Zum Inhalt springen
etracker
Jetzt starten

Cookie-Consent

… Benchmarks und alles, was du über rechtskonforme Einwilligungen wissen musst. 

Cookie-Consent beschäftigt Unternehmen, Gerichte und Datenschützer seit Jahren immer wieder aufs Neue. Vor allem im Online-Marketing wirft es permanent Fragen auf:

Wie ist die Cookie-Zustimmung einzuholen?
Wann kann ich auf Consent-Banner verzichten?
Was ist trotz Ablehnung erlaubt?
Wie hoch ist die durchschnittliche Consent-Rate?
Gibt es konkrete Cookie-Consent Benchmarks, an denen ich mich orientieren kann?

Hier erhältst du Antworten auf diese und weitere Fragen sowie belastbare Ergebnisse der Cookie-Consent-Studie von etracker.

Cookie-Consent meint die Zustimmung bzw. Einwilligung der Nutzer zur Speicherung und/oder zum Abrufen von Informationen auf deren Endgeräten beim Besuch von Webseiten. Der Einfachheit halber werden diverse Technologien, die einen Zugriff auf das Endgerät der Nutzer ermöglichen unter „Cookies“ aufgeführt, wie zum Beispiel der Session oder Local Storage. Auch die anschließende Verarbeitung und insbesondere die Weitergabe personenbezogener Daten kann ebenfalls eine vorherige Einwilligung erforderlich machen. Üblicherweise holen Website-Betreiber die Einwilligung zu nicht erforderlichen Cookies und bestimmten Datennutzungen über ein so genanntes Cookie-Consent-Banner ein, das auf dem Bildschirm erscheint, wenn der Nutzer eine neue Website besucht. Ziel der Cookie-Zustimmung ist die Legitimierung des Zugriffs auf die Geräte der Nutzer und die Verarbeitung der Daten.

Gut zu wissen

Wo ist das Thema Cookie-Consent gesetzlich verankert?

Grundlage für den Cookie-Consent bildet neben der EU-Datenschutzgrundverordnung (EU-DSGVO) das am 1. Dezember 2021 in Kraft getretene Telekommunikation-Telemedien- Datenschutz-Gesetz (TTDSG), das 2024 in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) umbenannt wurde. Außer dem Titel hat sich inhaltlich im Wesentlichen nichts geändert, lediglich der Begriff der Telemedien wurde durch den Begriff der digitalen Dienste ersetzt. Das TDDDG setzt die Vorgaben der EU-ePrivacy-Richtlinie von 2009 (auch Cookie-Richtlinie genannt) in deutsches Recht um. Das Einwilligungserfordernis ist in § 25 TDDDG geregelt:
 
„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.“

Von der Einwilligungspflicht ausgenommen sind nur technisch unbedingt erforderliche Cookies und ähnliche Technologien, die auf die Endeinrichtungen zugreifen.

Gemäß DSGVO ist die Verarbeitung personenbezogener Daten auf Websites und Apps nur nach vorheriger Einwilligung möglich, wenn diese nicht unbedingt notwendig ist oder durch das überwiegende berechtigte Interesse gerechtfertigt werden kann.

Wenn man sich mit dem Thema Cookie-Consent auseinandersetzt, kommt man nicht umhin, sich auch mit datenschutzrechtlichen Grundsätzen zu beschäftigen: Wann handelt es sich um eine Datenverarbeitung? Was fällt alles unter personenbezogene Daten? Was heißt Erforderlichkeit? Wann überwiegt das berechtigte Interesse? Diese Fragen werden von uns im Datenschutz-1×1 für Marketer einfach wie verständlich beantwortet.

Da nicht alle Nutzer gewillt sind, ihre Zustimmung zu geben, müssen sich Marketer zum einen mit der Consent Rate auseinandersetzen und zum anderen mit den Auswirkungen auf die Datenqualität durch Verringerung und Verzerrung der Datenbasis (Consent Bias). Dies belegt die neueste Cookie-Consent-Benchmark-Studie von etracker.

