Datenschutz

Cookie-Banner und Consent Management: Rechtssichere Umsetzung

TL;DR
  • Die Einwilligungspflicht für Cookies ergibt sich aus § 25 TDDDG (ehemals TTDSG), der die ePrivacy-Richtlinie in deutsches Recht umsetzt. Die DSGVO kommt ergänzend für die Verarbeitung der erhobenen personenbezogenen Daten zur Anwendung.
  • Technisch notwendige Cookies (Session-Cookies, Warenkorb, Spracheinstellungen) dürfen ohne Einwilligung gesetzt werden. Für alle anderen Cookies (Analyse, Marketing, Social Media) ist eine vorherige Einwilligung erforderlich.
  • Dark Patterns im Cookie-Banner (versteckter Ablehnen-Button, irreführende Farben, Nudging) verstoßen gegen die Anforderung der freiwilligen Einwilligung und werden von Aufsichtsbehörden sanktioniert.
  • Eine Consent Management Platform (CMP) automatisiert die Einholung, Dokumentation und Durchsetzung von Einwilligungen. Die CMP muss Cookies tatsächlich blockieren, bis die Einwilligung vorliegt.
  • Die Einstellungen müssen jederzeit änderbar sein. Ein dauerhaft sichtbares Element (Icon, Link im Footer) für den Zugriff auf die Consent-Einstellungen ist Best Practice.

Rechtsgrundlagen: Warum Cookie-Banner existieren

Cookie-Banner sind nicht die Erfindung übereifriger Datenschützer, sondern die Konsequenz aus zwei Rechtsrahmen, die zusammenwirken: der ePrivacy-Richtlinie (2002/58/EG) und der DSGVO.

§ 25 TDDDG (ehemals TTDSG): Einwilligung für Endgerätezugriff

Seit Dezember 2021 setzt § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, vormals TTDSG) die ePrivacy-Richtlinie in deutsches Recht um. Die Kernregel: Die Speicherung von Informationen auf dem Endgerät des Nutzers oder der Zugriff auf bereits gespeicherte Informationen ist nur mit Einwilligung zulässig.

Das gilt nicht nur für Cookies im engeren Sinne, sondern für alle Technologien, die auf dem Endgerät des Nutzers Informationen speichern oder auslesen: Cookies, Local Storage, Session Storage, Fingerprinting, Pixel-Tags, Web Beacons.

Die Einwilligung nach § 25 TDDDG muss den Anforderungen der DSGVO entsprechen: freiwillig, informiert, unmissverständlich, durch eine bestätigende Handlung.

Die Ausnahme: Technisch notwendige Cookies

§ 25 Abs. 2 TDDDG definiert zwei Ausnahmen, für die keine Einwilligung erforderlich ist:

Übertragung einer Nachricht. Cookies, die für die technische Übermittlung einer Nachricht über ein elektronisches Kommunikationsnetz unbedingt erforderlich sind. Beispiel: Load-Balancer-Cookies, die den Nutzer an einen bestimmten Server weiterleiten.

Vom Nutzer ausdrücklich gewünschter Dienst. Cookies, die unbedingt erforderlich sind, um einen vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen. Beispiele: Session-Cookies für den Login, Warenkorb-Cookies im Online-Shop, Spracheinstellungs-Cookies, CSRF-Token.

Alles andere erfordert eine Einwilligung: Analyse-Cookies (Google Analytics, Matomo mit Cookie), Marketing-Cookies (Google Ads, Meta Pixel, Retargeting), Social-Media-Cookies (Like-Buttons, Share-Buttons), Personalisierungs-Cookies.

DSGVO als zweite Ebene

Sobald durch die Cookies personenbezogene Daten verarbeitet werden (was bei Analyse- und Marketing-Cookies praktisch immer der Fall ist), kommt die DSGVO zur Anwendung. Die DSGVO regelt dann, auf welcher Rechtsgrundlage die Verarbeitung der erhobenen Daten erfolgt, typischerweise auf Basis der Einwilligung (Art. 6 Abs. 1 lit. a).

In der Praxis läuft das auf eine doppelte Einwilligung hinaus, die aber mit einem einzigen Consent-Mechanismus eingeholt werden kann: Einwilligung nach § 25 TDDDG für das Setzen des Cookies und Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO für die Verarbeitung der erhobenen Daten.

Anforderungen an ein rechtmäßiges Cookie-Banner

Keine Vorankreuzung, kein Opt-out

Cookies dürfen erst nach aktiver Einwilligung gesetzt werden, nicht vorher. Das bedeutet technisch: Beim ersten Seitenaufruf dürfen keine einwilligungspflichtigen Cookies gesetzt werden. Der Cookie-Banner erscheint, der Nutzer trifft seine Wahl, und erst danach werden die entsprechenden Cookies aktiviert.

Vorangekreuzte Checkboxen ("Marketing-Cookies: aktiviert") sind unzulässig. Der Nutzer muss aktiv einwilligen, nicht aktiv widersprechen.

Gleichwertige Ablehnungsmöglichkeit

Der Nutzer muss die Möglichkeit haben, nicht-notwendige Cookies abzulehnen, und diese Möglichkeit muss genauso einfach zugänglich sein wie die Zustimmung. Das ist der Punkt, an dem die meisten Cookie-Banner scheitern.

Unzulässig:

  • "Alle akzeptieren" als prominenter grüner Button, "Ablehnen" als kleiner grauer Textlink in der Ecke
  • "Alle akzeptieren" auf der ersten Ebene, "Ablehnen" erst nach Klick auf "Einstellungen" auf der zweiten Ebene
  • Kein Ablehnen-Button, nur "Akzeptieren" und "Individuelle Einstellungen"
  • "Weitersurfen = Zustimmung" (das ist keine aktive Handlung)

Zulässig:

  • "Alle akzeptieren" und "Alle ablehnen" als gleichwertige Buttons nebeneinander auf der ersten Ebene
  • "Alle akzeptieren" und "Nur notwendige" als gleichwertige Buttons auf der ersten Ebene

Die französische Aufsichtsbehörde CNIL hat Google und Facebook 2022 zu Bußgeldern von 150 Millionen bzw. 60 Millionen Euro verurteilt, weil das Ablehnen von Cookies mehr Klicks erforderte als das Akzeptieren. Die Botschaft ist unmissverständlich: Reject muss genauso einfach sein wie Accept.

Granularität: Zweckbezogene Einwilligung

Der Nutzer muss die Möglichkeit haben, für einzelne Zwecke separat einzuwilligen. Typische Zweck-Kategorien:

  • Notwendig: Immer aktiv, nicht abwählbar
  • Funktional: Erweiterte Funktionen wie eingebettete Videos, Live-Chats
  • Analyse/Statistik: Nutzungsanalyse, Heatmaps, A/B-Testing
  • Marketing: Werbe-Tracking, Retargeting, Conversion-Messung

Eine Sammeleinwilligung ("Alle oder keine") reicht nicht aus. Der Nutzer muss Analyse akzeptieren und Marketing ablehnen können und umgekehrt.

Transparente Information

Der Cookie-Banner muss den Nutzer informieren über:

  • Welche Cookies und Tracking-Technologien eingesetzt werden
  • Zu welchem Zweck sie eingesetzt werden
  • Wer die Daten erhält (insbesondere bei Drittanbieter-Cookies)
  • Wie lange die Cookies gespeichert werden
  • Dass die Einwilligung jederzeit widerrufbar ist und wie

Diese Informationen müssen nicht alle auf der ersten Ebene des Banners stehen. Eine zweite Detailebene ("Cookie-Details" oder "Mehr erfahren") ist zulässig, solange die Kerninformationen auf der ersten Ebene erkennbar sind.

Technische Blockierung vor Einwilligung

Das ist der technisch anspruchsvollste Punkt: Einwilligungspflichtige Cookies und Tracking-Scripts dürfen erst geladen werden, nachdem der Nutzer eingewilligt hat. Es reicht nicht, ein Banner einzublenden und im Hintergrund trotzdem Google Analytics zu laden. Die Consent Management Platform muss die Scripts tatsächlich blockieren, bis die Einwilligung vorliegt.

Typische Implementierungsansätze:

Script-Blocking: Die einwilligungspflichtigen Scripts werden mit einem veränderten type-Attribut in den HTML-Code eingebunden (z. B. type="text/plain" statt type="text/javascript"). Die CMP ändert das type-Attribut erst nach Einwilligung, sodass das Script erst dann ausgeführt wird.

Tag-Manager-Integration: Die CMP kommuniziert mit einem Tag-Manager (Google Tag Manager, Matomo Tag Manager), der die Scripts erst auslöst, wenn die entsprechende Einwilligungskategorie vorliegt.

