„Alle ablehnen“ muss genauso einfach sein wie „Alle akzeptieren“ – auch für Websites außerhalb der EU

  • Autor: Arno Schlösser, DP-Dock GmbH
  • Letzte Aktualisierung: Oktober 2025
  • Kategorie: Cookies, Datensicherheit, Verbraucherrechte

Ein deutsches Gericht entschied im März 2025, dass Cookie-Einwilligungsbanner einen „Alle ablehnen”-Button genauso deutlich und prominent darstellen müssen wie den „Alle akzeptieren”-Button – und dies gilt für alle Websites, die sich an Nutzer in der EU richten, unabhängig davon, wo das Unternehmen seinen Sitz hat.

Wer ist davon betroffen?

  • Unternehmen innerhalb und außerhalb der EU/des EWR (z. B. in den USA, Großbritannien, Kanada)
  • Websites oder Apps, die:
    • für Nutzer in der EU zugänglich sind
    • Dienste oder Inhalte in EU-Sprachen anbieten
    • EU-Währungen akzeptieren oder in die EU liefern
    • Cookies oder Tracking für Besucher aus der EU verwenden

Wenn Sie die EU als Zielmarkt haben, müssen Sie die DSGVO und die ePrivacy-Richtlinie einhalten, einschließlich einer gültigen Cookie-Einwilligung.

Auch wenn Sie nicht der deutschen Gerichtsbarkeit unterliegen, konvergieren die Durchsetzungstendenzen in der EU, und die Gestaltung ist ebenso wichtig wie die Rechtsgrundlage.

Wichtige Erkenntnisse aus dem Urteil:

  • Benutzern muss eine echte Wahlmöglichkeit gegeben werden – „Alle akzeptieren” und „Alle ablehnen” müssen gleichermaßen zugänglich sein.
  • „Alle ablehnen“ darf nicht hinter Einstellungen oder mehreren Klicks versteckt sein.
  • Ein Design, das Nutzer zur Zustimmung drängt (sogenannte „Dark Patterns“), kann gegen die Zustimmungsregeln verstoßen.
  • Die Zustimmung muss freiwillig, spezifisch, informiert und eindeutig sein.

Empfohlene Maßnahmen:

  • Überprüfen Sie Ihren Cookie-Banner und die Einwilligungs-UX für EU-Nutzer.
  • Implementieren Sie eine „Alle ablehnen“-Option auf der ersten Ebene.
  • Stellen Sie sicher, dass vor der Einwilligung keine Nachverfolgung oder Datenerfassung stattfindet.
  • Bewahren Sie Aufzeichnungen über die Einwilligung der Nutzer für den Fall einer behördlichen Anfrage auf.

Die EU-Regulierungsbehörden haben klargestellt: Die DSGVO gilt unabhängig davon, wo sich das Unternehmen befindet, sondern davon, wo sich die (Ziel-)Nutzer befinden. Die Gerichtsentscheidung finden Sie hier.


Benötigen Sie Hilfe?

Wenn Ihr Unternehmen eine Website oder App betreibt, die von EU-Bürgern genutzt wird, ist es an der Zeit, Ihre Einwilligungsmechanismen zu überprüfen. Wenden Sie sich an Ihr Datenschutzteam oder Ihren Rechtsbeistand, um eine Compliance-Prüfung durchzuführen.

Die DP-Dock GmbH kann Sie beratend unterstützen, um sicherzustellen, dass die gesetzlichen Anforderungen der DSGVO und der e-Privacy-Richtlinie korrekt umgesetzt werden.

Wenn Sie Fragen haben oder weitere Informationen benötigen, können Sie sich jederzeit an uns wenden.

Cookie-Banner Kasten mit der Überschrift "We use cookies" und zwei gleich farbigen Buttons "Accept und Decline"
© Generiert mit KI / chatgpt.com

Zurück zur Newsübersicht

Datenschutzeinstellungen

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.

In dieser Übersicht können Sie einzelne Cookies einer Kategorie oder ganze Kategorien an- und abwählen. Außerdem erhalten Sie weitere Informationen zu den verfügbaren Cookies.
Gruppe Essenziell
Name Matomo
Technischer Name
Anbieter
Ablauf in Tagen 72
Datenschutz
Zweck Nutzung ohne Cookies
Erlaubt
Gruppe Externe Medien
Name Calendly
Technischer Name __cf_bm,__cfruid,OptanonConsent,
Anbieter Calendly LLC
Ablauf in Tagen 365
Datenschutz https://calendly.com/privacy
Zweck Zum Vereinbaren von Terminen über den Anbieter Calendly
Erlaubt
Name Contao CSRF Token
Technischer Name csrf_contao_csrf_token
Anbieter Contao
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der Website vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Name Contao HTTPS CSRF Token
Technischer Name csrf_https_contao_csrf_token
Anbieter Contao
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der verschlüsselten Website (HTTPS) vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Name PHP SESSION ID
Technischer Name PHPSESSID
Anbieter Contao
Ablauf in Tagen 0
Datenschutz
Zweck Cookie von PHP (Programmiersprache), PHP Daten-Identifikator. Enthält nur einen Verweis auf die aktuelle Sitzung. Im Browser des Nutzers werden keine Informationen gespeichert und dieses Cookie kann nur von der aktuellen Website genutzt werden. Dieses Cookie wird vor allem in Formularen benutzt, um die Benutzerfreundlichkeit zu erhöhen. In Formulare eingegebene Daten werden z. B. kurzzeitig gespeichert, wenn ein Eingabefehler durch den Nutzer vorliegt und dieser eine Fehlermeldung erhält. Ansonsten müssten alle Daten erneut eingegeben werden.
Erlaubt
Name FE USER AUTH
Technischer Name FE_USER_AUTH
Anbieter Contao
Ablauf in Tagen 0
Datenschutz
Zweck Speichert Informationen eines Besuchers, sobald er sich im Frontend einloggt.
Erlaubt
Impressum | Datenschutz