Cookie-Banner Reform 2026: Was das Digital Omnibus für KMU bedeutet

Das Wichtigste in Kürze

Das Digital Omnibus ist ein EU-Vorschlag vom November 2025, frühester Start 2027. Bis dahin bleibt die Banner-Pflicht nach § 25 TDDDG und DSGVO unverändert. First-Party-Analytics und Sicherheits-Cookies sollen banner-frei werden. Marketing-Tracking bleibt einwilligungspflichtig. Eine Sechs-Monats-Sperrfrist nach Ablehnung verhindert künftig das Pop-up bei jedem Seitenaufruf.

Im November 2025 hat die EU-Kommission den Vorschlag für das Digital Omnibus Paket vorgelegt. Ziel: weniger Cookie-Banner, weniger Klick-Müdigkeit, klarere Regeln. Klingt gut. Die Schlagzeilen versprechen das Ende der Banner-Flut. Die Realität ist nüchterner.

Wir bekommen häufig die Frage: „Können wir den Banner jetzt abschalten?“ Die kurze Antwort: nein. Die lange Antwort steht in diesem Beitrag. Wir ordnen ein, was sich konkret ändert, was Vorschlag bleibt und welche Vorbereitung sich für kleine und mittlere Unternehmen jetzt lohnt.

Was das Digital Omnibus ist

Das Digital Omnibus ist ein Bündel aus Gesetzesänderungen. Die EU-Kommission will damit den Wildwuchs aus DSGVO, ePrivacy-Richtlinie, Data Act und weiteren Regeln entwirren. Cookie-Regeln sollen aus der alten ePrivacy-Richtlinie in die DSGVO wandern. Konkret entsteht ein neuer Artikel 88a in der DSGVO.

Der Status: Vorschlag, noch kein Gesetz. Das EU-Parlament und der Rat müssen zustimmen. Substanzielle Änderungen am Text sind während des Verfahrens üblich. Die ersten Regeln greifen frühestens 2027, der vollständige Rollout dauert nach offiziellen Schätzungen bis zu 48 Monate nach Inkrafttreten.

Bis dahin gilt die aktuelle Rechtslage. § 25 TDDDG und Art. 6 DSGVO bleiben Pflichtprogramm. Wer jetzt seinen Banner entfernt, riskiert Abmahnungen.

Die vier zentralen Änderungen

1. Mehr Ausnahmen ohne Banner

Bestimmte Cookie-Zwecke fallen aus der Einwilligungspflicht raus. Dazu zählen nach dem Vorschlag:

• Reichweitenmessung mit eigenen First-Party-Tools, wenn der Betreiber die Daten nur selbst nutzt
• Sicherheits-Cookies (zum Beispiel CSRF-Schutz, Brute-Force-Abwehr)
• Cookies für ausdrücklich vom Nutzer angeforderte Dienste
• Übertragung einer elektronischen Kommunikation

Für Webseiten mit eigener Analytics-Lösung ohne Drittweitergabe ist das eine echte Erleichterung. Marketing-Cookies, Pixel und Retargeting bleiben weiter zustimmungspflichtig.

2. Berechtigtes Interesse als Rechtsgrundlage

Aktuell läuft fast alles über Einwilligung. Das Digital Omnibus öffnet „berechtigtes Interesse“ auch für Cookies. Damit bekommen Unternehmen mehr Spielraum. Aber: Die Abwägung gegenüber den Nutzerrechten bleibt streng. Aufsichtsbehörden können jede Umsetzung prüfen und kippen.

3. Browser-Signale statt Banner pro Seite

Nutzer sollen ihre Cookie-Präferenzen einmal im Browser setzen. Websites müssen diese Signale lesen und automatisch umsetzen. Das ist die größte technische Änderung im Vorschlag.

Die technischen Standards dafür gibt es noch nicht. Browser-Hersteller, Standardisierungsgremien und die Werbewirtschaft müssen sich erst auf ein Format einigen. Realistische Schätzungen sehen den Start frühestens 2028. Bis dahin laufen Banner und Consent-Management weiter wie heute.

4. Sechs-Monats-Sperrfrist

Wenn ein Nutzer ablehnt, darf die Website sechs Monate lang nicht erneut nach derselben Einwilligung fragen. Das beendet die Praxis, dass dieselbe Frage auf jeder neuen Unterseite wieder hochpoppt. Viele Consent-Management-Plattformen unterstützen diese Speicherung bereits, aber nicht durchgängig.

Was 2026 jetzt gilt

Niemand muss sein Setup jetzt umbauen. Die EU-Kommission selbst betont das. Im Klartext:

• Cookie-Banner sind weiter Pflicht, sobald Drittanbieter-Skripte oder Marketing-Tools laden
• § 25 TDDDG fordert weiter aktive Einwilligung für alles, was nicht technisch notwendig ist
• Auch eingebettete Inhalte wie YouTube, Google Maps oder externe Schriften brauchen eine Einwilligung, bevor sie laden

Wer prüfen will, ob die eigene Seite sauber läuft, schaut auf vier Punkte:

1. Lädt die Seite ohne Einwilligung nur das technisch Nötige?
2. Sind „Akzeptieren“ und „Ablehnen“ gleich prominent auf der ersten Ebene?
3. Speichert die Lösung die Ablehnung, oder fragt sie ständig neu?
4. Lassen sich Drittanbieter-Tools wie Google Analytics, Meta Pixel oder Maps wirklich erst nach Opt-in nach?

Diese vier Punkte sind heute Stand der Technik. Sie decken sich mit dem, was das Digital Omnibus später formal verankert.

Was das für verschiedene KMU-Konstellationen bedeutet

Die Auswirkungen hängen stark vom konkreten Setup ab. Drei typische Fälle aus unseren Kundenprojekten:

Fall 1: Reine Unternehmenswebseite mit Kontaktformular. Hier laufen meist nur Schriftarten von Google Fonts (lokal eingebunden), keine Tracker, kein Marketing-Pixel. Solche Seiten brauchen unter dem Digital Omnibus weiterhin einen Banner, wenn Drittinhalte wie eine Google-Maps-Anfahrt eingebettet sind. Wer Google Maps durch ein statisches Anfahrtsbild und einen Link zur Routenplanung ersetzt, kann den Banner in vielen Fällen ganz weglassen. Wir empfehlen das Setup, weil es schneller lädt und keine Drittabhängigkeit hat.

Fall 2: B2B-Webseite mit Lead-Generierung. Typisches Setup: Google Analytics, Google Ads, LinkedIn Insight Tag. Diese Konstellation bleibt zustimmungspflichtig, auch nach dem Digital Omnibus. Was sich ändert: Wer parallel auf eine First-Party-Analytics-Lösung wechselt, kann den Banner für die Reichweitenmessung sparen. Marketing-Tracking läuft dann sauber getrennt und nur für Nutzer, die aktiv zustimmen.

Fall 3: Online-Shop mit WooCommerce. Warenkorb, Login, Zahlungsabwicklung sind technisch notwendig und schon heute ohne Einwilligung erlaubt. Conversion-Tracking, Retargeting und personalisierte Empfehlungen bleiben Einwilligungsthema. Hier hilft das Digital Omnibus indirekt: Wer die Sechs-Monats-Sperrfrist korrekt implementiert, verbessert das Nutzererlebnis spürbar und behebt die ständige Banner-Reue beim Wiederkehrer.

Was wir bei Waterproof Web Wizard daraus mitnehmen

Wir empfehlen unseren Kunden drei Schritte. Keinen davon sofort, aber alle als Vorbereitung für 2027 und danach.

