Datenschutz & Compliance

Cookie-Recht: Was rechtlich vorgeschrieben ist und was nur nervt

6 Min. Lesezeit
Kurze Antwort

Technisch notwendige Cookies (Session, Login, Warenkorb) brauchen keine Einwilligung. Analyse- und Marketing-Cookies brauchen Opt-In. ePrivacy-Richtlinie und DSGVO wirken zusammen — beide müssen eingehalten werden.

Warum gibt es überhaupt Cookie-Banner?

Cookie-Banner sind nicht die Erfindung übereifriger Datenschützer, sondern die Folge von zwei sich überschneidenden Rechtsrahmen: der ePrivacy-Richtlinie von 2002 (umgesetzt in Deutschland durch das TTDSG seit Dezember 2021) und der DSGVO von 2018. Die ePrivacy-Richtlinie regelt den Zugriff auf Endgeräte — also das Setzen und Lesen von Cookies im Browser. Die DSGVO regelt die anschließende Verarbeitung personenbezogener Daten. Wer Cookies für Tracking verwendet, muss beide Gesetze einhalten.

Das Grundprinzip: Niemand darf ohne Einwilligung Informationen im Endgerät eines Nutzers speichern oder abrufen — es sei denn, es handelt sich um technisch notwendige Cookies, ohne die der Dienst nicht funktionieren würde. Der EuGH hat in mehreren Urteilen (Planet49, 2019; Fashion ID, 2019) klargestellt, dass voreingestellte Häkchen nicht als Einwilligung gelten und dass Einwilligungen freiwillig, spezifisch, informiert und eindeutig sein müssen.

Das bedeutet in der Praxis: Wenn Ihre Website nur Session-Cookies und einen Login verwendet, brauchen Sie streng genommen keinen Cookie-Banner. Sobald Sie aber Google Analytics, Facebook Pixel, LinkedIn Insight Tag oder ähnliche Tracking-Tools einsetzen, ist ein Consent-Management-System mit echtem Opt-In Pflicht. Der Fehler vieler Websites: Sie haben einen Banner, der aber keine echte Ablehnoption bietet oder Tracking schon lädt, bevor der Nutzer zustimmt.

Cookie-Kategorien und ihre Einwilligungspflicht

  • Session-Cookies (technisch notwendig): Halten Warenkorb, Login-Status und Formular-Daten — keine Einwilligung erforderlich, dürfen immer gesetzt werden.
  • Sicherheits-Cookies (technisch notwendig): CSRF-Token, Captcha-Cookies, Bot-Schutz — keine Einwilligung erforderlich, sind direkt an die Sicherheit des Dienstes gebunden.
  • Präferenz-Cookies (Graubereich): Spracheinstellungen, Cookie-Banner-Status selbst — oft technisch notwendig argumentierbar, aber mit Vorsicht zu behandeln.
  • Analyse-Cookies (Einwilligung erforderlich): Google Analytics, Hotjar, Clarity — erfassen Nutzerverhalten und IP-Adressen, eindeutig einwilligungspflichtig.
  • Marketing-Cookies (Einwilligung erforderlich): Facebook Pixel, Google Ads Remarketing, LinkedIn Insight — teilen Daten mit Werbenetzwerken, höchste Einwilligungshürde.
  • A/B-Testing-Cookies (Einwilligung je nach Zweck): Wenn nur zur internen Optimierung ohne Drittanbieter, oft technisch notwendig; sobald externe Tools involviert sind, Einwilligung nötig.
  • Affiliate-Tracking-Cookies (Einwilligung erforderlich): Verfolgen Nutzer über Websites hinweg zur Provisionszurechnung — immer einwilligungspflichtig.
  • Social-Media-Plugins (Einwilligung erforderlich): Eingebettete Facebook- oder YouTube-Inhalte setzen Cookies schon beim Laden der Seite — Zwei-Klick-Lösung oder Einwilligung nötig.

Was ein rechtmäßiger Cookie-Banner leisten muss

Ein rechtmäßiger Cookie-Banner muss drei Dinge gleichzeitig ermöglichen: ablehnen, zustimmen und detailliert konfigurieren. Das Ablehnen muss genauso einfach sein wie das Zustimmen — ein großer 'Alle akzeptieren'-Button neben einem kleinen 'Einstellungen'-Link erfüllt diese Anforderung nicht. Die deutschen Datenschutzbehörden haben in ihrer 'Cookie-Richtlinie' von 2021 explizit klargestellt, dass die Ablehnmöglichkeit auf der ersten Ebene des Banners sichtbar sein muss.

Technisch bedeutet das: Kein Tracking-Script darf geladen werden, bevor der Nutzer aktiv zugestimmt hat. Das erfordert ein Consent-Management-System (CMP), das Scripts kontrolliert nachlädt. Wer Google Tag Manager verwendet, muss ihn so konfigurieren, dass Tags nur bei vorliegender Einwilligung feuern. Das ist technisch möglich, aber es muss bewusst eingerichtet werden — Standardkonfigurationen laden Tags oft sofort.

Wichtig ist außerdem das Widerrufsrecht: Nutzer müssen ihre Einwilligung jederzeit widerrufen können, ohne dass das schwieriger ist als die ursprüngliche Zustimmung. Ein dauerhaft zugänglicher Link 'Cookie-Einstellungen' im Footer ist Pflicht. Die Einwilligung muss dokumentiert werden: Wann hat wer welche Einwilligung gegeben? Das muss im CMP protokolliert und nachweisbar sein.

Dark Patterns: Verbotene Manipulationstricks

Dark Patterns bei Cookie-Bannern sind illegal und werden von Datenschutzbehörden aktiv verfolgt. Konkrete Verbote: 'Alle akzeptieren' in grün und 'Ablehnen' in grau oder klein — unzulässig. Vorausgewählte Häkchen für Marketing-Cookies — unzulässig. Endloser 'Weiterlesen'-Text, der die Ablehnmöglichkeit versteckt — unzulässig. Nudging-Texte wie 'Damit unterstützen Sie uns' beim Ablehnen-Button — nach aktuellem Rechtsverständnis unzulässig. Die französische Datenschutzbehörde CNIL hat gegen Google und Facebook Bußgelder in Millionenhöhe genau wegen solcher Muster verhängt.

Rechtssicheren Cookie-Banner einrichten

  1. Cookie-Audit durchführen

    Prüfen Sie mit einem Browser-Entwicklertool oder einem Cookie-Scanner (z. B. cookiebot.com/scanner), welche Cookies Ihre Website tatsächlich setzt — oft sind es mehr als erwartet, weil eingebettete Inhalte oder Plugins automatisch Cookies setzen.

  2. Cookies kategorisieren

    Teilen Sie alle gefundenen Cookies in Kategorien ein: technisch notwendig, Präferenzen, Analyse, Marketing. Für jede einwilligungspflichtige Kategorie brauchen Sie eine eigene Einwilligungsoption im Banner.

  3. CMP-Tool wählen und einrichten

    Wählen Sie ein Consent-Management-System: Cookiebot, Usercentrics, Borlabs Cookie (WordPress) oder ein eigenes System. Das CMP muss alle Scripts blockieren, bis die Einwilligung vorliegt, und die Einwilligungen protokollieren.

  4. Banner-Design DSGVO-konform gestalten

    Ablehnen und Akzeptieren auf Augenhöhe: gleiche Schriftgröße, gleiche Buttonprominenz. Keine voreingestellten Häkchen für nicht-notwendige Kategorien. Informationen zu jedem Cookie klar und verständlich.

  5. Nachlade-Verhalten testen

    Testen Sie mit einem Inkognito-Browser und aktivem Netzwerk-Monitor: Werden Tracking-Scripte erst nach der Einwilligung geladen? Werden sie nach dem Widerruf nicht mehr geladen? Dieser Test zeigt, ob Ihre technische Umsetzung rechtlich hält.

  6. Footer-Link und Dokumentation einrichten

    Dauerhaft zugänglicher Link 'Cookie-Einstellungen' im Footer, der das CMP erneut öffnet. Datenschutzerklärung mit vollständiger Cookie-Liste aktualisieren. Einwilligungsprotokolle sichern und für mindestens 3 Jahre aufbewahren.

Cookie-Walls und Subscriber-Modelle: Was ist erlaubt?

Eine Cookie-Wall sperrt den Zugang zu einer Website für Nutzer, die Tracking-Cookies ablehnen. Der EuGH und mehrere nationale Datenschutzbehörden haben klargestellt, dass Cookie-Walls in vielen Fällen unzulässig sind, weil sie die Einwilligung zur Bedingung für den Zugang machen — und eine unter Zwang gegebene Einwilligung ist nicht freiwillig und damit rechtswidrig.

Eine Ausnahme hat sich jedoch etabliert: das Subscriber-Modell (auch 'Pay or Consent' genannt). Dabei können Nutzer wählen zwischen Tracking-Einwilligung (kostenloser Zugang) oder einem kostenpflichtigen Abo ohne Tracking. Der EuGH hat dies in seinem Urteil zu Meta (November 2023) grundsätzlich für möglich erklärt, aber mit strengen Bedingungen: Das Abo-Angebot muss fair bepreist sein, der Nutzer darf nicht unangemessen benachteiligt werden, und er muss eine echte Wahl haben. Für kleine Websites und KMUs ist dieses Modell praktisch kaum umsetzbar und rechtlich nach wie vor risikoreich.

Für die meisten Unternehmenswebsites gilt daher: Kein Tracking ohne Einwilligung, kein Sperren des Zugangs bei Ablehnung. Wer Analyse-Daten braucht, sollte auf datenschutzkonforme Tools umsteigen, die keine Einwilligung erfordern — zum Beispiel Matomo in der Self-Hosted-Version ohne Tracking-Cookies.

INREMA-Einschätzung

Die häufigsten Fehler, die wir bei Website-Audits finden: Google Analytics läuft ohne Banner, der Banner hat keine Ablehnoption auf erster Ebene, oder Scripts werden schon beim Seitenaufruf geladen, obwohl noch keine Einwilligung vorliegt. Ein korrekt eingerichteter Cookie-Banner ist kein schlechtes Nutzererlebnis — er zeigt, dass Sie das Recht Ihrer Besucher auf Selbstbestimmung ernst nehmen.

Einfacher Selbst-Test

Öffnen Sie Ihre Website im Inkognito-Modus und schauen Sie im Browser-Entwicklertool unter 'Application > Cookies': Welche Cookies sind schon gesetzt, bevor Sie irgendetwas im Banner angeklickt haben? Alles außer technisch notwendigen Cookies zu diesem Zeitpunkt ist ein Rechtsverstoß. Dieser Test dauert zwei Minuten und zeigt sofort, ob Ihre Implementierung hält.
Zusammenfassung
  • Technisch notwendige Cookies (Session, Login, Warenkorb) brauchen keine Einwilligung — alle anderen in der Regel schon.
  • Ablehnen muss genauso einfach sein wie Akzeptieren — gleiche Prominenz, erste Banner-Ebene, keine Dark Patterns.
  • Cookie-Walls sind in Deutschland weitgehend unzulässig; Subscriber-Modelle nur unter engen Bedingungen erlaubt.

Häufige Fragen

Brauche ich einen Cookie-Banner, wenn ich nur Google Analytics nutze?
Ja. Google Analytics setzt Cookies und überträgt IP-Adressen an Google-Server in den USA. Das erfordert sowohl nach ePrivacy als auch nach DSGVO eine vorherige, informierte Einwilligung. Ein Banner ohne echte Ablehnmöglichkeit genügt nicht.
Was kostet ein professionelles Consent-Management-System?
Lösungen wie Cookiebot oder Usercentrics kosten zwischen 8 und 50 Euro pro Monat je nach Seitenaufrufen und Funktionsumfang. Für WordPress gibt es Borlabs Cookie als Einmalkauf. Die Kosten sind im Verhältnis zu den möglichen Bußgeldern minimal.
Gilt das Cookie-Recht auch für B2B-Websites ohne Onlineshop?
Ja. Das TTDSG gilt für alle Websites, die im Browser von Nutzern Informationen speichern oder abrufen — unabhängig davon, ob die Besucher Verbraucher oder Geschäftskunden sind. Auch eine reine Unternehmenswebsite mit Kontaktformular und Analytics unterliegt dem Cookie-Recht.
Wie lange muss ich Einwilligungsprotokolle aufbewahren?
Es gibt keine gesetzlich festgelegte Aufbewahrungsfrist. Empfehlenswert ist eine Aufbewahrung von mindestens 3 Jahren, da Bußgeldverfahren und Klagen auch rückwirkend geführt werden können und Sie dann die Einwilligung nachweisen müssen.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
5 haeufigste DSGVO-Fehler auf Unternehmenswebsites
6 Min. Lesezeit
Datenschutz & Compliance
Cookie-Banner falsch konfiguriert: Die häufigsten Muster und Risiken
7 Min. Lesezeit
Websites & Software
Cookie-Banner richtig einrichten: Was erlaubt ist und was nicht
5 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen