DSGVO & Cookies: Ein umfassender Leitfaden zur Compliance
Die Datenschutz-Grundverordnung (DSGVO) hat mit ihrem Inkrafttreten am 25. Mai 2018 grundlegend verändert, wie Websites mit Cookies umgehen. Während die ePrivacy-Richtlinie das zentrale EU-Recht für Cookies darstellt, greift die DSGVO immer dann, wenn Cookies personenbezogene Daten verarbeiten — was in der Praxis fast immer der Fall ist. Zu verstehen, wie die DSGVO auf Cookies angewendet wird, ist für jede Website unerlässlich, die im Europäischen Wirtschaftsraum tätig ist oder sich an Nutzer dort richtet.
Wie die DSGVO auf Cookies angewendet wird
Die DSGVO erwähnt Cookies nicht namentlich. Stattdessen regelt sie die Verarbeitung personenbezogener Daten, definiert in Artikel 4 Absatz 1 als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Erwägungsgrund 30 der DSGVO stellt ausdrücklich fest, dass Online-Kennungen — einschließlich Cookie-Kennungen — verwendet werden können, um Profile natürlicher Personen zu erstellen und diese zu identifizieren. Das bedeutet: Jedes Cookie, das eine eindeutige Kennung enthält oder mit einer solchen verknüpft ist, stellt personenbezogene Daten im Sinne der DSGVO dar.
In der Praxis betrifft dies nahezu alle Cookies, die über die grundlegendsten funktionalen Cookies hinausgehen. Analyse-Cookies, die eine eindeutige Besucher-ID vergeben, Werbe-Cookies, die das Surfverhalten verfolgen, und selbst Sitzungs-Cookies, die mit einem Nutzerkonto verknüpft sind, verarbeiten personenbezogene Daten und fallen daher unter die Anforderungen der DSGVO.
Artikel 6: Rechtsgrundlage für die Verarbeitung
Nach Artikel 6 der DSGVO erfordert jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Für die cookiebezogene Verarbeitung werden am häufigsten zwei Grundlagen herangezogen:
- Einwilligung (Artikel 6 Absatz 1 Buchstabe a): Die betroffene Person hat ihre Einwilligung zur Verarbeitung für einen oder mehrere bestimmte Zwecke gegeben. Dies ist die primäre Rechtsgrundlage für die meisten Cookie-Verarbeitungen, insbesondere für Analyse-, Marketing- und Werbe-Cookies.
- Berechtigtes Interesse (Artikel 6 Absatz 1 Buchstabe f): Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich, sofern diese Interessen nicht durch die Rechte und Freiheiten der betroffenen Person überwogen werden.
Das berechtigte Interesse war im Cookie-Kontext Gegenstand erheblicher Debatten. Einige Website-Betreiber haben argumentiert, dass Analyse-Tracking einem berechtigten Interesse dient. Mehrere Datenschutzbehörden haben dieses Argument jedoch für Cookies zurückgewiesen, die nicht unbedingt erforderlich sind. Die französische CNIL, die österreichische DSB und der Europäische Datenschutzausschuss (EDSA) haben allesamt die Position vertreten, dass für Analyse-Cookies eine Einwilligung erforderlich ist und dass das berechtigte Interesse nicht als Rechtsgrundlage für das Setzen nicht wesentlicher Cookies auf dem Gerät eines Nutzers dienen kann.
Die Leitlinien 05/2020 des EDSA zur Einwilligung stellen unmissverständlich fest: „Scrollen oder das weitere Durchsuchen einer Website stellt keine gültige Einwilligung dar." Die Ära der stillschweigenden Einwilligung für Cookies ist vorbei.
