Zum Inhalt springen
Zurück zur Übersicht
01 · Cookie-Consent

Cookie-Consent: Opt-In ist Pflicht

Vor jedem nicht-essentiellen Cookie braucht es aktive Einwilligung. Vor-angekreuzte Boxen, versteckte 'Akzeptieren'-Buttons und 'weiter surfen heißt zustimmen' sind seit Jahren rechtswidrig — werden aber immer noch eingebaut.

Cookie-Consent: Opt-In ist Pflicht

Cookies und vergleichbare Technologien (Local Storage, Session Storage, IndexedDB, Fingerprinting, Tracking-Pixel) dürfen nur dann gesetzt werden, wenn sie technisch zwingend erforderlich sind ODER der Nutzer aktiv eingewilligt hat. Maßgeblich ist § 25 TDDDG, der die ePrivacy-Richtlinie umsetzt. Wichtig: die TDDDG-Vorgaben gelten unabhängig davon, ob die Cookies personenbezogene Daten verarbeiten — schon der reine Zugriff auf das Endgerät zählt.

Statistik-Cookies (Google Analytics, Matomo ohne Anonymisierung), Marketing-Cookies, Tracking-Pixel und externe Medien (YouTube, Google Maps, Vimeo) sind nicht zwingend erforderlich. Vor dem Setzen ist also eine wirksame Einwilligung Voraussetzung — und die hat klare Anforderungen: freiwillig, informiert, eindeutig, granular, jederzeit widerruflich, ohne Dark Patterns. 'Vor-angekreuzt' ist rechtswidrig (EuGH Planet49). Die DSK hat im August 2024 zudem klargestellt, dass 'Pay-or-Consent'-Modelle (zahlen oder Tracking akzeptieren) nur unter strengen Bedingungen zulässig sind — z.B. dass das Bezahl-Angebot tatsächlich nutzbar und der Preis angemessen ist.

Verstöße sind teuer und werden mittlerweile aktiv verfolgt: Bußgelder bis 300.000 EUR nach TDDDG, parallel DSGVO-Bußgelder bis 20 Mio EUR. Abmahnungen durch Verbraucherzentralen, Wettbewerber und Datenschutz-Aktivisten (z.B. noyb) sind Standard geworden. Reine 'Toolbar mit Akzeptieren-Button' reicht nicht mehr — die Aufsichtsbehörden auditieren mittlerweile auch den Reject-Pfad und schauen, ob nach 'Ablehnen' wirklich keine nicht-essentiellen Cookies gesetzt werden.

  • Jede Website oder Web-App, die Cookies oder vergleichbare Speicher (Local Storage, IndexedDB, Service Worker) nutzt — auch im B2B.
  • Sites mit eingebetteten Drittanbieter-Inhalten: YouTube, Vimeo, Google Maps, Twitter/X-Embeds, LinkedIn-Buttons, Facebook-Like.
  • Online-Shops mit Tracking-Pixeln (Meta Pixel, TikTok Pixel, Pinterest Tag) und Conversion-Messung.
  • Marketing-getriebene Sites mit Google Ads, Microsoft Ads, Newsletter-Tracking-Pixeln.
  • Mobile Apps mit Tracking-SDKs (Firebase Analytics, AppsFlyer, Adjust) — die ePrivacy-Pflicht gilt auch dort.
  • Connected-Devices, Smart-TV-Apps, IoT-Dashboards mit Analytics oder Telemetrie.
  • Anbieter außerhalb der EU, sobald sie EU-Bürger erreichen (Marktortprinzip TDDDG + DSGVO Art. 3).
  • Consent Management Platform (CMP) auf jeder Seite, sichtbar VOR dem Setzen nicht-essentieller Cookies, ohne 'verschwindendes' Banner.
  • Granulare Auswahl: mindestens 'Notwendig / Statistik / Marketing / Externe Medien', besser pro Anbieter einzeln.
  • Ablehnen muss UX-gleich zu Akzeptieren sein — keine Dark Patterns, kein verstecktes Menü, kein 'Erst nach drei Klicks'-Effekt (DSK 2024).
  • Aktive Handlung verlangt: vorangekreuzte Boxen oder 'weiter surfen heißt zustimmen' sind unwirksam (EuGH Planet49).
  • Widerruf jederzeit möglich, mit demselben Aufwand wie die Erteilung (z.B. persistenter Fingerabdruck-Button in der Footer-Leiste).
  • Consent-Logs mit Zeitstempel, Settings-Hash, idealerweise IP-Hash und Banner-Version — mindestens 3 Jahre archivieren als Beweismittel.
  • Re-Consent bei Änderung der Cookie-Liste, neuer Drittanbieter oder geänderter Zwecke (kein 'einmal akzeptiert = für immer').
  • Datenschutzerklärung mit aktueller Cookie-Tabelle: Anbieter, Zweck, Speicherdauer, Drittlands-Transfer, Cookie-Name.
  • Tag-Manager-Prüfung: keine Tags dürfen vor Einwilligung 'feuern' — Google Consent Mode v2 ist nicht automatisch konform.
  • Mobile-App SDKs: Tracking-SDKs (Firebase, AppsFlyer) müssen ebenfalls hinter Consent-Gate.
  • Reject-Pfad auditieren: nach Klick auf 'Ablehnen' dürfen keine nicht-essentiellen Cookies/LS-Einträge gesetzt sein (Browser-Test, Aufsichtsbehörde prüft das mittlerweile aktiv).
  • Auswahl + Einbau eines DSGVO-konformen CMP (selbstgehostet oder EU-Anbieter wie Usercentrics EU-Profil, Klaro, Cookiebot EU-Datacenter, keine reine US-Plattform).
  • Integration in Next.js mit Server-Components-kompatiblem Pattern: kein Hydration-Flash, kein 'Cookie wird im Bruchteil einer Sekunde gesetzt und wieder gelöscht'.
  • Consent-Logging in Supabase (EU) mit revisionssicherer Speicherung: hashed-IP, Banner-Version, Settings-JSON, Timestamp, Locale.
  • Test des Reject-Pfads mit echtem Browser (Playwright): Beweis dass nach 'Ablehnen' wirklich keine nicht-essentiellen Cookies/LS-Einträge gesetzt werden — als Smoke-Test im CI.
  • Bestand-Audit deiner Website: welche Cookies werden tatsächlich gesetzt (vor und nach Consent), welche sind nicht in der Cookie-Tabelle, welche kommen über Drittanbieter unsichtbar nach.
  • Datenschutzerklärung-Update mit aktuellen Anbietern, Zwecken, Speicherdauern, Drittlands-Transfer — automatisch synchronisiert mit der CMP-Konfiguration.
  • Re-Consent-Workflow bei Änderung der Cookie-Liste: Banner-Version bumpen, alte Consents als 'veraltet' markieren, neue Einwilligung einholen.
  • Optional: Pay-or-Consent-Prüfung gemäß DSK-Vorgaben (Aug 2024) — wirklich freiwillig, Preis angemessen, Bezahl-Angebot tatsächlich nutzbar.
  • Jährliches Re-Audit: neue Drittanbieter, geänderte Cookie-Listen, neue Aufsichts-Hinweise, Browser-Behaviour-Changes (z.B. Third-Party-Cookie-Phaseout).

§ 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, früher TTDSG, in Kraft seit 14.05.2024) · ePrivacy-Richtlinie 2002/58/EG (lex specialis zur DSGVO für Cookies) · DSGVO Art. 6 Abs. 1 lit. a (Einwilligung als Rechtsgrundlage) und Art. 7 (Anforderungen an wirksame Einwilligung) · EuGH 'Planet49' (C-673/17, 01.10.2019) · BGH I ZR 7/16 (28.05.2020, Planet49-Folgeentscheidung) · DSK-Beschluss zu Pay-or-Consent (Aug 2024) · EDSA-Leitlinien zu Einwilligung

Reicht es, das Banner einmal zu zeigen, danach nicht mehr?
Nein. Sobald sich die Cookie-Liste ändert (neuer Drittanbieter, neue Zwecke, andere Speicherdauer) muss erneut um Einwilligung gebeten werden. Auch wenn ein Nutzer gelöscht hat, was deine CMP gesetzt hat (z.B. Cookies gelöscht), kommt das Banner zurück — was korrekt ist.
Darf 'Akzeptieren' visuell auffälliger sein als 'Ablehnen'?
Nein. Die DSK hat im August 2024 klargestellt: Die Ablehnung muss mit demselben Aufwand wie die Annahme möglich sein — keine Dark Patterns, kein verstecktes Menü, kein 'Erst nach drei Klicks'-Effekt. Sonst gilt die Einwilligung als nicht freiwillig und ist unwirksam.
Was zählt als 'technisch zwingend erforderlicher' Cookie?
Sehr wenig: Session-Cookies für Login, Warenkorb-Inhalte, CSRF-Tokens, Sprachpräferenz auf direkter Nutzeranfrage. Statistik-Cookies, Marketing-Pixel, Tracking, eingebettete YouTube/Maps-Frames sind NICHT zwingend erforderlich — selbst wenn sie 'nur für die Reichweitenmessung' sind.
Ich nutze Google Tag Manager. Was muss ich prüfen?
Der Tag Manager selbst ist meist nicht das Problem — die über ihn ausgespielten Tags sind es. Prüfe, dass keine Marketing- oder Statistik-Tags VOR der Einwilligung 'feuern'. Google Consent Mode v2 hilft, ist aber nicht automatisch konform — wenn du 'Basic Consent Mode' nutzt, werden Hits weiter gesendet (nur eingeschränkt). Sicherer ist 'Advanced' plus echter Block durch die CMP. Auditieren über Chrome DevTools (Network-Tab vor Klick auf Consent) ist der einfachste Test.
Gilt das TDDDG auch für meine Mobile App?
Ja. § 25 TDDDG spricht von 'Endeinrichtungen' — Smartphones, Tablets, Smart-TVs und IoT-Devices sind das genauso wie Laptops. Tracking-SDKs (Firebase Analytics, AppsFlyer, Adjust, Meta Audience Network) müssen also genauso hinter Consent-Gate wie Browser-Cookies. iOS-Tracking-Permission (ATT) ist eine andere Pflicht (Apples App Store), ersetzt das TDDDG-Consent nicht.
Ist 'Pay or Consent' (zahlen statt Tracking akzeptieren) erlaubt?
Eingeschränkt ja, mit Bedingungen. Die DSK hat im August 2024 klargestellt: nur dann, wenn das Bezahl-Angebot ein 'echter' Service ist (keine Funktionsabwertung), der Preis angemessen ist und Nutzer nicht in eine de-facto-Zwangslage geraten. Der EuGH (Meta-Urteil 2023) und die EDSA-Stellungnahme 4/2024 haben strenge Anforderungen formuliert. Reine 'Akzeptiere Tracking oder zahle 9.99 EUR/Monat'-Modelle sind in der Praxis hochriskant — Abmahnung droht.

Brauchst du Unterstützung?

Lass uns 30 Minuten reden. Ich schaue mir deine Situation an und sage dir, was als Nächstes sinnvoll ist.

Termin vereinbaren
Made in Germany100% DSGVO-konformEU AI Act ReadySicheres HostingBarrierefreiCookie ConsentDaten-Anonymisierung