Google Tag Gateway vs. Cloudflare Zaraz: Moderne Tagging-Strategien im Vergleich

Adblocker werden besser. Browser werden restriktiver. Die DSGVO macht Ärger. Für Marketing-Teams klingt das nach Apokalypse.

Die Lösung der Industrie? Server-Side Tracking. Die Daten gehen nicht mehr direkt vom Browser zum Tracker, sondern über Ihren eigenen Server. Klingt technisch. Ist es auch. Und es funktioniert – zumindest um Blocker zu umgehen.

Zwei Lösungen stehen im Fokus: Googles Tag Gateway und Cloudflare Zaraz. Beide versprechen bessere Datenqualität, mehr Performance, weniger Blocker-Probleme. Schauen wir mal, was dahinter steckt.

Das Problem, das beide lösen wollen

Klassisches Tracking funktioniert so: Ihre Website lädt ein Script von googletagmanager.com oder connect.facebook.net. Der Browser des Nutzers schickt Daten direkt an Google, Meta & Co.

Das Problem:

• Adblocker blockieren diese Domains
• Browser (Safari, Firefox, Brave) schränken Third-Party-Cookies ein
• Nutzer sind informierter und klicken “Ablehnen”

Ergebnis: Ihre Analytics-Daten werden löchriger. Conversion-Tracking wird unzuverlässig. Marketing-Teams werden nervös.

Die Antwort: Tracking über die eigene Domain laufen lassen. Dann sieht es aus wie “eigene” Kommunikation. Blocker greifen nicht. Cookies sind First-Party.

Clever? Ja. Ethisch einwandfrei? Das ist eine andere Frage.

Google Tag Gateway: First-Party-Tarnung für Google-Tracking

Das Google Tag Gateway macht genau das: Google-Scripts laufen über Ihre Domain statt über googletagmanager.com.

Vorher: script src="googletagmanager.com/gtm.js" → Adblocker sagt nein Nachher: script src="meinedomain.de/metrics/gtm.js" → Adblocker sagt okay

Setup in 15 Minuten

1. DNS-CNAME einrichten:

   metrics.meinedomain.de -> CNAME -> googletagmanager.com

2. Cloudflare-Proxy aktivieren (orange Wolke)

3. GTM-Container umstellen auf die neue URL

Fertig. Google-Tracking läuft jetzt über Ihre Domain.

Was Sie bekommen

• Weniger Blocker-Verluste – Requests an die eigene Domain werden seltener blockiert
• First-Party-Cookies – Längere Lebensdauer, bessere Wiedererkennung
• Keine Infrastruktur – Cloudflare macht die Arbeit
• Kostenlos – Zumindest für den Anfang

Was Sie nicht bekommen

• Unabhängigkeit von Google – Sie tarnen Google, Sie ersetzen es nicht
• Kontrolle über die Daten – Google bekommt weiterhin alles
• Multi-Vendor-Support – Facebook, TikTok? Pech gehabt.

Das Google Tag Gateway ist ein Werkzeug, um Adblocker zu umgehen. Nicht mehr, nicht weniger.

Es macht Google-Tracking resistenter. Es macht es nicht datenschutzfreundlicher. Wenn ein Nutzer sich bewusst gegen Tracking entscheidet und einen Adblocker installiert, umgeht das Gateway diese Entscheidung.

Ob Sie das wollen, müssen Sie selbst entscheiden.

Cloudflare Zaraz: Server-Side für alle

Zaraz geht einen Schritt weiter. Drittanbieter-Scripts (Facebook Pixel, TikTok, Hotjar, alles) werden nicht mehr im Browser geladen, sondern auf Cloudflares Edge ausgeführt.

Vorher: Nutzerbrowser → Facebook-Server (blockierbar) Nachher: Nutzerbrowser → Ihre Domain → Cloudflare Edge → Facebook API

Der Browser sieht nur noch Requests an Ihre Domain. Kein JavaScript von Drittanbietern im Browser. Keine direkten Verbindungen zu Tracking-Diensten.

