TikTok

TikTok-Events-API auf WordPress: was Pflicht ist, was nicht

TikTok fragt im Onboarding standardmäßig nach Automatic Advanced Matching, First-Party-Cookies und Enhanced Postback. Nichts davon ist Pflicht, um Conversions zu tracken. Alles davon ist DSGVO-Risiko. Die echte Minimum-Config in zwei Screens, plus was der Consent-Banner dafür leisten muss.

Lesezeit: ca. 5 MinVeröffentlicht: 2026-05-02

Was TikToks Onboarding default-on stellen will

Wenn du eine Web-Events-Datenquelle in TikTok Ads Manager anlegst, führt dich ein Wizard durch eine Reihe von Screens. Drei dieser Screens haben Toggles mit "Recommended"-Label, die voreingestellt aktiviert sind. Jeder einzeln sieht harmlos aus. Zusammen ergeben sie eine nicht-triviale DSGVO-Exposition, die du für das Conversion-Tracking gar nicht brauchst.

Die drei:

  1. Automatic Advanced Matching.
  2. Allow first-party cookies.
  3. Allow enhanced data postback.

Default ist "an" für alle drei. Die Minimum-Config ist "aus" für alle drei.

Automatic Advanced Matching

Was TikTok sagt, was es tut: verbessert Match-Rate, indem Kunden-Informationen automatisch aus Form-Feldern erfasst und an TikTok gehasht gesendet werden.

Was es tatsächlich tut: scannt jedes Form-Feld auf jeder Page, die der Besucher lädt. Wenn der Besucher in ein E-Mail- oder Telefon-Feld tippt, auch wenn er das Form nie absendet, liest der TikTok-Pixel den Wert, hasht ihn clientseitig und sendet ihn mit nachfolgenden Events an TikTok.

Warum es DSGVO-Risiko ist: das ist Erfassung von PII (E-Mail, Telefon) ohne Per-Feld-Einwilligung. Der Besucher hat vielleicht "Marketing-Cookies" zugestimmt, aber er hat nicht zugestimmt, dass TikTok jedes Form-Feld sieht, mit dem er auf deiner Site je interagiert hat. Das Hashing hilft nicht, gehashte PII ist unter DSGVO immer noch PII.

Warum du es nicht brauchst: Beaconry hashed dieselben Felder server-side, mit kontrollierten Code-Pfaden, nur für Forms, die der Besucher tatsächlich absendet. Gleicher Match-Rate-Boost, dramatisch kleinere Angriffsoberfläche.

Stelle auf: AUS.

Allow first-party cookies

Was TikTok sagt, was es tut: lässt den TikTok-Pixel Cookies unter deiner Kunden-Domain setzen statt unter TikToks Domain, "verbessert Cross-Browser-Tracking".

Was es tatsächlich tut: lässt TikTok _ttp und verwandte Cookies auf deiner Domain schreiben. Aus Browser-Sicht des Besuchers sind diese Cookies jetzt First-Party zu dir, was heißt, sie überleben das Third-Party-Cookie-Blocking des Besuchers, ITP und ähnliches.

Warum es ein Problem ist: es umgeht dein Consent-Gate. Beaconrys nl-data-gate sieht _ttp nicht als Beaconry-managed-Cookie, also wird beim Widerruf der Consent-Cookie nicht aufgeräumt. Sie haben Beaconry-Tracking zugestimmt, nicht TikTok-Pixel-Cookies, die auf deiner Domain persistieren.

Warum du es nicht brauchst: der Hybrid-Modus erreicht dasselbe First-Party-Cookie-Outcome explizit, gegated über deinen Consent-Banner, beim Widerruf entfernbar. Auto-gesetzte First-Party-Cookies sind dasselbe Outcome mit schlechterer Hygiene.

Stelle auf: AUS.

Allow enhanced data postback

Was TikTok sagt, was es tut: sendet "zusätzlichen Kontext" von der Page, um die Attributions-Genauigkeit zu verbessern.

Was es tatsächlich tut: sendet Page-Meta-Tags, strukturierte Daten (JSON-LD), aktuelle Button-Klicks, Scroll-Tiefe, Page-Performance-Metriken und einige andere browser-seitige Signale an TikTok zusätzlich zu jedem Event. Nichts davon hast du explizit zum Tracken konfiguriert.

Warum es ein Problem ist: du hast keinen Audit-Trail dessen, was gesendet wird. Der TikTok-Pixel entscheidet zur Laufzeit, was als "zusätzlicher Kontext" zählt, und das kann sich zwischen Pixel-Versionen ändern, ohne dass du es bemerkst. Das ist der opaqueste der drei Toggles.

Warum du es nicht brauchst: die Events, die Beaconry sendet, sind explizit und auditierbar. Jedes Payload-Feld ist auf entweder ein konfiguriertes Event oder einen expliziten Beaconry-Default zurückführbar. Enhanced Postback fügt Rauschen hinzu, kein Signal, und das ohne deine Sichtbarkeit.

Stelle auf: AUS.

Der Business-Funnel-Template-Selector

TikTok bittet dich, im selben Wizard-Flow ein "Business Funnel Template" zu wählen. Optionen sind E-Commerce, Lead Generation, Travel, Other. Dieser ist harmlos. Das Template legt nur fest, welche Conversion-Goals TikTok in seiner UI vorschlägt; es hat keinen Einfluss auf die Datenflüsse oder welche Events erkannt werden. Wähl das, was grob zu deinem Geschäft passt, oder "Other" wenn nichts passt. Wenn TikTok dich nicht überspringen lässt, wähl E-Commerce als sicheren Default.

Die echte Minimum-Config

Zwei Werte sind nötig, nicht mehr, nicht weniger:

  • Pixel-ID (alphanumerisch, ca. 20 Zeichen). Sichtbar oben auf der Pixel-Seite nach Erstellung.
  • Access-Token (langer, opaker String). Generiert unter Pixel-Settings → Events API → Set up manually → Generate Access Token. Wird einmal angezeigt, sofort kopieren.

Beide kommen in Beaconry → Tracking → TikTok. Speichern. Klick auf "TikTok-Test-Event senden". HTTP 200 mit code: 0 heißt, es funktioniert.

Wie der Event-Flow mit der Minimum-Config aussieht

Bei einem WooCommerce-Purchase, mit allen drei TikTok-Default-Toggles aus und der Beaconry-Minimum-Config an:

  1. Besucher landet von einer TikTok-Anzeige mit ?ttclid=... in der URL.
  2. Beaconry fängt ttclid, persistiert es im nl_ext-First-Party-Cookie (Beaconry-managed, consent-gated).
  3. Besucher browst, legt in den Warenkorb, schließt den Checkout ab.
  4. Beaconrys Purchase-Event feuert server-side via TikTok-Events-API: ttclid aus nl_ext, gehashte E-Mail/Telefon/Name aus WooCommerce-Bestellung, stabile event_id, Wert, Währung, Line Items.
  5. TikTok attribuiert die Conversion zum ursprünglichen Ad-Klick. Fertig.

Kein Browser-Pixel. Kein Automatic Advanced Matching. Keine First-Party-TikTok-Cookies auf deiner Domain. Kein Enhanced Postback. Match-Rate ist gut, weil ttclid das stärkste einzelne Attributions-Signal ist, das TikTok hat, und Beaconry es bei jedem Event sendet.

Was der Consent-Banner leisten muss

Beaconrys nl-data-gate ist das, was du standardmäßig ausspielst; es macht das Richtige. Wenn du einen anderen CMP nutzt (CookieYes, Complianz), stell zwei Dinge sicher:

  • Der CMP setzt ein Cookie oder Local-Storage-Flag, das Beaconry als analytics-accepted liest. Beaconry feuert kein Event, bevor das nicht gesetzt ist.
  • Beim Widerruf triggert der CMP eine Cleanup-Routine, die nl_pref, nl_ext und alle Beaconry-managed-Cookies entfernt. Beaconry hat einen Event-Hook dafür; der CMP muss ihn nur feuern.

Wenn du zusätzlich Hybrid-Modus für TikTok an hast, wird das Browser-Pixel-Skript ebenfalls über dasselbe Flag gegated, Beaconry lädt das Skript erst nach Consent.

Häufige Konfigurations-Fehler

  • "Allow first-party cookies" anlassen. Häufigster Fehler. Führt dazu, dass _ttp-Cookies den Consent-Widerruf überleben. DSGVO-Audit wird das flaggen.
  • Pixel-ID einfügen, ohne Access-Token. Beaconry überspringt TikTok-Dispatch still. Logs-Tab zeigt "credentials incomplete".
  • Test-Event-Code setzen und vergessen, ihn zu entfernen. Live-Events gehen zum Test-Events-Tab, Campaign Manager sieht sie nicht. Leicht zu übersehen für Wochen.
  • "Events API only"-Verbindungsmethode wählen. Sperrt Hybrid-Modus für später. Wähl immer "TikTok Pixel + Events API (Recommended)", die kombinierte Option, auch wenn du nur Server-Side anfängst.

Fazit

TikToks Default-Onboarding gibt ihnen mehr Daten, als sie brauchen, um deine Conversions zu attribuieren. Keiner der "Recommended"-Toggles ist nötig, damit die Events-API funktioniert; alle bedeuten nicht-triviale DSGVO-Exposition. Die echte Minimum-Config ist zwei Strings (Pixel-ID + Access-Token), ein URL-Parameter (ttclid) und ein Consent-Gate, das kontrolliert, wann Events den Browser verlassen. Alles andere, was TikTok im Wizard anbietet, ist optional und liegt in unserer Lesart nicht im Kunden-Interesse.

← Hybrid-ModusZurück zu allen Posts