Digital Omnibus und Artikel 88a Abs. 3 lit. c: Was Betreiber 2026 beachten sollten

Dies ist Datenschutz-Forschung, keine Rechtsberatung. Den vollständigen Haftungsausschluss finden Sie in der Fußnote.

TL;DR

Artikel 88a Abs. 3 lit. c würde First-Party-Reichweitenmessung EU-weit von der Einwilligungspflicht freistellen – sofern er verabschiedet wird, wäre das der rechtlich sauberste Weg zu banner-freier Webanalyse in allen 27 Mitgliedstaaten.
Es ist ein Kommissionsvorschlag, kein Gesetz. Für die DSGVO-Änderung COM(2025) 837 hat das Europäische Parlament noch nicht in der Vollversammlung abgestimmt (die Plenarabstimmung vom 26. März 2026 betraf die eigenständige Digital-Omnibus-KI-Datei).
EDPB und EDPS haben am 11. Februar 2026 die gemeinsame Stellungnahme 2/2026 verabschiedet und darin ernsthafte Bedenken zum individuellen Schutzniveau und zur Rechtssicherheit geäußert.
Der Vorschlag ist eine Schichtverlagerung, keine parallele Ergänzung – Cookie-Regeln wandern für personenbezogene Daten von der ePrivacy-Richtlinie in die DSGVO; beide Rahmen gelten nacheinander, nicht nebeneinander.
Heute für beide Szenarien entwickeln. Eine cookielose First-Party-Lösung erfüllt die strengsten aktuellen Regeln der Mitgliedstaaten und qualifiziert sich am ersten Tag, wenn Artikel 88a unverändert verabschiedet wird.

Der Vorschlag, den alle verstehen wollen

Am 19. November 2025 veröffentlichte die Europäische Kommission die COM(2025) 837 final – den Digital Omnibus –, ein Paket mit dem interinstitutionellen Aktenzeichen 2025/0360(COD). EUR-Lex führt den konsolidierten Text unter eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52025PC0837, die eigene Zielseite der Kommission unter digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal. Mitten im Paket steckt ein vorgeschlagener neuer Artikel 88a DSGVO, der – sofern er in der vorliegenden Fassung angenommen wird – den meistgefragten Anwendungsfall in der EU ohne Einwilligung ermöglichen würde: „creating aggregated information about the usage of an online service to measure the audience of such a service, where it is carried out by the controller of that online service solely for its own use” (englischer Originaltext des Kommissionsvorschlags; verbindliche Fassung).

Dieser Satz in Artikel 88a Abs. 3 lit. c des Vorschlags ist das, worauf Betreiber mit Banner-Müdigkeit seit sechs Jahren gewartet haben. Der frühere ePrivacy-Verordnungsentwurf – der die nationalen Cookie-Gesetze eigentlich harmonisieren sollte – wurde nach acht Jahren gescheiterter Ratsverhandlungen am 11. Februar 2025 endgültig zurückgezogen. Der Digital Omnibus ist die kleinere, schnellere und pragmatischere Antwort der Kommission: die DSGVO direkt um eine abschließende Liste einwilligungsfreier Zwecke ergänzen und einen Einklick-Ablehnungsmechanismus einführen.

Dieser Beitrag ist die Lesart des Betreibers. Was der Text tatsächlich sagt, welchen Stand er im Gesetzgebungsverfahren hat, was er ändern würde, wenn er unverändert verabschiedet wird, und – vor allem – wie man heute für beide Szenarien entwickelt.

Was Artikel 88a Abs. 3 regeln würde

Der Kommissionstext führt eine abschließende Liste von Zwecken ein, für die personenbezogene Daten ohne Einwilligung verarbeitet werden dürfen. Der für Betreiber relevante Unterabsatz ist 88a Abs. 3 lit. c, der die Verarbeitung für folgendes erlaubt (englischer Originaltext des Kommissionsvorschlags; verbindliche Fassung):

„creating aggregated information about the usage of an online service to measure the audience of such a service, where it is carried out by the controller of that online service solely for its own use”

Vier Phrasen leisten juristische Arbeit.

