Cookieless Tracking: So trackst du ohne Cookies in 2026

TL;DR – Das Wichtigste in 30 Sekunden

87% der US-Browser könnten langfristig cookieless werden – getrieben durch Safari ITP, Firefox ETP und Chrome Privacy Sandbox. Nur 17% der Nutzer akzeptieren Third-Party Cookies, wenn sie aktiv wählen können (eMarketer, 2024). Das Problem: Klassisches Client-Side Tracking verliert massiv an Daten – Ad-Blocker, Browser-Restrictions und Consent-Verweigerung killen deine Analytics-Daten.

Die Lösung? Server-Side First-Party Tracking. Damit umgehst du Cookie-Blocker, bleibst DSGVO-konform und behältst volle Datenkontrolle. In diesem Guide zeige ich dir, wie du GA4 cookieless aufsetzt, welche Alternativen es gibt und warum Session-Based Tracking ohne Cookies die Zukunft ist.

Was ist Cookieless Tracking?

Cookieless Tracking ist eine Methode, Nutzer-Verhalten zu messen, ohne auf Browser-Cookies (First-Party oder Third-Party) angewiesen zu sein. Statt Daten im Browser des Nutzers zu speichern, läuft die Datenerfassung server-seitig oder nutzt alternative Identifikationsmethoden wie Session-IDs oder First-Party Data.

Das Ziel: DSGVO-konforme Analytics, die funktioniert – selbst wenn Nutzer Cookies ablehnen, Ad-Blocker nutzen oder Browser wie Safari Firefox Tracking standardmäßig blockieren.

Warum Cookieless Tracking jetzt kritisch ist

Drei Entwicklungen machen Cookieless Tracking 2026 zur Pflicht:

1. Browser-Restrictions wachsen: Safari und Firefox blockieren Tracking bereits für 20-25% der Internet-Nutzer durch ITP (Intelligent Tracking Prevention) und ETP (Enhanced Tracking Protection).
2. Google Chrome’s Cookie-Deprecation: Google begann am 4. Januar 2024 mit 1% Cookie-Deprecation (~30 Millionen Nutzer betroffen). Zwar wurde die komplette Abschaffung am 22. Juli 2024 rückgängig gemacht – aber der Trend bleibt: Nutzer lehnen Cookies ab, wenn sie die Wahl haben.
3. Consent-Raten sinken: Bei aktiver Wahl akzeptieren nur 17% der US-Verbraucher Third-Party Cookies (eMarketer Survey, Juli 2024). Im deutschsprachigen Raum dürfte die Rate noch niedriger sein.

Wichtig: Auch bei cookieless Tracking brauchst du nach DSGVO und TDDDG eine Rechtsgrundlage (meist Consent). „Ohne Cookies“ bedeutet nicht „ohne Einwilligung“ – der Zugriff auf das Endgerät bleibt personenbezogene Datenverarbeitung.

Cookieless Tracking Methoden im Vergleich

Nicht alle cookieless Methoden sind gleich. Einige sind DSGVO-konform, andere rechtlich riskant. Hier ist der Überblick:

1. Server-Side First-Party Tracking (Empfohlen)

Das ist die zukunftssichere Lösung. Statt Tracking-Code im Browser laufen zu lassen, sendet dein Server die Daten direkt an Analytics-Tools. Der Vorteil: Ad-Blocker können server-seitiges Tracking nicht blockieren, du behältst volle Datenkontrolle und bleibst DSGVO-konform.

Wie es funktioniert:

• Nutzer-Requests laufen über deinen Server (First-Party Context)
• Server extrahiert Tracking-Daten und sendet sie an GA4, Meta CAPI, etc.
• Keine Third-Party Cookies im Browser nötig
• Client-ID wird server-seitig verwaltet (Session-basiert)

Vorteile:

• +30% mehr Daten durch Ad-Blocker-Umgehung (Branchen-Durchschnitt)
• Volle DSGVO-Kontrolle (Daten verlassen deinen Server kontrolliert)
• Zukunftssicher – funktioniert unabhängig von Browser-Restrictions
• Bessere Datenqualität für First-Party Data Strategien

Nachteile:

