DSGVO-konformes Tracking: der vollständige Leitfaden 2026

Worum es geht, und warum das Thema 2026 nicht egal ist

Ein Cookie-Banner allein reicht nicht. Ein US-gehosteter Analytics-Stack ist nicht plötzlich konform, nur weil im Footer ein Disclaimer-Template eingebaut ist. Und auf der anderen Seite verlieren strikt konforme Setups oft 40 bis 60 Prozent ihrer Conversion-Daten, weil Einwilligungsraten in Deutschland niedrig sind und der Rest der Marketing-Plattformen mit leeren Datenfeldern arbeiten muss. Smart Bidding in Google Ads bricht in dieser Konstellation. Affiliate-Netzwerke können Sales nicht sauber zuordnen. Multi-Touch-Attribution wird zur Schätzung.

Die gute Nachricht: Beide Probleme lassen sich mit einer durchdachten Architektur gleichzeitig adressieren. Wer Server-Side Tracking, First-Party-Domain, Consent Mode v2 und eine saubere Auftragsverarbeitung kombiniert, kommt nahezu auf das Vor-DSGVO-Niveau der Mess-Qualität zurück. Ohne rechtliches Risiko, ohne Performance-Verlust.

Adressiert ist dieser Text an Marketing-Verantwortliche, Tracking-Manager und Geschäftsführungen, die das Thema strategisch einordnen wollen. Tiefe technische Implementierungs-Details liegen in den separaten Cluster-Artikeln, die am Ende verlinkt sind.

Die rechtliche Lage 2026: kompakt

Drei Rechtsrahmen sind für Tracking relevant. Die DSGVO regelt die Verarbeitung personenbezogener Daten europaweit. Das deutsche TTDSG, seit Dezember 2021 in Kraft, regelt den Zugriff auf Endgeräte-Informationen, also alles, was Cookies, Local Storage oder Fingerprint setzt oder ausliest. Die ePrivacy-Verordnung wird seit Jahren angekündigt und kam bis heute nicht, was die Rechtslage in Detailfragen wackelig macht.

Praktisch heißt das: Wer Tracking-Cookies setzt oder Identifier auf einem Browser ausliest, braucht in fast allen Fällen die ausdrückliche Einwilligung der Nutzerinnen und Nutzer. Die rechtliche Grundlage „berechtigtes Interesse" nach DSGVO Art. 6 (1) f trägt für Performance-Tracking selten, weil die deutschen Aufsichtsbehörden hier sehr strenge Maßstäbe anlegen. Ausnahmen bestätigen die Regel, sind aber im Affiliate- und Performance-Marketing-Umfeld kaum belastbar.

Was zwei Gerichts-Entscheidungen geändert haben

Schrems II vom Juli 2020 hat das EU-US-Privacy-Shield gekippt, womit der Standard-Datenfluss zu US-Anbietern rechtlich angreifbar wurde. Auch das Trans-Atlantic Data Privacy Framework von 2023 schließt die Lücke nur teilweise und gilt unter europäischen Datenschutzrechtlern als anfechtbar. Parallel führte die sogenannte Google-Fonts-Welle ab 2022 zu einer Abmahnflut: Ein Landgerichtsurteil in München sprach Schadensersatz wegen der ungefragten IP-Weitergabe an Google-Server zu, woraufhin Anbieter weiträumig externe Fonts vom CDN gezogen oder selbst gehostet haben. Das Muster ist auf jeden Third-Party-Service übertragbar, der ohne Einwilligung in den Seitenaufbau eingebunden ist.

Was Aufsichtsbehörden konkret prüfen

Die Datenschutzkonferenz, ein Zusammenschluss aller deutschen Aufsichtsbehörden, hat eine Orientierungshilfe zu Telemedien herausgegeben. Im Kern werden bei Audits drei Punkte geprüft. Erstens, ob ein konformes Consent-Management-System im Einsatz ist, mit dem Einwilligungen granular eingeholt und protokolliert werden. Zweitens, ob die Daten innerhalb der EU oder eines als sicher anerkannten Drittlandes verarbeitet werden. Drittens, ob ein vollständiger Auftragsverarbeitungsvertrag nach DSGVO Art. 28 mit allen relevanten Dienstleistern vorliegt, inklusive Sub-Auftragsverarbeiter-Liste.

