Cookie-Consent-Banner

Wer eine Website oder einen Online-Shop betreibt, kommt an der Auseinandersetzung mit den Themen Cookie-Consent-Banner, Einwilligungen und Informationen für Betroffene nicht vorbei. Seit dem Planet49-Urteil und vor allem den daraus resultierenden Regelungen im Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) ist klar: „Ein bisschen Analytics nebenbei“ funktioniert nicht mehr. Fehler beim Einwilligungsmanagement sind heute immer noch ein Compliance- und Reputationsrisiko und auch ein Nutzerinterface-Problem – gerade für kleine und mittlere Unternehmen.

Zustimmung vs. Informationspflicht

Viele Unternehmen gehen davon aus, dass jede Datenverarbeitung auf ihrer Website eine Einwilligung benötigt. Tatsächlich unterscheidet das Datenschutzrecht sehr genau: Zwischen Fällen, in denen Sie als Verantwortliche lediglich informieren müssen und Situationen, in denen Sie zusätzlich eine ausdrückliche Zustimmung (Consent) der betroffenen Personen brauchen. Gerade beim Thema Cookies und Tracking verschwimmen diese Linien in der Praxis häufig.

Die Datenschutzerklärung ist dabei der Ausgangspunkt. Sie ist der „Beipackzettel“ Ihrer Datenverarbeitung auf Ihre Website oder App: Hier legen Sie offen, welche personenbezogenen Daten Sie zu welchen Zwecken verarbeiten, auf welcher Rechtsgrundlage das geschieht, wie lange gespeichert wird und welche Rechte die betroffenen Personen haben. Diese Betroffeneninformation ist immer erforderlich, unabhängig davon, ob die Verarbeitung auf Vertrag, gesetzlicher Pflicht, berechtigtem Interesse oder einer Einwilligung beruht. Mit anderen Worten: Informieren müssen Sie immer.

So sollte ein Cookie-Consent-Banner gestaltet sein.

Eine Einwilligung und damit ein Consent-Banner kommt erst dann ins Spiel, wenn eine Datenverarbeitung nicht schon auf einer anderen tragfähigen Rechtsgrundlage stehen kann oder besonders eingriffsintensiv ist. Im Online-Kontext geht es dabei typischerweise um Maßnahmen, die über das technisch Notwendige hinausgehen: etwa Analyse- und Marketingtools, Remarketing, bestimmte Social-Media-Integrationen oder Komfortfunktionen, die ein Nutzungsprofil erstellen können und hier auch dann, wenn dies durch Dritte sogenannte 3rd-Parties geschieht. Klassische Beispiele sind die Integration von YouTube-Video oder von Google-Maps. Hier genügt es nicht, nur in der Datenschutzerklärung zu informieren, hier braucht es ein bewusstes „Ja“ der Nutzer, also die explizite Zustimmung.

Cookies und vergleichbare Technologien sind genau an dieser Schnittstelle angesiedelt. Einige Cookies sind schlicht erforderlich, damit Ihre Website oder Ihr Online-Shop überhaupt sinnvoll funktioniert. Hier reicht in der Regel eine transparente Information für die Betroffenen, wofür die Zurverfügungstellung der Datenschutzerklärung ausreichend ist. Andere Cookies und Tracking-Technologien dienen vor allem Auswertung und Marketing und greifen deutlich tiefer in die Privatsphäre ein, hier ist ein wirksamer Consent der Nutzer die zentrale Voraussetzung.

Um zu verstehen, wie ein rechtssicheres und nutzerfreundliches Cookie-Banner heute aussehen sollte, ist diese Unterscheidung entscheidend: Wann informiere ich „nur“ und wann hole ich zusätzlich eine Einwilligung ein?

Oft ist aber auch bei der zustimmungspflichtigen Datenverarbeitung kein Consent-Banner notwendig und kann am Beispiel der Einbindung eines YouTube-Videos verdeutlicht werden: Es ist technisch möglich ein Video und der damit verbundenen Datenverarbeitung durch Google erst dann zuzustimmen und das Video abzuspielen, wenn der Nutzer sich das Video auch wirklich anschauen möchte. Dadurch kann in vielen Fällen der Einsatz eines Consent-Banners überflüssige sein. Denn durch die Nutzung eines Consent-Banners selbst kann auch wiederum eine zustimmungspflichtige Datenverarbeitung stattfinden.