Setup in einer Stunde

1. DNS bei Cloudflare (Voraussetzung)
2. Zaraz aktivieren im Dashboard
3. Tools hinzufügen – Facebook, Google Analytics, was Sie brauchen
4. Alte Scripts entfernen – Wichtig, sonst doppeltes Tracking

Was Sie bekommen

• Extreme Performance – Kein Drittanbieter-JavaScript mehr
• Alle Anbieter – Nicht nur Google
• Mehr Kontrolle – Sie entscheiden, welche Daten wohin gehen
• Consent-Integration – Funktioniert mit den meisten CMPs

Was Sie nicht bekommen

• Freiheit von Cloudflare – Ihr DNS muss dort liegen
• Einfaches Debugging – Server-Side ist schwerer zu testen
• Volle Feature-Parität – Manche Pixel-Features funktionieren serverseitig nicht

Zaraz ist das bessere technische Produkt. Es ist schneller, flexibler, und gibt Ihnen mehr Kontrolle.

Aber: Es ist auch das effektivere Werkzeug, um Nutzer-Präferenzen zu umgehen. Wenn jemand Brave benutzt und alle Tracker blockiert, schickt Zaraz die Daten trotzdem – nur eben serverseitig.

Die Performance-Vorteile sind real. Die Datenschutz-Vorteile? Kommt auf die serverseitigen Einstellungen an – und liegt weiterhin beim Webseitenbetreiber, der sich zwischen seinen Interessen und der geltenden DSGVO bewegen darf.

Performance-Vergleich

Eine typische E-Commerce-Seite mit Google Analytics, Facebook Pixel, Hotjar, TikTok:

Metrik	Klassisch	Tag Gateway	Zaraz
Externe Requests	12	8	0-2
JS von Drittanbietern	~180KB	~150KB	~15KB
Lighthouse Score	65-75	75-85	85-95
First Contentful Paint	2.1s	1.8s	1.2s

Die Zahlen sprechen für sich. Zaraz ist deutlich schneller. Das Tag Gateway hilft ein bisschen. Klassisches Tagging ist der Performance-Killer.

Wann welche Lösung?

Google Tag Gateway, wenn:

• Sie nur Google-Dienste nutzen (GA4, Ads)
• Schnelles Setup wichtiger ist als Flexibilität
• Sie Adblocker-Verluste reduzieren wollen
• Budget für komplexere Lösungen fehlt

Cloudflare Zaraz, wenn:

• Sie viele Tracking-Dienste nutzen
• Performance kritisch ist
• Ihr DNS sowieso bei Cloudflare liegt
• Sie die Kontrolle über Datenflüsse brauchen

Beide kombiniert, wenn:

• Sie das Maximum herausholen wollen
• Setup-Aufwand kein Problem ist
• Sie sowohl Google als auch andere Anbieter optimal einbinden müssen

Keines von beiden, wenn:

• Anonyme Analytics ausreichen (Plausible, Umami, Cloudflare Web Analytics)
• Sie auf invasives Tracking verzichten können

DSGVO und Datenschutz

Beide Lösungen werden als “datenschutzfreundlicher” vermarktet. Das stimmt technisch:

• First-Party-Kontext statt Third-Party
• Serverseitige Verarbeitung statt Browser-Tracking
• Mehr Kontrolle über Datenflüsse

Aber: Die Daten fließen trotzdem. Zu Google. Zu Meta. Zu TikTok.

Der Unterschied: Der Nutzer sieht es nicht mehr. Der Adblocker blockiert es nicht mehr. Das Consent-Banner? Ist weiterhin Pflicht – aber wer kontrolliert schon, ob Sie Tags wirklich erst nach Opt-in feuern?

Server-Side Tracking ändert nichts an der Rechtslage:

• Einwilligung ist weiterhin Pflicht für Marketing-Tracking
• Datenschutzerklärung muss die Datenflüsse dokumentieren
• AVV mit Google/Cloudflare abschließen
• USA-Transfer bleibt problematisch (Schrems II lässt grüßen)

Der einzige Vorteil: Sie haben mehr technische Kontrolle. Sie könnten Daten anonymisieren, bevor sie weitergehen. Sie könnten IP-Adressen entfernen. Sie könnten.

Die Frage ist: Tun Sie es?

