Blogartikel

Digital Omnibus: Was die DSGVO-Reform für das Online-Marketing bedeutet

by
Alexandra Spiropoulos
Erstellt:
November 28, 2025
4
min read

Die EU-Kommission hat einen Entwurf für den zweiten Digital Omnibus vorgelegt, der weitreichende Änderungen im Bereich ePrivacy und Cookie-Regulierung vorsieht. Der Entwurf stößt auf erhebliches Interesse in der Branche und wirft zahlreiche Fragen zur künftigen Gestaltung des Online-Marketings auf. Eine Einordnung auf Basis der Analyse des führenden Datenschutzjursiten Tilman Herbrich von Spirit Legal hier im JENTIS-Webinar zum Thema. 

First-Party-Analyse wird privilegiert

Der Entwurf sieht vor, dass die Erhebung aggregierter Informationen über die Nutzung eines Online-Dienstes zur Reichweitenmessung künftig ohne Einwilligung zulässig sein soll. Dies gilt unter folgenden Voraussetzungen:

  • On-Premise-Verarbeitung: Die Datenverarbeitung erfolgt auf der eigenen Server-Infrastruktur
  • Keine Auftragsverarbeitung: Ausschluss der Weitergabe an externe Dienstleister
  • Eigennutzung: Die Daten werden ausschließlich für eigene Analysezwecke verwendet
  • Aggregation: Verarbeitung nur in aggregierter Form
  • Keine Drittübermittlung: Keine Weitergabe an Drittsysteme oder Third-Party-Plattformen

On-Premise Analyselösungen würden die Kriterien dieser Ausnahme erfüllen. Für Unternehmen, die konsequent auf First-Party-Datenarchitekturen setzen, würde dies eine erhebliche rechtliche Vereinfachung bedeuten. Server-Side-Tracking-Lösungen, die diese strikten Anforderungen erfüllen, würden ebenfalls von der Ausnahmeregelung profitieren.

Browser-Einstellungen als Einwilligungsmodalität statt Cookie-Banner

Zu den meistdiskutierten Neuerungen gehört die vorgesehene Möglichkeit, Browser-Einstellungen als Einwilligungsmodalität zu nutzen. Der Ansatz sieht vor, dass zentrale Einstellungen im Browser die bisherigen Cookie-Banner ersetzen könnten. 

Die rechtlichen Anforderungen bleiben allerdings unverändert: Eine wirksame Einwilligung muss nach geltendem Recht informiert, spezifisch und bestimmt sein. Der Nutzer muss über Empfänger, Datenkategorien und Verarbeitungszwecke konkret informiert werden. 

Browser-Einstellungen können diese Anforderungen technisch nicht erfüllen, da für jede Website individuell die spezifischen Empfänger und Zwecke abgebildet werden müssten. 

Historisch ist der Ansatz nicht neu: Bereits im Zeitraum 2014 bis 2016 wurde ein vergleichbares Konzept diskutiert. Die Erwägungsgründe der damaligen Cookie-Richtlinie enthielten bereits entsprechende Überlegungen. Die juristische Fachdiskussion kommt zu einem eindeutigen Ergebnis: Technische Signale können eine rechtswirksame Einwilligung nicht ersetzen. Eine Einwilligung stellt eine höchstpersönliche Willenserklärung dar, die bewusst und informiert artikuliert werden muss.

Die bestehende Rechtsprechung wird die hohen rechtlichen Standards nicht reduzieren. Consent Management Platforms und Cookie-Banner bleiben daher auf absehbare Zeit Bestandteil der Compliance-Landschaft.

