Das Verständnis der Cookie-Gesetzgebung und die Implementierung effektiver Lösungen für die Verwaltung von Einwilligungen sind für jede Website von entscheidender Bedeutung geworden. Dieser Leitfaden befasst sich mit den Unterschieden zwischen den europäischen und den US-amerikanischen Vorschriften, analysiert die Funktionsweise des Google-Zustimmungsmodus und vergleicht die wichtigsten Lösungen für das Zustimmungsmanagement.

‍

Cookie-Gesetz und Zustimmungsmanagement: Aktualisierungen 2025

Das Verständnis der Cookie-Gesetzgebung und die Implementierung effektiver Lösungen für die Verwaltung von Einwilligungen sind für jede Website von entscheidender Bedeutung geworden. Dieser Leitfaden befasst sich mit den Unterschieden zwischen den europäischen und den US-amerikanischen Vorschriften, analysiert die Funktionsweise des Google-Zustimmungsmodus und vergleicht die wichtigsten Lösungen für das Zustimmungsmanagement mit den neuesten Updates bis 2025.

‍

Europäische Gesetzgebung: GDPR und ePrivacy-Richtlinie

In Europa werden der Schutz personenbezogener Daten und der Online-Datenschutz hauptsächlich durch zwei Rechtsvorschriften geregelt:

Die GDPR (Allgemeine Datenschutzverordnung)

Die DSGVO, die 2018 in Kraft tritt, stellt strenge Anforderungen an die Verarbeitung personenbezogener Daten und legt grundlegende Prinzipien fest:

• Rechtmäßigkeit und Transparenz: Jede Verarbeitung muss eine gültige Rechtsgrundlage haben
• Datenminimierung: Erfassung nur der notwendigen Daten
• Sicherheit: Gewährleistung angemessener Schutzmaßnahmen

Für die Erhebung und Verarbeitung personenbezogener Daten (einschließlich Online-Kennungen wie Cookies) ist eine gültige Rechtsgrundlage wie Ihre ausdrückliche Zustimmung, ein berechtigtes Interesse oder eine vertragliche Verpflichtung erforderlich.

‍

Verstöße gegen die Datenschutz-Grundverordnung können sehr hohe Strafen nach sich ziehen, die bis zu 4 % des weltweiten Umsatzes eines Unternehmens betragen können.

Die Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy)

Die Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG, geändert 2009) befasst sich speziell mit dem Datenschutz in der elektronischen Kommunikation, einschließlich der Verwendung von Cookies und Tracking-Technologien.

Artikel 5 Absatz 3 der Richtlinie besagt, dass die vorherige Zustimmung des Nutzers eingeholt werden muss, bevor Informationen auf seinem Gerät gespeichert oder abgerufen werden, vorbehaltlich von Ausnahmen (z. B. unbedingt erforderliche technische Cookies).

In der Praxis bedeutet dies, dass die europäischen Websites:

• den Nutzer eindeutig über den Zweck von Cookies zu informieren
• Einholung einer freien, spezifischen und informierten Zustimmung vor dem Setzen nicht wesentlicher Cookies
• Der Nutzer kann die Präferenzen jederzeit ablehnen und ändern.

Die europäischen Datenschutzbehörden haben Verstöße aktiv geahndet: So hat die französische CNIL zwischen 2020 und 2022 Geldstrafen gegen Google und Amazon verhängt, weil diese ohne gültige Zustimmung Tracking-Cookies hinterlegt haben.

‍

Aktualisierungen 2025

Im März 2024 trat das EU-Gesetz über digitale Märkte (DMA) in Kraft, das die Zustimmungsanforderungen für große Technologieplattformen weiter verschärft und sich erheblich auf das Cookie- und Tracking-Management auswirkt. Dies hat Unternehmen wie Google dazu veranlasst, ihre Lösungen für das Einwilligungsmanagement zu aktualisieren.

‍

Im Februar 2025 hat die EU-Kommission ihren Vorschlag für eine neue Datenschutzverordnung für elektronische Kommunikation offiziell zurückgezogen, so dass die bestehende Richtlinie weiterhin in Kraft bleibt. Dies bedeutet, dass die Zustimmungsanforderungen für Cookies unverändert bleiben, weiterhin verbindlich sind und europaweit streng durchgesetzt werden.

‍

Der Europäische Gerichtshof fällte im März 2024 ein bedeutendes Urteil in der Rechtssache IAB TCF, das wichtige Auswirkungen auf die Umsetzung des Rahmens für Transparenz und Zustimmung hat, die die Unternehmen noch nicht verarbeitet haben.

‍

US-Vorschriften: CCPA, CPRA und Entwicklungen in den Bundesstaaten

Anders als in der EU gibt es in den USA kein allgemeines Bundesgesetz zum Datenschutz, das mit der DSGVO vergleichbar wäre. Die Regulierung erfolgt auf bundesstaatlicher und sektoraler Ebene, wobei es in den letzten Jahren erhebliche Entwicklungen gegeben hat.

CCPA (California Consumer Privacy Act) und CPRA (California Privacy Rights Act)

Das 2020 in Kraft getretene CCPA wurde durch das CPRA (in Kraft seit 2023) verstärkt, wodurch es dem europäischen Modell noch näher kommt.

Die CPRA hat:

• Einführung des Konzepts der "gemeinsamen Nutzung" von Daten zusätzlich zum "Verkauf".
• den Verbrauchern das Recht einzuräumen, sich auch gegen die Weitergabe ihrer personenbezogenen Daten für kontextübergreifende Werbezwecke zu entscheiden
• Definition einer Kategorie sensibler personenbezogener Daten mit einem speziellen Recht zur Einschränkung ihrer Verwendung
• Ausweitung bestehender Rechte und Schaffung einer eigenen Behörde, der California Privacy Protection Agency (CPPA)

Aktualisierungen 2025

Zwischen 2023 und 2025 hat sich die Datenschutzlandschaft in den Vereinigten Staaten rasant entwickelt:

Ab Januar 2025 verfügen bereits 20 US-Bundesstaaten über umfassende Datenschutzgesetze, und acht neue Gesetze werden 2025 in Kraft treten. Dies bedeutet, dass etwa 40 Prozent der US-Verbraucher jetzt Rechte auf digitalen Datenschutz haben. Die Fragmentierung der Rechtsvorschriften stellt jedoch eine große Herausforderung für Unternehmen dar, die sich zwischen oft ähnlichen, aber nicht identischen Anforderungen zurechtfinden müssen.

‍

Kalifornien bleibt an vorderster Front, wobei die CPPA in den Jahren 2024-2025 besonders aktiv ist. Die Behörde verhängte mehrere erhebliche Strafen, darunter eine Geldstrafe in Höhe von 6,75 Mio. USD gegen ein Cloud-Software-Unternehmen im Jahr 2024. Außerdem hat sie neue Verordnungsvorschläge zu Cybersicherheit, Risikobewertungen und automatisierten Entscheidungstechnologien (ADMT) veröffentlicht, zu denen die Öffentlichkeit bis Juni 2025 Stellung nehmen kann.

‍

Zu den wichtigsten Entwicklungen im Bereich der Cookie-Verwaltung gehört, dass Kalifornien die Definition von "sensiblen personenbezogenen Daten" um "neuronale Daten" (Informationen, die durch die Messung der Aktivität des Nervensystems erzeugt werden) erweitert und klargestellt hat, dass personenbezogene Daten auch digitale und abstrakte Formate umfassen, wie sie beispielsweise von künstlicher Intelligenz erzeugt werden.

‍

Delaware hat ein Datenschutzgesetz verabschiedet, das im Gegensatz zu anderen Gesetzen gemeinnützige Organisationen und akademische Einrichtungen nicht von seinem Geltungsbereich ausnimmt, wodurch sein Anwendungsbereich erheblich erweitert wird.

