Wegen fehlendem Cookie-Banner verklagt? Die Wahrheit über Bußgelder & Klagen

Zusammenfassung

Cookie-Zustimmungsbanner sind aufgrund von Datenschutzbestimmungen auf Websites weltweit allgegenwärtig, werden aber von den Nutzern weithin abgelehnt. Bemerkenswerterweise gibt es keine öffentlichen Aufzeichnungen darüber, dass ein Unternehmen lediglich wegen des Nichtanzeigens eines Cookie-Banners für Nutzer verklagt wurde. Stattdessen entstehen rechtliche Schritte im Zusammenhang mit der Cookie-Zustimmung typischerweise in anderen Formen – zum Beispiel durch regulatorische Durchsetzung wegen Nichterlangung oder Nichteinhaltung der Zustimmung oder durch Sammelklagen, die den Missbrauch von Cookies oder Falschdarstellungen in Cookie-Bannern zum Vorwurf machen. Regulierungsbehörden in der EU und anderswo haben Unternehmen wie Google, Shein und andere wegen nicht konformer Cookie-Praktiken (einschließlich der Nichteinhaltung von „Alle ablehnen“-Auswahlen) erhebliche Bußgelder auferlegt (Source: www.edpb.europa.eu) ^[1]. In den USA haben Kläger begonnen, Unternehmen wegen fehlerhafter Cookie-Zustimmungsmechanismen zu verklagen (z.B. Tracking trotz Nutzer-Opt-out ^{[2] [3]}), aber auch hier hängen diese Ansprüche von Fehlverhalten mit Cookies ab und nicht vom bloßen Fehlen eines Banners.

Kurz gesagt, das rechtliche Risiko, kein Cookie-Banner anzuzeigen, manifestiert sich durch regulatorische Strafen gemäß Datenschutzgesetzen (z.B. EU ePrivacy/DSGVO, UK PECR) und nicht durch traditionelle private Klagen. Dieser Bericht beleuchtet den technischen und rechtlichen Hintergrund von Cookie-Bannern, die Einstellungen der Nutzer dazu, globale regulatorische Rahmenbedingungen und Fallbeispiele für Durchsetzung und Rechtsstreitigkeiten. Wir stellen fest, dass, obwohl kein Unternehmen direkt wegen des Nichtanzeigens eines Cookie-Banners verklagt wurde, viele wegen der Nichteinhaltung der Cookie-Zustimmungsregeln insgesamt zur Rechenschaft gezogen wurden. Die Analyse umfasst den historischen Kontext, relevante Gesetze (EU, UK, USA usw.), Benutzererfahrungsforschung, Statistiken zur Banner-Interaktion, Durchsetzungsdaten (Bußgelder und Warnungen) und neue Trends (Vorschläge der EK zur Reduzierung der Banner-Müdigkeit, browserbasierte Datenschutzsignale). Alle untenstehenden Behauptungen werden durch maßgebliche Quellen gestützt ^[4] (Source: www.edpb.europa.eu) ^[5].

Einleitung und Hintergrund

Cookies und Cookie-Banner. Ein Cookie ist eine kleine Datendatei, die von einer Website auf dem Gerät eines Nutzers gespeichert wird und oft dazu dient, Einstellungen zu speichern, Sitzungen zu verfolgen oder Analysedaten zu sammeln. Viele Cookies sind harmlos oder sogar unerlässlich (z.B. um Nutzer angemeldet zu halten), aber Tracking-Cookies (insbesondere Drittanbieter-Werbe-Cookies) werfen Datenschutzbedenken auf, indem sie das Surfverhalten der Nutzer überwachen und Profile ihrer Interessen erstellen. Im letzten Jahrzehnt haben Regierungen und Regulierungsbehörden weltweit darauf reagiert, indem sie Websites dazu verpflichteten, Besucher über Cookies zu informieren und die Zustimmung für nicht-essenzielle Tracking-Cookies einzuholen. Dies wird typischerweise über ein „Cookie-Zustimmungsbanner“ oder einen Hinweis implementiert, der beim Besuch einer Website aufpoppt. Das Banner erklärt oft, dass Cookies verwendet werden, und fordert den Nutzer auf, diese zu akzeptieren oder abzulehnen (manchmal mit zusätzlichen Einstellungen für Cookie-Typen). Ein typisches Banner könnte Schaltflächen mit der Aufschrift „Alle akzeptieren“, „Alle ablehnen“ oder „Cookie-Einstellungen“ haben. Diese Benutzeroberfläche soll den Nutzern eine Wahlmöglichkeit geben und rechtliche Anforderungen erfüllen, unterbricht aber in der Praxis auch die Benutzererfahrung – was viele Beobachter dazu veranlasst, Cookie-Banner als lästig oder aufdringlich zu beschreiben.

Rechtliche Ursprünge von Cookie-Bannern. Die Anforderung für Cookie-Banner entstand in Europa. Im Jahr 2009 verabschiedete die Europäische Union die ePrivacy-Richtlinie (oft als „EU-Cookie-Gesetz“ bezeichnet), die vorschrieb, dass Websites eine Opt-in-Zustimmung einholen müssen, bevor sie Informationen (wie Cookies) auf dem Gerät eines Nutzers speichern oder lesen ^[4]. Diese Richtlinie wurde von den Mitgliedstaaten in nationales Recht umgesetzt (z.B. die Privacy and Electronic Communications Regulations, PECR, des Vereinigten Königreichs). Die Datenschutz-Grundverordnung (DSGVO) von 2018, die sich auf die breitere Datenverarbeitung konzentriert, bekräftigte die Notwendigkeit einer „freiwilligen, spezifischen, informierten und unmissverständlichen“ Zustimmung zur Verarbeitung personenbezogener Daten ^{[4] [6]}. Im wegweisenden Planet49-Fall (C-673/17, EuGH, 2019) stellte der Europäische Gerichtshof klar, dass die Cookie-Zustimmung explizit sein muss und dass vorausgewählte Kästchen oder stillschweigende Zustimmung nicht gültig sind. Zusammenfassend lässt sich sagen, dass nach heutigem EU-Recht eine Website Besucher klar über alle nicht-essenziellen Cookies informieren und eine aktive Zustimmung (typischerweise über ein Banner oder Pop-up) einholen muss, bevor diese Cookies gesetzt werden ^{[7] [6]}. Strenge Ausnahmen gelten nur für Cookies, die für den Dienst unbedingt erforderlich sind (z.B. zum Befüllen eines Warenkorbs) – alle anderen (Analysen, Werbung, Personalisierung) erfordern im Allgemeinen eine vorherige Opt-in-Zustimmung. Wie ein Tech-Kommentator es ausdrückte, beschweren sich viele Menschen erst über Cookies, wenn sie gezwungen werden, sich mit ihnen auseinanderzusetzen; sie hatten zuvor unentdecktes Tracking als selbstverständlich hingenommen ^[8]. In einem Hacker News-Thread veranschaulichte ein Kommentar das Paradoxon: Unternehmen hatten Nutzerdaten unsichtbar gesammelt („versteckte Gebühren“); erst als Vorschriften sie dazu zwangen, dieses Tracking lautstark offenzulegen (durch lästige Banner), beschwerten sich die Nutzer – nicht über das Tracking selbst, sondern darüber, dass sie aufgefordert wurden, es zur Kenntnis zu nehmen ^[8]. Der Widerstand gegen Cookie-Banner kann also manchmal aus Frustration über den Überbringer und nicht über die Botschaft resultieren: Diese Warnungen legen langjährige Datenschutz-Kosten offen, die Nutzer effektiv hinter den Kulissen bezahlt hatten.

Dieser Bericht befasst sich mit diesen Themen mit einem objektiven, evidenzbasierten Ansatz. Wir werden den rechtlichen Kontext von Cookie-Bannern nachzeichnen, die technische und benutzererfahrungsbezogene Forschung überprüfen, die regulatorische Durchsetzung (Bußgelder und Warnungen) untersuchen und Klagtrends (insbesondere Sammelklagen) analysieren, um festzustellen, ob Klagen aufgrund der Entscheidung, keine Cookie-Banner anzuzeigen, entstanden sind. Durch die Integration von Daten und Fallstudien wollen wir eine umfassende Antwort geben: Bislang wurden Unternehmen nicht wegen des Nichtanzeigens von Cookie-Bannern verklagt, aber sie wurden auf zahlreiche rechtliche Weisen für die Nichteinhaltung von Cookie-Zustimmungspflichten zur Rechenschaft gezogen.

