asyoube logo asyoube

Cookie-Consent-Management

4 min 3 Abschnitte
Was du nach diesem Konzept kannst 3

  1. Du bist in der Lage, die rechtskonforme Konfiguration eines Cookie-Banners zu erstellen ,

    indem ein Banner mit gleichwertigen Buttons für 'Akzeptieren' und 'Ablehnen', granularer Kategorieauswahl und transparenter Information zu US-Datentransfers spezifiziert und die Designentscheidungen mit den Anforderungen aus DSGVO und TTDSG begründet werden.

  2. Du bist in der Lage, die zulässige Reihenfolge des Auslösens von Marketing-Tags (z. B. Facebook-Pixel) in Abhängigkeit vom Consent-Status zu analysieren ,

    indem an drei Consent-Szenarien jeweils korrekt entschieden und begründet wird, welche Tags feuern dürfen und welche nicht.

  3. Du bist in der Lage, Abmahn- und Bußgeldrisiken fehlerhafter Consent-Banner zu beurteilen ,

    indem für drei typische Gestaltungsfehler (versteckte Ablehnen-Option, vorausgewählte Häkchen, intransparente Drittlandtransfers) die rechtliche Grundlage und die mögliche Sanktionshöhe begründet eingeschätzt werden.

Was muss am Banner und an der Tag-Konfiguration geändert werden?

Das Anwaltsschreiben

Deine Teamleiterin Hà schiebt dir das Anwaltsschreiben über den Tisch. Samstagnachmittag, 11:30 Uhr im Compliance-Büro. Ein Wettbewerber hat euren Onlineshop abgemahnt. Drei Punkte stehen im Schreiben:

  1. Der "Ablehnen"-Button ist ein grauer Textlink in Schriftgröße 10, "Alle akzeptieren" leuchtet grün und fett. Das verletzt die gleichwertige Wahlmöglichkeit.
  2. Das Facebook-Pixel feuert bei jedem Seitenaufruf, auch ohne Consent. Kein Consent-Trigger im Tag Manager hinterlegt.
  3. Der Banner nennt "Drittanbieter-Cookies", verschweigt aber, dass Daten an Server in den USA gehen. Art. 13 DSGVO verlangt diese Angabe.

Die Abmahnung kostet 2.800 Euro. Beim nächsten Verstoß droht ein Bußgeldverfahren.

Von den Rechtsgrundlagen zur konkreten Konfiguration

Die Einwilligungspflicht nach § 25 TDDDG und die Anforderungen an wirksame Einwilligungen nach Art. 7 DSGVO sind die Grundlage für die korrekte Banner-Konfiguration. Du kennst diese Vorgaben. Jetzt musst du sie im Banner und im Tag Manager umsetzen, bevor der nächste Verstoß teurer wird.

Welche drei Anforderungen muss euer neuer Banner erfüllen, und welche Regel gilt für den Tag Manager?

🎬 Vorstellung: Öffne in Gedanken den Cookie-Banner eures Shops. Sieh dir die Buttons an: Haben "Akzeptieren" und "Ablehnen" dieselbe Größe, Farbe und Position? Gibt es eine Kategorieauswahl für Marketing, Statistik und notwendige Cookies?

Wann darf ein Marketing-Tag feuern?

Drei Anforderungen an den rechtskonformen Banner

Damit euer neuer Banner rechtskonform wird, muss er drei Bedingungen erfüllen:

  1. Gleichwertige Buttons: "Akzeptieren" und "Ablehnen" brauchen dieselbe Größe, Farbe und Platzierung. Ein grauer Textlink neben einem leuchtenden Button reicht nicht.
  2. Granulare Kategorieauswahl: Nutzende müssen einzeln entscheiden können, ob sie Marketing-Cookies, Statistik-Cookies oder nur technisch notwendige Cookies zulassen.
  3. Transparente Information zu US-Datentransfers: Wenn Tools wie das Facebook-Pixel Daten an Server in den USA senden, muss der Banner das sichtbar benennen, nicht im Kleingedruckten verstecken.

Alle drei Punkte ergeben sich aus § 25 TDDDG und Art. 7 DSGVO.

Consent-Status bestimmt den Tag Manager

Die Grundregel: Kein Marketing-Tag darf feuern, bevor die nutzende Person aktiv in die Kategorie "Marketing" eingewilligt hat. Vorausgewählte Häkchen zählen nicht als aktive Einwilligung.

Drei Szenarien:

A: Kundin klickt "Alle akzeptieren". Alle Tags feuern, auch Facebook-Pixel und Google Analytics.

B: Kunde klickt "Nur notwendige". Nur Warenkorb- und Session-Cookies sind aktiv. Das Facebook-Pixel bleibt blockiert.

C: Jemand öffnet den Shop und scrollt weiter, ohne auf den Banner zu reagieren.

🔮 Bevor du weiterliest: Darf das Facebook-Pixel in Szenario C feuern - ja oder nein?

Welche Sanktionen drohen bei typischen Banner-Fehlern?

Szenario C: Scrollen ist keine Einwilligung

Nein. Weiterscrollen ohne Klick gilt nicht als Einwilligung. Solange niemand aktiv zugestimmt hat, dürfen nur technisch notwendige Cookies gesetzt werden. Das Facebook-Pixel bleibt blockiert. Wer trotzdem Marketing-Tags feuern lässt, sammelt mit jedem Seitenaufruf neue Verstöße.

Drei Fehler, drei Risiken

Zurück zu Hàs Anwaltsschreiben. Die drei Fehler eures Banners gehören zu den häufigsten Abmahngründen im E-Commerce:

  1. Versteckte Ablehnen-Option - Ein grauer Textlink neben einem leuchtenden Button verstößt gegen § 25 TDDDG und Art. 7 DSGVO. Seit 17.02.2024 verbietet zusätzlich Art. 25 Digital Services Act (DSA) auf Online-Plattformen das Einsetzen von Dark Patterns als eigenständigen Verstoß; Sanktion bis 6 % des weltweiten Jahresumsatzes (Art. 74 DSA). Einwilligung ist nur freiwillig, wenn beide Optionen gleichwertig sichtbar sind. Abmahnkosten liegen typischerweise bei 1.000 bis 5.000 Euro.
  2. Vorausgewählte Häkchen - Der EuGH hat im Planet49-Urteil klargestellt, dass nur ein aktives Opt-in zählt. Vorausgewählte Checkboxen sind unwirksam. Das Bußgeld nach Art. 83 Abs. 5 DSGVO kann bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes betragen — der höhere Betrag gilt.
  3. Intransparente US-Datentransfers - Art. 13 DSGVO verlangt, dass Datenübermittlungen in Drittländer klar benannt werden. "Drittanbieter" reicht nicht, der Banner muss "USA" nennen.

Was änderst du als Erstes?

Hà will bis Montag einen Maßnahmenplan. Die dringendste Änderung: das Facebook-Pixel im Tag Manager sofort an einen Consent-Trigger koppeln. Solange es ohne Einwilligung feuert, sammelt euer Shop mit jedem Seitenaufruf neue Verstöße.

🤔 Frage dich: Wie würdest du vorgehen, wenn du in einem anderen Shop ein vorausgewähltes Marketing-Häkchen entdeckst, aber die Geschäftsführung argumentiert, dass ohne Tracking die Werbebudgets nicht messbar sind?

Verfasst von , Lerninhalte & Content

Bereit für mehr?

Thema verstanden?

Teste dein Wissen interaktiv in unserer App. 7 Tage kostenlos, dann nur 5 € im Monat.

Jetzt kostenlos testen Preise ansehen

DSGVO-konform. Deine Daten auf deutschen Servern.