ChatGPT Ads, DSGVO und Consent Mode: Tracking aufsetzen, ohne gegen das Recht zu verstossen
Die meisten Anleitungen zum ChatGPT-Ads-Tracking stammen aus den USA. Dort darfst du den Pixel in dem Moment feuern, in dem jemand deine Seite oeffnet. In Europa geht das nicht. Wenn du den ChatGPT-Ads-Pixel laedst, bevor ein Besucher dem Tracking zugestimmt hat, hast du kein sauberes Messergebnis, sondern ein DSGVO-Problem. Diese Seite zeigt dir, wie du ein Tracking aufbaust, das erst nach der Einwilligung laeuft, den Rest server-seitig sendet und am Tag bereit ist, an dem ChatGPT Ads fuer EU-Werbetreibende oeffnet.
Wichtigste Erkenntnisse
- Erst die Einwilligung, dann der Pixel. Der ChatGPT-Ads-Browser-Pixel darf in der EU nicht laden, bevor ein Besucher dem Werbe-Tracking aktiv zustimmt. Genau dieselbe Regel gilt heute schon fuer Google Ads und den Meta-Pixel.
- Server-seitige CAPI ist deine Rettungsschicht, kein Schlupfloch. Die Conversions API kann Conversions von Menschen melden, die zugestimmt haben, aber vom Browser-Pixel verfehlt wurden. Sie muss aber dasselbe Einwilligungssignal beachten. Wer Nein gesagt hat, wird nicht getrackt.
- OpenAIs eigene EU-Richtlinie ist einwilligungsbasiert. OpenAI spielt EU-Nutzern personalisierte Anzeigen nur nach ausdruecklichem Opt-in aus und stuetzt sich dabei auf die Einwilligung, nicht auf das berechtigte Interesse. Dein Tracking sollte derselben Logik folgen. (Digiday, Stand 8. Juni 2026)
- Du kannst ChatGPT Ads in der EU und in DACH noch nicht ausspielen. Stand 13. Juni 2026 ist die Plattform nur in den USA, Grossbritannien, Australien, Neuseeland und Kanada live. Hier geht es darum, die Leitungen jetzt zu legen, nicht jetzt zu starten.
Dieser Leitfaden verbindet zwei Welten: die Messung von Paid Media und das EU-Datenschutzrecht. Die rechtliche und strategische Seite (Rechtsgrundlage, Profiling, DSA und EU AI Act) behandeln wir ausfuehrlich in unserem Artikel zu ChatGPT Ads und DSGVO. Hier geht es um das technische Setup. Den consent-gestuetzten Server-Stack bauen wir im Rahmen unseres Tracking- und Measurement-Service.
Warum das Consent-Gating in der EU nicht verhandelbar ist
Hier die einfache Version. Nach DSGVO und ePrivacy-Regeln darfst du ein Tracking-Cookie weder speichern noch auslesen, und du darfst keine Daten einer Person an eine Werbeplattform senden, bevor diese Person aktiv zugestimmt hat. “Aktiv zugestimmt” heisst ein klares Opt-in. Ein vorab angekreuztes Kaestchen oder ein Banner mit nur einem “Akzeptieren”-Knopf reicht nicht.
Der ChatGPT-Ads-Pixel tut genau die Dinge, die eine Einwilligung brauchen. Er schreibt ein First-Party-Cookie namens __oppref und er sendet Ereignisse darueber, was ein Besucher auf deiner Seite getan hat, an die Server von OpenAI. In der EU sitzt der Pixel deshalb hinter der Einwilligungs-Wand, nicht davor.
OpenAI hat fuer die eigene Plattform dieselbe Richtung signalisiert. Als ChatGPT Ads im Juni 2026 in Grossbritannien startete, veroeffentlichte OpenAI eine EU-Werberichtlinie, die einwilligungsbasiert ist: Personalisierte Anzeigen bekommen EU-Nutzer nur, wenn sie ausdruecklich zustimmen, und als Rechtsgrundlage dient die Einwilligung, nicht das berechtigte Interesse. Wer nicht zustimmt, bekommt nur kontextbasierte Anzeigen, also Anzeigen, die zum aktuellen Gespraechsthema passen statt zu einem Profil. (Digiday, Stand 8. Juni 2026) Dein Tracking sollte derselben Linie folgen: Tracke die Menschen, die Ja gesagt haben, und respektiere die, die Nein gesagt haben.
Wie der ChatGPT-Ads-Pixel wirklich funktioniert
Bevor du etwas gaten kannst, musst du wissen, was es tut. Der ChatGPT-Ads-Mess-Pixel laedt ein kleines Skript (oaiq.min.js) vom Content Delivery Network von OpenAI und stellt eine Funktion namens oaiq() bereit. Diese Funktion rufst du auf, um Ereignisse wie einen Lead oder einen Kauf festzuhalten. (OpenAI Developer Docs, Stand 13. Juni 2026)
Der Pixel kuemmert sich auch um die Klick-Kennung. Wenn jemand auf deine Anzeige klickt, haengt OpenAI einen Wert namens oppref an die URL deiner Landingpage. Stell dir oppref als die ChatGPT-Version einer Klick-ID vor: dieselbe Idee wie die gclid, die Google an einen Link haengt, damit das Werbesystem weiss, welcher Klick zu welchem Verkauf gefuehrt hat. Der Pixel liest oppref aus der URL und speichert es in einem First-Party-Cookie namens __oppref. Praktiker-Guides berichten, dass dieses Cookie rund 30 Tage haelt, damit es eine spaetere Conversion mit dem urspruenglichen Anzeigenklick verbinden kann. (Focal, Stand 12. Juni 2026)
Dieses Cookie und diese Ereignisse sind nach EU-Recht personenbezogene Daten. Genau deshalb darf das Skript nicht vor der Einwilligung laufen.
Das consent-gestuetzte Setup, Schritt fuer Schritt
Der sauberste Weg, den Pixel zu gaten, fuehrt ueber eine Consent-Management-Plattform (eine CMP, also das Cookie-Banner-Werkzeug, das festhaelt, wem welcher Besucher zugestimmt hat) verbunden mit dem Google Tag Manager. Hier ist die Reihenfolge.
- Einwilligung erfassen. Deine CMP zeigt das Banner. Der Besucher erteilt oder verweigert die Einwilligung fuer “ad storage” (die Erlaubnis, Cookies und Kennungen fuer Werbung zu nutzen). Die CMP schreibt diese Entscheidung in ein Signal, das der Google Tag Manager lesen kann.
- Den Pixel zurueckhalten, bis die Antwort Ja lautet. Konfiguriere den ChatGPT-Ads-Pixel-Tag so, dass er nur feuert, wenn das Einwilligungssignal das Werbe-Tracking erlaubt. Im Google Consent Mode v2 heisst das: Der Tag wartet, bis
ad_storageerteilt wurde. Lehnt der Besucher ab, laedt der Tag das Skript nie und es wird kein__oppref-Cookie geschrieben. Der Tracking-Guide von Stape dokumentiert genau dieses Verhalten fuer den Pixel: Wird die Ad-Storage-Einwilligung verweigert, laedt der Tag das OpenAI-SDK nicht und sendet nichts. (Stape, Stand 12. Juni 2026) opprefsicher bewahren. Die Klick-ID kommt unabhaengig von der Einwilligung in der URL an. Schreibe sie nicht vor der Einwilligung in ein Cookie. Stimmt der Besucher zu, lass den Pixelopprefganz normal erfassen und speichern. Lehnt er ab, verwirf es. Bewahre nie eine Kennung auf, fuer die du keine Erlaubnis hast.- Conversions nur im zugestimmten Pfad feuern. Auch dein Tag fuer das Lead-Formular, die Buchung oder den Kauf sollte hinter derselben Einwilligungs-Schranke sitzen, damit ein Conversion-Ereignis nur fuer einen Besucher gesendet wird, der zugestimmt hat.
Wenn du den Pixel von Hand als Custom-HTML-Tag einbaust statt ueber ein gepflegtes Template, liegt die Verantwortung vollstaendig bei dir: Du musst die oaiq()-Initialisierung selbst in eine Einwilligungspruefung packen. Es gibt kein automatisches Sicherheitsnetz.
Wo die server-seitige CAPI hineingehoert (und wo nicht)
Viele Teams hoffen, die Conversions API (CAPI, also die Server-zu-Server-Methode, Conversions direkt vom eigenen Server an OpenAI zu senden statt aus dem Browser des Besuchers) sei ein Weg um die Einwilligung herum. Ist sie nicht. Daten von deinem Server zu senden ist immer noch das Senden personenbezogener Daten an eine Werbeplattform, also braucht es dieselbe Rechtsgrundlage wie der Browser-Pixel.
Was die CAPI wirklich gut kann, ist das Zurueckholen der Conversions, die du zaehlen darfst, aber durch technische Luecken verlierst. Browser-Pixel werden von Adblockern, Tracking-Schutzfunktionen und kurzen Cookie-Laufzeiten blockiert. Fuer Besucher, die zugestimmt haben, kann ein server-seitiges Ereignis diese Luecken fuellen. Diese Rueckgewinnung ist real, aber wie gross sie ist, schaetzen Praktiker unterschiedlich ein. Behandle jede konkrete Prozentzahl deshalb als Anbieter-Angabe, nicht als OpenAI-Zahl.
Zwei Fakten ueber die CAPI veraendern, wie du die Einwilligungs-Schranke baust:
- Die CAPI erfasst
opprefnicht automatisch. Der Browser-Pixel holt es fuer dich aus der URL. Die Conversions API tut das nicht. Du musstopprefselbst erfassen, in einem First-Party-Cookie speichern (erst nach der Einwilligung) und es an das Server-Ereignis anhaengen. (OpenAI Developer Docs, Stand 13. Juni 2026) - Die CAPI nutzt gehashtes Matching, keine rohen personenbezogenen Daten. Wenn du eine Kunden-E-Mail oder Telefonnummer zum Abgleich sendest, hashst du sie zuerst mit SHA-256 (eine Einweg-Verschluesselung, die aus einer E-Mail eine feste Zeichenkette macht, die OpenAI abgleichen kann, ohne das Original je zu sehen). Sende nie rohe E-Mail-Adressen oder Telefonnummern. (OpenAI Developer Docs, Stand 13. Juni 2026)
Pixel und CAPI im direkten Vergleich
| Frage | Browser-Pixel | Conversions API (server-seitig) |
|---|---|---|
| Braucht in der EU eine Einwilligung? | Ja, bevor er laedt | Ja, bevor du sendest |
Erfasst oppref automatisch? | Ja, aus der URL | Nein, du erfasst und uebergibst es |
| Von Adblockern / ITP betroffen? | Ja, verliert Abdeckung | Nein, laeuft auf deinem Server |
| Sendet rohe personenbezogene Daten? | Im Browser geregelt | Nein, E-Mail/Telefon mit SHA-256 hashen |
| Beste Rolle | Primaere Erfassung fuer zustimmende Nutzer | Rettungsschicht fuer dieselben zustimmenden Nutzer |
Das empfohlene EU-Setup ist beides, dedupliziert: der Pixel als erste Linie, die CAPI als Rettungsschicht, beide hinter demselben Einwilligungssignal. Wie der server-seitige Aufbau im Detail funktioniert, zeigt unser Guide zu server-seitigem GTM-Tracking. Die rein server-seitige Variante fuer ChatGPT Ads beschreiben wir in unserem Leitfaden zur Conversions API ueber Server-Side GTM.
Deduplizierung, damit du zustimmende Nutzer nicht doppelt zaehlst
Wenn dieselbe Conversion zweimal ankommt, einmal vom Pixel und einmal von der CAPI, zaehlst du zu viel. Die Loesung ist, jeder Conversion eine einzige gemeinsame Event-ID zu geben und diese ID von beiden Seiten zu senden. Das System von OpenAI verwirft das Duplikat. Open-Source-Werkzeuge fuer den Server erledigen das bereits: Die Pixel- und CAPI-Tags von Stape enthalten eine gemeinsame Unique-Event-ID-Variable fuer die Deduplizierung zwischen Web und Server, und TAGGRS veroeffentlicht einen Server-Side-Tag unter Apache-2.0-Lizenz, der den oppref-Parameter in ein First-Party-Cookie erfasst und gehashte E-Mail und Telefonnummer zum Abgleich sendet. (TAGGRS, Stand 12. Juni 2026) Du musst diese Verkabelung nicht von Grund auf selbst schreiben.
Die EU-Realitaet: Du kannst diese Anzeigen noch nicht ausspielen
Hier der ehrliche Stand, denn etwas anderes vorzugeben wuerde deine Zeit verschwenden. Stand 13. Juni 2026 ist ChatGPT Ads nur in den USA, Grossbritannien, Australien, Neuseeland und Kanada live. Die EU und Deutschland stehen nicht auf dieser Liste, und OpenAI hat keinen Starttermin angekuendigt. (OpenAI Help Center, Stand 11. Juni 2026) Grossbritannien ging am 6. Juni 2026 als erster europaeischer Markt an den Start, laeuft aber nach Brexit unter dem UK-GDPR, einer eigenen Rechtsordnung, die vom EU-Recht getrennt ist. (PPC.land, Stand 6. Juni 2026)
OpenAI legt technisches Fundament fuer das Ausspielen in der EU, darunter ein Country-Feld am Pixel und ein Ansatz fuer das Consent-Management, aber Fundament ist kein Start. (Digiday, Stand 12. Juni 2026) Deutsche Praktiker schaetzen eine realistische DACH-Verfuegbarkeit fruehestens auf Ende 2026 oder 2027, und dieses Timing ist eine Vermutung, keine Zusage von OpenAI.
Warum also das Tracking jetzt bauen? Weil am Starttag drei Dinge passieren, und keines davon willst du erst dann beginnen:
- Dein Consent-Banner, die CMP-Verkabelung und das Tag-Gating muessen ueber echte Browser und echte Ablehnungs-Pfade getestet werden.
- Conversion-optimiertes Bieten (CPA) bei ChatGPT Ads braucht erst eine Historie an Conversion-Signalen, bevor es funktioniert. (PPC.land, Stand 30. Mai 2026) Keine Tracking-Historie heisst kein Smart Bidding am ersten Tag.
- Dein Team muss die Mechanik von
oppref, Deduplizierung und Hashing verstehen, bevor Geld im Spiel ist.
Wenn du auch UK-Zielgruppen bedienst, ist der Aufbau nicht theoretisch. UK-Werbetreibende koennen heute schon starten (zum Start ueber das Team von OpenAI statt im Selfservice), unter dem UK-GDPR, wo dieselbe einwilligungsbasierte Logik gilt. Wie sich ChatGPT Ads in die Kanalstrategie deutscher Unternehmen einordnen, behandeln wir in unserem Ueberblick fuer deutsche Unternehmen.
Eine Readiness-Checkliste fuer die Zeit vor dem Start
Nutze das als deine Bauliste. Jeder Punkt ist etwas, das du fertigstellen kannst, bevor der EU-Markt oeffnet.
| Schritt | Was zu tun ist | Warum es zaehlt |
|---|---|---|
| 1 | Eine CMP einsetzen, die die Ad-Storage-Einwilligung erfasst | Die rechtliche Schranke fuer alles darunter |
| 2 | Die CMP an den Google Tag Manager koppeln (Consent Mode v2) | Laesst Tags die Einwilligungs-Entscheidung lesen |
| 3 | Den ChatGPT-Ads-Pixel hinter die Ad-Storage-Einwilligung gaten | Keine Einwilligung, kein Skript, kein Cookie |
| 4 | Einen server-seitigen GTM-Container aufsetzen | Fundament fuer die CAPI-Rettungsschicht |
| 5 | Die CAPI so verkabeln, dass die Einwilligung bei jedem Ereignis mitgeht | Dieselbe Regel server-seitig durchsetzen |
| 6 | oppref erst nach der Einwilligung erfassen und speichern | Die CAPI tut das nicht fuer dich |
| 7 | Alle E-Mails/Telefonnummern vor dem Senden mit SHA-256 hashen | Nie rohe personenbezogene Daten uebertragen |
| 8 | Eine gemeinsame Event-ID fuer die Deduplizierung nutzen | Doppelzaehlung zustimmender Nutzer vermeiden |
| 9 | Rechtsgrundlage und Datenfluss dokumentieren | Pruefsicher, wenn DACH live geht |
Willst du das vor dem Start gebaut und getestet haben statt waehrenddessen? Unser Tracking- und Measurement-Team richtet den consent-gestuetzten Server-Stack ein, und unsere ChatGPT-Ads-Beratung plant die Kampagnen, die er spaeter speist. Du kannst auch ein kostenloses Strategiegespraech vereinbaren, um deine Readiness zu kartieren.
Haeufige Fragen
Brauche ich in der EU eine Einwilligung fuer den ChatGPT-Ads-Pixel?
Ja. Der Pixel schreibt ein First-Party-Identifier-Cookie und sendet Ereignisdaten an OpenAI. Beides braucht nach DSGVO und ePrivacy-Regeln ein aktives Opt-in. Auch OpenAIs eigene EU-Werberichtlinie ist einwilligungsbasiert und stuetzt sich auf die ausdrueckliche Einwilligung statt auf das berechtigte Interesse. (Digiday, Stand 8. Juni 2026) Gate den Pixel so, dass er erst laedt, wenn der Besucher dem Werbe-Tracking zugestimmt hat.
Kann ich mit der server-seitigen CAPI Menschen tracken, die abgelehnt haben?
Nein. Server-seitiges Senden ist immer noch das Senden personenbezogener Daten an eine Werbeplattform, also braucht es dieselbe Rechtsgrundlage wie der Browser-Pixel. Der Wert der CAPI liegt darin, Conversions zurueckzuholen, die du zaehlen darfst, aber durch Adblocker und kurze Cookie-Laufzeiten verlierst, fuer Besucher, die zugestimmt haben. Gib den Einwilligungsstatus mit jedem Ereignis mit und unterdruecke Ereignisse fuer Menschen, die Nein gesagt haben.
Erfasst die Conversions API oppref automatisch?
Nein. Der Browser-Pixel liest oppref aus der URL der Landingpage und speichert es automatisch im __oppref-Cookie, die Conversions API tut das nicht. Du musst oppref selbst erfassen, nach der Einwilligung in einem First-Party-Cookie speichern und an das Server-Ereignis anhaengen. (OpenAI Developer Docs, Stand 13. Juni 2026)
Gibt es bei ChatGPT Ads einen nativen Consent-Mode-Schalter?
Die offizielle Pixel-Dokumentation von OpenAI beschreibt keine eingebaute native Consent-Funktion. (OpenAI Developer Docs, Stand 13. Juni 2026) Das Consent-Gating baust du selbst mit deiner CMP und deinem Tag Manager zusammen, genauso wie du Google- und Meta-Tags gatest. Open-Source-Templates von Stape und TAGGRS gibt es, um das zu erleichtern.
Kann ich ChatGPT Ads gerade jetzt an deutsche oder EU-Zielgruppen ausspielen?
Nein. Stand 13. Juni 2026 ist die Plattform nur in den USA, Grossbritannien, Australien, Neuseeland und Kanada live, und OpenAI hat keinen Starttermin fuer die EU oder Deutschland angekuendigt. (OpenAI Help Center, Stand 11. Juni 2026) Der UK-Start am 6. Juni 2026 laeuft unter dem UK-GDPR, nicht unter dem EU-Regime. (PPC.land, Stand 6. Juni 2026) Bau das consent-gestuetzte Tracking jetzt, damit du bereit bist, wenn der EU-Markt oeffnet.
Soll ich Kundendaten hashen, bevor ich sie an die CAPI sende?
Ja. Hashe E-Mails und Telefonnummern mit SHA-256, bevor du sie fuer das erweiterte Matching sendest, und uebertrage nie rohe personenbezogene Daten. (OpenAI Developer Docs, Stand 13. Juni 2026) Das Hashing macht aus einer E-Mail eine Einweg-Zeichenkette, die OpenAI abgleichen kann, ohne die Originaladresse je zu sehen.
ChatGPT-Ads-Tracking in Europa heisst nicht, mehr Tags zu feuern. Es heisst, die richtigen Tags zu feuern, nur fuer die Menschen, die zugestimmt haben, und den Rest server-seitig zurueckzuholen, ohne die Einwilligungs-Linie zu ueberschreiten. Bekommst du die Schranke richtig hin, misst du alles, was das Recht erlaubt. Machst du es falsch, zaehlst du entweder deinen besten Kanal zu niedrig oder setzt dich einer Datenschutzbeschwerde aus.
Die Arbeit ist heute machbar, und sie heute zu erledigen heisst ein ruhiger Start statt ein Wettlauf gegen die Zeit. Wenn du es gebaut, getestet und dokumentiert haben willst, bevor ChatGPT Ads die EU erreicht, sprich mit unserem Tracking- und Measurement-Team oder vereinbare ein kostenloses Strategiegespraech.
Quellen
- ChatGPT ads land in the U.K. as OpenAI outlines EU privacy rules – Digiday
- OpenAI starts laying foundations for ChatGPT ads in the EU – Digiday
- ChatGPT Ads Measurement Pixel – OpenAI Developer Docs
- ChatGPT Ads Conversions API – OpenAI Developer Docs
- ChatGPT Ads tracking with server-side GTM – Stape
- ChatGPT Ads tracking guide – Focal
- TAGGRS ChatGPT Ads server-side GTM Conversions API tag – GitHub
- Ads in ChatGPT – OpenAI Help Center
- ChatGPT ads go live in the UK as OpenAI expands pilot beyond US – PPC.land
- OpenAI's ChatGPT ads are getting conversion optimization – PPC.land