Der Bundesgerichtshof (BGH) hat schon vor Jahren höchstinstanzlich festgelegt, wie mit Cookies im Netz umzugehen ist: Besucher einer Webseite müssen ausdrücklich zustimmen, dass sie die Cookies erlauben wollen. Ein vorbereitetes Formular mit vorab angekreuzten Optionen ist keine ausdrückliche Zustimmung. Doch die Realität 2026 zeigt: Das Urteil war nur der Anfang einer digitalen Revolution.
Cookie – das klingt lecker, süß – mehr davon! Als Cookies fürs Internet erfunden wurden, passte das Bild auch noch. Denn ein Cookie ist nichts anderes als eine kleine, auf der Festplatte (oder bei Mobilgeräten im Festspeicher) abgelegte Datei, in der einige Informationen hinterlegt sind.
Ursprünglich waren Cookies dazu gedacht, das Surfen einfacher zu machen. Damit eine Webseite zum Beispiel erkennen kann, dass ein/e Nutzer/in schon mal vorher da war. Mehr Komfort.
Werbe-Netzwerke missbrauchen Cookies
Doch jedes Werkzeug lässt sich missbrauchen. Auch Cookies. Schon lange nutzen vor allem Werbe-Netzwerke Cookies, um Web-User bei ihren Surftouren zu „begleiten“ – und so auf indirektem Weg Daten über Interessen und Verhalten zu sammeln. Es sind nicht die Cookies selbst, die das können. Sie sind lediglich Mittel zum Zweck. Die Werbe-Netzwerke machen sie zu unfreiwilligen Komplizen.
Deshalb gibt es heute gute Cookies – sie helfen, dass es im Onlineshop komfortabler läuft oder die Web-Suche präziser ist. Und es gibt schlechte Cookies, die Werbe-Netzwerken beim Spionieren helfen. Ein User kann die einen aber nicht von den anderen unterscheiden.
Deshalb ist es seit Jahren Pflicht, vor dem Anlegen von Cookies und dem Speichern von Daten auf dem Gerät des Web-Users die ausdrückliche Zustimmung der User einzuholen. Wir kennen das: Das erste Mal auf einer neuen Webseite gelandet – und als erstes erscheinen Fragen, ob Cookies gespeichert werden dürfen.
Ausdrückliche Zustimmung nötig – das BGH-Grundsatzurteil
Das Lotto-Portal Planet49 hat es sich – allerdings schon vor Jahren! – sehr einfach gemacht: Die Erlaubnis zum Speichern von Cookies war bereits vorab angehakt – und musste nur noch mit „OK“ bestätigt werden. Dagegen hat die Verbraucherzentrale NRW geklagt. 2020 hat der Bundesgerichtshof höchstinstanzlich entschieden: Das geht nicht. Es braucht eine ausdrückliche Zustimmung. Vorgegebene Antworten sind nicht erlaubt.
Das BGH-Urteil schlug damals Pflöcke ein: Die geltenden Vorschriften der Datenschutzgrundverordnung (DSGVO) wurden nicht nur bestätigt, sondern noch mal fett mit richterlichem Marker unterstrichen. Webseiten sind verpflichtet, die nötige Erlaubnis bei den Nutzern einzuholen.
Was hat sich seit 2020 verändert?
Seit dem BGH-Urteil hat sich die digitale Landschaft dramatisch gewandelt. Google hat mit dem Phase-Out von Third-Party-Cookies in Chrome endgültig ernst gemacht – 2024 wurden sie komplett abgeschaltet. Apple hat mit iOS bereits 2021 das App Tracking Transparency Framework verschärft und Facebook (jetzt Meta) damit Milliardenverluste beschert.
Die Werbebranche musste komplett umdenken: Statt Cookie-Tracking setzen Unternehmen heute auf First-Party-Daten, Server-Side-Tracking und neue Technologien wie Googles Privacy Sandbox. Die Topics API ersetzt das bisherige Cookie-basierte Interesse-Targeting, fingerprinting-resistente Methoden werden Standard.
Cookie-Banner sind noch nerviger geworden
Paradoxerweise sind die Cookie-Banner nach dem BGH-Urteil noch aufdringlicher geworden. Jede Webseite zeigt heute komplexe Consent-Management-Plattformen mit dutzenden Kategorien, hunderten Partnern und kryptischen Beschreibungen. Dark Patterns – manipulative Design-Tricks – sind alltäglich geworden: Der „Alle ablehnen“-Button ist winzig und versteckt, während „Alle akzeptieren“ in knalligem Grün prangt.
Die EU arbeitet deshalb am Digital Services Act (DSA) und Digital Markets Act (DMA), die 2025/2026 verschärft wurden. Große Plattformen müssen nun standardisierte, neutrale Consent-Interfaces verwenden. Dark Patterns bei Cookie-Bannern können mit bis zu 6% des Jahresumsatzes bestraft werden.
KI und Cookies: Neue Herausforderungen
Künstliche Intelligenz hat das Tracking-Game völlig verändert. Machine Learning kann heute aus scheinbar anonymen Daten präzise Profile erstellen. Browser-Fingerprinting ist so ausgereift, dass Nutzer auch ohne Cookies eindeutig identifiziert werden können – über Bildschirmauflösung, installierte Fonts, Hardware-Specs und Verhalten.
Apple und Mozilla rüsten mit Intelligent Tracking Prevention (ITP) und Enhanced Tracking Protection (ETP) auf. Safari blockiert mittlerweile sogar CNAME-Cloaking und andere Umgehungsversuche. Firefox hat mit Total Cookie Protection eine komplette Cookie-Isolation eingeführt.
Der richtige Weg: Datensparsamkeit statt Consent-Theater
Meine damalige Kritik hat sich bestätigt: Die ewigen Cookie-Abfragen nerven völlig und schaffen ein falsches Sicherheitsgefühl. 99% der Nutzer klicken blind auf „Alles akzeptieren“, weil sie einfach nur zur gewünschten Webseite wollen.
Besser wäre echte Datensparsamkeit: Warum sollten Unternehmen überhaupt detailliert wissen dürfen, wofür wir uns interessieren? Die Zukunft gehört privacy-first Ansätzen wie differential privacy, auf-device Machine Learning und lokaler Datenverarbeitung.
Browser entwickeln sich zu digitalen Bodyguards: Chrome plant Tracking Protection als Standard, Safari hat Private Relay, Firefox arbeitet an VPN-Integration. Der Trend geht klar Richtung Privacy by Design statt nachträglicher Consent-Abfrage.
[av_video src=’https://vimeo.com/423558561′ mobile_image=“ attachment=“ attachment_size=“ format=’16-9′ width=’16‘ height=’9′ conditional_play=“ av_uid=’av-7c9xx9n‘]
Zuletzt aktualisiert am 01.03.2026
