Neue Verordnung zur Cookie-Verwaltung

Dauerhafte Einwilligung statt ständiger neuer Zustimmungen

Am 9. Januar 2025 entschied der Europäische Gerichtshof (Az. C-394/23), dass die verpflichtende Angabe einer Anrede in Onlineformularen gegen die Datenschutz-Grundverordnung verstößt, wenn sie nicht zwingend erforderlich ist. Unabhängig davon gilt seit dem 1. April 2025 eine neue Regelung zur Cookie-Zustimmung, nach der Nutzer unter bestimmten Voraussetzungen nicht mehr bei jedem Webseitenbesuch erneut ihre Einwilligung erteilen müssen. Stattdessen können sie ihre Entscheidungen zu Browser-Dateien wie Tracking-Cookies dauerhaft hinterlegen. Grundlage hierfür ist die neue Verordnung über Dienste zur Einwilligungsverwaltung, die einen Rechtsrahmen für unabhängige Verwaltungsdienste schafft. Bundestag und Bundesrat haben der Verordnung bereits im vergangenen Jahr zugestimmt.

Cookies ermöglichen es Webservern, Nutzer wiederzuerkennen, benutzerspezifische Einstellungen zu speichern, Tracking durchzuführen oder gezielte Werbung einzublenden. Bisher mussten Anbieter von Telemedien gemäß der Datenschutz-Grundverordnung (DS-GVO) bei jeder Nutzung ihres Dienstes eine Zustimmung einholen. Mit der neuen Regelung sollen Nutzer künftig weniger durch Vorschaltbanner gestört werden, wenn sie einmal ihre Einwilligung erteilt haben.

 

 

Details der Verordnung

Die Verordnung basiert auf § 26 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG). Sie sieht die Entwicklung nutzerfreundlicher und wettbewerbskonformer Dienste zur Einwilligungsverwaltung vor, beispielsweise durch Personal-Information-Management-Systeme (PIMS) oder Single-Sign-on-Lösungen. Die Einbindung solcher Dienste bleibt jedoch freiwillig, und pauschale Voreinstellungen zu Tracking-Cookies sind nicht vorgesehen.

Entscheidungen der Nutzer gelten bis zum Widerruf oder bis sich aus dem Kontext etwas anderes ergibt. Anerkannte Dienste dürfen frühestens nach einem Jahr an die Einstellungen erinnern. Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider prüft Sicherheitskonzepte potenzieller Anbieter, doch bisher liegen keine Anträge auf Anerkennung vor.

 

Technische Umsetzung

Zur Einholung von Cookie-Entscheidungen werden verschiedene technische Anwendungen genutzt, die den rechtlichen Anforderungen der DS-GVO und der ePrivacy-Verordnung entsprechen. Hier sind einige gängige Lösungen:

 

Usercentrics

  • individuelle Cookie-Banner mit umfangreichen Anpassungsmöglichkeiten
  • Unterstützt mehrere Domains und Apps gleichzeitig, ohne die Ladezeit zu beeinträchtigen. Bietet zertifizierte Zeitstempelung und Webhooks.
  • Einsatzbereich: plattformunabhängig, geeignet für komplexe Webseiten

 

Cookiebot

  • automatisierte Cookie-Scans, Berichterstattung und Blockierung von Cookies bis zur Zustimmung
  • Integration mit Google-Tag-Manager, DS-GVO-konform
  • Einsatzbereich: cloud-basierte Lösung für Webseiten

 

Borlabs-Cookie

  • Plugin für WordPress, das Cookie-Gruppen erstellt und individuelle Einwilligungen ermöglicht
  • anpassbares Layout und regelmäßige Updates für DS-GVO-Konformität
  • Einsatzbereich: speziell für WordPress-Seiten

 

PiwikPro-Consent-Manager

  • Verwaltung von Einwilligungen und Integration in die „Piwik Pro Analytics Suite“
  • zentralisierte Datenspeicherung und detaillierte Analysen
  • Einsatzbereich: Unternehmen mit hohem Analysebedarf

 

Diese Tools erleichtern es Webseitenbetreibern, die gesetzlichen Vorgaben zu erfüllen und den Nutzern Kontrolle über ihre Daten zu geben. Die Wahl des richtigen Tools hängt von den technischen Anforderungen und der Plattform ab.

 

Kritik von Verbraucherschützern

Verbraucherschützer bemängeln, dass Webseitenbetreiber abgegebene Entscheidungen nicht zwingend akzeptieren müssen. Nutzer könnten trotz Ablehnung von Cookies erneut um Zustimmung gebeten werden – nur ein Opt-in wäre dauerhaft gültig. Zudem könnten datenschutzfreundliche Browsereinstellungen wie „Do not track“ unterlaufen werden, da Cookies entgegen dem Wunsch der User gespeichert werden müssten. Dies benachteilige Hersteller, die ihre Nutzer schützen wollen.

Auch der niedersächsische Datenschutzbeauftragte Denis Lehmkemper äußert Zweifel daran, dass die Verordnung ihr Ziel erreicht. Trotz der Absicht, den Datenschutz und die digitale Selbstbestimmung zu stärken, bleibt die praktische Umsetzung kritisch.

Bei Fragen zu diesem und weiteren Themen zur Informationssicherheit und zum Datenschutz stehen wir Ihnen unter datenschutz@domusconsult.de zur Verfügung.