Anforderungen an die Cookie-Zustimmung und regulatorische Rahmenbedingungen

Die Anforderungen an Cookie-Banner basieren auf Datenschutzgesetzen und -vorschriften. Wir überprüfen die wichtigsten rechtlichen Rahmenbedingungen nach Gerichtsbarkeit (Tabelle 1 und Diskussion) und stellen fest, wie die Cookie-Zustimmung in der Praxis durchgesetzt wird.

Tabelle 1: Zusammenfassung der Cookie-Zustimmungsgesetze nach Region. In der EU/Norwegen usw. ist explizite Zustimmung erforderlich für die meisten Cookies gemäß ePrivacy/DSGVO ^{[4] [6]}. Die PECR des Vereinigten Königreichs spiegeln die EU-Regeln wider, und die ICO fordert robuste Zustimmungsmechanismen ^[11]. In den USA sind Cookie-Banner nicht durch Bundesgesetz vorgeschrieben, da die wichtigsten Datenschutzgesetze (wie CCPA/CPRA) sich auf Datenverkauf/Opt-out konzentrieren; Kalifornien wird bis 2027 Browser-Opt-out-Signale vorschreiben ^[13]. Die Durchsetzung erfolgt in der Praxis durch Datenschutzbehörden in Europa (was zu Bußgeldern führt) und durch FTC-/staatliche Maßnahmen oder Sammelklagen in den USA. Quellen: offizielle Gesetzestexte und regulatorische Leitlinien ^{[4] [11] [13]}.

In Europa ist die Rechtslage eindeutig: Für alle nicht-essenziellen Tracking-Cookies ist eine vorherige Opt-in-Zustimmung erforderlich ^{[4] [6]}. Cookie-Banner (oder „Privacy Cookiewalls“) sind der De-facto-Mechanismus zur Einholung dieser Zustimmung. Laut Cookiebot erreichen Websites die Konformität, indem sie ein Banner mit Akzeptieren-/Ablehnen-Schaltflächen anzeigen und nicht-essenzielle Cookies aktiv blockieren, bis der Nutzer zustimmt ^[7]. Diese rechtlichen Anforderungen sind im Laufe der Zeit strenger geworden. Zum Beispiel zielt der EU-Vorschlag von 2024 zur Aktualisierung der ePrivacy-Regeln explizit auf die „Cookie-Müdigkeit“ ab und soll die Zustimmung vereinfachen (z.B. durch die Forderung nach einer einfachen „Alle ablehnen“-Option) ^[15]. Gleichzeitig haben das britische Gesetz und die Regulierungsbehörde ähnlich klargestellt, dass Cookie-Banner eine echte Wahl ermöglichen müssen (wobei eine gleich prominente „Ablehnen“-Option betont wird) ^[11].

Durchsetzungsmechanismen: Die Strafen für Nichteinhaltung können in Europa schwerwiegend sein. Derzeit können Verstöße gemäß DSGVO/ePrivacy zu Verwaltungsstrafen von bis zu 4 % des weltweiten Jahresumsatzes führen. In der Praxis haben die Datenschutzbehörden begonnen, diese Befugnisse zu nutzen. So hat beispielsweise die französische CNIL große Unternehmen wiederholt wegen Cookie-Problemen sanktioniert. Allein im September 2025 verhängte die CNIL gegen Google eine Geldstrafe von 325 Millionen Euro und gegen Shein von 150 Millionen Euro, weil sie Cookies ohne ordnungsgemäße Zustimmung verwendet hatten ^[9] (Source: www.edpb.europa.eu) (näheres dazu in den Fallstudien unten). Ähnlich verhängte der finnische Bürgerbeauftragte eine Geldstrafe von 1,1 Millionen Euro gegen die Apothekenkette Yliopiston Apteekki, weil diese Tracking-Cookies verwendete, um Einkaufsdaten von Kunden an Dritte weiterzugeben (Source: yle.fi) (Source: yle.fi). Selbst viel kleinere Unternehmen wurden mit Sanktionen belegt: Ein E-Commerce-Händler (Coolblue) wurde in den Niederlanden mit 40.000 Euro bestraft, weil er vorab angekreuzte Zustimmungsfelder verwendete ^[16]. Im Jahr 2023 warnte die britische ICO führende Websites, die Einhaltung zu verbessern oder mit Geldstrafen zu rechnen ^[11], und ähnliche „Cookie-Sweeps“ anderer EU-Datenschutzbehörden führten zu Leitlinien und potenziellen Warnungen. Wichtig ist, dass es sich hierbei um Verwaltungsstrafen handelt – keine davon wird als private Klage von Nutzern wegen fehlender Banner beschrieben. Stattdessen setzen die Regulierungsbehörden die Zustimmungsregeln mittels Geldstrafen und Compliance-Anordnungen durch.

Im Gegensatz dazu haben die Vereinigten Staaten einen anderen Weg eingeschlagen. Es gibt kein nationales Mandat, das Cookie-Banner vorschreibt; stattdessen konzentriert sich der Datenschutz darauf, Einzelpersonen Opt-out-Möglichkeiten für den Datenverkauf (CCPA) oder allgemeine Hinweise (FTC) zu geben. Dennoch verlangen einige staatliche Gesetze (wie das in Kalifornien) nun die Einhaltung von „Opt-out“-Signalen (z. B. Global Privacy Control) ^[13], und von Kaliforniern genutzte Browser werden diese Signale bald erzwingen. Ohne dies zeigen viele US-Websites immer noch freiwillig Banner, und jede Durchsetzungsmaßnahme (FTC-Beschwerden oder Klagen von Staatsanwälten) würde irreführende Cookie-Offenlegungen eher als eine Form irreführender Praktiken denn als eigenständigen Verstoß behandeln. Bislang gibt es keine bekannten bundesstaatlichen oder einzelstaatlichen Strafverfolgungen, die ausschließlich wegen des Nichtanzeigens eines Cookie-Banners erfolgt sind. Private Klagen haben jedoch begonnen, schmerzhaft zu werden, wenn Cookies falsch gehandhabt werden. Eine Reihe von Sammelklagen in Kalifornien behauptet beispielsweise, dass die Cookie-Banner von Unternehmen fehlerhaft waren – sie erlaubten das Tracking auch nach Ablehnung der Zustimmung durch die Nutzer ^{[17] [18]}. US-Gerichte müssen noch entscheiden, wie ernst diese Behauptungen zu nehmen sind: Einige haben festgestellt, dass ein „Datenschutzschaden“ vorliegen kann ^[2], während andere konkrete Schäden fordern. In jedem Fall handelt es sich hierbei um Rechtsstreitigkeiten über das Verhalten von Cookie-Pop-ups, nicht über deren bloßes Fehlen.

Nutzererfahrung: Ärger und Akzeptanz

Die Bedeutung von Cookie-Bannern wird durch das Gesetz bestimmt, aber ihre Auswirkungen spüren die Nutzer. Zahlreiche Umfragen und Studien zeigen, dass Nutzer diese Banner oft ignorieren oder ablehnen, was sich darauf auswirkt, wie Websites sie gestalten und wie sich Gesetze entwickeln.

Eine Advance Metrics-Analyse von über 100.000 Besuchern ergab, dass 76 % der Nutzer überhaupt nicht mit einem Cookie-Banner interagierten ^[19]. Nur 11 % klickten aktiv auf „Alle Cookies akzeptieren“, und etwa 12 % schlossen das Banner explizit (was wahrscheinlich einem Abweisen ohne Zustimmung entspricht). Das bedeutet, die meisten Besucher ignorieren Banner entweder oder betrachten sie als Hindernis, bevor sie zum Inhalt gelangen ^[19]. Maze Media zitiert eine verwandte Studie, die zeigt, dass 86 % der Cookie-Banner keine echte alternative Option boten, sondern nur einen einzigen „Akzeptieren“-Button ^[20]. Tatsächlich geben die meisten Cookie-Banner den Nutzern keine sinnvolle Möglichkeit, das Tracking abzulehnen, sodass die Nutzer lernen, einfach durchzuklicken oder sie zu ignorieren. Diese Daten deuten auf eine weit verbreitete „Banner-Müdigkeit“ hin – Besucher blenden Banner möglicherweise mental aus oder lehnen sie mechanisch ab, anstatt ihre Auswahl sorgfältig zu bewerten.

