Skip to content
Innopulse Consulting
Navigate
EnglishDeutsch
Get in touch
Contact
info@innopulse.io+41 79 508 28 06
Gotthardstrasse 30, 6300 Zug
Datenschutz & DSGVO

Tracking und Fingerprinting: was nach DSGVO noch erlaubt ist

Wie sich Tracking-Methoden von Cookies bis Fingerprinting unterscheiden, was die DSGVO und die ePrivacy-Regeln verlangen und welche datenschutzfreundlichen Alternativen es gibt.

Doruntina Jusaj
Doruntina Jusaj
Marketing Managerin
·3 min read
In this article
  1. Der entscheidende Massstab
  2. Fingerprinting ist nicht der Ausweg
  3. Serverseitiges Tracking
  4. Was ohne Einwilligung geht
  5. Der ehrliche Weg
  6. Transparenz bleibt Pflicht
  7. Fazit
  8. Die Folgen für die Architektur

Mit dem Niedergang der Drittanbieter-Cookies hat sich die Tracking-Landschaft verschoben — und mit ihr die Datenschutzfragen. Neben den klassischen Cookies sind Methoden wie Browser-Fingerprinting, serverseitiges Tracking und cookieless Analytics in den Vordergrund gerückt. Viele Unternehmen hoffen, mit diesen Alternativen die Einwilligungspflicht zu umgehen. Diese Hoffnung trügt in den meisten Fällen. Dieser Beitrag ordnet die gängigen Methoden datenschutzrechtlich ein und zeigt, was tatsächlich erlaubt ist.

Der entscheidende Massstab

Für die rechtliche Bewertung kommt es nicht auf die Technik an, sondern auf zwei Fragen: Werden Informationen auf dem Endgerät gespeichert oder ausgelesen, und werden personenbezogene Daten verarbeitet? Die ePrivacy-Regeln und die nationale Umsetzung verlangen für das Speichern und Auslesen von Informationen auf dem Endgerät grundsätzlich eine Einwilligung — unabhängig davon, ob es sich technisch um ein Cookie oder etwas anderes handelt. Es ist also irreführend, von „Cookie-Bannern" zu sprechen; die Pflicht knüpft an den Zugriff auf das Endgerät an, nicht an die konkrete Technologie Cookie.

Fingerprinting ist nicht der Ausweg

Browser-Fingerprinting erstellt aus den Eigenschaften eines Geräts und Browsers — Bildschirmauflösung, installierte Schriften, Konfiguration — einen eindeutigen Erkennungswert, ohne ein Cookie zu setzen. Manche sehen darin einen Weg, die Einwilligungspflicht zu umgehen. Das Gegenteil ist der Fall: Fingerprinting liest Informationen vom Endgerät aus und dient der Wiedererkennung von Personen, ist also datenschutzrechtlich mindestens so eingriffsintensiv wie ein Cookie — oft mehr, weil der Nutzer es nicht löschen kann. Aufsichtsbehörden behandeln Fingerprinting deshalb regelmässig als einwilligungspflichtig. Es ist kein Schlupfloch, sondern ein verschärftes Risiko.

Serverseitiges Tracking

Beim serverseitigen Tracking werden Daten nicht direkt vom Browser an Drittanbieter, sondern zunächst an den eigenen Server und von dort weitergeleitet. Das verändert die technische Architektur, aber nicht die rechtliche Grundfrage: Werden weiterhin personenbezogene Daten verarbeitet und an Dritte übermittelt, gelten dieselben Anforderungen an Rechtsgrundlage, Einwilligung und Transparenz. Serverseitiges Tracking kann die Datenkontrolle verbessern und ist technisch oft robuster, aber es macht aus einer einwilligungspflichtigen Verarbeitung keine einwilligungsfreie. Wer es als Umgehung verkauft, verkennt die Rechtslage.

Was ohne Einwilligung geht

Es gibt einen schmalen, aber realen Bereich einwilligungsfreier Verarbeitung: unbedingt erforderliche technische Vorgänge und datenschutzfreundliche Reichweitenmessung, die ohne geräteübergreifende Wiedererkennung auskommt. Einige Analyse-Werkzeuge sind explizit darauf ausgelegt, ohne Cookies und ohne personenbezogene Profile zu arbeiten — sie aggregieren Daten so, dass kein Personenbezug entsteht. Solche Lösungen können je nach konkreter Ausgestaltung einwilligungsfrei betreibbar sein. Die Einordnung hängt aber von den Details ab; pauschale Werbeversprechen „100 % DSGVO-konform ohne Banner" sollten Sie kritisch prüfen.

Der ehrliche Weg

Der nachhaltigste Ansatz ist, die Frage umzudrehen: Statt nach Wegen zu suchen, die Einwilligung zu umgehen, fragen Sie, welche Daten Sie wirklich brauchen. Oft genügt eine datensparsame, aggregierte Reichweitenmessung für die meisten Geschäftsentscheidungen, und das aufwendige, einwilligungspflichtige Profiling bringt weniger zusätzlichen Wert, als sein rechtliches und reputatives Risiko kostet. Eine bewusste Reduktion auf das Nötige ist häufig die wirtschaftlich wie rechtlich klügste Entscheidung — und sie erspart das Cookie-Banner, das ohnehin viele Nutzer abschreckt.

