Datenschutz 2026: Was mit Ihren Daten wirklich passiert

Jede Website, die Sie besuchen, sammelt Daten über Sie. Cookies sind dabei nur die Oberfläche - Browser-Fingerprinting, Datenhändler-Netzwerke und plattformübergreifendes Tracking laufen im Hintergrund, meist ohne dass Sie es bemerken oder verhindern können. Was wirklich passiert, welche Tools tatsächlich helfen und wie Sie Ihre DSGVO-Rechte konkret nutzen.

Was beim Surfen mit Ihren Daten passiert

Schematische Darstellung von Browser-Tracking durch Drittanbieter
Beim Surfen fließen Daten an viele unsichtbare Dritte

Klassisches Tracking funktioniert über Cookies - kleine Textdateien die eine Website in Ihrem Browser speichert. Drittanbieter-Cookies von Werbenetzwerken erkennen Sie auf tausenden verschiedenen Websites wieder und erstellen so ein Profil Ihrer Interessen, Gewohnheiten und Bewegungen im Netz.

Dieses Profil landet nicht nur beim Werbeanbieter. Es fließt in ein Ökosystem von Datenhändlern, die Profile kaufen und verkaufen - für verhaltensbasierte Werbung, Scoring, politisches Targeting oder, im schlimmsten Fall, für Identitätsbetrug.

Das BSI thematisiert in seiner Whitepaper-Reihe "Digitaler Verbraucherschutz" (2024) explizit die Herausforderungen von Profilbildung und Dark Patterns und fordert mehr Transparenz sowie verbraucherfreundliche Voreinstellungen.

Kurz gefasst: Cookies sind nur ein Teil des Trackings. Hinter jeder Website stecken oft Dutzende unsichtbare Drittanbieter die Daten sammeln. Diese Profile werden gehandelt und für Zwecke genutzt, über die Sie keine Kontrolle haben.

Browser-Fingerprinting: das unsichtbare Tracking

Da Cookies zunehmend reguliert und geblockt werden, weicht die Werbeindustrie auf eine schwerer zu blockierende Methode aus: Browser-Fingerprinting. Dabei werden Merkmale Ihres Browsers und Geräts kombiniert - Bildschirmauflösung, installierte Schriftarten, GPU-Modell, Zeitzone, Spracheinstellungen, installierte Plugins - zu einer stabilen Kennung, die Sie auch ohne Cookie identifiziert.

Das Besondere: Diese Methode speichert nichts lokal auf Ihrem Rechner. Sie funktioniert auch wenn alle Cookies geblockt sind, auch im Inkognito-Modus und auch nach dem Löschen des Browser-Verlaufs. Die britische Datenschutzbehörde ICO bezeichnet digitale Fingerabdrücke als "unfaire" Tracking-Methode, weil Nutzer kaum Kontrolle oder Transparenz darüber haben.

Google und große Werbenetzwerke nutzen Fingerprinting und Link-Weiterleitungen laut der Electronic Frontier Foundation (EFF) systematisch, um Nutzer auch ohne Drittanbieter-Cookies plattformübergreifend zu verfolgen. Das Ende der Drittanbieter-Cookies löst das Tracking-Problem also nicht - es verlagert es nur.

Kurz gefasst: Browser-Fingerprinting funktioniert auch ohne Cookies, auch im Inkognito-Modus, auch nach dem Löschen des Verlaufs. Es ist schwerer zu blockieren als Cookies und nimmt zu.

Zahlen: Datenlecks und Datensammlung 2024/2025

Das Ausmaß der Datensammlung zeigen zwei Zahlen eindrücklich: Facebook schätzte selbst, dass Apples App-Tracking-Transparenz seine Werbeerlöse 2022 um rund 10 Milliarden US-Dollar verringern würde - ein Hinweis darauf, auf welchem Umfang personalisierte Werbung auf individuellem Tracking basiert.

Datenlecks sind dabei ein wachsendes Problem. Laut Identity Theft Resource Center wurden 2024 allein in den USA 1,7 Milliarden Datenpannen-Benachrichtigungen verschickt - ein Anstieg von 312 Prozent gegenüber 419 Millionen im Jahr 2023, bei ähnlicher Zahl an Vorfällen (rund 3.150 Datenpannen). Ein einzelner Vorfall - der Hack von National Public Data - legte Daten von rund 2,9 Milliarden Personen offen, darunter Sozialversicherungsnummern und Adressen.

Diese Lecks sind nicht abstrakt. Wenn Ihre E-Mail-Adresse in einer solchen Datenbank auftaucht, können Kriminelle gezielt Phishing-Angriffe auf Sie ausrichten - mit Ihrem echten Namen, Ihrer Adresse und persönlichen Details die Vertrauen wecken. Ob Ihre Daten betroffen sind, können Sie auf HaveIBeenPwned.com oder dem HPI Identity Leak Checker prüfen.

