Googles Cookie-Strategie steht in der Kritik
Die Google Cookie-Strategie sorgt erneut für Schlagzeilen: Am 1. September 2025 verhängte die französische Datenschutzbehörde CNIL ein Bußgeld in Höhe von 325 Millionen Euro. Grund waren Verstöße im Zusammenhang mit der Einwilligung zu Cookies und der Darstellung von Werbung in Gmail. Die Google Cookie-Strategie wurde dabei kritisch geprüft – insbesondere im Hinblick auf Transparenz, Nutzerführung und rechtlich wirksame Einwilligungen. Das Beispiel zeigt, wie entscheidend ein datenschutzkonformes Einwilligungsmanagement heute ist.Was genau war das Problem an Googles Cookie-Praxis?
Laut CNIL ging es um zwei zentrale Punkte:
- Werbung im Gmail-Posteingang: Zwischen 2022 und 2023 zeigte Google in bestimmten Tabs (z. B. „Promotions“) Werbeanzeigen an, die wie gewöhnliche E-Mails wirkten. Die CNIL wertete dies als Direktwerbung, für die nach französischem Recht eine ausdrückliche Einwilligung erforderlich ist.
- Einwilligung zu Cookies beim Konto-Setup: Nutzer*innen wurden bei der Erstellung eines Google-Kontos dazu aufgefordert, personalisierte Werbung zuzulassen. Dabei war die Ablehnung aufwändiger als die Zustimmung, und es fehlten klare Informationen über die Auswirkungen. Die CNIL sah darin eine nicht wirksame Einwilligung im Sinne der ePrivacy-Richtlinie und des französischen Datenschutzrechts.
Die Behörde sah zudem Verstöße gegen die Grundsätze fairer Nutzerführung: Eine Einwilligung muss freiwillig, informiert, eindeutig und gleichwertig ablehnbar sein.
Was Unternehmen jetzt aus der Google Cookie-Strategie lernen können
Auch wenn sich der Beschluss auf Frankreich bezieht, zeigt er: Cookie-Banner und Einwilligungsprozesse stehen europaweit im Fokus der Aufsichtsbehörden. Wer hier ungenau arbeitet oder auf manipulative Gestaltung setzt, riskiert Bußgelder in Millionenhöhe.
Wenn selbst ein Tech-Gigant wie Google an der Einhaltung grundlegender Datenschutzprinzipien scheitert, wird klar: Unternehmen jeder Größe müssen ihr Cookie-Management kritisch hinterfragen. Die CNIL und andere europäische Aufsichtsbehörden haben ein klares Signal gesendet – und prüfen Cookie-Banner inzwischen bis ins Detail.
Folgende Grundprinzipien müssen Sie einhalten:
- Einwilligungspflicht: Alle nicht technisch notwendigen Cookies (z. B. für Werbung, Tracking oder Analyse) benötigen eine aktive, informierte Zustimmung.
- Gleichwertige Auswahlmöglichkeiten: Drei gleichgestaltete Buttons – Alle akzeptieren, Alle ablehnen, Individuelle Einstellungen – gelten als Best Practice.
- Keine Dark Patterns: Buttons dürfen sich nicht durch Farbe, Größe oder Position unterscheiden, um Zustimmung zu erzwingen.
- Transparenzpflicht: Nutzer*innen müssen direkt im Banner Informationen zu Zweck, Anbieter und Speicherdauer erhalten – ebenso zur Weitergabe an Dritte.
- Zugänglichkeit: Der Zugang zur Website darf nicht vom Setzen von Cookies abhängig sein. Ablehnung muss genauso einfach sein wie Zustimmung.
- Widerrufsrecht: Ein permanenter Link im Footer („Cookie-Einstellungen“) muss eine nachträgliche Änderung der Entscheidung ermöglichen.
Vorsicht bei Design und Nutzerführung: Versteckte „Ablehnen“-Buttons, unklare Sprache oder verwirrende Menüstrukturen können als rechtswidrige Manipulation („Dark Patterns“) gewertet werden – mit Bußgeldern in Millionenhöhe.
Fazit: Die Google Cookie-Strategie als Warnsignal
Die Entscheidung der CNIL verdeutlicht: Datenschutzbehörden prüfen nicht nur, ob eine Einwilligung eingeholt wird, sondern wie. Gestaltung, Sprache und Nutzerführung spielen eine entscheidende Rolle. Die Google Cookie-Strategie zeigt, dass auch globale Unternehmen strenge Anforderungen einhalten müssen – und dass Regelverstöße teuer werden können.
Unternehmen jeder Größe sollten jetzt handeln:
🔍 Cookie-Banner überprüfen
🔧 Consent-Mechanismen anpassen
✅ Dokumentation und Nachweise sichern
Links und Hinweise
dsgvo-portal.de| Beschluss der Commission Nationale de l’Informatique et des Libertés
procado Datenschutz | Mehr Informationen zu unseren Leistungen im Bereich Datenschutz
