Der Digital Omnibus will First-Party-Analytics von der Einwilligung befreien

Am 19. November 2025 veröffentlichte die Europäische Kommission den Digital Omnibus, einen Vorschlag, der neu festlegt, wo die Einwilligungsregeln für Cookies und Tracking angesiedelt sind. Das Wesentliche für Entwickler steckt in einem Entwurfsartikel: First-Party-Reichweitenmessung, aggregiert und zur internen Nutzung, würde gar keine Einwilligung mehr erfordern.

Diese Ausnahme beschreibt kein künftiges Werkzeug. Sie beschreibt das Datenmodell, das cookiefreie Analytics die ganze Zeit über betrieben hat.

Was der Vorschlag tatsächlich verschiebt

Heute entstammt die Pflicht, vor dem Lesen oder Schreiben auf dem Endgerät zu fragen, dem Artikel 5 Absatz 3 der ePrivacy-Richtlinie — der rechtlichen Wurzel des Cookie-Banners. Der Digital Omnibus löst diese Regel aus der ePrivacy heraus und überführt sie über einen neuen Artikel 88a in die DSGVO.

Praktisch entsteht ein einheitliches Regime. Wo personenbezogene Daten verarbeitet werden, greift die ePrivacy-Einwilligung nicht mehr, und es gilt allein die DSGVO. Die Kommission stellt dies als Vereinfachung eines überlappenden Regelwerks dar, gestützt auf mehr als ein Jahr Rückmeldungen der Beteiligten zur Banner-Müdigkeit.

Es handelt sich um einen Kommissionsvorschlag, nicht um Gesetz. Er trat am Tag seiner Veröffentlichung in das ordentliche Gesetzgebungsverfahren ein und geht nun an das Europäische Parlament und den Rat, wo sich der Text noch erheblich ändern kann, bevor er irgendjemanden bindet.

Die Ausnahme zur Reichweitenmessung

Artikel 88a behält die Einwilligung als Standard für den Gerätezugriff bei und listet danach enge Ausnahmen auf. Neben der unbedingt erforderlichen Übermittlung und der Sicherheit kommt eine hinzu, die für Analytics zählt: das Speichern oder Auslesen von Informationen zur Erzeugung aggregierter Reichweitenmessdaten, sofern der Anbieter dies allein für seinen eigenen Onlinedienst und seine eigene interne Nutzung tut.

Die juristischen Analysen stimmen in den Bedingungen dieser Ausnahme überein:

• Nur First-Party. Der Seitenbetreiber kontrolliert die Daten; der Analytics-Anbieter handelt als Auftragsverarbeiter und nutzt sie nie für eigene Zwecke.
• Keine Weitergabe an Dritte. Nichts fließt zu Werbetreibenden, Werbeplattformen oder seitenübergreifenden Messnetzen.
• Nur Statistik. Der Zweck ist Webstatistik und Seitenoptimierung — keine Marketing-Aktivierung, kein Profiling.
• Einfaches Opt-out. Nutzer können die Messung ablehnen, klar erläutert in der Datenschutzerklärung.
• Kurze Speicherung. Die Daten werden nur so lange aufbewahrt, wie die Statistik sie braucht.

Die Formulierung ist bewusst eng. Kommentatoren, die den Entwurf gelesen haben, merken an, dass er jedes Werkzeug auszuschließen scheint, das über mehrere Dienste, Kunden oder Plattformen hinweg misst — also den Großteil der Ad-Tech-Messung. Die Ausnahme belohnt eine bestimmte Architektur, keine Anbieterkategorie.

Warum das zur cookiefreien Analytics passt

Hält man diese Liste neben den Aufbau eines Privacy-First-Trackers, ist die Überschneidung nahezu vollständig. Es gibt keinen Identifikator zum Teilen, denn die Besucheridentität ist ein täglicher Einweg-Hash — SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD) — der nicht umkehrbar ist und jede Nacht verschwindet.

visitor_hash = SHA-256( IP | UA | SALT_SECRET | "2026-06-08" )

Rohe IP und User-Agent werden nur im Arbeitsspeicher verwendet, um diesen Hash zu berechnen; die Datenbank speichert den Hash, nie die Rohwerte. Es gibt keinen seitenübergreifenden Graphen, weil es morgen nichts zu verknüpfen gibt. Die Speicherung ist begrenzt — Seitenaufrufe, die älter als zwei Jahre sind, werden gelöscht — und die Daten sind konstruktionsbedingt aggregiert: Zählwerte, Verweildauern, grober Gerätetyp, Land vom Edge.

Der /collect-Beacon trägt Timing und Seiten-Metadaten, keine Person. Genau das ist die "aggregierte Reichweitenmessung, nur intern", die der Entwurf hervorhebt.

Artikel 88b und das Ende der Banner pro Seite

Die Begleitvorschrift, Artikel 88b, geht die Einwilligungsmüdigkeit von der anderen Seite an. Sie verlangt, dass Ablehnung und Widerspruch über automatisierte, maschinenlesbare Signale ausdrückbar sind, wobei Browser- und Betriebssystemanbieter (außer Kleinunternehmen) verpflichtet sind, die Infrastruktur zu unterstützen.

Das ist dieselbe Richtung, die das Global Privacy Control im US-Bundesstaatenrecht bereits vorangetrieben hat: die Entscheidung von tausend Bannern auf eine einzige geräteweite Einstellung zu verlagern, die eine Seite achten muss. Ein Werkzeug, das keine Cookies setzt und kein Profil bildet, hat hier wenig zu achten — es gibt keinen Speicher zu sperren und keinen Einwilligungsnachweis zu führen.

Was vor dem Inkrafttreten zu tun ist

Nichts im Digital Omnibus ist bisher durchsetzbar, und der Zeitplan erstreckt sich über gestaffelte Anwendungsfristen nach einem etwaigen finalen Text. Aber die Richtung steht fest, und sie begünstigt ein einziges Design: aggregierte Statistik first-party erheben, nichts teilen, niemanden identifizieren und kurz aufbewahren.

Erfüllt Ihre Analytics diese Latte bereits, ist die Reform Rückenwind — das Gesetz bewegt sich auf die Architektur zu, statt dass die Architektur dem Gesetz hinterherläuft. Tut sie es nicht, ist der günstigste Weg zur Konformität kein besseres Banner. Es ist, weniger zu erheben.

Quellen

• Vorschlag für eine Digital-Omnibus-Verordnung (Europäische Kommission)
• The Digital Omnibus: cookies, consent and digital advertising (Taylor Wessing)
• EU Digital Omnibus: The European Commission Proposes Important Changes to the EU's Digital Rulebook (Sidley Austin)
• First-party analytics without consent: Your Digital Omnibus compliance guide (Piwik PRO)
• Digital Omnibus reshapes EU cookie rules but leaves banner fatigue largely intact (Osborne Clarke)