Marketing-Pixel & Conversion-Tracking unter der DSGVO

Wer Werbung schaltet, will wissen, ob sie sich lohnt. Genau dafür gibt es Marketing-Pixel und Conversion-Tracking: kleine Code-Schnipsel, die messen, wer nach einem Klick auf eine Anzeige etwas kauft, ein Formular absendet oder sich anmeldet. So praktisch das für die Erfolgsmessung ist — datenschutzrechtlich gehört dieses Tracking zu den heikelsten Bausteinen einer Website. Dieser Beitrag erklärt neutral, was solche Pixel tun, warum sie in aller Regel einwilligungspflichtig sind und wie du deine eigene Seite überprüfst.

Hinweis: Dieser Artikel ist eine technische Einordnung und ersetzt keine Rechtsberatung. Im Zweifel ziehst du am besten deine Datenschutzbeauftragte oder einen Fachanwalt hinzu.

Was sind Marketing- und Werbe-Pixel?

Ein „Pixel" ist heute kein einzelnes Bild mehr, sondern ein kleines Stück JavaScript, das eine Werbeplattform auf deiner Website ausführt. Es erkennt bestimmte Ereignisse — einen Seitenaufruf, einen Kauf, das Absenden eines Formulars — und meldet sie an die Plattform zurück. Die bekanntesten Vertreter sind:

• Meta-Pixel (Facebook-Pixel): misst Conversions aus Facebook- und Instagram-Werbung und füttert Retargeting.
• Google Ads: Conversion-Tracking und Remarketing-Tags für Anzeigen im Google-Netzwerk.
• LinkedIn Insight Tag: Conversion-Messung und Zielgruppen für LinkedIn-Kampagnen, vor allem im B2B.
• TikTok Pixel: dasselbe Prinzip für TikTok-Werbung.
• Microsoft / Bing (UET-Tag): Conversion- und Remarketing-Tracking für Microsoft Advertising.

Der Zweck dieser Pixel ist nicht reine Reichweitenmessung, sondern gezieltes Werbe-Marketing: Conversion-Messung (welche Anzeige hat zum Kauf geführt?), Retargeting (Besucher später erneut mit Werbung ansprechen) und der Aufbau von Custom- und Lookalike-Audiences (aus deinen Besuchern Zielgruppen bauen und ähnliche Nutzer finden). Genau diese Verzahnung mit dem Werbe-Ökosystem der Plattformen ist es, die das Tracking datenschutzrechtlich so eingriffsintensiv macht.

Was passiert technisch im Hintergrund?

Wird ein Pixel eingebunden, lädt der Browser deiner Besucher zunächst ein Skript der Plattform (etwa von connect.facebook.net oder googleadservices.com). Anschließend passieren in der Regel drei Dinge:

• Cookies und Identifier werden gesetzt, um Besucher über Seitenaufrufe — und oft über Websites hinweg — wiederzuerkennen.
• Event-Daten werden gesendet: Welche Seite wurde aufgerufen, welches Ereignis ausgelöst, dazu technische Merkmale wie IP-Adresse, Browser und teils die aufgerufene URL.
• Advanced Matching: Viele Plattformen bieten an, zusätzlich Kontaktdaten wie E-Mail-Adresse oder Telefonnummer — meist gehasht — mitzusenden, um Personen plattformübergreifend noch zuverlässiger zuzuordnen.

Diese Daten fließen an die jeweilige Werbeplattform, deren Server überwiegend in den USA stehen. Damit liegt nicht nur eine Verarbeitung personenbezogener Daten vor, sondern in der Regel auch ein Datentransfer in ein Drittland, für den eigene Voraussetzungen gelten. Dass Kontaktdaten gehasht übertragen werden, ändert für sich genommen wenig: Ein gehashter Wert dient weiterhin dazu, eine konkrete Person wiederzuerkennen, und gilt damit nach überwiegender Auffassung als personenbezogen.

Warum eine Einwilligung nötig ist

Zwei Ebenen greifen hier ineinander. Auf der technischen Ebene regelt § 25 TDDDG den Zugriff auf Informationen im Endgerät deiner Besucher — also das Setzen und Auslesen von Cookies und vergleichbaren Identifiern. Außerhalb eng begrenzter Ausnahmen (technisch unbedingt erforderlich) braucht dieser Zugriff eine Einwilligung. Werbe- und Tracking-Pixel sind für den Betrieb der Seite nicht erforderlich, fallen also nicht unter die Ausnahme.

Auf der inhaltlichen Ebene braucht die anschließende Verarbeitung der personenbezogenen Daten eine Rechtsgrundlage nach der DSGVO. Bei Werbe-Tracking ist das in aller Regel die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Ein „berechtigtes Interesse" (Art. 6 Abs. 1 lit. f) trägt plattformübergreifendes Werbe-Tracking nach überwiegender Auffassung üblicherweise nicht, weil der Eingriff in die Rechte der Betroffenen zu tief ist und sie damit vernünftigerweise nicht rechnen. In der Praxis heißt das: Marketing- und Conversion-Pixel sollten erst nach einer aktiven, informierten Einwilligung laden — nicht schon beim ersten Seitenaufruf.

Gemeinsame Verantwortlichkeit kann entstehen

Bei manchen Pixeln bist du nicht allein verantwortlich. Wenn du und die Plattform gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden, kann eine gemeinsame Verantwortlichkeit (Joint Controllership) nach Art. 26 DSGVO entstehen — die typischweise eine entsprechende Vereinbarung erfordert. Diskutiert wird das vor allem für den Meta-Pixel. Die Grundüberlegung knüpft an die Logik des EuGH-Urteils „Fashion ID" an, in dem der Gerichtshof allgemein festgehalten hat, dass ein Website-Betreiber für das Erheben und Übermitteln von Daten über ein eingebundenes Plug-in mitverantwortlich sein kann. Wie weit das im Einzelfall reicht, hängt von der konkreten Ausgestaltung ab und ist nichts, was sich pauschal beantworten lässt — eine fachkundige Prüfung ordnet das für deine Situation ein.

Google „Consent Mode v2" ist kein Freibrief

Rund um Google-Dienste wird häufig der „Consent Mode v2" genannt. Das ist ein technisches Hilfsmittel: Es passt das Verhalten der Google-Tags an den Einwilligungsstatus an, den dein Consent-Banner meldet — sendet also etwa nur eingeschränkte oder gar keine Daten, solange keine Einwilligung vorliegt. Wichtig zur Einordnung: Der Consent Mode v2 ersetzt die Einwilligung nicht und ist kein „Schalter", der das Tracking automatisch datenschutzkonform macht. Du brauchst weiterhin ein funktionierendes Consent-Management, das die Einwilligung tatsächlich einholt, bevor einwilligungspflichtige Daten fließen. Der Consent Mode setzt diese Entscheidung lediglich um.

Wie prüfst du deine eigene Seite?

Du musst kein Profi sein, um einen ersten Eindruck zu bekommen, ob Pixel auf deiner Seite aktiv sind — und vor allem, ob sie schon vor einer Einwilligung feuern:

• Netzwerk-Tab der Entwicklertools: Öffne deine Seite, drücke F12, gehe auf „Netzwerk" und lade neu — ohne vorher im Banner zuzustimmen. Suche nach Requests an facebook.com/tr, connect.facebook.net, googleadservices, google-analytics sowie an snap-, tiktok- oder linkedin-Domains.
• Vor und nach der Einwilligung vergleichen: Tauchen diese Requests schon vor einem Klick auf „Akzeptieren" auf, ist das ein deutliches Warnsignal — dann feuert das Tracking ohne Einwilligung.
• Quelltext durchsuchen: Suche im HTML nach fbq, gtag oder Tag-Manager-Containern. Treffer deuten auf eingebundene Pixel hin.
• Unterseiten nicht vergessen: Conversion-Pixel sitzen oft gezielt auf Dankes- oder Checkout-Seiten — prüfe auch diese Templates, nicht nur die Startseite.

Einen schnellen ersten Eindruck — ob deine Seite überhaupt Werbe-Pixel und Tracker einbindet — bekommst du in rund einer Minute mit dem kostenlosen Schnellcheck. Er ersetzt keine fachkundige Prüfung, zeigt dir aber sofort, ob an dieser Stelle Handlungsbedarf besteht. Wie wir dabei vorgehen und wo die Grenzen liegen, steht in unserer Methodik.

Kurz zusammengefasst

• Marketing-Pixel wie das Meta-Pixel, Google Ads, das LinkedIn Insight Tag, der TikTok Pixel und das Microsoft-UET-Tag messen Conversions, ermöglichen Retargeting und bauen Custom- und Lookalike-Audiences.
• Technisch laden sie Skripte, setzen Cookies und senden Event-Daten — teils gehashte Kontaktdaten via Advanced Matching — an die Plattformen, meist in die USA als Drittland.
• Wegen der hohen Eingriffstiefe sind sie in der Regel klar einwilligungspflichtig (§ 25 TDDDG zusammen mit Art. 6 Abs. 1 lit. a DSGVO); ein berechtigtes Interesse trägt Werbe-Tracking üblicherweise nicht.
• Beim Meta-Pixel kann eine gemeinsame Verantwortlichkeit entstehen; Googles Consent Mode v2 ist ein Hilfsmittel, aber kein Ersatz für die Einwilligung.
• Prüfen kannst du das im Netzwerk-Tab — vor und nach der Einwilligung verglichen — oder im Quelltext.

Dieser Beitrag liefert technische Hinweise und mögliche Risiken, keine Rechtsberatung. Für eine verbindliche Einschätzung deiner konkreten Situation wendest du dich an deine Datenschutzbeauftragte oder einen Fachanwalt.