Ratgeber

DSGVO-konformer Cookiebanner: So machen Sie es richtig

Cookiebanner DSGVO- und TTDSG-konform einrichten 2026: Was technisch notwendig ist, was nicht und welche Bußgeld-Fallen wir bei Webpelikan-Audits am häufigsten sehen.

7 min LesezeitDSGVORecht

Inhalt

  1. 01Warum das Thema 2026 aktueller ist denn je
  2. 02Was ein Cookiebanner leisten muss
  3. 03Was häufig falsch gemacht wird
  4. 04So sieht ein konformer Cookiebanner aus
  5. 05Technische Umsetzung
  6. 06Was essenzielle Cookies wirklich sind
  7. 07Häufig gestellte Fragen
  8. 08Unser Tipp

Warum das Thema 2026 aktueller ist denn je

Seit das TTDSG – heute TDDDG (Telekommunikation-Telemedien-Datenschutzgesetz) in Kraft ist, ist die Rechtslage zu Cookies und ähnlichen Tracking-Technologien klarer – aber auch strenger. Abmahnwellen laufen regelmäßig, und die Datenschutzbehörden schauen genauer hin. Dieser Artikel ordnet, was Pflicht ist und was häufig falsch gemacht wird.

Wir prüfen bei Webpelikan in Relaunches und Wartungsprojekten regelmäßig bestehende Consent-Setups. Dabei wiederholen sich dieselben technischen Fehler auffällig oft – genau darauf fokussiert dieser Leitfaden.

Was ein Cookiebanner leisten muss

Ein rechtskonformer Cookiebanner erfüllt in der EU (und damit in Deutschland) drei Kernanforderungen:

  1. Informierte Einwilligung: Nutzer müssen vor dem Setzen nicht-essenzieller Cookies eine echte Wahl haben. Die Einwilligung muss freiwillig, spezifisch und informiert sein.
  2. Nicht-essenzielle Dienste werden erst nach Einwilligung aktiviert: Google Analytics, Facebook Pixel, YouTube-Einbettungen usw. dürfen NICHT schon beim Laden der Seite Daten erheben.
  3. Widerruf so einfach wie Einwilligung: Wenn ich „Alle akzeptieren” mit einem Klick kann, muss auch „Alle ablehnen” mit einem Klick gehen.

Was häufig falsch gemacht wird

Der „Nur Akzeptieren”-Banner

Banner, die nur einen „OK”- oder „Akzeptieren”-Button zeigen und kein „Ablehnen”-Äquivalent, sind rechtswidrig. Keine Ausnahme.

„Ablehnen” versteckt unter „Einstellungen”

Wenn ich auf der obersten Ebene nur „Alle akzeptieren” sehe und für „Ablehnen” erst einen zweiten Dialog öffnen muss, ist das laut EuGH-Urteil „Planet49" keine echte Wahlfreiheit. Beide Optionen müssen auf derselben Ebene, optisch gleichwertig zugänglich sein.

Dark Patterns in Farben und Buttons

„Akzeptieren” in grellem Grün, „Ablehnen” als grauer Textlink – das ist ein Dark Pattern und wird zunehmend als rechtswidrig bewertet.

Tracking vor Einwilligung

Viele Seiten laden Google Analytics bereits beim ersten Seitenaufruf, bevor der Banner überhaupt angezeigt wird. Das ist der häufigste und gleichzeitig gravierendste Fehler. Selbst wenn der Nutzer dann ablehnt, sind Daten bereits an Google geflossen.

„Cookie-Wall” ohne Alternativen

Manche Seiten blockieren den Zugriff komplett, bis jemand einwilligt („Akzeptieren oder Seite verlassen”). Das ist in den meisten Fällen unzulässig, weil es die Freiwilligkeit untergräbt.

Falsche Einordnung von Diensten

Viele Banner deklarieren Google Fonts, YouTube-Einbettungen oder Google Maps als „funktional notwendig”. Das stimmt rechtlich in aller Regel nicht – diese Dienste sind nicht-essenziell und brauchen eine Einwilligung.