Es bedarf nicht immer eines Banners, wenn die Einwilligung unmittelbar vor dem Abspielen eines Videos eingeholt wird.

Oft ist auch die Gestaltung eines Consent-Banners fehlerhaft. Der Nutzer muss die Option haben, der Verarbeitung zu widersprechen oder zuzustimmen, ohne, dass grafisch auf eine Zustimmung hingewirkt wird. Zum Beispiel durch rote oder grüne Buttons für die Ablehnung bzw. Zustimmung.

Im Weiteren finden Sie die ausführliche, rechtliche Darstellung zum Cookie-Consent-Banner.

1. Was sind „Cookies“ – und was fällt noch alles darunter?

Wenn von „Cookies“ die Rede ist, geht es rechtlich längst nicht mehr nur um kleine Textdateien im Browser. Das Gesetz spricht neutral vom Zugriff auf Informationen in Endeinrichtungen. Damit gemeint sind alle Geräte, die Nutzer einsetzen (Smartphone, Tablet, Laptop, Smart-TV usw.). Dazu zählen u. a.:

  • klassische HTTP-Cookies
  • Local Storage, Session Storage
  • Tracking-Pixel
  • Fingerprinting-Technologien
  • mobile SDKs in Apps

Sobald auf dem Endgerät Informationen gespeichert oder ausgelesen werden, sind wir im Anwendungsbereich von § 25 TDDDG mit der Grundregel: ohne Einwilligung geht nur das, was unbedingt erforderlich ist.

2. Der Rechtsrahmen 2025 im Überblick

2.1 Doppelter Blick: TDDDG & DSGVO

Für ein rechtssicheres Cookie-Management müssen Sie zwei Ebenen trennen:

  • Endgerätezugriff: Darf ich Cookie & Co. überhaupt setzen/auslesen
    • Geregelt in § 25 TDDDG (Umsetzung von Art. 5 Abs. 3 ePrivacy-Richtlinie)
    • Grundsatz: Einwilligung, außer bei „unbedingt erforderlichen“ Technologien.
  • Weiterverarbeitung personenbezogener Daten: Was passiert mit den Daten danach?

Erst wenn beide Ebenen geprüft sind, ist der Einsatz eines Tools wirklich sauber.

2.2 Planet49 & BGH: Opt-in, nicht Opt-out

Der EuGH hat im Fall Planet49 (C-673/17) und der BGH in „Cookie-Einwilligung II“ (I ZR 7/16) klargestellt:

  • Vorangekreuzte Kästchen sind unzulässig.
  • Nutzer müssen aktiv zustimmen (Opt-in).
  • Es reicht nicht, „irgendwo“ auf der Seite zu informieren, die Einwilligung erfordert klare, umfassende und hervorgehobene Informationen.

Damit ist das Kapitel „Wir setzen Cookies, wenn Sie einfach weitersurfen“ endgültig geschlossen.

3. Wann brauchen Sie eine Einwilligung – und wann nicht?

3.1 Unbedingt erforderlich vs. alles andere

§ 25 Abs. 2 TDDDG erlaubt den Einsatz ohne Einwilligung nur in eng umgrenzten Fällen. Praxisrelevant ist vor allem die Ausnahme, wenn die Technologie unbedingt erforderlich ist, um einen vom Nutzenden ausdrücklich gewünschten Dienst zur Verfügung zu stellen.

Typische Beispiele ohne Einwilligung:

  • Warenkorb-Cookies im Online-Shop
  • Login-/Session-Cookies
  • Sprachauswahl, Consent-Storage (Nachweis der Einwilligung selbst)
  • Sicherheitsmechanismen (z. B. zur Missbrauchserkennung)

Einwilligung ist in der Praxis regelmäßig erforderlich für:

  • Webanalyse (z. B. Google Analytics, auch GA4, Matomo mit personalisiertem Tracking)
  • Marketing- & Remarketing-Cookies (Google Ads, Meta, LinkedIn, etc.)
  • Social Media Plugins
  • Externe Medien (YouTube, Vimeo, Map-Dienste mit Tracking)
  • Tools, die Daten in Drittländer übertragen, insbesondere in die USA, wenn sie nicht streng auf „nur technisch notwendig“ beschränkt sind.

