Auf „Big Data“ finden die allgemeinen Gesetze Anwendung. Daher dürfen ohne eine entsprechende datenschutzrechtliche Rechtfertigung nicht alle Formen von Auswertungen der im Daten-Pool enthaltenen Daten vorgenommen werden. Welche Form der Auswertung erlaubt ist, richtet sich nach der Art der im Daten-Pool befindlichen Daten (siehe auch hier). Soweit es sich – wie im Regelfall – (auch) um personenbezogene Daten handelt, bedarf es für die Verarbeitung einer datenschutzrechtlichen Rechtfertigung (siehe auch hier). Dabei sollen die nachfolgend aufgeführten Beispiele als Orientierung dienen.
Werden mit Hilfe von Web-Analyse Tools wie Google Analytics oder Piwik Verhaltensdaten wie Conversion Rate, Anzahl der Besuche auf einer Webseite, Klickrate, Klickreihenfolge, gesuchte Begriffe ausgewertet, ist dies zulässig, wenn der Betroffene zu Beginn des Vorganges, d.h. wenn sich die Webseite öffnet und noch bevor etwaige Daten von ihm gespeichert werden, über die Datenerhebung und –auswertung und das ihm zustehende Widerspruchsrecht zu informieren. Widerspricht der Betroffene der Verwendung seiner Daten bzw. dem Setzen des hierfür erforderlichen Cookies, dürfen seine Daten auch nicht verwendet werden.
Werden jedoch Cookies nur zu dem Zweck gesetzt, um damit das Funktionieren des Webseitenbesuchs zu ermöglichen (z.B. Session-Cookies), muss der Betroffene hierüber nicht informiert werden und hat hier auch kein Widerspruchsrecht. Grundsätzlich dürfen bei der Webanalyse nur solche Datenauswertungen vorgenommen werden, die der Werbung und Marktforschung sowie der bedarfsgerechten Gestaltung der Webseite dienen.

Social Media Plug-Ins sind rechtlich umstritten

Werden auf der eigenen Webseite sog. Social Media Plugins eingebunden (z.B. Facebook „Gefällt mir“-Button), so werden, unabhängig davon, ob der Betroffene
diesen Button betätigt oder nicht, an die sozialen Medien Daten übermittelt. Dies gilt auch für Betroffene, die gerade nicht bei der Plattform eingeloggt sind oder solche, die gar nicht bei dem Dienst registriert sind. Die rechtliche Einordnung der Buttons ist höchst umstritten. Da hier jedenfalls die IP-Adress erhoben und auch gespeichert wird, sodass der Betroffene bei späteren Besuchen wiedererkannt wird sowie die Daten auch an die sozialen Netzwerke weitergegeben werden, ist eine Zustimmung des Betroffenen jedenfalls dann zu empfehlen, wenn man der konservativen Ansicht (und den meisten Datenschutzbehörden, siehe auch hier) folgt, und die IP-Adresse als personenbezogenes Datum behandelt. Hierzu bietet sich die sog. Zwei-Klick-Lösung an. Mit dem ersten Klick auf die Buttons werden diese zunächst aktiviert. Vorher findet noch keine Datenübertragung statt. In der Aktivierung liegt die Zustimmung des Betroffenen. Mit dem zweiten Klick kann der Betroffene dann die hinter dem Button stehende Funktion nutzen.
Soweit es für die Inanspruchnahme eines Webangebots erforderlich ist, dass etwa eine Geolokalisierung erfolgt (z.B. bei Diensten die dem Betroffenen ortsgebundene Angebote machen wie. z.B. „Wo ist das nächste Kino“) oder der Betroffene wieder erkannt wird, so ist dies im Rahmen derartiger Dienste zulässig, wenn eine Verknüpfung der Daten mit dem Betroffenen zwingend für die Erbringung des Dienstes notwendig ist. Dies ist beispielsweise ausgeschlossen, soweit eine Profilbildung zu Marketingzwecken erfolgen soll. Ob ein zwingendes Erfordernis vorliegt, bemisst sich grundsätzlich nach dem Einzelfall (also nach der Art des Dienstes). Abgesehen von der „Terminal Device Detection“ und der „Geolokalisierung“, welche im Einzelfall ohne Einwilligung zulässig sein können, sind Dienste wie etwa „Social Activity Detection“ oder „Advanced Fingerprinting“ die sonstigen Dienste nur mit Einwilligung des Betroffenen möglich. Einer solchen Einwilligung bedarf es insbesondere, wenn Nutzerprofile durch ein drittes Unternehmen erstellt werden. Wenn die Daten personengenau erhoben werden, ist eine explizite und separate Zustimmung erforderlich. Als personenbezogene Verhaltensdaten gelten alle Daten, die Nutzungsdaten mit einer konkreten E-Mail Adresse verknüpfen, z.B. Klickdaten, Conversions oder Aktivitäten auf einer verlinkten Seite.
Wichtig ist ebenfalls die je nach Zustimmung differenzierte Erhebung und Verarbeitung. Für Betroffene, die nicht zugestimmt haben, dürfen Verhaltensdaten, wie z.B. der letzte Klick, nicht erfasst oder verarbeitet werden.