Bitte im Omnibus sitzen bleiben, liebe PIMS

Frederick Richter, LL.M.

Was wurde alles kritisiert am „Digital Simplification Package“ der Europäischen Kommission, besser bekannt als “Digital Omnibus” – die vorgeschlagenen Änderungen beim Personenbezug, die vorgeschlagenen Änderungen bei sensiblen Daten, die vorgeschlagenen Änderungen bei KI-Rechtsgrundlagen. Fragen könnte man sich fast sinnvoller, was eigentlich nicht kritisiert wurde am Omnibus-Vorschlag; und da bleibt nicht viel. Ein Punkt, der nicht im direkten Fokus der vielen öffentlichen Verrisse von Bürgerrechts- und Verbraucherorganisationen stand, das war der Vorschlag zur Änderung des – stark reparaturbedürftigen – ePrivacy-Rechts in Bezug auf Cookies. 

Einwilligen und Spaß dabei?

Dort besteht seit 2009, nach der Verschärfung der Richtlinie von 2002, die Problematik, dass Nutzende in jedem einzelnen technisch nicht notwendigen Cookie einwilligen müssen, wenn dieser legalisiert werden soll. Anstatt wegen des Anfrageaufwands auf diese Art von Cookies fortan zu verzichten, setzen seitdem Website-Betreibende auf die notorischen Banner, um die Einwilligung (bestenfalls) vor Setzen des Cookies einzuholen. Dass ein Zustand des permanenten Belästigtwerdens mit Cookie-Bannern hinsichtlich der „user experience“ dauerhaft schwer akzeptabel sein würde, leuchtete rasch ein. Dennoch änderte sich eineinhalb Jahrzehnte lang nichts. 

Ideen und Ansätze zu einem Einwilligungsmanagement gibt es auf europäischer Ebene seit Mitte der 2010er Jahre¹ und Eingang in die bundesdeutsche Gesetzgebung fand ein erster zaghafter Versuch mit der verspäteten (echten) Richtlinienumsetzung in 2021, doch eine echte Lösung blieb aus. Dies lag bei der hiesigen nationalen Umsetzung daran, dass die Bundesregierung sich von der Werbewirtschaft dazu hatte überreden lassen, das in § 26 TTDSG neu geschaffene Regime zur Einwilligungsverwaltung auf freiwillige Basis zu stellen – damit war jeglicher Druck von den Anbietern genommen, das neue Instrument einzusetzen. Bis heute gibt es daher auch nur einen einzigen offiziell erkannten Einwilligungsverwaltungsdienst.²

Um eine substanzielle Änderung herbeizuführen, gibt es drei Möglichkeiten: Entweder es werden nicht-notwendige Cookies verboten. Oder es wird Art. 5 Abs. 3 der ePrivacy-Richtlinie wieder auf die Ursprungsfassung zurückgeführt, nach der keine Einwilligung erforderlich war. Oder es wird ein robustes System einer Einwilligungsverwaltung errichtet, unter dem das Zustimmungserfordernis zwar bestehen bleibt, aber praxisgerecht operationalisiert wird. 

Für die letztgenannte Option hat sich die EU-Kommission ausgesprochen. Und der Rat der Mitgliedstaaten, der durchaus viele der Kommissionsvorschläge ablehnt, hat an den dazu entworfenen Art. 88a-E und Art. 88b-E nichts auszusetzen.³ Auch der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte begrüßen den Vorstoß.⁴

Haben wir einen Keks-Konsens?

Andere sehen das kritischer. So bemängeln die Verbraucherzentralen, dass mit einer Verschiebung der Cookie-Regulierung aus dem ePrivacy-Recht in das Datenschutzrecht das bloße Setzen von Cookies ohne anschließende Verarbeitung personenbezogener Daten weniger stark reguliert würde, weil der Fokus statt auf den präventiven Schutz des Endgeräts auf die sich anschließenden Verarbeitungsvorgänge gelegt werde; denn während Art. 5 Abs. 3 ePrivacy-RL bereits Zugriffe unabhängig vom Personenbezug zu begrenzen suche, greife die DSGVO erst bei der Verarbeitung personenbezogener Daten.⁵ Außerdem fragen sie – berechtigt – wie denn Anbieter, die nach Art. 88a-E bei einer verweigerten Einwilligung ein halbes Jahr lang nicht erneut um Einwilligung bitten dürfen, die Nutzenden und ihren Zustimmungsstatus datensparsam identifizieren sollen.

Diese Analyse ist zutreffend, doch darf aus meiner Sicht gefragt werden, welches Risikopotential Zugriffe auf Endgeräte ohne Verarbeitung personenbezogener Daten haben können und ob diese Risiken wirklich das Beibehalten eines absoluten Einwilligungserfordernisses rechtfertigen können. Die Verbraucherschützer gestehen indes zu, dass bei Umsetzung des Omnibus-Entwurfs Art. 5 Abs. 3 ePrivacy-Rl. wohl nur noch in denjenigen seltenen Ausnahmefällen anwendbar bliebe, in denen ein Zugriff per Cookie-Setzung weder personenbezogene Daten umfasst noch zu einer solchen Verarbeitung führt: „Dies ist im Kontext moderner Web- und App-Technologien kaum realistisch“.

