Cookie-Banner & Einwilligung: Was ist echt, was nur Schein?

Was passiert eigentlich, wenn man auf „Alle akzeptieren“ oder „Ablehnen“ klickt? Werden dann wirklich alle zustimmungspflichtigen Cookies blockiert – oder ist vieles nur eine Illusion von Kontrolle?

Was sind Cookies – und warum gibt es Banner?

Cookies sind kleine Dateien, die Webseiten im Browser speichern. Sie können harmlos sein – etwa um einen Warenkorb zu speichern – oder personenbezogene Daten sammeln, um Nutzerprofile zu erstellen und Werbung gezielt auszuspielen. Genau hier beginnt das Problem: Tracking-Cookies sind zustimmungspflichtig.

Durch die Datenschutz-Grundverordnung (DSGVO) und die ePrivacy-Richtlinie müssen Nutzer solchen Cookies aktiv zustimmen – daher die vielen Banner.

Was ist vorgeschrieben – und was machen viele Seiten falsch?

Rechtlich gesehen dürfen Cookies, die nicht zwingend notwendig sind, nicht ohne Einwilligung gesetzt werden. Ein einfacher Hinweis à la „Wir verwenden Cookies – durch Weiternutzung stimmen Sie zu“ reicht nicht mehr.

Was oft schiefläuft:

  • Cookies werden bereits beim Laden der Seite gesetzt, noch bevor jemand klickt.
  • „Alle akzeptieren“ ist auffällig gestaltet, „Ablehnen“ dagegen versteckt.
  • Die Auswahlmöglichkeiten sind unklar oder irreführend.

Solche Banner geben nur den Anschein von Wahlfreiheit – sie täuschen Datenschutz vor, statt ihn umzusetzen.

Ein guter Banner verhindert das Setzen von zustimmungspflichtigen Cookies, bis der Nutzer aktiv zustimmt. Das bedeutet:

  • Skripte von Drittanbietern (z. B. YouTube, Google Maps, Facebook) werden nicht geladen, bevor die Zustimmung erfolgt.
  • Es gibt gleichwertige Auswahlmöglichkeiten: akzeptieren, ablehnen, individuell einstellen.
  • Die Entscheidung wird dokumentiert (Consent-Management).
  • Inhalte können per Zwei-Klick-Lösung nachgeladen werden („Klicke zum Anzeigen des Videos“).

Wie kann man prüfen, ob ein Banner funktioniert?

Wer sichergehen möchte, kann mit einem Blick in die Entwicklertools (F12) des Browsers nachsehen, welche Cookies gesetzt oder welche Drittanbieter aufgerufen werden.

Screenshot Beispiel von digitaleinstieg.de:

  1. wsc_c15153_user_session
    → Das ist ein typisches Session-Cookie, wie es z. B. von der Woltlab Suite gesetzt wird.
    Es enthält einen Session-Identifier für eingeloggte oder aktive Nutzer und wird in der Regel gelöscht, wenn der Browser geschlossen wird – also: kein persistentes Cookie.
  2. XSRF-TOKEN
    → Dieses Cookie schützt gegen sogenannte Cross-Site-Request-Forgery (CSRF/XSRF)-Angriffe.
    Auch dieser Cookie ist typischerweise ein Session Cookie, obwohl er manchmal auch eine kurze Lebensdauer (z. B. 1–2 Stunden) haben kann.
    Auch hier: kein Tracking, sondern Sicherheitszweck.

🔧 Tipp: So lässt sich das selbst überprüfen

Mit dem Browser Firefox ist das ganz einfach:

  1. Öffne eine beliebige Website (z. B. digitaleinstieg.de).
  2. Drücke die Taste F12, um die Entwicklertools zu öffnen.
  3. Wechsle zum Reiter „Web-Speicher“ oder „Speicher“.
  4. Klicke im Bereich „Cookies“ auf die jeweilige Domain.

Gut zu wissen:

Solche Cookies sind nicht zustimmungspflichtig im Sinne der DSGVO oder ePrivacy-Richtlinie, weil sie:

  • technisch notwendig sind
  • keine Nutzerprofile erstellen
  • nicht zu Werbezwecken eingesetzt werden

Fazit

Ein Cookie-Banner ist nicht automatisch ein Schutzmechanismus. Ob er wirklich funktioniert, hängt davon ab, wie ernst es eine Webseite mit dem Datenschutz meint – und wie transparent und technisch korrekt sie mit Nutzerdaten umgeht.

Wer mit dem Thema verantwortungsvoll umgeht, kann Nutzerinnen und Nutzer nicht nur rechtssicher, sondern auch vertrauensvoll durch die Seite begleiten. Alles andere ist reine Kulisse.