Erstens: First-Party-Analytics ernst nehmen. Wer auf eine Lösung setzt, die Daten ausschließlich für den eigenen Bedarf speichert und nichts an Dritte weitergibt, profitiert vom neuen Rahmen am stärksten. Matomo on-premise, Plausible Self-Hosted und vergleichbare Setups bewegen sich in diese Richtung. Google Analytics bleibt zustimmungspflichtig.

Zweitens: Cookie-Inventar reduzieren. Viele Webseiten schleppen Skripte mit, die nie aktiv genutzt werden. Jedes Tool, das raus kann, vereinfacht die Compliance und beschleunigt den Seitenaufbau. Wir prüfen das in jedem Audit.

Drittens: Consent-Management-Plattform sauber konfigurieren. Die Sperrfrist und die einklick-Ablehnung sind heute schon empfohlene Praxis. Wer sie jetzt aktiviert, ist später technisch vorbereitet.

Was wir nicht tun: Wir versprechen keinem Kunden, dass Banner bald verschwinden. Marketing-Tracking bleibt einwilligungspflichtig. Wer Meta Pixel, Google Ads oder Retargeting nutzt, sieht weiter einen Banner. Daran ändert auch das Digital Omnibus nichts.

Fazit

Die EU will Cookie-Banner reduzieren, nicht abschaffen. Der Plan ist sinnvoll: First-Party-Analytics ohne Banner, Browser-Signale statt Pop-up auf jeder Seite, klare Sperrfristen. Bis das Realität wird, vergehen mindestens zwei Jahre. Bis dahin gilt: aktuelle Banner-Pflicht beachten, technisch sauber arbeiten, Cookie-Inventar entrümpeln.

Wer seine Webseite jetzt auf den Stand bringt, den das Digital Omnibus später ohnehin verlangt, hat doppelten Nutzen. Sauberere Datenflüsse heute, weniger Umbauarbeit später.

Häufige Fragen

Was ändert sich konkret 2026 an meinem Cookie-Banner?

Bis das Digital Omnibus beschlossen ist, ändert sich nichts. Die DSGVO und § 25 TDDDG gelten unverändert. Ein Cookie-Banner ist weiter Pflicht, sobald Drittanbieter-Skripte oder Marketing-Tools auf der Webseite laden.

Wann verschwinden die Cookie-Banner?

Komplett verschwinden werden sie nicht. Das Digital Omnibus reduziert die Banner-Pflicht für Sicherheits- und First-Party-Analytics-Cookies. Marketing- und Tracking-Cookies brauchen weiter eine Einwilligung. Realistischer Zeitraum für die ersten Erleichterungen: ab 2027 bis 2028.

Was ist die Sechs-Monats-Sperrfrist?

Sobald ein Nutzer den Banner ablehnt, darf die Webseite sechs Monate lang nicht erneut nach derselben Einwilligung fragen. Das beendet die Praxis, dass derselbe Banner bei jedem Seitenaufruf wieder erscheint. Viele Consent-Tools speichern Ablehnungen bereits jetzt entsprechend lang.

Welche Cookies brauchen weiterhin eine Einwilligung?

Alle Cookies für personalisierte Werbung, Retargeting, geräteübergreifendes Tracking, Drittanbieter-Analytics und Profilbildung in großem Umfang. Wer Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar oder ähnliche Tools einsetzt, braucht weiter aktive Zustimmung.

CTA

Sie wollen prüfen, ob Ihre Webseite heute datenschutzkonform läuft und gleichzeitig für die kommenden Änderungen vorbereitet ist? Wir schauen uns das gerne im Detail an. Potenzial prüfen lassen

Dennis Hüttner
Waterproof Web Wizard GmbH

Quellen

• Digital Omnibus Regulation Proposal, Europäische Kommission
• Bitkom Position Paper on the Digital Omnibus Package
• heise online: Digital Omnibus, EU Commission wants to consolidate data laws
• § 25 TDDDG, Schutz der Privatsphäre bei Endeinrichtungen (Gesetze im Internet)