Cookie-Einwilligung: Was das Gesetz tatsächlich verlangt
Die Cookie-Einwilligung gehört zu den am häufigsten missverstandenen Anforderungen im digitalen Datenschutz. Viele Unternehmen glauben, sie seien rechtskonform, weil sie ein Cookie-Banner anzeigen. Doch ein Banner ist keine Einwilligung. Einwilligung ist ein präziser Rechtsbegriff mit klaren Voraussetzungen – und werden diese nicht erfüllt, kann Ihre gesamte Datenerhebung rechtswidrig sein.
Die rechtliche Grundlage
Die Cookie-Einwilligung beruht auf zwei rechtlichen Säulen:
Artikel 5 Absatz 3 der ePrivacy-Richtlinie begründet die Anforderung: Das Speichern von Informationen auf dem Gerät eines Nutzers oder der Zugriff darauf erfordert dessen Einwilligung, es sei denn, die Speicherung ist für einen vom Nutzer ausdrücklich gewünschten Dienst unbedingt erforderlich. Dies ist die Regel, die speziell Cookies betrifft.
Artikel 4 Nummer 11 GDPR definiert, was Einwilligung bedeutet: „‚Einwilligung‘ der betroffenen Person [ist] jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“
Diese beiden Bestimmungen greifen ineinander. Die ePrivacy-Richtlinie legt fest, wann eine Einwilligung erforderlich ist (bei nicht notwendigen Cookies). Die GDPR legt fest, wie eine gültige Einwilligung aussehen muss. Beide Anforderungen müssen erfüllt sein.
Die fünf Voraussetzungen einer gültigen Einwilligung
Aus Artikel 4 Nummer 11, Artikel 7 GDPR und den Leitlinien 05/2020 des EDSA zur Einwilligung ergibt sich, dass eine gültige Cookie-Einwilligung fünf Kriterien erfüllen muss:
1. Freiwillig abgegeben
Der Nutzer muss eine echte Wahl haben. Eine Einwilligung ist nicht freiwillig, wenn:
- Der Zugang von der Einwilligung abhängig gemacht wird. Wenn der Nutzer die Website nicht ohne Annahme aller Cookies nutzen kann (eine sogenannte „Cookie-Wall“), ist die Einwilligung nicht freiwillig. Der EDSA hat diese Position bestätigt, wobei einige nationale Datenschutzbehörden begrenzte Cookie-Walls unter bestimmten Umständen zulassen – insbesondere, wenn eine echte Alternative besteht (etwa eine kostenpflichtige, cookiefreie Version).
- Ein erhebliches Machtungleichgewicht besteht. In Arbeitgeber-Arbeitnehmer- oder Staat-Bürger-Verhältnissen ist eine Einwilligung möglicherweise nicht wirklich freiwillig. Für die meisten Websites ist dies weniger relevant, für staatliche Dienste und Intranet-Plattformen jedoch von Bedeutung.
- Das Ablehnen deutlich schwieriger ist als das Annehmen. Wenn „Alle akzeptieren“ eine prominente Schaltfläche ist, „Alle ablehnen“ jedoch das Durchklicken durch Einstellungen erfordert, ist die Einwilligung nicht freiwillig. Sowohl die italienische Garante als auch die französische CNIL haben ausdrücklich gefordert, dass das Ablehnen von Cookies genauso einfach sein muss wie das Annehmen.
2. Für den bestimmten Fall
Die Einwilligung muss für jeden einzelnen Zweck gesondert erteilt werden. Deshalb gibt es Cookie-Kategorien. Ein gültiger Einwilligungsmechanismus muss es Nutzern ermöglichen, Analyse-Cookies zu akzeptieren und gleichzeitig Marketing-Cookies abzulehnen – oder umgekehrt. Das Bündeln aller Cookies in einem einzigen „Annehmen“ oder „Ablehnen“ erfüllt die Anforderung der Bestimmtheit nicht – wobei es zulässig ist, „Alle akzeptieren“ und „Alle ablehnen“ als Abkürzungen neben kategoriebezogenen Auswahlmöglichkeiten anzubieten.
3. In informierter Weise
Bevor der Nutzer seine Einwilligung erteilt, muss er über Folgendes informiert werden:
- Wer die Cookies setzt (der Website-Betreiber und etwaige Dritte)
- Was jede Cookie-Kategorie bewirkt
- Wie lange die Cookies gespeichert werden
- Wie die Einwilligung widerrufen werden kann
Diese Informationen müssen klar und in verständlicher Sprache dargestellt werden. Eine 5.000 Wörter umfassende Cookie-Richtlinie, die drei Klicks tief vergraben ist, macht eine Einwilligung in keiner sinnvollen Weise „informiert“. Die erste Ebene Ihres Einwilligungsmechanismus sollte genügend Informationen enthalten, damit der Nutzer eine fundierte Entscheidung treffen kann.
