Auf Wiedersehen Cookie-Banner? Was der digitale Omnibus für die EPrivacy-RL ändert

von RA Clemens Handl 

 1. Einleitung

Die rechtlichen Vorgaben für den Einsatz von Cookies und anderen Tracking-Technologien sind bislang im Zusammenspiel zwischen der DSGVO und der europäischen   geregelt. Während die DSGVO die Verarbeitung personenbezogener Daten normiert, stellt die ePrivacy-Richtlinie als lex specialis zur DSGVO auf den Schutz der Privatsphäre in der elektronischen Kommunikation und insbesondere auf den Zugriff auf Endgeräte ab – unabhängig davon, ob personenbezogene Daten betroffen sind.

Die ePrivacy-Richtlinie stammt jedoch aus einer Zeit, in der Cookies eine der meistverwendeten Tracking-Technologien waren und andere modernere (Tracking-)Methoden nicht berücksichtigt wurden. Die Folge waren uneinheitliche nationale Umsetzungen innerhalb der EU sowie divergierende Anforderungen an Einwilligungen, was insbesondere für international tätige Unternehmen einen erheblichen Umsetzungs- und Verwaltungsaufwand bedeutete. Auch in Österreich blieben trotz Orientierung an europäischen Leitlinien zahlreiche Zweifelsfragen offen, insbesondere an der Schnittstelle zwischen DSGVO und der ePrivacy-Richtlinie.

Diese Ausgangslage bildet den Hintergrund für die geplanten Änderungen durch den sogenannten „Digitalen Omnibus“.

2. Geplante Änderung

Der Digitale Omnibus ist eine von der Europäischen Kommission vorgeschlagene Initiative, die mehrere bestehende Rechtsakte im digitalen Bereich harmonisieren soll. Für die ePrivacy-Richtlinie verfolgt er das Ziel, die bestehende Richtlinie zu modernisieren, technische Entwicklungen einzubeziehen und europaweit einheitlichere Standards zu schaffen. Da die Einführung einer neuen ePrivacy-Verordnung gescheitert ist, ist der neue Vorschlag der Europäischen Kommission nun, die Anforderungen an Cookies (und ähnliche Speichertechnologien) in die DSGVO zu integrieren und somit eine Vollharmonisierung der Cookie-Thematik zu erreichen.

Nach den derzeitigen Regelungen des TKG ist das Setzen von Cookies ohne Einwilligung nur zulässig, wenn diese zwingend erforderlich sind, um einen vom Anbieter bereitgestellten Dienst zu ermöglichen. Jede darüber hinausgehende Verwendung von Cookies unterliegt der Einwilligungspflicht. Nach der Rechtsprechung des EuGH muss diese Einwilligung aktiv erteilt werden. Eine wirksame Einwilligung liegt daher nicht vor, wenn die Speicherung von Informationen mittels Cookies durch ein voreingestelltes Ankreuzkästchen gestattet wird, das der Nutzer lediglich abwählen muss. Der EuGH hat zudem klargestellt, dass der Diensteanbieter den Nutzer einer Website vor Erteilung der Einwilligung darüber informieren muss, wie lange die Cookies funktionsfähig sind und ob Dritte Zugriff auf die Cookies erhalten können.

2.1. Einheitlicher Rechtsrahmen für Cookies und vergleichbare Technologien 

Vor diesem Hintergrund soll der neue Artikel 88a DSGVO einen einheitlichen Rahmen für den Umgang mit personenbezogenen Daten beim Einsatz von Cookies oder ähnlichen Technologien schaffen. Demnach wäre eine Verarbeitung ohne Einwilligung zulässig, wenn sie zwingend für die Übermittlung von Informationen, für einen ausdrücklich von der Nutzer:in angeforderten Dienst, für die Messung der eigenen Reichweite oder für die Sicherheit des Dienstes beziehungsweise des Endgeräts erforderlich ist.

In allen anderen Fällen bleibt wie bisher die Einwilligung der Nutzer:innen Voraussetzung. Diese wird meist unkompliziert per Klick erteilt und muss ebenso leicht widerrufbar sein. Ein Widerruf oder eine Ablehnung muss für sechs Monate respektiert werden. Erst nach Ablauf dieser sechs Monate, darf erneut nach einer Einwilligung für denselben Zweck gefragt werden.

2.2.Änderungen bei der automatisierten Einwilligungsverwaltung

Artikel 88b DSGVO stärkt die Nutzerautonomie, indem er Vorgaben für die macht. Spätestens 24 Monate nach Inkrafttreten müssen betroffene Personen die Möglichkeit haben, ihre Einwilligung auf diesen technischen Wegen zu verwalten, etwa indem sie einmal zentral festlegen, welchen Datenverarbeitungen sie zustimmen und welchen nicht. Diese Einstellungen können beispielsweise in einem Browser hinterlegt werden und werden beim Aufruf einer Website automatisch an den jeweiligen Diensteanbieter übermittelt, sodass eine erneute Abfrage der Einwilligung entfällt. Für Mediendiensteanbieter gelten dabei bestimmte Ausnahmen.

