Cookie-Gesetze nach Ländern: Ein Leitfaden für die EU und den EWR
Während die ePrivacy-Richtlinie und die GDPR einen gemeinsamen Rahmen für die gesamte Europäische Union bilden, hat jeder Mitgliedstaat die ePrivacy-Richtlinie mit eigenen Nuancen in nationales Recht umgesetzt. Die Intensität der Durchsetzung, die Auslegung von Ausnahmen und die Höhe der Bußgelder unterscheiden sich erheblich von Land zu Land. Dieser Leitfaden behandelt die wichtigsten Besonderheiten der Cookie-Gesetzgebung in zwölf großen europäischen Märkten.
Schnellübersicht
| Land | Behörde | Nationales Gesetz | Durchsetzungsgrad | Bemerkenswertes |
|---|---|---|---|---|
| Deutschland | Landesdatenschutzbehörden + BfDI | TTDSG (2021) | Hoch | Dezentrale Durchsetzung; PIMS-Rahmenwerk |
| Frankreich | CNIL | Loi Informatique et Libertés | Sehr hoch | Rekordbußgelder; detaillierte Cookie-Leitlinien |
| Italien | Garante | Datenschutzkodex (D.Lgs. 196/2003) | Hoch | Umfassende Cookie-Leitlinien von 2021 |
| Spanien | AEPD | LSSI-CE + LOPDGDD | Mittel | Historische Debatte über Analytics-Ausnahme |
| Niederlande | AP | Telecommunicatiewet | Hoch | Striktes Verbot von Cookie-Walls |
| Belgien | APD/GBA | ePrivacy-Gesetz (2012) | Mittel | IAB-Europe-TCF-Urteil |
| Österreich | DSB | TKG 2021 | Mittel bis hoch | Frühe Google-Analytics-Urteile |
| Dänemark | Datatilsynet | Cookiebekendtgørelsen | Mittel | Zunehmende Durchsetzung seit 2022 |
| Schweden | IMY | LEK (2003:389) | Mittel bis hoch | Hohe Bußgelder 2023–2024 |
| Irland | DPC | SI 336/2011 | Mittel | Sitz vieler Big-Tech-Unternehmen; wegen Durchsetzungstempo in der Kritik |
| Polen | UODO | Telekommunikationsgesetz | Mittel | Wachsende Durchsetzungsaktivität |
| Norwegen | Datatilsynet | Ekomloven | Mittel | EWR-Mitglied; orientiert sich eng an EDPB-Vorgaben |
Deutschland
Aufsichtsbehörde: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) auf Bundesebene sowie die 16 Landesdatenschutzbehörden.
Nationales Gesetz: Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), das am 1. Dezember 2021 in Kraft trat, hat die deutschen Cookie-Regelungen konsolidiert. § 25 TTDSG setzt Artikel 5 Absatz 3 der ePrivacy-Richtlinie um und verlangt eine Einwilligung für das Speichern oder Auslesen von Informationen auf Endgeräten von Nutzern, sofern die Speicherung nicht unbedingt erforderlich ist.
Wesentliche Anforderungen: Das TTDSG stellte klar, dass die Einwilligung für Cookies dem GDPR-Standard entsprechen muss. Der Bundesgerichtshof (BGH) hatte dies bereits mit der Umsetzung des Planet49-Urteils (Mai 2020) bestätigt und festgestellt, dass vorangekreuzte Kästchen nicht ausreichen. Das TTDSG führte zudem Bestimmungen für anerkannte Personal Information Management Systems (PIMS) ein, die es Nutzern ermöglichen sollen, ihre Einwilligungspräferenzen zentral statt auf jeder einzelnen Website zu verwalten – wenngleich die Ausführungsverordnungen für PIMS nur schleppend zustande kommen.
Durchsetzung: Aufgrund der dezentralen Durchsetzungsstruktur in Deutschland variiert die Durchsetzung der Cookie-Compliance je nach Bundesland. Die Datenschutzbehörden in Berlin, Hamburg und Baden-Württemberg gehörten zu den aktivsten. Die Konferenz der Datenschutzbehörden (DSK) veröffentlicht regelmäßig gemeinsame Positionen zu den Anforderungen an die Cookie-Einwilligung.
Bemerkenswerte Maßnahmen: Zahlreiche Untersuchungen zu Cookie-Bannern, die Dark Patterns einsetzten – insbesondere „Nudging"-Designs, bei denen die Schaltfläche zur Zustimmung optisch hervorgehoben, die Ablehnungsoption hingegen zurückgestellt wurde. Die Bußgelder fielen im Allgemeinen niedriger aus als in Frankreich, die Durchsetzungsaktivität hat jedoch seit Inkrafttreten des TTDSG stetig zugenommen.
Frankreich
Aufsichtsbehörde: Commission Nationale de l'Informatique et des Libertés (CNIL).
Nationales Gesetz: Loi Informatique et Libertés (Gesetz Nr. 78-17), geändert zur Umsetzung der ePrivacy-Richtlinie. Die CNIL veröffentlichte im September 2020 umfassende Cookie-Leitlinien mit einer Übergangsfrist bis zum 31. März 2021.
Wesentliche Anforderungen: Frankreich ist der strengste große EU-Markt in Sachen Cookie-Compliance. Die Leitlinien der CNIL verlangen: eine Einwilligung, bevor ein nicht essenzielles Cookie gesetzt wird; eine Ablehnungsoption auf der ersten Ebene des Banners, die ebenso einfach zu bedienen ist wie die Zustimmungsoption; keine Cookie-Walls (mit begrenzten Ausnahmen, die vom Conseil d'État bestätigt wurden); detaillierte Informationen zu jedem Cookie-Zweck.
Ausnahme für Reichweitenmessung: Die CNIL gewährt eine begrenzte Ausnahme für Cookies zur Reichweitenmessung, die strenge Bedingungen erfüllen: Das Tool muss so konfiguriert sein, dass es ausschließlich anonyme statistische Daten erzeugt, die Cookies müssen auf die Website des Herausgebers beschränkt sein, die Lebensdauer der Cookies darf 13 Monate nicht überschreiten, und die Daten dürfen nicht mit anderen Verarbeitungen kombiniert werden. Tools wie Matomo (mit spezifischer Konfiguration) und AT Internet wurden im Rahmen dieser Ausnahme anerkannt. Google Analytics erfüllt die Voraussetzungen nicht.
Bemerkenswerte Bußgelder: Frankreich hat die höchsten cookie-bezogenen Bußgelder in Europa verhängt. Google LLC wurde im Dezember 2021 mit 150 Millionen Euro belegt, weil die Ablehnung von Cookies schwieriger gestaltet war als deren Annahme. Facebook wurde im Rahmen derselben Maßnahme mit 60 Millionen Euro belegt. Microsoft erhielt im Dezember 2022 ein Bußgeld von 60 Millionen Euro. TikTok wurde im Dezember 2022 mit 5 Millionen Euro belegt. Criteo erhielt im Juni 2023 ein Bußgeld von 40 Millionen Euro. Insgesamt hat die CNIL über 400 Millionen Euro an cookie-spezifischen Bußgeldern verhängt.
Italien
Aufsichtsbehörde: Garante per la protezione dei dati personali (Garante).
Nationales Gesetz: Datenschutzkodex (Decreto Legislativo 196/2003), geändert zur Angleichung an die GDPR. Der Garante veröffentlichte am 10. Juni 2021 umfassende Cookie-Leitlinien, deren Einhaltung bis zum 10. Januar 2022 erforderlich war.
