Skip to main content

Cookie-Compliance-Checkliste: 25 Punkte zur vollständigen Konformität

Cookie-Compliance umfasst technische Umsetzung, rechtliche Dokumentation und laufende betriebliche Prozesse. Fehlt auch nur ein einziges Element, kann dies zu Verstößen führen – selbst wenn alles andere in Ordnung ist. Diese strukturierte Checkliste mit 25 Punkten deckt jeden Aspekt der Cookie-Compliance nach GDPR, ePrivacy-Richtlinie und den wichtigsten internationalen Datenschutzgesetzen ab. Nutzen Sie sie sowohl als Umsetzungsleitfaden als auch als regelmäßiges Prüfinstrument.

Cookie-Inventar

Man kann nicht steuern, was man nicht erfasst hat. Ein vollständiges, korrektes Cookie-Inventar bildet die Grundlage für jede weitere Compliance-Maßnahme.

  1. Alle Cookies identifiziert und dokumentiert

    Jedes Cookie, das Ihre Website setzt, muss identifiziert werden – einschließlich Cookies, die durch Drittanbieter-Skripte, eingebettete Inhalte und dynamisch geladene Ressourcen gesetzt werden. Nutzen Sie automatisierte Scans, um eine vollständige Abdeckung über alle Seiten hinweg sicherzustellen, nicht nur die Startseite. Ihr Inventar sollte HTTP-Cookies, localStorage-Einträge, sessionStorage-Einträge und alle weiteren clientseitigen Speichermechanismen umfassen, die für Tracking genutzt werden.

  2. Jedes Cookie korrekt kategorisiert

    Jedes Cookie muss der richtigen Compliance-Kategorie zugeordnet werden: unbedingt erforderlich, funktional, Analyse/Leistung oder Marketing/Werbung. Die Kategorisierung muss ehrlich erfolgen — ein Cookie, das Nutzer zu Werbezwecken verfolgt, darf nicht einfach als „funktional“ eingestuft werden, nur weil es auch einen funktionalen Nutzen bietet. Im Zweifelsfall gilt die strengere Kategorie. Aufsichtsbehörden prüfen die Kategorisierung sehr genau, und Fehleinstufungen zählen zu den häufigsten Feststellungen bei Durchsetzungsmaßnahmen.

  3. Drittanbieter-Cookies samt Anbietern identifiziert

    Dokumentieren Sie für jedes Drittanbieter-Cookie auf Ihrer Website, welcher Dienst es setzt, warum es auf Ihrer Website vorhanden ist und welche Daten es erhebt oder weitergibt. Häufige Quellen für Drittanbieter-Cookies sind Analyseplattformen (Google Analytics, Adobe Analytics), Werbenetzwerke (Google Ads, Meta Pixel, LinkedIn Insight Tag), Social-Media-Widgets, Video-Einbettungen (YouTube, Vimeo), Chat-Tools (Intercom, Drift) und A/B-Testing-Plattformen (Optimizely, VWO). Mit jedem Drittanbieter sollte ein Auftragsverarbeitungsvertrag bestehen.

  4. Cookie-Laufzeiten dokumentiert

    Erfassen Sie die Ablaufzeit jedes Cookies. Session-Cookies laufen beim Schließen des Browsers ab. Persistente Cookies haben eine definierte Lebensdauer, die dokumentiert werden muss (z. B. 30 Tage, 1 Jahr, 2 Jahre). Nach den GDPR-Grundsätzen der Datenminimierung und Speicherbegrenzung sollten Cookie-Laufzeiten in einem angemessenen Verhältnis zu ihrem Zweck stehen. Ein Analyse-Cookie mit einer Laufzeit von 10 Jahren wäre kaum zu rechtfertigen. Die CNIL empfiehlt für Analyse-Cookies eine Höchstdauer von 13 Monaten.

  5. Cookie-Zwecke in verständlicher Sprache dokumentiert

    Der Zweck jedes Cookies muss in einer Sprache beschrieben werden, die ein typischer Website-Besucher versteht. „Dieses Cookie speichert eine eindeutige Kennung, um Ihr Surfverhalten auf unserer Website zu Analysezwecken zu verfolgen“ ist verständlich. „_ga: Wird von Google Analytics zur Unterscheidung von Nutzern verwendet“ reicht für die meisten Nutzer nicht aus. Die Zweckbeschreibung sollte die Frage beantworten: „Was macht dieses Cookie und warum sollte ich es zulassen?“

Einwilligungsmechanismus

Beim Einwilligungsmechanismus treffen rechtliche Anforderungen auf technische Umsetzung. Dies richtig hinzubekommen ist der kritischste — und am häufigsten fehlerhaft umgesetzte — Aspekt der Cookie-Compliance.

  1. Einwilligung eingeholt, BEVOR nicht wesentliche Cookies gesetzt werden

    Dies ist die wichtigste technische Anforderung überhaupt. Es dürfen keine Analyse-, Werbe- oder sonstigen nicht wesentlichen Cookies gesetzt werden, bevor der Nutzer eine aktive Einwilligung erteilt hat. Das bedeutet: Drittanbieter-Skripte müssen am Laden gehindert werden, bis die Einwilligung vorliegt. Cookies nachträglich zu löschen ist nicht konform — die ePrivacy-Richtlinie verlangt die Einwilligung vor der Speicherung, nicht die rückwirkende Entfernung. Testen Sie dies, indem Sie Ihre Website in einem Inkognito-Fenster aufrufen und prüfen, welche Cookies gesetzt werden, bevor Sie mit dem Banner interagieren.

  2. Skripte blockiert, bis Einwilligung erteilt wird

    Cookies zu blockieren reicht nicht aus — auch die Skripte, die sie setzen, müssen an der Ausführung gehindert werden. Ein Skript, das lädt und ausgeführt wird, aber am Schreiben eines Cookies gehindert wird, kann dennoch Daten erheben und übertragen (über Pixel, Beacons oder API-Aufrufe). Ihr Consent-Management muss verhindern, dass das Skript selbst geladen wird, bis die entsprechende Einwilligungskategorie akzeptiert wurde. Gängige Umsetzungsansätze sind das Ändern des Attributs type von Skript-Tags (z. B. von text/javascript zu text/plain) und das dynamische Einfügen von Skripten nach erteilter Einwilligung.

  3. Schaltflächen „Akzeptieren“ und „Ablehnen“ gleich prominent

    Die Möglichkeit, nicht wesentliche Cookies abzulehnen, muss ebenso prominent dargestellt werden wie die Möglichkeit, sie zu akzeptieren. Das bedeutet: gleiche visuelle Gestaltung, gleiche Größe, gleiches Farbgewicht, gleiche Ebene der Benutzeroberfläche. Eine große grüne Schaltfläche „Alle akzeptieren“ neben einem kleinen grauen Link „Einstellungen verwalten“ erfüllt diese Gleichrangigkeit nicht. Die CNIL, die Garante und mehrere weitere Aufsichtsbehörden haben speziell für dieses Problem Bußgelder verhängt. Beide Optionen sollten auf der ersten Ebene des Cookie-Banners erscheinen, ohne dass zusätzliche Klicks erforderlich sind.

  4. Granulare Einwilligung auf Kategorieebene möglich

    Nutzer müssen in bestimmte Cookie-Kategorien unabhängig voneinander einwilligen können. Das Akzeptieren von Analyse-Cookies darf nicht das Akzeptieren von Werbe-Cookies voraussetzen. Bieten Sie mindestens separate Schalter an für: unbedingt erforderlich (immer aktiv, nicht umschaltbar), funktional, Analyse/Leistung und Marketing/Werbung. Wenn Sie Cookies für mehrere unterschiedliche Zwecke innerhalb einer Kategorie verwenden, sollten Sie noch feinere Optionen anbieten.

  5. Keine vorangekreuzten Kontrollkästchen

    Wenn ein Nutzer die detaillierten Cookie-Einstellungen öffnet, müssen alle optionalen Kategorien standardmäßig deaktiviert sein. Nur unbedingt erforderliche Cookies (die keine Einwilligung erfordern) dürfen vorab aktiviert sein. Der EuGH bestätigte im Planet49-Urteil (Rechtssache C-673/17), dass vorangekreuzte Kontrollkästchen keine gültige Einwilligung darstellen. Dies gilt unabhängig davon, ob der Nutzer sie abwählen kann — der Standardzustand muss Opt-out sein und eine aktive Handlung zum Opt-in erfordern.

  6. Widerruf der Einwilligung so einfach wie die Erteilung

    Artikel 7 Abs. 3 der GDPR verlangt, dass der Widerruf der Einwilligung ebenso einfach sein muss wie ihre Erteilung. Wenn ein Nutzer Cookies mit einem einzigen Klick auf einem Banner akzeptieren kann, muss er die Einwilligung mit vergleichbarer Leichtigkeit widerrufen können. Best Practice ist ein dauerhaft sichtbarer Link oder ein Symbol (z. B. im Footer oder als schwebende Schaltfläche), das das Cookie-Präferenzcenter öffnet, in dem der Nutzer seine Entscheidungen ändern oder widerrufen kann. Zu verlangen, dass der Nutzer seine Browser-Cookies löscht, zu einer versteckten Einstellungsseite navigiert oder den Support kontaktiert, entspricht nicht diesem Standard.

  7. Einwilligungsnachweise mit Zeitstempeln gespeichert

    Sie müssen nachweisen können, dass eine Einwilligung erteilt wurde. Speichern Sie einen Nachweis für jede Einwilligungshandlung, einschließlich: Zeitstempel, der getroffenen Einwilligungsentscheidungen (welche Kategorien akzeptiert/abgelehnt wurden), der zum jeweiligen Zeitpunkt gültigen Version des Cookie-Banners und der Richtlinie sowie einer eindeutigen Kennung für die Einwilligung (bei anonymen Besuchern nicht zwangsläufig mit einem Nutzerkonto verknüpft). Nach dem Rechenschaftsprinzip der GDPR liegt die Beweislast für die Einwilligung beim Verantwortlichen. Wenn Sie keinen Nachweis erbringen können, dass ein bestimmter Nutzer eingewilligt hat, gilt dessen Einwilligung faktisch als nicht belegt.

Cookie-Richtlinie

Ihre Cookie-Richtlinie ist sowohl ein Rechtsdokument als auch ein Transparenzinstrument. Sie muss korrekt, vollständig und verständlich sein.

  1. Cookie-Richtlinie vorhanden und zugänglich

    Eine eigene Cookie-Richtlinie (oder ein klarer Cookie-Abschnitt innerhalb Ihrer Datenschutzerklärung) muss vorhanden und leicht auffindbar sein. Best Practice ist eine eigene Seite, die vom Footer Ihrer Website, von Ihrem Cookie-Banner und von Ihrer allgemeinen Datenschutzerklärung aus verlinkt ist. Die Richtlinie muss ohne Akzeptieren von Cookies zugänglich sein — Nutzer sollten sie lesen können, bevor sie eine Einwilligungsentscheidung treffen.

  2. Alle Cookies mit Namen, Zwecken, Typen und Laufzeiten aufgeführt

    Ihre Cookie-Richtlinie muss eine Tabelle oder strukturierte Liste jedes Cookies enthalten, das Ihre Website setzt, einschließlich: Cookie-Name, wer es setzt (Erstanbieter oder Drittanbieter), was es tut (in verständlicher Sprache), ob es sich um ein Session- oder persistentes Cookie handelt und wie lange es gültig ist. Dies ist nicht optional — es ist eine ausdrückliche Anforderung nach den Transparenzbestimmungen der GDPR (Artikel 12–14) und der Anforderung der informierten Einwilligung nach der ePrivacy-Richtlinie.

  3. Drittanbieter identifiziert

    Ihre Richtlinie muss die Drittanbieterdienste benennen, die Cookies auf Ihrer Website setzen. „Wir verwenden Analyse-Cookies von Drittanbietern“ reicht nicht aus. „Wir verwenden Google Analytics (von Google LLC), das die folgenden Cookies setzt: _ga, _gid, _gat“ hingegen schon. Nutzer haben das Recht zu erfahren, wer Daten über sie erhebt, und für jeden Anbieter fundierte Entscheidungen zu treffen.

  4. Anleitung zur Verwaltung von Cookies enthalten

    Ihre Richtlinie sollte erläutern, wie Nutzer ihre Cookie-Einstellungen verwalten können, einschließlich: wie sie Ihr Cookie-Präferenzcenter aufrufen, um Einwilligungsentscheidungen zu ändern, wie sie bestehende Cookies über die Browsereinstellungen löschen und Links zu den Datenschutzrichtlinien der wichtigsten Drittanbieter von Cookies. Auch wenn die Cookie-Verwaltung auf Browserebene in der Verantwortung des Nutzers liegt, zeigt eine klare Anleitung guten Willen und unterstützt das Prinzip der Nutzer-Selbstbestimmung.

  5. Richtlinie datiert und regelmäßig aktualisiert

    Ihre Cookie-Richtlinie muss das Datum der letzten Aktualisierung enthalten. Sobald Sie neue Cookies hinzufügen, Cookies entfernen, Drittanbieter wechseln oder Cookie-Zwecke ändern, muss die Richtlinie entsprechend aktualisiert werden. Eine undatierte Richtlinie oder eine, die seit über einem Jahr nicht aktualisiert wurde, ist ein Warnsignal für Aufsichtsbehörden. Best Practice: Integrieren Sie die Ergebnisse Ihrer Cookie-Scans in Ihre Richtlinie, sodass diese automatisch aktualisiert wird, wenn neue Cookies erkannt werden.

Cookie-Banner

Das Cookie-Banner ist die sichtbare Schnittstelle Ihres Consent-Managements. Es muss rechtliche Konformität mit Benutzerfreundlichkeit in Einklang bringen.

  1. Banner erscheint beim ersten Besuch, bevor Cookies gesetzt werden

    Das Cookie-Banner muss beim ersten Besuch Ihrer Website erscheinen, bevor nicht wesentliche Cookies gesetzt werden. Das Banner sollte ohne Scrollen sofort sichtbar sein, nicht durch versehentliche Klicks leicht schließbar sein und bestehen bleiben, bis der Nutzer eine aktive Entscheidung trifft. Das Banner darf den Nutzer nicht daran hindern, die Seite zu verlassen oder auf wesentliche Inhalte zuzugreifen (auch wenn das Sperren von Inhalten hinter einer Einwilligungspflicht in einigen Rechtsordnungen zulässig sein kann, ist der sicherere Ansatz, während der Anzeige des Banners die Navigation zu erlauben).

  2. Banner ist barrierefrei (per Tastatur navigierbar, screenreader-kompatibel)

    Ihr Cookie-Banner muss selbst barrierefrei sein. Das bedeutet: Alle interaktiven Elemente (Schaltflächen, Schalter, Links) müssen per Tastatur erreichbar und bedienbar sein; das Banner muss Screenreadern mit passenden ARIA-Attributen korrekt angekündigt werden; der Fokus muss korrekt gesteuert werden (der Fokus sollte beim Erscheinen zum Banner wandern und beim Schließen zur Seite zurückkehren); der Farbkontrast muss den Standards WCAG 2.1 AA entsprechen (4,5:1 für normalen Text, 3:1 für großen Text); und das Banner muss bei verschiedenen Zoomstufen und Bildschirmgrößen nutzbar sein. Ein nicht barrierefreies Cookie-Banner ist sowohl ein rechtliches Risiko (Nichteinhaltung der WCAG) als auch ein Reputationsrisiko für jede Organisation, die vorgibt, Datenschutz und Inklusion ernst zu nehmen.

  3. Banner verlinkt auf die vollständige Cookie-Richtlinie

    Das Cookie-Banner muss einen Link zu Ihrer vollständigen Cookie-Richtlinie enthalten, damit Nutzer detaillierte Informationen zu jedem Cookie lesen können, bevor sie ihre Einwilligungsentscheidung treffen. Der Link sollte deutlich sichtbar und beschriftet sein (z. B. „Lesen Sie unsere Cookie-Richtlinie“ oder „Mehr erfahren“). Die GDPR verlangt, dass die Einwilligung „informiert“ ist, was bedeutet, dass die für eine fundierte Entscheidung erforderlichen Informationen am Punkt der Einwilligung zugänglich sein müssen.

  4. Banner verwendet keine Dark Patterns

    Dark Patterns in Cookie-Bannern untergraben die Gültigkeit der Einwilligung. Vermeiden Sie: die Schaltfläche „Akzeptieren“ visuell dominant zu gestalten (größer, heller, prominenter), während die Ablehnungsoption dezent oder versteckt ist; verwirrende Formulierungen („Empfohlene Einstellungen akzeptieren“ statt klarer Optionen); mehr Klicks zum Ablehnen als zum Akzeptieren zu verlangen; Farbcodierungen zu nutzen, die suggerieren, Ablehnen sei falsch (Rot zum Ablehnen, Grün zum Akzeptieren); „Confirm-Shaming“-Formulierungen einzusetzen („Nein, mein Nutzererlebnis ist mir egal“); sowie jegliches Design, das Nutzer zur Zustimmung drängt, manipuliert oder überlistet. Die Leitlinien des EDPB zu Dark Patterns (verabschiedet im Februar 2023) enthalten detaillierte Beispiele für unzulässige Praktiken.

Technik & laufender Betrieb

Cookie-Compliance ist kein Projekt mit einem Abschlussdatum. Es ist ein fortlaufender betrieblicher Prozess.

  1. Google Consent Mode v2 implementiert (bei Nutzung von Google-Diensten)

    Wenn Sie Google-Dienste nutzen (Analytics, Ads, Tag Manager), ist Google Consent Mode v2 seit März 2024 für die Auslieferung von Anzeigen im EWR erforderlich. Der Consent Mode übermittelt die Cookie-Einwilligungsentscheidungen Ihrer Nutzer an die Google-Tags und passt deren Verhalten je nach Einwilligungsstatus an. Ohne Consent Mode funktionieren Google-Tags möglicherweise nicht korrekt mit Ihrer Consent-Management-Plattform, was entweder zu Datenverlust (Tags vollständig blockiert) oder zu Verstößen (Tags werden ohne Einwilligung ausgelöst) führt. Implementieren Sie sowohl die Einwilligungsparameter ad_storage als auch analytics_storage und stellen Sie sicher, dass sie standardmäßig auf „denied“ stehen, bis die Einwilligung erteilt wird.

  2. Regelmäßiges Cookie-Scanning eingeplant

    Richten Sie automatisierte Cookie-Scans nach einem wiederkehrenden Zeitplan ein. Scannen Sie mindestens monatlich. Idealerweise integrieren Sie das Scanning in Ihre Deployment-Pipeline, sodass jedes Release automatisch gescannt wird. Konfigurieren Sie Benachrichtigungen für neue oder veränderte Cookies, damit Ihr Team sie zeitnah bewerten und kategorisieren kann. Ein Scan, der zwar durchgeführt, aber nie überprüft wird, bringt keinen Compliance-Vorteil.

  3. Prozess zur Prüfung neuer Drittanbieter-Skripte

    Etablieren Sie einen formalen Prozess, der befolgt werden muss, bevor ein neues Drittanbieter-Skript, Plugin oder ein Dienst auf Ihrer Website hinzugefügt wird. Der Prozess sollte umfassen: die Identifizierung der vom Skript gesetzten Cookies, deren Kategorisierung, die Aktualisierung der Consent-Management-Konfiguration, um sie einzubinden, die Aktualisierung der Cookie-Richtlinie und die Überprüfung, dass das Skript bis zur entsprechenden Einwilligung korrekt blockiert wird. Dieser Prozess sollte sowohl eine technische (Entwicklung) als auch eine Compliance-Prüfung (Recht/Datenschutz) umfassen. Die häufigste Ursache für Cookie-Compliance-Verstöße sind neue Skripte, die einer Website hinzugefügt werden, ohne eine Datenschutzprüfung zu durchlaufen.

  4. Mitarbeiter zu Cookie-Compliance geschult

    Alle, die an Ihrer Website beteiligt sind — Entwickler, Marketer, Content-Ersteller und Führungskräfte — sollten die Grundlagen der Cookie-Compliance und ihre Rolle bei deren Einhaltung verstehen. Entwickler müssen wissen, wie man Skripte einwilligungsbewusst hinzufügt. Marketer müssen verstehen, dass das Hinzufügen eines neuen Tracking-Pixels eine Compliance-Prüfung erfordert. Content-Ersteller müssen wissen, dass das Einbetten eines YouTube-Videos Drittanbieter-Cookies mit sich bringt. Die Schulung muss nicht umfangreich sein, aber sie muss das Kernprinzip vermitteln: kein neues Tracking ohne Prüfung. Ein einziges ungeschultes Teammitglied, das ein Marketing-Skript hinzufügt, ohne den Prüfprozess zu durchlaufen, kann monatelange Compliance-Arbeit zunichtemachen.

So verwenden Sie diese Checkliste

Diese Checkliste ist auf drei Anwendungsweisen ausgelegt:

  • Erstmalige Umsetzung: Arbeiten Sie alle 25 Punkte der Reihe nach durch, wenn Sie die Cookie-Compliance zum ersten Mal einrichten. Überspringen Sie keine Punkte und verschieben Sie sie nicht auf später — teilweise Konformität ist immer noch ein Verstoß.
  • Regelmäßige Prüfung: Überprüfen Sie die Checkliste vierteljährlich, um sicherzustellen, dass alle Punkte weiterhin erfüllt sind. Achten Sie besonders auf die laufenden Punkte (Punkte 22–25), da diese im Laufe der Zeit am ehesten aus dem Ruder laufen.
  • Nach Änderungen: Sobald Ihre Website eine wesentliche Änderung durchläuft (neue Funktionen, neue Drittanbieterdienste, Redesign, CMS-Migration), gehen Sie die relevanten Abschnitte der Checkliste durch, um sicherzustellen, dass die Konformität gewahrt bleibt.

Cookie-Compliance ist erreichbar. Sie erfordert Aufmerksamkeit und Prozesse, aber keine der einzelnen Anforderungen ist unzumutbar schwierig. Organisationen, die damit Schwierigkeiten haben, sind in der Regel diejenigen, die Compliance als einmaliges Projekt statt als fortlaufende betriebliche Aufgabe betrachten. Integrieren Sie sie in Ihre Arbeitsabläufe, weisen Sie klare Zuständigkeiten zu und nutzen Sie diese Checkliste als Ihr wiederkehrendes Prüfinstrument.

Erfüllt Ihre Website die Cookie-Vorschriften?

Scannen Sie Ihre Website kostenlos und finden Sie alle Cookies in wenigen Minuten.

Cookies kostenlos scannen