Privacy Statnive Live · Parhum Khoshbakht

Land für Land: Arbeitskarte der EU-Regeln für cookielose Webanalyse 2026

Eine Tabelle, elf Jurisdiktionen, eine ehrliche Antwort pro Zelle. Was jede EU-Aufsicht (plus UK) aktuell zur einwilligungsfreien Webanalyse sagt – mit Zitaten.

Dies ist Datenschutz-Recherche, keine Rechtsberatung. Der vollständige Haftungsausschluss steht im Footer.

TL;DR

  • Elf Jurisdiktionen, vier Vollzugs-Signalstufen, zwei Anker. Frankreich ist am betreiberfreundlichsten (Sheet-16-Ausnahme); Deutschland ist am strengsten (keine Ausnahme, nur server-seitig).
  • Für Deutschland konfigurieren; der Rest der EU komponiert sich darauf auf. Eine Konfiguration, die § 25 TDDDG überlebt, überlebt qua Konstruktion auch Frankreichs Sheet 16, die Cookie-Leitlinien der italienischen Garante von 2021, den Leitfaden der spanischen AEPD und die Position der niederländischen AP.
  • Der Vollzug 2026 verschärft sich, er lockert sich nicht – Italien Garante: 40+ Inspektionen H1 2026 mit Unterstützung der Guardia di Finanza; Niederlande AP: Monitoring von 10.000 Websites/Jahr + Neueinstufung des Online-Trackings als „Massenüberwachung”; CNIL: 475 Mio. € an dokumentierten Cookie-Sanktionen.
  • Der „OTHER-EU”-Bucket folgt standardmäßig der strengsten Grundlinie. Betreiber mit Traffic aus Mitgliedstaaten, die nicht eigens modelliert sind, deployen die Architektur in Deutschland-Schärfe und stützen sich auf das No-Article-5(3)-Trigger-Framing.
  • IR / OTHER-NON-EU ist konfigurierbar, nicht zertifiziert. Statnive beansprucht ab Werk keine Konformität mit PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA – das sind betreiberspezifische Konfigurationen, die eine Prüfung durch lokalen Rechtsbeistand erfordern.

Wie diese Karte zu lesen ist

Die EU-/UK-Position 2026 zur einwilligungsfreien Webanalyse ist keine einzelne Regel, sondern ein Flickenteppich – elf Jurisdiktionen mit elf unterschiedlichen Wegen, dieselbe zugrundeliegende ePrivacy-Richtlinie und DSGVO auszulegen. Dieser Beitrag ist die Betreiber-Referenz. Eine Zeile pro Jurisdiktion, eine Spalte pro regulatorische Ebene, eine ehrliche Antwort pro Zelle. Die Begleitbeiträge der Serie – das Säulen-Playbook, das CNIL-Sheet-16-Deep-Dive für Frankreich, das § 25 TDDDG-Deep-Dive für Deutschland, der DSAR-Endpunkt-Beitrag, der GPC- und Hybrid-Modus-Beitrag und der Digital-Omnibus-Nachrichtenwinkel – behandeln die Details, die diese Karte in eine einzelne Zeile zusammenfasst.

Vor der Tabelle eine Erinnerung an die Zwei-Ebenen-Regel. ePrivacy Art. 5 Abs. 3 regelt Speicherung und Zugriff auf Endeinrichtungen. DSGVO Art. 6 regelt die Rechtsgrundlage für jede nachfolgende Verarbeitung personenbezogener Daten. Beide Ebenen komponieren sich und ersetzen sich nicht. Per EDSA-Stellungnahme 5/2019 und bekräftigt durch die ICO-Leitlinien zu Storage and Access Technologies vom April 2026 ist ePrivacy Art. 5 Abs. 3 lex specialis gegenüber der DSGVO für jede Speicherung/jeden Zugriff auf Endeinrichtungen. Berechtigtes Interesse nach DSGVO Art. 6 Abs. 1 lit. f kann ePrivacy-Art.-5(3)-Einwilligung nicht ersetzen.

Die Position einer Jurisdiktion zur einwilligungsfreien Webanalyse ist daher das Produkt aus (a) wie dieser Mitgliedstaat ePrivacy Art. 5 Abs. 3 ins nationale Recht umgesetzt hat, (b) ob die nationale Aufsicht eine spezifische Reichweitenmessungs-Ausnahmeauslegung veröffentlicht hat und (c) der Vollzugsbilanz der Aufsicht, die signalisiert, wie streng die Position in der Praxis vertreten wird.

