Cookies & Consent: So setzt du Cookie-Banner DSGVO-konform um
Die Rechtsgrundlage: § 25 TDDDG + DSGVO
Seit 2021 (TTDSG, heute TDDDG) gilt: Speicherung von Informationen auf Endgeräten oder Zugriff auf dort gespeicherte Informationen ist nur mit Einwilligung erlaubt. Ausnahme: unbedingt erforderlich für den vom Nutzer gewünschten Telemediendienst. Das betrifft Cookies, LocalStorage, Browser-Fingerprinting, Tracking-Pixel. Zusätzlich gelten die DSGVO-Anforderungen an die Einwilligung (Art. 4 Nr. 11, Art. 7).
Welche Cookies brauchen Einwilligung?
Ohne Einwilligung erlaubt: Warenkorb, Login-Session, Lastverteilung, Cookie-Consent-Status, Spracheinstellung, Sicherheits-Cookies (CSRF). Einwilligung erforderlich: Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar/Microsoft Clarity, Werbe-Netzwerke (Google Ads Remarketing), YouTube-Embeds, Maps, externe Schriftarten von Google, Chat-Widgets mit Tracking, A/B-Test-Tools, fast alle Marketing-Automation-Pixel.
Die Anforderungen an eine wirksame Einwilligung
(1) Freiwillig: kein Nachteil bei Ablehnung (Ausnahme: Pur-Modell mit Bezahl-Alternative, derzeit umstritten). (2) Informiert: konkrete Zwecke, Empfänger, Speicherdauer, Drittland-Transfers. (3) Spezifisch: für jeden Zweck einzeln (granular). (4) Aktive Handlung: kein Vorankreuzen, kein „Weiter-Scrollen = Einwilligung“. (5) Widerruflich: jederzeit, so einfach wie die Erteilung.
Dark Patterns · was Aufsichtsbehörden abmahnen
Konferenz der Datenschutzaufsichtsbehörden (DSK) und Aufsichtsbehörden haben mehrfach klargestellt: „Akzeptieren“-Button grün und groß, „Ablehnen“ versteckt im Sub-Menü? Unzulässig. „Alle akzeptieren“ ohne gleichwertigen „Alle ablehnen“-Button? Unzulässig. Cookie-Wall ohne echte Alternative? Problematisch. Voreingestellte Schalter auf „an“ für Marketing? Klar unzulässig.
Layer-Konzept: Best Practice
Layer 1 (Banner): Kurz erklären, drei gleichwertige Buttons: „Alle akzeptieren“, „Alle ablehnen“, „Einstellungen“. Layer 2 (Einstellungen): Granulare Kategorien (Notwendig, Statistik, Marketing, externe Medien) mit Standard auf „aus“. Pro Cookie: Name, Anbieter, Zweck, Speicherdauer, Drittland-Transfer. Layer 3 (Datenschutzerklärung): Vollständige Information, Widerrufs-Mechanismus.
Drittland-Transfers · der USA-Knackpunkt
Tools wie Google Analytics, Meta Pixel oder HubSpot übertragen Daten in die USA. Seit Juli 2023 gibt es das EU-US Data Privacy Framework (DPF), zertifizierte Unternehmen gelten als angemessen. Trotzdem: Nutzer muss vor Einwilligung über Drittland-Transfer informiert werden (Art. 49 Abs. 1 lit. a). Schrems II (C-311/18) wirkt nach: Risiko-Hinweise sind Pflicht.
Consent Management Plattformen (CMP)
Tools wie Usercentrics, Cookiebot, Borlabs, Sourcepoint oder Klaro übernehmen die Mechanik (Banner, Speicherung, Widerruf, Logs). Wichtig: CMP-Setup prüfen. Default-Einstellungen vieler Plattformen sind nicht behördenkonform. Logs der Einwilligung müssen revisionssicher gespeichert sein (Beweislast beim Verantwortlichen, Art. 7 Abs. 1). Aufbewahrungsdauer typischerweise 3 Jahre nach Widerruf.
Hinweis
Dieser Beitrag dient der Orientierung und ersetzt keine Rechtsberatung.
thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.
:quality(85))