DSGVO-Reform: Das sind die geplanten Änderungen bei Cookie-Bannern

November 13, 2025

Kategorien:

Artikel von Aristotelis Zervos, Datenschutz in Europa

Aristotelis Zervos

Aristotelis Zervos, Editorial Director bei 2B Advice, vereint juristische und journalistische Expertise in Datenschutz, IT-Compliance und KI-Regulierung.

Die EU-Kommission plant im Rahmen des „Digitalen Omnibus“ eine weitreichende Reform der Datenschutz-Grundverordnung, die insbesondere die Regeln für Online-Tracking und Cookie-Banner betrifft. Ziel ist es, die Flut an Einwilligungsbannern einzudämmen und den Rechtsrahmen zu vereinfachen. Der Datenschutz soll dabei immer noch gewährleistet werden. Wir stellen die wichtigsten Änderungen vor.

Aufhebung der Einwilligungspflicht für Cookies

Ein zentrales Element des Reformvorschlags ist ein neuer Rechtsrahmen für Cookies und Tracking-Dienste. Bisher dürfen nach der EU-ePrivacy-Richtlinie nicht notwendige Cookies nur mit vorheriger ausdrücklicher Einwilligung der Nutzer gesetzt und ausgelesen werden (Opt-in-Pflicht). Diese strikte Zustimmungspflicht will die Kommission nun aufheben.

Statt ausschließlich auf Einwilligung zu setzen, soll jede DSGVO-konforme Rechtsgrundlage für das Cookie-Tracking zulässig sein, einschließlich des berechtigten Interesses von Website-Betreibern. Konkret könnten Tracking-Cookies künftig ohne vorheriges Banner gesetzt werden, sofern der Verantwortliche sich auf eine andere gesetzliche Grundlage berufen kann, z.B. sein legitimes Geschäftsinteresse. Für Nutzer würde dies eine Verschiebung vom Opt-in zum Opt-out bedeuten: Cookies würden standardmäßig gesetzt und Betroffene müssten ggf. nachträglich widersprechen, anstatt vorab zuzustimmen. Dies würde auch eine Verlagerung der Beweislast bedeuten.

Diese Änderung soll gleichzeitig die aktuell bestehende Doppelregulierung durch DSGVO und ePrivacy beenden. Geplant ist nämlich, die Cookie-Regeln direkt in der DSGVO zu verankern (durch einen neuen Artikel 88a DSGVO). Dadurch gäbe es einen einheitlichen, konsistenten Rechtsrahmen für Online-Tracking in der EU, was Überschneidungen und Unsicherheiten durch zweigleisige Aufsicht (Datenschutzbehörden vs. Telekom-Regulierer) beseitigen soll.

Weniger Cookie-Banner durch automatisierte Browser-Präferenzen

Ein erklärtes Ziel der Kommission ist es, der Cookie-Banner-Flut und der „Consent-Müdigkeit“ der Nutzer entgegenzuwirken. Deshalb sollen Nutzer künftig ihre Datenschutz-Präferenzen automatisiert und maschinenlesbar übermitteln können, anstatt sich durch unzählige Pop-ups zu klicken. Technisch ist vorgesehen, dass Browser oder Betriebssysteme standardisierte Privacy-Signale an Websites senden. Diese Signale teilen der Webseite mit, ob ein Nutzer Cookies für bestimmte Zwecke akzeptiert oder ablehnt. Ein Beispiel: Der Browser sendet automatisch die Information „Werbe- und Tracking-Cookies nicht erwünscht“. Die Website muss diese Vorgabe auslesen und respektieren, ohne dass der Nutzer jedes Mal manuell auf „Ablehnen“ klicken muss. Website-Betreiber wären verpflichtet, solche Voreinstellungen der Nutzer automatisch zu beachten.

Allerdings hängt die Umsetzung davon ab, dass sich alle Beteiligten auf gemeinsame technische Standards einigen. Die Kommission möchte Standardisierungsorganisationen entsprechend beauftragen und notfalls Browser-Herstellern vorschreiben, solche Einstellmöglichkeiten bereitzustellen.

Sobald die technischen Standards definiert sind, ist eine kurze Übergangsfrist geplant. Diskutiert wird etwa ein Zeitraum von sechs Monaten. Danach müssten alle Anbieter die maschinellen Do-Not-Track-Signale verbindlich akzeptieren.

Nachteil: Bis solche Standards und Lösungen in der Praxis verfügbar sind, bleibt es vorerst bei den gewohnten Bannern. Die angestrebte Automation erfordert eine branchenweite Implementierung, was Zeit in Anspruch nehmen wird.

Sonderregelung: Ausnahme für Medienanbieter

Eine wesentliche Ausnahme in dem Reformvorhaben ist für journalistische Online-Medien und Nachrichtenportale vorgesehen. Medienanbieter sollen von der oben beschriebenen automatischen Berücksichtigung von Browser-Präferenzen ausgenommen werden.