4. Unmissverständlich
Eine Einwilligung erfordert eine eindeutige bestätigende Handlung. Der Nutzer muss aktiv etwas tun, um seine Einwilligung zu bekunden – eine Schaltfläche anklicken, ein Kästchen ankreuzen, einen Schalter umlegen.
Was KEINE unmissverständliche Einwilligung darstellt:
- Vorangekreuzte Kästchen. Der EuGH hat in der Rechtssache Planet49 (Rechtssache C-673/17, Oktober 2019) endgültig entschieden, dass vorangekreuzte Kästchen keine gültige Einwilligung darstellen. Dies gilt für Cookie-Einstellungen, bei denen Kategorien standardmäßig aktiviert sind.
- Fortgesetztes Surfen. „Durch die weitere Nutzung dieser Website stimmen Sie Cookies zu“ ist keine gültige Einwilligung. Bloßes Scrollen oder das Anklicken eines Links ist keine „unmissverständliche Willensbekundung“. Mehrere Datenschutzbehörden haben dies bestätigt, und die Leitlinien des EDSA sind in diesem Punkt eindeutig.
- Browser-Einstellungen. Sich auf die Browser-Einstellungen des Nutzers als Form der Einwilligung zu stützen, wurde von den Aufsichtsbehörden abgelehnt. Der Website-Betreiber muss die Einwilligung direkt einholen.
- Schweigen oder Untätigkeit. Wenn der Nutzer das Banner ignoriert und weitersurft, ist das keine Einwilligung. Bis der Nutzer eine aktive Wahl getroffen hat, dürfen keine Cookies gesetzt werden.
5. Vorherig
Auch wenn dies in Artikel 4 Nummer 11 GDPR nicht als eigenständiges Element aufgeführt ist, stellt die ePrivacy-Richtlinie klar, dass die Einwilligung eingeholt werden muss, bevor Cookies gesetzt werden. Diese Anforderung erfüllen viele Websites noch immer nicht. Skripte, die beim Laden der Seite ausgelöst werden – und Analyse- und Marketing-Cookies setzen, bevor der Nutzer das Einwilligungsbanner überhaupt gesehen hat – verstoßen gegen diese grundlegende Anforderung.
Technisch bedeutet dies, dass nicht notwendige Skripte blockiert werden müssen, bis die Einwilligung erteilt wurde. Ein Banner anzuzeigen, während bereits Cookies gesetzt werden, erfüllt die Anforderung der vorherigen Einwilligung nicht.
Wie eine gültige Einwilligung in der Praxis aussieht
Eine rechtskonforme Umsetzung der Cookie-Einwilligung:
- Blockiert alle nicht notwendigen Cookies, bevor der Nutzer mit dem Einwilligungsmechanismus interagiert.
- Präsentiert eine klare erste Ebene, die die verwendeten Cookie-Kategorien erläutert, mit der Möglichkeit, jede Kategorie zu akzeptieren oder abzulehnen.
- Bietet „Alle akzeptieren“ und „Alle ablehnen“ mit gleicher Prominenz an – gleiche Größe, gleiche visuelle Gewichtung, gleiche Anzahl erforderlicher Klicks.
- Verwendet keine Dark Patterns – keine irreführenden Schaltflächenfarben, keine versteckten Ablehnungsoptionen, keine verwirrende Sprache, kein Drängen zur Zustimmung.
- Verlinkt auf eine detaillierte Cookie-Richtlinie, die jedes Cookie mit Name, Zweck, Dauer und Anbieter aufführt.
- Protokolliert die Einwilligung mit Zeitstempel und den konkreten Kategorien, die der Nutzer akzeptiert oder abgelehnt hat.
- Löst die entsprechenden Skripte nur dann aus, wenn die Einwilligung für diese bestimmte Kategorie erteilt wurde.
Der Lebenszyklus der Einwilligung
Eine Einwilligung ist kein einmaliges Ereignis. Sie hat einen Lebenszyklus, den Ihre Umsetzung unterstützen muss:
Erhebung
Beim ersten Besuch: Einwilligungsmechanismus anzeigen, nicht notwendige Cookies blockieren, auf eine Nutzeraktion warten.
Speicherung
Sobald die Einwilligung erteilt wurde, speichern Sie die Auswahl des Nutzers in einem unbedingt erforderlichen Cookie (für dieses Cookie ist keine Einwilligung nötig, da es dazu dient, die Datenschutzpräferenzen des Nutzers zu respektieren). Erfassen Sie zusätzlich einen serverseitigen Datensatz als Nachweis der Einwilligung.
