Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

TikTok Pixel

Was macht TikTok Pixel?

Der TikTok Pixel ist ein Werbemessungs- und Zielgruppenaufbau-Tool von TikTok (ByteDance), das Website-Conversions verfolgt und Retargeting-Zielgruppen für TikTok-Anzeigen aufbaut. Er unterliegt erhöhter DSGVO-Prüfung aufgrund der chinesischen Eigentümerschaft von ByteDance und der Bedenken hinsichtlich eines möglichen Datenzugriffs gemäß chinesischer Sicherheitsgesetze. Mehrere EU-Datenschutzbehörden haben die Datenpraktiken von TikTok untersucht oder eingeschränkt. Eine Einwilligung ist vor dem Laden des Pixels erforderlich, Standardvertragsklauseln sind für Übertragungen in die USA und nach Singapur notwendig, und eine Datenschutz-Folgenabschätzung wird dringend empfohlen.

Was ist der TikTok Pixel?

Der TikTok Pixel ist ein JavaScript-Tracking-Code, der auf Websites eingebettet wird, um Besucheraktionen zu messen und Retargeting-Zielgruppen für TikTok-Werbeanzeigen aufzubauen. Er wird von ByteDance, dem chinesischen Mutterkonzern von TikTok, betrieben. Der Pixel verfolgt Ereignisse wie Seitenaufrufe, Produktansichten, Warenkorbaktionen und Käufe und überträgt diese Daten an TikTok-Server in den USA und Singapur. Zusätzlich bietet TikTok die Events API als serverseitige Alternative sowie Advanced Matching zur Übertragung gehashter personenbezogener Daten für eine bessere Conversion-Attribution.

Welche Cookies und Daten erfasst der TikTok Pixel?

Der TikTok Pixel setzt zwei primäre Cookies: _ttp (13 Monate) ist ein Werbe-Tracking-Identifier für die Conversion-Messung und den Zielgruppenaufbau, und _tt_enable_cookie (13 Monate) speichert den Einwilligungsstatus des Besuchers. Der Pixel erfasst außerdem IP-Adressen, Browser-Fingerprinting-Daten, Besucheraktionen und bei aktiviertem Advanced Matching gehashte E-Mail-Adressen, Telefonnummern oder andere PII. Alle diese Daten werden an TikTok-Server in den USA und Singapur übertragen.

DSGVO-Compliance und das ByteDance-Risiko

Der TikTok Pixel stellt ein erhöhtes DSGVO-Risiko im Vergleich zu anderen Werbe-Pixels dar. ByteDance unterliegt als chinesisches Unternehmen dem chinesischen Nationalsicherheitsgesetz, das Datenweitergabe an chinesische Behörden vorschreiben kann. Standardvertragsklauseln allein gelten möglicherweise nicht als ausreichender Schutz gegen staatlichen Zugriff. Die irische Datenschutzkommission verhängte im September 2023 eine DSGVO-Strafe von 345 Millionen Euro gegen TikTok wegen des Umgangs mit Kinderdaten. Mehrere EU-Institutionen, darunter Europäisches Parlament und Kommission, haben TikTok auf Dienstgeräten verboten.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Einwilligungsanforderungen und Datentransfers

Der TikTok Pixel darf in der EU erst nach Erteilung der Werbeeinwilligung geladen werden. Dies erfordert eine CMP mit vorherigem Blockieren. Für Datentransfers in die USA und nach Singapur sind Standardvertragsklauseln erforderlich. Diese können im TikTok Ads Manager (Kontoeinstellungen, Datenverarbeitungsvertrag) unterzeichnet werden. Eine Übertragungsfolgenabschätzung (TIA) wird dringend empfohlen, da der potenzielle chinesische Behördenzugriff ein Residualrisiko darstellt, das SVK allein möglicherweise nicht mindern können.

