Skip to main content

Cookie- und Datenschutzregelungen: Ein globaler Überblick

Cookie-Compliance wird nicht durch ein einziges Gesetz geregelt. Sie wird von einem Flickenteppich nationaler und regionaler Vorschriften geprägt, die sich in Geltungsbereich, Anforderungen und Durchsetzung erheblich unterscheiden. Für jede Website mit internationalem Publikum – und das ist im offenen Internet nahezu jede Website – ist es unerlässlich zu verstehen, welche Gesetze gelten und wie sie sich unterscheiden.

Dieser Leitfaden bildet die globale Regulierungslandschaft für Cookies und Online-Tracking ab – vom Consent-First-Modell der EU über den Notice-and-Choice-Ansatz der USA bis hin zu aufkommenden Regelwerken andernorts.

Der globale Flickenteppich

Es gibt kein einziges „Cookie-Gesetz". Vielmehr befindet sich Cookie-Compliance an der Schnittstelle von Datenschutzvorschriften, Richtlinien zur elektronischen Kommunikation und Verbraucherschutzgesetzen. Das Ergebnis ist eine komplexe, mitunter widersprüchliche Landschaft, in der ein und dieselbe Website je nach Standort ihrer Besucher unterschiedlichen Regeln unterliegen kann.

Zwei grundlegende Modelle haben sich herausgebildet:

  • Das EU-Modell (Consent-First): Nicht wesentliche Cookies dürfen erst gesetzt werden, nachdem der Nutzer eine informierte, spezifische und freiwillig erteilte Einwilligung gegeben hat. Der Standard ist kein Tracking. Der Nutzer muss aktiv zustimmen (Opt-in).
  • Das US-Modell (Notice-and-Choice): Unternehmen müssen ihre Datenerhebungspraktiken offenlegen und den Nutzern die Möglichkeit geben, bestimmten Verwendungen zu widersprechen (insbesondere dem Verkauf oder der Weitergabe personenbezogener Daten). Der Standard ist Tracking, wobei der Nutzer widersprechen kann (Opt-out).

Die meisten neuen Datenschutzvorschriften weltweit nähern sich dem EU-Modell an, wenn auch mit lokalen Abweichungen. Das Verständnis beider Modelle – und der spezifischen Gesetze innerhalb dieser – ist für jede grenzüberschreitend tätige Website notwendig.

Der EU-Rahmen: ePrivacy-Richtlinie + GDPR

Der Ansatz der Europäischen Union zur Cookie-Regulierung basiert auf zwei Rechtsinstrumenten, die zusammenwirken:

Die ePrivacy-Richtlinie (2002/58/EG)

Die ePrivacy-Richtlinie – oft als „Cookie-Richtlinie" bezeichnet – ist das zentrale EU-Gesetz, das die Verwendung von Cookies und ähnlichen Tracking-Technologien regelt. Ihre Kernbestimmung, Artikel 5 Absatz 3, lautet:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen seine Einwilligung gegeben hat.

Die einzige Ausnahme betrifft Cookies, die „unbedingt erforderlich" sind, um einen vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen – zum Beispiel Session-Cookies für einen Warenkorb oder den Login-Status.

Wichtig: Die ePrivacy-Richtlinie ist eine Richtlinie, keine Verordnung. Das bedeutet, jeder EU-Mitgliedstaat hat sie mit lokalen Abweichungen in nationales Recht umgesetzt. Das Grundprinzip (Einwilligung erforderlich für nicht wesentliche Cookies) ist einheitlich, doch die Umsetzungsdetails unterscheiden sich. Zum Beispiel:

  • Frankreich (CNIL): Hat detaillierte Cookie-Richtlinien herausgegeben, einschließlich einer begrenzten Ausnahme für bestimmte Reichweitenmessungs-Tools, die strenge Bedingungen erfüllen (Anonymisierung, kein seitenübergreifendes Tracking, begrenzte Speicherdauer).
  • Deutschland: Umgesetzt durch das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), das im Dezember 2021 in Kraft trat und die Einwilligungspflicht ausdrücklich kodifizierte.
  • Italien (Garante): Veröffentlichte 2021 detaillierte Cookie-Richtlinien, die einen Ablehnen-Button auf der ersten Ebene verlangen und Cookie-Walls untersagen.
  • Niederlande (AP): Hat eine etwas freizügigere Haltung gegenüber Cookie-Walls eingenommen und deutet an, dass diese zulässig sein können, wenn der Nutzer eine echte alternative Möglichkeit hat, auf die Inhalte zuzugreifen.

Die GDPR (Verordnung (EU) 2016/679)

Die Datenschutz-Grundverordnung erwähnt Cookies nicht ausdrücklich, regelt jedoch die Verarbeitung personenbezogener Daten – und Cookies betreffen häufig personenbezogene Daten. Die GDPR ist in mehrfacher Hinsicht für die Cookie-Compliance relevant:

  • Einwilligungsstandard (Artikel 4 Absatz 11, Artikel 7): Die GDPR definiert, was eine gültige Einwilligung ausmacht: freiwillig, spezifisch, informiert, unmissverständlich und durch eine eindeutige bestätigende Handlung erteilt. Dieser Standard gilt für die Cookie-Einwilligung, die im Rahmen der ePrivacy-Richtlinie eingeholt wird.
  • Transparenz (Artikel 12–14): Wenn Cookies personenbezogene Daten verarbeiten, gelten die Transparenzanforderungen der GDPR. Das bedeutet, Ihre Cookie-Richtlinie muss spezifische Informationen über die damit verbundene Datenverarbeitung bereitstellen.
  • Rechtsgrundlage (Artikel 6): Die Verarbeitung personenbezogener Daten durch Cookies erfordert eine Rechtsgrundlage. Für nicht wesentliche Cookies ist diese Grundlage die Einwilligung. Manche Verantwortliche versuchen, sich auf das berechtigte Interesse (Artikel 6 Absatz 1 Buchstabe f) zu stützen, doch Datenschutzbehörden haben das berechtigte Interesse als Grundlage für Werbe- und Analyse-Tracking zunehmend abgelehnt.
  • Betroffenenrechte (Artikel 15–22): Nutzer haben das Recht auf Auskunft, Berichtigung, Löschung und Übertragbarkeit ihrer Daten – einschließlich der über Cookies erhobenen Daten.
  • Extraterritoriale Reichweite (Artikel 3): Die GDPR gilt für jede Organisation, die personenbezogene Daten von Personen in der EU verarbeitet, unabhängig davon, wo die Organisation niedergelassen ist. Ein US-Unternehmen, das sich an EU-Kunden richtet, muss die Vorschriften einhalten.

Die kommende ePrivacy-Verordnung

Die Europäische Kommission hat 2017 eine ePrivacy-Verordnung vorgeschlagen, um die ePrivacy-Richtlinie zu ersetzen, die Regeln über die Mitgliedstaaten hinweg zu harmonisieren und sie an moderne Technologien anzupassen. Stand Anfang 2026 ist die Verordnung noch nicht verabschiedet. Die Verhandlungen zogen sich in die Länge, mit Meinungsverschiedenheiten über Ausnahmen für berechtigte Interessen, Bestimmungen zu Cookie-Walls und Einwilligungsmechanismen auf Browserebene.

Sobald sie schließlich verabschiedet ist, wird die ePrivacy-Verordnung unmittelbar in allen Mitgliedstaaten gelten (anders als die aktuelle Richtlinie, die eine nationale Umsetzung erfordert). Bis dahin bleiben die bestehende ePrivacy-Richtlinie und ihre nationalen Umsetzungen das maßgebliche Recht.

Der US-Rahmen: Datenschutzgesetze auf Bundesstaatsebene

Die Vereinigten Staaten haben kein bundesweites Cookie-Gesetz und (Stand Anfang 2026) kein umfassendes bundesweites Datenschutzgesetz. Stattdessen ist die Datenschutzregulierung auf Ebene der Bundesstaaten entstanden, wodurch ein Flickenteppich an Anforderungen entsteht.

Kalifornien: CCPA und CPRA

Der California Consumer Privacy Act (CCPA), geändert durch den California Privacy Rights Act (CPRA), ist das umfassendste US-Datenschutzgesetz auf Bundesstaatsebene. Wichtige cookie-relevante Bestimmungen:

  • Recht auf Widerspruch gegen Verkauf/Weitergabe. Verbraucher haben das Recht, dem „Verkauf" oder der „Weitergabe" ihrer personenbezogenen Daten zu widersprechen. Nach dem CPRA umfasst „Weitergabe" die Übermittlung von Daten an Dritte für kontextübergreifende verhaltensbasierte Werbung – genau das, was die meisten Werbe-Cookies tun.
  • Keine vorherige Einwilligung erforderlich. Anders als das EU-Modell verlangt der CCPA/CPRA keine vorherige Einwilligung für Cookies. Der Standard ist, dass Tracking erlaubt ist, und Nutzer müssen aktiv widersprechen.
  • „Do Not Sell or Share"-Link. Unternehmen müssen einen gut sichtbaren Link „Do Not Sell or Share My Personal Information" auf ihrer Website bereitstellen.
  • Global Privacy Control (GPC). Unternehmen müssen das GPC-Browsersignal als gültige Widerspruchsanfrage berücksichtigen. Wenn der Browser eines Nutzers ein GPC-Signal sendet, muss das Unternehmen dies so behandeln, als hätte der Nutzer auf „Do Not Sell or Share" geklickt.
  • Hinweis bei der Erhebung. Unternehmen müssen zum Zeitpunkt der Erhebung oder davor die Kategorien der erhobenen personenbezogenen Daten und die Zwecke, für die sie verwendet werden, offenlegen.

Weitere US-Bundesstaatsgesetze

Dem Vorbild Kaliforniens folgend haben zahlreiche US-Bundesstaaten umfassende Datenschutzgesetze erlassen. Stand Anfang 2026 zählen zu den Bundesstaaten mit geltenden Datenschutzgesetzen:

Bundesstaat Gesetz Inkrafttreten Cookie-relevante Merkmale
Virginia VCDPA Januar 2023 Widerspruch gegen zielgerichtete Werbung, Datenverkauf
Colorado CPA Juli 2023 Widerspruch gegen zielgerichtete Werbung, Datenverkauf; universelle Opt-out-Signale müssen berücksichtigt werden
Connecticut CTDPA Juli 2023 Widerspruch gegen zielgerichtete Werbung, Datenverkauf; universelle Opt-out-Signale müssen berücksichtigt werden
Utah UCPA Dezember 2023 Widerspruch gegen zielgerichtete Werbung, Datenverkauf
Texas TDPSA Juli 2024 Widerspruch gegen zielgerichtete Werbung, Datenverkauf; universelle Opt-out-Signale müssen berücksichtigt werden
Oregon OCPA Juli 2024 Widerspruch gegen zielgerichtete Werbung, Datenverkauf; universelle Opt-out-Signale müssen berücksichtigt werden
Montana MCDPA Oktober 2024 Widerspruch gegen zielgerichtete Werbung, Datenverkauf; universelle Opt-out-Signale müssen berücksichtigt werden

Weitere Bundesstaaten haben Gesetze mit Inkrafttreten in den Jahren 2025 und 2026 erlassen. Der Trend ist eindeutig: Die Datenschutzregulierung auf Bundesstaatsebene weitet sich aus, und die meisten neuen Gesetze enthalten Widerspruchsrechte für zielgerichtete Werbung, die sich unmittelbar auf Cookie-Praktiken auswirken.

Weitere bemerkenswerte Vorschriften

Vereinigtes Königreich: UK GDPR und PECR

Nach dem Brexit hat das Vereinigte Königreich die GDPR als „UK GDPR" beibehalten und setzt weiterhin die Privacy and Electronic Communications Regulations (PECR) durch, welche die ePrivacy-Richtlinie umsetzen. Die Anforderungen an Cookies sind im Wesentlichen identisch mit denen der EU: Für nicht wesentliche Cookies ist eine vorherige Einwilligung erforderlich, mit einer eng gefassten Ausnahme für unbedingt erforderliche Cookies. Das Information Commissioner's Office (ICO) setzt diese Regeln durch und hat detaillierte Cookie-Leitlinien veröffentlicht.

Brasilien: LGPD

Brasiliens Lei Geral de Proteção de Dados (LGPD), seit 2020 in Kraft, ist stark von der GDPR inspiriert. Sie verlangt eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten, einschließlich der über Cookies erhobenen Daten. Zwar hat die LGPD kein direktes Äquivalent zur cookiespezifischen Bestimmung der ePrivacy-Richtlinie, doch muss für die cookiebasierte Datenverarbeitung eine Einwilligung oder ein berechtigtes Interesse begründet werden. Die ANPD (nationale Datenschutzbehörde) gibt schrittweise Leitlinien zu Cookies und Einwilligung heraus.

Kanada: PIPEDA und Bill C-27

Kanadas Personal Information Protection and Electronic Documents Act (PIPEDA) verlangt eine „aussagekräftige Einwilligung" für die Erhebung, Nutzung und Weitergabe personenbezogener Daten. Bei Cookies, die personenbezogene Daten erheben, müssen Organisationen eine Einwilligung einholen und klare Informationen über ihre Praktiken bereitstellen. Bill C-27, der vorgeschlagene Consumer Privacy Protection Act, würde Kanadas Rahmen mit strengeren Einwilligungsanforderungen modernisieren, doch dessen Verabschiedung hat sich verzögert.

Japan: APPI

Japans Act on the Protection of Personal Information (APPI), 2022 geändert, führte den Begriff der „personenbezogen zuordenbaren Informationen" ein, der in bestimmten Kontexten Cookie-Identifikatoren umfassen kann. Wenn Cookie-Daten mit anderen Informationen kombiniert werden, um eine Person zu identifizieren, gelten Einwilligungsanforderungen.

Südkorea: PIPA

Südkoreas Personal Information Protection Act (PIPA), 2023 geändert, verlangt eine Einwilligung für die Erhebung und Nutzung personenbezogener Daten, was Cookie-Daten einschließen kann, wenn diese eine Person identifizieren oder identifizieren können.

Konvergenztrend

Trotz des aktuellen Flickenteppichs zeichnet sich ein klarer Trend ab: Die meisten neuen Datenschutzgesetze folgen dem EU-Modell einer auf Einwilligung basierenden, den Nutzer stärkenden Regulierung. Selbst US-Bundesstaatsgesetze, die technisch auf Opt-out statt Opt-in beruhen, bewegen sich hin zu strengeren Anforderungen mit universellen Opt-out-Signalen (GPC), Datenminimierungsgrundsätzen und erweiterten Definitionen von „personenbezogenen Daten", die auch Cookie-Identifikatoren erfassen.

Praktisch bedeutet diese Konvergenz, dass Websites, die eine Cookie-Compliance auf EU-Niveau umsetzen (vorherige Einwilligung, klares Annehmen/Ablehnen, granulare Kategorien, transparente Richtlinien), für die Einhaltung der meisten anderen Rechtsordnungen gut aufgestellt sind. Der EU-Standard ist der höchste gemeinsame Nenner.

Risikobewertung: Welche Gesetze gelten für Ihre Website?

Die zentrale Frage für jeden Website-Betreiber lautet: Welche Gesetze gelten für mich? Die Antwort hängt von zwei Faktoren ab:

  1. Wo Ihre Organisation niedergelassen ist. Sie unterliegen den Datenschutzgesetzen der Rechtsordnungen, in denen Ihre Organisation eine Niederlassung hat (Büro, Tochtergesellschaft, Zweigstelle).
  2. Wo sich Ihre Nutzer befinden. Aufgrund der extraterritorialen Reichweite der GDPR (Artikel 3 Absatz 2) unterliegen Sie dem EU-Datenschutzrecht, wenn Sie Personen in der EU Waren oder Dienstleistungen anbieten oder das Verhalten von Personen in der EU beobachten. Ähnliche extraterritoriale Bestimmungen bestehen in der UK GDPR, der brasilianischen LGPD und anderen Gesetzen.

In der Praxis gilt: Wenn Ihre Website für Nutzer in der EU zugänglich ist – und Sie EU-Traffic haben, was auf praktisch alle Websites zutrifft –, sollten Sie die ePrivacy-Richtlinie und die GDPR einhalten. Wenn Sie US-Traffic haben, sollten Sie den CCPA/CPRA (Kalifornien) und andere anwendbare Bundesstaatsgesetze berücksichtigen.

Ein pragmatischer Ansatz:

  • Implementieren Sie eine Einwilligung nach EU-Standard für alle Besucher aus der EU/dem EWR/dem Vereinigten Königreich (vorheriges Opt-in für nicht wesentliche Cookies).
  • Implementieren Sie Opt-out-Mechanismen für US-Besucher (Do-Not-Sell/Share-Link, GPC-Unterstützung).
  • Wählen Sie standardmäßig den höheren Standard, wenn eine geografische Erkennung nicht praktikabel ist. Eine Einwilligung auf EU-Niveau erfüllt praktisch alle Rechtsordnungen.

Extraterritoriale Reichweite

Einer der bedeutsamsten Aspekte moderner Datenschutzregulierung ist ihre extraterritoriale Reichweite. Die GDPR (Artikel 3 Absatz 2) gilt für Organisationen außerhalb der EU, die:

  • Personen in der EU Waren oder Dienstleistungen anbieten (auch kostenlos – eine in der EU zugängliche Website, die sich an EU-Nutzer richtet, fällt darunter), oder
  • das Verhalten von Personen in der EU beobachten (Analyse- und Werbe-Tracking stellen eine Beobachtung dar).

Das bedeutet, dass ein US-Unternehmen, das Google Analytics auf einer Website betreibt, die EU-Traffic erhält, technisch gesehen der GDPR und den Cookie-Anforderungen der ePrivacy-Richtlinie unterliegt. Die Durchsetzung gegenüber Nicht-EU-Organisationen war historisch begrenzt, nimmt jedoch zu, insbesondere bei großen Unternehmen. Das praktische Risiko für kleinere Organisationen hängt von der Sichtbarkeit und dem Beschwerdeaufkommen ab, doch die rechtliche Verpflichtung besteht unabhängig von der Größe.

Durchsetzungslandschaft

Die Durchsetzung der Cookie-Compliance hat sich seit 2020 dramatisch verstärkt. Wichtige Trends:

Wer durchsetzt

In der EU setzen die nationalen Datenschutzbehörden (DSB) sowohl die ePrivacy-Richtlinie als auch die GDPR durch. Zu den bemerkenswert aktiven Durchsetzungsbehörden zählen die CNIL (Frankreich), der Garante (Italien), das Datatilsynet (Dänemark und Norwegen), der BfDI (Deutschland auf Bundesebene) und die APD (Belgien). Der EDPB koordiniert die grenzüberschreitende Durchsetzung.

In den USA setzen der Attorney General von Kalifornien und die California Privacy Protection Agency den CCPA/CPRA durch. Andere Bundesstaatsgesetze werden von den Attorneys General der jeweiligen Bundesstaaten durchgesetzt.

Wie sie durchsetzen

  • Beschwerdegesteuerte Untersuchungen. Die meisten Durchsetzungsmaßnahmen beginnen mit einer Nutzerbeschwerde bei einer DSB. Die Beschwerde löst eine Untersuchung der Cookie-Praktiken der Website aus.
  • Sweep-Untersuchungen. DSB führen regelmäßig branchenweite Sweeps durch und prüfen Hunderte von Websites auf Cookie-Compliance. Die CNIL, der italienische Garante und das dänische Datatilsynet haben allesamt publizierte Sweeps durchgeführt.
  • NGO-Beschwerden. Datenschutzorganisationen wie noyb (geführt von Max Schrems) haben Massenbeschwerden gegen Hunderte von Websites eingereicht und damit ein erhebliches Durchsetzungsaufkommen geschaffen. Allein die Cookie-Banner-Beschwerden von noyb haben zu Dutzenden von Durchsetzungsmaßnahmen in der gesamten EU geführt.

Bußgelder

GDPR-Bußgelder für Cookie-Verstöße können bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. In der Praxis reichten Bußgelder für Cookie-Verstöße von Verwarnungen (bei kleinen Organisationen mit geringfügigen Verstößen) bis zu 150 Millionen EUR (Google, CNIL, 2022). Der Trend geht zu höheren Bußgeldern und häufigerer Durchsetzung.

Über Bußgelder hinaus birgt Nichteinhaltung ein Reputationsrisiko, Schäden für das Verbrauchervertrauen und die operativen Kosten einer Notfallbehebung unter einer behördlichen Anordnung.

Passiro hilft Ihnen, sich in dieser regulatorischen Komplexität zurechtzufinden – mit automatisierter Compliance, die sich an die für Ihre Besucher geltenden Gesetze anpasst. Erfahren Sie, wie Passiro die Cookie-Compliance über Rechtsordnungen hinweg vereinfacht.

Erfüllt Ihre Website die Cookie-Vorschriften?

Scannen Sie Ihre Website kostenlos und finden Sie alle Cookies in wenigen Minuten.

Cookies kostenlos scannen