EuroComply
Konto erstellen
Back to blog
LeitfÀden 8 min read

ePrivacy und Cookies: Was im Jahr 2026 noch erforderlich ist

What you need to know: ePrivacy und Cookies: Was im Jahr 2026 noch erforderlich ist

Die ePrivacy-Richtlinie regelt weiterhin Cookies und elektronische Kommunikation in der EU – und die Durchsetzung hat sich verschĂ€rft. Dieser Leitfaden behandelt, wann eine Einwilligung erforderlich ist, welche Ausnahmen gelten und wie Sie eine datenschutzkonforme Cookie-Implementierung aufbauen.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Die Cookie-Einwilligung bleibt einer der am hĂ€ufigsten missverstandenen und verletzten Bereiche des EU-Datenschutzrechts. Trotz jahrelanger Durchsetzungsmaßnahmen betreiben viele Organisationen weiterhin nicht konforme Implementierungen – vorausgefĂŒllte HĂ€kchen, keine Ablehnungsoption, Einwilligung gekoppelt an die Nutzungsbedingungen.

Dieser Leitfaden behandelt den rechtlichen Rahmen, welche Technologien einer Einwilligung bedĂŒrfen, welche Ausnahmen gelten und wie eine konforme Implementierung im Jahr 2026 tatsĂ€chlich aussieht.

Der rechtliche Rahmen: Die ePrivacy-Richtlinie gilt weiterhin

Die ePrivacy-Richtlinie (2002/58/EG in der durch 2009/136/EG geĂ€nderten Fassung) regelt weiterhin die Verwendung von Cookies und Ă€hnlichen Tracking-Technologien in der gesamten EU. Die ePrivacy-Verordnung – die die Richtlinie ersetzen sollte – ist in den EU-Gesetzgebungsverhandlungen nach wie vor blockiert. Stand April 2026 ist die Richtlinie weiterhin in Kraft und in nationales Recht aller Mitgliedstaaten umgesetzt.

Die Cookie-Regelungen der Richtlinie finden sich in Artikel 5 Absatz 3: Das Speichern von Informationen oder der Zugriff auf bereits gespeicherte Informationen auf dem EndgerĂ€t einer Nutzerin oder eines Nutzers ist nur zulĂ€ssig, wenn die betroffene Person zuvor eine informierte Einwilligung erteilt hat. Dies gilt fĂŒr Cookies, Local Storage, IndexedDB, Pixel, Browser-Fingerprinting und jede andere Technologie, die Daten von einem GerĂ€t liest oder darauf schreibt.

Die DSGVO gilt fĂŒr den Einwilligungsmechanismus selbst: Die Einwilligung muss dem Standard von Artikel 7 entsprechen – freiwillig, spezifisch, informiert, eindeutig, durch eine klare aktive Handlung bekundet und jederzeit ohne Nachteil widerrufbar.

Was befreit ist

Artikel 5 Absatz 3 enthĂ€lt zwei Ausnahmen – Technologien, die zwingend erforderlich sind und daher keine Einwilligung benötigen:

1. Speicherung ausschließlich zur Übermittlung einer Nachricht – z. B. Session-Routing, Lastverteilung zwischen Servern. Diese sind auf Infrastrukturebene angesiedelt und enden mit der Kommunikation.

2. Zwingend erforderlich fĂŒr einen vom Nutzer ausdrĂŒcklich angeforderten Dienst – z. B. Warenkorb-Cookies, Session-Authentifizierungscookies, nutzerseitig eingestellte PrĂ€ferenz-Cookies (Sprache, Barrierefreiheitseinstellungen). Das SchlĂŒsselwort ist „zwingend" – der Dienst wĂŒrde ohne sie nicht funktionieren.

Diese Ausnahmen sind eng gefasst. Sie gelten nicht fĂŒr Bequemlichkeit. Ein Cookie ist zwingend erforderlich, wenn seine Entfernung eine Funktion, die die Nutzerin oder der Nutzer ausdrĂŒcklich angefordert hat, zum Erliegen bringen wĂŒrde. Bequemlichkeit, Analysen und Optimierung sind keine ausreichenden GrĂŒnde.