Was 2026 neu dazugekommen ist: Die Aufsichtsbehörden gehen zunehmend proaktiv auf Shops zu, nicht erst nach Beschwerden. Stichproben-Audits sind dokumentiert, vor allem im E-Commerce-Bereich mit hohem Tracking-Volumen.

Vertiefung im Glossar: DSGVO, AVV, Consent Mode v2.

Was DSGVO-konformes Tracking technisch bedeutet

DSGVO-konform ist Tracking nicht als Schalter, sondern als Schichten-Modell. Drei technische Konzepte sind zentral.

Pseudonymisierung und Anonymisierung

Pseudonymisierung bedeutet, dass identifizierende Merkmale durch einen Schlüssel ersetzt werden, der den Personenbezug grundsätzlich wiederherstellen könnte. Eine IP-Adresse, die als Hash gespeichert wird, gilt typischerweise als pseudonym, weil der Hash mit zusätzlichem Wissen rückrechenbar wäre. Anonymisierung hingegen heißt, dass jeder Personenbezug irreversibel entfernt wurde. Die Hürde dafür ist hoch: Ein anonymisiertes Set darf auch unter Einbeziehung externer Quellen nicht mehr zu einer konkreten Person zurückgeführt werden können.

Für die Tracking-Praxis heißt das: IP-Adressen sollten vor jeder Speicherung gehasht werden, idealerweise mit SHA-256 plus Salt. Das Salt ist ein zufälliger String, der pro Datensatz oder pro Domain variiert, sodass dieselbe IP nicht zu einem konstanten Hash führt. Damit ist eine Rückführung über Rainbow-Tables ausgeschlossen.

Einwilligungs-Pflicht versus berechtigtes Interesse

Die DSGVO kennt sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Für Performance-Tracking kommen praktisch nur zwei in Frage. Einwilligung nach Art. 6 (1) a verlangt eine aktive, informierte, freiwillige Zustimmung. Berechtigtes Interesse nach Art. 6 (1) f setzt eine Interessenabwägung voraus, bei der die Interessen des Verantwortlichen gegen die Rechte der Betroffenen abgewogen werden.

Für reines Server-Logging zur Sicherheit oder zur Betrugserkennung trägt berechtigtes Interesse meistens. Für Marketing-Attribution mit personenbezogenen Daten trägt es selten, weil das wirtschaftliche Interesse des Werbetreibenden in der Abwägung nicht zwangsläufig schwerer wiegt als das Recht auf informationelle Selbstbestimmung. In der Praxis bedeutet das: Cookies, Identifier und alle anderen Tracking-Mechanismen, die in Endgeräten gespeichert oder ausgelesen werden, brauchen Einwilligung.

Auftragsverarbeitung versus gemeinsame Verantwortung

Wer einen externen Tracking-Anbieter einsetzt, muss klären, in welcher Rolle dieser arbeitet. Auftragsverarbeitung nach Art. 28 ist der Standardfall: Der Anbieter verarbeitet Daten ausschließlich nach Weisung des Werbetreibenden. Dafür braucht es einen AVV, einen Auftragsverarbeitungsvertrag. Gemeinsame Verantwortung nach Art. 26 entsteht, wenn beide Parteien Mittel und Zwecke der Verarbeitung gemeinsam bestimmen. Das ist beispielsweise bei Facebook-Pixel-Einsätzen der Fall, weil Meta die Daten nicht nur im Auftrag des Werbetreibenden, sondern auch für eigene Zwecke nutzt.

Für DataFirst Track gilt durchgehend Auftragsverarbeitung. Daten werden ausschließlich im Auftrag des Kunden verarbeitet, ein AVV liegt jedem Vertrag bei. Wer dagegen die Conversions API von Meta nutzt, sollte sich der Joint-Controller-Konstellation bewusst sein und die entsprechenden Vereinbarungen prüfen.

Drittlandtransfer-Risiken

Verarbeiten Anbieter Daten außerhalb der EU, greift Kapitel V der DSGVO. Der EuGH verlangt nach Schrems II eine Einzelfall-Prüfung, ob das Drittland ein gleichwertiges Schutzniveau bietet. Für die USA ist das seit 2020 nicht der Fall, auch das Trans-Atlantic Data Privacy Framework von 2023 hat die Rechtssicherheit nicht vollständig wiederhergestellt. In der Praxis lässt sich das Risiko nur durch eine konsequente EU-Verarbeitung minimieren: Server in der EU, kein automatischer Datenabfluss an US-Anbieter, klare Vertragslage mit allen Sub-Auftragsverarbeitern.

