Fast jede Website hat eine, aber die wenigsten Unternehmer wissen, was genau hineingehört: die Cookie-Richtlinie. Oft ist es ein generischer Text aus drei Absätzen, irgendwann von einer anderen Website kopiert. Das reicht nicht. Eine Cookie-Richtlinie muss beschreiben, welche Cookies Ihre Website tatsächlich setzt, und für jedes Cookie eine Reihe von Pflichtangaben aufführen.
Warum Sie eine Cookie-Richtlinie brauchen
Die Pflicht ergibt sich aus zwei Richtungen zugleich.
Die ePrivacy-Regeln (in der gesamten EU in nationales Recht umgesetzt) verlangen eine Einwilligung, bevor Sie nicht notwendige Cookies setzen. Diese Einwilligung muss informiert sein: Ein Besucher kann nur wirksam etwas zustimmen, das ihm klar erklärt wurde.
Die DSGVO ergänzt darüber hinaus für jede Verarbeitung personenbezogener Daten eine Transparenzpflicht. Viele Cookies erheben identifizierbare Daten wie eine eindeutige Besucher-ID oder IP-Adresse und fallen damit unter diese Pflicht.
Der Gerichtshof der EU hat das im Planet49-Urteil (2019) konkretisiert: Besucher müssen unter anderem wissen, wie lange Cookies aktiv bleiben und ob Dritte Zugriff darauf haben. Genau die Informationen, die in eine Cookie-Richtlinie gehören.
Was pro Cookie aufgeführt werden muss
Eine ordentliche Cookie-Richtlinie enthält eine Tabelle mit den folgenden Angaben für jedes Cookie, das Ihre Website setzt:
Name. Der technische Name des Cookies, etwa _ga oder PHPSESSID. So kann ein Besucher (oder eine Aufsichtsbehörde) prüfen, ob Ihre Richtlinie mit dem übereinstimmt, was der Browser anzeigt.
Anbieter. Wer setzt das Cookie? Sie selbst (First-Party) oder ein externer Dienst wie Google, Meta oder HubSpot (Third-Party)? Bei Third-Party-Cookies erwarten Leser zusätzlich einen Verweis auf die Datenschutzerklärung dieser Partei.
Zweck. Wofür ist das Cookie da? “Marketing” allein ist zu vage; besser ist zum Beispiel: “misst die Werbewirkung, indem Besucher website-übergreifend wiedererkannt werden”.
Kategorie. Notwendig, funktional, Statistik oder Marketing. Diese Einordnung muss zu den Auswahlmöglichkeiten in Ihrem Cookie-Banner passen: Ein Besucher, der Statistik-Cookies ablehnt, darf keine erhalten.
Speicherdauer. Wie lange bleibt das Cookie auf dem Gerät? Eine Sitzung, 24 Stunden, 13 Monate, 2 Jahre? Genau diese Information hat der Gerichtshof ausdrücklich zur Pflicht gemacht.
Rechtsgrundlage. Bei notwendigen Cookies ist das meist das berechtigte Interesse; bei allen anderen Kategorien die Einwilligung.
Die Richtlinie sollte außerdem abdecken: wie Besucher ihre Einwilligung widerrufen oder ändern können, ob Daten außerhalb des EWR übermittelt werden und wann die Richtlinie zuletzt aktualisiert wurde.
Das eigentliche Problem: Wissen Sie, welche Cookies Sie setzen?
Hier scheitern die meisten Websites. Nicht, weil Betreiber etwas verbergen wollen, sondern weil moderne Websites Cookies setzen, von denen der Betreiber nichts weiß.
Ein paar Beispiele aus der Praxis:
- Ein Tag-Manager (wie Google Tag Manager) lädt Skripte, die eigene Cookies setzen. Ein Marketing-Kollege fügt einen Tag hinzu, und schon hat sich Ihre Cookie-Landschaft verändert.
- Ein Chat-Widget wie Intercom oder Tawk.to setzt Cookies, um Gespräche mit Besuchern zu verknüpfen.
- Eine YouTube-Einbettung kann Google-Tracking-Cookies setzen, selbst wenn der Besucher das Video nie abspielt.
- Social-Share-Buttons und Pixel von Meta oder LinkedIn setzen Cookies, die Besucher website-übergreifend verfolgen.
Eine Cookie-Richtlinie auf Basis dessen zu schreiben, was Sie zu nutzen glauben, führt daher fast garantiert zu einer fehlerhaften Richtlinie. Und eine fehlerhafte Richtlinie ist keine Kleinigkeit: Sie bedeutet, dass die Einwilligung, die Sie einsammeln, nicht wirksam informiert ist.
Der einzige zuverlässige Ansatz ist Messen statt Raten: Scannen Sie Ihre Website so, wie ein echter Besucher sie erlebt, und bauen Sie Ihre Cookie-Tabelle aus dem auf, was tatsächlich passiert. Dafür können Sie unseren kostenlosen Cookie-Richtlinien-Generator nutzen oder es manuell mit unserer Vorlage für ein Cookie-Audit erledigen.
Cookie-Richtlinie und Cookie-Banner: zwei verschiedene Dinge
Die Begriffe werden oft verwechselt, aber jeder löst einen anderen Teil des Puzzles:
- Das Cookie-Banner fragt die Einwilligung ab, bevor nicht notwendige Cookies gesetzt werden, und merkt sich die Wahl des Besuchers.
- Die Cookie-Richtlinie dokumentiert, welche Cookies es gibt, mit allen Pflichtangaben, damit die Einwilligung informiert ist.
Ein Banner ohne ordentliche Richtlinie sammelt Einwilligungen ein, die rechtlich wackelig sind. Eine Richtlinie ohne Banner bedeutet, dass Sie Cookies ohne Einwilligung setzen. Sie brauchen beide, und sie müssen aufeinander verweisen: Ihr Banner sollte direkt auf Ihre Cookie-Richtlinie verlinken.
Eine Cookie-Richtlinie ist nie fertig
Vielleicht die wichtigste Erkenntnis: Eine Cookie-Richtlinie ist kein Dokument, das Sie einmal schreiben. Jede Änderung an Ihrer Website kann die Cookie-Landschaft verändern. Das neue Buchungsmodul, das ersetzte Statistik-Tool, der Kampagnen-Pixel, der “vorübergehend” hinzugefügt wurde: alles potenzielle neue Cookies, die in Ihre Richtlinie gehören.
Planen Sie also eine regelmäßige Prüfung ein, oder besser: automatisieren Sie sie. GDPRWise scannt Ihre Website regelmäßig neu und aktualisiert Ihre Cookie-Richtlinie automatisch, wenn neue Cookies auftauchen. So bleibt das, was Sie veröffentlichen, im Einklang mit dem, was Ihre Website tut, auch Monate nach dem Start.
Geben Sie Ihre Domain ein, und wir erkennen jedes Cookie auf Ihrer Website, inklusive Anbieter, Zweck, Speicherdauer und Klassifizierung. Der Scan ist kostenlos; die Richtlinie erstellen Sie mit einem kostenlosen Konto.