Leitfaden zur Implementierung von Cookie-Einwilligungen: Rechtskonformes Einwilligungsmanagement

Seit 2020 wurden DSGVO-Bußgelder in Höhe von mehr als 400 Millionen Euro speziell für Verstöße gegen die Cookie-Einwilligung verhängt. Die französische CNIL verhängte eine Geldstrafe von 150 Millionen Euro gegen Google und 60 Millionen Euro gegen Facebook, weil es einfacher war, Cookies zu akzeptieren als sie abzulehnen. Die Cookie-Einwilligung ist kein Kontrollkästchen mehr – es handelt sich um einen stark durchgesetzten Bereich des Datenschutzrechts mit spezifischen technischen Anforderungen.

Dieser Leitfaden behandelt die rechtlichen Anforderungen, die technische Umsetzung und die laufende Verwaltung der Cookie-Einwilligung für Websites und Webanwendungen.

Wichtige Erkenntnisse

• Gemäß DSGVO und ePrivacy muss die Einwilligung eingeholt werden, BEVOR nicht wesentliche Cookies gesetzt werden – nicht danach
• Die Einwilligung muss genauso einfach zu widerrufen wie zu erteilen sein (Verweigerung mit einem Klick, nicht in den Einstellungen vergraben).
• Cookie-Walls („Akzeptieren oder Verlassen“) sind in den meisten EU-Mitgliedstaaten illegal
• Google Consent Mode v2 ist seit März 2024 für Google Analytics und Ads im EWR erforderlich

---

Gesetzliche Anforderungen nach Region

Vergleich der Cookie-Einwilligungsanforderungen

Was als Cookie zählt

Die ePrivacy-Richtlinie deckt nicht nur HTTP-Cookies ab, sondern alle Technologien, die Informationen auf dem Gerät des Benutzers speichern oder darauf zugreifen:

• HTTP-Cookies (Erstanbieter und Drittanbieter)
• LocalStorage und SessionStorage
• IndexedDB
• Fingerabdruck des Geräts
• Tracking-Pixel/Web-Beacons
• Zur Nachverfolgung verwendete ETags

---

Cookie-Kategorisierung

Standardkategorien

Überprüfen Sie Ihre Cookies

Bevor Sie die Einwilligung umsetzen, überprüfen Sie jedes Cookie, das Ihre Website setzt:

// Browser console: list all cookies
document.cookie.split(';').forEach(c => console.log(c.trim()));

// Or use a scanning tool
// cookiebot.com/en/cookie-checker
// 2gdpr.com

Dokumentieren Sie jedes Cookie:

---

Technische Umsetzung

Option 1: Consent Management Platform (CMP)

Option 2: Benutzerdefinierte Implementierung

Für Teams, die die volle Kontrolle wollen:

// lib/cookie-consent.ts
type ConsentCategory = 'necessary' | 'functional' | 'analytics' | 'marketing';

interface ConsentPreferences {
  necessary: true; // Always true, cannot be changed
  functional: boolean;
  analytics: boolean;
  marketing: boolean;
  timestamp: string;
  version: string;
}

const CONSENT_COOKIE = 'ecosire_consent';
const CONSENT_VERSION = '2.0';
const CONSENT_DURATION = 365; // days

export function getConsent(): ConsentPreferences | null {
  const cookie = document.cookie
    .split(';')
    .find(c => c.trim().startsWith(`${CONSENT_COOKIE}=`));

  if (!cookie) return null;

  try {
    const prefs = JSON.parse(decodeURIComponent(cookie.split('=')[1]));
    // Invalidate if consent version changed
    if (prefs.version !== CONSENT_VERSION) return null;
    return prefs;
  } catch {
    return null;
  }
}

export function setConsent(preferences: Omit<ConsentPreferences, 'necessary' | 'timestamp' | 'version'>) {
  const consent: ConsentPreferences = {
    necessary: true,
    ...preferences,
    timestamp: new Date().toISOString(),
    version: CONSENT_VERSION,
  };

  const expires = new Date(Date.now() + CONSENT_DURATION * 86400000).toUTCString();
  document.cookie = `${CONSENT_COOKIE}=${encodeURIComponent(JSON.stringify(consent))}; expires=${expires}; path=/; SameSite=Lax`;

  // Apply consent decisions
  applyConsent(consent);

  return consent;
}

function applyConsent(consent: ConsentPreferences) {
  if (consent.analytics) {
    // Initialize Google Analytics
    loadScript('https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX');
  }

  if (consent.marketing) {
    // Initialize marketing pixels
    loadScript('https://connect.facebook.net/en_US/fbevents.js');
  }

  if (!consent.analytics) {
    // Remove analytics cookies
    deleteCookie('_ga');
    deleteCookie('_gid');
  }

  if (!consent.marketing) {
    // Remove marketing cookies
    deleteCookie('_fbp');
    deleteCookie('_fbc');
  }
}

Google Consent Mode v2

Erforderlich für Google Analytics und Google Ads im EWR seit März 2024:

<!-- Set default consent state BEFORE loading Google tags -->
<script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}

  // Default: deny all until user consents
  gtag('consent', 'default', {
    'ad_storage': 'denied',
    'ad_user_data': 'denied',
    'ad_personalization': 'denied',
    'analytics_storage': 'denied',
    'functionality_storage': 'denied',
    'personalization_storage': 'denied',
    'security_storage': 'granted', // Always granted (necessary)
    'wait_for_update': 500 // Wait for CMP
  });
</script>

