Cookie-Banner richtig umsetzen: Was 2026 wirklich Pflicht ist (und was nicht)

Wann braucht eine Website überhaupt einen Cookie-Banner? Was fordert das TDDDG konkret, und welche Dark Patterns sind nach den aktuellen Urteilen von 2025 unzulässig? Dieser Artikel klärt die Pflichten, zeigt Do-and-Don't-Beispiele und erklärt, warum gleichwertige Buttons, Consent Logging und ein jederzeit erreichbarer Widerruf keine Kür sind, sondern Pflicht.

Von Sascha Braun & Sebastian Haggenmiller··9 Min LesezeitFortgeschritten

Was ist ein Cookie-Banner?

Ein Cookie-Banner ist ein Einwilligungsdialog, mit dem Websites die aktive Zustimmung der Nutzer zum Einsatz nicht-essenzieller Cookies und Tracking-Technologien einholen. Nach § 25 TDDDG ist er Pflicht, sobald Dienste wie Google Analytics, Facebook Pixel oder YouTube-Embeds zum Einsatz kommen. Technisch notwendige Cookies – etwa für Login oder Warenkorb – benötigen dagegen keine Einwilligung.

Teil 2 von 5: DSGVO-Checkliste

Teil 1Teil 2

Wann braucht deine Website überhaupt einen Cookie-Banner?

Cookie-Banner DSGVO — das Thema verursacht seit Jahren Verwirrung, weil Gesetze, Behördenempfehlungen und Gerichtsurteile immer wieder neue Nuancen hinzufügen. Die Kernfrage vorab: Nicht jede Website braucht zwingend einen Banner. Laut § 25 Abs. 2 TDDDG ist ein Cookie-Banner nur dann erforderlich, wenn Cookies oder vergleichbare Technologien eingesetzt werden, die nicht technisch notwendig sind. Wer ausschließlich essenzielle Cookies betreibt — etwa für Login-Session oder Warenkorb — und auf externe Tracking-Dienste verzichtet, kommt ohne Banner aus. Die Realität sieht für die meisten Websites jedoch anders aus: Sobald Google Analytics, ein Facebook-Pixel, YouTube-Embeds oder Werbenetzwerke im Einsatz sind, ist eine Einwilligung zwingend — und damit auch das Banner.

Das rechtliche Fundament: TDDDG und DSGVO

TDDDG: Das Nachfolgegesetz des TTDSG

Seit dem 14. Mai 2024 heißt das frühere TTDSG offiziell TDDDG — Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. Der Namenswechsel entstand nicht inhaltlich, sondern formal: Das EU-Digitale-Dienste-Gesetz (DDG) löste das alte Telemediengesetz (TMG) ab, weshalb auch die Abkürzung des Datenschutzgesetzes angepasst wurde. Inhaltlich sind die Regelungen zu Cookies nahezu unverändert übernommen worden. Alte Datenschutzerklärungen mit Verweis auf das TTDSG bleiben zunächst wirksam, sollten aber bei nächster Überarbeitung aktualisiert werden.

Die zentrale Norm ist § 25 TDDDG: Sie besagt, dass jede Speicherung von Informationen auf dem Endgerät — Cookies, Local Storage, Tracking-Pixel, Browser-Fingerprinting — grundsätzlich einer aktiven, informierten und freiwilligen Einwilligung bedarf. Ein berechtigtes Interesse als Rechtsgrundlage existiert im TDDDG nicht. Anders als bei der reinen Datenverarbeitung nach Art. 6 DSGVO kann sich ein Betreiber für den Zugriff auf das Endgerät nicht auf eine Interessenabwägung berufen. Entweder greift die technische Ausnahme — oder es braucht die Einwilligung.

Das Zusammenspiel mit der DSGVO

Das TDDDG und die DSGVO greifen ineinander: Das TDDDG regelt den Vorgang des Speicherns und Auslesens von Informationen auf Endgeräten. Die darüberhinausgehende Verarbeitung personenbezogener Daten — etwa die Bildung von Nutzerprofilen auf Servern von Werbenetzwerken — unterliegt zusätzlich der DSGVO. Die Einwilligungserklärung, die über ein Cookie-Banner eingeholt wird, muss deshalb beide Ebenen abdecken.

Das bedeutet praktisch: Datenschutzerklärung und Cookie-Banner sind zwei verschiedene Pflichten. Die Datenschutzerklärung erfüllt die DSGVO-Informationspflichten. Der Cookie-Banner holt die Einwilligung nach § 25 TDDDG ein. Wer nur eine Datenschutzerklärung hat, ohne Einwilligung für nicht-essenzielle Cookies einzuholen, ist nicht konform.

Cookie-Kategorien: Was ist Pflicht, was ist frei?

Essenzielle Cookies — keine Einwilligung erforderlich

Technisch zwingend erforderliche Cookies brauchen keine Einwilligung. Dazu zählen:

  • Session-Cookies für eingeloggte Nutzer

  • Warenkorb-Cookies in Online-Shops

  • Sicherheits-Token (CSRF-Schutz)

  • Lastverteilungs-Cookies des Servers

  • Sprachpräferenzen, sofern aktiv vom Nutzer gewählt

Der Maßstab ist eng: Es muss unbedingt erforderlich sein, damit der Nutzer den Dienst überhaupt nutzen kann. Kontaktformulare, die ohne Cookies funktionieren, fallen nicht darunter. Ein Buchungsformular, das der Nutzer aktiv aufruft, hingegen schon.

Funktionale und Komfort-Cookies

Cookies, die das Nutzungserlebnis verbessern, aber nicht zwingend erforderlich sind — etwa gespeicherte Filterpräferenzen oder Video-Player-Einstellungen — sind einwilligungspflichtig. Die DSK hat die im ePrivacy-Entwurf zeitweise geplante Ausnahme für Statistik-Cookies nie als geltendes Recht akzeptiert. Auch reine Reichweitenmessung fällt unter § 25 TDDDG.

Marketing- und Tracking-Cookies

Für Werbe-, Tracking- und Marketing-Cookies muss immer eine aktive Einwilligung erfolgen. Dazu zählen Google Analytics, Facebook Pixel, LinkedIn Insight Tag und alle weiteren Dienste, die Nutzerprofile anlegen oder Daten an Dritte übertragen. Das Verwaltungsgericht Hannover stellte im März 2025 zudem klar, dass bereits der Einsatz des Google Tag Managers eine vorherige Einwilligung erfordert, weil bereits der Abruf des gtm.js-Skripts auf das Endgerät zugreift und Daten an Google überträgt. Ein Consent Mode allein ändert daran nichts.

So muss der Cookie-Banner gestaltet sein

Gleichwertige Buttons auf der ersten Ebene

Das ist der am häufigsten verletzte Grundsatz: „Alle akzeptieren" und „Alle ablehnen" müssen gleichwertig auf der ersten Ebene des Banners erscheinen — gleiche Farbe, gleiche Größe, gleiche Position. Die DSK hat in ihrer aktualisierten Orientierungshilfe (Version 1.2, November 2024) klargestellt: Eine Ablehnoption auf der ersten Ebene ist immer dann erforderlich, wenn Nutzer mit dem Banner interagieren müssen, um die Website fortzusetzen — was in der Praxis der Regelfall ist. Das Verwaltungsgericht Hannover bekräftigte diesen Grundsatz im März 2025 explizit durch Urteil.

Gleichwertigkeit bedeutet dabei mehr als nur Design: Selbst eine identisch aussehende Schaltfläche reicht nicht, wenn sie sich nicht auf derselben Höhe des Banners befindet wie die Einwilligungs-Option. Ablehnen darf nicht mehr Klicks erfordern als Zustimmen.

