Volle Datenkontrolle und besserer Datenschutz mit Server-side Tagging
Am 12. August 2020 startete die Public Beta des Server-side Taggings im Google Tag Manager und eröffnet uns damit eine Menge neuer Möglichkeiten. Es gab zwar bereits vorher Lösungen dafür. Aber Server-side Tagging wird durch die (fast) kostenlose Lösung von Google nun deutlich massentauglicher.
Während die Webanalyse den Launch feiert wird sich so manch anderer fragen: “Was ist das überhaupt, dieses Server-side Tagging? Und was ist so toll daran?”. In diesem Artikel wollen wir uns genau dieser Frage annehmen und versuchen das doch sehr technische Thema verständlich zu erklären. Außerdem schauen wir uns an, welche Vorteile Server-side Tagging für Deinen Datenschutz hat.
Inhaltsverzeichnis
Was ist Server-side Tagging?
Server-side Tagging kommt mit diversen Vorteilen. Die zentrale Verbesserung ist die vollständige Kontrolle über Deine Daten. Schauen wir uns dafür zunächst mal das klassische Webtracking an und wie es bisher aufgesetzt wurde.
Webinar: 10 Fragen zu Server Side Tagging beantwortet
In unserem Webinar beantwortet unser Experte die wichtigsten 10 Fragen rund ums Server Side Tagging um Dein Tracking zu verbessern.
Klassisches Webtagging
Wenn Deine Webseite lädt, lädt sie zunächst einmal das GTM Snippet und den damit verbundenen Container. Außerdem werden dadurch alle weiteren, darin enthaltenen Tags geladen (Google Analytics, Facebook, Google Ads etc.). Diese laden JavaScript Bibliotheken, die dabei helfen Daten zu sammeln und anschließend an ihre jeweiligen Plattformen wegzuschicken. Das alles passiert auf User-Seite. Dein Browser übernimmt die komplette Arbeit.
Dabei kommuniziert Dein Browser immer direkt mit den Endpunkten der verschiedenen Anbieter:innen (Google Analytics schickt seine Daten z.B. an google-analytics.com). Diese Tracking Codes sammeln üblicherweise allerlei Informationen über Dich, Dein Gerät und Deinen Browser. Wenn sie diese Daten nach Hause schicken, werden zudem noch Cookies angehangen. Diese hängen mit Deiner Webseiten Domain sowie der Server Domain zusammen (Datenschutzmaßnahmen der Browser mal außen vor gelassen).
Server-side Tagging
Schauen wir uns nun an, was bei Server-side Tagging passiert. Dabei setzen wir unseren eigenen Server als Mittelsmann in die bisherige Datenübermittlungs-Kette.
Auf diesem Server ist ein neuer GTM Server Container hinterlegt. Dieser nimmt die Daten der Tracking Codes (die eigentlich direkt an die Tools gegangen wären) entgegen, verarbeitet und (falls notwendig) verändert diese. Anschließend werden sie an die Tracking Anbieter weitergeleitet.
An dieser Stelle sei ausdrücklich darauf hingewiesen, dass das Server-side Tagging das Webtracking nicht ablöst. Denn wir brauchen auf Deiner Webseite weiterhin zumindest ein Minimum an Tracking, was Interaktionen erfasst und dann als Anfrage an Deinen Server sendet.
Das sind die Vorteile von Server-side Tagging
Wir haben uns nun also als Mittelsmann in die Datenübertragung eingeschaltet. Vielleicht fragst Du Dich jetzt, warum wir dieser Kette einen zusätzlichen Schritt hinzufügen? Damit kommen wir zu den verschiedenen Vorteilen des Server-side Taggings.
Volle Datenkontrolle
Dieser Punkt ist der zentrale Vorteil von Server-side Tagging. Indem Du einen eigenen Server als Zwischenstation einsetzt, erhältst Du vollständige Kontrolle über alle Daten, die an Drittanbieter:innen weitergeschickt werden. Jede Information läuft über Deinen eigenen Server und kann dort manipuliert, verändert oder entfernt werden. Tracking Tools (insbesondere die, die in den USA sitzen) sehen nur noch Daten über Deine Nutzer, die Du ihnen auch weiterleiten willst.
