Skip to main content

Cookie-Richtlinie: Was sie ist und was sie enthalten muss

Eine Cookie-Richtlinie ist ein Dokument, das Ihren Website-Besuchern erklärt, welche Cookies und ähnlichen Tracking-Technologien Ihre Website verwendet, warum sie diese einsetzt und wie Nutzer sie steuern können. Sie ist sowohl nach der ePrivacy-Richtlinie als auch nach der DSGVO gesetzlich vorgeschrieben und ein Grundpfeiler transparenter Datenverarbeitung.

Dieser Leitfaden erläutert, was eine Cookie-Richtlinie ist, wie sie sich von einer Datenschutzerklärung unterscheidet, was sie nach den geltenden Vorschriften enthalten muss und wie Sie sie dauerhaft aktuell halten.

Was ist eine Cookie-Richtlinie?

Eine Cookie-Richtlinie ist ein eigenständiges Dokument – entweder eine separate Seite oder ein klar erkennbarer Abschnitt innerhalb Ihrer Datenschutzerklärung – das umfassende Informationen über die Verwendung von Cookies und ähnlichen Technologien (Local Storage, Session Storage, Zählpixel, Web Beacons, Fingerprinting und Ähnliches) auf Ihrer Website bereitstellt.

Die rechtliche Grundlage für die Pflicht zu einer Cookie-Richtlinie ergibt sich aus zwei sich überschneidenden Regelwerken:

  • ePrivacy-Richtlinie (2002/58/EG), Artikel 5 Absatz 3 – verlangt, dass Nutzer „klare und umfassende Informationen" über die Zwecke von Cookies erhalten, bevor eine Einwilligung eingeholt wird.
  • DSGVO, Artikel 12–14 – fordern Transparenz über die Datenverarbeitung, einschließlich welche Daten erhoben werden, zu welchen Zwecken, mit wem sie geteilt werden und wie lange sie gespeichert werden.

Zusammen verpflichten diese Vorschriften Sie dazu, Ihren Nutzern genau mitzuteilen, welche Tracking-Technologien Sie einsetzen, und ihnen eine echte Kontrolle über diese Technologien zu ermöglichen.

Cookie-Richtlinie vs. Datenschutzerklärung

Eine Cookie-Richtlinie und eine Datenschutzerklärung sind einander ergänzende, aber voneinander unabhängige Dokumente. Es ist wichtig, den Unterschied zu verstehen:

Aspekt Cookie-Richtlinie Datenschutzerklärung
Umfang Speziell Cookies und Tracking-Technologien Sämtliche Verarbeitung personenbezogener Daten (Formulare, Konten, Käufe usw.)
Rechtsgrundlage ePrivacy-Richtlinie + Transparenzanforderungen der DSGVO DSGVO Artikel 12–14
Inhaltlicher Fokus Cookie-Namen, Zwecke, Laufzeiten, Typen, Kategorien, Steuerungsmechanismen Datenkategorien, Rechtsgrundlagen, Rechte, Übermittlungen, DSB, Speicherdauer
Format Eigenständige Seite oder Abschnitt innerhalb der Datenschutzerklärung Eigenständige Seite (erforderlich)
Aktualisierungshäufigkeit Bei jeder Änderung der Cookies (Hinzufügen/Entfernen von Tools, Anbietern) Bei jeder Änderung der Datenverarbeitungspraktiken

Sie können Ihre Cookie-Richtlinie als Abschnitt innerhalb Ihrer Datenschutzerklärung aufnehmen, sie muss jedoch klar erkennbar und leicht auffindbar sein. Viele Organisationen führen aus Gründen der Übersichtlichkeit eine separate Cookie-Richtlinien-Seite, da Cookie-Informationen recht umfangreich ausfallen können.

Ihr Cookie-Banner sollte auf Ihre Cookie-Richtlinie verlinken. Sind Ihre Cookie-Informationen ein Abschnitt innerhalb Ihrer Datenschutzerklärung, sollte der Link direkt zu diesem Abschnitt führen – zwingen Sie Nutzer nicht dazu, durch seitenweise unrelevante Datenschutzinformationen zu scrollen, um die Cookie-Details zu finden.

