Cookie-Einwilligung nach Ländern: Vollständiger Leitfaden (2026)

Das Recht der Cookie-Einwilligung folgt weltweit drei Modellen: dem Opt-in-Standard der EU nach der ePrivacy-Richtlinie, dem Opt-out-Ansatz der Vereinigten Staaten auf Grundlage bundesstaatlicher Datenschutzgesetze und einem reinen Informationsmodell, wie es etwa in Australien verwendet wird. Wer bei allen Besuchern den EU-Standard der Opt-in-Einwilligung anwendet, erfüllt damit praktisch die Anforderungen jeder anderen Rechtsordnung.
Die Anforderungen an die Cookie-Einwilligung unterscheiden sich in praktisch jeder größeren Rechtsordnung. Eine weltweit erreichbare Website sieht sich einem Flickenteppich aus Gesetzen gegenüber, der vom strengen Opt-in-Regime der EU bis zu Ländern ohne jegliche cookie-spezifische Regelung reicht. Durchsetzungsmaßnahmen und Bußgelder haben allein in der EU einen Umfang von mehreren Hundert Millionen Euro erreicht, und die Rechtslage hat sich zwischen 2024 und 2026 durch eine Welle neuer Gesetze und Durchsetzungsentscheidungen erheblich verändert.
Dieser Leitfaden gibt einen Überblick über die Cookie-Einwilligungsregeln in mehr als 30 Ländern und Regionen, mit besonderem Fokus darauf, was sich zwischen 2024 und 2026 geändert hat und was als Nächstes zu erwarten ist.
Kurzantwort: Wie sich die Cookie-Einwilligung von Land zu Land unterscheidet
Das Recht der Cookie-Einwilligung funktioniert nicht überall gleich. Es lassen sich drei unterschiedliche Modelle unterscheiden:
Opt-in-Modell: Cookies dürfen erst gesetzt werden, nachdem der Nutzer aktiv zugestimmt hat. Die EU, das Vereinigte Königreich, Südkorea und eine wachsende Zahl von Ländern in Asien und Afrika verfolgen diesen Ansatz.
Opt-out-Modell: Cookies sind standardmäßig zulässig; Nutzer müssen aktiv werden, um sie zu unterbinden. Dies ist das vorherrschende Modell der US-Bundesstaaten, bei dem der Schwerpunkt auf der Anerkennung von Opt-out-Signalen wie dem Global Privacy Control liegt, statt eine vorherige Einwilligung zu verlangen.
Reines Informationsmodell: Organisationen müssen Nutzer darüber informieren, dass Cookies verwendet werden (in der Regel in einer Datenschutzerklärung), ein Einwilligungsbanner ist jedoch nicht vorgeschrieben. Australien folgt diesem Modell, wenngleich jüngste Reformen die Regeln verschärfen.
Für global ausgerichtete Websites bedeutet dies in der Praxis: Die Anwendung des EU-Opt-in-Standards auf alle Besucher ist die sicherste einheitliche Vorgehensweise. Jede Website, die die Anforderungen der EU erfüllt, genügt damit praktisch den Regeln jeder anderen Rechtsordnung.
Warum sich die Cookie-Einwilligung von Land zu Land unterscheidet
Diese Unterschiede spiegeln grundlegend verschiedene Rechtstraditionen und politische Prioritäten wider. Die EU behandelt den Datenschutz als Grundrecht und reguliert Technologie historisch proaktiv. Die Vereinigten Staaten haben traditionell einen sektoralen, marktbasierten Ansatz bevorzugt und setzen eher auf einzelstaatliche Gesetzgeber und die FTC als auf ein umfassendes bundesweites Datenschutzgesetz. Schwellenländer haben häufig moderne Datenschutzrahmen nach dem Vorbild der EU (oder in manchen Fällen des APEC-Datenschutzrahmens) übernommen, allerdings mit unterschiedlicher Durchsetzungskapazität und unterschiedlichen Zeitplänen.
Auch die Technik selbst spielt eine Rolle. Die Regeln zur Cookie-Einwilligung gehen im Wesentlichen auf die ePrivacy-Richtlinie der EU zurück, die eine Reaktion auf spezifische Bedenken zum Tracking in den frühen 2000er-Jahren war. Länder, die erst später Datenschutzrahmen eingeführt haben, etwa Brasilien, Indien und Thailand, regeln Cookies in der Regel über allgemeinere Vorschriften zur Verarbeitung personenbezogener Daten und nicht über cookie-spezifische Gesetze.
Die EU/der EWR: Weltweiter Maßstab
Der Cookie-Rahmen der EU stützt sich auf zwei Rechtsakte: die ePrivacy-Richtlinie (Richtlinie 2002/58/EG in der durch die Richtlinie 2009/136/EG geänderten Fassung) und die DSGVO (Verordnung (EU) 2016/679). Zusammen bilden sie das weltweit anspruchsvollste Regime der Cookie-Einwilligung.
Wie der EU-Rahmen funktioniert
Artikel 5 Absatz 3 der ePrivacy-Richtlinie verlangt eine vorherige, informierte Einwilligung, bevor ein nicht unbedingt erforderliches Cookie auf dem Gerät eines Nutzers gesetzt wird. Der Einwilligungsstandard der DSGVO verlangt, dass die Einwilligung freiwillig, für den bestimmten Fall, informiert und durch eine eindeutige bestätigende Handlung erklärt wird.
Bereits angekreuzte Kästchen sind seit dem Planet49-Urteil des EuGH (Rechtssache C-673/17) unzulässig. Weiterscrollen oder das bloße Fortsetzen des Surfens stellt keine Einwilligung dar. Die Ablehnung muss ebenso einfach sein wie die Annahme, ein Grundsatz, der zu erheblichen Bußgeldern geführt hat.
