Der Digital Omnibus soll die Banner-Flut beenden. Eine gute Idee. Nur verlagert der Weg, den die EU gerade einschlägt, eine demokratische Entscheidung ausgerechnet an Google, Apple und Microsoft – und liefert nebenbei den Blueprint dafür, wie Maschinen künftig in deinem Namen zustimmen.
Du kennst das Ritual: Seite aufrufen, Banner wegklicken, weiterlesen. Dutzende Male am Tag. Irgendwann klickst du im Halbschlaf auf „Alle akzeptieren“, nur damit endlich Ruhe ist. Genau diese Einwilligungsmüdigkeit will die EU jetzt beenden – mit dem Digital Omnibus, einem großen Aufräumpaket für das europäische Digitalrecht.
Die Idee dahinter ist richtig. Der Weg ist es nicht. Und kaum jemand spricht darüber, was er für die nächste Stufe der Digitalisierung bedeutet: für deine KI.
Was sich gerade ändert
Knapp zwei Jahrzehnte lebten die Cookie-Regeln in einer eigenen rechtlichen Welt, der ePrivacy-Richtlinie, parallel zur DSGVO. Zwei Regelwerke, doppelte Prüfungen, ein Compliance-Kopfschmerz. Am 11. Februar 2026 hat die EU die ePrivacy-Verordnung kassiert und die Cookie-Frage direkt in die DSGVO gezogen: über zwei neue Artikel, 88a und 88b.
Artikel 88a regelt das vertraute Banner-Geschäft: Ablehnen muss künftig mit einem einzigen Klick gehen. Wer einmal Nein gesagt hat, soll für denselben Zweck mindestens sechs Monate lang nicht erneut gefragt werden dürfen. Klingt vernünftig.
Der eigentliche Sprengstoff steckt in Artikel 88b. Er sieht vor, dass Einwilligung künftig maschinenlesbar erteilt und verweigert wird – über ein Signal, das dein Browser oder dein Betriebssystem automatisch übermittelt. Eine Einstellung, alle Websites, kein Banner mehr. Das ist der Teil, der die Branche in Aufruhr versetzt. Aus gutem Grund.
Drei Probleme, die niemand wegklicken kann
Erstens, rechtlich. Eine wirksame Einwilligung muss laut DSGVO spezifisch und informiert sein – du musst wissen, wem du wofür gerade zustimmst. Ein kontextloses Browser-Signal, das pauschal für alle Websites, alle Zwecke und alle Anbieter gilt, kann das schlicht nicht leisten. Die Mechanik widerspricht damit genau dem Recht, das sie umsetzen soll. Ein Konstruktionsfehler, kein Detail.
Zweitens, wirtschaftlich. Heute sagen in Europa rund 70 % der Nutzer Ja zu Cookies, wenn sie im vertrauten Kontext einer Website gefragt werden. Verlagert man die Entscheidung in ein generisches Browser-Prompt, das einmal alles regelt, brechen Schätzungen zufolge die Zustimmungsraten auf etwa 25 % ein. Für die europäische Wirtschaft stehen damit 40–50 Milliarden Euro Umsatz pro Jahr im Feuer – und es trifft nicht die Großen. Es trifft die kleinen und mittleren Unternehmen, die 99 % aller europäischen Firmen ausmachen und für die zielgerichtete Werbung oft der einzige bezahlbare Kanal zur Kundschaft ist.
Drittens, strukturell. Und hier wird es politisch interessant: Wer stellt eigentlich die Voreinstellung? Die Hersteller von Browsern und Betriebssystemen. Also Google, Apple und Microsoft – ausgerechnet jene Konzerne, die im Werbemarkt selbst kräftig mitmischen. Sie würden zu Türstehern darüber, welche Daten europäische Unternehmen überhaupt noch erheben dürfen. Eine geplante Klausel gegen Selbstbevorzugung erkennt diesen Interessenkonflikt zwar an, löst ihn aber nicht – sie schiebt den Schutz in einen künftigen Standardisierungsprozess ab. Ohne feste Frist, ohne Durchsetzungsmechanismus. Wer das digitale Europa souveräner machen will, baut hier gerade die nächste Abhängigkeit in Beton.