Die sechs Bausteine eines DSGVO-konformen Tracking-Setups

Sechs Bausteine bilden zusammen ein DSGVO-konformes Tracking-Fundament. Keiner davon allein reicht, aber ohne einen davon entstehen entweder Compliance- oder Mess-Lücken.

1. Server-Side Tracking

Klassisches Tracking läuft im Browser. Ein Pixel oder JavaScript-Tag lädt aus einer Third-Party-Domain, setzt einen Cookie und sendet Events direkt an den Werbe-Anbieter. Server-Side-Tracking verschiebt diesen Schritt: Der Browser kommuniziert nur noch mit deiner eigenen Domain, von dort gehen die Events serverseitig weiter an Google Ads, Meta, AWIN oder andere Plattformen. Aus rechtlicher Sicht entfällt damit der direkte Drittland-Datenabfluss aus dem Browser. Aus Performance-Sicht entfällt die Abhängigkeit von Adblockern, ITP und iOS-Tracking-Restriktionen.

Praktisch heißt das: Ein eigener Server, häufig in Form eines Server-Side Google Tag Managers, agiert als Vermittler. Daten werden vor dem Weiterleiten gefiltert, angereichert oder pseudonymisiert. In DataFirst Track ist diese Schicht für zehn Affiliate-Netzwerke plus Google Ads und GA4 standardmäßig integriert. Wer eigenständig implementieren möchte, findet im Cluster-Artikel zu Server-Side GTM eine Schritt-für-Schritt-Anleitung.

Mehr dazu: Server-Side Tracking in DataFirst Track.

2. First-Party Domain für Tracking

iOS, Safari und Brave behandeln Drittanbieter-Cookies seit Jahren restriktiv. Cookies, die von einer anderen Domain als der besuchten gesetzt werden, werden geblockt oder spätestens nach sieben Tagen gelöscht. Eine First-Party-Domain umgeht das Problem, indem Tracking unter der eigenen Domain läuft, typischerweise einer Subdomain wie track.deinshop.de. Aus Browser-Sicht ist das First-Party, und entsprechend werden Cookies behandelt wie jeder andere First-Party-Cookie auch.

Die technische Umsetzung läuft über einen CNAME-Eintrag im DNS. Der Tracking-Provider stellt SSL-Zertifikate automatisch bereit. In Kombination mit Server-Side-Tracking ergibt sich eine Architektur, in der weder Browser noch Werbe-Plattform direkt miteinander sprechen, sondern alles über die eigene Infrastruktur läuft. Für DSGVO heißt das: weniger Datenflüsse an Drittländer, mehr Kontrolle über das, was tatsächlich gesendet wird.

Mehr dazu: First-Party Domain in DataFirst Track.

3. IP-Hashing und Anonymisierung

IP-Adressen gelten nach Auffassung des EuGH als personenbezogene Daten, weil sie zumindest in Kombination mit anderen Informationen einer Person zugeordnet werden können. Wer IPs unverarbeitet in Tracking-Datenbanken speichert, hat ohne Einwilligung ein Problem. Die Lösung ist Hashing: Die IP wird mit einem kryptografischen Verfahren wie SHA-256 und einem Salt zu einem nicht zurückrechenbaren Hash umgewandelt, der nur noch für Frequency-Capping oder Session-Zuordnung verwendet wird.

Wichtig ist die Wahl des Salts. Ein konstantes Salt ist besser als nichts, aber ein per Domain und Zeitraum rotierendes Salt erhöht den Schutz deutlich, weil dieselbe IP über verschiedene Sessions unterschiedliche Hashes bekommt. Vollständige Anonymisierung im Sinne der DSGVO ist mit IP-Daten ohne weitere Maßnahmen schwer zu erreichen, aber Pseudonymisierung über Hashing ist die etablierte und von Aufsichtsbehörden akzeptierte Praxis.

