Datenschutz, Tracking und Cookies.
Als Webseitenbetreiber musst du darüber
Bescheid wissen.

Das Wichtigste in Kürze

IP-Adresse = personenbezogenes Datum:
In der EU gilt eine IP-Adresse als personenbezogene Information, da man darüber indirekt eine Person identifizieren kann .
Solche Daten dürfen Websites nur für notwendige Zwecke (z.B. technische Bereitstellung) ohne weiteres speichern .
Jede weitergehende Speicherung – etwa zu Analyse- oder
Marketingzwecken – ist nur mit Einwilligung des Nutzers zulässig .
Cookie-Banner zur Einwilligung: Um die erforderliche aktive Einwilligung der Nutzer einzuholen, kommen in der Praxis Cookie-Banner zum Einsatz .
Ein DSGVO-konformer Cookie-Banner informiert über eingesetzte Tools und Daten und bietet die Möglichkeit, einzelne Cookies zu erlauben oder abzulehnen (kein vorab angehaktes „Ja“).
Einfach nur in der Datenschutzerklärung zu erwähnen, dass IP-Adressen getrackt werden, reicht nicht!
Nutzer müssen vorab zustimmen, bevor solche Daten erhoben werden.
Warum fordert die EU das? Ohne Zustimmung könnten Websites unbemerkt persönliche Daten wie die IP-Adresse zu Werbezwecken sammeln.
Datenschutzgesetze sollen Nutzer schützen und ihnen Kontrolle geben.
Da Cookies häufig das Verhalten und Informationen (z.B. die
IP) der Nutzer aufzeichnen können, schreibt der Gesetzgeber vor, dass Nutzer selbst entscheiden dürfen, welche Daten gesammelt werden .
Rechtliche Folgen bei Verstößen: Hält man sich nicht an diese Vorgaben, drohen
Empfehlungen und Sanktionen durch Datenschutzbehörden .
Theoretisch sind hohe Bußgelder möglich – bis zu 20 Millionen € oder 4 % des weltweiten Jahresumsatzes nach DSGVO.
In Deutschland konkret sieht das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) für Cookie-Verstöße Bußgelder von bis zu 300.000€ vor.
Auch Abmahnungen durch Verbraucherverbände oder Mitbewerber sind denkbar, wie schon 2021 geschehen.

IP-Adressen als
personenbezogene Daten

IP-Adressen gelten im Datenschutzrecht als persönliche Daten – ihr Tracking unterliegt daher strengen Regeln.

Eine IP-Adresse ist die numerische Adresse, über die ein Gerät im Internet erreichbar ist (z.B. „16.234.98.3“).
Sie wird jedem Internetnutzer von seinem Provider zugewiesen.
Bereits seit einem Urteil des Europäischen Gerichtshofs von 2016 ist klar: Statische und dynamische IP-Adressen sind personenbezogene Daten im Sinne des Datenschutzes.
Denn über die IP kann – zumindest mithilfe des Providers – ein konkreter Anschluss und letztlich eine Person ermittelt werden.
Damit fallen IP-Adressen unter die Datenschutz-Grundverordnung (DSGVO) und genießen besonderen Schutz.
Für Website-Betreiber bedeutet das erhebliche Pflichten.
Personenbezogene Daten wie IP-Adressen dürfen nur verarbeitet oder gespeichert werden, wenn eine rechtliche Grundlage vorliegt.
Erlaubt ist z.B. die Speicherung der IP, wenn sie technisch notwendig ist, etwa um dem Nutzer die Webseite auszuliefern oder aus Sicherheitsgründen (Server-Logfiles).
In solchen Fällen spricht man von „berechtigtem Interesse“ oder „unbedingt erforderlichen“ Datenverarbeitungen, die keiner vorherigen Einwilligung bedürfen.
Alle anderen Verwendungszwecke – insbesondere für Analyse, Tracking oder Werbung – erfordern dagegen eine aktive Einwilligung des Nutzers.

Praktisch problematisch ist: Viele Tools und Dienste speichern die IP-Adresse automatisch, oft ohne dass sich der Website-Betreiber dessen bewusst ist. Beispiele sind Web-Analytics (z.B. Google Analytics), Werbe-Tracker, Social Media Plug-ins oder Inhalte von Drittanbietern.
Sobald solche eingebundenen Elemente geladen werden, fließt meist die IP-Adresse des Besuchers zum Drittanbieter.
Aus Sicht des Datenschutzes handelt es sich hier um mehr als nur technisch notwendige Vorgänge.
Speichert ein Tool die IP zu anderen Zwecken, liegt eine Datenverarbeitung vor, die nicht mehr ohne weiteres erlaubt ist.
Der Website-Betreiber muss dann sicherstellen, dass hierfür eine
Rechtsgrundlage nach Art. 6 DSGVO besteht – in der Regel wird das die Einwilligung der Nutzer sein.

