Serverside-Tracking statt GA4: Präzise messen trotz DSGVO
Das Messen von Website-Zugriffen, User-Interaktionen und Conversion-Zielen ist ein zentraler Bestandteil jeder digitalen Marketingstrategie. Nur wer weiss, wie sich Besucher auf einer Seite verhalten, kann Kampagnen optimieren, Zielgruppen anpassen und Streuverluste minimieren.
DSGVO und das Ende der Vollerfassung
Seit Einführung der Datenschutzgrundverordnung (DSGVO) unterliegt Webtracking strengen Vorgaben. Tools wie Google Analytics 4 (GA4) benötigen in der EU und der Schweiz explizite Zustimmung durch den User – meist über Cookie-Banner. Dadurch gehen je nach Gestaltung und Tonalität des Banners wertvolle Trackingdaten verloren.
Unsere eigene Analyse von fünf DSGVO-konformen Kundenprojekten zeigt: GA4 bildet im Durchschnitt nur 35 bis 55 % des tatsächlichen Webtraffics ab. Der Rest geht durch Ablehnung des Trackings, Adblocker oder fehlende Einwilligung verloren.
Unsere Lösung: Serverside-Tracking mit Botfilter
Wir haben daraus Konsequenzen gezogen: Statt auf clientseitiges Tracking setzen wir zunehmend auf serverseitige Datenerfassung. Jeder Zugriff auf unsere Server wird – DSGVO-konform – anonymisiert registriert. Die IP-Adresse wird nicht gespeichert, sondern dient nur für einen Abgleich mit unserer kontinuierlich gepflegten Bot-Datenbank.
Damit lassen sich reale menschliche Besucher von Bots, Exploit-Scannern oder Fake-Zugriffen klar unterscheiden. Unsere Kundensysteme speichern ausschliesslich reale Interaktionen in der Datenbank – inklusive UTM-Kampagnenparameter zur genauen Conversion-Messung.
Dashboard für echte Kampagnenergebnisse
Über ein personalisiertes Dashboard erhalten Kunden Zugriff auf Echtzeitdaten über:
- Echte Besucher – Botfrei, anonymisiert und DSGVO-konform.
- Kampagnen-Conversions – Erkennung via UTM-Parameter (Google Ads, Meta etc.).
- Trafficquellen – Direkt, Referrer, Suchmaschinen, Social Media.
- Geräte und Länder – Ohne IP-Adressen, aber mit präziser Klassifizierung.
Warum Serverside-Tracking die Zukunft ist
Clientseitiges Tracking wird durch Datenschutzverordnungen, Browserfeatures und Userentscheidungen zunehmend blockiert. Serverseitige Verfahren ermöglichen dagegen eine verlässliche, datensparsame und sichere Analyse – direkt an der Quelle, ohne Cookies und externe Scripts.
Gerne zeigen wir Ihnen in einem unverbindlichen Gespräch, wie sich Ihre Kampagnenziele mit unserer Lösung DSGVO-konform und präzise messen lassen.
Analyse unserer Serverzugriffe
Im Zeitraum von April bis Juli 2025 haben wir über 20’000 Zugriffe analysiert – auf Basis von fünf realen Kundenprojekten in der Schweiz (mit ausdrücklicher Zustimmung). Dank serverseitiger Erfassung konnten wir jeden Zugriff präzise kategorisieren. Der folgende Plot und die Tabellen weiter unten zeigen die durschnittliche Anzahl an Zugriffen über alle Projekte hinweg – aufgeteilt in reale Besucher, gutmütige Bots, Spionage-Scraper und automatisierte Exploit-Versuche.
Der Peak am 5. Mai wurde durch ein externes Skript verursacht (python-requests) – vermutlich handelt es sich dabei um einen aggressiven Crawler oder automatisierten Datensammler. Im Folgenden fassen wir tabellarisch die Top Zugriffe gutmütiger Bots (zum Beispiel von Google oder Meta), von Scrapern (Datensammlern) und Exploit Versuchen (Hacker-Angriffe) zusammen.
Top 10 gutmütige Bot Zugriffe
| Bot-Name | Bot-Funktion | Ø Besuche / Monat |
|---|---|---|
| Facebook Crawler | Facebook Link-Vorschau oder Scraper | 115.9 |
| Meta Agent | Facebook Link-Vorschau oder Scraper | 108.3 |
| AhrefsBot | Allgemeiner Bot oder Scraper | 88.4 |
| OpenAI GPTBot | OpenAI Crawler (z.B. GPT Training) | 48.9 |
| BLEXBot | Allgemeiner Bot oder Scraper | 42.3 |
| Google Bot | Google Crawler (z.B. AdsBot, Search) | 40.7 |
| Thinkbot | Allgemeiner Bot oder Scraper | 32.2 |
| SemrushBot | SEO-Crawler (Semrush) | 30.6 |
| Google AdsBot | Google Crawler (z.B. AdsBot, Search) | 28.4 |
| CommonCrawl | Allgemeiner Bot oder Scraper | 24.9 |
Top 5 Spionage/Scraper Zugriffe
| Rechenzentrum / Anbieter | Ø Besuche / Monat | Erklärung |
|---|---|---|
| CLOUDFLARENET | 377.4 | Anonymisierte Cloud-Zugriffe ohne legitimen Bot-Agent |
| AMAZON-DUB | 12.0 | Zugriffe aus AWS-Rechenzentrum, häufig von Scraper-Skripten |
| DIGITALOCEAN | 8.8 | Häufige Quelle für manuelle oder automatisierte Crawler |
| MICROSOFT-CORP-MSN-AS-BLOCK | 7.9 | Scraper aus Microsoft Azure-Umgebungen mit nicht identifiziertem Agent |
| AS-CHOOPA | 6.5 | Datensammler über Vultr/Choopa-Cloud ohne Bot-Kennung |
Exploit-Versuche
| Exploit-Pfad | Erklärung | Ø Versuche / Monat |
|---|---|---|
| /.git/config | Versuch Git-Repository öffentlich auszulesen | 16.4 |
| /admin/.env | Versuch geheime Zugangsdaten aus .env zu lesen | 2.5 |
| /config.json | Unbekannt / generischer Exploit-Versuch | 1.9 |
| /.env.production | Versuch geheime Zugangsdaten aus .env zu lesen | 1.6 |
| /.env.example | Versuch geheime Zugangsdaten aus .env zu lesen | 1.6 |
| /sendgrid.env | Versuch geheime Zugangsdaten aus .env zu lesen | 1.6 |
| /.git/HEAD | Unbekannt / generischer Exploit-Versuch | 1.6 |
| /.env.prod | Versuch geheime Zugangsdaten aus .env zu lesen | 1.3 |
| /bootstrap/cache/config.php | Unbekannt / generischer Exploit-Versuch | 1.3 |
| /wp/wp-admin/install.php | Angriff auf WordPress-Login | 0.9 |
Fazit
Serverside-Tracking ist nicht nur ein Werkzeug für präzisere Kampagnenauswertung – es ist ein Fenster in die wahre Struktur des heutigen Webtraffics. Unsere Analyse zeigt: Der Anteil automatisierter Zugriffe wächst schnell und stetig.
Wie können wir helfen?
Jetzt 50 % Neukundenrabatt sichern! Den Rabattcode erhalten Sie direkt per E-Mail.
