Server-Side Tracking, datenschutzorientiert und belastbar
Client-Side Tracking verliert 30 bis 40 Prozent der Signale. Wir bauen die EU-gehostete Server-Side-Architektur, die das stoppt.
- GA4
- GTM Server-Side
- stape.io
- BigQuery (Frankfurt)
- Consent Mode V2
- Meta CAPI
- Google Enhanced Conv.
- Usercentrics
✓ Zertifizierter stape.io- & Usercentrics-Partner
Kurz gesagt
Wir bauen die Messkette server-seitig neu, von der ersten Impression bis in GA4, BigQuery und über Conversion APIs zurück in Meta, Google und Co. Signale, die Adblocker, ITP und Consent-Ausfälle sonst schlucken, kommen wieder an. DSGVO-konform und in der EU gehostet.
- Für wen
- E-Commerce & Lead-Gen mit nennenswertem Ads-Budget
- Was Sie bekommen
- Server-Side-Setup, CMP-Integration & QA gegen Blueprint
- Einstieg
- Audit Sprint ab 2.400 €, in 2 Wochen
01Kurzer Selbsttest
Sie sind hier richtig, wenn:
Bitte ankreuzen, was zutrifft.
02So funktioniert's
Vom Klick bis in die Plattform, in vier Schritten.
First-party an den eigenen Server, statt über Dutzende Drittanbieter-Domains.
- browser → 1st-party
Signal
Ein Event entsteht im Browser und geht first-party an Ihre eigene Subdomain, nicht direkt an Google.
- GTM SS · stape.io
Server-Container
GTM Server-Side auf stape.io empfängt das Event, filtert PII und reichert es an.
- Consent Mode V2
Consent-Gate
Consent Mode V2 entscheidet vor jedem Tag, welche Daten fließen. Ohne Einwilligung nur modelliert.
- GA4 · CAPI · BigQuery
Verteilung
Das saubere Event geht an GA4 und Meta CAPI, parallel nach BigQuery Frankfurt.
03Was wir bauen
Was wir bauen
Client-Side Tracking verliert Signale an ITP, Adblocker und Consent-Ausfälle. Die Ad-Algorithmen optimieren dann auf Rauschen. Wir bauen die Messkette neu, server-seitig.
100 Prozent über stape.io, geroutet in BigQuery Frankfurt. DSGVO-konforme Analytics von Grund auf, auf den EU AI Act vorbereitet. Das Modell ist einfach: Spec von uns, Code von Ihrem Dev-Team, QA wieder von uns. Kein Vendor-Lock-in.
Marketing will Daten. Der DPO blockt. Beide haben recht. Das endet erst, wenn die Trennung auf Server-Ebene erzwungen wird, nicht im Auswertungs-Excel: PII gefiltert, bevor sie an Google geht, Consent-State serverseitig, ein Audit-Log, das der DPO jederzeit abrufen kann.
04Der Unterschied
Nur Client-Side vs. EU-Server-Side.
Architektur: EU-first Data Routing mit strikter PII-Trennung. BigQuery in der Frankfurt-Region umgeht US-CLOUD-Act-Transfers vor jeder Anonymisierung.
05Die Bausteine
Vier Module. Ein Setup.
Buchbar einzeln oder als Kette, je nach Reifegrad Ihres bestehenden Trackings.
Web Analytics Setup & Audit
Vollständige Implementierung oder technischer Audit eines bestehenden Web-Analytics-Setups. Tool-agnostisch, wir empfehlen was zum Use-Case passt.
Konkret: GA4, Plausible CE oder Matomo, Server-Side via stape.io, UA-GA4-Bereinigung, Cross-Domain, Bot- und Referral-Filter.
Tools: GA4 · Plausible CE · GTM · GTM Server-Side · stape.io
Mobile & App Analytics (Firebase)
Analytics für native und hybride Apps. Firebase sauber konfiguriert, mit Event-Schema, das zur Web-Strategie passt und in BigQuery zusammenläuft.
Konkret: Event-Schema iOS/Android, datenschutzorientierte Firebase-Config, App-Consent mit Enterprise-CMP, Firebase ↔ GA4 BigQuery-Export.
Tools: Firebase Analytics · GA4 · BigQuery · Usercentrics · OneTrust
Cookie Consent & Consent Engineering
Der Consent-Layer ist keine Checkbox. Falsch konfiguriert vernichtet er Daten, richtig konfiguriert schützt er Nutzer und lässt die Analyse laufen.
