DSGVO-konformer Cookie Banner — Anleitung für Website-Betreiber

Wann brauchen Sie einen Cookie Banner?

Die Frage klingt simpel, ist aber in der Praxis überraschend vielschichtig. Denn die rechtliche Pflicht zur Einholung einer Einwilligung bezieht sich nicht nur auf Cookies im engeren Sinne — sie umfasst deutlich mehr Technologien.

§ 25 TDDDG — der entscheidende Paragraf

Die zentrale Regelung findet sich in § 25 TDDDG Abs. 1: Die Speicherung von Informationen auf dem Endgerät eines Nutzers oder der Zugriff auf dort bereits gespeicherte Informationen ist grundsätzlich nur mit einer Einwilligung des Nutzers zulässig (Quelle: gesetze-im-internet.de/ttdsg/__25.html).

Das klingt zunächst nach Cookies — doch der Anwendungsbereich geht weiter. Unter § 25 TDDDG fallen auch:

• LocalStorage und SessionStorage — werden von vielen JavaScript-Frameworks und Single-Page-Applications genutzt
• Browser-Fingerprinting — das Auslesen von Bildschirmauflösung, installierten Schriftarten, Browser-Plugins und ähnlichen Merkmalen
• Tracking-Pixel (auch Zählpixel oder Web Beacons) — unsichtbare Bilder, die beim Laden Daten an einen Server übermitteln
• ETags und Cache-basiertes Tracking — technisch kein Cookie, funktional aber vergleichbar

Der Fokus liegt also nicht auf der Technologie, sondern auf dem Vorgang: Wird etwas auf dem Endgerät des Nutzers gespeichert oder darauf zugegriffen?

Die Ausnahme: Technisch notwendige Zugriffe

Gemäß § 25 TDDDG Abs. 2 ist keine Einwilligung erforderlich, wenn der Zugriff auf das Endgerät technisch zwingend notwendig ist, damit der vom Nutzer ausdrücklich gewünschte Dienst bereitgestellt werden kann. In der Praxis bedeutet das:

• Session-Cookies für den Login-Zustand
• Warenkorb-Cookies in Online-Shops
• CSRF-Tokens zum Schutz vor Angriffen
• Load-Balancing-Cookies zur Lastverteilung
• Spracheinstellungen, die der Nutzer selbst gewählt hat

Für alle anderen Zugriffe — insbesondere Analytics, Marketing, Social-Media-Embeds und externe Schriftarten — empfiehlt es sich, eine Einwilligung einzuholen. Ob eine Technologie als „technisch notwendig” einzustufen ist, sollte im Zweifelsfall konservativ bewertet werden.

Wann kein Banner nötig ist

Setzt Ihre Website ausschließlich technisch notwendige Cookies ein und verzichtet auf externe Tracking-Dienste, ist in der Regel kein Cookie Banner erforderlich. Cookielose Analyse-Tools wie Plausible oder Matomo in cookieloser Konfiguration können dazu beitragen, ganz ohne Banner auszukommen. Auch das lokale Einbinden von Google Fonts reduziert den Bedarf an Einwilligungen.

Anforderungen an einen DSGVO-konformen Cookie Banner

Wenn ein Cookie Banner nötig ist, stellt sich die nächste Frage: Welche Anforderungen muss es erfüllen? Die Antwort ergibt sich aus dem Zusammenspiel von § 25 TDDDG, DSGVO Art. 7 und der Orientierungshilfe der Datenschutzkonferenz (DSK) von 2022.

Einwilligung nach DSGVO Art. 7

Laut DSGVO Art. 7 in Verbindung mit DSGVO Art. 4 Nr. 11 sollte eine wirksame Einwilligung vier Kriterien erfüllen (Quelle: dsgvo-gesetz.de/art-7-dsgvo/):

1. Freiwillig — der Nutzer darf nicht gezwungen oder unangemessen beeinflusst werden
2. Für den bestimmten Fall — die Einwilligung sollte sich auf konkrete Zwecke beziehen, nicht pauschal erteilt werden
3. Informiert — der Nutzer sollte wissen, worin er einwilligt (welche Cookies, welche Anbieter, welche Zwecke)
4. Unmissverständlich — eine eindeutig bestätigende Handlung ist erforderlich (kein Stillschweigen, kein bloßes Weitersurfen)

§ 25 TDDDG — Konkretisierung für den Endgerätezugriff

Zusätzlich zu den DSGVO-Anforderungen konkretisiert § 25 TDDDG, dass die Einwilligung vor dem Zugriff auf das Endgerät eingeholt werden sollte. Das heißt: Kein Tracking-Skript darf laden, bevor der Nutzer aktiv zugestimmt hat. Diese Reihenfolge ist technisch entscheidend und wird in der Praxis häufig nicht korrekt umgesetzt.

DSK-Orientierungshilfe Telemedien 2022

Die Datenschutzkonferenz (DSK) — das Gremium der deutschen Datenschutzaufsichtsbehörden — hat 2022 eine Orientierungshilfe für Telemedienanbieter veröffentlicht. Darin werden unter anderem folgende Punkte hervorgehoben:

• Gleichwertige Ablehnungsmöglichkeit — der Nutzer sollte Tracking mit ebenso wenigen Klicks ablehnen können, wie er zustimmt
• Keine vorausgewählten Checkboxen — jede Kategorie sollte standardmäßig deaktiviert sein
• Granulare Wahlmöglichkeiten — der Nutzer sollte einzelne Zwecke oder Kategorien separat auswählen können
• Transparenz über Anbieter und Zwecke — eine Auflistung der eingesetzten Dienste und deren Zwecke im Banner oder einer direkt erreichbaren zweiten Ebene

Checkliste: Must-haves für Ihren Cookie Banner

Aus den oben genannten Rechtsgrundlagen ergeben sich folgende Pflicht-Elemente:

Dark Patterns vermeiden — Was nicht erlaubt ist

Dark Patterns sind Gestaltungsmuster, die Nutzer dazu verleiten sollen, einer Datenverarbeitung zuzustimmen, obwohl sie das möglicherweise nicht beabsichtigen. Die DSK-Orientierungshilfe 2022 und europäische Aufsichtsbehörden haben wiederholt darauf hingewiesen, dass solche Muster die Freiwilligkeit der Einwilligung nach DSGVO Art. 7 in Frage stellen können.

Versteckter Ablehnen-Button

Ein häufiges Muster: Der „Alle akzeptieren”-Button ist groß, farbig und sofort sichtbar — der Ablehnen-Button hingegen erscheint erst auf einer zweiten Ebene unter „Einstellungen” oder „Mehr erfahren”. Aus Sicht der DSK sollte die Ablehnung mit einem Klick auf der ersten Ebene möglich sein — gleichwertig zur Zustimmung.

Farbliche Manipulation

Ein grüner, kräftiger „Akzeptieren”-Button neben einem grauen, kaum sichtbaren „Ablehnen”-Link könnte als Beeinflussung gewertet werden. Es empfiehlt sich, beiden Optionen eine vergleichbare visuelle Gewichtung zu geben. Das bedeutet nicht zwingend identische Farben — aber ähnliche Größe, Kontraste und Platzierung.

Nudging und Wiederholtes Anzeigen

Manche Websites zeigen das Cookie Banner nach einer Ablehnung erneut an — beim nächsten Seitenaufruf, nach einer bestimmten Zeitspanne oder bei jeder Session. Dieses wiederholte Anzeigen kann als „Nudging” gewertet werden und könnte die Freiwilligkeit der Einwilligung beeinträchtigen. Empfehlenswert ist: Hat der Nutzer abgelehnt, sollte diese Entscheidung für einen angemessenen Zeitraum (z. B. 6–12 Monate) gespeichert und respektiert werden.

