Am 19. November 2025 hat die Europäische Kommission den Vorschlag zur Digital-Omnibus-Verordnung veröffentlicht. Ziel ist es, Teile des EU-Digitalregelwerks zu vereinfachen und besser aufeinander abzustimmen. Das betrifft unter anderem Änderungen rund um DSGVO, Cookie-Consent, Meldepflichten bei Vorfällen sowie KI-bezogene Themen.
Das ist noch kein geltendes Recht. Der Text befindet sich in der Anfangsphase und kann sich im Laufe der Verhandlungen noch ändern. Bis etwas verabschiedet wird und anwendbar ist, bleiben Ihre aktuellen Pflichten nach DSGVO und ePrivacy die maßgebliche Grundlage.
Auf einen Blick
Worauf Publisher, Werbetreibende und Website-Betreiber besonders achten sollten:
- Klarere Anforderungen an Banner (gleich einfache Schaltflächen für „Akzeptieren“ und „Ablehnen“)
- Grenzen für wiederholte Einwilligungsabfragen nach einer Ablehnung
- Präferenzsignale auf Browser- oder Betriebssystemebene, die Websites ggf. berücksichtigen müssen
- Mehr Standardisierung bei DSFA (DPIA) und Meldungen von Datenschutzverletzungen
1) Cookie-Consent: die praktischen Änderungen
Cookie-Regel wandert in die DSGVO
Der Vorschlag würde die ePrivacy-Cookie-Regel als neuen Artikel 88a in die DSGVO überführen. Einwilligung bleibt grundsätzlich Voraussetzung für das Speichern oder Auslesen von Informationen auf dem Endgerät. Der Vorschlag konkretisiert aber, wie das in der Praxis umgesetzt werden soll.
Geschlossene Liste von Fällen „ohne Einwilligung“
Der Vorschlag sieht eine definierte Liste von Ausnahmen vor, unter anderem:
- Übertragung (Transmission)
- technisch unbedingt erforderliche Cookies
- First-Party-Reichweitenmessung für eigene Dienste
- Sicherheit des Dienstes oder des Endgeräts
Banner-UX: „Akzeptieren“ und „Ablehnen“ müssen gleich leicht sein
Der Vorschlag würde eine Ein-Klick-Lösung für „Akzeptieren“ und „Ablehnen“ verlangen, ohne zusätzliche Schritte für die Ablehnung.
Weniger erneute Abfragen nach Ablehnung
Nach einer Ablehnung dürften Websites mindestens sechs Monate lang nicht erneut nach Einwilligung fragen, es sei denn, es ändert sich etwas Relevantes an den Verarbeitungstätigkeiten.
Was gleich bleibt
Für Werbung, Profiling, Cross-Site-Tracking und Third-Party-Analytics wäre weiterhin eine Einwilligung erforderlich.
2) Präferenzsignale: wie „Browser-Consent“ aussehen könnte
Der Vorschlag führt maschinenlesbare Präferenzsignale ein (Artikel 88b). Die Idee: Nutzerinnen und Nutzer setzen ihre Präferenzen im Browser oder Betriebssystem, und Websites lesen diese automatisch aus und respektieren sie.
Zwei Punkte für die Planung:
- Banner wird es noch lange geben, weil nicht alle Browser-Einstellungen nutzen und die Verbreitung Zeit braucht.
- Auch mit Signalen braucht es eine CMP-taugliche operative Ebene, um Entscheidungen korrekt über Zwecke und Vendoren hinweg durchzusetzen und Nachweise zu führen.
Außerdem gibt es eine Ausnahme: Medienanbieter sollen von der Pflicht ausgenommen sein, diese Signale zu respektieren.
3) Mehr als Cookies: Änderungen, die Compliance-Teams im Blick behalten sollten
DSFA und Meldungen könnten stärker standardisiert werden
Der Vorschlag rechnet mit EU-weit einheitlicheren Listen sowie gemeinsamen Vorlagen und Methoden für Datenschutz-Folgenabschätzungen (DSFA). Für Meldungen von Datenschutzverletzungen bei hohem Risiko sind ebenfalls standardisierte Kriterien und Templates vorgesehen. Ziel ist weniger Inkonsistenz zwischen Mitgliedstaaten.
Ein EU-Zugangspunkt für Vorfallmeldungen
Geplant ist ein zentraler EU-Einstiegspunkt für die Meldung von Cybersecurity- und Datenschutzvorfällen, um doppelte Meldungen über verschiedene Regime hinweg zu reduzieren.
KI-Training und personenbezogene Daten
Die Erwägungsgründe deuten an, dass die Nutzung personenbezogener Daten zum Trainieren, Testen und Validieren von KI-Systemen auf berechtigtes Interesse gestützt werden könnte, allerdings nur mit klaren Schutzmaßnahmen wie Transparenz, einem uneingeschränkten Widerspruchsrecht und privacy-preserving Techniken.
4) Was bedeutet das für Cookie-Banner?
Sie müssen wegen des Digital Omnibus heute nichts an Ihrem Cookie-Banner umstellen. Es ist weiterhin ein Vorschlag, und die aktuellen Regeln nach DSGVO und ePrivacy bleiben maßgeblich, bis etwas verabschiedet wird und anwendbar ist.
Sinnvoll ist der Fokus auf Grundlagen, die auch bei neuen Regeln tragen:
- Machen Sie transparent, was Sie tun und warum, mit klaren und gut auffindbaren Datenschutz- und Cookie-Informationen.
- Holen Sie Einwilligungen ein, wo sie erforderlich sind, und führen Sie belastbare Nachweise, besonders für Werbung, Remarketing und Cross-Site-Tracking.
- Nutzen Sie Ihre CMP, um Entscheidungen konsequent durchzusetzen, damit Tags und Vendoren nur laufen, wenn sie dürfen.
- Halten Sie Präferenzänderungen einfach und stellen Sie sicher, dass Updates in Ihre Systeme durchgereicht werden, zum Beispiel an Ad-Plattformen, Analytics und CRM.
Unsere Haltung
Wir unterstützen Änderungen, die Consent Fatigue reduzieren und Consent-Flows verständlicher machen. Gleichzeitig darf Vereinfachung Transparenz und echte Wahlfreiheit nicht schwächen. Präferenzsignale können helfen, sollten aber interoperabel sein und mit Consent-Infrastruktur zusammenarbeiten, statt sie zu ersetzen. Eine CMP bleibt die Ebene, die Nutzerentscheidungen in konsistente technische Durchsetzung und verlässliche Nachweise übersetzt.