Die EU-Kommission begründet dies mit der besonderen Rolle des unabhängigen Journalismus in der Demokratie und dessen Finanzierung: Viele Nachrichten-Websites sind auf Werbeeinnahmen angewiesen, die häufig durch personalisierte Werbung erfolgt. Würden allgemeine „Do-Not-Track“-Signale strikt erzwungen, könnten diese Portale kein personalisiertes Tracking mehr durchführen, was ihre Werbeerlöse und damit ihre wirtschaftliche Grundlage gefährden könnte.

In der Praxis bedeutet diese Ausnahme: Selbst wenn ein Nutzer in seinem Browser „keine Tracking-Cookies“ voreingestellt hat, dürfte z.B. eine Nachrichten-Website trotzdem ein eigenes Cookie-Banner anzeigen und um Zustimmung zu personalisierter Werbung bitten. Die allgemeine Voreinstellung des Nutzers müsste in diesem speziellen Fall nicht automatisch akzeptiert werden.

Lese-Tipp: EU kassiert Lieferkettengesetz teilweise ein – Omnibus soll Unternehmen entlasten

Weitere technische Anpassungen im Überblick

Zusätzlich enthält der Entwurf weitere Änderungen, die das Cookie- und Tracking-Management aus Unternehmenssicht erleichtern sollen. Die wichtigsten Punkte sind:

Aggregierte Nutzungsdaten ohne Einwilligung: Die Nutzung von Cookies zu rein statistischen Zwecken (z.B. zur Reichweitenmessung), ohne individuelles Profiling, soll ohne vorherige Einwilligung zulässig sein. Insbesondere Sicherheits- und Reichweitenanalyse-Cookies könnten damit ohne Banner eingesetzt werden, solange nur aggregierte, anonymisierte Informationen gesammelt werden. Für Website-Betreiber würde dies bedeuten, dass etwa Besucherzahlen oder allgemeine Nutzungsstatistiken künftig einwilligungsfrei erhoben werden dürfen, sofern keine Persönlichkeitsprofile erstellt werden.
„Ein-Klick“-Cookie-Banner (Reject-All-Button): Um verbleibende Banner nutzerfreundlicher zu gestalten, soll ein vereinfachter Einwilligungs-Mechanismus vorgeschrieben werden. Nutzer müssen Cookies mit nur einem Klick annehmen oder ablehnen können. Insbesondere ein gut sichtbarer „Alle ablehnen“-Button wird verpflichtend, gleichwertig zum bisherigen „Alle akzeptieren“-Button. Manipulative Gestaltungen, wie etwa versteckte Ablehnungsoptionen, wären unzulässig. Dieses „Single-Click“-Prinzip soll sicherstellen, dass die Ablehnung von nicht notwendigen Cookies genauso einfach ist wie die Zustimmung, was den effektiven Nutzerschutz erhöht.
Browser-Signale als Widerspruch: Wie oben beschrieben, sollen Privacy Preference Signals (maschinenlesbare Opt-Out-Signale) ausdrücklich als gültiger Widerspruch nach DSGVO anerkannt werden. Stellt ein Nutzer z.B. via Browser generell „Tracking untersagen“ ein, so gilt dies als ausgeübtes Widerspruchsrecht, das der Datenverarbeitung entgegensteht. Webseiten müssten derartige Do-Not-Track-Header künftig automatisch auswerten und die Datenverarbeitung entsprechend unterlassen. Dies automatisiert die Durchsetzung von Nutzerpräferenzen und entlastet Betroffene davon, ihr Widerspruchsrecht auf jeder Seite erneut manuell auszuüben. Für Unternehmen ist wichtig, frühzeitig technische Lösungen zu implementieren, um solche Signale zu empfangen und zu beachten.

Ausblick: Wann sollen die neuen Cookie-Regeln in Kraft treten?

Der formelle Vorschlag der EU-Kommission wurde am 19. November 2025 vorgestellt. Anschließend durchläuft er das ordentliche EU-Gesetzgebungsverfahren: Europäisches Parlament und Rat der Mitgliedstaaten werden den Entwurf beraten und schließlich verabschieden. Dabei sind durchaus weitere Anpassungen der Vorschläge wahrscheinlich, da bereits jetzt kontroverse Diskussionen laufen und Datenschützer vor einer Aufweichung des Datenschutzes warnen.

Ein konkretes Datum, ab wann die neuen Regeln gelten, lässt sich derzeit nicht sicher benennen. Optimistische Szenarien gehen davon aus, dass die Reform bis Ende 2026 beschlossen sein könnte. In Kraft treten könnte sie dann frühestens 2027, abhängig vom Verlauf der Verhandlungen. Zudem dürfte es Übergangsfristen geben. So ist für die Einführung der Browser-Präferenzsignale, eine Umsetzungsfrist von etwa sechs Monaten vorgesehen, nachdem die technischen Standards definiert sind.

Quelle: Omnibus-Gesetz zu Data Act und DSGVO (PDF)

Aristotelis Zervos ist Editorial Director bei 2B Advice, Jurist und Journalist mit profundem Know-how in Datenschutz, DSGVO, IT-Compliance und KI-Governance. Er veröffentlicht regelmäßig fundierte Artikel zu KI-Regulierung, DSGVO-Compliance und Risikomanagement. Mehr über ihn erfahren Sie auf seiner Autorenprofil-Seite.