Wie man eine Cookie-Richtlinie schreibt: Schritt-für-Schritt-Anleitung
Eine Cookie-Richtlinie ist nur so gut wie ihre Genauigkeit und Verständlichkeit. Diese Anleitung führt Sie durch den Prozess der Erstellung einer Cookie-Richtlinie, die die rechtlichen Anforderungen erfüllt, Ihren Nutzern dient und dauerhaft aktuell bleibt. Folgen Sie diesen neun Schritten, um eine Richtlinie zu erstellen, die umfassend, transparent und pflegeleicht ist.
Schritt 1: Führen Sie ein Cookie-Audit durch
Bevor Sie über Ihre Cookies schreiben können, müssen Sie genau wissen, welche Cookies Ihre Website setzt. Dies ist die Grundlage Ihrer gesamten Richtlinie – und der Schritt, den die meisten Organisationen falsch machen.
Ein gründliches Cookie-Audit umfasst:
- Das Scannen jeder Seite. Cookies können sich von Seite zu Seite unterscheiden. Ihre Startseite setzt möglicherweise andere Cookies als Ihre Checkout-Seite, Ihr Blog oder Ihre Kontoseiten. Ein vollständiges Audit muss alle Seitentypen abdecken.
- Das Erfassen von Erst- und Drittanbieter-Cookies. Erstanbieter-Cookies werden von Ihrer eigenen Domain gesetzt. Drittanbieter-Cookies werden von externen Diensten gesetzt – Analyseplattformen, Werbenetzwerken, Social-Media-Widgets, eingebetteten Videos, Chat-Widgets, Zahlungsdienstleistern und mehr.
- Das Identifizieren von Nicht-Cookie-Speicher. Moderne Websites nutzen auch localStorage, sessionStorage, IndexedDB und Pixel-Tags. Eine umfassende Richtlinie deckt alle clientseitigen Speichermechanismen ab, nicht nur HTTP-Cookies.
- Das Testen mit und ohne Einwilligung. Einige Cookies werden unabhängig von der Einwilligung gesetzt (unbedingt erforderliche Cookies). Andere sollten erst nach erteilter Einwilligung erscheinen. Ihr Audit sollte überprüfen, dass nicht essenzielle Cookies tatsächlich blockiert werden, bis die Einwilligung erteilt wurde.
Manuelle Audits sind unzuverlässig. Das manuelle Öffnen der Browser-Entwicklertools auf einigen wenigen Seiten übersieht Cookies, die von asynchron ladenden Drittanbieter-Skripten gesetzt werden, Cookies, die nur bei bestimmten Nutzeraktionen gesetzt werden, und Cookies, die erst bei späteren Besuchen erscheinen. Nutzen Sie automatisierte Scan-Tools für ein vollständiges Bild.
Der automatisierte Cookie-Scanner von Passiro durchsucht Ihre gesamte Website, identifiziert jedes Cookie und jeden Speichermechanismus und liefert einen kategorisierten Bericht – der ideale Ausgangspunkt für Ihre Richtlinie.
Schritt 2: Kategorisieren Sie jedes Cookie
Sobald Sie eine vollständige Liste der Cookies haben, ordnen Sie sie in Standardkategorien ein. Die am weitesten verbreitete Kategorisierung, die vom IAB Transparency and Consent Framework verwendet und von den meisten Datenschutzbehörden empfohlen wird, ist:
Unbedingt erforderlich
Cookies, ohne die die Website nicht funktionieren kann. Beispiele: Session-Cookies für den Anmeldestatus, Warenkorb-Cookies, CSRF-Schutz-Tokens, Load-Balancer-Cookies, Cookies für Einwilligungspräferenzen. Diese sind gemäß Artikel 5 Absatz 3 der ePrivacy-Richtlinie von der Einwilligungspflicht ausgenommen, müssen aber dennoch in Ihrer Richtlinie offengelegt werden.
Präferenzen / Funktional
Cookies, die erweiterte Funktionen und Personalisierung ermöglichen. Beispiele: Sprachauswahl, Regions-/Währungspräferenz, Schriftgrößeneinstellungen, kürzlich angesehene Artikel. Diese sind nicht unbedingt erforderlich – die Website würde auch ohne sie funktionieren – verbessern aber das Nutzererlebnis. Sie erfordern eine Einwilligung.
Analyse / Statistik
Cookies, die Daten darüber sammeln, wie Besucher mit der Website interagieren. Beispiele: Google-Analytics-Cookies (_ga, _gid), Hotjar-Session-Cookies, Plausible Analytics. Diese erfordern in den meisten EU-Rechtsräumen eine Einwilligung, obwohl einige Datenschutzbehörden (insbesondere die französische CNIL) begrenzte Ausnahmen für Reichweitenmessungstools geschaffen haben, die strenge Bedingungen erfüllen.
Marketing / Werbung
Cookies, die für zielgerichtete Werbung, Retargeting und die Messung der Werbeleistung verwendet werden. Beispiele: Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, Cookies von Werbenetzwerken. Diese erfordern immer eine Einwilligung und sind die am stärksten überprüfte Kategorie.
Weisen Sie jedem Cookie eine Kategorie zu und überprüfen Sie, dass die Kategorisierung korrekt ist. Ein häufiger Fehler besteht darin, Analyse- oder Marketing-Cookies als „funktional“ einzustufen, um die Einwilligungspflicht zu umgehen – dies ist nicht rechtskonform und wird von Aufsichtsbehörden leicht erkannt.
Schritt 3: Verfassen Sie die Einleitung
Ihre Cookie-Richtlinie sollte mit einer kurzen Einleitung beginnen, die Folgendes abdeckt:
- Wer Sie sind. Die juristische Person, die die Website betreibt (Firmenname, eingetragene Adresse).
- Was dieses Dokument abdeckt. „Diese Cookie-Richtlinie erläutert, wie [Firmenname] Cookies und ähnliche Technologien auf [Website-URL] verwendet.“
- Wann es zuletzt aktualisiert wurde. Nennen Sie ein gut sichtbares Datum.
- Wie man Sie kontaktieren kann. Geben Sie eine Kontakt-E-Mail-Adresse und gegebenenfalls die Daten Ihres Datenschutzbeauftragten an.
Halten Sie die Einleitung auf zwei oder drei Sätze beschränkt. Nutzer sind wegen konkreter Informationen hier, nicht wegen einer unternehmerischen Präambel.
Schritt 4: Erklären Sie, was Cookies sind
Fügen Sie eine kurze, nicht-technische Erklärung darüber ein, was Cookies sind. Viele Ihrer Besucher werden es nicht wissen. Eine gute Erklärung lautet:
Cookies sind kleine Textdateien, die auf Ihrem Gerät (Computer, Tablet oder Smartphone) gespeichert werden, wenn Sie eine Website besuchen. Sie werden häufig verwendet, um Websites zum Funktionieren zu bringen, ihre Effizienz zu verbessern und Website-Betreibern Informationen bereitzustellen. Cookies, die von der Website gesetzt werden, die Sie besuchen, werden als „Erstanbieter-Cookies“ bezeichnet. Cookies, die von anderen Unternehmen gesetzt werden (zum Beispiel von Analyse- oder Werbediensten), werden als „Drittanbieter-Cookies“ bezeichnet.
Wenn Ihre Website Technologien über HTTP-Cookies hinaus verwendet – etwa localStorage, Pixel-Tags oder Fingerprinting – erwähnen Sie diese ebenfalls. „In dieser Richtlinie verwenden wir den Begriff ‚Cookies‘, um Cookies und ähnliche Technologien zu bezeichnen, sofern nicht anders angegeben.“
Schritt 5: Listen Sie Cookies in Tabellenform auf
Stellen Sie Ihre Cookies in einer strukturierten, nach Kategorien geordneten Tabelle dar. Geben Sie für jedes Cookie Folgendes an:
| Feld | Beschreibung | Beispiel |
|---|---|---|
| Name | Der technische Name des Cookies | _ga |
| Anbieter | Wer dieses Cookie setzt | Google Analytics (google.com) |
| Zweck | Was das Cookie in verständlicher Sprache bewirkt | Erzeugt eine eindeutige ID, um statistische Daten darüber zu erfassen, wie Sie die Website nutzen |
| Typ | Erst- oder Drittanbieter; HTTP-Cookie, localStorage usw. | Drittanbieter-HTTP-Cookie |
| Laufzeit | Wie lange das Cookie bestehen bleibt | 2 Jahre |
Hier ist ein Beispiel für eine gut strukturierte Cookie-Tabelle für die Kategorie Analyse:
| Cookie-Name | Anbieter | Zweck | Typ | Laufzeit |
|---|---|---|---|---|
_ga |
Google Analytics | Weist eine eindeutige ID zu, um Besucher zu unterscheiden und statistische Berichte zu erstellen | Drittanbieter | 2 Jahre |
_gid |
Google Analytics | Weist jeder Browsersitzung eine eindeutige ID zu, um statistische Berichte zu erstellen | Drittanbieter | 24 Stunden |
_gat_UA-* |
Google Analytics | Begrenzt die Rate der Datenerfassung auf Websites mit hohem Traffic | Drittanbieter | 1 Minute |
Wiederholen Sie diese Tabelle für jede Kategorie: Unbedingt erforderlich, Präferenzen, Analyse und Marketing.
Schritt 6: Beschreiben Sie jede Kategorie
Stellen Sie vor jeder Cookie-Tabelle eine kurze Beschreibung der Kategorie bereit:
- Was Cookies dieser Kategorie tun – in allgemeinen Worten.
- Ob eine Einwilligung erforderlich ist – unbedingt erforderliche Cookies benötigen keine Einwilligung; alle anderen schon.
- Was passiert, wenn der Nutzer ablehnt – „Wenn Sie Analyse-Cookies ablehnen, erfassen wir keine Daten über Ihre Besuche. Die Website funktioniert normal weiter.“
Diese Kontextinformationen helfen den Nutzern, fundierte Entscheidungen zu treffen, und erfüllen die Transparenzanforderungen der DSGVO.
Schritt 7: Erklären Sie, wie Nutzer Cookies steuern können
Dieser Abschnitt muss zwei Steuerungsmechanismen abdecken:
Über Ihr Einwilligungsbanner
Erklären Sie, dass Nutzer ihre Cookie-Präferenzen jederzeit verwalten können, indem sie auf Ihren Link oder Ihr Symbol für die Cookie-Einstellungen klicken. Beschreiben Sie, wo dies zu finden ist (z. B. „Klicken Sie auf das Cookie-Symbol in der unteren linken Ecke jeder Seite“ oder „Klicken Sie im Footer auf ‚Cookie-Einstellungen‘“). Seien Sie konkret – sagen Sie nicht einfach nur „über unser Cookie-Banner“.
Über die Browsereinstellungen
Stellen Sie Links zu Anleitungen für die Cookie-Verwaltung der wichtigsten Browser bereit:
Weisen Sie auf die Folge hin: „Bitte beachten Sie, dass das Deaktivieren von Cookies über Ihre Browsereinstellungen die Funktionalität dieser und anderer von Ihnen besuchter Websites beeinträchtigen kann.“
Schritt 8: Fügen Sie Kontaktinformationen und Angaben zum Datenschutzbeauftragten hinzu
Stellen Sie klare Kontaktinformationen für datenschutzbezogene Anfragen bereit:
- Identität des Verantwortlichen: Firmenname, eingetragene Adresse, Registernummer.
- Datenschutz-Kontakt-E-Mail: Eine überwachte E-Mail-Adresse (z. B. [email protected]).
- Datenschutzbeauftragter: Wenn Sie einen Datenschutzbeauftragten benannt haben (für bestimmte Organisationen gemäß Artikel 37 DSGVO verpflichtend), geben Sie dessen Namen und Kontaktdaten an.
- Aufsichtsbehörde: Nennen Sie die zuständige Datenschutzbehörde und stellen Sie einen Link zu deren Beschwerdemechanismus bereit. Zum Beispiel: „Sie haben das Recht, bei [Name der Behörde] unter [URL] eine Beschwerde einzureichen.“
Schritt 9: Datieren Sie die Richtlinie und planen Sie Aktualisierungen
Fügen Sie ein deutliches „Zuletzt aktualisiert“-Datum ein. Verpflichten Sie sich, die Richtlinie in regelmäßigen Abständen und immer dann zu überprüfen und zu aktualisieren, wenn sich Ihre Cookie-Nutzung ändert.