Die häufig anzutreffende Idee „Analytics auf berechtigtes Interesse“ ist unter TDDDG/DSK-Linie für Standardtracking kaum noch tragfähig.

4. Serverseitiges Tracking & „cookieless“ Lösungen – ändert das wirklich etwas?

Es gibt den Shift weg vom klassischen Third-Party-Cookie hin zu:

  • Server-Side Tagging (z. B. Server-Side Google Tag Manager)
  • Conversion APIs (Meta, Google, etc.)
  • sogenannte „cookieless“ Tracking-Ansätze

Die Werbebranche verfolgt damit ein Ziel: Weniger Abhängigkeit vom Browser, weniger Blockaden durch Adblocker und Browser-Schutzmechanismen.

Allerdings bedeutet kein Cookie nicht automatisch keine Einwilligung.

Denn:

  • Auch serverseitiges Tracking basiert meist auf Informationen aus dem Endgerät (z. B. IDs, Parameter, Fingerprinting), die nach § 25 TDDDG weiterhin einwilligungsbedürftig sein können.
  • Unabhängig davon bleibt die Übermittlung personenbezogener Daten an Drittanbieter (z. B. in die USA) eine Verarbeitung nach DSGVO. Hier ist für Marketingzwecke regelmäßig Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich.

Serverseitige Modelle verlagern also vor allem die technische Kontrolle, während die rechtlichen Anforderungen bleiben.

5. Anforderungen an eine wirksame Einwilligung

Die DSGVO definiert in Art. 4 Nr. 11 und Art. 7 klare Kriterien. Eine Einwilligung muss:

  1. freiwillig sein
  2. für einen bestimmten Zweck erfolgen
  3. informiert sein
  4. unmissverständlich abgegeben werden
  5. jederzeit widerrufbar sein

Was heißt das konkret für Cookie-Banner?

  • Freie Entscheidung:
    • „Alle akzeptieren“ darf nicht die einzige prominente Option sein.
    • Es braucht eine gleichwertige Möglichkeit, nur notwendige Cookies zu akzeptieren oder abzulehnen.
  • Ausreichende Information:
    • Wer verarbeitet welche Daten, zu welchem Zweck, wie lange und auf welcher Rechtsgrundlage?
    • Ein grober Überblick im Banner, Detailinformationen im 2. Layer / in der Datenschutzerklärung.
  • Keine Kopplung ohne Not:
    • Der Zugang zu einer Website darf grundsätzlich nicht von Marketing-Tracking abhängig gemacht werden. Pay- oder Consent-Modelle sind nur unter engen Voraussetzungen zulässig.
  • Einfache Widerrufbarkeit:
    • Nutzer müssen ihre Entscheidung jederzeit ändern können, etwa über einen gut sichtbaren Link „Cookie-Einstellungen“ im Footer.

6. So sieht ein nutzerfreundliches und rechtssicheres Cookie-Banner aus

Die vom damaligen BMJV in Auftrag gegebene Studie „Innovatives Datenschutz-Einwilligungsmanagement“ ist erstaunlich gut gealtert: Ihre acht Anforderungen sind im Kern immer noch Best Practice und passen perfekt zu den heutigen Vorgaben von TDDDG, DSGVO und Aufsichtsbehörden.

6.1 Differenzierung der Verarbeitungsvorgänge

  • Keine pauschale Globaleinwilligung.
  • Nutzer können differenziert zustimmen, z. B. „Funktional“, „Statistik“, „Marketing“.
  • Vorbelegung: Nur technisch erforderliche Cookies sind aktiv, alles andere opt-in.

6.2 Übersichtlichkeit & Entscheidungslogik

  • Klare Struktur, kein „Ersäufen“ in Details.
  • Auf erster Ebene: Kurzinfo + Buttons („Nur notwendige“, „Alle akzeptieren“, „Einstellungen“).
  • Auf zweiter Ebene: Strukturierte Optionen mit wenigen Klicks zur individuellen Konfiguration.

6.3 Nutzung ohne Einwilligung

  • Die Website soll auch dann nutzbar sein, wenn jemand nur technisch notwendige Cookies zulässt.
  • „Friss oder stirb“-Banner („Ohne Marketing-Tracking kein Zugang“) sind nur in ganz engen Ausnahmefällen vertretbar.

