Die EU-Kommission verfolgt mit dem Digital-Omnibus ein ambitioniertes Reformpaket, das unter anderem die Regeln f\u00fcr Cookie-Banner und Online-Tracking grundlegend neu ordnen soll. Ziel ist erkl\u00e4rterma\u00dfen die Reduzierung von B\u00fcrokratie und \u201econsent fatigue\u201c \u2013 also der Erm\u00fcdung der Nutzer durch \u00fcberbordende Einwilligungsabfragen. Ob das gelingt, ist allerdings fraglich. Eine erste Analyse zeigt: Es wird komplizierter, nicht einfacher.<\/p>\n\n\n\n
Was ist der Digital-Omnibus?<\/strong> Eine neue Definition personenbezogener Daten<\/strong> Das neue Kernelement: Artikel 88a DSGVO<\/strong> Gegen\u00fcber dem bisherigen Recht wird dar\u00fcber hinaus die allgemeine Schwelle abgesenkt: War eine Einwilligung bisher nur bei Datenverarbeitungen, die \u201efor the sole purpose\u201c der Bereitstellung eines Online-Dienstes \u201estrictly necessary\u201c allgemein entbehrlich, soll k\u00fcnftig eine \u201enecessary\u201c Datenverarbeitung reichen. Das k\u00f6nnte eine sp\u00fcrbare, wenn auch moderate Erleichterung bedeuten.<\/p>\n\n\n\n Neue Pflichten beim Consent-Management: Artikel 88a Abs. 4 DSGVO<\/strong> Automatisiertes Consent-Management: Artikel 88b DSGVO<\/strong> F\u00fcr Mediendiensteanbieter gilt eine Ausnahme: Sie m\u00fcssen diese automatisierten Signale nicht ber\u00fccksichtigen. Die Begr\u00fcndung des Kommissionsentwurfs verweist auf die Werbefinanzierung von Medienangeboten. Das bedeutet in der Praxis f\u00fcr Mediendienste: Kein Zwang zur automatischen Consent-Verarbeitung, aber auch kein neues Privileg. Zwei Regime bleiben bestehen<\/strong> Was bedeutet das f\u00fcr die Praxis?<\/strong> F\u00fcr Unternehmen, die bereits ein sorgf\u00e4ltig aufgesetztes Consent-Management betreiben, bedeutet das zun\u00e4chst: Abwarten bis zur endg\u00fcltig verabschiedeten Neuregelung und dann eine sorgf\u00e4ltige Neubewertung des eigenen Tracking-Setups. Beratungsbedarf entsteht vor allem bei der Frage, welche Cookies und Tracking-Technologien unter welche Ausnahme des neuen Art. 88a Abs. 3 DSGVO fallen, wie das Zusammenspiel der beiden Regime f\u00fcr konkrete Dienste ausgestaltet werden muss und welche Anforderungen an das automatisierte Consent-Management bei Nicht-Mediendiensten gelten.<\/p>\n\n\n\n F\u00fcr Medienunternehmen stellt sich zus\u00e4tzlich die strategische Frage, ob die Ausnahme vom automatisierten Consent-Management ein Privileg oder \u2013 gemessen an der wachsenden Verbreitung von Browser-Signalen \u2013 ein kommerzielles Risiko ist.<\/p>\n\n\n\n Unver\u00e4ndert bleibt: Tracking ohne wirksame Einwilligung ist und bleibt teuer. Vier der zehn h\u00f6chsten DSGVO-Bu\u00dfgelder bis 2024 hatten unmittelbaren Bezug zu Tracking-Verst\u00f6\u00dfen.<\/p>\n\n\n\n (Dr. Frank Eickmeier, Head of Legal ePrivacy)<\/p>\n","protected":false},"excerpt":{"rendered":" Die EU-Kommission verfolgt mit dem Digital-Omnibus ein ambitioniertes Reformpaket, das unter anderem die Regeln f\u00fcr Cookie-Banner und Online-Tracking grundlegend neu ordnen soll.<\/p>\n
Das Omnibus-Paket ist ein \u00c4nderungsrechtsakt, der in einer Vorlage gleich mehrere bestehende EU-Regelwerke anpasst \u2013 neben der Datenschutzgrundverordnung auch den AI Act und den Data Act. F\u00fcr die Praxis im Bereich Cookies und Tracking relevant sind vor allem die neuen Artikel 88a und 88b DSGVO sowie eine Anpassung der Begriffsbestimmungen in Art. 4 DSGVO. Erwartet wird die Verabschiedung aktuell f\u00fcr Ende 2026. Die Konsultationsphase f\u00fcr Verb\u00e4nde wurde im M\u00e4rz abgeschlossen.<\/p>\n\n\n\n
