Server-seitiges Conversion-Tracking über Short Links

Das Browser-Pixel ist der Teil der Attribution, der zuerst zusammenbricht. Apples Intelligent Tracking Prevention begrenzt Third-Party-Cookies und degradiert den Referrer; Ad-Blocker entfernen den Pixel-Netzwerkaufruf, bevor er die Seite verlässt; iOS 14.5s App Tracking Transparency reduzierte Metas Signalqualität auf iPhone-Traffic so stark, dass Meta selbst das Browser-Pixel inzwischen als Backup betrachtet.

Server-seitiges Conversion-Tracking ist die Antwort, auf die sich alle geeinigt haben. Bei der Implementierung läuft es schief. Dieser Beitrag geht durch die Architektur, wie sie sich darstellt, wenn ein URL-Shortener die click_id besitzt - was der Shortener tut, was Ihr Back-End tut, was die Ad-Plattformen auf ihrer Seite erwarten, und die Deduplikationsform, die Sie davor bewahrt, doppelt zu zählen, wenn sowohl Browser- als auch Server-Events feuern.

Die drei Plattformen, an die die meisten Teams weiterleiten: Meta CAPI, GA4 Measurement Protocol, TikTok Events API. Mixpanel, Klaviyo und Pinterest akzeptieren dieselbe Form mit anbieterspezifischen Feldnamen. Ich werde spezifisch über Meta und GA4 sprechen, weil sie den größten Teil des Budgets treiben; die anderen folgen demselben Muster.

Warum server-seitig#

Die Kurzfassung: Der Browser ist keine zuverlässige Signalquelle mehr. Die längere Fassung ist es wert, verstanden zu werden, weil sie prägt, wie Sie die Deduplikation einrichten.

Drei Dinge degradieren browser-seitige Conversions:

Cookie-Partitionierung und Lifetime-Caps. Safaris ITP partitioniert Cookies nach Top-Level-Site und begrenzt skriptgesetzte First-Party-Cookies auf 7 Tage (24 Stunden, nachdem ein bekannter Cross-Site-Tracker erkannt wurde). Firefox' Total Cookie Protection macht eine ähnliche Partitionierung. Brave und die Privacy-Extension-Kohorte gehen weiter. Der First-Party-Cookie-Attribution-Flow, der 2018 funktionierte, funktioniert 2026 nicht mehr.

Ad-Blocker. uBlock Origin, AdBlock Plus, Pi-hole, NextDNS und die Netzwerk-Level-Blocker liefern Default-Regeln für connect.facebook.net, googletagmanager.com, analytics.tiktok.com und den Rest der Marketing-Tag-Oberfläche aus. Das Pixel feuert nie; die Conversion wird nie registriert.

iOS App Tracking Transparency und die iOS-17-Link-Tracking-Änderungen. ATT reduzierte Metas Signalqualität. Der iOS 17 Link Tracking Protection erweiterte das auf Query-Parameter im privaten Browsing-Modus und Mail und entfernt fbclid, gclid und eine Liste anderer Parameter, bevor der Link geöffnet wird.

Der kumulative Effekt auf einen typischen Shopify-Shop mit iOS-lastigem Traffic: 25–40 % der Conversions werden von Browser-Pixeln verfehlt. Die exakte Zahl hängt von Ihrem Traffic-Mix ab; iOS-lastige Beauty- und Apparel-Marken liegen am oberen Ende. Die Recovered-Revenue-Arithmetik rechtfertigt die Engineering-Arbeit - für einen Shop mit 10 Mio. €/Jahr Umsatz und einer 30%igen Pixel-Attributionslücke ist die Wiedergewinnung selbst der Hälfte dieser Lücke 1,5 Mio. € attributierbarer Umsatz, der zurück zu den Plattformen geleitet wird, die ihn getrieben haben.

Server-seitiges Conversion-Forwarding schließt den größten Teil der Lücke. Es schließt nicht alles - es gibt Conversions, bei denen die click_id nie erfasst wurde (organisch, direkt, Brand-Search), die keine Menge an CAPI wiederherstellen kann - aber es schließt die Lücke, die durch browser-seitiges Blocking entstand.