Was einer Einwilligung bedarf

Die folgenden Kategorien erfordern eine vorherige informierte Einwilligung – die Einwilligung muss eingeholt werden, bevor der Cookie gesetzt wird, nicht danach:

| Kategorie | Beispiele | Befreit? | |----------|---------|---------| | Analyse | Google Analytics 4, Matomo Cloud, Mixpanel | Nein | | Marketing / Werbung | Meta Pixel, Google Ads Conversion, Retargeting | Nein | | Soziale Medien | Facebook-Like-Button-Skripte, Twitter-Widgets | Nein | | A/B-Tests | Optimizely, VWO, Google Optimize | Nein | | Chat-Widgets | Intercom, Drift, Zendesk (sofern persistente Cookies gesetzt werden) | Nein | | Personalisierung | Empfehlungsmaschinen, die Nutzerprofile anlegen | Nein | | Session-Authentifizierung | Anmelde-Cookies, CSRF-Token | Ja | | Lastverteilung | Server-Affinity-Cookies | Ja | | Nutzereinstellungen | Vom Nutzer festgelegte Sprach- und Barrierefreiheitseinstellungen | Ja |

Der hĂ€ufigste Fehler: First-Party-Analysen als befreit zu behandeln. Das sind sie nicht. Die Ausnahme betrifft technische Notwendigkeit, nicht First-Party gegenĂŒber Third-Party. GA4 mit IP-Anonymisierung erfordert nach der ePrivacy-Richtlinie weiterhin eine Einwilligung.

Wirksame Einwilligung: Der DSGVO-Standard

Da die ePrivacy-Richtlinie bei der Einwilligung auf die DSGVO verweist, muss die Einwilligung Artikel 7 und ErwĂ€gungsgrund 32 erfĂŒllen:

Freiwillig – die Nutzerin oder der Nutzer darf fĂŒr die Verweigerung der Einwilligung nicht benachteiligt werden. Das bedeutet, dass die Ablehnungsoption ebenso zugĂ€nglich sein muss wie die Annahmeoption. Die AblehnungsschaltflĂ€che hinter einem „Einstellungen verwalten"-Ablauf zu verbergen, wĂ€hrend „Alle akzeptieren" prominent angezeigt wird, stellt keine freiwillige Einwilligung dar.

Spezifisch – die Einwilligung muss fĂŒr jeden einzelnen Zweck gesondert erteilt werden. Eine einzelne SchaltflĂ€che „Ich akzeptiere Cookies", die Analyse, Marketing und soziale Medien abdeckt, ist keine spezifische Einwilligung.

Informiert – Nutzende mĂŒssen wissen, wofĂŒr sie ihre Einwilligung erteilen: welche Cookies, welche Zwecke, welche Drittparteien, wie lange die Daten aufbewahrt werden.

Eindeutig – die Einwilligung muss durch eine klare aktive Handlung signalisiert werden. VorausgefĂŒllte KontrollkĂ€stchen sind unzulĂ€ssig. Das Scrollen einer Seite ist keine Einwilligung. Das bloße Weiternavigieren ist keine Einwilligung.

Widerrufbar – Nutzende mĂŒssen ihre Einwilligung ebenso leicht widerrufen können, wie sie diese erteilt haben. Ein PrĂ€ferenzzentrum, das ĂŒber einen dauerhaften Link (in der Regel in der Fußzeile) erreichbar ist, ist erforderlich.

„Einwilligung oder Bezahlung"-Modelle – bei denen Nutzende entweder in Werbe-Cookies einwilligen oder eine GebĂŒhr bezahlen können – werden von Aufsichtsbehörden in der gesamten EU aktiv geprĂŒft. Der EDPB hat 2024 Leitlinien herausgegeben, in denen er zu dem Schluss kommt, dass diese Modelle in den meisten FĂ€llen keine freiwillige Einwilligung darstellen. Vorsicht ist geboten.

Anforderungen an Cookie-Banner

Ein konformer Cookie-Banner muss Folgendes enthalten:

  • Klare Beschreibung jedes Zwecks – nicht „Ihre Erfahrung verbessern", sondern „Leistung von Werbekampagnen messen" oder „ein Profil Ihrer Interessen fĂŒr zielgerichtete Werbung erstellen".
  • Aufbewahrungsdauer fĂŒr jede Cookie-Kategorie.
  • Drittparteien – Angabe, welche Drittunternehmen ĂŒber Cookies Daten erhalten.
  • Granulare Steuerung – Nutzende mĂŒssen in der Lage sein, einzelne Kategorien zu akzeptieren oder abzulehnen, nicht nur alle oder keine.
  • Ablehnungsoption so prominent wie die Annahmeoption – die AblehnungsschaltflĂ€che muss sich auf derselben visuellen Ebene wie die AnnahmeschaltflĂ€che befinden, nicht verborgen hinter einem „PrĂ€ferenzen verwalten"-Link.
  • Keine Dark Patterns – so gestaltete EinwilligungsschaltflĂ€chen, dass sie inaktiv wirken, vorausgefĂŒllte KontrollkĂ€stchen, verwirrende Toggle-Logik (bei der „Ein" die Ablehnung der Einwilligung bedeutet) sowie wiederholte Einwilligungsanfragen nach einer Ablehnung sind allesamt rechtswidrig.

