ePrivacy und Cookies: Was im Jahr 2026 noch erforderlich ist
What you need to know: ePrivacy und Cookies: Was im Jahr 2026 noch erforderlich ist
Die ePrivacy-Richtlinie regelt weiterhin Cookies und elektronische Kommunikation in der EU â und die Durchsetzung hat sich verschĂ€rft. Dieser Leitfaden behandelt, wann eine Einwilligung erforderlich ist, welche Ausnahmen gelten und wie Sie eine datenschutzkonforme Cookie-Implementierung aufbauen.
Die Cookie-Einwilligung bleibt einer der am hĂ€ufigsten missverstandenen und verletzten Bereiche des EU-Datenschutzrechts. Trotz jahrelanger DurchsetzungsmaĂnahmen betreiben viele Organisationen weiterhin nicht konforme Implementierungen â vorausgefĂŒllte HĂ€kchen, keine Ablehnungsoption, Einwilligung gekoppelt an die Nutzungsbedingungen.
Dieser Leitfaden behandelt den rechtlichen Rahmen, welche Technologien einer Einwilligung bedĂŒrfen, welche Ausnahmen gelten und wie eine konforme Implementierung im Jahr 2026 tatsĂ€chlich aussieht.
Der rechtliche Rahmen: Die ePrivacy-Richtlinie gilt weiterhin
Die ePrivacy-Richtlinie (2002/58/EG in der durch 2009/136/EG geĂ€nderten Fassung) regelt weiterhin die Verwendung von Cookies und Ă€hnlichen Tracking-Technologien in der gesamten EU. Die ePrivacy-Verordnung â die die Richtlinie ersetzen sollte â ist in den EU-Gesetzgebungsverhandlungen nach wie vor blockiert. Stand April 2026 ist die Richtlinie weiterhin in Kraft und in nationales Recht aller Mitgliedstaaten umgesetzt.
Die Cookie-Regelungen der Richtlinie finden sich in Artikel 5 Absatz 3: Das Speichern von Informationen oder der Zugriff auf bereits gespeicherte Informationen auf dem EndgerĂ€t einer Nutzerin oder eines Nutzers ist nur zulĂ€ssig, wenn die betroffene Person zuvor eine informierte Einwilligung erteilt hat. Dies gilt fĂŒr Cookies, Local Storage, IndexedDB, Pixel, Browser-Fingerprinting und jede andere Technologie, die Daten von einem GerĂ€t liest oder darauf schreibt.
Die DSGVO gilt fĂŒr den Einwilligungsmechanismus selbst: Die Einwilligung muss dem Standard von Artikel 7 entsprechen â freiwillig, spezifisch, informiert, eindeutig, durch eine klare aktive Handlung bekundet und jederzeit ohne Nachteil widerrufbar.
Was befreit ist
Artikel 5 Absatz 3 enthĂ€lt zwei Ausnahmen â Technologien, die zwingend erforderlich sind und daher keine Einwilligung benötigen:
1. Speicherung ausschlieĂlich zur Ăbermittlung einer Nachricht â z. B. Session-Routing, Lastverteilung zwischen Servern. Diese sind auf Infrastrukturebene angesiedelt und enden mit der Kommunikation.
2. Zwingend erforderlich fĂŒr einen vom Nutzer ausdrĂŒcklich angeforderten Dienst â z. B. Warenkorb-Cookies, Session-Authentifizierungscookies, nutzerseitig eingestellte PrĂ€ferenz-Cookies (Sprache, Barrierefreiheitseinstellungen). Das SchlĂŒsselwort ist âzwingend" â der Dienst wĂŒrde ohne sie nicht funktionieren.
Diese Ausnahmen sind eng gefasst. Sie gelten nicht fĂŒr Bequemlichkeit. Ein Cookie ist zwingend erforderlich, wenn seine Entfernung eine Funktion, die die Nutzerin oder der Nutzer ausdrĂŒcklich angefordert hat, zum Erliegen bringen wĂŒrde. Bequemlichkeit, Analysen und Optimierung sind keine ausreichenden GrĂŒnde.
