InFocus · Begriff

Cookie-Einwilligung

Aktualisiert Juli 2026 ca. 8Minuten Norm-Anker: Art. 4, 7 DSGVO, § 25 TDDDG

AppCore IntelligenceUnit Redaktion, AppCore

Die AppCore IntelligenceUnit beobachtet die Entwicklung der einschlägigen Regulierung laufend und bereitet sie redaktionell auf.

  • Content-Compliance
  • Markenkommunikation

Die Cookie-Einwilligung ist die Erlaubnis, die ein Nutzer vor dem Einsatz nicht notwendiger Cookies erteilt. Ob sie rechtlich wirksam ist, hängt nicht vom Banner ab, sondern von klaren inhaltlichen Voraussetzungen.

In Kürze Wirksamkeits-Maßstab: Art. 4 Nr. 11, Art. 7 DSGVO, § 25 TDDDGMuss für jeden Zweck einzeln erteilt werden (Granularität)Kopplungsverbot: Zugang darf nicht von Einwilligung abhängenDer Verantwortliche muss die Einwilligung nachweisen könnenJederzeit mit Wirkung für die Zukunft widerrufbar

Was eine Cookie-Einwilligung rechtlich ausmacht

Die Cookie-Einwilligung ist die freiwillige, informierte und eindeutige Erklärung, mit der ein Nutzer dem Speichern und Auslesen von Informationen auf seinem Gerät zustimmt, soweit dies nicht technisch notwendig ist. Der Begriff der Einwilligung selbst ist in Artikel 4 Nummer 11 der DSGVO definiert und wird über Artikel 7 DSGVO für die Cookie-Praxis nutzbar gemacht.

Wichtig ist die Unterscheidung zum Cookie-Banner: Der Banner ist das technische Werkzeug, über das die Einwilligung eingeholt wird. Die Einwilligung selbst ist der rechtliche Vorgang dahinter, mit eigenen inhaltlichen Anforderungen, die unabhängig von der konkreten Gestaltung des Banners erfüllt sein müssen.

Eine Einwilligung, die diese inhaltlichen Anforderungen nicht erfüllt, ist unwirksam, selbst wenn der Banner technisch einwandfrei funktioniert. Umgekehrt kann ein Banner mängelfrei aussehen und trotzdem eine unwirksame Einwilligung produzieren, wenn im Hintergrund die materiellen Voraussetzungen fehlen.

Die Rechtsgrundlage: Art. 4, 7 DSGVO und § 25 TDDDG

Rechtlich verlangt § 25 TDDDG für das Speichern und Auslesen von Endgeräte-Informationen die Einwilligung des Nutzers, soweit keine technische Notwendigkeit besteht. Was eine Einwilligung ist und wie sie erteilt werden muss, definiert die DSGVO: Artikel 4 Nummer 11 legt die Begriffsmerkmale fest, Artikel 7 regelt die Bedingungen für die Erteilung, einschließlich der Nachweispflicht und des Widerrufsrechts.

Beide Regelwerke greifen ineinander: § 25 TDDDG bestimmt, wann eine Einwilligung nötig ist, die DSGVO bestimmt, was eine wirksame Einwilligung ausmacht. Eine Cookie-Einwilligung, die den DSGVO-Kriterien nicht genügt, entfaltet auch im Sinne des § 25 TDDDG keine Wirkung.

Die vier materiellen Voraussetzungen

Eine wirksame Einwilligung muss vier Merkmale erfüllen: Sie ist freiwillig, informiert, spezifisch und unmissverständlich. Freiwillig bedeutet, dass keine echte Wahlmöglichkeit fehlt; das Kopplungsverbot untersagt, den Zugang zu einer Leistung von einer nicht erforderlichen Einwilligung abhängig zu machen. Spezifisch bedeutet, dass für jeden eigenständigen Verarbeitungszweck gesondert eingewilligt werden muss, nicht pauschal für alle Cookies zusammen.

Granularität: eine Einwilligung pro Zweck

Die Granularität ist in der Praxis der häufigste Schwachpunkt. Eine einzelne Sammel-Einwilligung für Analyse, Marketing und Personalisierung zugleich genügt nicht; der Nutzer muss für jeden Zweck einzeln entscheiden können. Wer nur einen einzigen Alles-oder-nichts-Schalter anbietet, erfüllt die Spezifitäts-Anforderung nicht, selbst wenn der Banner sonst korrekt aufgebaut ist.

Ist deine Cookie-Einwilligung wirksam aufgesetzt?

