EU-Cookie-Recht (ePrivacy-Richtlinie) erklärt (2026)

Artikel 5 Absatz 3 der ePrivacy-Richtlinie (Richtlinie 2002/58/EG, geändert durch die Richtlinie 2009/136/EG) verpflichtet Websites, vor dem Setzen jedes nicht unbedingt erforderlichen Cookies auf dem Gerät einer besuchenden Person eine vorherige, informierte Einwilligung einzuholen. Unbedingt erforderliche Cookies sind ausgenommen. Die Richtlinie wirkt neben der DSGVO als lex specialis für die elektronische Kommunikation und Endgeräte.
Die ePrivacy-Richtlinie ist das EU-Gesetz, das speziell regelt, wie Websites Cookies und ähnliche Tracking-Technologien einsetzen dürfen. Während die DSGVO in Datenschutzdebatten die meiste Aufmerksamkeit erhält, ist die ePrivacy-Richtlinie das Instrument, das die Cookie-Einwilligungsbanner unmittelbar vorschreibt, die auf praktisch jeder aus Europa aufrufbaren Website erscheinen.
Formell als Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation bekannt, wurde das Gesetz 2002 erlassen und 2009 durch die Richtlinie 2009/136/EG grundlegend geändert. Diese Änderung von 2009 führte das Opt-in-Einwilligungserfordernis ein, das die Online-Erfahrung von Hunderten Millionen Nutzerinnen und Nutzern veränderte.
Die Rechtslage hat sich seit 2024 deutlich verändert. Die seit Langem blockierte Nachfolgeverordnung wurde förmlich zurückgezogen, und ein neuer Vorschlag verankert die Cookie-Regeln nun direkt in der DSGVO. Dieser Leitfaden behandelt den Gesetzestext der Richtlinie, die Einwilligungsanforderungen, das Zusammenspiel mit der DSGVO, die Umsetzung in den einzelnen Ländern, die zurückgezogene Verordnung, die Digital-Omnibus-Vorschläge vom November 2025, die Durchsetzungspraxis und die notwendigen Compliance-Schritte für Organisationen.
Kurz erklärt
Die ePrivacy-Richtlinie verpflichtet Websites, vor dem Setzen nicht unbedingt erforderlicher Cookies (Analyse-, Werbe- und Präferenz-Cookies) auf dem Gerät einer besuchenden Person eine Einwilligung einzuholen. Unbedingt erforderliche Cookies sind ausgenommen. Den Einwilligungsstandard legt die DSGVO fest: Die Einwilligung muss freiwillig, für den bestimmten Fall, informiert und durch eine eindeutige bestätigende Handlung erteilt sein. Bereits angekreuzte Kästchen und das bloße Fortsetzen des Surfens genügen nicht. Da es sich um eine Richtlinie handelt, wurde sie von jedem EU-Mitgliedstaat unterschiedlich umgesetzt, sodass die Bußgeldstrukturen variieren. Eine Verordnung zur Ablösung der Richtlinie wurde im Februar 2025 förmlich zurückgezogen. Ein Digital-Omnibus-Vorschlag vom November 2025 will die Cookie-Regeln nun über neue Artikel 88a und 88b in die DSGVO überführen, bleibt jedoch bislang ein Entwurf, der noch der gesetzgeberischen Zustimmung bedarf.
Was ist die ePrivacy-Richtlinie?
Die ePrivacy-Richtlinie (Richtlinie 2002/58/EG) ist ein EU-Rechtsinstrument, das die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der elektronischen Kommunikation regelt. Sie erfasst Cookies und Tracking, unerbetene Werbung, Verkehrsdaten, Standortdaten und die Vertraulichkeit der Kommunikation.
Die Richtlinie trat am 31. Juli 2002 in Kraft. Sie wirkte neben der ursprünglichen Datenschutzrichtlinie (95/46/EG), die im Mai 2018 durch die DSGVO ersetzt wurde. Während die DSGVO den allgemeinen Datenschutzrahmen ablöste, blieb die ePrivacy-Richtlinie als sektorspezifische Regel für die elektronische Kommunikation bestehen.
Die Änderung von 2009: Die Geburt der Cookie-Einwilligung
Die ursprüngliche Richtlinie von 2002 erlaubte Cookies mit einem einfachen Opt-out-Mechanismus. Browsereinstellungen galten als ausreichender Schutz.
Die Richtlinie 2009/136/EG änderte den Maßstab von Opt-out auf Opt-in. Artikel 5 Absatz 3 der geänderten Richtlinie bestimmt, dass die Speicherung von Informationen oder der Zugriff auf bereits gespeicherte Informationen im Endgerät einer Nutzerin oder eines Nutzers nur zulässig ist, „sofern der betreffende Teilnehmer oder Nutzer nach Erhalt klarer und umfassender Informationen seine Einwilligung gegeben hat".
Diese einzelne Änderung löste die Welle von Cookie-Einwilligungsbannern aus, die heute weltweit auf Websites erscheint.
Artikel 5 Absatz 3: Die zentrale Cookie-Vorschrift
Artikel 5 Absatz 3 der geänderten Richtlinie lautet:
„Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen [...] seine Einwilligung gegeben hat, unter anderem über die Zwecke der Verarbeitung."
Die Vorschrift sieht anschließend eine enge Ausnahme vor: „Dies steht der etwaigen technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist, oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der von dem Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann."