Granulare Auswahl nach Kategorien

Nutzer müssen einzelnen Verarbeitungszwecken granular zustimmen oder sie ablehnen können. Mindestens folgende Kategorien sollten separat wählbar sein:

  • Statistik / Analytics

  • Marketing / Werbung

  • Externe Medien (YouTube, Maps etc.)

Eine pauschale Sammel-Einwilligung ohne Auswahlmöglichkeit zwischen Zwecken ist unwirksam. Das österreichische Bundesverwaltungsgericht erklärte im August 2025 das Banner einer großen Tageszeitung für unzulässig, weil die pauschale Zustimmung keine granulare Auswahl zwischen Werbung, Profiling und Analyse zuließ.

Widerruf muss so einfach sein wie Zustimmung

Einmal erteilt ist eine Einwilligung jederzeit widerrufbar — und dieser Widerruf muss genauso einfach möglich sein wie die ursprüngliche Einwilligung. Konkret bedeutet das: ein dauerhafter Link oder Button im Footer der Website, der die Cookie-Einstellungen wieder öffnet. Der Widerrufsmechanismus muss technisch funktionieren, nicht nur visuell vorhanden sein. Nutzer, die ihre Einwilligung widerrufen, müssen erleben, dass die entsprechenden Skripte tatsächlich aufhören zu laufen.

Consent Logging als Pflicht

Ein Banner allein reicht nicht. Hinter ihm muss eine funktionierende Infrastruktur stehen, die jede Einwilligungs-Entscheidung protokolliert: Zeitstempel, Banner-Version und pseudonymisierte Nutzer-ID. Die Aufsichtsbehörden prüfen das aktiv — eine Website mit korrekt aussehendem Banner, aber fehlender Logging-Infrastruktur, steht rechtlich nicht besser da als eine ohne Banner. Die Logs sollten auf EU-Servern gespeichert werden und mindestens drei Jahre aufbewahrt werden.

Dark Patterns: Was Aufsichtsbehörden explizit verbieten

Der Begriff Dark Patterns bezeichnet Gestaltungsweisen, die Nutzer psychologisch dazu drängen, ihre Einwilligung zu erteilen, anstatt sie frei entscheiden zu lassen. Die Aufsichtsbehörden haben 2026 einen klaren Fokus darauf gelegt. Verboten sind insbesondere:

Farbliches Nudging: Der „Akzeptieren"-Button leuchtet in Signalfarben (grün, blau), während der „Ablehnen"-Button grau oder als schlichter Textlink erscheint. Die DSK formuliert es so: Allein eine unterschiedliche Farbwahl muss nicht zwangsläufig zur Unwirksamkeit führen — aber die Möglichkeit, keine Einwilligung zu erteilen, muss eindeutig als gleichwertige Alternative erkennbar sein.

Klick-Labyrinthe: Nutzer müssen erst auf „Einstellungen" klicken, um zur Ablehn-Option zu gelangen. Das ist unzulässig, wenn die Zustimmung mit einem einzigen Klick möglich ist. Der zusätzliche Aufwand — weiterlesen, verstehen, Auswahl treffen — reicht bereits aus, um die Freiwilligkeit zu untergraben.

Irreführende Button-Texte: Formulierungen wie „Ich stimme der Verbesserung der Nutzererfahrung zu" statt klarem „Alle akzeptieren" sind manipulativ.

Vorangekreuzte Checkboxen: Bereits durch BGH-Rechtsprechung (I ZR 7/16) eindeutig unzulässig — eine Einwilligung über vorausgewählte Checkboxen ist unwirksam.

Verstecktes „X" als Zustimmung: Das Schließen eines Banners darf nicht als Einwilligung gewertet werden.

Nachhak-Loops: Wiederholtes Einblenden des Banners nach einer Ablehnung gilt als Nötigung. Nach einer Ablehnung sollte frühestens nach 12 Monaten erneut gefragt werden.

Die CNIL (französische Datenschutzbehörde) verhängte im September 2025 ein Bußgeld von 150 Millionen Euro für Dark-Pattern-Verstöße — ein Signal, das auch deutsche Behörden nicht ignorieren.

Sonderfälle: Was viele vergessen

Google Tag Manager

Wie bereits erwähnt: Der GTM ist selbst einwilligungspflichtig. Tracking-Skripte dürfen erst nach aktiver Zustimmung geladen werden — nicht bereits beim Seitenaufruf. Das ist ein weit verbreiteter technischer Fehler, der sich mit den Browser-Entwicklertools im Tab „Application" > „Cookies" prüfen lässt.

Server-Side-Tracking

Nur weil ein Tracking-Skript auf dem eigenen Server läuft, entbindet das nicht vom Opt-in. Die Daten stammen weiterhin vom Nutzer, und der Zugriff auf dessen Endgerät bleibt einwilligungspflichtig.

Local Storage und IndexedDB

Alternativen zu klassischen Cookies — Local Storage, IndexedDB, Fingerprinting — unterliegen ebenfalls § 25 TDDDG, sofern sie nicht technisch zwingend erforderlich sind. Eine verbreitete Fehleinschätzung ist, dass nur „echte Cookies" das TDDDG auslösen.

Consent Mode v2

Googles Consent Mode v2 ist ein Signalisierungsmechanismus, kein Freifahrtschein. Er teilt Google mit, ob eine Einwilligung vorliegt, ersetzt aber nicht die eigentliche Einwilligungspflicht. Ohne gültiges Cookie-Consent-System bleibt der Einsatz auch mit Consent Mode v2 rechtswidrig.

CMP-Tools: Usercentrics, Cookiebot, Borlabs

Für die meisten Websites ist der Einsatz einer professionellen Consent Management Platform (CMP) der pragmatischste Weg. Drei verbreitete Lösungen im Vergleich:

Usercentrics — Cloud-basierte Enterprise-Lösung mit automatischer Cookie-Erkennung, Consent Logging, tiefgreifenden Anpassungsmöglichkeiten und IAB TCF 2.2-Zertifizierung. Ideal für komplexe Marketing-Setups. Monatliche SaaS-Kosten; EU-Server vorhanden.

Cookiebot (jetzt Cookiebot by Usercentrics) — Überzeugt durch Einfachheit und automatische Scans der Website auf neue Cookies. Schnelle Einrichtung, gute WordPress-Integration, ebenfalls mit automatischem Consent Logging. Für KMU oft die bessere Wahl.

Borlabs Cookie — Selbst gehostete Lösung (einmaliger Kauf, kein SaaS). Läuft auf eigenem Server, was die Datenschutz-Konfiguration vereinfacht. Keine automatische Aktualisierung der Cookie-Datenbank — manuelle Pflege erforderlich. Für technisch affine Betreiber geeignet, die maximale Kontrolle wollen.

Ein entscheidender Unterschied: Cloud-CMPs wie Usercentrics und Cookiebot scannen die Website automatisch auf neue einwilligungspflichtige Skripte und aktualisieren die Consent-Informationen. Self-hosted-Lösungen wie Borlabs müssen manuell gepflegt werden. Wer regelmäßig neue Marketing-Tools integriert, ist mit einer automatisch scannenden Lösung besser beraten.

Bei zyntix wird Cookie-Consent als integrierter Baustein jedes Projekts umgesetzt — nicht als nachträgliches Add-on. Das bedeutet: Technische Blockierung aller Skripte vor Einwilligung, korrektes Consent Logging und ein Banner, das die DSK-Anforderungen aus dem Stand erfüllt.

PIMS und EinwV: Kommt das Ende der Cookie-Banner?

