Retail-Media-Netzwerke und Einwilligung 2026: Das Playbook für Publisher und Werbetreibende zu datenschutzkonformem Targeting, Messung und First-Party-Audience-Verkauf
Retail Media hat sich in weniger als fünf Jahren von einer Nischentätigkeit für große Lebensmittelketten zur am schnellsten wachsenden Kategorie im digitalen Werbemarkt entwickelt. Bis 2026 übertreffen die Ausgaben für Retail-Media-Netzwerke (RMN) das Connected TV, fordern Social Media heraus und sind zur Standard-Monetarisierungsfläche für alle großen Händler, Marktplätze und handelsnahen Publisher geworden. Doch genau das, was Retail Media wertvoll macht — tiefe, authentifizierte First-Party-Kaufdaten kombiniert mit hochintentionalem In-Session-Traffic — ist präzise das, was es auf die Bruchlinie jedes modernen Einwilligungsregimes setzt, von GDPR über LGPD bis hin zu den neuen PIPA- und KVKK-Änderungen. Retail Media ist nicht einwilligungsbefreit. Die Kontrolle über RMNs nimmt 2026 spürbar zu, da Aufsichtsbehörden ihren Vollzugsrückstand aufarbeiten und erkennen, wie viele personenbezogene Daten durch diese Netzwerke fließen. Dieser Leitfaden erläutert, was ein Retail-Media-Netzwerk 2026 tatsächlich ist, wo die Einwilligung in jedem Schritt greift, wie die kommerzielle und rechtliche Seite strukturiert werden sollte, und wie das Playbook für Publisher und Werbetreibende für nachhaltiges Wachstum aussieht.
Was ein Retail-Media-Netzwerk 2026 tatsächlich ist
Der Begriff wurde auf eine breite Palette sehr unterschiedlicher Dinge ausgedehnt, und das Verständnis der zugrunde liegenden Muster ist entscheidend für die richtige Einwilligungskonfiguration.
Onsite-Retail-Media
Die Basisebene: Sponsored-Product-Listings, Banneranzeigen und Suchanzeigenplatzierungen auf den eigenen Plattformen des Händlers. Der Händler weiß, wer eingeloggt ist, was gekauft wird und was historisch gekauft wurde, und verkauft datenbasierte Anzeigen direkt an Marken. Dies ist der margenreichste Teil des RMN und der sauberste aus Einwilligungssicht, weil alles in der eigenen Domain des Händlers unter einem einzigen Verantwortlichen stattfindet.
Offsite-Retail-Media
Ein wachsendes und komplexeres Segment: Der Händler nutzt seine First-Party-Audiencedaten, um Anzeigen auf Drittanbieterplattformen auszuspielen, typischerweise über einen DSP oder einen programmatischen Kanal. Hier verlässt die Audienceintelligenz des Händlers dessen Domain, was Multi-Controller-Processing, grenzüberschreitende Datentransfers in den meisten Fällen und eine deutlich größere Einwilligungsfläche als Onsite bedeutet.
In-Store-Retail-Media
Vernetzte Displays in physischen Einkaufsstätten, Push-Promotions über Loyalty-Apps und digitale Coupon-Platzierungen. Das Einwilligungsregime variiert je nach Rechtsordnung stark — was im Rahmen eines Treueprogramms in Deutschland zulässig ist, ist es unter derselben Konstruktion in Brasilien oder Südkorea nicht — und die Daten für diese Platzierungen werden zunehmend mit den Onsite- und Offsite-Schichten integriert.
Publisher-Retail-Media-Partnerschaften
Die neueste Kategorie 2026: Premium-Content-Publisher kooperieren mit Händlern, um Retail-Media-Kampagnen im eigenen Inventar des Publishers durchzuführen, wobei die First-Party-Audience des Händlers als Targeting-Signal genutzt wird. Dieses Muster ist inzwischen der Bereich, in dem das interessanteste Umsatzwachstum für Publisher entsteht, die keinen eigenen Retail-Media-Stack von Grund auf aufbauen können.
Wo die Einwilligung tatsächlich greift
Das am häufigsten missverstandene Element von Retail Media ist, wie sich die Einwilligung über das Netzwerk verteilt. Die historische Annahme des Händlers — dass die Einwilligung eines treuen Kunden standardmäßig weit gefasst ist — hält dem modernen Datenschutzrecht nicht stand.
Die Erhebungsgrenze
Wenn der Händler Kauf-, Browse- oder Loyalitätsdaten erhebt, hat diese Erhebung eine eigene Rechtsgrundlage — typischerweise die Vertragserfüllung für die Bestellung selbst und die Einwilligung für Marketingzwecke. Ein Händler, der Daten auf vertraglicher Grundlage ohne neue Einwilligung als marketingfähig behandelt, verlässt den Zweck, für den die Daten erhoben wurden.
Die Profilinggrenze
Das Erstellen eines Audience-Segments aus der Kaufhistorie ist Profiling im Sinne von Art. 4 DSGVO und seinen Entsprechungen in LGPD, PIPA und KVKK. Profiling für Marketingzwecke erfordert eine Einwilligung — keine versteckte Klausel in den AGB eines Treueprogramms, sondern eine aktive, spezifische, informierte Einwilligung, die der Nutzer verweigern kann, ohne die Treuevorteile zu verlieren, für die er sich angemeldet hat.
Die Aktivierungsgrenze
Wenn ein Händler ein Audience-Segment zur Offsite-Aktivierung an einen DSP sendet, handelt es sich um eine Übermittlung an einen Drittverantwortlichen oder Auftragsverarbeiter und einen neuen Verarbeitungszweck. Die für das Profiling erteilte Einwilligung deckt die Aktivierung nicht automatisch ab; der Nutzer muss in das Marketing außerhalb der eigenen Plattformen des Händlers eingewilligt haben. Datenschutzerklärungen, die Marketing innerhalb der Dienste des Händlers beschreiben, aber nicht in Zusammenarbeit mit Werbepartnern auf externen Websites, erzeugen genau diese Lücke.
Die Messungsgrenze
Closed-Loop-Messung — bei der der DSP oder Publisher zurückmeldet, welche Anzeigenimpressions zu Ladenverkäufen geführt haben — ist eine weitere Verarbeitungsaktivität. Sie erfordert typischerweise eine Art Identifikator-Matching, was Regeln für grenzüberschreitende Datentransfers und häufig Clean-Room-Infrastruktur oder Äquivalentes mit sich bringt. Clean Rooms befreien nicht von der vorgelagerten Einwilligung; sie gestalten die technische Schicht eines Workflows, der weiterhin von einer gültigen Einwilligung an jeder Grenze abhängt.
Sensible Daten im Retail Media
Die Kaufhistorie offenbart schnell Informationen über sensible Kategorien. Apothekenkäufe, Babyprodukte, Alkohol, bestimmte Bücher, Nahrungsergänzungsmittel und kategoriespezifische Käufe können alle auf Gesundheit, Religion, politische Orientierung oder Elternschaft hinweisen. Retail-Media-Segmente, die diese Schlussfolgerungen berühren, sind sensible Datenverarbeitung nach DSGVO, LGPD, PIPA und KVKK und erfordern eine ausdrückliche Einwilligung zusätzlich zur allgemeinen Marketingeinwilligung.
Die kommerziellen Muster, die tatsächlich funktionieren
Der kommerzielle Erfolg von Retail Media beruht auf drei praktikablen Mustern, von denen jedes unterschiedliche Einwilligungsimplikationen hat.
Gesponserte Platzierungen
Das einfachste und größte: Sponsored-Product-Listings und Onsite-Banner, die gegen kontextuelle und eingeloggte Nutzersignale verkauft werden. Der Händler kontrolliert den End-to-End-Flow, und ein gut konzipiertes, auf die eigene Website des Händlers zugeschnittenes CMP deckt die Einwilligungsgeschichte sauber ab. Hier liegen 60 bis 70 Prozent der RMN-Einnahmen der meisten Händler 2026.
