Die Einhaltung der Datenschutzerklärungen von Online-Händlern, bspw. im Hinblick auf die gesammelten Daten und deren Verwendung, kann von Kunden in der Praxis kaum überprüft werden. Die Sammlung von Nutzungsdaten an sich ist hierbei aber nicht das größte Problem, sondern dass diese Daten mit der realen Identität eines Nutzers verknüpft werden können und es Händlern somit möglich ist, Profile ihrer Kunden ohne deren Kenntnis zu erstellen. Ziel dieser Arbeit war es, Methoden und Verfahren zu entwickeln, die entweder ganz ohne personenbezogene Daten auskommen oder dazu beitragen, dass anfallende Daten nicht gegen den Wunsch der Nutzer mit deren realer Identität verknüpft werden können. Im Rahmen dieser Arbeit wurde hierfür ein abstraktes Modell entwickelt, das es erlaubt, die Transaktionen einer Kunde-Händler-Beziehung aus Datenschutzsicht zu analysieren, um bspw. festzustellen, inwieweit die in einer Transaktion anfallenden Daten von der Identität des betroffenen Kunden entkoppelt werden können. Das Modell bezieht Phasen ein als Mittel zur Unterteilung einer Transaktion in kleinere semantische Einheiten. Bisherige Ansätze in Mehrparteienmodellen betrachteten lediglich die Nichtverknüpfbarkeit einzelner Transaktionen der beteiligten Parteien, während der hier vorgestellte Ansatz darüber hinaus geht und zusätzlich die Nichtverknüpfbarkeit von Phasen mit einbezieht, was den Datenschutz weiter stärkt. Die weiteren Beiträge dieser Arbeit stellen Anwendungsfälle des Modells dar und befassen sich näher mit Phasen von Transaktionen, die in besonderem Maße dazu angelegt sind, einen Einblick in das Privatleben von Kunden zu erlangen und damit wesentlich zur Erstellung bzw. Anreicherung eines Kundenprofils beitragen können. Diese Phasen sind zum einen die Suchphase, in der Kunden zunächst nach Produkten Ausschau halten, dabei aber u.U. bereits Vorlieben und Abneigungen Preis geben, ohne dass sie dies beabsichtigt hätten — hierfür wurde eine Architektur vorgeschlagen, die auf die Abkopplung der Suchphase von darauf folgenden Phasen abzielt. Zum anderen wurden Phasen betrachtet, die mit digitalen Anreizsystemen und Kundenbindungsprogrammen in Zusammenhang stehen. Letztere sind aus der realen Welt in Form von Bonus- und Kundenkarten als Mittel zur Kundenbindung, aber auch zur Ausforschung des Kundenverhaltens, hinlänglich bekannt. Als Alternative zu herkömmlichen Bonussystemen wurde ein datenschutzfreundliches System entwickelt, welches den Belohnungsaspekt von Bonuskarten berücksichtigt, aber durch die Möglichkeit einer anonymen Nutzung bewusst auf die Möglichkeit zur Profilbildung verzichtet. Das Bonussystem wurde speziell für den Online-Handel entwickelt und ist das erste, das auf technischer statt auf organisatorischer Ebene die Privatsphäre von Nutzern schützt und auch die Sicherheitsbelange von Händlern berücksichtigt. Eine andere Art von Kundenbindungssystem sind so genannte Multi-Coupon-Systeme. Das hier vorgestellte Protokoll zum Einlösen eines Teil-Coupons erlaubt es dem Kunden, gegenüber dem Anbieter anonym nachzuweisen, dass sein Multi-Coupon mindestens noch ein gültiges Coupon aufweist, wobei im Rahmen dieses Nachweises ein Coupon entwertet wird, sodass dessen erneute Einlösung nicht möglich ist. Das hier vorgeschlagene Multi-Coupon-System ermöglicht zudem, dass die Nutzungsbegrenzung des Multi-Coupons, an dieser Stelle verstanden als Berechtigungsnachweis (Englisch: limited-show credential), durchgesetzt wird, ohne dass hierfür die Anonymität des Coupon-Besitzers geopfert werden müsste.