„Aggregated information” – keine Ereignisströme auf Einzelnutzer-Ebene. Identifikatoren auf Besucherbasis, Sitzungs-Cookies und nutzerindividuelle Session-Replays würden weiterhin einer separaten Einwilligungsgrundlage bedürfen. Die Ausnahmeregelung gilt für Zählwerte, Verteilungen, Funnels und ähnliche Aggregate.

„The audience of such a service” – Reichweitenmessung im engeren Sinne, kein Verhaltens-Retargeting. Der Text erfasst kein Retargeting, keine Lookalike-Modellierung, keine Weitergabe von Drittanbieter-IDs und keine Vorgänge, deren Geschäftszweck nachgelagerte Werbung ist.

„The controller of that online service” – die eigene Webanalyse der Website. Gemeinsame Verantwortlichkeit mit einer Werbeplattform oder eine Verarbeitung, bei der der Webanalyse-Anbieter die Daten für eigene Zwecke nutzt, fällt nicht unter die Ausnahme.

„Solely for its own use” – die Webanalyse des Betreibers, nicht ein Tool, das Daten über mehrere Kunden hinweg poolt oder mit einem Partnerökosystem teilt. Dies ist die Formulierung, die – sofern der Text unverändert bleibt – die langjährige Diskussion darüber klären würde, ob Google Analytics 4 unter die Reichweitenmessungs-Ausnahme fällt. Die aktuelle CNIL-Position besagt, dass dies nicht der Fall ist; der Garante kam im Urteil Caffeina Media vom 9. Juni 2022 zum gleichen Schluss.

Der Ablehnungsmechanismus – Artikel 88a Abs. 4

Der Vorschlag erlaubt einwilligungsfreie Webanalyse nicht nur abstrakt, er schreibt auch die Nutzererfahrung vor. Der vorgeschlagene Artikel 88a Abs. 4 verlangt, dass Betreiber die Ablehnung „in an easy and intelligible manner with a single-click button or equivalent means” ermöglichen. Nach einer Ablehnung darf der Betreiber mindestens sechs Monate lang nicht erneut nachfragen. Wurde eine Einwilligung erteilt, darf sie während ihrer Gültigkeitsdauer nicht erneut eingeholt werden.

Der politische Effekt: Das Banner wird von einer Dauerpräsenz zu einer einmaligen Entscheidung pro Nutzer und Halbjahr – und für die Ausnahmetatbestände möglicherweise zu etwas, das anfangs gar nicht erscheinen muss.

Signale auf Browser-Ebene – Artikel 88b

Das Paket sieht zudem einen neuen Artikel 88b vor, der Verantwortliche dazu verpflichtet, es Betroffenen zu ermöglichen, Einwilligungen „durch automatisierte und maschinenlesbare Mittel” zu erteilen oder zu verweigern. Sobald technische Standards vorliegen, müssen Verantwortliche diese Signale nach einer Übergangsfrist von sechs Monaten berücksichtigen; Verantwortliche, die dies tun, genießen eine Compliance-Vermutung.

Dies ist der lang ersehnte rechtliche Anker für Global Privacy Control. Wenn Artikel 88b in der vorliegenden Form verabschiedet wird, wird das GPC-Signal in EU-Jurisdiktionen verbindlich – eine Position, die das CCPA in Kalifornien und mehrere US-Bundesgesetze bereits einnehmen, die die EU bislang jedoch dem Ermessen der Betreiber überlassen hat. Erwägungsgrund 46 nimmt Mediendiensteanbieter von der Bindung an automatisierte Signale aus, was eine wesentliche Einschränkung darstellt.

Stand des Verfahrens – Mai 2026

Hier wird der Beitrag für Betreiber, die auf grünes Licht warten, weniger befriedigend.

Zum Mitte Mai 2026 ist der Digital Omnibus ein Kommissionsvorschlag, kein Gesetz. Die Akte durchläuft das ordentliche Gesetzgebungsverfahren mit gemeinsamen Dossiers in den Ausschüssen des Europäischen Parlaments:

ITRE (Industrie, Forschung und Energie), Berichterstatterin: Aura Salla (EVP/FI) – Ernennung angefochten von sieben Zivilgesellschaftsorganisationen wegen eines möglichen Interessenkonflikts aus ihrer früheren Lobbytätigkeit für Meta –, sowie
LIBE (Bürgerliche Freiheiten, Justiz und Inneres), Berichterstatterin: Marina Kaljurand (S&D/EE).