Berechtigtes Interesse: Nicht fĂŒr Cookies verwendbar

Berechtigtes Interesse (DSGVO Artikel 6 Absatz 1 Buchstabe f) kann nach der ePrivacy-Richtlinie nicht als Rechtsgrundlage fĂŒr nicht notwendige Cookies herangezogen werden. Die Richtlinie verlangt ausdrĂŒcklich eine Einwilligung. Berechtigtes Interesse ist kein Ersatz dafĂŒr.

Dies wurde vom EuGH in der Rechtssache Planet49 (Rs. C-673/17, 2019) bestĂ€tigt und seitdem von Aufsichtsbehörden in der gesamten EU konsequent angewendet. Wenn ein Consent-Management-Tool fĂŒr Analyse- oder Werbezwecke „berechtigtes Interesse" vorausgewĂ€hlt hat, handelt es sich um eine nicht konforme Implementierung.

Durchsetzung: Was tatsÀchlich geschehen ist

Die Durchsetzung hat sich seit 2023 intensiviert. Bemerkenswerte Maßnahmen:

  • CNIL (Frankreich) verhĂ€ngte 2022 Geldbußen von 150 Mio. € gegen Google und 60 Mio. € gegen Facebook, weil die Ablehnung von Cookies schwieriger war als deren Annahme. Die CNIL stellte fest, dass ein Klick zum Akzeptieren gegenĂŒber mehreren Klicks zum Ablehnen den Standard der freiwilligen Einwilligung verletzt.
  • APD (Belgien) und Datatilsynet (Norwegen) haben beide Entscheidungen gegen große Publisher wegen Dark Patterns in Cookie-Bannern getroffen.
  • Das Transparency and Consent Framework der IAB Europe wurde von der APD als DSGVO-widrig eingestuft und musste neu aufgebaut werden – was zeigt, dass selbst branchenweit verbreitete CMPs nicht konform sein können.
  • Mehrere Aufsichtsbehörden in der EU haben Cookie-Sweep-Durchsetzungsmaßnahmen eingeleitet, die auf bestimmte Sektoren abzielen (Nachrichtenmedien, E-Commerce, Websites des öffentlichen Sektors).

Technische Umsetzungs-Checkliste

Anforderungen an die Consent-Management-Plattform (CMP):

  • Blockiert alle nicht notwendigen Cookies vor der Einwilligung (keine Cookies beim Laden der Seite)
  • Erfasst die Einwilligung mit Zeitstempel, Version und nutzerspezifischem Bezeichner
  • Bietet granulare Kategoriesteuerung
  • Stellt den Widerrufsmechanismus auf allen Seiten bereit
  • Übermittelt das Einwilligungssignal korrekt an alle Drittanbieter-Skripte

Cookie-Audit:

  • FĂŒhren Sie ein Inventar aller von Ihrer Website gesetzten Cookies und ihrer Zwecke
  • Klassifizieren Sie jeden Cookie als zwingend erforderlich, funktional, analytisch oder marketingbezogen
  • ÜberprĂŒfen Sie diese Klassifizierung anhand der technischen RealitĂ€t (Was tut der Cookie tatsĂ€chlich?)
  • ÜberprĂŒfen Sie nach dem HinzufĂŒgen eines neuen Drittanbieter-Tools

VierteljĂ€hrliche ÜberprĂŒfung:

  • Erneutes Cookie-Audit nach Plattform-Updates
  • PrĂŒfen, ob die CMP nicht notwendige Cookies vor der Einwilligung blockiert
  • Den Ablehnungsablauf testen: Sicherstellen, dass nach einem Klick auf „Ablehnen" keine Analyse- oder Marketing-Cookies gesetzt werden

Zuletzt aktualisiert: April 2026. Ausschließlich zu Informationszwecken – keine Rechtsberatung.

