DSGVO-konformes Link Tracking - So geht's richtig

Das Problem: Die meisten Link Shortener wie Bitly oder Short.io setzen Cookies und speichern IP-Adressen - ohne dass du es merkst. Das kann teuer werden: Bis zu 20 Millionen Euro oder 4% des Jahresumsatzes.

Was ist Link Tracking?

Link Tracking bedeutet, dass bei jedem Klick auf einen Link Daten erfasst werden: Woher kam der Klick? Welches Gerät wurde verwendet? Wann wurde geklickt? Diese Daten sind Gold wert für Marketing-Teams - aber sie müssen DSGVO-konform erfasst werden.

Warum sind die meisten Link Shortener nicht DSGVO-konform?

1. Cookies ohne Einwilligung

Viele Link Shortener setzen Tracking-Cookies, sobald jemand auf einen Link klickt. Das Problem: Der Nutzer landet auf einer fremden Domain (z.B. bit.ly) und bekommt dort einen Cookie gesetzt - ohne Cookie-Banner, ohne Einwilligung.

Nach § 25 TDDDG (früher TTDSG) und der ePrivacy-Richtlinie ist das Setzen von nicht-essentiellen Cookies ohne vorherige Einwilligung verboten.

2. IP-Adressen werden gespeichert

IP-Adressen sind nach Art. 4 Nr. 1 DSGVO personenbezogene Daten. Die meisten Link Shortener speichern die vollständige IP-Adresse für ihre Analytics - oft ohne Rechtsgrundlage und ohne angemessene Aufbewahrungsfrist.

3. US-Hosting (Schrems II Problem)

Bitly, Short.io und viele andere hosten ihre Server in den USA. Nach dem Schrems II Urteil des EuGH ist die Übermittlung personenbezogener Daten in die USA problematisch, da kein angemessenes Datenschutzniveau garantiert werden kann.

Schrems II kurz erklärt

Der EuGH hat 2020 das Privacy Shield Abkommen für ungültig erklärt. Seitdem ist die Datenübermittlung in die USA nur noch unter strengen Voraussetzungen möglich. Viele Aufsichtsbehörden sehen die Nutzung von US-Diensten kritisch.

Welche Daten darf ich DSGVO-konform tracken?

Die gute Nachricht: Du kannst weiterhin wertvolle Analytics erfassen - wenn du es richtig machst.

Erlaubt (ohne Einwilligung)

Datenpunkt	Wie erfassen?	Rechtsgrundlage
Land	Aus IP ableiten, IP verwerfen	Art. 6 Abs. 1 lit. f DSGVO
Gerätetyp	Aus User-Agent, nicht speichern	Art. 6 Abs. 1 lit. f DSGVO
Browser/OS	Aus User-Agent, nicht speichern	Art. 6 Abs. 1 lit. f DSGVO
Referrer-Domain	Nur Domain, nicht volle URL	Art. 6 Abs. 1 lit. f DSGVO
Zeitstempel	Wann wurde geklickt	Art. 6 Abs. 1 lit. f DSGVO

Nicht erlaubt (ohne Einwilligung)

Datenpunkt	Problem
IP-Adresse speichern	Personenbezogenes Datum
Cookies setzen	Einwilligung erforderlich (§ 25 TDDDG)
Browser Fingerprinting	Einwilligung erforderlich
Cross-Site Tracking	Einwilligung erforderlich
User-IDs erstellen	Profiling ohne Rechtsgrundlage

So funktioniert DSGVO-konformes Link Tracking

Der Schlüssel liegt in der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO):

Best Practice: Server-Side Tracking

Klick kommt rein - Server empfängt HTTP-Request
IP → Land - GeoIP-Lookup (lokal!), IP sofort verwerfen
User-Agent → Device/Browser/OS - Parsen, User-Agent verwerfen
Referrer → Domain - Nur Domain extrahieren
Speichern - Nur die abgeleiteten, nicht-personenbezogenen Daten
Redirect - Nutzer zur Ziel-URL weiterleiten

Checkliste: Ist mein Link Shortener DSGVO-konform?

Werden keine Cookies gesetzt?

Werden keine IP-Adressen gespeichert?

Wird der User-Agent nicht gespeichert (nur geparst)?

Ist der Server in der EU gehostet?

Gibt es einen AVV (Auftragsverarbeitungsvertrag)?

Ist die Datenverarbeitung dokumentiert?

Vergleich: Populäre Link Shortener und DSGVO

Anbieter	Cookies	IP-Speicherung	Hosting
Bitly	Ja	Ja	USA
Short.io	Ja (GTM)	Unklar	USA
URLR	Ja (Matomo)	Unklar	Frankreich
Smoio	Nein	Nein	Deutschland

Fazit

DSGVO-konformes Link Tracking ist möglich - du musst nur auf die richtigen Dinge achten:

Keine Cookies - Server-side Tracking statt Client-side
Keine IP-Speicherung - Nur das Land ableiten
EU-Hosting - Kein Schrems II Risiko
Dokumentation - AVV und Datenschutzerklärung

Smoio: Der DSGVO-konforme Link Shortener

Keine Cookies, keine IP-Speicherung, gehostet in Frankfurt. Mit AVV und vollständiger Dokumentation für deinen Datenschutzbeauftragten.

Jetzt starten Mehr erfahren