Die EU-Kommission verfolgt mit dem Digital-Omnibus ein ambitioniertes Reformpaket, das unter anderem die Regeln für Cookie-Banner und Online-Tracking grundlegend neu ordnen soll. Ziel ist erklärtermaßen die Reduzierung von Bürokratie und „consent fatigue“ – also der Ermüdung der Nutzer durch überbordende Einwilligungsabfragen. Ob das gelingt, ist allerdings fraglich. Eine erste Analyse zeigt: Es wird komplizierter, nicht einfacher.
Was ist der Digital-Omnibus?
Das Omnibus-Paket ist ein Änderungsrechtsakt, der in einer Vorlage gleich mehrere bestehende EU-Regelwerke anpasst – neben der Datenschutzgrundverordnung auch den AI Act und den Data Act. Für die Praxis im Bereich Cookies und Tracking relevant sind vor allem die neuen Artikel 88a und 88b DSGVO sowie eine Anpassung der Begriffsbestimmungen in Art. 4 DSGVO. Erwartet wird die Verabschiedung aktuell für Ende 2026. Die Konsultationsphase für Verbände wurde im März abgeschlossen.
Eine neue Definition personenbezogener Daten
Die DSGVO soll eine so genannte relationale Einschränkung erhalten: Informationen sind dann nicht mehr sofort für jedermann personenbezogen, nur weil irgendeine Stelle die betroffene Person darüber identifizieren könnte. Entscheidend ist, ob die jeweils datenverarbeitende Stelle selbst die Person mit vernünftigerweise einsetzbaren Mitteln identifizieren kann. Diese Klarstellung setzt vor allem die EuGH-Rechtsprechung in den Sachen Breyer, Gesamtverband Autoteile-Handel und SRB um und könnte für First-Party-Cookie-Szenarien praktische Entlastung bringen.
Das neue Kernelement: Artikel 88a DSGVO
Der neue Art. 88a DSGVO würde weite Teile des bisherigen Art. 5 Abs. 3 ePrivacy-Richtlinie (in Deutschland umgesetzt in § 25 TDDDG) in das DSGVO-Regime überführen. Für den praktischen Betrieb von Websites und digitalen Diensten ergeben sich daraus folgende einwilligungsfreie Tatbestände:
- Übertragung einer elektronischen Kommunikation (unverändert).
- Bereitstellung eines vom Nutzer ausdrücklich angeforderten Dienstes – Session-Cookies, Warenkorb-Cookies, Login-Persistenz
- Erstellung aggregierter Informationen über die Nutzung eines Online-Dienstes zur eigenen Reichweitenmessung – wichtige Einschränkung: nur durch den Betreiber selbst und nur für eigene Zwecke (Drittanbieter-Tracking bleibt also einwilligungspflichtig)
- Aufrechterhaltung oder Wiederherstellung der Sicherheit des Dienstes oder des genutzten Endgeräts – Bot-Schutz, Login-Sicherheit, 2-Faktor-Authentifizierung
Gegenüber dem bisherigen Recht wird darüber hinaus die allgemeine Schwelle abgesenkt: War eine Einwilligung bisher nur bei Datenverarbeitungen, die „for the sole purpose“ der Bereitstellung eines Online-Dienstes „strictly necessary“ allgemein entbehrlich, soll künftig eine „necessary“ Datenverarbeitung reichen. Das könnte eine spürbare, wenn auch moderate Erleichterung bedeuten.
Neue Pflichten beim Consent-Management: Artikel 88a Abs. 4 DSGVO
Wenn eine Einwilligung eingeholt wird, gelten künftig klare Anforderungen an die Banner-Gestaltung. Die Ablehnung muss mit einem einzigen Klick möglich sein („single-click button or equivalent means“). Liegt eine Einwilligung bereits vor, darf für denselben Zweck kein erneutes Consent-Banner angezeigt werden, solange die Einwilligung wirksam ist. Wurde die Einwilligung verweigert, darf für denselben Zweck mindestens sechs Monate lang kein neuer Consent-Request erfolgen. Praktisch bedeutet das, dass ein „Do-not-track“-Cookie für diesen Zeitraum gesetzt werden darf – und wohl auch muss.