Die Karte

JurisdiktionNationale ePrivacy-UmsetzungReichweitenmessungs-AusnahmeBußgeld-ObergrenzeVollzugssignal
Frankreich (CNIL)Art. 82 Loi 78-17JaSheet n°16 + Selbstbewertung vom 4. Juli 2025 + Konsolidierte Cookie-Empfehlung vom 16. Januar 2026Bis zu 4 % des weltweiten Umsatzes (Art. 83 DSGVO)475 Mio. € Cookie-Sanktionen 2020-2025; am 22. Januar 2026 veröffentlichtes Bußgeld von 3,5 Mio. € (koordiniert mit 16 europäischen DPA-Counterparts); Legacy-Bewertungsprogramm zum 1. Januar 2026 eingestellt – Selbstbewertungsregime operativ
Deutschland (DSK)§ 25 TDDDGNein300.000 € nach § 28 Abs. 1 Nr. 13; DSGVO-Bußgelder parallelDSK-Orientierungshilfe November 2024 v1.2: berechtigtes Interesse ersetzt § 25 nicht
Italien (Garante)DLgs. 196/2003 Art. 122Ja – Cookie-Leitlinien vom 10. Juni 2021 (in Kraft 10. Januar 2022)Bis zu 4 % des weltweiten Umsatzes (Art. 83 DSGVO)Caffeina-Media-Entscheidung vom 9. Juni 2022 verbietet GA EU→US-Transfer; Inspektionsplan 2026: 40+ gezielte Inspektionen H1 2026 mit Unterstützung der Guardia di Finanza; Italien rangiert in der EU auf Platz 2 nach Vollzugszahl
Spanien (AEPD)LSSI Art. 22.2 + LOPD-GDDJa – Leitfaden zur Reichweitenmessung (2024)30.000 € Cookie-Bußgelder (LOPD-GDD); DSGVO-Bußgelder für personenbezogene DatenCookie-Leitfaden im Juli 2023 aktualisiert, am 11. Januar 2024 in Kraft
Niederlande (AP)Art. 11.7a TelecommunicatiewetJa„Analytische Cookies … erfordern keine Einwilligung, wenn sie ausschließlich zur Besucherzählung verwendet werden”900.000 € oder 1-10 % Umsatz (Art. 15.4 Telecom Act)Automatisiertes Scan-Monitoring der AP für 10.000 Sites/Jahr; strategische Prioritäten 2026-2028 stufen Online-Tracking als „Massenüberwachung” neu ein; 600.000 € Kruidvat-Bußgeld vom 16. Juli 2024; April 2025 Warnrunde an 50 Organisationen
Belgien (APD)Loi du 13 juin 2005Nein„Reichweitenmessungs-Cookies sind nach dem aktuellen Rechtsrahmen nicht von der Einwilligungspflicht ausgenommen”Bis zu 4 % des weltweiten Umsatzes (Art. 83 DSGVO)Entscheidung 85/2022 50.000 € gegen Roularta Media Group; APD/GBA-Strategieplan 2026-2028: Umstellung auf proaktiven Großvollzug
Irland (DPC)SI 336/2011Keine veröffentlichte AusnahmeBis zu 4 % des weltweiten Umsatzes (Art. 83 DSGVO)Guidance Note 2020 deckt sich mit EDSA-Leitlinien 5/2020
Vereinigtes Königreich (ICO)PECR 2003 (geändert durch DUAA 2025)Nein – „niedrige Vollzugspriorität” für First-Party-Webanalyse mit geringer Eingriffstiefe17,5 Mio. £ oder 4 % weltweiter UmsatzICO-Leitlinien zu Storage and Access Technologies vom 29. April 2026
Österreich (DSB)TKG 2021 § 165Keine eigenständige AusnahmeBis zu 4 % des weltweiten Umsatzes (Art. 83 DSGVO)NetDoktor-Entscheidung vom 22. Dezember 2021 (Az. 2021-0.586.257, D155.027)
OTHER-EU (übrige 19 Mitgliedstaaten)Nationale Umsetzungen von 2002/58/EGGemischt – siehe AnmerkungenMitgliedstaatsspezifischBetreiber sollte die spezifische Leitlinie der nationalen Aufsicht konsultieren
OTHER-NON-EU (inkl. IR)Nationales Recht giltKeine EU-Ausnahme anwendbarMitgliedstaatsspezifischBetreiber sollte lokalen Rechtsbeistand konsultieren

Die Karte fasst viel Detail in einzelne Zellen zusammen. Die übrigen Abschnitte dieses Beitrags zerlegen jede Zeile und erklären, was ein Betreiber, der in dieser Jurisdiktion deployt, zu tun hat.

Frankreich – die betreiberfreundlichste EU-Aufsicht

Das CNIL-Sheet n°16 mit dem Selbstbewertungs-Update vom 4. Juli 2025 und der Compliance-Frist 1. Januar 2026 ist die betreiberfreundlichste Reichweitenmessungs-Ausnahme der EU. Die Bedingungen sind kumulativ und eng: einzelner Site-Scope, maximal drei Ereignisarten (Seitenpräsenz, Feature-Interaktion, Timing), IPv4-Letzte-Oktett-Kürzung, User-Agent auf Major-Versionen reduziert, hostbeschränkter Referrer, kein Session-Replay, kein domainübergreifender Identifier, 13-monatige Tracker-Lebensdauer, 25-monatige Datenaufbewahrung, Aggregation auf nächste 10.

Die CNIL-Vollzugsbilanz ist schwer beim Cookie-Einwilligungs-UX. 100 Mio. € gegen Google (Dezember 2020), 150 Mio. € gegen Google + 60 Mio. € gegen Facebook (Januar 2022), 325 Mio. € gegen Google + 150 Mio. € gegen Shein (1. September 2025). Alles wegen Versagen beim Einwilligungs-Banner-UX, nicht wegen Ad-Tech-Downstream.

Das Legacy-Bewertungsprogramm – der Vor-2026-Pfad, in dem die CNIL spezifische Webanalyse-Tools bewertete und listete – wird zum 1. Januar 2026 eingestellt. Der Ersatz ist die Betreiber-Selbstbewertung: Der Anbieter veröffentlicht eine datierte Attestierung mit dem von der CNIL empfohlenen Wortlaut, und der Betreiber, der das Tool deployt, dokumentiert seine eigene Konfiguration gegen die Sheet-16-Bedingungen.

Den vollständigen Sheet-16-Walk-Through und die qualifizierende Statnive-Live-Konfiguration finden Sie im CNIL-Deep-Dive.

Deutschland – der bindende Constraint

§ 25 TDDDG schließt berechtigtes Interesse als Grundlage für Speicherung oder Zugriff auf Endeinrichtungen aus. Die Orientierungshilfe der Datenschutzkonferenz vom 20. November 2024 (Version 1.2) ist eindeutig: Eine LIA nach Art. 6 Abs. 1 lit. f DSGVO deckt die DSGVO-Verarbeitungsebene ab, schaltet aber keine § 25-Ausnahme frei. Strafen bis zu 300.000 € pro Verstoß nach § 28 Abs. 1 Nr. 13; DSGVO-Bußgelder nach Art. 83 parallel.

Die einzige einwilligungsfreie Architektur in Deutschland ist eine, in der keine Speicherung oder kein Zugriff auf Endeinrichtungen erfolgt – reine server-seitige Verarbeitung der HTTP-Request-Daten, die der Browser ohnehin standardmäßig sendet. Eine dokumentierte LIA muss für die DSGVO-Verarbeitungsebene darüber dennoch existieren.

Die vollständige TDDDG-Analyse, den verbatim § 25-Text, den deutschsprachigen Datenschutzerklärungs-Block und den Statnive-Live-Hard-Rule-Validator, der permissive DE-Deployments verhindert, finden Sie im TDDDG-Deep-Dive.

Italien – Cookie-Leitlinien der Garante von 2021

Die Cookie-Leitlinien der italienischen Garante vom 10. Juni 2021 (in Kraft 10. Januar 2022) erkennen eine Webanalyse-Cookie-Ausnahme an, wenn vier Bedingungen kumulativ erfüllt sind:

  1. Eine direkte Identifizierung des Besuchers ist unmöglich.
  2. Das Cookie ist so strukturiert, dass dasselbe Cookie auf mehrere Geräte bezogen werden kann (erreicht durch Maskieren mindestens des letzten Oktetts von IPv4 oder analoge IPv6-Kürzung).
  3. Die Cookies werden ausschließlich für aggregierte Einzel-Site-Statistiken verwendet.
  4. Keine Kombination mit anderen Daten und keine Übermittlung an Dritte.

Die Entscheidung Nr. 224 der Garante vom 9. Juni 2022 gegen Caffeina Media verbot die Nutzung von Google Analytics wegen unrechtmäßigem US-Transfer. Die Garante stellte fest, dass Googles IP-Anonymisierungs-Feature Pseudonymisierung, keine Anonymisierung sei – ein Befund mit Implikationen weit über Google Analytics hinaus für jeden Betreiber, der sich auf gehashte IPs stützt.

Die Garante ist explizit, dass berechtigtes Interesse keine gültige Grundlage für Cookies und Tracking-Mechanismen ist – eine strengere Position als die der CNIL. Italienische Betreiber haben einen schmaleren Pfad: Die Cookie-Ausnahme existiert, aber Art. 6 Abs. 1 lit. f kann nicht herangezogen werden, um die Cookie-Einwilligungsregel zu umgehen, wenn die Regel gilt.

Ein Statnive-Live-consent-free-Deployment mit IT-Jurisdiktion erfüllt die vier Garante-Bedingungen qua Konstruktion. Die cookielose Architektur umgeht die Cookie-versus-kein-Cookie-Analyse vollständig; die täglich rotierende BLAKE3-HMAC-Signatur ist der multi-device-kompatible Identifier, den Garante-Bedingung (2) verlangt.

Spanien – AEPD-Leitfaden zur Reichweitenmessung

Der AEPD-Leitfaden zur Cookie-Nutzung wurde im Juli 2023 aktualisiert und ab 11. Januar 2024 vollzogen. Der Folgeleitfaden 2024 zu Reichweitenmessungs-Cookies deckt sich eng mit dem CNIL-Sheet-16-Ansatz: Einzel-Site, anonyme Aggregat-Statistiken, kein Cross-Referencing, Aufbewahrung ≤ 25 Monate, Tracker-Lebensdauer innerhalb 13 Monaten, Nutzerinformation verpflichtend.

LSSI Art. 22.2 ist die zugrundeliegende Vorschrift. Maximale Bußgelder für Cookie-Verstöße nach LOPD-GDD erreichen 30.000 € – niedriger als die DSGVO-Art.-83-Obergrenze, aber parallel dazu auf die Verarbeitungsebene personenbezogener Daten angewandt.