Konkret: CMP-Auswahl und -Setup, Cookie-Scanning, Consent Mode V2, Pre-Consent-Scan, laufender CMP-Betrieb.
Tools: Usercentrics · OneTrust · Cookiebot · Consent Mode V2
Conversion APIs & Ad-Plattformen
Pixel plus Conversion API je Plattform, aus einem Server-Container verteilt und über eine gemeinsame Event-ID dedupliziert. So kommen Conversions in den Plattformen an, ohne doppelt zu zählen.
Konkret: Meta, Google, TikTok, LinkedIn, Criteo, Outbrain. Klick-ID-Capture (gclid, fbclid), CRM- und Offline-Conversions, Match-Quality-Monitoring.
Tools: Meta CAPI · Google Enhanced Conv. · TikTok Events · LinkedIn CAPI
06Für wen
Für wen sich das rechnet.
Product & Engineering
Teams, die eine App oder Website neu bauen und Analytics von Anfang an richtig aufsetzen wollen, nicht als Nachgedanke in Sprint 12.
Marketing
Teams, die wissen, dass das eigene GA4-Setup kaputt ist, aber nicht wissen wie kaputt. Oder deren Zahlen nach der GA4-Migration intern angezweifelt werden.
CMO / VP Marketing
Vor einer Budget-Entscheidung, und darauf angewiesen, dass die Conversion-Daten stimmen und intern vertretbar sind.
CTO / Tech Leads
Brauchen einen Partner, der direkt mit dem Dev-Team spricht, umsetzbare Spec-Dokumente liefert und nach dem Launch nicht verschwindet.
07Deliverables
Was am Ende steht.
Strategie & Planung
- Measurement Blueprint: Event-Schema, Naming Convention, Parameter
- Tracking Guide für das Dev-Team, direkt umsetzbar
- Tool-Empfehlung mit schriftlicher Begründung
- Consent-Architektur-Dokumentation
Technische Implementierung
- GTM-Container: Tags, Trigger, Variablen, Struktur
- Server-Side GTM via stape.io
- CMP-Setup (Usercentrics / OneTrust / Cookiebot) plus Consent Mode V2
- Conversion APIs je Plattform (Meta, Google, TikTok, LinkedIn, Criteo, Outbrain), dedupliziert
QA & Validierung
- Event-Testing gegen den Blueprint, jedes Event einzeln
- Consent-Flow-Prüfung, Pre- und Post-Consent
- Monitoring-Dashboard mit Match-Quality und Alerts je Destination
- Abnahmedokument mit Sign-off
Übergabe & Betrieb
- Übergabe-Dokumentation für das interne Team
- Datenschutz-Dokumentation, abgestimmt mit Ihrer Beratung
- 30 Tage Post-Launch-Support
Was wir NICHT machen
Engagement-Tiefen
Drei Tiefen. Klare Scopes.
Kein Retainer ohne Bedarf.
Audit Sprint
Wir prüfen, was falsch läuft. Priorisierter Report + Handlungsplan.
zzgl. gesetzlicher MwSt.
Eingeschlossen
- Vollständige Analyse des bestehenden Setups
- Priorisierter Report mit konkreten Maßnahmen
- 90-Minuten-Walkthrough mit dem Team
Nicht enthalten
- Implementierung (folgt im Build Sprint)
- Code in App oder Website
Wann sinnvoll
Wenn das Setup läuft, aber die Zahlen intern angezweifelt werden.
Festpreis je nach Scope (Audit Sprint / Audit Sprint Plus). 50 % werden auf einen Build Sprint angerechnet, wenn innerhalb von 30 Tagen beauftragt.
Audit Sprint anfragen →Build Sprint
Neuaufbau oder Restrukturierung, nach Spec gebaut.
zzgl. gesetzlicher MwSt.
Eingeschlossen
- Measurement Blueprint + GTM / Server-Side via stape.io
- CMP-Integration + Consent Mode V2
- QA-Abnahme gegen Blueprint + 30 Tage Support
Nicht enthalten
- Kampagnen-Execution, Media-Buying, Creatives
- Tool-Lizenzen (direkt beim Anbieter, keine Marge)
Wann sinnvoll
Wenn strukturell neu gebaut werden muss, statt im Betrieb zu flicken.
Finaler Festpreis nach Scope-Definition.
