Die EU arbeitet an einer Reform der Datenschutzregeln – dem “Digitalen Omnibus”. Klingt nach Fortschritt. Klingt nach Vereinfachung. Klingt nach dem, was uns seit Jahren versprochen wird.
Schauen wir mal, was wirklich drin ist.
Warum schon wieder eine Reform?
Seit 2018 gilt die DSGVO. Das Ergebnis: Wir haben uns an Cookie-Banner gewöhnt. Oder genauer: Wir haben gelernt, reflexartig auf “Alle akzeptieren” zu klicken, weil der “Ablehnen”-Button entweder versteckt, grau oder drei Klicks entfernt ist.
Mission accomplished, würde ich sagen.
Das Problem – zumindest das offizielle:
- Nutzer sind genervt: Stimmt. Weil die Banner absichtlich nervig gestaltet werden.
- Unternehmen sind unsicher: Auch stimmt. Aber hauptsächlich, weil sie gern mehr tracken würden, als erlaubt ist.
- Die Regeln sind veraltet: KI, Cloud-Dienste, neue Tracking-Methoden. 2018 gab es das alles schon, aber okay.
Die EU will das System “vereinfachen”. Für wen genau, werden wir gleich sehen.
Die wichtigsten Änderungen
1. Browser-Einstellungen statt Cookie-Banner
Die Headline-Änderung: Nutzer sollen ihre Datenschutz-Präferenzen einmal im Browser einstellen, nicht auf jeder Website einzeln.
Heute: Website öffnen → Banner → Dark Pattern erkennen → Kleingedrucktes lesen → Ablehnen suchen → Ablehnen → Nächste Website → Wiederholen bis zur Erschöpfung
Künftig: Browser-Einstellung: “Kein Tracking” → Websites respektieren das
Klingt gut, oder? Das Signal heißt Global Privacy Control (GPC) – ein standardisiertes “Bitte nicht tracken”, das der Browser automatisch sendet. Firefox, Brave und DuckDuckGo haben es bereits. Chrome… arbeitet noch daran. Seit Jahren.
Die Crux: Sie müssen das Signal technisch auslesen können. Wenn Ihr CMS das nicht kann, haben Sie ein Problem. Wenn Chrome das Signal ignoriert, haben alle ein Problem.
2. Tracking wird schwieriger – theoretisch
Die Reform unterscheidet zwischen:
Client-Side Tracking (im Browser): Google Analytics, Facebook Pixel, die üblichen Verdächtigen. → Stärker eingeschränkt. Braucht Einwilligung.
Server-Side Tracking (auf Ihrem Server): Sie verarbeiten die Daten selbst, weniger Cookie-Abhängigkeit. → Bleibt erlaubt. Unter “bestimmten Bedingungen”.
Übersetzt: Wer die Ressourcen hat, Server-Side-Tracking aufzusetzen, darf weiter tracken. Wer Google Analytics im Copy-Paste-Verfahren einbindet, hat Pech. Dreimal dürfen Sie raten, wer die Ressourcen hat.
Praktisch: Lösungen wie Cloudflare Zaraz werden wichtiger. Nicht weil sie datenschutzfreundlicher sind, sondern weil sie die neuen Regeln umgehen können.
3. Manche Analysen werden einfacher
Nicht alles wird komplizierter. Für bestimmte Zwecke soll keine Einwilligung mehr nötig sein:
- Einfache Besucherzählung: Wie viele Besucher heute?
- Fehleranalyse: Welche Seiten funktionieren nicht?
- Sicherheit: Schutz vor Bots
Voraussetzung: Anonymisiert, keine Nutzer-Verfolgung.
Tools wie Plausible, Umami oder Fathom erfüllen das. Google Analytics nicht – überraschend, ich weiß.
Das ist tatsächlich eine sinnvolle Änderung. Wer nur wissen will, ob seine Website funktioniert, sollte dafür keinen Anwalt brauchen.
4. KI-Training: Der eigentliche Grund für die Reform
Hier wird es interessant. Dürfen Unternehmen Ihre Daten für KI-Training nutzen?