So sieht ein konformer Cookiebanner aus

  • Beim ersten Besuch: Banner mit klaren, gleichgewichtigen Buttons „Alle akzeptieren” und „Alle ablehnen”. Dritter Button „Einstellungen” für granulare Auswahl.
  • Granulare Einstellungen: Kategorien wie „Statistik”, „Marketing”, „Externe Medien” einzeln aktivierbar. Essenzielle Cookies (für Warenkorb, Login etc.) erklärt, aber nicht abwählbar.
  • Informationspflichten: Pro Dienst: Anbieter, Zweck, Speicherdauer, Empfängerland (wichtig für US-Dienste), Verlinkung zur Datenschutzerklärung.
  • Vor Einwilligung passiert nichts: Keine Skripte, keine Pixel, keine IP-Übermittlung.
  • Widerruf jederzeit: Kleiner, dauerhaft sichtbarer Link („Cookie-Einstellungen” im Footer) öffnet erneut den Dialog.

Technische Umsetzung

Es gibt zwei realistische Wege:

1. Etablierte Consent-Management-Plattform (CMP): Anbieter wie Usercentrics, CookieYes, Cookiebot, Borlabs Cookie (für WordPress) oder Iubenda liefern rechtlich gepflegte Lösungen. Kosten: 8–50 €/Monat je nach Traffic und Anzahl Domains. Vorteil: Rechtliche Aktualität wird vom Anbieter gepflegt.

2. Eigenentwicklung: Bei einfachen Setups (nur Analytics, kein komplexes Marketing-Stack) ist eine eigene Consent-Lösung möglich. Sie muss aber die gleichen Pflichten erfüllen – das wird oft unterschätzt.

Unsere Empfehlung für KMU: Usercentrics oder CookieYes, je nach Plan-Struktur. Borlabs Cookie bei WordPress-Projekten. Selbstentwicklung nur bei triftigen Gründen.

Was essenzielle Cookies wirklich sind

Als essenziell gelten nur Cookies, ohne die die gewünschte Funktion nicht erbracht werden kann. Typische Beispiele:

  • Session-ID für Logins
  • Warenkorb-Speicher
  • Sprach- und Regionaleinstellungen während der Sitzung
  • CSRF-Schutz
  • Consent-Cookie selbst (also die Wahl, die der Nutzer gerade getroffen hat)

Nicht essenziell sind:

  • Google Analytics (auch nicht in der „anonymisierten” Variante)
  • Fonts von Google, Fonts.com, Adobe Fonts (Schriften müssen selbst gehostet werden oder brauchen Einwilligung)
  • YouTube-, Vimeo-, Spotify-Einbettungen
  • Google Maps
  • Facebook-, LinkedIn-, TikTok-Pixel
  • Heatmapping-Tools (Hotjar, Microsoft Clarity)

Häufig gestellte Fragen

Brauche ich auch einen Banner, wenn ich gar kein Google Analytics nutze?

Vielleicht. Sobald Ihre Seite externe Schriftarten, eingebettete Videos, Social-Media-Widgets oder Karten nutzt, besteht Einwilligungspflicht. Eine Banner-freie Seite ist nur möglich, wenn wirklich nichts Externes eingebunden ist.

Was passiert, wenn ich mich nicht daran halte?

Bußgelder der Datenschutzbehörden (DSGVO-Verstoß Art. 83 DSGVO: bis 20 Mio. € oder 4 % des Jahresumsatzes). Abmahnungen durch Wettbewerber oder Verbraucherschutzverbände. In der Praxis werden bei KMU eher Unterlassungsansprüche und Abmahnkosten im dreistelligen bis niedrigen vierstelligen Bereich relevant. Für Unternehmen in Bayern ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) die zuständige Behörde.

Reicht ein „By clicking anywhere you agree” (kein Banner)?

Nein. Das ist keine informierte Einwilligung. Der EuGH hat das explizit festgestellt.

Dürfen Analytics-Daten serverseitig erhoben werden, ohne Banner?