Darüber hinaus verpflichtet der Artikel Hersteller von Webbrowsern mit der Ausnahme von kleinen und mittleren Unternehmen, innerhalb von 48 Monaten nach Inkrafttreten technische Lösungen bereitzustellen, die das automatisierte Erteilen sowie Empfangen solcher maschinenlesbaren Einwilligungen ermöglichen.

2.3.Weitere Änderungen

Artikel 4 der ePrivacy Richtline, der bislang Sicherheitsanforderungen für Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste regelte, soll gestrichen werden. Die Europäische Kommission begründet dies damit, dass die entsprechenden Pflichten inzwischen vollständig von der NIS2-Richtlinie abgedeckt werden und der Artikel daher keinen eigenständigen Mehrwert mehr bietet.

Auch Artikel 5 Absatz 3 der ePrivacy Richtlinie erfährt eine Neuausrichtung: während er bislang auch die Verarbeitung personenbezogener Daten erfasste, soll er künftig ausschließlich auf nicht personenbezogene Daten Anwendung finden. Die Verarbeitung personenbezogener Daten auf oder über Endgeräte fällt dagegen künftig unter die in der DSGVO neu eingefügten Artikel 88a und 88b, die spezifische Anforderungen an Einwilligungen und technische Standards festlegen.

3. Auswirkungen in der Praxis

Die geplanten Änderungen im Rahmen des Digitalen Omnibus bringen eine deutliche Vereinheitlichung der bislang uneinheitlich geregelten Cookie- und Trackingvorgaben. Durch die Integration zentraler ePrivacy-Regeln in die DSGVO entstehen klarere und konsistentere Anforderungen, was insbesondere grenzüberschreitend tätigen Unternehmen die Umsetzung erleichtert. Der neue Artikel 88a schafft erstmals einen europaweit einheitlichen Rahmen dafür, wann Cookies und ähnliche Technologien ohne Einwilligung eingesetzt werden dürfen – etwa für technische Übermittlungen, sicherheitsrelevante Zwecke oder die reine Reichweitenmessung. Für alle anderen Zwecke bleibt die Einwilligung verpflichtend und muss künftig noch transparenter, leichter widerrufbar und zeitlich genauer gesteuert werden. Insbesondere der verpflichtende sechsmonatige Sperrzeitraum nach einem Widerruf erfordert Anpassungen an bestehenden Consent-Management-Systemen. Zugleich soll die neue Regelung es Nutzer:innen ermöglichen, Cookie-Entscheidungen mit einem einzigen Klick auf Geräte- oder Browser-Ebene zu treffen. Dadurch soll die derzeit kaum noch zumutbare Häufigkeit von Cookie-Banner-Einblendungen deutlich reduziert werden.

Mit Artikel 88b steigen darüber hinaus die technischen Anforderungen: Nutzer:innen sollen ihre Einwilligungen künftig automatisiert und maschinenlesbar verwalten können, was zu spürbaren Änderungen bei Plattformen, Werbenetzwerken, Browsern und Consent-Tools führen wird. Browserhersteller müssen entsprechende Lösungen innerhalb von vier Jahren bereitstellen, wodurch langfristig einheitlichere technische Standards für die Einwilligung entstehen dürften. Die Neuausrichtung des bisherigen Artikel 5 Absatz 3 auf nicht personenbezogene Daten und die Streichung des Sicherheitsartikels 4 schaffen zusätzliche Klarheit, ohne größere praktische Belastungen.

Insgesamt wird das Zusammenspiel von DSGVO und ePrivacy deutlich transparenter und moderner, gleichzeitig steigen die Anforderungen an technische Einwilligungssysteme und an eine präzise Unterscheidung zwischen notwendigen und einwilligungspflichtigen Verarbeitungen.

4. Schlussfolgerung und Empfehlung

Der Digitale Omnibus modernisiert die ePrivacy-Regelungen und schafft einen zeitgemäßeren, technologieneutralen Rechtsrahmen. Für Österreich bedeutet dies eine Harmonisierung mit europäischen Standards, eine klarere Struktur in der Rechtsanwendung und eine bessere Einordnung moderner Tracking-Technologien. Gleichzeitig erhöhen sich die Anforderungen an Transparenz, Dokumentation und technische Integration. Unternehmen sollten die kommenden Änderungen daher nicht abwarten, sondern frühzeitig prüfen, welche Anpassungen notwendig werden.

Empfehlenswert ist eine umfassende Analyse der eigenen Web-, App- und Tracking-Landschaft, die Überprüfung der aktuellen Consent-Banner-Gestaltung sowie eine frühzeitige Abstimmung zwischen Datenschutz, Marketing und IT. So können potenzielle Risiken rechtzeitig identifiziert und kommende regulatorische Anforderungen effizient umgesetzt werden.