortung für den Datenschutz Deiner Webseiten Besucher. Oftmals sammeln direkt eingebaute Tracking Codes alles was sie kriegen können, um Nutzer noch genauer identifizieren zu können. Durch Server-side Tagging kommunizieren Tracking Plattformen aber nicht mehr direkt mit dem Gerät bzw. Browser des Nutzers, sondern nur noch mit Deinem Server.

Du hast also die vollständige Kontrolle darüber, ob Du identifizierende Informationen wie IP Adresse und User Agent weitergeben willst. Gleichzeitig kannst Du alle Daten nach weiteren persönlichen Informationen untersuchen und diese direkt entfernen oder zumindest verschlüsseln. Außerdem schützt Du Deine Besucher vor Cross-Site Tracking durch Ausnutzen von Third-Party Cookies.

Höhere Datenqualität

Im selben Schritt lassen sich die Daten aber auch anreichern, z.B. mit einem Spamschutz Passwort. Anschließend kannst Du in Google Analytics einstellen, dass nur Hits erfasst werden sollen, die dieses Passwort enthalten. Da Du das Passwort erst auf Deinem Server ergänzt, ist es von außen nicht einsehbar und von findigen Bösewichten nicht für Spam Angriffe nutzbar. Ebenso lassen sich kaputte oder unvollständige Hits reparieren. In jedem Fall erreichst Du so eine höhere Datenqualität.

Weniger Einfluss durch Tracking Blocker

Auch hierdurch erreichst Du eine höhere Datenqualität durch mehr Vollständigkeit. Browser sind immer mehr und mehr auf die Privatsphäre ihrer Nutzer fokussiert. Alternativ werden Tracking Blocker Plug-Ins genutzt, die verhindern, dass Du den User tracken kannst. Gleichzeitig holst Du Dir aber durch einen Cookie Banner die Zustimmung für das Tracking ein. Was nun?

Ad oder auch Tracking Blocker sind momentan sehr einfach gestrickt. Sie blockieren einfach Anfragen an bekannte Tracking Tool Endpoints (z.B. google-analytics.com/collect). Dein eigener Server liegt im Idealfall aber auf Deiner eigenen Subdomain (z.B. analytics.more-fire.com). Und wenn alle Tracking Hits zunächst dorthin gesendet werden, wird das von diesen Blockern sehr wahrscheinlich nicht erkannt. Das wird sich in Zukunft aber sicher noch ändern, wenn die Methodik dieser Vorkehrungen besser wird.

Auf der anderen Seite sollte dies aber nicht Dein Hauptgrund sein, warum die Server-side Tagging benutzen willst. Schließlich missachtest Du damit den Willen des Nutzers. Denn nichts anderes drückt Diese/r durch das Nutzen eines bestimmten Browsers oder das Installieren eines Tracking Blockers aus.

Verlängerung der Cookie Lebensdauer (ITP)

Neben dem kompletten Blockieren von Tracking wird im Apple Browser “Safari” auch die Lebensdauer von Cookies begrenzt, die mit Tracking in Verbindung stehen (Intelligent Tracking Prevention = ITP). Das bezieht sich aktuell nur auf die von Tracking Codes per JavaScript gesetzten Cookies.

Für Cookies, die von Serverseite aus gesetzt werden, gelten diese Regularien nicht. Du kannst also mit Deinem eigenen Server diese Tracking Cookies selber neu schreiben, sie damit vor ITP schützen und wiederkehrende Nutzer länger wiedererkennen. Allerdings ist auch hier damit zu rechnen, dass Apple zukünftig darauf reagieren wird.

Schnellere Webseite

Hier kommen im Wesentlichen zwei Aspekte ins Spiel: Zum Einen das Herunterladen von großen JavaScript Bibliotheken für diverse Tracking Tools und zum Anderen das Ausführen dieser.

Viele Tracking Tools laden komplexe JavaScript Bibliotheken herunter, die dafür da sind, um Interaktionen und (teilweise sehr aggressiv) alle möglichen Daten zu erfassen. Anschließend werden diese Informationen im richtigen Format in einer Anfrage verpackt und an die Drittanbieter gesendet. 

Je nachdem wie viele Tools Du verwendest, werden mehr und mehr JavaScript Datein zusammen mit Deiner Webseite geladen und somit auch die Ladezeit verlängert. Genauso wird die Rechenpower des Nutzers in Anspruch genommen wenn diese Bibliotheken ihre Funktionen ausführen, was ebenfalls die Erfahrung auf der Website beeinflussen kann.

Mit Server-side Tagging hast Du nun die Möglichkeit, diese Rechenlast auf den Server zu verlagern. Das fängt damit an, dass ein einziger Datenstrom von Deiner Website auf Deinen Server einrichten kannst. Also anstatt dass viele verschiedene JavaScript Bibliotheken heruntergeladen werden müssen, beschränken wir uns auf eine oder senden sogar einen selbst formatierten Datenstrom an Deinen Server. Darin sind alle wichtigen Daten enthalten. Dein Server übernimmt dann die Arbeit, verarbeitet die einzelne Anfrage und extrahiert die notwendigen Informationen für Deine verschiedenen Tracking Tools. Anschließend werden diese wiederum in die Anfragen an die Drittanbieter eingearbeitet und abgesendet.

Dadurch wird Deine Webseite deutlich schneller und Deine Besucher haben ein viel besseres Nutzererlebnis.

Macht serverseitiges Tagging Google Analytics datenschutzkonform?