Die Konfiguration des spanischen Betreibers ist im Wesentlichen die Konfiguration des französischen Betreibers mit lokalisierter Offenlegungssprache. Ein Statnive-Live-Deployment im consent-free-Modus mit ES-Jurisdiktion erfüllt den AEPD-Leitfaden qua Konstruktion.

Niederlande – analytische Cookies erfordern keine Einwilligung

Die niederländische Autoriteit Persoonsgegevens ist explizit: „Analytische Cookies, die Einblick in das Funktionieren einer Website geben, erfordern keine Einwilligung, wenn sie ausschließlich zur Besucherzählung verwendet werden.” Rechtsgrundlage: Art. 11.7a der Telecommunicatiewet.

Das Vollzugssignal der AP ist scharf. Das Bußgeld von 600.000 € gegen AS Watson (Health & Beauty Continental Europe) B.V., Muttergesellschaft von Kruidvat, am 16. Juli 2024 war für Tracking-Cookies, die ohne Einwilligung gesetzt wurden, einschließlich vorangekreuzter Einwilligungs-Checkboxen. Maximale Bußgelder nach Art. 15.4 Telecom Act erreichen 900.000 € oder 1-10 % des Umsatzes. Die AP hat ein automatisiertes Scan-System aufgebaut, das strukturell 10.000 niederländische Websites pro Jahr auf Cookie-Compliance überwacht – eine Skalierung 20× größer als die vorherige 500-Site-Zusage. Die niederländische Regierung hat 500.000 € pro Jahr für Cookie-Vollzug speziell zugewiesen, mit einer dauerhaften Erhöhung um 350.000 €/Jahr ab 2027. Im April 2025 hat die AP 50 Organisationen (Online-Händler, Medienunternehmen, Versicherer) zu irreführenden Cookie-Bannern verwarnt; bis Ende 2025 hatten drei Viertel der 200+ verwarnten Websites angepasst. Die strategischen Prioritäten 2026-2028 der AP stufen Online-Tracking als „Massenüberwachung” neu ein – eine wesentliche Positionsverschiebung, die fortgesetzte Vollzugsintensivierung signalisiert.

Die Niederlande sitzen mit Frankreich, Italien und Spanien im betreiberfreundlichen Cluster bezüglich der Reichweitenmessungs-Ausnahme selbst, aber der Vollzugsappetit der AP – besonders gegen vorangekreuzte Boxen und gegen Tracking-Cookies ohne Ausnahme-Analyse – gehört zu den höchsten in der EU. Ein consent-free-Deployment mit NL-Jurisdiktion ist die sichere Standardwahl; ein consent-required-Deployment muss eine Reject-UX haben, die genauso einfach ist wie Accept.

Belgien – keine Ausnahme anerkannt

Die konsolidierte Cookie-Leitlinie der belgischen APD/GBA vom April 2020 und die Cookies-Checkliste vom 20. Oktober 2023 erkennen keine Ausnahme für Webanalyse-Cookies an: „Reichweitenmessungs-Cookies sind nach dem aktuellen Rechtsrahmen nicht von der Einwilligungspflicht ausgenommen.”

Vollzugsbilanz: APD-Entscheidung 85/2022 belegte Roularta Media Group mit 50.000 € für das Setzen statistischer Cookies ohne Einwilligung. Eine Entscheidung von 2019 belegte eine Rechtsnachrichten-Website mit 15.000 €. Beides sind kleinere absolute Zahlen als die CNIL-Bilanz, signalisieren aber, dass die APD die Cookie-Ebene auditiert und gezielte Bußgelder verhängt.

Der consent-free-Pfad des belgischen Betreibers ist die rein server-seitige Architektur – gleiche Grundlinie wie Deutschland. Die Konfiguration, die in DE überlebt, überlebt in BE; eine auf Sheet 16 abgestimmte Reichweitenmessungs-Ausnahme-Konfiguration nicht.

Irland – keine veröffentlichte Ausnahme

Die Guidance Note 2020 der irischen Data Protection Commission zu Cookies und anderen Tracking-Technologien verlangt Opt-in-Einwilligung für nicht-essenzielle Cookies und deckt sich mit den EDSA-Leitlinien 5/2020. Es gibt keine veröffentlichte Reichweitenmessungs-Ausnahme äquivalent zum CNIL-Sheet 16 oder zur Position der niederländischen AP.

Der irische Vollzug wird dominiert von der Rolle der DPC als grenzübergreifend führende Aufsichtsbehörde für große internationale Verantwortliche mit Sitz in Irland (Meta, Google, TikTok). Für inländische irische Betreiber ist das cookie-spezifische Vollzugssignal leiser als CNIL, AP oder Garante. Die robuste Position bleibt die server-seitige-only-Grundlinie – das Fehlen einer anerkannten Ausnahme bedeutet, dass die Beweislast für jeden „consent-free”-Anspruch auf die eigene LIA des Betreibers und das Fehlen von Endeinrichtungs-Speicherung/-Zugriff fällt.

Vereinigtes Königreich – „niedrige Vollzugspriorität” ist keine Rechtsausnahme

Das UK Information Commissioner’s Office finalisierte seine Leitlinien zur Nutzung von Storage and Access Technologies am 29. April 2026 nach zwei Konsultationen und dem Data (Use and Access) Act 2025. PECR (Privacy and Electronic Communications Regulations 2003) in der durch DUAA 2025 geänderten Fassung ist die zugrundeliegende Vorschrift.