Kontinuität und Verschärfung bestehender Anforderungen

Während der Entwurf in einigen Bereichen Lockerungen vorsieht, bleiben zentrale Compliance-Anforderungen bestehen oder werden verschärft:

Tag-Management-Systeme: Einwilligungspflicht bleibt

Das Urteil des Verwaltungsgerichts Hannover zu Google Tag Manager behält seine Relevanz. Tag-Management-Systeme werden als Third-Party-Systeme klassifiziert und benötigen eine Einwilligung. Der sogenannte Consent Mode stellt keinen Ersatz für eine rechtswirksame Einwilligung dar. Er regelt ausschließlich das technische Verhalten nach erteiltem oder verweigertem Consent. Der Entwurf sieht für Tag-Management-Systeme keine Ausnahme vor.

Personenbezug von IP-Adressen

Der Entwurf sieht eine Anpassung der Definition personenbezogener Daten vor – von einem objektiven zu einem subjektiven Verständnis des Personenbezugs. Während beim objektiven Verständnis bereits dann ein Personenbezug vorliegt, wenn irgendeine Stelle die Möglichkeit hätte, eine Person zu identifizieren, stellt das subjektive Verständnis darauf ab, ob der konkrete Empfänger der Daten selbst oder mit realistischen rechtlichen Mitteln eine Identifikation vornehmen kann. 

Für den Online-Kontext ergeben sich daraus jedoch keine praktischen Änderungen. IP-Adressen bleiben personenbezogen, da Server-Betreiber in Sicherheitsvorfällen Auskunftsansprüche gegenüber Behörden geltend machen können, die wiederum beim Telekommunikationsanbieter die Zuordnung zum Anschlussinhaber vornehmen. Diese rechtlichen Mechanismen bleiben erhalten, die etablierte EuGH-Rechtsprechung behält ihre Gültigkeit.

Weiter bleiben pseudonymisierte Daten personenbezogene Daten, solange eine Zuordnung möglich ist. Dies betrifft insbesondere große Plattformen, die durch Logins oder technische Mittel theoretisch eine Identifikation vornehmen könnten.

Zeitliche Restriktionen bei Consent-Abfragen

Der Entwurf kodifiziert neue zeitliche Beschränkungen für Einwilligungsabfragen:

  • Nach erteilter Einwilligung: 12 Monate Sperrfrist für erneute Abfrage
  • Nach Ablehnung: 6 Monate Sperrfrist

Diese Regelungen wurden von Aufsichtsbehörden bereits als faktischer Standard angewendet, erhalten nun jedoch explizite gesetzliche Verankerung.

Die praktischen Konsequenzen dieser Sperrfristen sind erheblich: Wenn ein Nutzer in einer Consent Management Platform "Reject All" wählt oder ein entsprechendes Signal sendet, darf er für sechs Monate nicht erneut angesprochen werden. Unternehmen verlieren damit die Möglichkeit, Nutzer über Landing Pages oder andere Mechanismen zur Erteilung einer Einwilligung zu motivieren. Dies wird voraussichtlich zu sinkenden Consent-Raten führen, von denen insbesondere kleine und mittlere Unternehmen betroffen sein werden.

Zusätzlich ergeben sich technische Herausforderungen für CMP-Anbieter: Cookie-Präferenzen werden im Endgerät gespeichert. Da CMPs jedoch Third-Party-Provider im First-Party-Kontext sind, stellt sich die Frage, ob ihre Cookies mit den neuen, abschließenden Regelungen vereinbar sind. Für CMPs würde dies bedeuten, dass A/B-Testing oder Pre-Consent-Geolocation nicht mehr möglich wären, da der Endgerätezugriff ohne vorherige Einwilligung unzulässig ist.

Die Unschärfen in der Sprache des Entwurfs – was genau als First Party und On-Premise gilt – werden nicht beseitigt. Auch hier gibt es jedoch eine zweijährige Übergangsfrist nach Inkrafttreten (2026/27), die CMPs Zeit gibt, sich mit der Thematik auseinanderzusetzen und Lösungswege zu entwickeln.

