Der Digital Omnibus reformiert zwar die EU-Cookie-Regeln, dürfte aber kaum gegen die Banner-Flut helfen

Hintergrund und Anwendungsbereich

Der im November 2025 von der Europäischen Kommission veröffentlichte Entwurf für den Digital Omnibus ist ein umfassendes Gesetzespaket, mit dem Elemente des digitalen Besitzstands der EU („EU digital acquis“) vereinfacht werden sollen, darunter die Datenschutz-Grundverordnung (DSGVO), die Datenschutzrichtlinie für elektronische Kommunikation („ePrivacy-Richtlinie“), der Data Act sowie die KI-Regulierung. Unter anderem betreffen die geplanten Regelungen auch Cookies, Online-Tracking und die Art und Weise, wie Einwilligungen auf Websites eingeholt und verwaltet werden. Die folgende Analyse konzentriert sich auf diese Cookie- und trackingbezogenen Aspekte des Entwurfs.

Hinsichtlich der Cookie-Banner stellt die Kommission fest, dass Einwilligungsmüdigkeit und die Zunahme von Cookie-Bannern („consent fatigue and proliferation of cookies banners“) zu einem Problem geworden sind, dessen regulatorische Lösung längst überfällig („long-overdue“) sei (vgl. erläuternde Begründung, Seite 6). Für einen im Wesentlichen auf Unionsrecht beruhenden Rechtsrahmen ist dies eine bemerkenswerte Form der Selbstbeschreibung. Immerhin legt die Kommission mit dem Entwurf ein Maßnahmenpaket vor, das die Regeln für Cookies und Einwilligungsbanner harmonisieren und in der Praxis besser handhabbar machen soll.

Rekalibrierung von ePrivacy und DSGVO

Zentrales Element ist die Rekalibrierung des Verhältnisses zwischen der ePrivacy-Richtlinie und der DSGVO. Künftig soll die ePrivacy-Richtlinie nicht mehr die Verarbeitung personenbezogener Daten natürlicher Personen regeln; in diesen Fällen soll allein die DSGVO anwendbar sein. In der Folge wird die rechtliche Behandlung von Cookies grundsätzlich vollständig in das Datenschutzrecht verlagert. Zu diesem Zweck fügt die Omnibus-Verordnung in Artikel 5 Absatz 3 der ePrivacy-Richtlinie einen weiteren Unterabsatz ein, der diese Abgrenzung ausdrücklich klarstellt.

Darüber hinaus sieht der Entwurf die Aufhebung von Artikel 4 der ePrivacy-Richtlinie vor; wie Erwägungsgrund 48 erläutert, sollen Verpflichtungen zu Cybersicherheit und zur Meldung von Verletzungen des Schutzes personenbezogener Daten für Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste künftig kohärent durch die DSGVO und die NIS2-Regelungen erfasst werden.

Neuer Artikel 88a DSGVO: Cookies und Endgeräte

Parallel dazu wird die DSGVO um einen neuen Artikel 88a ergänzt, der die Speicherung von Informationen auf Endgeräten (einschließlich Cookies) regelt, die bislang von der ePrivacy-Richtlinie erfasst wurde. Ein begleitender Artikel 88b legt Anforderungen an die technische Umsetzung von Einwilligung, Ablehnung und Widerspruch mittels automatisierter und maschinenlesbarer Verfahren fest. Nach dem neuen Artikel 88a ist die Speicherung personenbezogener Daten auf dem Endgerät einer natürlichen Person oder der Zugriff auf solche Daten ohne Einwilligung – sowie die anschließende Verarbeitung – zulässig, soweit dies für einen der folgenden Zwecke erforderlich ist:

• Durchführung der Übertragung einer elektronischen Kommunikation über ein elektronisches Kommunikationsnetz („carrying out the transmission of an electronic communication over an electronic communications network“, Artikel 88a Absatz 3 Buchstabe a);
• Erbringung eines von der betroffenen Person ausdrücklich gewünschten Dienstes („providing a service explicitly requested by the data subject“, Artikel 88a Absatz 3 Buchstabe b); oder
• Erstellung aggregierter Informationen über die Nutzung eines Online-Dienstes zur Reichweitenmessung dieses Dienstes, sofern dies vom Verantwortlichen dieses Online-Dienstes ausschließlich für dessen eigenen Dienst und für dessen eigenen Gebrauch erfolgt („creating aggregated information about the usage of an online service to measure the audience of such a service, where this is carried out by the controller of that online service solely for its own use“, Artikel 88a Absatz 3 Buchstabe c).
  Die letztgenannte Ausnahme ist sehr eng gefasst: Sie umfasst nur aggregierte Nutzungsstatistiken, die der Anbieter für seinen eigenen Online-Dienst und zu seinem eigenen Gebrauch erstellt. Demgegenüber arbeiten gängige Tracking- und Analysewerkzeuge typischerweise dienst-, kunden- und plattformübergreifend. In der Regel werden sie daher voraussichtlich nicht unter diese Ausnahme fallen.
• Der Wortlaut des Artikel 88a Absatz 3 Buchstabe d – „maintaining or restoring the security of a service provided by the controller and requested by the data subject or the terminal equipment used for the provision of such service“ – ist in der derzeitigen Fassung nur schwer verständlich. Weder ist klar, ob der Absatz die Sicherheit des Endgeräts regelt oder die Anfrage des Endgeräts (Leseart entweder "[…] the security of […] the terminal equipment" oder „[…] service […] requested by […] the terminal equipment") noch, ob das Wort „provison“ im Zusammenhang mit dem Endgerät als Bereitstellung des Services oder – nach Auslegung – als Empfang des Services zu verstehen ist. Es wird sich zeigen, wie der Absatz letztlich in Deutschland umgesetzt wird. Eine nach dem Sinn und Zweck naheliegende Übersetzung sowie Auslegung (oben erste Leseart) dürfte sein, dass die  Verarbeitung ohne Einwilligung zulässig sein soll, wenn sie zur Gewährleistung oder Wiederherstellung der Sicherheit eines vom Verantwortlichen bereitgestellten und von der betroffenen Person angeforderten Dienstes oder des Endgeräts, das zur Erbringung dieses Dienstes verwendet wird erforderlich ist. Daneben wirft Unterabsatz d) die Frage auf, was dies für Sicherheitsanbieter bedeutet, die vor allem auf Cookies setzen, um Dienste Dritter – also die Systeme ihrer Kunden – zu schützen. Es ist schwer vorstellbar, dass die Vorschrift so eng ausgelegt werden soll, dass derartige sicherheitsbezogene Verarbeitungstätigkeiten künftig ausgeschlossen wären; dies würde faktisch das Schutzniveau senken und dem eigentlichen Ziel der Regelung zuwiderlaufen.

Mechanik der Einwilligung nach Artikel 88a Absatz 4

Artikel 88a Absatz 4 konkretisiert darüber hinaus den Umgang mit Einwilligungen:

• Die betroffene Person muss Anfragen zur Einholung einer Einwilligung auf einfache und verständliche Weise mittels eines Ein-Klick-Buttons oder einer gleichwertigen Funktion ablehnen können („in an easy and intelligible manner with a single-click button or equivalent means“, Artikel 88a Absatz 4 Buchstabe a).
• Erteilt die betroffene Person eine Einwilligung, darf der Verantwortliche für den Zeitraum, in dem sich der Verantwortliche rechtmäßig auf die Einwilligung der betroffenen Person berufen kann, keine erneute Einwilligungsanfrage für denselben Zweck stellen („for the period during which the controller can lawfully rely on the consent of the data subject“, Artikel 88a Absatz 4 Buchstabe b). Welchen praktischen Mehrwert diese Bestimmung hat, ist nicht ganz klar: Allein aus Eigeninteresse haben Verantwortliche wenig Anreiz, Nutzer mit überflüssigen Einwilligungsanfragen zu überhäufen, solange eine Einwilligung noch gültig ist; vielmehr dürfte eine erneute Anfrage während eines laufenden Einwilligungszeitraums eher zu rechtlicher Unsicherheit führen. Aus Risikomanagementsicht könnte es daher die sicherste Lösung sein, Einwilligungen mit ausdrücklichen Ablaufdaten zu versehen, damit Verantwortliche genau wissen, wann eine neue Anfrage erforderlich wird. Diese Vorgehensweise hat allerdings den Nachteil der zeitlichen Begrenzung.
• Demgegenüber überzeugt Artikel 88a Absatz 4 Buchstabe c eher: Lehnt die betroffene Person eine Einwilligungsanfrage ab, darf der Verantwortliche für denselben Zweck („for the same purpose“) mindestens sechs Monate lang keine erneute Einwilligungsanfrage stellen. Wie der Begriff „same purpose“ in der Praxis ausgelegt werden wird, insbesondere bei Diensten mit mehreren, teilweise unterschiedlichen Funktionalitäten, bleibt abzuwarten.

Artikel 88a ersetzt die Einwilligung nicht als Grundregel; Absatz 3 legt lediglich eine abschließende Liste von geringfügigen Risiken enthaltenden Zwecken fest, für die die Speicherung und der Zugriff auf Endgeräte ohne Einwilligung zulässig sind. Wie Erwägungsgrund 44 des Entwurfs klarstellt, muss jede weitere Verarbeitung für andere Zwecke auf den allgemeinen Rahmen der DSGVO zurückgreifen, insbesondere auf Artikel 6 (und gegebenenfalls Artikel 9). Das berechtigte Interesse kommt dabei nur unter strengen Voraussetzungen in Betracht, einschließlich einer strengeren Prüfung bei Kindern, besonderen Kategorien von Daten, Umfang und Eingriffsintensität der Verarbeitung sowie den berechtigten Erwartungen der betroffenen Personen.

