Cookie-Banner sollen in Europa weniger nerven, aber nicht einfach verschwinden. Genau diese Spannung steckt im Digital Omnibus: Die Europäische Kommission will Teile des digitalen Regelwerks vereinfachen, der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte unterstützen das Ziel grundsätzlich, warnen aber vor unklaren oder zu weitgehenden Änderungen. Für österreichische Website-Betreiber ist der praktische Punkt klarer als die politische Debatte: Consent-Management muss so sauber werden, dass Entscheidungen nicht nur in einem Banner, sondern auch maschinenlesbar, zweckbezogen und technisch nachvollziehbar funktionieren.
Der Digital Omnibus ist noch kein fertiges Gesetz. Aktuell gelten für Websites in Österreich weiterhin DSGVO, TKG 2021 und die bekannte Praxis rund um Cookies, Tracking, Einwilligungen und technisch notwendige Dienste. Der neue Anlass ist trotzdem wichtig, weil er zeigt, wohin sich die Regulierung bewegt: weg von dauernden Pop-ups als Hauptinstrument und hin zu verlässlicheren technischen Präferenzsignalen. Wer heute seine Zwecke, Dienste und Consent-Prozesse schlecht dokumentiert, wird von dieser Entwicklung nicht entlastet, sondern eher eingeholt.
Was der Digital Omnibus bei Cookies ändern will
Die Kommission hat den Digital Omnibus im November 2025 als Vereinfachungspaket vorgestellt. Betroffen sind mehrere digitale Rechtsakte, darunter DSGVO, ePrivacy-Regeln, Data Act und weitere Vorgaben. Beim Cookie-Thema geht es vor allem um die sogenannte Consent-Fatigue: Nutzerinnen und Nutzer werden ständig gefragt, klicken Banner weg und verlieren den Überblick darüber, welche Entscheidungen sie wirklich treffen.
EDPB und EDPS schreiben in ihrer gemeinsamen Stellungnahme, dass sie das Ziel unterstützen, Cookie-Banner-Flut und Einwilligungsmüdigkeit regulatorisch anzugehen. Besonders relevant ist ihr Hinweis auf automatisierte und maschinenlesbare Anzeigen der Nutzerentscheidungen. Gemeint ist: Der Wunsch einer Person könnte künftig stärker über technische Mittel wie Browser- oder Geräteeinstellungen ausgedrückt werden, statt auf jeder Website neu in einem Banner verhandelt zu werden. Gleichzeitig betonen die Datenschutzbehörden, dass Vereinfachung nicht zulasten der Grundrechte gehen darf.
Für Österreich bleibt der Ausgangspunkt das TKG
Für österreichische Websites ist § 165 TKG 2021 weiterhin der operative Ausgangspunkt. Vereinfacht gesagt braucht das Speichern von Informationen auf einem Endgerät oder der Zugriff auf bereits gespeicherte Informationen eine Einwilligung, außer die Speicherung oder der Zugriff ist unbedingt erforderlich, um einen ausdrücklich gewünschten Dienst bereitzustellen oder eine Nachricht zu übertragen. Die Datenschutzbehörde erklärt in ihren Cookie-FAQ ebenfalls, dass technisch nicht notwendige Cookies nicht einfach ohne passende Rechtsgrundlage gesetzt werden dürfen.
Das ist wichtig, weil manche Digital-Omnibus-Diskussionen so klingen, als würde ein neuer EU-Vorschlag Banner sofort überflüssig machen. Das wäre für die Praxis gefährlich. Bis es einen fertigen Rechtsakt, nationale Anpassungen und belastbare technische Standards gibt, müssen österreichische Website-Betreiber weiterhin sauber zwischen notwendigen Diensten, Statistik, Marketing, externen Medien, Sicherheitsdiensten und Komfortfunktionen unterscheiden. Genau dafür ist ein ordentlich eingerichteter AdSimple Consent Manager die richtige technische Basis.
Maschinenlesbar heißt: Zwecke müssen präzise sein
Ein maschinenlesbares Signal kann nur so gut sein wie das dahinterliegende Zweckinventar. Wenn ein Banner heute unklare Sammelkategorien wie „Marketing“ oder „Optimierung“ verwendet, wird daraus morgen kein präzises Browser-Signal. Website-Teams sollten deshalb jetzt prüfen, welche Zwecke wirklich gebraucht werden: Webanalyse, Conversion-Messung, Remarketing, Videoeinbettungen, Karten, Chat, Affiliate-Tracking, A/B-Testing, Sicherheitslogs oder Consent-Dokumentation. Jeder Zweck braucht eine klare Funktion, einen technischen Dienst, eine Speicherdauer und eine nachvollziehbare Entscheidung.
Gerade der Beitrag zu technisch notwendigen Cookies zeigt, warum diese Trennung nicht kosmetisch ist. Ein Warenkorb-Cookie, ein Consent-Status oder ein Login-Token haben eine andere Rolle als ein Werbeprofil oder ein Video-Tracker. Wenn künftig Browserpräferenzen stärker berücksichtigt werden, müssen CMPs genau verstehen, welcher Dienst auf welches Signal reagieren soll. Pauschale Gruppen werden dafür zu grob.
Cookie-Banner werden nicht kürzer, wenn das Setup chaotisch ist
Viele Banner sind nicht deshalb lang, weil das Recht so viel Text verlangt, sondern weil der Website-Stack unübersichtlich ist. WordPress-Plugins bringen Tracking-Pixel mit, Marketing-Tools laden externe Skripte, eingebettete Medien setzen eigene Speicherobjekte und Shop-Systeme ergänzen Analysefunktionen. Wer diese Dienste nicht inventarisiert, kann auch kein schlankes, verständliches und später maschinenlesbares Consent-System bauen.
Ein sinnvoller erster Schritt ist ein Diensteregister: Welche Skripte, Cookies, Local-Storage-Einträge und externen Requests gibt es wirklich? Welche davon laufen vor einer Einwilligung? Welche sind für die Website technisch notwendig? Welche gehören in Statistik oder Marketing? Welche sind überflüssig geworden? Die Dokumentation dieser Dienste gehört auch in die Datenschutzerklärung. Hier ergänzt der AdSimple Datenschutz Generator das Consent-Setup, weil Banner und Datenschutzerklärung dieselbe Realität beschreiben müssen.
Browser-Signale brauchen technische Verantwortung
Wenn Nutzerentscheidungen stärker über automatisierte oder maschinenlesbare Mittel laufen, verschiebt sich Verantwortung in die Technik. Die Website muss solche Signale erkennen, interpretieren und mit bestehenden Consent-Entscheidungen abgleichen können. Was passiert, wenn eine Person im Browser Tracking ablehnt, im Banner aber später Statistik erlaubt? Welche Entscheidung ist aktueller? Wie wird ein Widerruf dokumentiert? Wie werden Einwilligungen auf mehreren Geräten behandelt?
Diese Fragen sind nicht abschließend geregelt, aber sie sollten bereits in die technische Planung. Ein Consent-System braucht klare Prioritäten, Audit-Logs, Widerrufsmöglichkeiten und saubere Schnittstellen zu Tag Manager, Analyse-Tools und Marketing-Plattformen. Für Kampagnen mit sensibleren Einwilligungsfragen, etwa politisches Targeting, haben wir im Beitrag zu politischer Online-Werbung und Consent-Pflichten gezeigt, wie schnell allgemeine Marketing-Einwilligungen an ihre Grenzen kommen. Der Digital Omnibus verstärkt diesen Punkt: Einwilligungen müssen nicht lauter, sondern präziser werden.
Kontextuelle Werbung wird wieder interessanter
EDPB und EDPS laden die Gesetzgeber ausdrücklich ein, kontextuelle Werbung gegenüber verhaltensbasierter Werbung zu fördern. Für Website-Betreiber und Marketing-Teams ist das ein strategischer Hinweis. Wenn regulatorische Vereinfachung vor allem dort leichter fällt, wo keine umfangreichen personenbezogenen Profile gebraucht werden, sollte Online-Marketing nicht jede Kampagne automatisch auf Drittanbieter-Tracking und Behavioral Targeting aufbauen.
Kontextuelle Werbung, saubere UTM-Strukturen, serverseitige Auswertung ohne unnötige Personenbezüge, First-Party-Statistik und klare Content-Zielgruppen können robuster sein als ein komplexes Pixel-Setup. Das bedeutet nicht, dass Performance-Marketing endet. Es bedeutet, dass Website-Betreiber genauer entscheiden sollten, welche Messung wirklich nötig ist und welche Tracking-Schicht nur historisch gewachsen ist. AdSimple kann über Online Marketing und Datenschutz-Setup helfen, diese Balance pragmatisch zu prüfen.
Was Website-Betreiber jetzt vorbereiten können
Niemand muss wegen des Digital Omnibus heute ein noch nicht beschlossenes Zielsystem implementieren. Sinnvoll ist aber ein Audit in fünf Schritten. Erstens: Dienste und Cookies tatsächlich scannen, nicht nur alte Bannertexte lesen. Zweitens: Zwecke verschlanken und so benennen, dass sie auch technisch eindeutig verarbeitet werden können. Drittens: Consent-Status, Widerruf und Nachweislogik prüfen. Viertens: Tag Manager, Analyse-Tools und Marketing-Skripte darauf testen, ob sie vor der passenden Einwilligung wirklich blockiert bleiben. Fünftens: dokumentieren, welche Dienste technisch notwendig sind und welche nicht.
Für KMU und Selbstständige muss daraus kein Großprojekt werden. Ein kurzer, wiederholbarer Consent-Check reicht oft aus, um alte Tools, doppelte Tracker und unklare Kategorien zu finden. Wer mehrere Websites oder Shops betreibt, sollte diesen Check in ein laufendes Business Paket oder in einen festen Website-Audit integrieren. Entscheidend ist, dass Cookie- und Tracking-Entscheidungen nicht nur beim Relaunch geprüft werden, sondern bei jedem neuen Plugin, Kampagnentool oder eingebetteten Dienst.
Fazit: Weniger Banner heißt mehr saubere Architektur
Der Digital Omnibus ist kein Freibrief für Tracking ohne Einwilligung und kein Signal, Cookie-Banner jetzt zu ignorieren. Er ist ein Hinweis darauf, dass Consent künftig stärker technisch standardisiert, maschinenlesbar und nutzerfreundlich werden soll. Wer seine Website heute auf klare Zwecke, nachvollziehbare Dienstedokumentation und saubere Blockierung vor Einwilligung ausrichtet, ist dafür besser vorbereitet.
Für österreichische Website-Betreiber lautet die praktische Aufgabe daher: Banner nicht schöner reden, sondern den Website-Stack ordnen. Dann kann ein künftiges maschinenlesbares Consent-Signal überhaupt sinnvoll verarbeitet werden. Bis dahin bleiben die bekannten Pflichten bestehen, und ein gutes Consent-Setup ist weniger ein Pop-up als eine Architekturentscheidung.
Hinterlassen Sie einen Kommentar
Sie müssen angemeldet sein um einen Kommentar zu schreiben.