Tracking ist keine technische Randerscheinung — es ist ein eigenständiges Geschäftsmodell mit Milliarden-Umsätzen, eigenen Berufsbildern, internationalen Datenflüssen, regulatorischen Auseinandersetzungen. Wer es nur als „Cookies, die der Browser speichert" begreift, übersieht die Größenordnung. Dieser Artikel zeichnet die Karte: wer trackt, mit welchen Mitteln, zu welchem Zweck und unter welchem rechtlichen Rahmen — als Voraussetzung für die folgenden Artikel zu Cookies, Fingerprinting, Tracker-Blockern und DNS.
Was Tracking wirklich ist
Tracking beschreibt das systematische Erfassen, Verknüpfen und Auswerten von Verhaltens-Daten einer Person über Zeit, Geräte und Webseiten hinweg. Anders als Logfiles auf einem einzelnen Server umfasst Tracking:
- Identifikatoren (Cookies, Werbe-IDs, Mail-Hashes, Fingerprints), die dieselbe Person wiedererkennen.
- Datenpunkte (Seitenaufrufe, Klicks, Verweildauer, Käufe, Standorte, Geräte).
- Verknüpfung über Quellen hinweg — was du in der einen App tust, wird mit dem verbunden, was du in einer anderen tust.
- Auswertung in Profilen — Interessen, Kaufabsicht, Lebenssituation, manchmal Vorhersagen über zukünftiges Verhalten.
Diese Profile sind das Produkt, das die AdTech-Industrie verkauft. Du selbst zahlst dafür nicht — also bist du nicht der Kunde, sondern der Inhalt. Die Faustregel der frühen 2010er bleibt zutreffend: „If you're not paying for the product, you are the product."
Die AdTech-Wertschöpfungskette
Eine vereinfachte, aber realistische Übersicht, wer beim Aufruf einer normalen Nachrichten-Webseite mitspielt:
| Rolle | Was sie tut | Beispiele |
|---|---|---|
| Publisher | Betreibt die Webseite, bietet Werbeplätze an | Spiegel, FAZ, Süddeutsche |
| SSP (Supply-Side Platform) | Vermarktet die Werbeplätze der Publisher | Google AdManager, Magnite |
| DSP (Demand-Side Platform) | Kauft Werbeplätze für Werbekunden | The Trade Desk, DV360 |
| Werbekunde / Brand | Bezahlt für die Werbung | Konsumgüter-Marken, Versicherungen, Auto-Hersteller |
| DMP (Data Management Platform) | Sammelt und segmentiert Nutzer-Daten | Adobe, Salesforce, Oracle |
| CDP (Customer Data Platform) | Nutzer-Profile aus Erstanbieter-Daten | Segment, mParticle |
| Data Brokers | Verkaufen breite Datenpakete an Werbekunden | Acxiom, Experian, Schober |
| Identity Resolution | Verknüpft IDs über Geräte und Quellen | LiveRamp, ID5, The Trade Desk Unified ID 2.0 |
| Ad Verification | Prüft Sichtbarkeit, Betrug, Brand Safety | IAS, DoubleVerify, Moat |
Wenn du auf einer Nachrichten-Seite einen Artikel öffnest, läuft in Millisekunden ein Real-Time Bidding (RTB)-Vorgang ab:
- Der Browser meldet die verfügbare Werbeplatz-Position an einen SSP.
- Der SSP schickt eine Bid Request an Dutzende DSPs, mit deinen verfügbaren Identifikatoren und Kontextinformationen.
- DSPs entscheiden in unter 100 ms, wie viel sie für diesen Werbe-Eindruck bei dir bezahlen würden.
- Die höchste Bid gewinnt, die Werbung wird ausgeliefert.
- Während all dies passiert, sehen alle teilnehmenden Akteure die Bid-Request-Daten — auch jene, die nicht gewinnen. Das ist die zentrale Datenschutz-Kontroverse rund um RTB.
In jedem RTB-Vorgang sind typischerweise mehrere Dutzend bis Hunderte Drittparteien beteiligt. Eine einzelne Webseite kann beim Laden zu mehreren hundert Tracking-Endpoints Verbindungen aufbauen — auch wenn nur eine einzige Werbeanzeige sichtbar wird.
Tracking-Techniken im Überblick
Das technische Inventar, mit dem getrackt wird:
- First-Party-Cookies — Cookies, die direkt vom Anbieter der Seite gesetzt werden. Bleiben oft jahrelang.
- Third-Party-Cookies — Cookies, die von eingebetteten Drittanbietern (Werbenetzwerken, Analytics-Diensten, Social-Plugins) gesetzt werden. In modernen Browsern zunehmend eingeschränkt (Safari ITP, Firefox ETP, Chrome Privacy Sandbox).
- LocalStorage / SessionStorage / IndexedDB — eingebauter Browser-Speicher; oft als Cookie-Ersatz genutzt.
- Werbe-IDs auf Mobile — Apple IDFA, Google AAID — geräteweite Identifier für App-Tracking. Apple hat IDFA mit App Tracking Transparency (ATT, 2021) stark eingeschränkt; Google plant Ähnliches für Android.
- Fingerprinting — Browser- und Geräte-Eigenschaften (Schriftarten, Auflösung, WebGL, Audio) ergeben einen oft eindeutigen „Fingerabdruck", ohne dass etwas gespeichert wird. Vertieft in fingerprinting.
- Cookie-Sync — Tracker tauschen ihre Cookie-IDs untereinander aus, damit derselbe Nutzer von mehreren Plattformen erkannt wird.
- Mail-Hashes — die Mail-Adresse, mit der du dich irgendwo angemeldet hast, wird in einen Hash umgewandelt und über Anbieter hinweg geteilt — auch wenn du in der einen App eingeloggt bist und in der anderen nur surfst.
- Tracking-Pixel — winzige Bilder (oft 1×1 Pixel), deren Aufruf den Server informiert, dass eine Mail geöffnet oder eine Seite besucht wurde.
- Server-Side-Tracking / Conversions API — Publisher senden Daten direkt vom eigenen Server an die Tracking-Plattform (Meta CAPI, Google Server-Side Tagging). Umgeht Browser-Schutz.
- Probabilistic Matching — wenn keine eindeutige ID verfügbar ist, werden Profile heuristisch über Zeit-, Geräte-, Standort-Korrelationen rekonstruiert.
Die Tendenz seit 2020: weg von deterministischen (Cookie-basierten) Methoden, hin zu probabilistischen und kontextuellen Methoden, weil Browser-Schutz härter wird. Verschwinden tut das Tracking dadurch nicht — es wandert.
Was getrackt wird — und warum
Aus Nutzer-Sicht relevante Datenkategorien:
| Kategorie | Beispiele | Wofür |
|---|---|---|
| Geräte-Daten | OS, Browser, Sprache, Auflösung, Zeitzone | Geräte-übergreifende Identifikation, Targeting |
| Verhaltens-Daten | Klicks, Scroll-Tiefe, Verweildauer, Such-Begriffe | Interessen-Profil, Kauf-Vorhersage |
| Standort-Daten | IP, WLAN-SSIDs, GPS in Apps | Geo-Targeting, Bewegungsprofile |
| Identitäts-Anker | Mail-Hash, Telefonnummer-Hash, Kunden-ID | Cross-Device-Linking |
| Soziale Signale | Likes, Follows, Connections, Shares | Sozio-demografisches Profil |
| Kommerzielle Daten | Kauf-Historie, Abos, Bezahl-Verhalten | Kreditwürdigkeit, Up-Sell-Potenzial |
| Sensitive Daten | Gesundheits-Suchen, politische Inhalte, sexuelle Identität | In DSGVO als „besondere Kategorien" definiert |
Die letzte Zeile ist juristisch besonders heikel. Art. 9 DSGVO definiert „besondere Kategorien personenbezogener Daten" — Gesundheit, politische Meinungen, religiöse Überzeugungen, sexuelle Orientierung, biometrische und genetische Daten. Verarbeitung ist grundsätzlich verboten, mit engen Ausnahmen. Mehrere AdTech-Verfahren bewegen sich in diesem Bereich, ohne die rechtliche Grundlage zu erfüllen — Stoff für laufende Aufsichtsverfahren bei den Datenschutzbehörden.
Data Brokers: der unsichtbare Mittelstand
Data Brokers sammeln Daten aus vielen Quellen und verkaufen sie weiter. In Deutschland und Europa weniger bekannt als in den USA, aber operativ tätig. Bekannte Akteure:
- Acxiom (heute LiveRamp) — US-amerikanischer Marktführer, sammelt aus öffentlichen Quellen, Kreditkartendaten, Loyalty-Programmen.
- Oracle Data Cloud — globale Daten-Aggregation; 2022 angekündigte Verkauf-/Stilllegungs-Pläne.
