TikTok Pixel und Datenschutz – Was in die Datenschutzerklärung gehört

Das TikTok Pixel ist ein Tracking-Code, den Webseitenbetreiber auf ihrer Website einbinden, um Konversionsereignisse zu messen und Zielgruppen für TikTok-Werbeanzeigen zu erstellen. Im Datenschutzrecht ist es eine datenverarbeitende Komponente, die personenbezogene Daten an TikTok Technology Limited (Dublin, Irland) und deren chinesische Muttergesellschaft ByteDance Ltd. übermittelt. Dieser Beitrag fasst zusammen, welche Angaben in die Datenschutzerklärung einer Website mit TikTok Pixel gehören, welche Daten erhoben werden und welche rechtlichen Besonderheiten zu beachten sind.

A. Zweck und Funktionsweise des TikTok Pixel

Das TikTok Pixel ist ein JavaScript-Code, den Webseitenbetreiber im Quelltext ihrer Website einbauen. Es unterscheidet sich von TikTok als Social-Media-Plattform: TikTok ist ein Dienst zum Teilen von Videos und zur Nutzung sozialer Inhalte, während TikTok Pixel ein reines Werbemessungs- und Tracking-Tool darstellt.

Das Pixel funktioniert wie folgt: Sobald ein Besucher die Website aufruft, sendet der JavaScript-Code automatisch Daten an TikTok-Server. Diese Daten werden zur Messung von Werbekampagnen, zur Erstellung von Custom Audiences (maßgeschneiderte Zielgruppen) und zum Remarketing verwendet. Das Pixel kann verschiedene Events tracken, darunter Seitenaufrufe (PageView), Produktansichten, Warenkorbhinzufügungen, Käufe, Registrierungen und benutzerdefinierte Events.

Im Gegensatz zur Social-Media-Nutzung ist die Verwendung des TikTok Pixel nicht erforderlich für den Betrieb der Website selbst – es dient ausschließlich Werbe- und Optimierungszwecken und ist daher datenschutzrechtlich kritisch zu bewerten.

B. Pflichtangaben in der Datenschutzerklärung

Jede Website, die das TikTok Pixel einsetzt, ist nach Art. 13 DSGVO verpflichtet, in ihrer Datenschutzerklärung vollständige, verständliche Angaben zu machen. Die folgenden Informationen gehören in diesen Abschnitt:

1. Identität des Verantwortlichen oder Verarbeiters: Namen und vollständige Adresse von TikTok Technology Limited (10 Earlsfort Terrace, Dublin, D02 T380, Irland), ggf. auch die Muttergesellschaft ByteDance Ltd.

2. Verarbeitungszweck: "Messung und Optimierung von TikTok-Werbeanzeigen", "Erstellung von Zielgruppen", "Remarketing und Custom Audiences", "Konversionstracking".

3. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG oder – sofern zutreffend – andere rechtliche Grundlagen im Einzelfall.

4. Empfänger der Daten: TikTok Technology Limited, ByteDance Ltd., ggf. weitere Partner von TikTok.

5. Speicherdauer: Angabe der Zeiträume oder Kriterien, nach denen Daten gelöscht werden.

6. Betroffenenrechte: Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenportabilität und Widerspruch.

Viele Webseitenbetreiber kopieren pauschal Textbausteine aus Vorlagen in ihre Datenschutzerklärung, ohne diese an ihre konkrete Situation angepasst zu haben. Dies führt zu fehlerhaften oder unvollständigen Angaben. Eine individuelle, auf das Unternehmen und die Verarbeitung zugeschnittene Datenschutzerklärung ist erforderlich.

C. Anbieter

TikTok Technology Limited ist die EU-Gesellschaft, die als Vertragspartner für die Bereitstellung von TikTok Pixel fungiert:

• Name: TikTok Technology Limited
• Registrierungsnummer: 635755 (Irland)
• Adresse: 10 Earlsfort Terrace, Dublin, D02 T380, Irland
• Registrierungsdatum: 12. Oktober 2018

Diese irische Kapitalgesellschaft ist die Kontraktpartei für Webseitenbetreiber, die das Pixel einbinden möchten.

