Skip to Content

ÜBER DIESEN LEITFADEN

Das Urteil ist unmissverständlich: Fehlt auch nur ein einziges Kriterium, wird die gesamte eingeholte Einwilligung unwirksam. Um den Anforderungen der Aufsichtsbehörden in Deutschland¹ zu genügen, muss ein Consent-Dialog bestimmte Voraussetzungen erfüllen. Dieser Leitfaden fasst diese Anforderungen in einer praktischen, kompakten Checkliste zusammen.

Jeder Abschnitt listet die Anforderungen an einen rechtskonformen Consent-Dialog auf. Arbeiten Sie sie der Reihe nach durch; die Kästchen können Sie abhaken, sobald Sie den jeweiligen Punkt anhand Ihrer eigenen Implementierung geprüft haben.

Quellen


Gemäß der Orientierungshilfe der Aufsichtsbehörden für Anbieter von digitalen Diensten (OH Digitale Dienste), Version 1.2, müssen für eine rechtskonforme Ausgestaltung von Consent-Dialogen folgende Punkte erfüllt werden.

GESTALTUNG 
UND FUNKTION

Freiwilligkeit


Die Ablehnung aller einwilligungsbedürftigen Zugriffe muss direkt auf der obersten Ebene möglich sein, wenn dort auch die Einwilligung erteilt werden kann.

Verzicht auf Dark Patterns


Die Option, keine Einwilligung zu erteilen, muss eine gleichwertige Alternative zur Zustimmung sein: Die Ablehnung darf nicht mehr Klicks oder Aufwand erfordern, und Farbe oder Kontrast dürfen den Blick nicht auf die Einwilligung lenken.

Sichtbarkeit


Alle Buttons müssen unabhängig von der Bildschirmgröße auf einen Blick erkennbar sein. Dies gilt auch für mobile Ansichten.

Trigger-Ausnahme


Der Zugriff auf das Impressum und die Datenschutzerklärung darf durch das Banner nicht behindert werden. Auf diesen Seiten darf der Consent-Dialog nicht ausgespielt werden.

Granulare Auswahl


Nutzer müssen ihre Einwilligung spezifisch und unabhängig für jeden Zweck erteilen können, etwa über einen Button „Einstellungen anpassen" auf der ersten Ebene, der zu einer detaillierten Übersicht führt.

Opt-in-Voreinstellungen


Checkboxen oder Slider müssen standardmäßig deaktiviert sein (Opt-in).

SPEICHERUNG UND WIDERRUF DER EINWILLIGUNG

Speicherung der Entscheidung


Die Entscheidung des Nutzers – ob Einwilligung oder Ablehnung – muss gespeichert werden, damit das Banner nicht bei jedem neuen Seitenaufruf erscheint.

Gültigkeitsdauer


Nach Ablauf von 6 bis 24 Monaten oder bei einer Änderung der Zwecke oder Dienste muss die Einwilligung neu eingeholt werden.

Einfacher Widerruf jederzeit möglich


Nutzer müssen eine erteilte Einwilligung genauso leicht widerrufen können, wie sie sie gegeben haben. Zu diesem Zweck muss dauerhaft ein leicht zugänglicher Link oder ein statisches Icon (z. B. unten links auf dem Bildschirm) auf allen Seiten verfügbar sein.

NOTWENDIGE INFORMATIONEN

Es muss klar erkennbar sein, dass zwei Einwilligungen erteilt werden: für den Einsatz von Cookies (§ 25 Abs. 1 TDDDG) und für die Datenverarbeitung (Art. 6 Abs. 1 lit. a DS-GVO).

Informationen auf erster Ebene

Information über Datenverarbeitung außerhalb des EWR.

Konkrete Angaben zu allen einzelnen Zwecken (keine vagen Formulierungen).

Hinweis, wenn individuelle Profile erstellt oder mit Daten anderer Webseiten angereichert werden.

Anzahl der Verantwortlichen, an die Daten offengelegt werden.

Informationen auf Detail-Ebene

Für Dienste und Cookies, die keiner Einwilligung bedürfen, empfehlen die Aufsichtsbehörden im Sinne der Transparenz, diese in der Datenschutzerklärung zu erwähnen. Eine Auflistung im Consent-Dialog ist nicht erforderlich.

Eine Liste einzelner Cookies ist nicht erforderlich.

Nutzer müssen wissen, wer, wie lange und zu welchem Zweck auf das Endgerät zugreift und ob Dritte Zugriff erhalten.

KORREKTE KATEGORISIERUNG

Gruppierung nach präzisem Zweck


Dienste und Cookies müssen anhand ihrer konkreten und präzisen Zwecke gruppiert werden. Es darf weder nicht-kategorisierte Cookies noch eine Kategorie „Sonstiges" geben.

Google Analytics & Google Tag Manager sind einwilligungspflichtig


Grund hierfür ist insbesondere die Zweckentfremdung der Daten sowie die Möglichkeit zur Re-Identifizierung der Nutzer trotz IP-Anonymisierung. Dies gilt uneingeschränkt auch für den sogenannten erweiterten Einwilligungsmodus (Advanced Consent Mode) von Google Analytics 4 (GA4). Beim „Advanced Consent Mode" wird das Google Analytics (GA4)-Skript sofort geladen, noch bevor der Nutzer eine Auswahl im Banner getroffen hat. Lehnt der Nutzer Cookies ab (oder reagiert nicht), setzt GA4 zwar keine Cookies im Browser, sendet aber sogenannte „cookie-lose Pings" an die Google-Server.

Affiliate-Aktivitäten sind nicht ausgenommen


Cookies, die für die Abrechnung von Affiliate-Aktivitäten genutzt werden, sind nicht von der Einwilligungspflicht befreit.