Server-Side-Tracking und Third-Party-Advertising

Serverseitiges Tracking fällt nicht automatisch unter die First-Party-Ausnahme, solange es nicht vollständig im eigenen Systemumfeld betrieben wird und eine Weitergabe an externe Systeme erfolgt. Für Third-Party-Tracking und Advertising bleibt die Einwilligung weiterhin zentrale Voraussetzung. Alle Technologien, die Daten weiterleiten oder extern verarbeiten, benötigen auch künftig eine Einwilligung.

Eindämmung von Compliance-Workarounds

Unabhängig von der finalen Ausgestaltung des Gesetzestextes lässt sich eine klare regulatorische Intention identifizieren: Die Eindämmung sogenannter Dark Patterns und technischer Workarounds bei Einwilligungsabfragen.

In den vergangenen Jahren haben Unternehmen verschiedene Strategien entwickelt, um hohe Zustimmungsraten zu erzielen – durch UI-Design-Optimierung, vorangekreuzte Optionen oder komplexe Ablehnungsprozesse. Der Entwurf signalisiert, dass der Gesetzgeber diese Praktiken künftig stärker unterbinden möchte.

Die strategische Konsequenz für Unternehmen: Die Erwartung maximaler Zustimmungsraten durch optimierte Banner-Gestaltung wird nicht länger realistisch sein. Unternehmen müssen sich darauf einstellen, dass ein signifikanter Anteil der Nutzer keine Einwilligung erteilen wird.

Dies erfordert eine strategische Neuausrichtung: Die Entwicklung von Analysemethoden für Non-Consent-Traffic gewinnt an Bedeutung. Unternehmen sollten evaluieren, welche Erkenntnisse auch ohne Einwilligung rechtssicher gewonnen werden können und welche technischen Lösungen hierfür zur Verfügung stehen.

Weitreichende Erleichterungen für KI-Training

Der Entwurf enthält weitreichende Erleichterungen für das Training von KI-Systemen. Auch sensible Daten sollen unter bestimmten Bedingungen ohne Einwilligung verarbeitet werden dürfen. Diese Bestimmungen richten sich insbesondere an große Technologieanbieter.

Für den Marketingbereich ergeben sich daraus jedoch keine direkten praktischen Konsequenzen, da die im Entwurf genannten Regelungen auf andere Verarbeitungskontexte abzielen. Die Diskussionen um KI-Training dominieren zwar die öffentliche Debatte zum Entwurf, haben aber für das operative Online-Marketing derzeit keine unmittelbare Relevanz.

Einordnung und strategische Handlungsempfehlungen

Realistischer Blick auf den Gesetzgebungsprozess

Eine abschließende Einordnung ist essenziell: Der vorliegende Text stellt einen Kommissionsentwurf dar, kein verabschiedetes Gesetz. Der Entwurf durchläuft nun einen mehrstufigen Prozess: Das EU-Parlament erarbeitet eine eigene Position, ebenso der Rat der 27 Mitgliedstaaten. Im anschließenden Trilog-Verfahren werden diese Positionen zu einem Kompromiss zusammengeführt.

Die zeitlichen Perspektiven sind langfristig: Ein Inkrafttreten ist realistischerweise frühestens 2026 oder 2027 zu erwarten. Die im Entwurf vorgesehenen Browser-Einstellungen als Einwilligungsmodalität würden erst 48 Monate nach Verkündung greifen.

Der Digital Omnibus ist der zweite Teil einer Reihe von Reformvorhaben. Weitere Anpassungen sind bereits angekündigt, einschließlich einer möglichen Öffnung der DSGVO in einem kommenden dritten Schritt. Mit weiteren DSGVO-Anpassungen für 2025 bleibt die regulatorische Landschaft in Bewegung.

Was das kurzfristig und langfristig bedeutet

Kurzfristig ergibt sich aus dem Entwurf kein unmittelbarer Handlungsbedarf. Langfristig steigt jedoch die Bedeutung von First-Party-Infrastrukturen insbesondere dort, wo einwilligungsfreie Analyse zulässig wäre.