Unabhängig vom Regelungsort ist es jedenfalls zwingend notwendig, dass wir wegkommen von separaten Anfragen in jedem Einzelfall. Die stetigen Anfragen im Zusammenhang mit Cookies verstärken die bereits durch anderweitige Einwilligungsbitten hervorgerufene Entscheidungsmüdigkeit erheblich. Selbst in einer (wohl unerreichbaren) idealen Welt, in der es nur noch komplett fair und transparent gestaltete Cookie-Banner gäbe, wäre es nicht sinnvoll, für stets gleichgelagerte Sachverhalte immer wieder neue Einwilligungsanfragen zu bemühen, wenn die Entscheidung der Nutzenden mutmaßlich immer gleich ist – „alles ablehnen“ oder „allem zustimmen“. Bereits für die pure zeitliche Effizienz ist es geboten ein neues System aufzusetzen. Ein solches bieten Personal Information Management Systems (PIMS), wie sie nun – endlich – mit dem Art. 88b des Kommissionsvorschlages adressiert werden sollen. Die vorgesehene verpflichtende Lösung ist konsequent. Nicht konsequent ist hingegen die vorgesehene Ausnahme für Medienanbieter, welche von der Pflicht zur Befolgung der zentral getroffenen Nutzerentscheidungen ausgenommen werden sollen. Ein solcher sektoraler Sonderweg mag medienpolitisch legitim sein, doch ist das Datenschutzrecht schlicht der falsche Ort für Pressesubventionen.⁶

Nicht-verpflichtende Ansätze dürften jedenfalls scheitern, wie einst „Do Not Track“ scheiterte.⁷ Eine freiwillige Lösung ist keine gleichwertige Alternative, denn sie würde sich nicht durchsetzen – was die aktuelle Situation unter dem TDDDG belegt: Es gäbe schlicht zu wenig Anreize zur Nutzung des Systems. Die Aussicht auf mehr Einnahmen ist für die Werbewirtschaft größer, wenn ihre Akteure sich nicht unter verpflichtende nutzerseitige Vorgaben eines PIMS-Dienstes stellen, sondern wenn sie weiter mit (mehr oder minder fairen) Bannern um jede einzelne Einwilligung buhlen dürfen. Denn unter einem strengen PIMS-Regime kann mit guten Gründen von Website-Betreibenden befürchtet werden, dass die meisten Nutzenden die attraktive Option „Alles ablehnen und mich nicht mehr fragen“ anklicken.  

Keine Reform ist keine Lösung

Im März dieses Jahres positionierten sich daher einige Wirtschaftsverbände, vom Außenhandel bis zu den Zeitungsverlegern, gegen den neuen Ansatz⁸ – ohne jedoch irgendeinen Alternativvorschlag gegen die Cookie-Banner-Müdigkeit vorzustellen. Zwar legte die Wirtschaft mit gutem Argument den Finger in die gleiche Wunde wie die Verbraucherschützer, wenn sie darauf hinwiesen, dass es noch keinen konkreten Plan gebe, wie die Vorgabe aus Art. 88a Abs. 4 DSGVO-E zur sechsmonatigen Speicherung ablehnender Nutzerentscheidungen umsetzbar sein soll. Doch als Grund für ein schlichtes Beibehalten der gegebenen – nicht akzeptablen – Lage im Cookie-Recht sollte diese technische Hürde nicht herhalten. 

Die Selbstbestimmung der Nutzenden sollte das Maß der Dinge bleiben, schließlich sehen wir sie als Kern des Datenschutzes. Doch wenn wir schon die Einwilligung als einzige Rechtsgrundlage für technisch nicht-notwendige Werbe-Cookies sehen und an dieser Stelle keine Debatten über berechtigte Interessen zulassen wollen, dann sollten wir auf ein funktionierendes nutzerzentriertes System der Einwilligungsverwaltung hinarbeiten.

¹ EDPS Opinion on Personal Information Management Systems vom 20. Oktober 2016; abrufbar unter: www.edps.europa.eu/sites/default/files/publication/16-10-20_pims_opinion_en.pdf

² Übersicht der nach § 26 TDDDG bei der BfDI anerkannten Dienste zur Einwilligungsverwaltung unter: www.bfdi.bund.de/DE/Fachthemen/Themen-Positionen/Einwilligungsverwaltung/Einwilligungsverwaltung_node.html

³ Presidency compromise text on Omnibus VII – Digital (2025/0360 (COD) vom 20. Februar 2026.

⁴ EDPB-EDPS joint opinion on the proposal for a regulation as regards the simplification of the digital legislative framework vom 10. Februar 2026, Rn. 108; abrufbar unter: www.edpb.europa.eu/system/files/2026-02/edpb_edps_jointopinion_202602_digitalomnibus_en.pdf#page=28

⁵ Stellungnahme des Verbraucherzentrale Bundesverbands zu den Vorschlägen der Europäischen Kommission zur Vereinfachung des digitalen Rechtsrahmens vom 12. Dezember 2025, S. 15; abrufbar unter: www.vzbv.de/pressemitteilungen/digital-omnibus-europaeische-kommission-setzt-vertrauen-der-verbraucherinnen

⁶ „Der Consent-Fatigue entgegenwirken“, P. Hense, F. Boehm in TUM-Thinktank Policy Brief Dezember 2025, S. 4; abrufbar unter: tumthinktank.de/wp-content/uploads/DSGVO_ConsentFatigue_V1.pdf

⁷ „Weitgehend ignoriert: Firefox entfernt Haken für "Do Not Track", Bericht bei Heise Online vom 11. Dezember 2024; abrufbar unter: www.heise.de/news/Wird-zu-selten-respektiert-Firefox-schafft-Haken-fuer-Do-Not-Track-ab-10194886.html

⁸ Offener Brief „Daten als Wettbewerbsvorteil sichern“ vom 13. März 2026; abrufbar unter: table.media/assets/berlin/2026-03-13_verbandsubergreifende-papier-zum-digital-omnibus.pdf

Dieser Artikel erscheint hier mit freundlicher Genehmigung des Erich Schmidt Verlages und wurde zuerst in der PinG – Privacy in Germany 3 / 2026 am 04.05.2025 veröffentlicht.