Strafen für Cookie-Einwilligung: DSGVO-Bußgelder & rechtliche Risiken erklärt

Executive Summary

Cookie-Zustimmungsbanner sind in den letzten Jahren auf Websites allgegenwärtig geworden, angetrieben durch Datenschutzgesetze, die die Erlaubnis des Nutzers erfordern, bevor Tracking-Technologien (wie Cookies) eingesetzt werden können. Das Versäumnis, ein ordnungsgemäßes Cookie-Zustimmungsbanner anzuzeigen – und somit keine gültige Nutzerzustimmung einzuholen – ist ein direkter Verstoß gegen diese Gesetze. In allen Gerichtsbarkeiten können die Strafen für solche Verstöße erhebliche Bußgelder und Durchsetzungsanordnungen umfassen. Zum Beispiel verhängte die französische Datenschutzbehörde (CNIL) im Jahr 2025 Rekordbußgelder für Cookie-bezogene Verstöße: Google und Shein wurden mit Strafen von 325 Millionen Euro bzw. 150 Millionen Euro belegt, weil sie Tracking-Cookies ohne freiwillig erteilte Zustimmung platzierten ^{[1] [2]}. Gerichte haben auch „Cookie-Walls“ – Banner, die Nutzer zwangsweise zur Annahme von Cookies als Bedingung für die Dienstleistung zwingen – bestraft und Unternehmen unter Androhung täglicher Bußgelder dazu verpflichtet, klare „Ablehnen“-Optionen hinzuzufügen ^[3] (Source: noyb.eu). In Belgien beispielsweise ordnete die DPA vier großen Nachrichten-Websites an, einen sichtbaren „Alle ablehnen“-Button hinzuzufügen, oder tägliche Strafen von 50.000 Euro zu riskieren (Source: noyb.eu). Kurz gesagt, das Weglassen eines konformen Cookie-Zustimmungsbanners (oder die Verwendung eines fehlerhaften Banners) kann die Höchststrafen nach dem Datenschutzrecht auslösen – oft begrenzt auf 2–4 % des weltweiten Jahresumsatzes eines Unternehmens oder mehrere zehn Millionen Euro – und kann tägliche Bußgelder oder Unterlassungsanordnungen umfassen, bis die Compliance erreicht ist.

Dieser Bericht bietet eine eingehende Analyse der rechtlichen Regeln und Durchsetzungstrends für Cookie-Zustimmungsbanner, der Arten von Strafen, die bei Nichteinhaltung verhängt werden, und der praktischen Auswirkungen für Organisationen. Er behandelt die historische Entwicklung der Cookie-Zustimmungsgesetze, die aktuellen regulatorischen Rahmenbedingungen in verschiedenen Regionen (insbesondere in der EU und im Vereinigten Königreich, wo die Gesetze streng sind) und die in realen Fällen verhängten Strafen. Wir untersuchen akademische Forschung zur Cookie-Banner-Compliance, Expertenkommentare und Fallstudien (einschließlich großer Bußgelder der CNIL und anderer). Wir beleuchten auch Gegenperspektiven (z. B. Bedenken der Industrie hinsichtlich „Zustimmungsmüdigkeit“ und potenzieller zukünftiger Reformen der Cookie-Regeln). Durchweg werden Behauptungen durch umfangreiche Zitate aus Rechtsquellen, behördlichen Mitteilungen, Nachrichtenberichten und wissenschaftlichen Studien untermauert.

Einleitung

Der dramatische Anstieg von Online-Tracking-Technologien in den letzten zwei Jahrzehnten veranlasste die Regulierungsbehörden, von Websites zu verlangen, die Zustimmung der Nutzer einzuholen, bevor Cookies oder ähnliche Tools eingesetzt werden. Diese Anforderung geht auf die frühen 2000er Jahre mit dem EU-„Cookie-Gesetz“ (der Richtlinie über den Datenschutz für elektronische Kommunikation) zurück und wurde seitdem durch umfassendere Datenschutzgesetze (insbesondere die Datenschutz-Grundverordnung der EU, oder DSGVO) verstärkt. In der Praxis ist die sichtbarste Manifestation dieser Regeln das Cookie-Zustimmungsbanner oder Pop-up, das Besucher heute auf vielen Websites begrüßt. Diese Banner informieren die Nutzer typischerweise über die Verwendung von Cookies und bitten sie, nicht-essenzielle Cookies zu akzeptieren oder abzulehnen.

Viele Websites haben jedoch Schwierigkeiten, diese Banner vollständig gesetzeskonform zu implementieren. Häufige Fehler sind das Nichtanzeigen eines Banners überhaupt, das Verstecken der Ablehnungs-/Opt-out-Option, das Voreinstellen von Zustimmungsfeldern oder das anderweitige Steuern der Nutzer in Richtung Zustimmung. Infolgedessen haben die Datenschutzbehörden zunehmend hart durchgegriffen, Websites untersucht und Strafen verhängt. Tatsächlich sind nicht-konforme Cookie-Banner zu einem wichtigen Schwerpunkt der Durchsetzung geworden. Datenschützer (wie die EU-Gruppe NOYB) haben Hunderte von Beschwerden über irreführende Banner eingereicht, was die Datenschutzbehörden („DPAs“) zum Handeln veranlasst hat.

Dieser Bericht behandelt die Frage: Was ist die Strafe für das Nichtanzeigen eines Cookie-Zustimmungsbanners? Mit anderen Worten, welche Durchsetzungsmaßnahmen und Sanktionen kann ein Website-Betreiber erwarten, wenn er keine gültige Cookie-Zustimmung einholt. Wir gehen dabei zunächst auf den rechtlichen Rahmen ein (warum eine Zustimmung erforderlich ist) und fassen dann die verschiedenen Strafen (Bußgelder, Unterlassungsanordnungen usw.) zusammen, die bei Verstößen verhängt werden. Wir analysieren Daten und Fallstudien und beleuchten verschiedene Perspektiven (Regulierungsbehörden, Unternehmen, Datenschutzexperten). Wir diskutieren auch den breiteren Kontext und die wahrscheinliche Zukunft des Cookie-Zustimmungsrechts. Die Antwort ist umfassend: Sie befasst sich mit den Feinheiten des ePrivacy- und Datenschutzrechts, überprüft Durchsetzungstrends in verschiedenen Gerichtsbarkeiten und liefert detaillierte Beispiele für Strafen, gestützt auf Experten- und akademische Quellen.

Rechtlicher und regulatorischer Hintergrund

Entwicklung der Cookie-Zustimmungsregeln

Die Anforderung, Cookie-Banner anzuzeigen, ergibt sich hauptsächlich aus Datenschutzgesetzen, die in der EU und verwandten Gerichtsbarkeiten verabschiedet wurden. Die wichtigsten Wurzeln sind:

• EU ePrivacy-Richtlinie (2002/58/EG): Oft als „Cookie-Gesetz“ bezeichnet, verlangt diese EU-Richtlinie (geändert 2009 durch Richtlinie 2009/136/EG) ausdrücklich, dass Websites keine Informationen auf dem Gerät eines Nutzers speichern oder darauf zugreifen dürfen (z. B. über Cookies), es sei denn, der Nutzer hat nach Information über die Zwecke eine klare Zustimmung erteilt. In den meisten Mitgliedstaaten wurde dies in nationales Recht umgesetzt (z. B. die Privacy and Electronic Communications Regulations, „PECR“, des Vereinigten Königreichs). Die Kernregel lässt sich zusammenfassen als: Websites müssen Nutzer über Cookies informieren und ihre eindeutige Zustimmung einholen, bevor sie nicht-essenzielle Cookies platzieren.

• EU DSGVO (2016/679): Obwohl die DSGVO „Cookies“ nicht explizit erwähnt, stellt sie fest, dass identifizierbare Cookies (insbesondere solche, die das Verhalten verfolgen) personenbezogene Daten darstellen. Die Verarbeitung dieser Daten erfordert daher eine Rechtsgrundlage, am häufigsten die Einwilligung. Gemäß der DSGVO muss die Einwilligung freiwillig, spezifisch, informiert und eindeutig sein (Artikel 4). Wenn ein Cookie-Banner diese Standards nicht erfüllt – beispielsweise durch die Voreinstellung, alle Cookies zu akzeptieren, oder durch das Verstecken der Opt-out-Option – ist die Einwilligung gemäß der DSGVO nicht gültig. Viele der EU-Bußgelder für Cookie-Verstöße wurden tatsächlich als DSGVO-Verstöße (z. B. das Versäumnis, die gemäß Artikel 6 und 7 der DSGVO erforderliche Einwilligung einzuholen) eingestuft.

• Nationale Umsetzungen: Mitgliedstaaten der EU (und Länder, die ähnliche Gesetze anwenden) haben ihre Datenschutzgesetze erlassen oder angepasst, um Cookie-Zustimmungspflichten aufzuerlegen. Zum Beispiel enthält das französische Datenschutzgesetz (Loi Informatique et Libertés) Bestimmungen (z. B. Artikel 82), die speziell auf „Werbe-Cookies“ abzielen und die EU-Regel widerspiegeln ^[4]. Im Vereinigten Königreich regeln PECR und der Data Protection Act (und jetzt die UK DSGVO) Cookies. Andere Länder (z. B. Schweiz, Japan, Südkorea) haben ihre eigenen Datenschutzgesetze und in einigen Fällen spezielle Regeln für Tracking-Technologien, obwohl diese oft nicht so detailliert oder streng durchgesetzt werden wie in der EU ^{[5] [6]}.

