Im kürzlich veröffentlichten JENTIS Tracking Report zeigen die Ergebnisse, dass serverseitiges Tracking in wichtigen europäischen Märkten zunehmend zum Standard wird – insbesondere in der DACH-Region und den nordischen Ländern. Viele Organisationen wechseln von browserbasiertem zu serverseitigem Tracking, um Datenverluste zu reduzieren und wieder mehr Kontrolle über ihre Analytics-Setups zu gewinnen. Häufig wird zuerst an serverseitigen Google Tag Manager gedacht, da er bessere Performance, weniger clientseitige Abhängigkeiten und eine sauberere Implementierung verspricht.
Aus datenschutzrechtlicher Sicht entsteht dabei jedoch ein unerwartetes Problem: Serverseitiger GTM löst die grundlegenden rechtlichen Risiken rund um internationale Datenübermittlungen, Drittanbieterabhängigkeit und gemeinsame Verantwortlichkeit nicht. JENTIS hingegen wurde als Privacy Enhancing Technology konzipiert, die DSGVO-konforme Verarbeitung, EU-basierte Hostingstrukturen und klare Verantwortlichkeiten direkt in der Architektur verankert. Dieser Artikel zeigt, wo die Risiken bei serverseitigem GTM entstehen und wie ein alternativer serverseitiger Ansatz wie JENTIS diese beseitigt.
Die Compliance-Lücke bei serverseitigem GTM
Die Annahme, dass serverseitiger GTM automatisch für mehr Datenschutz sorgt, basiert auf der Vorstellung „server-side = sicherer“. Der technische Wechsel verändert jedoch weder, wer die Daten verarbeitet, noch wo sie verarbeitet werden oder wie sie rechtlich einzuordnen sind.
Risiko der gemeinsamen Verantwortlichkeit
Das größte rechtliche Risiko bei serverseitigen GTM-Setups ist die Gefahr einer gemeinsamen Verantwortlichkeit nach Artikel 26 DSGVO. Das liegt daran, dass Google nicht nur als neutraler Hosting-Provider agiert. Die Datenverarbeitung über GTM wird sowohl durch die Konfiguration des Websitebetreibers als auch durch Googles technische Umgebung und Service-Logik bestimmt. Beide Parteien wirken somit an wesentlichen Aspekten der Verarbeitung mit.
Laut dem Gutachten von Spirit Legal verarbeitet JENTIS personenbezogene Daten ausschließlich im Auftrag des Websitebetreibers, auf Basis dessen Weisungen und ohne eigene Zwecke. Diese klare Rollenverteilung ist ein zentraler Bestandteil DSGVO-konformer Verarbeitung, da sie dem Betreiber ermöglicht, Zweck und Umfang der Datenverarbeitung vollständig selbst festzulegen und zu dokumentieren.
Im Gegensatz dazu geht die Rolle von Google im GTM über eine reine Infrastrukturleistung hinaus: Google legt fest, wie Tags geladen werden, wie Informationen übertragen werden und welche technischen Bedingungen gelten. Dadurch entsteht eine gemeinsame Entscheidungsstruktur, in der der Betreiber keine vollständige Kontrolle über die Verarbeitung beanspruchen kann. Wie in der Dokumentation hervorgehoben wird, untergräbt diese Unklarheit die Rechenschaftspflichten des Betreibers, weil nicht eindeutig ist, wer für welche Teile der Verarbeitung verantwortlich ist.
Dieses Risiko ist nicht theoretisch. Sobald Verantwortung geteilt wird, wird es deutlich schwieriger, nachzuweisen, dass die Datenverarbeitung den gesetzlichen Anforderungen entspricht. Der Betreiber kann Datenflüsse nicht einseitig bestimmen, kann die Verarbeitung nicht zuverlässig auf die vorgesehenen Zwecke begrenzen und hat kaum Einfluss auf nachgelagerte Risiken. Genau dieses Szenario soll das Controller-Processor-Modell der DSGVO verhindern, bei dem der Verantwortliche die Kontrolle behält und der Auftragsverarbeiter ausschließlich nach Weisung handelt.
Warum Einwilligung das Problem nicht löst
Auch ein Consent-Banner ändert daran nichts. Die Leitlinien des EDPB machen deutlich, dass Einwilligung das Grundproblem nicht behebt, wenn personenbezogene Daten in einem Umfeld verarbeitet werden, in dem Behörden weitreichenden Zugriff haben. Entscheidend ist nicht das Einwilligungsbanner, sondern das Rechtsumfeld im Empfängerland. Wenn Behörden Zugriffsmöglichkeiten haben, die nicht dem europäischen Schutzniveau entsprechen, kann die DSGVO-konforme Verarbeitung nicht allein durch Einwilligung gewährleistet werden.
Das Urteil des Verwaltungsgerichts Hannover vom März 2025 bestätigt dies in der Praxis: Der Google Tag Manager löst bereits vor einer Nutzerentscheidung personenbezogene Datenübermittlungen aus und darf deshalb nur mit expliziter Einwilligung aktiviert werden.
Damit entsteht ein Compliance-Dilemma: Serverseitiger GTM reduziert zwar technische Komplexität im Browser, doch die grundlegenden rechtlichen Probleme bleiben bestehen. Diese Risiken werden seit Jahren diskutiert, insbesondere im Zusammenhang mit der Schrems-II-Entscheidung des EuGH, die strenge Anforderungen für Datenverarbeitungen unter ausländischen Zugriffsregimen formuliert.
Wie JENTIS diese Risiken löst
Rechtsgutachten von Spirit Legal, Fieldfisher und externe technische Prüfungen bestätigen, dass JENTIS Datenschutz durch Technikgestaltung umsetzt und eine rechtlich belastbare Alternative zu serverseitigem GTM bietet.
Klare Rollenverteilung: Verantwortlicher und Auftragsverarbeiter
JENTIS agiert ausschließlich als Auftragsverarbeiter im Sinne von Artikel 28 DSGVO. Der Websitebetreiber definiert Zweck, Kategorien und Umfang der Verarbeitung, während JENTIS diese Vorgaben in einer kontrollierten, EU-basierten technischen Umgebung umsetzt. Eigene Zwecke verfolgt JENTIS nicht.
Damit entsteht – im Gegensatz zu GTM – keine gemeinsame Verantwortlichkeit. Der Betreiber entscheidet, welche Daten erhoben werden, wie sie transformiert werden und an welche Dritten sie weitergegeben werden dürfen. JENTIS stellt lediglich die technische Infrastruktur bereit. Das schafft eine klare, rechtssichere Rollenverteilung und ermöglicht es dem Betreiber, seine Rechenschaftspflichten eindeutig zu erfüllen.
EU-basierte Verarbeitung und vollständige Betreiberkontrolle
Mit der JENTIS Twin Server Architektur verbleiben die Daten vollständig in der EU und unter Kontrolle des Websitebetreibers. Drittanbieter greifen nicht direkt auf das Endgerät zu; jede Weitergabe läuft über die JENTIS-Umgebung, wo Daten reduziert, pseudonymisiert oder nach den Einstellungen des Betreibers angepasst werden können. Dieses Modell unterstützt zentrale DSGVO-Prinzipien wie Datenminimierung und Zweckbindung.
Essential Mode für Situationen ohne Einwilligung
Wenn Nutzer keine Einwilligung geben, ermöglicht JENTIS den Essential Mode. Dieser erlaubt ausschließlich technisch notwendige First-Party-Verarbeitungen, die unter Artikel 5(3) der ePrivacy-Richtlinie bzw. §25(2) TTDSG zulässig sind. So bleibt eine rechtskonforme Reichweitenmessung möglich, ohne die Entscheidung der Nutzer zu umgehen.
Datenschutzfreundliche Analyse durch Pseudonymisierung
Bei fehlender Einwilligung liefert JENTIS mit den Synthetic Users einen datenschutzkonformen Weg, weiterhin aussagekräftige Analysen zu erhalten. Dabei entstehen pseudonymisierte statistische Outputs, die reale Verhaltensmuster abbilden, aber keine Rückschlüsse auf einzelne Personen erlauben. Laut Fieldfisher (2025) fallen Synthetic Users unter die Pseudonymisierung nach Artikel 4(5) DSGVO und ermöglichen damit eine Verarbeitung auf Basis berechtigter Interessen für analytische Zwecke.
Fazit
Der Umstieg auf serverseitiges Tracking ist ein notwendiger Schritt für moderne Analytics. Doch serverseitiger GTM löst nur technische, nicht jedoch rechtliche Herausforderungen. Die Abhängigkeit von der Google-Infrastruktur, das Risiko von Datenübermittlungen in Drittländer und die Möglichkeit einer gemeinsamen Verantwortlichkeit machen GTM aus europäischer Sicht zu einer rechtlich angreifbaren Lösung.
JENTIS setzt hingegen auf EU-basierte Verarbeitung, eine klare Trennung zwischen Verantwortlichem und Auftragsverarbeiter, geprüfte Pseudonymisierungsverfahren und rechtlich zulässige Optionen für Szenarien ohne Einwilligung. So können Organisationen ein leistungsfähiges Analytics-Setup betreiben, ohne ihre Verpflichtungen unter der DSGVO zu gefährden.
