Wann ist eine Cookie-Einwilligung erforderlich?
Die allgemeine Regel ist einfach: Für alle Cookies mit Ausnahme der unbedingt erforderlichen ist eine Einwilligung nötig. Doch es kommt auf die Details an. Wer genau weiß, wann eine Einwilligung erforderlich ist und wann nicht, vermeidet sowohl Übererfüllung (Nutzer mit unnötigen Einwilligungsabfragen zu verärgern) als auch Untererfüllung (Cookies ohne Rechtsgrundlage zu setzen).
Die allgemeine Regel
Artikel 5 Absatz 3 der ePrivacy-Richtlinie legt die Grundlage fest:
Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen [...] über die Zwecke der Verarbeitung seine Einwilligung gegeben hat.
Dies umfasst alle Cookies, sämtlichen lokalen Speicher und jede Speicherung oder jeden Zugriff auf Geräteebene. Sobald Ihre Website irgendetwas auf dem Gerät des Nutzers speichert, ist eine Einwilligung die grundsätzliche Voraussetzung.
Die Ausnahme für unbedingt erforderliche Cookies
Derselbe Artikel sieht die einzige Ausnahme vor:
Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Diese Ausnahme umfasst zwei Bestandteile:
- Technische Übertragung: Cookies, die für den Ablauf der Kommunikation technisch erforderlich sind. Dieser Bereich ist eng gefasst – im Wesentlichen beschränkt auf Load-Balancing-Cookies und ähnliche Notwendigkeiten auf Netzwerkebene.
- Unbedingt erforderlich für den Dienst: Cookies, die für einen Dienst unverzichtbar sind, den der Nutzer ausdrücklich angefordert hat. Der entscheidende Ausdruck lautet „vom Teilnehmer oder Nutzer ausdrücklich gewünscht". Der Dienst muss etwas sein, das der Nutzer angefordert hat, und das Cookie muss für dessen Bereitstellung unverzichtbar sein.
Cookies, die unbedingt erforderlich sind (keine Einwilligung nötig)
- Sitzungsbezogene Authentifizierungs-Cookies. Wenn sich ein Nutzer anmeldet, ist das Sitzungscookie, das seinen authentifizierten Status aufrechterhält, unbedingt erforderlich für den angeforderten Dienst (Zugriff auf sein Konto).
- Warenkorb-Cookies. Auf einer E-Commerce-Website ist das Cookie, das die im Warenkorb enthaltenen Artikel speichert, für den vom Nutzer genutzten Shopping-Dienst unbedingt erforderlich.
- CSRF-Schutz-Token. Diese sind für den sicheren Ablauf von Formularübermittlungen unbedingt erforderlich.
- Cookies für Einwilligungspräferenzen. Das Cookie, das die Einwilligungsentscheidungen des Nutzers speichert, ist unbedingt erforderlich – ohne es können Sie dessen Datenschutzpräferenzen nicht berücksichtigen.
- Eingabebezogene Cookies. Cookies, die Formulareingaben über einen mehrstufigen Prozess hinweg speichern (etwa ein Checkout-Formular), sofern der Nutzer den Vorgang initiiert hat.
- Load-Balancing-Cookies. Technische Cookies, die Anfragen an den richtigen Server weiterleiten. Diese fallen unter den Bestandteil „Übertragung" der Ausnahme.
- Cookies zur Anpassung der Benutzeroberfläche. Wenn ein Nutzer über ein Bedienelement auf der Seite ausdrücklich eine Sprache oder ein Design auswählt, ist das Cookie, das diese Entscheidung speichert, für den angeforderten Dienst unbedingt erforderlich. Dies ist jedoch kontextabhängig – siehe unten.
Cookies, die NICHT unbedingt erforderlich sind (Einwilligung nötig)
- Analyse-Cookies. Die Messung des Website-Traffics kommt dem Website-Betreiber zugute, nicht dem Nutzer. Der Nutzer hat keinen Traffic-Analysedienst angefordert.
- Werbe- und Retargeting-Cookies. Diese dienen den Interessen von Werbetreibenden und dem Website-Betreiber, niemals dem Nutzer.
- Social-Media-Sharing-Cookies. Diese werden von sozialen Netzwerken Dritter gesetzt, nicht für einen vom Nutzer angeforderten Dienst.
- A/B-Test-Cookies. Diese dienen den Optimierungszielen des Betreibers.
- Affiliate-Tracking-Cookies. Diese erfassen, welcher Partner den Nutzer vermittelt hat, und dienen den Geschäftsinteressen des Betreibers.
