DSGVO und lokales Marketing: Was 2026 erlaubt ist

DSGVO. Vier Buchstaben, vor denen sich Marketing-Teams fürchten. Nicht weil sie die Regeln nicht verstehen wollen. Sondern weil sie nicht wissen, was sie konkret dürfen — und was nicht.

Und bei lokalem Marketing wird es besonders kompliziert. Denn hier geht es nicht nur um Website-Tracking und Cookie-Banner. Es geht um Standortdaten. Um In-Store-Tracking. Um Geo-Targeting. Um CRM-Daten aus dem Laden. Alles hochsensibel. Alles reguliert.

Aber hier ist die gute Nachricht: Die DSGVO verbietet lokales Marketing nicht. Sie setzt Regeln. Und wer diese Regeln kennt, kann mehr machen als die meisten denken — legal, effektiv und ohne Angst vor dem nächsten Brief von der Datenschutzbehörde.

Die DSGVO-Grundlagen — kurz und schmerzlos

Die DSGVO (Datenschutz-Grundverordnung) gilt seit Mai 2018 in der gesamten EU. Für lokales Marketing sind drei Prinzipien relevant:

1. Einwilligung (Consent). Bevor du personenbezogene Daten verarbeitest, brauchst du eine klare, informierte Einwilligung. "Personenbezogene Daten" ist dabei weit gefasst: IP-Adressen, Cookie-IDs, Standortdaten, E-Mail-Adressen — alles was eine Person identifizierbar macht.

2. Zweckbindung. Du darfst Daten nur für den Zweck verwenden, für den du die Einwilligung bekommen hast. Wenn jemand seinen Namen für eine Kundenkarte gibt, darfst du ihm nicht automatisch Werbung schicken.

3. Datenminimierung. Sammle nur Daten, die du wirklich brauchst. "Nice to have" ist kein gültiger Grund. "Brauche ich für die Kampagnen-Optimierung" schon — wenn du es belegen kannst.

Klingt streng. Ist es auch. Aber es gibt Wege, innerhalb dieser Regeln sehr effektives lokales Marketing zu machen.

Cookieless Tracking: Die Lösung, die niemand kennt

Das größte Missverständnis im lokalen Marketing: "Wir brauchen Cookies für Analytics." Nein. Brauchst du nicht.

Es gibt eine ganze Generation von Analytics-Tools, die komplett ohne Cookies arbeiten. Und damit ohne Consent-Banner. Ohne Opt-in. Ohne Datenschutz-Kopfschmerzen.

Die wichtigsten cookieless Analytics-Tools:

Cloudflare Web Analytics. Kostenlos. Keine Cookies. Keine IP-Speicherung. Keine personenbezogenen Daten. DSGVO-konform ohne jede Einschränkung. Wir nutzen es für Filialhelden — und empfehlen es für jede Filialisten-Website.
Plausible Analytics. Open Source, EU-gehostet. Keine Cookies. Datenschutzfreundlich. Kostet ab 9 Euro pro Monat, bietet dafür mehr Features als Cloudflare (UTM-Tracking, Custom Events).
Fathom Analytics. Ähnlich wie Plausible. EU-Server verfügbar. Keine Cookies. Ab 14 Dollar pro Monat.

Der Nachteil: Diese Tools können keine individuellen Nutzer tracken. Du siehst Seitenaufrufe, Referrer, Gerätetypen — aber keine User-Journeys, kein Retargeting, keine Cross-Device-Zuordnung. Für eine Filialisten-Website mit dem Ziel "informieren und zum Besuch motivieren" reicht das völlig. Für komplexe E-Commerce-Szenarien nicht.

Google Analytics 4: Geht das noch?