Artikel 7: Bedingungen für eine gültige Einwilligung
Artikel 7 legt die Bedingungen fest, die eine Einwilligung erfüllen muss. Damit eine Cookie-Einwilligung nach der DSGVO gültig ist, muss sie:
- Freiwillig erteilt werden: Der Nutzer muss eine echte Wahl haben. Eine Einwilligung ist nicht freiwillig, wenn der Nutzer die Einwilligung nicht ohne Nachteile verweigern oder widerrufen kann. Cookie-Walls, die den Zugang zu einer Website blockieren, sofern nicht alle Cookies akzeptiert werden, wurden von mehreren Datenschutzbehörden als nicht rechtskonform eingestuft, wenngleich die Rechtslage je nach Rechtsordnung variiert.
- Für den bestimmten Fall erteilt werden: Die Einwilligung muss für jeden einzelnen Zweck erteilt werden. Ein einzelnes „Alle akzeptieren" ohne die Möglichkeit, bestimmten Kategorien zuzustimmen, erfüllt diese Anforderung nicht.
- In informierter Weise erfolgen: Dem Nutzer muss klar mitgeteilt werden, wozu er seine Einwilligung erteilt. Das bedeutet, die Cookies, ihre Zwecke, die erhobenen Daten und beteiligte Dritte zu benennen.
- Unmissverständlich sein: Die Einwilligung muss durch eine eindeutige bestätigende Handlung erteilt werden. Vorangekreuzte Kontrollkästchen, Schweigen oder Untätigkeit stellen keine gültige Einwilligung dar.
Artikel 7 Absatz 3 fügt eine entscheidende Anforderung hinzu: Der Widerruf der Einwilligung muss so einfach sein wie deren Erteilung. Wenn ein Nutzer Cookies mit einem einzigen Klick akzeptieren kann, muss er diese Einwilligung ebenso leicht widerrufen können. Ein Cookie-Banner, das „Akzeptieren" prominent darstellt, die Ablehnoption aber in einer mehrere Klicks tiefen Einstellungsseite verbirgt, ist nicht rechtskonform.
Artikel 4 Absatz 11: Die Definition der Einwilligung
Artikel 4 Absatz 11 definiert Einwilligung als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist."
Diese Definition wird durch Erwägungsgrund 32 bekräftigt, der besagt:
„Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite [...] erfolgen. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen."
Das wegweisende Planet49-Urteil des Gerichtshofs der Europäischen Union (EuGH) vom Oktober 2019 (Rechtssache C-673/17) bestätigte diese Auslegung und entschied, dass vorangekreuzte Kontrollkästchen keine gültige Einwilligung für Cookies darstellen.
Transparenzpflichten: Artikel 12–14
Die Artikel 12 bis 14 verpflichten die Verantwortlichen, Informationen über die Datenverarbeitung in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache bereitzustellen. Für Cookies bedeutet dies:
- Ihre Cookie-Richtlinie muss in einer Sprache verfasst sein, die auch normale Nutzer verstehen — nicht in Juristendeutsch.
- Die Informationen müssen zum Zeitpunkt der Datenerhebung bereitgestellt werden (das heißt, bevor Cookies gesetzt werden).
- Den Nutzern müssen die Identität des Verantwortlichen, die Zwecke der Verarbeitung, die Datenkategorien, etwaige Empfänger, Speicherfristen und ihre Rechte mitgeteilt werden.
- Werden Cookies an Dritte weitergegeben (etwa Google Analytics, Facebook Pixel oder Werbenetzwerke), müssen diese Dritten benannt werden.
Artikel 17: Das Recht auf Löschung
Artikel 17 gewährt betroffenen Personen das Recht, ihre personenbezogenen Daten löschen zu lassen. Im Cookie-Kontext bedeutet dies: Fordert ein Nutzer die Löschung seiner Daten, müssen alle über Cookies erhobenen personenbezogenen Daten gelöscht werden. Dazu gehören Analyseprofile, Werbekennungen und alle sonstigen mit Cookie-Kennungen verknüpften Daten.
Für Website-Betreiber, die Analyse- oder Werbedienste von Drittanbietern nutzen, kann dies besonders herausfordernd sein, da die Daten möglicherweise beim Dritten liegen. Ihre Auftragsverarbeitungsverträge mit Drittanbietern von Cookies sollten Regelungen zur Bearbeitung von Löschanfragen enthalten.