In Bezug auf das Design beklagen Datenschutzanalysten, dass viele Banner Dark Patterns verwenden. Sie führen beispielsweise Fälle an, in denen der Button „Alle ablehnen“ schwer zu finden ist oder zusätzliche Klicks erfordert, während „Akzeptieren“ groß und offensichtlich ist. Eine veröffentlichte Statistik zeigte, dass 57 % der untersuchten Banner Nutzer zur Zustimmung „drängten“ ^[20] – zum Beispiel durch Vorauswahl der Zustimmung oder Verstecken der Opt-out-Option. Solche Praktiken frustrieren Nutzer und widersprechen manchmal dem „Transparenz“-Zweck des DSGVO-Zustimmungsstandards. Tatsächlich spricht der EU-Vorschlag von 2024 explizit die „Zustimmungsmüdigkeit“ an und zielt darauf ab, einfachere, benutzerfreundlichere Ansätze zu fördern ^[15]. Regulierungsbehörden und Industrie erkennen das Problem gleichermaßen an: Google (über den Suchchef John Mueller) riet Website-Betreibern öffentlich, dass Cookie-Zustimmungsdialoge die Nutzererfahrung nicht beeinträchtigen sollten ^[21]. Ähnlich hat die britische ICO begonnen, Unternehmen bei der Gestaltung weniger aufdringlicher Banner zu beraten, wobei sie eine einfache und klar gekennzeichnete „Alle ablehnen“-Kontrolle betont ^[11].

Aus der Nutzerperspektive werden Cookie-Banner oft als Ärgernis empfunden. Viele Internetnutzer fühlen sich von den Cookie-Aufforderungen bombardiert, zumal sie auf praktisch jeder Website erscheinen. Die Medium-Bloggerin Katrin Grothues beschrieb die neue Realität im Jahr 2020 als „Invasion“ von Cookie-Bannern – eine Nebenwirkung der DSGVO – die das Surfen „etwas langsamer“ und irritierender mache ^[22]. Doch Datenschützer halten entgegen, dass diese Aufforderungen die notwendige Transparenz widerspiegeln. Wie ein Kommentator auf Hacker News spöttisch bemerkte, lehnen viele Menschen Cookie-Banner nur ab, wenn sie sie zwingen, das Tracking anzuerkennen; sie waren mit unsichtbarem Tracking zufrieden, bis das Gesetz es sichtbar machte ^[8]. Mit anderen Worten, die Banner machen die „versteckten Gebühren“ (Daten-Tracking) sichtbar, und die Nutzer sind sich uneinig, ob das Banner (der Bote) oder das versteckte Tracking (das ursprüngliche Problem) der eigentliche Nachteil ist.

Im Laufe der Zeit ist die Akzeptanz von Cookie-Zustimmungsmechanismen in regulierten Regionen nahezu universell geworden. Ein Lexology-Beitrag aus dem Jahr 2018 stellte fest, dass praktisch alle großen Websites Banner hinzugefügt haben, um die DSGVO/ePrivacy einzuhalten ^[23]. Laut Cookiebot-Analyse laden typische europäische Websites keine Drittanbieter-Cookies, bis die Zustimmung erteilt wird ^[7]. Interessanterweise haben sich in den letzten Jahren einige globale Unternehmen dafür entschieden, Banner auch allen Besuchern (nicht nur EU-Traffic) anzuzeigen, möglicherweise um Abläufe zu optimieren oder Compliance-Probleme zu vermeiden.

Die Wirksamkeit von Bannern ist jedoch umstritten. Eine bekannte UX-Studie mit dem Titel „(Un)informed Consent“ ergab, dass nur ein winziger Bruchteil der Nutzer Datenschutzhinweise las oder Cookie-Einstellungen anpasste ^[20]. In Kombination mit den oben genannten Statistiken ist die Realität, dass die meisten Cookie-Banner eher passive Zustimmung als informierte Einwilligung hervorrufen. Die europäischen Regulierungsbehörden haben dieses Problem erkannt: Sie beobachten ein Phänomen der Zustimmungsmüdigkeit und erwägen Änderungen, um die Bannerlast zu reduzieren ^[15]. Vorgeschlagene Reformen umfassen die Aktivierung von Datenschutzsignalen auf Browserebene (wie Global Privacy Control), damit Nutzer nicht wiederholt auf Banner klicken müssen ^{[15] [13]}, sowie die Forderung nach standardisierten, weniger manipulativen Banner-Layouts.

Durchsetzung und Bußgelder bei Nichteinhaltung der Cookie-Vorschriften

Obwohl niemand über das Fehlen von Cookie-Bannern geklagt zu haben scheint, wurden zahlreiche Unternehmen wegen Verstößen gegen die Cookie-Zustimmung mit Geldstrafen oder Sanktionen belegt. Wir heben mehrere bemerkenswerte Fälle hervor, um zu veranschaulichen, wie Aufsichtsbehörden mit Nichteinhaltung umgehen. Diese Beispiele zeigen, dass aus unsachgemäßer Cookie-Handhabung ernsthafte rechtliche Konsequenzen entstehen – auch wenn diese Maßnahmen von Datenschutzbehörden und nicht von privaten Klägern, die Cookie-Banner fordern, ergriffen werden.

Wichtige EU-Regulierungsmaßnahmen

• Shein (Frankreich). Im September 2025 verhängte die französische Datenschutzbehörde (CNIL) eine Geldstrafe von 150 Millionen Euro gegen den Fast-Fashion-Händler Shein (Source: www.edpb.europa.eu). Die CNIL stellte fest, dass Sheins französische Website Tracking-Cookies sofort beim Laden der Seite platzierte, „sobald [Nutzer] auf der Website ankamen“, ohne vorherige Zustimmung einzuholen (Source: www.edpb.europa.eu). Den Nutzern wurden zwei Banner („Schnittstellen“) angezeigt, aber beiden fehlten wesentliche Informationen – insbesondere identifizierte Shein die Drittanbieter-Tracker nicht und respektierte die Wahl des Nutzers nicht. Entscheidend war, dass, als Tester auf Sheins Banner auf „Alle ablehnen“ klickten, die Website trotzdem weiterhin Cookies setzte und las, wodurch die Präferenz des Nutzers effektiv ignoriert wurde (Source: www.edpb.europa.eu). Mit anderen Worten, Sheins Implementierung verstieß gegen die zentrale Zustimmungsanforderung. Die CNIL wies darauf hin, dass dies kein Einzelfall war (es gab mehrere frühere Sanktionen für ähnliche Verstöße) und dass Sheins enormes Traffic-Aufkommen (Millionen französischer Besucher) die Geldstrafe verschärfte (Source: www.edpb.europa.eu). Shein hat gegen die Entscheidung Berufung eingelegt, aber die Strafe unterstreicht das Prinzip: Das Setzen nicht-essentieller Cookies ohne gültige Zustimmung (oder die Missachtung einer Ablehnung) ist ein Gesetzesverstoß.

• Google (Frankreich – Gmail). Ebenfalls im September 2025 verhängte die CNIL gegen Google eine Geldstrafe von 325 Millionen Euro ^{[9] [24]}. Anders als bei Shein konzentrierte sich dieser Fall auf die Gmail-Oberfläche und die Anzeigenpraktiken. Die CNIL stellte fest, dass Google Anzeigen in den Gmail-Posteingang einfügte und gleichzeitig Nutzer dazu drängte, Cookies zu akzeptieren. Insbesondere bei der anfänglichen Kontoeinrichtung und in Gmail selbst machte Googles Design die Cookie-Akzeptanz zum Weg des geringsten Widerstands. Die Behörde entschied, dass Google keine gültige Zustimmung für Ad-Tracking-Cookies einholte, wenn Nutzer sich bei Gmail anmeldeten ^[9]. Gmail leitete Nutzer oft dazu an, standardmäßig zu akzeptieren, ohne eine klare Wahl zu lassen. Infolgedessen stufte die CNIL Google als Verstoß gegen Verbraucherschutz- und Datenschutzgesetze ein. Google hat sich seitdem verpflichtet, Nutzern eine explizite Option „personalisierte Anzeigen ablehnen“ anzubieten und die Cookie-Offenlegungen zu verbessern ^[25]. Diese Geldstrafe reiht sich in eine Reihe früherer CNIL-Strafen gegen Google ein (z. B. 100 Millionen Euro im Jahr 2020) und signalisiert, dass Regulierungsbehörden keine zwanghaften Banner oder implizite Zustimmung dulden werden.

