Monat: April 2026

Contextual Targeting ohne personenbezogene Daten – warum die DSGVO häufig gar nicht greift

Geschrieben am von Dr. Frank Eickmeier

Im Online-Marketing wird Targeting regelmäßig reflexartig mit hochen Datenschutz-Anforderungen gleichgesetzt. Insbesondere im Programmatic Advertising dominiert die Annahme, dass bei jeder Form der Werbeaussteuerung zwangsläufig personenbezogene Daten verarbeitet werden und damit die DSGVO anwendbar ist. Diese Sichtweise greift jedoch zu kurz.

Reines Contextual Targeting kann – bei entsprechender technischer Ausgestaltung – vollständig außerhalb des Anwendungsbereichs der DSGVO liegen. Dieser Beitrag zeigt, unter welchen Voraussetzungen das der Fall ist und welche Konsequenzen sich daraus auch für branchenübliche Standards wie das IAB Transparency & Consent Framework sowie für zukünftige Regulierungsvorhaben ergeben.

Ausgangspunkt: Die DSGVO setzt personenbezogene Daten voraus

Die DSGVO ist kein allgemeines „Internetregulierungsrecht“. Sie findet ausschließlich Anwendung, wenn personenbezogene Daten verarbeitet werden (Art. 2 Abs. 1 DSGVO).

Der zentrale Prüfungsmaßstab lautet daher nicht sofort, ob eine Verarbeitung „zulässig“ ist, sondern erst einmal, ob überhaupt personenbezogene Daten vorliegen.

Personenbezogen sind Daten nur dann, wenn sie sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Erforderlich ist stets ein Bezug zu einer konkreten Person – sei es unmittelbar oder mittelbar.

Rein sachbezogene Informationen, etwa über Inhalte von Webseiten, fallen nicht darunter.

Was ist Contextual Targeting im rechtlichen Sinne?

Beim Contextual Targeting wird Werbung ausschließlich anhand des Umfelds ausgespielt, in dem sie erscheint. Maßgeblich sind also Inhalte, nicht Nutzer.

Typischerweise werden dabei folgende Elemente analysiert:
– Themen und Keywords einer Seite
– semantische Strukturen
– Taxonomien und Kategorien
– Sentiment oder Tonalität

Diese Informationen werden zu Kontextsegmenten verdichtet, die als Entscheidungsgrundlage für die Werbeausspielung dienen.

Entscheidend ist: Diese Daten beziehen sich auf Inhalte, nicht auf Personen.

Wann Contextual Targeting tatsächlich „DSGVO-frei“ ist

Ob Contextual Targeting datenschutzrechtlich relevant ist, hängt ausschließlich von der konkreten technischen Umsetzung ab.

Ein Modell fällt nur dann vollständig aus der DSGVO heraus, wenn konsequent auf jeglichen Personenbezug verzichtet wird. Das setzt insbesondere voraus:

– keine Verarbeitung von IP-Adressen, auch nicht temporär
– keine Nutzung von Cookies, Device IDs oder vergleichbaren Identifikatoren
– keine Wiedererkennung von Nutzern über mehrere Interaktionen hinweg
– keine Bildung von Nutzerprofilen, auch nicht pseudonym
– keine Verknüpfung mit anderen Datenquellen
– keine Möglichkeit der Re-Identifizierung

Sind diese Voraussetzungen erfüllt, werden ausschließlich inhaltsbezogene Daten verarbeitet. Ein Personenbezug fehlt vollständig.

Warum Context IDs keine personenbezogenen Daten sind

In der Praxis werden häufig sogenannte Context IDs oder Segment-IDs verwendet. Diese stehen für bestimmte Inhaltskategorien oder Umfelder.

Rechtlich entscheidend ist, worauf sich diese IDs beziehen:

– Beziehen sie sich auf Nutzer oder Geräte, liegt personenbezogene Verarbeitung vor.
– Beziehen sie sich ausschließlich auf Inhalte oder Platzierungen, fehlt der Personenbezug.

Context IDs, die lediglich beschreiben, dass sich eine Anzeige etwa im Umfeld „Sport“, „Finanzen“ oder „Reisen“ befindet, enthalten keinerlei Information über eine natürliche Person.

Auch wenn solche Segmente im Auktionsprozess genutzt werden, bleibt die Verarbeitung rein sachbezogen.