• Technische Einrichtung komplexer als Client-Side
• Hosting-Kosten für Server (z.B. Stape.io, eigenes Setup)
• First-Party Domain erforderlich (z.B. s.deine-domain.de)

Code-Beispiel: Server-Side GA4 Tracking (Node.js)

// Server-side tracking middleware for Express.js
// Sends events to GA4 via Measurement Protocol

const express = require('express');
const crypto = require('crypto');

const app = express();

// Generate or retrieve client ID from server-side session
function getClientId(req) {
  if (!req.session.clientId) {
    req.session.clientId = crypto.randomUUID();
  }
  return req.session.clientId;
}

// Track event server-side
async function trackEvent(req, eventName, params = {}) {
  const measurementId = 'G-XXXXXXXXXX';
  const apiSecret = 'YOUR_API_SECRET';
  
  const payload = {
    client_id: getClientId(req),
    events: [{
      name: eventName,
      params: {
        session_id: req.sessionID,
        engagement_time_msec: params.engagementTime || 0,
        ...params
      }
    }]
  };
  
  // Send to GA4 Measurement Protocol
  await fetch(`https://www.google-analytics.com/mp/collect?measurement_id=${measurementId}&api_secret=${apiSecret}`, {
    method: 'POST',
    body: JSON.stringify(payload)
  });
}

// Middleware for page tracking
app.use(async (req, res, next) => {
  await trackEvent(req, 'page_view', {
    page_title: req.path,
    page_location: req.originalUrl
  });
  next();
});

Praxis-Tipp: Die einfachste Lösung für Server-Side GTM ist ein Hosting-Anbieter wie Stape.io. Damit sparst du dir das Server-Setup und kannst dich auf die Tag-Konfiguration konzentrieren. Für tieferes Technical Setup empfehle ich unseren Server-Side Tracking Guide.

2. Session-Based Tracking ohne Cookies

Statt Daten in Browser-Cookies zu speichern, nutzt du server-seitige Sessions. Die Session-ID wird serverseitig verwaltet und mit jedem Request verknüpft. Funktioniert komplett ohne Client-Side Cookies.

Vorteile:

• Keine Cookies im Browser nötig
• DSGVO-konform bei korrekter Implementierung
• Einfacher als vollständiges Server-Side Tracking

Nachteile:

• Session endet beim Browser-Schließen (kein langfristiges Tracking)
• Cross-Device Tracking nicht möglich
• Eingeschränkte User Journey Analyse

Code-Beispiel: Session-Based Tracking (PHP)

<?php
// Server-side session tracking without cookies
// Uses server-side session storage instead of browser cookies

session_start();

// Generate unique session ID if not exists
if (!isset($_SESSION['tracking_id'])) {
    $_SESSION['tracking_id'] = bin2hex(random_bytes(16));
    $_SESSION['first_visit'] = time();
    $_SESSION['session_count'] = 1;
}

// Track page view event
$trackingData = [
    'client_id' => $_SESSION['tracking_id'],
    'session_id' => session_id(),
    'session_count' => $_SESSION['session_count'],
    'first_visit' => $_SESSION['first_visit'],
    'timestamp' => time(),
    'page' => $_SERVER['REQUEST_URI'],
    'user_agent' => $_SERVER['HTTP_USER_AGENT'],
    'ip_hash' => hash('sha256', $_SERVER['REMOTE_ADDR'])
];

// Send to analytics endpoint
sendToAnalytics($trackingData);

// Update session
$_SESSION['session_count']++;
?>

Wann sinnvoll: Für einfache Use Cases, wo du nur Session-Daten brauchst und kein langfristiges User-Tracking. Für E-commerce und Conversion-Tracking ist Server-Side First-Party Tracking die bessere Wahl.

3. First-Party Data Strategie

Der Schlüssel zu cookieless Tracking: First-Party Data sammeln und nutzen. Das sind Daten, die du direkt von deinen Nutzern erhebst – E-Mail-Adressen, Account-Daten, Preferences, Kaufhistorie.

