Rechtmäßigkeit, Fairness und Transparenz
Daten dürfen nur verarbeitet werden, wenn eine Rechtsgrundlage (Einwilligung, berechtigtes Interesse usw.) vorliegt; der Nutzer muss informiert werden.
GDPR • EUROPÄISCHE UNION
GDPR Cookie Consent Vollständiger Leitfaden für den
GDPR- und ePrivacy-Directive-Konformität für türkische Unternehmen, die in der EU verkaufen, CNIL/AEPD-Entscheidungsbeispiele und Schrems II Datentransferregeln. Diese Seite stellt keine Rechtsberatung dar; die Zusammenarbeit mit einem qualifizierten Rechtsberater wird empfohlen.
Was ist GDPR?
Die Datenschutz-Grundverordnung (General Data Protection Regulation, Verordnung 2016/679) ist der grundlegende Rechtsrahmen der Europäischen Union für die Verarbeitung personenbezogener Daten und den Datenschutz. Sie gilt seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten und erfordert keine Umsetzung in nationales Recht.
Das wichtigste Merkmal der GDPR ist ihr extraterritorialer Anwendungsbereich. Gemäß Article 3 muss ein Unternehmen nicht physisch in der EU ansässig sein: Jede Organisation, die dem EU-Markt Waren oder Dienstleistungen anbietet oder das Verhalten von EU-Bürgern überwacht, fällt unter den Anwendungsbereich der GDPR. Beispiele wie Trendyol Europa, Hepsiglobal und Getir UK gehören zu dieser Gruppe.
Praktische Schlussfolgerung für türkische Unternehmen: Wenn Sie E-Commerce-, SaaS-, Mobile-App- oder digitale Inhaltsdienste in der EU anbieten, ist die GDPR-Konformität erforderlich. Für Aktivitäten, die ausschließlich auf den türkischen Binnenmarkt ausgerichtet sind, genügt KVKK.
Article 5
Die 7 Grundprinzipien der GDPR
Diese Prinzipien gelten in jedem Schritt der Datenverarbeitung; auch das Cookie-Management unterliegt diesem Rahmen.
Zweckbindung
Erhobene Daten dürfen nur für den angegebenen Zweck verwendet werden; eine zweckfremde Verarbeitung ist untersagt.
Datenminimierung
Es sollten nur Daten erhoben werden, die für den Vorgang unbedingt erforderlich sind; das Laden unnötiger Cookies verstößt gegen dieses Prinzip.
Richtigkeit
Verarbeitete Daten müssen aktuell und richtig sein; fehlerhafte Daten müssen gelöscht oder berichtigt werden.
Speicherbegrenzung
Daten dürfen nicht länger gespeichert werden, als der Zweck es erfordert. Die Speicherdauer von Cookies muss im Verhältnis zum Zweck stehen.
Integrität und Vertraulichkeit
Daten müssen durch technische und organisatorische Maßnahmen vor unbefugtem Zugriff, Verlust oder Zerstörung geschützt werden.
Rechenschaftspflicht
Der Verantwortliche muss die Konformität dokumentieren und nachweisen. Die Benennung eines DSB, DPAs und das Führen von Aufzeichnungen fallen in diesen Bereich.
GDPR und ePrivacy Directive: Welche regelt Cookies?
Eine häufige Verwechslung: Die Cookie-Consent-Regeln stammen nicht direkt aus der GDPR, sondern aus ePrivacy Directive (2002/58/EC) Article 5(3). GDPR wiederum definiert die Qualität der Einwilligung (Article 4(11) und 7).
ePrivacy Directive
Die Regel "Einwilligung einholen, bevor Cookies geladen werden" stammt von hier (Article 5(3)). Mit Ausnahme notwendiger Cookies ist für alle Cookies eine ausdrückliche Einwilligung erforderlich.
- Rechtsgrundlage: 2002/58/EC
- Gegenstand: Elektronische Kommunikation + Cookies
- Regel: Vorherige Einwilligung erforderlich
GDPR
Sie verlangt, dass die Einwilligung "freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich" erfolgt (Article 4(11) und 7). Sie legt den Qualitätsstandard fest.
