Die EU-Kommission verfolgt mit dem Digital-Omnibus ein ambitioniertes Reformpaket, das unter anderem die Regeln für Cookie-Banner und Online-Tracking grundlegend neu ordnen soll. Ziel ist erklärtermaßen die Reduzierung von Bürokratie und „consent fatigue“ – also der Ermüdung der Nutzer durch überbordende Einwilligungsabfragen. Ob das gelingt, ist allerdings fraglich. Eine erste Analyse zeigt: Es wird komplizierter, nicht einfacher.

Was ist der Digital-Omnibus?

Das Omnibus-Paket ist ein Änderungsrechtsakt, der in einer Vorlage gleich mehrere bestehende EU-Regelwerke anpasst – neben der Datenschutzgrundverordnung auch den AI Act und den Data Act. Für die Praxis im Bereich Cookies und Tracking relevant sind vor allem die neuen Artikel 88a und 88b DSGVO sowie eine Anpassung der Begriffsbestimmungen in Art. 4 DSGVO. Erwartet wird die Verabschiedung aktuell für Ende 2026. Die Konsultationsphase für Verbände wurde im März abgeschlossen.

Eine neue Definition personenbezogener Daten

Die DSGVO soll eine so genannte relationale Einschränkung erhalten: Informationen sind dann nicht mehr sofort für jedermann personenbezogen, nur weil irgendeine Stelle die betroffene Person darüber identifizieren könnte. Entscheidend ist, ob die jeweils datenverarbeitende Stelle selbst die Person mit vernünftigerweise einsetzbaren Mitteln identifizieren kann. Diese Klarstellung setzt vor allem die EuGH-Rechtsprechung in den Sachen Breyer, Gesamtverband Autoteile-Handel und SRB um und könnte für First-Party-Cookie-Szenarien praktische Entlastung bringen.

Das neue Kernelement: Artikel 88a DSGVO

Der neue Art. 88a DSGVO würde weite Teile des bisherigen Art. 5 Abs. 3 ePrivacy-Richtlinie (in Deutschland umgesetzt in § 25 TDDDG) in das DSGVO-Regime überführen. Für den praktischen Betrieb von Websites und digitalen Diensten ergeben sich daraus folgende einwilligungsfreie Tatbestände:

1. Übertragung einer elektronischen Kommunikation (unverändert).
2. Bereitstellung eines vom Nutzer ausdrücklich angeforderten Dienstes – Session-Cookies, Warenkorb-Cookies, Login-Persistenz
3. Erstellung aggregierter Informationen über die Nutzung eines Online-Dienstes zur eigenen Reichweitenmessung – wichtige Einschränkung: nur durch den Betreiber selbst und nur für eigene Zwecke (Drittanbieter-Tracking bleibt also einwilligungspflichtig)
4. Aufrechterhaltung oder Wiederherstellung der Sicherheit des Dienstes oder des genutzten Endgeräts – Bot-Schutz, Login-Sicherheit, 2-Faktor-Authentifizierung

Gegenüber dem bisherigen Recht wird darüber hinaus die allgemeine Schwelle abgesenkt: War eine Einwilligung bisher nur bei Datenverarbeitungen, die „for the sole purpose“ der Bereitstellung eines Online-Dienstes „strictly necessary“ allgemein entbehrlich, soll künftig eine „necessary“ Datenverarbeitung reichen. Das könnte eine spürbare, wenn auch moderate Erleichterung bedeuten.

Neue Pflichten beim Consent-Management: Artikel 88a Abs. 4 DSGVO

Wenn eine Einwilligung eingeholt wird, gelten künftig klare Anforderungen an die Banner-Gestaltung. Die Ablehnung muss mit einem einzigen Klick möglich sein („single-click button or equivalent means“). Liegt eine Einwilligung bereits vor, darf für denselben Zweck kein erneutes Consent-Banner angezeigt werden, solange die Einwilligung wirksam ist. Wurde die Einwilligung verweigert, darf für denselben Zweck mindestens sechs Monate lang kein neuer Consent-Request erfolgen. Praktisch bedeutet das, dass ein „Do-not-track“-Cookie für diesen Zeitraum gesetzt werden darf – und wohl auch muss.

