Darf ich Google Analytics ohne Cookie-Einwilligung nutzen?

Nein. Google Analytics setzt analytische Cookies, die eine Einwilligung erfordern. Sie durfen erst Daten erheben, nachdem der Besucher aktiv zugestimmt hat. Eine Alternative ist ein cookieloses Analytics-Tool, aber selbst dann mussen Sie prufen, ob tatsachlich keine Cookies gesetzt werden.

Was sind streng notwendige Cookies?

Cookies, die fur die Funktion Ihrer Website unverzichtbar sind, wie Sitzungscookies fur einen Warenkorb, Login-Cookies und das Cookie, das die Cookie-Auswahl des Besuchers speichert. Diese durfen ohne Einwilligung gesetzt werden.

Wie oft muss ich mein Cookie-Banner aktualisieren?

Nach jeder Website-Anderung, die neue Cookies einfuhrt: ein neues Plugin, Analytics-Tool, Chat-Widget oder Social-Media-Integration. Fuhren Sie mindestens jahrlich ein vollstandiges Cookie-Audit durch.

Was passiert, wenn ein Besucher Cookies ablehnt?

Dann durfen Sie nur streng notwendige Cookies setzen. Die Website muss ohne analytische oder Marketing-Cookies normal funktionieren. Sie durfen den Besucher nicht blockieren oder benachteiligen, weil er ablehnt.

Cookies und Einwilligung - Was Mussen Sie Wissen? (DSGVO)

Cookies ohne gultige Einwilligung zu setzen ist einer der haufigsten DSGVO-Verstosse. Dieser Artikel erklart, welche Cookies eine Einwilligung erfordern, wie Sie ein korrektes Cookie-Banner einrichten und welche Fehler Sie vermeiden sollten.

Was sind Cookies eigentlich?

Cookies sind kleine Textdateien, die eine Website auf dem Gerat des Besuchers speichert. Sie dienen verschiedenen Zwecken: vom Merken eines Warenkorbs bis zum Verfolgen des Surfverhaltens fur Werbung. Unter der DSGVO und der ePrivacy-Richtlinie gelten strenge Regeln dafur, wann Sie Cookies setzen durfen.

Das Problem: Viele Unternehmer platzieren ein Cookie-Banner auf ihrer Website und denken, damit sei es erledigt. Aber ein Banner allein reicht nicht. Es geht darum, die richtige Einwilligung zum richtigen Zeitpunkt fur die richtigen Cookies einzuholen.

Drei Kategorien von Cookies

Nicht alle Cookies sind gleich. Die Gesetzgebung unterscheidet drei Hauptkategorien, fur die jeweils unterschiedliche Regeln gelten.

1. Streng notwendige Cookies (keine Einwilligung erforderlich)

Das sind Cookies, ohne die Ihre Website nicht funktioniert:

Sitzungscookies fur einen Warenkorb oder Login-Status
Das Cookie, das die Cookie-Auswahl des Besuchers speichert
Sicherheitscookies (z.B. CSRF-Token)

Diese durfen ohne Einwilligung gesetzt werden, mussen aber in Ihrer Cookie-Richtlinie aufgefuhrt sein.

2. Analytische Cookies (Einwilligung erforderlich)

Cookies, die das Besucherverhalten messen, wie Google Analytics, Hotjar oder Matomo (mit Standardeinstellungen). Auch wenn Sie die Daten nur intern verwenden, brauchen Sie eine vorherige Einwilligung.

Hinweis: Einige Analytics-Tools bieten einen “cookielosen Modus” an. Prufen Sie immer, ob tatsachlich keine Cookies gesetzt werden, denn der Name kann irrefuhrend sein.

3. Marketing-Cookies (Einwilligung erforderlich)

Cookies fur Werbung, Retargeting und den Aufbau von Besucherprofilen. Beispiele:

Facebook Pixel (_fbp)
Google Ads Remarketing
LinkedIn Insight Tag
Andere Werbenetzwerke

Marketing-Cookies unterliegen den strengsten Vorschriften. Die Einwilligung muss spezifisch, informiert und aktiv sein.

Ein DSGVO-konformes Cookie-Banner erfullt diese Anforderungen:

Keine Cookies vorab geladen. Nicht notwendige Cookies durfen erst nach aktiver Einwilligung des Besuchers gesetzt werden. Das bedeutet: Kein Google Analytics, kein Facebook Pixel, keine Marketing-Skripte, bis der Besucher auf “Akzeptieren” klickt.