Da die ePrivacy-Richtlinie eine Richtlinie und keine Verordnung ist, hat jeder EU-Mitgliedstaat Artikel 5 Absatz 3 in eigenes nationales Recht umgesetzt. Der Inhalt ist einheitlich, doch die Bußgeldstrukturen, die Durchsetzungsschwerpunkte und einige verfahrensrechtliche Details unterscheiden sich von Land zu Land.

Wie die ePrivacy-Richtlinie und die DSGVO zusammenwirken
Die ePrivacy-Richtlinie und die DSGVO sind eigenständige Rechtsinstrumente, die zusammenwirken, aber unterschiedliche Bereiche abdecken. Verwechslungen zwischen beiden führen häufig zu Compliance-Fehlern.
Anwendungsbereich und das Verhältnis der lex specialis
Die DSGVO ist die allgemeine Datenschutzverordnung, die für jede Verarbeitung personenbezogener Daten gilt. Die ePrivacy-Richtlinie ist eine lex specialis (spezielleres Gesetz), die für die elektronische Kommunikation und Endgeräte gilt. Nach Artikel 95 DSGVO haben die spezifischen Regeln der ePrivacy-Richtlinie Vorrang vor den allgemeinen Bestimmungen der DSGVO, sofern die Richtlinie zu einem Thema eigene Vorgaben enthält.
Praktisch bedeutet dies: Die ePrivacy-Richtlinie regelt den Vorgang des Setzens eines Cookies auf einem Gerät. Die DSGVO regelt, was anschließend mit den durch dieses Cookie erhobenen personenbezogenen Daten geschieht.
Die wichtigsten Unterschiede im Überblick
| Aspekt | ePrivacy-Richtlinie | DSGVO |
|---|---|---|
| Rechtsinstrument | Richtlinie (nationale Umsetzung erforderlich) | Verordnung (unmittelbar anwendbar) |
| Anwendungsbereich | Elektronische Kommunikation und Endgeräte | Jede Verarbeitung personenbezogener Daten |
| Cookie-Einwilligung | Erforderlich für alle nicht unbedingt erforderlichen Cookies | Einwilligung ist eine von sechs Rechtsgrundlagen |
| Gilt für | Jede auf einem Gerät gespeicherte oder von dort abgerufene Information | Nur personenbezogene Daten |
| Durchsetzung | Nationale Aufsichtsbehörden, nationale Bußgeldrahmen | Aufsichtsbehörden, harmonisierte DSGVO-Bußgelder |
Warum berechtigtes Interesse Werbe-Cookies nicht rechtfertigen kann
Eine entscheidende Folge dieses Verhältnisses: Organisationen können sich nicht auf die Rechtsgrundlage „berechtigtes Interesse" der DSGVO stützen, um Analyse- oder Werbe-Cookies zu setzen. Nach dem ePrivacy-Rahmen ist die Einwilligung die einzige verfügbare Rechtsgrundlage für nicht unbedingt erforderliche Cookies. Die ePrivacy-Richtlinie gilt zudem auch für Cookies, die überhaupt keine personenbezogenen Daten betreffen, was von der DSGVO gar nicht erfasst würde. Ausführliche Hinweise dazu, was eine wirksame Einwilligung nach der DSGVO ausmacht, finden Sie in unserem Leitfaden zu den DSGVO-Einwilligungsanforderungen.
Cookie-Kategorien nach der Richtlinie
Die ePrivacy-Richtlinie selbst definiert keine Cookie-Kategorien. Der weit verbreitete Einteilungsrahmen stammt aus Leitlinien der Artikel-29-Datenschutzgruppe (heute der Europäische Datenschutzausschuss) und der nationalen Datenschutzaufsichtsbehörden.
Unbedingt erforderliche Cookies
Diese sind nach Artikel 5 Absatz 3 von der Einwilligungspflicht ausgenommen. Sie ermöglichen Kernfunktionen, die die Nutzerin oder der Nutzer ausdrücklich angefordert hat. Beispiele:
- Sitzungs-Cookies, die einen angemeldeten Zustand aufrechterhalten
- Warenkorb-Cookies, die Artikel während eines Kaufvorgangs speichern
- Sicherheits-Cookies, die Authentifizierungsmissbrauch oder Betrug erkennen
- Lastverteilungs-Cookies, die den Datenverkehr auf mehrere Server verteilen
- Barrierefreiheits-Cookies, die von der Nutzerin oder dem Nutzer angefordert wurden
Die Ausnahme ist eng gefasst. Ein Cookie ist nur dann unbedingt erforderlich, wenn der Dienst ohne dieses Cookie tatsächlich nicht funktionieren würde und die Nutzerin oder der Nutzer diesen Dienst konkret angefordert hat. Ein Cookie, das die Leistung verbessert oder Komfort bietet, aber nicht unerlässlich ist, erfüllt diese Voraussetzung nicht.
Funktionale Cookies
Funktionale Cookies speichern Nutzerentscheidungen über das unbedingt erforderliche Maß hinaus. Sprachpräferenzen (sofern die Website auch in einer Standardsprache funktionieren würde), Einstellungen des Videoplayers und Schriftgrößeneinstellungen fallen darunter. Sie erfordern eine Einwilligung.