Audience-Export
Der Händler exportiert ein Audience-Segment — gehashte E-Mails, Loyalty-IDs oder Ähnliches — an einen DSP zur Aktivierung in Drittanbieter-Inventar. Hier öffnet sich üblicherweise die Einwilligungslücke. Bei guter Umsetzung exponiert das CMP einen expliziten Zweck für das Audience-Sharing mit Werbepartnern, und der Export-Flow filtert auf Nutzer, die diesem Zweck zugestimmt haben. Bei schlechter Umsetzung läuft der Export gegen die gesamte Loyalty-Basis, und die Datenschutzerklärung verweist vage auf „Marketingpartner".
Closed-Loop-Messung
Der Händler arbeitet mit einem Werbetreibenden oder DSP zusammen, um Offline-Conversions zu messen, die durch Online-Anzeigenexposition ausgelöst wurden. Dies erfordert fast immer eine Clean Room oder eine ähnliche datenschutzkonforme Infrastruktur, bei der die Daten des Händlers und die Daten des Werbetreibenden gegen ein gehashtes Identifikator in einer kontrollierten Umgebung zusammengeführt werden. Die Einwilligung für die Messung ist in der Regel von der Einwilligung für die Aktivierung trennbar — und sollte als solche im CMP modelliert werden.
Der operative Stack, den ein Händler oder Publisher benötigt
Den Betrieb eines Retail-Media-Programms ist keine Plug-and-Play-Entscheidung. Der operative Stack hat mehrere nicht verhandelbare Komponenten.
- Ein sauberes First-Party-Datawarehouse mit einem stabilen Loyalty- oder Kontoidentifikator, der für die weitere Verwendung gehasht werden kann
- Ein CMP, das Marketing, Profiling, Audience-Export und grenzüberschreitende Datentransfers als separate Einwilligungszwecke exponiert
- Eine Datenschutzerklärung, die Retail-Media-Partnerschaften, die Kategorie der Empfänger und die Kategorie der Verarbeitungszwecke explizit beschreibt
- Eine Audience-Aktivierungsschicht, die ausschließlich auf eingewilligte Nutzer filtert, ohne Fallback auf nicht eingewilligte Datensätze unter keinen Umständen
- Einen Clean Room oder ähnliche Infrastruktur für die Closed-Loop-Messung mit einem separaten, auf die Messung beschränkten Einwilligungszweck
- Einen grenzüberschreitenden Transfer-Mechanismus, der für jeden internationalen Auftragsverarbeiter dokumentiert ist und die anwendbaren Standardvertragsklauseln der Version 2024 für jede Rechtsordnung verwendet
- Eine Governance-Funktion, die neue Audience-Segment-Vorschläge gegen die Grenze für sensible Kategorien prüft, bevor sie aktiviert werden
Das Einwilligungs-Segment-Mapping
Für jedes Audience-Segment, das der RMN anbietet, muss der Händler wissen, welcher CMP-Zweck es abdeckt und welche Nutzer diesem Zweck zugestimmt haben. Segmente, die sensible Schlussfolgerungen berühren, erfordern eine ausdrückliche Einwilligung und sollten nur der Teilmenge von Nutzern angeboten werden, die separat in die Verarbeitung sensibler Kategorien eingewilligt haben. Das schwierigste operative Detail ist, dieses Mapping aktuell zu halten, wenn neue Segmente hinzugefügt werden und der kommerzielle Druck zur Nutzung aller verfügbaren Daten drängt.
Die regulatorische Kontrolle von Retail Media 2026
Retail Media steht 2026 unter einem regulatorischen Fokus, den es vor zwei Jahren nicht gab. Mehrere Themen treiben die Vollzugstätigkeit 2026 an.
Das Problem der sensiblen Kategorien
Mehrere Aufsichtsbehörden haben Untersuchungen gegen Händler eingeleitet, deren Audience-Segmente offenbar Gesundheitszustände aus der Apotheken- oder Lebensmittelkaufhistorie ohne ausdrückliche Einwilligung ableiteten. 2026 sind weitere Fälle zu erwarten. Die Abhilfemaßnahme ist nicht clevere Datensparsamkeit — sondern diese Segmente erst gar nicht ohne die explizite Einwilligungsfläche zu erstellen, die sie abdeckt.
