Teil unserer Compliance & Regulation-Serie
Den vollständigen Leitfaden lesenLeitfaden zur Implementierung von Cookie-Einwilligungen: Rechtskonformes Einwilligungsmanagement
Seit 2020 wurden DSGVO-Bußgelder in Höhe von mehr als 400 Millionen Euro speziell für Verstöße gegen die Cookie-Einwilligung verhängt. Die französische CNIL verhängte eine Geldstrafe von 150 Millionen Euro gegen Google und 60 Millionen Euro gegen Facebook, weil es einfacher war, Cookies zu akzeptieren als sie abzulehnen. Die Cookie-Einwilligung ist kein Kontrollkästchen mehr – es handelt sich um einen stark durchgesetzten Bereich des Datenschutzrechts mit spezifischen technischen Anforderungen.
Dieser Leitfaden behandelt die rechtlichen Anforderungen, die technische Umsetzung und die laufende Verwaltung der Cookie-Einwilligung für Websites und Webanwendungen.
Wichtige Erkenntnisse
- Gemäß DSGVO und ePrivacy muss die Einwilligung eingeholt werden, BEVOR nicht wesentliche Cookies gesetzt werden – nicht danach
- Die Einwilligung muss genauso einfach zu widerrufen wie zu erteilen sein (Verweigerung mit einem Klick, nicht in den Einstellungen vergraben).
- Cookie-Walls („Akzeptieren oder Verlassen“) sind in den meisten EU-Mitgliedstaaten illegal
- Google Consent Mode v2 ist seit März 2024 für Google Analytics und Ads im EWR erforderlich
Gesetzliche Anforderungen nach Region
Vergleich der Cookie-Einwilligungsanforderungen
| Anforderung | EU (DSGVO + ePrivacy) | UK (PECR + UK DSGVO) | USA (CCPA/Landesgesetze) | Brasilien (LGPD) | Kanada (PIPEDA) |
|---|---|---|---|---|---|
| Vorherige Zustimmung für nicht unbedingt erforderliche Cookies | Ja (Opt-in) | Ja (Opt-in) | Nein (Opt-Out-Modell) | Ja (Opt-in) | Stillschweigende Zustimmung erlaubt |
| Einwilligungsbanner erforderlich | Ja | Ja | Nicht erforderlich (aber empfohlen) | Ja | Empfohlen |
| Detaillierte Auswahl (nach Kategorie) | Ja | Ja | Nicht erforderlich | Ja | Empfohlen |
| Gleiche Bedeutung für akzeptieren/ablehnen | Ja | Ja | N/A | Ja | N/A |
| Cookie-Wall erlaubt | Nein (in den meisten Staaten) | Nein | N/A | Nein | N/A |
| Einverständniserklärung erforderlich | Ja | Ja | Nein | Ja | Ja |
| Zeitraum für die Erneuerung der Einwilligung | Maximal 12 Monate | Maximal 12 Monate | N/A | Nicht angegeben | Nicht angegeben |
| Cookie-Richtlinie erforderlich | Ja (ausführlich) | Ja (ausführlich) | Ja (bei Tracking) | Ja | Ja |
Was als Cookie zählt
Die ePrivacy-Richtlinie deckt nicht nur HTTP-Cookies ab, sondern alle Technologien, die Informationen auf dem Gerät des Benutzers speichern oder darauf zugreifen:
- HTTP-Cookies (Erstanbieter und Drittanbieter)
- LocalStorage und SessionStorage
- IndexedDB
- Fingerabdruck des Geräts
- Tracking-Pixel/Web-Beacons
- Zur Nachverfolgung verwendete ETags
Cookie-Kategorisierung
Standardkategorien
| Kategorie | Einwilligung erforderlich? | Beispiele | Standardstatus |
|---|---|---|---|
| Unbedingt notwendig | Nein | Sitzungscookies, CSRF-Tokens, Load-Balancer-Cookies, Authentifizierung | Immer an |
| Funktional/Einstellungen | Ja | Sprachpräferenz, Themenpräferenz, gespeicherter Warenkorb | Aus (bis Zustimmung) |
| Analytik / Leistung | Ja | Google Analytics, Hotjar, Plausible (mit Cookies) | Aus (bis Zustimmung) |
| Marketing / Werbung | Ja | Google Ads, Facebook Pixel, Retargeting-Cookies | Aus (bis Zustimmung) |
Überprüfen Sie Ihre Cookies
Bevor Sie die Einwilligung umsetzen, überprüfen Sie jedes Cookie, das Ihre Website setzt:
// Browser console: list all cookies
document.cookie.split(';').forEach(c => console.log(c.trim()));
// Or use a scanning tool
// cookiebot.com/en/cookie-checker
// 2gdpr.com
Dokumentieren Sie jedes Cookie:
| Cookie-Name | Kategorie | Zweck | Dauer | Erster/Dritter |
|---|---|---|---|---|
ecosire_auth | Unbedingt notwendig | Authentifizierung | Sitzung | Erstanbieter |
ecosire_refresh | Unbedingt notwendig | Token-Aktualisierung | 7 Tage | Erstanbieter |
NEXT_LOCALE | Unbedingt notwendig | Sprachpräferenz | 1 Jahr | Erstanbieter |
_ga | Analytik | Google Analytics-Besucher-ID | 2 Jahre | Drittanbieter (Google) |
_fbp | Marketing | Facebook-Pixel-Tracking | 90 Tage | Drittanbieter (Facebook) |
Technische Umsetzung
Option 1: Consent Management Platform (CMP)
| CMP | Kostenloses Kontingent | DSGVO-konform | Google CMP-Partner | IAB TCF 2.2 |
|---|---|---|---|---|
| Cookiebot | Bis zu 1 Seite | Ja | Ja | Ja |
| OneTrust | Nein | Ja | Ja | Ja |
| Osano | Bis zu 5.000 Besucher | Ja | Ja | Nein |
| Termly | Grundplan | Ja | Ja | Nein |
| Cookie-Skript | Bis zu 1 Website | Ja | Ja | Nein |
Option 2: Benutzerdefinierte Implementierung
Für Teams, die die volle Kontrolle wollen:
// lib/cookie-consent.ts
type ConsentCategory = 'necessary' | 'functional' | 'analytics' | 'marketing';
interface ConsentPreferences {
necessary: true; // Always true, cannot be changed
functional: boolean;
analytics: boolean;
marketing: boolean;
timestamp: string;
version: string;
}
const CONSENT_COOKIE = 'ecosire_consent';
const CONSENT_VERSION = '2.0';
const CONSENT_DURATION = 365; // days
export function getConsent(): ConsentPreferences | null {
const cookie = document.cookie
.split(';')
.find(c => c.trim().startsWith(`${CONSENT_COOKIE}=`));
if (!cookie) return null;
try {
const prefs = JSON.parse(decodeURIComponent(cookie.split('=')[1]));
// Invalidate if consent version changed
if (prefs.version !== CONSENT_VERSION) return null;
return prefs;
} catch {
return null;
}
}
export function setConsent(preferences: Omit<ConsentPreferences, 'necessary' | 'timestamp' | 'version'>) {
const consent: ConsentPreferences = {
necessary: true,
...preferences,
timestamp: new Date().toISOString(),
version: CONSENT_VERSION,
};
const expires = new Date(Date.now() + CONSENT_DURATION * 86400000).toUTCString();
document.cookie = `${CONSENT_COOKIE}=${encodeURIComponent(JSON.stringify(consent))}; expires=${expires}; path=/; SameSite=Lax`;
// Apply consent decisions
applyConsent(consent);
return consent;
}
function applyConsent(consent: ConsentPreferences) {
if (consent.analytics) {
// Initialize Google Analytics
loadScript('https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX');
}
if (consent.marketing) {
// Initialize marketing pixels
loadScript('https://connect.facebook.net/en_US/fbevents.js');
}
if (!consent.analytics) {
// Remove analytics cookies
deleteCookie('_ga');
deleteCookie('_gid');
}
if (!consent.marketing) {
// Remove marketing cookies
deleteCookie('_fbp');
deleteCookie('_fbc');
}
}
Google Consent Mode v2
Erforderlich für Google Analytics und Google Ads im EWR seit März 2024:
<!-- Set default consent state BEFORE loading Google tags -->
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
// Default: deny all until user consents
gtag('consent', 'default', {
'ad_storage': 'denied',
'ad_user_data': 'denied',
'ad_personalization': 'denied',
'analytics_storage': 'denied',
'functionality_storage': 'denied',
'personalization_storage': 'denied',
'security_storage': 'granted', // Always granted (necessary)
'wait_for_update': 500 // Wait for CMP
});
</script>
<!-- Load Google Tag Manager -->
<script async src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX"></script>
Wenn der Benutzer seine Einwilligung erteilt:
// Update consent state when user interacts with banner
function updateGoogleConsent(preferences) {