Analyse-Cookies
Analyse-Cookies verfolgen das Nutzerverhalten zu statistischen Zwecken. Werkzeuge wie Google Analytics und Adobe Analytics setzen darauf. Sie erfordern eine Einwilligung. Einige nationale Aufsichtsbehörden haben enge Ausnahmen für datenschutzfreundliche First-Party-Analysewerkzeuge geschaffen, doch Drittanbieter-Analysewerkzeuge, die Daten nach außen übermitteln, erfordern in allen EU-Ländern durchgängig eine Einwilligung.
Werbe- und Tracking-Cookies
Diese Cookies erstellen Nutzerprofile für zielgerichtete Werbung, Retargeting und geräteübergreifendes Tracking. Dazu zählen Drittanbieter-Cookies von Werbenetzwerken, Social-Media-Pixel und Fingerprinting-Skripte. Sie erfordern stets eine ausdrückliche Einwilligung und ziehen die größte regulatorische Aufmerksamkeit auf sich. Länderspezifische Einzelheiten finden Sie in unserem Leitfaden zur Cookie-Einwilligung nach Ländern.

Einwilligungsanforderungen
Die Änderung von 2009 hat die Cookie-Einwilligung an den breiteren EU-Einwilligungsstandard angeglichen. Die DSGVO hat diesen Standard durch ihre Definition der Einwilligung nach Artikel 4 Nummer 11 und die Bedingungen nach Artikel 7 weiter gefestigt. Eine vollständige Darstellung finden Sie in unserem Artikel zu den DSGVO-Einwilligungsanforderungen.
Was eine wirksame Einwilligung voraussetzt
Eine wirksame Cookie-Einwilligung muss:
- Freiwillig sein: Nutzerinnen und Nutzer dürfen nicht gezwungen werden, Cookies als Bedingung für den Zugang zur Website zu akzeptieren.
- Für den bestimmten Fall erteilt werden: Die Einwilligung muss für jeden Zweck gesondert eingeholt werden, nicht gebündelt in einem einzigen Kästchen „Alle akzeptieren".
- Informiert sein: Nutzerinnen und Nutzer müssen klare Informationen darüber erhalten, welche Cookies verwendet werden, welche Daten sie erheben, wer diese Daten erhält und wie lange die Cookies bestehen bleiben.
- Unmissverständlich sein: Die Einwilligung erfordert eine eindeutige bestätigende Handlung. Scrollen, das Fortsetzen des Surfens oder bereits angekreuzte Kästchen stellen keine wirksame Einwilligung dar.
- Widerrufbar sein: Nutzerinnen und Nutzer müssen die Einwilligung ebenso einfach widerrufen können, wie sie sie erteilt haben.
Das Planet49-Urteil
Der Gerichtshof der Europäischen Union (EuGH) klärte den Einwilligungsstandard in der Rechtssache C-673/17 (Planet49), entschieden am 1. Oktober 2019. Der Gerichtshof entschied:
- Bereits angekreuzte Kästchen stellen keine wirksame Einwilligung für Cookies dar.
- Die Einwilligung muss aktiv und spezifisch, nicht passiv erfolgen.
- Nutzerinnen und Nutzer müssen über die Dauer der Cookie-Nutzung sowie darüber informiert werden, ob Dritte Zugriff auf die Cookies haben.
- Das Erfordernis gilt unabhängig davon, ob die Cookie-Daten personenbezogene Daten darstellen.
Dieses Urteil beseitigte verbliebene Unklarheiten hinsichtlich des Opt-in-Standards.
Die Ablehnung muss ebenso einfach sein wie die Annahme
Im Anschluss an den Bericht der Cookie-Banner-Taskforce des EDSA (veröffentlicht im Januar 2023) verlangen mittlerweile mehrere nationale Datenschutzaufsichtsbehörden, dass die Ablehnung von Cookies nicht schwieriger sein darf als deren Annahme. Eine Schaltfläche „Alle akzeptieren" mit einem Klick auf der ersten Ebene eines Banners muss mit einer ebenso deutlich sichtbaren Schaltfläche „Alle ablehnen" gepaart sein. Die Ablehnungsoption hinter einem Link „Einstellungen verwalten" auf einer zweiten Ebene zu verstecken, gilt in den meisten Mitgliedstaaten als unzulässig.
„Einwilligung oder Bezahlung"-Cookie-Wände
Eine Cookie-Wand blockiert den Zugang zur Website, sofern die Nutzerin oder der Nutzer nicht in alle Cookies einwilligt. Eine Variante, „Einwilligung oder Bezahlung", erlaubt es, Tracking zu vermeiden, indem stattdessen ein kostenpflichtiger Dienst abonniert wird. Beide Modelle bleiben nach EU-Recht umstritten.
Die Stellungnahme des EDSA vom April 2024 zu „Einwilligung oder Bezahlung"
In der Stellungnahme 08/2024 vom 17. April 2024 kam der EDSA zu dem Ergebnis, dass große Online-Plattformen, die ausschließlich ein Modell „Bezahlen oder Einwilligung in verhaltensbezogene Werbung" anbieten, „in den meisten Fällen" keine freiwillige Einwilligung herbeiführen. Die Stellungnahme führt aus, dass Nutzerinnen und Nutzern eine gleichwertige Alternative angeboten werden sollte, die kein Entgelt erfordert und keine verhaltensbezogene Werbung beinhaltet.
