Hinweise zu Cookies

Dr. Verena Jütte

19. April 2025

Verpflichtende Angaben zu Cookies

Einleitung

Cookie-Hinweise sind inzwischen auf nahezu jeder Website zu finden. Doch viele Betreiber setzen sie nicht korrekt um, was rechtliche Konsequenzen haben kann. Die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Digitale- Dienste-Datenschutz-Gesetz (TDDDG) regeln, wie und wann Nutzer über Cookies informiert und um ihre Zustimmung gebeten werden müssen. Im Folgenden werden die wichtigsten Anforderungen erörtert.

Die rechtlichen Grundlagen

  1. DSGVO und das Einwilligungserfordernis

Die DSGVO (Verordnung (EU) 2016/679) regelt den Schutz personenbezogener Daten in der EU. Artikel 6 Abs. 1 DSGVO nennt verschiedene Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Für nicht essenzielle Cookies ist vor allem die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich.

Gemäß Erwägungsgrund 32 DSGVO muss diese Einwilligung „freiwillig, informiert, eindeutig und durch eine eindeutige bestätigende Handlung“ erfolgen. Eine vorab angekreuzte Checkbox oder ein reines Weitersurfen auf der Website reichen nicht aus.

  1. TDDDG als ergänzende Regelung

Seit dem 1. Dezember 2021 regelt das TTDSG die Nutzung von Cookies in Deutschland. Seit Inkrafttreten des Digitale-Dienste-Gesetzes (DDG) am 14.5.2024 heißt das TTDSG Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). In § 25 TDDDG heißt es, dass der Zugriff auf Informationen im Endgerät des Nutzers – also das Setzen von Cookies – grundsätzlich nur mit vorheriger Einwilligung erlaubt ist. Eine Ausnahme gilt nur für technisch notwendige Cookies.

  1. EU-Recht

Die E-Privacy-Richtlinie der EU (2002/58/EG), auch bekannt als sog. Cookie-Richtlinie, legt fest, dass die Speicherung oder der Zugriff auf Informationen im Endgerät des Nutzers nur mit Einwilligung erfolgen darf. Da diese Richtlinie nicht direkt in allen EU-Staaten gilt, musste sie in nationales Recht umgesetzt werden. In Deutschland ist dies durch das TDDDG erfolgt.

Zukünftig soll die E-Privacy-Verordnung die E-Privacy-Richtlinie ersetzen. Diese gilt dann unmittelbar in den Mitgliedsstaaten.

Aktuelle Rechtsprechung

  1. EuGH-Urteil „Planet49“ (C-673/17, 2019)

Eines der wichtigsten Urteile zu Cookies fällte der Europäische Gerichtshof (EuGH) am 1. Oktober 2019 im Fall „Planet49“. Dabei stellte der EuGH klar:

  • Eine Einwilligung in Cookies ist nicht durch vorab angekreuzte Kästchen zulässig.
  • Der Nutzer muss aktiv zustimmen („Opt-in“).
  • Eine echte Wahlmöglichkeit ist erforderlich.
  • Essenzielle Cookies dürfen ohne Zustimmung gesetzt werden, aber alle anderen (z. B. für Tracking oder Werbung) benötigen die Einwilligung.
  1. BGH-Urteil zur Einwilligung (I ZR 7/16, 2020)

Der Bundesgerichtshof (BGH) bestätigte am 28. Mai 2020 das EuGH-Urteil und stellte fest, dass eine aktive Zustimmung für Cookies notwendig ist. Das bedeutet, dass „Cookie-Banner“, die nur eine Information enthalten, aber keine echte Wahlmöglichkeit bieten, nicht rechtmäßig sind.

  1. Entscheidung der Datenschutzbehörden: Google Analytics & Cookie-Banner

Die deutschen Datenschutzbehörden haben mehrfach klargestellt, dass der Einsatz von Google Analytics und ähnlichen Tracking-Technologien ohne Einwilligung unzulässig ist. In mehreren Fällen verhängten Datenschutzbehörden Bußgelder, etwa gegen Unternehmen, die irreführende Cookie-Banner einsetzten.

Anforderungen an ein rechtskonformes Cookie-Banner

Cookie-Banner müssen folgende Anforderungen erfüllen:

  1. Echte Wahlmöglichkeit (so Opt-In): Der Nutzer muss gleichwertig „Zustimmen“ und „Ablehnen“ können. Eine Gestaltung, die die Zustimmung bevorzugt (z. B. farblich hervorgehoben), ist problematisch.

Das ergibt sich aus der o.g. Rechtsprechung sowie aus dem Erwägungsgrund 32 DSGVO.

  1. Informierte Einwilligung: Vor der Zustimmung müssen Nutzer über den Zweck und die Art der Cookies informiert werden. Eine Datenschutzerklärung allein reicht nicht aus.

Das ergibt sich aus § 25 Abs. 1 TDDDG sowie aus dem Erwägungsgrund 32 DSGVO.

  1. Technisch notwendige vs. optionale Cookies: Essenzielle Cookies (z. B. für den Warenkorb in einem Online-Shop) dürfen ohne Einwilligung gesetzt werden, alle anderen nicht.

Das ergibt sich aus § 25 Abs. 2 TDDDG. Was optionale Cookies sind, ergibt sich aus der Auslegung dieser Vorschrift.

  1. Widerrufsrecht: Nutzer müssen ihre Einwilligung jederzeit einfach widerrufen können, z. B. über eine „Cookie-Einstellungen“-Funktion.

Das ergibt sich aus Art. 6 Abs. 1 lit. a, Art. 7 DSGVO i.V.m. § 25 Abs. 1 TDDG.

  1. Keine voreingestellten Häkchen: Die Einwilligung muss aktiv erfolgen.

Das ergibt sich aus der o.g. Rechtsprechung sowie aus dem Erwägungsgrund 32 DSGVO.

 Cookies, die eine Einwilligung benötigen

Grundsätzlich gilt, dass essenzielle Cookies (technisch notwendige) keine Einwilligung benötigen.

Alle anderen Cookies (z. B. für Tracking, Werbung, Analyse) erfordern eine aktive Zustimmung des Nutzers.

Bei der Gestaltung sind die auf der Seite des Bundesministeriums für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz veröffentlichten Guidelines für eine nutzerfreundliche Cookie-Banner-Gestaltung hilfreich (https://www.bmvd.de/download/guidelines-fuer-eine nutzerfreundliche-Cookie-Banner-Gestaltung).

Beispiele für essenzielle Cookies (keine Einwilligungspflicht):

  • Session-Cookies für Warenkörbe
  • Cookies zur Benutzer-Authentifizierung (z. B. Login)
  • Cookies zur Speicherung von Spracheinstellungen

Beispiele für zustimmungspflichtige Cookies:

  • Tracking-Cookies (Google Analytics, Facebook Pixel)
  • Werbe-Cookies für personalisierte Anzeigen
  • Cookies für A/B-Tests oder Heatmaps

Fazit

Website-Betreiber sollten sicherstellen, dass ihre Cookie-Banner den aktuellen Anforderungen entsprechen. Die Rechtsprechung zeigt, dass Verstöße mit Bußgeldern geahndet werden können. Wer DSGVO-konforme Cookie-Hinweise implementiert, schützt nicht nur sich selbst vor Abmahnungen, sondern stärkt auch das Vertrauen der Nutzer

Dr. Verena Jütte

Dr. Verena Jütte>8 Beiträge