Die Cookie-Consent-Studie von etracker analysiert, was die Consent Rate beeinflusst und wie sich Cookie-Consent-Banner auf die Quantität und Qualität von Web-Analytics-Daten auswirken. Basis der Cookie-Consent-Studie ist eine repräsentative Website-Stichprobe.

Gut zu wissen

Ergebnisse der Cookie-Consent-Benchmark-Studie 2025 von etracker im Überblick

  • Die gleichwertige Button-Gestaltung in Consent-Dialogen setzt sich durch.
  • Bei rechtskonformer Gestaltung gehen durchschnittlich 60% der Besuchsdaten bei Einwilligungspflicht verloren.
  • Die Einwilligungsrate variiert stark nach Branche, Referrer und Herkunfts-Medium. Je individueller Website schwankt die Einwilligungsrate um über 36% zum jeweiligen Durchschnitt. Die Einwilligungspflicht führt somit zu einer systematischen und signifikanten Verfälschung der Daten.

Laut Cookie-Consent-Benchmark-Studie gibt es signifikante Abweichungen in der Banner-Konzeption für Cookie-Zustimmungen. Die Gestaltung wird stetig rechtskonformer.

Balkendiagramm zum Thema Consent-Banner werden rechtskonformer

Nur noch 13 Prozent der Seiten erschweren die Ablehnung, indem sie diese nur über ein Untermenü ermöglichen. Auch der Anteil derjenigen, die eine „Nudging-Strategie“ anwenden und die Zustimmungsoption visuell hervorheben, sinkt.

Screenshot eines Consent-Dialog als Beispiel für rechtswidrige Gestaltung mit erschwerter Ablehnung gegenüber der Zustimmung

Beispiel für rechtswidrige Gestaltung mit erschwerter Ablehnung gegenüber der Zustimmung

Screenshot eines Consent-Dialogs als Beispiel für rechtswidrige Gestaltung mit ungleichwertig gestalteter Zustimmung und Ablehnung

Beispiel für rechtswidrige Gestaltung mit ungleichwertig gestalteter Zustimmung und Ablehnung

Dies sind die Anforderungen der Aufsichtsbehörden an die Gestaltung der Consent-Dialoge im Hinblick auf die Buttons:

1. Ablehnung auf oberster Ebene des Banners und damit so einfach wie die Zustimmung

Die Forderung ergibt sich aus Art. 7 Abs. 3 S. 4 DSGVO, entfällt jedoch, wenn auch die Zustimmung nicht auf oberster Ebene möglich ist oder die Website auch ohne Interaktion mit dem Banner genutzt werden kann.*

2. Gleichwertige Gestaltung der Schaltflächen für die Zustimmung und Ablehnung

Die Aufsichtsbehörden fordern zwar keine hundertprozentig gleiche Gestaltung der Buttons, aber einen „insbesondere in Größe, Farbe, Kontrast und Schriftbild vergleichbare[n] Button“ für die Ablehnung.* Außerdem darf der Ablehn-Button insbesondere auf Mobilgeräten nicht erst nach Scrollen sichtbar werden.

Ergebnis

Es ist klar, wo die Reise hingeht. Die Anforderungen der Aufsichtsbehörden an die rechtskonforme Gestaltung setzen sich als Standard durch. Manipulatives Nudging ist somit keine seriöse Strategie imUmgang mit der Consent-Pflicht.

Wie hoch ist die Einwilligungsrate typischerweise? Wie stark wirkt sich illegales Nudging aus?

Websites mit rechtskonformer Gestaltung verzeichnen im Durchschnitt 14 Prozentpunkte weniger Einwilligungen. Bei rechtskonformer Gestaltung werden in 60% der Besuche einwilligungspflichtige Cookies und Datenverarbeitungen abgelehnt.

Balkendiagramm etracker Consent Benchmark Studie 2025 - Consent-Raten nach Rechtskonformitaet

Das Einwilligungs-Niveau und der Effekt von rechtskonformer Gestaltung variieren stark von Branche zu Branche.