6.4 Datensparsame Voreinstellungen

  • Standard: Nur notwendige Cookies aktiv.
  • Analytics, Marketing, externe Medien standardmäßig deaktiviert.

6.5 Nutzerfreundlichkeit & Barrierefreiheit

  • Gut lesbare Schrift, ausreichender Kontrast, verständliche Sprache.
  • Bedienbarkeit auf allen Endgeräten, keine winzigen Buttons oder versteckten Optionen.

6.6 Kein Information Overload

  • Die Kerninformationen gehören in den Banner bzw. 1. Layer.
  • Details können über „Mehr erfahren“ oder einen zweiten Layer bereitgestellt werden. Wer will, kann auf diese Art lesen, wer nicht, wird nicht erschlagen.

6.7 Keine Manipulation („Dark Patterns“)

  • Keine irreführenden Farben (z. B. grüner „Akzeptieren“-Button vs. grauer, kaum sichtbarer „Ablehnen“-Link).
  • Keine verwirrenden Formulierungen („Mit Klick auf ‚Nein‘ stimmen Sie zu…“).
  • Keine verschachtelten Menüs, die das Ablehnen wesentlich aufwendiger machen als das Zustimmen.

6.8 Datenschutz-Cockpit / Cookie-Center

  • Nutzer sollen ihre Einwilligungen jederzeit nachträglich bearbeiten können.
  • In der Praxis: „Cookie-Einstellungen“ im Footer, ggf. kleines Icon am Bildschirmrand, eigenes „Datenschutz-Cockpit“ für größere Anbieter.

7. Consent-Management-Plattformen (CMP) in der Praxis

Für viele Unternehmen ist eine professionelle Consent-Management-Plattform inzwischen unverzichtbar:

  • Sie blockiert Skripte, bis eine Einwilligung erteilt wurde.
  • Sie protokolliert die Einwilligungen (Nachweis nach Art. 7 DSGVO).
  • Sie ermöglicht differenzierte Einstellungen und den späteren Widerruf.

Worauf Sie achten sollten:

  • Rechtsgrundlagen & Verträge:
    • Auftragsverarbeitungsvertrag, ggf. Standardvertragsklauseln oder DPF-Zertifizierung bei US-Anbietern.
  • Serverstandort & Datensparsamkeit
  • Technische Integration:
    • Werden wirklich alle Tracking-Skripte zuverlässig blockiert, bis eine Einwilligung vorliegt?
    • Was passiert, wenn Nutzer ihre Einwilligung widerrufen?

Gerade kleine und mittlere Unternehmen profitieren davon, mit einem standardisierten Tool zu arbeiten, auch wenn das Setup einmalig etwas Aufwand bedeutet.

8. Consent Optimization: Einwilligung ist eine KPI, aber kein Freibrief

Consent ist zur eigenen Marketing-KPI geworden: Je mehr Einwilligungen, desto besser lassen sich Inhalte aussteuern. Es gilt jedoch: Consent Optimization ja – Dark Pattern nein.

Strategien, die zulässig und sinnvoll sind:

  • Klares, vertrauenswürdiges Design im Corporate Look
  • Verständliche Sprache, die erklärt, warum Cookies gesetzt werden
  • Zentral positionierte Banner statt unauffälligem „Teppich“ am unteren Rand
  • A/B-Tests, um Formulierungen zu finden, die gut verstanden werden, nicht, um Ablehnen unnötig zu erschweren

Nicht zulässig sind dagegen manipulative Muster, die Nutzer quasi „in die Zustimmung hineinschubsen“. Hier schauen Aufsichtsbehörden inzwischen sehr genau hin.

9. Internationale Datentransfers: Was gilt für US-Tools?

Viele Analyse- und Marketingtools sitzen in den USA oder greifen auf US-Infrastruktur zurück. Nach dem Scheitern von Safe Harbor und Privacy Shield gibt es seit Juli 2023 das EU-US Data Privacy Framework (DPF) als neuen Angemessenheitsbeschluss.

Im September 2025 hat das Gericht der Europäischen Union (EuG) das DPF vorerst bestätigt; der Angemessenheitsbeschluss bleibt also in Kraft.

Für Ihre Praxis bedeutet das:

  • Nutzen Sie US-Dienste, die nach DPF zertifiziert sind, können Datentransfers auf dieser Grundlage erfolgen, zusätzlich zur Einwilligung für Tracking selbst.
  • Die Einwilligung muss auch über das Drittländer-Risiko informieren („Übermittlung in die USA“ etc.).
  • Das DPF ist politisch und rechtlich umstritten, langfristig sollten Sie immer einen Plan B im Auge behalten (EU-Alternativen, Hosting in der EU).

10. Ausblick: Einwilligungsverwaltungsdienste statt Banner-Flut?

Um die Cookie-Consent-Banner „Müdigkeit“ zu reduzieren, hat der deutsche Gesetzgeber mit der Einwilligungsverwaltungsverordnung (EinwV) einen Rahmen für zentrale Dienste zur Einwilligungsverwaltung geschaffen.

Kernidee:

  • Nutzer können ihre Einwilligungspräferenzen einmal zentral verwalten.
  • Anerkannte Dienste (durch die BfDI) übermitteln diese Einstellungen an Websites und Apps.
  • Cookie-Consent-Banner könnten perspektivisch seltener und schlanker werden.

Stand heute:

  • Die EinwV ist in Kraft.
  • Anerkannte Einwilligungsverwaltungsdienste existieren aber (noch) nicht in der Breite. Der praktische Durchbruch steht also noch aus.

Für Sie als Unternehmen lohnt es sich, die Entwicklung zu beobachten: Wer frühzeitig auf kompatible Lösungen setzt, hat später weniger Umstellungsaufwand.

11. Checkliste: Was Sie jetzt konkret tun können

Für kleine und mittlere Unternehmen lässt sich das Thema Cookie-Consent-Banner in einige klare Schritte herunterbrechen:

1. Bestandsaufnahme

  • Welche Cookies / Tracking-Tools / Plugins sind auf Ihrer Website im Einsatz?
  • Welche Daten werden wohin übertragen (inkl. Drittländer)?

2. Kategorisierung

  • Was ist unbedingt erforderlich (z. B. Warenkorb, Login)?
  • Was ist Statistik, was Marketing, was Komfort?

3. Rechtsgrundlage festlegen

  • Für Endgerätezugriffe: § 25 TDDDG – braucht es eine Einwilligung?
  • Für die Weiterverarbeitung: Art. 6 DSGVO – in der Praxis meistens Einwilligung für Tracking.

4. Cookie-Consent-Banner & CMP einrichten oder überarbeiten

  • Differenzierte Auswahlmöglichkeiten
  • Datensparsame Voreinstellungen
  • Klare, verständliche Texte
  • Kein Dark Pattern, kein Opt-out

5. Datenschutzerklärung anpassen

  • Transparente Information zu Zwecken, Rechtsgrundlagen, Empfängern, Speicherdauer, Drittlandstransfers.

6. Widerrufsmöglichkeit schaffen

  • „Cookie-Einstellungen“ im Footer, ggf. Datenschutz-Cockpit.
  • Technisch sicherstellen, dass Widerruf wirklich wirkt (Skripte werden deaktiviert, neue Cookies nicht gesetzt).

7. Dokumentation & Schulung

  • Technische und organisatorische Maßnahmen dokumentieren.
  • Mitarbeitende im Marketing und in der IT schulen, damit keine „Schatten-Pixel“ eingebaut werden.

12. Fazit: Einwilligung ist mehr als ein lästiger Cookie-Consent-Banner

Gut gemachte Einwilligungsprozesse

  • reduzieren rechtliche Risiken
  • erhöhen das Vertrauen Ihrer Kunden
  • liefern Ihnen qualitativ hochwertigere Daten, weil die Einwilligung bewusst erteilt wurde

Wenn Sie Ihr Einwilligungsmanagement modernisieren oder ein komplexes Setup (z. B. mit serverseitigem Tracking, internationalen Tools oder mehreren Websites) einführen möchten, unterstützen wir Sie gern.

Sie möchten prüfen, ob Ihr aktuelles Einwilligungsmanagement noch zeitgemäß ist?
Melden Sie sich gern bei uns!

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn!
Hermine Klehm
Hermine Klehm
Veröffentlicht am 28. November 2025

Hermine Klehm ist Content-Managerin mit einem Hintergrund in Deutscher Literatur und Philosophie. Sie verfasst Inhalte für Blogs und Websites. Mit einem feinen Gespür für Sprache und Struktur verbindet sie kreative Textarbeit mit strategischem Content-Marketing.

Tags: