Worum geht's?
Für Websitebetreiber spielt das Thema Cookies schon lange eine große Rolle - mit dem TDDDG (ehemals TTDSG) ist das Thema jetzt wichtiger denn je. Denn nach Jahren der Unsicherheit schreibt der Gesetzgeber jetzt klar vor: Für nicht notwendige Cookies brauchen Sie eine Einwilligung. Aber was sind nicht notwendige oder essenzielle Cookies überhaupt? Wozu gehören Session Cookies, Tracking Cookies, Third Party Cookies und Marketing Cookies? Welche der unzähligen Tools und Cookies auf Webseiten fallen in welche Kategorie? Und praktisch am wichtigsten: Warum müssen Sie das alles bei der Konfiguration Ihres Consent Tools beachten? Wir klären auf.
1. Was sind Cookies?
Cookies sind kleine Textdateien. Setzen Sie als Websitebetreiber Cookies, passiert Folgendes:
- Ihr Nutzer ruft Ihre Website auf.
- Sie platzieren einen Cookie im Browserverlauf auf dem PC des Nutzers (über seine IP-Adresse).
- Der Cookie wird dabei vom Server an den privaten Nutzer gesendet (HTTP-Cookie) oder beim Aufruf einer Seite generiert (gescripteter Cookie).
- Der Besuch Ihrer Website wird so auf der Festplatte des Nutzers gespeichert.
- Ruft der Nutzer Ihre Website erneut auf, sendet sein Browser den Cookie an Ihren Server.
- Damit erinnert sich Ihr Server an den früheren Besuch Ihres Nutzers.
So ist es möglich, dass Sie erneute Besuche Ihrer Nutzer individuell an ihre Gewohnheiten anpassen. Das kann zum einen bedeuten, dass Sie ihm einen Warenkorb anzeigen, den er bereits gespeichert hatte. Sie haben aber auch die Möglichkeit, ihm individuelle Werbung anzuzeigen.
Für die Frage, wie Sie als Webseitenbetreiber konkret mit Cookies umgehen müssen, müssen Sie zwischen essenziellen und nicht essenziellen Cookies unterscheiden.
2. Was sind essenzielle Cookies?
Essenzielle Cookies oder auch technisch notwendige Cookies sind solche, die technisch für den Betrieb einer Website und deren Funktion erforderlich sind. Nutzer können essenzielle Cookies nicht deaktivieren (Ausnahme: Deaktivierung im Browser).
Welche Cookies tatsächlich unter essenzielle Cookies fallen, ist teilweise umstritten. Wir gehen aktuell davon aus, dass die folgenden Cookies als essenziell bzw. erforderlich gelten und Sie keine Einwilligung brauchen.
- Warenkorb Cookies: Nutzer wählen in Ihrem Onlineshop Produkte aus und legen sie in den Warenkorb.
- Payment Anbieter Cookies: Nutzer werden nach dem Kauf auf die Seite eines Zahlungsanbieters weitergeleitet, um das Produkt über diesen zu bezahlen.
Beispiel: Paypal - Nutzereingaben Cookies: Nutzer tragen ihre Daten in Online-Formulare auf Ihrer Website ein, auch über mehrere Webseiten.
- Session-Cookies: Während einer einzelnen Browser-Sitzung werden Informationen über Ihre Nutzer gespeichert, die für jeden Seitenwechsel bestehen bleiben. Diese Session Cookies werden wieder gelöscht, wenn der Nutzer den Browser schließt.
- Login Cookies: Der Nutzer ist auf einer Website eingeloggt, z.B. in einer Community.
- Cookies zur Sicherheit Ihrer Nutzer: Die Daten Ihrer Nutzer oder Ihre Webseite werden geschützt. Beispiel ist der Schutz davor, dass jemand versucht das Passwort Ihrer Nutzer zu knacken, indem er alle möglichen Lösungen durchprobiert („Brute-Force“).
- Cookies zur Sicherheit des Betreibers: Durch Cookies erkennen Sie z.B. Betrugsfälle in Ihrem Onlineshop.
- Cookie-Einwilligung: Ihre Nutzer geben eine Einwilligung in die Verwendung von Cookies über Cookie Banner ein.
