Vom unsichtbaren Daten sammeln zur strategischen DatenpartnerschaftAus rechtlicher Sicht ist Tracking hochkomplex
4. September 2025
Digitales Tracking muss sich von der heimlichen Datensammlung hin zu einer transparenten Nutzer-Partnerschaft wandeln – und Unternehmen können diesen Paradigmenwechsel strategisch nutzen sowie technisch unterstützen.
Sie sind meist unsichtbar und dennoch allgegenwärtig: Tracking-Technologien wie Cookies, Fingerprinting oder Pixel gehören längst zur etablierten technischen Infrastruktur des Internets. Sie speichern Informationen auf Endgeräten, merken sich Einstellungen, personalisieren Inhalte und dienen insbesondere der Analyse des Nutzerverhaltens.
Aus rechtlicher Sicht ist das Thema Tracking hochkomplex und für Unternehmen risikobehaftet. Denn mit der technischen Vielfalt sind auch die regulatorischen Anforderungen gewachsen. Wer hier nachlässig agiert, dem drohen nicht nur Abmahnungen, sondern auch Bußgelder, Schadensersatzforderungen durch Nutzer sowie Reputations- und Vertrauensverluste.
Ein häufiges Missverständnis: First-Party-Cookies gelten als unproblematisch, weil sie von der besuchten Website selbst gesetzt werden. Maßgeblich ist jedoch nicht, wer die Cookies setzt, sondern wofür: Nur technisch notwendige Cookies – also solche, die für den Betrieb der Website zwingend erforderlich sind, etwa für Login-Prozesse, Spracheinstellungen oder Warenkorb-Funktionen – dürfen ohne Einwilligung genutzt werden. Alle anderen Cookies, ob First- oder Third-Party, insbesondere zu Analyse-, Tracking- oder Marketingzwecken, sind rechtlich nicht erforderlich und daher stets einwilligungspflichtig.
Bei den Cookies handelt es sich nur die bekannteste Form der Datenspeicherung im Browser, allerdings längst nicht die Einzige. Neben klassischen Cookies erfassen auch zahlreiche vergleichbare Technologien Informationen über Nutzer. Zu den wichtigsten Cookie-Alternativen gehören:
- Device-/Browser-Fingerprinting, das aus harmlosen Einzelinformationen wie Betriebssystem, Browserversion, installierten Browser-Plugins oder Bildschirmauflösung in ihrer Gesamtheit einen digitalen ‚Fingerabdruck‘ des Nutzers erstellt.
- eTags (Entity Tags), die eigentlich zum Caching gedacht sind, aber so eindeutig vergeben werden können, dass sie Nutzer zur Wiedererkennung identifizieren – solange der Browser-Cache nicht gelöscht wird.
- Local Storage/Web Storage, die eigentlich harmlose Cache-Kennungen sind, aber zur heimlichen Nutzerwiedererkennung missbraucht werden können – zumindest bis der Browser-Cache geleert wird.
- User-ID-Tracking/ID-Graph, bei dem Nutzer nach einem Login über eine kryptografisch erzeugte ID plattformübergreifend wiedererkannt werden, etwa beim Cross-Device-Tracking.
- Pixel Tags/Web Beacons, kleine unsichtbare Elemente oder Codeschnipsel, die beim Laden einer Webseite einen externen Server kontaktieren und so erfassen, ob und wann ein Nutzer eine Seite besucht.
- Contextual Targeting, das Werbung zum jeweiligen Webseitenthema zeigt – Sportartikel auf Sportseiten, Kochutensilien in Kochblogs – ohne Nutzerprofile anzulegen.
- Mobil Advertising IDs & Universal IDs, also geräteübergreifende Identifikatoren wie die AdID bei Android oder die IDFA bei iOS, die vor allem im mobilen Bereich eingesetzt werden.
- Privacy Sandbox/FLoC, Googles Ansatz, Nutzer in Cluster oder Kohorten zu gruppieren und Werbung auf diese Gruppen, statt auf einzelne Personen auszurichten.
Diese Verfahren werden meist im Hintergrund eingesetzt, ohne dass Nutzer davon etwas mitbekommen.
Entscheidend ist: Selbst ohne Personenbezug greifen rechtliche Regelungen – insbesondere die ePrivacy-Richtlinie beziehungsweise in Deutschland konkret das Telekommunikations-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).
Das TDDDG zielt ausdrücklich auf die Speicherung und Auslesung von Informationen auf Endgeräten ab, egal ob diese einen Personenbezug aufweisen oder nicht. Bei personenbezogenen Daten gilt zusätzlich die Datenschutz-Grundverordnung (DSGVO).
Einwilligung als Pflicht, nicht als Option
Rechtlich gesehen ist der Einsatz all dieser Technologien grundsätzlich zustimmungspflichtig. Der Europäische Gerichtshof stellte bereits mit Urteil vom 01.10.2019, Az. C-673/17 klar: Ohne aktive, informierte und freiwillige Einwilligung dürfen Cookies oder ähnliche Instrumente mit Tracking-Funktion nicht eingesetzt werden.
Dies gilt unabhängig davon, ob personenbezogene oder nicht personenbezogene Informationen gespeichert werden. Voreingestellte Häkchen sowie intransparente oder irreführende Cookie-Banner sind unzulässig. In der Praxis ist die Umsetzung der rechtlichen Vorgaben oft mangelhaft. Viele Webseiten setzen weiterhin auf „Dark Patterns“, also Gestaltungstricks, die Nutzer zur Zustimmung drängen. Voreingestellte Häkchen, intransparente Banner oder irreführende Buttonfarben sind gängige Mittel.