- Experian (UK) — primär Kreditbewertung, plus Marketing-Daten.
- Schober (Deutschland) — Adress- und Verbraucher-Daten; jahrzehntelang etabliert.
- Schufa (Deutschland) — primär Kreditbewertung, kein klassischer Data Broker, aber datenpolitisch ähnlich relevant.
- Telefonnummern-Datenbanken, B2B-Lead-Anbieter, People-Search-Engines (Spokeo, BeenVerified — primär USA) ergänzen das Feld.
Was Data Brokers verkaufen:
- Verbraucher-Profile mit Hunderten Attributen pro Person — Einkommen, Wohn-Situation, Hobbys, Krankheits-Indikatoren, Familien-Status.
- Targeting-Segmente für Werbe-Kampagnen — „Frauen 30–45 mit kleinen Kindern und Bio-Affinität".
- Risikobewertungen für Versicherer und Banken.
- Identitäts-Verifikation als Service für KYC-Prozesse.
Datenschutz-rechtlich ist das in Europa stark eingeschränkt: jede Verarbeitung braucht eine Rechtsgrundlage (Art. 6 DSGVO). In der Praxis arbeiten Data Brokers oft über die Einwilligungs-Klauseln in Cookie-Bannern oder über die **„berechtigtes Interesse"-Begründung — die in der DSGVO Spielraum lässt, aber regulatorisch zunehmend enger interpretiert wird.
DSGVO und TTDSG: der europäische Rahmen
Europa hat den weltweit strengsten Tracking-Rahmen — was nicht heißt, dass er immer durchgesetzt wird.
DSGVO (Datenschutz-Grundverordnung, in Kraft seit Mai 2018)
Zentrale Prinzipien:
- Rechtsgrundlage erforderlich. Jede Verarbeitung personenbezogener Daten braucht eine der sechs Rechtsgrundlagen aus Art. 6 — Einwilligung, Vertragserfüllung, gesetzliche Pflicht, lebenswichtige Interessen, öffentliches Interesse, berechtigtes Interesse.
- Zweckbindung. Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden.
- Datenminimierung. Nur soviel Daten wie nötig.
- Transparenz. Nutzer haben Recht auf Auskunft (Art. 15), Löschung (Art. 17), Datenübertragbarkeit (Art. 20).
- Bußgelder bis 4 % des globalen Jahresumsatzes — was die Verordnung von Vorgängerregelungen unterscheidet.
TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz, in Kraft seit Dezember 2021)
Setzt die ePrivacy-Richtlinie in deutsches Recht um:
- § 25 TTDSG: Cookie-Einwilligung. Speichern oder Auslesen von Informationen auf dem Endgerät einer Person braucht vorherige Einwilligung — ausgenommen sind Cookies, die für den eigentlichen Dienst zwingend erforderlich sind (z. B. Warenkorb).
- Wirkt direkt auf Cookies, LocalStorage, Fingerprinting — der Grund, warum heute fast überall Cookie-Banner zu sehen sind.
ePrivacy-Verordnung soll TTDSG europaweit ablösen, ist seit Jahren im Entwurfs-Status. Stand 2026 weiter nicht verabschiedet.
DSA / DMA (Digital Services Act / Digital Markets Act, 2024 vollständig wirksam) ergänzen den Rahmen um Pflichten für sehr große Online-Plattformen — Transparenz bei Werbe-Targeting, Verbot bestimmter Targeting-Kategorien (politische Werbung an Minderjährige etc.).
Was die Realität davon hat: erhebliche Cookie-Banner-Müdigkeit ohne entsprechende Schutzwirkung — viele Banner sind irreführend gestaltet (Dark Patterns), Aufsichtsbehörden mahnen langsam ab, aber die Sanktionierung kommt erst Jahre nach dem Verstoß. Die Behörden CNIL (Frankreich), DPC (Irland), BfDI (Deutschland) sind die wichtigsten Akteure.
Was du selbst tun kannst — Vorschau auf die folgenden Artikel
Tracking-Schutz ist eine Stack-Übung — mehrere kleine Maßnahmen, die zusammen das Bild ändern:
- Tracker-Blocker im Browser (tracker-blocker).
- Cookie-Hygiene und Storage-Verständnis (cookies-und-localstorage).
- Container-Tabs und Profile zur Trennung von Identitäten (container-tabs-und-profile).
- DNS-Schutz auf System- und Browser-Ebene (dns-tracking-und-doh-dot).