Erwägen Sie, eine Aussage wie diese hinzuzufügen: „Wir überprüfen diese Cookie-Richtlinie regelmäßig und aktualisieren sie bei Bedarf. Wesentliche Änderungen werden über einen Hinweis auf unserer Website mitgeteilt.“
Aus praktischer Sicht sollten Sie mindestens eine vierteljährliche Überprüfung einplanen. Drittanbieterdienste ändern ihre Cookies häufig, und selbst ein geringfügiges Integrations-Update kann neue Cookies einführen, die deklariert werden müssen.
Häufige Fehler, die Sie vermeiden sollten
Selbst sorgfältig verfasste Cookie-Richtlinien enthalten oft diese Fehler:
- Vage Zweckbeschreibungen. „Dieses Cookie verbessert Ihr Erlebnis“ sagt dem Nutzer nichts. Seien Sie konkret: Welche Daten erfasst das Cookie und wofür werden sie verwendet?
- Veraltete Cookie-Listen. Wenn Ihre Richtlinie Cookies eines Tools auflistet, das Sie vor sechs Monaten entfernt haben, oder Cookies eines Tools nicht auflistet, das Sie letzte Woche hinzugefügt haben, ist sie ungenau. Ungenaue Offenlegung untergräbt die Transparenz.
- Fehlende Drittanbieter-Cookies. Viele Organisationen listen ihre eigenen Cookies auf, vergessen aber, Drittanbieter-Cookies zu dokumentieren, die von eingebetteten Inhalten gesetzt werden (YouTube-Videos, Social-Media-Buttons, Chat-Widgets usw.). Dies sind oft die datenschutzintrusivsten Cookies auf der Website.
- Kategorisierungsfehler. Marketing- oder Analyse-Cookies als „funktional“ oder „notwendig“ einzustufen, um die Einwilligungspflicht zu umgehen. Datenschutzbehörden achten gezielt darauf.
- Kein Mechanismus zur Änderung der Präferenzen. Zu behaupten, dass Nutzer ihre Präferenzen verwalten können, aber keinen klar beschriebenen, jederzeit verfügbaren Mechanismus dafür bereitzustellen.
- Das Kopieren einer Vorlage ohne Anpassung. Generische Cookie-Richtlinien-Vorlagen, die weder Ihre tatsächlichen Cookies, noch Ihre tatsächlichen Dienste oder Ihre tatsächliche Datenverarbeitung widerspiegeln. Eine Vorlage ist ein Ausgangspunkt, kein fertiges Dokument.
- Unverständliche Sprache. Juristisches Fachchinesisch, technische Terminologie und unnötig komplexe Satzstrukturen. Die DSGVO verlangt eine klare und einfache Sprache. Schreiben Sie für ein Laienpublikum.
Ihre Richtlinie mit den tatsächlichen Cookies synchron halten
Der schwierigste Teil der Pflege einer Cookie-Richtlinie ist nicht das Verfassen – es ist, sie aktuell zu halten. Websites sind dynamisch. Marketingteams fügen neue Tools hinzu, Entwickler integrieren neue Dienste, Content-Management-Systeme installieren Plug-ins mit Tracking-Fähigkeiten. Jede Änderung kann Cookies einführen, die Ihre Richtlinie nicht erwähnt.
Die Lösung ist eine automatisierte, kontinuierliche Überwachung. Anstatt sich auf manuelle Audits zu verlassen (die selten, unvollständig und fehleranfällig sind), nutzen Sie ein Scan-Tool, das Ihre Website regelmäßig durchsucht, alle aktiven Cookies identifiziert und sie mit Ihrer deklarierten Cookie-Liste abgleicht.
Passiro scannt Ihre Website automatisch, erkennt nicht deklarierte Cookies und benachrichtigt Sie, wenn Ihre Richtlinie aktualisiert werden muss. So spiegelt Ihre Cookie-Richtlinie stets die Realität wider – und nicht eine Momentaufnahme von dem Zeitpunkt, als jemand zuletzt daran gedacht hat, nachzusehen. Erfahren Sie mehr über die automatisierte Cookie-Compliance von Passiro.
Erfüllt Ihre Website die Cookie-Vorschriften?
Scannen Sie Ihre Website kostenlos und finden Sie alle Cookies in wenigen Minuten.
Cookies kostenlos scannen