„Datenschutzfreundliche" Analyse-Tools benötigen ebenfalls eine Einwilligung


Selbst vermeintlich datenschutzfreundliche Webanalyse-Dienste wie Matomo oder Piwik PRO können standardmäßig nicht ohne Einwilligung genutzt werden, da sie unter anderem aktiv die Bildschirmauflösung auslesen.

Zahlreiche technische Fallstricke

Getrennte Verwaltung von Einwilligungen und Tags


Die Nutzung getrennter Lösungen für das Consent Management und das Tag Management birgt ein sehr hohes Risiko für fehlerhafte Auslösungen ohne Einwilligung, da jeder neue Dienst in zwei verschiedenen Systemen konfiguriert werden muss. Zudem erfordert dies komplexe Konfigurationen von Auslösergruppen („Trigger Groups“) im Tag Manager.

Hybrid- und Dual-Conversion-Tracking


Die Einrichtung einer rechtlich und technisch korrekten Konfiguration erweist sich im Rahmen eines hybriden Trackings (mit und ohne Cookies), bei der Erfassung von erweiterten Conversions (Advanced Conversions) unter Einbindung personenbezogener Targeting-Daten oder bei einem dualen Conversion-Tracking (sowohl via Pixel als auch serverseitig), das eine strikte Deduplizierung der Conversion-Daten erfordert, als umso schwieriger. Die Fallstricke sind extrem zahlreich und können sowohl zu Gesetzesverstößen als auch zu kostspieligen Konfigurationsfehlern bei der Steuerung von Werbegeboten (Ads) führen.

Das automatische Scannen und Blockieren ist fehleranfällig


Viele Website-Betreiber verlassen sich auf automatische Scan- und Blockierfunktionen sowie automatisierte Kategorisierungen von Consent-Management-Lösungen. Obwohl diese Tools manuelle Überprüfungsprozesse unterstützen können, sind sie fehleranfällig – insbesondere bei seltener genutzten Diensten. Zudem ist Vorsicht geboten, da Scans teilweise nur wöchentlich durchgeführt werden, was vorübergehend zu einem Zustand der Non-Compliance führen kann. Integrierte Tag- und Consent-Management-Lösungen machen automatische Scan- und Blockierfunktionen überflüssig.

Block Google Maps & YouTube by default


Because Google Maps and YouTube transmit IP addresses and other device data to Google and set cookies when their scripts and iFrames load, they must not load by default without consent. Here, so-called content blocking is recommended: without consent, only a notice about the hidden content appears, with the option to activate it deliberately via consent.

Google Maps und YouTube standardmäßig blockieren


Da Google Maps und YouTube beim Laden der Skripte und iFrames IP-Adressen und andere Gerätedaten an Google übermitteln und Cookies setzen, dürfen sie standardmäßig nicht ohne Einwilligung geladen werden. In diesem Fall empfiehlt sich der Einsatz eines sogenannten „Content Blockings“ (Inhaltsblockierung): Dies stellt sicher, dass ohne Einwilligung lediglich ein Hinweis auf den ausgeblendeten Inhalt erscheint und die Option zur gezielten Freischaltung per Einwilligung geboten wird.

Über den Autor

JustRelate

Die Benchmarks in diesem Bericht stammen aus dem Messdatensatz von etracker. etracker ist eine in Hamburg ansässige Plattform für Webanalyse und Consent Management, die auf einer einwilligungsfreien Messarchitektur basiert – konform mit der ePrivacy-Richtlinie (in Deutschland umgesetzt als TDDDG, in Frankreich als LIL) sowie der DSGVO. Da die Plattform auf Analyse-Cookies und Device-Fingerprinting verzichtet und Daten ausschließlich in Deutschland verarbeitet, erfasst sie bis zu 99 % der Besuche und Conversions – das vollständige Bild, das einwilligungsbasierte Tools strukturell nicht liefern können. Mehr als 4.000 Unternehmen in ganz Europa setzen auf etracker, darunter HypoVereinsbank, Schufa, Campari, OSRAM und Dachser.


etracker ist Teil der JustRelate Group, die seit mehr als 30 Jahren Erfahrung in der Digitalisierung von Kundenbeziehungen für mittelständische und große Unternehmen mitbringt. Ihrer KI-gestützten Plattform JustRelate Home vertrauen mehr als 4.000 Unternehmen weltweit, darunter L'Oréal, Nestlé, Siemens, Viessmann und Oerlikon. Sie vereint Kreativität, Daten und Umsetzung in einem System – für planbares, wiederholbares und skalierbares Wachstum.


Home orchestriert den gesamten MarTech-Stack eines Unternehmens über modulare Apps für E-Mail-Erstellung, Web-Entwicklung, Marketing-Automation, CRM, Portale, CPQ und Analyse – mit integrierter KI, die markenkonforme Inhalte über Sprachen, Regionen und Kanäle hinweg generiert, lokalisiert und optimiert. Die Gruppe ist in Frankreich, Deutschland und Polen tätig und betreut Kunden in ganz Europa mit lokaler Expertise und internationaler Reichweite.

4000+

zufriedene Kunden

200+

Mitarbeiter

100k+

aktive Benutzer

30+

Jahre der Innovation

Der Inhalt wurde sorgfältig recherchiert; wir übernehmen jedoch keine Haftung für die Richtigkeit, Vollständigkeit oder Aktualität. Er kann eine individuelle Rechtsberatung nicht ersetzen.

Starten Sie Ihr 30-tägiges Audit

Sind Ihre Daten konform und KI-fähig? Machen Sie Schluss mit Spekulationen – überprüfen Sie jeden Einwilligungspunkt anhand der tatsächlichen Anforderungen.

AI chat