Wesentliche Anforderungen: Die Leitlinien des Garante von 2021 gehören zu den detailliertesten in Europa. Sie verlangen: ein Banner auf der ersten Ebene mit einer Zustimmungsschaltfläche und einer prominent angezeigten Ablehnungsschaltfläche (gekennzeichnet mit einem „X" oder „Ohne Zustimmung fortfahren"); eine von diesem ersten Banner aus zugängliche zweite Ebene mit granularen Steuerungsmöglichkeiten für Cookie-Kategorien; Scrollen stellt ausdrücklich keine Einwilligung dar; die Cookie-Einwilligung muss nach spätestens 6 Monaten erneut eingeholt werden.
Bemerkenswertes: Der Garante führte das Konzept ein, dass Cookie-Banner eine eigene „Schließen"-Schaltfläche aufweisen müssen, statt zuzulassen, dass fortgesetztes Browsen als Ablehnung gilt. Die Leitlinien behandelten zudem das Thema Cookie-Analytics und verlangen eine Einwilligung für alle Analytics von Drittanbietern, wobei eine begrenzte Ausnahme lediglich für First-Party-Analytics-Tools mit ordnungsgemäß anonymisierten Daten gilt.
Spanien
Aufsichtsbehörde: Agencia Española de Protección de Datos (AEPD).
Nationales Gesetz: Ley de Servicios de la Sociedad de la Información (LSSI-CE) und Ley Orgánica de Protección de Datos (LOPDGDD).
Wesentliche Anforderungen: Spanien verfolgte zunächst einen nachsichtigeren Ansatz bei der Cookie-Compliance; der Cookie-Leitfaden der AEPD von 2013 legte nahe, dass bestimmte Analytics-Cookies auf Basis eines berechtigten Interesses eingesetzt werden könnten. Die AEPD hat sich jedoch nach den Vorgaben des EDPB und dem Planet49-Urteil zunehmend dem strengeren europäischen Konsens angeglichen. Die aktuellen AEPD-Vorgaben verlangen eine vorherige Einwilligung für Analytics- und Marketing-Cookies.
Bemerkenswerte Maßnahmen: Die AEPD belegte Vueling Airlines 2020 mit einem Bußgeld von 30.000 Euro für ein Cookie-Banner, das ausschließlich eine Zustimmungsoption bot, ohne die Möglichkeit, Cookies abzulehnen. Gegen CaixaBank wurde 2021 ein Bußgeld von 6 Millionen Euro verhängt, das teilweise mit Datenverarbeitungspraktiken im Zusammenhang mit cookiebasiertem Tracking zusammenhing. In jüngerer Zeit hat sich die AEPD auf Cookie-Walls und Dark Patterns in Einwilligungsoberflächen konzentriert.
Niederlande
Aufsichtsbehörde: Autoriteit Persoonsgegevens (AP).
Nationales Gesetz: Telecommunicatiewet (Telekommunikationsgesetz), Artikel 11.7a.
Wesentliche Anforderungen: Die Niederlande nehmen eine der strengsten Positionen zu Cookie-Walls in Europa ein. Die AP hat klar festgestellt, dass es keine gültige Einwilligung darstellt, den Zugang zu einer Website von der Annahme von Cookies abhängig zu machen, da eine Einwilligung nicht „freiwillig" ist, wenn die Alternative der Verlust des Zugangs zum Dienst ist. Die AP verlangt zudem eine ausdrückliche Einwilligung, bevor Tracking-Cookies gesetzt werden, und hat Consent-Management-Plattformen kritisiert, die auf manipulatives Design setzen.
Bemerkenswerte Maßnahmen: Die AP hat zahlreiche Websites auf Verstöße gegen die Cookie-Compliance untersucht und Leitlinien speziell gegen Dark Patterns in Cookie-Bannern herausgegeben. Die Behörde beteiligte sich zudem an koordinierten Überprüfungen von Behörden-Websites hinsichtlich der Cookie-Compliance. 2024 verstärkte die AP ihre Durchsetzungsaktivität gegenüber kleineren Organisationen und signalisierte damit, dass die Anforderungen an die Cookie-Compliance unabhängig von der Unternehmensgröße gelten.
Belgien
Aufsichtsbehörde: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).
Nationales Gesetz: Gesetz vom 13. Juni 2005 über die elektronische Kommunikation, geändert durch das Gesetz vom 10. Juli 2012.
Wesentliche Anforderungen: Belgien folgt den Standardanforderungen der ePrivacy-Richtlinie. Die belgische Datenschutzbehörde erlangte in der Cookie-Regulierung weltweite Bedeutung, als sie im Februar 2022 über das Transparency and Consent Framework (TCF) von IAB Europe entschied. Sie stellte fest, dass die Einwilligungszeichenkette des TCF personenbezogene Daten darstellt und dass IAB Europe ein gemeinsam Verantwortlicher ist. Dieses Urteil, das der EuGH im März 2024 teilweise bestätigte, hat Auswirkungen auf jede Website, die das TCF zur Verwaltung der Cookie-Einwilligung nutzt.
Bemerkenswertes: Das IAB-TCF-Urteil sorgte in der Online-Werbebranche für Erschütterungen, da das TCF das am weitesten verbreitete Einwilligungsframework für programmatische Werbung in Europa ist. Zwar hat IAB Europe Änderungen umgesetzt, um den Bedenken der Behörde Rechnung zu tragen, doch der Fall verdeutlichte die Risiken, sich auf branchenintern gestaltete Einwilligungsframeworks zu verlassen, die den GDPR-Anforderungen möglicherweise nicht vollständig gerecht werden.
Österreich
Aufsichtsbehörde: Datenschutzbehörde (DSB).
Nationales Gesetz: Telekommunikationsgesetz 2021 (TKG 2021), § 165.
Wesentliche Anforderungen: Die österreichischen Cookie-Regeln folgen dem Standardrahmen der ePrivacy-Richtlinie. Die österreichische DSB erlangte im Januar 2022 internationale Aufmerksamkeit, als sie als erste europäische Datenschutzbehörde entschied, dass der Einsatz von Google Analytics gegen die GDPR verstößt – insbesondere im Hinblick auf die Übermittlung personenbezogener Daten in die Vereinigten Staaten infolge des Schrems-II-Urteils. Obwohl es sich in erster Linie um eine Frage der Datenübermittlung handelte, hatte dies direkte Auswirkungen auf die Cookie-Compliance, da die Google-Analytics-Cookies als personenbezogene Daten eingestuft wurden, die ohne angemessene Schutzmaßnahmen in ein Drittland übermittelt wurden.
Bemerkenswertes: Das Google-Analytics-Urteil löste eine Kaskade ähnlicher Entscheidungen in ganz Europa aus (Frankreich, Italien und andere folgten) und beschleunigte die Entwicklung datenschutzfreundlicher Analytics-Alternativen. Die DSB blieb bei Themen rund um Cookies und Tracking-Technologien weiterhin aktiv.
Dänemark
Aufsichtsbehörde: Datatilsynet.
Nationales Gesetz: Cookiebekendtgørelsen (Verordnung über die für die Speicherung von oder den Zugriff auf Informationen in Endgeräten erforderlichen Informationen und Einwilligungen), zur Umsetzung der Bestimmungen der ePrivacy-Richtlinie.
Wesentliche Anforderungen: Dänemark verlangt eine Einwilligung für alle Cookies mit Ausnahme derjenigen, die für einen ausdrücklich vom Nutzer angeforderten Dienst unbedingt erforderlich sind. Die Datatilsynet hat Leitlinien herausgegeben, die bestätigen, dass Analytics-Cookies einer Einwilligung bedürfen und dass fortgesetztes Browsen keine gültige Einwilligung darstellt. Die dänischen Vorgaben haben sich zunehmend an die strengeren Positionen der CNIL und des EDPB angeglichen.