Handlungsempfehlungen für Unternehmen

Trotz der langfristigen Timeline ist strategische Vorbereitung empfehlenswert:

  • Langfristige Perspektive mit proaktivem Ansatz: Die Timeline erlaubt strategische Planung, frühzeitige Vorbereitung verschafft jedoch Wettbewerbsvorteile
  • Evaluation von First-Party-Architekturen: Lösungen, die die strengen Kriterien für einwilligungsfreie First-Party-Analyse erfüllen, gewinnen an Bedeutung
  • Non-Consent-Strategien: Entwicklung von Analysemethoden, die auch bei niedrigen Zustimmungsraten valide Erkenntnisse liefern
  • Technologiebewertung: On-Premise-Analysetools und konforme Server-Side-Tracking-Lösungen sollten evaluiert werden
  • Compliance-Monitoring: Kontinuierliche Beobachtung des Gesetzgebungsprozesses und rechtzeitige Anpassung der Strategien

Die Datenschutzregulierung entwickelt sich kontinuierlich weiter. Unternehmen, die sich frühzeitig mit den regulatorischen Entwicklungen auseinandersetzen und zukunftsfähige technische Lösungen implementieren, schaffen sich strategische Vorteile – unabhängig von der finalen Ausgestaltung der gesetzlichen Regelungen.

Alexandra Spiropoulos

Alexandra ist Marketing Content Specialist bei JENTIS und erstellt Inhalte für Kampagnen sowie digitale Marketinginitiativen. Seit 2024 ist sie Teil des Teams und arbeitet daran, die Markenbotschaft über verschiedene Kanäle hinweg zu schärfen. Zuvor sammelte sie Erfahrungen im Marketing und in der Kommunikation bei Unternehmen wie Austrian Airlines.

Mehr erfahren

Der Consent Gap: Was er ist und was er für deine Marketing Performance bedeutet

Viele Unternehmen unterschätzen, wie groß die Lücke zwischen sichtbaren und tatsächlich stattfindenden Conversions wirklich ist.

Der Consent Gap: Was er ist und was er für deine Marketing Performance bedeutet

Viele Unternehmen unterschätzen, wie groß die Lücke zwischen sichtbaren und tatsächlich stattfindenden Conversions wirklich ist.

Pseudonymization: Server-side tracking with Data Protection

The JENTIS Data Capture Platform provides secure and powerful pseudonymisation to help you comply with data protection rules quickly and easily.

Pseudonymization: Server-side tracking with Data Protection

The JENTIS Data Capture Platform provides secure and powerful pseudonymisation to help you comply with data protection rules quickly and easily.

Alles über Consent Banner: Von den Basics zu Best Practices

Cookie Banner sind unverzichtbare Tools für datenschutzkonformes Webdesign – sie können dabei sowohl Nutzervertrauen stärken als auch gesetzliche Anforderungen erfüllen.

Alles über Consent Banner: Von den Basics zu Best Practices

Cookie Banner sind unverzichtbare Tools für datenschutzkonformes Webdesign – sie können dabei sowohl Nutzervertrauen stärken als auch gesetzliche Anforderungen erfüllen.

Produkt

Tag ManagementSynthetic UsersEssential ModePrivacy Controls

Plattform

ÜberblickKonnektorenHostingCustomer Service

Teams

MarketingE-CommerceAnalytics & BIDPOs & Legal

Heading

Text LinkText LinkText LinkText LinkText Link

JENTIS © 2025

DatenschutzerklärungAGBImpressumCookie-Einstellungen

Use Cases

Ad PerformanceAttributionDatenschutz-CompliancePersonalisierungFirst-Party DatenstrategienConsent RecoveryTesting & Optimierung

Ressourcen

EventsBlogDokumentationCase StudiesGuides & ReportsFAQs

Branchen

Handel & E-CommerceBanken & FinanzMedien & VerlageEnterprise

Company

Über unsKarrierenSales kontaktierenJENTIS auf LinkedInJENTIS auf Youtube
JENTIS is an ISO 27001 certified company.
Track better. Convert more.