Die Europäische Kommission folgte dem im April 2025 mit einer förmlichen Entscheidung, in der sie Meta wegen desselben Sachverhalts einen Verstoß gegen das Gesetz über digitale Märkte feststellte, und begründete dies damit, dass Metas kostenpflichtiges Abonnement keine wirklich gleichwertige kostenlose Alternative darstelle und die Entgelte so hoch angesetzt seien, dass Nutzerinnen und Nutzern keine echte Wahl bleibe.
Kleinere Websites und Verlage
Die Stellungnahme des EDSA richtet sich an „große Online-Plattformen". Nationale Aufsichtsbehörden sind zu unterschiedlichen Auffassungen darüber gelangt, ob kleinere Nachrichtenseiten und Verlage Einwilligung-oder-Bezahlen-Modelle betreiben dürfen. Die niederländische Autoriteit Persoonsgegevens lässt Cookie-Wände unter bestimmten Umständen zu, wenn gleichwertige Inhalte anderswo zugänglich sind. Die französische CNIL verlangt, dass die Ablehnung der Einwilligung ebenso einfach sein muss wie die Annahme, hat jedoch nicht sämtliche paywallbasierten Einwilligungsmodelle für Verlage kategorisch untersagt. Diese Frage bleibt auf EU-Ebene ungeklärt.
Die Cookie-Banner-Taskforce des EDSA
Der EDSA richtete im September 2021 eine Cookie-Banner-Taskforce ein, als Reaktion auf eine Welle von Beschwerden der Nichtregierungsorganisation noyb (None of Your Business) gegen 422 Websites wegen rechtswidriger Einwilligungsbanner. Die Taskforce setzte sich aus 21 Aufsichtsbehörden aus EU- und EWR-Staaten zusammen.
Ihr Bericht vom Januar 2023 legte mehrere gemeinsame Positionen der beteiligten Behörden fest:
- Das Fehlen einer Option „Alle ablehnen" auf derselben Ebene wie „Alle akzeptieren" stellt einen Verstoß gegen EU-Recht dar.
- Irreführende Gestaltung (Dark Patterns), die Nutzerinnen und Nutzer optisch zur Einwilligung drängt, ist unzulässig.
- Die Einwilligung muss jederzeit ebenso einfach widerrufbar sein, wie sie erteilt wurde.
- Informationen zu Cookies müssen bereits auf der ersten Ebene des Banners bereitgestellt werden, nicht nur über einen Link zu einer Richtlinie.
Im Anschluss an den Bericht führten die nationalen Aufsichtsbehörden Durchsetzungsaktionen durch und verhängten Bußgelder gegen Organisationen, deren Banner diesen Standards nicht genügten.
Umsetzung nach Ländern
Da die ePrivacy-Richtlinie eine Richtlinie ist, hat jeder Mitgliedstaat sie in nationales Recht umgesetzt. Wichtige Unterschiede:
Frankreich
Frankreich setzt die Richtlinie über Artikel 82 des Gesetzes Informatique et Libertés um. Die CNIL zählt zu den aktivsten Cookie-Durchsetzungsbehörden Europas. Im Dezember 2021 verhängte die CNIL ein Bußgeld von 150 Millionen Euro gegen Google und 60 Millionen Euro gegen Facebook, weil die Ablehnung von Cookies schwieriger gestaltet war als deren Annahme. Im September 2025 verhängte die CNIL ein Bußgeld von 325 Millionen Euro gegen Google wegen Verstößen bei Werbe-Cookies durch unwirksame Einwilligungsmechanismen. Die CNIL verlangt eine ebenso deutlich sichtbare Ablehnungsschaltfläche wie die Annahmeschaltfläche und lässt unter strengen Voraussetzungen eine begrenzte Ausnahme für First-Party-Cookies zur aggregierten Reichweitenmessung zu.
Deutschland
Deutschland hat die Regeln zur Cookie-Einwilligung über das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) umgesetzt. Der BfDI und die Datenschutzaufsichtsbehörden der Länder setzen sie durch. Der Bundesgerichtshof übernahm in seiner Entscheidung vom Oktober 2020 den Planet49-Standard des EuGH. Das TDDDG sieht ein Höchstbußgeld von 300.000 Euro vor, wobei bei Betroffenheit personenbezogener Daten zusätzlich DSGVO-Bußgelder gelten.
Irland
Irland setzt die Richtlinie über die S.I. Nr. 336 von 2011 um. Die Datenschutzkommission (DPC) setzt diese Regeln durch. Da große, in Irland ansässige Technologieunternehmen der Aufsicht der DPC unterliegen, entfalten irische Durchsetzungsentscheidungen einen überproportionalen Einfluss auf die gesamte EU.
Italien
Die italienische Garante per la protezione dei dati personali veröffentlichte im Juni 2021 aktualisierte Cookie-Leitlinien, die eine sichtbare Ablehnungsschaltfläche auf der ersten Bannerebene vorschreiben. Italien verlangt zudem eine von der allgemeinen Datenschutzerklärung getrennte Cookie-Richtlinie.
Spanien
Spanien setzte die Richtlinie über das Gesetz 34/2002 (LSSI) um. Die AEPD hat Bußgelder gegen Vueling Airlines und Vodafone Spanien wegen Cookie-Verstößen verhängt und Höchstspeicherfristen für Analyse-Cookies klargestellt.
