Kaum ein Element einer Webseite wird so häufig falsch umgesetzt wie der sogenannte „Cookie-“ oder auch „Consent-Banner“. Das liegt selten an bösem Willen, sondern daran, dass zwei Anforderungsebenen gleichzeitig erfüllt sein müssen, die in der Praxis getrennten Zuständigkeiten gehören: eine technische Ebene, die in der Hand des Webseitenentwicklers liegt, und eine gestalterische Ebene, die im Marketing entschieden wird. Erst wenn beide Ebenen zusammenpassen, erfüllt der Cookie-Banner seinen Zweck und hält auch einer Prüfung durch die Datenschutzaufsicht stand. Dieser Beitrag erklärt beide Ebenen verständlich, ordnet sie in die geltende Rechtslage ein und zeigt, woran die meisten Banner scheitern.
Cookie-Banner
Das kleine Fenster, das einen heute auf fast jeder Webseite als Erstes begrüßt, oft mit einer knappen Frage, ob man Cookies erlaubt. Dahinter steht der Betreiber der Webseite, der damit die Zustimmung der Besucherin oder des Besuchers einholt, bevor er Informationen auf deren Gerät speichert oder darauf zugreift. Rechtsgrundlage in Deutschland ist § 25 Abs. 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG), das die europäische ePrivacy-Richtlinie umsetzt; wie die Zustimmung aussehen muss, ergibt sich zusätzlich aus der Datenschutz-Grundverordnung (DSGVO).
Worauf sich die Pflicht stützt
Vereinfacht gilt eine klare Grundregel: Sobald eine Webseite mehr tut, als für ihren reinen Betrieb nötig ist, braucht sie vorher die Zustimmung der Besucher. „Mehr“ heißt hier vor allem: Besucher zählen und auswerten, Werbung aussteuern oder fremde Inhalte wie ein YouTube-Video einbinden. Diese Regel steht in § 25 Abs. 1 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG).
Das Gesetz hieß bis vor Kurzem anders. Seit dem 14. Mai 2024 trägt es den Namen TDDDG; davor war es als Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) bekannt. Inhaltlich hat sich nichts geändert, und der maßgebliche Paragraph trägt weiterhin die Nummer 25. Banner, die in ihrer Quellenangabe noch das alte Gesetz nennen, sollten bei nächster Gelegenheit auf das TDDDG umgestellt werden.
Ohne Zustimmung erlaubt sind nur zwei eng gefasste Ausnahmen, die § 25 Abs. 2 TDDDG nennt: Vorgänge, die allein der Übertragung einer Nachricht dienen, und solche, die unbedingt nötig sind, damit die gewünschte Funktion überhaupt funktioniert. Das klassische Beispiel ist der Warenkorb eines Online-Shops oder das Cookie, das einen eingeloggt hält. Alles andere, also Reichweitenmessung, Marketing und eingebettete Inhalte Dritter, ist zustimmungspflichtig.
Häufiger Irrtum
Viele glauben, die Zustimmungspflicht gelte nur für Cookies, die persönliche Daten enthalten. Das stimmt nicht. Der Europäische Gerichtshof hat im Verfahren Planet49 klargestellt, dass es darauf gar nicht ankommt: Wer Analyse- oder Marketing-Technik einsetzt, braucht eine Zustimmung, auch wenn die dabei verwendeten Kennungen für sich genommen anonym wirken.
Zwei Gerichtsentscheidungen prägen bis heute, wie ein Banner aussehen muss. Der Europäische Gerichtshof entschied am 1. Oktober 2019 (Rechtssache C-673/17, „Planet49″), dass ein bereits vorangekreuztes Häkchen keine gültige Zustimmung ist, weil der Nutzer selbst aktiv werden muss. Der Bundesgerichtshof bestätigte das am 28. Mai 2020 für Deutschland (Urteil „Cookie-Einwilligung II“, Az. I ZR 7/16). Daraus folgt der eine Grundsatz, der über allem steht: Die Zustimmung muss vorliegen, bevor etwas passiert, und sie muss durch eine bewusste Handlung erteilt werden, etwa einen Klick.
