Cookie Banner Pflicht — Was Webseitenbetreiber beachten sollten

Wann ist ein Cookie Banner Pflicht?

Die Frage, ob eine Website ein Cookie Banner benötigt, hängt davon ab, welche Technologien auf der Seite eingesetzt werden. Die rechtliche Grundlage bildet in Deutschland das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TTDSG), insbesondere §25.

§ 25 TDDDG: Technisch notwendige vs. nicht notwendige Cookies

Laut § 25 TDDDG Abs. 1 ist die Speicherung von Informationen auf dem Endgerät eines Nutzers oder der Zugriff auf bereits gespeicherte Informationen grundsätzlich nur mit Einwilligung des Nutzers zulässig. Das betrifft Cookies, aber auch vergleichbare Technologien wie LocalStorage, Fingerprinting oder Tracking-Pixel.

Eine Ausnahme gilt gemäß § 25 TDDDG Abs. 2: Wenn der Zugriff auf gespeicherte Informationen technisch zwingend erforderlich ist, damit der Dienst funktioniert, ist keine Einwilligung nötig. In der Praxis bedeutet das:

• Kein Banner nötig bei: Session-Cookies für Login, Warenkorb-Cookies, Spracheinstellungen, CSRF-Tokens, Load-Balancing-Cookies
• Banner mit Einwilligung nötig bei: Google Analytics, Facebook Pixel, Marketing-Cookies, Hotjar, YouTube-Embeds (mit Cookies), Google Fonts extern, Werbe-Tracking jeder Art

Wer ausschließlich technisch notwendige Cookies verwendet und keine externen Tracking-Dienste einbindet, benötigt in der Regel kein Cookie Banner.

Die Rolle der DSGVO

Neben dem TTDSG spielt auch die DSGVO eine Rolle. Sobald durch Cookies personenbezogene Daten verarbeitet werden, greift zusätzlich Art. 6 DSGVO Abs. 1 lit. a: Die Verarbeitung ist nur mit Einwilligung der betroffenen Person rechtmäßig — sofern kein anderer Erlaubnistatbestand vorliegt. In der Praxis überschneiden sich TTDSG und DSGVO häufig: Wer laut TTDSG eine Einwilligung benötigt, benötigt diese in der Regel auch nach der DSGVO.

BGH-Urteil I ZR 7/16

Der Bundesgerichtshof hat mit seinem Urteil vom 28. Mai 2020 (Az. I ZR 7/16, “Cookie-Einwilligung II”) klargestellt, dass eine aktive Einwilligung erforderlich ist — ein voreingestelltes Häkchen (Opt-out) genügt nicht. Das Urteil bestätigte die europäische Rechtsprechung des EuGH (Planet49) für den deutschen Rechtsraum und gilt als Leitentscheidung für die Gestaltung von Cookie Bannern.

Was ein Cookie Banner enthalten sollte

Ein Cookie Banner, das den Anforderungen von TTDSG und DSGVO entsprechen soll, enthält in der Regel folgende Elemente:

Informationspflichten

• Klare Benennung der Zwecke: Welche Cookies werden gesetzt und wofür? Zum Beispiel: “Analyse des Nutzerverhaltens”, “Personalisierte Werbung”, “Social-Media-Funktionen”
• Angabe der Anbieter: Welche Drittanbieter erhalten Daten? Namen und ggf. Sitzland angeben
• Speicherdauer: Wie lange bleiben die Cookies aktiv?
• Verweis auf die Datenschutzerklärung: Ein Link zur vollständigen Datenschutzerklärung sollte direkt im Banner sichtbar sein

Einwilligungsoptionen

• Aktive Zustimmung (Opt-in): Keine vorausgewählten Checkboxen. Der Nutzer sollte aktiv zustimmen
• Gleichwertige Ablehnungsmöglichkeit: Ein “Ablehnen”-Button sollte genauso sichtbar und erreichbar sein wie der “Akzeptieren”-Button
• Granulare Auswahl: Der Nutzer sollte die Möglichkeit haben, einzelne Cookie-Kategorien zu akzeptieren oder abzulehnen (z. B. “Statistik: ja, Marketing: nein”)
• Widerrufsmöglichkeit: Die Einwilligung sollte jederzeit so einfach widerrufen werden können, wie sie erteilt wurde

Technische Anforderungen

• Cookies dürfen erst nach erteilter Einwilligung gesetzt werden — nicht bereits beim Laden der Seite
• Die Einwilligung sollte dokumentiert und gespeichert werden (Nachweis gemäß DSGVO)
• Bei Ablehnung sollten keine nicht notwendigen Cookies gesetzt werden

Häufige Fehler bei Cookie Bannern

Viele Websites setzen Cookie Banner ein, die möglicherweise nicht allen Anforderungen entsprechen. Hier eine Übersicht der häufigsten Probleme:

1. Vorausgewählte Checkboxen (Pre-checked)

Laut BGH I ZR 7/16 und der EuGH-Entscheidung zu Planet49 genügt ein vorausgewähltes Häkchen nicht als wirksame Einwilligung. Der Nutzer sollte aktiv seine Zustimmung erteilen. Vorausgewählte Optionen können dazu führen, dass die Einwilligung als unwirksam bewertet wird.

2. Dark Patterns

Dark Patterns sind Gestaltungsmuster, die Nutzer dazu verleiten sollen, der Datenverarbeitung zuzustimmen. Typische Beispiele:

• Farbliche Hervorhebung des “Akzeptieren”-Buttons, während “Ablehnen” grau oder kaum sichtbar dargestellt wird
• Versteckter Ablehnen-Link in der zweiten Ebene des Banners, während “Alle akzeptieren” sofort sichtbar ist
• Irreführende Formulierungen: “Einstellungen” statt “Ablehnen” — der Nutzer wird auf eine Zwischenseite geleitet, was zusätzliche Klicks erfordert
• Wiederholtes Anzeigen des Banners nach Ablehnung, um den Nutzer zur Zustimmung zu bewegen

Die Datenschutzkonferenz (DSK) und europäische Aufsichtsbehörden haben wiederholt darauf hingewiesen, dass Dark Patterns die Freiwilligkeit der Einwilligung in Frage stellen können. Laut DSGVO Art. 7 sollte die Einwilligung freiwillig erfolgen.

3. Fehlender Ablehnen-Button

Ein Cookie Banner, das nur einen “Akzeptieren”-Button anbietet und keine gleichwertige Möglichkeit zur Ablehnung, entspricht nach gängiger Auffassung der Aufsichtsbehörden möglicherweise nicht den Anforderungen. Der Nutzer sollte mit maximal einem Klick ablehnen können — genau wie bei der Zustimmung.

4. Cookies werden vor Einwilligung gesetzt

Ein verbreiteter technischer Fehler: Tracking-Skripte laden bereits beim Seitenaufruf, bevor der Nutzer eine Auswahl getroffen hat. Tools wie Google Analytics oder Facebook Pixel sollten erst nach ausdrücklicher Einwilligung initialisiert werden. Prüfen lässt sich das mit den Browser-Entwicklertools unter “Application” > “Cookies”.

5. Kein Widerruf möglich

Die DSGVO sieht vor, dass eine einmal erteilte Einwilligung jederzeit widerrufen werden kann. Viele Websites bieten nach dem Schließen des Banners keine Möglichkeit mehr, die Cookie-Einstellungen zu ändern. Empfehlenswert ist ein dauerhaft sichtbarer Link (z. B. im Footer: “Cookie-Einstellungen”), über den Nutzer ihre Auswahl jederzeit anpassen können.

Cookieless Alternativen

Wer auf Tracking-Cookies verzichtet, kann unter Umständen ganz ohne Cookie Banner auskommen. Es gibt Analyse-Tools, die ohne Cookies und ohne personenbezogene Datenverarbeitung funktionieren:

Plausible Analytics

Plausible ist ein cookieloses Analyse-Tool aus der EU. Es setzt keine Cookies, speichert keine personenbezogenen Daten und benötigt laut Anbieter keine Einwilligung gemäß § 25 TDDDG, da kein Zugriff auf das Endgerät des Nutzers erfolgt. Die Datenverarbeitung findet auf EU-Servern statt. Plausible bietet Kennzahlen wie Seitenaufrufe, Verweildauer, Herkunft der Besucher und Conversion-Tracking — ohne die rechtlichen Herausforderungen cookie-basierter Tools.

Matomo (Self-Hosted, ohne Cookies)

Matomo kann selbst gehostet und so konfiguriert werden, dass keine Cookies gesetzt werden. In dieser Konfiguration ist in der Regel kein Cookie Banner erforderlich. Wichtig: Matomo bietet auch einen Cookie-basierten Modus — nur die cookielose Variante kommt ohne Banner aus. Der Vorteil von Self-Hosting: Alle Daten verbleiben auf dem eigenen Server, die Abhängigkeit von Drittanbietern entfällt.

Vorteile cookieloser Analyse

• Kein Cookie Banner nötig — bessere Nutzererfahrung, weniger “Banner Fatigue”
• Keine Einwilligungsverwaltung (Consent Management) erforderlich
• Vollständigere Daten, da kein Datenverlust durch Banner-Ablehnung (laut Branchenerhebungen lehnen 30–50 % der Nutzer Tracking-Cookies ab)
• Vereinfachte DSGVO-Compliance
• Schnellere Ladezeiten, da keine CMP-Skripte geladen werden

Tipp: Der Verzicht auf externe Tracking-Dienste reduziert nicht nur den rechtlichen Aufwand, sondern verbessert in der Regel auch die Ladezeit der Website. Auch das Thema Google Fonts und DSGVO lässt sich durch lokales Einbinden elegant lösen — ein weiterer Schritt zur cookielosen Website.

Technische Umsetzung

Wer ein Cookie Banner benötigt, sollte bei der technischen Umsetzung auf folgende Punkte achten:

Consent Management Platforms (CMP)

Für die Verwaltung von Cookie-Einwilligungen gibt es spezialisierte Tools (CMPs). Verbreitete Lösungen sind Cookiebot, Usercentrics oder Klaro. Diese bieten:

• Automatische Erkennung von Cookies auf der Website
• Verwaltung der Einwilligungen mit Dokumentation und Zeitstempel
• Integration des IAB Transparency & Consent Framework (TCF 2.2)
• Blockierung von Skripten bis zur Einwilligung
• Responsive Darstellung auf mobilen Geräten

Bei der Auswahl eines CMP empfehlen wir, auf den Serverstandort (EU), die DSGVO-Konformität des Anbieters selbst und die Möglichkeit einer granularen Steuerung zu achten.

Eigene Implementierung

Eine eigene Lösung ist möglich, erfordert aber sorgfältige Planung:

1. Skript-Blockierung: Tracking-Skripte mit type="text/plain" laden und erst nach Einwilligung aktivieren
2. Einwilligung speichern: Den Consent-Status im LocalStorage oder einem eigenen Cookie speichern (kein Tracking-Cookie)
3. Skripte nachladen: Nach Einwilligung die gewünschten Skripte dynamisch per JavaScript laden
4. Widerruf ermöglichen: Beim Widerruf alle nicht notwendigen Cookies löschen und Skripte deaktivieren
5. Dokumentation: Zeitstempel, Version des Banners und Umfang der Einwilligung protokollieren

Google Tag Manager und Consent Mode

Wer den Google Tag Manager (GTM) nutzt, kann den Google Consent Mode v2 implementieren. Dieser sorgt dafür, dass Google-Dienste erst nach Einwilligung vollständig aktiviert werden. Ohne Einwilligung werden eingeschränkte, cookielose Pings gesendet. Die rechtliche Bewertung dieser Pings ist allerdings noch nicht abschließend geklärt — empfehlenswert ist hier eine individuelle Prüfung.

Checkliste: Cookie Banner korrekt umsetzen

Wer prüfen möchte, ob das eigene Cookie Banner den aktuellen Anforderungen entspricht, kann sich an folgender Checkliste orientieren:

Vor der Implementierung

• Alle Cookies und Tracking-Technologien der Website dokumentieren
• Cookies in “technisch notwendig” und “nicht notwendig” kategorisieren
• Prüfen, ob auf nicht notwendige Cookies verzichtet werden kann (cookieless Alternativen evaluieren)
• Datenschutzerklärung aktualisieren (Cookie-Liste, Zwecke, Speicherdauer, Drittanbieter)

Bei der Implementierung

• Cookie Banner erscheint beim ersten Besuch und blockiert nicht notwendige Cookies bis zur Einwilligung
• “Ablehnen”-Button ist gleichwertig sichtbar wie “Akzeptieren” — keine Dark Patterns
• Keine Checkboxen sind vorausgewählt (aktives Opt-in gemäß BGH I ZR 7/16)
• Granulare Auswahl nach Cookie-Kategorien (Statistik, Marketing, externe Medien) ist möglich
• Link zur Datenschutzerklärung ist im Banner vorhanden
• Widerrufsmöglichkeit ist dauerhaft erreichbar (z. B. Cookie-Symbol im Footer)

Nach der Implementierung

• Technischer Test: Werden vor der Einwilligung tatsächlich keine Tracking-Cookies gesetzt?
• Ablehnungs-Test: Werden bei Klick auf “Ablehnen” keine Analyse- oder Marketing-Cookies gesetzt?
• Widerrufs-Test: Werden Cookies nach dem Widerruf gelöscht und Skripte deaktiviert?
• Mobile Darstellung: Funktioniert das Banner auf Smartphones korrekt?
• Regelmäßige Überprüfung einrichten (empfehlenswert: mindestens quartalsweise)

Wer sich umfassend absichern möchte, findet in unserem Ratgeber zu häufigen Website-Fehlern weitere Hinweise zu typischen Stolperfallen — von Impressum über DSGVO bis hin zum Cookie Banner.

Häufige Fragen

Braucht jede Website ein Cookie Banner?

Nein. Laut § 25 TDDDG Abs. 2 ist ein Cookie Banner nur dann erforderlich, wenn Cookies oder vergleichbare Technologien eingesetzt werden, die nicht technisch notwendig sind. Wer ausschließlich technisch notwendige Cookies verwendet — etwa für Login oder Warenkorb — und auf externe Tracking-Dienste verzichtet, benötigt in der Regel kein Cookie Banner. Empfehlenswert ist dennoch eine transparente Erläuterung in der Datenschutzerklärung.

Was passiert, wenn ein Cookie Banner nicht korrekt umgesetzt ist?

Gemäß DSGVO Art. 83 können die zuständigen Aufsichtsbehörden Bußgelder verhängen, wenn personenbezogene Daten ohne wirksame Einwilligung verarbeitet werden. Darüber hinaus können Wettbewerber oder Verbraucherverbände möglicherweise Abmahnungen aussprechen. Laut BGH I ZR 7/16 gilt eine Einwilligung über vorausgewählte Checkboxen nicht als wirksam. Empfehlenswert ist daher eine regelmäßige Überprüfung des eigenen Cookie Banners.

Kann ich Google Analytics ohne Cookie Banner nutzen?

Google Analytics setzt in der Standardkonfiguration Cookies, die laut § 25 TDDDG Abs. 1 einwilligungspflichtig sind. Zusätzlich werden personenbezogene Daten (u. a. IP-Adressen) an Server in den USA übertragen, was nach DSGVO eine eigene Bewertung erfordert. Wer auf ein Cookie Banner verzichten möchte, kann auf cookielose Alternativen wie Plausible oder Matomo (in cookieloser Konfiguration) umsteigen. Diese bieten in vielen Fällen ausreichende Analyse-Funktionen für kleine und mittlere Unternehmen.