DSGVO vs. ePrivacy: Was gilt wann?
Das Verhältnis zwischen der DSGVO und der ePrivacy-Richtlinie kann verwirrend sein. So greifen sie ineinander:
- Die ePrivacy-Richtlinie (Artikel 5 Absatz 3) regelt das Speichern von oder den Zugriff auf Informationen auf dem Gerät eines Nutzers. Sie verlangt für alle Cookies eine Einwilligung, ausgenommen jene, die unbedingt erforderlich sind. Dies ist die lex specialis (das spezifische Recht) für Cookies.
- Die DSGVO regelt die anschließende Verarbeitung aller über Cookies erhobenen personenbezogenen Daten. Sie liefert den Rahmen dafür, was eine gültige Einwilligung ausmacht, welche Rechte betroffene Personen haben und welche Pflichten den Verantwortlichen obliegen.
In der Praxis heißt das: Die ePrivacy-Richtlinie sagt Ihnen, dass Sie eine Einwilligung benötigen, um ein Cookie zu setzen. Die DSGVO sagt Ihnen, wie eine gültige Einwilligung aussieht, was Sie mit den Daten tun dürfen und welche Rechte die Nutzer bezüglich dieser Daten haben. Beide gelten gleichzeitig.
Datenschutzbehörden und Durchsetzung
Jeder EU-Mitgliedstaat verfügt über eine Datenschutzbehörde, die sowohl für die Durchsetzung der DSGVO als auch der nationalen Umsetzungen der ePrivacy-Richtlinie zuständig ist. Diese Behörden haben die Befugnis, Beschwerden zu untersuchen, Prüfungen durchzuführen und Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen € zu verhängen, je nachdem, welcher Betrag höher ist.
Die cookiebezogene Durchsetzung hat sich seit 2020 dramatisch beschleunigt. Datenschutzbehörden in ganz Europa sind von Leitlinien und Verwarnungen zu erheblichen Bußgeldern übergegangen und machen so aus der Cookie-Compliance ein echtes geschäftliches Risiko statt einer theoretischen Sorge.
Große cookiebezogene DSGVO-Bußgelder
Die folgenden Durchsetzungsmaßnahmen zeigen die tatsächlichen finanziellen Folgen mangelnder Cookie-Compliance:
| Unternehmen | Bußgeld | Behörde | Jahr | Kernproblem |
|---|---|---|---|---|
| Amazon Europe | 746 Millionen € | CNPD (Luxemburg) | 2021 | Nicht rechtskonformes Werbe-Tracking und Einwilligungsmechanismen |
| Google LLC | 150 Millionen € | CNIL (Frankreich) | 2022 | Cookies abzulehnen war nicht so einfach wie sie zu akzeptieren |
| Facebook (Meta) | 60 Millionen € | CNIL (Frankreich) | 2022 | Kein einfacher Mechanismus zur Ablehnung von Cookies |
| Microsoft (Bing) | 60 Millionen € | CNIL (Frankreich) | 2022 | Cookies ohne Einwilligung gesetzt, kein einfacher Ablehnmechanismus |
| TikTok | 5 Millionen € | CNIL (Frankreich) | 2023 | Cookies abzulehnen erforderte mehr Klicks als sie zu akzeptieren |
| Criteo | 40 Millionen € | CNIL (Frankreich) | 2023 | Versäumnis, eine gültige Einwilligung für Tracking-Cookies einzuholen |
| Vueling Airlines | 30.000 € | AEPD (Spanien) | 2020 | Keine Option zur Ablehnung von Cookies, nur „Akzeptieren" |
Diese Bußgelder beschränken sich nicht auf Großkonzerne. Auch kleine und mittelständische Unternehmen waren mit Durchsetzungsmaßnahmen konfrontiert, insbesondere in Frankreich, Italien und Deutschland. Allein die CNIL erließ 2021 über 100 förmliche Aufforderungen an Websites aller Größen bezüglich der Cookie-Compliance.