Seit dem 1. April 2025 ist die Einwilligungsverwaltungsverordnung (EinwV) in Kraft. Ihr Ziel: Nutzer sollen ihre Cookie-Entscheidungen künftig zentral über anerkannte Dienste verwalten — und nicht auf jeder Website neu klicken müssen. Diese Dienste heißen PIMS (Personal Information Management Systems) und sind in § 26 TDDDG geregelt.

Der erste anerkannte PIMS-Dienst „Consenter" wurde im Oktober 2025 vom BfDI in das öffentliche Register eingetragen. Die Verbreitung ist bis Mitte 2026 jedoch noch gering, und die Nutzung ist für Website-Betreiber wie Nutzer freiwillig. Die nüchterne Einschätzung: PIMS ist ein Thema zum Beobachten, aber keine Grundlage, heute auf ein sauberes Banner zu verzichten.

Das Argument „Wir warten auf die ePrivacy-Verordnung" hat sich ebenfalls erledigt: Das Verfahren zur ePrivacy-Verordnung in seiner bisherigen Form wurde eingestellt. Der operative Rahmen für Cookie-Consent in Deutschland sind DSGVO und TDDDG — ausgelegt durch DSK- und BfDI-Leitlinien sowie Verwaltungsgerichtsurteile.

Checkliste: Cookie-Banner-Compliance auf einen Blick

→ Ist „Alle ablehnen" auf der ersten Ebene sichtbar, ohne scrollen oder klicken zu müssen?
→ Erfordert Ablehnen dieselbe Anzahl von Schritten wie Akzeptieren?
→ Sind Buttons in Farbe, Größe und Position gleichwertig?
→ Sind Tracking-Skripte (inkl. Google Tag Manager) technisch blockiert, bis eine Einwilligung vorliegt?
→ Ist eine granulare Auswahl nach Kategorien möglich (Analytics, Marketing, externe Medien)?
→ Gibt es einen dauerhaften Widerruf-Link im Footer?
→ Wird jede Einwilligungs-Entscheidung mit Zeitstempel und Banner-Version geloggt?
→ Werden Consent-Logs auf EU-Servern gespeichert?
→ Werden Cookies mit angemessenen Laufzeiten und automatischer Löschung betrieben?

Den ersten Teil dieser Serie — die vollständige DSGVO-Checkliste für Websites 2026 — findest du unter DSGVO-Checkliste Website 2026. Wie sich datenschutzkonforme Implementierung und Performance verbinden lassen, zeigt der Artikel zu Pagespeed und Core Web Vitals.

Ob dein Banner sauber konfiguriert ist — technisch wie rechtlich — kannst du mit dem zyntix Website-Check in wenigen Minuten prüfen.

Teilen:
Inhalt

Der nächste Artikel direkt in dein Postfach

Kein Spam — nur neue Artikel, kompakt zusammengefasst.

Du kannst dich jederzeit abmelden. Datenschutz

Sascha Braun

Sascha Braun

Lead Web Architect & Infrastructure Engineer

Gründer von Zyntix Labs und leidenschaftlicher Entwickler mit Schwerpunkt auf Webentwicklung, Hosting-Infrastruktur und Automatisierung. Arbeitet täglich an performanten Webseiten, stabilen Serverarchitekturen und effizienten Entwicklungsworkflows, um Unternehmen moderne und zuverlässige Weblösungen bereitzustellen.

LinkedInInstagramMehr Posts ↗
Sebastian Haggenmiller

Sebastian Haggenmiller

Head of Marketing & Client Strategy

Co-Founder von Zyntix Labs mit Fokus auf Marketing, Kundenstrategie und Wachstum. Verantwortlich für Markenaufbau, Kundenkommunikation und strategische Partnerschaften. Arbeitet eng mit Kunden zusammen, um digitale Lösungen zu entwickeln, die nicht nur technisch überzeugen, sondern auch messbare Ergebnisse liefern.

LinkedInInstagramMehr Posts ↗