Was bedeutet Datenschutz im Internet 2025? Tracking, Profiling, Cookies & Pay-or-OK verständlich erklärt – mit konkreten Praxis-Tipps.
Tracking, Profiling & personalisierte Werbung rechtssicher verstehen
Einleitung: Warum Datenschutz online alle betrifft
Ob Cookie-Banner, App-Tracking oder personalisierte Werbung: Im Netz werden Daten an vielen Stellen erhoben, zusammengeführt und ausgewertet. Die europäische Rechtslage – an erster Stelle die Datenschutz-Grundverordnung (DSGVO) – wird durch weitere EU-Regelwerke (u. a. DSA, DMA) flankiert und setzt dem Tracking enge Grenzen. Dieser Beitrag erklärt kompakt die wichtigsten Spielregeln und gibt praxistaugliche Tipps für Nutzerinnen und Nutzer sowie Webseitenbetreiber.
Unsicher bei einer Rechtsfrage? Holen Sie sich jetzt eine schnelle Einschätzung – ab 29,99 €.
Rechtlicher Hintergrund: Die zentralen Bausteine
- DSGVO: Erlaubt die Verarbeitung personenbezogener Daten nur mit Rechtsgrundlage, insbesondere Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO). Profiling ist in Art. 4 Nr. 4 DSGVO definiert; automatisierte Entscheidungen behandelt Art. 22 DSGVO. Widerruf und Widerspruch sind jederzeit möglich (Art. 7, 21 DSGVO).
- TTDSG (deutsches Cookie-Recht): Das Speichern/Auslesen von Informationen auf Endgeräten (z. B. Cookies, SDKs) ist nach § 25 TTDSG grundsätzlich nur mit Einwilligung zulässig – Ausnahme: technisch notwendige Vorgänge.
- DSA (Digital Services Act): Stärkt Transparenz von Werbung, untersagt targeted Ads gegenüber Minderjährigen und verbietet Werbung auf Basis besonderer Kategorien i. S. v. Art. 9 DSGVO (z. B. Religion, Gesundheit).
- DMA (Digital Markets Act): Richtet sich an Gatekeeper und begrenzt u. a. das Zusammenführen von Daten aus verschiedenen Diensten ohne gültige Einwilligung.
Vertiefende Analyse: Wo die Praxis häufig scheitert
1) Einwilligung & Cookie-Banner
Eine wirksame Einwilligung muss freiwillig, informiert, spezifisch und widerrufbar sein. „Alles akzeptieren“ als auffälliger Primärbutton bei versteckter Ablehnung ist riskant (Stichwort: Dark Patterns). Ohne Einwilligung dürfen nur essenzielle Cookies gesetzt werden. „Berechtigtes Interesse“ trägt für Marketing-Cookies regelmäßig nicht.
2) Pay-or-OK-Modelle
Varianten, bei denen Nutzer entweder zahlen oder Tracking akzeptieren, sind nur dann DSGVO-konform, wenn die Freiwilligkeit gewahrt bleibt, ein gleichwertiges, tracking-freies Angebot besteht und die Gebühr angemessen ist. Pauschale „Zahl oder zustimmen“-Modelle ohne echte Wahlmöglichkeit sind rechtlich angreifbar.
3) Profiling & personalisierte Werbung
Profiling setzt in der Regel Einwilligung voraus. Besonders heikel sind Segmente nach Gesundheit, Religion, politischer Meinung etc. – hier ist Werbung auf Basis dieser Daten unzulässig. Minderjährige genießen besonderen Schutz (DSA).
4) Data-Broker & Datenweitergabe
Der Handel mit Bewegungs- und Nutzungsdaten ist rechtlich nur bei klarer Rechtsgrundlage und Transparenz möglich. Betroffene haben starke Rechte: Auskunft (Art. 15), Löschung (Art. 17), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21 DSGVO).
Praxis-Tipps für Betroffene und Anbieter
Für Nutzerinnen und Nutzer
- Einwilligungen bewusst steuern: Nur notwendige Kategorien zulassen; regelmäßig Widerrufen und Cookies löschen.
- Tracking einschränken: Browser-Schutz aktivieren, Add-ons (Content-Blocker), App-Tracking deaktivieren.
- Auskunft & Löschung verlangen: DSGVO-Rechte per E-Mail an den Verantwortlichen geltend machen; auf Art. 15/17/21 DSGVO verweisen.
- Vorsicht vor Dark Patterns: Gleichwertige „Ablehnen“-Option suchen; keine überstürzten Klicks.
Für Webseiten- & App-Betreiber
- Consent-Management: CMP mit opt-in, gleichwertigen Buttons („Akzeptieren“/„Ablehnen“), granularen Zwecken und Protokollierung.
- Rechtsgrundlagen sauber wählen: Für Marketing/Analyse i. d. R. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TTDSG); „berechtigtes Interesse“ nur für notwendige Cookies.
- DPIA prüfen (Datenschutz-Folgenabschätzung) bei umfangreichem Profiling oder sensiblen Daten.
- Auftragsverarbeitung: AV-Verträge, Drittland-Transfers (Art. 28, 44 ff. DSGVO) und Speicherfristen dokumentieren.
- DSA-Pflichten: Werbung kennzeichnen, Targeting gegenüber Minderjährigen und auf Basis besonderer Kategorien vermeiden.
- Pay-or-OK nur mit echter Wahlfreiheit: Tracking-freie, inhaltlich gleichwertige Alternative und angemessene Gebühr.
Überblick: Was ist erlaubt? – Die wichtigsten Fälle im Vergleich
| Thema | Rechtsgrundlage | Zulässig | Unzulässig/hohes Risiko | Praxis-Tipp |
|---|---|---|---|---|
| Essenzielle Cookies (z. B. Warenkorb) | § 25 Abs. 2 Nr. 2 TTDSG | Ohne Einwilligung | Tracking-Zwecke als „essenziell“ deklarieren | Zweck genau beschreiben, nur notwendige Tools einsetzen |
| Analyse/Marketing-Cookies | Art. 6 Abs. 1 lit. a DSGVO; § 25 TTDSG | Nur mit Einwilligung (opt-in) | „Berechtigtes Interesse“ als alleinige Basis | Granulare Zwecke, klare Ablehnen-Option |
| Profiling für personalisierte Werbung | Art. 4 Nr. 4, Art. 6, ggf. Art. 22 DSGVO | Mit informierter Einwilligung | Sensible Daten/ Minderjährige; intransparentes Scoring | Transparente Infos, Widerspruch/Opt-out anbieten |
| Pay-or-OK | Art. 6, 7 DSGVO; DSA-Transparenz | Nur mit echter Wahlfreiheit & fairer Preisgestaltung | Zwangsmodelle ohne gleichwertige Alternative | Tracking-freies Abo anbieten; Vorteile identisch halten |
| Datenweitergabe an Dritte/Data-Broker | Art. 6, 13 ff., 44 ff. DSGVO | Nur mit Rechtsgrundlage & Information | Versteckte Weitergaben, fehlende AV-Verträge | Vendor-Liste offenlegen, Transfers dokumentieren |
Fazit: Datenschutz ist machbar – mit klaren Entscheidungen
Guter Datenschutz im Internet scheitert selten an der Technik, sondern an unklaren Entscheidungen. Wer Zwecke reduziert, Einwilligungen korrekt einholt und Transparenz lebt, nutzt Daten rechtssicher – und stärkt das Vertrauen der Nutzer.
Haftungsausschluss & Rechtsberatung
Hinweis: Dieser Beitrag ersetzt keine Rechtsberatung im Einzelfall. Holen Sie bei konkreten Fällen bitte qualifizierten Rat ein. Unter dem Stichwort „Deutsche-Rechtsanwaltshotline“ können Sie ein 30-minütiges Gespräch für 49,99 €* buchen: Telefonische Rechtsberatung. Oder nutzen Sie unseren LexBot – die erste, professionelle KI-Rechtsberatung ab 29,99 €* – schriftliche Antwort 24/7 in 3 Minuten.
Sie suchen eine Anwältin oder einen Anwalt? Unter Anwalt für IT-/Datenschutzrecht finden.
Sollte Ihnen dieser Beitrag geholfen haben, so können Sie uns etwas zurückgeben in dem Sie uns bei Google bewerten.