Website Cookies für Unternehmen: Optimierung und Compliance
Veröffentlicht: 12.06.2025 | Lesedauer: 10 Minuten
Cookies gehören heute wie selbstverständlich zum Internet. Sie geben Webseiten ein Gedächtnis und dienen dazu, die angebotenen Inhalte besser auf das Suchverhalten abzustimmen. Beim Surfen im Netz laufen das Speichern und Auslesen von Cookies unbemerkt im Hintergrund ab – es sei denn, Sie besuchen eine Webseite zum ersten Mal. Dann erscheint eine Einblendung mit der Bitte, ob und in welchem Umfang Sie die Nutzung von Cookies erlauben. Grund dafür ist die DSGVO der Europäischen Union, die zum Schutz persönlicher Informationen im Netz ins Leben gerufen wurde. Hintergrund ist, dass sich mit Cookies nachverfolgen lässt, welche Webseiten ein Nutzer oder eine Nutzerin aufruft. In diesem Ratgeber informieren wir Sie, worauf Sie als Unternehmen bei der Cookie-Nutzung auf Ihrer Internetpräsenz achten sollten.
Cookies sind kleine Textdateien, die auf Ihrem Computer oder Mobilgerät gespeichert werden, wenn Sie eine Webseite aufrufen. Sobald Sie die gewünschte URL beziehungsweise Adresse in einen Browser wie Firefox, Chrome, Opera, Safari oder Edge eingeben und sich die Seite aufbaut, können Cookies erstellt werden. Sie enthalten in der Regel eine Nutzerkennung (ID), die als eine Art Fingerabdruck fungiert.
Beim erneuten Besuch der Webseite prüft der Webserver, ob sein Cookie in Ihrem Browser vorhanden ist, und liest es aus. Anhand der gespeicherten ID erkennt Sie der Server wieder und kann Ihre Nutzerpräferenzen zuordnen, etwa die bevorzugte Sprache oder Ihre personalisierte Seiteneinstellung. Das ist ein Vorteil, da Ihnen automatisch relevante Informationen angezeigt werden. Es erlaubt Seitenbetreibern aber auch, statistische Daten zu erheben und Ihre Klicks über mehrere Sitzungen hinweg nachzuverfolgen.
Welche Daten gesammelt werden, hängt vom Typ, Inhalt und Aufbau des jeweiligen Online-Angebots ab. Durch das Zurückübermitteln der gespeicherten Cookie-Informationen zeigen beispielsweise Nachrichtenportale bevorzugt solche Meldungen an, die für Besucher und Besucherinnen relevant sind. Auf Seiten mit Anmeldefunktion können Sie sich ohne wiederholte Eingabe von Benutzername und Passwort einloggen. Online-Shops sind in der Lage, sich durch ein Cookie den Inhalt Ihres Warenkorbs zu merken.
Cookies für den Browser (HTTP-Cookies) enthalten reine Textinformationen. Sie können nur dann auf dem Computer, Smartphone oder Tablet gespeichert werden, wenn der verwendete Browser dies zulässt. In den Einstellungen Ihres Browsers können Sie festlegen, unter welchen Voraussetzungen Cookies akzeptiert werden und ob erlaubte Cookies beim Schließen automatisch gelöscht werden sollen.
Wenn Sie eine Webseite besuchen, darf diese (sofern Sie zustimmen) neue Cookies schreiben und eigene, die bereits in Ihrem Browser gespeichert sind, auslesen. Sie hat aber keinen Zugriff auf andere Cookies oder sonstige Dateien auf Ihrem System. Zudem ist eine Cookie-Datei an den Browser gebunden, in dem sie gespeichert wurde. Ein in Firefox abgelegtes Cookie kann nur in Firefox und nicht in Google Chrome oder Edge ausgewertet werden. Wenn Sie den Browser wechseln, einen Inkognito-Tab verwenden, ein anderes Gerät einsetzen, Cookies blockieren oder löschen, kann die Webseite kein Cookie auslesen.
Grundsätzlich gilt es zwischen Client-Side und Server-Side Cookies zu unterscheiden. Client-Side Cookies speichert der Browser auf Ihrem Endgerät und die jeweilige Webseite liest sie jedes Mal aus, wenn Sie sie besuchen. Server-Side-Cookies wiederum werden auf dem Server gespeichert und auch von diesem gemanagt. Dadurch haben Webseitenbetreiber mehr Kontrolle über die Daten und beugen Manipulation vor.
