Cookies sind kleine Datendateien, die auf Websites genutzt werden, um Besucher zu erkennen, Websitefunktionen zu ermöglichen oder Nutzerverhalten zu analysieren. Doch sie bergen Risiken: Wenn Cookies ohne gültige Einwilligung gesetzt werden, drohen rechtliche Probleme – nicht nur für Website-Betreiber, sondern auch für Anbieter solcher Cookie-Tools. Unternehmen sollten deshalb wissen: Wer haftet? Und wie lässt sich das verhindern?
Rechtliche GrundlagenIn Deutschland regelt das TDDDG, dass das Speichern oder Auslesen von Daten auf Endgeräten – also auch Cookies – nur erlaubt ist, wenn Nutzer vorgängig ihre ausdrückliche Zustimmung gegeben haben. Technisch notwendige Cookies (z. B. für den Warenkorb) sind davon ausgenommen, alle anderen müssen aktiv bestätigt werden.
b) Anforderungen der DSGVODie Datenschutz-Grundverordnung (DSGVO) verlangt zudem eine freiwillige, informierte und eindeutige Einwilligung zur Verarbeitung personenbezogener Daten – wie sie beim Setzen von Tracking- oder Analyse-Cookies anfällt.
Das Urteil des OLG Frankfurt (Az. 6 U 192/23)Das Oberlandesgericht Frankfurt hat entschieden:
- Auch Cookie-Anbieter (wie Tracking-Tools oder Analyse-Dienste) können haftbar sein, wenn durch ihre Tools Cookies auf Webseiten gesetzt werden – und zwar auch ohne direkten technischen Zugriff.
- Selbst wenn der Anbieter seine Kunden zur Einholung der Einwilligung verpflichtet, reicht das nicht aus. Er muss nachweisen, dass Nutzer wirksam eingewilligt haben.
- Kommt er dem nicht nach, kann er auf Unterlassung geklagt werden – ganz gleich, ob er selbst technisch greift oder Firmen die Tools einsetzen.
- Verantwortung teilen sich neuerdings beide: Website-Betreiber und Cookie-Anbieter haften.
- Einwilligungs-Lösungen sind gefragt: Banner & Cookies müssen rechtskonform gestaltet und technisch umgesetzt sein.
- Beweispflicht liegt bei Anbieter und Betreiber: Es muss dokumentierbar sein, dass Nutzer aktiv zugestimmt haben.
Unternehmen müssen beim Banner auf Folgendes achten:
- Opt-in-Verfahren: Cookies dürfen erst nach aktivem Klick zugelassen werden.
- Gleichwertige Buttons: „Akzeptieren" und „Ablehnen" müssen optisch gleichwertig sein.
- Klare Sprache & Transparenz: Zweck, Anbieter, Datenarten sowie Links zur Datenschutzerklärung müssen im Banner stehen.
- Einfacher Widerspruch: Ablehnen muss genauso leicht möglich sein wie Zustimmen.
- Keine Voreinstellungen: Checkboxen dürfen nicht vorausgewählt sein.
- Banner sichtbar bei Erstbesuch, ohne Inhalte zu verdecken oder Zugriff auf wichtige Links wie Impressum zu blockieren.
Als Datenschutzbeauftragter empfehle ich folgendes Vorgehen:
Schritt 1: Cookie-Analyse- Erfasse alle eingesetzten Cookies und Tools.
- Unterscheide technisch notwendige von einwilligungsbedürftigen Cookies.
- Aktive Zustimmung durch Nutzer erforderlich.
- Gleichgewichtete Buttons und klare Texte einbauen.
- Direktes Ablehnen ermöglichen.
- Zeit, Umfang, Art der Einwilligung speichern.
- Widerrufsoption bereitstellen.
- Verantwortungen und Nachweispflichten vertraglich festlegen.
- Vertraglich regeln, dass Anbieter Einwilligungsnachweis führt.
- Audit jährlich durchführen.
- Mitarbeitende aus Technik, Marketing und Recht schulen.
- Rechtliches Risiko: Abmahnungen, Unterlassungsklagen und Bußgelder (bis 300 000 € nach TDDDG und deutlich mehr nach DSGVO).
- Reputation & Vertrauen: Transparenz stärkt die Kundenbindung und schützt den Ruf.
- Wettbewerbsvorteil: DSGVO-Konformität zeigt Professionalität.
| Frage | Antwort |
|---|---|
| Sind technisch notwendige Cookies erlaubt? | Ja – aber alles andere benötigt Opt‑in. |
| Gelten die Regeln nur in Deutschland? | Bisher nur national, doch überall in der EU ähnliche Rechtsprechung zu erwarten. |
| Was passiert ohne Einwilligungsnachweis? | Anbieter haften – auch wenn die technische Integration allein durch Website-Betreiber erfolgt. |
| Reicht ein Standard Consent-Tool? | Nur wenn es korrekt umgesetzt ist: Opt-in, gleichwertige Buttons, Dokumentation. |
| Was tun bei Gesetzesänderungen? | Audit, Banner-Anpassung, Schulungen – laufend dranbleiben. |
- Alle Cookies und Tools inventarisieren.
- Banner rechtssicher gestalten und umsetzen.
- Einwilligungen dokumentieren und Widerrufsoption bieten.
- Anbieter in Verträgen klar regeln.
- Mitarbeitende schulen und Audits durchführen.
Unternehmen müssen sich strikt an die Einwilligungspflichten halten – sowohl als Website-Betreiber als auch als Anbieter von Cookie-Tools. Ein korrekt gestaltetes Opt-in-Cookie-Banner, eine gute Dokumentation und klare vertragliche Regelungen sind unerlässlich. So schützt man sich vor Abmahnungen, Bußgeldern und Imageverlust – und wird zum vertrauenswürdigen Partner im digitalen Raum.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz