Spring til indhold
server-side tracking GDPR GTM server-side consent tracking

Server-side Tracking og GDPR: Den nye gråzone i 2026

Af Privaci-teamet
Server-side Tracking og GDPR: Den nye gråzone i 2026

Server-side tracking og GDPR — den nye gråzone i 2026

I de seneste år er server-side tracking gået fra at være en teknisk nicheløsning til at blive præsenteret som svaret på næsten alt: Ad blockers, cookieforbud, iOS-begrænsninger, Schrems II. Den markedsføres af leverandørerne som en privacy-venlig teknologi, der kan redde marketingdata fra at forsvinde ind i cookie-apokalypsen.

Men er server-side tracking faktisk GDPR-lovligt? Kræver det stadig samtykke? Og hvad er den reelle juridiske status i 2026?

Svaret er mere nuanceret end mange håber. Server-side tracking er et teknisk skift — ikke en juridisk fritagelse. Det kan implementeres lovligt. Det kan også implementeres på måder, der åbenlyst overtræder GDPR. Og der er en bred gråzone imellem, som tilsynsmyndigheder i hele Europa gradvist er ved at kortlægge.

Denne artikel giver dig den komplette, kritiske gennemgang.

Server-side tracking — privacy-løsning eller juridisk gråzone?

Fortællingen i marketingbranchen lyder omtrent sådan: “Klient-side tracking er ved at dø. Browsere blokerer cookies. Ad blockers stopper pixels. Apple fjerner identifikatorer. Men med server-side tracking omgår vi det hele — og det er samtidig mere GDPR-venligt, fordi data ikke længere deles med tredjepart direkte fra browseren.”

Der er noget rigtigt i den fortælling. Og noget der er decideret misvisende.

Det rigtige: Server-side tracking giver dig mere kontrol over hvilke data der sendes videre. Du kan filtrere, anonymisere og minimere data, inden de når Google, Meta eller andre platforme. Arkitekturen muliggør privacy-by-design på en måde, der er sværere med ren klient-side tracking.

Det misvisende: Server-side tracking eliminerer ikke behovet for samtykke. Det ændrer ikke på hvad der er persondata. Det løser ikke dataoverførselsproblemer til tredjelande. Og det fjerner ikke din forpligtelse til at informere brugerne.

Kort sagt: Det er et kraftfuldt redskab, der kan bruges til at bygge en mere ansvarlig tracking-arkitektur — men det er ikke en genvej uden om GDPR.

Hvad er server-side tracking?

For at forstå de juridiske implikationer er det nødvendigt at forstå den tekniske arkitektur.

Klient-side tracking (traditionel model)

I den traditionelle model sker al dataindsamling i brugerens browser:

Bruger -> Browser -> Dit website
                  -> Google Analytics (direkte)
                  -> Meta Pixel (direkte)
                  -> LinkedIn Insight Tag (direkte)
                  -> [Andre tredjeparts-scripts] (direkte)

Hvert tredjeparts-script kører direkte i browseren. Det kan sætte cookies, læse eksisterende cookies, sende data til sine egne servere og i teorien se alt, hvad browseren ved. Brugeren kan blokere disse scripts med ad blockers eller browser-indstillinger.

Server-side tracking (ny model)

I server-side tracking-modellen er der et ekstra lag — din server (eller en skytjeneste du kontrollerer):

Bruger -> Browser -> Dit website
                  -> Din tracking-server (first-party subdomain)
                                       -> Google Analytics
                                       -> Meta Conversions API
                                       -> LinkedIn API
                                       -> [Andre platforme]

Browseren kommunikerer kun med din tracking-server. Den videresender derefter data til de relevante platforme efter dine regler. Tredjeparts-scripts kører ikke direkte i browseren — i hvert fald ikke i den rene server-side model.

Google Tag Manager Server-Side (sGTM)

Google Tag Manager Server-Side (sGTM) er den mest udbredte implementering. Her er arkitekturen:

  1. Du opretter en server-side container i GTM, der kører på en server (typisk Google Cloud Platform, men kan hostes andre steder)
  2. Du giver containeren et first-party subdomain — fx metrics.ditdomæne.dk — så det fremstår som dit eget
  3. Browseren sender events til dette subdomain frem for direkte til tredjeparts-servere
  4. Din sGTM-container behandler events og videresender relevante data til Google Analytics, Meta, osv.

sGTM understøtter også Consent Mode v2, der giver dig mulighed for at justere, hvad der sendes baseret på brugerens samtykkevalg.

Arkitekturdiagram der sammenligner klient-side tracking, hvor browseren sender data direkte til Google Analytics, Meta og LinkedIn, med server-side tracking, hvor browseren kommunikerer med din egen tracking-server, som derefter videresender data til platformene via API — begge modeller kræver samtykke under GDPR
Klient-side vs server-side tracking: I klient-side modellen sender browseren data direkte til tredjeparts-platforme. I server-side modellen fungerer din egen server som mellemled — men begge modeller kræver gyldigt samtykke under GDPR og ePrivacy-direktivet.

Fordele ved server-side tracking

Server-side tracking har reelle tekniske og compliance-relaterede fordele, der er værd at forstå:

Bedre datakvalitet: Ad blockers og browser-privatlivsindstillinger blokerer mange klient-side scripts. Server-side tracking, der kører via dit eget subdomain, undgår disse blokeringer — fordi det fremstår som first-party kommunikation.

Mere kontrol over data: Du bestemmer præcis, hvilke felter der sendes til hvilke platforme. Du kan anonymisere IP-adresser, fjerne bruger-ID’er, hashe e-mailadresser og reducere datavolumenet til hvad der faktisk er nødvendigt for det givne formål.

Reduceret eksponering af tredjeparts-scripts: Når tredjeparts-JavaScript ikke kører direkte i browseren, kan disse scripts ikke “snuse rundt” i browsermiljøet og potentielt samle data udover deres formål. Det reducerer angreber-overfladen og mindsker den uautoriserede dataindsamling.

First-party cookies med længere levetid: Cookies sat af din server via Set-Cookie-headers med HttpOnly og SameSite=Lax behandles som first-party cookies af browsere. Safari’s ITP (Intelligent Tracking Prevention) og Firefox’s ETP begrænser levetiden for tredjeparts-cookies, men first-party server-side cookies er mindre berørt.

Bedre privacy-by-design: Arkitekturen muliggør data minimization som et teknisk designvalg frem for en processuel regel. Du kan bygge systemer, der strukturelt umuliggør overdeling.

GDPR og server-side tracking

Her bliver det kompliceret. Lad os gennemgå de centrale juridiske spørgsmål et for et.

Kræver server-side tracking stadig samtykke?

Ja. Dette er det mest udbredte misforståelse om server-side tracking.

GDPR definerer persondata som “enhver oplysning om en identificeret eller identificerbar fysisk person” (artikel 4, nr. 1). Denne definition afhænger ikke af, om data behandles i en browser eller på en server. En IP-adresse er persondata, uanset om den registreres klient-side eller server-side. En cookie-ID er persondata uanset infrastruktur. Brugeradfærd der kan knyttes til en person er persondata.

GDPR artikel 6 kræver et lovligt retsgrundlag for al behandling af persondata. For tracking til marketing- og analyseformål er det relevante retsgrundlag næsten altid samtykke (artikel 6, stk. 1, litra a) — understøttet af ePrivacy-direktivets artikel 5, stk. 3, der kræver samtykke for adgang til og lagring af information på brugerens enhed.

Samtykke-kravet stammer primært fra ePrivacy-direktivet, der gælder for “lagring af oplysninger eller adgang til oplysninger der allerede er lagret i terminaludstyr”. Cookies sat af din server via Set-Cookie-headers er stadig cookies på brugerens enhed — ePrivacy-reglerne gælder.

Konklusionen fra alle relevante tilsynsmyndigheder er klar: Server-side tracking kræver det samme samtykke som klient-side tracking.

Dataoverførsler — er det bedre?

Det afhænger fuldstændig af din implementering.