Cookieless GA4 mit Zaraz

Es gibt einen Weg, Google Analytics über Zaraz ohne Cookie-Banner zu nutzen – wenn Sie konsequent auf Wiedererkennung verzichten. Das Ziel: reine Seitenaufrufe zählen, keine Nutzerprofile.

Zaraz Privacy-Einstellungen (global)

Unter Zaraz → Einstellungen → Privatsphäre finden Sie globale Datenschutz-Optionen, die für alle Tools gelten:

Einstellung	Empfehlung	Wirkung
Google Consent Mode v2 Status	aktiviert	Setzt automatisch alle google_consent_default Zwecke auf „abgelehnt” (nur Google-Tools)
URL-Abfrageparameter entfernen	aktiviert	Wandelt https://example.com/?q=hello in https://example.com/ um – entfernt potenziell sensible Query-Parameter
IP-Adressen trimmen	aktiviert	Kürzt IP-Adressen bevor sie an Tools weitergeleitet werden
User-Agent bereinigen	aktiviert	Entfernt Versionen, Erweiterungen und zusätzliche Informationen aus dem User-Agent-String
Externe Verweise entfernen	aktiviert	Verbirgt die Referrer-URL wenn der Hostname sich von der eigenen Website unterscheidet

Die letzten vier Einstellungen gelten für alle in Zaraz konfigurierten Tools. Der Google Consent Mode v2 Status wird zentral in Zaraz konfiguriert und gilt für alle Google-Tools (GA4, Google Ads, etc.), nicht aber für Drittanbieter wie Facebook oder TikTok.

GA4-Tool-Einstellungen

Zusätzlich zu den globalen Privacy-Einstellungen konfigurieren Sie das GA4-Tool selbst:

Aktiv:

Einstellung	Wert
Measurement ID	Ihre GA4-ID
Hide Originating IP Address	aktiviert
client_storage	none (hinzufügen über „Feld hinzufügen” unter dem Flag Google Analytics Audiences)

Deaktiviert:

• Google Analytics Audiences
• Kein zusätzliches GA-Snippet im Code
• Kein CMP, das analytics_storage=granted setzt

Was technisch passiert

Im Browser:

• GA wird geladen
• page_view wird gesendet
• Keine Cookies
• Kein LocalStorage
• Keine Client-ID
• Keine Session-ID

Jeder Seitenaufruf ist ein isoliertes Ereignis.

Im Network:

Requests an GA existieren und enthalten:

• URL
• Referrer
• Page Title

Sie enthalten nicht:

• Persistente IDs
• IP-Adresse (durch Zaraz anonymisiert)
• User-Reidentifikation

In Google Analytics:

• Pageviews funktionieren
• „Users” ≈ Pageviews (jeder Aufruf = neuer User)
• Engagement, Sessions, Retention sind nicht aussagekräftig
• Audiences bleiben leer

GA4 wird zum reinen Seitenzähler.

Zaraz-eigene Cookies: Ein wichtiger Unterschied

Diese Cookies setzt Zaraz:

• cfz_google-analytics_v4
• cfzs_google-analytics_v4

Das sind keine Google-Analytics-Cookies (_ga, _gid), sondern Zaraz-interne First-Party-Cookies. Sie werden gesetzt, auch wenn client_storage = none und Consent Mode denied ist.

Was diese Cookies enthalten:

Der Cookie speichert ein encodiertes JSON mit:

• egnm_ga4 – GA4 Client-ID (UUID-Format)
• egnm_ga4sid – Session-ID
• egnm_engagementDuration – Engagement-Dauer in Millisekunden
• egnm_counter – Event-Zähler
• egnm_session_counter – Session-Zähler

Wofür Zaraz diese Cookies nutzt:

• SPA Pageview-Deduplizierung (verhindert doppelte Hits bei Single-Page-Apps)
• Event-Batching
• Engagement-Zählung
• Schutz vor doppelten Hits

Das ist aktuell by design – Zaraz braucht diesen Zustand, um sein eigenes Tracking stabil zu halten. Siehe auch die GA4 Managed Component Implementierung für technische Details.

Was das für die DSGVO bedeutet:

Diese Cookies enthalten keine persistente User-ID zur Wiedererkennung. Sie dienen der technischen Stabilität, nicht dem Tracking. In vielen Auslegungen fallen sie unter „technisch notwendige Cookies” – aber das ist eine rechtliche Grauzone, die Sie selbst bewerten müssen.

Wenn Sie wirklich null Cookies wollen, ist Zaraz mit GA4 nicht die richtige Lösung. Dann sind Cloudflare Web Analytics (komplett cookieless) oder Plausible die bessere Wahl.

DSGVO-Einordnung

Nicht mehr verarbeitet:

• GA-Cookies (_ga, _gid)
• LocalStorage
• Persistente Nutzerkennungen zur Wiedererkennung
• IP-Adresse
• Nutzerprofile

Noch vorhanden:

• Zaraz-eigene First-Party-Cookies (technisch, keine User-IDs)

Noch verarbeitet:

• Seiten-URL
• Referrer (gekürzt)
• Zeitstempel
• User-Agent (gekürzt, technisch notwendig)

Rechtliche Einordnung:

• Kein Zugriff auf Endgeräteinformationen (§25 TTDSG)
• Keine Wiedererkennung
• Kein seitenübergreifendes Tracking
• Kein Profiling

In vielen Datenschutzkonzepten gilt das als „anonyme Reichweitenmessung”. Häufig ist kein Consent-Banner nötig – ein Hinweis in der Datenschutzerklärung ist trotzdem sinnvoll:

Technische Nebenwirkungen

Vorteile:

• Keine Consent-Abhängigkeit
• Kein Cookie-Stress
• Weniger rechtliches Risiko
• GA4 weiterhin nutzbar

Nachteile:

• Zahlen wirken „hoch” (Reloads zählen, Bots mit JS zählen)
• GA-Standardreports sind irreführend
• Sie nutzen nur die Seitenberichte, sonst nichts

Bewertung

Dieses Setup ist technisch sauber, wirklich cookieless und DSGVO-minimal.

GA4 in dieser Konfiguration macht Sinn, wenn Sie:

• Bereits GA4 nutzen und nicht wechseln wollen
• Die Infrastruktur für späteres Opt-in vorhalten wollen
• Mit den Limitierungen leben können

Debugging

Tag Gateway: Chrome DevTools → Network → Requests an Ihre metrics-Domain prüfen

Zaraz: Cloudflare Dashboard → Zaraz → Logs / oder ?zarazDebug=true an URL anhängen

Zusammenfassung

Google Tag Gateway und Cloudflare Zaraz lösen echte Probleme: Performance, Datenqualität, Blocker-Resistenz.

1. Fragen Sie sich zuerst: Brauchen wir diese Daten wirklich? Oft reicht anonymes Analytics.

2. Wenn ja: Zaraz ist die bessere Lösung. Schneller, flexibler, mehr Kontrolle.

3. Aber: Nutzen Sie die Kontrolle auch. Anonymisieren Sie, was anonymisierbar ist. Respektieren Sie Consent-Entscheidungen. Feuern Sie Tags nicht vor Opt-in.

4. Und seien Sie ehrlich: In Ihrer Datenschutzerklärung, zu Ihren Nutzern, zu sich selbst. Server-Side Tracking ist keine Datenschutz-Lösung. Es ist eine Tracking-Optimierung.

Die Technologie ist neutral. Was Sie damit machen, nicht.

---

Quellen und weiterführende Links

Offizielle Dokumentation

• Cloudflare Zaraz Dokumentation – Setup, Tools, Consent Management
• Google Tag Gateway Dokumentation – Custom Domain Setup
• Google Consent Mode v2 – Implementierung und Parameter

DSGVO und Datenschutz

• §25 TTDSG – Schutz der Privatsphäre bei Endeinrichtungen
• DSGVO Art. 6 – Rechtmäßigkeit der Verarbeitung
• EU-US Data Privacy Framework – Aktueller Stand USA-Transfers

Weiterführende Artikel

• EU-Datenschutzreform: Was sich ändert – Warum Server-Side Tracking wichtiger wird
• EU-Datenschutzreform: Technischer Leitfaden – GPC-Implementation und mehr

Alternativen zu GA4

• Cloudflare Web Analytics – Kostenlos, cookieless, bereits in Cloudflare integriert
• Plausible Analytics – Open Source, DSGVO-konform, EU-gehostet
• Umami – Self-hosted Alternative