Der Europäische Wirtschafts- und Sozialausschuss hat seine Stellungnahme am 18. März 2026 angenommen. Die Diskussionen der Ratsarbeitsgruppe laufen – Dokument WK 3736/2026 INIT vom 19. März 2026 zeigt, dass die niederländischen, estnischen und finnischen Delegationen den genauen Anwendungsbereich von Artikel 88a Abs. 3 lit. c aktiv diskutieren.

Eine Plenarabstimmung des Europäischen Parlaments zu COM(2025) 837 hat noch nicht stattgefunden. Eine Plenarabstimmung am 26. März 2026 billigte den Verhandlungsstandpunkt des Parlaments zu der separaten Datei Digital Omnibus zu KI – ein anderer Vorschlag desselben digitalen Vereinfachungspakets. Die datenschutzbezogene Datei in diesem Beitrag befindet sich zum Mitte Mai 2026 noch im Ausschussstadium. Realistisches Annahmefenster – sofern die Datei nicht im Trilog steckenbleibt – ist Ende 2026 bis 2027; Inkrafttreten wahrscheinlich 2027 bis 2028. Der vorgeschlagene Artikel 88a würde sechs Monate nach Inkrafttreten gelten; Artikel 88b innerhalb von vierundzwanzig Monaten.

Für Betreiber bedeutet das: Der Digital Omnibus ist ein Fahrplan, keine gegenwärtige Rechtsgrundlage. Es ist das Richtige, worauf man hinarbeiten sollte, und das Richtige, worüber man Kunden informieren sollte. Es ist das Falsche, auf das man eine Compliance-Strategie für einen Launch im Jahr 2026 aufbauen sollte.

Die Datei ist mit erheblichem politischen Gegenwind konfrontiert.

EDPB und EDPS haben am 11. Februar 2026 die gemeinsame Stellungnahme 2/2026 herausgegeben – eine koordinierte Position des Europäischen Datenschutzausschusses (aller 27 nationalen Datenschutzbehörden) und des Europäischen Datenschutzbeauftragten. Die gemeinsame Stellungnahme äußert ernsthafte Bedenken, dass die vorgeschlagenen Änderungen „das Schutzniveau der Einzelpersonen beeinträchtigen könnten”, „Rechtsunsicherheit” schaffen und das Datenschutzrecht „schwerer anwendbar machen” könnten. NOYB veröffentlichte am 24. Februar 2026 seinen Bericht V3 unter dem Tenor „EU-Datenschutzbehörden lehnen viele vorgeschlagene DSGVO-Änderungen ab”.

Die Ernennung der ITRE-Berichterstatterin ist umstritten. Sieben zivilgesellschaftliche Watchdog-Organisationen – darunter Transparency International EU, Corporate Europe Observatory und The Good Lobby – haben gemeinsam die Koordinatoren des ITRE-Ausschusses aufgefordert, die Ernennung von Aura Salla zurückzuziehen, und verweisen auf ihre Lobbytätigkeit für Meta Platforms von Mai 2020 bis April 2023 als möglichen Interessenkonflikt gemäß Artikel 3 des Verhaltenskodex des Europäischen Parlaments. Salla ist weiterhin die ernannte Berichterstatterin (Stand Mai 2026); der Konflikt ist ungelöst.

Medienverbände argumentieren, dass 88a Abs. 3 lit. c zu eng gefasst ist. Eine gemeinsame Erklärung der Europäischen Rundfunkunion (EBU) vom Mai 2026 – zusammen mit egta und anderen europäischen Medienverbänden – argumentiert, dass die Reichweitenmessungs-Ausnahme in der vorliegenden Form die Joint-Industry-Committee-Drittanbieter-Reichweitenmessung ausschließt, die in europäischen Medien Standardpraxis ist. Die Formulierung „solely for its own use” ist der Dreh- und Angelpunkt des Lobbyings der Medienbranche für eine Erweiterung des Texts. Der politische Kampf läuft also in beide Richtungen – Datenschutzbehörden und NGOs wenden sich gegen das umfassendere Paket, während Medienverbände für eine Ausweitung der Ausnahme eintreten.

Drei Reibungspunkte machen Vorsicht bei Betreibern geboten, selbst wenn Artikel 88a weitgehend unverändert verabschiedet wird.

Erstens ist der Vorschlag eine Schichtverlagerung, keine parallele Ergänzung. Laut der Analyse von Taylor Wessing „werden die ePrivacy-Regeln nicht mehr gelten, wenn personenbezogene Daten verarbeitet werden. In diesen Situationen gilt nur noch die DSGVO. Die beiden Rahmen gelten nacheinander, nicht parallel.” Anders gesagt: Für den Zugriff auf personenbezogene Daten auf Endgeräten – die große Mehrheit der Cookie-Fälle, da die meisten Cookies nach Breyer personenbezogene Daten verarbeiten – gilt Artikel 88a DSGVO, und ePrivacy Art. 5 Abs. 3 hört auf anzuwenden. Für den Zugriff auf nicht-personenbezogene Daten auf Endgeräten (ein kleinerer, rein technischer Residualbereich) gilt weiterhin ePrivacy Art. 5 Abs. 3 via seinen nationalen Umsetzungen (Artikel 82 Loi 78-17 in Frankreich, § 25 TDDDG in Deutschland, Artikel 11.7a Telecommunicatiewet in den Niederlanden). Die praktische Auswirkung für den Betreiber hat dieselbe Form: Eine cookielose First-Party-Server-Side-Architektur umgeht beide Schichten, aber der Rechtsweg durch diese ändert sich.

Zweitens wird die Umsetzung durch die Mitgliedstaaten variieren. Die CNIL hat im letzten Jahrzehnt aus dem „Sheet n°16” eine detaillierte nationale Ausnahme mit spezifischen Laufzeitgrenzen, Aufbewahrungsfristen und Aggregationsanforderungen entwickelt. Garante und AEPD haben ihre eigenen Versionen entwickelt. Der Digital Omnibus führt einen Mindeststandard in der gesamten Union ein; ob nationale Datenschutzbehörden von ihren strengeren Positionen abrücken, sich am neuen Text harmonisieren oder die Ausnahme eng auslegen, bestimmt die tatsächliche Belastung des Betreibers ab dem ersten Tag.

Drittens ist der Widerspruch laut, koordiniert und einflussreich. Wie oben dargelegt: die gemeinsame Stellungnahme 2/2026 des EDPB-EDPS vom 11. Februar 2026, der NOYB-Bericht V3 vom 24. Februar 2026 und der zivilgesellschaftliche Rückzug-Aufruf für die ITRE-Berichterstatterin wenden sich alle gegen das umfassendere Paket. Die Reichweitenmessungs-Ausnahme selbst genießt relativ breite DPA-Unterstützung; ob das Parlament einzelne Bestimmungen herauskoppeln kann oder das Paket als Ganzes abstimmt, wird den endgültigen Text bestimmen. Eine Paketabstimmung mit Last-Minute-Änderungen ist für die Rechtssicherheit schlechter als eine saubere Annahme von Artikel 88a.

Was sich für Betreiber ändert, wenn 88a Abs. 3 lit. c unverändert verabschiedet wird

Ein kurzer mentaler Vergleich mit der aktuellen Situation im Jahr 2026.

EU-weite Einwilligungsausnahme für First-Party-Aggregat-Webanalyse. Eine einzige Konfiguration würde Frankreich, Deutschland, Italien, Spanien, die Niederlande und die übrigen Mitgliedstaaten gleichzeitig befriedigen – ohne den jeweiligen nationalen Ausnahmetest. Weil Artikel 88a eine Schichtverlagerung darstellt – Cookie-Regeln wandern für personenbezogene Fälle von der ePrivacy-Richtlinie in die DSGVO –, würde der Riegel von § 25 TDDDG ohne Einwilligung/strenge Notwendigkeit in Deutschland für personenbezogene Cookies durch die neue Artikel-88a-DSGVO-Regel überlagert. Die deutlich engere verbleibende ePrivacy-Art.-5-Abs.-3-Schicht würde weiterhin rein nicht-personenbezogene Endgeräte-Zugriffe regeln, aber das ist in der Praxis eine schmale Kategorie.