Bemerkenswerte Maßnahmen: Die Datatilsynet hat ihre Durchsetzungsaktivität im Bereich Cookies seit 2022 verstärkt und dabei Websites sowohl des öffentlichen als auch des privaten Sektors untersucht. 2023 erließ die Behörde Entscheidungen gegen mehrere dänische Websites wegen unzureichender Cookie-Einwilligungsmechanismen, darunter Fälle, in denen die Ablehnungsoption nicht ausreichend sichtbar war. Die Datatilsynet befasste sich zudem mit dem Einsatz von Google Analytics und Meta-Tracking-Pixeln auf dänischen Websites und wies mehrere Organisationen an, die Nutzung dieser Tools ohne ordnungsgemäße Einwilligung und Schutzmaßnahmen bei der Datenübermittlung einzustellen.
Schweden
Aufsichtsbehörde: Integritetsskyddsmyndigheten (IMY).
Nationales Gesetz: Lag om elektronisk kommunikation (LEK, 2003:389).
Wesentliche Anforderungen: Schweden hat sich in den letzten Jahren von einer relativ geringen Cookie-Durchsetzung hin zu bedeutenden Maßnahmen entwickelt. Die IMY verhängte 2023 ihre ersten großen cookie-bezogenen Bußgelder gegen vier Unternehmen (darunter Tele2, CDON, Dagens Industri und Coop) in Höhe von insgesamt über 100 Millionen SEK (rund 9 Millionen Euro), weil sie Google Analytics einsetzten und ohne gültige Einwilligung oder angemessene Schutzmaßnahmen bei der Datenübermittlung personenbezogene Daten an Google weitergaben.
Bemerkenswertes: Die Durchsetzungsmaßnahmen von 2023 signalisierten einen grundlegenden Wandel im schwedischen Vorgehen. Die IMY stimmte sich mit anderen nordischen Datenschutzbehörden ab und folgte den von der österreichischen DSB und der französischen CNIL zu Google Analytics gesetzten Präzedenzfällen. Die Bußgelder gehörten zu den höchsten, die je von einer nordischen Datenschutzbehörde verhängt wurden, und machten deutlich, dass die schwedische Durchsetzung nun mit den strengsten europäischen Behörden auf einer Stufe steht.
Irland
Aufsichtsbehörde: Data Protection Commission (DPC).
Nationales Gesetz: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).
Wesentliche Anforderungen: Irland folgt dem Standardrahmen der ePrivacy-Richtlinie. Die Rolle der DPC als federführende Aufsichtsbehörde für viele große Technologieunternehmen mit Sitz in Irland (darunter Meta, Google, Apple, Microsoft und TikTok) verleiht ihr jedoch überproportionale Bedeutung im europäischen Datenschutz. Die DPC hat Leitlinien zur Cookie-Compliance herausgegeben und Audits von Websites sowohl des öffentlichen als auch des privaten Sektors durchgeführt.
Bemerkenswertes: Die DPC sah sich seitens anderer europäischer Datenschutzbehörden und des Europäischen Parlaments Kritik am wahrgenommenen Tempo ihrer Durchsetzung gegenüber Big Tech ausgesetzt. Dennoch hat die DPC erhebliche GDPR-Bußgelder verhängt, darunter ein Bußgeld von 1,2 Milliarden Euro gegen Meta im Jahr 2023 wegen Datenübermittlungen. Speziell im Bereich Cookies führte die DPC 2020 und 2021 Website-Überprüfungen durch und sprach gegenüber zahlreichen Organisationen Compliance-Empfehlungen aus. Direkte cookie-spezifische Bußgelder der DPC fielen im Vergleich zur CNIL relativ moderat aus.
Polen
Aufsichtsbehörde: Urząd Ochrony Danych Osobowych (UODO).
Nationales Gesetz: Telekommunikationsgesetz (Prawo telekomunikacyjne), Artikel 173.
Wesentliche Anforderungen: Polen verlangt im Einklang mit der ePrivacy-Richtlinie eine Einwilligung für Cookies. Die UODO hat Leitlinien herausgegeben, die bestätigen, dass vorangekreuzte Kästchen und fortgesetztes Browsen keine gültige Einwilligung darstellen. Das polnische Recht enthält spezifische Bestimmungen zu den Informationen, die den Nutzern über Cookies bereitgestellt werden müssen, darunter Zwecke, Identität des Verantwortlichen und Anweisungen zur Verwaltung der Cookie-Einstellungen.
Bemerkenswertes: Polens Durchsetzungsaktivität im Bereich Cookies hat zugenommen; die UODO untersucht Beschwerden über nicht konforme Cookie-Banner und arbeitet mit der Telekommunikationsaufsichtsbehörde zusammen. Die UODO hat sich an EU-weit koordinierten Durchsetzungsüberprüfungen beteiligt und ihre Leitlinien an die EDPB-Empfehlungen angeglichen.
Norwegen
Aufsichtsbehörde: Datatilsynet (norwegische Datenschutzbehörde – nicht zu verwechseln mit der gleichnamigen dänischen Behörde).
Nationales Gesetz: Ekomloven (Gesetz über die elektronische Kommunikation).
Wesentliche Anforderungen: Obwohl Norwegen kein EU-Mitgliedstaat ist, ist es Mitglied des Europäischen Wirtschaftsraums (EWR) und hat die GDPR und die ePrivacy-Richtlinie über das EWR-Abkommen in sein nationales Recht übernommen. Die norwegische Datatilsynet orientiert sich eng an den EDPB-Vorgaben und ist in der Cookie-Durchsetzung aktiv.
Bemerkenswerte Maßnahmen: Die norwegische Datatilsynet verhängte im Dezember 2021 ein Bußgeld von 5 Millionen Euro gegen Grindr (im Berufungsverfahren später auf 6,5 Millionen Euro angepasst), weil das Unternehmen Nutzerdaten ohne gültige Einwilligung an Werbepartner weitergegeben hatte. Obwohl es sich in erster Linie um einen Einwilligungsfall im Zusammenhang mit der Datenweitergabe und nicht speziell mit Cookies handelte, schuf er wichtige Präzedenzfälle für die Einwilligungsanforderungen bei Tracking-Technologien. Die Behörde untersuchte zudem den Einsatz von Google Analytics und anderen Tracking-Tools auf norwegischen Websites.
Wichtigste Erkenntnisse
Trotz der Unterschiede in der nationalen Umsetzung und Durchsetzung sind mehrere Grundsätze in allen EU- und EWR-Ländern einheitlich:
- Eine Einwilligung ist erforderlich, bevor ein nicht essenzielles Cookie gesetzt wird. Kein europäisches Land akzeptiert ein reines Opt-out-Modell für Cookies.
- Die Einwilligung muss dem GDPR-Standard entsprechen: freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben sowie durch eine eindeutige bestätigende Handlung nachgewiesen.
- Die Ablehnung muss ebenso einfach sein wie die Zustimmung. Während die konkrete Umsetzung variieren kann (separate Schaltfläche, X zum Schließen usw.), gilt der Grundsatz universell, dass die Ablehnung von Cookies nicht schwieriger sein darf als deren Annahme.
- Die Durchsetzung nimmt überall zu. Länder, die zuvor nachsichtig waren, verhängen inzwischen Bußgelder und formelle Entscheidungen. Es gibt keine „sichere" europäische Rechtsordnung für Nichtkonformität.
- Die koordinierte Durchsetzung nimmt zu. Datenschutzbehörden kooperieren zunehmend über den EDPB und führen koordinierte Überprüfungen durch, was bedeutet, dass Nichtkonformität in einem Land wahrscheinlich auch in anderen Ländern Aufmerksamkeit erregt.
Erfüllt Ihre Website die Cookie-Vorschriften?
Scannen Sie Ihre Website kostenlos und finden Sie alle Cookies in wenigen Minuten.
Cookies kostenlos scannen