Unbedingt erforderliche Cookies sind von der Einwilligungspflicht ausgenommen. Dazu zählen Cookies, die für den vom Nutzer ausdrücklich angeforderten Dienst unerlässlich sind, etwa Sitzungs-Cookies für einen Warenkorb oder Sicherheits-Token.
Die ePrivacy-Verordnung: Im Februar 2025 zurückgezogen
Jahrelang hatte die EU versucht, die ePrivacy-Richtlinie durch eine neue Verordnung zu ersetzen. Die 2017 vorgestellte geplante ePrivacy-Verordnung sollte die Regeln zwischen den Mitgliedstaaten vereinheitlichen und Lücken der Richtlinie schließen.
Im Februar 2025 zog das Arbeitsprogramm der Europäischen Kommission für 2025 den Vorschlag förmlich zurück. Die Kommission erklärte, es sei "keine Einigung der Mitgesetzgeber zu erwarten" und der Vorschlag sei "angesichts neuerer Entwicklungen sowohl im technologischen als auch im gesetzgeberischen Bereich überholt". Die geltende ePrivacy-Richtlinie und ihre nationalen Umsetzungsgesetze bleiben damit maßgebliches Recht.
Der Digital-Omnibus-Vorschlag: Neue Cookie-Regeln am Horizont
Am 19. November 2025 legte die Europäische Kommission das Digital-Omnibus-Paket vor, eine umfassende Gesetzgebungsinitiative, die die Funktionsweise der Cookie-Regeln in der EU grundlegend verändern würde.
Die wichtigsten geplanten, cookie-relevanten Änderungen:
- Die ePrivacy-Richtlinie würde die Verarbeitung personenbezogener Daten nicht mehr regeln. Für Cookies, die personenbezogene Daten erheben, würde ausschließlich die DSGVO gelten, wodurch der Rechtsrahmen vereinheitlicht würde.
- Neue Ausnahmen würden für Sicherheits-Cookies, Erstanbieter-Analyse-Cookies und Cookies geschaffen, die zur Erbringung eines vom Nutzer angeforderten Dienstes erforderlich sind. Für diese wäre kein Einwilligungsbanner mehr erforderlich.
- Wiederholte Einwilligungsanfragen für denselben Zweck innerhalb eines Zeitraums von sechs Monaten wären untersagt.
- Unternehmen wären verpflichtet, maschinenlesbare Einwilligungssignale (etwa Präferenzeinstellungen auf Browserebene) zu berücksichtigen.
Diese Änderungen würden auf die seit Langem geäußerte Kritik an der "Cookie-Banner-Müdigkeit" reagieren. Das Digital-Omnibus-Paket befindet sich jedoch weiterhin im Gesetzgebungsverfahren. Optimistische Zeitpläne gehen von einer Verabschiedung Ende 2026 aus, ein Inkrafttreten wäre frühestens 2027 zu erwarten.
Wichtige Durchsetzungsfälle in der EU
Jeder der 27 EU-Mitgliedstaaten setzt die Cookie-Regeln über seine nationale Datenschutz-Aufsichtsbehörde durch. Einige davon fallen durch eine besonders intensive Durchsetzungspraxis auf.
Frankreich (CNIL): Verhängte im Dezember 2021 Bußgelder von 150 Millionen Euro gegen Google und 60 Millionen Euro gegen Facebook, weil die Ablehnung von Cookies zu erschwert war. Die CNIL verlangt eine sichtbare Ablehnungsschaltfläche auf der ersten Ebene des Banners und erlaubt begrenzte Ausnahmen für Erstanbieter-Analyse-Cookies.
Italien (Garante): Veröffentlichte 2021 aktualisierte Cookie-Leitlinien, die eine sichtbare Ablehnungsschaltfläche im ersten Banner sowie eine von der allgemeinen Datenschutzerklärung getrennte Cookie-Richtlinie vorschreiben.
Deutschland (BfDI und Landesbehörden): Übernahm den Planet49-Maßstab im Oktober 2020 durch ein Urteil des Bundesgerichtshofs. Die 16 Landesdatenschutzbehörden sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) setzen die Cookie-Regeln gemeinsam durch, was zu einer mehrschichtigen Durchsetzungslandschaft führt.
Spanien (AEPD): Setzt die Cookie-Vorgaben nach dem LSSI (Ley 34/2002) neben der DSGVO durch, wobei Bußgelder nach dem LSSI bis zu 300.000 Euro erreichen können und bei Beteiligung personenbezogener Daten Bußgelder in Höhe der DSGVO-Sätze verhängt werden.
Belgien (APD): Erließ 2022 eine wegweisende Entscheidung gegen das Transparency and Consent Framework (TCF) von IAB Europe und stellte fest, dass das TCF selbst gegen die DSGVO verstößt.

Cookie-Banner-Taskforce des EDSA
Der Europäische Datenschutzausschuss (EDSA) richtete 2021 eine Cookie-Banner-Taskforce ein, um die Durchsetzung zwischen den Aufsichtsbehörden zu koordinieren. Der Bericht vom Januar 2023 legte Mindestanforderungen fest: Eine Ablehnungsschaltfläche muss ebenso auffällig sein wie die Annahmeschaltfläche; Dark Patterns (verwirrende Farbgestaltung, irreführende Formulierungen, vorausgewählte Annahme) verstoßen gegen die DSGVO, und Nutzer müssen ihre Einwilligung ebenso leicht widerrufen können, wie sie sie erteilt haben. Aufsichtsbehörden in der gesamten EU haben seitdem Durchsetzungsverfügungen und Bußgelder erlassen, darunter ein Bußgeld von 15.000 Euro gegen einen E-Commerce-Anbieter im Jahr 2024 wegen eines nicht konformen Banners.
Das Vereinigte Königreich: PECR und die Änderungen durch den DUAA 2025
Die Cookie-Regeln des Vereinigten Königreichs beruhen auf den Privacy and Electronic Communications Regulations 2003 (PECR), die den ePrivacy-Rahmen der EU nachbilden. Nach dem Brexit gelten die PECR eigenständig neben der UK-DSGVO und werden vom Information Commissioner's Office (ICO) durchgesetzt.
Was die PECR vorschreiben
Regulation 6 der PECR verlangt eine vorherige Einwilligung, bevor Cookies oder vergleichbare Technologien gesetzt werden. Die Einwilligung muss informiert und spezifisch sein und eine eindeutige bestätigende Handlung beinhalten. Unbedingt erforderliche Cookies sind ausgenommen. Der Einwilligungsstandard entspricht der UK-DSGVO.
Data (Use and Access) Act 2025: Ein bedeutender Wandel
Der Data (Use and Access) Act 2025 (DUAA) erhielt am 19. Juni 2025 die Royal Assent. Zentrale, die PECR betreffende Bestimmungen traten am 5. Februar 2026 in Kraft. Der DUAA brachte zwei wesentliche Änderungen der Cookie-Regeln mit sich:
Neue Cookie-Ausnahmen: Drei Kategorien fallen nun nicht mehr unter die Einwilligungspflicht der PECR: (1) Analyse-Cookies, deren einziger Zweck die Erhebung aggregierter Statistiken zur Verbesserung einer Website oder eines Dienstes ist; (2) Präferenz-Cookies, die Aussehen oder Verhalten einer Website anpassen (etwa Sprache oder Design); und (3) wie bisher unbedingt erforderliche Cookies. Werbe-Cookies, Targeting, Frequency Capping und Werbemessung bleiben weiterhin einwilligungspflichtig.
Deutlich höhere Bußgelder: Die Bußgeldobergrenze der PECR wurde auf das Niveau der UK-DSGVO angehoben: bis zu 17,5 Millionen Pfund oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Zuvor lag die PECR-Obergrenze bei 500.000 Pfund. Damit wird die Durchsetzungsbefugnis der PECR an die UK-DSGVO angeglichen, was auf eine voraussichtlich strengere Durchsetzung durch das ICO hindeutet.

Die Vereinigten Staaten: Ein Flickenteppich aus Landesgesetzen
Die Vereinigten Staaten haben kein Bundesgesetz, das Cookie-Einwilligungsbanner vorschreibt. Cookie-bezogene Pflichten ergeben sich aus einer wachsenden Zahl bundesstaatlicher Datenschutzgesetze, die sich auf Opt-out-Rechte, Online-Tracking und personalisierte Werbung konzentrieren. Einzelheiten finden Sie in unserem ausführlichen bundesstaatlichen US-Leitfaden.
Das Grundmodell: Opt-out statt Opt-in
Kein US-Bundesstaat verlangt eine aktive Opt-in-Einwilligung nach EU-Vorbild für Cookies. Das amerikanische Modell ist ein Opt-out-Modell: Cookies sind zulässig, sofern ein Nutzer nicht widerspricht. Die wichtigsten Mechanismen sind:
"Do Not Sell or Share"-Links: Kaliforniens CCPA/CPRA verlangt einen Link, über den Verbraucher dem Verkauf oder der Weitergabe personenbezogener Daten, einschließlich Werbe-Cookies, widersprechen können.
Global Privacy Control (GPC): Ein Signal auf Browserebene, das Opt-out-Präferenzen übermittelt. Unternehmen, die dem kalifornischen CCPA/CPRA unterliegen, müssen GPC als gültigen Opt-out-Antrag anerkennen.
Bundesstaaten mit GPC-Pflicht (Stand: Mai 2026)
Die Liste der Bundesstaaten, die Unternehmen zur Anerkennung des GPC-Signals verpflichten, hat sich deutlich erweitert:
- Kalifornien: Verlangt die Anerkennung von GPC nach dem CCPA/CPRA; die California Privacy Protection Agency leitete im September 2025 gemeinsam mit den Generalstaatsanwälten von Colorado und Connecticut koordinierte Durchsetzungsaktionen gegen Verstöße gegen die GPC-Pflicht ein.
- Colorado: Der Generalstaatsanwalt von Colorado hat GPC als zulässigen universellen Opt-out-Mechanismus anerkannt.
- Connecticut: Seit dem 1. Januar 2025 müssen Unternehmen nach dem Connecticut Data Privacy Act universelle Opt-out-Signale anerkennen.
- Montana, Texas: Verlangen ebenfalls die Anerkennung universeller Opt-out-Mechanismen.
- Maryland: Der Maryland Online Data Privacy Act (MODPA), in Kraft seit dem 1. Oktober 2025, verlangt die Anerkennung von Opt-out-Signalen.
- New Jersey: Nach dem New Jersey Data Privacy Law, in Kraft seit dem 15. Juli 2025, müssen Unternehmen GPC berücksichtigen.
- Oregon: Nach dem Oregon Consumer Privacy Act, in Kraft seit dem 1. Januar 2026, müssen Unternehmen anerkannte Opt-out-Signale berücksichtigen.
Bis Juli 2026 werden mindestens 12 Bundesstaaten die Anerkennung universeller Opt-out-Mechanismen wie GPC vorschreiben.
Lage auf Bundesebene
Der Kongress hat wiederholt umfassende bundesweite Datenschutzgesetze eingebracht, doch keines wurde verabschiedet. Die FTC verfügt nach Section 5 des FTC Act über begrenzte Befugnisse gegenüber irreführenden Cookie-Praktiken.
Kanada: PIPEDA und die ins Stocken geratene Reform
Kanada regelt Cookies über den Personal Information Protection and Electronic Documents Act (PIPEDA) und das kanadische Anti-Spam-Gesetz (CASL). Das Office of the Privacy Commissioner (OPC) ist für Durchsetzung und Orientierungshilfen zuständig.
Nach PIPEDA müssen Organisationen für die Erhebung oder Nutzung personenbezogener Daten eine aussagekräftige Einwilligung einholen. Das OPC geht davon aus, dass Analyse- und Werbe-Cookies, die identifizierbares Verhalten nachverfolgen, eine ausdrückliche Einwilligung erfordern. Cookies, die nicht identifizierbare Informationen erheben, können sich auf eine stillschweigende Einwilligung stützen.
Bill C-27 (der Digital Charter Implementation Act 2022), der PIPEDA durch strengere Regeln ersetzt hätte, verfiel mit der Vertagung des Parlaments am 6. Januar 2025. Bis Mai 2026 wurde der Entwurf nicht erneut eingebracht. PIPEDA bleibt somit das maßgebliche Gesetz.
Brasilien: LGPD
Brasiliens Lei Geral de Proteção de Dados (LGPD) enthält keine eigene Cookie-Regelung, doch ihre Anforderungen an eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten gelten auch für Cookies, die personenbezogene Daten erheben. Die Autoridade Nacional de Proteção de Dados (ANPD) sieht die Einwilligung als geeignete Rechtsgrundlage für Werbe- und Analyse-Cookies an. Brasilianische Websites haben in der Praxis vielfach Cookie-Banner nach EU-Vorbild übernommen, teils weil sie auch europäische Nutzer bedienen, teils weil die ANPD bei Tracking-Technologien tendenziell die Einwilligung bevorzugt.
China: PIPL
Chinas Gesetz zum Schutz personenbezogener Informationen (PIPL), in Kraft seit November 2021, regelt Cookies im Rahmen seines umfassenderen Datenschutzrahmens. Die Cyberspace Administration of China (CAC) ist für die Durchsetzung zuständig.
Das PIPL verlangt vor der Verarbeitung personenbezogener Informationen eine Einwilligung oder eine andere anerkannte Rechtsgrundlage. Werbe-Cookies, die Daten an Dritte weitergeben oder eine grenzüberschreitende Übermittlung beinhalten, unterliegen zusätzlichen Anforderungen, darunter Folgenabschätzungen zur Datenübermittlung. Chinas Ansatz ist bei der Weitergabe an Dritte besonders streng: Jede Übermittlung personenbezogener Informationen ins Ausland erfordert eine eigene Rechtsgrundlage und in vielen Fällen eine bei der CAC eingereichte Sicherheitsbewertung.
Japan: APPI
Japans Gesetz zum Schutz personenbezogener Informationen (APPI), im April 2022 grundlegend geändert, erfasst Cookies über das Konzept der "individuell zuordenbaren Informationen". Die Personal Information Protection Commission (PPC) setzt das APPI durch.
Gibt ein Unternehmen Cookie-Kennungen an einen Dritten weiter, der sie mit anderen Daten zur Identifizierung von Personen kombinieren kann, muss das weitergebende Unternehmen sicherstellen, dass der Dritte die Einwilligung der betroffenen Person eingeholt hat. Japan verlangt keine Einwilligungsbanner nach EU-Vorbild für Erstanbieter-Cookies. Der Schwerpunkt liegt auf der Weitergabe von Daten an Dritte zu Werbezwecken und nicht auf dem ursprünglichen Setzen von Cookies.
Südkorea: PIPA
Südkoreas Gesetz zum Schutz personenbezogener Informationen (PIPA) zählt zu den strengsten Regelwerken Asiens. Die Personal Information Protection Commission (PIPC) setzt es zusammen mit dem Network Act durch, der speziell das Online-Tracking regelt.
Das PIPA verlangt für die Erhebung personenbezogener Informationen eine Einwilligung, was auch Cookies erfasst, die identifizierbare Nutzer nachverfolgen. Südkoreanische Websites zeigen üblicherweise Cookie-Hinweise an. Die PIPC ist in der Durchsetzung aktiv; Bußgelder für Verstöße bei der Datenerhebung durch Tracking-Technologien haben Milliardenhöhe in koreanischen Won erreicht.
Indien: DPDPA und die Rules 2025
Indiens Digital Personal Data Protection Act 2023 (DPDPA) wurde im August 2023 erlassen. Das Ministry of Electronics and Information Technology veröffentlichte am 13. November 2025 die DPDP Rules 2025 und setzte damit den Rahmen in Kraft.
Das DPDPA verlangt eine Einwilligung, die spezifisch und unmissverständlich ist und eine eindeutige bestätigende Handlung voraussetzt, eine Formulierung, die der DSGVO stark ähnelt. Cookies, die personenbezogene Daten erheben, sind einwilligungspflichtig. Ein neuer Rahmen für "Consent Manager" erlaubt es bei der Data Protection Board of India registrierten Vermittlern, die Einwilligung im Namen der betroffenen Personen zu verwalten.
Die Umsetzung erfolgt stufenweise: Das Data Protection Board wurde im November 2025 eingerichtet, die Registrierung als Consent Manager wird im November 2026 eröffnet, und alle übrigen Vorschriften, einschließlich der Einwilligungs- und Sicherheitsanforderungen, treten am 13. Mai 2027 in Kraft.
Australien: Geänderter Privacy Act
Australien regelt die Online-Datenerhebung über den Privacy Act 1988 und die Australian Privacy Principles, die vom Office of the Australian Information Commissioner (OAIC) durchgesetzt werden.
Der im Dezember 2024 unterzeichnete Privacy and Other Legislation Amendment Act 2024 ist die bedeutendste Reform seit Jahren. Die wichtigsten cookie-relevanten Änderungen:
- Die Einwilligung muss freiwillig, informiert, aktuell, spezifisch und unmissverständlich sein. Bereits angekreuzte Kästchen und Dark Patterns sind eingeschränkt.
- Für 2026 sind weitere Änderungen geplant, die die Definition personenbezogener Informationen ausdrücklich um technische Kennungen wie IP-Adressen, Geräte-IDs und Cookie-Kennungen erweitern würden.
Australien verlangt weiterhin kein Pop-up-Einwilligungsbanner für Cookies; ein Hinweis in der Datenschutzerklärung erfüllt die derzeitige Anforderung in der Regel. Die Entwicklung geht jedoch in Richtung strengerer, cookie-spezifischer Pflichten.

Überblick nach Regionen
Lateinamerika
Neben Brasilien haben mehrere lateinamerikanische Länder ihre Datenschutzrahmen gestärkt. Chile reformierte 2024 sein Datenschutzgesetz. Kolumbien wendet sein Habeas-Data-Gesetz (Gesetz 1581/2012) auf die Online-Datenerhebung an. Argentinien unterliegt dem Gesetz 25.326 zum Schutz personenbezogener Daten und arbeitet an aktualisierten Regeln. Der regionale Trend geht zu strengeren Einwilligungsanforderungen beim Tracking, wobei Brasiliens ANPD als regionaler Bezugspunkt für die Durchsetzung dient.
Asien-Pazifik
Singapur: Der Personal Data Protection Act (PDPA) verlangt für die Erhebung personenbezogener Daten eine Einwilligung, was auch Cookies erfasst, die Personen identifizieren. Die PDPC verfolgt eine aktive Durchsetzungspraxis mit Bußgeldern von bis zu 1 Million SGD, die sich bei besonders schweren Verstößen auf 10 % des lokalen Umsatzes erhöhen können.
Thailand: Der seit Juni 2022 vollständig in Kraft befindliche Personal Data Protection Act (PDPA) verlangt für die Erhebung personenbezogener Daten über Cookies eine Einwilligung. Diese muss freiwillig, spezifisch und informiert sein.
Vietnam: Das Dekret zum Schutz personenbezogener Daten (2023) führt Einwilligungspflichten für die Verarbeitung personenbezogener Daten ein, einschließlich cookie-basiertem Tracking.
Indonesien: Das Gesetz zum Schutz personenbezogener Daten (2022) verlangt eine Rechtsgrundlage für die Verarbeitung, wobei die Einwilligung die primäre Grundlage für Tracking-Technologien bildet.
Neuseeland: Der Privacy Act 2020 verlangt eine Information über die Datenerhebung, schreibt jedoch kein Cookie-Einwilligungsbanner vor. Das Office of the Privacy Commissioner stellt Orientierungshilfen zu bewährten Cookie-Praktiken bereit.
Naher Osten und Afrika
Vereinigte Arabische Emirate: Das Bundesgesetzesdekret Nr. 45 von 2021 zum Schutz personenbezogener Daten verlangt für die Verarbeitung personenbezogener Daten, einschließlich Cookies, die Einwilligung der betroffenen Person.
Saudi-Arabien: Das seit September 2023 geltende Personal Data Protection Law (PDPL) verlangt für die Verarbeitung personenbezogener Daten eine Einwilligung, sofern diese nicht anderweitig gesetzlich zulässig ist.
Südafrika: Der Protection of Personal Information Act (POPIA) verlangt für die Verarbeitung personenbezogener Informationen eine Einwilligung; der Information Regulator legt dies so aus, dass auch verhaltensbasierte Tracking-Cookies erfasst sind.
Nigeria: Die Nigeria Data Protection Regulation (NDPR) und der Nigeria Data Protection Act 2023 verlangen für die Erhebung personenbezogener Daten eine Einwilligung.
Kenia: Der Data Protection Act 2019 verlangt für die Verarbeitung personenbezogener Daten, einschließlich cookie-basiertem Tracking, eine Einwilligung.
Israel: Das Datenschutzgesetz (Privacy Protection Law) verlangt eine Information über die Datenerhebung. Israel folgt eher dem Informationsmodell, modernisiert seinen Rahmen jedoch.
Türkei: Das KVKK (Gesetz Nr. 6698) verlangt für die Verarbeitung sensibler Daten eine ausdrückliche Einwilligung und für allgemeine personenbezogene Daten, einschließlich Cookies, eine informierte Einwilligung.
Schweiz: Das revidierte Bundesgesetz über den Datenschutz (revDSG), in Kraft seit September 2023, gleicht den Schweizer Rahmen an DSGVO-gleichwertige Standards an und verlangt für Cookies, die personenbezogene Daten erheben, eine Einwilligung.
Globale Vergleichstabelle
| Land/Region | Einwilligungsmodell | Rechtsgrundlage | Durchsetzungsbehörde | Höchststrafe |
|---|---|---|---|---|
| EU (27 Staaten) | Opt-in | ePrivacy-Richtlinie + DSGVO | Nationale Aufsichtsbehörden | 20 Mio. Euro / 4 % Umsatz |
| Vereinigtes Königreich | Opt-in (Analyse-/Präferenz-Cookies seit DUAA ausgenommen) | PECR + UK-DSGVO | ICO | 17,5 Mio. GBP / 4 % Umsatz |
| USA | Opt-out (auf Bundesstaatsebene) | Bundesstaatliche Datenschutzgesetze | Generalstaatsanwälte der Bundesstaaten, FTC | Je nach Bundesstaat unterschiedlich |
| Kanada | Aussagekräftige Einwilligung | PIPEDA, CASL | OPC | 100.000 CAD |
| Brasilien | Einwilligung bevorzugt | LGPD | ANPD | 2 % Umsatz, Obergrenze 50 Mio. BRL |
| China | Einwilligung | PIPL | CAC | 50 Mio. CNY / 5 % Umsatz |
| Japan | Einwilligung bei Drittweitergabe | APPI | PPC | 100 Mio. JPY |
| Südkorea | Opt-in | PIPA + Network Act | PIPC | 3 % Umsatz |
| Indien | Einwilligung (Durchsetzung ab Mai 2027) | DPDPA + DPDP Rules 2025 | DPBI | 250 Crore INR |
| Australien | Information (wird verschärft) | Privacy Act 1988 (geändert 2024) | OAIC | 50 Mio. AUD |
| Singapur | Einwilligung | PDPA | PDPC | 10 % des lokalen Umsatzes |
| Thailand | Einwilligung | PDPA | PDPC Thailand | 5 Mio. THB |
| Südafrika | Einwilligung | POPIA | Information Regulator | 10 Mio. ZAR |
| Nigeria | Einwilligung | NDPR / NDP Act 2023 | NITDA / NDPC | 2 % Umsatz |
| VAE | Einwilligung | Bundesgesetzesdekret 45/2021 | UAE Data Office | 5 Mio. AED |
| Türkei | Einwilligung | KVKK | KVKK Board | Verwaltungsbußgelder |
| Schweiz | Einwilligung | revDSG (2023) | EDÖB | 250.000 CHF (natürliche Personen) |
| Israel | Information | Datenschutzgesetz (Privacy Protection Law) | PPA | Verwaltungsbußgelder |
| Neuseeland | Information | Privacy Act 2020 | OPC NZ | Geringe Bußgelder |
Durchsetzung bei Cookie-Bannern und "Einwilligung oder Bezahlen"
Cookie-Banner-Taskforce des EDSA
Die Cookie-Banner-Taskforce des EDSA koordiniert die Durchsetzung zwischen den Aufsichtsbehörden. Ihr Bericht von 2023 legte verbindliche Mindeststandards fest: Die Ablehnungsoption muss ebenso leicht erreichbar sein wie die Annahmeoption; die Gestaltung der Oberfläche darf Nutzer nicht durch Farben, Größenverhältnisse oder Formulierungen zur Annahme drängen, und die Einwilligung muss zweckbezogen granular und darf nicht gebündelt erteilt werden. Auf Grundlage dieser Standards haben Aufsichtsbehörden Durchsetzungsverfügungen erlassen, und Bußgelder für irreführende Cookie-Banner werden in den Mitgliedstaaten weiterhin verhängt.
"Einwilligung-oder-Bezahlen"-Modelle
Ein "Einwilligung-oder-Bezahlen"-Modell stellt Nutzer vor eine binäre Wahl: Einwilligung in verhaltensbasierte Werbung oder Zahlung einer Abonnementgebühr für den Zugang zum Dienst. Meta führte ein solches Modell 2023 für Facebook und Instagram in der EU ein.
Im April 2024 kam die Stellungnahme 08/2024 des EDSA zu dem Ergebnis, dass Einwilligung-oder-Bezahlen-Modelle bei großen Online-Plattformen in der Regel nicht zu einer wirksamen, freiwillig erteilten Einwilligung führen. Der EDSA stellte fest, dass das Fehlen einer echten Alternative zur Einwilligung dem Erfordernis der Freiwilligkeit widerspricht. Der EDSA empfahl großen Plattformen, eine gleichwertige Alternative ohne verhaltensbasierte Werbung und ohne Bezahlschranke anzubieten. Die Klage von Meta gegen diese Stellungnahme wurde 2025 vom Gericht der Europäischen Union abgewiesen.
Für kleinere Websites ist die Lage weniger eindeutig geklärt. Die meisten Aufsichtsbehörden in der EU vertreten bei Cookie-Walls eine restriktive Auffassung. Der sicherste Ansatz für auf die EU ausgerichtete Websites besteht darin, den Zugang unabhängig von der Cookie-Entscheidung zu gewähren.
Einwilligungssignale auf Browserebene: Global Privacy Control
Das Global Privacy Control (GPC) ist ein Signal, das über den Browser oder eine Browsererweiterung die Opt-out-Präferenz eines Nutzers an jede besuchte Website übermittelt. Es wird nativ von Firefox und Brave unterstützt sowie über Erweiterungen für Chrome und Safari.
In den USA ist die Einhaltung von GPC inzwischen in einer wachsenden Zahl von Bundesstaaten gesetzlich vorgeschrieben. Die kalifornische CPPA leitete im September 2025 gemeinsam mit den Generalstaatsanwälten von Colorado und Connecticut koordinierte Durchsetzungsaktionen gegen Verstöße gegen die GPC-Pflicht ein. Bis Juli 2026 werden mindestens 12 Bundesstaaten die Anerkennung von GPC oder gleichwertigen universellen Opt-out-Mechanismen vorschreiben.
In der EU würde der Digital-Omnibus-Vorschlag Verantwortliche verpflichten, maschinenlesbare Einwilligungssignale zu berücksichtigen, wodurch GPC-ähnliche Signale erstmals rechtliche Bedeutung im europäischen Recht erhielten.
Die praktische Konsequenz: Websites, die das GPC-Signal noch nicht berücksichtigen, geraten in den USA rechtlich ins Hintertreffen und müssen möglicherweise bis 2027 auch in der EU signalbasierte Einwilligungsanforderungen erfüllen.
Praktische Hinweise zur länderübergreifenden Compliance
Standortbasierte Einwilligung
Die meisten Compliance-Plattformen nutzen eine IP-basierte Standortbestimmung, um festzustellen, welche Einwilligungsregeln für den jeweiligen Besucher gelten. Ein Besucher aus der EU sieht ein vollständiges Opt-in-Banner. Ein Besucher aus einem US-Bundesstaat mit GPC-Pflicht sieht Opt-out-Optionen, wobei GPC berücksichtigt wird. Ein Besucher aus Australien sieht einen Hinweis in der Datenschutzerklärung. Diese standortbasierte Weiterleitung ist der Standardansatz großer, international tätiger Publisher.
Die globale Mindeststandard-Strategie
Für Organisationen, die keine länderspezifischen Abläufe implementieren können, ist die Anwendung des EU-Opt-in-Standards auf alle Besucher der sicherste und einfachste Ansatz. Wer die Anforderungen der EU erfüllt, erfüllt oder übertrifft damit praktisch die Anforderungen jeder anderen Rechtsordnung. Der Nachteil besteht darin, dass die Einwilligungsraten für nicht unbedingt erforderliche Cookies bei Opt-in-Pflicht häufig deutlich niedriger ausfallen, was sich auf Werbeeinnahmen und die Abdeckung von Analysedaten auswirkt.
Consent-Management-Plattformen
Dedizierte Consent-Management-Plattformen (CMPs) automatisieren das Scannen von Cookies, die Anzeige von Bannern, die Dokumentation der Einwilligung und die Blockierung von Cookies je nach Einwilligungsstatus. Bei der Auswahl einer CMP für die länderübergreifende Compliance sollte geprüft werden, ob die jeweiligen Rechtsordnungen der Website unterstützt werden, ob das GPC-Signal berücksichtigt werden kann und ob die Einwilligungsnachweise in einem Format gespeichert werden, das den Nachweispflichten der DSGVO (Art. 7 Abs. 1) genügt.
Dies sind allgemeine rechtliche Informationen und keine Rechtsberatung. Die Cookie-Compliance hängt von den konkreten Rechtsordnungen ab, an die sich Ihre Website richtet, von den verwendeten Cookie-Arten sowie von den Tätigkeiten Ihrer Organisation. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an einen qualifizierten Rechtsanwalt in jeder relevanten Rechtsordnung.
Frequently Asked Questions
Welche Länder verlangen eine Opt-in-Einwilligung für Cookies?
Alle 27 EU-Mitgliedstaaten verlangen nach der ePrivacy-Richtlinie und der DSGVO eine Opt-in-Einwilligung. Das Vereinigte Königreich verlangt nach den PECR eine Opt-in-Einwilligung (mit neuen Ausnahmen für Analyse- und Präferenz-Cookies seit dem DUAA 2025). Südkorea verlangt eine Einwilligung nach dem PIPA. Brasilien, China, Thailand, Südafrika, Singapur und mehrere weitere Länder verlangen eine Einwilligung für Cookies, die personenbezogene Daten verarbeiten. Kein US-Bundesstaat verlangt eine Opt-in-Einwilligung nach EU-Vorbild für Cookies.
Was ist aus der geplanten EU-ePrivacy-Verordnung geworden?
Das im Februar 2025 veröffentlichte Arbeitsprogramm der Europäischen Kommission für 2025 zog den Entwurf der ePrivacy-Verordnung nach Jahren des gesetzgeberischen Stillstands förmlich zurück. Die Kommission verwies auf die fehlende Einigung zwischen Parlament und Rat sowie darauf, dass der Vorschlag angesichts neuerer EU-Digitalgesetze überholt sei. Die geltende ePrivacy-Richtlinie (2002/58/EG) und ihre nationalen Umsetzungsgesetze bleiben in Kraft.
Was ist das EU-Digital-Omnibus-Paket und wie wirkt es sich auf Cookies aus?
Die Europäische Kommission schlug das Digital-Omnibus-Paket am 19. November 2025 vor. Für Cookies würden die wichtigsten Änderungen die Regeln zur Verarbeitung personenbezogener Daten vollständig von der ePrivacy-Richtlinie in die DSGVO überführen, neue Ausnahmen für Erstanbieter-Analyse-Cookies und funktionale Cookies schaffen und Unternehmen verpflichten, maschinenlesbare Einwilligungssignale des Browsers zu berücksichtigen. Das Paket befindet sich weiterhin im Gesetzgebungsverfahren und wird voraussichtlich frühestens 2027 in Kraft treten.
Was hat der britische DUAA 2025 an der Cookie-Einwilligung geändert?
Der Data (Use and Access) Act 2025 erhielt am 19. Juni 2025 die Royal Assent, zentrale Bestimmungen traten am 5. Februar 2026 in Kraft. Der DUAA schuf zwei neue Cookie-Ausnahmen im Rahmen der PECR: Analyse-Cookies, die ausschließlich aggregierte Statistiken erheben, sind nicht mehr einwilligungspflichtig, ebenso wie Präferenz-Cookies (etwa für Sprache oder Design). Werbe-, Targeting- und Messungs-Cookies bleiben weiterhin einwilligungspflichtig. Der DUAA hob zudem die Bußgeldobergrenze der PECR auf das Niveau der UK-DSGVO an: bis zu 17,5 Millionen Pfund oder 4 % des weltweiten Umsatzes.
Benötigt meine US-Website ein Cookie-Banner für Besucher aus der EU?
Ist Ihre Website für Besucher aus der EU zugänglich und verarbeitet deren personenbezogene Daten, gelten die DSGVO und die ePrivacy-Richtlinie. Ob sich Ihre Website gezielt an Nutzer in der EU richtet, wirkt sich auf das praktische Durchsetzungsrisiko aus, doch die rechtliche Pflicht besteht für jede Website, die personenbezogene Daten von EU-Einwohnern verarbeitet. Die Anzeige eines Opt-in-Einwilligungsbanners für als in der EU befindlich erkannte Besucher ist der übliche Compliance-Ansatz für in den USA ansässige Organisationen mit nennenswertem EU-Verkehr.
Was ist das Global Privacy Control und welche US-Bundesstaaten verlangen seine Anerkennung?
Das Global Privacy Control ist ein Signal auf Browserebene, das die Opt-out-Präferenz eines Nutzers an Websites übermittelt. Stand Mai 2026 verlangen unter anderem Kalifornien, Colorado, Connecticut, Montana, Texas, Maryland, New Jersey und Oregon von Unternehmen die Anerkennung von GPC. Die kalifornische CPPA führte im September 2025 koordinierte Durchsetzungsaktionen gegen Verstöße gegen die GPC-Pflicht durch. Bis Juli 2026 werden mindestens 12 Bundesstaaten die Anerkennung von GPC oder gleichwertigen universellen Opt-out-Mechanismen verlangen.
Sind "Einwilligung-oder-Bezahlen"-Cookie-Walls in der EU zulässig?
Für große Online-Plattformen kam der EDSA in seiner Stellungnahme 08/2024 zu dem Ergebnis, dass sie in der Regel keine nach der DSGVO wirksame Einwilligung erzeugen. Der EDSA stellte fest, dass die alleinige Wahl zwischen einer Einwilligung in verhaltensbasierte Werbung oder der Zahlung eines Entgelts dem Erfordernis der Freiwilligkeit widerspricht. Die Klage von Meta gegen diese Stellungnahme wurde 2025 vom Gericht der Europäischen Union abgewiesen. Bei kleineren Websites ist die Bewertung weniger eindeutig geklärt, doch die meisten Aufsichtsbehörden in der EU vertreten eine restriktive Auffassung. Der sicherste Ansatz besteht darin, den Zugang zur Website unabhängig von der Cookie-Entscheidung zu gewähren.
Wann treten Indiens DPDPA-Regeln zur Cookie-Einwilligung in Kraft?
Indiens DPDP Rules 2025 wurden am 13. November 2025 veröffentlicht und richteten die Data Protection Board of India ein. Die Registrierung als Consent Manager wird im November 2026 eröffnet. Alle materiellen Bestimmungen, einschließlich der Anforderungen an Einwilligung, Datenschutzhinweise und Sicherheit, treten am 13. Mai 2027 in Kraft. Ab diesem Datum benötigen Organisationen, die über Cookies personenbezogene Daten indischer Nutzer erheben, eine Einwilligung, die spezifisch und unmissverständlich ist und eine eindeutige bestätigende Handlung voraussetzt.
Verlangt Australien Cookie-Einwilligungsbanner?
Australien verlangt derzeit keine Pop-up-Einwilligungsbanner für Cookies. Der Privacy Act 1988 verlangt eine Information über die Erhebung personenbezogener Daten, die über eine Datenschutzerklärung erfolgen kann. Der im Dezember 2024 unterzeichnete Privacy and Other Legislation Amendment Act 2024 verschärft die Einwilligungsstandards, und für 2026 geplante weitere Änderungen würden die Definition personenbezogener Informationen ausdrücklich um Cookie-Kennungen erweitern. Die Entwicklung geht in Richtung strengerer Anforderungen an die Cookie-Einwilligung.
Ist die weltweite Anwendung der EU-Cookie-Einwilligungsregeln der sicherste Ansatz?
Ja. Die Anwendung des EU-Opt-in-Standards auf alle Besucher unabhängig vom Standort erfüllt oder übertrifft praktisch die Anforderungen jeder anderen Rechtsordnung. Der wesentliche Nachteil besteht darin, dass bei Opt-in-Modellen viele Nutzer nicht unbedingt erforderliche Cookies ablehnen, wodurch die Abdeckung von Analysedaten und die Werbeeinnahmen sinken. Organisationen mit einem erheblichen Anteil an Besuchern außerhalb der EU implementieren teils standortbasierte Abläufe, um in Rechtsordnungen ohne Opt-in-Pflicht Opt-out- oder reine Informationsregeln anzuwenden und so die Analyse- und Werbeleistung in diesen Märkten zu erhalten.
Sources and References
- ePrivacy-Richtlinie 2002/58/EG(eur-lex.europa.eu).gov
- EuGH-Rechtssache C-673/17 (Planet49)(curia.europa.eu).gov
- Bericht der EDSA-Cookie-Banner-Taskforce(edpb.europa.eu).gov
- Stellungnahme 08/2024 des EDSA zu Einwilligung-oder-Bezahlen(edpb.europa.eu).gov
- CNIL-Leitlinien zu Cookies(cnil.fr).gov
- Cookie-Leitlinien der italienischen Garante(garanteprivacy.it).gov
- PECR 2003 (Vereinigtes Königreich)(legislation.gov.uk).gov
- ICO – Data Use and Access Act 2025(ico.org.uk).gov
- ICO-Leitfaden zu Cookies(ico.org.uk).gov
- Kalifornisches CCPA(oag.ca.gov).gov
- Global Privacy Control – W3C-Spezifikation(w3.org)
- Kanadisches PIPEDA(laws-lois.justice.gc.ca).gov
- Kanadisches CASL(laws-lois.justice.gc.ca).gov
- OPC Kanada(priv.gc.ca).gov
- Brasilianisches LGPD(planalto.gov.br).gov
- Brasilianische ANPD(gov.br).gov
- Chinesisches PIPL(npc.gov.cn).gov
- Japanische PPC – APPI(ppc.go.jp).gov
- Südkoreanische PIPC – PIPA(pipc.go.kr).gov
- Indische DPDP Rules 2025(meity.gov.in).gov
- Australischer Privacy Act 1988(legislation.gov.au).gov
- OAIC Australien(oaic.gov.au).gov
- Spanisches LSSI – Ley 34/2002(boe.es).gov