DSGVO-konformer Cookie-Banner: Was Ihr Banner wirklich können muss

Ein Cookie-Banner ist schnell installiert. Ein DSGVO-konformer Cookie-Banner ist erheblich aufwendiger. Der Unterschied liegt im Detail — und die deutschen Datenschutzbehörden kennen genau dieses Detail.

Die Deutsche Datenschutzkonferenz (DSK) hat 2024 aktualisierte Leitlinien zu Consent-Management veröffentlicht. noyb hat in Deutschland hunderte Beschwerden eingereicht. LfDI Baden-Württemberg hat 105.000 € Bußgeld verhängt. Das Thema ist nicht mehr theoretisch.

Die rechtliche Grundlage

Cookie-Einwilligungen in Deutschland beruhen auf zwei Gesetzen:

• § 25 TTDSG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz): Regelt den Zugriff auf Endgeräte-Informationen — also das Setzen und Auslesen von Cookies. Gilt technologieneutral, auch für Local Storage und ähnliche Technologien.
• Art. 6 und Art. 7 DSGVO: Regeln die Verarbeitung personenbezogener Daten, die nach dem Cookie-Auslesen folgt. Die Einwilligung muss "freiwillig, spezifisch, informiert und eindeutig" sein.

Beide müssen erfüllt werden. Ein Banner, der nur DSGVO-konform ist, aber § 25 TTDSG verletzt, ist trotzdem rechtswidrig.

Was eine gültige Einwilligung erfordert

Freiwilligkeit

Die Einwilligung ist nur gültig, wenn sie wirklich freiwillig erteilt wird. Das schließt aus:

• Cookie-Walls: Den Zugang zur Website vom Akzeptieren von Tracking-Cookies abhängig zu machen ist verboten (DSK-Beschluss März 2022). Ausnahme: ein angemessenes, kostenpflichtiges Modell als Alternative (z.B. "Abonnieren oder akzeptieren" — noch rechtlich umstritten).
• Pay-or-OK-Modelle haben in den letzten Jahren Aufmerksamkeit erzeugt. Der EuGH hat in der Entscheidung C-446/21 (Schrems vs. Meta) klargestellt, dass Nutzerdaten kein Zahlungsersatz sind. Die Rechtslage für kleine Verlage ist weiterhin im Fluss.

Aktive Bestätigung

Die Einwilligung muss durch eine eindeutige bestätigende Handlung gegeben werden — also einen Klick auf "Akzeptieren". Folgende Varianten sind keine gültige Einwilligung:

• Weitersurfen als Zustimmung ("Durch das weitere Nutzen der Website stimmen Sie zu")
• Vorausgefüllte Checkboxen
• Ein Banner, der nach 10 Sekunden verschwindet und als Zustimmung gilt

Granularität

Verschiedene Kategorien müssen getrennt einwilligungsfähig sein. Ein einheitliches "Alles akzeptieren" ohne Möglichkeit, z.B. Analytics ohne Marketing-Cookies zu erlauben, ist nicht optimal — aber nach aktuellem Stand noch nicht generell unzulässig, solange auch "Alles ablehnen" möglich ist.

Die DSK empfiehlt in ihren Leitlinien: Zumindest zwischen "technisch notwendig", "Analyse" und "Marketing" sollte unterschieden werden.

Die häufigsten Design-Fehler (Dark Patterns)

noyb hat diese Muster systematisch analysiert und als "Dark Patterns" eingestuft, die das Einwilligungsrecht aushöhlen:

Das große-kleine-Button-Problem

"Alles akzeptieren" als auffälliger farbiger Button, "Ablehnen" oder "Einstellungen" als kleiner grauer Link. Das ist der häufigste Verstoß. Der EuGH und mehrere nationale Behörden haben klargestellt: Optionen müssen optisch gleichwertig präsentiert werden.

Lösung: Beide Buttons gleich groß, gleiche Schrift, gleiche Farbe (oder bewusst neutrale Farben für beide). Der grüne "Akzeptieren"-Button und der graue Text-Link daneben muss umgestaltet werden.

Fehlender Direkt-Ablehnen-Knopf auf erster Ebene

Viele Banner bieten auf der ersten Ebene nur "Akzeptieren" und "Einstellungen". "Ablehnen" ist erst nach einem weiteren Klick in den Einstellungen möglich. Deutsche Behörden und der EuGH erwarten, dass "Ablehnen" auf der ersten Ebene erreichbar ist.

Vorausgefüllte Kategorien

Marketing-Cookies auf "Aktiv" voreingestellt, der Nutzer muss aktiv deaktivieren. Das entspricht nicht dem Opt-in-Prinzip.

Irreführende Formulierungen

"Ich stimme der Nutzung von Cookies zu, um die Website besser zu machen" klingt harmlos, umfasst aber Marketing-Tracking. Formulierungen müssen klar beschreiben, was genau passiert.

Technische Anforderungen

Keine Vorab-Skripte

Das ist eine technische Grundanforderung: Tracking-Skripte dürfen nicht geladen werden, bevor der Nutzer seine Wahl getroffen hat. In der Praxis prüfen die Behörden genau das — mit Browser-Entwicklertools sehen sie, welche Anfragen an Drittanbieter gehen, während der Banner noch offen ist.

Viele günstig konfigurierte Consent-Plattformen laden Skripte "optimistisch" vor und unterbrechen bei Ablehnung. Das ist falsch. Die Reihenfolge muss sein: Banner erscheint → Nutzer entscheidet → erst dann laden Skripte.

Widerrufsmöglichkeit dauerhaft zugänglich

Nutzer müssen ihre Einwilligung jederzeit widerrufen können. Das bedeutet: ein dauerhafter Link zu den Cookie-Einstellungen auf jeder Seite (häufig als kleines Symbol oder Footer-Link). Beim Klick öffnet sich derselbe oder ein ähnlicher Dialog wie beim ersten Besuch.

Einwilligungsnachweis

Art. 7 Abs. 1 DSGVO: "Der Verantwortliche muss nachweisen können, dass die betroffene Person in die Verarbeitung [...] eingewilligt hat." Das bedeutet: Ihre Consent-Plattform muss Zeitpunkt, Umfang und technischen Fingerabdruck der Einwilligung speichern. Bei Nachfragen durch Aufsichtsbehörden müssen Sie das vorlegen können.

Welche Consent-Management-Plattform wählen?

Eine gute CMP nimmt Ihnen die technischen Details ab. Worauf es ankommt:

• Nachweis der Einwilligungen (Audit-Log)
• Keine Vorab-Skripte (korrekte Blocking-Logik)
• TCF 2.2-Zertifizierung (wenn Sie IAB-Framework-kompatible Werbung verwenden)
• Unterstützung für deutsche Rechtsanforderungen (§ 25 TTDSG)

Gängige CMPs: Usercentrics, Cookiebot (Cookiebot by Usercentrics), OneTrust, Borlabs Cookie (WordPress). Die Kosten beginnen bei etwa 8 €/Monat.

Prüfen Sie jetzt, ob Ihr Cookie-Banner die Anforderungen erfüllt — kostenloser DSGVO-Scanner.