Build Sprint besprechen →Managed Evolution
Laufende Partnerschaft. Analytics als Produkt.
zzgl. gesetzlicher MwSt.
Eingeschlossen
- Monatliche Weiterentwicklung + Roadmap
- QA bei jedem Release-Deploy
- Slack-Support, < 4 h Response (Mo–Fr)
- Monatlicher Report + Executive-Summary
Nicht enthalten
- 24/7-Bereitschaftsdienst
- Kampagnen-Operations
Wann sinnvoll
Wenn Analytics laufend mitwachsen muss.
Monatlich kündbar nach Mindestlaufzeit.
Managed Evolution anfragen →Alle Preise netto, zzgl. gesetzlicher MwSt. Für Unternehmen in Deutschland, Österreich und der Schweiz.
Ist GA4 ohne Server-Side Tracking 2026 noch legal nutzbar?
GA4 selbst bleibt nutzbar, der datenschutzorientierte Betrieb ohne Server-Side wird aber immer schwieriger. Drei Faktoren ziehen Server-Side faktisch zur Pflicht: ITP 2.3 in Safari setzt clientseitige Cookies auf 7 Tage TTL, ML-basierte Adblocker filtern 25 bis 40 Prozent aller GA4-Calls, und Google Consent Mode V2 verlangt eine serverseitig validierte Consent-State. Ohne sGTM optimieren Sie auf gefilterte Daten.
Warum zählen unsere Conversions doppelt?
Fast immer laufen Pixel und Conversion API parallel, ohne dass beide Pfade dieselbe Event-ID tragen. Die Plattform kann nicht deduplizieren und zählt beide Meldungen. Die gemeinsame Event-ID ist deshalb der erste Prüfpunkt in jedem Tracking Audit.
Decken Sie auch Microsoft Ads, Pinterest oder Snap ab?
Ja, nach demselben Muster: Klick-ID sichern, Events aus dem Server-Container senden, Consent-Signal davor. Die sechs Kern-Plattformen (Google, Meta, TikTok, LinkedIn, Criteo, Outbrain) sind im Katalog dokumentiert; weitere Destinationen kommen projektweise über denselben Server-Container dazu.
Was ist Consent Mode V2?
Ein Google-Standard, der vor jedem Tag prüft, ob eine Einwilligung vorliegt. Fehlt sie, fließen nur modellierte, aggregierte Daten, keine personenbezogenen. Pflicht für Google Ads im EWR.
Was ist Server-Side GTM?
Ein Google-Tag-Manager-Container, der nicht im Browser, sondern auf einem eigenen Server läuft. Signale werden first-party gesendet, an Adblockern und ITP vorbei.
Was ist eine Conversion API (CAPI)?
Eine Server-zu-Server-Schnittstelle, über die Conversions direkt an Meta, Google und Co. gemeldet werden, unabhängig vom Browser-Pixel und damit robuster.
Wie umgehen Sie Adblocker datenschutzkonform?
First-Party-Subdomain (analytics.kunde.de) routet Requests an einen stape.io-Server-Container. Tags laufen serverseitig, der Browser sieht nur eine eigene Domain. Das ist keine Trickserei, sondern eine architekturale Verschiebung: PII wird gefiltert bevor sie an Google geht, Consent Mode V2 läuft davor, das Audit-Log bleibt bei Ihnen.
Reicht Consent Mode V2 für den Datenschutz bei GA4?
Consent Mode V2 regelt wie Google-Tags auf den Consent-Status reagieren, ersetzt aber keine vollständige CMP-Implementierung. Richtig eingesetzt arbeiten beide zusammen: die CMP steuert die Consent-Entscheidung, Consent Mode V2 übermittelt den Status korrekt an Google-Dienste. Ohne CMP-Hintergrund ist Consent Mode V2 nur eine API.
Was ändert der EU AI Act für mein Tracking?
Pures Event-Tracking ist nicht betroffen. Relevant wird der Act, sobald aus Analytics-Daten automatisierte Entscheidungen ablaufen: BigQuery-ML-Modelle für Lookalike-Audiences, Custom-LLMs für Content-Personalisierung, Predictive-Scoring im CRM. Diese Pipelines brauchen Risiko-Klassifizierung, Datenherkunfts-Dokumentation und im Hochrisiko-Fall ein externes Audit. Der EU AI Act gilt gestaffelt: viele zentrale Pflichten werden ab dem 2. August 2026 relevant, weitere Regeln folgen bis 2027. Wir dokumentieren das im Measurement Blueprint von Anfang an mit.