Einfach ausgedrückt, muss eine Website nach geltendem EU/UK-Recht (1) Besucher darüber informieren, wie Cookies verwendet werden, und (2) ihnen erlauben, aktiv in nicht-essenzielle Cookies einzuwilligen. Essenzielle Cookies (z. B. für Warenkorbfunktionen oder grundlegende Sicherheit) sind ausgenommen, aber praktisch alle Werbe-, Analyse- und Social-Media-Cookies erfordern eine Zustimmung. Das Cookie-Banner der Website ist der Mechanismus, um (1) und (2) zu erreichen. Wie die ICO-Anleitung des Vereinigten Königreichs besagt: „Sie müssen die Leute darüber informieren, dass Cookies vorhanden sind; erklären, was die Cookies tun und warum; und die Zustimmung der Person einholen, um ein Cookie auf ihrem Gerät zu speichern“ ^[5]. Wenn eine Website keine gültige Zustimmung einholt (z. B. indem sie kein Banner hat oder es unsachgemäß präsentiert), verstößt sie gegen die ePrivacy-/DSGVO-Regeln und setzt sich somit Strafen aus.

Detaillierte Anforderungen an die Einwilligung

Gemäß Artikel 7 und Erwägungsgrund 32 der DSGVO muss die Einwilligung eine klare bestätigende Handlung sein. Das bedeutet keine vorab angekreuzten Kästchen oder stillschweigende Zustimmung durch Schweigen. Der EuGH (Europäischer Gerichtshof) hat klargestellt, dass Datenschutzeinstellungen oder die bloße Nutzung der Website nicht als Einwilligung dienen können. Nutzer müssen eine explizite Handlung vornehmen (z. B. auf „Akzeptieren“ klicken). Darüber hinaus muss die Einwilligung so einfach zu widerrufen sein, wie sie erteilt wurde; eine „Ablehnen“-Option muss ohne Nachteile verfügbar sein ^{[7] [8]}.

Cookie-Banner scheitern oft absichtlich an diesen Tests: Forscher haben festgestellt, dass viele Websites standardmäßig „alle akzeptieren“ voreinstellen oder Dark Patterns verwenden, um die Akzeptanz zu fördern. Eine groß angelegte Studie ergab, dass 54 % der getesteten Websites gegen das Gesetz verstießen – z. B. indem sie den Nutzern keine echte Wahl ließen. Insbesondere entdeckten sie Dutzende von Websites, die eine „positive Zustimmung“ aufzeichneten, selbst wenn der Nutzer nichts tat, und viele, die keine direkte Opt-out-Möglichkeit anboten ^[9]. Eine weitere Umfrage unter 7.500 Websites in Griechenland und dem Vereinigten Königreich ergab, dass weniger als die Hälfte von ihnen überhaupt einen Cookie-Hinweis anzeigten, obwohl die meisten Tracking-Cookies platzierten ^[10].

Regulierungsbehörden betonen manchmal die Formvorschriften. Zum Beispiel stellte das Digital Clearing House der irischen Datenschutzbehörde fest, dass Banner rechtswidrig sind, wenn sie keinen klaren „Nein“-Button enthalten oder die Zustimmung anderweitig beeinflussen ^[8]. Im Jahr 2023 warnte der ICO-Kommissar des Vereinigten Königreichs Unternehmen: Das Versäumnis, eine einfache „Alle ablehnen“-Option auf Ihrem Banner anzubieten, ist ein Gesetzesverstoß, und der ICO würde dies verfolgen (wenn auch mit Zwischenschritten, bevor Bußgelder verhängt werden) ^[8]. Ähnlich haben die Artikel-29-Datenschutzgruppe der EU und später der Europäische Datenschutzausschuss Leitlinien herausgegeben, die betonen, dass Cookie-Banner die Opt-out-Option nicht verstecken oder verschleiern sollten. Das Prinzip ist klar: Die Annahme von Cookies muss eine positive Wahl sein, kein Opt-out-Standard.

Globaler Kontext: USA und andere

Im Gegensatz dazu ist die Rechtslage außerhalb Europas ganz anders. In den Vereinigten Staaten gibt es kein Bundesgesetz, das Cookie-Zustimmungsbanner vorschreibt. Die Datenschutzregulierung ist sektoral und auf staatlicher Ebene angesiedelt. Der California Consumer Privacy Act (CCPA/CPRA) gewährt Nutzern Rechte wie „Meine Daten nicht verkaufen“, schreibt aber nicht explizit Cookie-Banner oder die Einholung der Zustimmung für gängige Tracking-Cookies vor ^[6]. Bundesgesetze wie ECPA oder COPPA beschränken bestimmte Verwendungen von Kommunikationsdaten (insbesondere COPPA erfordert die elterliche Zustimmung für das Tracking von Kindern über Cookies), schreiben aber keine allgemeine Opt-in-Anforderung für Websites vor. Wie eine rechtliche FAQ feststellt, „gibt es nach US-Datenschutzgesetzen keine klare Anforderung für die Cookie-Zustimmung“, obwohl Unternehmen oft geraten wird, Banner freiwillig zu verwenden, um FTC-Maßnahmen oder Sammelklagen zu vermeiden ^[6].

Einige Nicht-EU-Länder haben Gesetze mit Zustimmungselementen verabschiedet. Zum Beispiel erfordern Singapurs PDPA und Kanadas PIPEDA eine „sinnvolle“ Zustimmung zur Erhebung personenbezogener Daten, die Cookies umfassen könnte, aber ihnen fehlen detaillierte, cookie-spezifische Regeln. Indiens vorgeschlagenes Gesetz zum Schutz personenbezogener Daten (noch nicht in Kraft) würde die Zustimmung zur Verarbeitung personenbezogener Daten erfordern, aber die Implementierungsdetails stehen noch aus. Im Allgemeinen ist es jedoch das EU-zentrierte ePrivacy-/DSGVO-Regime, das die weltweite Einführung der Banner-Zustimmung als gängige Praxis vorangetrieben hat – und die hohen Strafen für die Nichteinhaltung, die wir heute sehen, stammen hauptsächlich von europäischen Regulierungsbehörden, die diese Gesetze durchsetzen.

Durchsetzungsmechanismen und Strafen

Wenn ein Website-Betreiber kein gültiges Cookie-Zustimmungsbanner anzeigt (und somit keine rechtmäßige Zustimmung einholt), entstehen die Strafen in der Regel in zwei Hauptformen: Verwaltungsbußgelder nach dem Datenschutzrecht und Unterlassungsanordnungen oder andere Durchsetzungsmaßnahmen. In Europa sind die primären Durchsetzungsbehörden die nationalen Datenschutzbehörden (DPAs) oder Kommunikationsregulierungsbehörden. In anderen Regionen können Datenschutzbehörden oder Verbraucherschutzorganisationen an der Durchsetzung beteiligt sein.

Bußgelder nach Datenschutzgesetzen

Gemäß der DSGVO (und spiegelbildlichen Bestimmungen in nationalen Gesetzen) können Datenschutzbehörden erhebliche Bußgelder für Verstöße verhängen. Bei Cookie-bezogenen Verstößen fallen die relevanten Bestimmungen in der Regel unter Artikel 83 der DSGVO. Die Höchststrafen sind gestaffelt: Verstöße gegen grundlegende Zustimmungs- und Transparenzpflichten (wie das Nichtbeachten von Cookie-Opt-outs) können zu Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) führen ^[11]. Geringere Verstöße können bis zu 10 Millionen Euro oder 2 % (z. B. Nichteinhaltung einiger spezifischer Anforderungen) nach sich ziehen. In der Praxis wurden viele Verstöße gegen Cookie-Banner als schwerwiegend genug angesehen, um Bußgelder in Millionenhöhe oder sogar im dreistelligen Millionenbereich zu rechtfertigen.

Die bisher stärkste Durchsetzung in der EU kam von der französischen CNIL. Ende 2023 und 2025 verhängte die CNIL Rekordstrafen gegen große Unternehmen wegen Cookie-Verstößen. Zum Beispiel verhängte Frankreich im Dezember 2023 ein Bußgeld von 10 Millionen Euro gegen Yahoo wegen seiner Cookie-Praktiken ^[12]. Und im September 2025 verhängte die CNIL 325 Millionen Euro gegen Google und 150 Millionen Euro gegen Shein, weil sie keine gültige Zustimmung eingeholt hatten ^{[1] [11]}. Diese Bußgelder waren nicht nur in ihrer Höhe bemerkenswert, sondern auch in ihrer Begründung: Sie verwiesen explizit auf Versäumnisse bei der Cookie-Zustimmung. Die CNIL erklärte, dass Google Nutzer beim Einrichten von Konten zur Annahme von Cookies „gezwungen“ habe (eine „Cookie-Wall“) und Tracking-Cookies in Gmail ohne freiwillig erteilte Zustimmung eingefügt habe ^[13]. Shein wurde bestraft, weil es Tracking-Cookies auch nach dem Opt-out der Nutzer platziert und unzureichende Widerrufsmechanismen hatte ^{[13] [11]}. Nach Ansicht der CNIL haben beide Unternehmen „es versäumt, die freie und informierte Zustimmung der Nutzer einzuholen“, bevor Cookies platziert wurden ^[1]. Diese Fälle veranschaulichen das extreme Ende des Strafspektrums – Bußgelder, die etwa 2-4 % des Umsatzes der Unternehmen entsprechen ^[14].

Andere europäische Datenschutzbehörden haben kleinere Bußgelder oder Anordnungen erlassen. So verhängte die belgische Datenschutzbehörde beispielsweise ein Bußgeld von 50.000 Euro (etwa 2 % der beantragten Strafe für unterstützende Verbraucher-Compliance) gegen die Pressekonzerngruppe Roularta wegen Verstößen gegen die Cookie-Zustimmung ^[15]. Die ADP stellte fest, dass Roularta die Bedingungen für die Einholung der Nutzerzustimmung nicht erfüllte (es wurden einfach Tracking-Cookies ohne klare Opt-in-Erklärung gespeichert). Obwohl absolut gesehen kleiner, spiegelt dieses Bußgeld (verhängt im Mai 2022) die Anwendung der DSGVO-Regeln in Belgien wider: Es handelte sich nicht um eine strafrechtliche Sanktion, sondern um ein Verwaltungsbußgeld nach dem Datenschutzrecht.

Potenzielle Bußgelder variieren in den EU-Mitgliedstaaten, je nachdem, wie nationales Recht die DSGVO umsetzt. In Frankreich beispielsweise befasst sich Artikel 82 des Datenschutzgesetzes speziell mit „Werbe-Cookies“ und ermöglicht der CNIL, bei Missbrauch Strafen zu verhängen (wie oben gesehen) ^[4]. Im Vereinigten Königreich fallen ähnliche Verstöße unter die Privacy and Electronic Communications Regulations (PECR) und die UK-DSGVO. Historisch konnten PECR-Verstöße mit bis zu 500.000 £ strafrechtlich verfolgt oder mit Bußgeldern belegt werden, aber heutzutage richtet sich das Bußgeldsystem des ICO nach den DSGVO-Niveaus (bis zu 17,5 Mio. £/4 % für die schwerwiegendsten Verstöße). Bislang wurden vom ICO keine öffentlichkeitswirksamen Cookie-Bußgelder bekannt gegeben, doch Ende 2023 warnte das ICO große britische Unternehmen mit nicht konformen Bannern, diese zu beheben oder Maßnahmen zu riskieren ^{[16] [8]} (mehr dazu unten).

Tägliche Bußgelder und Anordnungen zur Einhaltung

Zusätzlich zu einmaligen Bußgeldern setzen Aufsichtsbehörden häufig periodische Zwangsgelder ein, um die zukünftige Einhaltung zu erzwingen. Bemerkenswerterweise sah das Bußgeldschema im Fall CNIL gegen Google eine Anordnung vor, dass Google seine Praktiken innerhalb von sechs Monaten korrigieren muss oder ein tägliches Bußgeld von 100.000 € riskiert ^[17]. Die offizielle CNIL-Entscheidung (Sept. 2025) erklärte ausdrücklich, dass Google, falls es die erforderlichen Maßnahmen (Einstellung der Anzeigeneinblendungen und Sicherstellung einer gültigen Cookie-Einwilligung) nicht innerhalb der Frist umsetzen würde, dieses tägliche Bußgeld zu zahlen hätte ^[17]. Dieser „astreinte“-Mechanismus (Zwangsgeld) ist eine starke Sanktion, um sicherzustellen, dass Unternehmen ihre Banner tatsächlich umgehend korrigieren.

Belgische Behörden verhängten ebenfalls tägliche Bußgelder. Im Jahr 2024 ordnete die belgische Datenschutzbehörde vier große Nachrichten-Websites (betrieben von Mediahuis) an, einen deutlichen „Ablehnen“-Button zu ihren Bannern hinzuzufügen und irreführende Designentscheidungen zu korrigieren. Die Anordnung war mit einem Bußgeld von 50.000 € pro Tag und Website bei täglicher Nichteinhaltung verbunden (Source: noyb.eu). Mit anderen Worten: Sollte eine dieser Websites die erforderlichen Änderungen nicht rechtzeitig umsetzen, müsste der Betreiber für jeden Tag der Verzögerung pro Website 50.000 € zahlen (Source: noyb.eu). Dies gehört zu den höchsten „täglichen Bußgeld“-Drohungen, die bei der Durchsetzung von Cookie-Regelungen zu sehen sind, und unterstreicht, wie ernst Aufsichtsbehörden die Verweigerung der Einwilligung nehmen.

Andere EU-Aufsichtsbehörden haben ähnliche Instrumente eingesetzt. Zum Beispiel war im Rahmen der oben genannten belgischen Einigung ein kleines „Bußgeld“ von 10.000 € im Wesentlichen eine Vorauszahlung, um die Erzwingung der Einhaltung zu vermeiden, was zeigt, dass selbst symbolische Summen abschreckend wirken können (obwohl diese Lösung von Aktivisten als zu nachsichtig kritisiert wurde (Source: noyb.eu). Aufsichtsbehörden können auch die Verarbeitung aussetzen oder temporäre Verbote für bestimmte Cookies anordnen, bis die Einwilligungsmechanismen behoben sind, obwohl solche Details nicht immer explizit veröffentlicht werden.

Fallstudien zur Durchsetzung

Wir untersuchen nun repräsentative Fälle und behördliche Ankündigungen, die veranschaulichen, wie sich diese Strafen manifestieren.

• Frankreich/CNIL (Blaue und Rote Riesen) – Die dramatischsten Beispiele kommen von der CNIL. Im Januar 2024 verhängte die CNIL gegen Yahoo! ein Bußgeld von 10 Millionen Euro, weil das Unternehmen die Cookie-Präferenzen der Nutzer nicht respektiert hatte ^[12]. Die CNIL hatte Dutzende von Beschwerden erhalten, dass Yahoo Tracking-Cookies aktiv ließ, selbst wenn Nutzer diese abgewählt hatten, und es sehr schwierig machte, die Einwilligung nachträglich zu widerrufen. Jüngst, im September 2025, kündigte die CNIL Bußgelder von 325 Millionen Euro gegen Alphabet/Google und 150 Millionen Euro gegen Shein an ^{[1] [18]}. Beide Sanktionen betrafen explizit Cookie-Verstöße. Im Fall Google führte die CNIL das „Einfügen von Werbung in Gmail“ und die „Nötigung von Nutzern“ zur Annahme von Cookies über eine Cookie-Wall an ^{[19] [20]}. Für Shein wurde festgestellt, dass Cookies ohne Einwilligung gesetzt und die Entscheidungen der Nutzer ignoriert wurden ^{[18] [11]}. Diese Bußgelder zeigen, dass große globale Unternehmen die Obergrenze der DSGVO-Bußgelder für etwas so scheinbar Alltägliches wie Cookie-Banner erreichen können, wenn die Einwilligung eklatant vernachlässigt wird. (Googles Bußgeld machte einen kleinen Bruchteil seines Umsatzes aus, war aber durch die hohen Auswirkungen auf die Nutzer und wiederholte Verstöße gegen die Compliance gerechtfertigt; Sheins Bußgeld betrug etwa 2 % seines EU-Umsatzes ^[14].) Die CNIL ordnete beide Unternehmen außerdem an, die festgestellten Praktiken innerhalb von sechs Monaten einzustellen oder zusätzliche tägliche Bußgelder zu riskieren ^[17].

• Belgien/APD (Mediahuis und Roularta) – Mitte 2022 verhängte die belgische Datenschutzbehörde gegen Roularta ein Bußgeld von 50.000 € ^[15] wegen des Setzens von Tracking-Cookies ohne gültige Einwilligung auf zwei ihrer Websites. Die APD stellte fest, dass Roularta „die Bedingungen für die Einholung der Nutzerzustimmung zum Setzen von Cookies“ gemäß den DSGVO-Bestimmungen nicht erfüllte ^[15]. Dieses Bußgeld, wenngleich bescheiden, zeigt, dass selbst ein nationaler Presseverlag die Einwilligungsregeln nicht ignorieren kann. Jüngst (Sept. 2024) ordnete die belgische Behörde nach Beschwerden der Datenschutz-NGO NOYB vier großen Nachrichtenportalen (Teil der Mediahuis-Gruppe) an, einen prominenten Ablehnungs-Button auf Cookie-Bannern zu implementieren (Source: noyb.eu). Diese Websites wurden für „irreführende“ Banner-Designs kritisiert. Die Anordnung warnte ausdrücklich vor Sanktionen von 50.000 € pro Tag, falls die Nichteinhaltung fortgesetzt würde (Source: noyb.eu). (Bemerkenswerterweise erlaubte eine frühere Handhabung diesen Websites, Vergleichszahlungen von 10.000 € zu leisten, ohne ihre Banner zu ändern – ein Ergebnis, das NOYB als „Freikaufen von der DSGVO“ scharf kritisierte (Source: noyb.eu).)

