Welche rechtlichen Anforderungen stellt die DSGVO an die Speicherung von Cookies?

Melden

Die rechtlichen Anforderungen an das Speichern von Cookies ergeben sich in Deutschland primär aus dem Zusammenspiel der DSGVO (Datenschutz-Grundverordnung) und dem TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, bis Juni 2024 TTDSG genannt).

Hier sind die wichtigsten Anforderungen zusammengefasst:

1. Die Grundregel: Einwilligungspflicht (Opt-In)

Seit dem Urteil des EuGH („Planet49“) und der Einführung des TTDSG/TDDDG gilt: Für fast alle Cookies, die nicht unbedingt erforderlich sind, muss eine aktive, freiwillige und informierte Einwilligung des Nutzers eingeholt werden.

  • Keine vorausgewählten Checkboxen: Kästchen für Marketing- oder Statistik-Cookies dürfen nicht vorab angehakt sein. Der Nutzer muss selbst aktiv werden (z. B. auf „Alle akzeptieren“ oder ein Häkchen setzen).
  • Kein „Weitersurfen als Einwilligung“: Das bloße Scrollen oder Weitersurfen auf der Seite gilt nicht als rechtssichere Zustimmung.

2. Ausnahme: Technisch notwendige Cookies

Einige Cookies dürfen ohne Einwilligung gesetzt werden (§ 25 Abs. 2 TDDDG). Das betrifft Cookies, die:

  • ausschließlich der Übertragung von Nachrichten über ein öffentliches Telekommunikationsnetz dienen.
  • unbedingt erforderlich sind, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung stellen kann.

Beispiele für erlaubnisfreie Cookies:

  • Warenkorb-Cookies in Online-Shops.
  • Login-Status-Cookies.
  • Sprachauswahl-Präferenzen.
  • Sicherheits-Cookies.
  • Das Cookie, das speichert, welche Cookie-Einstellungen der Nutzer gewählt hat (Consent-Cookie).

3. Anforderungen an den Cookie-Banner (Consent Management)

Damit die Einwilligung DSGVO-konform ist, muss der Banner folgende Kriterien erfüllen:

  • Transparenz: Der Nutzer muss wissen, wer welche Daten zu welchem Zweck und für wie lange speichert. Es müssen alle Drittanbieter (z. B. Google, Facebook) einzeln aufgelistet sein.
  • Freiwilligkeit (Koppelungsverbot): Der Zugang zur Website darf (in der Regel) nicht davon abhängig gemacht werden, dass der Nutzer in Tracking-Cookies einwilligt („Cookie Walls“ sind rechtlich sehr umstritten und meist unzulässig).
  • Gleichwertigkeit von „Akzeptieren“ und „Ablehnen“: Es muss für den Nutzer genauso einfach sein, Cookies abzulehnen, wie sie zu akzeptieren. Ein prominenter „Alles akzeptieren“-Button neben einem versteckten „Einstellungen“-Link ohne direkten Ablehnen-Button ist abmahngefährdet.
  • Bestimmtheit: Die Einwilligung muss für den konkreten Zweck erfolgen (z. B. getrennt nach „Statistik“, „Marketing“, „Personalisierung“).

4. Widerrufsrecht

Der Nutzer muss seine einmal gegebene Einwilligung jederzeit widerrufen können.

  • Der Widerruf muss so einfach sein wie die Erteilung (z. B. durch ein kleines Icon am Bildschirmrand, über das man den Banner erneut aufrufen kann).
  • In der Datenschutzerklärung muss erklärt werden, wie der Widerruf funktioniert.

5. Informationspflichten (Datenschutzerklärung)

Gemäß Art. 13 DSGVO müssen Website-Betreiber umfassend informieren. Dazu gehört:

  • Welche Cookies gesetzt werden.
  • Welche Rechtsgrundlage genutzt wird (meist Art. 6 Abs. 1 lit. a DSGVO für Einwilligung).
  • Die Speicherdauer der Cookies.
  • Ob Daten an Drittstaaten (z. B. USA) übermittelt werden (besonders relevant seit dem Aus des Privacy Shields; hier sind oft zusätzliche Garantien wie Standardvertragsklauseln nötig).

6. Dokumentationspflicht

Der Website-Betreiber ist in der Beweislast (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO). Er muss nachweisen können, dass ein Nutzer am Tag X um Uhrzeit Y seine Einwilligung gegeben hat. Diese Protokolle müssen datenschutzkonform gespeichert werden.

Zusammenfassung für die Praxis:

Wer Cookies zu Analyse- (z. B. Google Analytics) oder Marketingzwecken (z. B. Facebook-Pixel) einsetzt, benötigt zwingend ein Consent-Management-Tool (CMP), das:

  1. Cookies blockiert, bis der Nutzer klickt.
  2. Einen klaren „Ablehnen“-Button bietet.
  3. Detailliert über Anbieter und Zwecke informiert.
  4. Den Widerruf ermöglicht.

Hinweis: Dies stellt keine Rechtsberatung dar, sondern dient der allgemeinen Information.