Warum auch keine mittelbare Identifizierbarkeit vorliegt

Häufig wird argumentiert, ein Personenbezug könne bereits deshalb vorliegen, weil irgendwo in der Wertschöpfungskette personenbezogene Daten existieren. Diese Argumentation überzeugt nicht. Maßgeblich ist, ob die konkret verarbeiteten Daten eine Identifizierung ermöglichen oder zumindest einen Anknüpfungspunkt dafür bieten. Fehlen jegliche Identifier und erfolgt keine Verknüpfung mit Dritt-Daten, besteht auch keine theoretische Re-Identifizierbarkeit. Die bloße Einbettung in ein Ad-Tech-Ökosystem reicht nicht aus, um einen Personenbezug zu begründen.

Abgrenzung zu verhaltensbasiertem Targeting

Die rechtliche Bewertung wird klarer, wenn man Contextual Targeting vom klassischen Behavioral Targeting abgrenzt.

Während verhaltensbasiertes Targeting typischerweise auf folgenden Elementen beruht:
– Tracking über Cookies oder IDs,
– Wiedererkennung von Nutzern,
– Profilbildung über Zeit,
– geräteübergreifende Zuordnung,

fehlen all diese Elemente beim reinen Contextual Targeting vollständig.

Die Werbeentscheidung erfolgt nicht „wegen“ einer Person, sondern „wegen“ eines Inhalts.

Keine Anwendbarkeit der DSGVO

Fehlt es an personenbezogenen Daten, ist der sachliche Anwendungsbereich der DSGVO nicht eröffnet.

Das hat weitreichende Konsequenzen:
– keine Pflicht zur Rechtsgrundlage (Art. 6 DSGVO)
– keine Informationspflichten (Art. 13, 14 DSGVO)
– keine Betroffenenrechte
– keine Anforderungen an Auftragsverarbeitung oder Joint Controllership

Die datenschutzrechtliche Prüfung endet bereits auf der ersten Stufe.

Keine Einordnung als Vendor im TCF 2.0

Das IAB Transparency & Consent Framework (TCF 2.0) ist ein Branchenstandard zur Verwaltung von Einwilligungen im Programmatic Advertising. Es adressiert ausschließlich Verarbeitungsvorgänge, die personenbezogene Daten betreffen – insbesondere Tracking, Profiling und personalisierte Werbung. Ein „Vendor“ im Sinne des TCF ist daher zwingend ein Akteur, der personenbezogene Daten verarbeitet und hierfür eine Rechtsgrundlage benötigt.

Fehlt es – wie beim strikt umgesetzten Contextual Targeting – an jeder Verarbeitung personenbezogener Daten, entfällt diese Voraussetzung vollständig.

Die Folge ist klar:
– keine Einbindung in Consent-Mechanismen
– keine Verarbeitung von TC Strings
– keine Verpflichtung zur Teilnahme am TCF

Eine Einordnung als Vendor wäre systemwidrig, da das gesamte Framework auf der Existenz personenbezogener Daten aufbaut.

Warum auch zukünftige Regulierung („Digitaler Omnibus“) nichts ändert

Aktuelle regulatorische Entwicklungen auf EU-Ebene zielen darauf ab, bestehende Digitalregeln zu bündeln und zu schärfen. Unter Schlagworten wie „Digitaler Omnibus“ werden insbesondere Anpassungen im Zusammenspiel von DSGVO, ePrivacy, Digital Services Act und weiteren Regelwerken diskutiert.

Diese Initiativen verfolgen vor allem drei Ziele:
– Stärkung von Transparenz und Durchsetzung
– Vereinheitlichung von Pflichten
– Schließung von Regelungslücken bei datengetriebenen Geschäftsmodellen

Entscheidend ist jedoch: Auch zukünftige Regulierung knüpft weiterhin an bekannte Tatbestände an.

Insbesondere bleiben zentrale Anknüpfungspunkte:
– personenbezogene Daten
– Zugriff auf Endgeräte
– personalisierte Beeinflussung von Nutzern
– Plattformverantwortlichkeit

Ein Modell, das bewusst auf all diese Elemente verzichtet, bleibt strukturell außerhalb dieses Regelungsregimes. Weder die Bündelung bestehender Vorschriften noch deren Verschärfung führt dazu, dass rein sachbezogene Datenverarbeitungen plötzlich erfasst werden.

Fazit

Contextual Targeting ist nicht per se „datenschutzfrei“ – kann es aber sein.

Entscheidend ist eine konsequent personenbezogenheitsfreie Architektur. Sobald auf Identifier, Tracking und Nutzerbezug vollständig verzichtet wird, handelt es sich nicht mehr um eine Verarbeitung personenbezogener Daten.