Eine echte Wahl bieten. Der Besucher muss genauso einfach ablehnen wie akzeptieren konnen. Beide Buttons mussen gleich prominent sichtbar sein. Ein grosser gruner “Alle akzeptieren”-Button neben einem kleinen grauen “Mehr Info”-Link ist keine echte Wahl.

Einwilligung pro Kategorie einholen. Der Besucher muss wahlen konnen, welche Cookie-Kategorien gesetzt werden. Das Akzeptieren analytischer Cookies muss getrennt von Marketing-Cookies sein.

Die Wahl speichern. Ein Besucher, der ablehnt, darf nicht bei jedem Seitenbesuch erneut gefragt werden. Speichern Sie die Wahl (ironischerweise in einem streng notwendigen Cookie).

Einwilligung widerrufbar machen. Es muss eine Moglichkeit geben, die Cookie-Auswahl spater zu andern, zum Beispiel uber einen Link im Footer.

Das “Alle akzeptieren” Dark Pattern

Einer der haufigsten Fehler ist ein Cookie-Banner, das stark in Richtung “alle akzeptieren” lenkt. Die franzosische Aufsichtsbehorde CNIL hat dieses Problem ernst genommen.

2022 verhängte die CNIL Bussgelder gegen Google (150 Millionen Euro) und Facebook (60 Millionen Euro), weil deren Cookie-Banner das Ablehnen von Cookies unnotig erschwerten. Akzeptieren ging mit einem Klick, Ablehnen erforderte mehrere Schritte durch Untermenus.

Das gilt nicht nur fur Techgiganten. Die CNIL und andere Aufsichtsbehorden schauen auch auf kleinere Websites. Das Prinzip ist einfach: Wenn “Ablehnen” nicht genauso einfach ist wie “Akzeptieren”, ist die Einwilligung nicht gultig.

Konkret: Wenn Ihr Banner einen “Alle akzeptieren”-Button hat, muss daneben ein ebenso auffalliger “Alle ablehnen”-Button stehen. Nicht irgendwo in einem Untermenu versteckt.

Haufige Fehler

Cookies vor der Einwilligung laden. Google Analytics lauft bereits, bevor der Besucher eine Wahl getroffen hat. Das ist ein direkter Verstoss.
Nur “Akzeptieren” anbieten. Keine Ablehnungsoption, oder sie ist hinter mehreren Klicks versteckt.
Ungenaues Cookie-Banner. Das Banner nennt drei Cookies, aber ein Scan zeigt zwanzig. Das passiert, wenn kein Cookie-Audit durchgefuhrt wurde.
Vorangekreuzte Kontrollkastchen. Kategorien, die standardmassig auf “an” stehen. Das ist keine aktive Einwilligung.
Keine Cookie-Richtlinie. Ein Banner existiert, aber nirgends eine Erklarung, welche Cookies Sie setzen und wofur.
Cookie Wall. Die Website blockieren, bis der Besucher Cookies akzeptiert. Das ist in den meisten EU-Landern nicht erlaubt.

Der erste Schritt zu korrekter Cookie-Compliance ist zu wissen, welche Cookies Ihre Website setzt. Offnen Sie Ihre Website in einem Inkognito-Fenster, offnen Sie die Entwicklertools (F12) und prufen Sie den Tab Anwendung > Cookies. Sie werden wahrscheinlich uberrascht sein, was Sie finden.

description

Vorlage: Cookie-Audit

Erfassen Sie alle Cookies systematisch: welches Cookie, von wem, wofur, wie lange aktiv, und ob eine Einwilligung erforderlich ist.

Vorlage ansehen arrow_forward

Was sollten Sie jetzt tun?

Inventarisieren Sie alle Cookies auf Ihrer Website mit einem Cookie-Audit
Kategorisieren Sie diese als streng notwendig, analytisch oder Marketing
Prufen Sie, ob Ihr Cookie-Banner korrekte, aktive Einwilligung pro Kategorie einholt
Stellen Sie sicher, dass nicht notwendige Cookies erst nach Einwilligung geladen werden
Machen Sie Ablehnen genauso einfach wie Akzeptieren
Wiederholen Sie das Audit nach jeder Website-Anderung und mindestens jahrlich

auto_awesome Automatischer Cookie-Scan?

GDPRWise scannt Ihre Website und erkennt automatisch, welche Cookies, Tracker und Drittanbieter aktiv sind. So wissen Sie genau, was sich andern muss - ohne manuelles Suchen.

Kostenlosen Scan starten

Cookies und Einwilligung: Was Mussen Sie Wissen?