Server-Side Tagging: Die Datenerhebung erfolgt über einen eigenen Server, der nur aktiv wird, wenn eine gültige Einwilligung vorliegt. Dieser Ansatz ist technisch aufwändiger, aber datenschutzfreundlicher.

Dark Patterns: Was verboten ist

Dark Patterns sind Designmuster, die den Nutzer manipulieren, um eine bestimmte Entscheidung zu erzwingen. Im Kontext von Cookie-Bannern sind sie weit verbreitet und werden von den Aufsichtsbehörden zunehmend sanktioniert.

Verbotene Designmuster

Farb-Nudging: Der "Akzeptieren"-Button ist grün/blau und prominent, der "Ablehnen"-Button ist grau und unauffällig. Die farbliche Gestaltung lenkt den Nutzer zum Akzeptieren.

Asymmetrische Klicktiefe: "Alle akzeptieren" erfordert einen Klick, "Ablehnen" erfordert drei Klicks durch Untermenüs. Der Aufwand für die Ablehnung ist unverhältnismäßig höher.

Confirmshaming: Texte wie "Nein, ich möchte keine bessere Nutzererfahrung" oder "Ohne Cookies können wir dir nicht helfen" üben psychologischen Druck aus.

Cookie-Walls: "Ohne Zustimmung kannst du die Website nicht nutzen." Eine Cookie-Wall, die den Zugang zur Website vollständig blockiert, ist nach herrschender Meinung der deutschen Aufsichtsbehörden unzulässig, weil sie die Freiwilligkeit der Einwilligung aufhebt. In anderen EU-Ländern (Frankreich, Österreich) wird das zum Teil anders bewertet, insbesondere wenn ein kostenpflichtiges, cookiefreies Alternativangebot ("Pay or Okay") besteht.

Voreingestellte Schieberegler: Schieberegler für Marketing-Cookies sind standardmäßig auf "an" gestellt. Das ist funktional identisch mit einer vorangekreuzten Checkbox und damit unzulässig.

Wiederholtes Nachfragen: Der Nutzer lehnt ab, und beim nächsten Seitenaufruf erscheint das Banner erneut. Einmalige Ablehnung muss respektiert werden. Das Banner darf erst nach einem angemessenen Zeitraum (die Aufsichtsbehörden nennen 6 bis 12 Monate) erneut eingeblendet werden.

Consent Management Platforms (CMP): Auswahl und Konfiguration

Was eine CMP leisten muss

Eine CMP (auch Consent Management Tool oder Cookie-Consent-Lösung) übernimmt die technische Umsetzung des Consent-Managements. Eine gute CMP bietet:

  • Banner-Erstellung: Konfigurierbare Oberfläche für den Cookie-Banner mit mehreren Ebenen
  • Zweck-Verwaltung: Definition und Verwaltung von Cookie-Kategorien und Zwecken
  • Cookie-Scanning: Automatische Erkennung der auf der Website eingesetzten Cookies
  • Script-Blockierung: Technische Blockierung von Scripts vor Einwilligung
  • Consent-Speicherung: Speicherung der Einwilligungsentscheidung des Nutzers (typischerweise in einem First-Party-Cookie)
  • Consent-Nachweis: Dokumentation jeder Einwilligungsentscheidung mit Zeitstempel, Version der Einwilligungserklärung und gewählten Optionen
  • Widerrufsmechanismus: Möglichkeit für den Nutzer, seine Einstellungen jederzeit zu ändern
  • Reporting: Auswertung der Consent-Raten und -Muster

Bekannte CMP-Anbieter

Auf dem Markt gibt es zahlreiche CMP-Anbieter. Einige der bekanntesten:

  • Cookiebot (Usercentrics): Weit verbreitet in Europa, automatisches Cookie-Scanning, TCF-kompatibel
  • Usercentrics: Deutscher Anbieter, umfangreiche Konfigurationsoptionen, App-SDK verfügbar
  • OneTrust: Enterprise-Lösung mit breitem Funktionsumfang
  • Borlabs Cookie: WordPress-Plugin, populär im deutschen Markt
  • Klaro: Open-Source-Lösung, selbst gehostet, datenschutzfreundlich
  • Osano: Fokus auf Einfachheit und Compliance

Konfigurationsfehler vermeiden

Fehler 1: Cookie-Scanning nicht aktuell. Die CMP scannt einmalig die Website und identifiziert die Cookies. Wenn du später neue Tracking-Tools einbindest, muss das Scanning wiederholt werden. Sonst werden die neuen Cookies nicht vom Consent-Mechanismus erfasst und ohne Einwilligung gesetzt.

Fehler 2: Scripts nicht tatsächlich blockiert. Manche CMP-Implementierungen zeigen zwar ein Banner an, blockieren aber die Scripts nicht technisch. Das Banner ist dann nur eine Fassade. Prüfe nach der Implementierung mit den Browser-Developer-Tools, ob tatsächlich keine einwilligungspflichtigen Cookies gesetzt werden, bevor der Nutzer einwilligt.

Fehler 3: Google Consent Mode falsch konfiguriert. Der Google Consent Mode erlaubt es, Google-Tags ohne Cookies zu laden und erst nach Einwilligung die volle Funktionalität zu aktivieren. Die Konfiguration ist komplex: Im "Basic Mode" werden die Tags vollständig blockiert, im "Advanced Mode" senden die Tags cookielose Pings auch ohne Einwilligung. Welcher Modus datenschutzkonform ist, hängt von der konkreten Implementierung ab.

Fehler 4: Kein dauerhafter Widerrufsmechanismus. Der Nutzer willigt ein, möchte aber eine Woche später seine Einstellungen ändern. Wie findet er den Einstellungsdialog wieder? Best Practice: Ein dauerhaft sichtbares Element, typischerweise ein kleines Cookie-Icon in der unteren linken Ecke oder ein Link "Cookie-Einstellungen" im Footer.

Sonderfall: Analyse ohne Einwilligung

Viele Unternehmen suchen nach Wegen, Nutzungsstatistiken zu erheben, ohne ein Cookie-Banner einblenden zu müssen. Es gibt tatsächlich Konstellationen, in denen das möglich ist:

Serverseitige Analyse

Wenn die Analyse ausschließlich serverseitig erfolgt, also keine Informationen auf dem Endgerät des Nutzers gespeichert oder ausgelesen werden, fällt § 25 TDDDG nicht an. Die Auswertung von Server-Logfiles (IP-Adresse, Referrer, User-Agent, Zeitstempel) ist technisch möglich und erfordert keine Cookie-Einwilligung. Allerdings verarbeitest du personenbezogene Daten (IP-Adresse), wofür du eine Rechtsgrundlage nach der DSGVO brauchst. Art. 6 Abs. 1 lit. f (berechtigtes Interesse) kommt in Betracht, wenn du die IP-Adressen anonymisierst oder pseudonymisierst.

Cookielose Analyse-Tools

Einige Analyse-Tools arbeiten ohne Cookies und ohne Speicherung von Informationen auf dem Endgerät: Plausible Analytics, Fathom Analytics, Matomo (in der cookielosen Konfiguration). Ob diese Tools tatsächlich ohne Einwilligung eingesetzt werden dürfen, hängt von der konkreten Konfiguration ab. Wenn kein Cookie gesetzt und kein Fingerprint erstellt wird, entfällt die Einwilligungspflicht nach § 25 TDDDG. Für die DSGVO brauchst du weiterhin eine Rechtsgrundlage, typischerweise berechtigtes Interesse mit entsprechender Abwägung.

Matomo mit Opt-out statt Opt-in?

Matomo (ehemals Piwik) wird oft als datenschutzfreundliche Alternative zu Google Analytics beworben, die ohne Cookie-Einwilligung eingesetzt werden kann. Das stimmt nur unter bestimmten Voraussetzungen:

  • Matomo wird selbst gehostet (keine Cloud-Version)
  • IP-Adressen werden vor der Speicherung anonymisiert
  • Keine Cookies werden gesetzt (cookieloser Tracking-Modus)
  • Kein Browser-Fingerprinting
  • Die Daten werden nicht an Dritte weitergegeben

Unter diesen Bedingungen kann Matomo nach Auffassung einiger Aufsichtsbehörden (CNIL, DSK) ohne Einwilligung eingesetzt werden. Andere Aufsichtsbehörden bewerten das strenger. Prüfe die Position deiner zuständigen Landesbehörde.

