Ressourcen und Glossar zur Cookie-Compliance
Cookie-Compliance bringt ein spezialisiertes Vokabular mit sich, das sich aus EU-Recht, Datenschutzrecht und Web-Technologie speist. Dieses Glossar erläutert die wichtigsten Begriffe, denen Sie begegnen werden, gefolgt von einer sorgfältig zusammengestellten Sammlung offizieller Ressourcen und maßgeblicher Referenzen für die weitere Vertiefung.
Glossar der wichtigsten Begriffe
A–C
CMP (Consent Management Platform): Ein Softwaretool oder Dienst, der die Erfassung, Speicherung und Durchsetzung der Nutzereinwilligung für Cookies und andere Tracking-Technologien verwaltet. Eine CMP stellt in der Regel die Oberfläche des Cookie-Banners bereit, speichert Einwilligungsnachweise und steuert, welche Skripte auf Basis der Nutzerentscheidungen ausgeführt werden dürfen. Beispiele sind Cookiebot, OneTrust, Usercentrics sowie Open-Source-Lösungen wie Klaro.
CNIL (Commission Nationale de l'Informatique et des Libertés): Die französische Datenschutzbehörde. Die CNIL war die aktivste europäische Aufsichtsbehörde bei der Durchsetzung von Cookie-Vorschriften: Sie verhängte die höchsten cookie-bezogenen Bußgelder und veröffentlichte die detailliertesten Leitlinien zur Cookie-Compliance. Ihre Auslegungen und Durchsetzungsmaßnahmen setzen häufig den Maßstab, dem andere Datenschutzbehörden folgen.
Einwilligung (Consent): Im Kontext der DSGVO eine freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung der betroffenen Person, die durch eine eindeutige bestätigende Handlung zum Ausdruck kommt. Bei Cookies bedeutet dies, dass Nutzer nicht notwendige Cookies aktiv zulassen müssen – etwa durch Klicken auf eine „Akzeptieren“-Schaltfläche. Schweigen, vorangekreuzte Kästchen, Untätigkeit und fortgesetztes Surfen stellen keine gültige Einwilligung dar.
Cookie: Eine kleine Textdatei, die von einer Website auf dem Gerät eines Nutzers abgelegt wird. Cookies werden für eine Vielzahl von Zwecken eingesetzt – von der Aufrechterhaltung von Login-Sitzungen (unbedingt erforderlich) bis hin zur Nachverfolgung des Surfverhaltens im gesamten Web (Werbung). Technisch gesehen ist ein Cookie ein Name-Wert-Paar mit zugehörigen Metadaten wie Domain, Pfad, Ablaufdatum und Sicherheits-Flags.
Cookie-Banner: Das Element der Benutzeroberfläche (typischerweise eine Leiste, ein Modal oder ein Popup), das beim ersten Besuch einer Website erscheint, den Nutzer über die Verwendung von Cookies informiert und seine Einwilligung einholt. Ein konformes Cookie-Banner bietet klare Informationen, echte Wahlmöglichkeiten (Akzeptieren, Ablehnen, Anpassen) und setzt keine nicht notwendigen Cookies, bis der Nutzer reagiert.
Cookie-Richtlinie: Ein Dokument (typischerweise eine eigene Webseite oder ein Abschnitt der Datenschutzerklärung), das detaillierte Informationen über alle auf einer Website verwendeten Cookies bereitstellt, einschließlich Namen, Zwecken, Arten, Laufzeiten und der Drittanbieter, die sie setzen. Die Cookie-Richtlinie erfüllt die Transparenzpflichten der DSGVO sowie die in der ePrivacy-Richtlinie geforderten „klaren und umfassenden Informationen“.
Cookie-Wall: Ein Mechanismus, der den Zugang zu Website-Inhalten blockiert, sofern der Nutzer nicht allen Cookies zustimmt. Cookie-Walls sind umstritten, und ihre Rechtmäßigkeit variiert je nach Rechtsordnung. Der EDSA hat erklärt, dass Cookie-Walls das Erfordernis der „freiwilligen“ Einwilligung untergraben, da der Nutzer vor einer Alles-oder-nichts-Entscheidung steht. Einige nationale Datenschutzbehörden (insbesondere der französische Conseil d'État) haben Cookie-Walls unter bestimmten Bedingungen zugelassen, sofern der Nutzer über eine echte alternative Möglichkeit verfügt, auf die Inhalte zuzugreifen.