4. Consent Mode v2

Google Consent Mode v2 ist seit März 2024 für Werbetreibende mit EU-Traffic verpflichtend, wenn sie Daten mit Google-Ads-Plattformen austauschen wollen. Technisch funktioniert es als Signal-Layer: Der Browser sendet bei jedem Tracking-Request mit, ob Einwilligung für Analytics-Storage und Ad-Storage vorliegt. Liegt keine Einwilligung vor, werden keine Cookies gesetzt, aber ein anonymisiertes Signal geht trotzdem an Google. Diese Signale füttert das Modeling auf der Google-Seite, das fehlende Conversions statistisch hochrechnet.

Der praktische Effekt: Smart-Bidding-Strategien funktionieren auch bei niedrigen Consent-Raten, weil das Modeling die Datenlücken füllt. Studien aus 2024 und 2025 zeigen Recovery-Raten zwischen 60 und 80 Prozent der ohne Einwilligung verlorenen Conversions, je nach Branche und Datenmenge. Voraussetzung ist eine korrekte Implementierung, die Consent-Signale konsistent in jeder Anfrage mitgibt.

Mehr dazu: Consent Mode v2 in DataFirst Track.

5. Auftragsverarbeitungsvertrag nach Art. 28

Jeder externe Dienstleister, der im Auftrag deines Shops personenbezogene Daten verarbeitet, braucht einen AVV. Der Vertrag legt Gegenstand und Dauer der Verarbeitung fest, Art und Zweck, Kategorien von Betroffenen, die Pflichten des Auftragsverarbeiters und das Recht des Auftraggebers auf Weisungen, Audits und Beendigung. Wichtige Bestandteile sind die Liste der Sub-Auftragsverarbeiter, das Verfahren zur Meldung von Datenpannen und die Regelung der Datenlöschung nach Vertragsende.

In der Praxis liefern seriöse Anbieter den AVV als Anhang zum Hauptvertrag. Wer einen Tracking-Dienstleister evaluiert, sollte den AVV vor Vertragsabschluss anfordern und auf die Sub-Auftragsverarbeiter-Liste schauen. Steht dort ein US-Cloud-Anbieter ohne EU-Datenresidenz, ist eine Drittland-Konstellation gegeben, die zusätzliche Standardvertragsklauseln erfordert.

6. Audit-Trails und Revisionssicherheit

Wenn eine Aufsichtsbehörde, ein Auditor oder eine Anwältin fragt, was zwischen dem 14. Juli 2026 um 13:42 Uhr und 13:48 Uhr in deinem Tracking-System passiert ist, muss das beantwortbar sein. Audit-Trails sind die Antwort: protokollierte Logs jeder Datenverarbeitung, jeder Regel-Anwendung, jeder Provisions-Freigabe. Sie sind in DataFirst Track standardmäßig aktiviert und revisionssicher gespeichert. Für eigene Implementierungen heißt das: Logs vollständig, unveränderlich und für mindestens die Aufbewahrungspflicht des jeweiligen Anwendungsfalls speichern, typischerweise sechs bis zehn Jahre.

Mehr dazu: Audit Trails in DataFirst Track.

Warum klassische Setups Performance verlieren, und wie sich das verhindern lässt

DSGVO-Konformität wird oft als Performance-Killer wahrgenommen. Das stimmt für Setups, die nur die einfachste Form von Compliance umsetzen: striktes Tracking nur bei Einwilligung, ansonsten Datenlücke. Die typische Auswirkung in solchen Setups ist eine Halbierung der messbaren Conversions, weil Einwilligungs-Raten in Deutschland branchenübergreifend bei 40 bis 60 Prozent liegen.

Was bricht in dieser Konstellation, ist nicht das Tracking selbst, sondern alles, was nachgelagert mit den Daten arbeitet. Smart-Bidding-Strategien in Google Ads brauchen ein stabiles Conversion-Signal, um die Auktions-Algorithmen zu trainieren. Sinken die gemeldeten Conversions um 50 Prozent, sind die Bidding-Modelle entweder zu konservativ, weil die Performance-Daten lückenhaft aussehen, oder zu aggressiv, weil der CPA scheinbar steigt und nachgesteuert wird. Beides drückt den ROAS spürbar.

Consent Mode v2 füllt die Lücke

An dieser Stelle setzt Consent Mode v2 an. Das Modeling auf Google-Seite rechnet die fehlenden Conversions statistisch hoch, basierend auf den anonymen Signalen, die auch ohne Einwilligung gesendet werden dürfen. Studien aus dem ersten Jahr nach der verpflichtenden Einführung zeigen, dass Werbetreibende mit korrekt implementiertem Consent Mode v2 zwischen 60 und 80 Prozent der ohne Einwilligung verlorenen Conversions zurückgewinnen. Wichtig ist das Wort „korrekt": Eine fehlerhafte Implementierung, die Signale nicht konsistent mitsendet oder die Consent-Stufen falsch mappt, bringt deutlich weniger.

Server-Side gewinnt den Browser-Verlust zurück

Das zweite Performance-Problem klassischer Setups sind die Browser selbst. Safari blockt seit ITP 2.3 alle Third-Party-Cookies vollständig und löscht First-Party-Cookies aus JavaScript-Quellen nach sieben Tagen. iOS hat seit iOS 14.5 das App Tracking Transparency-Framework, das App-übergreifendes Tracking deutlich erschwert. Brave und Firefox sind ähnlich restriktiv. In Summe entstehen Pixel-Verluste zwischen 20 und 35 Prozent, je nach Zielgruppe und Device-Mix.

Server-Side Tracking gewinnt diese Verluste zurück, weil die Datenübertragung nicht mehr vom Browser abhängt, sondern serverseitig stattfindet. Adblocker und Tracking-Prevention-Mechanismen greifen auf Browser-Ebene, nicht auf Server-Ebene. Wer Conversions API für Meta und Enhanced Conversions für Google Ads serverseitig anbindet, behält den Daten-Strom unabhängig von dem, was im Browser geblockt wird.

Cross-Channel-Attribution braucht eine zentrale Schicht

Die Kombination aus beidem, Consent Mode v2 plus Server-Side, holt in der Praxis die Mess-Qualität nahezu auf das Vor-DSGVO-Niveau zurück. „Nahezu" deshalb, weil die Modeling-Komponente immer eine statistische Hochrechnung bleibt und nicht jede Conversion deterministisch zugeordnet werden kann. Für Smart Bidding und Marketing-Optimierung ist die Recovery-Qualität in den meisten Setups aber ausreichend.

Was bleibt, ist die Frage nach Cross-Channel-Attribution. Google Consent Mode v2 löst Conversions im Google-Ökosystem. Meta-Conversions-API löst Conversions im Meta-Ökosystem. Beide sehen aber jeweils nur ihre eigene Welt. Wer Affiliate-Netzwerke, Preisvergleichs-Plattformen, Email und Direct-Traffic gemeinsam bewerten will, braucht eine zentrale Schicht, die alle Touchpoints zusammenführt. Genau das macht eine Cross-Channel-Attribution-Plattform: Touchpoints aus 22 Channels in einer Datenbank, ein einheitliches Attributionsmodell darüber.

Mehr dazu: Multi-Channel Attribution oder der Attribution-Rechner.

Hosting in Deutschland: was es wirklich heißt

„Hosting in Deutschland" ist ein häufiges Marketing-Versprechen, das in der Praxis verschiedene Dinge bedeuten kann. Drei Ebenen sind zu unterscheiden.

Erstens der Server-Standort. Stehen die physischen Server in einem deutschen Rechenzentrum, ist das ein klares Plus, aber rechtlich noch nicht abschließend. Entscheidend ist nicht, wo die Hardware steht, sondern wer auf die Daten zugreifen kann. Ein US-Konzern, der Rechenzentren in Frankfurt betreibt, fällt unter US-Recht und damit potenziell unter den CLOUD Act, der US-Behörden Zugriff auf Daten unabhängig vom Speicherort gibt.

Zweitens die Vertragslage. Der Provider sollte ein deutsches Unternehmen sein, oder zumindest eine deutsche Tochtergesellschaft, die als selbstständige juristische Person agiert. Im AVV sollten ausschließlich EU-Sub-Auftragsverarbeiter gelistet sein. Wer dort einen US-Cloud-Anbieter findet, hat trotz deutscher Server eine Drittland-Konstellation.

Drittens die Datentrennung. Bei Multi-Tenant-Systemen, in denen mehrere Kunden auf derselben Infrastruktur laufen, ist die logische Trennung relevant. Eine echte Daten-Isolation pro Kunde ist nicht überall Standard, lässt sich aber im AVV oder den Allgemeinen Geschäftsbedingungen prüfen.

