Die britische Datenschutzaufsicht ICO hat heute ihre finale Guidance zu Storage and Access Technologies veröffentlicht, also zu genau jenen Techniken, über die Websites und Apps Nutzer auf Geräten wiedererkennen, messen und verfolgen. Wer das nur als weiteres Cookie-Update liest, verpasst den eigentlichen Punkt. Die Behörde zieht den Rahmen für Cookies, Tracking-Pixels, Scripts, Device Fingerprinting und ähnliche Mechanismen nicht nur redaktionell glatt, sondern operativ enger. Für Unternehmen heißt das: Die Zeit, in der sich Online-Tracking mit unklaren Bannern, unsauberen Mehrzwecken und dehnbaren Ausnahmen recht bequem betreiben ließ, wird in Großbritannien noch dünner.

Die heutige Veröffentlichung besteht nicht nur aus der finalisierten Guidance selbst. Parallel hat die ICO auch ein Update zu ihrer Online-Tracking-Strategie vorgelegt. Darin sagt sie unmissverständlich, dass für Online-Werbezwecke weiterhin Consent nötig ist, solange die Rechtslage nicht tatsächlich geändert wurde. Genau das macht den Fall berichtenswert. Denn die Behörde arbeitet zwar parallel an Überlegungen, ob es für bestimmte Werbezwecke künftig eng begrenzte Ausnahmen geben könnte. Bis dahin gilt aber nicht eine lockerere Zukunftslogik, sondern das bestehende Recht. Wer Tracking für personalisierte Werbung, Profilbildung oder ähnliche Marketingzwecke nutzt, kann sich also nicht auf politische Debatten über spätere Erleichterungen berufen.

Laut ICO soll die neue Guidance vor allem Klarheit schaffen, wo Unternehmen bisher gern mit Grauzonen gearbeitet haben. Neu hinzugekommen sind unter anderem zusätzliche Präzisierungen dazu, was ein „einfaches Mittel zum Widerspruch“ praktisch bedeutet und ob dieselbe Storage-and-Access-Technologie gleichzeitig für mehrere Zwecke verwendet werden darf. Allein diese Ergänzungen zeigen schon, worauf die Aufsicht schaut. Es geht nicht mehr nur um die Frage, ob irgendwo ein Banner erscheint. Entscheidend ist, ob Wahlmöglichkeiten verständlich sind, ob Zwecke sauber getrennt bleiben und ob ein einmal gesetzter technischer Marker nicht stillschweigend für weitere Nutzungen mitläuft, die Nutzer so nie transparent eingeordnet haben.

Die eigentliche Verschärfung liegt bei den Ausnahmen, nicht beim Bannertext

Warum das operativ relevant ist, erklärt die Einordnung von techUK schon seit dem vorjährigen DUAA-Update recht klar. Durch die Reform gibt es zwar ausdrücklich benannte Ausnahmen, etwa für Kommunikation, für unbedingt notwendige Funktionen, für bestimmte statistische Zwecke, für Darstellungsanpassungen und für Notfallhilfe. Gerade diese Aufzählung verführt aber leicht zu dem Fehlschluss, dass Tracking damit einfacher würde. Tatsächlich beschreibt die Guidance die Ausnahmen präziser, nicht großzügiger. Nach der fachlichen Einordnung von techUK gehören Online-Werbung, Social-Media-Plugins, Cross-Device-Tracking und ähnliche Praktiken gerade nicht zu den typischen Kandidaten für die Schwelle „strictly necessary“.

Damit verschiebt sich die Compliance-Arbeit vom kosmetischen Bannerbau auf die technische und organisatorische Innenarchitektur. Unternehmen müssen sauber unterscheiden, welcher Code wirklich für eine angeforderte Funktion nötig ist, welcher nur Reichweitenmessung dient, welcher Personalisierung vorbereitet und welcher auf Werbezwecke zielt. Wer dafür dieselben Identifier, dieselben SDKs oder dieselben Tag-Container über mehrere Zwecke hinweg einsetzt, landet schneller in Erklärungsnot. Die neue Guidance liest sich deshalb weniger wie ein Dokument für Juristen und mehr wie ein Prüfmaßstab für Produktteams, Marketing, Analytics und Consent-Management-Plattformen.

Das heutige Strategieupdate der ICO verstärkt diesen Druck zusätzlich mit einem Aufsichtssignal. Nach Angaben der Behörde erfüllen inzwischen 99 Prozent der zuletzt geprüften Top-1000-Websites im Vereinigten Königreich ihre Cookie-Compliance-Checks. Das klingt zunächst wie Entwarnung. In Wirklichkeit ist es eher eine Verschiebung der Messlatte. Wenn die großen Banner-Anbieter inzwischen UK-spezifische Templates nachgezogen haben und die Basiskonformität steigt, dann wird es für Aufsichtsbehörden leichter, sich auf die schwierigeren Fragen dahinter zu konzentrieren: auf Datenmanagement-Plattformen, auf die Gültigkeit von Einwilligungen, auf App- und Connected-TV-Tracking und auf die Frage, ob Nutzer wirklich sinnvolle Kontrolle statt bloßer Design-Beruhigung erhalten.

Für Unternehmen wird Online-Tracking damit zum Nachweisfall

Genau daraus ergibt sich die praktische Lehre. Wer heute noch sagt, das Tracking-Setup sei historisch gewachsen und werde eben über das Consent-Tool abgefangen, hat die Richtung der Regulierung nicht verstanden. Die ICO macht Tracking-Compliance jetzt stärker nachweisbar. Unternehmen brauchen ein aktuelles Inventar ihrer Storage-and-Access-Technologien, klare Zweckzuordnungen, belastbare Regeln für Mehrfachnutzung, verständliche Reject- und Opt-out-Wege und eine Governance, die Produktänderungen nicht erst Wochen später im Bannertext nachzieht. Vor allem Werbe- und Analytics-Stacks sollten jetzt prüfen, welche Komponenten sich auf vermeintliche Ausnahmen stützen, obwohl sie in Wahrheit in Profiling- oder Adtech-Logiken hineinreichen.

Auch außerhalb des britischen Markts ist der Fall relevant. Die verwendeten Technologien sind grenzüberschreitend dieselben, und viele internationale Teams bauen Consent, Tracking und Measurement nicht länderscharf von Grund auf neu. Wenn die ICO jetzt bei Cookies, Fingerprinting und Mehrzwecknutzung präziser wird, ist das auch für europäische Unternehmen ein starkes Signal. Der Wettbewerbsvorteil liegt künftig nicht mehr darin, wie viel Tracking man unauffällig durchbekommt, sondern wie sauber man Reichweite, Funktionalität, Statistik und Werbung technisch voneinander trennt.

Die heutige Guidance ist deshalb keine Randnotiz für Banner-Nerds. Sie macht aus einem oft wegdelegierten Thema wieder eine Führungsfrage. Wer Tracking einsetzt, muss zeigen können, wofür genau, auf welcher Grundlage und mit welchen Grenzen. Genau dort nimmt die ICO den Markt jetzt fester in den Griff.

Bildquelle: Pexels

Quellen: Information Commissioner’s Office, „Final storage and access technologies guidance published“; Information Commissioner’s Office, „Online tracking strategy update – April 2026“; techUK, „ICO Updates Storage and Access Technologies Draft Guidance“.