Muttergesellschaft: ByteDance Ltd., mit Sitz in Beijing, China. ByteDance ist das Holdingunternehmen, das TikTok weltweit kontrolliert und betreibt. Das Risiko von Datentransfers in die Volksrepublik China ist ein zentrales datenschutzrechtliches Bedenken bei der Bewertung des TikTok Pixel.

Data Privacy Framework Status: Der Überprüfung des Data Privacy Framework (DPF) der USA zufolge ist zu prüfen, ob TikTok auf der Liste der zertifizierten Unternehmen aufgeführt ist. Viele Quellen deuten darauf hin, dass ByteDance/TikTok das DPF nicht erfüllt. Dies bedeutet, dass Datenübermittlungen in die USA zusätzlich durch Standardvertragsklauseln (SCC) oder andere Mechanismen geschützt sein müssen.

Privacy Policy: Die offizielle Datenschutzerklärung von TikTok für Nutzer im EWR ist unter https://www.tiktok.com/legal/page/eea/privacy-policy/en verfügbar. Für kommerzielle Produkte wie das TikTok Pixel gelten teilweise abweichende Bedingungen.

D. Datenverarbeitung – Ablauf

Die Verarbeitung personenbezogener Daten durch das TikTok Pixel folgt diesem Ablauf:

E. Erhobene Daten

Das TikTok Pixel und die erweiterten Funktionen (Advanced Matching) sammeln ein breites Spektrum von Daten:

• Webserver-Protokolldaten: IP-Adresse des Besuchers, Zeitstempel der Anfrage, Protokollversion.

• Klickpfade und Navigationsverhalten: Besuchte Seiten (URLs, vollständige oder gekürzte Pfade), Referrer (woher der Besucher kam), interne Navigationsflüsse.

• Endgeräte-Daten: Gerätetyp (Smartphone, Tablet, Desktop), Betriebssystem (Android, iOS, Windows), Geräte-Identifier (z.B. IDFA auf iOS, Advertising ID auf Android).

• Browserinformationen: Browser-Typ und -Version, installierte Plugins, verwendete Sprache, Zeitzone.

• Grobe Standortdaten: Aus der IP-Adresse abgeleiteter ungefährer Standort (Land, Region, Stadt).

• Nutzerprofile und Zielgruppendaten: Erstellung von Custom Audiences, Interessensprofile, Interaktionsverlauf mit der Website.

• Conversion-Ereignisse: Käufe (mit oder ohne Produktdetails), Registrierungen, Warenkorbhinzufügungen, Seitenaufrufe, Download, Lead-Generierung.

• Interaktionsdaten: Klicks auf Elemente, Formulareinträge, Verweildauer auf der Seite.

• Hashed personenbezogene Daten (bei Advanced Matching): E-Mail-Adressen, Telefonnummern und weitere Kontaktdaten in gehashter Form.

F. Nutzungszwecke

TikTok nutzt die Pixel-Daten für folgende Zwecke:

• Allgemeines Marketing und Kampagnenmessung: Auswertung der Werbeleistung, Kostenanalyse (ROAS – Return on Ad Spend), Reichweitenmessung.

• Nutzerprofil-Erstellung: Segmentierung von Zielgruppen, Erstellung von Custom Audiences für erneute Ansprache (Remarketing), Lookalike-Audience-Generierung (ähnliche Nutzer wie bestehende Kunden).

• Nutzerindividuelles (personalisiertes) Marketing: Zielgerichtete Werbeanzeigen auf TikTok basierend auf Website-Verhalten, Conversion-Wahrscheinlichkeit, erkannte Interessen.

• Cross-Domain-Tracking: Verfolgung von Nutzern über mehrere Websites hinweg (sofern mehrere Websites das TikTok Pixel nutzen).

• Produktentwicklung und Service-Verbesserung: Interne Auswertungen zum Verbesserung des TikTok-Ökosystems und der Anzeigen-Mechaniken.

G. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten durch das TikTok Pixel ist datenschutzrechtlich als Marketing-Tracking einzuordnen. Dies ist kein essenzieller Dienst für den Betrieb der Website.

Notwendige Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. § 25 Abs. 1 TDDDG (Telekommunikation-Telemedien-Datenschutz-Gesetz, für Cookies und ähnliche Technologien).

Das bedeutet: Eine vorherige, informierte und explizite Einwilligung des Besuchers ist zwingend erforderlich, bevor das Pixel aktiviert wird. Diese muss durch ein Consent-Management-System (Cookie-Banner) gewährleistet werden.

H. Besonderheiten und Hinweise

Joint-Controller-Status: Beim Einsatz des TikTok Pixel entsteht eine mögliche gemeinsame Verantwortlichkeit (Joint Controllership nach Art. 26 DSGVO) zwischen dem Webseitenbetreiber und TikTok. TikTok hat hierzu eine „TikTok Analytics Joint Controller Addendum" veröffentlicht. Webseitenbetreiber sollten überprüfen, ob und in welchem Umfang ein Joint-Controller-Agreement erforderlich oder verfügbar ist.

Drittlandtransfer und Schrems-II-Risiken:

• Daten werden teilweise in die USA übermittelt. Die Wirksamkeit von Standardvertragsklauseln (SCCs) ist seit dem Urteil „Schrems II" (EuGH, 2020) umstritten.
• Ein Drittlandtransfer in die Volksrepublik China (zur Muttergesellschaft ByteDance) ist nicht ausgeschlossen und erhöht das Datenschutzrisiko erheblich.

Opt-Out und Einstellungen:

• Nutzer können TikTok-Werbeeinstellungen manuell anpassen (https://www.tiktok.com/legal/page/eea/privacy-policy/en).
• Ein technisches Opt-Out für das Pixel auf Website-Ebene sollte angeboten werden (z.B. durch Consent-Banner vor Pixel-Ladung).

Advanced Matching und Hashing: Webseitenbetreiber können erweiterte Matching-Funktionen aktivieren, bei denen E-Mail-Adressen und Telefonnummern gehashed (verschlüsselt) an TikTok übermittelt werden. Dies verstärkt die Tracking-Intensive und ist separat zu dokumentieren.

Events API als Alternative: Die TikTok Conversion API (Server-Side Events API) ist eine datenschutzfreundlichere Alternative zum Pixel. Sie ermöglicht das Tracken von Conversions auf dem Server des Webseitenbetreibers, nicht im Browser des Benutzers. Adblocking-Tools können Events so nicht blockieren.

Datenschutzvereinbarungen: Mit TikTok Technology Limited muss eine Datenverarbeitungsvereinbarung (AVV) abgeschlossen werden oder – falls Joint Controllership vorliegt – ein entsprechendes Joint-Controller-Agreement.

I. Häufige Fragen zu TikTok Pixel und Datenschutz

J. Fazit

Das TikTok Pixel ist ein weit verbreitetes Werbemessungs-Tool, das für Website-Betreiber notwendig sein kann, um TikTok-Kampagnen zu optimieren. Datenschutzrechtlich ist es jedoch besonders kritisch: Es erfordert eine ausdrückliche Einwilligung, es verarbeitet sensible Daten, und es birgt erhebliche Risiken durch Drittlandtransfers in die USA und einen möglichen Transfer zu der chinesischen Muttergesellschaft ByteDance.

Die gesetzliche Verpflichtung zur Offenlegung aller wesentlichen Verarbeitungsdetails in der Datenschutzerklärung ist zwingend. Eine pauschale, nicht auf den konkreten Betreiber und Einsatz abgestimmte Datenschutzerklärung genügt nicht. Ein Datenschutzrechtler oder spezialisiertes Generator-Tool sollte herangezogen werden, um rechtssicher konforme Texte zu erstellen. Der Einsatz von Standardvertragsklauseln (SCCs) oder eines Joint-Controller-Agreements mit TikTok ist im Einzelfall zu prüfen.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com