Die technische Ebene: Erst die Einwilligung, dann der Dienst
Die technisch wichtigste und zugleich am häufigsten verletzte Anforderung lässt sich in einem Satz zusammenfassen: Ein einwilligungspflichtiger Dienst darf erst geladen werden, nachdem die Einwilligung vorliegt, nicht vorher. Das klingt selbstverständlich, scheitert in der Praxis aber regelmäßig an der Art, wie Tracking-Werkzeuge eingebunden werden. Viele Shop- und Content-Systeme feuern Marketing-Tags bereits beim ersten Seitenaufruf, also lange bevor die Nutzerin überhaupt auf eine Schaltfläche geklickt hat. In diesem Moment ist der Verstoß bereits eingetreten, ganz gleich, wie sauber das Banner darüber gestaltet ist.
Die folgende Gegenüberstellung zeigt, worin der Unterschied besteht. Entscheidend ist der Zeitpunkt der Einwilligung als Trennlinie: Was links davon ausgelöst wird, geschieht ohne Rechtsgrundlage; nur was rechts davon liegt, ist zulässig.
Tags feuern beim Seitenaufruf
Die Dienste sind bereits aktiv, bevor der Nutzer eine Wahl getroffen hat. Die spätere Einwilligung kann diesen Vorgang nicht heilen, denn die Verarbeitung war im Moment ihres Eintritts rechtswidrig.
Einwilligung gibt die Dienste frei
Vor der Einwilligung laufen ausschließlich technisch notwendige Vorgänge. Erst die bestätigende Handlung schaltet die zustimmungspflichtigen Dienste frei, und zwar kategorienscharf, je nachdem, worin der Nutzer eingewilligt hat.
Damit dieses Verhalten zuverlässig greift, sollten zustimmungspflichtige Werkzeuge nicht direkt im Quelltext eingebunden, sondern über das Consent-Management ausgelöst werden. Wird der Google Tag Manager eingesetzt, bedarf bereits sein Laden einer Einwilligung. Das Verwaltungsgericht Hannover hat in seinem Urteil vom 19. März 2025 (Az. 10 A 5385/22) ausdrücklich klargestellt, dass der Tag Manager nicht als technisch notwendig gilt und damit selbst der Zustimmung unterliegt. Praktisch bedeutet das, dass auch der Tag Manager erst nach der Einwilligung ausgeführt werden darf und Mechanismen wie der Google Consent Mode in der aktuellen Fassung korrekt verdrahtet sein müssen.
So prüfen Sie die technische Umsetzung
Ob ein Banner technisch sauber arbeitet, lässt sich ohne Spezialwerkzeug im Browser überprüfen. Die folgenden Schritte decken die häufigsten Fehlerquellen auf.
Netzwerk-Analyse vor dem Klick
Öffnen Sie die Entwicklerwerkzeuge des Browsers, wechseln Sie in den Netzwerk-Tab und laden Sie die Seite neu, ohne das Banner zu bestätigen. Erscheint ein Aufruf an einen Drittanbieter, etwa an Google, Meta oder ein Analyse-Werkzeug, feuert ein Dienst vor der Einwilligung. Genau das darf nicht geschehen.
Speicher-Kontrolle
Prüfen Sie im Speicher-Bereich der Entwicklerwerkzeuge, welche Cookies und Local-Storage-Einträge vor der Einwilligung gesetzt wurden. Zulässig sind allein technisch notwendige Einträge, etwa die Session-Kennung oder das Cookie, das die Consent-Entscheidung selbst speichert.
Ablehnung gegenprüfen
Klicken Sie bewusst auf „Ablehnen“ und wiederholen Sie die Netzwerk-Analyse. Nach einer Ablehnung dürfen keinerlei zustimmungspflichtige Dienste laden. Werden sie es dennoch, ist die Ablehnung wirkungslos und der Mechanismus insgesamt unwirksam.