Damit übernimmst Du auch die volle Kontrolle und Verantwortung für den Datenschutz Deiner Webseiten Besucher:innen. Oftmals sammeln direkt eingebaute Tracking Codes alles was sie kriegen können, um Nutzende noch genauer identifizieren zu können. Durch Server-side Tagging kommunizieren Tracking Plattformen aber nicht mehr direkt mit dem Gerät bzw. Browser der Nutzer:innen, sondern nur noch mit Deinem Server.
Du hast also die vollständige Kontrolle darüber, ob Du identifizierende Informationen wie IP Adresse und User Agent weitergeben willst. Gleichzeitig kannst Du alle Daten nach weiteren persönlichen Informationen untersuchen und diese direkt entfernen oder zumindest verschlüsseln. Außerdem schützt Du Deine Besucher:innen vor Cross-Site Tracking durch Ausnutzen von Third-Party Cookies.
Höhere Datenqualität
Im selben Schritt lassen sich die Daten aber auch anreichern, z.B. mit einem Spamschutz Passwort. Anschließend kannst Du in Google Analytics einstellen, dass nur Hits erfasst werden sollen, die dieses Passwort enthalten. Da Du das Passwort erst auf Deinem Server ergänzt, ist es von außen nicht einsehbar und von findigen Bösewichten nicht für Spam Angriffe nutzbar. Ebenso lassen sich kaputte oder unvollständige Hits reparieren. In jedem Fall erreichst Du so eine höhere Datenqualität.
Weniger Einfluss durch Tracking Blocker
Auch hierdurch erreichst Du eine höhere Datenqualität durch mehr Vollständigkeit. Browser sind immer mehr und mehr auf die Privatsphäre ihrer Nutzer:innen fokussiert. Alternativ werden Tracking Blocker Plug-Ins genutzt, die verhindern, dass Du die User:innen tracken kannst. Gleichzeitig holst Du Dir aber durch einen Cookie Banner die Zustimmung für das Tracking ein. Was nun?
Ad oder auch Tracking Blocker sind momentan sehr einfach gestrickt. Sie blockieren einfach Anfragen an bekannte Tracking Tool Endpoints (z.B. google-analytics.com/collect). Dein eigener Server liegt im Idealfall aber auf Deiner eigenen Subdomain (z.B. analytics.more-fire.com). Und wenn alle Tracking Hits zunächst dorthin gesendet werden, wird das von diesen Blockern sehr wahrscheinlich nicht erkannt. Das wird sich in Zukunft aber sicher noch ändern, wenn die Methodik dieser Vorkehrungen besser wird.
Auf der anderen Seite sollte dies aber nicht Dein Hauptgrund sein, warum du Server-side Tagging benutzen willst. Schließlich missachtest Du damit den Willen des Nutzers/der Nutzerin. Denn nichts anderes drückt Diese/r durch das Nutzen eines bestimmten Browsers oder das Installieren eines Tracking Blockers aus.
Nur 25% aller Deutschen vertrauen Unternehmen, dass diese verantwortungsvoll mit Ihren Daten umgehen
(EOS Group, 2020)
Verlängerung der Cookie Lebensdauer (ITP)
Neben dem Blockieren von Tracking wird im Apple Browser “Safari” auch die Lebensdauer von Cookies, die mit Tracking in Verbindung stehen, begrenzt (Intelligent Tracking Prevention = ITP). Das bezieht sich aktuell nur auf die von Tracking Codes per JavaScript gesetzten Cookies.
Für Cookies, die von Serverseite aus gesetzt werden, gelten diese Regularien nicht. Du kannst also mit Deinem eigenen Server diese Tracking Cookies selber neu schreiben, sie damit vor ITP schützen und wiederkehrende Nutzer:innen länger wiedererkennen. Allerdings ist auch hier damit zu rechnen, dass Apple zukünftig darauf reagieren wird.