Das Problem der Einwilligung in Treueprogrammen
Mehrere Vollzugsmaßnahmen haben festgestellt, dass die AGB von Treueprogrammen keine gültige Grundlage für eine Marketingeinwilligung darstellen, weil eine in einen vorteilsgewährenden Vertrag eingebundene Einwilligung nicht freiwillig erteilt wird. Die Abhilfemaßnahme ist eine entkoppelte, separat eingeholte Marketingeinwilligung, die der Nutzer verweigern kann, ohne seine Treuevorteile zu verlieren.
Das grenzüberschreitende Problem
Retail Media sendet routinemäßig First-Party-Daten an US-amerikanische DSPs und Ad-Tech-Anbieter. Ohne einen Standardvertrag der Version 2024 oder ein Äquivalent handelt es sich dabei um einen unzulässigen grenzüberschreitenden Datentransfer nach DSGVO, KVKK, PIPA und weiteren Rechtsrahmen. Die Abhilfemaßnahme sind Vertragsanpassungen und Dokumentation — vergleichsweise einfach, sobald priorisiert.
Das Kinderdatenproblem
Händler, die Familien bedienen, verfügen oft über Rückschlüsse auf Minderjährige, entweder direkt oder durch Haushaltsmodellierung. Kinderdaten waren während des gesamten Jahres 2025 ein sichtbares Vollzugsziel, und Retail-Media-Segmente, die Minderjährige betreffen, erfordern altersgerechte Einwilligungsflows, die die meisten Händler standardmäßig noch nicht implementiert haben.
Audit-Checkliste für ein Retail-Media-Programm 2026
- Das CMP exponiert Marketing, Profiling, Audience-Export, grenzüberschreitende Transfers und die Verarbeitung sensibler Kategorien als separat einwilligungspflichtige Zwecke
- Die Datenschutzerklärung beschreibt das Retail-Media-Programm, benannte oder kategorisierte Partner und jede Kategorie von Verarbeitungszwecken explizit
- Die AGB des Treueprogramms verknüpfen die Marketingeinwilligung nicht mit der Anmeldung zu Treueleistungen
- Audience-Segmente sind mit den Einwilligungszwecken getaggt, von denen sie abhängen, und Aktivierungs-Pipelines filtern auf die eingewilligte Teilmenge
- Segmente sensibler Kategorien sind hinter einer separaten ausdrücklichen Einwilligung geschützt und werden nur Nutzern in der eingewilligten Teilmenge angeboten
- Mechanismen für grenzüberschreitende Datentransfers verwenden die aktuellen Standardvertragsklauseln der Version 2024 für jede anwendbare Rechtsordnung
- Clean Room oder datenschutzkonforme Infrastruktur ist für die Closed-Loop-Messung dokumentiert, wobei die Messungseinwilligung von der Aktivierungseinwilligung getrennt ist
- Die Exposition gegenüber Kinderdaten wurde geprüft und altersgerechte Flows sind implementiert, wo die Audience Minderjährige umfasst
- Der Workflow für Betroffenenrechtsanfragen kann einen Nutzer innerhalb des anwendbaren regionalen Antwortfensters vollständig aus allen Retail-Media-Segmenten, Aktivierungs-Feeds und Messungs-Pipelines entfernen
Ausblick 2026
Retail Media verlangsamt sich 2026 nicht. Das Ausgabenwachstum hält an, die Technologie verbessert sich laufend, und der Wettbewerbsdruck auf Händler, ihre First-Party-Daten zu monetarisieren, ist unerbittlich. Was sich ändert, ist die regulatorische Haltung — und Publisher, Händler und Werbetreibende, die Retail Media als Einwilligungs-Engineering-Disziplin und nicht als reine kommerzielle Chance betrachten, werden sich auf der richtigen Seite sowohl der Wachstumskurve als auch der Vollzugskurve wiederfinden. Wer versucht, die Einwilligung nachzurüsten, nachdem Segmente bereits auf dem Markt sind, wird feststellen, dass die Nachrüstung langsamer, teurer und öffentlicher ist, als erhofft. Retail-Media-Erfolge sind jetzt zuerst Einwilligungserfolge und erst dann kommerzielle Erfolge. Die Reihenfolge zählt.