<!-- Load Google Tag Manager -->
<script async src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX"></script>

Wenn der Benutzer seine Einwilligung erteilt:

// Update consent state when user interacts with banner
function updateGoogleConsent(preferences) {
  gtag('consent', 'update', {
    'ad_storage': preferences.marketing ? 'granted' : 'denied',
    'ad_user_data': preferences.marketing ? 'granted' : 'denied',
    'ad_personalization': preferences.marketing ? 'granted' : 'denied',
    'analytics_storage': preferences.analytics ? 'granted' : 'denied',
    'functionality_storage': preferences.functional ? 'granted' : 'denied',
    'personalization_storage': preferences.functional ? 'granted' : 'denied',
  });
}

---

Designanforderungen für Einwilligungsbanner

EU-Rechtsanforderungen

• Das Banner erscheint, BEVOR nicht unbedingt erforderliche Cookies gesetzt werden
• Die Schaltflächen „Alle akzeptieren“ und „Alle ablehnen“ sind optisch gleich hervorgehoben
• Detaillierte Kategorieauswahl verfügbar (nicht nur „Alles oder Nichts“)
• Keine vorab aktivierten Kontrollkästchen für nicht wesentliche Kategorien
• Klare Erklärung jeder Kategorie in einfacher Sprache
• Link zur vollständigen Cookie-Richtlinie
• Widerruf der Einwilligung jederzeit möglich (z. B. Footer-Link)
• Keine Cookie-Wall (Nutzung der Seite muss ohne Zustimmung möglich sein)
• Einwilligung mit Zeitstempel und Version erfasst

Barrierefreiheitsanforderungen

• Das Banner kann über die Tastatur navigiert werden
• Screenreader-kompatibel (ARIA-Labels)
• Ausreichender Farbkontrast
• Blockiert wesentliche Inhalte nicht dauerhaft

---

Cookie-freie Analytics-Alternative

Für Websites, die Cookie-Zustimmungsbanner vollständig vermeiden möchten:

Durch die Verwendung von Cookie-freien Analysen entfällt die Notwendigkeit einer Einwilligung zur Analyse, wodurch Ihr Einwilligungsbanner vereinfacht wird und nur Marketing-Cookies abdeckt (sofern verwendet).

---

Häufig gestellte Fragen

Brauchen wir ein Cookie-Banner, wenn wir nur notwendige Cookies verwenden?

Nein. Wenn Sie nur unbedingt notwendige Cookies (Authentifizierung, CSRF, Lastausgleich) verwenden, ist keine Einwilligung erforderlich und es ist kein Banner erforderlich. Sie sollten diese Cookies jedoch dennoch in Ihrer Datenschutzerklärung offenlegen. Sobald Sie Analysen (Google Analytics) oder Tracking von Drittanbietern hinzufügen, wird ein Einwilligungsbanner in der EU gesetzlich vorgeschrieben.

Ist es legal, ein „Soft-Opt-in“ zu verwenden (Weitersurfen = Zustimmung)?

Nein, nicht gemäß DSGVO. Der Europäische Datenschutzausschuss hat ausdrücklich erklärt, dass fortgesetztes Surfen, Scrollen oder ähnliche passive Aktionen keine gültige Einwilligung darstellen. Die Zustimmung muss eine klare, positive Handlung sein – das Klicken auf eine Schaltfläche mit der Aufschrift „Akzeptieren“ oder ähnliches. Soft-Opt-in wurde im Fall Planet49 als nicht konform eingestuft (EuGH, 2019).

Wie gehen wir mit der Einwilligung für einseitige Bewerbungen um?

Überprüfen Sie bei SPAs den Zustimmungsstatus beim ersten Laden der Seite und bei jeder Routenänderung. Wenn keine Einwilligung erteilt wurde, initialisieren Sie keine Tracking-Skripte. Speichern Sie Einwilligungspräferenzen in einem Erstanbieter-Cookie (das selbst unbedingt erforderlich ist, um die Einwilligung zu speichern). Wenn der Benutzer seine Einwilligung erteilt, initialisieren Sie Tracking-Skripte, ohne dass die Seite neu geladen werden muss.

Benötigen wir eine Cookie-Einwilligung für unsere Odoo-Website?

Wenn Ihre Odoo-Website EU-Besucher bedient und Analysen, Marketing-Pixel oder funktionale Cookies über das unbedingt Notwendige hinaus verwendet, ja. Odoo verfügt über einen grundlegenden Cookie-Hinweis, der jedoch nicht den DSGVO-Standards entspricht. Implementieren Sie ein geeignetes CMP wie Cookiebot oder erstellen Sie eine benutzerdefinierte Lösung. ECOSIRE stellt Odoo-Website-Dienste bereit, die eine DSGVO-konforme Cookie-Einwilligung beinhalten.

---

Was als nächstes kommt

Die Cookie-Einwilligung ist der sichtbarste Aspekt der Einhaltung des Datenschutzes im Internet. Kombinieren Sie es mit Privacy by Design für Ihre Anwendungsarchitektur, Data Governance für Ihr vollständiges Datenprogramm und Cybersicherheitsbestimmungen für eine umfassendere Compliance.

Kontaktieren Sie ECOSIRE für die Implementierung der Cookie-Einwilligung und Beratung zur Einhaltung der Datenschutzbestimmungen.

---

Veröffentlicht von ECOSIRE – Unterstützung von Unternehmen bei der Umsetzung von Datenschutz-Compliances, denen Benutzer vertrauen.