Beispiel: Usercentrics - Ausdrücklich gewünschte Inhalte, z.B. Multimedia-Inhalte: Der Nutzer hat ausdrücklich seinen Wunsch geäußert, dass Videos oder andere Multimedia-Inhalte auf Ihrer Homepage wiedergegeben werden.
- Cookies zur Lastenverteilung: Daten werden gleichmäßig verteilt, damit die Seite schneller und effizienter geladen werden kann („Load Balancing“).
- Cookies zur Personalisierung von Diensten: Ihr Nutzer lässt freiwillig bestimmte Informationen zu, z.B. an welchem Standort er sich befindet oder seine Sprachauswahl. Achtung: Die Personalisierung von Werbung fällt nicht hierunter.
- Authentifizierungs-Cookies: Der Nutzer authentifiziert sich und klickt zum Beispiel „angemeldet bleiben“. Beim nächsten Besuch der Website ist er automatisch angemeldet. Der Cookie ist nur dann notwendig, wenn er ausschließlich dem Zweck der Authentifizierung dient (in der Regel nicht der Fall in sozialen Netzwerken).
- Kontaktformular-Cookies: Nutzer stellen eine Frage über Ihr Kontaktformular, die Antworten werden gespeichert.
3. Was sind nicht essenzielle Cookies?
Im Gegensatz dazu sind nicht essenzielle Cookies (technisch nicht notwendige Cookies) alle anderen, die eben nicht für den Betrieb der Seite oder deren Funktionen unbedingt erforderlich sind. In der Regel sind das solche, die Sie nur aus wirtschaftlichen Gründen setzen. Für diese brauchen Sie eine Einwilligung.
Beispiele für nicht essenzielle Cookies:
Tracking-Cookies: Tracking Cookies zeichnen das Verhalten Ihres Nutzers – auch geräteübergreifend - auf, zum Beispiel:
- Was hat er auf der Website gemacht?
- Wo hat er wie lange und wie oft gesurft (Nutzungsdauer, Wiederkehr)?
- Was hat er gekauft? Was hat er eingestellt?
- Welche Suchbegriffe hat er verwendet?
- Wo wohnt er (Geo-Lokalisierung)?
- Welche Produkte hat er über den „Gefällt mir“-Button geliked (Social-Media-Plugin)
Mit diesen Informationen lässt sich ein Nutzerprofil erstellen und gezielt Online Marketing betreiben. Sie können ihm zum Beispiel Werbeanzeigen ausspielen, die zu seinen bisher gekauften Produkten oder sonst zu seinen Interessen passen.Tracking Cookies werden auch Performance Cookies genannt.
Cookies zur Conversion-Messung: Ein Nutzer kauft ein Produkt, nachdem er eine Werbeanzeige geklickt hat. So können Sie auswerten, wie Ihre Werbebanner performen.
Remarketing Cookies: Ein Nutzer hat auf Ihrer Homepage gesurft. Sie setzen einen Cookie. Später besucht der Nutzer eine andere Seite, auf der ihm in einem Werbebanner Werbung für Ihr Unternehmen angezeigt wird (Personalisierung von Werbung).
Beispiel: Google Remarketing
Zielgruppenbildung: Facebook und Google erstellen Nutzerprofile, z.B. weil die Nutzer ihr Geburtsjahr und ihren Wohnort angeben oder bestimmte Beiträge anklicken oder liken. Anhand dieser Profile können Nutzer als Zielgruppe für Werbeanzeigen ausgewählt werden.
ACHTUNG
Werden die Cookies hingegen von einem Payment Anbieter wie Paypal oder Klarna für die Durchführung des Zahlungsvorgangs gesetzt, sind es essenzielle Third Party Cookies und benötigen keine Einwilligung (siehe oben).
All die genannten Cookie Arten lassen sich auch unter „Marketing Cookies“ zusammenfassen.
4. Gibt es Cookies, bei denen unklar ist, ob sie essenzielle Cookies sind?
Ja, es gibt Cookies, bei denen die Einordnung in essenziell und nicht essenziell noch nicht abschließend geklärt ist.
Komfort Cookies: Ein Nutzer legt Produkte in einen Warenkorb oder spielt ein Video ab. Vor dem Kauf bzw. vor Ende des Videos stürzt der Browser ab. Wenn er diesen erneut öffnet, muss er seine Angaben nicht erneuern.
