Thought Leadership
Das EU-Paket Digital Omnibus sieht eine zentrale Einwilligung im Browser vor. Bei Ablehnung gilt eine sechsmonatige Sperre für erneute Banner-Anfragen.
Die Europäische Kommission hat im Rahmen ihrer laufenden Digitalisierungsstrategie im Jahr 2026 weitreichende Gesetzesänderungen vorgeschlagen, um die Belastung durch Cookie-Banner im Internet drastisch zu senken. Die federführend ausgearbeitete Gesetzgebung ist Teil des sogenannten Digital Omnibus Pakets. Das primäre Ziel der Brüsseler Regulierungsbehörde besteht darin, die weit verbreitete Einwilligungsmüdigkeit der Internetnutzer zu bekämpfen. Seit der Einführung der ursprünglichen ePrivacy-Richtlinie im Jahr 2002 und deren Verschärfung durch spätere Datenschutzvorgaben müssen Webseitenbetreiber vor dem Speichern oder Abrufen von Daten auf Endgeräten eine informierte Einwilligung einholen.
In der Praxis hat dies zu einer Flut von datenschutzrechtlichen Abfragefenstern geführt, die den digitalen Alltag der Verbraucher belasten. Statistische Erhebungen des Branchenverbandes Bitkom untermauern das Ausmaß dieser Entwicklung. Demnach klickt mittlerweile jeder vierte Internetnutzer pauschal auf alle Zustimmungen, um die störenden Einblendungen schnellstmöglich aus dem Sichtfeld zu entfernen. Dadurch nehmen viele Verbraucher ungewollt erhebliche Risiken für die Sicherheit ihrer persönlichen Daten in Kauf.
Datenschutzeinstellungen einmalig festlegen
Der aktuelle Vorschlag der Europäischen Kommission sieht vor, die bisherigen Einzelschnittstellen auf den jeweiligen Webseiten durch einen zentralisierten, automatisierten Mechanismus auf Betriebssystem- oder Browserebene zu ersetzen. Nutzer sollen künftig ihre grundlegenden Datenschutzeinstellungen einmalig direkt in den Browsereinstellungen festlegen können. Ruft ein Anwender eine neue Internetadresse auf, übermittelt die Webseite eine standardisierte Anfrage im Hintergrund. Der Webbrowser gleicht diese Anfrage automatisch mit den hinterlegten Präferenzen des Nutzers ab und erteilt oder verweigert die Einwilligung mit einem einzigen Klick.
Eine wesentliche Verschärfung für die Werbewirtschaft betrifft die zeitliche Begrenzung bei einer Ablehnung. Sollte ein Verbraucher das Tracking über die zentrale Schnittstelle verweigern, ist es der betroffenen Webseite für einen Zeitraum von exakt sechs Monaten gesetzlich untersagt, den Nutzer erneut nach einer Einwilligung zu fragen. Zudem sieht das Digital Omnibus Paket vor, die rechtlichen Grundlagen für diese Datenverarbeitungsprozesse vollständig unter das strengere Regime der Datenschutz-Grundverordnung zu stellen, um eine kohärente Rechtsdurchsetzung zu sichern.
Technologische Blindspots bei Server-Side Tracking und Fingerprinting
Akademische Experten bewerten den regulatorischen Vorstoß als chance für mehr Transparenz, weisen jedoch zeitgleich auf erhebliche technologische Defizite hin. Cristiana Santos, Professorin für Recht und Technologie an der Universität Utrecht, und Harshvardhan Pandit, Forscher am AI Accountability Lab des Trinity College Dublin, analysierten das Regelwerk in einer gemeinsamen Stellungnahme. Sie betonen, dass eine browsergestützte Automatisierung zwar unzulässige oder unvollständige Datenabfragen herbeiführen und Anwender vor dem übermäßigen Teilen sensibler Informationen warnen kann, moderne Tracking-Technologien im aktuellen Entwurf jedoch nicht hinreichend berücksichtigt werden.
