TL;DR — Eine Cookie-Wall ist ein Mechanismus, der den Zugang zu einer Website von der Akzeptanz von Cookies abhängig macht. Die CNIL und der Europäische Datenschutzausschuss (EDSA) haben bestätigt, dass Cookie-Walls ohne echte Alternative nach DSGVO rechtswidrig sind: Die so eingeholte Einwilligung ist nicht freiwillig. Eine kostenpflichtige Alternative kann eine Cookie-Wall unter strengen Bedingungen rechtmäßig machen, dieses Modell wird aber von den Behörden genau beobachtet.
Cookie-Walls sind für Publisher verständlich verlockend: Besuchende zur Annahme von Cookies zu zwingen, statt ein hohes Ablehnungsrisiko einzugehen. Ihre Rechtmäßigkeit ist jedoch streng geregelt, und in den meisten Fällen ist eine Standard-Cookie-Wall rechtswidrig. Dieser Leitfaden erklärt, was eine Cookie-Wall ist, warum sie Probleme schafft und unter welchen (sehr begrenzten) Umständen sie eingesetzt werden kann.
Was ist eine Cookie-Wall?
Eine Cookie-Wall ist ein Mechanismus, der den Zugang zum Inhalt einer Website blockiert und eine bedingte Nachricht anzeigt: Nutzende müssen Cookies akzeptieren, um auf die Website zuzugreifen. In der häufigsten Form bietet das Banner keine Ablehnungsschaltfläche an, oder die Ablehnung führt zu einer leeren Seite oder unmöglichem Zugang.
Verschiedene Formen von Cookie-Walls
Reine Cookie-Wall: Keine Ablehnungsschaltfläche. Der einzige Weg, auf die Website zuzugreifen, ist die Annahme aller Cookies. Nicht rechtmäßig.
Cookie-Wall mit kostenpflichtiger Alternative ('Pay or Consent'): Nutzende können entweder Werbe-Cookies akzeptieren oder ein Abonnement bezahlen, um ohne Cookies auf die Website zuzugreifen. Dieses Modell ist unter sehr strengen Bedingungen rechtmäßig.
Partielle Cookie-Wall: Der Zugang zum Hauptinhalt ist gesperrt, aber einige Elemente bleiben sichtbar (Titel, Zusammenfassung). Die Rechtmäßigkeit variiert je nach Bedingungen.
Warum sind Cookie-Walls (grundsätzlich) rechtswidrig?
Die DSGVO verlangt, dass die Einwilligung freiwillig erfolgt. Eine unter Zwang eingeholte Einwilligung — insbesondere unter der Drohung, von einem Dienst ausgeschlossen zu werden — ist nicht freiwillig im Sinne der DSGVO. Dies ist die Grundlage für die Rechtswidrigkeit von Cookie-Walls.
Die Position der deutschen Datenschutzbehörden
Die deutschen Datenschutzbehörden (BfDI und Landesdatenschutzbehörden) haben bestätigt, dass die Konditionierung des Zugangs zu einem Dienst von der Annahme von Cookies dem Grundsatz der freiwilligen Einwilligung widerspricht. Der EDSA hat 2023 eine Stellungnahme zum 'Pay or Consent'-Modell veröffentlicht. Dessen Hauptschlussfolgerung: Dieses Modell kann mit der DSGVO vereinbar sein, wenn die Alternative (die kostenpflichtige Version) fair, zugänglich und echt ist — der EDSA bleibt jedoch kritisch gegenüber dem Druck, den dieses Modell auf Nutzende mit begrenztem Einkommen ausübt.
Cookie-Walls ohne Alternative sind rechtswidrig
Eine Cookie-Wall, die keinen Zugang ohne Cookie-Akzeptanz bietet, ist grundsätzlich rechtswidrig. Die Einwilligung ist nicht freiwillig, wenn die Alternative der vollständige Ausschluss vom Dienst ist. Mehrere europäische Behörden haben Bußgelder oder Verwarnungen für solche Praktiken ausgesprochen.
Das 'Pay or Consent'-Modell: Rechtmäßigkeitsbedingungen
Wenn eine Cookie-Wall mit einer kostenpflichtigen Alternative eingesetzt werden soll, sind folgende kumulative Bedingungen nach aktueller Orientierung einzuhalten.
1. Eine echte Alternative
Die kostenpflichtige Alternative muss den Zugang zum gleichen Inhalt oder Dienst ohne Analyse- oder Werbe-Cookies ermöglichen. Die Alternative darf nicht fiktiv sein (prohibitiver Preis, stark eingeschränkter Zugang, anderer Dienst).
2. Ein fairer Preis
Der Preis der cookie-freien Alternative muss angemessen sein und den realen wirtschaftlichen Wert der aufgegebenen Daten widerspiegeln. Ein 'Ohne-Cookies'-Abonnement zum gleichen Preis wie ein kostenpflichtiges Premium-Abonnement stellt nach EDSA-Ansicht eine faire Alternative dar. Ein sehr hoher Preis, um die cookie-freie Wahl zu entmutigen, würde als Verstoß gegen die Einwilligungsfreiheit betrachtet.
3. Klare Information
Nutzende müssen klar verstehen, in was sie einwilligen, wozu ihre Daten verwendet werden und was die Alternative beinhaltet oder ausschließt. Die Präsentation darf die Wahl der Cookie-Akzeptanz nicht visuell bevorzugen (keine Dark Patterns: hervorgehobene 'Akzeptieren'-Schaltfläche, 'Bezahlen'-Option schwer auffindbar).
4. Kein eingeschränkter Zugang für Ablehnende
Wenn Nutzende Cookies ablehnen und kein Abonnement abschließen, kann dies zur Blockierung von Inhalten führen. Wenn aber ein Teilzugang möglich ist (einige kostenlose Artikel, eingeschränkter Zugang), muss die Alternative diese Bedingungen klar angeben.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Häufige Fehler
Die Ablehnungsschaltfläche aus dem Banner entfernen. Auch mit einer Cookie-Wall verlangt die DSGVO, dass die Ablehnung zugänglich ist. Eine versteckte oder fehlende Ablehnungsschaltfläche ist rechtswidrig.
Einen prohibitiven Preis für die cookie-freie Alternative festlegen. Ein Abonnement zu 30 €/Monat für eine normalerweise kostenlose Website stellt keine faire Alternative dar. Der EDSA prüft die Verhältnismäßigkeit des Preises.
Dark Patterns in der Präsentation verwenden. Die 'Akzeptieren'-Schaltfläche visuell hervorzuheben und den Weg zum Abonnement schwierig zu machen, beeinträchtigt die Einwilligungsfreiheit.
Eine Cookie-Wall auf wesentliche Dienste anwenden. Je wesentlicher der Dienst gilt oder je weniger zumutbare Alternativen es gibt, desto schwieriger ist es, die kostenpflichtige Alternative als 'frei' zu rechtfertigen.
Das Modell nicht im DSGVO-Verzeichnis dokumentieren. Das Pay-or-Consent-Modell muss im Verarbeitungsverzeichnis mit Rechtsgrundlagen, Zwecken und Schutzmaßnahmen aufgeführt sein.
Alternativen zur Cookie-Wall
Wenn das Ziel ist, die Einwilligungsrate zu erhöhen, gibt es rechtmäßige und wirksamere Alternativen: Banner-Optimierung (Design, Text, Kategoriegranularität), Reduzierung der angeforderten Cookies (Fokus auf für Ihr Geschäftsmodell wesentliche Zwecke) und ein klares, nicht aggressives Banner. Für die rechtmäßige Optimierung der Einwilligungsrate, siehe den FlowConsent-Leitfaden unter /de/blog/cookie-consent-rate-optimierung.
Checkliste Cookie-Wall
- Sicherstellen, dass das Banner eine mit einem einzigen Klick zugängliche Ablehnungsschaltfläche bietet.
- Bei Erwägung einer Cookie-Wall: prüfen, ob eine echte Alternative angeboten werden kann.
- Bei Pay-or-Consent: einen verhältnismäßigen, begründbaren Preis festlegen, ohne Dark Patterns.
- Das Modell im Verarbeitungsverzeichnis und in der Datenschutzerklärung dokumentieren.
- Sicherstellen, dass das Banner nicht restriktiver als nötig ist und keine visuelle Nötigung zur Einwilligung beinhaltet.
- Einen Datenschutzbeauftragten oder Rechtsberater konsultieren, bevor eine Cookie-Wall eingeführt wird.
- Das Banner regelmäßig auf Konformität mit den sich entwickelnden behördlichen Entscheidungen testen.
Cookie-Walls sind rechtlich instabiles Terrain. Das Pay-or-Consent-Modell kann rechtmäßig sein, aber nur unter sehr strengen Bedingungen, die nur wenige Websites erfüllen können. Der sicherste Ansatz bleibt die Optimierung des Einwilligungsbanners statt seiner Abschaffung. Scannen Sie Ihre Website unter /de/scan, um zu sehen, welche Cookies aktiv sind und zu bewerten, ob eine Cookie-Wall gerechtfertigt wäre.
Häufig gestellte Fragen
Was genau ist eine Cookie-Wall?
Eine Cookie-Wall ist ein Mechanismus, der den Zugang zu Website-Inhalten blockiert und eine Meldung anzeigt, die den Zugang an die Annahme von Cookies knüpft. Anders als ein normales Einwilligungsbanner — das Nutzern erlaubt, abzulehnen und dennoch auf die Website zuzugreifen — lässt eine Cookie-Wall keine echte Wahl: Cookies akzeptieren oder gehen. Diese Form des Zwangs macht die erhaltene Einwilligung nach DSGVO ungültig.
Warum sind die meisten Cookie-Walls nach DSGVO illegal?
Die DSGVO verlangt, dass die Einwilligung freiwillig erteilt wird. Eine Einwilligung, die unter der Drohung erteilt wird, den Zugang zu einem Dienst zu verweigern, ist nicht freiwillig. Der EDSA (Europäischer Datenschutzausschuss) und mehrere nationale Behörden haben diese Position bestätigt: Die Bedingung des Zugangs zu einer Website allein auf Cookie-Akzeptanz macht die Einwilligung ungültig. Standardmäßige Cookie-Walls ohne echte Alternative sind daher in den meisten Fällen illegal.
Kann ein Pay-or-Consent-Modell eine Cookie-Wall legal machen?
Möglicherweise, aber unter sehr strengen Bedingungen. Die EDSA-Stellungnahme 2023 zum Pay-or-Consent-Modell bestätigt, dass es mit der DSGVO vereinbar sein kann, wenn die kostenpflichtige Alternative fair (Preis proportional zum wirtschaftlichen Wert der Daten), echt (gleicher Inhalt und Servicequalität) und klar präsentiert (keine Dark Patterns) ist. In der Praxis erfüllen nur wenige Implementierungen diese Kriterien vollständig, weshalb dieses Modell weiterhin unter behördlicher Beobachtung steht.
Was sind die Alternativen zu einer Cookie-Wall zur Verbesserung der Einwilligungsrate?
Anstelle einer Cookie-Wall gibt es legale und wirksame Ansätze zur Einwilligungsoptimierung: Verbesserung des Banner-Designs (klares Layout, ausgewogene Schaltflächengröße), Überarbeitung der Zweckformulierung, um Cookies weniger intrusiv wirken zu lassen, Reduzierung der Anzahl der Cookies durch Konzentration auf die für das Geschäftsmodell unbedingt notwendigen, und Sichtbarmachen der Ablehnungsoption ohne sie zu verstecken. Diese Optimierungen können die Einwilligungsrate erheblich verbessern, ohne rechtliche Risiken einzugehen.
Welche Sanktionen können für eine Website gelten, die eine illegale Cookie-Wall verwendet?
Datenschutzbehörden können formelle Mahnungen ausstellen, die die Website verpflichten, innerhalb einer gesetzten Frist die Compliance herzustellen. Bei Nichteinhaltung können finanzielle Sanktionen von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro für ein Unternehmen verhängt werden. Über Bußgelder hinaus kann die Behörde dem Standort anordnen, die Verarbeitung der über die illegale Wall gesammelten Daten einzustellen. Mehrere europäische Behörden — darunter die französische CNIL, die belgische APD und der italienische Garante — haben bereits Durchsetzungsmaßnahmen gegen Cookie-Walls ergriffen.