- Rechtsgrundlage: 2016/679
- Gegenstand: Allgemeine Verarbeitung personenbezogener Daten
- Regel: Qualität der Einwilligung + Widerrufbarkeit
Zusammen gelesen lautet das Ergebnis: Vor dem Laden von Cookies muss gemäß der ePrivacy-Regel eine Einwilligung eingeholt werden, und diese Einwilligung muss den GDPR-Qualitätsstandard erfüllen.
Article 12-22
Rechte der betroffenen Person
GDPR gewährt Nutzern acht grundlegende Rechte. Der Widerruf der Einwilligung gehört zu diesen Rechten.
Recht auf Information
Wie, warum und wie lange Daten verarbeitet werden, muss transparent mitgeteilt werden (Art. 13-14).
Auskunftsrecht
Der Nutzer kann verlangen, welche seiner Daten verarbeitet werden (Art. 15).
Recht auf Berichtigung
Fehlerhafte oder unvollständige Daten müssen berichtigt oder vervollständigt werden (Art. 16).
Recht auf Löschung
Auch als "Recht auf Vergessenwerden" bekannt; unter bestimmten Voraussetzungen kann die Löschung der Daten verlangt werden (Art. 17).
Einschränkung der Verarbeitung
Der Nutzer kann verlangen, dass die Verarbeitung seiner Daten eingeschränkt wird (Art. 18).
Recht auf Datenübertragbarkeit
Daten müssen dem Nutzer in einem maschinenlesbaren Format übergeben oder auf eine andere Plattform übertragen werden (Art. 20).
Widerspruchsrecht
Gegen eine auf berechtigtem Interesse oder öffentlichem Interesse beruhende Verarbeitung kann Widerspruch eingelegt werden (Art. 21).
Widerruf der Einwilligung
Die Einwilligung muss jederzeit so einfach widerrufbar sein, wie sie erteilt wurde (Art. 7(3)). Dies macht eine "Widerrufen" Option im Banner verpflichtend.
Cookie-Pflichten im Rahmen der GDPR
Wenn die Rechtsgrundlage der GDPR-Einwilligung (Art. 6(1)(a)) gewählt wird, muss das Banner-Design die folgenden Anforderungen erfüllen:
- Granulare Einwilligung: Der Nutzer muss jede Cookie-Kategorie (Analyse, Werbung, soziale Medien) einzeln annehmen oder ablehnen können. "Alle akzeptieren" allein genügt nicht.
- Gleich einfache Ablehnung: Die Schaltfläche "Ablehnen" muss mit derselben Sichtbarkeit und Einfachheit dargestellt werden wie die Schaltfläche "Akzeptieren". Die CNIL-Entscheidungen von 2022 sind in diesem Punkt maßgeblich.
- Vorherige Einwilligung erforderlich: Vor dem Einholen der Einwilligung darf kein Analyse- oder Marketing-Cookie geladen werden.
- Informationsqualität: Name, Anbieter und Speicherdauer jedes Cookies müssen angegeben werden.
- Consent-Nachweis: Jede erteilte und abgelehnte Einwilligung muss mit einem Zeitstempel protokolliert werden (Beweislast).
- Einfacher Widerruf: Der Nutzer muss eine zuvor erteilte Einwilligung jederzeit widerrufen können.
ePrivacy Regulation: Die ePrivacy Regulation, die aktualisierte Fassung der ePrivacy Directive, befindet sich Stand 2026 noch in der Verhandlung im Rat der EU. Ihr Inkrafttreten bleibt ungewiss.
Aufsichtsbehörden
Auslegungen der Einwilligung in den EU-Ländern
Die Aufsichtsbehörde jedes Mitgliedstaats wendet Auslegungen unterschiedlicher Strenge an.
| Land | Behörde | Strenge | Sonderregel |
|---|---|---|---|
| Deutschland | BfDI + Landesbehörden | Sehr streng | TTDSG (2021) zusätzliche Ebene, "Cookie-Wall" verboten |
| Frankreich | CNIL | Sehr streng | Ablehnen-Schaltfläche = genauso auffällig wie Akzeptieren-Schaltfläche (verpflichtend) |
| Italien | Garante | Streng | Scrollen = keine Einwilligung (Entscheidung 2022) |
| Spanien | AEPD | Mittel | Es gibt Flexibilität, doch die Bußgelder für Verstöße sind hoch |
| Niederlande | AP | Streng | "Cookie-Wall" eingeschränkt erlaubt (außer Paywall) |
| Irland | DPC | Mittel | Sitzland großer Tech-Konzerne, Entscheidungen verlaufen relativ langsam |
| Österreich | DSB | Streng | Die umfassendste Durchsetzung in Sachen Schrems II |
| Polen | UODO | Flexibel | In der Praxis flexibel, Bußgelder sind selten |
Entscheidungsbeispiele großer EU-Behörden
Entscheidungen, die in öffentlichen, offiziellen Quellen veröffentlicht wurden. Den vollständigen Text finden Sie auf cnil.fr und edpb.europa.eu.
BUSSGELD
150.000.000 €
Januar 2022
Google LLC + Google Ireland
Es gab keine "Ablehnen"-Schaltfläche, nur die Optionen "Akzeptieren" und "Alle verwalten" wurden angeboten. CNIL: "Akzeptieren und Ablehnen müssen gleich einfach angeboten werden."
BUSSGELD
60.000.000 €
Januar 2022
Meta Platforms (Facebook)
Dasselbe Problem der fehlenden "Ablehnen-Schaltfläche". Am selben Tag wie Google bekannt gegeben.
BUSSGELD
35.000.000 €
Dezember 2020
Amazon Europe Core
Unzureichende Information, und es wurde keine Einwilligung eingeholt, bevor die Cookies geladen wurden.
IAB TCF v2.3: Aktueller Stand
IAB TCF v2.3 ist der Einwilligungsstandard für das programmatische Werbe-Ökosystem. v2.3 gilt seit Februar 2026. cerez.io bietet IAB TCF v2.3-Unterstützung (Zertifizierung läuft).
Hinweis für Publisher: Die IAB TCF v2.3-Zertifizierung ist für Q3 2026 angestrebt. Derzeit werden Google Consent Mode v2 (5 Signale) und das Blockieren von Drittanbieter-Skripten (Attribut
data-cb-category) angeboten. Für große Publisher, bei denen TCF für das programmatische Vendor-Ökosystem zwingend erforderlich ist, cerez.io ist es derzeit nicht geeignet.
Unsere aktuelle Lösung funktioniert mit Google AdSense und Ad Manager über Google Consent Mode v2; für kleine und mittelgroße Publisher ist sie ausreichend.
cerez.io
cerez.io DSGVO-Konformität mit
Welche Schritte automatisiert unsere Plattform und welche liegen in Ihrer Verantwortung?
Automatisches Cookie-Scannen
Mit über 217 Cookie-Definitionen und BFS-Scan werden die Cookies Ihrer Website erkannt und kategorisiert. Das erfüllt die Informationspflicht der DSGVO.
AutomatischGranulares Einwilligungs-Banner
Kategoriebasierte Schalter, gleich sichtbare Akzeptieren-/Ablehnen-Schaltflächen, Unterstützung für 3 Sprachen (TR/EN/DE) und ein Widget zum Widerruf der Einwilligung.
AutomatischEinwilligungsprotokoll mit Zeitstempel
Jede Einwilligungsentscheidung (Akzeptieren/Ablehnen/Kategorie) wird mit Zeitstempel und Nutzerkennung erfasst. Das erfüllt die Nachweispflicht der DSGVO.
AutomatischBenennung eines DSB und AVV
Die Benennung eines Datenschutzbeauftragten (DSB) und das Erstellen eines Auftragsverarbeitungsvertrags (AVV) sind ein juristischer Beratungsprozess; cerez.io automatisiert diese Prozesse nicht.
RechtsberaterText der Datenschutzerklärung
Für DSGVO-konforme Cookie-Richtlinieninhalte ist eine Rechtsberatung erforderlich. cerez.io bietet Vorlagen für Richtlinien an; die rechtliche Freigabe liegt in Ihrer Verantwortung.
Teilweise unterstütztGoogle Consent Mode v2
5 Signale (ad_storage, analytics_storage, functionality_storage, ad_user_data, ad_personalization) werden automatisch übermittelt. Die Kompatibilität mit GA4 und Ads wird sichergestellt.
AutomatischHäufig gestellte Fragen
Kurze Antwort: Ja. Alle türkischen Unternehmen, die Waren/Dienstleistungen auf dem EU-Markt anbieten oder Daten von EU-Bürgern verarbeiten, fallen gemäß DSGVO Artikel 3 (extraterritorialer Anwendungsbereich) in den Geltungsbereich. Trendyol Europa, Hepsiglobal und Getir UK gehören zu dieser Gruppe. Wer ausschließlich für den türkischen Binnenmarkt tätig ist, für den genügt KVKK.
Kurze Antwort: Die DSGVO regelt das allgemeine Datenschutzrecht (2018), während die ePrivacy-Richtlinie (2002/58/EG) die speziellen Regeln zu elektronischer Kommunikation und Cookies regelt. Die Regeln zur Cookie-Einwilligung stammen direkt aus der ePrivacy-Richtlinie; die DSGVO regelt nur die Qualität der Einwilligung (freiwillig, informiert, ausdrücklich, widerrufbar). Die ePrivacy-Verordnung wartet noch auf die Zustimmung des EU-Rats.
Kurze Antwort: Google 150 Mio. € (Januar 2022), Meta 60 Mio. € (Januar 2022) und Amazon EU 35 Mio. € (Dezember 2020). Der Großteil der Bußgelder beruht auf dem Verstoß, dass die "Ablehnen-Schaltfläche nicht so deutlich war wie die Akzeptieren-Schaltfläche". Die offiziellen Entscheidungstexte finden Sie auf cnil.fr und edpb.europa.eu.
Kurze Antwort: Derzeit nicht verfügbar. Die IAB TCF v2.3-Zertifizierung für Publisher ist für Q3 2026 angestrebt. Derzeit werden Google Consent Mode v2 (5 Signale) und das Blockieren von Drittanbieter-Skripten angeboten. Für große Publisher, bei denen TCF für das programmatische Vendor-Ökosystem zwingend erforderlich ist, ist es derzeit nicht geeignet.
Kurze Antwort: Schrems II (Juli 2020) hat die Datenübermittlung zwischen EU und USA verschärft. Für US-basierte Dienste wie Google Analytics 4, Meta Pixel und HubSpot sind zusätzliche Schutzmaßnahmen (SCC + TIA) erforderlich. Die österreichische DSB und die französische CNIL bewerteten Google Analytics als Verstoß gegen Schrems II. Im Einwilligungs-Banner von cerez.io wird über diese Übermittlungen informiert.
Kurze Antwort: Granulare Einwilligung bedeutet, dass der Nutzer Cookie-Kategorien (Analyse, Werbung, soziale Medien) einzeln akzeptieren oder ablehnen kann. Sie ist gemäß DSGVO Artikel 7(2) und den EDSA-Leitlinien verpflichtend. Eine reine "Alle akzeptieren"-Schaltfläche genügt nicht. cerez.io bietet standardmäßig 4 Kategorien (Notwendig, Analyse, Werbung, Funktionalität) und erfasst für jede Kategorie eine eigene Einwilligung.
Kurze Antwort: Die DSGVO legt keine konkrete Dauer fest; die EDSA-Leitlinien empfehlen 6 bis 12 Monate. cerez.io ist standardmäßig auf 365 Tage eingestellt und kann pro Domain zwischen 90 und 365 Tagen konfiguriert werden. Bei einer wesentlichen Änderung (substantial change) der Cookie-Richtlinie muss die Einwilligung erneut eingeholt werden.
EU-Markt + Türkei =
Doppelte Konformität mit DSGVO + KVKK, Google Consent Mode v2, automatischer Cookie-Scan. Einrichtung in 5 Minuten.