Die Konsequenz ist grundlegend: Die DSGVO ist dann nicht anwendbar.

Darauf aufbauende Systeme wie das TCF greifen ebenfalls nicht. Und auch zukünftige regulatorische Entwicklungen ändern an dieser Einordnung nichts.

Für die Praxis bedeutet das: Wer Contextual Targeting technisch sauber umsetzt, kann sich bewusst außerhalb der datenschutzrechtlichen Regulatorik positionieren – nicht durch Gestaltung der Rechtsgrundlage, sondern durch Vermeidung ihres Anwendungsbereichs.

Cookie-Banner adé? Was der Digital Omnibus für die Online-Branche bedeutet

Geschrieben am von Dr. Frank Eickmeier

Die EU-Kommission verfolgt mit dem Digital-Omnibus ein ambitioniertes Reformpaket, das unter anderem die Regeln für Cookie-Banner und Online-Tracking grundlegend neu ordnen soll. Ziel ist erklärtermaßen die Reduzierung von Bürokratie und „consent fatigue“ – also der Ermüdung der Nutzer durch überbordende Einwilligungsabfragen. Ob das gelingt, ist allerdings fraglich. Eine erste Analyse zeigt: Es wird komplizierter, nicht einfacher.

Was ist der Digital-Omnibus?

Das Omnibus-Paket ist ein Änderungsrechtsakt, der in einer Vorlage gleich mehrere bestehende EU-Regelwerke anpasst – neben der Datenschutzgrundverordnung auch den AI Act und den Data Act. Für die Praxis im Bereich Cookies und Tracking relevant sind vor allem die neuen Artikel 88a und 88b DSGVO sowie eine Anpassung der Begriffsbestimmungen in Art. 4 DSGVO. Erwartet wird die Verabschiedung aktuell für Ende 2026. Die Konsultationsphase für Verbände wurde im März abgeschlossen.

Eine neue Definition personenbezogener Daten

Die DSGVO soll eine so genannte relationale Einschränkung erhalten: Informationen sind dann nicht mehr sofort für jedermann personenbezogen, nur weil irgendeine Stelle die betroffene Person darüber identifizieren könnte. Entscheidend ist, ob die jeweils datenverarbeitende Stelle selbst die Person mit vernünftigerweise einsetzbaren Mitteln identifizieren kann. Diese Klarstellung setzt vor allem die EuGH-Rechtsprechung in den Sachen Breyer, Gesamtverband Autoteile-Handel und SRB um und könnte für First-Party-Cookie-Szenarien praktische Entlastung bringen.

Das neue Kernelement: Artikel 88a DSGVO

Der neue Art. 88a DSGVO würde weite Teile des bisherigen Art. 5 Abs. 3 ePrivacy-Richtlinie (in Deutschland umgesetzt in § 25 TDDDG) in das DSGVO-Regime überführen. Für den praktischen Betrieb von Websites und digitalen Diensten ergeben sich daraus folgende einwilligungsfreie Tatbestände:

  1. Übertragung einer elektronischen Kommunikation (unverändert).
  2. Bereitstellung eines vom Nutzer ausdrücklich angeforderten Dienstes – Session-Cookies, Warenkorb-Cookies, Login-Persistenz
  3. Erstellung aggregierter Informationen über die Nutzung eines Online-Dienstes zur eigenen Reichweitenmessung – wichtige Einschränkung: nur durch den Betreiber selbst und nur für eigene Zwecke (Drittanbieter-Tracking bleibt also einwilligungspflichtig)
  4. Aufrechterhaltung oder Wiederherstellung der Sicherheit des Dienstes oder des genutzten Endgeräts – Bot-Schutz, Login-Sicherheit, 2-Faktor-Authentifizierung

Gegenüber dem bisherigen Recht wird darüber hinaus die allgemeine Schwelle abgesenkt: War eine Einwilligung bisher nur bei Datenverarbeitungen, die „for the sole purpose“ der Bereitstellung eines Online-Dienstes „strictly necessary“ allgemein entbehrlich, soll künftig eine „necessary“ Datenverarbeitung reichen. Das könnte eine spürbare, wenn auch moderate Erleichterung bedeuten.