Balkendiagramm etracker Consent Benchmark Studie 2025 - Consent-Raten nach Branche

Die Einwilligungsraten von Immobilien-Websites sind beispielsweise deutlich geringer als im Energie-Sektor. Auch ist der Effekt konformer Gestaltung unterschiedlich: Während beim E-Commerce und Tourismus das Consent-Nudging wenig Unterschied macht, zeigt illegales Nudging bei vielen anderen Branchen deutliche Unterschiede in den Einwilligungsraten. Im Dienstleistungsbereich müssen Websites mit fast 50% Einbußen bei konformer Gestaltung rechnen.

Banken und Versicherungen stellen einen Sonderfall dar: Hier verzeichnen Websites mit konformer Consent-Gestaltung sogar höhere Einwilligungsraten.

Führt die Einwilligungspflicht zu einer systematischen Verfälschung von Analyse-Daten?

Ein weiteres Problem neben dem Datenverlust ist der Consent Bias, also die Consent-bedingte Verzerrung der Daten. Denn die Einwilligungsrate schwankt bei fast allen Websites sehr stark je nach Kampagne und Kanal. Dadurch stehen nicht nur weniger Daten für die Kampagnen-Steuerung zur Verfügung. Vielmehr sind die wenigen Daten unbrauchbar, wenn Conversions nur von der Stichprobe der Eingewilligten gemessen werden.

Wie die Cookie-Consent-Benchmark-Studie belegt, variiert die Consent-Rate bzw. der Anteil der erfassten Besuche mit Cookies erheblich je nach Herkunftsquelle bzw. Kampagne. Dadurch entstehen systematische Fehler in der Kanalbewertung.

Balkendiagramm etracker Consent Benchmark Studie 2025 - Consent-Raten nach Herkunfts-Referrer

Die Cookie-Consent-Abweichungen lassen sich nicht nur auf Referrer-Ebene wiederfinden, sondern auch auf Mediums-Ebene:

Balkendiagramm etracker Consent Benchmark Studie 2025 - Consent-Raten nach Medium
Achtung

Diese Analyse bildet die Schwankungen je nach Herkunftsmedium innerhalb einer Website nur eingeschränkt ab, da in den Durchschnittswert je Medium Websites mit sehr unterschiedlichen Einwilligungsraten einfließen – sowohl mit hohen als auch mit niedrigen.

Um herauszufinden, wie stark die Consent-Rate für einzelne Websites je nach Kanal variiert, muss die Schwankungsbreite je nach Consent-Niveau betrachtet werden. Um es kurz zu machen: Sie ist hoch. Selbst im Minimum um rund 25% bis knapp 45% um den individuellen Durchschnitt einer Website. Im Extremfall variiert sie sogar um +/- 44%.

Grafik etracker Consent Benchmark Studie 2025 - Darstellung des Variationskoeffizienten bei der Consent-Rate

Um die Variation sichtbar zu machen, haben wir eine Grafik für die Consent-Raten-Stufen 5%, 20%, 40%, 60%, 80% und 95% anhand der durchschnittlichen Schwankung von 36,3% erstellt.

Diese zeigt die erheblichen Spannweiten an Consent-Raten auf Mediums-Ebene: 

Grafik etracker Consent Benchmark Studie 2025 - Darstellung durchschnittliche Schwankungsbreite je Consent-Niveau

Werden Budgets und Gebote anhand derart verzerrter Daten angepasst, drohen abgeleitete Maßnahmen mit gegenteiligem Effekt. Die größte Bedrohung im Online-Marketing ist daher nicht der komplette Blindflug oder die etwas schlechtere Sicht, sondern die systematische Verfälschung der Datenbasis – auch als Consent Bias bezeichnet – durch die Einwilligungspflicht. Vor diesem Hintergrund wird erfolgreiches, datengetriebenes Marketing zum Glücksspiel. Datengetriebene Budget-Allokation und Gebots-Optimierung erfordern zwingend eine Consent-unabhängige Analyse.