Ablehnung wird zu einer Sechs-Monats-Opt-out-Option, nicht zu einer Sitzungsreibung. Die Regel des Artikel 88a Abs. 4 – Ein-Klick-Ablehnung, keine Erneuerung für mindestens sechs Monate – macht die Cookie-Banner-UX zu einer einmaligen Entscheidung pro Nutzer und Halbjahr. Für Betreiber, die derzeit bei jeder Sitzung erneut nachfragen, weil ihr CMP standardmäßig eine Lebensdauer von 30 Tagen verwendet, ist das ein wesentlicher UX-Gewinn.

Browser-Level-Signale (GPC) werden der Compliance-Vermutung zugrundegelegt. Artikel 88b verleiht Verantwortlichen, die maschinenlesbare Einwilligungssignale berücksichtigen, eine Compliance-Vermutung. Der plausible Schritt für Betreiber ist, GPC sofort zu berücksichtigen, anstatt auf die Normungsübernahme zu warten.

Der IAB-Europe-TCF-Streit wird enger. Wenn aggregierte Reichweitenmessung keinen TC-String benötigt, schrumpft die Angriffsfläche des TCF-Streits (der bereits das Urteil des Gerichtshofs der Europäischen Union in der Rechtssache IAB Europe, C-604/22, vom 7. März 2024 hervorgebracht hat). Betreiber, die sich auf ausschließlich interessenbasierte Reichweitenmessung stützen, erhalten eine saubere DSGVO-Grundlage ohne IAB-TCF-Verflechtung.

Was sich nicht ändert: die ePrivacy-Art.-5-Abs.-3-Schicht für Cookies und localStorage bei nicht-personenbezogenen Fällen; die Auftragsverarbeiter-Beziehung nach Artikel 28 für jeden SaaS-Webanalyse-Anbieter; die Datenschutzverletzungs-Meldepflicht nach Artikel 33; der DSFA-Auslöser nach Artikel 35 bei risikobehafteter Verarbeitung; und die Betroffenenrechte nach den Artikeln 15/17 – all das gilt weiterhin zusätzlich zur neuen einwilligungsfreien Ausnahme.

Heute für beide Szenarien entwickeln

Die robuste Betreiberposition ist jetzt, eine Konfiguration zu entwickeln, die sowohl das aktuelle Flickenteppich-Regime 2026 als auch den vorgeschlagenen Digital-Omnibus-Text übersteht, sodass an dem Tag, an dem Artikel 88a gilt, nichts in der Webanalyse-Konfiguration geändert werden muss.

Die Konfiguration, die beide übersteht:

Keine Cookies, kein localStorage, kein Fingerprinting. Erfüllt den Riegel von § 25 TDDDG (keine Endgeräte-Speicherung oder kein Zugriff findet statt) und ist nach Artikel 88a DSGVO für alle verbleibenden personenbezogenen Verarbeitungen kompatibel.
First-Party-Datenerhebung auf der eigenen Domain des Betreibers. Entspricht der First-Party-Bedingung von CNIL Sheet 16; entspricht der Formulierung „controller of that online service” in Artikel 88a Abs. 3 lit. c.
Aggregierte Rollups, keine Ereignisströme auf Einzelnutzer-Ebene. Entspricht der Aggregationsempfehlung der CNIL (auf nächste 10 runden) und der Formulierung „aggregated information” in Artikel 88a Abs. 3 lit. c.
Kein kunden-übergreifendes Daten-Pooling. Entspricht dem CNIL-Sheet-16-Verbot der Zusammenführung von Rohdaten; entspricht dem Satz „solely for its own use”.
GPC und DNT auf Ingest-Ebene berücksichtigen. Entspricht dem vorgeschlagenen Artikel-88b-„automatable and machine-readable means” – und gibt dem Betreiber eine glaubwürdige „Wir berücksichtigen bereits Browser-Signale”-Antwort, wenn eine Datenschutzbehörde heute nachfragt.
Begrenzte Aufbewahrung. Die 25-Monate-Grenze der CNIL ist die strengste aktuelle europäische Hürde; Artikel 88a legt keine Aufbewahrungsfrist direkt fest, aber der Grundsatz der Speicherbegrenzung (DSGVO Art. 5 Abs. 1 lit. e) gilt weiterhin. Sich jetzt an die CNIL-Grenze zu halten, bietet die weitestmögliche Zukunftskompatibilität.
Ein dokumentiertes berechtigtes Interesse gemäß Artikel 6 Abs. 1 lit. f DSGVO. Weil die Speicher-/Zugriffsschicht (ePrivacy Art. 5 Abs. 3) umgangen wird und der Betreiber pseudonyme Identifikatoren verarbeitet (eine IP-Adresse, eine gehashte Cookie-ID), bleibt die DSGVO-Artikel-6-Grundlage heute und wahrscheinlich auch morgen eine offene Frage. Die dreistufige Prüfung gemäß EDPB-Leitlinien 1/2024 (Interessenidentifikation → Erforderlichkeit → Abwägung) ist die dauerhafte Vorlage.

Dies ist auch die Architektur, mit der Statnive Live standardmäßig ausgeliefert wird. Sein consent-free-Website-Richtlinien-Preset deaktiviert Cookies und localStorage, leitet tägliche rotierende BLAKE3-HMAC-Besucher-Hashes ab, die sich bei der Salt-Rotation selbst zerstören, kürzt IPs Server-seitig, reduziert User-Agents auf Hauptversionen und speichert nur den Host-Teil des Referrers. Sein hybrid-Preset fügt für Betreiber, die zuerst anonyme Aggregat-Webanalyse und nach Zustimmung eine vollständige Attribution wünschen, einen server-seitig durchgesetzten Upgrade-Pfad hinzu – ein Muster, das Google im März 2024 als „Consent Mode v2” eingeführt hat, in Statnive Live jedoch mit server-seitiger Durchsetzung statt client-seitigem Vertrauen.

Das Elf-Jurisdiktionen-Website-Richtlinien-Enum, das Statnive Live bereitstellt – DE, FR, IT, ES, NL, BE, IE, UK, OTHER-EU, IR, OTHER-NON-EU – hat einen Hardcode-Regelvalidator, der deutschen Betreibern verhindert, den permissive-Modus auszuwählen (§ 25 TDDDG verbietet ihn) und ohne aktive Einwilligungsintegration consent-required zu wählen. Derselbe Enum lässt sich sauber auf eine zukünftige Artikel-88a-Welt abbilden: Jede Zelle, die heute zu consent-free ableitet, gilt weiterhin; die Betreiberlast ändert sich nicht.

Was 2026 und 2027 zu beobachten ist

Eine kurze Beobachtungsliste für Betreiber, die die Datei verfolgen:

Klärung des Streits um die ITRE-Berichterstatterin. Ob die ITRE-Ausschusskoordinatoren auf den zivilgesellschaftlichen Rückzugsaufruf reagieren – und ob eine Ersetzung, eine delegierte Berichterstatterrolle oder keine Änderung das Ergebnis ist – wird den politischen Ton der Datei prägen.
Berichte der Berichterstatter aus ITRE und LIBE. Diese werden den Trilog-Standpunkt bestimmen. Aura Salla (EVP) und Marina Kaljurand (S&D) haben unterschiedliche politische Ausgangspunkte, und die Reichweitenmessungs-Ausnahme könnte Änderungsanträge von beiden Seiten anziehen. Das Lobbying der Medienbranche argumentiert, 88a Abs. 3 lit. c sei zu eng (schließt JIC-Drittanbieter-Messung aus); Datenschutz-NGOs sind mit dem aktuellen engen Anwendungsbereich eher einverstanden.
Diskussionen der Ratsarbeitsgruppe zum Anwendungsbereich von Artikel 88a Abs. 3 lit. c. Das Arbeitsdokument WK 3736/2026 INIT signalisiert, dass die niederländischen, estnischen und finnischen Delegationen sondieren, was „solely for its own use” in der Praxis bedeutet. Beobachten, ob der Rat es verengt oder erweitert.
Folgepositionierung von EDPB und EDPS. Die gemeinsame Stellungnahme 2/2026 vom 11. Februar 2026 ist die autoritativste Pre-Trilog-DPA-Position, die möglich ist. Jede Folgemeinung – ergänzende Stellungnahme, individuelle nationale DPA-Aussagen oder ein koordinierter Alternativtext – ist ein starkes Signal.
NOYB-Bericht V4 und Klagestrategie. Bericht V3 vom 24. Februar 2026 ergänzt V1 und V2 mit explizitem Kommentar zur gemeinsamen Stellungnahme. NOYB hat sich nicht gegen die Reichweitenmessungs-Ausnahme selbst ausgesprochen, könnte aber die Umsetzung anfechten: TC-String-artige Verflechtungen, Dark-Pattern-Ablehnungs-UIs oder Betreiber, die Reichweitenmessung mit Retargeting vermischen.
Nationale Regulatoren-Vorwegnahme. CNIL, Garante und AEPD könnten Leitlinien vor der Annahme veröffentlichen und signalisieren, wie jeder Artikel 88a in seiner eigenen nationalen Rechtsordnung lesen wird. Besonders aufmerksam auf die CNIL: Ihre Post-1-Januar-2026-Reichweitenmessungs-Selbstbewertungsleitlinien sind die betreibernächste Lektüre eines EU-Regulators und würden normalerweise als erste aktualisiert werden.
Trilog-Kalender. Wenn die Datei Ende 2026 in den Trilog eintritt, auf wesentliche Änderungen an Artikel 88a Abs. 3 lit. c achten. Die Erfahrung mit der ePrivacy-Verordnung legt nahe, dass der sauberste Text der Kommission oft verwässert wird, bis Rat und Parlament eine Einigung erzielen.

Was zu tun ist – und was nicht

Tun	Nicht tun
Artikel 88a Abs. 3 lit. c als Fahrplan betrachten – die heutige Architektur so entwickeln, dass sie am ersten Tag qualifiziert, wenn der Text unverändert verabschiedet wird.	Artikel 88a Abs. 3 lit. c als gegenwärtige Rechtsgrundlage behandeln. Es ist ein Kommissionsvorschlag; das Parlament hat noch nicht abgestimmt.
Für das strengste aktuelle Regime der Mitgliedstaaten entwickeln (§ 25 TDDDG in Deutschland), damit die Konfiguration zukunftskompatibel ist.	Für den permissivsten zukünftigen Text entwickeln und im Trilog feststellen, dass der Rat die Ausnahme verengt hat.
Bei Fortschritt der Datei die gemeinsame Stellungnahme 2/2026 des EDPB-EDPS (11. Februar 2026) daneben lesen – die DPA-Positionierung wird den endgültigen Anwendungsbereich bestimmen.	Artikel 88a als abgesetztes Gesetz darstellen. Jede Bezugnahme auf Artikel 88a sollte „Vorschlag, keine Plenarabstimmung” tragen.
Jede Seite mit regulatorischen Aktualisierungen mit einem Abrufdatum versehen, damit Leser wissen, welchen Stand sie lesen.	Den Plenarabstimmung-Stand des Europäischen Parlaments vom 26. März 2026 zur KI-Datei mit COM(2025) 837 verwechseln – es handelt sich um separate Dateien.
Den Legislative Train Schedule für COM(2025) 837 für Statusänderungen abonnieren.	Eine Produkt-Einführung auf den Omnibus-Annahme-Zeitplan setzen. Realistisches Inkrafttreten: 2027 bis 2028.