Gesetzliche Pflicht zu einer Cookie-Richtlinie

Die ePrivacy-Richtlinie fordert „klare und umfassende Informationen" als Voraussetzung für eine wirksame Einwilligung. Der Transparenzgrundsatz der DSGVO (Artikel 5 Absatz 1 Buchstabe a) und die Informationspflichten (Artikel 13–14) verlangen darüber hinaus, dass diese Informationen:

  • in präziser, transparenter und verständlicher Form (Artikel 12 Absatz 1) bereitgestellt werden
  • in klarer und einfacher Sprache (Artikel 12 Absatz 1) formuliert sind
  • leicht zugänglich (Artikel 12 Absatz 1) sind
  • unentgeltlich (Artikel 12 Absatz 5) bereitgestellt werden

Konkret bedeutet das: Ihre Cookie-Richtlinie muss in einer Sprache verfasst sein, die auch technische Laien verstehen, sie muss von Ihrem Cookie-Banner und Ihrer Website-Fußzeile aus verlinkt sein und sie muss spezifische Informationen zu jedem Cookie enthalten, das Ihre Website verwendet.

Was eine Cookie-Richtlinie enthalten muss

Auf Grundlage der kombinierten Anforderungen der ePrivacy-Richtlinie, der DSGVO sowie der Leitlinien von Datenschutzbehörden wie dem ICO (Vereinigtes Königreich), der CNIL (Frankreich) und der Artikel-29-Datenschutzgruppe muss Ihre Cookie-Richtlinie die folgenden Informationen enthalten:

1. Welche Cookies Sie verwenden

Stellen Sie eine vollständige Liste aller auf Ihrer Website aktiven Cookies und ähnlichen Technologien bereit. Dazu gehören sowohl Cookies, die durch Ihren eigenen Code gesetzt werden (First-Party), als auch Cookies, die durch von Ihnen genutzte Drittanbieterdienste gesetzt werden (Analyseplattformen, Werbenetzwerke, Social-Media-Widgets, eingebettete Inhalte, Chatbots usw.).

Jedes Cookie sollte namentlich benannt werden. „Wir verwenden Analyse-Cookies" ist nicht ausreichend – Sie müssen die konkreten Cookies auflisten: zum Beispiel _ga, _gid, _gat für Google Analytics.

2. Zweck jedes Cookies

Erklären Sie für jedes Cookie oder jede Gruppe zusammengehöriger Cookies in einfacher Sprache, was es bewirkt. Vermeiden Sie Fachjargon. Wirksame Zweckbeschreibungen lauten etwa:

  • „Speichert Ihre Cookie-Einwilligungspräferenzen, damit wir Sie nicht bei jedem Besuch erneut fragen."
  • „Hilft uns zu zählen, wie viele Personen unsere Website besuchen und welche Seiten am beliebtesten sind."
  • „Ermöglicht es uns, Ihnen auf anderen Websites Werbung anzuzeigen, die für Ihre Interessen relevant ist."

3. First-Party vs. Third-Party

Geben Sie an, ob jedes Cookie direkt von Ihrer Website (First-Party) oder von einem externen Dienst (Third-Party) gesetzt wird. Nennen Sie bei Drittanbieter-Cookies den Anbieter und verlinken Sie auf dessen Datenschutzerklärung. Nutzer haben nicht nur das Recht zu erfahren, dass ihre Daten erhoben werden, sondern auch von wem.

4. Laufzeit / Ablauf

Geben Sie an, wie lange jedes Cookie bestehen bleibt. Es gibt zwei Typen:

  • Session-Cookies – werden gelöscht, wenn der Nutzer seinen Browser schließt. Geben Sie dies klar an: „Sitzung (wird beim Schließen des Browsers gelöscht)."
  • Persistente Cookies – verbleiben für einen festgelegten Zeitraum auf dem Gerät des Nutzers. Geben Sie die konkrete Laufzeit an: „2 Jahre", „30 Tage", „13 Monate". Verwenden Sie keine vagen Begriffe wie „langfristig".