Schalte ein, was auf deine aktuelle Einwilligungslösung zutrifft. Der Wert ist ein Anhaltspunkt, keine Rechtsprüfung.

Trifft mich das?

Schalte mindestens ein Kriterium ein, um eine Einschätzung zu sehen.

Woran sich eine wirksame Einwilligung misst

Was Artikel 4 und 7 DSGVO von der Cookie-Einwilligung verlangen, in vier Prinzipien.

Vier Anforderungen, zum Durchtippen

Echte Wahl ohne Kopplung.

Das Kopplungsverbot untersagt, eine nicht erforderliche Einwilligung zur Bedingung für eine Leistung zu machen. Fehlt eine echte Wahlfreiheit, ist die Einwilligung unwirksam.

Hilft Zugang zur Seite unabhängig von der Cookie-Entscheidung.

Stolperfalle Inhalt nur nach Zustimmung zu Marketing-Cookies sichtbar.

Ein Zweck, ein Schalter.

Für jeden eigenständigen Verarbeitungszweck ist eine gesonderte Einwilligung nötig. Eine Sammel-Einwilligung über mehrere Zwecke hinweg erfüllt die Spezifitäts-Anforderung nicht.

Hilft Getrennte Schalter für Analyse, Marketing, Personalisierung.

Stolperfalle Ein einziger Schalter für alle nicht notwendigen Cookies zusammen.

Wer, wann, wozu dokumentiert.

Artikel 7 Absatz 1 DSGVO verpflichtet den Verantwortlichen, die Einwilligung nachweisen zu können. Ohne Dokumentation lässt sich im Streitfall keine wirksame Einwilligung belegen.

Hilft Protokollierung von Zeitpunkt, Version und Umfang der Zustimmung.

Stolperfalle Keine Aufzeichnung, welche Entscheidung wann getroffen wurde.

Jederzeit, ohne Nachteil.

Der Widerruf muss jederzeit mit Wirkung für die Zukunft möglich sein, und zwar genauso einfach wie die Erteilung. Frühere Verarbeitungen bleiben davon unberührt.

Hilft Dauerhafter Zugang zu den Einstellungen, Widerruf so leicht wie Erteilung.

Stolperfalle Widerruf nur über einen versteckten oder umständlichen Weg.

Berechtigtes Interesse ist keine Alternative

Ein verbreiteter Irrtum ist, das berechtigte Interesse nach Artikel 6 Absatz 1 lit. f DSGVO als Ersatz für die Cookie-Einwilligung heranzuziehen. Für den Zugriff auf Endgeräte-Informationen ist das keine Option: § 25 TDDDG verlangt für nicht notwendige Cookies grundsätzlich die Einwilligung, unabhängig davon, ob sich die anschließende Datenverarbeitung theoretisch auch auf ein berechtigtes Interesse stützen ließe.

Diese Verwechslung führt in der Praxis dazu, dass Analyse- oder Marketing-Dienste unter Berufung auf ein angebliches berechtigtes Interesse ohne Einwilligung laufen. Das ist ein eigenständiger Verstoß gegen § 25 TDDDG, unabhängig von der datenschutzrechtlichen Bewertung der nachgelagerten Verarbeitung.

Wie steht es um deine Cookie-Einwilligung?

Wähle die Situation, die deiner aktuellen Lösung am nächsten kommt.

Trifft eine der folgenden Situationen auf dich zu?

Wähle eine Situation, um die Einordnung zu sehen.

Zeitleiste

Von der Einwilligungs-Definition zur Nachweispflicht

Wie sich die inhaltlichen Anforderungen an die Cookie-Einwilligung verschärft haben.

  1. 2016

    Die DSGVO definiert die Einwilligung

    Artikel 4 Nummer 11 und Artikel 7 legen erstmals unionsweit fest, was eine wirksame Einwilligung ausmacht, inklusive Nachweispflicht.

  2. 2019

    Planet49 verschärft die Maßstäbe

    Der Europäische Gerichtshof stellt klar, dass eine Einwilligung eine aktive Handlung sein muss und für jeden Zweck gesondert zu erteilen ist.

  3. 2021

    Das TTDSG bindet Cookies an die Einwilligung

    Mit § 25 TTDSG, heute TDDDG, wird die Einwilligungspflicht für Cookies in Deutschland ausdrücklich verankert.

  4. laufend

    Granularität und Nachweis im Fokus der Aufsicht

    Aufsichtsbehörden prüfen zunehmend, ob Einwilligungen wirklich je Zweck getrennt und nachweisbar dokumentiert sind.