Warum First-Party Data der Game-Changer ist:

• 4x höhere Conversion-Rate mit First-Party Data (Beispiel: W for Woman in Advantage+ Shopping Campaigns)
• 83% bessere Customer Acquisition Costs
• 78% höhere Kundenzufriedenheit
• 35% höhere Engagement-Raten durch personalisierten Outreach

(Quelle: Forrester Consulting Studie via QRCodeChimp, 2024)

71% der Publisher erkennen First-Party Data als Schlüsselquelle (Q1 2025) – Anstieg von 64% in 2024. Der Trend ist eindeutig.

Implementierung:

1. Logged-in User Tracking: Verknüpfe Analytics-Daten mit User-IDs aus deinem CRM/Shop-System
2. Enhanced Conversions: Nutze gehashte E-Mail-Adressen für Conversion-Tracking in Google Ads
3. First-Party CDP: Sammle und aktiviere Daten über Customer Data Platforms (Segment, mParticle)
4. Server-Side Integration: Sende First-Party Data server-seitig an Marketing-Plattformen

4. Device Fingerprinting (⚠️ DSGVO-Kritisch)

Device Fingerprinting identifiziert Nutzer anhand von Browser-Eigenschaften (User Agent, Screen Resolution, Installed Fonts, Plugins). Theoretisch cookieless – aber in der EU rechtlich problematisch.

⚠️ Warnung: Fingerprinting gilt in der EU oft als heimliches Tracking und ist DSGVO-rechtlich kritisch. Matomo nutzt stattdessen config_id (gehashte OS/Browser/IP/Plugins) als Alternative – aber auch hier ist Rechtsunsicherheit.

Meine Empfehlung: Finger weg von Fingerprinting im DACH-Markt. Die Risiken überwiegen. Setze auf Server-Side First-Party Tracking und First-Party Data.

GA4 Cookieless Tracking einrichten

Google Analytics 4 kann cookieless betrieben werden – vorausgesetzt, du konfigurierst es richtig. Der Schlüssel: Consent Mode v2 kombiniert mit Server-Side Tagging.

Schritt 1: Consent Mode v2 implementieren

Seit März 2024 ist Consent Mode v2 für GA4 und Google Ads zwingend. Ohne Consent Mode werden Daten in der EU gar nicht mehr erfasst.

Was Consent Mode v2 macht:

• Signalisiert Google, ob der Nutzer Consent gegeben hat
• G100 = Kein Consent (analytics_storage denied, ad_storage denied)
• G111 = Vollständiger Consent (analytics_storage granted, ad_storage granted)
• Behavioral Modeling für nicht-eingewilligte Nutzer

Code-Beispiel: GA4 Consent Mode Setup

// Basic GA4 Consent Mode Implementation
// Vor dem GA4-Tag im <head> platzieren

gtag('consent', 'default', {
  'analytics_storage': 'denied',
  'ad_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied',
  'wait_for_update': 500
});

// Update consent when user accepts
function updateConsent(consentGranted) {
  if (consentGranted) {
    gtag('consent', 'update', {
      'analytics_storage': 'granted',
      'ad_storage': 'granted',
      'ad_user_data': 'granted',
      'ad_personalization': 'granted'
    });
  }
}

// Beispiel: Consent-Banner Integration
document.getElementById('accept-btn').addEventListener('click', function() {
  updateConsent(true);
});

Wichtig: Consent Mode Default muss vor dem GA4-Tag geladen werden. Sonst werden Cookies gesetzt, bevor der Nutzer entscheiden kann – DSGVO-Verstoß.

Schritt 2: Server-Side GTM aufsetzen

Für echtes cookieless Tracking brauchst du Server-Side Google Tag Manager. Damit laufen Tags server-seitig statt im Browser – Ad-Blocker-resistent und DSGVO-freundlicher.

Setup-Optionen:

1. Stape.io: Managed Server-Side GTM Hosting. Einfachste Lösung, aber monatliche Kosten (~29-199€ je nach Traffic).
2. Google Cloud Run: Eigenes Server-Side GTM Hosting auf GCP. Mehr Kontrolle, aber technischer Aufwand.
3. Self-Hosted: Server-Side GTM auf eigenem Server (Docker). Maximale Kontrolle, höchster Aufwand.

Für die meisten Unternehmen empfehle ich Stape.io – schneller Setup, gute Dokumentation, Fair Use Pricing. Du brauchst eine First-Party Subdomain (z.B. s.deine-domain.de), die auf den Stape-Server zeigt.