Ja, aber mit Aufwand. Google Analytics 4 (GA4) ist DSGVO-konform einsetzbar — wenn du folgendes richtig machst:

Server-Side Tagging in der EU. GA4 mit einem Server-Side GTM Container, der in der EU gehostet ist. Damit verlassen die Rohdaten nicht Europa.
IP-Anonymisierung. Standardmäßig aktiv in GA4, aber prüfe die Einstellung.
Consent Mode v2. Seit März 2024 Pflicht für Google-Dienste in der EU. Du brauchst ein Consent-Management-Tool (Cookiebot, Usercentrics, Consentmanager), das Google den Consent-Status übermittelt.
Auftragsverarbeitungsvertrag (AVV). Muss mit Google abgeschlossen werden. Geht über die Google-Analytics-Einstellungen.
Datenschutzerklärung aktualisieren. GA4 muss explizit erwähnt werden: welche Daten, warum, wie lange, welche Rechte.

Das ist machbar, aber kein Selbstläufer. Und der Consent-Banner frisst dir Daten: Erfahrungsgemäß stimmen nur 40-60% der Besucher dem Tracking zu. Das heißt: Du siehst nur die Hälfte deiner Besucher. Für ein Filialnetz, das präzise lokale Daten braucht, ist das ein Problem.

Standortdaten: Die sensibelste Zone

Standortdaten sind der Kern von lokalem Marketing — und der sensibelste Bereich unter der DSGVO. Denn Standortdaten verraten, wo sich eine Person aufhält. Das ist hochpersönlich.

Was erlaubt ist und was nicht:

Erlaubt (mit Consent der Plattform):

Geo-Targeting über Google Ads, Meta Ads, Bing Ads. Die Plattformen holen sich die Einwilligung über ihre eigenen Consent-Mechanismen (Standortverlauf bei Google, App-Einstellungen bei Meta).
Store Visit Attribution über Google. Google nutzt eigene First-Party-Daten und aggregiert sie anonymisiert.
IP-basiertes Geo-Targeting für Kampagnen. Die IP-Adresse wird nur zur Standortbestimmung genutzt, nicht gespeichert.

Erlaubt (mit eigenem Consent):

WLAN-Tracking im Laden — aber nur mit expliziter Einwilligung der Kunden. Zum Beispiel über ein Captive Portal ("Verbinde dich mit unserem WLAN und stimme den Nutzungsbedingungen zu").
Bluetooth-Beacons im Laden — ebenfalls nur mit App-basierter Einwilligung.
Kundenkarten mit Standort-Funktion — Einwilligung über die AGB bei Registrierung.

Nicht erlaubt:

Passives WLAN-Tracking ohne Einwilligung. Auch wenn es technisch möglich ist, MAC-Adressen von Smartphones zu erfassen — ohne Consent ist es illegal.
Zusammenführung von Online- und Offline-Daten ohne Einwilligung. Du darfst nicht einfach Kassendaten mit Website-Daten verknüpfen.
Weitergabe von Standortdaten an Dritte ohne Consent. Wenn du Standortdaten sammelst, darfst du sie nicht an Partner weiterverkaufen.

E-Mail-Marketing: Was die DSGVO erlaubt

Für Filialisten ist E-Mail nach wie vor einer der effektivsten Kanäle. Aber auch hier gelten strikte Regeln:

Double Opt-in ist Pflicht. In Deutschland sowieso (UWG), in der gesamten EU Best Practice. Der Nutzer meldet sich an, bekommt eine Bestätigungs-Mail, klickt den Link. Erst dann darfst du ihm Newsletter schicken.

Segmentierung nach Standort ist erlaubt — wenn der Nutzer bei der Anmeldung seine Postleitzahl oder seinen bevorzugten Standort angegeben hat. "Du hast dich für Filiale Mannheim angemeldet, hier ist dein lokaler Newsletter" ist DSGVO-konform.

Abmeldung muss in jeder Mail möglich sein. Ein-Klick-Abmeldung. Kein "Bitte sende eine Mail an datenschutz@firma.de". Ein Link, ein Klick, fertig.