Niederlande
Die Niederlande haben die Richtlinie über das Telecommunicatiewet umgesetzt. Im April 2025 erteilte die Autoriteit Persoonsgegevens 50 Organisationen Compliance-Warnungen wegen irreführender Cookie-Banner oder rechtswidrigen Trackings. Die Position der niederländischen Behörde zu Cookie-Wänden (die sie unter bestimmten Umständen zulässt, sofern gleichwertige Inhalte anderswo verfügbar sind) weicht von der strengeren Auslegung des EDSA ab.
Belgien
Die belgische Datenschutzbehörde (APD) erließ im Februar 2022 eine wegweisende Entscheidung, wonach das Transparency and Consent Framework (TCF) von IAB Europe gegen die DSGVO verstößt. Der EuGH bestätigte die Kernfeststellung im November 2023 und erschütterte damit den am weitesten verbreiteten Einwilligungsmechanismus der programmatischen Werbebranche.

Die zurückgezogene ePrivacy-Verordnung
Die Europäische Kommission schlug im Januar 2017 eine ePrivacy-Verordnung vor, um die veraltete Richtlinie durch eine unmittelbar geltende, einheitliche EU-weite Regel zu ersetzen. Im Gegensatz zu einer Richtlinie hätte eine Verordnung den Umsetzungsflickenteppich vollständig beseitigt.
Warum eine Verordnung vorgeschlagen wurde
Die Kommission identifizierte mehrere Probleme der Richtlinie:
- Fragmentierte nationale Umsetzungen, die die Compliance verkomplizieren
- Veraltete technologische Bezugspunkte (der Text von 2002 stammt aus der Zeit vor Smartphones und modernem Tracking)
- Uneinheitliche Durchsetzung zwischen den Mitgliedstaaten
- Die Notwendigkeit einer Angleichung an den aktualisierten Datenschutzrahmen der DSGVO
- „Einwilligungsmüdigkeit" durch schlecht gestaltete Einwilligungsmechanismen
Was der Entwurf geändert hätte
Der Vorschlag für eine ePrivacy-Verordnung wäre unmittelbar in allen Mitgliedstaaten anwendbar gewesen, hätte den Anwendungsbereich auf Over-the-Top-Kommunikationsdienste (WhatsApp, Signal, Messenger) ausgeweitet, browserbasierte Einwilligung als gültigen Mechanismus eingeführt, die Bußgelder an den Rahmen der DSGVO angeglichen (bis zu 4 Prozent des weltweiten Umsatzes) und Metadaten umfassender geregelt.
Förmliche Rücknahme: Februar 2025
Nach acht Jahren blockierter Verhandlungen zog die Europäische Kommission den Vorschlag für die ePrivacy-Verordnung in ihrem Arbeitsprogramm 2025 förmlich zurück, veröffentlicht am 11. Februar 2025. Die Kommission erklärte, „von den Mitgesetzgebern sei keine Einigung mehr zu erwarten" und „der Vorschlag sei angesichts jüngerer technologischer und rechtlicher Entwicklungen überholt".
Die bestehende ePrivacy-Richtlinie und ihre nationalen Umsetzungen bleiben vollständig in Kraft. Die Rücknahme bedeutet, dass über den Vorschlag von 2017 keine neue ePrivacy-Verordnung mehr kommen wird. Anstatt die Modernisierung der Cookie-Regeln jedoch einfach aufzugeben, verfolgte die Kommission einen anderen Gesetzgebungsweg über den Digital Omnibus.
Der Digital Omnibus vom November 2025: Cookie-Regeln werden Teil der DSGVO
Am 19. November 2025 verabschiedete die Europäische Kommission ein Paket vorgeschlagener Änderungen am digitalen Regelwerk der EU, veröffentlicht als Digital Omnibus. Das Paket ändert gleichzeitig die DSGVO, die ePrivacy-Richtlinie, die Datenverordnung und mehrere weitere Rechtsakte.
Der Kernvorschlag: Artikel 88a und 88b
Der Digital Omnibus schlägt zwei neue Artikel in der DSGVO vor, die die Funktion der Cookie-Einwilligung übernehmen würden, die derzeit von Artikel 5 Absatz 3 der ePrivacy-Richtlinie wahrgenommen wird.
Artikel 88a würde die Einwilligung zu Cookies und Tracking im Rahmen der DSGVO regeln. Wesentliche Elemente:
- Die Cookie-Einwilligung muss weiterhin granular, spezifisch und vor dem Setzen der Cookies eingeholt werden.
- Eine betroffene Person muss die Einwilligung „auf einfache und verständliche Weise mit einer Ein-Klick-Schaltfläche oder gleichwertigen Mitteln" ablehnen können.
- Hat eine Nutzerin oder ein Nutzer die Einwilligung abgelehnt, darf der Verantwortliche für denselben Zweck mindestens sechs Monate lang keine erneute Einwilligung anfragen.
- Die Ausnahme für unbedingt erforderliche Cookies aus der ePrivacy-Richtlinie bleibt erhalten.
Artikel 88b würde regeln, wie Einwilligungs-, Ablehnungs- und Widerspruchssignale technisch übermittelt werden. Er würde vorschreiben:
- Online-Schnittstellen müssen automatisierte, maschinenlesbare Einwilligungssignale von Browsern und Betriebssystemen akzeptieren und respektieren.
- Browseranbieter (außer KMU) müssen die technische Infrastruktur für solche Signale bereitstellen.
- Für die Einhaltung der Browsersignal-Vorgaben gilt eine Umsetzungsfrist von 24 Monaten, länger als die für Artikel 88a vorgeschlagene Sechsmonatsfrist.
Was dies in der Praxis bedeuten würde
Würden die Änderungen des Digital Omnibus angenommen, könnten Nutzerinnen und Nutzer ihren Browser einmalig so konfigurieren, dass Tracking auf allen Websites abgelehnt wird, und Websites wären rechtlich verpflichtet, dieses Signal zu respektieren. Cookie-Banner würden im Rahmen des Vorschlags nicht vollständig verschwinden, aber weniger notwendig werden, sobald maschinenlesbare Signale greifen.
Der EDSA und der Europäische Datenschutzbeauftragte (EDSB) veröffentlichten 2026 eine gemeinsame Erklärung, in der sie die Vereinfachungsziele grundsätzlich begrüßten, zugleich aber Bedenken hinsichtlich einiger Bestimmungen und des Tempos des Gesetzgebungsverfahrens äußerten.
Aktueller Stand
Der Digital Omnibus ist ein Kommissionsvorschlag, kein geltendes Recht. Er trat am 19. November 2025 in das ordentliche Gesetzgebungsverfahren ein und muss von Europäischem Parlament und Rat der EU geprüft und angenommen werden. Beobachter erwarten Verhandlungen bis mindestens Mitte bis Ende 2026, und der Vorschlag könnte im Laufe dieses Prozesses noch erheblich geändert werden. Die bestehende ePrivacy-Richtlinie und die DSGVO bleiben geltendes Recht, bis ein etwaiger Ersatz in Kraft tritt.
Durchsetzung und Sanktionen
Da die ePrivacy-Richtlinie über nationale Gesetze umgesetzt wird, variieren die Höchstbußgelder. In der Praxis wenden die meisten Aufsichtsbehörden die Bußgeldstruktur der DSGVO (bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes) an, sobald Cookies mit der Verarbeitung personenbezogener Daten verbunden sind.
Wichtige Durchsetzungsmaßnahmen (2021 bis 2026)
| Jahr | Aufsichtsbehörde | Betroffenes Unternehmen | Betrag | Verstoß |
|---|---|---|---|---|
| 2021 | CNIL (Frankreich) | 150 Mio. € | Ablehnung von Cookies schwieriger als Annahme | |
| 2021 | CNIL (Frankreich) | 60 Mio. € | Ablehnung von Cookies schwieriger als Annahme | |
| 2022 | APD (Belgien) | IAB Europe | Feststellung eines DSGVO-Verstoßes | TCF-Einwilligungsrahmen unwirksam |
| 2023 | EuGH | IAB Europe TCF | Kernfeststellung bestätigt | Verletzung durch das TCF bei personenbezogenen Daten bestätigt |
| 2025 | AP (Niederlande) | 50 Organisationen | Compliance-Warnungen | Irreführende Banner, Tracking ohne Einwilligung |
| 2025 | CNIL (Frankreich) | 325 Mio. € | Verstöße bei der Einwilligung zu Werbe-Cookies | |
| 2025 | CNIL (Frankreich) | Shein | 150 Mio. € | Cookie-Verstöße |
Durchsetzungstendenzen
Die Durchsetzung hat sich in Europa seit 2021 verschärft. Mehrere Muster fallen auf:
- Gestalterische Gleichwertigkeit ist erforderlich. Die Ablehnungsoption muss ebenso deutlich sichtbar und ebenso einfach zu bedienen sein wie die Annahmeoption. Asymmetrische Schaltflächengestaltung, kleinere Schriftgrößen und Ausgrauen der Ablehnungsschaltfläche gelten als Dark Patterns.
- Ablehnungsschaltfläche auf der ersten Ebene. Frankreich, Italien, Belgien und mehrere weitere Länder verlangen inzwischen ausdrücklich eine Option „Alle ablehnen" bereits auf dem ersten Banner, nicht erst hinter einem Einstellungslink.
- Koordinierte Durchsetzungsaktionen. Der EDSA koordiniert Maßnahmen im Rahmen des Koordinierten Durchsetzungsrahmens (CEF), bei denen mehrere nationale Aufsichtsbehörden gleichzeitig denselben Sektor prüfen.
- Werbe-Cookies treiben die Bußgelder. Die höchsten Geldbußen betrafen durchgängig Werbe- und Tracking-Cookies Dritter, die ohne wirksame Einwilligung gesetzt wurden.
Praktische Schritte zur Compliance
Organisationen mit aus der EU zugänglichen Websites sollten die folgenden Schritte umsetzen.
Zuerst prüfen
Führen Sie eine Cookie-Prüfung Ihrer Website durch, einschließlich aller Drittanbieter-Skripte. Dokumentieren Sie zu jedem Cookie den Namen, den Zweck, die Speicherdauer und den Datenempfänger. Klassifizieren Sie jedes Cookie als unbedingt erforderlich, funktional, analytisch oder werbebezogen.
Ein regelkonformes Banner gestalten
Zeigen Sie ein Einwilligungsbanner an, bevor nicht unbedingt erforderliche Cookies gesetzt werden. Das Banner muss:
- Nicht unbedingt erforderliche Cookies blockieren, bis die Nutzerin oder der Nutzer eine Wahl getroffen hat (vorherige Einwilligung, kein nachträglicher Hinweis)
- Granulare Kategorieoptionen anbieten
- Annahme- und Ablehnungsschaltflächen mit gleicher visueller Prominenz auf der ersten Ebene präsentieren
- Bereits angekreuzte Kästchen für jede Kategorie vermeiden
- Klare, allgemein verständliche Erläuterungen zu jeder Cookie-Kategorie enthalten
Laufende Aufzeichnungen führen
Speichern Sie Einwilligungsnachweise (welche Wahl die Nutzerin oder der Nutzer getroffen hat, wann und welche Version des Banners angezeigt wurde). Stellen Sie einen leicht zugänglichen Mechanismus zum jederzeitigen Widerruf der Einwilligung bereit. Prüfen Sie Cookies regelmäßig erneut, da Drittanbieter-Skripte häufig ohne Vorankündigung neue Cookies hinzufügen.
Dies sind allgemeine rechtliche Informationen, keine Rechtsberatung. Die Compliance-Anforderungen hängen von den jeweiligen Zielmärkten Ihrer Website, den verwendeten Cookie-Arten und der Art der erhobenen Daten ab. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an eine Datenschutzanwältin oder einen Datenschutzanwalt.
Frequently Asked Questions
Was ist die ePrivacy-Richtlinie und wie verhält sie sich zur DSGVO?
Die ePrivacy-Richtlinie (2002/58/EG, geändert durch 2009/136/EG) ist das EU-Gesetz, das Cookies, Tracking-Technologien und die elektronische Kommunikation regelt. Sie wirkt als lex specialis neben der DSGVO: Die Richtlinie regelt den Vorgang des Setzens von Cookies auf einem Gerät, während die DSGVO regelt, wie die durch diese Cookies erhobenen personenbezogenen Daten verarbeitet werden. Gelten beide Gesetze, haben die spezifischen Regeln der ePrivacy-Richtlinie Vorrang. Die DSGVO legt den Einwilligungsstandard fest, den das Einwilligungserfordernis der ePrivacy-Richtlinie erfüllen muss.
Wurde die ePrivacy-Verordnung zurückgezogen?
Ja. Die Europäische Kommission hat den Vorschlag für die ePrivacy-Verordnung in ihrem Arbeitsprogramm 2025, veröffentlicht am 11. Februar 2025, förmlich zurückgezogen. Die Kommission erklärte, von den Mitgesetzgebern sei keine Einigung mehr zu erwarten gewesen und der Vorschlag sei angesichts jüngerer digitaler Rechtsvorschriften überholt. Die bestehende ePrivacy-Richtlinie bleibt vollständig in Kraft. Ein neuer Ansatz zur Aktualisierung der Cookie-Regeln wurde über den Digital Omnibus vom November 2025 eingeführt, der vorschlägt, die Regeln zur Cookie-Einwilligung in die DSGVO zu überführen, statt die Richtlinie durch eine gesonderte Verordnung zu ersetzen.
Was schlägt der Digital Omnibus vom November 2025 für Cookies vor?
Der am 19. November 2025 veröffentlichte Digital Omnibus schlägt zwei neue DSGVO-Artikel vor. Artikel 88a würde Ablehnungsoptionen mit einem Klick vorschreiben, die ebenso deutlich sichtbar sind wie die Annahme, wiederholte Einwilligungsanfragen für sechs Monate nach einer Ablehnung untersagen und die Ausnahme für unbedingt erforderliche Cookies erhalten. Artikel 88b würde Websites verpflichten, maschinenlesbare browserseitige Einwilligungssignale zu respektieren, sodass Nutzerinnen und Nutzer ihre Datenschutzpräferenzen einmalig im Browser festlegen könnten, statt sich durch einzelne Cookie-Banner klicken zu müssen. Der Vorschlag bedarf noch der Zustimmung von Europäischem Parlament und Rat und ist noch nicht geltendes Recht.
Welche Cookies sind von der Einwilligungspflicht ausgenommen?
Nach Artikel 5 Absatz 3 sind nur zwei Kategorien ausgenommen. Erstens Cookies, die ausschließlich der Übertragung einer Nachricht über ein Netzwerk dienen (technisches Routing). Zweitens Cookies, die unbedingt erforderlich sind, um einen von der Nutzerin oder dem Nutzer ausdrücklich angeforderten Dienst bereitzustellen, etwa Authentifizierungs-, Warenkorb- und Sicherheits-Cookies. Analyse-, Werbe- und die meisten funktionalen Cookies erfordern durchweg eine Einwilligung. Einige nationale Aufsichtsbehörden, insbesondere die französische CNIL, lassen unter strengen Voraussetzungen eine enge Ausnahme für datenschutzfreundliche, ausschließlich First-Party-basierte Reichweitenmessungswerkzeuge zu.
Sind bereits angekreuzte Cookie-Einwilligungskästchen in der EU zulässig?
Nein. Der EuGH entschied im Oktober 2019 in der Rechtssache C-673/17 (Planet49), dass bereits angekreuzte Kästchen keine wirksame Einwilligung für Cookies darstellen. Die Einwilligung erfordert eine eindeutige bestätigende Handlung. Auch das Scrollen oder das Fortsetzen des Surfens auf der Website gilt nicht als wirksame Einwilligung. Dies gilt unabhängig davon, ob die Cookie-Daten personenbezogene Daten darstellen.
Sind 'Einwilligung oder Bezahlung'-Cookie-Wände zulässig?
