Zum Hauptinhalt springen
<digital.mann/>
Zurück zum Blog
Entwicklung7 Min. Lesezeit

Datenschutz & Cookie-Banner 2026: Was Websites wirklich brauchen

Cookie-Banner nerven — aber falsch umgesetzt riskierst du Abmahnungen. Was DSGVO und TDDDG konkret fordern, welche Cookies einwilligungspflichtig sind und wie ein rechtssicherer Banner aussieht.

Abmahnung wegen Cookie-Banner — kein Einzelfall

Wir sitzen regelmäßig in Erstgesprächen mit Unternehmern aus Mannheim, Heidelberg und der ganzen Metropolregion Rhein-Neckar — und ein Thema kommt dabei erstaunlich oft auf: Cookie-Banner. Nicht weil die Leute danach fragen, sondern weil sie eine Abmahnung bekommen haben. Ein Handwerksbetrieb, ein Onlineshop, eine Arztpraxis: alle nicht wegen ihres Kerngeschäfts, sondern wegen ihres Cookie-Banners. Oder wegen dessen Fehlen.

Seit der DSGVO 2018 in Kraft getreten ist und das TDDDG (damals noch als TTDSG) 2021 den Rahmen konkretisiert hat, haben Verbraucherzentralen und Abmahnvereine systematisch Websites geprüft. Wer Google Analytics ohne Einwilligung einbindet, wer Ablehnen-Buttons versteckt oder wer technisch nicht notwendige Cookies beim ersten Seitenaufruf setzt, riskiert Abmahnungen mit Streitwerten im vier- bis fünfstelligen Bereich.

Dieser Artikel zeigt, was die Rechtslage 2026 konkret bedeutet, welche Cookies tatsächlich Einwilligung brauchen und wie ein Banner aussieht, der rechtlichen Anforderungen standhält — ohne die Nutzererfahrung unnötig zu belasten.

Rechtlicher Rahmen: DSGVO und TDDDG

Die DSGVO (Datenschutz-Grundverordnung) regelt seit Mai 2018 EU-weit den Umgang mit personenbezogenen Daten. Sie gilt für jede Organisation, die Daten von EU-Bürgern verarbeitet — unabhängig davon, ob der Betreiber in der EU sitzt. Für Websites bedeutet das: Jede Erhebung, Speicherung oder Weitergabe personenbezogener Daten braucht entweder eine Rechtsgrundlage oder eine informierte Einwilligung.

Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, bis Mai 2024 unter dem Namen TTDSG bekannt) ergänzt die DSGVO auf nationaler Ebene und setzt die ePrivacy-Richtlinie der EU in deutsches Recht um. Es regelt konkret den Zugriff auf Endgeräte — also das Setzen und Lesen von Cookies. Entscheidend: Das TDDDG stellt auf den Gerätezugriff ab, nicht auf die Verarbeitung personenbezogener Daten. Das heißt, selbst ein Cookie, das keine personenbezogenen Daten enthält, kann nach TDDDG einwilligungspflichtig sein, wenn er nicht technisch notwendig ist.

Zusammengefasst: Die DSGVO regelt was mit den Daten passiert. Das TDDDG regelt bereits den Moment des Zugriffs auf das Gerät. Beide Gesetze greifen ineinander — und beide müssen beachtet werden.

Welche Cookies brauchen Einwilligung?

Nicht jedes Cookie ist gleich. Die Einwilligungspflicht hängt vom Zweck ab:

Technisch notwendige Cookies sind einwilligungsfrei. Dazu zählen Session-Cookies für eingeloggte Nutzer, Warenkörbe in Onlineshops oder Cookies, die die gewählte Spracheinstellung speichern. Diese dürfen ohne Zustimmung gesetzt werden, weil sie für den Betrieb der Website unmittelbar erforderlich sind.

Analyse-Cookies (z.B. Google Analytics, Matomo mit IP-Speicherung) messen das Nutzerverhalten. Sie sind nicht technisch notwendig und brauchen daher eine Einwilligung — auch wenn der Betreiber das Interesse hat, seine Website zu verbessern. "Berechtigtes Interesse" als Rechtsgrundlage reicht hier nach geltender Rechtsprechung nicht aus.

Marketing- und Tracking-Cookies (z.B. Google Ads, Meta Pixel, LinkedIn Insight Tag) erstellen Nutzerprofile und ermöglichen zielgruppenspezifische Werbung. Diese sind immer einwilligungspflichtig, ohne Ausnahme.

Social-Media-Einbindungen wie eingebettete YouTube-Videos oder Facebook-Like-Buttons übermitteln beim Laden der Seite Daten an die jeweiligen Plattformen — auch ohne Klick. Sie setzen in der Regel Cookies und brauchen deshalb eine vorherige Einwilligung oder müssen als Two-Click-Lösung eingebunden werden.