Kurz gefasst: 1,7 Milliarden Datenpannen-Benachrichtigungen in den USA allein 2024. Ein einziges Datenleck betraf 2,9 Milliarden Personen. Prüfen Sie regelmäßig ob Ihre E-Mail-Adresse in Leaks auftaucht.

Drei verbreitete Irrtümer

"Ich habe nichts zu verbergen." Das ist das häufigste Gegenargument zu Datenschutz - und es greift zu kurz. Gesammelte Daten werden für Profiling, dynamische Preisgestaltung, Risikoscores, politisches Targeting und Identitätsdiebstahl verwendet - ohne dass Sie illegal handeln. Wer seine Krankenakte nicht öffentlich hängt, hat auch "nichts zu verbergen". Datenschutz ist keine Frage der Schuld, sondern der Kontrolle.

"Der Inkognito-Modus macht mich anonym." Der Inkognito-Modus löscht lokale Verlaufs- und Cookie-Daten nach der Sitzung. Er verhindert aber nicht dass Websites, Tracker, Ihr Internetanbieter oder Ihr Arbeitgeber Ihre IP-Adresse und Aktivitäten sehen. Browser-Fingerprinting funktioniert vollständig auch im Inkognito-Modus. Für echte Anonymität bräuchte es den Tor-Browser und ein gehärtetes Betriebssystem.

"Wenn Drittanbieter-Cookies weg sind, ist das Tracking weg." Nein. Google und andere Werbenetzwerke haben längst auf Fingerprinting, First-Party-Tracking und serverseitige Techniken umgestellt. Cookie-Banner adressieren einen Teil des Problems - den sichtbaren. Der unsichtbare Teil wächst.

Kurz gefasst: "Nichts zu verbergen" ist kein Datenschutz-Argument. Inkognito ist kein Anonymisierungsschutz. Und das Ende der Drittanbieter-Cookies ist kein Ende des Trackings.

Praktische Tools: was wirklich hilft

Browser mit aktiviertem Tracking-Schutz in der Adressleiste
Der richtige Browser plus uBlock Origin macht einen messbaren Unterschied

Kein Tool schützt vollständig - aber die Kombination aus datenschutzfreundlichem Browser und einem guten Tracking-Blocker reduziert die Angriffsfläche erheblich. Eine ausführliche Einschätzung der sichersten Browser gibt es auf Browserdoktor.de.

Tool Was es bringt Einschränkungen
Firefox Enhanced Tracking Protection, Anti-Fingerprinting aus Tor-Projekt, Open Source Muss konfiguriert werden für maximalen Schutz
Brave Blockiert Werbung, Tracker und Fingerprinting standardmäßig Eigene Werbeplattform - Zusatzfunktionen prüfen
uBlock Origin Blockiert Tracker, Werbung und Malware-Domains; US-Behörden setzen es intern ein Chromium-Version durch Manifest V3 eingeschränkt - Firefox bevorzugen
DuckDuckGo / Startpage Keine Suchprofile, kein personalisiertes Tracking Suchergebnisse teils weniger relevant als Google
Tor Browser Stärkste Anonymisierung durch Routing über mehrere Knoten Deutlich langsamer, nicht für alltägliches Surfen geeignet

Quellen: Browserdoktor.de: Sichere Browser im Vergleich, EFF: Tracking nach dem Ende der Drittanbieter-Cookies.

Wichtig: Selbst die besten Tools lösen das Problem nicht vollständig. Server-seitiges Tracking, Login-Profiling und Fingerprinting sind mit Browser-Erweiterungen allein nicht zu unterbinden. Wer sich bei Google oder Facebook einloggt, ist für diese Dienste trotz aller Tools identifizierbar.

Kurz gefasst: Firefox plus uBlock Origin ist die effektivste Alltagskombination. Brave blockiert mehr by Default. DuckDuckGo statt Google verhindert Suchprofile. Aber kein Tool schützt gegen Login-Profiling.

Datenschutz auf dem Smartphone

Auf dem Smartphone läuft ein Tracking-Mechanismus der im Browser kaum sichtbar ist: die Werbe-ID. Bei Android heißt sie AAID, bei iOS IDFA - eine geräteeindeutige Kennung die Apps für plattformübergreifendes Tracking und Profiling verwenden.

Zwei konkrete Maßnahmen die messbaren Unterschied machen:

  • Android (ab Version 12): Einstellungen → Datenschutz → Werbung → "Werbe-ID löschen". Damit haben Apps keinen Zugriff mehr auf diese ID. Die EFF empfiehlt das als eine der wirksamsten Einzelmaßnahmen für mehr Datenschutz auf dem Smartphone.
  • iOS (App Tracking Transparency): Einstellungen → Datenschutz & Sicherheit → Tracking → "Apps erlauben, Tracking anzufordern" deaktivieren. Damit werden alle App-Tracking-Anfragen automatisch abgelehnt.

Zusätzlich lohnt es sich, App-Berechtigungen regelmäßig zu prüfen: Welche App hat dauerhaften Zugriff auf Standort, Mikrofon oder Kontakte? Zugriffe die nicht aktiv gebraucht werden, entziehen.

Kurz gefasst: Werbe-ID auf Android löschen und iOS-Tracking deaktivieren sind zwei einfache Maßnahmen mit großer Wirkung. App-Berechtigungen regelmäßig durchgehen und nicht benötigte Zugriffe entziehen.

Ihre DSGVO-Rechte praktisch nutzen

Die DSGVO gibt Ihnen konkrete Rechte gegenüber Unternehmen die Ihre Daten verarbeiten - aber Sie müssen diese aktiv einfordern. Die wichtigsten drei Rechte in der Praxis:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können jederzeit fragen, welche personenbezogenen Daten ein Unternehmen über Sie speichert, zu welchem Zweck, wie lange und an wen sie weitergegeben werden. Das Unternehmen muss innerhalb eines Monats antworten.
  • Recht auf Löschung (Art. 17 DSGVO): Das "Recht auf Vergessenwerden" erlaubt Ihnen die Löschung Ihrer Daten zu verlangen - wenn der Zweck weggefallen ist, die Einwilligung widerrufen wurde oder die Verarbeitung unrechtmäßig war. Gesetzliche Aufbewahrungspflichten können dem entgegenstehen.
  • Widerspruchsrecht (Art. 21 DSGVO): Gegen Direktwerbung und Profiling zu Werbezwecken können Sie jederzeit widersprechen - ohne Begründung. Das Unternehmen muss die Verarbeitung dann einstellen.

So setzen Sie Ihre Rechte durch: E-Mail oder Brief an den Datenschutzbeauftragten des Unternehmens, expliziter Verweis auf die DSGVO und den betreffenden Artikel, konkrete Forderung (Auskunft / Löschung / Widerspruch), Frist von einem Monat setzen. Reagiert das Unternehmen nicht, können Sie sich an die zuständige Datenschutzbehörde wenden.

Kurz gefasst: Auskunft (Art. 15), Löschung (Art. 17), Widerspruch gegen Werbung (Art. 21). Schriftlich mit DSGVO-Verweis und Frist. Bei Nichtreaktion: Datenschutzbehörde einschalten.

Häufige Fragen zum Datenschutz

Macht der Inkognito-Modus mich anonym?

Nein. Der Inkognito-Modus löscht lokale Verlaufs- und Cookie-Daten nach der Sitzung. Er verhindert aber nicht dass Websites, Tracker, Ihr Internetanbieter oder Ihr Arbeitgeber Ihre IP und Aktivitäten sehen. Browser-Fingerprinting funktioniert auch im Inkognito-Modus vollständig.

Was ist Browser-Fingerprinting?

Browser-Fingerprinting kombiniert Merkmale Ihres Browsers zu einer stabilen Kennung - ohne lokal etwas zu speichern. Es funktioniert auch wenn Cookies blockiert sind und auch im Inkognito-Modus. Die britische Datenschutzbehörde ICO bezeichnet es als unfaire Tracking-Methode.

Welcher Browser ist am datenschutzfreundlichsten?

Firefox mit uBlock Origin und Enhanced Tracking Protection ist für die meisten Nutzer die beste Alltagskombination. Brave blockiert mehr by Default. Tor Browser bietet maximale Anonymisierung, ist aber für alltägliches Surfen zu langsam. Eine ausführliche Übersicht bietet Browserdoktor.de.

Wie nutze ich mein DSGVO-Auskunftsrecht?

Formlose E-Mail oder Brief an den Datenschutzbeauftragten des Unternehmens, Verweis auf Art. 15 DSGVO, Forderung welche Daten gespeichert werden, zu welchem Zweck, wie lange und an wen sie weitergegeben werden. Das Unternehmen muss innerhalb eines Monats antworten.

Wie deaktiviere ich die Werbe-ID auf meinem Smartphone?

Android ab Version 12: Einstellungen → Datenschutz → Werbung → "Werbe-ID löschen". iOS: Einstellungen → Datenschutz & Sicherheit → Tracking → "Apps erlauben, Tracking anzufordern" deaktivieren. Beides ist kostenlos und in wenigen Minuten erledigt.

Fazit

Vollständiger Datenschutz im Alltag ist eine Illusion - zu viele Dienste basieren auf Tracking. Aber es gibt einen Unterschied zwischen einem digitalen Fußabdruck der überall sichtbar ist und einem der gezielt minimiert wird.

Firefox plus uBlock Origin, DuckDuckGo als Suchmaschine, Werbe-ID auf dem Smartphone deaktivieren, gelegentlich HaveIBeenPwned prüfen und bei Bedarf DSGVO-Rechte einfordern: Das sind keine großen Eingriffe, aber sie machen einen messbaren Unterschied.