Code-Beispiel: Server-Side GTM Client Template (Cookieless)

// Server-Side Tag Manager - GA4 Client Template
// Ändert Consent-Mode von G100 zu G111 für cookieless tracking

if (isRequestMpv2()) {
  claimRequest();
  
  const events = extractEventsFromMpv2();
  
  events.forEach((event) => {
    // Make unconsented hits appear in GA
    const consentMode = event['x-ga-gcs'];
    if (consentMode == "G100") {
      event['x-ga-gcs'] = "G111"; // Override to show in GA
    }
    
    // Forward to GA4
    return event;
  });
}

Wie das funktioniert: Der Server-Side GTM Client fängt GA4-Requests ab, ändert den Consent-Mode von G100 (kein Consent) zu G111 (Consent granted), und leitet sie an GA4 weiter. Die Daten erscheinen in GA4 – ohne dass Client-Side Cookies gesetzt wurden.

⚠️ DSGVO-Hinweis: Diese Methode ist rechtlich umstritten. Du umgehst damit den Consent-Mode – aber nicht die DSGVO-Einwilligungspflicht. Ich empfehle, diese Technik nur in Kombination mit einer validen Rechtsgrundlage (Consent oder berechtigtes Interesse nach sorgfältiger Interessenabwägung) zu nutzen.

Schritt 3: Cookieless Mode verifizieren

Nach dem Setup: Testen, ob GA4 wirklich ohne Cookies läuft.

Code-Beispiel: GA4 Cookieless Verification

// Verify GA4 is running in cookieless mode
// Check Network tab for gcs parameter

function checkCookielessMode() {
  // Check if GA4 cookies exist
  const hasGACookie = document.cookie.includes('_ga=');
  const hasGIDCookie = document.cookie.includes('_gid=');
  
  if (!hasGACookie && !hasGIDCookie) {
    console.log('✓ GA4 running in cookieless mode');
    return true;
  } else {
    console.log('✗ GA4 still using cookies');
    return false;
  }
}

// Monitor consent state
gtag('get', 'G-XXXXXXXXXX', 'analytics_storage', (value) => {
  console.log('Current consent state:', value);
  // 'granted' or 'denied'
});

Was du prüfen solltest:

• Network Tab: GA4 Requests mit gcs=G100 oder gcs=G101
• Application Tab → Cookies: Keine _ga oder _gid Cookies
• GA4 Debug Mode: Events kommen an trotz denied consent

Alternativen zu Google Analytics für Cookieless Tracking

Nicht jeder möchte auf Google Analytics setzen – besonders im DACH-Markt mit strengen DSGVO-Anforderungen. Hier sind cookieless-fähige Alternativen:

1. Matomo Analytics (Empfohlen für DACH)

Matomo (ehemals Piwik) ist die bekannteste Open-Source Analytics-Alternative. Self-hosted, volle Datenkontrolle, DSGVO-konform out-of-the-box.

Cookieless Features:

• disableCookies() deaktiviert alle Cookies
• Nutzt config_id (gehashte Browser-Fingerprint) statt Cookies
• Require Consent Mode für DSGVO-Compliance

Code-Beispiel: Matomo Cookieless Configuration

// Matomo Analytics - Cookieless Tracking Configuration

var _paq = window._paq = window._paq || [];

// Disable cookies completely
_paq.push(['disableCookies']);

// Require consent before tracking
_paq.push(['requireConsent']);

// When user grants consent
function matomoGrantConsent() {
  _paq.push(['rememberConsentGiven']);
}

// When user denies - still track anonymously
function matomoDenyConsent() {
  _paq.push(['forgetConsentGiven']);
  // Matomo will use config_id for session continuity
}

// Track page view
_paq.push(['trackPageView']);

(function() {
  var u="//your-matomo-domain.com/";
  _paq.push(['setTrackerUrl', u+'matomo.php']);
  _paq.push(['setSiteId', '1']);
  var d=document, g=d.createElement('script'), s=d.getElementsByTagName('script')[0];
  g.type='text/javascript'; g.async=true; g.src=u+'matomo.js'; s.parentNode.insertBefore(g,s);
})();

Kosten: Kostenlos (Self-Hosted) oder 19-199€/Monat (Matomo Cloud).

