Worum geht's?
Viele Website-Betreiber konfrontieren ihre Webseitenbesucher mit einem Cookie-Hinweis oder einem Cookie Banner. Ist eine Einwilligung für alle Cookies nötig? Welche Rolle spielt das neue TDDDG (ehemals TTDSG)? Was ist ein Cookie Consent Tool? Brauche ich zusätzlich zum DSGVO-konformen Cookie Banner noch einen Hinweis in der Datenschutzerklärung? Und wie genau sollte der Consent Banner aussehen, damit er DSGVO-konform ist?
1. Was sind Cookies?
Direkt aus dem Englischen übersetzt bedeutet „Cookie“ zu Deutsch „Plätzchen“. Cookies sind kleine Textdateien bzw. Datenpakete, die von Browsern und Webseiten erzeugt werden. Fast alle Webseiten verwenden Cookies. Diese sind dazu da, dass Unternehmen ihre Nutzer wiedererkennen und ihnen das Surfen auf einer Website erleichtern, etwa dadurch, dass der Nutzer seine Zugangsdaten nicht bei jedem Besuch neu eingeben muss oder erkannt wird, was der Website-Besucher bereits gekauft hat.
In unserem Artikel “Cookies auf Webseiten: Alles Wichtige zu Definition, Cookie-Arten, Funktion & Nutzereinwilligung” können Sie mehr zum Thema lesen.
Technisch notwendige Cookies und technisch nicht notwendige Cookies
Hierbei gilt es zwischen technisch notwendigen und technisch nicht notwendigen Cookies zu unterscheiden. Die notwendigen Cookies sind vor allem für das Funktionieren der Website zuständig. Dazu zählen z. B. Session Cookies, die nur für eine bestimmte Zeit im Browser gespeichert werden. Aber auch Cookies, die z. B. die Einstellungen zu Cookie-Bannern speichern, zählen dazu.
Technisch nicht notwendige Cookies speichern vor allem das Internetverhalten von Usern über einen längeren Zeitraum. Sie sind für die Nutzung der Webseite nicht notwendig. Damit sie gesetzt werden dürfen, muss der Nutzung vom Verbraucher aktiv zugestimmt werden. Dazu gehören beispielsweise Marketing Cookies.
MEHR LESEN?
In unserem Artikel “Cookies, Tracking & Datenschutz: Alle Infos im Überblick” finden Sie alle wichtigen Infos zum Thema Tracking & Cookies.
2. Cookie Hinweis und Cookie Consent Tool: Wo ist da der Unterschied?
Um tiefer in das Thema einzusteigen, wollen wir zunächst einmal die unterschiedlichen Begrifflichkeiten klären.
Ist ein Cookie Hinweis dasselbe wie ein Cookie Consent Tool? Zeit für eine kurze Klarstellung der Rechtslage und Begrifflichkeiten.
Beim Cookie Hinweis handelt es sich um einen rein informativen Hinweistext. Das bedeutet, dass es sich um einen Text handelt, der den Nutzer über die Verwendung von Cookies informiert, aber keine Auswahlmöglichkeit bietet. Alternativ wird auch von einem Cookie Banner, einer Cookie Warnung oder einem Cookie Pop-Up gesprochen.
Beispiel: „Diese Website verwendet Cookies, um Ihr Nutzungserlebnis zu verbessern.“
Mit dem Cookie-Hinweis ist also der Text gemeint, den Nutzer beim erstmaligen Aufruf einer Seite entweder oben oder unten auf der Seite angezeigt bekommen.
Cookie Consent Tool:
Beim Consent Banner handelt es sich um ein Zustimmungsbanner, das Nutzern eine echte Wahl bietet. Die Nutzer haben die Option, Cookies abzulehnen, bestimmte Kategorien auszuwählen oder alle Cookies zu akzeptieren. Es handelt sich hierbei um eine Opt-In-Lösung. Ein Cookie Consent Tool hilft Ihnen, die Einwilligung des Nutzers einzuholen und damit die Vorgaben der Datenschutz-Grundverordnung einzuhalten.
SCHON GEWUSST?
Setzen Sie nicht nur notwendige Cookies, sondern auch Marketing Cookies und Tracking-Cookies ein, ist die Verwendung eines Cookie Consent Tools Pflicht.
Datenschutzerklärung (mit Cookie Hinweis):
Alternative Bezeichnungen: Cookie Policy, Cookie Datenschutzerklärung, Cookie Hinweistext, Cookie Hinweise für Webseiten
Damit ist die eigentliche Datenschutzerklärung einer Webseite gemeint. Unabhängig davon, ob Sie auf Ihrer Seite einen Cookie Hinweis einbinden oder nicht, sollte jede Datenschutzerklärung einen Passus zu Cookies enthalten: Dieser erklärt, welche Cookies Sie einsetzen und was diese tun.
Sie benötigen also für viele Cookies eine echte Einwilligung des Nutzers/ein Consent Tool. Zusätzlich müssen Sie DSGVO-konform über die Verwendung von Cookies in Ihrer Datenschutzerklärung informieren.
PRAXIS-TIPP
Mit unserem Datenschutz-Generator bei eRecht24 Premium erstellen Sie eine DSGVO-konforme Datenschutzerklärung mit Cookie-Hinweis-Texten.
3. Die verschiedenen Cookie-Richtlinien
Den rechtlichen Umgang regelt in der EU die so genannte "Cookie-Richtlinie". Zur Erklärung: Eine EU-Richtlinie gilt nicht direkt wie eine Verordnung, sondern muss zunächst durch die Mitgliedsstaaten in nationales Recht umgesetzt werden.
Die DSGVO, ePrivacy-Verordnung und Rechtsprechung
Seit Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO). Alle Webseitenbetreiber und Unternehmen, die Cookies nutzen, müssen seit Mai 2018 ihre Datenschutzerklärung aktualisieren und ihrer Hinweis Pflicht nachkommen.
Die DSGVO verlangt nämlich, dass in der Datenschutzerklärung die Rechtsgrundlagen für das Verwenden von Cookies genannt werden.
Die Datenschutz-Grundverordnung (DSGVO) regelt aber die Probleme "Tracking und Cookies" nicht ausdrücklich. Das sollte die ePrivacy-Verordnung tun, die gleichzeitig mit der DSGVO in Kraft treten sollte.
Nach mehrmaligem Verschieben ist die ePrivacy-Verordnung bis heute nicht in Kraft getreten.
Im Jahr 2020 hatten der BGH und der EuGH über die Cookie-Einwilligung zu entscheiden: In dem verhandelten Fall hatten Verbraucherzentralen den Anbieter Planet49 abgemahnt, weil er über eine schon vorangekreuzte Checkbox die „echte Einwilligung“ seiner Besucher einholen wollte.
WICHTIG
Der EuGH und abschließend auch der BGH (I ZR 7/16) haben entschieden: Ein „Surfen Sie ruhig weiter“ Banner ohne direkte Zustimmung (zum Beispiel ein Klick auf OK) oder eine schon ausgewählte Checkbox reichen nicht aus. Der Website-Besucher muss selbst aktiv zustimmen.
Schluss mit der Unklarheit: das TDDDG (ehemals TTDSG)
Aufräumen mit Nebeneinander von DSGVO, Cookie-Richtlinie, ehemaliges TMG und TKG – das ist das Ziel des Telekommunikation-Digitale-Dienste-Datenschutzgesetzes (TDDDG (ehemals TTDSG)).
Hierzu wurden die datenschutzrechtlichen Vorschriften aus dem ehemaligen TMG und TKG zusammengeführt und an die Vorgaben der Cookie-Richtlinie angepasst. Die entsprechenden Regeln aus dem TMG und TKG entfallen.
Am 1.12.2021 trat das Gesetz in Kraft und wurde am 13.05.2024 nochmals angepasst zum jetzigen TDDDG. Jetzt ist gesetzlich festgeschrieben:
Wenn Sie Cookies (oder vergleichbare Informationen) setzen möchten, brauchen Sie eine echte und informierte Cookie-Einwilligung des Nutzers.
Ausnahmen:
- technisch zwingend notwendige Cookies,
- Cookies, die ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen.
Damit steht auch endgültig fest: Ein Cookie Consent Banner ist Pflicht.
4. Was können Webseitenbetreiber bezüglich der Cookie-Hinweis-Pflicht tun?
Auf der sicheren Seite sind Sie, wenn Sie für Cookies und Tracking Tools auf Ihrer Webseite eine echte Einwilligung einholen. Dafür gibt es die sogenannten Cookie Consent bzw. Consent Management Tools. An dieser Cookie Hinweis Pflicht kommen Sie nicht vorbei.
Der Einwilligungstext bei einem Cookie-Hinweis sollte beim ersten Aufruf der Seite (Cookie Warnung) eingeblendet werden. Der Text für die Cookie-Nutzung sollte so konkret wie möglich sagen, um welche Daten es geht, wozu diese genutzt werden und an wen diese Daten und Informationen gegebenenfalls weitergegeben werden.
Der Nutzer muss detailliert über die Dienste informiert werden, die Cookies setzen und Daten übertragen. Er muss ausdrücklich bestätigen, dass er zustimmt.
ÜBRIGENS
Das TDDDG (ehemals TTDSG) sieht in § 26 vor, dass Nutzer künftig über sog. PIMS (Personal Information Management Service) ihre Einwilligung zentral für alle besuchten Webseiten erteilen können. Am 01.04.2025 ist die Einwilligungsverwaltungs-Verordnung (EinwVO) in Kraft getreten. Diese regelt die technischen Anforderungen sowie ein Anerkennungsverfahren für die Einwilligungsdienste.
5. Was ist ein Consent Tool?
Mit einem Cookie Consent Tool können Webseitenbetreiber mit einem Klick die Einwilligung der Nutzer zur Verwendung ihrer persönlichen Daten einholen. Damit legen Sie fest, welche personenbezogene Daten gespeichert und verarbeitet werden. Sie geben den Nutzern die Möglichkeit, die erteilten Einwilligungen zu verwalten und zu widerrufen.
ACHTUNG
Um hier auf der sicheren Seite zu sein, müssen Sie Ihr Cookie Consent Tool selbst konfigurieren. Sonst laufen Sie Gefahr, dass ein einwilligungspflichtiges Tool eventuell vom Cookie Consent Anbieter unter "nicht einwilligungsbedürftig" eingestuft wird. Ob eine Einwilligung erforderlich ist, richtet sich danach, ob es sich um essenzielle oder nicht-essenzielle Cookies handelt. Details sowie eine Liste, auf denen wir die einzelnen Tools für Sie in die jeweilige Kategorie einsortiert haben, finden Sie in unserem Artikel "Einwilligung und Cookie Banner: Was sind essenzielle Cookies?".
Und ganz wichtig: Vor der Zustimmung des Webseiten-Besuchers dürfen noch keine Daten übertragen werden.
Interessant: Im Internet gibt es auch zahlreiche Anbieter, die einen kostenlosen Cookie Banner Generator anbieten. Hierbei handelt es sich um einen Service, den Webseitenbetreiber direkt im Internet, ohne Herunterladen von Software nutzen können.
Der Nachteil: Ein Cookie Banner Generator kümmert sich in der Regel nicht darum, dass die Cookies vor der Einwilligung durch den Nutzer noch nicht gesetzt werden. Außerdem bietet ein kostenloser Cookie Hinweis Generator keine Vorlagen von Drittanbietern. Sie sollten beim rechtssicheren Setzen eines Cookie Hinweises nicht sparen und besser ein Consent Tool verwenden.
Es gibt unzählige Anbieter von Cookie Consent Tools, um eine Einwilligung der Nutzer auf Webseiten einzuholen.
WEITERLESEN?
In unserem Artikel “Die 6 (wahrscheinlich) besten Cookie Consent Tools” lesen Sie mehr zu den Anbietern und unterschiedlichen Tools.
Was mache ich, wenn mir keine der gängigen Lösungen zusagt?
Es gibt natürlich noch zahlreiche andere Anbieter, die alle Vor- und Nachteile haben. Egal ob aus technischen, wirtschaftlichen oder rechtlichen Überlegungen: Wenn Sie keine Lösung auf dem Markt finden, die Ihren Ansprüchen gerecht wird, bleibt nur, eine Lösung für Ihre Webseiten und Dienste selbst entwickeln zu lassen.
Wichtig: Sie müssen IMMER einen entsprechenden Passus zu Cookies und dem verwendeten Consent Tool in Ihre Datenschutzerklärung aufnehmen.
Im eRecht24 Premium Bereich finden Sie unseren Profi Datenschutz-Generator, der Ihnen eine rechtssichere Datenschutzerklärung erstellt.
6. Benötigen alle Cookies eine Einwilligung?
Nein, Sie benötigen nicht für sämtliche Cookies eine Zustimmung in Form der Einwilligung der Nutzer Ihrer Website.
Laut TDDDG (ehemals TTDSG) brauchen Sie die Einwilligung nicht, wenn Sie dem Nutzer Ihren Dienst sonst nicht zur Verfügung stellen können. Sprich: Sie brauchen keine Einwilligung für technisch notwendige Cookies.
Dies entspricht dem, was der EuGH dazu entschieden hat und was die einzelnen Datenschutzbehörden und die Datenschutzkonferenz (DSK) vorgeben.
Deren Auffassung ist aktuell:
- Nicht für alle Cookies benötigt man eine Einwilligung. Session-Cookies, Cookies für Logins oder Warenkörbe, die keine personenbezogene Daten weitergeben (technisch notwendige Cookies), können vom berechtigten Interesse des Webseitenbetreibers abgedeckt sein.
- Tracking- und Werbe-Cookies von Drittanbietern benötigen eine Einwilligung.
Das sind also vor allem Cookies, die für die eigentlichen Funktionen der Webseite nicht zwingend notwendig sind und die Daten dann gegebenenfalls mit anderen Daten und Diensten verknüpfen oder teilen.
7. Cookies und Google Ads/Google Analytics
Google Ads
Google hatte schon 2015 für AdSense verlangt, den Nutzern einen Hinweis auf die Google-Cookies anzuzeigen. Dazu hat Google die "Richtlinie zur Einwilligung der Nutzer in der EU“ online gestellt.
Dort heißt es, Webseitenbetreiber müssen
- "wirtschaftlich vertretbare Maßnahmen ergreifen" um den Nutzer über das Speichern und Weitergeben der Daten zu informieren und
- eine entsprechende Einwilligung der Nutzer einholen.
Damit ging Google sogar weiter, als viele EU-Datenschutzbehörden es forderten. Allerdings schreibt Google die Einwilligung nur für AdSense und Double Klick vor, nicht hingegen für andere Dienste wie Google Analytics.
Mit der DSGVO und der Bündelung der Dienste als Google Ads hat Google dann seit 2017 geregelt, dass Werbetreibende eine Einwilligung der Nutzer einholen müssen.
Benötigt Google Analytics eine Einwilligung?
Ursprünglich hatte sich Google für Analytics auf eine Lösung verständigt, die DSGVO-konform ist - IP-Anonymisierung, AV-Vertrag, Austragelink für die Nutzer, alte Daten löschen, Darstellung von Analytics in der Datenschutzerklärung.
Die Pflicht zur Einholung einer Einwilligung gilt auch für die Nutzung von Google Analytics.
Denn Google Analytics ist besonders heikel, weil Google die Daten eben nicht nur dem einen Seitenbetreiber für das Tracking seiner Seitenbesucher zur Verfügung stellt. Vielmehr werden verschiedene Daten auf nicht mehr nachvollziehbare Weise verknüpft und diese Informationen und Daten stehen dann quasi weltweit und für andere Dienste aus dem Google Ads Universum zur Verfügung. Dies hatten die Datenschutzbehörden bereits mit einem Positionspapier in 2019 festgestellt.
Ergebnis: Google Analytics dürfen Sie nur mit echter Einwilligung nutzen.
Und was gilt, wenn ich Google Analytics 4 nutze?
Mittlerweile ist Google Analytics 4 verfügbar. Hierbei handelt es sich um die Weiterentwicklung und den Nachfolger von Google Universal Analytics. Die wichtigsten Unterschiede zum Vorgänger:
- Die IP-Adressen werden standardmäßig anonymisiert. Dies kann der Nutzer auch nicht ausschalten.
- Cookiesloses Tracking: Daten können gesammelt werden, ohne dass Cookies oder andere „Identifier“ gesetzt werden.
- Geräterübergreifendes Tracking: Nutzer können auch dann getrackt werden, wenn sie verschiedene Geräte verwenden
- Datenkontrolle: Nutzer können Daten besser administrieren, also besser einstellen, ob und wie lange sie einzelne Daten löschen, teilen, aufbewahren wollen.
- Die Optionen der Fristen für die Datenaufbewahrung sind kürzer als zuvor (2 oder 14 Monate).
Doch was bedeuten diese Anpassungen für den Datenschutz?
Nicht viel. Zwar scheinen einige Funktionen datenschutzrechtlich sicherer: Insbesondere haben die Nutzer einen datenschutzrechtlichen Vorteil, wenn sie die 2-monatige Aufbewahrungsfrist nutzen.
Doch insgesamt ändert sich trotzdem kaum etwas. Denn selbst wenn Nutzer cookielos getrackt und IP-Adressen anonymisiert werden: Es ist möglich, dass die Nutzer trotzdem identifiziert werden können.
Grund: Google kann sämtliche Informationen verknüpfen, die über Google Analytics 4 zu einem bestimmten Pseudonym gesammelt werden. Dadurch kann Google eventuell Rückschlüsse auf die Identität der einzelnen Website-/App-Nutzer und deren Verhalten auf derselben Website bzw. App ziehen.
Damit könnten auch einzelne Website-/App-Nutzer auch auf anderen Websites und in anderen Apps wiedererkannt werden.
Wichtig: Universal Analytics wurde vollständig eingestellt.
ACHTUNG
Auch wenn Sie Ihre Nutzer cookieless tracken, benötigen Sie eine Einwilligung, um die Datenverarbeitung DSGVO-konform durchzuführen. Denn Google Analytics greift auf das Endgerät zu und erhebt personenbezogene Daten. Nutzen Sie daher unbedingt ein Cookie Consent Tool.
8. „Diese Seite verwendet Cookies“ - Der Text für Ihren Cookie Consent Banner
Es gibt keine gesetzlichen Vorgaben, wie genau der Text im Cookie Consent Banner auszusehen hat. Auf einigen Webseiten lautet der Text im Cookie Hinweis wie folgt:
Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.
Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.
Wichtig für Tracking und Retargeting: Nach aktueller Rechtsprechung und dem TDDDG (ehemals TTDSG) reicht so ein bloßer Cookie-Hinweis nicht aus.
Denn hier hat der Nutzer keine echte Auswahlmöglichkeit und es handelt sich um einen rein informativen Text. Stattdessen sind Sie verpflichtet, eine echte Einwilligung einzuholen. Den oben angeführten Text sollten Sie daher nicht verwenden.
Im eRecht24 Premium Bereich bieten wir Ihnen einen Generator für Cookie Einwilligungen. Mit diesem sind Sie rechtlich auf der sicheren Seite.
9. Praxis-Tipps für Ihre rechtssichere Website
- Kein Tracking ohne Einwilligung
Setzen Sie Cookies ein, die nicht notwendig für die Funktionen Ihrer Website sind, brauchen Sie eine Einwilligung. Holen Sie diese per Cookie Consent Tool ein. - Datenschutzerklärung nicht vergessen
Fügen Sie auf jeden Fall immer einen aktuellen DSGVO-konformen Passus zu Cookies in Ihrer Datenschutzerklärung ein. - Die korrekte Umsetzung
Als eRecht24 Premium-Mitglied haben Sie Zugriff auf ein rechtssicheres Cookie Consent Tool. Zudem können Sie mit dem Generator für Cookie-Einwilligungen Ihren Banner DSGVO-konform gestalten.
10. Fragen und Antworten
Umfassende Informationen zum Thema "Website rechtssicher gestalten" finden Sie in unserem Artikel "So erstellen Sie 2025 abmahnsichere Webseiten".