Digital Omnibus: EU will Cookie-Banner mit automatischen Signalen ersetzen

Die EU-Kommission will mit ihrem neuen “Digital Omnibus” das lästige Klicken auf Cookie-Banner abschaffen. Kern der Reform ist ein neuer Artikel in der Datenschutz-Grundverordnung, der automatisierte Ablehnungen verbindlich macht.

Brüssel/Wien – Während sich die europäische Digitalwirtschaft auf das neue Jahr vorbereitet, bestimmt ein Gesetzesvorschlag die Diskussionen in Vorstandsetagen und Kanzleien. Die Ende November vorgestellte “Digital Omnibus”-Verordnung der EU-Kommission verspricht eine radikale Vereinfachung des digitalen Regelwerks. Im Zentrum steht eine potenzielle Revolution für jeden Internetnutzer und Website-Betreiber: Artikel 88b der DSGVO. Diese neue Regelung soll die “Cookie-Banner-Müdigkeit” durch sogenannte Datentreuhänder-Modelle beenden.

Das “Weihnachtsgeschenk” für Nutzer: Automatisierte Einwilligung

Das allgegenwärtige “Klicken zum Akzeptieren” könnte bald der Vergangenheit angehören. Der im November veröffentlichte Entwurf sieht vor, dieses fragmentierte System durch eine zentralisierte, automatisierte Lösung zu ersetzen.

Laut dem Entwurfstext führt Artikel 88b DSGVO die verbindliche Anerkennung “maschinenlesbarer Signale” ein. Diese Signale, die vom Browser, Betriebssystem oder einem persönlichen Informationsmanagementsystem (PIMS) eines Nutzers gesendet werden, übermitteln dessen Datenschutzeinstellungen automatisch an jede besuchte Website.

Droht Ihrem Unternehmen ein Bußgeld wegen fehlender Datenschutz-Folgenabschätzung? Bei datenintensiven Projekten wie personalisierten Tracking-Lösungen oder dem Training von KI-Systemen kann eine fehlende DSFA Strafen bis zu 2% des Jahresumsatzes nach sich ziehen. Das kostenlose E-Book liefert fertige Muster-Vorlagen, Checklisten und eine Schritt-für-Schritt-Anleitung, mit der Datenschutzbeauftragte rechtssichere DSFAs erstellen können – sofort anwendbar auch für Consent-Management-Änderungen durch Artikel 88b. DSFA-E-Book mit Mustervorlagen herunterladen

“Die Vision ist ein Markt für Treuhänder – technische Vermittler, die Einwilligungen basierend auf den vorab definierten Wünschen des Nutzers verwalten”, analysierte die Legal Tribune Online (LTO) Ende November. Statt jeden Morgen auf zwanzig verschiedenen Seiten “Alle ablehnen” zu klicken, könnte ein Nutzer seine Präferenz nur einmal in seinem Browser festlegen.

So funktioniert das Treuhänder-Modell

Der vorgeschlagene Artikel 88b verlagert die Verantwortung für das Einwilligungsmanagement von der einzelnen Website zu diesen neuen Intermediären.

1. Universelle Signale: Nutzer konfigurieren ihre Datenschutzeinstellungen (z.B. “Alle nicht-essentiellen Tracker ablehnen”) in einer zertifizierten Software oder den Browsereinstellungen.
2. Verbindliche Anerkennung: Website-Betreiber müssen diese automatisierten Signale als rechtlich gültige Widersprüche oder Einwilligungen akzeptieren. Zeigt ein Signal eine Ablehnung an, ist es der Website untersagt, den Nutzer erneut zu fragen.
3. Die Sechs-Monats-Regel: Um “Einwilligungs-Belästigung” zu verhindern, enthält der Vorschlag eine strenge “Nicht-stören”-Klausel. Lehnt ein Nutzer über sein automatisches Signal das Tracking ab, darf der Website-Betreiber sechs Monate lang keine erneute Einwilligung einholen.

“Das beendet effektiv das ‘nervende’ Dark Pattern, bei dem Nutzer durch ständiges Nachfragen zur Akzeptanz gedrängt werden”, so der Datenschutzexperte Łukasz Olejnik. Für die digitale Werbewirtschaft bedeutet dies jedoch eine Erschütterung ihres Geschäftsmodells.