- Mobile App-Tracking über die Geräte-Einstellungen (App Tracking Transparency auf iOS, Werbe-ID zurücksetzen auf Android).
- Account-Hygiene — wer in viele Plattformen eingeloggt ist, leakt mehr.
- Browser-Wahl mit guten Defaults (browser-sicher-einrichten).
Vollständig „nicht trackbar" wirst du nicht — das ist auch nicht das Ziel. Das Ziel ist, das eigene Profil so klein wie möglich zu halten und vor allem keine sensiblen Daten-Kategorien an Werbenetzwerke zu liefern.
Interessantes
Real-Time Bidding ist Datenschutz-rechtlich umstritten
Die irische Aufsichtsbehörde (DPC) hat mehrfach festgestellt, dass die in RTB übertragenen Daten (URLs, ungefähre Standorte, IDs) ein „Massen-Daten-Leak im Sekunden-Takt" sind. Mehrere laufende Verfahren bei europäischen Behörden — Ausgang offen. Verbände wie ICCL (Irish Council for Civil Liberties) führen seit Jahren Kampagnen dagegen.
Cookie-Banner sind oft nicht rechtskonform
Die DSK (Datenschutzkonferenz der deutschen Aufsichtsbehörden) hat 2022 in der „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien" präzise dargelegt, welche Cookie-Banner DSGVO-konform sind: gleichwertige "Ablehnen"- und "Akzeptieren"-Buttons, keine vorausgewählten Häkchen, keine Dark Patterns. Eine sehr große Mehrheit der Banner im Netz erfüllt das nicht — Sanktionierung kommt verzögert.
Apple App Tracking Transparency hat den Mobile-Markt verändert
Mit iOS 14.5 (April 2021) muss jede App, die geräteübergreifend tracken will, eine Einwilligungs-Frage zeigen. Über 75 % der Nutzer:innen wählen "App nicht tracken zu erlauben". Folgen: Meta meldete 2022 einen Werbe-Umsatzverlust von 10 Milliarden USD; mehrere AdTech-Vendoren orientieren sich neu in Richtung "kontextuelles Targeting".
Google Privacy Sandbox ist die Industrie-Antwort
Google entwickelt seit 2019 die Privacy Sandbox — ein Bündel von Browser-APIs (Topics, FLEDGE/Protected Audience, Attribution Reporting), die Werbe-Targeting ohne Third-Party-Cookies ermöglichen sollen. Kontrovers diskutiert: Datenschützer kritisieren, dass die APIs Targeting in der Browser-Engine selbst etablieren. Stand 2026: noch in Roll-out-Phase, Third-Party-Cookies in Chrome später als ursprünglich angekündigt deprecated.
Datenhandel ist global
Während die DSGVO in Europa zwingt, sind US-Data-Broker-Märkte deutlich offener. Selbst europäische Daten landen über internationale Werbe-Netzwerke regelmäßig in US-Pipelines — Stoff für die seit Schrems II (2020) andauernde Auseinandersetzung um internationalen Datenverkehr.
Have-Been-Pwned und Tracking-Aufdeckung
Manche Tracking-Datenlecks werden öffentlich — z. B. die im Jahr 2020 publizierten Sensitive-AdTech-Listen, die Targeting-Segmente wie "Krebsdiagnose-Suchverhalten" oder "Schwangerschafts-Verdacht" enthielten. Wer einmal in solchen Listen war, kann das oft nicht löschen — die Daten sind weiterverkauft.
Du bist nicht das primäre Ziel — du bist ein Profil-Punkt
Tracking ist kein gezielter Angriff auf dich persönlich. Es ist ein industrieller Prozess, der Millionen Profil-Punkte pro Sekunde erzeugt. Das macht es harmloser und beunruhigender zugleich — keine Person sieht deine Daten, aber Algorithmen mit unklarem Zweck verarbeiten sie laufend.
Weiterführende Ressourcen
Externe Quellen
- EU – DSGVO Volltext (Verordnung 2016/679)
- TTDSG – Volltext
- Datenschutzkonferenz – Orientierungshilfe Telemedien
- BfDI – Datenschutz im Internet
- Irish Council for Civil Liberties – RTB Reports
- Mozilla – Privacy Not Included
- W3C – Privacy Sandbox (Spec)
- Apple – App Tracking Transparency
- noyb – Datenschutz-Aktivismus
- Privacy Guides – Tracking-Vermeidung