2. Plausible Analytics

Plausible ist eine Lightweight-Alternative mit Fokus auf Privacy. Open Source, cookieless by default, keine Personal Data Collection.

Vorteile:

• Keine Cookies, kein Fingerprinting
• DSGVO-konform ohne Consent-Banner (streng genommen)
• Einfaches Dashboard, keine Overwhelming Metrics
• Open Source (Self-Hosted möglich)

Nachteile:

• Weniger Features als GA4 (keine Enhanced E-commerce, kein funnel analysis)
• Keine User-ID basierten Reports

Kosten: 9-149€/Monat (Cloud) oder kostenlos (Self-Hosted via Docker).

3. PostHog

PostHog ist ein Open-Source Product Analytics Tool mit Event-Tracking, Feature Flags und Session Recordings. Self-hosted, volle Datenkontrolle.

Vorteile:

• Product Analytics + Session Recordings in einem Tool
• Self-hosted (DSGVO-konform)
• Feature Flags für A/B Testing
• Open Source mit Active Community

Kosten: Kostenlos (Self-Hosted) oder 0-450€/Monat (Cloud).

Vergleichstabelle: Cookieless Analytics Tools

DSGVO & Cookieless Tracking: Rechtliche Aspekte

Hier ist die harte Wahrheit: Cookieless Tracking ist nicht automatisch DSGVO-konform. Nur weil du keine Cookies nutzt, heißt das nicht, dass du keine Einwilligung brauchst.

Was der EuGH sagt

Der Europäische Gerichtshof hat klargestellt: Google Analytics ist NICHT EU-datenschutzkonform – auch bei cookieless Tracking nicht. Grund: Der Zugriff auf das Endgerät und die Erhebung personenbezogener Daten (IP-Adresse, User Agent) erfordern eine Rechtsgrundlage.

Die deutsche Datenschutzkonferenz (DSK) bestätigt: Auch ohne Cookies ist Einwilligung erforderlich für Web Analytics.

TDDDG (ehemals TTDSG) beachten

Seit 2024 gilt das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) in Deutschland. Das TDDDG regelt: Vor dem Setzen von Cookies oder dem Zugriff auf Endgeräte-Informationen brauchst du Einwilligung – unabhängig davon, ob du Cookies nutzt oder nicht.

Rechtsgrundlagen für Analytics

Für Web Analytics gibt es zwei mögliche Rechtsgrundlagen:

1. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Nutzer willigt aktiv ein (via Consent-Banner). Standard für Marketing-Cookies.
2. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Nur für First-Party Analytics ohne Third-Party Sharing. Dürfte nach aktueller Rechtslage kaum noch durchsetzbar sein.

Meine Empfehlung: Setze auf Einwilligung via Consent-Banner. Das ist rechtssicher und transparent.

Checkliste: DSGVO-konformes Cookieless Tracking

• ✅ Consent-Banner implementiert (Cookiebot, Usercentrics, etc.)
• ✅ Consent Mode v2 aktiv (für GA4)
• ✅ Datenschutzerklärung angepasst (Analytics-Tools aufgelistet)
• ✅ Auftragsverarbeitungsvertrag (AVV) mit Analytics-Anbieter geschlossen
• ✅ IP-Anonymisierung aktiviert (GA4, Matomo)
• ✅ Datenminimierung beachtet (keine unnötigen Daten erfassen)
• ✅ Server in EU gehostet (bei Non-EU Tools: Transfer safeguards)

FAQ – Häufige Fragen zu Cookieless Tracking

1. Was ist Cookieless Tracking?

Cookieless Tracking ist eine Methode, Nutzer-Verhalten zu messen, ohne auf Browser-Cookies angewiesen zu sein. Statt Daten im Browser zu speichern, läuft die Datenerfassung server-seitig oder nutzt alternative Identifikationsmethoden wie Session-IDs oder First-Party Data.

2. Brauche ich Consent für Cookieless Tracking?

Ja. Auch ohne Cookies ist der Zugriff auf Endgeräte-Informationen (IP-Adresse, User Agent) personenbezogene Datenverarbeitung nach DSGVO. Du brauchst eine Rechtsgrundlage – in der Regel Einwilligung via Consent-Banner.

