Wichtigste Punkte zu Cookie-Bannern
TL;DR: Cookie-Banner sind für nicht-technisch notwendige Cookies gesetzlich vorgeschrieben. Sie erfordern eine informierte, freiwillige und granulare Einwilligung des Nutzers. Ablehnung muss so einfach sein wie Zustimmung. Verstöße können zu Abmahnungen und hohen Strafen führen. Consent-Management-Plattformen (CMPs) helfen bei der rechtssicheren Umsetzung.
- Cookie-Banner sind die bekannten Hinweis- und Einstimmungsfenster auf Websites. Sie bitten Nutzer um Einwilligung in das Setzen bestimmter Cookies und vergleichbarer Tracker. Gesetzliche Vorgaben, insbesondere die EU-Richtlinie und das deutsche TTDSG, erfordern sie für nicht technisch notwendige Cookies. Dazu zählen Cookies für Tracking, Werbung und Analytics.
- Die Einwilligungspflicht ist durch Gerichtsurteile und das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) klar geregelt. Cookies, die nicht zwingend für den Seitenbetrieb erforderlich sind, dürfen erst nach aktiver Zustimmung des Nutzers (Opt-in) gesetzt werden. Wichtig ist, dass bloßes Weitersurfen keine Zustimmung darstellt und vorangekreuzte Häkchen unzulässig sind.
- Die Gestaltung von Cookie-Bannern erfordert eine verständliche Erklärung der Einwilligung. Nutzer müssen wissen, wofür sie zustimmen, zum Beispiel: „Wir nutzen Cookies für personalisierte Anzeigen und Webanalyse.“ Eine echte Wahl ist unerlässlich: Ablehnen muss ebenso einfach sein wie Akzeptieren. Andernfalls ist die Einwilligung möglicherweise unwirksam, da sie nicht freiwillig erfolgte.
- Viele Websites bieten mehrstufige Einstellungen oder „Cookie-Einstellungen“ an, um Nutzern die Auswahl einzelner Kategorien wie Statistik oder Marketing zu ermöglichen. Rechtlich muss die Einwilligung informiert und granular erfolgen. Nutzer sollten die Möglichkeit haben, bestimmte Zwecke abzulehnen und anderen zuzustimmen.
- Technisch notwendige Cookies, wie für Warenkörbe oder Login-Sessions, dürfen ohne gesondertes Banner gesetzt werden, da keine Einwilligung erforderlich ist. Diese werden in Cookie-Bannern oft als „essenzielle Cookies“ ausgewiesen und sind immer aktiv.
- Die erteilte Einwilligung muss dokumentiert werden, um sie bei Bedarf nachweisen zu können (wer wann wozu eingewilligt hat). Dies übernehmen häufig Consent-Management-Tools. Zudem ist eine Widerrufsmöglichkeit essentiell. Nutzer müssen ihre Einwilligung später ändern oder zurückziehen können, oft über einen Link „Cookie-Einstellungen“ im Footer.
- Gerade für Startups ist dieses Thema wichtig, da Verstöße von Datenschutzbehörden abgemahnt werden können. Zudem beeinträchtigen unübersichtliche Banner die User Experience. Ziel ist es, einen rechtlich einwandfreien und gleichzeitig nutzerfreundlichen Consent-Mechanismus zu etablieren.
Rechtsgrundlage: ePrivacy und DSGVO
Die Pflicht zu Cookie-Bannern basiert hauptsächlich auf der ePrivacy-Richtlinie der EU, auch als „Cookie-Richtlinie“ bekannt, und ihrer nationalen Umsetzung. In Deutschland regelt § 25 TTDSG seit 2021 das Speichern von Informationen im Endgerät des Nutzers. Dies, wozu Cookies gehören, ist nur unter bestimmten Bedingungen erlaubt:
- a) Es ist technisch notwendig für die Bereitstellung des Dienstes, oder
- b) der Nutzer hat explizit eingewilligt.
Parallel zur ePrivacy-Richtlinie ist oft auch die DSGVO relevant, da viele Cookies personenbezogene Daten wie IP-Adressen oder Nutzerprofile erfassen. Für solche Verarbeitungen fordert die DSGVO eine Einwilligung oder eine andere Rechtsgrundlage. Bei Tracking-Zwecken akzeptieren Aufsichtsbehörden jedoch in der Regel keine andere Rechtsgrundlage als die ausdrückliche Einwilligung; berechtigte Interessen werden hier meist abgelehnt.
Möchte man Dienste wie Google Analytics">Google Analytics oder Facebook Pixel & Co einsetzen, ist die vorherige Zustimmung der Website-Besucher zwingend erforderlich.
Welche Cookies brauchen Einwilligung?
| Merkmal | Technisch notwendige Cookies | Einwilligungspflichtige Cookies |
|---|---|---|
| Definition | Unerlässlich für die Funktionalität der Website und die Ausführung angeforderter Nutzeraktionen. | Nicht zwingend für den Seitenbetrieb erforderlich; dazu zählen Cookies für Tracking, Werbung, Analytics und Personalisierung. |
| Beispiele | Session-Cookies für den Login-Status, Sprach-Einstellungen, Warenkorb-Cookies in Online-Shops oder Sicherheits-Cookies (z.B. CSRF-Token). | Analyse-Cookies (z.B. Google Analytics), Werbe-Cookies (z.B. Google Ads, Facebook Pixel), Personalisierungs-Cookies, Cookies von externen Medien (z.B. eingebettete YouTube-Videos). |
| Einwilligung erforderlich? | Nein, dürfen ohne gesondertes Banner gesetzt werden. | Ja, erst nach aktiver Zustimmung des Nutzers (Opt-in) erlaubt. |
| Ausweisung im Banner | Oft als „essenzielle Cookies“ ausgewiesen und sind immer aktiv. | Müssen im Banner zur Auswahl angeboten werden. |
Als technisch notwendig gelten beispielsweise Session-Cookies für den Login-Status, Sprach-Einstellungen, Warenkorb-Cookies in Online-Shops oder Sicherheits-Cookies (z.B. CSRF-Token). Diese sind unerlässlich für die Funktionalität der Website und die Ausführung angeforderter Nutzeraktionen. Für solche Cookies ist kein Banner erforderlich, jedoch sollte in der Datenschutzerklärung darüber informiert werden.
Einwilligungspflichtige Cookies umfassen unter anderem:
- Analyse-Cookies (z.B. Google Analytics, Matomo mit Cookies), da sie das Nutzerverhalten tracken.
- Werbe-Cookies (z.B. Google Ads, Facebook Pixel, Affiliate-Tracking).
- Personalisierungs-Cookies, die Inhalte oder Empfehlungen auf den Nutzer zuschneiden.
- Cookies von externen Medien, wie sie beispielsweise bei eingebetteten YouTube-Videos zur Nachverfolgung gesetzt werden.
Ebenso sind Skripte einwilligungspflichtig, die zwar keine klassischen Cookies setzen, aber ähnliche Funktionen erfüllen. Dazu gehören die Nutzung von Local Storage oder Fingerprinting. Auch diese fallen unter die Kategorie „Speichern von Informationen im Endgerät“.
Das Cookie-Banner muss folglich mindestens alle nicht notwendigen Datenverarbeitungen abdecken.
Gestaltung des Cookie-Banners
Für die rechtssichere Gestaltung eines Cookie-Banners sind verschiedene Designs möglich. Jedoch sind folgende zentrale Punkte zu beachten:
- Klare Sprache: Nutzer müssen verstehen, wozu sie ihre Zustimmung erteilen. Statt eines einfachen „Wir nutzen Cookies, akzeptieren?“, ist eine Formulierung wie „Wir nutzen Cookies und vergleichbare Technologien, um unsere Website zu optimieren, personalisierte Inhalte und Anzeigen zu zeigen und Zugriffe zu analysieren. Dafür benötigen wir Ihre Einwilligung.“ deutlich besser.
- Auswahlmöglichkeiten: Es sollten mindestens die Optionen „Akzeptieren“ und „Ablehnen“ gleichwertig angeboten werden. Designs, bei denen „Akzeptieren“ prominent und „Ablehnen“ versteckt ist, werden von Datenschutzbehörden als „Nudging“ kritisiert. Solche Designs drängen Nutzer zur Zustimmung und sollten vermieden werden.
- Details zugänglich: Ein Link oder Button wie „Einstellungen“ oder „Details anzeigen“ ist obligatorisch. Er sollte eine Auflistung der einzelnen Cookies oder Kategorien sowie deren Anbieter und Zwecke ermöglichen.
- Kein Pre-Check: Checkboxen für Cookie-Kategorien dürfen nicht vorab angehakt sein. Eine Ausnahme bilden hier lediglich essentielle Cookies, die ohnehin keine Einwilligung erfordern. Für alle anderen Kategorien muss der Nutzer aktiv selbst zustimmen.
- Bewusste Nutzeraktion erforderlich: Die Praxis „Wenn Sie weitersurfen, stimmen Sie zu“ ist nicht mehr ausreichend. Das Banner muss eine bewusste Aktion vom Nutzer verlangen. Eine rechtlich sichere, wenn auch manchmal nutzerunfreundliche Methode, ist das Blockieren aller Skripte und Inhalte, bis eine Auswahl getroffen wurde.
Oft wird ein Kompromiss gewählt: Standardmäßig werden nur essentielle Inhalte geladen, und der Banner erscheint als modaler Dialog oder am unteren Bildschirmrand. Ignoriert der Nutzer dies und scrollt einfach weiter, bleibt das Tracking blockiert. Der EuGH hat jedoch ein stillschweigendes Scrollen als Zustimmung verneint. Es ist daher ratsam, auf einen expliziten Klick zu warten.
- Widerrufsmöglichkeit: Gemäß DSGVO muss eine Einwilligung so einfach widerrufbar sein, wie sie erteilt wurde. Praktisch bedeutet dies, dass ein Link wie „Cookie-Einstellungen ändern“ permanent zugänglich sein sollte, oft im Footer. Dies ermöglicht es Nutzern, ihre anfangs akzeptierten Cookies später abzulehnen oder anzupassen.
- Protokollierung: Das genutzte Consent-Tool sollte protokollieren, wann welche Auswahl getroffen wurde. Im Falle einer Prüfung kann so nachgewiesen werden, dass der Nutzer seine Zustimmung erteilt hat. Diese Daten sollten datenschutzkonform gespeichert werden, idealerweise anonymisiert oder als Indikatoren.
Consent-Management-Plattformen (CMP)
Viele Websites greifen auf fertige Consent-Management-Plattformen (CMPs) wie OneTrust, Usercentrics oder Borlabs Cookie zurück. Diese Lösungen bilden die rechtlichen Anforderungen ab und erhalten regelmäßige Updates bei Gesetzesänderungen.
Für Startups empfiehlt es sich meist, auf ein solches Tool zu setzen, um den Aufwand der Eigenentwicklung zu vermeiden. CMPs sind oft kostenpflichtig, wobei einige Anbieter auch kostenlose Varianten anbieten.
Es ist entscheidend, dass alle Skripte, die Cookies setzen, initial blockiert werden. CMPs laden diese Skripte erst, nachdem die Option „Akzeptieren“ gewählt wurde. Dies erfordert eine technische Integration, zum Beispiel indem der Google Analytics Code über das CMP injiziert oder mit einer Abfrage versehen wird.