Anwendung
Bei nachfolgenden Seitenaufrufen lesen Sie das Einwilligungs-Cookie aus und lösen nur die Skripte aus, die den vom Nutzer akzeptierten Kategorien entsprechen. Zeigen Sie das Banner nicht erneut an – respektieren Sie die gespeicherte Auswahl.
Widerruf
Artikel 7 Absatz 3 GDPR ist eindeutig: „Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.“ Ihre Website muss den Nutzern eine dauerhaft und leicht zugängliche Möglichkeit bieten, ihre Cookie-Präferenzen jederzeit zu ändern. Ein gängiger Ansatz ist ein kleines Symbol oder ein Link im Footer, der die Oberfläche zur Verwaltung der Einwilligung erneut öffnet.
Erneuerung
Eine Einwilligung gilt nicht auf ewig. Die CNIL empfiehlt, die Einwilligung alle 13 Monate zu erneuern. Der EDSA hat keine konkrete Dauer festgelegt, verlangt jedoch, dass die Einwilligung gültig bleibt und die Auswahl des Nutzers weiterhin dessen tatsächlichen Willen widerspiegelt. Als Best Practice gilt, mindestens einmal jährlich oder immer dann erneut abzufragen, wenn sich Ihre Cookie-Nutzung wesentlich ändert.
Änderungen
Wenn Sie neue Cookies, neue Drittanbieterdienste oder neue Zwecke hinzufügen, deckt eine bestehende Einwilligung diese möglicherweise nicht mehr ab. Nutzer sollten erneut aufgefordert werden, für die neue Verarbeitung ihre Einwilligung zu erteilen (oder zu verweigern).
Einwilligungsnachweise und Beweisführung
Artikel 7 Absatz 1 GDPR bestimmt: „Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.“ Für die Cookie-Einwilligung bedeutet dies, dass Sie Aufzeichnungen führen müssen über:
- Wann die Einwilligung erteilt wurde (Zeitstempel)
- Wofür der Nutzer eingewilligt hat (welche Kategorien akzeptiert und welche abgelehnt wurden)
- Wie die Einwilligung eingeholt wurde (wie der Einwilligungsmechanismus zu diesem Zeitpunkt aussah – eine Versionskennung oder ein Screenshot)
- Wer die Einwilligung erteilt hat (üblicherweise eine anonymisierte Kennung, nicht der Name des Nutzers)
Wenn eine Aufsichtsbehörde von Ihnen den Nachweis verlangt, dass ein bestimmtes Cookie mit gültiger Einwilligung gesetzt wurde, sind diese Aufzeichnungen Ihre Verteidigung. Ohne sie haben Sie keinen Beleg dafür, dass Ihr Einwilligungsmechanismus funktioniert – und die Beweislast liegt bei Ihnen, nicht bei der Aufsichtsbehörde.
Häufige Fehler bei der Einwilligung
Auf Grundlage von Durchsetzungsmaßnahmen in ganz Europa sind dies die am häufigsten geahndeten Einwilligungsfehler:
- Cookies werden vor der Einwilligung gesetzt. Analyse- und Marketing-Skripte werden beim Laden der Seite ausgelöst, bevor der Nutzer mit dem Banner interagiert.
- Keine Ablehnungsoption auf der ersten Ebene. Nutzer müssen auf „Einstellungen“ oder „Präferenzen verwalten“ klicken, um Cookies abzulehnen, während „Alle akzeptieren“ sofort verfügbar ist.
- Voreingestellte Kategorien. Einwilligungsschalter, die für Analyse und Marketing standardmäßig auf „ein“ stehen.
- Keine Möglichkeit zum Widerruf. Sobald das Banner geschlossen ist, gibt es für den Nutzer keine Möglichkeit mehr, seine Auswahl zu ändern.
- Einwilligungs-Wall / Cookie-Wall. Der Zugang zu Inhalten wird blockiert, sofern nicht alle Cookies akzeptiert werden.
- Irreführendes Design. Grün für „Akzeptieren“ und Grau für „Ablehnen“, eine größere Akzeptieren-Schaltfläche oder verwirrende Formulierungen wie „Ohne Zustimmung fortfahren“ gegenüber „Akzeptieren und fortfahren“.
Passiro scannt die Umsetzung der Cookie-Einwilligung Ihrer Website und prüft auf diese häufigen Fehler, damit Sie Compliance-Lücken erkennen und beheben können, bevor es eine Aufsichtsbehörde tut.
Als Nächstes: Wann genau ist eine Einwilligung erforderlich? Die Antwort umfasst einige wichtige Nuancen, darunter die Ausnahme für unbedingt erforderliche Cookies und die anhaltende Debatte rund um First-Party-Analytics.
In diesem Abschnitt
Erfüllt Ihre Website die Cookie-Vorschriften?
Scannen Sie Ihre Website kostenlos und finden Sie alle Cookies in wenigen Minuten.
Cookies kostenlos scannen