Automatisiertes Consent-Management: Artikel 88b DSGVO

Betreiber werden verpflichtet, ihre Schnittstellen so zu gestalten, dass Nutzer Einwilligungen auch über automatisierte, maschinenlesbare Signale – also etwa Browser-Einstellungen – erteilen und verweigern können. Das entspricht im Ansatz dem Global Privacy Control (GPC)-Konzept, das bisher nur von einigen Datenschutzbehörden akzeptiert wird.

Für Mediendiensteanbieter gilt eine Ausnahme: Sie müssen diese automatisierten Signale nicht berücksichtigen. Die Begründung des Kommissionsentwurfs verweist auf die Werbefinanzierung von Medienangeboten. Das bedeutet in der Praxis für Mediendienste: Kein Zwang zur automatischen Consent-Verarbeitung, aber auch kein neues Privileg.

Auffällig ist eine Regelungslücke: Der automatisierte Widerruf einer bereits erteilten Einwilligung ist nicht ausdrücklich vorgesehen. Art. 7 Abs. 3 Satz 4 DSGVO verlangt aber, dass der Widerruf ebenso einfach sein muss wie die Einwilligung. Wenn Einwilligungen automatisiert erteilt werden können, müsste konsequenterweise auch der Widerruf automatisiert möglich sein – der Entwurf schweigt dazu.

Zwei Regime bleiben bestehen

Das zentrale Problem des Entwurfs aus Sicht der Rechtsanwendung bleibt dabei bestehen: Die ePrivacy-Richtlinie (in Deutschland in § 25 TDDDG umgesetzt) soll offenbar weiterhin parallel zu den neuen Art. 88a/88b DSGVO gelten. Beide Regime decken nämlich unterschiedliche Sachverhalte ab: Art. 5 ePrivacy-RL erfasst den Zugriff auf und die Speicherung von Informationen in Endgeräten allgemein, also auch bei nicht-personenbezogenen Daten. Art. 88a DSGVO gilt hingegen nur bei personenbezogenen Daten und Endgeräten natürlicher Personen.

Die paradoxe Folge: Nicht-personenbezogene Daten unterliegen weiterhin der ePrivacy-Richtlinie mit ihren tendenziell strengeren Anforderungen, während personenbezogene Daten künftig nach dem – etwas flexibleren – DSGVO-Regime behandelt werden. Datenschutzrechtlich ist das schwer zu rechtfertigen.

Was bedeutet das für die Praxis?

Die erhoffte Vereinfachung wird wohl ausbleiben. Stattdessen entstehen komplexe Hybridszenarien, in denen für denselben Webseitenbesuch unterschiedliche Regelungen gelten. Je nachdem, ob Daten personenbezogen sind, ob ein Endgerät einer natürlichen Person betroffen ist und ob es sich beim Anbieter um einen Mediendienst handelt, könnten bis zu sechs verschiedene Banner-Varianten, die je nach Konstellation rechtmäßig oder erforderlich sind, notwendig sein.

Für Unternehmen, die bereits ein sorgfältig aufgesetztes Consent-Management betreiben, bedeutet das zunächst: Abwarten bis zur endgültig verabschiedeten Neuregelung und dann eine sorgfältige Neubewertung des eigenen Tracking-Setups. Beratungsbedarf entsteht vor allem bei der Frage, welche Cookies und Tracking-Technologien unter welche Ausnahme des neuen Art. 88a Abs. 3 DSGVO fallen, wie das Zusammenspiel der beiden Regime für konkrete Dienste ausgestaltet werden muss und welche Anforderungen an das automatisierte Consent-Management bei Nicht-Mediendiensten gelten.

Für Medienunternehmen stellt sich zusätzlich die strategische Frage, ob die Ausnahme vom automatisierten Consent-Management ein Privileg oder – gemessen an der wachsenden Verbreitung von Browser-Signalen – ein kommerzielles Risiko ist.

Unverändert bleibt: Tracking ohne wirksame Einwilligung ist und bleibt teuer. Vier der zehn höchsten DSGVO-Bußgelder bis 2024 hatten unmittelbaren Bezug zu Tracking-Verstößen.

Der Europäische Gerichtshof (EuGH) hatte in einem Vorabentscheidungsverfahren erstmalig zu klären, in welchem Umfang Online-Plattformen für die in nutzergenerierten Inhalten enthaltenen personenbezogenen Daten verantwortlich sind – und welche präventiven und nachträglichen Sorgfaltspflichten daraus für die Betreiber folgen (Urteil vom 2. Dezember, Az. C-492/23 – Russmedia). Ausgangspunkt war ein Rechtsstreit, bei dem auf einem rumänischen Online-Marktplatz eine Anzeige veröffentlicht wurde, in der eine Frau zu Unrecht als Anbieterin sexueller Dienstleistungen dargestellt wurde und die ohne ihre Einwilligung sowohl Fotos als auch ihre Telefonnummer enthielt. Die Anzeige wurde vom Betreiber anschließend auch auf anderen Kleinanzeigen-Plattformen vervielfältigt.

Der Gerichtshof stellte in seinem Urteil klar, dass der Betreiber des Online-Marktplatzes neben dem (im vorliegenden Fall unbekannten) Inserenten als gemeinsamer Verantwortlicher der in der Anzeige enthaltenen personenbezogenen Daten im Sinne der Datenschutzgrundverordnung (DSGVO) angesehen sein kann, wenn die Veröffentlichung der Anzeige (auch) in seinem eigenen (insbesondere kommerziellen) Interesse erfolgt und wenn der Betreiber Einfluss auf die Verarbeitung dieser Daten nimmt, die über eine bloße Veröffentlichung (Hosting) hinausgeht. Dies soll etwa dann der Fall sein, wenn der Plattformbetreiber Vorgaben zu Darstellung, Dauer, Rubrizierung oder Ranking von Anzeigen macht und damit datenschutzrechtlich nicht rein neutral bleibt. Das Urteil ist insbesondere deshalb brisant, weil diese Kriterien auf nahezu alle heute verbreiteten Online-Plattformen zutreffen, auf denen nutzergenerierte Inhalte zu finden sind.

Liegt eine solche gemeinsame Verantwortlichkeit im Sinne der DSGVO vor, treffen die Plattformen nach dem Urteil weitgehende Pflichten: Betreiber müssen vor Veröffentlichung nutzergenerierter Inhalte erstens überprüfen, ob diese sensible Daten (zu Gesundheit, Sexualität etc.) enthält, zweitens die Identität der einstellenden Person verifizieren und gegebenenfalls eine Einwilligung abfragen und drittens geeignete technische und organisatorische Maßnahmen treffen, um eine unkontrollierte Verbreitung von Daten zumindest zu erschweren. Ohne eine entsprechende Vorabprüfung dürfen nutzergenerierte Inhalte künftig nicht freigeschaltet werden. Zugleich stellte das Gericht klar, dass sich Plattformen nicht auf ihr eigentlich geltendes Privileg berufen können, wonach die Betreiber nutzergenerierte Inhalte grundsätzlich gerade nicht vorab prüfen müssen. Diese nach dem Digital Services Act erst kürzlich vom Gesetzgeber bestätigte Haftungserleichterung tritt nach der Entscheidung des EuGH in datenschutzrechtlich relevanten Fällen hinter den Anforderungen der DSGVO zurück.

Diese jetzt für Online-Marktplätze wie „Kleinanzeigen“ entwickelt Rechtsprechung lässt sich grundsätzlich auch auf andere Online-Dienste übertragen. Im Licht aktueller Diskussionen wie etwa um den Mobbing auf Facebook betreffenden „Fall Künast“ hat das Urteil große Bedeutung etwa für soziale Netzwerke und Online-Foren. Auch diese sind künftig verpflichtet, alle Postings, die sensible Daten enthalten (können), vorab zu überprüfen und ihre Veröffentlichung gegebenenfalls zu unterbinden. Praktisch könnte das Urteil somit theoretisch den Wandel hin zu einer stärkeren Kontrolle nutzergenerierter Inhalte im Netz markieren, was möglicherweise das Ende anonymer Plattformen bedeuten könnte.