Verbatim-ICO-Position: „Analytics-Cookies fallen nicht unter die ‚strictly necessary’-Ausnahme. Das heißt, Sie müssen Personen über Analytics-Cookies informieren und Einwilligung für deren Nutzung einholen.”

Die ICO räumt ein, dass „die ICO formelles Vorgehen in keinem Bereich ausschließen kann, dies aber möglicherweise nicht immer der Fall ist, wenn das Setzen eines First-Party-Analytics-Cookies in geringer Eingriffstiefe und geringem Schadensrisiko für Einzelpersonen resultiert” – eine niedrige Vollzugspriorität für First-Party-Analyse geringer Eingriffstiefe. Das ist keine Rechtsausnahme; es ist eine erklärte Vollzugs-Depriorisierung. UK-Betreiber sollten dennoch Einwilligung implementieren oder auf eine streng-essenzielle Konfiguration migrieren, wenn sie Null-Banner möchten.

Das DUAA 2025 fügte enge Ausnahmen hinzu (Sicherheits-Cookies, Altersverifikation), schuf aber keine Analytics-Ausnahme. Die Compliance-Überprüfung der Top 1.000 UK-Websites durch die ICO im Januar 2025 – und die daraus resultierenden Mitteilungen an 134 Organisationen mit klaren regulatorischen Erwartungen – bestätigt, dass die ICO die Ebene auditiert, auch wo formeller Vollzug selten ist.

Ein consent-free-Deployment mit UK-Jurisdiktion stützt sich auf die rein server-seitige Architektur (kein PECR-Trigger, weil keine Speicherung/kein Zugriff auf Endeinrichtungen) plus eine DSGVO-Art.-6-Abs.-1-lit.-f-LIA. Der Betreiber erhält den ICO-Niedrigvollzugs-Prioritätsvorteil, aber nicht die Rechtssicherheit, die eine anerkannte Ausnahme bieten würde.

Österreich – NetDoktor und die Schrems-II-Linie

Die NetDoktor-Entscheidung der österreichischen Datenschutzbehörde vom 22. Dezember 2021 (Az. 2021-0.586.257, D155.027) war die erste NOYB-koordinierte Entscheidung, die feststellte, dass die Nutzung von Google Analytics durch einen Betreiber gegen Kapitel V DSGVO verstößt, weil IP-Adressen, eindeutige Identifier und Browser-Parameter ohne adäquate Garantien an Google in den USA übermittelt wurden. SCCs und Googles ergänzende Maßnahmen (einschließlich IP-Anonymisierung) wurden als unzureichend gewertet, weil Google nach 50 USC § 1881(b)(4) (FISA 702) als Anbieter elektronischer Kommunikationsdienste qualifiziert.

Kein Bußgeld wurde verhängt (österreichische verfahrensrechtliche Trennung zwischen Feststellung und etwaigem nachfolgendem Bußgeld), aber die Entscheidung setzte den Präzedenzfall, den nachfolgende CNIL- (10. Februar 2022) und Garante- (9. Juni 2022 Caffeina Media) Entscheidungen ausweiteten.

Österreich hat keine eigenständige Reichweitenmessungs-Ausnahme äquivalent zum CNIL-Sheet 16. Der einwilligungsfreie Pfad des österreichischen Betreibers ist die rein server-seitige Architektur plus dokumentierte LIA – im Wesentlichen dieselbe Haltung wie der Pfad des deutschen oder belgischen Betreibers.

Der „OTHER-EU”-Bucket – die 19 übrigen Mitgliedstaaten

Die übrigen 19 EU-Mitgliedstaaten haben nationale Umsetzungen von ePrivacy Art. 5 Abs. 3, aber in den meisten Fällen keine veröffentlichte Reichweitenmessungs-Ausnahme äquivalent zum CNIL-Sheet-16-Rahmen. Der Jurisdiktionswert OTHER-EU von Statnive Live ist der Betreiber-Selektor für Sites, deren primärer Traffic aus EU-Mitgliedstaaten kommt, die im 11-Jurisdiktions-Enum nicht spezifisch modelliert sind.

Die robuste Standardwahl für OTHER-EU-Deployments ist der consent-free-Modus mit rein server-seitiger Architektur und einer dokumentierten Art.-6-Abs.-1-lit.-f-LIA. Die Konfiguration überlebt in allen 27 Mitgliedstaaten, weil sie die strengste aktuelle Zelle (Deutschlands § 25 TDDDG) erfüllt; sie hängt nicht davon ab, dass eine spezifische nationale Ausnahme anerkannt wird.

Betreiber mit erheblichem Traffic aus einer bestimmten EU-Jurisdiktion, die nicht in der benannten Liste steht, sollten die spezifische Leitlinie der nationalen Aufsicht konsultieren und mit lokalem Rechtsbeistand abstimmen. Die Karte kollabiert diese 19 Jurisdiktionen genau deshalb in eine einzelne Zelle, weil die Compliance-Last des Betreibers durch die strengste Zelle begrenzt ist – und diese strengste Zelle ist bereits durch das Verhalten der DE-Jurisdiktion modelliert.