gtag('consent', 'update', {
'ad_storage': preferences.marketing ? 'granted' : 'denied',
'ad_user_data': preferences.marketing ? 'granted' : 'denied',
'ad_personalization': preferences.marketing ? 'granted' : 'denied',
'analytics_storage': preferences.analytics ? 'granted' : 'denied',
'functionality_storage': preferences.functional ? 'granted' : 'denied',
'personalization_storage': preferences.functional ? 'granted' : 'denied',
});
}
Designanforderungen für Einwilligungsbanner
EU-Rechtsanforderungen
- Das Banner erscheint, BEVOR nicht unbedingt erforderliche Cookies gesetzt werden
- Die Schaltflächen „Alle akzeptieren“ und „Alle ablehnen“ sind optisch gleich hervorgehoben
- Detaillierte Kategorieauswahl verfügbar (nicht nur „Alles oder Nichts“)
- Keine vorab aktivierten Kontrollkästchen für nicht wesentliche Kategorien
- Klare Erklärung jeder Kategorie in einfacher Sprache
- Link zur vollständigen Cookie-Richtlinie
- Widerruf der Einwilligung jederzeit möglich (z. B. Footer-Link)
- Keine Cookie-Wall (Nutzung der Seite muss ohne Zustimmung möglich sein)
- Einwilligung mit Zeitstempel und Version erfasst
Barrierefreiheitsanforderungen
- Das Banner kann über die Tastatur navigiert werden
- Screenreader-kompatibel (ARIA-Labels)
- Ausreichender Farbkontrast
- Blockiert wesentliche Inhalte nicht dauerhaft
Cookie-freie Analytics-Alternative
Für Websites, die Cookie-Zustimmungsbanner vollständig vermeiden möchten:
| Werkzeug | Kekse | DSGVO-Zustimmung erforderlich | Datenspeicherort | Preis |
|---|---|---|---|---|
| Plausibel | Keine | Nein | EU | 9 $/Monat |
| Ergründen | Keine | Nein | EU/USA/Kanada | 14 $/Monat |
| Umami | Keine | Nein | Selbstgehostet | Kostenlos |
| Einfache Analytik | Keine | Nein | EU | 9 $/Monat |
| Matomo (Cookie-freie Konfiguration) | Optional | Nein (ohne Cookies) | Selbstgehostet | Kostenlos |
Durch die Verwendung von Cookie-freien Analysen entfällt die Notwendigkeit einer Einwilligung zur Analyse, wodurch Ihr Einwilligungsbanner vereinfacht wird und nur Marketing-Cookies abdeckt (sofern verwendet).
Häufig gestellte Fragen
Brauchen wir ein Cookie-Banner, wenn wir nur notwendige Cookies verwenden?
Nein. Wenn Sie nur unbedingt notwendige Cookies (Authentifizierung, CSRF, Lastausgleich) verwenden, ist keine Einwilligung erforderlich und es ist kein Banner erforderlich. Sie sollten diese Cookies jedoch dennoch in Ihrer Datenschutzerklärung offenlegen. Sobald Sie Analysen (Google Analytics) oder Tracking von Drittanbietern hinzufügen, wird ein Einwilligungsbanner in der EU gesetzlich vorgeschrieben.
Ist es legal, ein „Soft-Opt-in“ zu verwenden (Weitersurfen = Zustimmung)?
Nein, nicht gemäß DSGVO. Der Europäische Datenschutzausschuss hat ausdrücklich erklärt, dass fortgesetztes Surfen, Scrollen oder ähnliche passive Aktionen keine gültige Einwilligung darstellen. Die Zustimmung muss eine klare, positive Handlung sein – das Klicken auf eine Schaltfläche mit der Aufschrift „Akzeptieren“ oder ähnliches. Soft-Opt-in wurde im Fall Planet49 als nicht konform eingestuft (EuGH, 2019).
Wie gehen wir mit der Einwilligung für einseitige Bewerbungen um?
Überprüfen Sie bei SPAs den Zustimmungsstatus beim ersten Laden der Seite und bei jeder Routenänderung. Wenn keine Einwilligung erteilt wurde, initialisieren Sie keine Tracking-Skripte. Speichern Sie Einwilligungspräferenzen in einem Erstanbieter-Cookie (das selbst unbedingt erforderlich ist, um die Einwilligung zu speichern). Wenn der Benutzer seine Einwilligung erteilt, initialisieren Sie Tracking-Skripte, ohne dass die Seite neu geladen werden muss.
Benötigen wir eine Cookie-Einwilligung für unsere Odoo-Website?
Wenn Ihre Odoo-Website EU-Besucher bedient und Analysen, Marketing-Pixel oder funktionale Cookies über das unbedingt Notwendige hinaus verwendet, ja. Odoo verfügt über einen grundlegenden Cookie-Hinweis, der jedoch nicht den DSGVO-Standards entspricht. Implementieren Sie ein geeignetes CMP wie Cookiebot oder erstellen Sie eine benutzerdefinierte Lösung. ECOSIRE stellt Odoo-Website-Dienste bereit, die eine DSGVO-konforme Cookie-Einwilligung beinhalten.
Was als nächstes kommt
Die Cookie-Einwilligung ist der sichtbarste Aspekt der Einhaltung des Datenschutzes im Internet. Kombinieren Sie es mit Privacy by Design für Ihre Anwendungsarchitektur, Data Governance für Ihr vollständiges Datenprogramm und Cybersicherheitsbestimmungen für eine umfassendere Compliance.
Kontaktieren Sie ECOSIRE für die Implementierung der Cookie-Einwilligung und Beratung zur Einhaltung der Datenschutzbestimmungen.
Veröffentlicht von ECOSIRE – Unterstützung von Unternehmen bei der Umsetzung von Datenschutz-Compliances, denen Benutzer vertrauen.
Geschrieben von
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Erweitern Sie Ihr Geschäft mit ECOSIRE
Unternehmenslösungen in den Bereichen ERP, E-Commerce, KI, Analyse und Automatisierung.
Verwandte Artikel
ERP für die chemische Industrie: Sicherheit, Compliance und Chargenverarbeitung
Wie ERP-Systeme SDS-Dokumente, REACH- und GHS-Konformität, Chargenverarbeitung, Qualitätskontrolle, Gefahrgutversand und Formelmanagement für Chemieunternehmen verwalten.
ERP für den Import-/Exporthandel: Mehrwährung, Logistik und Compliance
Wie ERP-Systeme Akkreditive, Zolldokumente, Incoterms, Gewinn- und Verlustrechnungen in mehreren Währungen, Containerverfolgung und Zollberechnung für Handelsunternehmen verwalten.
Nachhaltigkeits- und ESG-Reporting mit ERP: Compliance Guide 2026
Navigieren Sie im Jahr 2026 mit ERP-Systemen zur Einhaltung der ESG-Reporting-Compliance. Deckt CSRD, GRI, SASB, Scope 1/2/3-Emissionen, CO2-Tracking und Odoo-Nachhaltigkeit ab.
Mehr aus Compliance & Regulation
Cybersicherheit für E-Commerce: Schützen Sie Ihr Unternehmen im Jahr 2026
Vollständiger E-Commerce-Cybersicherheitsleitfaden für 2026. PCI DSS 4.0, WAF-Einrichtung, Bot-Schutz, Zahlungsbetrugsprävention, Sicherheitsheader und Reaktion auf Vorfälle.
ERP für die chemische Industrie: Sicherheit, Compliance und Chargenverarbeitung
Wie ERP-Systeme SDS-Dokumente, REACH- und GHS-Konformität, Chargenverarbeitung, Qualitätskontrolle, Gefahrgutversand und Formelmanagement für Chemieunternehmen verwalten.
ERP für den Import-/Exporthandel: Mehrwährung, Logistik und Compliance
Wie ERP-Systeme Akkreditive, Zolldokumente, Incoterms, Gewinn- und Verlustrechnungen in mehreren Währungen, Containerverfolgung und Zollberechnung für Handelsunternehmen verwalten.
Nachhaltigkeits- und ESG-Reporting mit ERP: Compliance Guide 2026
Navigieren Sie im Jahr 2026 mit ERP-Systemen zur Einhaltung der ESG-Reporting-Compliance. Deckt CSRD, GRI, SASB, Scope 1/2/3-Emissionen, CO2-Tracking und Odoo-Nachhaltigkeit ab.
Checkliste zur Prüfungsvorbereitung: Bereiten Sie Ihre Bücher vor
Vollständige Checkliste für die Prüfungsvorbereitung, die die Vorbereitung des Jahresabschlusses, die Begleitdokumentation, die Dokumentation der internen Kontrollen, die PBC-Listen der Prüfer und allgemeine Prüfungsfeststellungen umfasst.
Australischer GST-Leitfaden für E-Commerce-Unternehmen
Vollständiger australischer GST-Leitfaden für E-Commerce-Unternehmen, der die ATO-Registrierung, den Schwellenwert von 75.000 US-Dollar, Importe von geringem Wert, BAS-Einzahlung und GST für digitale Dienste abdeckt.