Technisches Einwilligungsmanagement nach Artikel 88b

Artikel 88b markiert letztlich einen kleinen technischen Wendepunkt. Unternehmen werden begrüßen, dass die Kommission nach jahrelanger Kritik nun anerkennt, dass es effizienter ist, Einwilligungen auf Ebene des Endgeräts zu verwalten, statt über zahllose individuell gestaltete Cookie-Banner – nicht zuletzt, weil das derzeitige Modell einen inhärenten Konstruktionsfehler aufweist: Werden Cookies abgelehnt, muss diese Entscheidung technisch wiederum in einem Cookie gespeichert werden; andernfalls würde das Banner bei jedem Seitenaufruf erneut erscheinen. Dies hat faktisch zu einem geringeren Datenschutzniveau geführt: Die Zeiten, in denen Internetnutzer nach jeder Sitzung einfach alle Cookies löschen und trotzdem im Internet surfen konnten, ohne mit unzähligen Bannern, Buttons und Overlays konfrontiert zu werden, sind lange vorbei.

Artikel 88b verpflichtet Verantwortliche, nun sicherzustellen, dass ihre Online-Benutzeroberflächen es den betroffenen Personen ermöglichen, (a) eine Einwilligung zu erteilen und (b) eine Einwilligungsanfrage abzulehnen und ihr Widerspruchsrecht gemäß Artikel 21 Absatz 2 mittels automatisierter und maschinenlesbarer Verfahren auszuüben („through automated and machine-readable means“, Artikel 88b Absatz 1). Nach Artikel 88b Absatz 2 müssen Verantwortliche die auf diese Weise getroffenen Entscheidungen der betroffenen Personen beachten. Artikel 88b Absatz 6 verpflichtet darüber hinaus Anbieter von Webbrowsern (die keine KMU sind), technische Mittel für solche automatisierten und maschinenlesbaren Signale der Entscheidungen der betroffenen Personen bereitzustellen.

Spezialvorschriften für Mediendienstanbieter

Der Entwurf enthält zudem eine spezielle Regelung für Mediendienstanbieter. Nach der Begründung (Seiten 7 – 8) sollen sie nicht verpflichtet sein, solche Signale zu beachten („not be obliged to respect such signals“), angesichts der wirtschaftlichen Notwendigkeit, Mediendienste über Werbung zu finanzieren. Der Wortlaut von Artikel 88b Absatz 3 ist demgegenüber zurückhaltend: Er setzt lediglich die Absätze 1 und 2 für Verantwortliche, die Mediendienstanbieter sind, außer Anwendung, wenn sie einen Mediendienst erbringen. Dies bedeutet, dass die technischen Verpflichtungen zur Einholung von Einwilligungen über die Online-Benutzeroberfläche und zur Beachtung übermittelter Präferenzsignale aufgehoben werden. Was er nicht tut, ist die Schaffung einer ausdrücklichen Rechtsgrundlage für die Verarbeitung. Eine klar formulierte positive Ausnahme – etwa dahingehend, dass Mediendienstanbieter für bestimmte, konkret definierte Zwecke keine Einwilligung benötigen – wäre deutlich hilfreicher gewesen. In der vorliegenden Form bleibt abzuwarten, ob Artikel 88b Absatz 3 ausreicht, um die beabsichtigte Privilegierung rechtlich tragfähig zu gewährleisten.

Insgesamt ist keineswegs sicher, dass die vorgeschlagenen Änderungen in der Praxis zu einer tatsächlichen Vereinfachung führen werden. Die eng gefassten Ausnahmen werfen insbesondere die Frage auf, inwieweit sich Verantwortliche weiterhin auf das berechtigte Interesse als Rechtsgrundlage stützen können, oder ob gut gemeinte Detailregelungen in manchen Konstellationen zusätzliche Unsicherheit schaffen werden.

Zudem bleibt das Verhältnis zwischen DSGVO und ePrivacy-Richtlinie komplex: Die Anforderungen der ePrivacy-Richtlinie gelten weiterhin – allerdings nur für nicht personenbezogene Daten. In der Praxis werden Websitebetreiber typischerweise nicht zuverlässig unterscheiden können, ob eine Anfrage von einer natürlichen Person oder beispielsweise von einem automatisierten Screen Scraper stammt. Im Zweifel werden sie daher weiterhin sowohl den ePrivacy-Rechtsrahmen als auch die DSGVO im Blick behalten müssen.

