Art und Umfang zugestimmter Einwilligungserklärungen können von Nutzer zu Nutzer stark variieren. Manche Nutzer haben z. B. nur dem Erhalt von E-Mails zugestimmt, andere einem vollständigen Tracking ihres Verhaltens. Hinzu kommen unterschiedliche Opt-In-Quellen (Gewinnspiele, Online Shops, Newsletter-Anmeldungen, Länder mit anderen Datenschutzstandards etc.) mit ggf. abweichenden Einwilligungserklärungen.
Dies verlangt nach einer technisch differenzierten Verwaltung der verschiedenen Einwilligungserklärungen. Mittels einer sog. Privacy Admission Control ist es möglich, jedem Nutzer eigene Tracking-Methoden zuzuordnen, je nach Art und Umfang seiner zugestimmten Einwilligungserklärung. Dabei kann jede Form von Opt-In auf Nutzerebene aktiviert oder deaktiviert werden, sodass für jeden Nutzer nur Tracking-Maßnahmen auf Basis seiner individuellen Zustimmungen durchgeführt werden.
Damit unterscheidet sich Privacy Admission Control von Funktionen, die ein solches Datennutzungsmanagement nur auf Verteiler- aber nicht auf Einzelnutzerebene erlauben. Dort wird entweder der gesamte Verteiler personenbezogen getrackt, oder niemand. Die personenbezogenen Daten werden zunächst einmal erfasst und erst bei ihrer Verarbeitung wird der Opt-In-Status geprüft. Dies ist jedoch nicht rechtens. Personenbezogene Daten von Nutzern, die kein entsprechendes Opt-In gegeben haben, dürfen gar nicht erst erfasst werden. Ein Beispiel ist eine Follow Up-Kampagne im E-Mail-Marketing, die an alle Nutzer versendet werden soll, die eine bestimmte E-Mail nicht geöffnet haben. Dafür muss getrackt werden, welche Nutzer die erste E-Mail geöffnet haben und welche nicht. Manche Technologien tracken dafür die Öffnungen aller Nutzer, auch derer, von denen sie kein Opt-In dafür haben, und sortieren erst vor Versand der Follow Up-Kampagne die Nutzer ohne Opt-In aus. Rechtssicher wäre jedoch gewesen, die Öffnung der Nutzer ohne OptIn von Anfang an nicht zu erfassen.