Transparenz bleibt Pflicht

Unabhängig von der gewählten Methode bleibt die Transparenzpflicht. Ihre Datenschutzerklärung muss ehrlich abbilden, welche Tracking- und Analyse-Verfahren Sie einsetzen, zu welchem Zweck und auf welcher Rechtsgrundlage. Eine Verschleierung der tatsächlich eingesetzten Methoden — etwa das Verschweigen von Fingerprinting — ist nicht nur rechtswidrig, sondern beschädigt das Vertrauen massiv, wenn es auffliegt. Ehrliche, vollständige Information über Ihr Tracking ist die Grundlage jeder rechtssicheren Lösung.

Fazit

Die Tracking-Landschaft hat sich gewandelt, aber der rechtliche Massstab nicht: Es kommt auf den Zugriff auf das Endgerät und die Verarbeitung personenbezogener Daten an, nicht auf die konkrete Technik. Fingerprinting und serverseitiges Tracking sind keine Schlupflöcher, sondern unterliegen denselben oder schärferen Anforderungen. Der nachhaltige Weg ist die Datensparsamkeit — fragen Sie, welche Daten Sie wirklich brauchen, ziehen Sie datenschutzfreundliche, aggregierte Analyse in Betracht und bleiben Sie über alle Methoden hinweg transparent. Dies ist eine fachliche Einordnung und ersetzt im Zweifel keine Rechtsberatung.

Die Folgen für die Architektur

Wer Tracking datenschutzkonform gestalten will, trifft Entscheidungen, die bis in die technische Architektur reichen. Eine Einwilligungsverwaltung muss so gebaut sein, dass tatsächlich nichts lädt, bevor die Einwilligung vorliegt — nicht nur der Banner angezeigt, während die Skripte längst feuern. Das verlangt, dass Tracking- und Analyse-Komponenten erst nach der Einwilligung initialisiert werden, was eine bewusste technische Umsetzung erfordert. Eine Einwilligungsverwaltung, die kosmetisch ist, aber die Datenflüsse nicht wirklich kontrolliert, erfüllt die Anforderung nicht, egal wie schön der Banner aussieht.

Prüfen Sie Ihre tatsächlichen Datenflüsse deshalb technisch, nicht nur konzeptionell: Öffnen Sie die Entwicklertools und beobachten Sie, was vor und nach der Einwilligung an wen gesendet wird. Diese empirische Prüfung deckt regelmässig Diskrepanzen zwischen dem, was die Datenschutzerklärung beschreibt, und dem, was tatsächlich passiert, auf. Privacy by Design bedeutet hier konkret, die Einwilligung zur echten technischen Vorbedingung jeder nicht erforderlichen Verarbeitung zu machen — eine Architekturentscheidung, keine Bannerfrage.

Behalten Sie schliesslich die regulatorische Entwicklung im Blick. Die Regeln zu Tracking und ePrivacy werden auf europäischer Ebene seit Jahren überarbeitet, und Aufsichtsbehörden konkretisieren ihre Auslegung laufend, gerade zu neueren Methoden wie Fingerprinting und serverseitigem Tracking. Was heute in einer Grauzone liegt, kann morgen klar geregelt sein. Wer seine Tracking-Architektur auf dem Prinzip der Datensparsamkeit und der echten Einwilligung aufbaut, statt auf der Suche nach Schlupflöchern, ist gegen diese Entwicklung weitgehend robust — denn Datensparsamkeit und Transparenz bleiben unter jeder denkbaren Verschärfung die sichere Seite.

About the author
Doruntina Jusaj
Doruntina Jusaj
Marketing Managerin · Innopulse Consulting

Marketing Managerin bei Innopulse Consulting. Verantwortet Marke, Content-Strategie und organisches Wachstum über das gesamte Portfolio.

Topics
Tracking DSGVOBrowser Fingerprintingcookieless TrackingWeb-Analyse Datenschutz
Keep reading

Related insights.

Datenschutz & DSGVO

Cookie-Consent unter DSGVO 2026: Best Practices und rechtliche Fallstricke

Cookie-Banner richtig machen: Opt-in, Ablehnen auf gleicher Ebene, TTDSG-Konformität, revDSG-Unterschiede. Aktuelle EuGH-Urteile und Abmahnrisiken.

Leutrim·5 min
Datenschutz & DSGVO

Google Fonts DSGVO-konform einbinden: Abmahnungen vermeiden

Warum dynamisch geladene Google Fonts ein DSGVO-Risiko sind, wie die Abmahnwelle entstand und wie Sie Schriften rechtssicher lokal selbst hosten.

Doruntina·3 min
Datenschutz & DSGVO

Privacy-by-Design für SaaS-Produkte: Sieben Prinzipien in der Praxis

Artikel 25 DSGVO verlangt Privacy-by-Design. Konkrete Engineering-Entscheidungen für Multi-Tenant-SaaS: Datenminimierung, Encryption, Retention, Access-Controls.

Leutrim·5 min
Working on something similar?

Let's talk.

If this article maps to a problem you're actively working on, send us a short description — we'll respond with a practical next step.

Get in touch