Der EuGH sollte auf Anfrage des Bundesgerichtshof noch mal unmissverständlich deutlich machen, wie das mit den Cookies auf Webseiten ablaufen soll. Muss der Benutzer ausdrücklich zustimmen – und wie genau hat das zu passieren? Genau das hat der EuGH jetzt erklärt – und die Rechtsprechung hat sich 2024/2025 weiter verschärft.
Cookies sind zwar unsichtbar – aber eine große Sache. Jetzt hat der Europäische Gerichtshof (EuGH) klar gestellt, dass Nutzern keine Cookies untergejubelt werden dürfen. Betreiber von Webseiten oder Apps dürfen auch nicht einfach so die Zustimmung voraussetzen. Cookies sind in Europa nur dann erlaubt, wenn der Nutzer ausdrücklich der Verwendung zustimmt.
Wenn Web-Anbieter beim Ansteuern einer Webseite auf dem PC oder Mobilgerät des Besuchers Daten speichern wollen, ist von „Cookies“ die Rede. In den Dateien steht meist nicht viel. Zum Beispiel die Kundennummer. Oder andere Hinweise, die ein Wiedererkennen des Besuchers möglich machen, wenn er (oder sie) wieder vorbeikommt. Dann muss man sich nicht erneut einloggen. Der Warenkorb bleibt offen. Cookies bieten durchaus eine Menge Vorteile.
Cookie-Banner werden 2026 noch nerviger
Sie können aber auch genutzt werden – vor allem in Werbenetzwerken -, um Benutzer auszuspionieren. Das ist nicht automatisch das Wesen von Cookies – aber ein möglicher Fall des Missbrauchs. Deshalb gilt seit 2009: Wer Cookies speichern will, muss die Zustimmung des Benutzers haben. Seitdem die DSGVO in Kraft getreten ist, sind die Regeln sogar schärfer: Es reicht nicht, zu widersprechen – es braucht wirklich die eindeutige Zustimmung.
2024 hat die EU-Kommission nachgelegt: Cookie-Banner müssen inzwischen noch detaillierter über die verschiedenen Cookie-Kategorien informieren. Technisch notwendige Cookies (für Login, Warenkorb etc.) dürfen ohne Zustimmung gesetzt werden. Alle anderen – Marketing, Tracking, Analytics – brauchen explizite Einwilligung. Das erklärt, warum Cookie-Banner heute oft mehrschichtig aufgebaut sind und ihr zwischen „Alle akzeptieren“, „Nur essenzielle“ und „Einstellungen verwalten“ wählen könnt.
Was gilt als eindeutige Zustimmung?
Aber was heißt „Zustimmung“? Das musste der EuGH klären, weil der Bundesgerichtshof eine Orientierung brauchte. Reicht es, wenn ein Anbieter ein fertig vorbereitetes Formular präsentiert, mit einem Häkchen vor „Cookies erlaubt“? Nein, sagt der EuGH. Es braucht eine eindeutige Zustimmung (hier das Urteil). Der Benutzer muss also zumindest „OK“ oder „Einverstanden“ anklicken oder selbst einen Haken vor die entsprechende Vereinbarung setzen.
Die Rechtsprechung hat sich 2025 weiter präzisiert: „Dark Patterns“ sind explizit verboten. Das bedeutet: Der „Ablehnen“-Button darf nicht versteckt oder schwerer zu finden sein als „Akzeptieren“. Beide Buttons müssen gleich prominent platziert sein. Viele große Websites haben ihre Cookie-Banner entsprechend angepasst – oder mussten es nach Abmahnungen tun.
Neue Cookie-Alternativen auf dem Vormarsch
Parallel entwickeln sich cookie-lose Tracking-Methoden. Google hat sein „Privacy Sandbox“ Projekt 2025 endlich ausgerollt – Third-Party-Cookies werden in Chrome schrittweise abgeschaltet. Stattdessen kommen „Topics API“ und „FLEDGE“ zum Einsatz – weniger invasive Methoden für personalisierte Werbung. Safari und Firefox hatten Third-Party-Cookies bereits früher blockiert.
Für euch als Nutzer bedeutet das: Weniger Cookie-Banner, aber neue Datenschutz-Einstellungen direkt im Browser. Chrome, Safari und Firefox haben ihre Privacy-Settings 2025/2026 deutlich benutzerfreundlicher gestaltet. Ihr könnt jetzt granularer steuern, welche Websites welche Daten erheben dürfen.
So schützt ihr euch optimal
Wer Cookies generell aus dem Weg gehen will, hat heute mehrere Optionen: Der „private“ Surfmodus (Inkognito/Private Browsing) ignoriert vorhandene Cookies und löscht alle nach der Session. Noch besser: Browser-Extensions wie uBlock Origin oder Ghostery blocken Tracking automatisch. Firefox hat standardmäßig „Enhanced Tracking Protection“ aktiviert.
Alternativ könnt ihr in den Browser-Einstellungen definieren, welche Cookie-Typen erlaubt sind. Modern Browser unterscheiden zwischen:
– Technisch notwendigen Cookies (meist erlaubt)
– First-Party-Cookies (von der besuchten Website)
– Third-Party-Cookies (von Werbepartnern – meist blockiert)
– Cross-Site-Tracking (weitgehend unterbunden)
Der EuGH hat die geltende Regelung damals konkretisiert. Im vorliegenden Fall hatte ein Spieleanbieter die Teilnahme am Glücksspiel gleich mit der Zustimmung für die Speicherung von Cookies gekoppelt. Ein besonders dreister Fall, weil ausdrücklich der Cookie-Verwendung widersprochen werden musste. Nun ist klar: Cookies sind nur erlaubt, wenn die Nutzer auch zugestimmt haben. Einmal reicht – allerdings müssen Betreiber auch erklären, welche Daten gespeichert werden und wie lange.
2026 wird das Thema durch KI nochmal spannender: Viele Websites nutzen jetzt maschinelles Lernen, um Nutzerpräferenzen auch ohne Cookies zu erkennen. Das ist datenschutzrechtlich eine Grauzone – hier werden die nächsten EuGH-Urteile erwartet.
Zuletzt aktualisiert am 03.03.2026