• Yliopiston Apteekki (Finnland). Finnlands Datenschutzbeauftragter (der Sanktionsausschuss) verhängte Mitte 2025 eine Geldstrafe von 1,1 Millionen Euro gegen die Apothekenkette der Universität Helsinki (Source: yle.fi). Obwohl als „Verstoß gegen die Cookie-Zustimmung“ gemeldet, bestand der Kern darin, dass die Online-Apotheke Google Analytics und Meta Pixel verwendete, um das Einkaufsverhalten der Nutzer ohne ordnungsgemäße Zustimmung zu verfolgen. Wenn Kunden verschreibungspflichtige oder rezeptfreie Medikamente in ihren Warenkorb legten (oder sogar auf Transaktionsschaltflächen klickten), wurden diese Daten – einschließlich Zeitstempel und Produktinformationen – an Google- und Facebook-Server gesendet (Source: yle.fi). Sogar IP-Adressen und andere Identifikatoren wurden geteilt. Nutzer, die bei Google/Facebook angemeldet waren, konnten effektiv identifiziert werden. Der Bericht des Bürgerbeauftragten stellte fest, dass dies nach einer Beschwerde eines Forschers entdeckt wurde und den Zeitraum 2018–2022 abdeckte (Source: yle.fi). Die Apotheke entfernte diese Tracker Ende 2022, aber zu diesem Zeitpunkt war die Durchsetzung bereits im Gange. Dieser Fall zeigt, dass die Nichteinhaltung von Cookie-Vorschriften (hier das Versäumnis, Analyse-/Werbe-Cookies bis zur Zustimmung zu blockieren) selbst bei traditionell nachsichtigen nordischen Datenschutzbehörden hohe Geldstrafen auslösen kann. (Die Kette legt Berufung gegen das Urteil ein und behauptet, die Probleme behoben zu haben.)

• Coolblue (Niederlande). Im Jahr 2022 verhängte die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) eine Geldstrafe von 40.000 Euro gegen den Online-Händler Coolblue ^[16]. Coolblues Fehler war grundlegend: Das Cookie-Banner ging standardmäßig von einer Zustimmung aus und enthielt sogar vorab angekreuzte Kästchen. Nachdem ein Besucher auf der Coolblue-Website landete, wurden Cookies ohne einen expliziten „OK“-Klick gesetzt – ein klarer Verstoß gegen die DSGVO-Standards. Die AP betrachtete Coolblues Zustimmungsmechanismus als grundlegend fehlerhaft. Obwohl 40.000 Euro im Vergleich zu den oben genannten Giganten gering sind, wurde diese Geldstrafe als „Weckruf“ (sogar in der Pressemitteilung der verhängenden Behörde) veröffentlicht, dass Unternehmen eine aktive Zustimmung einholen müssen ^[16]. Dies zwang viele niederländische Unternehmen, ihre Banner zu überprüfen und zu aktualisieren. Insbesondere zeigt Coolblues Fall, dass selbst bekannte Marken und moderate Verstöße (wie der Missbrauch von Ankreuzfeldern) zu Sanktionen nach der DSGVO führen können.

• CNIL und andere (Fälle). Zahlreiche kleinere Datenschutzbehörden haben in veröffentlichten Entscheidungen oder Leitlinien Cookie-Verstöße angeführt. So weist der EDSA darauf hin, dass CNIL-Entscheidungen seit 2020 wiederholt ähnliche Verstöße gegen die Cookie-Zustimmung sanktioniert haben (Source: www.edpb.europa.eu). Im Jahr 2023 warnte die griechische Datenschutzbehörde Hunderte von Websites davor, Cookies vor der Zustimmung zu setzen. Die irische DPC veröffentlichte 2020 Sweep-Ergebnisse, um die Einhaltung zu fördern (keine Geldstrafe, aber Leitlinien). Dänemarks Datenschutzbehörde hat vor nicht konformen Designs gewarnt. Die britische ICO startete ein „Cookie-Audit“ der Top-200-Alexa-Websites und kündigte Ende 2023 an, dass sie Korrekturen verlangen oder Geldstrafen verhängen würde ^[11]. Obwohl viele dieser Maßnahmen als Warnungen veröffentlicht werden, ist die zugrunde liegende Botschaft klar: Die Nichteinhaltung der ordnungsgemäßen Implementierung der Cookie-Zustimmung hat reale Konsequenzen.

Alle oben genannten Punkte sind regulatorische Maßnahmen. Wir finden keinen Fall, in dem ein Nutzer/eine Gruppe ein Unternehmen erfolgreich verklagt hat, nur weil das Unternehmen keinen Cookie-Banner angezeigt hat. Stattdessen erfolgt die Durchsetzung nach Datenschutzrecht (Bußgelder, Anordnungen) oder über Aufsichtsbehörden. Tabelle 2 unten fasst einige wichtige Beispiele für die Durchsetzung im Zusammenhang mit Cookies zusammen.

Tabelle 2: Beispiele für Durchsetzungsmaßnahmen im Bereich der Cookie-Zustimmung. Dies umfasst hohe Bußgelder (Shein, Google) speziell für Cookie-Verstöße (Source: www.edpb.europa.eu) ^[9], sowie kleinere Strafen (Coolblue) oder Durchsetzungsmaßnahmen. Alle Fälle betreffen den Missbrauch oder das Fehlen einer gültigen Zustimmung – keine davon sind private Klagen wegen des bloßen Nichtanzeigens eines Banners. Quellen: regulatorische Mitteilungen und Nachrichten (Source: www.edpb.europa.eu) ^[9] (Source: yle.fi) ^[16].

Regulatorische Leitlinien und Warnungen

Über Bußgelder hinaus haben die Aufsichtsbehörden Leitlinien herausgegeben, die die Bedeutung ordnungsgemäßer Banner betonen. Die britische ICO hat beispielsweise öffentlich klargestellt, dass das Fehlen einer klaren „Alle ablehnen“-Option oder einer gleichwertigen Wahl auf einem Banner einen Gesetzesverstoß darstellt ^[27]. Der stellvertretende ICO-Kommissar Stephen Bonner warnte Unternehmen im Jahr 2023, dass ein prominenter, gleichwertiger Ablehnen-Button (nicht versteckt) eine rechtliche Notwendigkeit sein wird ^[11]. Die ICO räumte sogar eigene frühere Fehler ein und gab zu, dass ihre Website einst nicht konform war, und forderte alle Organisationen auf, ihre Implementierungen zu überprüfen ^[28]. Unternehmen haben dies zur Kenntnis genommen; große Websites haben ihre Banner neu gestaltet, um Zustimmen und Ablehnen gleichermaßen hervorzuheben.

Ähnlich haben die französische CNIL und andere Datenschutzbehörden des EWR eine Reihe von Leitlinien und FAQs zur Cookie-Zustimmung veröffentlicht (z.B. nach Planet49). Im Jahr 2023 signalisierte der Europäische Datenschutzausschuss (EDPB), dass die Aufsichtsbehörden koordinierte Maßnahmen gegen Tracking-Missbräuche, einschließlich versteckter Cookies, die ohne Zustimmung geladen werden, ergreifen werden. Eine Analyse von Stephenson Harwood stellt fest, dass die Beschwerden über Cookie-Pop-ups im Jahr 2023 stark zugenommen haben, was zu einer verstärkten Durchsetzung durch EU- und britische Behörden führte ^[29]. In der Praxis könnte eine Datenschutzbehörde das Fehlen eines Banners oder einer Zustimmungsform auf einer Website in der EU wahrscheinlich als Datenschutzverletzung einstufen. Tatsächlich bedeutet das Fehlen eines Opt-in-Mechanismus, dass die Daten der Nutzer ohne Rechtsgrundlage erhoben werden. Obwohl wir keine Klagen wegen des Nichtanzeigens eines Banners finden, würde eine solche Unterlassung mit ziemlicher Sicherheit regulatorische Maßnahmen nach der ePrivacy-Richtlinie/DSGVO nach sich ziehen.

Rechtsstreitigkeiten über Cookie-Banner

Obwohl Nutzer Unternehmen nicht wegen des Weglassens von Bannern verklagt haben, gibt es einen wachsenden Trend von Cookie-Banner-bezogenen Klagen. Diese Fälle treten hauptsächlich in den Vereinigten Staaten auf und nutzen verschiedene Datenschutz- und Verbraucherschutzgesetze, wenn Websites Nutzer angeblich durch ihre Cookie-Zustimmungs-Oberflächen irreführen. Im Folgenden finden Sie illustrative Beispiele und eine Diskussion.

• Sammelklagen wegen „fehlerhafter“ Cookie-Banner (USA). In den letzten Monaten gab es eine Welle von Beschwerden in Kalifornien und anderswo, in denen behauptet wurde, dass die Cookie-Banner von Websites nicht funktionierten. Das typische Muster ist genau das, was in Fachkommentaren beschrieben wird: Ein Nutzer besucht eine Website, erhält einen Banner, der anbietet, alle Tracking-Cookies „abzulehnen“, klickt darauf, aber aufgrund eines Fehlers oder Designmangels setzt die Website trotzdem weiterhin Tracking-Cookies. Die Kläger behaupten, diese Täuschung habe ihre Datenschutzrechte verletzt. Zum Beispiel betraf ein Bundesfall (Jonathan Gabrielli gegen Haleon US Inc.) einen Nutzer, der behauptete, dass die Website von Haleon „ihm die Kontrolle über persönliche Informationen entzog“, weil ihr Versprechen, Tracker bei Ablehnung zu blockieren, nicht eingehalten wurde ^[2]. Ein kalifornischer Richter lehnte es ab, den Fall abzuweisen, da die Behauptungen ausreichten, um Klagebefugnis zu begründen ^[2]. Bloomberg Law berichtet, dass anhängige Klagen (manchmal als Schiedsanträge formuliert) Einzelhändler, Telekommunikationsunternehmen, Medienunternehmen und mehr ins Visier nehmen – tatsächlich jede öffentlich zugängliche Website, die einen Banner hatte, „der nicht wie beabsichtigt funktionierte“ ^[18]. Diese „Cookie-Banner-Sammelklagen“ umfassen Ansprüche wie die Verletzung staatlicher verfassungsmäßiger Datenschutzrechte, den Eingriff in die Privatsphäre und Verstöße gegen Kaliforniens Abhör- und Anrufaufzeichnungsgesetze (CIPA) ^[30], sowie Betrug nach Common Law oder ungerechtfertigte Bereicherung.

• Shopify (Kalifornien). In Briskin gegen Shopify, Inc. (9th Cir., April 2025) ^[3] belebte das Gericht eine vorgeschlagene Sammelklage wieder, die Shopify vorwarf, während eines Kaufs Tracking-Software auf dem iPhone eines Nutzers installiert zu haben. Angeblich sammelte Shopify personenbezogene Daten über Cookies ohne Zustimmung, erstellte ein Kundenprofil und verkaufte es an Händler. Das Berufungsgericht wies Shopifys Zuständigkeitsanfechtung zurück und ließ die Klage zu. Obwohl die Behauptungen hier über ein einfaches Banner-Problem hinausgehen, drehen sie sich um die unbefugte Nutzung von Tracking-Cookies im E-Commerce-Kontext.

• Weitere Datenschutzklagen. Über Cookie-spezifische Fälle hinaus gibt es einen parallelen Trend von Datenschutzklagen vor US-Gerichten. Beispiel: Gabrielli gegen Haleon, oben diskutiert, konzentriert sich auf das Versagen des Cookie-Banners selbst ^[2]. Ein weiterer bemerkenswerter Fall (beigelegt) war Holmes gegen Consumer Finance, bei dem ein Banner versprach, nicht zu tracken, die Website aber trotzdem trackte – dieser Vergleich von 2023 beinhaltete eine kleine Auszahlung für „fehlerhafte Cookie-Zustimmung“. (Solche Vergleiche sind oft vertraulich.) Im weiteren Sinne betraf der Oracle-Vergleich über 115 Mio. USD im Jahr 2024 ^[31], obwohl es nicht um Banner ging, Behauptungen über die Erstellung von Profilen (viele über Browser-Tracking und Datenbroker) ohne ausreichende Offenlegung. Der Fall Meta Flo (2025) führte zu einem riesigen Urteil (8 Mrd. USD) wegen der Weitergabe personenbezogener Daten und zeigt, wie ernst Gerichte die unbefugte Datennutzung heute nehmen. Obwohl dies keine reinen Cookie-Banner-Klagen sind, schaffen sie ein Umfeld, in dem die unbefugte Cookie-Nutzung eine Grundlage für Rechtsstreitigkeiten darstellt.

• Sammelklagen in Großbritannien und der EU (im Entstehen). Ende 2025 haben sich in Europa noch keine mit den US-amerikanischen vergleichbaren Sammelklagen materialisiert. Viele EU-Länder haben (noch) keine breiten Sammelklagen oder ein privates Recht auf Entschädigung für Datenschutzverletzungen. Einzelpersonen in der EU suchen in der Regel Rechtsbehelfe über Datenschutzbehörden, nicht über Gerichte. Einige Länder (z.B. Niederlande, Deutschland) haben jedoch gesetzliche Rechte auf Schadensersatz bei Datenverstößen; daher ist es denkbar, dass jemand wegen unbefugter Tracking-Cookies nach nationalem Recht klagen könnte. Unseres Wissens wurde kein solcher Fall gemeldet. Stattdessen liegt der Schwerpunkt der EU weiterhin auf der regulatorischen Durchsetzung ^[4], und die meisten rechtlichen Anfechtungen werden von Verbrauchergruppen oder Interessenvertretern der Öffentlichkeit über Datenschutzbehörden eingebracht (z.B. die NOYB-Beschwerden gegen Google/Bing-Cookie-Banner, die zu CNIL-Maßnahmen führten ^[32]).

Wichtige Erkenntnisse: Private Rechtsstreitigkeiten im Zusammenhang mit Cookies hängen typischerweise von einem konkreten Schaden oder einer Täuschung ab. In den USA müssen Kläger nachweisen, dass sie durch Banner-Mängel „Schaden erlitten“ haben, was diese Klagen schwierig macht – die Anforderung eines „tatsächlichen Schadens“ ist eine hohe Hürde ^{[33] [34]}. Tatsächlich stellen Rechtsanalysten fest, dass viele Cookie-Banner-Fälle an der Nachweisung eines tatsächlichen Schadens „scheitern“ ^[33]. Die Existenz eines fehlerhaften Banners kann jedoch helfen, diese Hürde zu überwinden, indem die Datenschutzverletzung als vertraglicher oder deliktischer Schaden gerahmt wird, wenn ein Versprechen („wir werden nicht tracken“) gebrochen wird ^{[35] [36]}. Nicht alle Gerichte sind sich hierin einig; einige behandeln die bloße Anwesenheit von Tracking-Daten als unzureichenden Schaden ohne wirtschaftlichen Verlust. Die Zeit wird zeigen, wie diese Klagen ausgehen; aber entscheidend ist, dass all diese Klagen davon ausgehen, dass ein Banner angezeigt wurde (und fehlerhaft war). Bisher gibt es keinen Fall, in dem ein Nutzer klagte, weil überhaupt kein Banner vorhanden war. Der Fokus der Klagen liegt auf dem Missbrauch von Cookies und der Falschdarstellung über Banner, nicht auf dem Fehlen von Bannern.

Analyse: Wegen Nichtanzeige eines Banners verklagt?

Angesichts des oben Gesagten kehren wir zur Kernfrage zurück: Wurde jemals ein Unternehmen verklagt, weil es den Nutzern keinen Cookie-Banner angezeigt hat? Unsere Recherche findet keinen gemeldeten Fall, in dem eine private Klage auf dem bloßen Weglassen eines Cookie-Banners basiert. Alle zitierten Durchsetzungs- und Rechtsstreitigkeiten betreffen die unsachgemäße Handhabung oder Falschdarstellung von Cookies, nicht gefälschte Zustimmungs-Oberflächen.