Die DSGVO soll eine so genannte relationale Einschr\u00e4nkung erhalten: Informationen sind dann nicht mehr sofort f\u00fcr jedermann personenbezogen, nur weil irgendeine<\/em> Stelle die betroffene Person dar\u00fcber identifizieren k\u00f6nnte. Entscheidend ist, ob die jeweils datenverarbeitende Stelle selbst<\/em> die Person mit vern\u00fcnftigerweise einsetzbaren Mitteln identifizieren kann. Diese Klarstellung setzt vor allem die EuGH-Rechtsprechung in den Sachen Breyer, Gesamtverband Autoteile-Handel<\/em> und SRB<\/em> um und k\u00f6nnte f\u00fcr First-Party-Cookie-Szenarien praktische Entlastung bringen.<\/p>\n\n\n\n
Der neue Art. 88a DSGVO w\u00fcrde weite Teile des bisherigen Art. 5 Abs. 3 ePrivacy-Richtlinie (in Deutschland umgesetzt in \u00a7 25 TDDDG) in das DSGVO-Regime \u00fcberf\u00fchren. F\u00fcr den praktischen Betrieb von Websites und digitalen Diensten ergeben sich daraus folgende einwilligungsfreie<\/em> Tatbest\u00e4nde: <\/p>\n\n\n\n
Wenn eine Einwilligung eingeholt wird, gelten k\u00fcnftig klare Anforderungen an die Banner-Gestaltung. Die Ablehnung muss mit einem einzigen Klick m\u00f6glich sein (\u201esingle-click button or equivalent means\u201c). Liegt eine Einwilligung bereits vor, darf f\u00fcr denselben Zweck kein erneutes Consent-Banner angezeigt werden, solange die Einwilligung wirksam ist. Wurde die Einwilligung verweigert, darf f\u00fcr denselben Zweck mindestens sechs Monate lang kein neuer Consent-Request erfolgen. Praktisch bedeutet das, dass ein \u201eDo-not-track\u201c-Cookie f\u00fcr diesen Zeitraum gesetzt werden darf \u2013 und wohl auch muss.<\/p>\n\n\n\n
Betreiber werden verpflichtet, ihre Schnittstellen so zu gestalten, dass Nutzer Einwilligungen auch \u00fcber automatisierte, maschinenlesbare Signale \u2013 also etwa Browser-Einstellungen \u2013 erteilen und verweigern k\u00f6nnen. Das entspricht im Ansatz dem Global Privacy Control (GPC)-Konzept, das bisher nur von einigen Datenschutzbeh\u00f6rden akzeptiert wird.<\/p>\n\n\n\n
Auff\u00e4llig ist eine Regelungsl\u00fccke: Der automatisierte Widerruf einer bereits erteilten Einwilligung ist nicht ausdr\u00fccklich vorgesehen. Art. 7 Abs. 3 Satz 4 DSGVO verlangt aber, dass der Widerruf ebenso einfach sein muss wie die Einwilligung. Wenn Einwilligungen automatisiert erteilt werden k\u00f6nnen, m\u00fcsste konsequenterweise auch der Widerruf automatisiert m\u00f6glich sein \u2013 der Entwurf schweigt dazu.<\/p>\n\n\n\n
Das zentrale Problem des Entwurfs aus Sicht der Rechtsanwendung bleibt dabei bestehen: Die ePrivacy-Richtlinie (in Deutschland in \u00a7 25 TDDDG umgesetzt) soll offenbar weiterhin parallel zu den neuen Art. 88a\/88b DSGVO gelten. Beide Regime decken n\u00e4mlich unterschiedliche Sachverhalte ab: Art. 5 ePrivacy-RL erfasst den Zugriff auf und die Speicherung von Informationen in Endger\u00e4ten allgemein, also auch bei nicht-personenbezogenen Daten. Art. 88a DSGVO gilt hingegen nur bei personenbezogenen Daten und Endger\u00e4ten nat\u00fcrlicher Personen.
Die paradoxe Folge: Nicht-personenbezogene Daten unterliegen weiterhin der ePrivacy-Richtlinie mit ihren tendenziell strengeren Anforderungen, w\u00e4hrend personenbezogene Daten k\u00fcnftig nach dem \u2013 etwas flexibleren \u2013 DSGVO-Regime behandelt werden. Datenschutzrechtlich ist das schwer zu rechtfertigen.<\/p>\n\n\n\n
Die erhoffte Vereinfachung wird wohl ausbleiben. Stattdessen entstehen komplexe Hybridszenarien, in denen f\u00fcr denselben Webseitenbesuch unterschiedliche Regelungen gelten. Je nachdem, ob Daten personenbezogen sind, ob ein Endger\u00e4t einer nat\u00fcrlichen Person betroffen ist und ob es sich beim Anbieter um einen Mediendienst handelt, k\u00f6nnten bis zu sechs verschiedene Banner-Varianten, die je nach Konstellation rechtm\u00e4\u00dfig oder erforderlich sind, notwendig sein.<\/p>\n\n\n\n