Irreführende Formulierungen

Formulierungen wie „Um Ihnen das bestmögliche Erlebnis zu bieten, verwenden wir Cookies” oder „Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu” könnten als irreführend bewertet werden. Die erste suggeriert, dass Cookies ausschließlich dem Nutzer dienen. Die zweite impliziert eine Einwilligung durch Weitersurfen — was nach gängiger Auffassung nicht als aktive Einwilligung gilt.

Cookie Walls ohne Alternative

Eine Cookie Wall blockiert den Zugang zur Website vollständig, wenn der Nutzer nicht einwilligt. Der Europäische Datenschutzausschuss (EDSA) hat sich in seinen Leitlinien kritisch zu Cookie Walls geäußert und die Freiwilligkeit der Einwilligung in solchen Fällen in Frage gestellt. In der Praxis empfiehlt es sich, die Kernfunktionalität der Website auch ohne Einwilligung zugänglich zu machen.

Vorausgewählte Kategorien

Sind im Banner bereits Kategorien wie „Statistik” oder „Marketing” aktiviert und der Nutzer muss sie aktiv abwählen, liegt ein Opt-out-Verfahren vor. Der BGH hat in seinem Urteil I ZR 7/16 klargestellt, dass ein vorausgewähltes Häkchen nicht als wirksame Einwilligung gilt. Alle nicht technisch notwendigen Kategorien sollten standardmäßig deaktiviert sein.

Technische Umsetzung — Schritt für Schritt

Ein korrektes Banner allein genügt nicht — die technische Umsetzung ist entscheidend. Wenn der Nutzer auf „Ablehnen” klickt, aber im Hintergrund bereits Google Analytics geladen hat, ist die Einwilligung wirkungslos.

Schritt 1: Skripte vor der Einwilligung blockieren

Alle nicht-essentiellen Skripte sollten erst nach einer expliziten Einwilligung geladen werden. Dafür gibt es zwei gängige Ansätze:

Variante A: type="text/plain" verwenden

<script type="text/plain" data-category="analytics"
        src="https://www.googletagmanager.com/gtag/js?id=G-XXXXX">
</script>

Das Skript wird vom Browser nicht ausgeführt, solange der type nicht auf text/javascript geändert wird. Nach der Einwilligung ändert das CMP-Skript den Typ und aktiviert so die entsprechenden Skripte.

Variante B: Dynamisches Nachladen per JavaScript

if (userConsent.analytics === true) {
  const script = document.createElement('script');
  script.src = 'https://www.googletagmanager.com/gtag/js?id=G-XXXXX';
  document.head.appendChild(script);
}

Hier wird das Skript gar nicht erst im HTML eingebunden, sondern erst dann dynamisch erzeugt, wenn die Einwilligung vorliegt.

Schritt 2: Nur nach Opt-in laden

Es empfiehlt sich, für jede Cookie-Kategorie einen eigenen Schalter zu implementieren. Erst wenn der Nutzer einer Kategorie aktiv zugestimmt hat, werden die zugehörigen Skripte geladen. Typische Kategorien:

Schritt 3: Consent-Kategorien implementieren

Die Einwilligung sollte nicht pauschal, sondern pro Kategorie gespeichert werden. Ein einfaches Datenmodell könnte so aussehen:

const consentState = {
  necessary: true,    // immer aktiv, nicht abwählbar
  analytics: false,   // Standard: deaktiviert
  marketing: false,   // Standard: deaktiviert
  functional: false,  // Standard: deaktiviert
  timestamp: null,    // Zeitpunkt der Einwilligung
  version: '2.1'      // Version des Banners
};

Jedes Mal, wenn der Nutzer seine Auswahl bestätigt, wird consentState aktualisiert und gespeichert.

Schritt 4: Einwilligung dokumentieren (Consent-Nachweis)

Gemäß DSGVO Art. 7 Abs. 1 trägt der Verantwortliche die Beweislast dafür, dass eine Einwilligung vorliegt. Empfehlenswert ist daher die Protokollierung folgender Daten:

• Zeitstempel der Einwilligung oder Ablehnung
• Version des Banners (falls sich Texte oder Kategorien ändern)
• Umfang der Einwilligung — welche Kategorien wurden akzeptiert, welche abgelehnt
• Art der Interaktion — „Alle akzeptieren”, „Nur notwendige”, „Individuelle Auswahl”

Diese Daten können in einem First-Party-Cookie oder serverseitig gespeichert werden. Ein serverseitiges Logging bietet einen belastbareren Nachweis, ist aber aufwendiger umzusetzen.

Schritt 5: Widerruf technisch umsetzen

Laut DSGVO Art. 7 Abs. 3 sollte der Widerruf der Einwilligung genauso einfach sein wie deren Erteilung (Quelle: dsgvo-gesetz.de/art-7-dsgvo/). Technisch bedeutet das:

1. Dauerhafter Zugang — ein Link oder Button „Cookie-Einstellungen” im Footer, der jederzeit sichtbar ist
2. Banner erneut anzeigen — beim Klick auf den Link öffnet sich das Banner mit den aktuellen Einstellungen
3. Cookies löschen — bei Widerruf einer Kategorie sollten die zugehörigen Cookies gelöscht werden
4. Skripte deaktivieren — idealerweise werden die entsprechenden Tracking-Skripte nach dem Widerruf nicht mehr ausgeführt (in der Praxis erfordert das häufig ein Neuladen der Seite)

Consent Management Platforms (CMPs) im Überblick

Für die technische Umsetzung eines Cookie Banners gibt es spezialisierte Software — sogenannte Consent Management Platforms (CMPs). Diese übernehmen die Darstellung des Banners, die Verwaltung der Einwilligungen und die Blockierung von Skripten. Die folgende Übersicht beschreibt einige verbreitete Lösungen (Stand: März 2026).

Cookiebot (Usercentrics-Gruppe)

Cookiebot bietet eine cloudbasierte Lösung mit automatischem Cookie-Scanning. Das Tool erkennt Cookies und Tracker auf der Website und erstellt automatisch eine Cookie-Erklärung. Cookiebot enthält vorgefertigte Templates für den Banner, Unterstützung für das IAB Transparency & Consent Framework (TCF 2.2) und eine Consent-Dokumentation mit Zeitstempeln. Die Integration erfolgt über ein JavaScript-Snippet. Cookiebot bietet eine kostenlose Variante für Websites mit bis zu 100 Unterseiten.

Usercentrics

Usercentrics bietet eine umfangreiche CMP-Lösung mit Fokus auf Enterprise-Kunden. Das Tool enthält ein Dashboard zur Verwaltung von Einwilligungen über mehrere Domains hinweg, detaillierte Statistiken zur Consent-Rate und eine Vielzahl von Integrationen für gängige Tag-Manager und Analyse-Tools. Usercentrics bietet zudem eine A/B-Testing-Funktion für Banner-Designs.

Borlabs Cookie (WordPress)

Borlabs Cookie bietet eine WordPress-spezifische Lösung, die als Plugin installiert wird. Das Tool enthält eine Content-Blocker-Funktion, die externe Inhalte (YouTube, Google Maps, iFrames) automatisch durch Platzhalter ersetzt und erst nach Einwilligung lädt. Borlabs Cookie speichert die Einwilligungen lokal und bietet eine granulare Steuerung pro Dienst. Die Lizenz gilt pro Domain.

Klaro

Klaro bietet eine Open-Source-CMP-Lösung, die selbst gehostet werden kann. Das Tool enthält ein konfigurierbares Banner mit granularer Kategorieauswahl und kann ohne externe Serveranbindung betrieben werden. Klaro bietet dadurch volle Kontrolle über die Datenverarbeitung — es werden keine Daten an Dritte übermittelt. Die Konfiguration erfolgt über eine JavaScript-Datei.

Wichtiger Hinweis

Die Auswahl und Installation eines CMP allein gewährleistet nicht automatisch die Rechtskonformität. Entscheidend ist die korrekte Konfiguration: Werden Skripte tatsächlich blockiert, bevor die Einwilligung vorliegt? Sind alle Kategorien korrekt zugeordnet? Ist der Ablehnen-Button gleichwertig sichtbar? Ein CMP ist ein Werkzeug — die Verantwortung für die korrekte Einrichtung liegt beim Webseitenbetreiber.

Cookie Banner testen und überprüfen

Nach der Einrichtung empfiehlt es sich, den Cookie Banner gründlich zu testen. Denn selbst bei Verwendung einer CMP-Lösung können Konfigurationsfehler dazu führen, dass Skripte vor der Einwilligung geladen werden oder die Ablehnung technisch nicht korrekt umgesetzt wird.

Browser-DevTools: Cookies vor Einwilligung prüfen

1. Öffnen Sie Ihre Website in einem neuen Inkognito-/Privatfenster (damit keine bestehenden Cookies geladen werden)
2. Öffnen Sie die Entwicklertools (F12)
3. Navigieren Sie zu Application → Cookies (Chrome) bzw. Datenspeicher → Cookies (Firefox)
4. Prüfen Sie vor jeder Interaktion mit dem Banner: Sind bereits Cookies vorhanden, die nicht technisch notwendig sind?
5. Schauen Sie im Netzwerk-Tab, ob Verbindungen zu Drittanbietern (google-analytics.com, facebook.com, doubleclick.net) aufgebaut werden

Ablehnen-Flow testen

Klicken Sie bewusst auf „Nur notwendige” oder „Ablehnen” und prüfen Sie anschließend:

• Werden Tracking-Cookies gesetzt? (Application → Cookies)
• Werden Analytics- oder Marketing-Skripte geladen? (Netzwerk-Tab)
• Wird die Ablehnung gespeichert? (Seite neu laden — erscheint das Banner erneut?)
• Funktioniert die Website weiterhin vollständig? (Keine Fehlermeldungen, keine fehlenden Inhalte)

Mobile Darstellung testen

Cookie Banner werden auf Mobilgeräten häufig anders dargestellt als auf dem Desktop. Prüfen Sie:

• Ist der Ablehnen-Button sichtbar, ohne scrollen zu müssen?
• Sind die Buttons groß genug für Touch-Bedienung?
• Verdeckt das Banner den gesamten Bildschirminhalt?
• Funktioniert die granulare Kategorieauswahl auch auf kleinen Bildschirmen?

In den Chrome-DevTools können Sie die mobile Ansicht über den Device Toolbar (Strg+Shift+M) simulieren.

Widerruf testen

Navigieren Sie nach einer erteilten Einwilligung zum Footer-Link „Cookie-Einstellungen” und widerrufen Sie die Einwilligung. Prüfen Sie:

• Öffnet sich das Banner mit den aktuellen Einstellungen?
• Werden nach dem Widerruf die entsprechenden Cookies gelöscht?
• Werden die Tracking-Skripte nach einem Seitenneuladen nicht mehr geladen?

Regelmäßige Überprüfung

Die Cookie-Landschaft einer Website ändert sich: Neue Plugins werden installiert, Marketing-Tools hinzugefügt, Embeds eingebunden. Es empfiehlt sich, den Cookie Banner mindestens quartalsweise zu prüfen — idealerweise nach jeder Änderung an der Website, die neue Drittanbieter-Verbindungen einführt. Wer sicher gehen möchte, dass keine unbekannten Cookies oder Skripte aktiv sind, kann einen automatisierten Website-Check nutzen, der auch Cookie-Probleme erkennt.

Fazit

Ein DSGVO-konformer Cookie Banner ist mehr als ein Overlay mit zwei Buttons. Die rechtlichen Anforderungen aus § 25 TDDDG, DSGVO Art. 7 und der DSK-Orientierungshilfe 2022 betreffen sowohl die Gestaltung als auch die technische Umsetzung. Der Ablehnen-Button sollte gleichwertig sichtbar sein, Skripte sollten erst nach Einwilligung laden, und die Einwilligung sollte nachweisbar dokumentiert werden.

Dark Patterns — versteckte Ablehn-Buttons, farbliche Manipulation oder wiederholte Banner — können die Freiwilligkeit der Einwilligung in Frage stellen und sollten vermieden werden.

Die technische Umsetzung ist dabei genauso wichtig wie die optische Gestaltung. Ein visuell korrektes Banner, das Tracking-Skripte nicht tatsächlich blockiert, erfüllt seinen Zweck nicht. Empfehlenswert ist ein systematischer Ansatz: Skripte identifizieren, kategorisieren, blockieren, nach Einwilligung laden, Consent dokumentieren und regelmäßig testen.

Wer das Thema umfassender angehen möchte, findet weiterführende Informationen in unseren Ratgebern zur Cookie-Banner-Pflicht, zur DSGVO-Checkliste für Websites und zum Thema Abmahnung vermeiden.

Häufige Fragen

Reicht ein einfacher Hinweis „Diese Website verwendet Cookies” aus?

Nein. Ein bloßer Hinweistext ohne Auswahlmöglichkeit gilt nach gängiger Auffassung der Aufsichtsbehörden nicht als wirksame Einwilligung im Sinne von DSGVO Art. 7. Die DSK-Orientierungshilfe 2022 stellt klar, dass der Nutzer eine aktive Wahlmöglichkeit haben sollte — einschließlich einer gleichwertigen Ablehnungsoption auf der ersten Ebene des Banners.

Wie oft sollte die Einwilligung erneut eingeholt werden?

Es gibt keine gesetzlich festgelegte Dauer. Eine gängige Praxis ist 6 bis 12 Monate. Darüber hinaus empfiehlt es sich, die Einwilligung erneut einzuholen, wenn sich die Cookie-Kategorien, Anbieter oder Zwecke wesentlich ändern — da die ursprüngliche Einwilligung dann möglicherweise nicht mehr den aktuellen Verarbeitungsvorgang abdeckt. Die DSK empfiehlt zudem, bei wesentlichen Änderungen am Banner eine neue Version zu vergeben und die Einwilligung erneut abzufragen.

Kann ich auf ein CMP verzichten und den Banner selbst bauen?

Grundsätzlich ja. TTDSG und DSGVO schreiben kein bestimmtes Tool vor. Eine Eigenentwicklung ist möglich, erfordert aber sorgfältige Planung: Skript-Blockierung vor Einwilligung, granulare Kategoriesteuerung, Consent-Dokumentation mit Zeitstempel und eine Widerrufsfunktion. Wer diese Anforderungen selbst umsetzen kann, ist nicht auf ein kommerzielles CMP angewiesen. Zu beachten ist jedoch, dass bei einer Eigenentwicklung die Verantwortung für die laufende Aktualisierung — etwa bei neuen Rechtsauslegungen oder technischen Änderungen — vollständig beim Betreiber liegt.

Was passiert, wenn mein Cookie Banner nicht korrekt umgesetzt ist?

Gemäß DSGVO Art. 83 können die zuständigen Aufsichtsbehörden Bußgelder verhängen, wenn personenbezogene Daten ohne wirksame Einwilligung verarbeitet werden. Darüber hinaus könnten Wettbewerber oder Verbraucherverbände möglicherweise Abmahnungen aussprechen. In der Praxis empfehlen wir, den Cookie Banner regelmäßig zu überprüfen und bei Unsicherheiten eine fachkundige Beratung einzuholen.