Da Third-Party-Cookies aus Datenschutzgründen im Jahr 2026 ohnehin zunehmend aus den Systemen verdrängt werden, weicht die Werbeindustrie verstärkt auf das sogenannte Server-Side Tracking aus. Bei diesem Verfahren erfolgt die Datenerfassung nicht mehr lokal auf dem Endgerät des Nutzers, sondern wird unsichtbar auf einen externen Server des Webseitenbetreibers verlagert. Solche serverseitigen Prozesse sowie fortgeschrittene Methoden wie das Browser-Fingerprinting lassen sich durch rein browserseitige Blockade-Signale kaum zuverlässig detektieren. Zudem belegen Studien von Santos, dass bereits heute 74 Prozent der untersuchten Webseiten zwar Drittanbieter über eine erteilte Einwilligung informieren, die Weitergabe eines nachträglichen Widerrufs an diese Netzwerke jedoch systematisch fehlschlägt.
Wirtschaftliche Einbußen und die Stärkung von US-Gatekeepern
Die europäische Digitalwirtschaft reagiert mit drastischen Warnungen auf die Veröffentlichung der Pläne. Während die Europäische Kommission argumentiert, dass die Neuregelung auch lokalen Kleinunternehmen zugutekommt, da die administrative Verwaltung herkömmlicher Cookie-Banner über einen Zeitraum von drei Jahren schätzungsweise 1200 Euro pro Webseite kostet, prognostiziert die European Tech Alliance erhebliche finanzielle Schäden. Der Wirtschaftsverband, welcher die Interessen europäischer Technologieunternehmen vertritt, geht davon aus, dass eine standardisierte Abfrage auf Browserebene die allgemeinen Zustimmungsraten in der Europäischen Union um 60 bis 65 Prozent einbrechen lässt.
Mindestens zwei von drei Nutzern würden das Tracking standardmäßig ablehnen. Dies hätte eine Schrumpfung der europäischen digitalen Werbeeinnahmen um schätzungsweise 40 bis 50 Milliarden Euro zur Folge, was einem prozentualen Rückgang von bis zu 35 Prozent entspricht. Ein weiteres strategisches Problem betrifft die Verschiebung der Marktmacht. Da die US-amerikanischen Großkonzerne Google und Apple zusammen mehr als 80 Prozent des weltweiten Browsermärkte kontrollieren, würde die EU-Gesetzgebung diesen Gatekeepern die vollständige Kontrolle über die europäische Einwilligungskonstruktion übertragen, was den Bestrebungen zur Verringerung der digitalen Abhängigkeit von den USA widerspricht.
Regulierungslücken durch weitreichende Ausnahmebestimmungen
Zusätzliche Kontroversen innerhalb der Datenschutz-Community entstehen durch die im Entwurf verankerten Ausnahmen von der generellen Einwilligungspflicht. Der vorgeschlagene Mechanismus sieht Befreiungen für bestimmte Akteure vor, darunter etablierte Medienhäuser und Verlage sowie für analytische Auswertungen, die ausschließlich der internen Nutzung des jeweiligen Webseitenbetreibers dienen. Itxaso Dominguez de Olazabal, Expertin für Datenschutz und Privatsphäre, kritisiert diese Sonderregelungen in einer Analyse für Tech Policy Press. Sie argumentiert, dass diese Ausnahmen den Raum für eine nicht konsensuale Erfassung von Gerätedaten erheblich ausweiten und es Verbrauchern erschweren, die Kontrolle über ihre digitalen Spuren zu behalten.
Das Digital Omnibus Paket lasse erhebliche Lücken im sachlichen Anwendungsbereich und sehe lange Übergangsfristen vor, die vor einer endgültigen Verabschiedung durch das Europäische Parlament dringend korrigiert werden müssten. Für die IT-Governance in Unternehmen bedeutet der Entwurf, dass bestehende Consent-Management-Plattformen mittelfristig durch flexible, API-basierte Schnittstellen ersetzt werden müssen, die in der Lage sind, standardisierte Browser-Signale nativ zu verarbeiten.