Bisher: Einwilligung erforderlich (Opt-in)
Künftig: “Berechtigtes Interesse” reicht – mit Widerspruchsrecht (Opt-out)
Klartext: OpenAI, Google und Meta dürfen Ihre Daten für KI nutzen. Sie müssen irgendwo einen Widerspruchs-Link verstecken. Den findet niemand. Problem gelöst.
Falls Sie sich je gefragt haben, warum diese Reform gerade jetzt kommt, wo jedes Tech-Unternehmen verzweifelt nach Trainingsdaten sucht: reiner Zufall, sicher.
Was bedeutet das für Ihren Online-Shop?
Die gute Nachricht
- Weniger Cookie-Banner-Gefummel
- Anonyme Analysen werden einfacher
- Mehr Klarheit bei technisch notwendigen Funktionen
Die schlechte Nachricht
- Sie müssen GPC-Signale auslesen können
- Ihr billiges Analytics-Setup funktioniert bald nicht mehr
- Server-Side-Tracking ist aufwändig
Was Sie jetzt tun sollten
Sofort:
- Cookies ausmisten: Welche setzen Sie? Welche brauchen Sie wirklich? Spoiler: weniger als Sie denken.
- CMP prüfen: Kann Ihre Consent Management Platform GPC? Cookiebot, Usercentrics, Klaro können das.
- Ehrlich sein: Brauchen Sie wirklich alle Daten, die Sie sammeln? Oder sammeln Sie, weil Sie können?
Bald:
- Server-Side evaluieren: Google Tag Gateway oder Zaraz anschauen
- Privacy-first testen: Plausible oder Umami statt Google Analytics
- First-Party-Daten aufbauen: Newsletter, Kundenkonten – eigene Daten werden wertvoller, wenn Sie fremde nicht mehr klauen dürfen
Wann kommt das?
Der “Digitale Omnibus” ist noch in Verhandlung. Verabschiedung vielleicht Ende 2025, Umsetzung 2026/2027.
Aber: Die Richtung ist klar. Wer jetzt noch eine Tracking-Strategie aus 2019 fährt, wird Probleme bekommen – egal wann genau die Reform kommt.
Für Entwickler
Dieser Artikel ist für Menschen, die Entscheidungen treffen. Wer Code schreiben muss, findet die Details im Folgeartikel:
EU-Datenschutzreform: Der technische Leitfaden – mit allem, was Sie brauchen, um GPC zu implementieren und Server-Side-Tracking aufzusetzen.
Zusammengefasst
Die EU-Datenschutzreform ist keine Katastrophe. Sie ist auch kein Fortschritt. Sie ist ein Kompromiss, der genau das tut, was Kompromisse in Brüssel immer tun: Den Status quo ein bisschen verschieben, ohne irgendjemanden wirklich wehzutun.
- Browser-Signale ersetzen Cookie-Banner – kontrolliert von Google, Apple und Microsoft
- Server-Side Tracking ersetzt Client-Side – zugänglich für alle mit entsprechendem Budget
- KI-Training wird legalisiert – mit Opt-out, das niemand nutzt
- Anonyme Analysen werden einfacher – das einzig uneingeschränkt Positive
Wer seine Nutzer respektiert, braucht diese Reform nicht. Wer sie nicht respektiert, wird Wege finden, sie zu umgehen.
Kritische Einordnung: Wem nützt die Reform wirklich?
Jetzt ohne diplomatische Zurückhaltung.
Big Tech als Gewinner
Die Verlagerung auf Browser-Signale klingt nutzerfreundlich. Aber wer kontrolliert die Browser?
- Chrome (Google): ~48% Marktanteil
- Safari (Apple): ~20%
- Edge (Microsoft): ~5%
Über 70% der Browser gehören drei US-Konzernen. Denselben Konzernen, deren Geschäftsmodell auf Tracking basiert.
Wenn Google entscheidet, GPC “kreativ” zu implementieren – sagen wir, mit einem “Sind Sie sicher?”-Dialog, der 15 Klicks braucht – ist das ihr gutes Recht. Die EU-Verordnung kann das nicht verhindern.
Die Reform verschiebt Macht von Website-Betreibern zu Browser-Herstellern. Das sind dieselben Unternehmen, die das Problem erst geschaffen haben.