Design Cookies: Ihre Seite wird für Ihre Nutzer optisch ansprechender oder besser lesbar angezeigt.
PRAXIS TIPP
Wenn Sie auf Nummer Sicher gehen wollen, behandeln Sie diese als nicht-erforderliche Cookies und holen Sie lieber eine Einwilligung ein. Das Risiko einer Abmahnung ist hier momentan allerdings eher gering.
Reichweiten-Cookies:
Einen Sonderfall stellen Reichweiten-Cookies dar: Diese Cookies messen (auch sitzungsübergreifend) die Besucherströme und das Verhalten einzelner Nutzer auf Ihrer Homepage. Dazu werden anonyme Statistiken erstellt. Sie erstellen aber weder Nutzerprofile, noch verfolgen Sie Nutzer über andere Webseiten, Dienste und Apps hinweg.
Auch geben Sie Daten nicht an Dritte weiter, sondern verwalten die Cookies ausschließlich selbst. Sie verwenden diese Cookies zum Beispiel für diesen Fall: Ein Nutzer war auf Ihrer Homepage. Drei Tage später kommt er erneut auf Ihre Website, um einen Kauf vorzunehmen, nachdem er sich vorher lediglich über das Angebot informiert hatte.
Hier ist umstritten, ob Sie für die Tools eine Einwilligung benötigen. Auf Nummer Sicher gehen Sie, wenn Sie eine Einwilligung einholen. Wenn Sie das Risiko eingehen möchten, beachten Sie dabei folgende Richtwerte:
- Nutzen Sie ein Tool, das nur einen Cookie setzt.
- Das Tool sollte den Cookie so kurz wie möglich speichern, idealerweise 7 Tage.
- Die Cookies dürfen nicht an Dritte übertragen werden.
Beispiele:
- Beispiel für ein Tool, das eher ohne Cookie-Einwilligung zulässig sein dürfte: Matomo (lokal installiert)
- Beispiel für ein Tool, bei dem wir dringend zu einer Cookie-Einwilligung raten: Google Analytics
Cookies für statistische Zwecke:
Ein weiterer Sonderfall im Bereich der Reichweiten-Cookies sind Cookies für statistische Zwecke: Hier nutzen Sie Analyse-Cookies, damit Sie Ihre Dienste bereitstellen können. Beispiel: Sie brauchen diese, um Serverkapazitäten auszuwerten oder um Probleme in der Bedienung aufzudecken. Auch für diese Cookies ist umstritten, ob sie essenziell sind oder ob Sie eine Einwilligung brauchen. Die Luxemburgische Datenschutzbehörde CNPD vertritt dazu die Auffassung, dass keine Einwilligung erforderlich ist, wenn folgende Voraussetzungen erfüllt sind:
- Sie dürfen Cookies nicht an Dritte weitergeben oder mit anderen Daten verbinden.
- Die Cookies dürfen keine umfassende Aufzeichnung der Nutzung einer Seite noch eine webseitenübergreifende Aufzeichnung ermöglichen.
- Die Cookies dürfen nur Ihnen zur Erstellung anonymer Statistiken dienen.
5. Essenziell oder nicht essenziell: wichtig für Ihr Consent Cookie Banner
Wichtig ist die Abgrenzung zwischen essenziellen und nicht essenziellen Cookies, weil Sie für nicht essenzielle Cookies echte Cookie Einwilligungen über einen Cookie Banner brauchen. Das bedeutet: Der Nutzer muss aktiv einwilligen, dass Sie die Cookies bzw. Trackingmaßnahmen aktivieren.
Detaillierte Informationen finden Sie auch in der "Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021", den die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) am 20.12.2021 veröffentlicht hat.
Was passiert, wenn das Cookie-Banner nicht rechtskonform umgesetzt wird, sieht man am Fall von Microsoft Bing. Weil bing.com Unregelmäßigkeiten in seinem Cookie-Consent Banner hatte, verhängte die französische Datenschutzbehörde im Dezember 2022 eine Strafe von 60 Millionen Euro gegen das Unternehmen. Sie sehen:
Selbst globale Marktführer wie Microsoft kommen an der rechtskonformen Umsetzung eines Cookie-Banners nicht vorbei.
MEHR LESEN
Wie eine ordnungsgemäße Einwilligung aussehen muss, lesen Sie im Beitrag „So muss ein Cookie Consent Banner aussehen, um nicht abgemahnt zu werden“.
Was Sie bei den Cookie Einstellungen der gängigen Cookie Consent Tools beachten müssen, haben wir Ihnen in unserem Artikel „Die 6 gängigsten Cookie Consent Tools“ zusammengestellt.
6. So konfigurieren Sie Ihr Cookie Consent Tool
„Da soll sich doch der Anbieter meines Cookie Consent Tools drum kümmern, dass die Tools richtig einsortiert sind“, sagen Sie jetzt vielleicht. Doch das ist ein Trugschluss! Als Websitebetreiber sind allein Sie dafür verantwortlich, dass Sie Einwilligungen für nicht essenzielle Cookies einholen, und nicht der Cookie Consent Tool Anbieter. Zwar sind die Tools in den Cookie Consent Tools bereits in Kategorien eingruppiert. Allerdings ist diese Vorsortierung nicht in jedem Fall datenschutzrechtlich korrekt. Prüfen Sie also unbedingt selbst, dass die von Ihnen verwendeten Tools im jeweiligen Cookie Consent Tool in die richtige Kategorie (essenziell oder nicht essenziell) eingeordnet sind. Ob und wie das geht, hängt davon ab, welches Cookie Consent Tool Sie nutzen.
So geht es bei den Cookie Consent Tools, die kostenlos oder vergünstigt in eRecht24 Premium enthalten sind:
- Usercentrics
Bei Usercentrics können Sie Tools individuell in die Kategorien einsortieren. Usercentrics hilft hier mit: Über den Cookiescanner erkennt Usercentrics die Tools mit Cookies. Diese Tools ordnen Sie einfach der entsprechenden Gruppe zu. - Consent Management Provider
Auch der Consent Management Provider hat einen Cookiescanner. Er erkennt die Tools mit Cookies, die Sie dann der entsprechenden Gruppe zuordnen können. - Borlabs Cookie
Auch hier lässt sich die Eingruppierung der Cookies individuell anpassen. Borlabs Cookie 3.0 stellt Ihnen ebenfalls einen Scanner zur Verfügung, um die Tools in die entsprechenden Gruppen einzuordnen.
Wenn Sie sich für eRecht24 Premium entscheiden, können Sie die Tools sofort nutzen und konfigurieren.
Jetzt eRecht24 Mitglied werden und Cookie-Banner erstellen7. Welche Cookies sind konkret erforderlich und welche nicht?
Um Ihnen die Arbeit zu erleichtern, haben wir für Sie eine Liste von Tools und unseren Vorschlag der Eingruppierung als “essenziell” und “nicht essenziell” zusammengestellt. So können Sie die Einwilligungen in Ihrem Consent Tool mit möglichst geringem rechtlichen Risiko selbst vornehmen.
Nicht einwilligungsbedürftige Cookies:
- Active Campaign
- Akismet
- All-Inkl
- Amazon Pay
- American Express
- Apple Pay
- BigBlueButton
- Borlabs Cookie
- Brevo
- Brevo Terminbuchung
- Bunny.net CDN
- ccm19
- CleanTalk
- CleverReach
- ClickMeeting
- Cloudflare Turnstile
- Complianz
- Consent Manager Provider
- ConvertKit
- Cookie Notice & Compliance
- Cookiebot
- CookieFirst
- CopeCart
- Digistore24-Wordpress-Plugin
- Digistore24
- elopage
- eRecht24 Safe Sharing Tool
- Fathom Analytics
- Font Awesome (lokales Hosting)
- Friendly Captcha
- GDPR Legal Cookie by Shopify
- GetResponse
- giropay
- Google Fonts (lokales Hosting)
- Google Pay
- GoToMeeting
- Gravatar
- hCaptcha
- Hetzner
- Inxmail
- IONOS WebAnalytics
- IONOS
- Jimdo
- Jitsi Meet
- Klarna
- Klicktipp
- Lead Forensics
- Leadinfo
- Leadfeeder
- LeadLab
- Mailchimp
- Mailjet
- MailerLite
- MailPoet
- Mastercard
- Mittwald
- Mollie
- MyFonts
- Ninja Firewall
- Nitropack
- Osano
- Paydirekt
- PayOne
- PayPal
- Pipedrive
- Pixelmate
- Rapidmail
- Real Cookie Banner
- SalesViewer
- Sentry (lokales Hosting)
- Shopify Payment
- Signal
- SiteSearch360
- Skype for Business
- Social-Media-Plugins mit Shariff
- Sofortüberweisung
- Strato
- Stripe
- TeamViewer
- Trackboxx
- Unzer
- Usercentrics
- VG Wort Zählpixel
- VISA
- Webex
- Whereby
- WIX
- WP Statistics
- Zoho Campaigns
- Zoho Meeting
- Zoom
Einwilligungsbedürftige Cookies:
- Adobe Fonts
- Bing Maps
- ClickFunnels
- Criteo
- Evalanche
- Facebook Connect
- Facebook Conversion API
- Facebook Custom Audiences
- Facebook Login
- Facebook Plugins
- Font Awesome
- Google Ads
- Google AdSense
- Google Analytics
- Google Calendar
- Google Conversion-Tracking
- Google Drive
- Google Fonts
- Google Forms
- Google Maps
- Google Remarketing
- Hotjar
- Instagram Plugin
- Klaviyo
- LinkedIn Insight Tag
- LinkedIn Plugin
- ManageWP
- Mapbox
- Mautic
- Meta Pixel
- Microsoft Advertising
- Microsoft Clarity
- Mouseflow
- Outbrain
- Pinterest Plugin
- Pinterest-Tag
- Registrierung mit Facebook Connect
- Registrierung mit Google
- SoundCloud
- Spotify
- Squarespace Analytics
- tawk.to
- Tidio
- TikTok Pixel
- Tumblr Plugin
- X (Twitter) Plugin
- Userlike
- Vimeo
- WebinarJam
- WordPress Statistik
- XING Plugin
- YouTube
- YouTube mit erweitertem Datenschutz
- Zapier
- Zoho SalesIQ
Ungeklärt; Einwilligung wird empfohlen:
- Acuity Scheduling
- Affiliate-Partner-Programme
- Amazon Cloudfront CDN
- Amazon Partnerprogramm
- AWIN
- Brevo Chat
- Calendly
- Chatfuel
- ChatGPT
- Cituro
- Cloudflare
- Doctolib
- eRecht24 Affiliate-Programm
- eTermin
- Etracker
- Eventbrite
- Google Cloud CDN
- Google Hangouts
- Google Meet
- Google Optimize
- Google reCAPTCHA
- Google Tag Manager
- Hubspot CRM
- iThemes Security
- Jameda
- Jotform
- Kommunikation via WhatsApp
- ManyChat
- Matomo
- Meetergo
- Microsoft Teams
- Microsoft Bookings
- OMQ
- OneDrive
- OpenStreetMap
- Perspective.co
- Plausible Analytics
- Podigee
- ProvenExpert
- Salesforce Chatbot
- Salesforce Sales Cloud
- Sentry
- TARS
- TuCalendi
- Typeform
- Webinaris
- Wordfence
- YouCanBook.Me
- Zendesk
- Zoho CRM
Als eRecht24 Premium Nutzer können Sie das Cookie Consent Tool von Usercentrics mit bis zu 20.000 Sessions/ Monat kostenlos nutzen. Sie können die Einordnung in essentiell und nicht essentiell schnell und einfach über einen Generator erstellen.
guter Artikel! Hab Dank für die umfangreiche Recherche.
Eine Frage. Du zählst Affiliate Partnerprogramm e wie z.B. AWIN zu den ungeklärten Fällen? Warum?
Die Prozesse gehören laut BVDW (bis auf Cashback und Loyalty) alle zu den "nicht zu erwartenden Prozessen" und bedürfen laut TTDSG der Einwilligung.
BG, André
Einige Tracking- / Analysetools wie Simple Analytics oder umami behaupten so laut DSGVO keine Cookie-Einwilligung zu benötigen, da sie eben keine Cookies setzen. Ist das so auch wirklich korrekt?
Weitere Infos:
https://docs.simpleanalytics.com/gdpr
https://umami.is/docs/faq