Für DataFirst Track gilt: Hosting bei Hetzner in Deutschland, deutsches Unternehmen, AVV mit ausschließlich EU-basierten Sub-Auftragsverarbeitern, echte Daten-Isolation pro Marke. Wer Provider vergleicht, sollte explizit nach diesen drei Ebenen fragen.

Implementation-Roadmap in sieben Schritten

Wer von einem klassischen, browserbasierten Tracking-Setup zu einer DSGVO-konformen Architektur wechselt, kann den Weg in sieben Schritten gehen. Reihenfolge und Aufwand variieren je nach Shopsystem und vorhandener Infrastruktur, aber die Grundstruktur passt für die meisten DACH-E-Commerce-Setups.

Schritt 1: Bestandsaufnahme

Mit einem Tracking-Audit erfassen, welche Trackingmechanismen aktuell aktiv sind. Browser-Devtools öffnen, alle Netzwerk-Requests beobachten, jede Third-Party-Domain dokumentieren. Cookies inventarisieren, Local-Storage-Einträge anschauen. Parallel die Tag-Manager-Konfiguration prüfen: Welche Tags feuern wann, mit welchen Datenfeldern. Diese Liste ist die Grundlage für alles Weitere.

Schritt 2: Consent-Management aufsetzen oder schärfen

Ein Consent-Management-System ist die Vorderkante des Setups. Es kategorisiert die erfassten Tracking-Mechanismen aus Schritt 1 in Notwendig, Statistik, Marketing und gegebenenfalls weitere Gruppen. Die Einwilligung muss granular pro Kategorie einholbar sein und protokolliert werden, samt Zeitstempel, IP-Hash und Consent-String. Anbieter wie Usercentrics, Cookiebot oder Consentmanager.net sind im DACH-Markt etabliert.

Schritt 3: Drittländer eliminieren oder absichern

Aus der Bestandsaufnahme alle Drittland-Datenflüsse identifizieren und entscheiden: Anbieter wechseln, Server-Standort wechseln, oder zusätzliche Standardvertragsklauseln plus Transfer-Impact-Assessment ergänzen. Pragmatisch ist meistens der Wechsel auf EU-basierte Alternativen, weil die Standardvertragsklauseln-Strategie nach Schrems II rechtlich umstritten bleibt.

Schritt 4: Server-Side Tracking einrichten

Ein Server-Side Tag Manager oder eine spezialisierte Server-Side-Tracking-Plattform übernimmt die Vermittlung zwischen Browser und Werbe-Plattformen. Für eigene Implementierungen mit Google Tag Manager Server-Side ist ein Cloud-Container nötig, typischerweise in der Google Cloud Region europe-west3. Alternativ stellen Anbieter die Server-Side-Schicht direkt zur Verfügung, sodass kein eigener Container betrieben werden muss.

Schritt 5: First-Party Domain konfigurieren

Eine Subdomain einrichten, typischerweise track.deinshop.de, die per CNAME auf den Tracking-Anbieter zeigt. SSL-Zertifikate werden meist automatisch über Let's Encrypt provisioniert. Ab diesem Punkt laufen alle Tracking-Requests im Browser über die eigene Domain, was Cookie-Lebenszeiten verlängert und Adblocker-Erkennung erschwert.

Schritt 6: Consent Mode v2 aktivieren

Im Tag-Manager-Setup die Consent-Status-Variablen einrichten und an alle Google-Tags durchreichen. Die vier Consent-Stufen (ad_storage, analytics_storage, ad_user_data, ad_personalization) müssen konsistent gesetzt sein. Tests mit dem Google Tag Assistant zeigen, ob die Signale korrekt ankommen.

Schritt 7: Audit-Trails und Dokumentation aufsetzen

Alle Datenverarbeitungen protokollieren, idealerweise revisionssicher. Verzeichnis der Verarbeitungstätigkeiten nach DSGVO Art. 30 aktualisieren. AVVs aller Dienstleister sammeln und archivieren. Wenn eine Aufsichtsbehörde fragt, muss innerhalb weniger Tage eine vollständige Dokumentation lieferbar sein.

Wer den Weg eigenständig geht, sollte mit zwei bis vier Wochen für die initiale Umsetzung rechnen. Wer die Schritte 4 bis 7 an einen spezialisierten Anbieter delegiert, kommt typischerweise auf eine Setup-Zeit zwischen 15 Minuten und einem Tag, je nach Shopsystem und Komplexität des Marketing-Stacks.