3. Funktioniert Google Analytics ohne Cookies?

Ja, mit Consent Mode v2 und Server-Side Tracking. GA4 kann cookieless betrieben werden, wenn du Consent Mode korrekt implementierst und Server-Side GTM nutzt. Behavioral Modeling füllt Datenlücken bei nicht-eingewilligten Nutzern auf.

4. Ist Cookieless Tracking DSGVO-konform?

Nicht automatisch. Cookieless Tracking umgeht Cookies – aber nicht die DSGVO. Du brauchst weiterhin eine Rechtsgrundlage (meist Consent), Datenschutzerklärung, AVV und Datenminimierung. Server-Side Tracking ist DSGVO-freundlicher, aber kein Freifahrtschein.

5. Was ersetzt Third-Party Cookies?

First-Party Data und Server-Side Tracking. Third-Party Cookies werden durch First-Party Data Strategien, Server-Side Tagging, Privacy Sandbox APIs (Google) und Contextual Targeting ersetzt. Device Fingerprinting ist DSGVO-rechtlich riskant.

6. Wie genau ist Cookieless Tracking?

Weniger Cross-Device-Tracking, aber keine Datenverluste durch Ad-Blocker. Cookieless Tracking erfasst Nutzer nur innerhalb einer Session – Cross-Device und langfristiges User-Tracking sind eingeschränkt. Dafür verlierst du keine Daten durch Ad-Blocker oder Browser-Blocker. First-Party Data ist oft akkurater als Third-Party Cookies.

7. Welche Tools unterstützen Cookieless Tracking?

Matomo, Plausible, PostHog, GA4 (mit Consent Mode), Piwik PRO. Die meisten modernen Analytics-Tools unterstützen cookieless Tracking – aber die Implementierung unterscheidet sich. Matomo und Plausible sind DSGVO-optimiert, GA4 erfordert mehr Konfiguration.

8. Was kostet Server-Side Tracking?

0-500€/Monat je nach Lösung. Self-Hosted Server-Side GTM ist kostenlos (aber Hosting-Kosten). Managed Lösungen wie Stape.io kosten 29-199€/Monat. Enterprise CDPs (Segment, mParticle) können 500-5000€/Monat kosten.

Fazit: Cookieless Tracking ist 2026 Pflicht

Cookieless Tracking ist keine Option mehr – es ist Pflicht. 87% der Browser könnten langfristig cookieless werden, nur 17% der Nutzer akzeptieren Third-Party Cookies, und DSGVO-Behörden verschärfen die Durchsetzung. Wer heute noch auf Client-Side Tracking setzt, verliert Daten – und riskiert Bußgelder.

Die Lösung: Server-Side First-Party Tracking mit Consent Mode v2. Damit umgehst du Cookie-Blocker, bleibst DSGVO-konform und behältst volle Datenkontrolle. Die Setup-Kosten (29-199€/Monat für Managed Server-Side GTM) amortisieren sich durch bessere Datenqualität und rechtliche Sicherheit.

Deine nächsten Schritte:

1. Consent Mode v2 implementieren: Pflicht für GA4 – ohne Consent Mode keine Daten in der EU.
2. Server-Side GTM aufsetzen: Mit Stape.io oder eigenem Server – First-Party Domain erforderlich.
3. First-Party Data Strategie entwickeln: Logged-in User Tracking, Enhanced Conversions, CDP.
4. Analytics-Tool evaluieren: GA4, Matomo oder Plausible – je nach DSGVO-Anforderungen und Feature-Bedarf.
5. Rechtliche Dokumentation: Datenschutzerklärung anpassen, AVV schließen, Consent-Banner prüfen.

Was ich bei Kunden gesehen habe: Die meisten unterschätzen den Aufwand für cookieless Tracking – aber auch die Benefits. Mit Server-Side Tracking gewinnst du +30% mehr Daten, bessere Attribution und rechtliche Sicherheit. Die Investition lohnt sich.

Fragen zur Implementierung? Schreib mir oder buche einen Analytics-Audit-Call. Ich helfe dir, dein Tracking zukunftssicher aufzusetzen.