Die Compliance-Checkliste für lokales Marketing

Hier ist deine praktische Checkliste. Druck sie aus. Häng sie an die Wand. Geh sie mit deinem Datenschutzbeauftragten durch:

Website-Analytics: Nutzt du Cookies? Wenn ja: Consent-Banner mit Opt-in. Wenn nein (Cloudflare, Plausible): Du bist safe.
Google Ads / Meta Ads: Consent Mode v2 implementiert? Conversion-Tracking über Server-Side Tagging? AVV mit Google/Meta abgeschlossen?
Google Business Profile: Kein Datenschutzthema — GBP ist eine öffentliche Plattform. Bewertungen und Fotos von Kunden sind user-generated Content.
E-Mail-Marketing: Double Opt-in? Abmeldelink in jeder Mail? Anmeldedaten dokumentiert?
In-Store-Tracking: WLAN-Tracking nur mit Consent. Beacons nur mit App-Einwilligung. Passives Tracking: Finger weg.
CRM-Daten: Zweckbindung dokumentiert? Löschfristen definiert? Auskunftsrecht implementiert?
Datenschutzerklärung: Alle Tools und Datenverarbeitungen aufgelistet? Rechtsgrundlage genannt? Kontaktdaten des DSB angegeben?
Verarbeitungsverzeichnis: Alle Datenverarbeitungen dokumentiert? Pflicht für jedes Unternehmen mit mehr als 250 Mitarbeitern — aber auch für kleinere empfohlen.

Der pragmatische Weg für Filialisten

Die DSGVO ist kein Marketing-Killer. Sie ist ein Regelwerk. Und wer die Regeln kennt, hat sogar einen Vorteil: Vertrauen.

Kunden merken, wenn eine Marke sauber mit Daten umgeht. Wenn der Cookie-Banner ehrlich ist. Wenn die Datenschutzerklärung verständlich geschrieben ist. Wenn man sich mit einem Klick abmelden kann. Das schafft Vertrauen — und Vertrauen ist im lokalen Geschäft alles.

Unser pragmatischer Rat: Setze auf cookieless Analytics für deine Website. Nutze Google Ads und Meta Ads mit Consent Mode v2 für deine Kampagnen. Implementiere Double Opt-in für E-Mail. Und lass die Finger von allem, wofür du kein klares Consent hast.

Das ist kein Verzicht. Das ist lokales Marketing, das funktioniert — und zwar langfristig. Wer sich über First-Party Data im Filialmarketing informieren will, findet dort den logischen nächsten Schritt.

Quellen

DSGVO — Volltext der Verordnung: Der offizielle Text der Datenschutz-Grundverordnung mit allen Artikeln und Erwägungsgründen.
BfDI — Die DSGVO: Informationen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.
Google — Consent Mode v2: Technische Dokumentation zu Googles Consent Mode für die EU.

Dieser Artikel ist Teil der Filialhelden-Serie. Lies auch: Lokales Marketing ist kaputt (Das Manifest) · First-Party Data im Filialmarketing (Daten) · Zero-Party Data: Personalisierung ohne Tracking (Daten)

Häufig gestellte Fragen

Brauche ich für lokales Online-Marketing einen Cookie-Banner?

Nur wenn du Cookies setzt, die nicht technisch notwendig sind — also Tracking-Cookies, Marketing-Cookies oder Analytics-Cookies. Cookieless Analytics wie Cloudflare Web Analytics setzen keine Cookies und brauchen daher kein Consent-Banner. Sobald du Google Analytics, Meta Pixel oder ähnliche Tools einsetzt, brauchst du ein DSGVO-konformes Consent-Management.

Darf ich Standortdaten meiner Kunden für lokales Marketing nutzen?

Standortdaten gelten nach DSGVO als personenbezogene Daten und erfordern eine explizite Einwilligung. Wenn du Google Ads oder Meta Ads mit Geo-Targeting schaltest, kümmern sich die Plattformen um die Einwilligung. Eigene Standortdaten ohne Consent sammeln — zum Beispiel über WLAN-Tracking im Laden — ist nicht erlaubt.

Welche Analytics-Tools sind für Filialisten DSGVO-konform?

Die sicherste Option sind cookieless Analytics-Tools wie Cloudflare Web Analytics, Plausible oder Fathom. Diese setzen keine Cookies, speichern keine IP-Adressen und brauchen kein Consent-Banner. Google Analytics 4 ist mit korrekter Konfiguration und Consent-Banner ebenfalls DSGVO-konform einsetzbar, erfordert aber deutlich mehr Aufwand.