Mit dem “Schrems II”-Urteil wurde der Privacy-Shield defacto gekippt. Die Datenschützer fordern mehr oder weniger einen sofortigen Stop der Datenübertragung in die USA. Damit kann man Google Analytics eigentlich nicht mehr weiterbetreiben. Klar, man kann sich auf die Standardvertragsklauseln berufen, aber das steht rechtlich auf sehr wackeligen Beinen.

Die aus unserer Sicht derzeit einzig praktikable Lösung ist es, die Daten gar nicht erst in die USA zu übertragen, sondern Sie direkt auf dem eigenen Server mit Standort in der EU zu speichern bzw. sie vor einer Übertragung zu anonymisieren und zu verschlüsseln. Und da Du durch Server-side Tagging die volle Kontrolle über alle Daten erhältst, die an Google Analytics geschickt werden, kannst du genau das auch tun.

Was solltest Du noch beachten?

Wie Du siehst, hat Server-side Tagging viele tolle Vorteile. Aber es gibt natürlich auch ein paar Punkte, die wir beim Einsatz beachten sollten.

Undurchsichtige Datenerfassung

Hier spielen mehrere Aspekte mit rein. Zum einen kannst Du mit Server-side Tagging sehr gut den User Willen missachten indem Du Tracking Blocker umgehst, so wie oben beschrieben. Dabei geht es vor allem darum, dass Du mit den vielen neuen Möglichkeiten natürlich auch viel Schlechtes treiben kannst.

Responsibility Datenschutz - GIIF -morefire

Bisher konnte jeder, der sich ein bisschen mit den Entwickler Werkzeugen des Browsers auskennt, sehr gut nachvollziehen, welche Daten Du erfasst und an Tracking Tools rausgeschickt hast. Diese Verteilung passiert nun komplett auf Deinem Server und ist von außen nicht mehr einsehbar. Umso wichtiger wird die Transparenz und Dokumentation darüber, was genau dort passiert und an welche Plattformen Du die Daten übergibst.

Damit zusammenhängend ist auch das Consent Management. Der Nutzer kann von außen nicht mehr einschätzen, ob Du seinen ausdrücklichen Willen (z.B. durch einen Cookie Banner) achtest. Umso wichtiger, dass Du darauf achtest, diese bei der Verarbeitung auf dem Server einzuhalten.

Kosten

Im Gegensatz zum klassischen, kostenlosen Web Tagging fallen beim Server-side Tagging Kosten für den Server an. Am einfachsten ist das Setup hierfür aktuell mit der Google Cloud. Perspektivisch lässt sich der GTM Server Container aber natürlich auch in Clouds von weiteren Anbietern oder sogar in einer eigenen Cloud Umgebung einsetzen.

Die Kosten in der Google Cloud liegen bei ca. 40 USD pro Monat für jede Serverinstanz. Es wird empfohlen mindestens 3 Server laufen zu lassen, um Datenverluste zu vermeiden. Damit liegen die Kosten also bei ca. 120 USD bzw. 110 EUR pro Monat. Es wird allerdings ein flexibles Modell abgeschlossen. Je nach Auslastung (= mehr Traffic) können daher mehr Kosten anfallen.

Sehr technische Lösung

Der Google Tag Manager ist bereits eine recht technische Lösung. Und mit dem Server-side Tagging wird er noch um einiges technischer. Das mag Dich evtl. davon abhalten, Dich mehr mit diesem Thema auseinander zu setzen. Solltest Du grade erst mit dem GTM starten, dann ist Server-side Tagging wahrscheinlich zu fortgeschritten für Dich. Aber hast Du schon etwas Erfahrung, solltest Du Dich gerade aufgrund der genannten Vorteile auf jeden Fall mit Server-side Tagging auseinander setzen. 

Wenn Du Hilfe beim Aufsetzen Deines eigenen Server-side Taggings brauchst, dann können wir Dich dabei natürlich gerne unterstützen.

Beta Phase

Aktuell befindet sich das GTM Server-side Tagging noch in der Beta. Das bedeutet, dass evtl. noch nicht alles perfekt funktioniert, dass sich Funktionen in Zukunft noch ändern können und das ganze Produkt sehr wahrscheinlich noch an Funktionsumfang zulegt.

Fang also am besten erstmal damit an, indem Du einen Server Container parallel zu Deinem aktuell Web Setup aufsetzt. So kannst Du Dich mit dem Prozess, den Auswirkungen und den Funktionen vertraut machen und bist bestens vorbereitet, sobald der GTM Server Container die Beta verlässt.

Fazit

Durch das gekippte Privacy Shield befinden wir uns aktuell in einem rechtlichen Vakuum. Auch du bist plötzlich für die Einhaltung des Datenschutz in den USA mitverantwortlich. Eine unmögliche Aufgabe. Was also tun? Darauf gibt es keine eindeutige Antwort. Eine Möglichkeit besteht darin, Daten die an Google Analytics gesendet werden vollständig zu anonymisieren. Und da kommt Server-side Tagging ins Spiel. Hiermit schalten wir uns in die direkte Kommunikation zwischen Nutzer und Google ein, erhalten die vollständige Kontrolle über den Datenstrom und können so auch alle personenbezogenen Daten entfernen.

Bist du damit 100%ig auf der sicheren Seite? Das kann dir aktuell vermutlich niemand wirklich beantworten. Aber es ist ein Schritt in die richtige Richtung und bringt darüber hinaus auch noch viele andere Vorteile mit sich.

Julian Polley

Geschrieben von

Julian ist Consultant Online Marketing bei morefire. Er hat „irgendwas mit Medien“ studiert und fängt seitdem gerne auf Reisen die Welt mit Fotos ein.

4.75 / 5 (8 votes)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.