• Niederlande/Autoriteit Persoonsgegevens (AP) – Im April 2025 signalisierte die niederländische Datenschutzbehörde eine umfassende Durchsetzungsmaßnahme. Sie verschickte Warnschreiben an über 50 Organisationen (Einzelhändler, Medien, Versicherer) in den Niederlanden, dass ihre Cookie-Banner irreführend seien oder dass sie Tracking-Cookies ohne Einwilligung setzten ^[21]. Diese Schreiben gaben den Unternehmen drei Monate Zeit, ihre Praktiken zu korrigieren oder formelle Untersuchungen und Bußgelder zu riskieren ^[21]. Obwohl noch keine spezifischen Bußgelder angekündigt wurden, betonte die Mitteilung der niederländischen Datenschutzbehörde, dass sie Verstöße ernst nimmt und Verwaltungsstrafen für Verstöße gegen das niederländische Telekommunikationsgesetz (das die EU-ePrivacy-Regeln umsetzt) und parallele DSGVO-Regeln verhängen kann ^[21]. Rechtsanalysten stellten fest, dass dies Teil einer finanzierten Kampagne ist, um die Cookie-Regeln in den Niederlanden energischer durchzusetzen. (Die AP betonte, dass Cookies, die für Marketingzwecke verwendet werden, nur mit vorheriger Einwilligung legal sind und Unternehmen, die sich nicht daran halten, die volle Bandbreite der Sanktionen gemäß DSGVO und ePrivacy droht.)

• Vereinigtes Königreich/ICO – Der britische Informationsbeauftragte war bisher bei direkten Cookie-Bußgeldern relativ vorsichtig. Mitte 2023 warnte das ICO jedoch öffentlich Unternehmen, dass minderwertige Banner nicht toleriert würden ^[8]. Der stellvertretende Beauftragte Stephen Bonner erklärte ausdrücklich, dass das Fehlen einer klaren „Alle ablehnen“-Option einen Verstoß gegen britisches Recht (PECR) darstellt und es „keine Entschuldigung“ für die Nichteinhaltung gibt ^[8]. Das ICO deutete auch an, dass es einen gestuften Ansatz („Interventionsstufen“) verfolgen könnte, bevor es zu Bußgeldern übergeht. Bemerkenswerterweise tauchten im November 2023 Berichte auf, dass das ICO offizielle Mitteilungen an mehrere der größten Websites Großbritanniens (einschließlich Medien- und Technologieunternehmen) gesendet hatte, in denen Verbesserungen ihrer Banner innerhalb von 30 Tagen gefordert wurden, andernfalls drohten Durchsetzungsmaßnahmen ^[16]. Obwohl diese Fälle noch keine öffentlichen Bußgelder hervorgebracht haben, stellen Rechtskommentatoren fest, dass die Durchsetzung durch das ICO (einst als lax angesehen) eskaliert; tatsächlich drängt ein Rechtsblog Unternehmen dazu, damit zu rechnen, dass das ICO Bußgelder statt bloßer Ratschläge verhängen wird ^[22]. (Jüngste britische Gesetzesvorschläge erhöhen sogar den Einsatz: der bevorstehende Data Protection and Digital Information Bill würde wesentlich höhere Bußgelder unter PECR genehmigen, die sich an den höchsten Stufen der DSGVO orientieren ^[23].)

• Andere EU-Datenschutzbehörden – Mehrere andere europäische Behörden haben in den letzten Jahren Cookie-bezogene Sanktionen verhängt. In Italien beispielsweise hat der Garante das Cookie-Design in Leitlinien diskutiert und Untersuchungen eingeleitet, obwohl große Bußgelder speziell für Banner weniger öffentlich gemacht wurden. In Deutschland haben Verbraucherverbände große Verlage wegen des Banner-Designs verklagt (z. B. wurde im Fall „Focus Online“ das Banner als ungültig befunden, was bedeutet, dass die Einwilligung nicht rechtmäßig eingeholt wurde (Source: blog.eprivacy.eu) (Source: blog.eprivacy.eu). Die spanische Datenschutzbehörde hat in der Vergangenheit Dutzende von Websites wegen fehlender Einwilligung oder versteckter Banner mit Bußgeldern belegt (Berichten zufolge im fünfstelligen Bereich). Die österreichische DSB hat ebenfalls die Cookie-Einwilligung geprüft und Anordnungen zur Behebung irreführender Banner erlassen. Die zentrale Erkenntnis ist, dass in der gesamten EU fast jede Datenschutzbehörde die Cookie-Einwilligung als zentrale Datenschutz-Compliance betrachtet: Verstöße unterliegen Verwaltungsstrafen und Anordnungen zur Einhaltung.

• Vereinigte Staaten (Sammelklagen und FTC-Prüfung) – Es ist wichtig zu beachten, dass es in den USA kein bundesweites Cookie-Gesetz gibt. Unternehmen, die EU-Nutzer ansprechen oder DSGVO-ähnliche Standards verwenden, können jedoch weiterhin Risiken eingehen, wenn sie eine weit gefasste Datenschutzpolitik anwenden und somit die Einhaltung von DSGVO/CCPA überall erklären. Separat könnten Generalstaatsanwälte in einigen Staaten oder die Federal Trade Commission (FTC) Unternehmen wegen irreführender Datenschutzpraktiken anfechten, wenn ein Cookie-Banner irreführend ist (als unfaire oder täuschende Praxis), aber solche Fälle sind nicht prominent. Die wichtigsten US-„Strafen“ im Zusammenhang mit Cookies sind in Form von Sammelklagen unter verschiedenen Delikts- und Verbraucherschutztheorien (Verletzung der Privatsphäre, unlauterer Wettbewerb usw.) entstanden. Kürzlich haben US-Anwaltskanzleien zahlreiche Cookie-bezogene Sammelklagen eingereicht, die typischerweise behaupten, dass die Banner oder Richtlinien von Websites Verbraucher irreführen. Diese Klagen können zu monetären Vergleichen führen (oft im niedrigen Millionenbereich), aber ihre letztendliche Durchsetzbarkeit ist von Gerichten noch nicht geprüft worden ^[24]. Im Gegensatz zu den DSGVO-Bußgeldern sind diese Sammelklagen in der Summe in der Regel viel kleiner – und die US-Regierung selbst hat bis 2025 keine hohen Bußgelder allein für Cookie-Banner verhängt.

Zusammenfassend lässt sich sagen, dass die Strafen für das Nichtanzeigen oder die fehlerhafte Konfiguration eines Cookie-Einwilligungsbanners schwerwiegend sein können, insbesondere in Europa. Mindestens kann eine nicht konforme Website eine Anordnung erhalten, ihr Banner zu korrigieren oder die Verwendung von Cookies einzustellen, und bei Nichteinhaltung können tägliche Bußgelder anfallen. Im schlimmsten Fall haben die Datenschutzbehörden gezeigt, dass sie ihre vollen Bußgeldbefugnisse (bis zu 2–4 % des Umsatzes) ausschöpfen, wenn der Verstoß eklatant und weit verbreitet ist ^{[11] [17]}. Nachfolgend präsentieren wir eine Tabelle mit bemerkenswerten Fällen:

| Belgien (APD) | 2024 | Mediahuis (Herausgeber von 4 Titeln) | Anordnung zur Korrektur der Banner („Ablehnen“ hinzufügen); €50.000/Tag Strafe bei Nichteinhaltung (Source: noyb.eu) | Verwendung irreführender Cookie-Banner ohne klare Ablehnungsoption (Source: noyb.eu). | | Belgien (APD) | 2022 | Roularta Press Group | €50.000 Strafe ^[15] | Nichteinhaltung der Zustimmungsanforderungen beim Setzen von Cookies auf Websites ^[15]. | | Niederlande (AP) | 2025 | 50 Unternehmen (Einzelhändler, Medien usw.) | Abmahnungen; 3-monatige Frist zur Behebung oder Androhung von Bußgeldern ^[21] | Irreführende Cookie-Banner oder Setzen von Tracking-Cookies ohne gültige Zustimmung ^[21]. | | UK (ICO) | 2023 | Verschiedene Top-Websites (Nachrichten, Technologie) | Formelle Mitteilungen; 30 Tage zur Behebung oder Androhung von Durchsetzungsmaßnahmen ^[16] | Cookie-Banner ohne klare Optionen („alle ablehnen“) im Verstoß gegen PECR/DSGVO ^{[16] [8]}. | | EU-weite Zuständigkeiten (Variiert) | 2023–24 | Verschiedene Websites | Anordnungen zur Einhaltung durch Datenschutzbehörden; geringe Bußgelder oder Zusagen | Verwendung von Dark Patterns; Blockierung von Inhalten, sofern nicht akzeptiert („Cookie-Walls“); unzureichende Informationen. | | (Zum Vergleich) USA† | — | — | Keine bundesweite Strafe für Cookies; CCPA-Opt-out-Regeln; FTC-Warnungen möglich | Keine explizite Zustimmungsverpflichtung; Datenschutzklagen aus unerlaubter Handlung (Sammelklagen) beobachtet. | † In den USA wird die Durchsetzung eher durch staatliche Datenschutzgesetze und die FTC vorangetrieben als durch ein EU-ähnliches Sanktionssystem ^[6].