Tracking von IP-Adressen: Warum ein Cookie-Banner nötig ist

IP-Adressen werden insbesondere im Rahmen von Cookies und Tracking-Technologien erhoben.
Cookies sind kleine Dateien, die im Browser des Nutzers abgelegt werden und dazu dienen können, den Nutzer wiederzuerkennen oder sein Verhalten nachzuverfolgen.
Moderne Websites nutzen häufig Analyse- und Werbe-Cookies, die auch personenbezogene Daten wie die IP-Adresse des Nutzers
speichern.
Über solche Cookies lassen sich detaillierte Nutzerprofile erstellen – zum Beispiel für Online-Werbekampagnen oder für die Auswertung des Surf-Verhaltens auf der Seite.
Sobald jedoch personenbezogene Informationen (z.B. IP-Adresse, Geräte-ID, Standort etc.) durch Cookies gesammelt oder an Dritte übermittelt werden, greifen die strengen Vorgaben des Datenschutzes.
Seit Geltung der DSGVO (2018) und erst recht seit dem einschlägigen EuGH-Urteil von 2019 (Rechtssache Planet49) gilt: Nutzer müssen aktiv zustimmen, bevor nicht notwendige Cookies Daten speichern dürfen.
Ein einfaches Weiterbrowsen ohne Klick oder vorab angekreuzte
Zustimmungsboxen reichen nicht aus – die Zustimmung muss freiwillig, bewusst und ausdrücklich erfolgen.
In der Praxis wird diese Einwilligung über einen sogenannten Cookie-Consent-Banner eingeholt.
Das heißt, sobald ein neuer Besucher auf die Website kommt, erscheint ein Hinweisfenster, das die Datenverarbeitungen erläutert und Auswahlmöglichkeiten bietet.
Der Besucher kann typischerweise einwilligen (z.B. „Alle akzeptieren“) oder ablehnen bzw. einschränken, welche Cookies er zulassen will.
Technisch notwendige Cookies (z.B. Warenkorb oder Login-Sessions) dürfen
auch ohne Klick gesetzt werden, sollten aber in der Datenschutzerklärung erwähnt werden .
Alle anderen, nicht essenziellen Cookies erfordern vorab die Zustimmung – und genau dafür ist der Cookie-Banner gesetzlich verpflichtend .
Wichtig zu verstehen ist: Es genügt nicht, bloß in der Datenschutzerklärung zu vermerken, dass man die IP-Adresse trackt oder Cookies einsetzt.
Die DSGVO fordert einen aktiven Zustimmungsakt
des Nutzers.
Nur Informationen bereitzustellen („Wir nutzen Tool X und speichern Ihre IP zu …“) ist seit 2018 nicht mehr ausreichend.
Die Einwilligung muss vor der Datenspeicherung eingeholt werden –
daher der vorgelagerte Cookie-Banner, der die Website bis zur Entscheidung des Nutzers teilweise blockiert.
Viele Websites haben diese Umstellung bis heute nicht vollständig umgesetzt. Teils wird zwar Google Analytics oder ein anderes Tracking-Tool eingebunden und vielleicht in der Datenschutzerklärung erwähnt, ein echter Cookie-Banner mit Wahlmöglichkeit fehlt jedoch.
Nutzer haben dort keine Gelegenheit, das IP-Tracking abzulehnen, was einen Verstoß gegen geltendes Recht darstellt.
Es ist also nicht nur „wichtig“, sondern rechtlich zwingend, einen Consent-Banner zu schalten, sobald man IP-Adressen oder vergleichbare Daten zu Analyse-/Marketingzwecken erhebt.
Andernfalls bewegt sich der Website-Betreiber außerhalb der Legalität.

Wann braucht man keinen Cookie-Banner?

Die Ausnahme von der Banner-Pflicht sind Websites, die ausschließlich technisch notwendige Daten verarbeiten und keine darüber hinausgehenden Tracking- oder Personalisierungsmaßnahmen einsetzen.
Wenn Ihre Website nur essentielle Cookies setzt (z.B. Session-ID, Spracheinstellung) und keine Analyse-Tools oder externen Dienste nutzt, dürfen Sie auf einen Cookie-Hinweis verzichten.
In der Praxis trifft das aber auf die wenigsten Fälle zu. “Da die meisten Webseiten für Analysen Cookies verwenden, die Daten speichern, benötigen sie in der Regel auch ein Cookie-Banner”.
Mit anderen Worten: Sobald irgendeine Form von Tracking oder externem Dienst eingebunden ist, der personenbezogene Daten überträgt, sollte man sicherheitshalber einen Consent-Banner einsetzen.

Rechtliche Grundlage
in EU und Deutschland

Die Pflicht, einen Cookie-Banner zu nutzen, um IP-Tracking transparent zu machen und eine Einwilligung einzuholen, beruht auf EU-weiten und nationalen Regelungen:

DSGVO (EU-Datenschutz-Grundverordnung): Die DSGVO schreibt vor, dass für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage bestehen muss (Art. 6 DSGVO).
Für nicht notwendiges Tracking kommt als Rechtsgrund meist nur die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) in Betracht.
Zudem verlangt die DSGVO Transparenz: Nutzer müssen klar informiert werden, welche Daten zu welchem Zweck verarbeitet werden.
Online-Kennungen wie die IP-Adresse sind in der DSGVO ausdrücklich als personenbezogene Daten definiert (Erwägungsgrund 30 DSGVO) und fallen unter diese Schutzvorschriften .
Entsprechend müssen Website-Betreiber vor einer solchen Verarbeitung die aktive Zustimmung der Betroffenen einholen.
Das wurde durch das Urteil Planet49 des EuGH (Oktober 2019) nochmals bekräftigt: Ohne ausdrückliches Opt-In des Nutzers dürfen keine nicht
essenziellen Cookies gesetzt werden.
E-Privacy-Richtlinie & TTDSG: Bereits seit der europäischen „Cookie-Richtlinie“ (2009/136/EG, auch E-Privacy-Richtlinie) gilt, dass das Speichern von Cookies auf dem Gerät des Nutzers grundsätzlich eine Einwilligung erfordert, sofern es nicht unbedingt erforderlich ist.
Diese Richtlinie musste in nationales Recht umgesetzt werden.
Deutschland hat dafür Ende 2021 das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) erlassen.
Seit 1. Dezember 2021 ist damit klargestellt, dass für das Setzen von Cookies und ähnlichen Technologien eine vorherige informierte Einwilligung notwendig ist, außer die Cookies sind „technisch erforderlich“.
Das TTDSG sorgt für Rechtsklarheit: Opt-in-Cookie-Banner sind für
nahezu alle Websites verpflichtend, um die Anforderungen der E-Privacy-Richtlinie und der DSGVO zu erfüllen .
Deutsche Aufsichtsbehörden: Die deutschen Datenschutzbehörden (vereint in der DSK) haben unisono klargestellt, dass gängige Tracking-Tools wie Google Analytics, Facebook Pixel & Co. nur mit Einwilligung genutzt werden dürfen.
Die oft diskutierte Alternative einer Verarbeitung auf Basis „berechtigter Interessen“ (§ 25 TTDSG bzw. Art. 6 Abs. 1 lit. f DSGVO) lassen die Aufsichtsbehörden für Cookies, die Nutzungsverhalten aufzeichnen, praktisch nicht gelten.
In der Konsequenz bedeutet das: Jeder, der solche Tools einsetzt, muss einen Cookie-Consent-Mechanismus implementieren, bei dem der Nutzer vorab zustimmt.
Außerdem muss in der Datenschutzerklärung genau aufgeführt sein, welche Tools verwendet werden und welche Daten (z.B. IP-Adresse) dabei an wen übermittelt werden.
Zusammengefasst fordern also EU-Recht und deutsches Recht gleichermaßen, dass Trackingmaßnahmen wie IP-Adressenspeicherung transparent gemacht und nur mit Zustimmung der Nutzer durchgeführt werden.
Der Cookie-Banner ist das etablierte Mittel, um diese rechtliche Pflicht im Web umzusetzen.

Mögliche Strafen bei Verstößen

Verstöße gegen die Cookie- und Einwilligungspflichten können ernste Konsequenzen nach sich ziehen.
Zum einen können Datenschutzbehörden tätig werden: Fehlt ein erforderlicher Cookie-Banner oder ist er fehlerhaft (z.B. werden doch schon Tracker aktiv, bevor Zustimmung erfolgt, oder es gibt keine Ablehnmöglichkeit), droht zunächst eine Untersagungsverfügung oder Abmahnung durch die Behörde.
Viele Behörden geben den Unternehmen die Chance, binnen einer Frist nachzubessern.
Bleiben Verstöße bestehen, können Bußgelder verhängt werden.
Die DSGVO sieht bei schweren Verstößen gegen die Grundsätze der Datenverarbeitung (dazu zählt auch die fehlende Rechtmäßigkeit wegen mangelnder Einwilligung) Geldbußen von bis zu 20 Millionen € oder 4 % des weltweiten Vorjahresumsatzes vor, je nachdem welcher Betrag höher ist.
In der Praxis werden Bußgelder nach Unternehmensgröße und Schwere des Verstoßes abgestuft.
Dennoch gab es bereits prominente Fälle: So verhängte z.B. die französische
Datenschutzbehörde CNIL gegen Google im Jahr 2019 ein Bußgeld von 50 Millionen €, unter anderem wegen unzureichender Einwilligung beim Tracking – ein Weckruf für die Branche.
Auch andere Länder zogen nach; europaweit laufen zahlreiche Verfahren gegen Webseiten, die Cookies ohne gültiges Opt-In setzen (angestoßen etwa durch die Nichtregierungsorganisation noyb).
In Deutschland ist neben der DSGVO seit 2021 auch das TTDSG einschlägig, wenn es um Cookie-Einsatz geht.
§ 24 TTDSG regelt die Einwilligungspflicht für das Speichern von Informationen im Endgerät – und § 26 TTDSG sieht bei Verstößen Bußgelder von bis zu 300.000 € vor.
Diese Beträge mögen geringer erscheinen als die DSGVO-Höchststrafen, doch das TTDSG-Bußgeld ist “leicht durchsetzbar”
(Ordnungswidrigkeitenrecht), während DSGVO-Verfahren oft länger dauern. Theoretisch könnten aber beide Sanktionsmechanismen greifen: ein Bußgeld nach TTDSG und zusätzlich – bei Verletzung der DSGVO-Pflichten – ein DSGVO-Bußgeld obendrauf.
Für Unternehmen bedeutet das ein erhebliches finanzielles Risiko, wenn sie die Cookie-Consent-Pflicht ignorieren.
Neben behördlichen Strafen besteht in Deutschland auch die Gefahr von Abmahnungen durch Mitbewerber oder Verbraucherschutzverbände auf Grundlage des Gesetzes gegen unlauteren Wettbewerb (UWG).
Tatsächlich haben Verbraucherzentralen im Jahr 2021 stichprobenartig Webseiten geprüft und solche mit unzulässigen Cookie-Bannern abgemahnt. Viele Betreiber reagierten einsichtig und passten die Banner an.
Wiederholte Verstöße könnten ansonsten zu Gerichtsverfahren
und Schadenersatzforderungen führen.
Fazit: Die möglichen Strafen reichen von Imageschäden über behördliche Untersagungen bis zu empfindlichen Geldbußen.
Angesichts dessen sollte jeder Website-Betreiber in Deutschland und der EU die Cookie-Einwilligung sehr ernst nehmen.
Es lohnt sich, in konforme Consent-Lösungen zu investieren und die eigene Datenschutzerklärung auf dem aktuellen Stand zu halten – nicht nur um
Strafen zu vermeiden, sondern auch um Vertrauen bei den Nutzern aufzubauen.

Fazit: Transparenz und
Einwilligung sind ein Muss

Abschließend lässt sich festhalten: Wer in seiner Datenschutzerklärung angibt, IP-Adressen der Nutzer zu tracken, muss zwingend auch einen Cookie-Banner zur Einholung der Einwilligung einsetzen.
IP-Adressen unterliegen in der EU dem Datenschutz, und jede Nutzung zu nicht rein technischen Zwecken bedarf der vorherigen Zustimmung der Betroffenen. Die Europäische Union schreibt diese Praxis vor, um die Privatsphäre der Bürger zu wahren und ihnen die Kontrolle über ihre Daten zu geben.
Website-Betreiber – ob Entwickler, Unternehmer oder Blogger – sollten diese Regeln keinesfalls auf die leichte Schulter nehmen.
Die Pflicht zum Cookie-Hinweis ist keine bloße Formalität, sondern ein
Kernstück des europäischen Datenschutzkonzepts.
Wer sie ignoriert, riskiert nicht nur rechtliche Schritte und hohe Strafen, sondern handelt auch gegenüber seinen Nutzern unfair.
Positiv formuliert bietet ein transparenter Umgang mit Cookies und IP-Tracking auch eine Chance, Vertrauen zu schaffen: Nutzer wissen es zu schätzen, wenn sie selbst entscheiden dürfen, welche Daten sie preisgeben.
Mit einem klar gestalteten, rechtskonformen Cookie-Banner zeigt man, dass man die Datenschutzrechte der Besucher respektiert – das kommt letztlich allen zugute.
Compliance in Sachen IP-Tracking und Cookies ist somit nicht nur Pflicht, sondern auch eine Frage der Verantwortung
gegenüber den Nutzern.

Quellen

Darf ich die IP-Adresse vom Nutzer speichern? | eRecht24

Was ist ein Cookie Banner? DSGVO-konforme Einrichtung

Nervensäge Cookie-Banner: Was Sie beachten sollten | Verbraucherzentrale.de

Cookie Consent Requirements in Germany

Cookie Hinweis: Datenschutz & DSGVO

TDDDG/TTDSG: Cookie law for website operators in Germany