Der KI-Dreh, über den kaum jemand redet
Jetzt der Gedanke, der mich an dieser Debatte wirklich umtreibt. „Maschinenlesbare Einwilligung“ heißt im Klartext: Eine Maschine willigt ein. Nicht du.
Heute ist diese Maschine dein Browser. Aber wir stehen am Anfang der Ära der KI-Agenten – Software, die für dich durchs Netz zieht, recherchiert, vergleicht, bucht, einkauft. Genau diese Agenten werden solche maschinenlesbaren Signale lesen und setzen. Die Frage ist also nicht mehr „Banner ja oder nein?“. Die Frage lautet: Wer programmiert die Voreinstellung deines digitalen Stellvertreters – und nach wessen Interessen?
Wenn dein Agent stillschweigend durchwinkt, was eine fremde Voreinstellung vorgibt, hast du die Kontrolle über eine ganze Klasse von Entscheidungen abgegeben, ohne es zu merken. Der Cookie-Consent von heute ist die Blaupause für das Agenten-Mandat von morgen. Wer ihn schlecht baut, baut auch das schlecht.
Dabei läge die Lösung auf der Hand
Das Grundproblem ist nicht der böse Wille, sondern eine doppelte Regulierungsstruktur. Die alte ePrivacy-Logik verlangte pauschal eine Einwilligung, sobald überhaupt ein Cookie gesetzt wird – völlig unabhängig vom Zweck. Die DSGVO dagegen hätte ein differenziertes, risikobasiertes System mit gleich sechs möglichen Rechtsgrundlagen. Nur greift das nie, weil die pauschale Cookie-Pflicht schon am Eingang alles blockiert.
Die saubere Antwort wäre also: ein Regelwerk statt zwei. Cookie-Platzierung und Datennutzung gehören vollständig unter die DSGVO – kalibriert nach Zweck und Risiko. Harmlose Reichweitenmessung anders behandelt als invasives Cross-Site-Tracking. Kein pauschaler Consent, kein Browser-Türsteher. Das wäre echte Vereinfachung. Was im Rat gerade entsteht, ist das Gegenteil: eine zusätzliche Schicht Komplexität, die rechtswidrige Einwilligungen produziert und die europäische Digitalwirtschaft schwächt.
Warum jetzt der Moment ist
Der Widerstand wächst, und er kommt aus der Mitte der Branche. Anfang Mai forderten europäische Medienverbände, die strittigen Passagen 88a(4) und 88b ersatzlos zu streichen. Am 26. Mai legten 18 Unternehmen der deutschen Digitalwirtschaft in einem offenen CEO-Brief nach: Statt Vereinfachung drohe neue Komplexität, die Mechanik sei technisch kaum sauber umsetzbar. Zwölf Mitgliedstaaten verlangen inzwischen eine ordentliche Folgenabschätzung, bevor entschieden wird.
Und genau das ist der Punkt. Niemand will die Banner zurück. Weniger Pop-ups? Unbedingt. Aber über den richtigen Mechanismus – ein kohärentes, risikobasiertes Regelwerk – und nicht über einen Schnellschuss, der eine demokratische Entscheidung an drei US-Konzerne delegiert.
Tempo ersetzt keine Qualität. Schon gar nicht bei einer Weiche, die wir so schnell nicht wieder umlegen. Wenn jetzt im Eiltempo zugestimmt wird, gießen wir die Infrastruktur für die nächsten zwanzig Jahre – und für eine Welt, in der Maschinen für uns einwilligen.
Bleibt die eine Frage, die du dir stellen solltest, bevor andere sie für dich beantworten: Würdest du deiner KI erlauben, solche Entscheidungen für dich zu treffen – mit einer Voreinstellung, die jemand anderes gewählt hat?