Neben den beiden übergreifenden Kategorien gibt es vier weitere, die sich technisch und hinsichtlich ihrer Verwendungszwecke unterscheiden.
Essenzielle Cookies
Es gibt Cookies, die für den Betrieb einer Webseite schlicht notwendig sind, da ansonsten viele Elemente nicht funktionieren würden. Zum Beispiel brauchen Online-Shops Cookies, um den Warenkorb der Nutzer und Nutzerinnen abzuspeichern. Andernfalls würde dieser sich jedes Mal leeren, sobald man eine andere Unterseite aufruft.
Funktionale Cookies
Funktionale Cookies sind nicht erforderlich für den Betrieb einer Webseite, machen sie aber nutzerfreundlicher. Ein gutes Beispiel sind Cookies zum Speichern von Benutzernamen und Passwörtern. Dank dieser Funktion müssen Sie Ihre Daten nicht jedes Mal neu eingeben, wenn Sie sich mit Ihrem Konto auf einer Seite anmelden möchten.
Performance Cookies
Hierbei handelt es sich um analytische Cookies, die Daten über das Nutzerverhalten sammeln. Mit ihrer Hilfe können Webseitenbetreiber ermitteln, wie oft Sie eine Unterseite aufrufen und wie lange Sie dort verweilen. Auch Informationen wie die Reihenfolge, in der Sie Seiten besuchen, oder verwendete Suchbegriffe werden über Performance Cookies gespeichert.
Tracking/Marketing Cookies
Die Cookie-Technologie wird gerne dazu verwendet, Werbeanzeigen passend zum Nutzerverhalten der User und Userinnen auszuspielen. Sie suchen regelmäßig nach beispielsweise Smartphones? Dann wundern Sie sich nicht, wenn Sie besonders häufig Werbung zu Mobiltelefonen angezeigt bekommen. Das Besondere an Tracking/Marketing Cookies ist, dass es sich hierbei immer um Third-Party Cookies handelt. Sie stammen nicht von der Webseite, auf der Sie gerade unterwegs sind, sondern von einem Drittserver, mit dem Sie beispielsweise via Werbebanner verbunden sind. Werbenetzwerke und Analyse-Tools nutzen diese Art von Cookies zur Auswertung Ihres Nutzerverhaltens über verschiedene Webseiten hinweg. Dem gegenüber stehen First-Party Cookies, zu denen die essenziellen, funktionalen und Performance Cookies zählen. Ihr Einsatz ist auf die Webseite begrenzt, zu der sie gehören.
Bei der Verwendung von Cookies sind sowohl technische als auch rechtliche Aspekte zu berücksichtigen. Wir geben einen Überblick.
Technische Aspekte
Bei der Verwendung von Cookies auf Websites und in Anwendungen spielen technische Aspekte eine wichtige Rolle, um die Funktionalität und die Einhaltung rechtlicher Vorgaben sicherzustellen. In jedem Fall benötigen Sie für Ihre Seite ein Cookie-Banner, das Besucher und Besucherinnen darüber informiert, dass Ihre Webseite Cookies verwendet, und sie um ihre Zustimmung bittet. Das Banner sollte transparent kommunizieren, welche Art von Cookies Sie verwenden und welchen Zweck diese erfüllen. Die Zustimmung muss freiwillig, spezifisch, informiert und durch eine eindeutige Handlung erfolgen. Das gilt nicht nur für Ihre eigenen Cookies, sondern auch für die von Drittanbietern. Sie dürfen keine vorgefertigten Zustimmungskästchen einbauen. Darüber hinaus müssen die Nutzer und Nutzerinnen für verschiedene Arten von Cookies separat ihre Zustimmung geben können. Es muss beispielsweise möglich sein, die Nutzung von funktionellen Cookies zu erlauben, aber Marketing Cookies abzulehnen. Wichtig: Cookies dürfen erst nach erteilter Zustimmung gesetzt werden, solange es sich nicht um technisch erforderliche Cookies handelt. Hierbei spricht man von Opt-In [von englisch "to opt (for something]", "sich (für etwas) entscheiden"].