Nachweise und Datenanalyse

Einhaltungsquoten und Studien

Mehrere Studien haben eine weit verbreitete Nichteinhaltung der Cookie-Zustimmungsregeln dokumentiert:

• Akademische Studien: Kampanos & Shahandashti (2021) untersuchten systematisch 17.000 Websites in Griechenland und Großbritannien und stellten fest, dass, obwohl etwa 60 % der Websites Tracking-Cookies von Drittanbietern verwendeten, weniger als 50 % überhaupt einen Cookie-Hinweis anzeigten ^[10]. Selbst unter denen mit Bannern drängte die Mehrheit die Nutzer entweder zum „Akzeptieren“ oder erschwerte die Ablehnung, wobei nur sehr wenige eine unkomplizierte Opt-out-Möglichkeit boten ^[25]. Dies deutet darauf hin, dass ein großer Teil der Websites das Gesetz einfach dadurch verletzt, dass er die Nutzer überhaupt nicht informiert. Eine weitere Studie von Matte et al. (2019) durchsuchte fast 23.000 europäische Websites, die das IAB TCF-Framework verwendeten, und fand auf 54 % der getesteten Websites mindestens einen Rechtsverstoß ^[9]. Häufige Verstöße waren vorab angekreuzte Zustimmungsfelder und die Nichteinhaltung einer Opt-out-Auswahl (etwa 27 Websites speicherten sogar eine positive Zustimmung nach einem expliziten Opt-out) ^[9]. Diese Ergebnisse deuten darauf hin, dass eine Mehrheit der Websites, zumindest in den Stichprobenpopulationen, die Zustimmungsanforderungen nicht ordnungsgemäß erfüllte.

• Automatisierte Erkennungstools: Forscher haben Tools (z. B. „Cookiescanner“ ^[26]) entwickelt, um Cookie-Banner in großem Maßstab zu erkennen und zu bewerten. Ihre Ergebnisse bestätigen, dass viele Banner fehlerhaft implementiert sind. Gundelach & Herrmann (2023) stellen fest, dass „viele Website-Betreiber das Gesetz nicht einhalten und Nutzer vor jeder Interaktion mit dem Zustimmungsbanner verfolgen oder versuchen, Nutzer durch Dark Patterns zur Zustimmung zu bewegen“ ^[27]. Diese Studie scannte die Top 10.000 Websites und stellte fest, dass manuelle Filter Banner oft übersahen (was auf ein weit verbreitetes Problem hindeutet) und dass die automatische Erkennung von „Ablehnen“-Schaltflächen weiterhin schwierig ist. Insgesamt ergab die spezialisierte Überprüfung zahlreiche Fälle, in denen Bannern eine Ablehnungsoption fehlte oder es schwierig war, den Optionen „Ablehnen“/„Akzeptieren“ gleiches Gewicht zu verleihen ^[27]. Diese systematischen Analysen liefern empirische Unterstützung für Durchsetzungsmaßnahmen: Die Regulierungsbehörden hatten erwartet, dass die Einhaltung lax sein würde, und die Daten zeigen, dass tatsächlich über die Hälfte der Websites Probleme mit ihren Bannern hatte.

• Datenschutzbeschwerden und behördliche Aufmerksamkeit: Die Regulierungsbehörden selbst berichten, dass dies beschwerdegetrieben ist. So fasst ein Blog einer Datenschutzrechtskanzlei zusammen, dass die verstärkte Aufmerksamkeit des ICO im Jahr 2023 teilweise durch „zunehmende Beschwerden von Betroffenen“ und Kampagnen ausgelöst wurde ^[28]. Bürgerbefragungen untermauern ebenfalls die Notwendigkeit von Transparenz: Eine öffentliche EU-Konsultation ergab, dass über 96 % der Befragten gefragt werden möchten, bevor Cookies von Drittanbietern auf ihrem Gerät verwendet werden. Kurz gesagt, sowohl der öffentliche Druck von unten als auch die politischen Änderungen von oben (wie der Entwurf der ePrivacy-Verordnung) deuten auf einen Konsens hin, dass die Cookie-Zustimmung ernst genommen werden muss.

Bußgeldstatistiken

Obwohl uns kein zentrales Verzeichnis aller Cookie-bezogenen Bußgelder vorliegt, ermöglichen die bekannten Beispiele eine gewisse Quantifizierung:

• Größenordnung: Die von den Datenschutzbehörden (DPAs) für Cookie-Verstöße verhängten Bußgelder reichten von Zehntausenden bis zu Hunderten Millionen Euro. Abgesehen von Google/Shein (Hunderte von Millionen Euro) und Yahoo (10 Millionen Euro) lagen viele Bußgelder im Zeitraum 2019–2023 im niedrigen sechsstelligen Bereich. Frühere CNIL-Bußgelder umfassten beispielsweise 150.000–200.000 € gegen kleinere Websites. Frankreichs Entscheidungen beginnen für mittelgroße Websites oft bei etwa 100.000–150.000 € ^[2]. Ähnlich wurden in Italien und Spanien Bußgelder von rund 100.000 € für Ersttäter oder mittelschwere Verstöße gemeldet. Das belgische Roularta-Bußgeld von 50.000 € lag am unteren Ende, war aber für einen mittelgroßen Verlag immer noch erheblich ^[15].

• Prozentsatz des Umsatzes: In großen Fällen nähern sich die Bußgelder den gesetzlichen Höchstgrenzen. Insbesondere hat die CNIL die Google/Shein-Bußgelder als ungefähr 2 % des europäischen Umsatzes ^[14] eingestuft. (Shein merkte explizit an, dass ihre Bußgelder etwa 2 % ihres EU-Umsatzes von 2023 entsprechen ^[14].) Dies deutet darauf hin, dass die Datenschutzbehörden tatsächlich dazu neigen, bei eklatanten Zustimmungsverstößen großer Akteure die maximale Spanne auszuschöpfen. Kleinere Organisationen erhalten in der Regel vergleichsweise geringere absolute Bußgelder, die jedoch stets proportional zu ihrer Größe gemäß dem „wirksamen, verhältnismäßigen und abschreckenden“ Mandat der DSGVO sind.

• Aggregierte Daten: Da die Durchsetzung der Cookie-Regeln erst in den letzten Jahren intensiviert wurde, könnten systematische Daten erst später vorliegen. Regulatorische Mitteilungen und Pressemitteilungen deuten jedoch darauf hin, dass die Inaktivität während der COVID-Ära (2019–2020) einer Flut von Fällen in den Jahren 2021–2025 wich. So hatte die französische CNIL ab 2019 einen „Cookie-Crackdown“-Aktionsplan, und in den Jahren 2022–2023 verhängte sie fast monatlich Bußgelder (insbesondere da ihre gesetzliche Frist große Websites zur Einhaltung bis September 2020 verpflichtete ^[4]). Im Vereinigten Königreich sind die Maßnahmen des ICO weiterhin eher beratender Natur, aber Tabellen mit PECR-Mitteilungen zeigen einen Anstieg der erfassten Cookie-bezogenen Fälle in den Jahren 2023–24. Der Gesamttrend ist klar: Die Durchsetzung nimmt stark zu, und die Strafen steigen.

Fallstudien und Beispiele

Um die Anwendung des Gesetzes zu veranschaulichen, beschreiben wir einige detaillierte Beispiele behördlicher Maßnahmen:

• Google (Frankreich, 2025): Die wohl meistbeachtete Durchsetzungsmaßnahme betraf Google. Am 1. September 2025 kündigte die CNIL ein Bußgeld von 325 Mio. € an ^[19]. Die Untersuchung wurde durch eine Beschwerde von NOYB ausgelöst; CNIL-Inspektoren prüften Googles Gmail-Dienst und den Kontoanmeldungsprozess ^{[19] [17]}. Die Ergebnisse waren frappierend: Google fügte Anzeigen in Gmail-Postfächer ein, die als persönliche E-Mails getarnt waren, aber relevanter war hier, wie es mit Cookies umging. Die CNIL warf Google vor, Nutzer zur Annahme von Tracking-Cookies (einer „Cookie-Wall“) zu „zwingen“, wenn sie Konten erstellten, und dass die Gmail-Oberfläche Nutzer zur Zustimmung drängte ^{[20] [19]}. Kurz gesagt, das Banner/Design entzog den Nutzern die freie Wahl. Bei der Verhängung des Bußgeldes führte die CNIL wiederholte Fahrlässigkeit (Google war bereits 2020 und 2021 wegen ähnlicher Probleme bestraft worden), das schiere Ausmaß der betroffenen Nutzer (über 74 Millionen) und die hohen Einnahmen von Google an. Wichtig ist, dass die Sanktionen eine Anordnung für Google enthielten, die erforderlichen Änderungen innerhalb von sechs Monaten umzusetzen; andernfalls droht Google ein zusätzliches Bußgeld von 100.000 € pro Tag ^[17]. Google reagierte öffentlich mit der Zusage, Änderungen an den Analysen vorzunehmen, und betonte, dass nur ein kleiner Teil der Nutzer „Anzeigen“ in Gmail sieht. (Dieser Fall unterstreicht, dass selbst das größte Technologieunternehmen nicht immun ist: Die Einhaltung der Zustimmungsregeln ist unabhängig von der Unternehmensgröße obligatorisch.)