Was ein rechtskonformer Cookie-Banner leisten muss

Ein Banner, der nur "Akzeptieren" anbietet, ist kein Consent-Banner — es ist eine Falle. Die Aufsichtsbehörden haben die Anforderungen in den letzten Jahren präzisiert:

Klare Kategorien. Nutzer müssen verstehen, welche Art von Cookies sie akzeptieren oder ablehnen. Mindestens drei Kategorien sind sinnvoll: technisch notwendig (immer aktiv, nicht abwählbar), Statistik, Marketing. Jede Kategorie sollte kurz erläutern, welche Dienste darunter fallen.

Ablehnen muss so einfach sein wie Akzeptieren. Das ist die zentrale Anforderung aus der DSGVO-Rechtsprechung. Wenn "Alle akzeptieren" ein prominenter Button auf der ersten Ebene ist, muss "Alle ablehnen" gleichwertig platziert sein — gleiche Größe, gleiche Sichtbarkeit, gleiche Ebene. Ein Ablehnen-Link im Kleingedruckten genügt nicht.

Keine Dark Patterns. Vorausgewählte Checkboxen für nicht notwendige Cookies, irreführende Formulierungen wie "Cookies verwalten" statt "Ablehnen", oder ein Banner, der beim Scrollen verschwindet ohne Einwilligung einzuholen — all das sind Dark Patterns, die von Aufsichtsbehörden explizit beanstandet werden. Der Europäische Datenschutzausschuss (EDSA) hat dazu 2022 konkrete Leitlinien veröffentlicht, die weiterhin gelten.

Widerrufsmöglichkeit jederzeit. Wer einmal zugestimmt hat, muss diese Zustimmung ebenso einfach widerrufen können. In der Praxis bedeutet das: ein dauerhaft zugänglicher Link, oft im Footer als "Cookie-Einstellungen", der den Banner erneut öffnet.

Consent Management Platforms: Ein kurzer Vergleich

Für die meisten KMU ist eine spezialisierte Consent Management Platform (CMP) die pragmatischste Lösung. Sie übernehmen die technische Umsetzung, protokollieren Einwilligungen und werden bei Gesetzesänderungen aktualisiert.

Cookiebot (Usercentrics-Gruppe) ist weit verbreitet und bietet automatisches Cookie-Scanning. Preislich beginnt es bei rund 9 Euro im Monat. Für kleinere Websites mit wenigen Domains gut geeignet.

Usercentrics richtet sich eher an mittlere und größere Unternehmen mit komplexeren Anforderungen. Die Oberfläche ist umfangreicher, die Einrichtung aufwendiger, dafür ist die Kontrolle granularer.

Borlabs Cookie ist ein WordPress-Plugin und daher besonders für WordPress-Seiten interessant. Einmalige Lizenz statt Monatsgebühr, gute Integration ins CMS. Wichtig: Auch hier muss die Konfiguration korrekt sein — das Plugin allein schützt nicht vor Verstößen.

Wer auf Datensouveränität setzt, kann Klaro (Open Source) oder Matomo mit Consent Manager nutzen. Das setzt mehr technisches Know-how voraus, ermöglicht aber vollständige Kontrolle ohne externe Abhängigkeiten.

Google Analytics 4 datenschutzkonform einbinden

Google Analytics 4 ist weiterhin das meistgenutzte Analysetool — und weiterhin ein Datenschutz-Risiko, wenn es falsch eingebunden wird. Seit 2024 verlangt Google für seine Werbenetzwerke den Consent Mode v2, der festlegt, wie GA4 auf das Einwilligungsverhalten der Nutzer reagiert.

Im Kern: GA4 darf erst nach Einwilligung vollständige Daten erheben. Ohne Einwilligung sendet es nur aggregierte, nicht personenbezogene Signale. Das setzt voraus, dass der Consent Mode korrekt konfiguriert ist und eng mit dem CMP zusammenarbeitet.

Praxistipp: Der von Google empfohlene Weg ist Consent Mode v2 mit Standard-Ablehnung. GTM lädt dabei wie gewohnt, aber alle Consent-Signale werden vor dem GTM-Start auf denied gesetzt. GTM operiert dann im cookielosen Modus und überträgt nur aggregierte, nicht personenbezogene Signale — bis der Nutzer aktiv einwilligt. Erst nach Einwilligung schaltet der Consent Mode die entsprechenden Signale auf granted und GA4 erhebt vollständige Daten.

Aus unserer Praxis: Bei einem Projekt für einen Dienstleister aus Schwetzingen haben wir das klassische Gegenproblem gesehen: GA4 war korrekt hinter einem Consent-Banner versteckt, aber der GTM-Container hatte keinen Consent Mode v2 — und damit übertrug ein eingebundenes Remarketing-Tag trotzdem Daten vor der Einwilligung. Nach der Umstellung auf Consent Mode v2 mit korrekten Defaults war das Problem vollständig behoben. Solche Konfigurationsfehler sehen wir häufig, gerade wenn Banner und Tracking-Setup nicht von derselben Hand stammen.

Die offizielle Dokumentation von Google zum Consent Mode v2 findest du unter support.google.com/analytics.

Was bei Verstößen passiert

Die Konsequenzen bei Datenschutzverstößen sind zweigeteilt:

Abmahnungen durch qualifizierte Einrichtungen (Verbraucherzentrale, Abmahnvereine) sind der häufigste Weg, den kleine und mittlere Unternehmen kennenlernen. Streitwerte von 5.000 bis 15.000 Euro sind keine Seltenheit. Die Abmahnwelle rund um Cookie-Banner hat seit 2022 zugenommen, nicht abgenommen.

Bußgelder der Datenschutzbehörden können nach DSGVO bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen — je nachdem, welcher Betrag höher ist. Für KMU sind die realen Bußgelder niedriger, aber auch Beträge im vier- bis fünfstelligen Bereich können ein Unternehmen empfindlich treffen. Der Bundesbeauftragte für den Datenschutz veröffentlicht regelmäßig aktuelle Entscheidungen und Leitlinien.

Zusätzlich drohen Reputationsschäden und, bei schwerwiegenden Verstößen, zivilrechtliche Ansprüche betroffener Nutzer.

Checkliste: Was muss auf meiner Website stimmen?

  • Kein nicht notwendiger Cookie wird vor Einwilligung gesetzt
  • Der Cookie-Banner erscheint beim ersten Besuch, bevor Analytics oder Marketing-Skripte laden
  • "Alle ablehnen" ist gleichwertig platziert wie "Alle akzeptieren"
  • Keine vorausgewählten Checkboxen für nicht notwendige Kategorien
  • Cookie-Einstellungen sind jederzeit im Footer erreichbar und widerrufbar
  • Die Datenschutzerklärung listet alle eingesetzten Dienste, Zwecke und Empfänger
  • Bei Google Analytics 4: Consent Mode v2 ist korrekt konfiguriert
  • Einbettungen (YouTube, Maps, Social) werden erst nach Einwilligung geladen
  • Einwilligungen werden protokolliert (Zeitstempel, Version des Banners, gegebene Auswahl)

Datenschutzerklärung: Wann aktualisieren?

Die Datenschutzerklärung ist kein Einmaldokument. Sie muss aktuell sein — das heißt, sie muss jeden Dienst abbilden, den die Website tatsächlich nutzt. Wer einen neuen Newsletter-Anbieter einführt, ein Kontaktformular anbindet oder ein Analyse-Tool wechselt, muss die Erklärung anpassen, bevor der Dienst live geht.

Eine jährliche Prüfung ist Mindeststandard. Besser: bei jeder Änderung am Tech-Stack der Website sofort aktualisieren. Die Texte sollten von einem Anwalt oder einer spezialisierten Kanzlei geprüft sein — Generator-Texte aus dem Internet sind ein Ausgangspunkt, aber kein Ersatz für eine individuelle Prüfung.

Den gesetzlichen Rahmen der DSGVO kannst du unter datenschutz-grundverordnung.eu nachlesen.

Datenschutz als Teil des Website-Projekts

Datenschutz ist kein Anhang, den man nach dem Launch noch schnell erledigt. Er gehört von Anfang an in jedes Website-Projekt — in die Technikwahl, in die Einbindung von Drittdiensten, in die Struktur des Banners. Wer das von Beginn an richtig plant, hat weniger Aufwand und deutlich weniger Risiko.

Ähnlich verhält es sich mit der digitalen Barrierefreiheit nach dem BFSG: Beide Themen sind rechtlich relevant, beide lassen sich sauber in ein Webprojekt integrieren — wenn man sie nicht als lästige Pflicht, sondern als Teil solider Arbeit versteht.

Wir implementieren DSGVO-konforme Cookie-Lösungen für Websites und Shops in Mannheim, Frankenthal und der gesamten Rhein-Neckar-Region — und deutschlandweit. Wenn du wissen möchtest, wo deine Website aktuell steht, meld dich einfach. Ein Datenschutz-Check ist Teil unseres kostenlosen Erstgesprächs — konkret, ohne Verkaufsdruck, mit klaren Handlungsempfehlungen. Jetzt Erstgespräch anfragen oder mehr über unsere Leistungen erfahren.

MA

Mehmet

digitalmann — Erfahrung, die man nicht googeln kann.

Mehmet (alias digitalmann) digitalisiert seit über 20 Jahren Unternehmen — KMU, Handwerksbetriebe, Kanzleien, Online-Händler. Was hier steht, kommt aus hunderten Projekten: Websites, Shops, CRM- und ERP-Systeme. KI-Werkzeuge helfen bei der Aufbereitung. Das Urteil bleibt seines.

Aktualisiert: 11. April 2026

Kostenloses Erstgespräch

Bereit loszulegen?

Wir melden uns innerhalb von 24 Stunden mit einem unverbindlichen Angebot.

Jetzt anfragen
Keine versteckten KostenAntwort in 24hPersönliche Betreuung