Die rechtliche Grundlage

Cookie-Einwilligungspflichten ergeben sich aus der GDPR (Regulation 2016/679) und der ePrivacy Directive (2002/58/EC). Die ePrivacy Directive verlangt eine Einwilligung vor der Speicherung von Informationen auf dem Gerät des Nutzers (Article 5(3)), während die GDPR eine gültige Einwilligung definiert (Article 4(11), Article 7, Recital 32).

Die 14 Anforderungen

1. Vorherige Einwilligung

Nicht-essentielle Cookies dürfen nicht aktiviert werden, bevor der Nutzer einwilligt. Article 5(3) der ePrivacy Directive ist eindeutig. CNIL verhängte gegen Google eine Geldstrafe von EUR 150 Millionen (2022) für das Laden von Cookies vor der Nutzerinteraktion.

2. Freiwillig erteilte Einwilligung

Die Einwilligung darf keine Zugangsbedingung sein (GDPR Article 4(11)). Cookie-Einwilligung darf nicht mit Nutzungsbedingungen gebündelt werden.

3. Granulare Zweckauswahl

Nutzer müssen jedem Zweck unabhängig zustimmen — Analyse, Werbung, funktional (GDPR Recital 43). Ein einzelner „Alle akzeptieren"-Button ohne Kategorieauswahl ist unzureichend.

4. Gleiche Sichtbarkeit für Akzeptieren und Ablehnen

Ablehnen muss genauso sichtbar sein wie Akzeptieren. CNIL verlangt einen „Alle ablehnen"-Button auf der ersten Ebene mit gleicher visueller Gewichtung. Microsoft wurde mit EUR 60 Millionen bestraft (2022), teilweise weil die Ablehnungsoption versteckt war.

5. Keine vorangekreuzten Kästchen

CJEU Planet49-Urteil (C-673/17, 2019): vorangekreuzte Kästchen stellen keine gültige Einwilligung dar. Alle Kategorien müssen standardmäßig deaktiviert sein.

6. Keine Cookie Walls

Den Zugang zur Website zu sperren, bis eine Einwilligung erteilt wird, ist in der Regel nicht konform. EDPB und die niederländische DPA haben dies bestätigt.

7. Klare, einfache Sprache

GDPR Article 7(2) — Einwilligungsanfragen müssen eine klare, einfache Sprache verwenden. „Wir verwenden Cookies, um Ihr Erlebnis zu verbessern" ist unzureichend.

8. Sprachübereinstimmung

GDPR Article 12(1) — Informationen müssen verständlich sein. Das Banner muss der Sprache der Website entsprechen.

9. Link zur Cookie-Richtlinie

GDPR Articles 13-14 verlangen umfassende Informationen. Das Banner muss auf eine vollständige Cookie-Richtlinie verlinken, die jedes Cookie auflistet.

10. Einfacher Widerruf

GDPR Article 7(3) — der Widerruf muss genauso einfach sein wie die Erteilung der Einwilligung. Ein dauerhaftes Widget oder ein Footer-Link muss das erneute Öffnen der Einwilligungsoberfläche ermöglichen.

11. Einwilligungsdokumentation

GDPR Article 7(1) — Sie müssen nachweisen können, dass eine Einwilligung eingeholt wurde. Protokollieren Sie Zeitstempel, Entscheidungen und Banner-Versionen.

12. Offenlegung Dritter

GDPR Article 13(1)(e) — legen Sie alle Datenempfänger Dritter offen. Unter TCF 2.3 muss die Anbieterliste über die Einwilligungsoberfläche zugänglich sein.

13. Transparenz bei der Datenspeicherung

GDPR Article 13(2)(a) — legen Sie offen, wie lange Cookies bestehen bleiben.

14. Mobile Responsivität

Keine GDPR-Ausnahme für Mobilgeräte. Buttons müssen antippbar, Text lesbar und die Oberfläche auf allen Bildschirmgrößen funktionsfähig sein.

Schnelle Audit-Checkliste

• Keine nicht-essentiellen Cookies werden vor der Einwilligung aktiviert
• Akzeptieren und Ablehnen sind auf der ersten Ebene gleich sichtbar
• Individuelle Kategorieauswahl ist verfügbar
• Keine vorausgewählten Schalter für nicht-essentielle Kategorien
• Die Website ist zugänglich, auch wenn der Nutzer alles ablehnt
• Die Banner-Sprache stimmt mit der Inhaltssprache überein
• Einfache, nicht-technische Sprache wird verwendet
• Link zur vollständigen Cookie-Richtlinie ist auf dem Banner sichtbar
• Die Cookie-Richtlinie listet jedes Cookie nach Name, Zweck und Dauer auf
• Ein dauerhaftes Widget ermöglicht das erneute Öffnen der Einwilligungsoberfläche
• Der Widerruf der Einwilligung erfordert die gleiche Anzahl an Klicks wie deren Erteilung
• Einwilligungsdatensätze werden mit Zeitstempeln protokolliert
• Datenempfänger Dritter sind offengelegt
• Das Banner ist auf Mobilgeräten funktionsfähig
• Keine manipulativen Farben, Größen oder Formulierungen

Automatisieren Sie es: FlexyConsent erfüllt alle Anforderungen sofort — Google-zertifizierte CMP mit IAB TCF 2.3, Consent Mode V2, 43+ Sprachen, Pläne ab EUR 0/Monat. Starten Sie auf panel.flexyconsent.com.