HĂ€ufig gestellte Fragen

MĂŒssen alle Cookies nach der ePrivacy-Richtlinie einer Einwilligung unterliegen?

Nein – Artikel 5 Absatz 3 der ePrivacy-Richtlinie enthĂ€lt zwei enge Ausnahmen. Cookies, die zwingend erforderlich sind, um eine Kommunikation ĂŒber ein Netz zu ĂŒbermitteln, bedĂŒrfen ebenso wenig einer Einwilligung wie Cookies, die zwingend erforderlich sind, um einen vom Nutzer ausdrĂŒcklich angeforderten Dienst bereitzustellen. Beispiele hierfĂŒr sind Session-Authentifizierungstoken, Warenkorb-Bezeichner und Lastverteilungs-Cookies. Die Ausnahmen werden jedoch eng ausgelegt: Ein Cookie ist nur dann zwingend erforderlich, wenn der Dienst ohne ihn ĂŒberhaupt nicht funktionieren wĂŒrde. Analyse-Cookies, Werbe-Pixel und Personalisierungs-Cookies erfĂŒllen diese Voraussetzung unabhĂ€ngig davon nicht, ob es sich um First-Party- oder Third-Party-Cookies handelt.

Was muss ein DSGVO-konformer Cookie-Einwilligungsbanner enthalten?

Ein konformer Banner muss eine klare Beschreibung jedes Cookie-Zwecks enthalten (keine vagen Formulierungen wie „Ihre Erfahrung verbessern"), die Aufbewahrungsdauer fĂŒr jede Kategorie angeben, die Drittunternehmen benennen, die Daten erhalten, granulare Steuerungen anbieten, damit Nutzende einzelne Kategorien akzeptieren oder ablehnen können, und die Ablehnungsoption mit derselben visuellen Prominenz wie die Annahmeoption prĂ€sentieren. VorausgefĂŒllte KontrollkĂ€stchen sind nach Artikel 7 DSGVO unzulĂ€ssig, und der EuGH hat in Planet49 (Rs. C-673/17) bestĂ€tigt, dass das Scrollen oder das Weiterbrowsen keine wirksame Einwilligung darstellt. Nutzende mĂŒssen ihre Einwilligung außerdem ebenso leicht widerrufen können, wie sie diese erteilt haben, in der Regel ĂŒber einen dauerhaften PrĂ€ferenzlink.

Ersetzt die ePrivacy-Verordnung im Jahr 2026 die ePrivacy-Richtlinie?

Nein. Stand Anfang 2026 steckt die vorgeschlagene ePrivacy-Verordnung nach wie vor in den EU-Gesetzgebungsverhandlungen fest. Die ePrivacy-Richtlinie (2002/58/EG in der durch 2009/136/EG geĂ€nderten Fassung) gilt weiterhin und ist in nationales Recht aller EU-Mitgliedstaaten umgesetzt. Die vorgeschlagene Verordnung wĂŒrde die Regeln modernisieren und ohne nationale Umsetzung unmittelbar gelten, doch ist kein Annahmezeitplan bestĂ€tigt. Organisationen sollten weiterhin im Rahmen der aktuellen Richtlinie operieren und die Gesetzgebungsentwicklungen ĂŒber die EuropĂ€ische Kommission beobachten.

Quellen

  • EUR-Lex, Richtlinie 2002/58/EG (ePrivacy-Richtlinie) in geĂ€nderter Fassung: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32002L0058
  • EuropĂ€ischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemĂ€ĂŸ Verordnung 2016/679: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en
  • EuropĂ€ische Kommission, Gesetzgebungsvorschlag zur ePrivacy-Verordnung: https://digital-strategy.ec.europa.eu/en/policies/eprivacy-regulation

Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.

Key takeaways: ePrivacy und Cookies: Was im Jahr 2026 noch erforderlich ist

This article covers: Der rechtliche Rahmen: Die ePrivacy-Richtlinie gilt weiterhin, Was befreit ist, Was einer Einwilligung bedarf.

  • Der rechtliche Rahmen: Die ePrivacy-Richtlinie gilt weiterhin
  • Was befreit ist
  • Was einer Einwilligung bedarf
  • Wirksame Einwilligung: Der DSGVO-Standard
  • Anforderungen an Cookie-Banner
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.

ePrivacy und Cookies: Was im Jahr 2026 noch erforderlich ist