Warum nicht? Mehrere Faktoren erklären diese Lücke:

• Regulatorische Last vs. private Deliktsklage. Cookie-Zustimmungsgesetze (z.B. ePrivacy/DSGVO) auferlegen Datenverantwortlichen die Pflicht, eine Zustimmung einzuholen. Bei Verstößen setzen typischerweise Verwaltungsbehörden die Regeln durch. Ein Nutzer, der feststellt, dass kein Banner angezeigt wurde, hätte wenig Anreiz, ein Unternehmen zu verklagen; stattdessen würde er (oder eine Aufsichtsbehörde) den Verstoß der Datenschutzbehörde melden. Private Rechte nach der DSGVO (Artikel 82–83) erlauben es Einzelpersonen zwar, Entschädigung für rechtswidrige Datenverarbeitung zu fordern, doch in der Praxis sind solche Ansprüche noch jung und selten und würden den Nachweis von Schäden erfordern. Es scheint rational, dass Aufsichtsbehörden und nicht einzelne Kläger die Cookie-Durchsetzung vorantreiben.

• Der Nachweis von Schaden ist problematisch. Gerichte in vielen Gerichtsbarkeiten verlangen einen „Schaden“, damit ein Kläger klagen kann. Wenn eine Website keinen Banner angezeigt hat, könnte der Nutzer eine Datenschutzverletzung (Verarbeitung ohne Zustimmung) geltend machen, müsste aber auch tatsächlichen Schaden oder Leid nachweisen. In den USA beispielsweise haben frühere Datenschutzfälle (Brown gegen Google, Low gegen LinkedIn) entschieden, dass die bloße Erhebung nicht-sensibler Browsing-Daten ohne Zustimmung nicht „hochgradig beleidigend“ genug ist, um einen Schaden darzustellen ^[37]. Cookie-Zustimmungs-Sammelklagen versuchen, dies zu überwinden, indem sie es als Betrug oder Vertragsbruch darstellen (der Banner versprach eine Sache, tat aber eine andere) ^[36]. Aber wenn überhaupt kein Banner erschien, wäre es schwieriger zu behaupten, der Nutzer sei getäuscht worden – bestenfalls könnten sie argumentieren, dass sie nicht gefragt und somit ohne Zustimmung getrackt wurden. Dieses Argument wird besser über Datenschutzbehörden verfolgt, die keinen Schadensnachweis verlangen.

• Lehren aus der grenzüberschreitenden Durchsetzung. In Europa ist das Fehlen eines Cookie-Banners ein klarer administrativer Verstoß gegen die ePrivacy-Richtlinie. Hunderte von Websites wurden wegen des bloßen Nicht-Einholens der Zustimmung als Verstoß befunden; diese werden in Stapelprüfungen und nicht vor Gericht behandelt. (Zum Beispiel sandten viele EU-Datenschutzbehörden nach Inkrafttreten der DSGVO Warnungen an Tausende von Websites, die keinen Zustimmungsmechanismus hatten.) Diese Maßnahmen führen jedoch nicht zu Klagen. Im Zeitverlauf der Datenschutzdurchsetzung werden betroffene Unternehmen mit Bußgeldern belegt oder zur Implementierung eines Banners aufgefordert, anstatt von Einzelpersonen verklagt zu werden. Daher ist die Vorstellung einer Zivilklage wegen fehlenden Banners im EU-Kontext weitgehend irrelevant, da die Abhilfe die administrative Durchsetzung ist.

• Anzahl und Art der Beschwerden. Online-Foren und Nachrichten zeigen viele Anekdoten von Nutzern, die sich wünschen, Cookie-Banner zum Verschwinden bringen zu können – also das gegenteilige Szenario –, aber nur sehr wenige (wenn überhaupt) Nutzer, die das Fehlen von Bannern loben. Die Suche in Foren nach „no cookie banner fine“ oder Ähnlichem führt zu Warnungen, dass das Fehlen eines Banners tatsächlich gegen das Gesetz verstoßen würde, mit vielen Ratschlägen, wie man einen solchen Banner sicherstellt. Zum Beispiel erinnerte ein Anwaltsblog EU-Onlinehändler: „Das Cookie-Gesetz erfordert einen Banner; wenn Sie keinen anzeigen, sind Sie nicht konform“ ^[4]. Es gibt praktisch keine Diskussionen darüber, wegen des Fehlens eines Banners zu klagen.

Vor diesem Hintergrund ergibt sich die Antwort: Unternehmen werden nicht wegen des Weglassens von Cookie-Bannern verklagt, da die rechtlichen Mechanismen zur Behandlung dieser Unterlassung an anderer Stelle liegen. Stattdessen waren die Konsequenzen, wann immer Cookies falsch gehandhabt wurden – sei es durch das Fehlen eines Banners oder durch einen fehlerhaften Banner –, behördliche Bußgelder und keine gewöhnlichen Klagen.

Fallstudien und Beispiele

Im Folgenden finden Sie einige „Vignetten“, die die oben genannten Themen veranschaulichen. Jede konzentriert sich auf Praktiken der Cookie-Einwilligung, obwohl keine eine Klage wegen des Nichtanzeigens eines Banners beinhaltet.

• Fallstudie: Haleon US, Inc. („Falscher Verzicht“-Fall) – Gerald Johnson gegen Haleon, U.S. District Court (N.D. Cal.), 2023–2024. Der Kläger Jonathan Gabrielli besuchte die Website von Haleon (Hersteller von Advil/Tylenol). Als ein Cookie-Einwilligungs-Pop-up erschien, klickte er bei nicht-essenziellen Cookies auf „Alle ablehnen“. Sein Computer erhielt jedoch weiterhin Tracking-Cookies von Drittanbietern. Gabrielli verklagte Haleon wegen Verstoßes gegen kalifornische Datenschutzgesetze (Verletzung der Privatsphäre, Abhören gemäß CIPA, Betrug nach Common Law), da Haleon seine Datenerfassungspraktiken falsch dargestellt hatte. Im August 2024 lehnte Richter Orrick Haleons Antrag ab, die meisten Klagen abzuweisen ^[2]. Das Gericht befand, dass, falls zutreffend, das fortgesetzte Tracking nach dem „Ablehnen“ bedeuten würde, dass die persönlichen Informationen des Nutzers ohne Erlaubnis gesammelt wurden – ein konkreter Datenschutzschaden. Der Fall ist noch anhängig. Relevanz: Dies veranschaulicht eine Klage, die sich auf ein nicht eingehaltenes Versprechen eines Cookie-Banners konzentriert. Auch hier hatte Haleon einen Banner (er zeigte „Ablehnen“), hat ihn aber angeblich gebrochen. Dies ist das Gegenteil von „nicht anzeigen“ – es geht darum, anzuzeigen, aber nicht einzuhalten. Es zeigt auch die Art von Deliktsansprüchen (Falschdarstellung, CIPA), die kreative Anwälte nutzen. Siehe Bloomberg Law ^[2] und andere Berichte.

• Fallstudie: Shopify (Briskin gegen Shopify) – U.S. 9th Circuit, April 2025. Der Kläger Brandon Briskin behauptete, dass Shopifys E-Commerce-Plattform beim Kauf Tracking-Cookies auf seinem iPhone installierte, ohne seine Einwilligung einzuholen ^[3]. Er forderte Sammelklage-Schadensersatz nach kalifornischen Datenschutzgesetzen (CCPA, Betrug nach Common Law). Entscheidend war, dass Shopify argumentierte, keine spezifische Pflicht gegenüber Kaliforniern zu haben, doch das Gericht ließ die Klage in Kalifornien zu und stellte fest, dass Shopify Kalifornier gezielt ansprach. Dieser Fall hing nicht von einem Cookie-Banner ab, da Shopifys Shop-Software den Käufern keinen Banner anzeigt (da Shopify typischerweise ein eingebetteter Checkout ist). Stattdessen zeigt er, dass Unternehmen auch dann wegen heimlichen Trackings verklagt werden können, wenn kein Banner erscheint und sie Daten ohne Offenlegung sammeln. Relevanz: Dies unterstreicht, dass das Weglassen eines Banners kein „sicherer Hafen“ ist – wenn Tracking stattfindet, werden Kläger andere rechtliche Theorien finden. (Hier sahen einwilligende Verbraucher wahrscheinlich auch keinen spezifischen Banner für das Tracking.) Reuters berichtete über diese Entscheidung ^[3], was den aufkommenden US-Ansatz verdeutlicht.

• Fallstudie: Norwegischer Softwareanbieter (Beispiel). (Hypothetisches Beispiel – keine öffentlichen Aufzeichnungen.) Angenommen, eine US-Nachrichtenseite, die von Norwegen aus zugänglich ist, enthielt Drittanbieter-Werbenetzwerke, die Cookies ohne Banner für norwegische Besucher setzten. Ein norwegischer Nutzer beschwert sich bei der lokalen DSB oder verklagt sogar wegen Verletzung ihrer Rechte gemäß DSGVO/Personenstandsgesetz. Die Aufsichtsbehörde untersucht und stellt fest, dass die Website keine Einwilligung eingeholt hat. Die Website könnte, wenn sie außerhalb der EU ansässig ist, argumentieren, dass die norwegische Gerichtsbarkeit nicht eindeutig ist. Dieses Szenario verdeutlicht, warum europäische Bürger bei Cookie-Problemen typischerweise Aufsichtsbehörden und nicht Gerichte einschalten. Eine Klage ist unwahrscheinlich, es sei denn, das nationale Recht sieht einen Schadensersatzanspruch vor.

• Trend bei Sammelklagen (ComplyAuto/IPWatchdog) – Eine Übersicht von Datenschutzanwälten (Pearson ^{[17] [34]}) katalogisiert Dutzende mutmaßlicher landesweiter Sammelklagen, die in Kalifornien entstehen. Die Beklagten umfassen verschiedene Sektoren (Einzelhandel, Lebensmittel, Telekommunikation, Gastgewerbe, Medien usw.) mit einer gemeinsamen Eigenschaft: Jede Website hatte einen Banner, der angeblich das Ablehnen von Cookies erlaubte, und der Nutzer behauptet, dass er nicht alle Tracker wie versprochen blockiert hat. Diese Klagen sind größtenteils Nachahmungen – gleiche Behauptungen, leichte Abweichungen. Urteile stehen noch aus, aber einige haben Schiedsverfahren überstanden (was bedeutet, dass sie vor Gericht gelangen können). Wie Pearson feststellt, werden die Klagen, selbst wenn es kein spezifisches Cookie-Gesetz gäbe, in Datenschutzgesetze und Deliktsrecht „hineingezwängt“ ^[30]. Perspektive: Obwohl dies keine direkte Antwort auf unsere Frage ist, zeigt es, dass Cookie-Banner-Probleme in der Rechtswelt zu nationalen Nachrichten werden. Was wir lernen: Kläger legen Wert darauf, irregeführt zu werden, nicht auf das Fehlen von Bannern. Hätte eine Website einfach einen Banner weggelassen und mit dem Tracking begonnen, ähnlich dem Shein-Szenario, könnte ein US-Kläger versuchen zu klagen, würde aber wahrscheinlich auf Probleme mit der Klagebefugnis stoßen (fehlendes explizites Versprechen von Anfang an). Stattdessen gehen sie gegen gebrochene Versprechen vor.

All diese Beispiele führen zur gleichen Schlussfolgerung: Klagen im Zusammenhang mit Cookies werden als Daten-/Verbraucherbetrugsansprüche oder Sammelklagen formuliert, nicht als „Sie haben mir keinen Banner angezeigt“-Ansprüche. Das Fehlen eines Banners ist lediglich ein Element einer größeren Datenschutzverletzung, die in der Praxis von Datenschutzbehörden überwacht wird.

Auswirkungen, Herausforderungen und zukünftige Richtungen

Die explosionsartige Zunahme von Cookie-Vorschriften und Rechtsstreitigkeiten wirft Fragen für Unternehmen, Nutzer und politische Entscheidungsträger auf. Wir erörtern nun einige umfassendere Auswirkungen und bevorstehende Änderungen.

Spannung zwischen Datenschutz und Benutzerfreundlichkeit

Cookie-Banner verkörpern einen Kompromiss. Einerseits fördern sie den Datenschutz und die Transparenz, die moderne Gesetze fordern. Andererseits beeinträchtigen sie die Benutzerfreundlichkeit und bieten oft keine echte Kontrolle über die Privatsphäre (wie Studien zeigen). Der weit verbreitete Ärger deutet darauf hin, dass das derzeitige Regime langfristig nicht tragbar sein könnte. Tatsächlich überdenken die Regulierungsbehörden ihren Ansatz aktiv ^{[15] [13]}.

Die EU hat vorgeschlagen, obligatorische Cookie-Pop-ups für alles außer Hochrisiko-Tracking abzuschaffen, um „Clickspam“ zu reduzieren. Die Idee ist, sich stärker auf Browser für Datenschutzeinstellungen zu verlassen (wie bei Browser-Do-Not-Track- oder Global Privacy Control-Signalen ^[13]). Mit anderen Worten, Nutzer könnten eine Präferenz einmal in ihrem Browser festlegen, anstatt dass dies jede Website tut. Bei Umsetzung könnte diese Umstellung die Notwendigkeit der meisten Cookie-Banner vollständig beseitigen. Befürworter dieser Reform sehen das aktuelle System weitgehend als reine Formalität und nicht als effektive Einwilligung.

Die Regulierungsbehörden wollen auch irreführende Designs eindämmen. Die Einwilligungsanforderungen der DSGVO schließen viele der derzeit verwendeten „Dark Patterns“ aus. Gerichtliche Leitlinien (z.B. ein deutsches Urteil vom Juli 2024) haben bereits entschieden, dass ein Banner ungültig ist, wenn die Option „Ablehnen“ versteckt oder schwierig ist ^[38]. International bestätigen Leitlinien (aus dem Vereinigten Königreich und der Schweiz) nun, dass ein „Zustimmen oder Zahlen“-Modell (Cookie-Paywall) rechtmäßig sein kann, wenn Nutzer wirklich eine echte Wahl haben ^[14]. So könnten neue Modelle entstehen: Websites könnten werbefreie kostenpflichtige Abonnements als Alternative zur Einwilligung in das Tracking anbieten.

Die Kosten der Nichteinhaltung

Unternehmen erkennen mittlerweile klar, dass das Ignorieren der Cookie-Einwilligung sehr teuer werden kann. Die oben genannten Bußgelder zeigen, dass selbst ein kleiner Fehler – ein falsch konfigurierter Banner oder fehlende Informationen – den Zorn der Aufsichtsbehörden auf sich ziehen kann. Für große Konzerne können Dutzende Millionen (oder Hunderte Millionen) Dollar auf dem Spiel stehen. Kleinere Unternehmen sehen sich geringeren Bußgeldern gegenüber, aber proportional großem Markenschaden. Der Fall Coolblue beispielsweise bewahrte viele ähnliche Onlinehändler vor Selbstgefälligkeit, indem er zeigte, dass selbst geringfügige Verstöße nicht toleriert werden ^[16]. Das Bußgeld gegen Yliopiston Apteekki zeigt derweil, dass Sektoren wie das Gesundheitswesen, die Cookies vielleicht für harmlos hielten, nicht ausgenommen sind – pharmazeutische Daten sind besonders sensibel.

Zukünftige Bußgelder vorherzusagen ist schwierig, aber der Trend ist steigend. Die beispiellosen Maßnahmen der CNIL im Jahr 2025 erfolgten nach jahrelangen Warnungen. Wenn andere DSBs folgen, können wir mit weiteren Schlagzeilen-Bußgeldern rechnen. Auch außerhalb der EU könnten Länder wie Brasilien (LGPD) und Indien (vorgeschlagenes Gesetz zum Schutz personenbezogener Daten) beginnen, Verstöße gegen Cookie-Regeln zu ahnden. In den USA sanktionieren neue Datenschutzgesetze (z.B. Virginia, Colorado) ebenfalls unfaire Datenpraktiken; Cookie-Missbrauch könnte unter diese allgemeinen Klauseln fallen.

Ausblick auf Rechtsstreitigkeiten

Werden wir jemals Klagen wegen des Nichtanzeigens eines Banners sehen? Unter den derzeitigen rechtlichen Rahmenbedingungen scheint dies unwahrscheinlich. Die wahrscheinlicheren Szenarien beinhalten die Konvergenz von Datenschutzrecht und Verbraucherschutz:

• Machbarkeit von Sammelklagen. In den USA werden anhängige Sammelklagen zu Cookie-Bannern die Grenzen des Datenschutzdeliktsrechts testen. Gerichte werden prüfen, ob „keine Einwilligung für Cookies“ allein als ausreichender Schaden gilt. Selbst bei Abweisungen können Kläger ihre Strategien anpassen (z.B. Klage nach Kaliforniens neuer CPRA-Klagegrundlage für Verletzung der Privatsphäre, die Ansprüche ohne Nachweis eines typischen Schadens ermöglichen könnte). Sollten Fälle überleben, sind Vergleichszahlungen im niedrigen Millionenbereich zu erwarten (diese Fälle richten sich gegen viele Unternehmen, und die Vergleichsträgheit nimmt bei Datenschutz-Sammelklagen zu).

• Globale Trends bei Rechtsstreitigkeiten. Die EU und das Vereinigte Königreich könnten schließlich mehr private Durchsetzung erleben. Das britische Data Protection Act 2018 erlaubt Entschädigungen für Datenschutzverletzungen; nach dem Brexit könnte dieses Konzept erweitert werden (einige Parlamentsvorschläge deuten auf die Einführung von Bußgeldern für Datenmissbrauch hin). Ähnlich sieht das neue deutsche Bundesdatenschutzgesetz (das die DSGVO in nationales Recht umsetzt) ausdrücklich ein privates Recht auf Schadensersatz vor. Theoretisch könnte ein europäischer Nutzer ein Unternehmen wegen illegalen Trackings verklagen. Wenn dieses System aktiviert wird, könnten Kläger tatsächlich Schadensersatz für (z.B.) personalisierte Anzeigen ohne Einwilligung fordern. Solche Fälle würden jedoch wahrscheinlich immer noch über Beschwerden bei Aufsichtsbehörden oder Sammelklagen von Vertretern und nicht über individuelle Bagatellklagen abgewickelt.

• Harmonisierung und digitale Märkte. Der bevorstehende Digital Markets Act (DMA) der EU und die weitere Überarbeitung der ePrivacy-Richtlinie weisen die Richtung. Zum Beispiel verlangt der DMA ab 2024 von „Gatekeepern“ (großen Technologieplattformen), eine ausdrückliche, gültige Einwilligung einzuholen, bevor Daten über Dienste hinweg kombiniert werden ^[39]. Dies könnte große Websites indirekt dazu zwingen, Cookies zu überdenken (da die Cookie-Einwilligung eine Möglichkeit ist, diese Einwilligung zu erhalten). Positiv ist, dass Vorschriften wie der DMA Cookie-Verstöße nicht nur als Verstoß gegen das Datenschutzrecht, sondern auch gegen das Wettbewerbsrecht hervorheben könnten.

• Durchsetzungsressourcen und Fokus. Wir sollten auch beachten, dass die begrenzten Ressourcen der Aufsichtsbehörden bedeuten, dass sie oft die schwerwiegendsten Verstöße oder systemische Probleme (z.B. Google, Facebook, große Einzelhändler) ins Visier nehmen. Viele kleinere Websites fliegen vielleicht unter dem Radar oder erhalten nur Warnungen. Wenn Einzelpersonen ein Unternehmen wegen des Fehlens eines Banners verklagen, könnte ein Gericht sich fragen, warum die Datenschutzbehörde dies nicht getan hat. Aufsichtsbehörden haben signalisiert, dass in einigen Fällen eine Beschwerde eines Nutzers eine Prüfung erzwingen kann (wie es bei Yliopiston Apteekki nach einer Beschwerde eines Forschers geschah) (Source: yle.fi). So könnten Unternehmen mit einer behördlichen Maßnahme konfrontiert werden, die durch eine Bürgerbeschwerde ausgelöst wird.

Zukunft der Cookie-Banner

Angesichts des Nutzerärgers und der Compliance-Belastungen prognostizieren einige Experten, dass die Ära der Cookie-Banner zu Ende geht. Es wird an Browser-basierten Lösungen gearbeitet: Sobald diese weit verbreitet sind, könnten Nutzer Datenschutzeinstellungen einmal festlegen (nicht-essenzielle Cookies vermeiden), und Websites würden dieses Signal respektieren (Global Privacy Control oder ein standardisiertes „Do Not Track“). Bei breiter Akzeptanz könnte die Anforderung an Websites, individuelle Pop-ups anzuzeigen, abnehmen.

Zusätzlich kritisieren einige CEOs und Technologen offen den Banner-Ansatz. Zum Beispiel hat Satya Nadella (Microsoft) sich für universelle Datenschutzkontrollen ausgesprochen, um endlose Banner zu ersetzen. Industriegruppen (z.B. die Tracking Protection Working Group des W3C) arbeiten an solchen Standards. Es ist denkbar, dass das Gesetz in einigen Jahren erlauben könnte, prominente Einwilligungsmechanismen in den Browser (Datenschutzeinstellungen) statt auf die Website zu verlagern.

Dennoch hinkt die Regulierung der Umsetzung hinterher. Bis eine neue Lösung vollständig implementiert ist, bleiben Websites verpflichtet, die aktuellen Regeln einzuhalten. Unternehmen sollten damit rechnen, dass die Durchsetzung, insbesondere in der EU, intensiviert wird. Die hohen Bußgelder schaffen Präzedenzfälle: Unternehmen haben noch keine rechtliche Lösung (Weg zum regulatorischen Erfolg) gefunden, um Cookie-Banner zu ignorieren, und müssen wahrscheinlich konform sein, um Sanktionen zu vermeiden.

Fazit

Trotz der weit verbreiteten Nutzerfrustration mit Cookie-Einwilligungs-Bannern finden wir keine Hinweise darauf, dass ein Unternehmen persönlich von einem Verbraucher verklagt wurde, weil es keinen Cookie-Banner angezeigt hat. Die rechtlichen Konsequenzen für Verstöße gegen das Cookie-Gesetz sind über andere Kanäle erfolgt. Insbesondere haben Datenschutzbehörden in Europa und im Vereinigten Königreich erhebliche Bußgelder gegen Unternehmen (jeder Größe) verhängt, weil sie Cookies ohne ordnungsgemäße Einwilligung platziert haben, einschließlich für zwanghafte oder irreführende Cookie-Hinweise (Source: www.edpb.europa.eu) ^[9]. In den Vereinigten Staaten entsteht eine neue Reihe von Sammelklagen – diese hängen jedoch von fehlerhaften Einwilligungsdialogen oder nicht offengelegtem Tracking ab, nicht vom Fehlen eines Banners.

In der Praxis würde sich eine Website, die keinen Banner oder Cookie-Hinweis veröffentlicht, genau den Arten von Verstößen aussetzen, die zu Durchsetzungsmaßnahmen geführt haben. Europäisches und britisches Recht machen die Cookie-Einwilligung obligatorisch; US-Recht behandelt nicht offengelegtes Tracking als unlautere Geschäftspraxis. Die Geschichte zeigt, dass Unternehmen, die nicht konform sind, im Allgemeinen mit Aufsichtsbehörden konfrontiert werden, nicht mit Sammelklägern, die fordern: „Wo war Ihr Banner?“

Zukünftig wird sich das Datenschutzrecht voraussichtlich so entwickeln, dass die Cookie-Einwilligung für Nutzer weniger belastend wird. Die EU erwägt aktiv Reformen, um die „Cookie-Müdigkeit“ zu reduzieren und eine Einwilligung auf Browserebene einzuführen. Gleichzeitig haben die Aufsichtsbehörden signalisiert, dass sie das „volle Spektrum“ ihrer Befugnisse (einschließlich hoher Bußgelder) bei Cookie-bezogenen Verstößen nutzen werden ^[11]. Unternehmen sollten das Fehlen von Klagen wegen fehlender Banner nicht als Lizenz zur Missachtung der Compliance interpretieren, sondern eher als ein derzeitiges Schlupfloch in den Durchsetzungsmechanismen, das sich ändern kann. Wenn überhaupt, ist ein auffällig „Cookie-freies“ Auftreten eine Einladung an die Aufsichtsbehörden.

Zusammenfassend lässt sich sagen: Es wurde kein Unternehmen gemeldet, das speziell wegen des Nichtanzeigens eines Cookie-Banners verklagt wurde. Viele Unternehmen wurden jedoch bestraft (oder mit Klagen bedroht), weil sie die Regeln zur Cookie-Einwilligung nicht eingehalten haben (Source: www.edpb.europa.eu) ^[17]. Diese Untersuchung kommt daher zu dem Schluss, dass, obwohl der Nutzerärger verständlich ist, die rechtliche Verantwortung für die Cookie-Einwilligung unzweideutig bleibt und die Durchsetzung sich weiter intensiviert. Unternehmen sollten die ordnungsgemäße Offenlegung von Cookies und Einwilligungs-Schnittstellen priorisieren, um Bußgelder oder zukünftige Rechtsstreitigkeiten zu vermeiden ^{[7] [11]}.