Das Wichtigste für Betreiber

Artikel 88a Abs. 3 lit. c ist der betreiberfreundlichste Text zur EU-Cookie-Reform seit 2018. Er würde – sofern unverändert angenommen – das länderspezifische Reichweitenmessungs-Compliance-Puzzle in Rente schicken und durch eine einzige unionsweite Regel ersetzen. Er ist auch ein Vorschlag, kein Gesetz; die Datei hat noch keine Plenarabstimmung gesehen; eine Annahme ist vor 2027 unwahrscheinlich; und die ePrivacy-Art.-5-Abs.-3-Endgeräte-Schicht gilt daneben weiterhin für nicht-personenbezogene Fälle.

Die robuste Position ist es, heute für das strengste aktuelle Regime (§ 25 TDDDG in Deutschland) und den vorgeschlagenen Text gleichzeitig zu entwickeln – damit unabhängig davon, ob der Digital Omnibus unverändert, verwässert oder gar nicht verabschiedet wird, die Webanalyse-Konfiguration des Betreibers unverändert weiterläuft. Das haben wir mit Statnive Live entwickeln wollen: eine Konfiguration, die nicht darauf angewiesen ist, dass der Digital Omnibus verabschiedet wird, aber am ersten Tag qualifiziert ist, wenn er es doch tut.

Für das tiefergehende How-to hinter jeder Mitgliedstaats-Ausnahme – das CNIL-Sheet-16-Handbuch für Frankreich, den §-25-TDDDG-Server-Side-Only-Constraint für Deutschland und die Länder-zu-Länder-Karte – finden Sie in den verlinkten Beiträgen dieser Reihe. Die Architektur, auf die der Kommissionstext einen Betreiber standardisieren würde, beschreibt das Pillar-Stück Der EU-Leitfaden für einwilligungsfreie Webanalyse 2026.

Dies ist Datenschutz-Forschung, keine Rechtsberatung. Die beschriebenen Konfigurationen qualifizieren sich gemäß Behörden-Leitlinien, wenn sie im Einklang mit einer dokumentierten Interessenabwägung (LIA) und der entsprechenden länderspezifischen Selbstbewertung eingesetzt werden. Jeder Statnive-Kunde bleibt Verantwortlicher und trägt die Verantwortung für seine eigene Konfiguration und DSFA. Bitte konsultieren Sie qualifizierte Rechtsberatung in Ihrer Jurisdiktion vor der Veröffentlichung.

Stand der regulatorischen Verweise zum 13. Mai 2026: Digital Omnibus COM(2025) 837 final – Kommissionsvorschlag vom 19. November 2025; gemeinsame Dossiers in ITRE und LIBE; Berichterstatterin Aura Salla EVP/FI – Ernennung seit Februar 2026 von sieben Zivilgesellschaftsorganisationen angefochten – und Berichterstatterin Marina Kaljurand S&D/EE; EWSA-Stellungnahme angenommen am 18. März 2026; Ratsarbeitsgruppen-Dokument WK 3736/2026 INIT vom 19. März 2026; Gemeinsame Stellungnahme 2/2026 des EDPB-EDPS vom 11. Februar 2026 zu Bedenken hinsichtlich individuellem Schutz und Rechtssicherheit; NOYB-Bericht V3 vom 24. Februar 2026; gemeinsame Erklärung europäischer Medienverbände Mai 2026 (88a Abs. 3 lit. c zu eng); keine Plenarabstimmung des Europäischen Parlaments zu COM(2025) 837 (die Plenarabstimmung vom 26. März 2026 betraf die separate Digital-Omnibus-KI-Datei). ePrivacy-Richtlinie 2002/58/EG in der durch 2009/136/EG geänderten Fassung – in Kraft; unter dem Digital-Omnibus-Vorschlag verlagern sich die Cookie-Regel-Schicht für personenbezogene Fälle in die DSGVO-Artikel 88a. EDPB-Leitlinien 2/2023 v2.0 vom 7. Oktober 2024 und EDPB-Leitlinien 1/2024 vom 8. Oktober 2024 – in Kraft. EuGH C-621/22 KNLTB (ECLI:EU:C:2024:857) – Entschieden am 4. Oktober 2024. Der frühere ePrivacy-Verordnungsentwurf wurde von der Kommission am 11. Februar 2025 zurückgezogen.