Widerstand der Industrie und das “Medienprivileg”

Während Verbraucherschützer den Vorstoß begrüßen, hat der Vorschlag eine intensive Debatte über die Auswirkungen auf werbefinanzierte Geschäftsmodelle ausgelöst. Als Zugeständnis an die Verlagswirtschaft hat die Kommission eine umstrittene Ausnahme eingefügt.

Laut dem Entwurfstext könnten Mediendiensteanbieter von der strengen Pflicht befreit werden, automatisierte Ablehnungen ohne Gegenangebot zu akzeptieren. Dieses “Medienprivileg” erlaubt Nachrichtenverlagen, weiterhin “Bezahlen oder Einwilligen”-Wände (Paywall-Modelle) zu präsentieren, um eine tragfähige Finanzierung für Qualitätsjournalismus zu sichern.

Die Definition, wer als “Mediendiensteanbieter” gilt, wird jedoch ein zentraler Streitpunkt in den anstehenden Trilog-Verhandlungen sein. “Wenn die Definition zu weit gefasst ist, könnte die Ausnahmeregelung die gesamte Norm aushöhlen”, warnten Kritiker in der LTO-Analyse.

Österreichische DSB: “Ein Weg von 2-3 Jahren vor uns”

In ihrem Newsletter vom Dezember 2025 lieferte die österreichische Datenschutzbehörde (DSB) eine nüchterne Einschätzung zum Zeitplan. Die Behörde beschreibt den Digital Omnibus als “Sammelnovelle”, die weit über technische Anpassungen hinausgeht.

“Da dieser Vorschlag technische Änderungen deutlich übersteigt, geht die Datenschutzbehörde davon aus, dass die Gesetzgeber (Rat und Parlament) mindestens 2 bis 3 Jahre verhandeln werden”, so die DSB.

Der Newsletter verwies auch auf Artikel 88c, einen weiteren neuen Zusatz. Dieser schlägt vor, die Verarbeitung personenbezogener Daten zum Training von KI-Systemen als “berechtigtes Interesse” nach Art. 6 Abs. 1 lit. f DSGVO einzustufen. Dies würde KI-Entwicklern eine klarere Rechtsgrundlage bieten – ein Schritt, der von der Tech-Branche begrüßt, von Datenschützern aber kritisch beäugt wird.

Geschäftsauswirkungen für 2026

Für Unternehmen lautet die Botschaft zum Start ins Jahr 2026: Vorbereitung statt sofortiger Alarm. Der “Digital Omnibus” ist derzeit nur ein Vorschlag, kein Gesetz. Die Richtung ist jedoch klar:

• Consent Management Platforms (CMPs): Anbieter von Banner-Lösungen müssen sich anpassen, um die neuen maschinenlesbaren Standards (wahrscheinlich basierend auf dem W3C Global Privacy Control) zu unterstützen.
• Daten-Intermediäre: Ein neuer Markt für “PIMS” entsteht. Unternehmen, die nutzerfreundliche, vertrauenswürdige “Datenschutz-Wallets” anbieten können, dürften als neue Gatekeeper der Einwilligung erheblichen Einfluss gewinnen.
• Rechtliche Compliance: Rechtsabteilungen sollten die Verhandlungen zu Art. 88b und 88c genau verfolgen. Die Hinwendung zu “Privacy by Default” durch technische Signale wird eine grundlegende Neuarchitektur der Interaktion zwischen Websites und Besuchern erfordern.

Der Vorschlag markiert den Versuch der EU, ihr komplexes digitales Erbe – von der DSGVO über den KI-Akt bis zum Data Act – in einen kohärenten Rahmen zu gießen. Noch bleibt der Cookie-Banner. Doch wenn Artikel 88b den Gesetzgebungsprozess intakt übersteht, könnten die Tage des ständigen “Akzeptieren”-Klickens gezählt sein.

PS: Artikel 88c diskutiert die Nutzung personenbezogener Daten zum Training von KI-Systemen – ein Thema, das eng an die EU-KI-Verordnung anknüpft. Wer jetzt die Anforderungen an Kennzeichnung, Risikoklassen und Dokumentation nicht kennt, riskiert Bußgelder und kostspielige Nachrüstungen. Der kostenlose Umsetzungsleitfaden zur EU-KI-Verordnung erklärt kompakt, welche Pflichten für Entwickler und Anbieter gelten und welche Übergangsfristen Sie beachten müssen. Gratis-Leitfaden zur EU-KI-Verordnung herunterladen