Datenschutzbehörden haben Cookie-Laufzeiten kritisch geprüft. Die CNIL etwa empfiehlt, dass Einwilligungs-Cookies (die Cookies, die die Einwilligungsentscheidung des Nutzers speichern) 13 Monate nicht überschreiten sollten.

5. Wie man Cookies verwaltet und löscht

Erklären Sie, wie Nutzer Cookies über zwei Mechanismen steuern können:

  • Ihr Einwilligungsbanner. Erläutern Sie, dass Nutzer ihre Cookie-Präferenzen jederzeit über Ihre Cookie-Einstellungen ändern können (geben Sie an, wo sich der Einstellungslink bzw. das Symbol befindet).
  • Browser-Einstellungen. Stellen Sie allgemeine Anleitungen zur Verwaltung von Cookies in gängigen Browsern bereit (Chrome, Firefox, Safari, Edge). Eine Schritt-für-Schritt-Anleitung ist nicht erforderlich, Sie sollten jedoch darauf hinweisen, dass es Browser-Einstellungen gibt, und auf die entsprechenden Support-Seiten der einzelnen Browser verlinken.

6. Wie man die Einwilligung widerruft

DSGVO Artikel 7 Absatz 3 verlangt, dass der Widerruf einer Einwilligung ebenso einfach sein muss wie deren Erteilung und dass Nutzer vor Erteilung der Einwilligung über dieses Recht informiert werden. Ihre Cookie-Richtlinie muss erläutern:

  • dass der Nutzer das Recht hat, seine Einwilligung jederzeit zu widerrufen.
  • wie dies möglich ist (typischerweise: Klick auf das auf jeder Seite sichtbare Cookie-Einstellungssymbol bzw. den -Link oder Löschen der Cookies über die Browser-Einstellungen).
  • dass der Widerruf der Einwilligung die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

7. Cookie-Kategorien

Ordnen Sie die Cookies den Standardkategorien zu, die Ihr Einwilligungsbanner verwendet. Die am weitesten verbreitete Kategorisierung lautet:

  • Unbedingt erforderlich – Cookies, die für das Funktionieren der Website nötig sind (Login-Sitzungen, Warenkörbe, Sicherheits-Tokens). Diese erfordern nach der ePrivacy-Richtlinie keine Einwilligung.
  • Präferenzen / Funktional – Cookies, die sich Nutzerentscheidungen merken (Sprache, Region, Anzeigeeinstellungen). Sie verbessern das Erlebnis, sind aber nicht unerlässlich.
  • Analyse / Statistik – Cookies zur Erhebung anonymer Nutzungsdaten (Seitenaufrufe, Traffic-Quellen, Verhaltensmuster der Nutzer).
  • Marketing / Werbung – Cookies für zielgerichtete Werbung, Retargeting und Werbemessung.

Die Kategorien Ihrer Cookie-Richtlinie sollten mit den Kategorien in Ihrem Einwilligungsbanner übereinstimmen. Widersprüche zwischen den beiden Dokumenten untergraben die Transparenz.

8. Kontaktinformationen

Stellen Sie Kontaktdaten für Fragen zu Ihren Cookie-Praktiken bereit. Dazu gehören typischerweise:

  • die Identität des Verantwortlichen (Ihr Firmenname und die eingetragene Anschrift)
  • eine E-Mail-Adresse für Datenschutzanfragen
  • die Kontaktdaten des Datenschutzbeauftragten (DSB), sofern Sie einen benannt haben
  • Ihre Aufsichtsbehörde (die zuständige Datenschutzbehörde)

Wo Sie Ihre Cookie-Richtlinie anzeigen sollten

Ihre Cookie-Richtlinie muss von mehreren Stellen aus leicht zugänglich sein:

  • Website-Fußzeile. Ein „Cookie-Richtlinie"-Link in Ihrer Fußzeile, der auf jeder Seite sichtbar ist. Dies ist der Standardplatz, den Nutzer erwarten.
  • Cookie-Banner. Ein direkter Link von Ihrem Cookie-Banner zur vollständigen Cookie-Richtlinie. Dies ist gesetzlich vorgeschrieben – Nutzer müssen aus der Einwilligungsoberfläche heraus auf detaillierte Informationen zugreifen können.
  • Cookie-Einstellungs-/Präferenzbereich. Die zweite Ebene Ihrer Einwilligungsoberfläche sollte für Nutzer, die weitere Informationen wünschen, auf die Cookie-Richtlinie verlinken.
  • Datenschutzerklärung. Ist Ihre Cookie-Richtlinie ein separates Dokument, verweisen Sie in Ihrer Datenschutzerklärung darauf und umgekehrt.

Cookie-Informationen darstellen

Das wirksamste und transparenteste Format zur Darstellung einzelner Cookies ist eine Tabelle. Datenschutzbehörden, darunter der ICO, empfehlen dieses Format:

Cookie-Name Anbieter Zweck Typ Laufzeit
_ga Google Analytics Unterscheidet einzelne Besucher durch Zuweisung einer zufällig generierten Nummer Third-Party, Analyse 2 Jahre
_gid Google Analytics Unterscheidet einzelne Besucher für den aktuellen Tag Third-Party, Analyse 24 Stunden
cookie_consent Diese Website Speichert Ihre Cookie-Einwilligungspräferenzen First-Party, notwendig 12 Monate

Dieses Format ist klar, schnell erfassbar und stellt alle erforderlichen Informationen auf einen Blick bereit.

Wie oft aktualisieren

Ihre Cookie-Richtlinie muss jederzeit korrekt sein. Aktualisieren Sie sie immer dann, wenn:

  • Sie einen neuen Drittanbieterdienst hinzufügen, der Cookies setzt (ein neues Analyse-Tool, eine neue Marketingplattform, ein neuer Chatbot).
  • Sie einen Dienst entfernen, der zuvor Cookies gesetzt hat.
  • ein Drittanbieterdienst seine Cookies ändert (neue Namen, neue Laufzeiten, neue Zwecke).
  • Sie die Kategorien in Ihrem Einwilligungsbanner ändern.
  • sich regulatorische Vorgaben ändern (neue Anforderungen, neue Best Practices).

Fügen Sie oben oder unten in Ihrer Cookie-Richtlinie ein Datum der „Letzten Aktualisierung" hinzu. Das zeigt, dass die Richtlinie aktiv gepflegt wird, und hilft Nutzern, deren Aktualität einzuschätzen.

Die Herausforderung besteht natürlich darin, zu wissen, wann sich Ihre Cookies ändern. Drittanbieterdienste aktualisieren ihr Tracking häufig, und ein Cookie, das vor drei Monaten existierte, kann inzwischen ersetzt oder umbenannt worden sein. Manuelle Prüfungen sind unzuverlässig, da sie davon abhängen, dass jemand daran denkt, nachzusehen.

So halten Sie Ihre Richtlinie mit automatisiertem Scannen aktuell

Das häufigste Compliance-Versagen bei Cookie-Richtlinien ist nicht das Fehlen von Informationen – es sind fehlerhafte Informationen. Eine Richtlinie, die Cookies auflistet, die Sie nicht mehr verwenden, oder die Cookies nicht erwähnt, die durch eine kürzlich eingebundene Marketing-Tool-Integration hinzugekommen sind, ist nicht konform.

Automatisiertes Cookie-Scannen löst dieses Problem. Ein Scanner besucht Ihre Website in regelmäßigen Abständen, identifiziert alle gesetzten Cookies, vergleicht sie mit Ihren deklarierten Cookies und warnt Sie bei Abweichungen.

Passiro scannt Ihre Website automatisch auf Cookies, kategorisiert sie und hebt alle nicht deklarierten Cookies hervor, die noch nicht in Ihrer Richtlinie erfasst sind. So bleibt Ihre Cookie-Richtlinie ohne manuelle Prüfungen aktuell. Erfahren Sie mehr über das automatisierte Cookie-Scannen von Passiro.

In diesem Abschnitt

Erfüllt Ihre Website die Cookie-Vorschriften?

Scannen Sie Ihre Website kostenlos und finden Sie alle Cookies in wenigen Minuten.

Cookies kostenlos scannen