TikTok Events API: Serverseitige Alternative

Die TikTok Events API ist eine serverseitige Alternative zum Browser-Pixel. Sie umgeht Browser-Cookies und die ePrivacy-Cookie-Einwilligungspflicht technisch, überträgt jedoch weiterhin personenbezogene Daten (gehashte E-Mail-Adressen, IPs, Browser-Daten) an TikTok. Die DSGVO-Einwilligungspflicht für Werbezwecke entfällt dadurch nicht: Serverseitige Datenweitergabe zu Werbezwecken erfordert weiterhin eine Einwilligung als Rechtsgrundlage.

Praktische Compliance-Schritte für TikTok Pixel

Für einen DSGVO-konformen Einsatz des TikTok Pixels: Blockieren Sie den Pixel via CMP, bis Werbeeinwilligung erteilt wird; unterzeichnen Sie den Datenverarbeitungsvertrag von TikTok im Ads Manager; führen Sie eine DSFA durch, die das ByteDance-Risiko adressiert; führen Sie eine Übertragungsfolgenabschätzung für Transfers in die USA und nach Singapur durch; dokumentieren Sie die Rechtsgrundlage (Einwilligung) in Ihrem Verarbeitungsverzeichnis; prüfen Sie regelmäßig die Regulierungsentwicklungen zu TikTok in der EU; erwägen Sie für sensible Branchen den vollständigen Verzicht auf TikTok-Werbung.

GDPR consent category

Marketing

Websites using TikTok Pixel must obtain user consent under GDPR regulations.

Legal basisConsent (Art. 6(1)(a) GDPR) required for TikTok Pixel cookies and cross-site tracking. The pixel must not fire until advertising consent is obtained. The ByteDance ownership raises additional transfer concerns beyond standard SCCs due to Chinese national security legislation.

Risk levelhigh

Applicable regulationsGDPR, ePrivacy Directive, SCCs required. TikTok has received regulatory bans and fines in multiple EU member states. DPIA strongly recommended.

DPIA considerations

Eine DSFA wird für TikTok Pixel-Deployments dringend empfohlen, da: Cross-Site-Werbetracking, US- und Singapur-Datentransfers, ByteDance-Eigentümerschaft mit potenziellem chinesischem Behördenzugriff und die Regulierungsgeschichte von TikTok in der EU eine Hochrisikoverarbeitung darstellen.

Sample consent text

Wir verwenden den TikTok Pixel, um die Wirksamkeit unserer TikTok-Werbekampagnen zu messen. Dies umfasst Cookies und die Übertragung von Daten an TikTok (ByteDance) in die USA und nach Singapur. Sie können Werbe-Cookies unten ablehnen.

Technical details

Tracking methodJavaScript pixel, first-party cookies, cross-site conversion tracking, TikTok Events API (server-side), audience building, advanced matching

Server locationUnited States and Singapore (TikTok/ByteDance infrastructure)

Data transferred outside the EUTikTok Pixel is operated by TikTok (ByteDance). Data is processed on infrastructure in the US and Singapore. EU personal data transfers require Standard Contractual Clauses. TikTok has faced significant regulatory scrutiny in Europe regarding its data practices and potential Chinese government access under national security laws.

Third-party domains contacted

analytics.tiktok.combusiness.tiktok.comads.tiktok.com

Cookies placed

Name	Type	Duration	Purpose
_ttp	persistent	13 months	TikTok cross-site tracking identifier for conversion measurement and audience building
_tt_enable_cookie	persistent	13 months	TikTok consent flag cookie recording whether visitor has accepted TikTok advertising tracking

TikTok Pixel setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Benötigt der TikTok Pixel eine DSGVO-Einwilligung?

Ja. Der TikTok Pixel setzt Werbe-Cookies, die gemäß der ePrivacy-Richtlinie eine Einwilligung erfordern. Er darf erst geladen werden, nachdem die Werbeeinwilligung eingeholt wurde. Blockieren Sie ihn via CMP. Das Laden des Pixels vor der Einwilligung ist ein klarer DSGVO- und ePrivacy-Verstoß.

Was ist das ByteDance-Risiko für die DSGVO?

ByteDance ist ein chinesisches Unternehmen, das dem chinesischen Nationalsicherheitsgesetz unterliegt, das eine Datenweitergabe an chinesische Behörden vorschreiben kann. Standardvertragsklauseln allein gelten möglicherweise nicht als ausreichender Schutz. Führen Sie eine Übertragungsfolgenabschätzung durch und dokumentieren Sie das Residualrisiko. Für regulierte Branchen oder sensible Daten sollte der Verzicht auf TikTok-Werbung in Betracht gezogen werden.

Welche EU-Regulierungsmaßnahmen richten sich gegen TikTok?

TikTok erhielt im September 2023 eine DSGVO-Geldbuße von 345 Millionen Euro von der irischen DPC wegen des Umgangs mit Kinderdaten. Mehrere EU-Institutionen (Europäisches Parlament, Kommission) haben TikTok auf Dienstgeräten verboten. Die niederländische, französische und belgische DPA haben TikTok-Datenpraktiken untersucht. TikToks Datentransfers in die USA werden von der EDPB fortlaufend geprüft.

Welche Cookies setzt der TikTok Pixel?

Der TikTok Pixel setzt _ttp (Tracking und Conversion, 13 Monate) und _tt_enable_cookie (Einwilligungsflag, 13 Monate). Diese erfordern Werbeeinwilligung. Der Pixel verwendet außerdem Advanced Matching, um personenbezogene Daten zu hashen und für eine bessere Conversion-Attribution zu übertragen.

Ist die TikTok Events API eine DSGVO-konforme Alternative?

Die Events API ist serverseitig und vermeidet Browser-Cookies, umgeht aber nicht die DSGVO-Einwilligungspflicht für Werbezwecke. Sie überträgt weiterhin personenbezogene Daten (gehashte E-Mails, IPs, Browser-Daten) an TikTok. Einwilligung und Standardvertragsklauseln bleiben erforderlich. Die Events API verbessert die technische Datenqualität, löst jedoch keine Compliance-Fragen.

Muss ich für den TikTok Pixel eine DSFA durchführen?

Ja, dringend empfohlen. Die Kombination aus Cross-Site-Werbetracking, ByteDance-Eigentümerschaft, Transfers in die USA und nach Singapur sowie potenzieller chinesischer Behördenzugriff stellt eine Hochrisikoverarbeitung dar. Dokumentieren Sie die DSFA, das Residualrisiko und die getroffenen Schutzmaßnahmen. Lassen Sie die DSFA durch Ihren Datenschutzbeauftragten prüfen.

Wie unterzeichne ich einen Datenverarbeitungsvertrag mit TikTok für Werbung?

Akzeptieren Sie den Datenverarbeitungsvertrag von TikTok im TikTok Ads Manager (Kontoeinstellungen, Datenverarbeitungsvertrag). Dieser deckt Pixel-Daten und die Events API ab. Unterzeichnen Sie die Standardvertragsklauseln separat, falls von Ihrer Rechtsabteilung gefordert. Prüfen Sie die Liste der Unterauftragsverarbeiter von TikTok.

Sollte ich TikTok-Werbung auf EU-ausgerichteten Websites einsetzen?

TikTok-Werbung ist mit Einwilligung, unterzeichnetem Datenverarbeitungsvertrag und SVK rechtlich zulässig. Das ByteDance-Risiko bedeutet jedoch, dass bestimmte Organisationen, insbesondere in regulierten Branchen oder bei der Verarbeitung sensibler Daten, eine vollständige Risikoabwägung vornehmen sollten. Für Niedrigrisko-Werbezwecke ist es bei sorgfältiger Compliance-Dokumentation vertretbar.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note