Ausblick: Werden Cookie-Banner wirklich verschwinden?

Ob der Entwurf für den Digital Omnibus künftig tatsächlich ein Surfen im Internet ohne Cookie-Banner ermöglichen wird, ist höchst fraglich. Zwar befasst sich der Vorschlag mit der Einwilligung in die Verwendung von Cookies und den entsprechenden Prozessen, es fehlt jedoch an einer praxistauglichen Gesamtlösung für den Einsatz von Cookies.

Eine Reihe von Anschlussfragen stellt sich bereits jetzt. Viele Anbieter nutzen Cookie-Banner nicht nur zur Einholung von Einwilligungen, sondern auch zur Erfüllung von Informationspflichten. In solchen Fällen wird im Einzelfall zu prüfen sein, wie künftig mit den Informationen umzugehen ist, die derzeit in diesen Bannern bereitgestellt werden. Ein bloßes Abschalten der Banner wird selten ausreichen; die Informationen müssen entweder in die Datenschutzerklärung oder gesonderte Cookie-Hinweise verlagert oder in einem verkürzten, rein informierenden Hinweisbanner dargestellt werden.

Darüber hinaus scheint die neue Regelung ohne umfassenden Blick auf die Cookie-Thematik entworfen worden zu sein. Der neue Artikel 88a Absatz 4 regelt verschiedene Fälle von Einwilligungsanfragen und scheint dadurch zu weniger Cookie-Bannern zu führen. Er berücksichtigt jedoch nicht alle Voraussetzungen für den Einsatz von Cookies, die nicht unmittelbar mit der dort geregelten Einwilligung zusammenhängen, aber maßgeblich beeinflussen, ob weiterhin ein Pop-up – in welcher Form auch immer – erforderlich bleibt:

Zum einen sind Informationspflichten zu erfüllen, bevor eine Datenverarbeitung stattfindet. Der Entwurf für den Digital Omnibus sieht vor, dass künftig standardmäßig Einwilligung in und Ablehnung von Cookies über Browsereinstellungen erfolgen sollen (Artikel 88b Absatz 1). Die Informationspflichten können in diesen Browsereinstellungen jedoch nicht erfüllt werden, sodass wegen der vor der Datenverarbeitung bestehenden Informationspflicht ein entsprechendes Hinweisbanner naheliegend ist. Es ist zweifelhaft, ob ein Verweis am unteren Rand der Website, wie dies für allgemeine Datenschutzerklärungen üblich ist, ausreichend wäre – man könnte argumentieren, dass dort bereitgestellte Informationen zu spät kämen.

Hinzu kommt, dass nach Artikel 7 Absatz 3 Satz 4 DSGVO der Widerruf einer Einwilligung „so einfach wie die Erteilung der Einwilligung“ sein muss. Auch aus diesem Grund kann man aus praktischer Sicht erneut die Auffassung vertreten, dass es am einfachsten ist, der betroffenen Person die Möglichkeit des Widerrufs über ein Hinweisbanner einzuräumen – selbst wenn die Einwilligung über Browsereinstellungen erteilt wurde.

Im Ergebnis wird das über viele Jahre gewachsene rechtliche Konstrukt bezüglich der Cookie-Banner durch die spezifischen vorgeschlagenen Änderungen, die sich im Wesentlichen auf die Einholung von Einwilligungen beziehen, voraussichtlich nicht grundlegend geändert. Für viele Anbieter wird sich daher – nicht zuletzt im Hinblick auf die fortgeltende Anwendbarkeit der ePrivacy-Vorschriften – die pragmatische Frage stellen, ob es nicht tatsächlich günstiger und praktischer ist, an einer Praxis festzuhalten, die der Aktuellen ähnelt.

Die Erfahrung lässt annehmen, dass es einige Zeit dauern dürfte, bis marktreife technische Standards für das im Entwurf vorgesehene automatisierte und maschinenlesbare Einwilligungsmanagement entwickelt und bis entsprechende Funktionalitäten von Browseranbietern im großen Maßstab umgesetzt werden. Auch insoweit ist eher mit einer längeren Übergangsphase als mit einer raschen Verbesserung der derzeitige Situation zu rechnen.

Am Ende ist es wahrscheinlich, dass in vielen Fällen eine hybride Pop-up-Lösung zum Einsatz kommen wird, die aus Cookie-Einwilligungsbannern besteht, wenn keine Browsereinstellungen gesetzt wurden, und Hinweisbannern, wenn entsprechende Browsereinstellungen gesetzt wurden und daneben keine Einwilligung erforderlich ist. Leider ist das langersehnte Ende der Cookie-Banner als solche noch nicht in Sicht.