Nur unter sehr engen Voraussetzungen (keine personenbezogenen Daten, keine Weitergabe an Dritte). In der Praxis ist das eine juristische Grauzone, die sauberer mit Banner gelöst wird.

Unser Tipp

Wenn Sie sich nicht sicher sind, ob Ihr aktueller Cookiebanner rechtskonform ist: Lassen Sie ihn einmal durch ein Tool wie cookieserve.com oder 2gdpr.com prüfen. Die Tools zeigen, welche Dienste vor Einwilligung bereits Daten übertragen. Das ist die häufigste und teuerste Falle.

Nächster Schritt

Passt das zu Ihrem Unternehmen?

In 30 Minuten schauen wir gemeinsam, ob „Wartung“ gerade zu Ihrem Unternehmen passt.

Jetzt Termin buchen

Passende Leistung

Wartung

Geschrieben von

Simon Ehmann · Webpelikan

Über den Autor →
Zugehöriger Artikel: DSGVO-konformer Cookiebanner: So machen Sie es richtig

Nachgefragt

Häufige Fragen zu diesem Thema

Brauche ich einen Cookiebanner auch bei einer Landingpage ohne Analytics?
Nur wenn externe Inhalte eingebunden sind – Google Fonts, eingebettete Videos, Karten etc. Rein statische Seiten ohne Third-Party-Ressourcen brauchen keinen Banner. In der Praxis ist das allerdings selten der Fall.
Sind kostenlose Consent-Tools rechtssicher?
Einige sind es (z. B. CookieYes im Free-Plan bei geringem Traffic), andere nicht. Entscheidend ist, dass das Tool tatsächlich Tracking vor Einwilligung verhindert – viele Free-Lösungen zeigen nur einen Banner, laden Skripte aber weiter. Das ist rechtlich genauso schlimm wie gar kein Banner.
Wie dokumentiere ich Einwilligungen rechtssicher?
Professionelle CMPs speichern pro Einwilligung Zeitstempel, IP-bezogene Kennung (gekürzt), gewählte Optionen und Version des Consent-Textes. Bei einer Kontrollanfrage der Datenschutzbehörde kann das vorgelegt werden. Bei Eigenentwicklungen muss das aktiv mitentwickelt werden.

Weitere Artikel

Dran bleiben

9 minPreise

Was kostet eine Website 2026 wirklich?

Bei Webpelikan liegen zwischen 49 €/Monat Baukasten und 50.000 € Agenturprojekt regelmäßig genau die Fälle dazwischen. Wir zeigen transparent, welche Budgetstufe zu welchem Ziel passt.

Weiterlesen
8 minCMS

Webflow vs. WordPress 2026 – was ist besser?

Aus unserer Webpelikan-Praxis ist die Frage nicht „welches ist besser?”, sondern „welches passt wirklich zu Team, Budget und Ziel?”. Wir zeigen, wann Webflow, WordPress oder keines von beiden passt.

Weiterlesen
7 minSEO

Local SEO für Münchner Unternehmen – ein praktischer Leitfaden

Für viele unserer Webpelikan-Kunden im Raum München ist Local SEO der stärkste Hebel für neue Anfragen. Die sechs Maßnahmen, die wir in Projekten priorisieren und die wirklich wirken.

Weiterlesen

Lassen Sie uns etwas
Großartiges bauen.

Kein Callcenter, keine Warteschleife. Sie haben einen persönlichen Ansprechpartner, der Ihr Projekt von A bis Z kennt.

Über mich

Email

info@webpelikan.de

Telefon

0152 27 987 8881

Verfügbar

Aktuell nehme ich wieder neue Projekte an.

Hallo liebes Webpelikan-Team! Mein Name ist und ihr erreicht mich am besten unter . Konkret bräuchte ich eure Unterstützung bei . Das schwebt mir dabei so vor:

SSL-verschlüsselt & 100 % unverbindlich — Antwort innerhalb von 24 h.

SSL-verschlüsselt & 100 % unverbindlich — Antwort innerhalb von 24 h.