Neue Pflichten beim Consent-Management: Artikel 88a Abs. 4 DSGVO

Wenn eine Einwilligung eingeholt wird, gelten künftig klare Anforderungen an die Banner-Gestaltung. Die Ablehnung muss mit einem einzigen Klick möglich sein („single-click button or equivalent means“). Liegt eine Einwilligung bereits vor, darf für denselben Zweck kein erneutes Consent-Banner angezeigt werden, solange die Einwilligung wirksam ist. Wurde die Einwilligung verweigert, darf für denselben Zweck mindestens sechs Monate lang kein neuer Consent-Request erfolgen. Praktisch bedeutet das, dass ein „Do-not-track“-Cookie für diesen Zeitraum gesetzt werden darf – und wohl auch muss.

Automatisiertes Consent-Management: Artikel 88b DSGVO

Betreiber werden verpflichtet, ihre Schnittstellen so zu gestalten, dass Nutzer Einwilligungen auch über automatisierte, maschinenlesbare Signale – also etwa Browser-Einstellungen – erteilen und verweigern können. Das entspricht im Ansatz dem Global Privacy Control (GPC)-Konzept, das bisher nur von einigen Datenschutzbehörden akzeptiert wird.

Für Mediendiensteanbieter gilt eine Ausnahme: Sie müssen diese automatisierten Signale nicht berücksichtigen. Die Begründung des Kommissionsentwurfs verweist auf die Werbefinanzierung von Medienangeboten. Das bedeutet in der Praxis für Mediendienste: Kein Zwang zur automatischen Consent-Verarbeitung, aber auch kein neues Privileg.

Auffällig ist eine Regelungslücke: Der automatisierte Widerruf einer bereits erteilten Einwilligung ist nicht ausdrücklich vorgesehen. Art. 7 Abs. 3 Satz 4 DSGVO verlangt aber, dass der Widerruf ebenso einfach sein muss wie die Einwilligung. Wenn Einwilligungen automatisiert erteilt werden können, müsste konsequenterweise auch der Widerruf automatisiert möglich sein – der Entwurf schweigt dazu.

Zwei Regime bleiben bestehen

Das zentrale Problem des Entwurfs aus Sicht der Rechtsanwendung bleibt dabei bestehen: Die ePrivacy-Richtlinie (in Deutschland in § 25 TDDDG umgesetzt) soll offenbar weiterhin parallel zu den neuen Art. 88a/88b DSGVO gelten. Beide Regime decken nämlich unterschiedliche Sachverhalte ab: Art. 5 ePrivacy-RL erfasst den Zugriff auf und die Speicherung von Informationen in Endgeräten allgemein, also auch bei nicht-personenbezogenen Daten. Art. 88a DSGVO gilt hingegen nur bei personenbezogenen Daten und Endgeräten natürlicher Personen.

Die paradoxe Folge: Nicht-personenbezogene Daten unterliegen weiterhin der ePrivacy-Richtlinie mit ihren tendenziell strengeren Anforderungen, während personenbezogene Daten künftig nach dem – etwas flexibleren – DSGVO-Regime behandelt werden. Datenschutzrechtlich ist das schwer zu rechtfertigen.

Was bedeutet das für die Praxis?

Die erhoffte Vereinfachung wird wohl ausbleiben. Stattdessen entstehen komplexe Hybridszenarien, in denen für denselben Webseitenbesuch unterschiedliche Regelungen gelten. Je nachdem, ob Daten personenbezogen sind, ob ein Endgerät einer natürlichen Person betroffen ist und ob es sich beim Anbieter um einen Mediendienst handelt, könnten bis zu sechs verschiedene Banner-Varianten, die je nach Konstellation rechtmäßig oder erforderlich sind, notwendig sein.

Für Unternehmen, die bereits ein sorgfältig aufgesetztes Consent-Management betreiben, bedeutet das zunächst: Abwarten bis zur endgültig verabschiedeten Neuregelung und dann eine sorgfältige Neubewertung des eigenen Tracking-Setups. Beratungsbedarf entsteht vor allem bei der Frage, welche Cookies und Tracking-Technologien unter welche Ausnahme des neuen Art. 88a Abs. 3 DSGVO fallen, wie das Zusammenspiel der beiden Regime für konkrete Dienste ausgestaltet werden muss und welche Anforderungen an das automatisierte Consent-Management bei Nicht-Mediendiensten gelten.

Für Medienunternehmen stellt sich zusätzlich die strategische Frage, ob die Ausnahme vom automatisierten Consent-Management ein Privileg oder – gemessen an der wachsenden Verbreitung von Browser-Signalen – ein kommerzielles Risiko ist.

Unverändert bleibt: Tracking ohne wirksame Einwilligung ist und bleibt teuer. Vier der zehn höchsten DSGVO-Bußgelder bis 2024 hatten unmittelbaren Bezug zu Tracking-Verstößen.