‍

Anders als in der EU basiert das US-Modell nach wie vor in erster Linie auf dem Opt-out und nicht auf der vorherigen Zustimmung. Eine US-Website, die EU-Nutzer bedient, muss daher für diese Nutzer ein GDPR-konformes Banner einrichten, während sie für US-Nutzer einfach einen Hinweis und einen Opt-out-Link anzeigen könnte, ohne Cookies im Voraus zu blockieren.

‍

IAB TCF: Der Transparenz- und Konsensrahmen

Das Interactive Advertising Bureau (IAB) Europe hat das Transparency & Consent Framework (TCF) als Industriestandard entwickelt, um Unternehmen bei der Verwaltung der Nutzerzustimmung in Übereinstimmung mit der Datenschutz-Grundverordnung (GDPR) und der Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie) zu unterstützen, was insbesondere im Zusammenhang mit digitaler Werbung relevant ist.

TCF-Entwicklung und Versionen

Der TCF wurde bereits mehrfach überarbeitet:

• TCF v1.1: eingeführt im April 2018
• TCF v2.0: Einführung im August 2019
• TCF v2.1: Einführung im August 2020, angeglichen an das Planet49-Urteil des EU-Gerichtshofs
• TCF v2.2: Einführung im Mai 2023, Umsetzung bis November 2023, als Reaktion auf einen mit der belgischen Datenschutzbehörde (DPA) vereinbarten Aktionsplan

TCF v2.2: Wichtigste Änderungen

Mit TCF v2.2 wurden wichtige Änderungen eingeführt:

1. Abschaffung des berechtigten Interesses als Rechtsgrundlage für die Personalisierung von Werbung und Inhalten. Für die Zwecke 3, 4, 5 und 6 (Erstellung von personalisierten Werbeprofilen, Auswahl von personalisierter Werbung, Erstellung von personalisierten Inhaltsprofilen und Auswahl von personalisierten Inhalten) ist nur noch eine ausdrückliche Einwilligung zulässig.
2. Benutzerfreundlichere Beschreibungen, die rechtliche Informationen über Zweck und Funktionalität ersetzen und die Kommunikation mit den Benutzern klarer und zugänglicher machen.
3. Standardisierung und Erweiterung der Verkäuferinformationen, einschließlich der Kategorien der erhobenen Daten, der Aufbewahrungsfristen und der Leitlinien für die Anwendung des berechtigten Interesses.
4. Strengere Anforderungen für Publisher, die bereits in der ersten Stufe des CMP die Gesamtzahl der verwendeten Anbieter und Google Ad Tech Provider offenlegen müssen.
5. Verbesserte Durchsetzungsmechanismen, mit neuen Audit-Prozessen und differenzierten Durchsetzungsverfahren.

TCF v2.3: Die neuesten Entwicklungen

Im April 2025 haben das IAB Tech Lab und das IAB Europe die technische Spezifikation TCF v2.3 zur öffentlichen Kommentierung freigegeben; die Kommentierungsfrist läuft bis zum 19. Mai 2025. Die Aktualisierung zielt darauf ab, mehr Klarheit für Anbieter in bestimmten Szenarien zu schaffen, in denen es unklar ist, ob Daten an den Nutzer weitergegeben wurden, was besonders wichtig ist, wenn ein Anbieter beabsichtigt, Daten für besondere Zwecke auf der Grundlage eines berechtigten Interesses zu verarbeiten.

Der Zeitplan für TCF v2.3 umfasst:

• Ende Mai 2025: Fertigstellung der technischen Spezifikationen
• 1. Februar 2026: Frist für alle CMPs und Anbieter zur Aktualisierung ihrer Implementierung zur Unterstützung von v2.3

Google-Zustimmungsmodus: Was er ist und wie er funktioniert

Um Websites und Werbetreibenden zu helfen, die Entscheidungen der Nutzer zu respektieren, hat Google den Zustimmungsmodus eingeführt, eine technische Lösung, die das Verhalten von Google-Tags entsprechend dem Zustimmungsstatus der Nutzer anpasst.

Google-Zustimmungsmodus V2

Im November 2023 führte Google den Zustimmungsmodus V2 ein, der bis März 2024 für Websites, die Google-Dienste nutzen und Daten von Nutzern im Europäischen Wirtschaftsraum (EWR) erfassen, verpflichtend eingeführt werden muss. Diese Aktualisierung wurde speziell entwickelt, um mit dem EU-Gesetz über digitale Märkte (DMA) übereinzustimmen.

Der Zustimmungsmodus V2 führt zwei neue Parameter zusätzlich zu den ursprünglichen ein:

• ad_storage und analytics_storage (vorhanden): Steuerung der Speicherung von Werbe- und Analyse-Cookies
• ad_user_data (neu): verwaltet die Zustimmung zur Nutzung personenbezogener Daten für Werbezwecke
• ad_personalisation (neu): verwaltet die Zustimmung zur Verwendung von Daten für personalisiertes Remarketing

Im Gegensatz zu ad_storage und analytics_storage beeinflussen diese neuen Parameter nicht das Verhalten der Tags auf der Website selbst, sondern sind zusätzliche Parameter, die an die Google-Dienste gesendet werden, um anzugeben, wie die Nutzerdaten verwendet werden können.

Methoden der Umsetzung

Google Consent Mode V2 hat zwei Implementierungsmodi:

1. Grundlegender Zustimmungsmodus: Google-Tags werden vollständig blockiert, bis der Nutzer mit dem Zustimmungsbanner interagiert. Erteilt der Nutzer keine Zustimmung, werden keine Informationen erfasst.
2. Erweiterter Zustimmungsmodus: Die Google-Tags werden geladen, bevor der Nutzer mit dem Banner interagiert. Erteilt der Nutzer keine Zustimmung, arbeiten die Tags im eingeschränkten Modus und senden "anonyme Pings" (ohne Nutzerkennungen), die Google zur statistischen Modellierung der Ergebnisse verwendet.

Es sei darauf hingewiesen, dass einige Datenschutzexperten Zweifel an der Vereinbarkeit des erweiterten Modus mit den Datenschutzbestimmungen geäußert haben, da es sich bei den "Pings" um personenbezogene Daten handeln könnte, die ohne Zustimmung verarbeitet werden.

Auswirkungen auf Marketing und Analyse

Ohne den Google-Zustimmungsmodus können Werbeplattformen keine Daten über neue Nutzer aus dem EWR erfassen, was die Möglichkeiten zur Erhebung von Publikumsdaten, zur Messung der Wirksamkeit von Kampagnen und zur Umsetzung gezielter Werbestrategien erheblich einschränkt.

‍

Mit dem Zustimmungsmodus V2 können Websites weiterhin grundlegende Analysedaten sammeln, auch wenn die Nutzer keine Zustimmung zu Cookies gegeben haben, und zwar durch fortschrittliche Modellierungstechniken, die die Zustimmungspräferenzen berücksichtigen.

‍

‍

Lösungen zur Verwaltung von Einwilligungen (CMP)

Um all diese Vorschriften einzuhalten, verwenden Websites Zustimmungsmanagement-Plattformen (CMP), die Banner und Schnittstellen bereitstellen, um die Zustimmung der Nutzer einzuholen, sowie Mechanismen zur Einhaltung dieser Entscheidungen.

Die Rolle des IAB in der GMP

Das IAB spielt eine Schlüsselrolle bei der Zertifizierung von CMPs durch den TCF-Rahmen. Eine IAB TCF v2.2 zertifizierte CMP muss:

1. klare Informationen über den Zweck der Datenverarbeitung anzeigen
2. Erfassen granularer Einwilligungen für verschiedene Zwecke
3. Benutzer können ihre Präferenzen leicht ändern
4. Sichere Speicherung von Einwilligungen (TC String)
5. Übermittlung dieser Präferenzen an alle Anbieter im standardisierten TCF-Format

In den Jahren 2023-2024 führte Google spezielle Zertifizierungsanforderungen für CMPs ein, die Google Ads in der EU und im Vereinigten Königreich unterstützen wollen. Die wichtigste Anforderung ist die aktualisierte Einhaltung der IAB TCF. Von Google zertifizierte CMPs können Google Ads-Produkte verwenden und werden in eine offizielle Liste aufgenommen.

Vergleich der wichtigsten CMP-Lösungen bis 2025

Finweet (Finsweet Cookie Consent)

Eine Lösung, die speziell auf Websites ausgerichtet ist, die mit Webflow erstellt wurden, mit vollständiger Unterstützung für IAB TCF v2.2 und Google Consent Mode v2.

Vorteile:

• Kostenfrei (Basisversion)
• Vollständige grafische Anpassung (das Banner ist direkt in den Webflow-Designer integriert)
• Codefreier Ansatz für Webflow-Benutzer

Benachteiligungen:

• Erfordert technisches Fachwissen für die ordnungsgemäße Umsetzung
• Die kostenlose Version deckt nur grundlegende GDPR-Aspekte ab
• Für erweiterte Funktionen wie den Google-Zustimmungsmodus v2 ist ein Abonnement erforderlich.

Ideal für: Entwickler oder Agenturen, die mit Webflow arbeiten und die volle Kontrolle und ein individuelles Design wünschen.

CookieYes

Eine Plug-and-Play-Lösung, die aktualisiert wurde, um IAB TCF v2.2 und Google Consent Mode v2 zu unterstützen, jetzt mit Gold-Zertifizierung als Google CMP-Partner.

Vorteile:

• Benutzerfreundlichkeit (einfach den Code kopieren/einfügen)
• Automatisches Scannen von Website-Cookies
• Regelmäßige Aktualisierungen, um die Einhaltung der Vorschriften zu gewährleisten
• Unterstützung bei der Fehlerbehebung bei der Implementierung des Google Consent Mode v2

Benachteiligungen:

• Begrenzte Anpassungsmöglichkeiten
• Wiederkehrendes Abonnementmodell
• Für anspruchsvolle Marken könnte es zu einfach sein

Ideal für: kleine Websites oder Eigentümer, die sich schnell einarbeiten wollen.

Iubenda Cookie-Lösung

Iubenda ist ein italienisches Unternehmen, das eine komplette Suite von Compliance-Tools anbietet, die vollständig aktualisiert wurden, um IAB TCF v2.2 und Google Consent Mode v2 zu unterstützen.

Vorteile:

• All-in-One-Lösung (einschließlich mehrsprachiger Generatoren für Datenschutz und Cookie-Richtlinien)
• IAB TCF v2.2 zertifiziert
• Google-Partner für den Zustimmungsmodus v2
• Führt Aufzeichnungen über Einwilligungen pro Audit
• Unterstützung für die Geolokalisierung von Nutzern und eine nach EU und USA differenzierte Verwaltung

Benachteiligungen:

• Servicegebühr (mit Jahresplänen auf der Grundlage der in Anspruch genommenen Dienste)
• Sie kann für sehr kleine Standorte überdimensioniert sein
• Für Webflow-Benutzer ist es nicht "nativ" wie Finsweet

Ideal für: Unternehmen, die eine professionelle und umfassende Lösung mit minimalem Wartungsaufwand suchen.

Cookiebot (Usercentrics CMP)

Eine der ersten populären SaaS-CMP-Lösungen, jetzt Teil der Usercentrics-Plattform.

Vorteile:

• Automatisierung der Cookie-Einhaltung
• Regelmäßiges Scannen von Trackern und Cookies, automatische Klassifizierung
• Erstellung einer aktualisierten dynamischen Cookie-Richtlinie
• Zertifiziert für TCF v2.2 und kompatibel mit Google Consent Mode v2
• Unterstützung bei der Einhaltung von Gesetzen in mehreren Ländern (EU und USA)

Benachteiligungen:

• Freemium-Geschäftsmodell mit Kosten, die mit dem Traffic wachsen
• Moderate Anpassung von Bannern
• Nicht vollständig von Grund auf zeichenbar wie bei Finsweet

Ideal für: mittelgroße Websites und Unternehmen, die die Cookie-Verwaltung an die Automatisierung delegieren möchten.

UniConsent

Eine aufstrebende CMP, die eine Komplettlösung für die Integration mit Google Consent Mode V2 und IAB TCF v2.2 bietet.

Vorteile:

• Einfache Integration mit den beiden Google Consent Modes V2 (Basic und Advanced)
• Unterstützung für die Einhaltung der IAB TCF v2.2
• Vereinfachte Konfiguration mit Google Analytics 4 (GA4)
• Intuitives Dashboard für das Zustimmungsmanagement

Benachteiligungen:

• Weniger etablierte Marke im Vergleich zu anderen Lösungen
• Verfügbarkeit einer weniger umfangreichen Dokumentation

Ideal für: Unternehmen, die eine Lösung suchen, die sich auf die Integration mit Google Consent Mode V2 konzentriert.

Lösungen für Unternehmen

Für große multinationale Organisationen gibt es Unternehmens-CMPs wie OneTrust, TrustArc, Didomi, Usercentrics, Osano, usw.

Vorteile:

• Tiefgreifende Integrationen mit Geschäftssystemen (CRM usw.)
• Erweiterte Anpassungsmöglichkeiten
• Zustimmungsmanagement über mehrere Kanäle (Web, mobile App, Connected TV)
• Formulare zur Einhaltung der Vorschriften über Cookies hinaus (Umgang mit Anfragen von Interessengruppen, Folgenabschätzungen)
• Globale Unterstützung für die Einhaltung von Vorschriften in verschiedenen Ländern

Benachteiligungen:

• Hohe Budgets
• Komplexe Umsetzung
• Sie benötigen eine spezialisierte Beratung

Ideal für: große Unternehmen mit globaler Präsenz und komplexen Anforderungen an das Konsensmanagement.

Schlussfolgerungen

Die Anpassung an die Cookie-/Datenschutzvorschriften erfordert sowohl ein rechtliches Verständnis der verschiedenen Vorschriften als auch die Umsetzung geeigneter technischer Lösungen.

‍

In Europa gilt eine strenge Regelung für die vorherige Zustimmung, während in den USA die Opt-out-Regelung mit Transparenzverpflichtung vorherrscht, auch wenn sich die Gesetze der einzelnen Bundesstaaten allmählich zu strengeren Standards entwickeln und sich dem europäischen Modell annähern.

‍

Tools wie Google Consent Mode V2 und IAB TCF v2.2/v2.3 helfen, die Kluft zwischen Marketing und Datenschutz zu überbrücken, indem sie Websites die Nutzung von Analyse- und Werbediensten unter Einhaltung der Cookie-Gesetze ermöglichen.

‍

Die Wahl der Plattform für das Einwilligungsmanagement hängt von Faktoren wie der Größe der Website, den verfügbaren technischen Ressourcen, dem Budget und dem Bedarf an multinationaler Compliance ab. Wichtig ist, dass die Nutzer echte Kontrolle über ihre Daten haben und die Website transparent und im Einklang mit den geltenden Gesetzen betrieben werden kann.

‍

Unternehmen, die sowohl in Europa als auch in den USA tätig sind, müssen sich weiterhin in einer komplexen und sich entwickelnden Regulierungslandschaft zurechtfinden und ihre Lösungen für das Einwilligungsmanagement an die verschiedenen Rechtsordnungen anpassen.

‍

FAQ zu Cookie-Gesetzgebung und Zustimmungsmanagement

Was sind die Hauptunterschiede zwischen europäischen und amerikanischen Cookie-Gesetzen?

In Europa (GDPR und ePrivacy-Richtlinie) herrscht ein Opt-in-Modell vor: Die ausdrückliche Zustimmung der Nutzer muss eingeholt werden, bevor nicht wesentliche Cookies verwendet werden. Im Gegensatz dazu herrscht in den USA (CCPA/CPRA und andere bundesstaatliche Gesetze) ein Opt-out-Modell vor: Cookies können verwendet werden, bis der Nutzer ausdrücklich widerspricht, und die Unternehmen müssen eine klare Möglichkeit bieten, dem Verkauf/der Weitergabe von Daten zu widersprechen.

‍

Welche Cookies können in Europa verwendet werden, ohne dass die Zustimmung der Nutzer erforderlich ist?

Nur "unbedingt notwendige" (oder "technische") Cookies können in Europa ohne Zustimmung verwendet werden. Dazu gehören Cookies, die für den Betrieb der Website unerlässlich sind, z. B. für die Authentifizierung, für die Speicherung von Artikeln in einem E-Commerce-Warenkorb oder für die Sicherheit der Website.

‍

Was ist der Google-Zustimmungsmodus V2 und warum ist er wichtig?

Google Consent Mode V2 ist eine Schnittstelle, die Google die von den Nutzern getroffenen Entscheidungen mitteilt. Sie führt vier Zustimmungsparameter ein (ad_storage, analytics_storage, ad_user_data, ad_personalisation), die das Verhalten von Google-Tags bestimmen. Sie ist wichtig, weil sie es Websites ermöglicht, Performance-Marketing-Messungen mit der Einhaltung von Datenschutzbestimmungen in Einklang zu bringen, und ist ab März 2024 für Websites, die Google-Dienste in Europa nutzen, verbindlich vorgeschrieben.

‍

Wie wähle ich die am besten geeignete CMP-Lösung für meinen Standort aus?

Die Wahl hängt von mehreren Faktoren ab: Größe der Website und Verkehrsaufkommen, verfügbares Budget, internes technisches Know-how, Plattform, auf der die Website aufgebaut ist (z. B. Webflow, WordPress), und spezifische Compliance-Anforderungen. Es ist auch wichtig zu prüfen, ob die CMP nach IAB TCF v2.2 zertifiziert ist und den Google Consent Mode V2 unterstützt, insbesondere wenn Google-Werbedienste genutzt werden.

‍

Ist das Cookie-Banner auch für eine Website erforderlich, die keine Marketing- oder Analyse-Cookies verwendet?

In Europa, technisch gesehen, ja. Auch wenn die Website nur wesentliche Cookies verwendet, müssen die Nutzer darüber informiert werden, welche Cookies verwendet werden. In diesem Fall ist es jedoch nicht notwendig, um Zustimmung zu bitten, so dass das Banner zu einem informativen Hinweis vereinfacht werden kann, der keine Interaktion erfordert.

‍

Was sind die Strafen für die Nichteinhaltung der Cookie-Gesetzgebung?

In Europa können Verstöße gegen die DSGVO zu Strafen von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro führen, je nachdem, welcher Betrag höher ist. In Kalifornien können Verstöße gegen das CCPA/CPRA zu zivilrechtlichen Strafen von bis zu 2.500 $ pro unbeabsichtigtem Verstoß und 7.500 $ pro absichtlichem Verstoß sowie zu möglichen Verbraucherprozessen führen. Die Aufsichtsbehörden sind bei der Durchsetzung aktiver geworden und haben in den letzten Jahren mehrere erhebliche Geldstrafen verhängt.

‍

Ersetzt Google Consent Mode V2 die Notwendigkeit eines Cookie-Banners?

Nein, Google Consent Mode V2 ersetzt das Banner-Cookie nicht, sondern arbeitet mit ihm zusammen. Es ist nach wie vor ein System erforderlich, um die Zustimmung der Nutzer einzuholen (CMP), das dann die Präferenzen an Google Consent Mode übermittelt, um das Verhalten der Tags zu regeln.

‍

Wie verwaltet man Einwilligungen für eine Website, die sowohl Nutzer in Europa als auch in den USA hat?

Die beste Lösung besteht darin, ein System zu implementieren, das den geografischen Standort des Nutzers erkennt und die entsprechende Schnittstelle anzeigt: ein Opt-in-Banner für europäische Nutzer und ein Opt-out-Hinweis für US-Nutzer. Die fortschrittlichsten CMPs bieten diese Geotargeting-Funktionalität.

‍

Was ist die TCF des IAB und warum ist sie wichtig?

Das IAB Transparency & Consent Framework (TCF) ist ein Industriestandard, der Unternehmen bei der Verwaltung von Nutzerzustimmungen im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und der Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie) unterstützt, insbesondere im Zusammenhang mit digitaler Werbung. Es bietet einen standardisierten Mechanismus für die Erfassung, Speicherung und Weitergabe von Nutzerzustimmungen zwischen Publishern, Werbetreibenden und Werbetechnologieanbietern. Die neueste Version, TCF v2.2, soll die Transparenz und Verantwortlichkeit verbessern und wurde als Reaktion auf die Vorgaben der Datenschutzbehörden entwickelt.

‍

Was sind die wichtigsten neuen Funktionen von TCF v2.3?

TCF v2.3, das sich derzeit bis Mai 2025 in der öffentlichen Konsultation befindet, zielt darauf ab, mehr Klarheit für Verkäufer in spezifischen Szenarien zu schaffen, in denen es unklar ist, ob Daten an den Nutzer weitergegeben wurden. Diese Unterscheidung ist besonders wichtig, wenn ein Verkäufer beabsichtigt, Daten zu besonderen Zwecken auf der Grundlage eines berechtigten Interesses zu verarbeiten. Die technischen Spezifikationen werden voraussichtlich bis Ende Mai 2025 fertiggestellt und sollen bis zum 1. Februar 2026 umgesetzt werden.

‍

Quellen

1. IAB Europa (2025). TCF v2.3 ist offen für öffentliche Kommentare". IAB Tech Lab. https://iabtechlab.com/tcf-v2-3-is-open-for-public-comment/
2. IAB Europa (2025). "TCF 2.2 startet! All You Need To Know". https://iabeurope.eu/tcf-2-2-launches-all-you-need-to-know/
3. IAB Europa (2025). "TCF Supporting Resources". https://iabeurope.eu/tcf-supporting-resources/
4. Google (2025). Aktualisierungen des Zustimmungsmodus für Datenverkehr im Europäischen Wirtschaftsraum (EWR)". Google Tag Manager-Hilfe. https://support.google.com/tagmanager/answer/13695607
5. Termly (2025). "Was ist Google Consent Mode v2?" . https://termly.io/resources/articles/what-is-google-consent-mode-v2/.
6. Cookieyes (2024). "Was ist Google Consent Mode V2? How to Implement It?" . https://www.cookieyes.com/blog/google-consent-mode-v2/.
7. CookieFirst (2024). "Google Consent Mode V2 erklärt". https://cookiefirst.com/google-consent-mode-v2-released/
8. Bloomberg Law (2025). "Which States Have Consumer Data Privacy Laws?" . https://pro.bloomberglaw.com/insights/privacy/state-privacy-legislation-tracker/.
9. IAPP (2025). "US State Privacy Legislation Tracker". https://iapp.org/resources/article/us-state-privacy-legislation-tracker/
10. Kalifornische Behörde für Datenschutz (2025). "Vorgeschlagene Verordnungen über CCPA-Aktualisierungen, Cybersicherheitsprüfungen, Risikobewertungen, automatisierte Entscheidungsfindungstechnologie (ADMT) und Versicherungsunternehmen". https://cppa.ca.gov/regulations/ccpa_updates.html
11. White & Case LLP (2025). "Datenschutz-Update". https://www.whitecase.com/insight-alert/data-privacy-update-2025
12. Kalifornische Juristenvereinigung (2025). "State Privacy Law in 2025-What to Expect". https://calawyers.org/privacy-law/state-privacy-law-in-2025-what-to-expect/