Statt ein eigenes Cookie-Banner zu entwickeln, können Sie auf eine Consent Management Platform (CMP) zurückgreifen. Dabei handelt es sich um eine Software, die Ihnen bei der Verwaltung der Einwilligungen und der verwendeten Cookies hilft. Zu den Funktionen von CMPs gehören zum Beispiel anpassbare Cookie-Banner, die Möglichkeit, Cookies von Drittanbietern zu blockieren, bevor Nutzer und Nutzerinnen ihre Zustimmung geben und ein Cookie Scanner, der Ihre Webseite regelmäßig auf Cookies scannt und Ihre Cookie-Richtlinien anpasst, falls neue Cookies hinzugekommen oder alte verschwunden sind.
Die Integration einer CMP oder einer eigens entwickelten Verwaltungslösung in eine bestehende Webseite oder Anwendung erfordert die Einbindung diverser Skripte und Plugins. Das Cookie-Banner sollte auch zum Design Ihrer Webseite passen. Zu diesem Zweck bieten CMPs entsprechende Anpassungsoptionen. Besonders wichtig ist es, Datenschutz- und Cookie-Richtlinien auf Ihrer Webseite einzubinden. Darin müssen müssen die verwendeten Cookies und ihre Funktionen detailliert beschrieben sein, damit sich User und Userinnen informieren können, bevor sie sich dafür oder dagegen entscheiden.
Bei der Nutzung von Trackern sowie Analyse-Tools, die dazu dienen, das Nutzerverhalten zu verstehen und basierend darauf die Benutzererfahrung zu verbessern, ist es entscheidend, nur notwendige Daten zu erheben und diese zu anonymisieren oder zumindest zu pseudonymisieren, um Datenschutzbestimmungen einzuhalten.
Rechtliche Aspekte
2018 hat die Europäische Union die Datenschutzgrundverordnung, kurz DSGVO, eingeführt, um eine einheitliche Regelung zum Thema Datenschutz sicherzustellen. Seitdem ist es Pflicht, dass Webseiten beim ersten Besuch über angewendete Cookies informieren und um Zustimmung bitten. Vorher dürfen keine Cookies gesetzt werden, außer sie sind technisch notwendig. Essenzielle Cookies dürfen auch dann gespeichert werden, wenn keine Nutzereinwilligung vorliegt.
Wichtig ist, dass eine Rechtsgrundlage für die Datenverarbeitung vorliegt. Im Fall von Marketing Cookies, die dazu dienen, zum Nutzerverhalten passende Werbeanzeigen auszuspielen, kann das auch ein "berechtigtes Interesse" sein, denn nachvollziehbarerweise möchten Unternehmen zielgerichtet Werbung schalten.
Für die Nutzung von Third-Party Cookies ist immer eine Zustimmung seitens des Users oder der Userin erforderlich. Beachten Sie außerdem, dass Ihre Datenschutzerklärung DSGVO-konform sein muss. Hierfür gibt es Generatoren im Internet, die solche Datenschutzerklärungen zusammenstellen und Ihre individuellen Bedürfnisse mit einbeziehen.
Für Webseitenbetreiber gilt eine absolute Transparenzpflicht bezüglich der Nutzung von Cookies und der damit verbundenen Tracker und Analyse-Tools. In den Datenschutzerklärung und Cookie-Richtlinien muss daher genau festgehalten sein, welche Cookies Verwendung finden, welchen Zweck sie erfüllen, wie lange Daten gespeichert werden und ob Dritte auf diese Zugriff haben. Die Texte müssen leicht zugänglich und verständlich geschrieben sein. Eine regelmäßige Aktualisierung ist Pflicht, um Änderungen in der Datenverarbeitung oder Verwendung von Cookies abzubilden.
Während in der EU die DSGVO und in Deutschland das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) gelten, müssen Sie für Länder und Regionen außerhalb der EU jeweils andere Datenschutzgesetze beachten. Besonders knifflig wird es mit Blick auf die USA. Dort gibt es keine einheitliche Verordnung, stattdessen haben einzelne Bundesstaaten eigene Datenschutzgesetze. In Kalifornien zum Beispiel gilt der California Consumer Privacy Act (CCPA) mit Ergänzungen durch den California Privacy Rights Act (CPRA), in Texas der Data Privacy and Security Act (TDPSA). Diese Gesetze haben viele Gemeinsamkeiten mit der DSGVO, es gibt aber auch prägnante Unterschiede. Beispielsweise muss die Datenverarbeitung in den USA keine vordefinierte Rechtsgrundlage haben. Solange die Nutzer und Nutzerinnen der Datenerhebung zustimmen, ist sie grundsätzlich gestattet. Auch sind Sie in den USA nicht dazu verpflichtet, Ihre Verarbeitungstätigkeiten zu dokumentieren.
Das Lei Geral de Proteção de Dados (LGPD) aus Brasilien kommt der DSGVO näher. Hier muss einer von zehn rechtmäßigen Gründen für die Verarbeitung von personenbezogenen Daten vorliegen. Auch die Benennung von Datenschutzbeauftragten ist Pflicht. Selbstverständlich ist eine Einwilligung zur Verwendung von Cookies notwendig und es gilt ebenfalls das Opt-In-Prinzip. Weitere sehr ähnliche Datenschutzgesetze aus dem Ausland sind das chinesische Personal Information Protection Law (PIPL) und das revDSG aus der Schweiz, wobei es auch hier im Detail Unterschiede gibt. Aus diesem Grund ist es sehr wichtig, dass Sie sich mit jeweils geltenden Regelungen vertraut machen, wenn Sie personenbezogene Daten aus dem EU-Ausland erfassen.
Was den Einsatz von Cookies betrifft, sollten Sie sich auf das Nötigste beschränken. Verwenden Sie nur solche, die für die Funktionalität Ihrer Webseite unerlässlich sind oder einen klar definierten, legitimen Zweck erfüllen. Dadurch beugen Sie nicht nur potenziellen Sicherheitsrisiken vor, sondern zeigen auch, dass Sie das Thema Datenschutz ernst nehmen. Außerdem: Denken Sie daran, dass Sie dokumentieren müssen, welche Daten Sie erheben und wofür Sie sie verwenden. Je geringer die Menge an Cookies ist, desto weniger Arbeit haben Sie damit.
Einwilligungen von Nutzern und Nutzerinnen speichern Sie in einer Datenbank mitsamt Zuordnungen der IP-Adressen, um im Fall von Prüfungen seitens Behörden klar nachweisen zu können, dass Sie die Datenschutzbestimmungen einhalten. Eine CMP kann die Verwaltung vereinfachen. Informieren Sie außerdem die Besucher und Besucherinnen Ihrer Webseite, wie sie ihre Cookie-Einstellungen ändern und Client-Side Cookies löschen können. Stellen Sie sicher, dass die Seite auch dann noch funktioniert, wenn Cookies gelöscht oder die Einwilligung zur Verwendung widerrufen wurde. Zudem ist es ratsam, die eingesetzten Cookies regelmäßig zu überprüfen und zu evaluieren, welche davon eventuell gar nicht notwendig sind. Die Cookie Scanner von Consent Management Plattformen erweisen sich hierbei als sehr hilfreich. Passen Sie Ihre Cookie-Richtlinien und die Einstellungen stets entsprechend an.
Welche Sanktionen drohen bei Verstößen gegen die DSGVO?
Wer gegen die DSGVO verstößt, muss mit hohen Bußgeldern rechnen. Bis zu 20 Millionen Euro oder bis zu vier Prozent des eigenen weltweiten Jahresumsatzes können fällig werden. Darüber hinaus können betroffene Personen Schadenersatzforderungen geltend machen. Behörden sind befugt, Ihre Datenverarbeitung vorübergehend oder sogar permanent einzuschränken und beispielsweise die Löschung von Daten anzuordnen. In besonders schwerwiegenden Fällen sind auch strafrechtliche Folgen, unter anderem Freiheitsstrafen, möglich.
Die neue Datenschutz-Grundverordnung (DSGVO) der EU ist seit dem 25. Mai 2018 in der gesamten Europäischen Union (EU) in Kraft getreten. In einigen Fällen ist sie auch auf Unternehmen anwendbar, die ihren Sitz in der Schweiz haben.
Wie kann ich sicherstellen, dass meine Cookie-Richtlinie rechtssicher ist?
Ihre Richtlinie muss klar und verständlich darüber informieren, welche Cookies Sie verwenden, welchen Zweck sie erfüllen, wie lange sie gespeichert werden und ob Dritte Zugriff auf die Daten haben. Transparenz ist das höchste Gebot. Außerdem dürfen Cookies erst gesetzt werden, wenn Nutzer und Nutzerinnen der Verwendung zugestimmt haben (technisch notwendige Cookies ausgenommen). Die entsprechenden Kästchen im Cookie-Banner dürfen nicht vorab angekreuzt sein.