DSGVO und Cookiebanner: Was Unternehmen jetzt wissen und beachten müssen

Rechtssichere Einwilligungen im digitalen Alltag

Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 hat sich der Umgang mit personenbezogenen Daten in Europa grundlegend verändert. Besonders sichtbar ist das beim Thema Cookies – jene kleinen Dateien, die unser Onlineverhalten dokumentieren und Webseiten funktionaler oder wirtschaftlicher machen. Im Zentrum der Aufmerksamkeit stehen dabei Cookiebanner, die Nutzerinnen und Nutzern bei ihrem ersten Besuch einer Website begegnen. Doch welche rechtlichen Anforderungen gelten, was ist erlaubt – und was nicht?

Was sind Cookies überhaupt?

Cookies sind Textdateien, die beim Besuch einer Website auf dem Endgerät des Nutzers gespeichert werden. Es gibt verschiedene Arten:

• Technisch notwendige Cookies: Ohne sie funktioniert die Website nicht korrekt (z. B. Warenkorb, Login).
• Präferenz-Cookies: Merken sich Spracheinstellungen oder Schriftgrößen.
• Statistik-Cookies: Erfassen anonymisierte Nutzerdaten für Analysen (z. B. Google Analytics).
• Marketing-Cookies: Verfolgen Nutzerverhalten über Websites hinweg (z. B. Facebook Pixel, Remarketing).

Gerade bei den letzten beiden Kategorien wird es aus datenschutzrechtlicher Sicht kritisch.

Was schreibt die DSGVO vor?

Die DSGVO verlangt, dass personenbezogene Daten nur mit ausdrücklicher Einwilligung der betroffenen Person verarbeitet werden dürfen – außer es liegt eine andere Rechtsgrundlage vor (z. B. berechtigtes Interesse oder gesetzliche Pflicht). Für Cookies bedeutet das:

• Technisch nicht notwendige Cookies dürfen erst nach aktiver Zustimmung durch den Nutzer gesetzt werden.
• Die Einwilligung muss freiwillig, informiert, eindeutig und widerrufbar sein.
• Es darf keine Voreinstellung oder “Opt-Out” geben – das heißt: Häkchen bei Marketing- oder Analysezwecken dürfen nicht vorausgewählt sein.

Diese Vorgaben wurden durch das „Planet49“-Urteil des EuGH (2019) und durch das TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz, seit 2021) weiter konkretisiert.

Anforderungen an ein DSGVO-konformes Cookiebanner

Ein rechtssicheres Cookiebanner sollte folgende Kriterien erfüllen:

1. Klare Information: Welche Cookies werden gesetzt? Wofür? Wer ist der Empfänger?
2. Granulare Auswahl: Nutzer müssen einzelne Cookie-Kategorien auswählen oder abwählen können.
3. „Ablehnen“-Option: Es muss genauso einfach sein, Cookies abzulehnen wie zu akzeptieren.
4. Kein Cookie-Wall: Der Zugang zur Seite darf nicht von der Zustimmung abhängig gemacht werden (mit Ausnahmen).
5. Widerrufsmöglichkeit: Nutzer müssen ihre Einwilligung jederzeit ändern oder widerrufen können (z. B. über ein Symbol oder einen Link im Footer).

Typische Fehler, die abgemahnt werden können

Viele Unternehmen machen noch immer Fehler, die zu Bußgeldern führen können:

• Cookies werden bereits vor Zustimmung gesetzt.
• Es gibt nur einen „OK“-Button, aber keine Ablehnungsmöglichkeit.
• Keine oder unklare Beschreibung der verwendeten Cookies.
• Keine Nachweisbarkeit der Zustimmung durch das System (fehlendes Consent-Log).

Fazit: Transparenz schafft Vertrauen – und schützt vor Strafen

Ein korrekt implementierter Cookiebanner ist nicht nur ein gesetzliches Muss, sondern auch ein Zeichen von digitaler Verantwortung und Nutzerorientierung. Unternehmen, die transparent über ihre Datenverarbeitung informieren und Nutzer ernst nehmen, stärken ihre Glaubwürdigkeit und minimieren rechtliche Risiken.

Der Aufwand lohnt sich – nicht zuletzt, weil Datenschutz zum Qualitätsmerkmal in der digitalen Welt geworden ist.

Tipp: Nutzen Sie etablierte Consent-Management-Plattformen (CMPs), um die Anforderungen effizient und rechtskonform umzusetzen – etwa Usercentrics, Cookiebot oder Consentmanager.