Protokollierung sicherstellen
Die erteilte Einwilligung muss nachweisbar sein. Vergewissern Sie sich, dass Ihr Consent-Werkzeug jede Entscheidung mit Zeitstempel, Banner-Version und einer Kennung dokumentiert. Ohne ein solches Protokoll lässt sich die Rechtmäßigkeit im Prüfungsfall nicht belegen.
Die gestalterische Ebene: keine Lenkung zur Zustimmung
Selbst ein technisch einwandfreies Banner ist unwirksam, wenn seine Gestaltung den Nutzer zur Einwilligung drängt. Eine Einwilligung muss freiwillig sein, und Freiwilligkeit setzt eine echte Wahl voraus. Wird die zustimmende Schaltfläche optisch hervorgehoben, während der Ablehnungsweg klein, grau oder erst nach mehreren Klicks erreichbar ist, fehlt es an dieser echten Wahl. Solche manipulativen Gestaltungsmuster werden als Dark Patterns bezeichnet, und die Aufsichtsbehörden gehen zunehmend gegen sie vor.
Maßgeblich sind hier die Orientierungshilfe der Datenschutzkonferenz (DSK) für Anbieter digitaler Dienste sowie der Bericht der Cookie-Banner-Taskforce des Europäischen Datenschutzausschusses (EDSA). Beide kommen zu derselben Kernaussage: Wenn auf der ersten Ebene des Banners eine Schaltfläche zur Einwilligung vorhanden ist, muss dort gleichrangig auch eine Möglichkeit zur Ablehnung angeboten werden. Die DSK betont, dass die Gleichwertigkeit nicht nur das Design betrifft, sondern alle Merkmale: Eine identisch gestaltete Schaltfläche genügt nicht, wenn sie nicht auf derselben Ebene und auf gleicher Höhe wie die Einwilligung steht.
Die folgende Gegenüberstellung zeigt dasselbe Banner einmal in irreführender und einmal in gleichwertiger Gestaltung. Der Unterschied liegt nicht im Text, sondern allein in der Behandlung der beiden Schaltflächen.
Ein gewisser Gestaltungsspielraum bleibt bestehen. Die Rechtsprechung verlangt keine bis ins Pixel identischen Schaltflächen. Das Verwaltungsgericht Hannover hat in der oben genannten Entscheidung betont, dass es auf die Gesamtschau ankommt und nicht generell ein „Alles ablehnen“-Button auf erster Ebene gefordert ist. Unzulässig ist die gezielte Lenkung. Sobald die Gestaltung den Nutzer erkennbar in Richtung Zustimmung schiebt und von der Ablehnung abhält, kippt die Bewertung. Wer die zustimmende Option betont gestaltet, sollte daher die ablehnende Option mindestens ebenso sichtbar und ebenso leicht erreichbar halten.
Was im Detail erlaubt und was unzulässig ist
Die folgende Übersicht fasst die gestalterischen und strukturellen Anforderungen zusammen, an denen Banner in der Aufsichtspraxis gemessen werden.
| Zulässig | Unzulässig | |
|---|---|---|
| Button-Farbe | Akzeptieren und Ablehnen in vergleichbarem Kontrast und gleicher Auffälligkeit | Auffälliger, gefüllter Akzeptieren-Button neben blassem oder grauem Ablehnen-Pfad |
| Ablehnungsweg | Ablehnung gleich leicht erreichbar wie die Einwilligung | Ablehnung erst nach Scrollen, mehreren Klicks oder auf zweiter Ebene |
| Voreinstellung | Nicht notwendige Kategorien standardmäßig deaktiviert | Vorangekreuzte Häkchen für Statistik oder Marketing |
| Weiternutzung | Aktive, bestätigende Handlung als Einwilligung | „Weitersurfen“ oder das Schließen des Banners als Zustimmung gewertet |
| Widerruf | Jederzeit über einen sichtbaren Link, so leicht wie die Erteilung | Kein Widerrufsweg oder nur über umständliche Umwege |
| Information | Zweck, eingesetzte Dienste und Drittempfänger auf erster Ebene benannt | Vage Formulierung wie „zur Verbesserung Ihres Erlebnisses“ ohne konkrete Angaben |
Cookie-Walls, also das vollständige Sperren der Inhalte für Nutzer, die nicht einwilligen, bewertet der EDSA gesondert und überwiegend kritisch. Der Zugang zu Datenschutzerklärung und Impressum darf in keinem Fall von einer Einwilligung abhängig gemacht werden.
Die Folgen einer fehlerhaften Umsetzung
Ein fehlerhaftes Banner hat zwei Folgen, die sich gegenseitig verstärken. Zum einen fehlt allen darüber gesammelten Daten die Grundlage: Sie wurden rechtswidrig erhoben und müssen im Zweifel gelöscht werden, womit die mühsam aufgebaute Datenbasis für Analyse und Marketing rückwirkend wertlos wird. Zum anderen drohen Maßnahmen der Datenschutzaufsicht und Bußgelder, die sich an der DSGVO bemessen. Dass die Behörden ernst machen, zeigen die hohen Strafen der französischen Aufsicht gegen große Plattformbetreiber.
60 Mio €
Bußgeld der CNIL gegen Microsoft wegen unzulässig gesetzter Cookies
40 Mio €
Bußgeld der CNIL gegen Criteo wegen Cookie-basierten Trackings ohne wirksame Einwilligung
§ 25
TDDDG als Rechtsgrundlage jeder Cookie-Einwilligung in Deutschland
Quelle: CNIL-Sanktionsbescheide; TDDDG
Hinzu kommt das zivilrechtliche Risiko. Verbraucherschutzverbände und Mitbewerber können gegen unzulässige Banner vorgehen, und auch Schadensersatzansprüche einzelner Nutzer sind nicht ausgeschlossen. Das Urteil des Verwaltungsgerichts Hannover ist insofern bemerkenswert, als es die behördliche Anordnung gegen ein Medienhaus bestätigt und damit zeigt, dass die Aufsicht nicht nur abstrakt mahnt, sondern konkrete Gestaltungen beanstandet und vor Gericht durchsetzt.
Ein Ausblick: Einwilligungsverwaltung und PIMS
Mit der Einwilligungsverwaltungsverordnung (EinwV), die am 1. April 2025 in Kraft getreten ist, hat der Gesetzgeber einen Rahmen für anerkannte Dienste zur Einwilligungsverwaltung geschaffen, die oft unter dem Begriff Personal Information Management Services (PIMS) diskutiert werden. Die Idee dahinter ist, dass Nutzer ihre Cookie-Präferenzen einmal zentral festlegen und per maschinenlesbarem Signal an Webseiten übermitteln, sodass das wiederholte Bestätigen einzelner Banner entfiele. Die Anerkennung solcher Dienste erfolgt durch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.
Für die Praxis ändert das vorerst wenig. Da die Nutzung solcher Dienste für Webseite-Betreiber freiwillig ist und bislang kein anerkanntes PIMS am Markt etabliert ist, bleibt das klassische Cookie-Banner auf absehbare Zeit der Regelfall. Wer heute ein Banner aufsetzt oder überarbeitet, sollte es daher konsequent an den geltenden Anforderungen ausrichten und eine spätere Anbindung an die Einwilligungsverwaltung allenfalls als Option auf der Roadmap mitdenken.
Häufige Fragen
Braucht jede Webseite ein Cookie-Banner?
Nein. Ein Banner ist nur erforderlich, wenn eine Webseite Informationen auf dem Endgerät speichert oder darauf zugreift, die über das technisch Notwendige hinausgehen. Eine reine Informationsseite ohne Reichweitenmessung, ohne Marketing-Werkzeuge und ohne eingebettete Inhalte Dritter kann ganz ohne Einwilligungsdialog auskommen. Sobald jedoch ein Analyse-Werkzeug, ein Marketing-Pixel oder ein eingebettetes Video eines Drittanbieters zum Einsatz kommt, greift die Einwilligungspflicht nach § 25 Abs. 1 TDDDG.
Müssen Akzeptieren- und Ablehnen-Button exakt gleich aussehen?
