Brauche ich einen Cookie-Banner? Die DSGVO-Pflicht für deutsche Websites

Jemand hat Ihnen gesagt, Sie brauchen einen Cookie-Banner. Ein anderer sagt, es kommt darauf an. Cookiebanner-Anbieter wollen Ihnen am liebsten ein Monatsabo verkaufen. Die rechtliche Wahrheit ist einfacher — aber die meisten Websites kommen ihr nicht nach.

Die Pflicht zur Cookie-Einwilligung ergibt sich in Deutschland aus zwei Rechtsquellen: dem § 25 TTDSG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, seit Dezember 2021) und der DSGVO Art. 6. Das TTDSG schützt den Endnutzer beim Zugriff auf Endgeräte; die DSGVO regelt die Verarbeitung personenbezogener Daten. Beide greifen in der Praxis zusammen.

Die entscheidende Ausnahme steht in § 25 Abs. 2 TTDSG: Cookies, die "unbedingt erforderlich" sind, um einen vom Nutzer ausdrücklich gewünschten Dienst zu erbringen, brauchen keine Einwilligung.

Wann Sie keinen Cookie-Banner brauchen

Ihre Website kommt ohne Banner aus, wenn sie ausschließlich technisch notwendige Cookies setzt. Dazu gehören:

• Session-Cookies — halten Sie während eines Besuchs eingeloggt
• Warenkorb-Cookies — merken sich Produkte im Einkaufswagen
• CSRF-Schutz-Tokens — schützen Formulare vor Missbrauch
• Lastverteilungs-Cookies — technische Infrastruktur des Servers

Wenn Ihre Website nichts weiter lädt — keine externen Skripte, keine eingebetteten Videos, keine Analysedienste — brauchen Sie keinen Banner. Nur eine Datenschutzerklärung, die erklärt, welche Session-Daten verarbeitet werden.

Das trifft in der Praxis auf sehr wenige Websites zu.

Die häufigsten Quellen, die einen Banner erforderlich machen

Google Analytics und GA4

Google Analytics setzt die Cookies _ga, _gid und _ga_XXXXXXXX. Diese Cookies weisen jedem Besucher eine eindeutige Client-ID zu, die über Sitzungen hinweg bestehen bleibt. Das ist kein technisch notwendiger Cookie — es ist Tracking. Die Einwilligung muss eingeholt werden, bevor das Skript lädt.

Es gibt eine datenschutzfreundliche Alternative: Tools wie Plausible Analytics oder Matomo (selbst gehostet, ohne Cookies) kommen ohne Einwilligung aus und liefern trotzdem nützliche Reichweitendaten.

Google Fonts extern geladen

Wenn Ihre Website Schriftarten von fonts.googleapis.com lädt, schickt der Browser jedes Besuchers die IP-Adresse an Google-Server in den USA. Das ist eine Datenübermittlung ohne Rechtsgrundlage. Das Landgericht München I entschied am 20. Januar 2022 (Az. 3 O 17493/20), dass ein Schadensersatz von 100 € gerechtfertigt ist. Die bessere Lösung: Schriftarten lokal hosten statt extern laden.

YouTube-Einbettungen

Ein Standard-YouTube-iframe setzt Cookies (VISITOR_INFO1_LIVE, YSC) und sendet Tracking-Daten, noch bevor der Besucher auf Abspielen klickt. Der Modus youtube-nocookie.com schiebt die Cookie-Setzung bis zum tatsächlichen Abspielen hinaus — eine erhebliche Verbesserung, aber noch keine vollständige Befreiung von der Einwilligungspflicht.

Meta Pixel, LinkedIn Insight Tag, Google Ads

Marketing-Pixel sind eindeutige Tracking-Technologien. Sie müssen nach ausdrücklicher Einwilligung laden, nicht davor.

WordPress-Plugins und Themes

Viele WordPress-Themes laden Google Fonts, Font Awesome oder jQuery von externen CDNs. Kontaktformular-Plugins binden Google reCAPTCHA ein. Ein Slider legt Analytics-Cookies. Diese Quellen sind oft nicht sichtbar, wenn man nur die Plugin-Liste anschaut — man muss den Netzwerkverkehr der Seite prüfen.

Prüfen Sie Ihre Website mit unserem kostenlosen DSGVO-Scanner und sehen Sie, welche Cookies und externen Verbindungen tatsächlich geladen werden.

Was Ihr Cookie-Banner leisten muss

Wenn Sie einen Banner brauchen, muss er bestimmte Anforderungen erfüllen. Das ist nicht optional — die deutschen Datenschutzbehörden kontrollieren aktiv.

Ablehnen muss genauso einfach sein wie Akzeptieren

noyb hat das als "Reject All"-Prinzip bekannt gemacht. Ein großer grüner "Alles akzeptieren"-Button und ein kleiner grauer "Einstellungen"-Link darunter ist kein gleichwertiges Angebot. Die Autorität für Datenschutz in Bayern (BayLDA) hat 2024 mehrere Unternehmen aufgefordert, ihre Banner zu überarbeiten, nachdem noyb Beschwerden eingereicht hatte.

Keine vorausgefüllten Häkchen

Tracking-Kategorien müssen standardmäßig deaktiviert sein. Vorausgefüllte Checkboxen gelten nicht als gültige Einwilligung unter Art. 4 Nr. 11 DSGVO.

Keine Cookies vor der Entscheidung

Kein Tracking-Skript darf laden, bevor der Besucher eine Wahl getroffen hat. Die meisten günstig konfigurierten Consent-Management-Plattformen laden Skripte "nachträglich" oder schieben die Einwilligung um. Das ist eine Verletzung von § 25 TTDSG.

Kein Cookie-Wall

Sie dürfen den Zugang zu Ihrer Website nicht davon abhängig machen, dass Besucher Tracking-Cookies akzeptieren. Die deutschen Behörden sehen Cookie-Walls als Verstoß gegen das Freiwilligkeitsprinzip.

Entscheidungstabelle: Brauche ich einen Banner?

Was die Behörden tatsächlich tun

Die deutschen Datenschutzbehörden sind aktiv. Folgende Fälle zeigen, was auf dem Spiel steht:

• LfDI Baden-Württemberg, 2024: 105.000 € Bußgeld für einen Cookie-Banner mit manipulativem Design (kleiner Ablehnungslink, großer Akzeptieren-Button).
• noyb, 2023: 422 Beschwerden in Deutschland wegen DSGVO-widriger Cookie-Banner — alle an die zuständigen Landesdatenschutzbehörden weitergeleitet.
• DSK-Beschluss, 2024: Die Datenschutzkonferenz (gemeinsames Gremium der deutschen DPAs) hat Leitlinien für konformes Consent-Management veröffentlicht, die ausdrücklich das "Nudging" durch Designmuster verbieten.

Ein schlecht konfigurierter Cookie-Banner ist keine Kleinigkeit mehr.

Zusammenfassung

Die meiste Zeit lautet die Antwort: Ja, Sie brauchen einen Cookie-Banner. Aber nicht immer. Wenn Ihre Website ausschließlich technisch notwendige Cookies setzt und keine externen Dienste einbindet, kommen Sie ohne Banner aus.

Wollen Sie sicher wissen, wo Ihre Website steht? Prüfen Sie jetzt Ihre Website kostenlos mit unserem DSGVO-Scanner. In zwei Minuten sehen Sie, welche Cookies geladen werden und was Sie anpassen müssen.