Daher ist der Schutz der Privatsphäre nach aktuellen Untersuchungen weiter mangelhaft. Besonders alarmierend: Selbst bei Cookie-Bannern ohne Dark Patterns – also mit klarer, gleichwertiger ‚Ablehnen‘-Option – setzten 78 Prozent der Websites trotz Ablehnung durch den Nutzer trotzdem zustimmungspflichtige Cookies. Dieser Ansatz ist nicht nur rechtlich problematisch, sondern auch strategisch kurzsichtig.
Unternehmen, die auf Tricks setzen, verspielen ein wertvolles Gut im digitalen Zeitalter: Vertrauen. Hinzu kommt die angespannte Debatte um sogenannte Cookie-Walls, also die Praxis, Nutzern den Zugang zu Inhalten zu verwehren, wenn sie dem Tracking nicht zustimmen. Nach den Leitlinien der Europäischen Datenschutzbehörde (EDSA) gilt eine Einwilligung unter solchen Bedingungen nicht als freiwillig, da die Nutzer keine echte Wahlfreiheit haben.
Cookie-Walls werden demnach nur dann als zulässig erachtet, wenn den Nutzern gleichzeitig eine gleichwertige, reale Alternative ohne Tracking angeboten wird, sodass sie frei entscheiden können, ob und unter welchen Bedingungen sie auf die Inhalte zugreifen möchten. Fehlt eine solche echte Alternative, liegt ein Verstoß gegen die DSGVO vor, da die geforderte informierte und freiwillige Einwilligung fehlt.
CMPs als Dreh- und Angelpunkt
Vor diesem Hintergrund sind Consent-Management-Plattformen (CMPs) der zentrale Baustein zur Umsetzung der rechtlichen und insbesondere der telekommunikations- und datenschutzrechtlichen Vorgaben im Web. Als technische Schnittstelle zwischen Webseitenbetreibern und Nutzern steuern sie, ob, wann und in welchem Umfang Cookies sowie vergleichbare Tracking-Technologien gesetzt oder ausgelesen werden dürfen.
Eine professionelle CMP-Lösung gewährleistet dabei eine transparente und klare Information der Nutzer, ermöglicht granulare Einwilligungsoptionen, speichert Einwilligungen revisionssicher und verhindert wirksam das Laden nicht autorisierter Skripte oder Tracker. Wer auf minderwertige Lösungen oder bloße Schein-Konformität setzt, verstößt nicht nur gegen die DSGVO sowie TDDDG und setzt sich damit erheblichen Bußgeldrisiken aus, sondern riskiert auch einen erheblichen Vertrauensverlust bei den Nutzern.
Die Rechtslage ist dabei eindeutig: Tracking ohne wirksame, informierte und freiwillige Einwilligung ist unzulässig, unabhängig von der eingesetzten Technologie – sei es Cookie, Local Storage oder Fingerprinting. CMPs sind daher kein optionales ‚Nice-to-have‘ mehr, sondern bilden das unverzichtbare Fundament jeder rechtskonformen und nutzerorientierten Webstrategie.
Bei den CMPs handelt es sich um mehr als nur Compliance-Tools: Modern eingesetzt, werden CMPs zu Instrumenten des Vertrauensaufbaus und der direkten Nutzerkommunikation. Sie werden zur zentralen Stelle der Verwaltung aller nutzerrelevanten Einwilligungen (nicht nur für die Einwilligung in Tracking, sondern auch für die Einwilligung in Direktmarketing oder andere nutzerspezifische Datenverarbeitungen) und sind die technische Basis für Daten-Partnerschaften mit den Nutzern.
Datenschutz strategisch denken: Daten-Partnerschaft
Es geht bei einer Daten-Partnerschaft um grundlegende (Rechts-)Fragen: Was bedeutet echte Einwilligung im digitalen Raum? Wie transparent müssen Unternehmen agieren? Und wie können sie zugleich datenschutzkonform arbeiten und trotzdem wirtschaftlich bestehen? Eine rechtssichere Webseite entsteht nicht allein durch gute Absicht, sondern erfordert kontinuierliches und systematisches Consent-Management mit modernen CMP-Lösungen, regelmäßigen Audits und sauberer Dokumentation, um dauerhaft rechtsicher zu bleiben.
Die zentrale Frage lautet daher nicht nur, wie mit Cookies umgegangen wird, sondern wie datenschutzkonformes Tracking insgesamt transparent, datensparsam und rechtssicher gestaltet werden kann. Die Antwort liegt in einem ganzheitlichen Privacy-by-Design-Ansatz, der Datenschutz nicht als nachträgliche Compliance-Übung versteht, sondern als strategischen Wettbewerbsvorteil. Unternehmen, die frühzeitig auf datenminimierte Analytics-Konzepte setzen und ihre Nutzer durch klare Value-Propositions für Datenfreigaben gewinnen, schaffen nicht nur rechtliche Sicherheit, sondern auch Vertrauen und ein faires Miteinander.
Die Unternehmen der Zukunft werden nicht mehr fragen „Wie viele Daten können wir sammeln?“, sondern „Wie wenig Daten brauchen wir für maximalen Nutzen?“. Dabei vollzieht sich ein grundlegender Paradigmenwechsel: Statt Daten heimlich zu sammeln und nachträglich zu rechtfertigen, entwickeln erfolgreiche Unternehmen transparente Daten-Partnerschaften mit ihren Nutzern. Es geht um die intelligente Verbindung von technischen Innovationen mit einer ehrlichen Kommunikation darüber, welchen konkreten Mehrwert Nutzer durch ihre Datenfreigabe erhalten. So wird Datenschutz vom Kostenfaktor zum Differenzierungsmerkmal in einer zunehmend sensibilisierten Gesellschaft.
Asmus Eggert ist Rechtsanwalt mit den Schwerpunkten Datenschutz- und IT-Recht sowie Geschäftsführer der mip Consult GmbH.