Der „OTHER-NON-EU”-Bucket – einschließlich Iran (IR)

Statnive Live exponiert IR und OTHER-NON-EU als Jurisdiktionswerte, weil das Binary von Betreibern mit Nicht-EU-Deployments betrieben wird und weil die einwilligungsfreie Architektur nützlich – und häufig rechtlich kompatibel – ist, unabhängig von der Jurisdiktion. Die EU-Reichweitenmessungs-Ausnahmen gelten außerhalb der EU/des EWR nicht. Ein consent-free-Deployment in einer Nicht-EU-Jurisdiktion ist aus Sicht einer datenschutzfreundlichen Architektur konfigurierbar, aber nicht rechtlich von EU-Recht befreit, weil EU-Recht nicht gilt.

Die iranische (IR)-Zelle speziell: Statnive Live betreibt einen dedizierten iranischen Rechenzentrums-Deployment-Pfad, der Air-Gap-Anforderungen, keine Cloudflare-Abhängigkeit, kein ACME aus dem Iran, nur iranisches NTP, vendorierte Abhängigkeiten, Offline-Ed25519-Lizenzierung und das .ir / .ایران IDN-Bundle abdeckt. Die Architektur ist, was sie ist – aber der rechtliche Rahmen ist iranisches Recht, nicht EU-Recht. Betreiber, die iranischen Traffic bedienen, sollten lokalen Rechtsbeistand für die anwendbaren Regeln konsultieren.

Der OTHER-NON-EU-Bucket deckt alles andere ab: US-Sites unter CCPA / Staatsgesetzen, kanadische Sites unter PIPEDA, australische Sites unter Privacy Act, brasilianische Sites unter LGPD, indische Sites unter DPDP, chinesische Sites unter PIPL, und so weiter. Statnive Live beansprucht keine Konformität mit PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA ab Werk – das sind betreiberspezifische Konfigurationen, die eine Prüfung durch lokalen Rechtsbeistand erfordern. Die standardmäßige einwilligungsfreie Architektur ist konfigurierbar, um unter vielen dieser Regime-Äquivalenten zu qualifizieren (die meisten Jurisdiktionen erkennen First-Party-server-seitige Reichweitenmessung als risikoarm an), aber die Marketing-Position ist „konfigurierbar, nicht zertifiziert” – nicht „konform” oder „zertifiziert”.

Wie der 11-Jurisdiktions-Enum von Statnive Live auf diese Karte abbildet

Das Site-Policy-Panel exponiert elf Werte:

  • DE – Hard-Rule-Validator verbietet permissive; standardmäßig consent-free mit respect_gpc = true.
  • FR – standardmäßig consent-free; Sheet-16-Attestierungssprache exponiert unter /legal/privacy-policy/en und /legal/privacy-policy/fr (Letzteres, wenn der FR-Locale-Mirror verdrahtet ist).
  • IT, ES, NL – standardmäßig consent-free; deckt sich mit den jeweiligen nationalen Ausnahmen.
  • BE, IE, AT – standardmäßig consent-free mit rein server-seitiger Architektur; keine nationale Ausnahme anerkannt, daher stützt sich der Betreiber auf das No-Article-5(3)-Trigger-Framing plus Art.-6-Abs.-1-lit.-f-LIA.
  • UK – standardmäßig consent-free mit rein server-seitiger Architektur; ICO-Niedrigvollzugs-Priorität befreit rechtlich nicht, aber die Architektur überlebt PECR, indem Endeinrichtungs-Speicherung/-Zugriff vermieden wird.
  • OTHER-EU – standardmäßig consent-free; gleiche Haltung wie BE / IE / AT.
  • IR – iranischer Rechenzentrums-Deployment-Pfad; standardmäßig permissive, weil EU-Einwilligungsregeln nicht gelten (Validator erlaubt es für diese Jurisdiktion).
  • OTHER-NON-EU – standardmäßig permissive; Betreiber ist verantwortlich für die Prüfung durch lokalen Rechtsbeistand.

Der Hard-Rule-Validator läuft beim Policy-Speichern und beim Policy-Laden bei jeder Ingest-Anfrage. Die für jede Jurisdiktion gültigen Kombinationen werden vom Validator durchgesetzt, nicht durch Betreiber-Konvention. Betreiber, die versuchen, eine DE-Site auf permissive-Modus zu setzen, erhalten den expliziten Fehler, und die Anfrage wird abgelehnt.

