Regulierungsbehörden verschärfen die Anforderungen an die Cookie-Einwilligung und decken auf, wie Tracking durch Supercookies und Sicherheitslücken fortbesteht. Da Drittanbieter-Cookies weiterhin aktiv sind, konzentriert sich die Durchsetzung auf die tatsächliche Entscheidung der Nutzer, nicht auf Werbebanner. Neue britische Regelungen erleichtern die Nutzung von Cookies mit geringem Risiko, während KI die Einwilligungsprozesse grundlegend verändert. Die Zukunft erfordert adaptive, verantwortungsvolle und risikobasierte Datenpraktiken in globalen digitalen Ökosystemen.
Im Jahr 2025 steht das digitale Ökosystem vor einem tiefgreifenden Wandel in der Verwendung und Regulierung von Tracking-Cookies. Einwilligungsbanner, einst bloße Kontrollkästchen zur Einhaltung gesetzlicher Bestimmungen, werden nun eingehend geprüft, da Regulierungsbehörden Datenschutz nicht nur auf dem Papier, sondern auch in der Praxis fordern. Gleichzeitig verändern sich entwickelnde Speicher- und Zugriffstechnologien – von partitionierten Cookies bis hin zu KI-gestützten Einwilligungstools – sowohl die Strategie als auch die Nutzererfahrung. Lassen Sie uns untersuchen, wie diese Entwicklungen zusammenwirken.
HTTP-Cookies – sowohl Session- als auch persistente Cookies – bilden weiterhin die Grundlage für Web-Tracking und die Verwaltung von Nutzersitzungen. Session-Cookies verfallen beim Schließen des Browsers, während persistente Cookies Nutzer sitzungs- und seitenübergreifend verfolgen können. Erstanbieter-Cookies dienen funktionalen Zwecken wie der Speicherung von Anmeldedaten, wohingegen Drittanbieter-Cookies, die von externen Domains gesetzt werden, erhebliche Tracking- und Datenschutzrisiken bergen können.
Obwohl Google plant, Drittanbieter-Cookies schrittweise abzuschaffen, verschob das Unternehmen die Abschaffung dieser Cookies im Jahr 2024. Seit Mitte 2025 sind sie in Chrome standardmäßig aktiviert – allerdings mit strengeren Attributen, die datenschutzfreundliche Mechanismen für zielgerichtete Werbung bieten. Dennoch bestehen weiterhin Bedenken hinsichtlich Wettbewerbsrecht und Datenschutz.
Neben herkömmlichen Cookies setzen Tracker auch sogenannte „Supercookies“ ein, die sich über verschiedene Speichermedien (IndexedDB, Flash, Canvas, lokaler Speicher) hinweg immer wieder neu ansiedeln und selbst nach dem Löschen bestehen bleiben.
Eine Studie aus dem Juni 2025 ergab, dass fast 50 % der Websites „unlösbare Cookies“ verwenden, die Nutzer auch nach Ablehnung ihrer Einwilligung weiter verfolgen. Banner von Consent-Management-Plattformen (CMP) korrelieren mit einer höheren Verbreitung solcher Tracking-Methoden. Diese Ergebnisse verdeutlichen, wie technologische Umgehungslösungen das Prinzip der informierten Einwilligung untergraben.
Regulierungsbehörden verschärfen die Anforderungen: Ein Banner reicht nicht mehr aus – die Entscheidungen der Nutzer müssen wirklich respektiert werden.
Da keine neue ePrivacy-Verordnung in Sicht ist, wurde die Durchsetzung bestehender Regeln verstärkt. EU-Regulierungsbehörden konzentrieren sich nun auf den Inhalt der Einwilligung und betonen, dass diese freiwillig, spezifisch, informiert und eindeutig sein muss. Selbst kleinere Betreiber laufen Gefahr, mit Bußgeldern belegt zu werden.
Das britische Information Commissioner’s Office (ICO) überprüft die 1.000 meistbesuchten britischen Websites auf die Einhaltung der Cookie-Richtlinien. Erste Überprüfungen ergaben, dass 134 von 200 Websites gegen die Vorschriften verstoßen – ein Beleg dafür, dass „Zustimmung oder Zahlung“-Modelle inakzeptabel sind und Banner die tatsächliche Handlungsfähigkeit der Nutzer widerspiegeln müssen.
Im Juni 2025 trat im Vereinigten Königreich der DUAA in Kraft, der die Regelungen für Speicher- und Zugriffstechnologien wie Cookies neu definiert. Gemäß der aktualisierten Verordnung 6 der PECR können bestimmte Cookies mit geringem Risiko, beispielsweise solche für Analysen, Serviceverbesserungen oder Sicherheitszwecke, ohne ausdrückliche Einwilligung gesetzt werden, sofern Transparenz und Opt-out-Mechanismen vorhanden sind.
Der DUAA erweitert die Ausnahmen für berechtigte Interessen und vereinfacht die Einhaltung der Vorschriften für wesentliche Zwecke wie Betrugserkennung oder Leistungssteigerung.
Der Vorschlag des ICO zur Lockerung der Einwilligungsanforderungen für Cookies mit geringem Risiko deutet auf eine Abkehr von pauschalen Regelungen hin. Durch die Reduzierung der „Einwilligungsmüdigkeit“ soll ein besseres Gleichgewicht zwischen Nutzerkontrolle und praktischer Datennutzung erreicht werden – der genaue Umfang wird jedoch noch bis Ende August 2025 geprüft.
Künstliche Intelligenz hält Einzug in das Einwilligungsmanagement. KI-gestützte Einwilligungsmanagement-Plattformen (CMPs) bieten automatisiertes Scannen, Cookie-Kategorisierung, standortbezogene Einwilligungsbanner und Compliance-Updates in Echtzeit. Diese intelligenten Tools versprechen eine skalierbare Verwaltung, werfen aber auch ethische Fragen auf, insbesondere hinsichtlich Transparenz und algorithmischer Verzerrungen.
Der Weg in die Zukunft führt wahrscheinlich zu dynamischer Compliance, bei der KI-Systeme Banner und Richtlinien basierend auf regulatorischen Änderungen in Echtzeit und dem Nutzerverhalten anpassen. Die Integration mit Technologien wie Blockchain zur unveränderlichen Speicherung von Einwilligungen kann zusätzliche Transparenz und Nachvollziehbarkeit bieten.
Künftig wird sich die Cookie-Einwilligung von einer reinen Pflichterfüllung zu einer differenzierten Schnittstelle entwickeln, die Datenschutz, Benutzerfreundlichkeit und Innovation in Einklang bringt. Regulierungsbehörden erwarten Taten – nicht nur Worte.
Das britische DUAA (Drug Enforcement Administration Act) veranschaulicht diesen Wandel: Es verbindet pragmatische Ausnahmen mit Transparenzpflichten.
©2025 CookieHub ehf.