• Shein (Frankreich, 2025): In derselben Ankündigung verhängte die CNIL gegen Sheins EU-Tochtergesellschaft ein Bußgeld von 150 Mio. € ^[18]. Shein ist ein Online-Fast-Fashion-Händler, der französische Verbraucher anspricht (laut CNIL etwa 12 Millionen monatliche Besucher in Frankreich). Eine Website-Inspektion im Jahr 2023 ergab weit verbreitete Verstöße: Shein platzierte Tracking-Cookies auf den Geräten der Besucher ohne deren Zustimmung. Nutzer, die sich abmeldeten, wurden ignoriert, und das Banner erlaubte keinen einfachen Widerruf der Zustimmung ^{[11] [30]}. Die Regulierungsbehörden erwähnten ausdrücklich „das Setzen einiger Cookies ohne die Zustimmung der Internetnutzer, indem ihre Entscheidungen nicht respektiert und sie nicht ordnungsgemäß informiert wurden“ ^[30]. Shein focht das Bußgeld als unverhältnismäßig und politisch motiviert an (mit der Begründung, dass es seine Praktiken inzwischen behoben habe und dass sein werbeabhängiges Geschäftsmodell unfair ins Visier genommen worden sei) ^[31]. Die Gebühren entsprachen ungefähr 2 % von Sheins EU-Umsatz im Geschäftsjahr 2023 ^[14]. Shein hat angekündigt, Berufung einzulegen, aber das Bußgeld sendet eine starke Botschaft: Große E-Commerce-Akteure werden ebenso wie Technologieplattformen genau auf die Einhaltung der Zustimmungsregeln geprüft.

• Yahoo (Frankreich, 2023): Vor den Google/Shein-Entscheidungen hatte die CNIL bereits ihre Bereitschaft gezeigt, große Akteure wegen Cookie-Verstößen zu bestrafen. Am 29. Dezember 2023 verhängte die CNIL eine Geldstrafe von 10 Millionen Euro gegen Yahoo EMEA ^[12]. Nach eigenen Angaben versäumte es Yahoo, „die Wahl der Internetnutzer zu respektieren, die Cookies auf seiner Website 'Yahoo.com' ablehnten“, und machte es unmöglich, die Zustimmung bei Yahoo Mail zu widerrufen ^[12]. Die Geldstrafe folgte auf Dutzende von Nutzerbeschwerden. Wiederum bestand das Problem im Wesentlichen darin, dass die Yahoo-Seiten auch nach Ablehnung weiterhin Tracking-Cookies setzten und Nutzer durch UX-Tricks zur Zustimmung geleitet wurden. Die CNIL stellte fest, dass sie bereits 2020 eine förmliche Mahnung erteilt hatte, die Probleme jedoch weiterhin bestanden. Die Geldstrafe von 10 Millionen Euro war bemerkenswert als seltener Fall gegen eine große US-amerikanische Technologiemarke (Yahoo ist jetzt Teil von Apollo) und zeigte, dass alte Verpflichtungen immer noch Gewicht hatten. Yahoo behauptete, bis Ende 2023 konform geworden zu sein, war aber zuvor gescheitert. Die Sanktion zwang Yahoo, seine Banner zu überarbeiten, um der Option „Ablehnen“ gleiches Gewicht zu verleihen.

• Mediahuis (Belgien, 2024): Im September 2024 erließ die belgische Datenschutzbehörde (DPA, Commission de la Protection de la Vie Privée) nach Beschwerden von NOYB Entscheidungen gegen den Verlag Mediahuis (der Nachrichten-Websites wie De Standaard, Het Nieuwsblad betreibt). Die DPA ordnete an, dass jede Website einen deutlich gekennzeichneten „Ablehnen“-Button in der ersten Ebene des Cookie-Banners hinzufügen und irreführende Farbkodierungen (z.B. „Ablehnen“ grau auf grauem Hintergrund) entfernen muss (Source: noyb.eu). Zuvor hatte NOYB diesen Websites vorgeworfen, jahrelang illegale Banner verwendet zu haben, doch die Behörden hatten sich zuvor mit einer bloßen Zahlung von 10.000 Euro von Mediahuis geeinigt – ohne jegliche Compliance-Behebung (Source: noyb.eu). Unter Druck änderte die DPA ihren Kurs und verhängte strenge Auflagen: „Wenn Mediahuis die Auflagen nicht erfüllt, droht eine Strafe von 50.000 Euro pro Tag und Website“ (Source: noyb.eu). Dies schuf einen starken Anreiz, die Banner neu zu gestalten. Der Fall verdeutlicht weniger die Geldstrafe (die Anordnung selbst enthielt keine feste Strafsumme, sondern nur die Androhung von 50.000 €/Tag), sondern den dramatischen Durchsetzungshebel, der den Regulierungsbehörden gegeben wurde.

• Roularta (Belgien, 2022): Als früheres belgisches Beispiel verhängte die APD im Mai 2022 eine Geldstrafe von 50.000 € gegen Roularta ^[15]. Es wurde festgestellt, dass Roularta (ein Eigentümer von Magazinen und Websites) keine gültige Cookie-Zustimmung gemäß DSGVO/PECR eingeholt hatte. Die Streitbeilegungskammer der DPA erklärte ausdrücklich, dass Roularta „die Bedingungen für die Einholung der Nutzerzustimmung“ für Cookies nicht erfüllt habe ^[15]. Während 50.000 € für eine Verlagsgruppe ein kleiner Posten sind (wenn auch wahrscheinlich ein signifikanter Prozentsatz ihrer Werbeeinnahmen auf diesen Websites), handelte es sich um eine Durchsetzung des Datenschutzes – und die APD warnte andere, dass weitere Beschwerden zu höheren Geldstrafen führen könnten. Der Fall unterstreicht, dass selbst traditionelle Medienunternehmen digitale Zustimmungsregeln beachten müssen.

In jedem dieser Beispiele war das Fehlen oder die Unzulänglichkeit eines Cookie-Banners der Kern des Verstoßes. Die Strafen reichten von Compliance-Anordnungen und relativ bescheidenen Geldstrafen (Belgien, 50.000 €) bis hin zu Blockbuster-Strafen (Frankreich, 325 Millionen €). Die bestraften Organisationen umfassten oft eine Mischung aus nationalen und internationalen Unternehmen – und in vielen Fällen wurden rechtliche Schritte durch die EU-Jurisdiktion ausgelöst (z.B. wurden die Verstöße von Google und Shein nach französischem Recht beurteilt, weil diese Unternehmen den französischen Markt ansprachen).

Multiple Perspektiven und Kontext

Bei der Betrachtung der Sanktionsfrage ist es wichtig, verschiedene Standpunkte zu berücksichtigen:

• Regulatorische Perspektive: Datenschutzbehörden (DPAs) sehen die Cookie-Zustimmung als eine kritische Datenschutzgrundlage. Sie betonen, dass die Autonomie der Nutzer über das Tracking nicht verhandelbar ist. Die hohen Geldstrafen in Frankreich und anderswo senden eine abschreckende Botschaft, dass selbst große Akteure die Zustimmungsregeln nicht missachten können. DPAs betonen auch, dass die Cookie-Zustimmung oft der „erste Schritt“ zu einer umfassenden DSGVO-Konformität ist: Das Ignorieren von Bannern korreliert oft mit anderen Datenmissbräuchen. Zum Beispiel verhängte die französische CNIL Cookie-Strafen als Teil einer breiteren Kampagne gegen die Nichteinhaltung von Tracking-Vorschriften ^[4]. Regulierungsbehörden haben Unternehmen offen gewarnt: Es gibt „keine Entschuldigung“ dafür, keine ordnungsgemäße Ablehnungsoption anzubieten ^[8]. Sie anerkennen auch Nutzerbeschwerden – DPAs verweisen auf die Flut von Beschwerden über Banner als Rechtfertigung für Maßnahmen. Wie eine Expertenzusammenfassung es formulierte, haben Europas Regulierungsbehörden auf die „Wut“ der Nutzer über hartnäckige oder irreführende Banner reagiert, indem sie hart durchgreifen (Bezeichnungen wie „Clickspamageddon“ spiegeln die öffentliche Stimmung wider). In den regulatorischen Leitlinien liegt der Schwerpunkt auf Transparenz und einfacher Ablehnung: Das Ablehnen von Cookies muss „genauso einfach“ sein wie das Akzeptieren ^[32].

• Unternehmensperspektive: Auf Unternehmensseite gehen die Meinungen auseinander. Viele Unternehmen akzeptieren Cookie-Banner widerwillig als rechtliche Notwendigkeit, betrachten sie jedoch oft als UX-Belastung und Hindernis für datengesteuertes Marketing. Einige Führungskräfte haben sich öffentlich darüber beschwert, dass die Regeln die Benutzererfahrung verschlechtern, zu Banner-Müdigkeit führen und die Online-Werbung behindern. Tatsächlich haben Handelsverbände in Europa für nachsichtigere Regeln lobbyiert (z.B. die Befreiung von Analyse-Cookies von der Zustimmung oder deren standardmäßige Zulassung). Zum Beispiel schlug der britische Data Reform Bill vor, dass Analyse-Cookies „ohne Zustimmung erlaubt“ sein sollten, was den Druck der Industrie widerspiegelt, die Anforderungen an Banner zu reduzieren (obwohl Kritiker sagen, dass dies die Nutzerwahl untergräbt) ^[23]. Viele Websites verwenden Bannerlösungen, die von Consent Management Platforms (CMPs) bereitgestellt werden, und Branchenblogs diskutieren häufig „Zustimmungsraten“ und Wege zur Maximierung von Opt-ins. Dennoch ist die vorherrschende Unternehmensansicht, dass Compliance obligatorisch ist: Nach den Google/Shein-Strafen werden Unternehmen mit europäischem Traffic robuste Zustimmungsabläufe wünschen, um ein ähnliches Schicksal zu vermeiden. Einige Unternehmen beschweren sich, dass Regulierungsbehörden lokalen Wettbewerbern, die sich an die Regeln halten, unfaire Vorteile verschaffen, z.B. Shein, das seine Strafe als „politisch motiviert“ bezeichnet, weil es mit französischen Einzelhändlern konkurriert ^[31]. Letztendlich ist die Ansicht jedoch, dass das Ignorieren von Bannern Geldstrafen und Reputationsschäden riskiert.

• Verbraucher-/Datenschutzbefürworter-Perspektive: Datenschützer und viele Verbraucher betrachten Cookie-Banner selbst mit Ambivalenz oder Ärger, unterstützen aber im Allgemeinen das Konzept, dass die Zustimmung aussagekräftig sein muss. Organisationen wie NOYB konzentrieren sich darauf, dass diese Banner tatsächlich die Autonomie der Nutzer respektieren. Sie verurteilen „Friss oder stirb“-Cookie-Walls und versteckte Opt-out-Buttons. Der Kampagnenslogan von NOYB sprach von „Cookie-Banner-Terror“ und hat bereits zu Hunderten von Beschwerden geführt ^[29] (Source: noyb.eu). Datenschutz-NGOs argumentieren, dass die Verwendung von Dark Patterns durch Unternehmen die Absicht des Gesetzes untergräbt. Eine gängige militante Position ist, dass jede Dienstleistungsbarriere bei Ablehnung von Cookies (eine harte Cookie-Wall) niemals eine gültige Zustimmung darstellt. Diese Perspektive drängt auf eine strikte Durchsetzung und beeinflusste die CNIL-Durchsetzung von Cookie-Walls als Datenschutzverletzungen ^[13]. Auf Nutzerseite zeigen Beweise, dass die meisten Menschen einfach auf „Akzeptieren“ klicken, nur um die Aufforderung zu entfernen, was darauf hindeutet, dass Zustimmungsmitteilungen dem Datenschutz ohnehin nicht viel dienen. Dennoch argumentieren Befürworter, dass der rechtliche Rahmen ein besseres Design erzwingen muss: Wie es in einer Klageschrift hieß, „sollten Nutzer eine klare Ja- oder Nein-Option haben“ ^[33]. NOYB und andere haben ausdrücklich erklärt, dass sie Geldstrafen wie die Einigung von Mediahuis (10.000 €, keine Änderungen) als inakzeptabel ansehen; sie wollen echte Veränderungen, die von den DPAs durchgesetzt werden (Source: noyb.eu). Kurz gesagt, aus Datenschutzsicht geht es bei der Frage der „Strafe“ weniger um Dollarbeträge als vielmehr darum, ob die Durchsetzung endlich zu echter Compliance statt zu symbolischen Einigungen führen wird.

• Rechts-/Akademische Perspektive: Rechtswissenschaftler stellen fest, dass Cookie-Zustimmungsgesetze technisch komplex sind. Zum Beispiel wird diskutiert, ob die Tracking-Zustimmung manchmal auf der Grundlage eines „berechtigten Interesses“ statt eines Opt-in eingeholt werden könnte (eine Ansicht, die von den meisten DPAs abgelehnt wird). Es gab mehrere Gerichtsverfahren: Das Landgericht München (2020-21) stellte fest, dass ein Banner einer Nachrichtenseite (Focus Online) keine gültige Zustimmung einholte, weil es die Ablehnung nicht so einfach wie die Zustimmung machte (Source: blog.eprivacy.eu) (Source: blog.eprivacy.eu). Auf einer höheren Ebene konzentrieren sich Akademiker auf Benutzertests und automatisierte Compliance-Prüfungen. Sie kommen zu dem Schluss, dass die Durchsetzung gerechtfertigt ist: Zum Beispiel zeigt die Forschung von Gundelach & Herrmann, dass viele Websites Nutzer vor der Banner-Interaktion verfolgen, was bestätigt, dass Regulierungsbehörden möglicherweise bereits genau diese Probleme untersuchen ^[27]. Anwälte weisen auch darauf hin, dass nationale Behörden, da die Bußgelder nach Artikel 83 der DSGVO als maximale Prozentsätze ausgedrückt werden, Ermessensspielraum haben. Frühe Cookie-Fälle tendierten möglicherweise aufgrund der Neuheit der Durchsetzung zu kleineren Geldstrafen, aber die jüngste Verschiebung zu Millionenstrafen deutet darauf hin, dass die Behörden „wirksam, verhältnismäßig“ so interpretieren, dass „andere Unternehmen durch harte Maßnahmen abschrecken“ gemeint ist.

• Branchenanalysten / Zukunftsperspektive: Eine letzte Perspektive ist die Zukunft der Cookie-Zustimmung selbst. Einige Experten stellen nun die Frage, ob Cookie-Banner (der traditionelle „ePrivacy-Ansatz“) nachhaltig sind. Tatsächlich haben Beamte der Europäischen Kommission eine „Zustimmungsmüdigkeit“ eingeräumt. Es gibt Vorschläge zur Überarbeitung der ePrivacy-Richtlinie (die sogenannte ePrivacy-Verordnung, seit 2017 in Diskussion). Ein Nachrichtenartikel berichtete, dass die EU plant, die Cookie-Regeln bis 2025 angesichts von Nutzerbeschwerden (dem sogenannten „Clickspamageddon“) zu überarbeiten ^[34]. Potenzielle Änderungen umfassen die Befreiung von Analyse-Cookies oder die Entwicklung standardisierter Zustimmungsignale auf Browserebene. Das Ergebnis könnte die Art der bevorstehenden Strafen ändern: Wenn beispielsweise Analyse-Cookies zu „stillschweigender Zustimmung“ werden, könnte ein derzeit mit Milliarden Euro geahndetes Verhalten legal werden. Die meisten Zustimmungs-Experten warnen jedoch, dass die Durchsetzung einer transparenten, nicht-erzwingenden Zustimmung zentral bleiben wird, selbst wenn einige Regeln gelockert werden. Zukünftige Änderungen werden wahrscheinlich die Nutzerwahl für Tracking (Werbe-/Tracking-Cookies) bewahren, sodass das Nichtanzeigen eines Banners (oder das Bereitstellen eines Scheibanners) weiterhin strafbar sein könnte.

Implikationen und zukünftige Richtungen

Praktische Implikationen für Organisationen

Die unmittelbare Implikation dieser Strafen ist, dass Organisationen Cookie-Banner als ernsthafte Compliance-Projekte behandeln müssen. Die Zeiten, in denen ein Website-Betreiber Cookies als „nur lästig“ abtun konnte, sind vorbei, zumindest wenn das Unternehmen in EU-/UK-Märkten tätig ist. Unternehmen sollten ihre Banner und die Cookie-Nutzung proaktiv überprüfen. Dies bedeutet sicherzustellen, dass alle nicht-essenziellen Cookies hinter einem Banner platziert sind, das die rechtlichen Anforderungen erfüllt: den Nutzer informieren, eine einfache „Ablehnen“-Option oder granulare Auswahlmöglichkeiten anbieten und eine gültige Zustimmung aufzeichnen, bevor Tracking-Skripte ausgelöst werden. Compliance-Teams sollten die Ankündigungen von Durchsetzungsmaßnahmen verfolgen und ihre Banner an Best Practices ausrichten (z.B. gleiche Hervorhebung und Gestaltung von Akzeptieren und Ablehnen sowie Vermeidung von „Cookie-Walls“, die zur Akzeptanz zwingen). Einige Firmen werden auf neue Consent-Management-Plattformen umsteigen. Anwälte raten auch, dass Zustimmungs-Logs und Banner-Design-Entscheidungen als Nachweis für Compliance-Bemühungen dokumentiert werden sollten, falls es zu zukünftigen Untersuchungen kommt.

Angesichts der steigenden Risiken berechnen Risikomanager die Exposition neu. Ein kleines Unternehmen in Europa könnte bei Nichteinhaltung Geldstrafen im Zehntausenderbereich erhalten, ein mittelständisches Unternehmen im niedrigen sechsstelligen Bereich und große multinationale Unternehmen könnten potenziell acht- oder neunstellige Strafen erwarten, wenn eklatante Verstöße fortbestehen. Versicherungsprodukte für Cyber-/Datenschutzrisiken könnten beginnen, die Pflicht zur Cookie-Zustimmung in ihren Policen zu berücksichtigen. Da DPAs oft koordinieren (der Europäische Datenschutzausschuss kann die grenzüberschreitende Durchsetzung erleichtern), sollten selbst Unternehmen, die hauptsächlich in einem Land tätig sind, den strengsten Ansatz beachten: derzeit höchstwahrscheinlich das französische Modell. Multinationale Unternehmen können, wie wir bei Google gesehen haben, in jeder Gerichtsbarkeit belangt werden, in der ihre Produkte oder Dienstleistungen angeboten werden.