Wo sich die Karte ändern wird

Eine kurze Watchlist für Betreiber, die die Datei verfolgen:

  1. Digital-Omnibus Art. 88a Abs. 3 lit. c – falls intakt verabschiedet, harmonisiert die Reichweitenmessungs-Ausnahme über alle 27 Mitgliedstaaten. Status Mitte Mai 2026: Kommissionsvorschlag, keine Parlamentsplenarabstimmung. Siehe den Digital-Omnibus-Beitrag für den legislativen Status.
  2. Italienische Garante – könnte aktualisierte Leitlinien nach Digital-Omnibus veröffentlichen. Auf Updates zu den Cookie-Leitlinien 2021 achten.
  3. UK ICO – DUAA-2025-Umsetzung läuft. Auf Verengung oder Erweiterung der „niedrigen Vollzugspriorität”-Position achten.
  4. EuGH-Latombe-Berufung – fechtet das EU-US Data Privacy Framework an. Falls das DPF fällt, verschärft sich die Schrems-II-Linie weiter; die EU-only-Architektur von Statnive Live ist die defensive Antwort.
  5. EinwV-Anerkennung (Deutschland) – der Anerkennungspfad der Einwilligungsverwaltungsverordnung könnte sich auf anerkannte PIMS ausweiten, die das Einwilligungs-UX für consent-required-Deployments vereinfachen.
  6. Inspektionsberichte nationaler DPAs – die 1.000-Site-Razzia der Hamburger DPA, das 500-Site-Monitoring der AP, das CNIL-Audit-Programm – alle veröffentlichen periodisch und können das Vollzugs-Prioritätssignal pro Jurisdiktion verschieben.

Diese Karte trägt ein updatedDate-Feld – verweisen Sie auf diesen Zeitstempel für die Version der Karte, die Sie lesen. Wir veröffentlichen bei wesentlichen Änderungen jeder Zelle neu.

Was das dem Betreiber gibt

Das praktische Betreiber-Ergebnis aus der Konsultation dieser Karte:

  • Eine einseitige Referenz für die 11 Jurisdiktionen, die der Enum von Statnive Live modelliert, mit der zugrundeliegenden nationalen Umsetzung, der Reichweitenmessungs-Ausnahme-Position, der Bußgeld-Obergrenze und dem Vollzugssignal in je einer Zeile.
  • Ein Konfigurations-Entscheidungsbaum. Für Deutschland konfigurieren; die Konfiguration überlebt den Rest der EU. Für die primäre Jurisdiktion des Betreibers konfigurieren; diese Entscheidung und die sie stützende LIA dokumentieren.
  • Eine Vor-Deployment-Checkliste. Für jede Jurisdiktion, in der der Betreiber Traffic hat: Welche nationale-Aufsichts-Ausnahme gilt (falls überhaupt), wie die Offenlegungssprache aussehen muss, wo die Konfiguration durchgesetzt wird (der Hard-Rule-Validator von Statnive Live erledigt den Großteil der Arbeit).
  • Ein Vorwärtskompatibilitäts-Rahmen. Wenn der Digital-Omnibus durch das Parlament geht, kann der Betreiber diese Karte neben dem legislativen Status neu lesen und die Konfiguration aktualisieren, sobald die Ausnahme geklärt ist.

Was es nicht gibt: Rechtsberatung für ein spezifisches Deployment. Die Karte ist der Ausgangspunkt des Betreibers; die LIA, die Datenschutzerklärung, die AVV-Prüfung und die jurisdiktionsspezifische Rechtsbeistand-Konsultation sind die Vollendungsarbeit des Betreibers.

Tun und lassen

TunLassen
Für die strengste Zelle mit Traffic konfigurieren – typischerweise Deutschland – und den Rest der EU darauf aufbauen lassen.27 separate Pro-Mitgliedstaat-Konfigurationen betreiben. Die strenge Grundlinie subsumiert den Rest qua Konstruktion.
Eine Interessenabwägung nach EDSA-Leitlinien 1/2024 dokumentieren, die die DSGVO-Art.-6-Abs.-1-lit.-f-Grundlage abdeckt.Sich auf berechtigtes Interesse als Ersatz für § 25-TDDDG-Einwilligung in Deutschland stützen – die DSK hat diesen Weg explizit geschlossen.
Aufbewahrung auf die CNIL-25-Monats-Obergrenze begrenzen, auch außerhalb Frankreichs – sie erfüllt jede andere Mitgliedstaats-Obergrenze qua Komposition.Offene Aufbewahrung betreiben. Art. 5 Abs. 1 lit. e DSGVO Datenminimierung + EDSA-Fokus 2026 Transparenz gelten beide über alle Zellen.
Für Niederlande-Betreiber: Das automatisierte AP-Scan-System erreicht nun 10.000 Sites/Jahr. Das Banner-UX richtig hinkriegen.Die niederländische AP-Position als weiches Signal behandeln. Die Warnrunde vom April 2025 + die „Massenüberwachung”-Neueinstufung 2026-2028 bedeuten, dass der Vollzug eskaliert.
Im OTHER-NON-EU-Bucket: Die jurisdiktionsspezifische Haltung explizit darlegen; lokalen Rechtsbeistand konsultieren; „konfigurierbar, nicht zertifiziert” kennzeichnen.Konformität mit PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA ab Werk beanspruchen. Statnive tut das nicht, und die Marketing-Position muss das widerspiegeln.

Fazit

Die EU-Karte 2026 zur einwilligungsfreien Webanalyse ist ein Flickenteppich – elf Zellen, modelliert vom Jurisdiktions-Enum von Statnive Live, mit sieben verschiedenen regulatorischen Positionen und vier Vollzugssignalstufen. Frankreich ist am betreiberfreundlichsten. Deutschland ist am strengsten und der bindende Constraint für jedes paneuropäische Deployment. Die übrigen EU/EWR-Zellen fallen zwischen diese beiden Anker mit nationalen-aufsichtsspezifischen Deltas.

Die Konfiguration, die Deutschland erfüllt, erfüllt den Rest der EU qua Komposition. Die Konfiguration, die Frankreichs Sheet 16 sauber erfüllt, deckt Frankreich, Italien, Spanien und die Niederlande ab, braucht aber weiterhin die Architektur in Deutschland-Schärfe für deutschen Traffic. Das robuste Deployment ist die strengste Grundlinie mit jurisdiktionsspezifischen Lokalisierungen obenauf – genau das, was der 11-Jurisdiktions-Enum + 4-Einwilligungsmodus-Matrix von Statnive Live exponiert.

Für den breiteren Rahmen ist das Säulen-Playbook die kanonische Referenz. Für die länderspezifischen Deep-Dives gehen die CNIL-Sheet-16- und § 25 TDDDG-Beiträge Frankreich und Deutschland durch. Für die Tag-1-Workflows des Betreibers – DSAR-Endpunkte, GPC und Hybrid-Modus – decken die verlinkten Beiträge die technische Oberfläche ab. Für den legislativen Nachrichtenwinkel verfolgt der Digital-Omnibus-Beitrag die Datei durchs Parlament.

Wenn etwas in dieser Karte falsch ist, sind die obigen Zitate die URLs, gegen die zu prüfen ist. Wir aktualisieren die Karte bei wesentlicher Änderung jeder Zelle – das updatedDate oben spiegelt die Version, die Sie lesen.

Dies ist Datenschutz-Recherche, keine Rechtsberatung. Die Karte kollabiert kumulative Bedingungstests in einzelne Zellen. Jeder Statnive-Kunde bleibt Verantwortlicher und trägt die Verantwortung für seine eigene Konfiguration und jurisdiktionsspezifische Analyse. Die IR- und OTHER-NON-EU-Zellen sind konfigurierbar, nicht zertifiziert – Statnive beansprucht keine Konformität mit PIPL / LGPD / PDPA / DPDP / PIPEDA / CCPA. Vor Veröffentlichung mit qualifiziertem Rechtsbeistand in jeder Jurisdiktion abgleichen.

Status der regulatorischen Verweise zum Stand 13. Mai 2026: CNIL Sheet n°16 + Update vom 4. Juli 2025 + Konsolidierte Cookie-Empfehlung vom 16. Januar 2026 + Tracking-Pixel-Empfehlung vom 14. April 2026; Legacy-Bewertungsprogramm zum 1. Januar 2026 eingestellt; am 22. Januar 2026 veröffentlichtes Bußgeld von 3,5 Mio. € (FR); § 25 TDDDG + DSK-Orientierungshilfe v1.2 vom 20. November 2024 (Stand Mai 2026 weiterhin operativ); fortgesetzte 2024-2026-Vollzugsmaßnahmen von BayLDA / NRW / Berlin / Hamburg (DE); Garante-Cookie-Leitlinien vom 10. Juni 2021 in Kraft 10. Januar 2022 + Entscheidung Nr. 224 vom 9. Juni 2022 + Inspektionsplan 2026 (40+ gezielte Inspektionen H1 2026, Guardia di Finanza) (IT); AEPD-Cookie-Leitfaden (Juli 2023, in Kraft 11. Januar 2024) + AEPD-Reichweitenmessungs-Leitfaden (2024) (ES); Autoriteit Persoonsgegevens Cookies-Position + Art. 11.7a Telecommunicatiewet + 600.000 € Kruidvat-Bußgeld vom 16. Juli 2024 + AP 10.000-Sites/Jahr-Monitoring + 2026-2028 ‚Massenüberwachung’-Positionierung + April 2025 Warnrunde an 50 Organisationen (NL); APD-Cookie-Leitlinie vom April 2020 + Entscheidung 85/2022 + APD/GBA-Strategieplan 2026-2028 (BE); DPC-Guidance-Note (2020) (IE); ICO-Leitlinien zur Nutzung von Storage and Access Technologies vom 29. April 2026 + DUAA 2025 (UK); DSB-NetDoktor-Entscheidung vom 22. Dezember 2021 (AT). CCPA § 7025(c)(6) wirksam 1. Januar 2026 – sichtbare GPC-Honoriert-Anzeige erforderlich (querschnittlich für OTHER-NON-EU-Zelle). Digital-Omnibus COM(2025) 837 final – Kommissionsvorschlag vom 19. November 2025, keine Plenarabstimmung des Europäischen Parlaments über COM(2025) 837 zum Stand 13. Mai 2026. EDSA-EDPS-Gemeinsame Stellungnahme 2/2026 vom 11. Februar 2026; EDSA-Leitlinien 2/2023 v2.0 vom 7. Oktober 2024; EDSA-Leitlinien 1/2024 vom 8. Oktober 2024; Entwurf der EDSA-Leitlinien 01/2025 zur Pseudonymisierung (Sprint-Team strebt Fertigstellung Sommer 2026 an); EDSA-Stellungnahme 5/2019. EDSA-Fokus 2026 für den koordinierten Vollzugsrahmen: Transparenz + Informationspflichten (querschnittlich).

Statnive kostenlos herunterladen