Das Thema Cookie-Consent scheint für viele Marketer eine Wahl zwischen Pest oder Cholera zu sein. Hervorgehobene Akzeptieren-Buttons oder erschwerte Ablehnungen erhöhen zwar die Cookie-Consent-Raten, jedoch sind diese weder rechtskonform noch gleichverteilt. Dieser Consent-Bias sorgt dafür, dass sämtliche Analysen nicht aussagekräftig und schlimmstenfalls sogar irreführend sind.

Da liegt die Lösung auf der Hand: Am besten wäre es, alle rechtlichen Anforderungen an Consent-Dialoge zu erfüllen und gleichzeitig Datenverluste und -verfälschungen zu vermeiden. Aber ist das überhaupt möglich? Wir verraten dir, wie beides geht.

Mit dem gleichwertig gestalteten Ablehn-Button allein ist es nicht getan. Es gilt, insgesamt 14 Punkte bei der Gestaltung des Consent-Banners zu beachten. Wird auch nur ein rechtliches Kriterium nicht erfüllt, sind alle eingeholten Einwilligungen unwirksam und der Einsatz der entsprechend einwilligungspflichtigen Dienste ist rechtswidrig.

Alle rechtlichen Anforderungen an die Gestaltung von Consent-Dialogen sind in einem Dokument der Aufsichtsbehördenzu finden: in der Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von digitalen Diensten – kurz: OH Digitale Dienste – in Version 1.2. Aber: Die Anforderungen an Consent-Dialoge sind auf über 30 Seiten verteilt.

Deshalb haben wir die wichtigsten Erkenntnisse in einer kompakten 14-Punkte-Checkliste zusammengefasst. Durch die Angabe der dazugehörigen Randnummern aus der Orientierungshilfe kann jeder Punkt einfach verifiziert werden.

Jetzt Checkliste herunterladen!
Screenshot unserer Consent-Dialog Checkliste

Rechtliche Fallstricke entstehen häufig durch getrennte Lösungen für das Tag Management und Consent Management. Der Versuch, über automatisierte Website-Scans einwilligungspflichtige Dienste und Cookies zu erkennen und externe Skripte automatisch zu blockieren, ist anfällig für Fehler – mit potenziell gravierenden Folgen für die Datenschutzkonformität.

Viel effizienter und rechtlich auf der sicheren Seite sind Unternehmen mit einem nahtlos integrierten Tag und Consent Management: Hier erfolgt direkt beim Hinzufügen eines Tags die Einwilligungs-Kategorisierung und Anbieter-Zuordnung. Damit wird die sichere Blockierung und korrekte Freigabe nach den individuellen Einwilligungspräferenzen der Nutzer unmittelbar bei der Tag-Steuerung gewährleistet. Neue Tags müssen nicht mehr in zwei Systemen gepflegt werden. Technisch nicht oder falsch zugeordnete Dienste werden prinzipiell ausgeschlossen.

Bei etracker sorgen die integrierten Lösungen etracker tag manager und etracker consent manager automatisch dafür, dass die Consent-Kategorie aus dem Tag Management übernommen und – wie gefordert – die korrekte Anzahl der einwilligungspflichtigen Dienste im Consent-Dialog angezeigt wird:

Beim Hinzufügen eines Tags über den etracker tag manager kannst du die Einwilligung direkt kategorisieren und einem Anbieter zuordnen.

Wie verhindern Marketer Consent-bedingte Datenverluste und -Verfälschungen?

Die gute Nachricht für Marketer ist: Tracking ohne Einwilligung in Harmonie mit den gesetzlichen Anforderungen ist möglich! Ein Weg zur Einwilligungsbefreiung besteht darin, die Web-Analyse im Sinne der Reichweitenmessung als unerlässlich für die Dienstbereitstellung zu sehen. Am 11. Januar 2024 hat die spanische Datenschutzbehörde aepd einen Leitfaden zur „Verwendung von Cookies für Tools zur Reichweitenmessung“ veröffentlicht. Darin werden (strenge) Bedingungen für die Befreiung von der Einwilligung beschrieben. In ähnlicher Form hat die französische Aufsichtsbehörde CNIL Regeln für die Ausnahme von der Einwilligungspflicht für die Reichweitenmessung definiert und sogar passende Lösungen aufgelistet. Darunter auch etracker analytics mit speziellen Einstellungen.

Die deutschen Aufsichtsbehörden für Online-Angebote von Rundfunkanstalten (RDSK) haben rein statistische Cookies als unbedingt erforderlich bestätigt.  Für den nicht-öffentlichen Bereich haben die Aufsichtsbehörden hingegen erklärt, selbst die einfache Messung von Besucherzahlen sei nicht per se als Bestandteil des Basisdienstes einzustufen (siehe OH Digitale Dienste, Rn. 90).

In Deutschland empfiehlt es sich, auf analytische bzw. statistische Cookies zu verzichten, um von der Einwilligung befreit tracken zu können.

Doch Cookie-loses Tracking allein reicht nicht aus, um von der Einwilligungspflicht befreit zu sein. Hierfür muss die Datenverarbeitung zudem so datenschutzfreundlich gestaltet sein, dass ein Einsatz unter dem überwiegenden berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO) möglich ist. Der Europäische Gerichtshof (EuGH), hat am 4. Juli 2023 im Verfahren von Meta gegen das Bundeskartellamt (Rechtssache C‑252/21) die fünf Kriterien für das überwiegende berechtigte Interesse konkretisiert:

  1. Echtes Interesse des Verantwortlichen muss gegeben sein.
  2. Es darf keine mildere vergleichbare Lösung existieren.
  3. Eine Weiterverarbeitung jenseits des Zwecks muss ausgeschlossen sein.
  4. Gegen die vernünftigen Erwartungen der betroffenen Personen darf nicht verstoßen werden.
  5. Die Einhaltung von 1.-4. muss belegt werden können.

Die Aufsichtsbehörden weisen ausdrücklich daraufhin, dass die Web-Analyse unter dem berechtigten Interesse ausgeschlossen ist, wenn die Daten in Drittländern ohne Angemessenheitsbeschluss verarbeitet werden. Eine Verarbeitung in unsicheren Drittländern ist, so das Urteil der Aufsichtsbehörden, selbst bei Einwilligung der Nutzer rechtswidrig:

Personenbezogene Daten, die im Zusammenhang mit der regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseiten oder in Apps verarbeitet werden, können grundsätzlich nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a) DS-GVO in ein Drittland übermittelt werden. Umfang und Regelmäßigkeit solcher Transfers widersprechen regelmäßig dem Charakter des Art. 49 DS-GVO als Ausnahmevorschrift und den Anforderungen aus Art. 44 S. 2 DSGVO.

Bei Einsatz von Google Analytics kann das berechtigte Interesse nicht als Rechtsgrundlage herangezogen werden, da sich Google vorbehält, die Daten auch zu eigenen Zwecken zu nutzen. Auch im sogenannten erweiterten Einwilligungsmodus ist eine Datenverarbeitung mit Google Analytics immer nur nach Einwilligung möglich:

„Darüber hinaus ist in Fällen, in denen Drittdienstleister beim Tracking als Auftragsverarbeiter eingebunden werden, darauf zu achten, ob diese Dienstleister Daten der betroffenen Personen auch zu eigenen Zwecken verarbeiten (z. B. um eigene Dienste zu verbessern oder Interessensprofile zu erstellen). In diesem Fall – und selbst wenn sich der Drittdienstleister sich dies nur abstrakt vorbehält – wird der Rahmen einer Auftragsverarbeitung nach Art. 28 DS-GVO überschritten. Für die Übermittlung personenbezogener Daten – und sei es nur der IP-Adresse – an diese Drittdienstleister kann Art. 6 Abs. 1 lit. f) DS-GVO sodann in der Regel keine wirksame Rechtsgrundlage bilden.“*

Unabhängig bestätigt einwilligungsfrei: etracker analytics im Standardmodus

Die Web-Analyse-Lösung von etracker erfüllt die Anforderungen an die Einwilligungsfreiheit und wurde diesbezüglich in einem unabhängigen Audit geprüft, zertifiziert und mit dem Datenschutz-Gütesiegel ePrivacyseal ausgezeichnet. Das Prüfergebnis bescheinigt die Einwilligungsfreiheit:

„Im Cookie-less Modus (Standardmodus) ist ein Einsatz von etracker Analytics gemäß DSGVO und TDDDG ohne jedwede Einwilligungspflicht rechtmäßig.“

ePrivacy

Wirklich datenschutzfreundliches Cookie-loses Tracking – wie bei etracker analytics – befreit von der Einwilligungspflicht und verhindert damit Consent-bedingte Datenverluste und Datenverzerrungen.

Daher ist das datenschutzfreundliche hybride Tracking bei Marketern besonders beliebt. Denn es vereint das Beste aus beiden Welten: das Cookie-basierte Tracking und das Cookie-lose Tracking parallel in einem hybriden Modell. Gegenüber einer ausschließlich Cookie-basierten Lösung bietet dies den Vorzug, dass bei einer Ablehnung von statistischen Cookies das Tracking ohne diese und somit ohne Datenverlust durchgeführt werden kann. Für den Anteil der Nutzer, die Cookies akzeptieren, können sogar Wiederkehrraten und 30-tägige Journeys erfasst werden. Über das Consent-Banner wird somit lediglich die Wahl des Tracking-Modus – ob mit oder ohne

Cookies – gesteuert und nicht, ob überhaupt ein Tracking erfolgen darf.

darstellung hybrides Tracking mit etracker analytics

Der Cookie-Consent ist ein kritisches Thema für Website-Betreiber und Marketer. Die rechtlichen Anforderungen sind mittlerweile sehr eindeutig und Verstöße riskant. Sie können sehr einfach aufgedeckt werden. Und zudem mindern sie das Vertrauen der Website-Besucher. Manipulatives Consent-Nudging ist im Niedergang. Denn eine Daten-Strategie, die auf „Tricksereien“ fußt, kann nicht als seriös und nachhaltig angesehen werden. Wer sich an die Vorgaben bei der Gestaltung hält, muss mit einer hohen Ablehnungsrate rechnen. Das führt aber nur bei Einsatz von einwilligungspflichtigen Lösungen wie Google Analytics zu hohem Datenverlust und Datenverzerrungen. Nachhaltig ist hingegen die Ausrichtung aller Technologien und Maßnahmen auf die Unabhängigkeit von Einwilligungen. Dies ermöglicht 100%ige Rechtskonformität mit verlässlicher Datenqualität, sichert die verlässliche Grundlage zur zielgerichteten Online-Steuerung und schützt zugleich die Privatsphäre der Besucher. Eine Win-Win-Situation für Website-Betreiber und Website-Nutzer!

* https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf

Disclaimer 

Diese Ausführungen stellen keine Rechtsberatung dar und können keine individuelle Rechtsberatung ersetzen. Sie sind eine fachliche Auseinandersetzung und Zusammenfassung des Themas. Im Bedarfsfall stellen wir gerne den Kontakt zu einem Fachanwalt her. 

Inhalt

Worum handelt es sich beim Cookie-Consent?

Cookie-Consent-Benchmark-Studie: Das sind die Fakten

Setzt sich der Trend zur rechtskonformen Gestaltung von Consent-Bannern fort?

Wie hoch ist die Einwilligungsrate typischerweise? Wie stark wirkt sich illegales Nudging aus?

Führt die Einwilligungspflicht zu einer systematischen Verfälschung von Analyse-Daten?

Schlussfolgerungen aus der Cookie-Consent-Studie

Wie vermeiden Unternehmen Consent-bedingte rechtliche Risiken und Sanktionen?

Wie verhindern Marketer Consent-bedingte Datenverluste und -verfälschungen?

Unabhängig bestätigt einwilligungsfrei: etracker analytics im Standardmodus

Fazit: Cookie-Consent-Benchmarks für mehr Orientierung