Die Architektur#

Der Datenfluss besteht aus vier Hops: Ad → Short Link → Site → Server-seitiges Forward.

Ad-Plattform → Short Link. Das Ziel des Meta- oder Google-Ads-Creatives ist ein Short Link. Der Nutzer klickt; der Edge-Handler des Short Links erfasst das Click-Event und leitet zur Ziel-URL mit angehängter click_id weiter.

Short Link → Site. An die Ziel-URL ist ?elido_click=<id> angehängt (per Workspace konfigurierbar). Der Tag-Manager oder Theme-Code der Site liest sie und schreibt sie in einen First-Party-Cookie oder, wichtiger, in das Custom-Attribute des Carts oder der Bestellung.

Site → Bestellung. Wenn der Nutzer eine Bestellung abschließt (Shopify-Cart eingereicht, WooCommerce-Bestellung erstellt, Headless-Cart konvertiert), befindet sich die click_id in den Attributen/Metadaten des Bestelldatensatzes. Das ist der dauerhafte Übergabepunkt - sobald die click_id auf der Bestellung ist, unterliegt sie weder Cookie-Ablauf noch Browser-Session-Lifetime.

Bestellung → Server-seitiges Forward. Der Order-Paid-Webhook feuert aus Ihrer Commerce-Plattform. Ihr Back-End (oder Elido, wenn Sie es an Elido delegiert haben) liest die click_id, sucht die Conversion-Forwarding-Credentials nach und POSTet die Conversion an jede angebundene Ad-Plattform. Die Plattformen empfangen die Conversion und schreiben sie der ursprünglichen Kampagne gut.

Die Rolle des Shorteners ist die click_id bei Hop 2 plus die Orchestrierung bei Hop 4. Das Erste ist unkompliziert; das Zweite ist, wo die Integration ihr Geld wert ist.

Deduplikation: Das Thema, das niemand erwähnt, bis es in Produktion ist#

Der größte Produktionsvorfall, den ich am häufigsten sehe, ist Doppelzählung. Das Browser-Pixel ist weiterhin auf der Seite (das Team hat es nicht deaktiviert, weil sie einen Browser-Fallback für Nicht-Safari-Traffic wollten), und das Server-seitige Forward feuert auch. Meta nimmt beide Events auf. Die Conversion wird doppelt gezählt, der Budget-Allokator zieht zu stark, beim nächsten Kampagnen-Budget-Review fällt auf: „Moment, warum ist unser gemeldeter ROAS das 3-Fache des Umsatzes?".

Die Lösung ist der Deduplikations-Identifier. Meta CAPI akzeptiert eine event_id. GA4 Measurement Protocol akzeptiert eine client_id und eine transaction_id. TikTok Events akzeptiert eine event_id. Wenn sowohl Browser als auch Server dasselbe Event mit derselben Dedup-ID senden, schreibt die Plattform eines gut und ignoriert das zweite.

Die Dedup-ID muss auf beiden Seiten denselben Wert haben. Die Order-ID funktioniert für Purchase-Events - sowohl das browser-seitige Pixel als auch das server-seitige Forward sehen sie. Die click_id funktioniert für Upstream-Events (Lead, Add-to-Cart, View-Content), bei denen die Bestellung noch nicht existiert.

Metas Deduplikations-Dokumentation beschreibt das Matching-Fenster: Events, die innerhalb von 48 Stunden zueinander mit derselben event_id empfangen werden, werden als Duplikate behandelt. GA4s client_id-basierte Dedup ist im Prinzip ähnlich, aber dokumentationsseitig knapper.

Die operative Regel: Jede server-seitige Conversion muss die Dedup-ID tragen, und die Dedup-ID muss dieselbe sein, die das browser-seitige Pixel emittiert hat. Das auszulassen ist der Unterschied zwischen einer funktionierenden CAPI-Integration und einer, die Ihre gemeldeten Zahlen drei Monate lang leise aufbläht, bis es jemandem auffällt.

Hashing-Anforderungen#

Sowohl Meta CAPI als auch TikTok Events verlangen, dass E-Mail- und Telefon-Identifier vor der Übertragung mit SHA-256 gehasht werden. GA4 verlangt es nicht zwingend, akzeptiert es aber. Das Hashing betrifft die Kunden-Identifier - em (E-Mail), ph (Telefon), fn (Vorname), ln (Nachname), ge (Geschlecht), db (Geburtsdatum), ct (Stadt), st (Bundesland), zp (PLZ), country (Land) - nicht die Event-Metadaten.

Zwei Stolperfallen. Erstens muss das Format vor dem Hashing normalisiert werden - Kleinbuchstaben, getrimmt, Ländervorwahl aus dem Telefon entfernt, Bindestriche entfernt. Das Hashen von [email protected] ergibt einen anderen Wert als das Hashen von [email protected]; die Plattformen erwarten Letzteres. Metas Parameter-Anforderungs-Seite listet die Normalisierungsregeln pro Feld auf.

Zweitens muss der Hash kleingeschriebenes Hex ohne Leerzeichen sein. SHA256("[email protected]") ergibt a3b6...; die API erwartet a3b6..., nicht A3B6... und nicht \xa3\xb6.... Die meisten Sprachen-SDKs geben standardmäßig großgeschriebenes Hex zurück; Sie müssen das Ergebnis kleinschreiben.

Wenn Sie über Elidos POST /v1/conversions-Endpunkt routen, wird das Hashing plattform-seitig übernommen - Sie POSTen die rohe E-Mail/Telefon, Elido führt die Normalisierung und das Hashing nach Plattform-Anforderung durch und leitet weiter. Der Vorteil ist ein Set von Normalisierungsregeln, das Ihr Back-End pflegen muss, statt drei. Die Kosten: Sie vertrauen Elido die rohe PII zum Zeitpunkt des Forwards an; die Anfrage ist verschlüsselt während der Übertragung und wird server-seitig nicht persistiert, aber das Vertrauensmodell sollte verstanden sein, bevor Sie es verkabeln.

Ein ausgearbeiteter Meta-CAPI-POST#

Was die Plattform tatsächlich will. Der Endpunkt ist POST https://graph.facebook.com/v21.0/{pixel_id}/events. Der Body ist JSON.

{
  "data": [
    {
      "event_name": "Purchase",
      "event_time": 1716480000,
      "event_id": "order-acme-2026-05-23-001847",
      "action_source": "website",
      "event_source_url": "https://acme.example/checkout/thanks?order=001847",
      "user_data": {
        "em": ["a3b6...sha256 of email"],
        "ph": ["c4d7...sha256 of phone"],
        "client_user_agent": "Mozilla/5.0 ...",
        "client_ip_address": "203.0.113.42",
        "fbc": "fb.1.1716470000.AbCdEf",
        "fbp": "fb.1.1716470000.987654321"
      },
      "custom_data": {
        "currency": "EUR",
        "value": 89.5,
        "content_ids": ["sku-spring-jeans-32-blue"],
        "content_type": "product",
        "num_items": 1
      }
    }
  ],
  "test_event_code": "TEST12345",
  "access_token": "EAAxxxxxxx"
}

Drei erwähnenswerte Punkte:

Die event_id ist der Dedup-Schlüssel. Setzen Sie ihn auf Ihre Order-ID; das browser-seitige Purchase-Pixel setzt denselben Wert. Meta dedupliziert innerhalb des 48-Stunden-Matching-Fensters.

fbc und fbp sind Metas Cookie-Identifier. fbc ist der Click-Identifier (fbclid aus der Landing-URL, mit Präfix); fbp ist der Browser-Identifier aus dem _fbp-Cookie. Beide sind aus Sicht Ihrer Domain First-Party und server-seitig erfassbar, sobald Sie sie von der Landingpage persistiert haben. Ohne sie sinkt Metas Match-Rate; mit ihnen ist die Match-Rate exzellent.

test_event_code erlaubt Ihnen, Test-Events zu feuern, die nicht in die Produktions-Reports einfließen. Verkabeln Sie das immer zuerst; verifizieren Sie in Events Manager Test Events, bevor Sie Produktions-Traffic umschalten.

Das Elido-API-Äquivalent: POST /v1/conversions mit {click_id, event_name: "Purchase", value, currency, order_id, customer: {email, phone}}. Elido normalisiert und hasht gemäß Metas Spec, schlägt die fbc/fbp des Workspaces aus dem Click-Event nach und konstruiert das CAPI-Payload.

Ein ausgearbeiteter GA4-Measurement-Protocol-POST#

GA4s Wire-Format ist in der Form ähnlich, aber die Feldnamen unterscheiden sich. Endpunkt: POST https://www.google-analytics.com/mp/collect?measurement_id=G-XXX&api_secret=xxx.

{
  "client_id": "click-id-as-fallback-if-no-ga4-cookie",
  "user_id": "user-acme-12847",
  "events": [
    {
      "name": "purchase",
      "params": {
        "transaction_id": "order-acme-2026-05-23-001847",
        "value": 89.5,
        "currency": "EUR",
        "items": [
          {
            "item_id": "sku-spring-jeans-32-blue",
            "item_name": "Spring Jeans 32 Blue",
            "quantity": 1,
            "price": 89.5
          }
        ],
        "engagement_time_msec": 1
      }
    }
  ]
}

Hinweise:

client_id ist der _ga-Wert des GA4-Cookies, falls vorhanden; wenn nicht, ist die click_id ein brauchbarer Fallback (denn GA4 erstellt eine Session dagegen).

transaction_id ist der Dedup-Schlüssel - setzen Sie ihn auf Ihre Order-ID, denselben Wert wie beim browser-seitigen gtag-purchase-Event, GA4 dedupliziert innerhalb seines Session-Fensters.

engagement_time_msec muss vorhanden und positiv sein, damit das Event in die Attribution einfließt; das Setzen auf 1 erfüllt die Anforderung.

api_secret ist auf Workspace-Ebene. Die GA4-MP-Dokumentation deckt das Credentials-Setup ab.

Retry-Semantik#

Die Plattformen akzeptieren Retries; was Sie nicht tun können, ist blind zu wiederholen. Drei Muster halten stand.

Idempotenz auf der Dedup-ID. Wenn die event_id / transaction_id der Plattform die Order-ID ist und Sie dasselbe Payload erneut senden, dedupliziert die Plattform - der zweite Send wird stillschweigend ignoriert. Sicher.

Exponentielles Backoff bei 5xx. Sowohl Meta als auch GA4 geben gelegentlich 5xx zurück. Mit Backoff (1s, 2s, 4s, 8s bis zu 60s, dann aufgeben) erneut versuchen. Die Retries sollten dieselbe event_id beibehalten, damit die Plattform partielle Erfolgsfälle dedupliziert.

Bei 4xx nicht erneut versuchen. Eine 4xx-Antwort bedeutet, dass das Payload fehlerhaft oder die Credentials falsch sind. Ein Retry behebt das nicht; er verbrennt nur Rate-Limit-Budget. Loggen, alertieren, das Upstream-Problem beheben.

Wenn Sie über Elido routen, wird Retry/Backoff übernommen - POST /v1/conversions kehrt sofort zurück, und das Fan-out zu den Plattformen geschieht im Hintergrund, mit dem Retry-Zustand beobachtbar über GET /v1/conversions/{id}. Wenn Sie es selbst bauen, lebt die Retry-Form im Queue-Layer (RabbitMQ, Kafka, AWS SQS).

Testmodus und Dry-Run#

Der größte einzelne Fehler, den Teams machen, ist das Überspringen des Dry-Runs.

Meta hat Test Events. Sie setzen test_event_code auf das Payload, die Events erscheinen innerhalb von Sekunden im Test-Events-Panel, Sie verifizieren die Form und die Deduplikation. Produktions-Events laufen über denselben Endpunkt, aber ohne test_event_code.

GA4 hat DebugView. Sie setzen debug_mode: 1 in den Event-Params, die Events erscheinen in DebugView, Sie verifizieren, bevor Sie Produktions-Traffic umschalten.

TikTok hat einen ähnlichen Testmodus im Events-Manager-Interface.

Die Verifikations-Checkliste ist kurz. Platzieren Sie eine Testbestellung, beobachten Sie den Order-Paid-Webhook, beobachten Sie das Conversion-Forward feuern, beobachten Sie es im Testpanel der Plattform landen. Bestätigen Sie, dass die event_id mit dem Wert des browser-seitigen Pixels übereinstimmt. Bestätigen Sie, dass value, currency und content_ids stimmig aussehen. Dann deaktivieren Sie den Testmodus und beobachten die ersten zehn Produktions-Bestellungen.

Wenn Sie das überspringen, finden Sie drei Tage später heraus, dass die Integration kaputt ist, wenn die Berichte flach sind. Das Überspringen des Dry-Runs ist der häufigste einzelne Fehlermodus, den ich sehe.

Häufige Fehlermodi#

Click_id fehlt auf der Bestellung. Der häufigste Fall. Bereits behandelt im E-Commerce-Cornerstone; die Lösung ist, die click_id durch den Cart bis zur Bestellung durchzureichen.

Hash-Mismatch. [email protected] ohne Normalisierung gehasht ergibt einen anderen Wert als [email protected]. Die Plattformen lehnen den Match ab, die Conversion landet ohne Identifier-Matching, und Metas Reporting schreibt sie „unmatched" zu. Die Lösung sind die Normalisierungsregeln im Meta-CAPI-Parameters-Doc; die saubere Antwort ist, das Hashing an den Shortener zu delegieren, damit die Regeln an einem Ort leben.

fbc nicht erfasst. Wenn der Nutzer aus einer Meta-Anzeige landet, enthält die URL fbclid; die Seite muss ihn erfassen und persistieren (typischerweise in die Custom Attributes der Bestellung). Ohne fbc sinkt Metas Match-Rate substanziell. Die Lösung ist der Landing-Page-Tag-Manager-Schritt, der fbc in einen First-Party-Cookie oder in das Cart-Attribut schreibt.

Dedup-ID inkonsistent. Browser-seitiges Pixel nutzt die Order-ID; server-seitig wird zur Forward-Zeit eine UUID generiert. Beide Events werden aufgenommen, keines wird dedupliziert. Die Lösung: Sicherstellen, dass das server-seitige Forward denselben event_id-Wert nutzt, den das browser-seitige Pixel emittiert hat - Order-ID für Purchases ist die Standardantwort.

Currency-Mismatch. Browser sendet USD (weil die gtag-Config standardmäßig auf USD steht); Server sendet EUR (weil die Bestellung in EUR ist). GA4 und Meta behandeln die Currency in manchen Matching-Kontexten beide als Teil der Event-Signatur, und die Conversions landen, aggregieren sich aber nicht sauber. Die Lösung ist, die Currency aus der Bestellung zu beziehen, nicht aus der Page-Level-Config.

Wo das in der Data Plane lebt#

Das Conversion-Forwarding ist ein Teil der breiteren Attribution-Pipeline. Der Cornerstone für die umgebende Pipeline ist Wie man UTM-Kampagnen End-to-End ohne CDP trackt - dieser Beitrag behandelt das Workspace-UTM-Template, die Kampagnen-Level-Overrides, den Bulk-Import und den Dry-Run-Verifikationsschritt im Detail. Dieser Beitrag ist der tiefere Drill-Down zum server-seitigen Fan-out, das den Loop schließt.

Für die operative Anleitung ist das Conversion-Forwarding-Doc die Schritt-für-Schritt. Für architektonische Details dazu, wie Elido fanned out, ohne die Plattform-Rate-Limits zu überschreiten, behandelt der Click-Ingestion-Architektur-Beitrag die Fire-and-Forget-Pipeline.

Lies den Cluster#

Geschwister-Beiträge im Features-Cluster: Smart Links erklärt (der Cornerstone), Webhooks für Link-Events (die breitere Event-Form) und Conversions an Meta CAPI weiterleiten (der tiefere Meta-spezifische Drill-Down). Für die persona-orientierte Version ist solutions/marketers die Seite; die Conversion-Tracking-Feature-Seite ist die Produkt-Oberfläche.

Verwandt im Blog#

• GA4 server-seitiges Tracking über die Redirect-Schicht
• Cookieless-Attribution erklärt: Was 2026 noch funktioniert
• Click-Attribution nach Safari ITP: Was 2026 noch funktioniert
• Warum wir ClickHouse für Click-Analytics nutzen (und nicht Postgres)