UK-Cookie-Reform 2026: Sieben Ausnahmen vom Consent

Am 18. Mai 2026 hat das Information Commissioner's Office (ICO) seine Empfehlungen an die britische Regierung zur weiteren Reform des UK-Cookie-Rechts vorgelegt. Erstmals soll es systematische Ausnahmen vom Einwilligungserfordernis für sieben als „lower-risk" eingestufte Anwendungsbereiche geben — jedoch nur innerhalb eines streng first-party-zentrierten Rahmens. Für EU-Mandanten gilt das Vorhaben nicht unmittelbar. Mittelbar verändert es dennoch die Argumentationslandschaft — insbesondere für die anstehende ePrivacy-Reform und für Legitimate-Interest-Assessments unter Art. 6 Abs. 1 lit. f DSGVO.

Key Takeaways

• Die ICO-Empfehlungen sind kein geltendes Recht. Umsetzung obliegt dem DSIT per statutory instrument auf Grundlage des DUAA 2026.
• Consent-Ausnahmen sollen nur in einem publisher-zentrierten First-Party-Rahmen greifen; weite Drittweitergabe bleibt einwilligungspflichtig.
• Keine unmittelbare Wirkung in der EU: § 25 TDDDG (ePrivacy-RL) verlangt unverändert die Einwilligung für jeden nicht zwingend erforderlichen Zugriff auf Endgeräte.
• Mittelbare Bedeutung erheblich: Die ICO lehnt eine extensive Auslegung von legitimate interests für breite Third-Party-Datenweitergabe ausdrücklich ab. Diese Argumentation ist 1:1 auf Art. 6 Abs. 1 lit. f DSGVO übertragbar.

Regulatorischer Hintergrund

Der Data Use and Access Act (DUAA) ist am 5. Februar 2026 in Kraft getreten. Er hat die UK-Cookie-Regeln (PECR i.V.m. UK GDPR) bereits modifiziert und enthält in seiner Verordnungsermächtigung die Grundlage, auf der der Secretary of State nach Konsultation des ICO weitere Anpassungen vornehmen kann.

Die finale ICO-Guidance vom 29. April 2026 konkretisiert die geltende Rechtslage und ist die rechtlich verbindliche Auslegungsgrundlage für Compliance-Pflichten von Publishern und Werbetreibenden im UK-Markt.

Die Empfehlungen vom 18. Mai 2026 schließen an die ICO-Konsultation vom 7. Juli 2025 zu „privacy-preserving ad models" an. Sie reagieren auf den politischen Druck, Spielräume für Wachstum und Innovation im UK-Markt zu schaffen — ohne das Schutzniveau der UK GDPR aufzugeben.

Die Systematik: First-Party-Ansatz

Tragend für den Vorschlag ist nicht die These, First-Party-Daten seien per se weniger sensibel. Die ICO begründet ihre Zentrierung vielmehr mit der Reduzierung der Risiken aus großflächiger Drittweitergabe und der Annäherung an die berechtigten Erwartungen der Nutzer.

Bei Wegfall des Consent-Erfordernisses, so die ICO weiter, blieben die übrigen Rechtsgrundlagen der UK GDPR — insbesondere legitimate interests — als Verarbeitungsgrundlage zugänglich.

Die sieben Ausnahmebereiche

• Ad delivery — Technische Ausspielung von Werbung; Daten an Ad-Server ausschließlich zur Unterstützung des Publishers.
• Targeting auf Basis von High-Level-Daten — Nur abstrahierte Signale (Gerätetyp, OS, Browser-Kategorie, Stadt/Region, Tageszeit, grobe Inhaltskategorie). Kein ID-basiertes, demografisches oder interessenbasiertes Targeting.
• Measurement & Billing — Impressionen, Klicks, Views zu Abrechnungs- und Reichweitenzwecken; Weitergabe an Werbetreibende nur aggregiert und nicht identifizierend.
• Attribution — Nur anonymisierte Cross-Site-Attribution unter Einsatz von Privacy-Enhancing Technologies (PETs); klassische Cross-Site-User-Linking-Modelle genügen nicht.
• Frequency Capping — Beschränkt auf den jeweiligen Publisher; Cross-Site-Capping nur, sofern PETs eine User-Verknüpfung ausschließen.
• Brand Safety — Scanning durch Publisher oder vertrauenswürdigen Dritten; Weitergabe nur abstrahierter Signale, nicht vollständiger URLs in Bid Requests.
• Ad Fraud Prevention & Detection — Pre-Bid: keine Weitergabe an Bieter, nur Validitäts-Signal. Post-Bid: begrenzte statistische Verhaltensauswertung.