Dokumentation und Nachweispflicht

Du musst nachweisen können, dass jeder Nutzer, dessen Daten du über Cookies verarbeitest, wirksam eingewilligt hat. Die TOMs für die Speicherung der Consent-Daten sollten dokumentiert sein. Dazu musst du folgende Informationen speichern und abrufbar halten:

  • Consent-ID: Eindeutige Kennung der Einwilligungsentscheidung
  • Zeitstempel: Wann wurde die Einwilligung erteilt (oder verweigert)?
  • Version: Welche Version des Cookie-Banners und der Cookie-Richtlinie lag zum Zeitpunkt der Einwilligung vor?
  • Gewählte Optionen: Welche Kategorien wurden akzeptiert, welche abgelehnt?
  • Widerruf: Wurde die Einwilligung nachträglich geändert oder widerrufen?

Die meisten CMPs speichern diese Informationen automatisch. Prüfe, ob die Speicherdauer ausreichend ist (mindestens für die Dauer der Datenverarbeitung) und ob die Daten exportiert werden können (für den Fall einer Prüfung durch die Aufsichtsbehörde).

Cookie-Richtlinie: Pflichtdokument

Neben dem Cookie-Banner brauchst du eine Cookie-Richtlinie (auch Cookie-Policy), die detailliert über die eingesetzten Cookies und Tracking-Technologien informiert. Sie kann Teil der Datenschutzerklärung sein oder als eigenständiges Dokument veröffentlicht werden.

Pflichtinhalte:

  • Welche Cookies und Tracking-Technologien werden eingesetzt?
  • Zu welchem Zweck?
  • Wer ist der Anbieter (First-Party oder Third-Party)?
  • Wie lange werden die Cookies gespeichert (Ablaufdatum)?
  • Welche Daten werden erhoben und an wen weitergegeben?
  • Wie kann der Nutzer Cookies verwalten (Browsereinstellungen, CMP)?
  • Wie kann die Einwilligung widerrufen werden?

Halte die Cookie-Richtlinie aktuell. Wenn du ein neues Tracking-Tool einbindest, muss die Richtlinie aktualisiert werden. Ein regelmäßiger Cookie-Scan (quartalsweise) hilft, den Überblick zu behalten. In ISMS Lite lässt sich die Cookie-Richtlinie als versioniertes Dokument mit Änderungshistorie führen, sodass du bei einer Prüfung nachweisen kannst, welche Version zu welchem Zeitpunkt gültig war.

Prüfung durch Aufsichtsbehörden

Die Aufsichtsbehörden prüfen Cookie-Banner zunehmend systematisch. Die bayerische Aufsichtsbehörde (BayLDA) hat in mehreren Prüfwellen hunderte Websites untersucht und bei Verstößen Anordnungen erlassen. Auch dein Datenschutzbeauftragter sollte die Cookie-Konfiguration regelmäßig prüfen. Auch die CNIL in Frankreich und die AEPD in Spanien führen regelmäßig Massenprüfungen durch.

Typische Prüfpunkte:

  • Werden Cookies vor Einwilligung gesetzt?
  • Ist der Ablehnen-Button gleichwertig zugänglich?
  • Funktioniert die Script-Blockierung technisch?
  • Sind die Cookie-Informationen vollständig und aktuell?
  • Wird die Einwilligung nachweisbar dokumentiert?
  • Kann der Nutzer seine Einstellungen jederzeit ändern?
  • Werden Dark Patterns eingesetzt?

Ein einfacher Selbsttest: Öffne deine Website im Inkognito-Modus, öffne die Browser-Developer-Tools (F12, Tab "Application" oder "Speicher") und prüfe, welche Cookies vor dem Klick auf den Banner gesetzt werden. Wenn dort mehr als dein Consent-Cookie und technisch notwendige Cookies stehen, hast du ein Problem.

Weiterführende Artikel

Cookie-Banner sind das sichtbarste Datenschutzthema im Web und gleichzeitig das Thema, bei dem die meisten Unternehmen Fehler machen. Die gute Nachricht: Mit einer sauber konfigurierten CMP, einem gleichwertigen Ablehnen-Button und einer lückenlosen Dokumentation bist du auf der sicheren Seite. Die schlechte Nachricht: Viele der heute eingesetzten Banner erfüllen diese Anforderungen nicht.

Consent-Prozesse dokumentieren

ISMS Lite unterstützt dich bei der Dokumentation deiner Cookie-Richtlinie, der Consent-Einstellungen und der Nachweispflichten. Alles nachvollziehbar für die Aufsichtsbehörde.

Jetzt installieren