Automatisiertes Consent-Management: Artikel 88b DSGVO
Betreiber werden verpflichtet, ihre Schnittstellen so zu gestalten, dass Nutzer Einwilligungen auch über automatisierte, maschinenlesbare Signale – also etwa Browser-Einstellungen – erteilen und verweigern können. Das entspricht im Ansatz dem Global Privacy Control (GPC)-Konzept, das bisher nur von einigen Datenschutzbehörden akzeptiert wird.
Für Mediendiensteanbieter gilt eine Ausnahme: Sie müssen diese automatisierten Signale nicht berücksichtigen. Die Begründung des Kommissionsentwurfs verweist auf die Werbefinanzierung von Medienangeboten. Das bedeutet in der Praxis für Mediendienste: Kein Zwang zur automatischen Consent-Verarbeitung, aber auch kein neues Privileg.
Auffällig ist eine Regelungslücke: Der automatisierte Widerruf einer bereits erteilten Einwilligung ist nicht ausdrücklich vorgesehen. Art. 7 Abs. 3 Satz 4 DSGVO verlangt aber, dass der Widerruf ebenso einfach sein muss wie die Einwilligung. Wenn Einwilligungen automatisiert erteilt werden können, müsste konsequenterweise auch der Widerruf automatisiert möglich sein – der Entwurf schweigt dazu.
Zwei Regime bleiben bestehen
Das zentrale Problem des Entwurfs aus Sicht der Rechtsanwendung bleibt dabei bestehen: Die ePrivacy-Richtlinie (in Deutschland in § 25 TDDDG umgesetzt) soll offenbar weiterhin parallel zu den neuen Art. 88a/88b DSGVO gelten. Beide Regime decken nämlich unterschiedliche Sachverhalte ab: Art. 5 ePrivacy-RL erfasst den Zugriff auf und die Speicherung von Informationen in Endgeräten allgemein, also auch bei nicht-personenbezogenen Daten. Art. 88a DSGVO gilt hingegen nur bei personenbezogenen Daten und Endgeräten natürlicher Personen.
Die paradoxe Folge: Nicht-personenbezogene Daten unterliegen weiterhin der ePrivacy-Richtlinie mit ihren tendenziell strengeren Anforderungen, während personenbezogene Daten künftig nach dem – etwas flexibleren – DSGVO-Regime behandelt werden. Datenschutzrechtlich ist das schwer zu rechtfertigen.
Was bedeutet das für die Praxis?
Die erhoffte Vereinfachung wird wohl ausbleiben. Stattdessen entstehen komplexe Hybridszenarien, in denen für denselben Webseitenbesuch unterschiedliche Regelungen gelten. Je nachdem, ob Daten personenbezogen sind, ob ein Endgerät einer natürlichen Person betroffen ist und ob es sich beim Anbieter um einen Mediendienst handelt, könnten bis zu sechs verschiedene Banner-Varianten, die je nach Konstellation rechtmäßig oder erforderlich sind, notwendig sein.
Für Unternehmen, die bereits ein sorgfältig aufgesetztes Consent-Management betreiben, bedeutet das zunächst: Abwarten bis zur endgültig verabschiedeten Neuregelung und dann eine sorgfältige Neubewertung des eigenen Tracking-Setups. Beratungsbedarf entsteht vor allem bei der Frage, welche Cookies und Tracking-Technologien unter welche Ausnahme des neuen Art. 88a Abs. 3 DSGVO fallen, wie das Zusammenspiel der beiden Regime für konkrete Dienste ausgestaltet werden muss und welche Anforderungen an das automatisierte Consent-Management bei Nicht-Mediendiensten gelten.
Für Medienunternehmen stellt sich zusätzlich die strategische Frage, ob die Ausnahme vom automatisierten Consent-Management ein Privileg oder – gemessen an der wachsenden Verbreitung von Browser-Signalen – ein kommerzielles Risiko ist.
Unverändert bleibt: Tracking ohne wirksame Einwilligung ist und bleibt teuer. Vier der zehn höchsten DSGVO-Bußgelder bis 2024 hatten unmittelbaren Bezug zu Tracking-Verstößen.
(Dr. Frank Eickmeier, Head of Legal ePrivacy)