- Dauerhafte Login-Cookies („Angemeldet bleiben"). Der EDSA hat festgestellt, dass zwar ein Sitzungscookie für eine aktuelle Anmeldung erforderlich ist, ein dauerhaftes Cookie jedoch, das den Nutzer über Sitzungen hinweg angemeldet hält, über das unbedingt Erforderliche hinausgeht. Der Nutzer könnte sich erneut anmelden.
- Cookies zur Leistungsüberwachung. Cookies zur Überwachung von Ladezeiten, Fehlerraten und ähnlichen technischen Kennzahlen dienen dem Betreiber, nicht dem Nutzer.
Die Debatte um First-Party-Analyse
Einer der umstrittensten Bereiche der Cookie-Compliance ist die Frage, ob First-Party-Analyse-Cookies ohne Einwilligung eingesetzt werden dürfen. Die Antwort hängt vom Rechtsraum ab und befindet sich im Wandel.
Die Position der CNIL (Frankreich)
Die französische CNIL hat eine spezifische Leitlinie herausgegeben, wonach bestimmte Cookies zur Reichweitenmessung von der Einwilligung ausgenommen sein können, sofern:
- der Zweck strikt auf die Reichweitenmessung beschränkt ist (kein seitenübergreifendes Tracking)
- die Daten nicht an Dritte weitergegeben werden
- es sich ausschließlich um First-Party-Cookies handelt
- die Daten nur zur Erstellung anonymer Statistiken verwendet werden
- die Cookies eine begrenzte Lebensdauer haben (maximal 13 Monate)
- die Nutzer über ihre Verwendung informiert werden
- die Nutzer widersprechen können
Unter diesen Bedingungen betrachtet die CNIL bestimmte Tools (etwa Matomo in einem datenschutzfreundlich konfigurierten Modus) als für die Ausnahme in Frage kommend. Google Analytics erfüllt die Voraussetzungen nicht, hauptsächlich weil Google die Daten auf seiner eigenen Infrastruktur verarbeitet und sie möglicherweise für eigene Zwecke nutzt.
Die Position der niederländischen AP (Niederlande)
Die niederländische Autoriteit Persoonsgegevens hat in ähnlicher Weise angedeutet, dass Analyse-Cookies mit minimalen Auswirkungen auf den Datenschutz ohne Einwilligung verwendet werden dürfen, hat dabei jedoch Bedingungen aufgestellt, die mit denen der CNIL vergleichbar sind.
Andere Rechtsräume
Die meisten übrigen europäischen Datenschutzbehörden haben keine ausdrückliche Ausnahme für Analyse-Cookies übernommen. Die ICO (Vereinigtes Königreich) hat erklärt, dass Analyse-Cookies eine Einwilligung erfordern. Die deutschen Datenschutzbehörden verlangen grundsätzlich eine Einwilligung für alle nicht essenziellen Cookies. Die Position der spanischen AEPD deckt sich mit dem Erfordernis einer Einwilligung.
Praktische Empfehlung
Sofern Sie nicht ausschließlich in Frankreich oder den Niederlanden tätig sind und sämtliche Bedingungen der CNIL bzw. AP erfüllen können, ist es am sichersten, Analyse-Cookies als einwilligungspflichtig zu behandeln. Wenn Sie sich dennoch auf die Analyse-Ausnahme stützen, dokumentieren Sie Ihre Begründung, stellen Sie sicher, dass Sie jede Bedingung erfüllen, und beobachten Sie die regulatorischen Entwicklungen – dieser Bereich befindet sich noch im Wandel.
Einwilligungsausnahmen nach Cookie-Zweck: Ein Entscheidungsdiagramm
Gehen Sie für jedes Cookie auf Ihrer Website diese Fragen durch:
- Ist das Cookie technisch erforderlich, damit die Kommunikation übertragen werden kann? (z. B. Load Balancing) Falls ja: keine Einwilligung nötig. Falls nein: weiter.
- Hat der Nutzer ausdrücklich einen Dienst angefordert, für den dieses Cookie erforderlich ist? (z. B. Anmeldung, Hinzufügen von Artikeln zum Warenkorb) Falls ja: weiter. Falls nein: Einwilligung erforderlich.
- Würde der angeforderte Dienst ohne dieses spezifische Cookie nicht funktionieren? Falls ja: keine Einwilligung nötig (unbedingt erforderlich). Falls der Dienst zwar funktionieren, aber weniger komfortabel sein würde: Einwilligung erforderlich.
- Handelt es sich um ein First-Party-Cookie, das auf aggregierte Analysen beschränkt ist, bei dem die Daten nicht an Dritte weitergegeben werden, und befinden Sie sich in einem Rechtsraum mit einer Analyse-Ausnahme? Falls überall ja: möglicherweise ausgenommen, aber dokumentieren Sie Ihre Begründung. Falls irgendwo nein: Einwilligung erforderlich.
- In allen übrigen Fällen: Einwilligung erforderlich.
Besondere Situationen
Cookie-Walls
Eine Cookie-Wall blockiert den Zugriff auf eine Website, sofern der Nutzer Cookies nicht akzeptiert. Nach Auffassung des EDSA verhindern Cookie-Walls in der Regel, dass eine Einwilligung „freiwillig" erteilt wird, und sind daher nicht rechtskonform. Einige Datenschutzbehörden (insbesondere die niederländische AP im Anschluss an ein Gerichtsurteil) haben jedoch angedeutet, dass Cookie-Walls zulässig sein können, wenn eine echte, gleichwertige Alternative angeboten wird – etwa eine kostenpflichtige, cookiefreie Version des Dienstes. Dies bleibt ein umstrittener Bereich.
Paywall vs. Cookie-Wall
Manche Verlage bieten ein „Einwilligen oder bezahlen"-Modell an: Tracking-Cookies akzeptieren für kostenlosen Zugang oder für ein cookiefreies Erlebnis bezahlen. Der EDSA veröffentlichte 2024 eine Stellungnahme zu dieser Praxis, in der er einräumte, dass sie unter bestimmten Bedingungen zulässig sein kann, zugleich aber die Sorge äußerte, dass die „Bezahl"-Alternative wirklich angemessen sein muss und nicht zu einem Preis angeboten werden darf, der darauf abzielt, die Einwilligung zu erzwingen.
Kinder
Nach Artikel 8 DSGVO erfordert die Einwilligung für an Kinder gerichtete Dienste der Informationsgesellschaft eine Verifizierung und – bei Kindern unter einem bestimmten Alter (je nach Mitgliedstaat zwischen 13 und 16 Jahren) – die Einwilligung der Eltern. Wenn sich Ihre Website an Kinder richtet, gelten strengere Anforderungen an die Cookie-Einwilligung.
Beschäftigten- und B2B-Kontexte
Die ePrivacy-Richtlinie gilt für „Teilnehmer oder Nutzer" – nicht nur für Verbraucher. Wenn Ihre B2B-SaaS-Plattform nicht essenzielle Cookies verwendet, ist auch hier eine Einwilligung des einzelnen Nutzers erforderlich, selbst in einem geschäftlichen Kontext.
Was ohne gültige Einwilligung geschieht
Wenn Sie nicht essenzielle Cookies ohne gültige Einwilligung setzen:
- Die von Ihnen erhobenen Daten können sowohl nach der ePrivacy-Richtlinie als auch nach der DSGVO rechtswidrig sein.
- Ihnen drohen Bußgelder nach der DSGVO von bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (Artikel 83 Absatz 5).
- Es kann angeordnet werden, dass Sie die rechtswidrig erhobenen Daten löschen.
- Ihre Analyse- und Werbedaten können beeinträchtigt sein – ist die Rechtsgrundlage der Erhebung ungültig, dürfen die Daten nicht rechtmäßig genutzt werden.
- Nachgelagerte Empfänger dieser Daten (Werbenetzwerke, Analyseanbieter) können ebenfalls haftbar sein.
Dies sind keine hypothetischen Risiken. Die CNIL verhängte gegen Google ein Bußgeld von 150 Millionen EUR und gegen Facebook von 60 Millionen EUR, ausdrücklich wegen Verstößen gegen die Cookie-Einwilligung. Kleinere Unternehmen sahen sich für vergleichbare Versäumnisse Bußgeldern im Bereich von mehreren zehntausend Euro gegenüber.
Passiro identifiziert jedes Cookie auf Ihrer Website und markiert diejenigen, die eine Einwilligung erfordern, sodass Sie sicher sein können, dass Ihr Einwilligungsmechanismus die richtigen Cookies erfasst – nicht mehr und nicht weniger.
Als Nächstes vergleichen wir die beiden grundlegenden Einwilligungsmodelle: Opt-in versus Opt-out, und welches wo zur Anwendung kommt.
Erfüllt Ihre Website die Cookie-Vorschriften?
Scannen Sie Ihre Website kostenlos und finden Sie alle Cookies in wenigen Minuten.
Cookies kostenlos scannen