Cookie-Banner: Rechtliche Pflicht & Einwilligung | IT-Medienrecht

Erfahren Sie alles über rechtlich korrekte Cookie-Banner und die Einwilligungspflicht nach TTDSG & DSGVO. Vermeiden Sie Abmahnungen. Jetzt informieren!

Wichtigste Punkte zu Cookie-Bannern

TL;DR: Cookie-Banner sind für nicht-technisch notwendige Cookies gesetzlich vorgeschrieben. Sie erfordern eine informierte, freiwillige und granulare Einwilligung des Nutzers. Ablehnung muss so einfach sein wie Zustimmung. Verstöße können zu Abmahnungen und hohen Strafen führen. Consent-Management-Plattformen (CMPs) helfen bei der rechtssicheren Umsetzung.

Rechtsgrundlage: ePrivacy und DSGVO

Die Pflicht zu Cookie-Bannern basiert hauptsächlich auf der ePrivacy-Richtlinie der EU, auch als „Cookie-Richtlinie“ bekannt, und ihrer nationalen Umsetzung. In Deutschland regelt § 25 TTDSG seit 2021 das Speichern von Informationen im Endgerät des Nutzers. Dies, wozu Cookies gehören, ist nur unter bestimmten Bedingungen erlaubt:

Parallel zur ePrivacy-Richtlinie ist oft auch die DSGVO relevant, da viele Cookies personenbezogene Daten wie IP-Adressen oder Nutzerprofile erfassen. Für solche Verarbeitungen fordert die DSGVO eine Einwilligung oder eine andere Rechtsgrundlage. Bei Tracking-Zwecken akzeptieren Aufsichtsbehörden jedoch in der Regel keine andere Rechtsgrundlage als die ausdrückliche Einwilligung; berechtigte Interessen werden hier meist abgelehnt.

Möchte man Dienste wie Google Analytics">Google Analytics oder Facebook Pixel & Co einsetzen, ist die vorherige Zustimmung der Website-Besucher zwingend erforderlich.

Welche Cookies brauchen Einwilligung?

Merkmal Technisch notwendige Cookies Einwilligungspflichtige Cookies
Definition Unerlässlich für die Funktionalität der Website und die Ausführung angeforderter Nutzeraktionen. Nicht zwingend für den Seitenbetrieb erforderlich; dazu zählen Cookies für Tracking, Werbung, Analytics und Personalisierung.
Beispiele Session-Cookies für den Login-Status, Sprach-Einstellungen, Warenkorb-Cookies in Online-Shops oder Sicherheits-Cookies (z.B. CSRF-Token). Analyse-Cookies (z.B. Google Analytics), Werbe-Cookies (z.B. Google Ads, Facebook Pixel), Personalisierungs-Cookies, Cookies von externen Medien (z.B. eingebettete YouTube-Videos).
Einwilligung erforderlich? Nein, dürfen ohne gesondertes Banner gesetzt werden. Ja, erst nach aktiver Zustimmung des Nutzers (Opt-in) erlaubt.
Ausweisung im Banner Oft als „essenzielle Cookies“ ausgewiesen und sind immer aktiv. Müssen im Banner zur Auswahl angeboten werden.

Als technisch notwendig gelten beispielsweise Session-Cookies für den Login-Status, Sprach-Einstellungen, Warenkorb-Cookies in Online-Shops oder Sicherheits-Cookies (z.B. CSRF-Token). Diese sind unerlässlich für die Funktionalität der Website und die Ausführung angeforderter Nutzeraktionen. Für solche Cookies ist kein Banner erforderlich, jedoch sollte in der Datenschutzerklärung darüber informiert werden.

Einwilligungspflichtige Cookies umfassen unter anderem:

Ebenso sind Skripte einwilligungspflichtig, die zwar keine klassischen Cookies setzen, aber ähnliche Funktionen erfüllen. Dazu gehören die Nutzung von Local Storage oder Fingerprinting. Auch diese fallen unter die Kategorie „Speichern von Informationen im Endgerät“.

Das Cookie-Banner muss folglich mindestens alle nicht notwendigen Datenverarbeitungen abdecken.

Gestaltung des Cookie-Banners

Schritte zur Gestaltung eines rechtskonformen Cookie-Banners1Klare Sprache: Nutzer müssen verstehen, wozu sie ihre Zustimmung erteilen.2Auswahlmöglichkeiten: 'Akzeptieren' und 'Ablehnen' gleichwertig anbieten.3Details zugänglich: Link zu 'Einstellungen' oder 'Details anzeigen'obligatorisch.4Kein Pre-Check: Checkboxen für Cookie-Kategorien dürfen nicht vorab angehaktsein (Ausnahme: essentielle Cookies).5Bewusste Nutzeraktion erforderlich: Das Banner muss eine bewusste Aktion vomNutzer verlangen (kein Weitersurfen als Zustimmung).6Widerrufsmöglichkeit: Einwilligung muss so einfach widerrufbar sein, wie sieerteilt wurde (Link im Footer).7Protokollierung: Consent-Tool sollte protokollieren, wann welche Auswahlgetroffen wurde.
Schritte zur Gestaltung eines rechtskonformen Cookie-Banners

Für die rechtssichere Gestaltung eines Cookie-Banners sind verschiedene Designs möglich. Jedoch sind folgende zentrale Punkte zu beachten:

Consent-Management-Plattformen (CMP)

Viele Websites greifen auf fertige Consent-Management-Plattformen (CMPs) wie OneTrust, Usercentrics oder Borlabs Cookie zurück. Diese Lösungen bilden die rechtlichen Anforderungen ab und erhalten regelmäßige Updates bei Gesetzesänderungen.