Schnellere Webseite
Hier kommen im Wesentlichen zwei Aspekte ins Spiel: Zum Einen das Herunterladen von großen JavaScript Bibliotheken und zum Anderen dessen Ausführung.
Viele Tracking Tools laden komplexe JavaScript Bibliotheken herunter, die dafür da sind, um Interaktionen und (teilweise sehr aggressiv) alle möglichen Daten zu erfassen. Anschließend werden diese Informationen im richtigen Format in einer Anfrage verpackt und an die Drittanbieter:innen gesendet.
Je nachdem wie viele Tools Du verwendest, werden mehr und mehr JavaScript Dateien zusammen mit Deiner Webseite geladen und somit auch die Ladezeit verlängert. Genauso wird die Rechenpower der Nutzer:innen in Anspruch genommen, wenn diese Bibliotheken ihre Funktionen ausführen, was ebenfalls die Erfahrung auf der Website beeinflussen kann.
Mit Server-side Tagging hast Du nun die Möglichkeit, diese Rechenlast auf den Server zu verlagern. Das fängt damit an, dass ein einziger Datenstrom von Deiner Website auf Deinen Server einrichten kannst. Also, anstatt dass viele verschiedene JavaScript Bibliotheken heruntergeladen werden müssen, beschränken wir uns auf eine. Oder wir senden sogar einen selbst formatierten Datenstrom an Deinen Server. Darin sind alle wichtigen Daten enthalten. Dein Server übernimmt dann die Arbeit, verarbeitet die einzelne Anfrage und extrahiert die notwendigen Informationen für Deine verschiedenen Tracking Tools. Anschließend werden diese wiederum in die Anfragen an die Drittanbieter eingearbeitet und abgesendet.
Dadurch wird Deine Webseite deutlich schneller und Deine Besucher:innen haben ein viel besseres Nutzererlebnis.
Die Absprungrate steigt um 123%, wenn die Seitenladezeit mehr als Sekunde beträgt
(Techjury, 2021)
Macht serverseitiges Tagging Google Analytics datenschutzkonform?
Mit dem “Schrems II”-Urteil wurde der Privacy-Shield defacto gekippt. Die Datenschützer:innen fordern mehr oder weniger einen sofortigen Stopp der Datenübertragung in die USA. Damit ist es eigentlich nicht mehr möglich Google Analytics weiter zu betreiben. Klar, Du kannst Dich auf die Standardvertragsklauseln berufen, aber das steht rechtlich auf sehr wackeligen Beinen.
Die aus unserer Sicht derzeit einzig praktikable Lösung ist es, die Daten gar nicht erst in die USA zu übertragen. Stattdessen ist es sinnvoll sie direkt auf dem eigenen Server mit Standort in der EU zu speichern bzw. sie vor einer Übertragung zu anonymisieren und zu verschlüsseln. Und da Du durch Server-side Tagging die Kontrolle über alle Daten bekommst, die an Google Analytics geschickt werden, kannst Du auch genau das tun.
Was solltest Du noch beachten?
Wie Du siehst, hat Server-side Tagging viele tolle Vorteile. Aber es gibt natürlich auch ein paar Punkte, die wir beim Einsatz beachten sollten.
Undurchsichtige Datenerfassung
Hier spielen mehrere Aspekte mit rein. Zum einen kannst Du mit Server-side Tagging sehr gut den User Willen missachten indem Du Tracking Blocker umgehst, so wie oben beschrieben. Dabei geht es vor allem darum, dass Du mit den vielen neuen Möglichkeiten natürlich auch viel Schlechtes treiben kannst.
Bisher konnte jeder, der sich ein bisschen mit den Entwickler Werkzeugen des Browsers auskennt, sehr gut nachvollziehen, welche Daten Du erfasst und an Tracking Tools rausgeschickt hast. Diese Verteilung passiert nun komplett auf Deinem Server und ist von außen nicht mehr einsehbar. Umso wichtiger wird die Transparenz und Dokumentation darüber, was genau dort passiert und an welche Plattformen Du die Daten übergibst.
Damit zusammenhängend ist auch das Consent Management. Der/Die Nutzer:in kann von außen nicht mehr einschätzen, ob Du seinen ausdrücklichen Willen (z.B. durch einen Cookie Banner) achtest. Umso wichtiger, dass Du darauf achtest, diese bei der Verarbeitung auf dem Server einzuhalten.
Kosten
Im Gegensatz zum klassischen, kostenlosen Web Tagging fallen beim Server-side Tagging Kosten für den Server an. Am einfachsten ist das Setup hierfür aktuell mit der Google Cloud. Perspektivisch lässt sich der GTM Server Container aber natürlich auch in Clouds von weiteren Anbietern oder sogar in einer eigenen Cloud Umgebung einsetzen.
Die Kosten in der Google Cloud liegen bei ca. 40 USD pro Monat für jede Serverinstanz. Es wird empfohlen mindestens 3 Server laufen zu lassen, um Datenverluste zu vermeiden. Damit liegen die Kosten also bei ca. 120 USD bzw. 110 EUR pro Monat. Es wird allerdings ein flexibles Modell abgeschlossen. Je nach Auslastung (= mehr Traffic) können daher mehr Kosten anfallen.
Sehr technische Lösung
Der Google Tag Manager ist bereits eine recht technische Lösung. Und mit dem Server-side Tagging wird er noch um einiges technischer. Das mag Dich evtl. davon abhalten, Dich mehr mit diesem Thema auseinander zu setzen. Solltest Du gerade erst mit dem GTM starten, dann ist Server-side Tagging wahrscheinlich zu fortgeschritten für Dich. Aber hast Du schon etwas Erfahrung, solltest Du Dich gerade aufgrund der genannten Vorteile auf jeden Fall mit Server-side Tagging auseinandersetzen.
Wenn Du Hilfe beim Aufsetzen Deines eigenen Server-side Taggings brauchst, dann können wir Dich dabei natürlich gerne unterstützen.
Beta Phase
Aktuell befindet sich das GTM Server-side Tagging noch in der Beta. Das bedeutet, dass evtl. noch nicht alles perfekt funktioniert, dass sich Funktionen in Zukunft noch ändern können und das ganze Produkt sehr wahrscheinlich noch an Funktionsumfang zulegt. So ist aktuell z.B. noch kein Remarketing möglich, was auch mit der Third Party Cookie Problematik zusammenhängt. Es ist aber denkbar, dass Google hierfür in der Zukunft eine Lösung liefert, die dann auch in Server Containern verfügbar ist.
Fang also am besten erstmal damit an, indem Du einen Server Container parallel zu Deinem aktuellen Web Setup aufsetzt. So kannst Du Dich mit dem Prozess, den Auswirkungen und den Funktionen vertraut machen. Außerdem bist du bestens vorbereitet, sobald der GTM Server Container die Beta verlässt.
Kostenloses E-Book: Google Analytics & DSGVO
Alles was Du über die DSGVO wissen musst: Tracking & mehr. Bekomme Klarheit über den datenschutzkonformen Einsatz von Google Analytics. Jetzt downloaden!
Fazit
Durch das gekippte Privacy Shield befinden wir uns aktuell in einem rechtlichen Vakuum. Auch du bist plötzlich für die Einhaltung des Datenschutz in den USA mitverantwortlich. Eine unmögliche Aufgabe. Was also tun? Darauf gibt es keine eindeutige Antwort. Eine Möglichkeit besteht darin, Daten die an Google Analytics gesendet werden vollständig zu anonymisieren. Und da kommt Server-side Tagging ins Spiel. Hiermit schalten wir uns in die direkte Kommunikation zwischen Nutzer und Google ein, erhalten die vollständige Kontrolle über den Datenstrom und können so auch alle personenbezogenen Daten entfernen.
Bist du damit 100%ig auf der sicheren Seite? Das kann dir aktuell vermutlich niemand wirklich beantworten. Aber es ist ein Schritt in die richtige Richtung und bringt darüber hinaus auch noch viele andere Vorteile mit sich.