Was einer Einwilligung bedarf
Die folgenden Kategorien erfordern eine vorherige informierte Einwilligung â die Einwilligung muss eingeholt werden, bevor der Cookie gesetzt wird, nicht danach:
| Kategorie | Beispiele | Befreit? | |----------|---------|---------| | Analyse | Google Analytics 4, Matomo Cloud, Mixpanel | Nein | | Marketing / Werbung | Meta Pixel, Google Ads Conversion, Retargeting | Nein | | Soziale Medien | Facebook-Like-Button-Skripte, Twitter-Widgets | Nein | | A/B-Tests | Optimizely, VWO, Google Optimize | Nein | | Chat-Widgets | Intercom, Drift, Zendesk (sofern persistente Cookies gesetzt werden) | Nein | | Personalisierung | Empfehlungsmaschinen, die Nutzerprofile anlegen | Nein | | Session-Authentifizierung | Anmelde-Cookies, CSRF-Token | Ja | | Lastverteilung | Server-Affinity-Cookies | Ja | | Nutzereinstellungen | Vom Nutzer festgelegte Sprach- und Barrierefreiheitseinstellungen | Ja |
Der hĂ€ufigste Fehler: First-Party-Analysen als befreit zu behandeln. Das sind sie nicht. Die Ausnahme betrifft technische Notwendigkeit, nicht First-Party gegenĂŒber Third-Party. GA4 mit IP-Anonymisierung erfordert nach der ePrivacy-Richtlinie weiterhin eine Einwilligung.
Wirksame Einwilligung: Der DSGVO-Standard
Da die ePrivacy-Richtlinie bei der Einwilligung auf die DSGVO verweist, muss die Einwilligung Artikel 7 und ErwĂ€gungsgrund 32 erfĂŒllen:
Freiwillig â die Nutzerin oder der Nutzer darf fĂŒr die Verweigerung der Einwilligung nicht benachteiligt werden. Das bedeutet, dass die Ablehnungsoption ebenso zugĂ€nglich sein muss wie die Annahmeoption. Die AblehnungsschaltflĂ€che hinter einem âEinstellungen verwalten"-Ablauf zu verbergen, wĂ€hrend âAlle akzeptieren" prominent angezeigt wird, stellt keine freiwillige Einwilligung dar.
Spezifisch â die Einwilligung muss fĂŒr jeden einzelnen Zweck gesondert erteilt werden. Eine einzelne SchaltflĂ€che âIch akzeptiere Cookies", die Analyse, Marketing und soziale Medien abdeckt, ist keine spezifische Einwilligung.
Informiert â Nutzende mĂŒssen wissen, wofĂŒr sie ihre Einwilligung erteilen: welche Cookies, welche Zwecke, welche Drittparteien, wie lange die Daten aufbewahrt werden.
Eindeutig â die Einwilligung muss durch eine klare aktive Handlung signalisiert werden. VorausgefĂŒllte KontrollkĂ€stchen sind unzulĂ€ssig. Das Scrollen einer Seite ist keine Einwilligung. Das bloĂe Weiternavigieren ist keine Einwilligung.
Widerrufbar â Nutzende mĂŒssen ihre Einwilligung ebenso leicht widerrufen können, wie sie diese erteilt haben. Ein PrĂ€ferenzzentrum, das ĂŒber einen dauerhaften Link (in der Regel in der FuĂzeile) erreichbar ist, ist erforderlich.
âEinwilligung oder Bezahlung"-Modelle â bei denen Nutzende entweder in Werbe-Cookies einwilligen oder eine GebĂŒhr bezahlen können â werden von Aufsichtsbehörden in der gesamten EU aktiv geprĂŒft. Der EDPB hat 2024 Leitlinien herausgegeben, in denen er zu dem Schluss kommt, dass diese Modelle in den meisten FĂ€llen keine freiwillige Einwilligung darstellen. Vorsicht ist geboten.
Anforderungen an Cookie-Banner
Ein konformer Cookie-Banner muss Folgendes enthalten:
- Klare Beschreibung jedes Zwecks â nicht âIhre Erfahrung verbessern", sondern âLeistung von Werbekampagnen messen" oder âein Profil Ihrer Interessen fĂŒr zielgerichtete Werbung erstellen".
- Aufbewahrungsdauer fĂŒr jede Cookie-Kategorie.
- Drittparteien â Angabe, welche Drittunternehmen ĂŒber Cookies Daten erhalten.
- Granulare Steuerung â Nutzende mĂŒssen in der Lage sein, einzelne Kategorien zu akzeptieren oder abzulehnen, nicht nur alle oder keine.
- Ablehnungsoption so prominent wie die Annahmeoption â die AblehnungsschaltflĂ€che muss sich auf derselben visuellen Ebene wie die AnnahmeschaltflĂ€che befinden, nicht verborgen hinter einem âPrĂ€ferenzen verwalten"-Link.
- Keine Dark Patterns â so gestaltete EinwilligungsschaltflĂ€chen, dass sie inaktiv wirken, vorausgefĂŒllte KontrollkĂ€stchen, verwirrende Toggle-Logik (bei der âEin" die Ablehnung der Einwilligung bedeutet) sowie wiederholte Einwilligungsanfragen nach einer Ablehnung sind allesamt rechtswidrig.
Berechtigtes Interesse: Nicht fĂŒr Cookies verwendbar
Berechtigtes Interesse (DSGVO Artikel 6 Absatz 1 Buchstabe f) kann nach der ePrivacy-Richtlinie nicht als Rechtsgrundlage fĂŒr nicht notwendige Cookies herangezogen werden. Die Richtlinie verlangt ausdrĂŒcklich eine Einwilligung. Berechtigtes Interesse ist kein Ersatz dafĂŒr.
Dies wurde vom EuGH in der Rechtssache Planet49 (Rs. C-673/17, 2019) bestĂ€tigt und seitdem von Aufsichtsbehörden in der gesamten EU konsequent angewendet. Wenn ein Consent-Management-Tool fĂŒr Analyse- oder Werbezwecke âberechtigtes Interesse" vorausgewĂ€hlt hat, handelt es sich um eine nicht konforme Implementierung.
Durchsetzung: Was tatsÀchlich geschehen ist
Die Durchsetzung hat sich seit 2023 intensiviert. Bemerkenswerte MaĂnahmen:
- CNIL (Frankreich) verhĂ€ngte 2022 GeldbuĂen von 150 Mio. ⏠gegen Google und 60 Mio. ⏠gegen Facebook, weil die Ablehnung von Cookies schwieriger war als deren Annahme. Die CNIL stellte fest, dass ein Klick zum Akzeptieren gegenĂŒber mehreren Klicks zum Ablehnen den Standard der freiwilligen Einwilligung verletzt.
- APD (Belgien) und Datatilsynet (Norwegen) haben beide Entscheidungen gegen groĂe Publisher wegen Dark Patterns in Cookie-Bannern getroffen.
- Das Transparency and Consent Framework der IAB Europe wurde von der APD als DSGVO-widrig eingestuft und musste neu aufgebaut werden â was zeigt, dass selbst branchenweit verbreitete CMPs nicht konform sein können.
- Mehrere Aufsichtsbehörden in der EU haben Cookie-Sweep-DurchsetzungsmaĂnahmen eingeleitet, die auf bestimmte Sektoren abzielen (Nachrichtenmedien, E-Commerce, Websites des öffentlichen Sektors).
Technische Umsetzungs-Checkliste
Anforderungen an die Consent-Management-Plattform (CMP):
- Blockiert alle nicht notwendigen Cookies vor der Einwilligung (keine Cookies beim Laden der Seite)
- Erfasst die Einwilligung mit Zeitstempel, Version und nutzerspezifischem Bezeichner
- Bietet granulare Kategoriesteuerung
- Stellt den Widerrufsmechanismus auf allen Seiten bereit
- Ăbermittelt das Einwilligungssignal korrekt an alle Drittanbieter-Skripte
Cookie-Audit:
- FĂŒhren Sie ein Inventar aller von Ihrer Website gesetzten Cookies und ihrer Zwecke
- Klassifizieren Sie jeden Cookie als zwingend erforderlich, funktional, analytisch oder marketingbezogen
- ĂberprĂŒfen Sie diese Klassifizierung anhand der technischen RealitĂ€t (Was tut der Cookie tatsĂ€chlich?)
- ĂberprĂŒfen Sie nach dem HinzufĂŒgen eines neuen Drittanbieter-Tools
VierteljĂ€hrliche ĂberprĂŒfung:
- Erneutes Cookie-Audit nach Plattform-Updates
- PrĂŒfen, ob die CMP nicht notwendige Cookies vor der Einwilligung blockiert
- Den Ablehnungsablauf testen: Sicherstellen, dass nach einem Klick auf âAblehnen" keine Analyse- oder Marketing-Cookies gesetzt werden
Zuletzt aktualisiert: April 2026. AusschlieĂlich zu Informationszwecken â keine Rechtsberatung.
HĂ€ufig gestellte Fragen
MĂŒssen alle Cookies nach der ePrivacy-Richtlinie einer Einwilligung unterliegen?
Nein â Artikel 5 Absatz 3 der ePrivacy-Richtlinie enthĂ€lt zwei enge Ausnahmen. Cookies, die zwingend erforderlich sind, um eine Kommunikation ĂŒber ein Netz zu ĂŒbermitteln, bedĂŒrfen ebenso wenig einer Einwilligung wie Cookies, die zwingend erforderlich sind, um einen vom Nutzer ausdrĂŒcklich angeforderten Dienst bereitzustellen. Beispiele hierfĂŒr sind Session-Authentifizierungstoken, Warenkorb-Bezeichner und Lastverteilungs-Cookies. Die Ausnahmen werden jedoch eng ausgelegt: Ein Cookie ist nur dann zwingend erforderlich, wenn der Dienst ohne ihn ĂŒberhaupt nicht funktionieren wĂŒrde. Analyse-Cookies, Werbe-Pixel und Personalisierungs-Cookies erfĂŒllen diese Voraussetzung unabhĂ€ngig davon nicht, ob es sich um First-Party- oder Third-Party-Cookies handelt.
Was muss ein DSGVO-konformer Cookie-Einwilligungsbanner enthalten?
Ein konformer Banner muss eine klare Beschreibung jedes Cookie-Zwecks enthalten (keine vagen Formulierungen wie âIhre Erfahrung verbessern"), die Aufbewahrungsdauer fĂŒr jede Kategorie angeben, die Drittunternehmen benennen, die Daten erhalten, granulare Steuerungen anbieten, damit Nutzende einzelne Kategorien akzeptieren oder ablehnen können, und die Ablehnungsoption mit derselben visuellen Prominenz wie die Annahmeoption prĂ€sentieren. VorausgefĂŒllte KontrollkĂ€stchen sind nach Artikel 7 DSGVO unzulĂ€ssig, und der EuGH hat in Planet49 (Rs. C-673/17) bestĂ€tigt, dass das Scrollen oder das Weiterbrowsen keine wirksame Einwilligung darstellt. Nutzende mĂŒssen ihre Einwilligung auĂerdem ebenso leicht widerrufen können, wie sie diese erteilt haben, in der Regel ĂŒber einen dauerhaften PrĂ€ferenzlink.
Ersetzt die ePrivacy-Verordnung im Jahr 2026 die ePrivacy-Richtlinie?
Nein. Stand Anfang 2026 steckt die vorgeschlagene ePrivacy-Verordnung nach wie vor in den EU-Gesetzgebungsverhandlungen fest. Die ePrivacy-Richtlinie (2002/58/EG in der durch 2009/136/EG geĂ€nderten Fassung) gilt weiterhin und ist in nationales Recht aller EU-Mitgliedstaaten umgesetzt. Die vorgeschlagene Verordnung wĂŒrde die Regeln modernisieren und ohne nationale Umsetzung unmittelbar gelten, doch ist kein Annahmezeitplan bestĂ€tigt. Organisationen sollten weiterhin im Rahmen der aktuellen Richtlinie operieren und die Gesetzgebungsentwicklungen ĂŒber die EuropĂ€ische Kommission beobachten.
Quellen
- EUR-Lex, Richtlinie 2002/58/EG (ePrivacy-Richtlinie) in geÀnderter Fassung: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32002L0058
- EuropÀischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemÀà Verordnung 2016/679: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en
- EuropÀische Kommission, Gesetzgebungsvorschlag zur ePrivacy-Verordnung: https://digital-strategy.ec.europa.eu/en/policies/eprivacy-regulation
Dieser Beitrag dient ausschlieĂlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.
Key takeaways: ePrivacy und Cookies: Was im Jahr 2026 noch erforderlich ist
This article covers: Der rechtliche Rahmen: Die ePrivacy-Richtlinie gilt weiterhin, Was befreit ist, Was einer Einwilligung bedarf.
- Der rechtliche Rahmen: Die ePrivacy-Richtlinie gilt weiterhin
- Was befreit ist
- Was einer Einwilligung bedarf
- Wirksame Einwilligung: Der DSGVO-Standard
- Anforderungen an Cookie-Banner
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing â 2 minutes, every Thursday.