Für Startups empfiehlt es sich meist, auf ein solches Tool zu setzen, um den Aufwand der Eigenentwicklung zu vermeiden. CMPs sind oft kostenpflichtig, wobei einige Anbieter auch kostenlose Varianten anbieten.

Es ist entscheidend, dass alle Skripte, die Cookies setzen, initial blockiert werden. CMPs laden diese Skripte erst, nachdem die Option „Akzeptieren“ gewählt wurde. Dies erfordert eine technische Integration, zum Beispiel indem der Google Analytics Code über das CMP injiziert oder mit einer Abfrage versehen wird.

Auswirkungen auf Nutzer und Conversion

Cookie-Banner haben den Nebeneffekt, dass viele Nutzer die Option „Ablehnen“ wählen, wenn sie leicht zugänglich ist, oder nur das Nötigste erlauben. Für das Online-Marketing bedeutet dies oft eine eingeschränkte Erlaubnis zum Tracking. Folglich sind Analytics-Daten lückenhaft und die Reichweite für Remarketing sinkt. Diese Entwicklung hat das Online-Marketing in den letzten Jahren vor Herausforderungen gestellt.

Manche Unternehmen versuchen, das Banner möglichst dezent und im Corporate Design zu gestalten, um eine höhere Zustimmungsrate zu erzielen. Rechtlich ist es jedoch untersagt, die Ablehnungsoption zu verstecken.

Ein alternativer Ansatz ist das „Cookie-less Tracking“ mittels rein serverseitigem Logging. Diese Methode birgt jedoch ebenfalls rechtliche Grauzonen.

Keine Einwilligungspflicht bei rein technischen Cookies

Ein pauschales Nachfragen „Cookies okay?“ ist oft unnötig, wenn eine Website keine Tracking-Cookies verwendet. Eine einfache Webseite mit ausschließlich Session-Cookies benötigt kein Cookie-Banner und könnte sogar Nutzer irritieren.

Daher sollte vor der Implementierung sorgfältig geprüft werden, ob tatsächlich einwilligungspflichtige Cookies oder Tracker eingesetzt werden. Eventuell lässt sich auf Google Analytics verzichten und stattdessen ein datenschutzfreundlicher Dienst nutzen, der ohne Cookies arbeitet. Es existieren Tools, die Daten aggregiert und anonymisiert tracken, was unter Umständen DSGVO-konform auch ohne Einwilligung möglich ist, sofern keine Personenbeziehbarkeit besteht.

Strafen und Abmahnungen

In den vergangenen Jahren haben Datenschutzbehörden vermehrt Webseiten überprüft. Es gab Fälle in der EU, insbesondere in Frankreich und Österreich, in denen Websites hohe Strafen zahlen mussten. Dies geschah oft wegen der Nutzung von Google Analytics ohne die erforderliche Einwilligung oder aufgrund von Datentransfers in die USA.

Darüber hinaus sind Abmahnungen durch Wettbewerber oder Verbände denkbar. Hierbei wird argumentiert, dass ein Verstoß gegen die Cookie-Einwilligungsvorschriften einen Wettbewerbsverstoß darstellt, da unlautere Datenpraktiken vorliegen. Obwohl dies noch nicht höchstrichterlich entschieden ist, gibt es erste Tendenzen, die eine Abmahnbarkeit befürworten.

Für Startups ist ein korrekt implementiertes Cookie-Consent-Management daher kein „nice to have“, sondern elementar, um rechtliche Risiken zu vermeiden. Auch die Nutzer erwarten diesen Mechanismus inzwischen, selbst wenn er manchmal als lästig empfunden wird.

Fazit

Das Cookie-Banner ist aus der Web-Nutzung nicht mehr wegzudenken. Trotz gelegentlicher Irritationen erfüllt es eine wichtige Funktion: Es sorgt für Transparenz und Kontrolle des Nutzers über Tracking und Datensammlung. Für Website-Betreiber ist es eine juristische Pflicht, die ernst genommen werden sollte. Es ist unerlässlich, die Vorgaben nicht zu umgehen oder nur halbherzig umzusetzen. Eine Einwilligung muss stets freiwillig und informiert erfolgen. Ein gut konfiguriertes Cookie-Banner schafft es, rechtliche Anforderungen zu erfüllen und Nutzern eine klare Wahl zu lassen, ohne durch „Dark Patterns“ manipuliert zu werden. Wer dies sauber umsetzt, vermeidet Sanktionen und demonstriert gleichzeitig seinen Besuchern eine hohe Wertschätzung des Datenschutzes.