D–E
Dark Pattern: Eine Gestaltungsentscheidung der Benutzeroberfläche, die Nutzer zu Entscheidungen verleitet, die sie andernfalls nicht treffen würden. Im Cookie-Kontext gehören dazu: die „Akzeptieren“-Schaltfläche visuell hervorzuheben und die „Ablehnen“-Option zu verstecken, verwirrende Formulierungen, mehr Klicks für die Ablehnung als für die Zustimmung zu verlangen sowie Taktiken des Confirm-Shaming. Der EDSA veröffentlichte im Februar 2023 spezielle Leitlinien zu Dark Patterns in Datenschutzoberflächen.
Verantwortlicher (Data Controller): Die Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Für Cookies, die von einer Website gesetzt werden, ist in der Regel der Website-Betreiber der Verantwortliche. Bei Drittanbieter-Cookies kann eine gemeinsame Verantwortlichkeit zwischen Website-Betreiber und Drittanbieter bestehen, je nachdem, in welchem Maße jede Partei die Zwecke und Mittel der Datenerhebung beeinflusst.
Auftragsverarbeiter (Data Processor): Eine Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen und nach dessen Weisungen verarbeitet. Ein Hosting-Anbieter oder ein CMP-Anbieter, der ausschließlich nach den Weisungen des Website-Betreibers handelt, wäre ein Auftragsverarbeiter. Die Unterscheidung ist wichtig, weil Verantwortliche die Hauptverantwortung für die Compliance tragen, während Auftragsverarbeiter die Weisungen des Verantwortlichen und die Bedingungen eines Auftragsverarbeitungsvertrags einhalten müssen.
Betroffene Person (Data Subject): Eine natürliche Person, deren personenbezogene Daten verarbeitet werden. Im Cookie-Kontext sind betroffene Personen die Website-Besucher, deren Daten über Cookies erhoben werden. Betroffene Personen haben nach der DSGVO Rechte, darunter das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und das Widerspruchsrecht.
Datenschutzbehörde (DPA, Data Protection Authority): Die unabhängige öffentliche Stelle, die für die Überwachung und Durchsetzung des Datenschutzrechts in jedem EU-Mitgliedstaat zuständig ist. Datenschutzbehörden haben die Befugnis, Beschwerden zu untersuchen, Prüfungen durchzuführen, Leitlinien herauszugeben und Bußgelder zu verhängen. Jeder Mitgliedstaat hat mindestens eine Datenschutzbehörde (Deutschland hat mehrere – eine pro Bundesland sowie den föderalen BfDI). Beispiele: CNIL (Frankreich), Garante (Italien), ICO (Vereinigtes Königreich), Datatilsynet (Dänemark/Norwegen).
Datenschutzbeauftragter (DPO, Data Protection Officer): Eine Person, die von einem Verantwortlichen oder Auftragsverarbeiter benannt wird, um die Einhaltung der DSGVO zu überwachen. Die DSGVO verpflichtet bestimmte Organisationen zur Bestellung eines Datenschutzbeauftragten, darunter Behörden sowie Organisationen, deren Kerntätigkeit in der umfangreichen Überwachung betroffener Personen besteht. Obwohl nicht unmittelbar mit Cookies verknüpft, überwacht der Datenschutzbeauftragte in der Regel auch das Cookie-Compliance-Programm der Organisation.
EDSA (Europäischer Datenschutzausschuss): Das unabhängige EU-Gremium, das die einheitliche Anwendung der DSGVO sicherstellt und die Zusammenarbeit zwischen den nationalen Datenschutzbehörden fördert. Der EDSA (der die Artikel-29-Datenschutzgruppe abgelöst hat) gibt Leitlinien, Empfehlungen und verbindliche Beschlüsse heraus. Seine Leitlinien zur Einwilligung (Leitlinien 05/2020) und zu Dark Patterns sind zentrale Referenzen für die Cookie-Compliance.
ePrivacy-Richtlinie (Richtlinie 2002/58/EG): Die EU-Richtlinie zum Schutz der Privatsphäre in der elektronischen Kommunikation, einschließlich der Verwendung von Cookies. Artikel 5 Absatz 3 ist die wichtigste Rechtsgrundlage für das Erfordernis der Cookie-Einwilligung. Als Richtlinie muss sie von jedem Mitgliedstaat in nationales Recht umgesetzt werden, was zu Unterschieden in der Umsetzung führt. Sie soll durch die ePrivacy-Verordnung ersetzt werden, die sich weiterhin in Verhandlung befindet.
F–G
First-Party-Cookie: Ein Cookie, das von der Domain gesetzt wird, die der Nutzer gerade besucht. Wenn ein Nutzer beispielsweise example.com besucht und example.com ein Cookie setzt, handelt es sich um ein First-Party-Cookie. First-Party-Cookies werden typischerweise für essenzielle Funktionen (Sitzungen, Präferenzen) und First-Party-Analytics verwendet. Sie gelten im Allgemeinen als weniger eingriffsintensiv als Drittanbieter-Cookies, da sie Nutzer nicht über verschiedene Websites hinweg verfolgen können.
DSGVO (Datenschutz-Grundverordnung): Verordnung (EU) 2016/679, das umfassende Datenschutzrecht der EU, das seit dem 25. Mai 2018 gilt. Die DSGVO bildet den rechtlichen Rahmen dafür, was eine gültige Einwilligung ausmacht (angewendet auf Cookies über den Verweis in der ePrivacy-Richtlinie), für die Rechte der betroffenen Personen, die Pflichten von Verantwortlichen und Auftragsverarbeitern sowie das Sanktionsregime mit Bußgeldern von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro.
GPC (Global Privacy Control): Ein Signal auf Browser-Ebene, das die Präferenz eines Nutzers kommuniziert, dem Verkauf oder der Weitergabe seiner personenbezogenen Daten zu widersprechen. Anders als das ältere Do-Not-Track-Signal (DNT) hat GPC eine rechtliche Grundlage nach dem CCPA/CPRA und mehreren weiteren US-amerikanischen Datenschutzgesetzen auf Bundesstaatsebene. Aktiviert ein Nutzer GPC in seinem Browser, müssen Websites, die diesen Gesetzen unterliegen, dies als gültige Opt-out-Anfrage behandeln. GPC findet auch in Europa zunehmend Anerkennung, ist nach EU-Recht jedoch noch nicht rechtlich vorgeschrieben.
Google Consent Mode: Eine Funktion der Tag-Infrastruktur von Google, die das Verhalten von Google-Tags (Analytics, Ads usw.) auf Basis des von der CMP der Website kommunizierten Einwilligungsstatus anpasst. Consent Mode v2, der seit März 2024 für Werbepersonalisierung im EWR erforderlich ist, führt die Parameter ad_user_data und ad_personalization zusätzlich zu den bestehenden Parametern ad_storage und analytics_storage ein. Wird die Einwilligung verweigert, passen Google-Tags ihr Verhalten an, um keine Cookies zu setzen – je nach Konfiguration können sie jedoch weiterhin begrenzte, cookielose Pings senden.
I–L
IAB TCF (Interactive Advertising Bureau Transparency and Consent Framework): Ein von der Branche entwickeltes Rahmenwerk zur Verwaltung von Einwilligungen im digitalen Werbe-Ökosystem. Das TCF bietet CMPs, Werbetreibenden und Publishern eine standardisierte Möglichkeit, Einwilligungssignale entlang der Ad-Tech-Lieferkette zu kommunizieren. Version 2.2 ist der aktuelle Standard. Das TCF war rechtlichen Anfechtungen ausgesetzt, insbesondere durch die Entscheidung der belgischen Datenschutzbehörde von 2022, wonach die Verarbeitung des TC-Strings durch IAB Europe eine Verarbeitung personenbezogener Daten darstellt. Das Rahmenwerk ist weiterhin weit verbreitet, doch sein rechtlicher Status entwickelt sich fortlaufend weiter.
Berechtigtes Interesse (Legitimate Interest): Eine der sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten nach Artikel 6 Absatz 1 lit. f DSGVO. Das berechtigte Interesse erfordert eine Abwägung zwischen den Interessen des Verantwortlichen und den Rechten und Freiheiten der betroffenen Person. Bei Cookies ist die Nutzung des berechtigten Interesses als Rechtsgrundlage höchst umstritten. Die vorherrschende europäische aufsichtsrechtliche Auffassung ist, dass die Einwilligung (nicht das berechtigte Interesse) die angemessene Grundlage für nicht notwendige Cookies ist, weil die ePrivacy-Richtlinie für die Speicherung auf dem Gerät des Nutzers ausdrücklich eine Einwilligung verlangt.
O–P
Opt-in: Ein Einwilligungsmodell, bei dem eine Verarbeitung personenbezogener Daten (oder das Setzen von Cookies) nicht erfolgt, sofern der Nutzer nicht durch eine bestätigende Handlung sein Einverständnis gibt. Das EU-Cookie-Modell ist ein Opt-in-Modell: keine nicht notwendigen Cookies, bis der Nutzer einwilligt. Opt-in bietet einen stärkeren Datenschutz, erfordert jedoch einen Einwilligungsmechanismus, bevor jegliches Tracking beginnt.
Opt-out: Ein Einwilligungsmodell, bei dem eine Verarbeitung personenbezogener Daten (oder das Setzen von Cookies) standardmäßig erfolgt und der Nutzer aktiv werden muss, um sie zu unterbinden. Das US-Cookie-Modell (nach dem CCPA und ähnlichen Gesetzen auf Bundesstaatsebene) ist in der Regel ein Opt-out-Modell: Tracking findet statt, sofern der Nutzer nicht widerspricht. Opt-out legt die Handlungslast beim Nutzer statt beim Website-Betreiber.
Persistentes Cookie: Ein Cookie, das nach dem Schließen des Browsers für einen festgelegten Zeitraum auf dem Gerät des Nutzers verbleibt. Persistente Cookies dienen dazu, Präferenzen zu speichern, Login-Sitzungen über Besuche hinweg aufrechtzuerhalten und das Verhalten über die Zeit zu verfolgen. Sie haben ein festgelegtes Ablaufdatum und bleiben bestehen, bis dieses überschritten ist oder der Nutzer sie löscht. Die Laufzeit persistenter Cookies sollte in einem angemessenen Verhältnis zu ihrem Zweck stehen.
Personenbezogene Daten: Nach der DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören offensichtliche Kennungen (Name, E-Mail) ebenso wie weniger offensichtliche (IP-Adressen, Cookie-Kennungen, Geräte-Fingerprints). Erwägungsgrund 30 der DSGVO stellt ausdrücklich fest, dass Online-Kennungen wie Cookie-Kennungen personenbezogene Daten darstellen können. In der Praxis gelten nahezu alle Cookies, die einen Browser oder Nutzer eindeutig identifizieren, als personenbezogene Daten.
Vorherige Einwilligung (Prior Consent): Eine Einwilligung, die eingeholt wird, bevor die durch sie autorisierte Handlung stattfindet. Bei Cookies bedeutet vorherige Einwilligung, das Einverständnis des Nutzers einzuholen, bevor nicht notwendige Cookies auf seinem Gerät gesetzt werden. Dies ist eine grundlegende Anforderung von Artikel 5 Absatz 3 der ePrivacy-Richtlinie. Cookies zuerst zu setzen und die Einwilligung erst danach einzuholen oder Cookies bei verweigerter Einwilligung rückwirkend zu löschen, erfüllt das Erfordernis der vorherigen Einwilligung nicht.
S–T
Session-Cookie: Ein Cookie, das nur für die Dauer der Browser-Sitzung des Nutzers existiert und beim Schließen des Browsers gelöscht wird. Session-Cookies werden häufig verwendet, um den Login-Status, den Inhalt von Warenkörben und andere flüchtige Daten aufrechtzuerhalten. Viele Session-Cookies gelten als unbedingt erforderlich und sind daher von der Einwilligungspflicht ausgenommen – dies hängt jedoch von ihrem konkreten Zweck ab.
Unbedingt erforderliches Cookie: Ein Cookie, das für das Funktionieren der Website und für die Bereitstellung eines vom Nutzer ausdrücklich angeforderten Dienstes wesentlich ist. Unbedingt erforderliche Cookies sind nach Artikel 5 Absatz 3 der ePrivacy-Richtlinie von der Einwilligungspflicht ausgenommen. Beispiele sind Authentifizierungs-Cookies, Sicherheits-Cookies (CSRF-Token), Load-Balancing-Cookies und Cookies für Oberflächen-Präferenzen, die für den Dienst wesentlich sind. Analyse-Cookies, Werbe-Cookies und Social-Media-Cookies sind nicht unbedingt erforderlich, unabhängig davon, wie nützlich der Website-Betreiber sie erachtet.
Drittanbieter-Cookie: Ein Cookie, das von einer anderen Domain als der besuchten gesetzt wird. Wenn ein Nutzer beispielsweise example.com besucht und ein Cookie von facebook.com gesetzt wird (über ein in example.com eingebettetes Facebook-Pixel), ist das Facebook-Cookie ein Drittanbieter-Cookie. Drittanbieter-Cookies werden hauptsächlich für website-übergreifendes Tracking und zielgerichtete Werbung verwendet. Große Browser schränken Drittanbieter-Cookies ein oder eliminieren sie: Safari und Firefox blockieren sie bereits standardmäßig, und Chrome hat Pläne angekündigt, sie abzuschaffen (auch wenn sich der Zeitplan mehrfach verschoben hat).
Tracking-Pixel: Ein winziges, unsichtbares Bild (typischerweise 1x1 Pixel), das in eine Webseite oder E-Mail eingebettet ist und beim Laden an einen Server zurückmeldet. Obwohl technisch kein Cookie, ist ein Tracking-Pixel eine verwandte Tracking-Technologie, die häufig in Verbindung mit Cookies arbeitet, um das Nutzerverhalten zu verfolgen. Sie unterliegen nach der ePrivacy-Richtlinie denselben Einwilligungsanforderungen wie Cookies, da sie den Zugriff auf Informationen auf dem Gerät des Nutzers beinhalten (die HTTP-Anfrage überträgt die IP-Adresse des Nutzers, Browser-Informationen und alle zugehörigen Cookies).
Offizielle Ressourcen
EU-Gesetzgebung und Leitlinien
- Volltext der DSGVO — Verordnung (EU) 2016/679 auf EUR-Lex
- Volltext der ePrivacy-Richtlinie — Richtlinie 2002/58/EG auf EUR-Lex
- Änderung der ePrivacy-Richtlinie (2009) — Richtlinie 2009/136/EG
- EDSA-Leitlinien — Alle Leitlinien, einschließlich der Leitlinien 05/2020 zur Einwilligung
- Öffentliche Konsultationen des EDSA — einschließlich der Leitlinien zu Dark Patterns
Cookie-Leitlinien nationaler Datenschutzbehörden
- CNIL-Cookie-Leitlinien (Frankreich) — die detaillierteste nationale Cookie-Leitlinie, einschließlich der Kriterien für die Ausnahme zur Reichweitenmessung
- Garante-Cookie-Leitlinien (Italien) — umfassende Leitlinien von 2021 mit konkreten Banner-Anforderungen
- ICO-Cookie-Leitfaden (Vereinigtes Königreich) — detaillierte praktische Anleitung, trotz Brexit weiterhin hochrelevant für die EU-Compliance
- Datatilsynet (Dänemark) — Leitlinien und Entscheidungen der dänischen Datenschutzbehörde
- BfDI (Deutschland) — Bundesbeauftragter für den Datenschutz
Google Consent Mode
- Dokumentation zum Google Consent Mode — offizieller Implementierungsleitfaden
- Anforderungen des Google Consent Mode v2 — EWR-Anforderungen für Google Ads
- Einrichtung des Advanced Consent Mode — technische Implementierungsdetails
IAB Transparency and Consent Framework
- IAB Europe TCF-Übersicht — Dokumentation des Rahmenwerks und Anbieterliste
- TCF-2.2-Spezifikationen — technische Spezifikation für CMP-Implementierer
US-Datenschutzgesetze
- CCPA-Seite des kalifornischen Attorney General — offizielle CCPA/CPRA-Ressourcen
- California Privacy Protection Agency — CPRA-Verordnungen und Durchsetzung
- Global Privacy Control (GPC) — Spezifikation und Browser-Unterstützung
EuGH-Rechtsprechung
- Planet49 (Rechtssache C-673/17) — vorangekreuzte Kästchen stellen keine gültige Einwilligung dar
- IAB Europe TCF (Rechtssache C-604/22) — der TC-String stellt personenbezogene Daten dar
Weiterführende Literatur
- W3C Tracking Preference Expression (DNT) — Hintergrund zu Do Not Track und seinen Nachfolgetechnologien
- RFC 6265: HTTP State Management Mechanism — die technische Spezifikation für Cookies
- MDN: Verwendung von HTTP-Cookies — umfassende Referenz für Entwickler
- SameSite-Cookies erklärt — das SameSite-Attribut und seine Auswirkungen auf Drittanbieter-Cookies verstehen
- Google Privacy Sandbox — Googles Initiative, Drittanbieter-Cookies durch datenschutzfreundliche Alternativen zu ersetzen
Tools für die Cookie-Compliance
Die Aufrechterhaltung der Cookie-Compliance erfordert die richtigen Werkzeuge. Passiro bietet automatisiertes Cookie-Scanning, das Ihre gesamte Website mit einer echten Browser-Engine durchsucht, alle Cookies und Tracking-Technologien identifiziert, sie anhand einer kontinuierlich aktualisierten Datenbank kategorisiert und mit geplanten Scans und Warnmeldungen auf Änderungen überwacht. In Kombination mit der Consent-Management-Plattform von Passiro erhalten Sie einen vollständigen, stets aktuellen Überblick über den Stand der Cookie-Compliance Ihrer Website.
Erfahren Sie mehr über die Scan-Funktionen von Passiro oder führen Sie einen kostenlosen Scan Ihrer Website durch, um zu sehen, welche Cookies Ihre Website heute setzt.
Erfüllt Ihre Website die Cookie-Vorschriften?
Scannen Sie Ihre Website kostenlos und finden Sie alle Cookies in wenigen Minuten.
Cookies kostenlos scannen