Die Aufweichung, die keine sein soll
Einige Änderungen sind keine “Vereinfachung”. Sie sind Rückschritte:
KI-Training ohne echte Einwilligung: “Berechtigtes Interesse” plus Opt-out ist kein Schutz. Es ist eine bürokratische Formalität. Niemand sucht aktiv nach Opt-out-Links. Die Unternehmen wissen das. Die EU-Kommission weiß das. Alle wissen das.
Pseudonyme Daten: Was heute nicht zuordenbar ist, kann morgen re-identifizierbar sein. Jedes neue AI-Modell macht Anonymisierung schwieriger. Die Reform ignoriert das.
Server-Side bleibt unreguliert: Client-Side-Tracking einschränken, während Server-Side frei bleibt, ist wie die Vordertür abschließen und die Hintertür offen lassen. Nur dass durch die Hintertür die eintreten, die sich den Schlüssel leisten können.
Die Lobby-Geschichte, die niemand erzählt
Der “Digitale Omnibus” ist nicht vom Himmel gefallen. Er wurde geformt – von Menschen mit sehr konkreten Interessen.
Meta, Google und Amazon haben 2023 zusammen über 30 Millionen Euro für EU-Lobbying ausgegeben. Nicht weil sie Demokratie unterstützen wollen. Weil Gesetzgebung kaufbar ist.
Die Argumente klingen immer gleich:
- “Kleine Unternehmen leiden unter der Bürokratie” – während Big Tech Compliance-Abteilungen hat, die größer sind als manche KMUs
- “Innovation wird gebremst” – Innovation bedeutet hier: Daten sammeln ohne zu fragen
- “Nutzer wollen Personalisierung” – Nutzer wollen vor allem, dass man sie in Ruhe lässt
Das bedeutet nicht, dass jede Änderung schlecht ist. Aber wenn Sie sich fragen, warum die Reform zufällig genau das legalisiert, was Tech-Konzerne wollen: Jetzt wissen Sie es.
Was echte Reform wäre
- Tracking-Verbot als Default, nicht Opt-out
- Browser-unabhängige Einstellungen – beim Betriebssystem oder bei unabhängigen Stellen
- Server-Side-Tracking regulieren, nicht nur Client-Side
- Strafen, die wehtun – nicht 0,001% des Jahresumsatzes
- KI-Training nur mit expliziter, informierter Einwilligung
Das wäre unbequem für Tech-Konzerne. Deshalb wird es nicht passieren.
Was das wirklich bedeutet
Die EU-Datenschutzreform ist ein Kompromiss. Bei Kompromissen gewinnt, wer am längeren Hebel sitzt. Das waren nicht Sie und ich.
Für Website-Betreiber heißt das: Nutzen Sie die Vereinfachungen. Aber machen Sie sich keine Illusionen. Die Reform löst nichts – sie verschiebt das Problem auf eine Ebene, die schwerer zu kontrollieren ist.
Wer Datenschutz ernst nimmt:
- Sammelt weniger Daten als erlaubt
- Kommuniziert transparent, nicht nur legal
- Gibt Nutzern echte Kontrolle, nicht nur Opt-out-Theater
Nicht weil die EU es vorschreibt. Sondern weil es das Richtige ist.
Und weil es Sie von den Unternehmen unterscheidet, denen Ihre Nutzer egal sind.
Quellen und weiterführende Links
Offizielle Quellen
- Global Privacy Control – Die Browser-Signal-Initiative
- EU-Kommission: Digitaler Omnibus – Offizieller Gesetzgebungsprozess
Kritische Analysen
- noyb – Max Schrems’ Datenschutzorganisation. Die einzigen, die Big Tech wirklich Kopfschmerzen bereiten.
- EDRi – Europäische Bürgerrechtsorganisation. Kämpft seit Jahren für digitale Rechte.
- Corporate Europe Observatory – Dokumentiert, wer wem wie viel Geld gibt. Ernüchternd.
- LobbyControl – Deutsches Pendant. Gleich ernüchternd.
Weiterführende Artikel
- Google Tag Gateway vs. Cloudflare Zaraz – Server-Side Tracking, wenn Sie es brauchen
- EU-Datenschutzreform: Technischer Leitfaden – Code statt Meinung
Stand: November 2025 – Der Gesetzgebungsprozess läuft noch. Das Lobbying auch.