Eine bis ins Detail identische Gestaltung verlangt die Rechtsprechung nicht. Maßgeblich ist, dass das Banner in der Gesamtschau nicht gezielt zur Zustimmung lenkt. Wird die zustimmende Schaltfläche durch Farbe, Kontrast oder Größe deutlich hervorgehoben, während die Ablehnung blass, klein oder schwerer erreichbar ist, gilt dies als unzulässige Lenkung. In der Praxis ist es am sichersten, beide Optionen auf derselben Ebene, auf gleicher Höhe und in vergleichbarer Auffälligkeit anzubieten.
Darf ich nicht notwendige Cookies vor der Einwilligung laden, solange ich darüber informiere?
Nein. Die Einwilligung muss vor dem Speicher- oder Zugriffsvorgang vorliegen. Eine bloße Information genügt nicht, und auch ein voreingestelltes Häkchen ersetzt die aktive Handlung nicht, wie der Europäische Gerichtshof im Verfahren Planet49 entschieden hat. Wird ein zustimmungspflichtiger Dienst bereits beim Seitenaufruf geladen, ist der Verstoß eingetreten, bevor der Nutzer überhaupt eine Wahl treffen konnte.
Zählt das Weitersurfen als Einwilligung?
Nein. Eine wirksame Einwilligung setzt eine eindeutige, bestätigende Handlung voraus. Das bloße Weiternutzen der Webseite, das Scrollen oder das Wegklicken des Banners erfüllt diese Anforderung nicht und kann nicht als Zustimmung gewertet werden. Ebenso wenig genügt es, das Schließen des Banners ohne Auswahl als Einwilligung zu behandeln.
Wie lange ist eine erteilte Einwilligung gültig?
Das Gesetz nennt keine feste Frist. In der Aufsichtspraxis hat sich eine erneute Abfrage nach etwa sechs bis zwölf Monaten als angemessen etabliert, damit die Einwilligung aktuell bleibt. Unabhängig davon muss der Widerruf jederzeit so leicht möglich sein wie die ursprüngliche Erteilung, üblicherweise über einen dauerhaft sichtbaren Link, der das Banner erneut öffnet. Jede Entscheidung sollte mit Zeitstempel und Banner-Version protokolliert werden, um die Rechtmäßigkeit nachweisen zu können.
Bedarf der Google Tag Manager einer eigenen Einwilligung?
Nach dem Urteil des Verwaltungsgerichts Hannover vom 19. März 2025 ist der Google Tag Manager nicht als technisch notwendig einzustufen, sodass bereits sein Laden der Einwilligung unterliegt. Praktisch bedeutet das, dass der Tag Manager erst nach der Zustimmung ausgeführt werden darf und die über ihn gesteuerten Werkzeuge entsprechend kategorienscharf freigegeben werden. Eine korrekte Verdrahtung des Consent-Signals ist hier entscheidend.
Macht die neue Einwilligungsverwaltungsverordnung Cookie-Banner überflüssig?
Vorerst nicht. Die EinwV schafft seit April 2025 zwar einen rechtlichen Rahmen für anerkannte Einwilligungsverwaltungsdienste, deren Nutzung ist für Webseite-Betreiber jedoch freiwillig. Solange kein anerkanntes System am Markt etabliert ist und Webseiten die Anbindung nicht flächendeckend unterstützen, bleibt das klassische Banner der Regelfall. Es empfiehlt sich, die Entwicklung zu beobachten und beim Consent-Werkzeug nach einer geplanten Schnittstelle zu fragen, ohne darauf die heutige Umsetzung aufzubauen.
Das Wesentliche
Ein rechtssicheres Cookie-Banner erfüllt zwei Bedingungen gleichzeitig: Technisch laden zustimmungspflichtige Dienste erst nach der erteilten Einwilligung, niemals davor. Gestalterisch stehen Zustimmung und Ablehnung als gleichwertige, gleich leicht erreichbare Optionen nebeneinander, ohne dass die Gestaltung den Nutzer zur Zustimmung lenkt. Erst wenn beide Ebenen zusammenwirken, hält die Einwilligung einer aufsichtsbehördlichen Prüfung stand.
