Cookie-Banner richtig umsetzen: Was ePrivacy und DSGVO wirklich fordern
Nicht jede Website braucht einen Cookie-Banner. Wann ist er Pflicht, was muss er enthalten — und warum sind viele Banner trotzdem rechtswidrig?
Wann brauche ich überhaupt einen Cookie-Banner?
Die kurze Antwort: Nicht immer. Ein Cookie-Banner ist nur dann erforderlich, wenn Sie Cookies oder vergleichbare Technologien einsetzen, die nicht technisch notwendig sind.
Rein technisch notwendige Cookies — also solche, die für den Betrieb der Website unabdingbar sind (Session-Cookies, Login-Cookies, Warenkorb-Cookies) — benötigen keine Einwilligung.
Einwilligung erforderlich bei:- Google Analytics, Google Tag Manager
- Facebook Pixel, Meta Pixel
- HubSpot, Hotjar, Microsoft Clarity
- Werbenetzwerke und Retargeting
- Social Media Buttons mit Tracking
- Session-Cookies für Login und Warenkorb
- Technische Präferenz-Cookies (Spracheinstellung)
- Load-Balancing-Cookies
Was macht einen Cookie-Banner rechtswidrig?
Die deutsche Datenschutzkonferenz und der Europäische Datenschutzausschuss haben klare Anforderungen formuliert. Häufige Fehler:
1. "Akzeptieren"-Button prominenter als "Ablehnen"
Der "Ablehnen"-Button muss gleich zugänglich und gleich prominent sein wie "Akzeptieren". Versteckte Ablehn-Optionen (kleiner Text, grau eingefärbt, im zweiten Schritt) sind rechtswidrig.
2. Vorangekreuzte Kästchen
Einwilligungen müssen durch eine aktive Handlung erklärt werden. Vorausgewählte Checkboxen erfüllen das nicht.
3. Cookie-Wall ("nur mit Zustimmung nutzbar")
Eine Website, die nur bei Zustimmung nutzbar ist, verletzt in den meisten Fällen das Freiwilligkeitsprinzip der DSGVO.
4. Widerspruch nicht dokumentiert
Die erteilten und verweigerten Einwilligungen müssen dokumentierbar sein — das ist Aufgabe des eingesetzten Consent-Tools.
Anforderungen an einen rechtskonformen Banner
Ein rechtsgültiger Cookie-Banner muss folgende Punkte erfüllen:
- Vor Setzen nicht notwendiger Cookies erscheinen
- Klare Information über Zweck der Datenverarbeitung
- Separate Einwilligung für verschiedene Kategorien möglich
- Gleichwertige Ablehnung wie Zustimmung
- Möglichkeit, Einwilligung jederzeit zu widerrufen
- Keine Dark Patterns (irreführende Design-Tricks)
Welche Tools sind empfehlenswert?
| Tool | Typ | Kosten |
| Klaro | Open Source | kostenlos |
| CookieYes | SaaS | ab 0 € |
| Usercentrics | SaaS | ab 60 €/Monat |
| Cookiebot | SaaS | ab 10 €/Monat |
| Real Cookie Banner | WordPress-Plugin | ab 39 €/Jahr |
Technische Umsetzung: Consent vor dem Script-Load
Tracking-Scripts dürfen erst nach der Einwilligung geladen werden. Die korrekte technische Umsetzung:
<script src="analytics.js"></script>
Muss ich das auf meiner Website prüfen?
Wenn Sie unsicher sind, ob Ihre Website Tracking-Scripts lädt, können Sie das mit ImpressumGuard automatisch prüfen lassen. Der DSGVO-Modul analysiert geladene Scripts und prüft, ob ein Cookie-Consent-Banner vorhanden ist.