Praktische Checkliste für die DSGVO-Cookie-Compliance
Nutzen Sie diese Checkliste, um zu überprüfen, ob Ihre Website die DSGVO-Anforderungen für Cookies erfüllt:
- Identifizieren Sie alle Cookies, die Ihre Website setzt, einschließlich jener, die durch Skripte von Drittanbietern wie Analyse-, Werbe- und Social-Media-Widgets platziert werden.
- Klassifizieren Sie jedes Cookie als unbedingt erforderlich, funktional, Analyse oder Marketing/Werbung.
- Setzen Sie eine vorherige Einwilligung für alle nicht wesentlichen Cookies durch. Kein Analyse- oder Marketing-Cookie darf ausgelöst werden, bevor der Nutzer seine Einwilligung erteilt hat.
- Stellen Sie Einwilligungsoptionen fair dar. Die Option, Cookies abzulehnen, muss ebenso prominent und zugänglich sein wie die Option, sie zu akzeptieren.
- Bieten Sie eine granulare Einwilligung an. Nutzer müssen bestimmten Cookie-Kategorien zustimmen können, statt in eine Alles-oder-nichts-Entscheidung gedrängt zu werden.
- Verwenden Sie keine vorangekreuzten Kästchen. Alle optionalen Cookie-Kategorien müssen standardmäßig deaktiviert sein.
- Stellen Sie klare Informationen über den Zweck jedes Cookies, die erhobenen Daten, den Datenzugriff und die Lebensdauer des Cookies bereit.
- Benennen Sie Dritte. Nennen Sie die Drittanbieterdienste, die Cookies auf Ihrer Website setzen (Google Analytics, Facebook Pixel, HubSpot usw.).
- Machen Sie den Widerruf einfach. Bieten Sie Nutzern eine dauerhafte, leicht zugängliche Möglichkeit, ihre Cookie-Einstellungen nach der ersten Einwilligung zu ändern. Ein Link in der Fußzeile oder ein schwebendes Symbol sind gängige Ansätze.
- Speichern Sie Einwilligungsnachweise. Führen Sie ein Protokoll darüber, wann jeder Nutzer seine Einwilligung erteilt hat, wozu er eingewilligt hat und welche Version der Cookie-Richtlinie zu diesem Zeitpunkt galt.
- Berücksichtigen Sie Einwilligungsentscheidungen technisch. Stellen Sie sicher, dass eine Ablehnung tatsächlich verhindert, dass die entsprechenden Cookies gesetzt werden. Dies erfordert das Blockieren von Skripten vor der Einwilligung, nicht bloß das Löschen von Cookies im Nachhinein.
- Pflegen Sie eine Cookie-Richtlinie, die aktuell, korrekt und in einfacher Sprache verfasst ist. Aktualisieren Sie sie, sobald Sie neue Cookies oder Drittanbieterdienste hinzufügen.
- Bearbeiten Sie Anfragen betroffener Personen. Verfügen Sie über einen Prozess zur Beantwortung von Löschanfragen, der auch über Cookies erhobene Daten umfasst.
- Scannen Sie regelmäßig. Führen Sie mindestens monatlich sowie nach jeder Bereitstellung automatisierte Cookie-Scans durch, um neue Cookies zu erkennen, die durch aktualisierte Skripte oder Plugins eingeführt wurden.
Cookie-Compliance nach der DSGVO ist keine einmalige Aufgabe. Sie erfordert fortlaufende Aufmerksamkeit, während sich Ihre Website weiterentwickelt, neue Skripte hinzukommen und regulatorische Leitlinien aktualisiert werden. Die Organisationen, die sie als kontinuierlichen Prozess und nicht als bloßes Abhaken einer Checkliste behandeln, sind jene, die Durchsetzungsmaßnahmen vermeiden — und dabei zugleich das Vertrauen ihrer Nutzer aufbauen.
Erfüllt Ihre Website die Cookie-Vorschriften?
Scannen Sie Ihre Website kostenlos und finden Sie alle Cookies in wenigen Minuten.
Cookies kostenlos scannen