Über Geldstrafen hinaus sollten Unternehmen beachten, dass auch Reputationsschäden eine Strafe darstellen. Die Medienberichterstattung über hohe Geldstrafen kann das Nutzervertrauen schwächen. Mindestens ein Fehltritt bei einer Datenschutzerklärung oder Cookie-Richtlinie löst einen Strom von Nutzerbeschwerden aus, die wiederum Regulierungsbehörden auf den Plan rufen. Die Opportunitätskosten des Nichtanzeigens eines Banners sind vielfältig: behördliche Geldstrafen, Sanierungskosten (kurzfristige Neugestaltung der Website), verlorenes Nutzervertrauen und mögliche Zivilklagen. In stark regulierten Branchen wie Finanzen oder Gesundheitswesen ist die Cookie-Zustimmung ein Aspekt der gesamten Datenverarbeitungskontrolle; wiederholte Versäumnisse könnten sogar dazu führen, dass Behörden andere Praktiken überprüfen. Zusammenfassend lässt sich sagen, dass die Kosten für die Compliance (Investition in ein ordnungsgemäßes Banner und Design) weitaus geringer sind als die entsprechenden Strafen.

Breiterer Kontext und Entwicklungen

Mehrere umfassendere Kräfte werden die Entwicklung der Durchsetzung der Cookie-Zustimmung prägen:

• Sich entwickelnde Datenschutzgesetze: In Europa wird die kommende ePrivacy-Verordnung (sofern angenommen) wahrscheinlich viele der Zustimmungsstandards in einer einzigen Verordnung kodifizieren. Vorgeschlagene Änderungen umfassen die Klärung von Definitionen von „Cookie-Wall“ und möglicherweise die Ausweitung von Ausnahmen (z.B. für bestimmte Analysen). Wenn sie verabschiedet wird, könnte sie auch nationale Cookie-Gesetze ersetzen oder integrieren. Unabhängig von der endgültigen Form werden die Durchsetzungsbefugnisse voraussichtlich zunehmen. Ähnlich signalisiert der Data Protection and Digital Information Bill im Vereinigten Königreich strengere Strafen (und könnte einige Cookie-Regeln lockern, z.B. die Zustimmung zu Analyse-Cookies). Organisationen sollten diese legislativen Entwicklungen beobachten, da sie die Compliance-Verpflichtungen und potenziellen Strafen beeinflussen werden.

• Technologische Veränderungen: Die Tech-Branche bewegt sich weg von Drittanbieter-Cookies für Tracking (z.B. Googles Einstellung von Drittanbieter-Cookies in Chrome und datenschutzorientierte Änderungen in Browsern). In den kommenden Jahren werden weniger Websites Cookie-basierte Werbung verwenden; stattdessen könnten neue Methoden (Browser-APIs oder lokaler Speicher) entstehen. Regulierungsbehörden haben signalisiert, dass „Zustimmung oder Zahlung“-Paywalls auch bei neuen Technologien nicht erlaubt sein sollten. So bleibt, auch wenn sich die technischen Mittel ändern, das Prinzip der Nutzerwahl bestehen. Verschlüsselung, Fingerprinting und serverseitiges Tracking werden wahrscheinlich gesetzlich mit ähnlichen Zustimmungsregeln belegt (die DSGVO deckt jede „Verarbeitung“ personenbezogener Daten ab, nicht nur Cookies).

• Internationale Trends: Außerhalb Europas beginnen einige Länder, sich auf die Nutzerzustimmung zu konzentrieren. Zum Beispiel wird Indiens PDP-Gesetz (sobald es in Kraft tritt) die Nutzerzustimmung für personenbezogene Daten betonen. Im asiatisch-pazifischen Raum wächst das Bewusstsein für die EU-Cookie-Regeln. Interessanterweise wenden einige multinationale Unternehmen einfach DSGVO-ähnliche Zustimmungen überall an, um die Richtlinien zu vereinfachen (so zeigen in der Praxis viele Nicht-EU-Websites jetzt Cookie-Banner an). Wenn mehr Datenschutzgesetze (US-Bundesstaaten oder Asien-Pazifik) beginnen, Tracking explizit zu erwähnen, könnte sich die Vorstellung einer „Banner-Strafe“ global verbreiten. Derzeit bleiben die schwerwiegendsten Strafen jedoch europäisch.

• Durchsetzungskampagnen: DPAs haben Cookie-Einnahmen als spezielle Kampagne ausgewiesen. Zum Beispiel umfasste der „Cookie-Aktionsplan“ der CNIL von 2019-2025 die Veröffentlichung von Leitlinien, förmlichen Mahnungen und Geldstrafen in Wellen. Datenschutz-NGOs wie NOYB lösen mehr Beschwerden aus (NOYB's „Cookie-Banner-Kampagne“ reichte 850 Beschwerden in ganz Europa ein). Es ist wahrscheinlich, dass DPAs auf absehbare Zeit sowohl Zuckerbrot (Leitlinien, vorübergehende Aufschübe) als auch Peitsche (Geldstrafen, öffentliche Ankündigungen) einsetzen werden. Wie der Stephenson Harwood Blog feststellte, sehen Regulierungsbehörden die Cookie-Durchsetzung als einen Schwerpunktbereich an ^{[28] [22]}.

• Gerichtliche Klarstellungen: Gerichte werden Grenzfragen weiter klären. Bereits der EuGH (im Jahr 2020) hat klargestellt, dass vorangekreuzte Kästchen und Informationen, die nur über einen Link zugänglich sind, keine gültigen Formen der Einwilligung darstellen. Untere Gerichte (wie im Fall Focus Online in München) setzen diesen Trend fort. Wenn höhere Gerichte in den Mitgliedstaaten (und möglicherweise der EuGH) sich mit Fragen des Designs von Cookie-Bannern befassen, wird die Rechtsprechung die Haftungskonturen verfestigen. Diese Entscheidungen könnten die Bemessung von Bußgeldern beeinflussen: Wenn ein Gericht einen Banner für rechtswidrig erklärt, kann eine Aufsichtsbehörde zuversichtlich ein Bußgeld verhängen, da sie weiß, dass die Rechtsgrundlage solide ist.

Fazit

Die Strafe für das Nichtanzeigen eines ordnungsgemäßen Cookie-Einwilligungsbanners kann schwerwiegend sein. Nach geltenden Datenschutzgesetzen bedeutet ein fehlender oder mangelhafter Banner, dass die Nutzereinwilligung nicht gültig eingeholt wurde – ein Verstoß, der das volle Gewicht datenschutzrechtlicher Sanktionen nach sich ziehen kann. In Europa behandeln Aufsichtsbehörden Verstöße gegen die Cookie-Einwilligung explizit als DSGVO-Verstöße, die den höchsten Bußgeldstufen unterliegen. Fallstudien haben Bußgelder gezeigt, die von Zehntausenden von Euro bis zu Hunderten von Millionen reichen, abhängig vom Ausmaß und der Absicht des Verstoßes. Wir haben gesehen, dass Aufsichtsbehörden massive Bußgelder (z.B. 325 Mio. € gegen Google, 150 Mio. € gegen Shein im Jahr 2025) und tägliche Strafen (z.B. 100.000 € pro Tag) für das Versäumnis, die Cookie-Einwilligung einzuholen, verhängt haben ^{[1] [17]}. Auch routinemäßigere Bußgelder (im niedrigen sechsstelligen Bereich) waren für kleinere Akteure üblich.

Diese Ergebnisse spiegeln eine konsistente Botschaft wider: Die Cookie-Einwilligung ist nicht optional, und die Behörden werden sie energisch durchsetzen. Organisationen, die die Banner-Anforderungen vernachlässigen, riskieren nicht nur finanzielle Strafen, sondern auch erzwungene betriebliche Änderungen (Entfernung unautorisierter Cookies) und Reputationsschäden. Die Last liegt bei den Webseitenbetreibern, sicherzustellen, dass ihre Einwilligungsmechanismen die gesetzlichen Standards erfüllen, d.h. informiert, freiwillig erteilt und leicht widerrufbar sind ^{[5] [7]}.

Mit Blick in die Zukunft, während sich die Benutzererfahrung von Cookie-Bannern entwickeln mag (mit möglichen Regulierungsreformen, die darauf abzielen, die „Banner-Müdigkeit“ zu reduzieren), bleibt die grundlegende Erwartung bestehen: Nutzer müssen eine klare Kontrolle über Tracking-Cookies haben. Aufsichtsbehörden haben signalisiert, dass die Nichteinhaltung weiterhin auf Prüfung und Sanktionen stoßen wird. Zusammenfassend lässt sich sagen, dass die „Strafe“ darin besteht, dass das Nichtanzeigen eines konformen Banners einen Rechtsverstoß darstellt – und diese Verstöße werden zunehmend mit strengen, oft recht hohen Sanktionen geahndet ^{[11] [2]}. Organisationen wären gut beraten, Cookie-Einwilligungsbanner nicht nur anzuzeigen, sondern sie auch gemäß den Leitlinien und früheren Durchsetzungspräzedenzfällen umzusetzen.