Warum BigQuery in Frankfurt und nicht in den USA?
Die Frankfurt-Region bei Google Cloud bedeutet: Daten bleiben im EU-Rechtsraum. Damit umgehen Sie die US-CLOUD-Act-Transfer-Problematik vor jeder Anonymisierung. Standard Contractual Clauses sind dann für die Ausnahmefälle da, nicht für den Default. Das ist die Lesart, die EU-DPOs ohne Diskussion freigeben.
Was ist ein Measurement Blueprint?
Ein vollständiges technisches Spec-Dokument, das definiert was gemessen wird, wie Events benannt werden und welche Parameter welche Werte tragen. Grundlage für die Dev-Team-Implementierung und die spätere QA-Validierung. Kein Konzeptpapier für die Schublade.
Wer implementiert das Tracking in der App oder auf der Website?
Das interne Dev-Team, nach unserem Measurement Blueprint. Wir schreiben das Spec-Dokument, stehen für Rückfragen zur Verfügung und übernehmen nach der Implementierung die vollständige QA und alles Weitere. Bewusste Entscheidung gegen Vendor-Lock-in: Der Code verbleibt beim Kunden.
Brauche ich für eine App einen anderen Ansatz als für eine Website?
Ja. Apps nutzen Firebase Analytics als Basis, Websites meist GA4 oder Plausible. Die Event-Schemas unterscheiden sich, die Consent-Architektur unterscheidet sich (App-Consent vs. Browser-Consent), und die QA-Methodik ist technisch anders. Wir decken beide Welten ab.
Was kostet ein Analytics-Audit?
Audit Sprint zum Festpreis 2.400 € netto, 10 Arbeitstage Lieferung. Enthält priorisierte Fehler-Liste, konkreten Handlungsplan und 90-Minuten-Walkthrough-Call. Komplexere Setups mit mehreren Brands oder App + Web + Shop laufen über den Audit Sprint Plus zu 3.900 €. Kein Folge-Vertrag.
Sie sind Usercentrics-Partner. Empfehlen Sie trotzdem andere CMPs?
Ja. Die Zertifizierung (CMP Expert Tech Track, seit Juni 2026) gibt uns direkte Eskalationswege und frühe Sicht auf Produkt-Änderungen, keine Empfehlungspflicht. Cookiebot bleibt unser Default für KMU-Setups, OneTrust passt für konzernweite Privacy-Suites, und wo ein Stack ohne einwilligungspflichtige Dienste auskommt, raten wir zur Banner-freien Architektur. Alle Partnerschaften stehen offen auf /integrations/.
Arbeiten Sie auch mit OneTrust für kleinere Unternehmen?
OneTrust ist technisch für jede Unternehmensgröße einsetzbar, in Lizenz und Konfigurationsaufwand für SMB aber oft überdimensioniert. Für kleinere Unternehmen empfehlen wir meist Usercentrics (DACH-Marktführer) oder Cookiebot. Wir empfehlen was passt, nicht was wir am besten kennen.
Wir haben bereits ein Setup von einer anderen Agentur, können wir migrieren?
Standard-Fall. Wir starten meist mit einem Audit Sprint: Bestandsaufnahme des aktuellen Setups, priorisierter Mängel-Report, Migrations-Plan. Je nach Tiefe der bestehenden Probleme wird gemeinsam entschieden, ob Bereinigung oder Neuaufbau wirtschaftlicher ist. Vendor-Lock-in ist nie ein Argument: alle GTM-Container, BigQuery-Exports und CMP-Konfigurationen verbleiben im Eigentum des Kunden.
Integrations
Aus dem Integrations-Katalog
Diese Tools binden wir für diese Leistung an. Jede Katalogseite bewertet das Tool ehrlich: Setup-Aufwand, DSGVO-Einordnung und wann es passt.
Nächster Schritt
Tracking, das die nächsten drei Jahre überlebt.
Audit Sprint zum Festpreis 2.400 € netto, 10 Arbeitstage Lieferung. Priorisierter Report, 90-Minuten-Walkthrough-Call. Kein Folge-Vertrag, kein Retainer-Zwang.
- Einstieg
- 2.400–3.900 € netto
- Lieferung
- 2–6 Wochen
- Umfang
- 5 Module