Auswirkungen auf Nutzer und Conversion
Cookie-Banner haben den Nebeneffekt, dass viele Nutzer die Option „Ablehnen“ wählen, wenn sie leicht zugänglich ist, oder nur das Nötigste erlauben. Für das Online-Marketing bedeutet dies oft eine eingeschränkte Erlaubnis zum Tracking. Folglich sind Analytics-Daten lückenhaft und die Reichweite für Remarketing sinkt. Diese Entwicklung hat das Online-Marketing in den letzten Jahren vor Herausforderungen gestellt.
Manche Unternehmen versuchen, das Banner möglichst dezent und im Corporate Design zu gestalten, um eine höhere Zustimmungsrate zu erzielen. Rechtlich ist es jedoch untersagt, die Ablehnungsoption zu verstecken.
Ein alternativer Ansatz ist das „Cookie-less Tracking“ mittels rein serverseitigem Logging. Diese Methode birgt jedoch ebenfalls rechtliche Grauzonen.
Keine Einwilligungspflicht bei rein technischen Cookies
Ein pauschales Nachfragen „Cookies okay?“ ist oft unnötig, wenn eine Website keine Tracking-Cookies verwendet. Eine einfache Webseite mit ausschließlich Session-Cookies benötigt kein Cookie-Banner und könnte sogar Nutzer irritieren.
Daher sollte vor der Implementierung sorgfältig geprüft werden, ob tatsächlich einwilligungspflichtige Cookies oder Tracker eingesetzt werden. Eventuell lässt sich auf Google Analytics verzichten und stattdessen ein datenschutzfreundlicher Dienst nutzen, der ohne Cookies arbeitet. Es existieren Tools, die Daten aggregiert und anonymisiert tracken, was unter Umständen DSGVO-konform auch ohne Einwilligung möglich ist, sofern keine Personenbeziehbarkeit besteht.
Strafen und Abmahnungen
In den vergangenen Jahren haben Datenschutzbehörden vermehrt Webseiten überprüft. Es gab Fälle in der EU, insbesondere in Frankreich und Österreich, in denen Websites hohe Strafen zahlen mussten. Dies geschah oft wegen der Nutzung von Google Analytics ohne die erforderliche Einwilligung oder aufgrund von Datentransfers in die USA.
Darüber hinaus sind Abmahnungen durch Wettbewerber oder Verbände denkbar. Hierbei wird argumentiert, dass ein Verstoß gegen die Cookie-Einwilligungsvorschriften einen Wettbewerbsverstoß darstellt, da unlautere Datenpraktiken vorliegen. Obwohl dies noch nicht höchstrichterlich entschieden ist, gibt es erste Tendenzen, die eine Abmahnbarkeit befürworten.
Für Startups ist ein korrekt implementiertes Cookie-Consent-Management daher kein „nice to have“, sondern elementar, um rechtliche Risiken zu vermeiden. Auch die Nutzer erwarten diesen Mechanismus inzwischen, selbst wenn er manchmal als lästig empfunden wird.
Fazit
Das Cookie-Banner ist aus der Web-Nutzung nicht mehr wegzudenken. Trotz gelegentlicher Irritationen erfüllt es eine wichtige Funktion: Es sorgt für Transparenz und Kontrolle des Nutzers über Tracking und Datensammlung. Für Website-Betreiber ist es eine juristische Pflicht, die ernst genommen werden sollte. Es ist unerlässlich, die Vorgaben nicht zu umgehen oder nur halbherzig umzusetzen. Eine Einwilligung muss stets freiwillig und informiert erfolgen. Ein gut konfiguriertes Cookie-Banner schafft es, rechtliche Anforderungen zu erfüllen und Nutzern eine klare Wahl zu lassen, ohne durch „Dark Patterns“ manipuliert zu werden. Wer dies sauber umsetzt, vermeidet Sanktionen und demonstriert gleichzeitig seinen Besuchern eine hohe Wertschätzung des Datenschutzes.