Die Rechtslage: Art. 4, 7 DSGVO und § 25 TDDDG

Rechtlich definiert Artikel 4 Nummer 11 DSGVO die Einwilligung, Artikel 7 regelt ihre Bedingungen, einschließlich Nachweispflicht und Widerrufsrecht. § 25 TDDDG knüpft den Zugriff auf Endgeräte-Informationen an diese Einwilligung, soweit keine technische Notwendigkeit besteht. Beide Ebenen zusammen bestimmen, ob eine Cookie-Einwilligung wirksam ist.

Für die Praxis kommt es auf die materiellen Kriterien an, unabhängig vom eingesetzten Consent-Tool: Granularität nach Zweck, Nachweisbarkeit und ein jederzeit leicht möglicher Widerruf. Ein technisch einwandfreier Banner ersetzt diese Kriterien nicht.

So prüft der AppCore Audit die Cookie-Einwilligung

Der AppCore Audit prüft mit der Lösung CookieGuard, ob die eingesetzten Dienste nach Zweck getrennt abgefragt werden, ob eine Widerrufsmöglichkeit erreichbar ist und ob typische Lücken in der Granularität auftreten. Ob die Dokumentation im Einzelfall den Nachweis-Anforderungen genügt, bleibt einer juristischen Bewertung vorbehalten.

Bußgeld und Beweislast: die Folgen

Eine unwirksame Cookie-Einwilligung hat zwei Konsequenzen. Datenschutzrechtlich gilt die zugrunde liegende Verarbeitung dann als ohne Rechtsgrundlage, was Aufsichtsbehörden mit einem Bußgeld ahnden können. Prozessual liegt die Beweislast für eine wirksam erteilte Einwilligung beim Verantwortlichen: Wer nicht nachweisen kann, wann und wozu ein Nutzer eingewilligt hat, steht im Streitfall ohne Rechtsgrundlage da.

Gerade die Nachweispflicht wird häufig unterschätzt, weil sie sich nicht im sichtbaren Banner zeigt, sondern im Hintergrund-System, das Einwilligungen protokolliert. Ein Consent-Management ohne belastbare Protokollierung ist im Ernstfall wenig wert.

Die eigene Einwilligungslösung sauber aufsetzen

Die meisten Mängel bei der Cookie-Einwilligung liegen nicht im Banner-Design, sondern in der dahinterliegenden Logik. Drei Fragen helfen bei der Einordnung. Erstens: Kann der Nutzer für jeden Verarbeitungszweck einzeln entscheiden, statt nur pauschal zuzustimmen? Zweitens: Wird jede Entscheidung mit Zeitpunkt und Umfang nachvollziehbar dokumentiert? Drittens: Lässt sich die Entscheidung jederzeit ebenso leicht widerrufen, wie sie erteilt wurde?

Wer diese Fragen ehrlich beantwortet, erkennt die typischen Lücken. Eine fehlende Zweck-Trennung, eine dünne oder fehlende Protokollierung und ein versteckter Widerrufsweg gehören zu den häufigsten Fundstellen, unabhängig davon, wie professionell der Banner selbst aussieht.

Für Seiten mit mehreren Diensten und Zwecken wird der Überblick schnell komplex. Genau hier setzt der AppCore Audit an: Er prüft, ob die eingesetzten Dienste nach Zweck getrennt abgefragt werden und ob der Widerruf erreichbar ist, und macht sichtbar, wo die Granularität Lücken hat.

Eine wirksame Cookie-Einwilligung ist mehr als ein hübscher Banner. Wer sie inhaltlich sauber aufsetzt, senkt nicht nur sein Compliance-Risiko, sondern schafft eine Grundlage, die auch einer Prüfung standhält, wenn es darauf ankommt.

Wo stehst du gerade?

Dein Weg zu mehr Sicherheit

Vom Befund zur laufenden Prüfung

Drei Schritte, jeder für sich nutzbar.

Schritt 1 · Diagnose

AppCore Audit

kostenfreieinmalige Diagnose

Wir prüfen deine Seite über alle 20 Lösungen und zeigen dir, was offen ist.

Kostenfrei starten
Schritt 3 · Dauerpflege

Plan

ab 99,- €pro Monat

Deine Seite bleibt dauerhaft sauber, mit laufender Prüfung.

Pläne ansehen

Audit BluePrint / CMS Plan

Nächster Schritt

Compliance-Risiko einschätzen

Der AppCore-Erstaudit zeigt dir in 10 Minuten, wo deine Website steht.