Potentielt bedre: Hvis din tracking-server kører i EU (fx på en europæisk cloudinstans), og du kontrollerer præcis hvilke data der sendes til tredjepart, kan du i princippet reducere mængden af persondata der overføres til tredjelande.

Ikke nødvendigvis bedre: De fleste sGTM-implementeringer sender stadig data til Googles servere i USA (via GA4, Google Ads, osv.) og til Meta i USA (via Conversions API). Dataoverførslen sker bare fra din server i stedet for fra brugerens browser — men den sker stadig.

Det juridiske problem med overførsler til tredjelande (Schrems II-problematikken) løses ikke af server-side tracking alene. Du skal stadig have et gyldigt overførselsgrundlag — fx DPF-certificering eller standardkontraktbestemmelser — for at overføre persondata til USA.

CNIL’s position

Den franske tilsynsmyndighed CNIL er den europæiske DPA der har givet de mest detaljerede anvisninger om server-side tracking. Og CNIL er kritisk — men ikke afvisende.

CNIL publicerede i december 2022 vejledning om “eksempte analytics” — dvs. analytics der kan gennemføres uden samtykke, hvis visse betingelser er opfyldt. Server-side tracking er nævnt i denne kontekst som et muligt redskab.

CNIL har i slutningen af 2025 yderligere bekræftet, at server-side tracking kan være lovligt under specifikke betingelser. JENTIS, en europæisk server-side tracking-leverandør, citerede CNIL’s nye artikler som en de facto-anerkendelse af server-side tracking som compliance-redskab — dog med vigtige forbehold.

CNIL’s kritiske punkter:

  1. Samtykke er stadig nødvendigt for ikke-essentiel tracking og for overførsler til tredjepart
  2. Data bør ikke forlade EU/EEA uden lovligt overførselsgrundlag
  3. Pseudonymisering er nødvendig — rå identifikatorer som IP-adresser og bruger-ID’er bør pseudonymiseres, inden de deles med tredjepart
  4. Dataformindskelse er en forudsætning — du bør kun sende det, der er strengt nødvendigt

CNIL’s formulering er interessant: “Implementing the measures described below can be costly and complex and does not always meet the operational needs of professionals. To avoid these difficulties, professionals can also use a solution that does not transfer personal data outside the European Union.” — en klar opfordring til europæisk infrastruktur.

1st-party data gælder stadig reglerne

Et argument man møder i salgsmaterialet fra tracking-leverandører er, at server-side tracking producerer “1st-party data” og dermed er undtaget fra GDPR’s strengeste krav.

Det er forkert.

First-party vs. third-party er en teknisk distinktion relateret til, hvem der sætter en cookie — ikke en juridisk distinktion under GDPR. GDPR’s persondata-definition og samtykke-krav gælder for al behandling af persondata om identificerbare EU-borgere, uanset om det er first-party eller third-party cookies.

En first-party cookie der bruges til at tracke en brugers adfærd på tværs af sessioner er persondata. Den kræver stadig samtykke, hvis formålet er ikke-essentielt (fx analytics, marketing).

Lovlige use cases vs. ulovlige

Det er nyttigt at skelne konkret mellem implementeringer, der er lovlige, og dem der ikke er.

Lovlige implementeringer

Server-side analytics med samtykke: Du implementerer sGTM med et CMP (Consent Management Platform). Ingen tracking-events sendes til GA4 eller andre platforme, før brugeren har accepteret analytics-kategorien. Consent Mode v2 er korrekt konfigureret. Dette er lovligt.

Privacy-preserving measurement: Du bruger sGTM til at sende anonymiserede konverteringsdata til annonceringsplatforme — fx antal konverteringer uden individuel bruger-ID. Aggregerede, anonymiserede data der ikke kan knyttes til individuelle personer er ikke persondata og kræver ikke samtykke.

Server-side session management: Du bruger server-side cookies til at holde styr på login-sessioner og indkøbskurv. Dette er teknisk nødvendigt for at levere den tjeneste brugeren aktivt bruger. Legitim interesse eller kontraktmæssig nødvendighed kan begrunde dette uden samtykke.

Europæisk infrastruktur med pseudonymisering: Din tracking-server kører i EU, pseudonymiserer IP-adresser og bruger-ID’er, og sender kun aggregerede metrics til tredjepart. Minimal persondata forlader EU. Med korrekt samtykke-implementering er dette fuldt lovligt og best-practice.

Ulovlige eller tvivlsomme implementeringer

Server-side tracking uden samtykke til ikke-essentielle formål: Du bruger sGTM til at sende analytics- og reklamedata til GA4 og Meta uden at indhente samtykke, med den begrundelse at “det er jo server-side”. Dette er ulovligt — teknologien ændrer ikke retsgrundlaget.

Fingerprinting via server-side: Server-side tracking giver adgang til HTTP-headers som User-Agent, Accept-Language og andre signaler, der kan kombineres til et browser-fingerprint. Fingerprinting der bruges til at identificere og tracke brugere der har afvist cookies er en omgåelse af samtykke og er ulovlig.

Dataoverførsler til USA uden retsgrundlag: Du sender detaljerede brugerdata (inkl. IP-adresse, bruger-ID, præcis adfærd) til Google Analytics eller Meta fra din server, uden at have et gyldigt overførselsgrundlag og uden brugerens samtykke. Det er det samme problem som klient-side tracking, bare fra en anden server.

Genopbygning af profiler efter afvist samtykke: Brugeren afviser cookies. Du bruger server-side data til at matche brugeren mod en eksisterende profil vha. IP-adresse eller andre identifikatorer. Dette er en åbenlys omgåelse af samtykke og en alvorlig GDPR-overtrædelse.

Best practices for GDPR-compliant server-side tracking

Hvis du ønsker at implementere server-side tracking på en måde, der er juridisk holdbar i 2026, er her de centrale principper:

1. Samtykke er ikke til forhandling

Implementér et CMP der understøtter Consent Mode v2 og integrerer med din sGTM-container. Ingen ikke-essentielle events bør afsendes, før brugeren har givet samtykke. Test dette — mange implementeringer har fejl, der sender data før samtykke.

2. Anonymisér IP-adresser på din server

Fjern eller trunkér IP-adresser, inden data sendes til tredjepart. IP-anonymisering bør ske på din tracking-server, ikke delegeres til tredjeparts-tjenesten.

3. Host din tracking-server i EU

Brug europæiske cloudinstanser (AWS eu-west, GCP europe-west, Azure North Europe) til din sGTM-container. Det reducerer eksponering ved potentielle DPF-invalidering og imødekommer CNIL’s anbefalinger.

4. Implementér data minimization teknisk

Konfigurér din sGTM-container til kun at videresende de felter, der er strengt nødvendige for det pågældende formål. Slå URL-parameterfelt fra, hvis de indeholder brugerdata. Hasher e-mailadresser, inden de sendes til annonceringsplatforme.

5. Opdatér din privatlivspolitik og cookie-erklæring

Beskriv specifikt, at du bruger server-side tracking, hvilke data der behandles, og til hvilke formål. Nævn dine databehandlere og overførselsgrundlag. Brugere har ret til at vide dette under GDPR artikel 13/14.

6. Gennemfør en DPIA

Hvis din tracking indebærer systematisk overvågning af brugere i stor skala (fx en e-handelsplatform med mange brugere), er en Data Protection Impact Assessment (DPIA) sandsynligvis påkrævet under GDPR artikel 35. Gennemfør den inden implementering.

7. Overvej europæiske alternativer

Tjenester som JENTIS, Piwik PRO (EU-hosting), og Plausible Analytics er bygget med europæisk compliance som udgangspunkt. De kan reducere de kompleksiteter, der opstår ved at sende data til USA-baserede platforme.

8. Test med og uden samtykke

Brug din browsers developer tools til at verificere, at ingen tracking-requests sendes, når brugeren afviser. Det er overraskende hyppigt, at implementeringer har fejl der sender data alligevel.

Privaci.io by bon.do og server-side tracking detection

Server-side tracking stiller nye krav til compliance-scanning, fordi mange af de traditionelle detektionsmetoder bygger på klient-side analyse — scanning af JavaScript-tags, cookies sat i browseren osv.

Privaci.io by bon.do tager højde for dette ved at analysere:

Synlige indikatorer i klient-side kode: Selvom sGTM-implementeringer reducerer antallet af tredjeparts-scripts, er der typisk stadig et GTM-snippet i browseren der initialiserer data layer og sender til tracking-serveren. Privaci.io identificerer disse snippets og klassificerer dem korrekt.

First-party subdomain patterns: sGTM-containere kører ofte på subdomains som metrics., data., analytics., t., track. etc. på dit eget domæne. Privaci.io analyserer disse anmodninger og identificerer, om de peger på en server-side tracking-container.

Cookie-analyse: Server-side tracking sætter ofte cookies via HTTP Set-Cookie-headers med specifikke mønstre. Privaci.io scanner disse og identificerer tracking-cookies uanset om de er sat klient-side eller server-side.

Consent Mode status: Privaci.io verificerer, om Consent Mode v2 er korrekt implementeret — herunder om standardtilstanden er korrekt sat til ‘denied’ for ikke-essentielle parametre.

Resultatet er en rapport der fortæller dig ikke bare om du bruger server-side tracking, men om implementeringen ser ud til at respektere samtykke korrekt — og om der er specifikke risici du bør adressere.

FAQ

Er server-side tracking mere GDPR-venligt end klient-side tracking?

Det kan være det — hvis det er implementeret korrekt med data minimization, IP-anonymisering, EU-hosting og korrekt samtykke-integration. Men arkitekturen alene gør det ikke mere lovligt. En dårlig server-side implementering er ligeså ulovlig som en dårlig klient-side implementering.

Kan jeg bruge server-side tracking til at omgå cookie consent?

Nej. ePrivacy-direktivet og GDPR kræver samtykke for tracking uanset teknologi. Forsøg på at omgå samtykke via server-side tracking er en overtrædelse der kan medføre bøder.

Hvad er Consent Mode v2, og er det obligatorisk?

Consent Mode v2 er Googles framework til at tilpasse datatransmission baseret på brugerens samtykkevalg. Det er ikke direkte et GDPR-krav, men Google gjorde det obligatorisk for at bruge visse Google-tjenester (fx Enhanced Conversions) fra marts 2024. Korrekt implementering er nødvendig for at sikre, at dine Google-integrationer respekterer samtykke.

Skal jeg have en DPA-aftale med min sGTM-hostingudbyder?

Ja. Hvis du bruger Google Cloud Platform til at hoste sGTM, er Google databehandler for dig, og du skal have en databehandleraftale (DPA) med Google. Google tilbyder standardiserede DPA-vilkår som del af Google Cloud-aftalen.

Hvad koster en sGTM-implementering?

Det varierer meget. Google Cloud Platform-hosting koster typisk 50-200 euro/måned for et medium-trafiksite. Dertil kommer implementeringsomkostninger. Europæiske alternativer som JENTIS har egne prismodeller. Enklere privacy-venlige analytics-løsninger som Plausible (9-19 euro/måned) er et billigere alternativ, hvis dine analyticsbehov er mere basale.

Hvad er forskellen på server-side tracking og server-side rendering?

Det er to forskellige ting. Server-side rendering (SSR) handler om at generere HTML på serveren frem for i browseren — det er en frontend-arkitekturebeslutning. Server-side tracking handler om at flytte analytics- og tracking-logikken til en server. De kan kombineres, men er uafhængige teknologier.

Kan server-side tracking hjælpe med iOS 14+ og Apple’s SKAdNetwork-begrænsninger?

Delvist. Meta Conversions API (CAPI) via server-side tracking kan hjælpe med at genskabe konverteringssignaler der ellers ville gå tabt pga. iOS’s ATT-framework. Men CAPI kræver stadig brugerens samtykke under GDPR og bør implementeres med korrekt consent-logik.

Hvad sker der, hvis EU-U.S. Data Privacy Framework bliver ugyldiggjort igen?

Hvis DPF — som Privacy Shield og Safe Harbor før det — bliver ugyldiggjort af EU-Domstolen, vil overførsler til USA-baserede tjenester atter mangle et gyldigt overførselsgrundlag. Server-side tracking der sender data til Google, Meta og andre USA-tjenester vil rammes. Det er endnu et argument for europæisk infrastruktur og databehandlere.

Vil du vide om dit website’s tracking-setup respekterer samtykke korrekt? Privaci.io by bon.do scanner dit website og identificerer tracking-teknologier — inklusive server-side patterns — og giver dig en klar compliance-rapport.

Ofte stillede spørgsmål

Er server-side tracking mere GDPR-venligt end klient-side tracking?
Det kan være det — hvis det er implementeret korrekt med data minimization, IP-anonymisering, EU-hosting og korrekt samtykke-integration. Men arkitekturen alene gør det ikke mere lovligt. En dårlig server-side implementering er ligeså ulovlig som en dårlig klient-side implementering.
Kan jeg bruge server-side tracking til at omgå cookie consent?
Nej. ePrivacy-direktivet og GDPR kræver samtykke for tracking uanset teknologi. Forsøg på at omgå samtykke via server-side tracking er en overtrædelse der kan medføre bøder.
Hvad er Consent Mode v2, og er det obligatorisk?
Consent Mode v2 er Googles framework til at tilpasse datatransmission baseret på brugerens samtykkevalg. Det er ikke direkte et GDPR-krav, men Google gjorde det obligatorisk for at bruge visse Google-tjenester (fx Enhanced Conversions) fra marts 2024. Korrekt implementering er nødvendig for at sikre, at dine Google-integrationer respekterer samtykke.
Skal jeg have en DPA-aftale med min sGTM-hostingudbyder?
Ja. Hvis du bruger Google Cloud Platform til at hoste sGTM, er Google databehandler for dig, og du skal have en databehandleraftale (DPA) med Google. Google tilbyder standardiserede DPA-vilkår som del af Google Cloud-aftalen.
Hvad koster en sGTM-implementering?
Det varierer meget. Google Cloud Platform-hosting koster typisk 50-200 euro/måned for et medium-trafiksite. Dertil kommer implementeringsomkostninger. Europæiske alternativer som JENTIS har egne prismodeller. Enklere privacy-venlige analytics-løsninger som Plausible (9-19 euro/måned) er et billigere alternativ, hvis dine analyticsbehov er mere basale.
Hvad er forskellen på server-side tracking og server-side rendering?
Det er to forskellige ting. Server-side rendering (SSR) handler om at generere HTML på serveren frem for i browseren — det er en frontend-arkitekturebeslutning. Server-side tracking handler om at flytte analytics- og tracking-logikken til en server. De kan kombineres, men er uafhængige teknologier.
Kan server-side tracking hjælpe med iOS 14+ og Apple’s SKAdNetwork-begrænsninger?
Delvist. Meta Conversions API (CAPI) via server-side tracking kan hjælpe med at genskabe konverteringssignaler der ellers ville gå tabt pga. iOS’s ATT-framework. Men CAPI kræver stadig brugerens samtykke under GDPR og bør implementeres med korrekt consent-logik.
Hvad sker der, hvis EU-U.S. Data Privacy Framework bliver ugyldiggjort igen?
Hvis DPF — som Privacy Shield og Safe Harbor før det — bliver ugyldiggjort af EU-Domstolen, vil overførsler til USA-baserede tjenester atter mangle et gyldigt overførselsgrundlag. Server-side tracking der sender data til Google, Meta og andre USA-tjenester vil rammes. Det er endnu et argument for europæisk infrastruktur og databehandlere.

Relaterede artikler

Klar til at finde alle dine cookies?

Privaci scanner dit website i et fuldt browsermiljø og finder HTTP-only cookies, CNAME cloaking og browser fingerprinting — teknologier andre scannere misser.

Start gratis scanning Læs flere artikler