Das hängt vom Kontext ab. Der EDSA stellte in seiner Stellungnahme 08/2024 vom April 2024 fest, dass große Online-Plattformen 'in den meisten Fällen' kein Einwilligung-oder-Bezahlen-Modell verwenden können, weil Nutzerinnen und Nutzern keine echte freie Wahl bleibt. Die Europäische Kommission kam im April 2025 in Bezug auf Meta zum selben Ergebnis. Die Stellungnahme richtet sich jedoch in erster Linie an große Plattformen, und die nationalen Behörden haben nicht einheitlich sämtliche Einwilligung-oder-Bezahlen-Modelle für kleinere Verlage untersagt. Die niederländische Aufsichtsbehörde lässt manche Cookie-Wände zu, wenn gleichwertige Inhalte anderswo zugänglich sind. Die Frage bleibt EU-weit ungeklärt.
Welche Sanktionen drohen bei Verstößen gegen das Cookie-Recht?
Die Sanktionen variieren je nach Land. Frankreich hat auf Grundlage der DSGVO-Bußgeldvorschriften Bußgelder von 325 Millionen Euro (Google, 2025) und 150 Millionen Euro (Google, 2021) verhängt. Spanien kann nach dem LSSI Bußgelder bis zu 300.000 Euro verhängen oder DSGVO-Bußgelder anwenden, wenn personenbezogene Daten betroffen sind. Das deutsche TDDDG sieht ein Höchstbußgeld von 300.000 Euro vor, wobei bei Verstößen mit personenbezogenen Daten zusätzlich DSGVO-Bußgelder möglich sind. In der Praxis wenden die meisten Aufsichtsbehörden den DSGVO-Rahmen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes an, sobald Cookies mit der Verarbeitung personenbezogener Daten verbunden sind.
Erfordern Analyse-Cookies wie Google Analytics eine Einwilligung?
Nach der ePrivacy-Richtlinie erfordern Analyse-Cookies grundsätzlich eine Einwilligung. Einige nationale Aufsichtsbehörden haben dies jedoch für First-Party-Analysen gelockert. Die französische CNIL lässt unter strengen Voraussetzungen eine Ausnahme für First-Party-Reichweitenmessungs-Cookies zu: Die Daten müssen aggregiert sein, dürfen nicht an Dritte weitergegeben werden und unterliegen einer begrenzten Speicherfrist. Drittanbieter-Werkzeuge wie Google Analytics, die Daten nach außen übermitteln, erfordern in allen EU-Ländern durchgängig eine Einwilligung.
Wie oft müssen Websites die Cookie-Einwilligung erneut einholen?
Die ePrivacy-Richtlinie legt kein bestimmtes Intervall für die erneute Einwilligung fest. Die nationalen Vorgaben variieren. Die CNIL empfiehlt, die Einwilligung alle sechs Monate erneut einzuholen. Andere Aufsichtsbehörden schlagen zwölfmonatige Intervalle vor. Der Digital-Omnibus-Vorschlag würde im Falle seiner Annahme untersagen, für einen bereits abgelehnten Zweck vor Ablauf von mindestens sechs Monaten erneut um Einwilligung zu bitten. Organisationen sollten die Einwilligung zudem erneut einholen, sobald sie neue Cookie-Kategorien hinzufügen oder Verarbeitungszwecke ändern.
Sources and References
- Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (ePrivacy-Richtlinie)(eur-lex.europa.eu).gov
- Richtlinie 2009/136/EG zur Änderung der ePrivacy-Richtlinie (Cookie-Änderung)(eur-lex.europa.eu).gov
- EuGH-Rechtssache C-673/17 (Planet49), Standard für die Cookie-Einwilligung(curia.europa.eu).gov
- Stellungnahme 04/2012 der Artikel-29-Datenschutzgruppe zu Ausnahmen von der Cookie-Einwilligung(ec.europa.eu).gov
- Leitlinien 05/2020 des EDSA zur Einwilligung nach der DSGVO(edpb.europa.eu).gov
- Verordnung (EU) 2016/679, Datenschutz-Grundverordnung (DSGVO)(eur-lex.europa.eu).gov
- Arbeitsprogramm 2025 der Europäischen Kommission, Rücknahme der ePrivacy-Verordnung(commission.europa.eu).gov
- EU-Digitalpaket, Europäische Kommission (Digital Omnibus)(digital-strategy.ec.europa.eu).gov
- Bericht der Cookie-Banner-Taskforce des EDSA (Januar 2023)(edpb.europa.eu).gov
- Erklärung von EDSA und EDSB zum Digital Omnibus (2026)(edpb.europa.eu).gov
- CNIL: Leitlinien zu Cookies und anderen Tracking-Technologien(cnil.fr).gov
- Cookie-Leitlinien der italienischen Garante (2021)(garanteprivacy.it).gov
- Spanisches LSSI (Gesetz 34/2002), Gesetz über Dienste der Informationsgesellschaft(boe.es).gov
- Deutschland BfDI, Bundesbeauftragter für den Datenschutz(bfdi.bund.de).gov
- Irland S.I. Nr. 336/2011, Verordnung über elektronische Kommunikation(irishstatutebook.ie).gov
- Niederländisches Telecommunicatiewet(wetten.overheid.nl).gov
- Französisches Gesetz Informatique et Libertés, Artikel 82(legifrance.gouv.fr).gov