Zu beachten ist jedoch, dass die jetzt bestätigten Pflichten nur diejenigen Plattform-Betreiber betreffen, die selbst Einfluss auf die Verarbeitung der in den nutzergenerierten Inhalten enthaltenen personenbezogenen Daten nehmen. Das Urteil ist daher nicht auf reine Hosting-Anbieter anwendbar, die sich beim Veröffentlichungsprozess neutral verhalten. Außerdem ist darauf hinzuweisen, dass das Pflichtenprogramm bei nicht sensiblen personenbezogenen Daten weniger weitreichend ist. Plattform-Betreiber sollten daher prüfen, wie sie ihr Geschäftsmodell und technischen Abläufe gegebenenfalls anpassen können. Im Extremfall kann es erforderlich sein, entweder zuverlässige Verifizierungs- und Kontrollmechanismen für nutzergenerierte Inhalte zu etablieren oder aber sich auf ein reines Hosting-Modell zurückzuziehen, um sich so den Prüfpflichten zu entziehen.

Und noch ein richtungsweisendes Urteil für die Online-Branche: Gestern verkündete der Europäische Gerichtshof sein mit Spannung erwartetes Urteil in Sachen „SRB“, das erstmals seit Jahren wieder Aussagen zu der Frage enthält, wann Daten personenbezogen sind – und wann sie als anonyme Daten gelten. Diese Abgrenzung ist insbesondere bei pseudonymisierten Daten nicht einfach und hat gleichzeitig ganz wesentliche Auswirkungen auf die DSGVO-Compliance von Unternehmen. Die bereits im „Breyer“-Urteil des EuGH aus dem Jahr 2016 angelegte Differenzierung des so genannten relativen Personenbezugs wurde dabei bestätigt: Es kommt also darauf an, ob das jeweilige Unternehmen, das die Daten verarbeitet, für sich genommen einen Personenbezug herstellen kann.

Schon seit einiger Zeit bringen sich vor diesem Hintergrund Anbieter von so genannten Data Clean Rooms ins Gespräch – mit dem Argument, dass die pseudonymisierten Daten zumindest aus ihrer Sicht tatsächlich anonym sind. Das führt aber zu der Frage, ob die DSGVO dann überhaupt noch anwendbar ist. Auch für andere Unternehmen aus der AdTech-Branche stellt sich jetzt also die Frage, ob sie für sich in Anspruch nehmen können, gar nicht an die DSGVO gebunden zu sein, weil sie bei den von ihnen verarbeiteten Daten keinen Personenbezug herstellen können. Gleichzeitig fordern ihre Kunden, die DSGVO-Compliance bei der Datenverarbeitung zu gewährleisten.

Das Gericht der Europäischen Union (EuG) hat im so genannten Latombe-Verfahren die 2022/2023 zwischen den EU und den USA getroffene Datenschutz-Rahmenvereinbarung TADPF in erster Instanz aufrecht erhalten. Der Kläger, ein französischer EU-Abgeordneter, wird sicherlich Berufung zum Europäischen Gerichtshof (EuGH) einlegen, weshalb die Zulässigkeit der Übertragung personenbezogener Daten von EU-Bürgern in die USA nach der DSGVO erst in einiger Zeit abschließend geklärt sein wird.

Die heutige Entscheidung stellt einen Richtungswechsel nach den so genannten „Schrems“-Urteilen von 2015 und 2020 an, wonach die beiden Vorgänger-Regelungen „Safe Harbour“ und „PrivacyShield“ für nichtig erklärt wurden, weil das US-Recht keinen ausreichenden Schutz für die personenbezogenen Daten von EU-Bürgern bot. Nachdem die Biden-Regierung nun mit dem TADPF einen dritten (!) Anlauf unternommen hatte, in den USA ein der DSGVO angemessenes Schutzniveau zu schaffen (insbesondere durch Schaffung eines durch Gerichte überprüfbaren Rahmens für die Zugriffsrechte der Sicherheitsbehörden), war dieses unter Trump zuletzt wieder unterminiert worden. Das heutige Urteil war deshalb mit Spannung erwartet worden.

Bis zur finalen Entscheidung durch den EuGH bleibt das TADPF-Abkommen weiterhin voll anwendbar. Unternehmen sollten dennoch weiterhin nach Wegen suchen, die Daten ihrer europäischen Nutzer besser innerhalb des EWR zu verarbeiten, weil die europäischen Datenschutzbehörden trotz des bestehenden rechtlichen Rahmens bei der Prüfung von Datentransfers in die USA einen äußerst strengen Maßstab anlegen. Manche der großen Online-Plattformen, vom Hosting über Marketing bis hin zu KI-Diensten, bieten dazu so genannte ‚EU Residency‘-Lösungen an. Aus den Prüfungen dieser Angebote für unsere Mandanten wissen wir jedoch, dass nicht alle den Vorgaben der DSGVO entsprechen, deshalb ist hier Vorsicht geboten.

Unangetastet bleiben schließlich die übrigen DSGVO-Angemessenheitsbeschlüsse für ausgewählte Länder mit einem hohen Datenschutzniveau wie das Vereinigte Königreich, Israel, Korea, Japan und Neuseeland.

Die Verarbeitung personenbezogener Daten ist ganz allgemein nur rechtmäßig, wenn sich der datenschutzrechtlich Verantwortliche auf eine der Rechtsgrundlagen aus Art. 6 DSGVO stützen kann. Dies gilt auch in den Konstellationen, in denen so genannte Datenbroker Daten sammeln und an Unternehmen verkaufen, die diese zum Versand von Werbung nutzen. Das jeweils datenverarbeitende Unternehmen trifft hierbei die Verantwortung, selbst sicherzustellen, dass die Daten von den Datenbrokern rechtmäßig erhoben wurden. Dieser Verantwortung ist das Unternehmen Hubside.Store nicht nachgekommen und wurde deshalb von der französischen Datenschutzbehörde CNIL mit einem Bußgeld in Höhe von gut 500.000 € belegt.

Hubside.Store macht Telefon- und SMS-Werbung und nutzt dafür Daten, die von Datenbrokern bei der Teilnahme an Online-Gewinnspielen und Produkttests erhoben werden. Die Datenbroker verwendeten bei der Erhebung dieser Daten Eingabemasken, die nach Meinung von CNIL keine ausreichende Basis für die Einholung einer wirksamen Einwilligung nach der DSGVO sein können. Als besonders problematisch erachtete CNIL die Gestaltung der Auswahlmöglichkeiten: Die Schaltfläche, mit dem die Einwilligung in die Weiterleitung der personenbezogenen Daten an die werbenden Unternehmen erteilt werden sollte, war optisch so deutlich hervorgehoben, dass die Möglichkeit, keine Einwilligung zu erteilen, von den Betroffenen nicht mehr ernsthaft als Alternative in Betracht gezogen werden konnte.

Dass Hubside.Store als datenschutzrechtlich Verantwortlicher für die Nichteinhaltung der DSGVO durch die Datenbroker haftet, obwohl diese gegenüber dem werbenden Unternehmen vertraglich zur Einhaltung der DSGVO verpflichtet waren, begründete CNIL damit, dass Hubside.Store es versäumt hatte, die Einhaltung der DSGVO durch die Datenbroker auch tatsächlich zu überprüfen. Dies zeigt erneut, wie weit die Verantwortlichkeit bei der Verarbeitung personenbezogener Daten reicht und wie wichtig es ist, sich auf eine rechtmäßige Datenerhebung berufen zu können. Kontaktieren Sie uns gerne, wenn wir Ihnen dabei beratend zur Seite stehen können.

Im Falle von Hubside.Store lag überdies noch ein Verstoß gegen Art. 14 DSGVO vor, der die Informationsplicht bei Datenerhebung statuiert. Hier hatten die Datenbroker Hubside.Store nicht in die Liste derjenigen Unternehmen aufgenommen, an die die personenbezogenen Daten weitergeleitet werden. Somit wussten die Betroffenen bei Erteilung der Einwilligung gegenüber den Datenbrokern nicht, dass sie möglicherweise auch von Hubside.Store kontaktiert werden. Auch dafür ist das werbende Unternehmen selbst haftbar, da die Pflicht aus Art. 14 DSGVO den datenschutzrechtlich Verantwortlichen trifft und dieser zu gewährleisten hat, dass die Betroffenen imstande sind, ihre Rechte aus der DSGVO geltend zu machen, die sich insbesondere gegen den datenschutzrechtlich Verantwortlichen richten.