Was die ICO ausdrücklich ablehnt

Eine extensive Anerkennung von legitimate interests als Grundlage für eine breite Third-Party-Datenweitergabe. Begründung: Unvereinbarkeit mit der UK GDPR, Widerspruch zu den berechtigten Erwartungen der Nutzer, voraussichtlich negatives Ergebnis des Balancing Test, faktische Unmöglichkeit konsistenter Durchsetzung in fragmentierten Lieferketten.

Einordnung für deutsche und EU-Mandanten

1. Keine unmittelbare Wirkung

Das Vereinigte Königreich ist seit dem Brexit ein Drittland im Sinne der DSGVO. UK GDPR und DSGVO sind eigenständige Rechtsordnungen. Die ICO-Empfehlungen entfalten in der EU keine unmittelbare Wirkung.

Für Deutschland gilt unverändert § 25 TDDDG (Umsetzung der ePrivacy-Richtlinie 2002/58/EG): Einwilligung für jede nicht „unbedingt erforderliche" Speicher- oder Zugriffstechnologie auf dem Endgerät des Nutzers.

2. Mittelbare Bedeutung – dreifach relevant

• Vorbildfunktion für die ePrivacy-Reform. Die UK-Debatte ist Vorlage für die seit Jahren ausstehende ePrivacy-Verordnung. Erfahrungen aus dem britischen Markt werden in die EU-Diskussion einfließen.
• Two-Track Compliance. Britische Tochtergesellschaften deutscher Konzerne können bei Geltung reformierter UK-Regeln unterschiedlichen Pflichtenkreisen unterliegen. Konzern-Policies und Cookie-Notices müssen jurisdiktionsspezifisch differenzieren.
• Angemessenheitsentscheidung unberührt. Die 2025 verlängerte EU-Angemessenheitsentscheidung zugunsten des UK bleibt von Cookie-spezifischen Reformen unberührt. Betroffen ist nur die Materie der Speicher- und Zugriffstechnologien, nicht der allgemeine Datentransfer.

Die Argumentationsfigur der ICO — dass legitimate interests eine weite Third-Party-Datenweitergabe gerade nicht tragen — ist auf Art. 6 Abs. 1 lit. f DSGVO unmittelbar übertragbar. Wer in DE oder der EU vergleichbare Strukturen auf die berechtigten Interessen stützt, sollte die ICO-Argumentation als zusätzliches Risiko-Indiz im eigenen Legitimate Interest Assessment berücksichtigen.

Handlungsempfehlungen

UK-Publisher und Werbetreibende mit UK-Bezug

• Inventur der eingesetzten Speicher- und Zugriffstechnologien; Zuordnung zu den sieben ICO-Kategorien.
• Prüfung, welche Drittweitergaben struktur- oder vertraglich reduziert werden können (Vorbereitung auf einen First-Party-zentrierten Rechtsrahmen).
• Beobachtung der PET-Entwicklung — insbesondere Private State Tokens und Cross-Site-Attribution-Lösungen — und der Marktreife einschlägiger Produkte.
• Dokumentation der Balancing Tests bzw. Legitimate Interest Assessments in Antizipation der neuen Rechtsgrundlagen.

Deutsche Mandanten mit UK-Tochter oder UK-Markttätigkeit

• Gap-Analyse zwischen UK- und EU-Compliance-Standards; Two-Track-Konzepte dokumentieren.
• Group-Policies und Cookie-Notices auf jurisdiktionsspezifische Differenzierung prüfen.
• Vertragsbeziehungen zu Ad-Tech-Anbietern auf Anpassungspfade prüfen — insbesondere SCCs und Auftragsverarbeitungsverträge.

Deutsche Mandanten ohne UK-Bezug

• Keine unmittelbare Handlungspflicht.
• Beobachtung der UK-Entwicklung als Frühindikator für die EU-ePrivacy-Reform.
• Bestehende LIAs für Werbe-Tracking-Verarbeitungen einer kritischen Re-Prüfung unter Berücksichtigung der ICO-Argumentation unterziehen.

Dieser Beitrag gibt den Stand vom 21. Mai 2026 wieder. Die hier erörterten ICO-Empfehlungen sind nicht geltendes Recht; die Umsetzung obliegt dem britischen Department for Science, Innovation and Technology.