Zum Inhalt springen
Website, Shop & Sichtbarkeit aus einer Hand
Datenschutz

Cookie-Banner und Consent richtig umsetzen

Cookie-Banner richtig umsetzen: Was DSGVO und TTDSG verlangen, wann ein Banner überhaupt nötig ist, häufige Fehler und datensparsame Alternativen.

12 Min. Lesezeit DatenschutzCookie-BannerConsentDSGVOTTDSG

Kaum ein Element im Web ist so verbreitet und zugleich so oft falsch umgesetzt wie das Cookie-Banner. Fast jede Seite begrüßt Besucher heute mit einem Einwilligungsdialog, doch viele davon halten weder die rechtlichen Vorgaben ein noch respektieren sie die Menschen davor. Eine viel zitierte Untersuchung fand, dass nur 11,8 Prozent (Nouwens et al., CHI 2020) der untersuchten Banner die rechtlichen Mindestanforderungen erfüllten. Gleichzeitig nervt ein schlecht gebautes Banner Nutzer, verlangsamt die Seite und kann sogar der Marke schaden. Dabei ist die Grundidee einfach: Wer personenbezogene Daten über das technisch Notwendige hinaus verarbeitet, braucht dafür meist eine echte, freiwillige Einwilligung. Dieser Beitrag erklärt sachlich, was die DSGVO und das TTDSG verlangen, wann eine Seite überhaupt ein Banner braucht, welche Fehler immer wieder passieren und welche datensparsamen Alternativen es gibt. Er ersetzt keine Rechtsberatung, sondern beschreibt die technische und gestalterische Umsetzung aus Sicht einer Webagentur.

Cookie-Banner und Consent: wann nötig, wann nichtOhne Einwilligung erlaubttechnisch notwendige CookiesLogin und SessionWarenkorb im ShopSpracheinstellung merkenSicherheit und LastverteilungKein Banner erforderlichfür den Betrieb der Seite unverzichtbarEinwilligung erforderlicherst nach aktivem Klick ladenAnalyse und StatistikMarketing-PixelEingebettete VideosKarten und externe SchriftenBanner mit echter Wahlablehnen so leicht wie zustimmenSo sieht ein fairer Consent-Dialog ausAblehnen genauso einfach wie ZustimmenKeine vorausgewählten Haken, kein NudgingExterne Dienste laden erst nach dem KlickAlle ablehnenAlle akzeptierengleich groß, gleiche Gewichtung

Wann eine Website überhaupt ein Banner braucht

Ein weit verbreitetes Missverständnis lautet, jede Website brauche zwingend ein Cookie-Banner. Das stimmt so nicht. Entscheidend ist nicht, ob eine Seite Cookies setzt, sondern wofür. Cookies und ähnliche Techniken, die für den Betrieb der Seite unbedingt erforderlich sind, dürfen ohne vorherige Einwilligung genutzt werden. Dazu gehören etwa das Speichern eines Logins, der Inhalt eines Warenkorbs, die gewählte Sprache oder Maßnahmen für Sicherheit und Lastverteilung. Erst wenn Daten darüber hinaus verarbeitet werden, also für Reichweitenmessung, Marketing oder das Einbinden externer Dienste, kommt eine Einwilligungspflicht ins Spiel.

Eine schlanke Informationsseite ohne Statistik-Tools, ohne Marketing-Pixel und ohne eingebettete Inhalte von Drittanbietern kann daher völlig ohne Consent-Banner auskommen. Sobald aber Analyse-Werkzeuge, Werbenetzwerke, eingebettete Videos, Kartendienste oder extern geladene Schriften ins Spiel kommen, greifen die Regeln. Der erste Schritt zu einem sauberen Datenschutz ist deshalb keine Banner-Software, sondern eine ehrliche Bestandsaufnahme: Welche Cookies und Dienste laufen tatsächlich, wer setzt sie, und sind sie wirklich nötig. Diese Inventur ist auch die Grundlage für die [DSGVO-Checkliste1, die wir in einem eigenen Beitrag beschreiben.

Kein Banner ist auch eine Lösung

Der datensparsamste Weg ist oft, das Banner überflüssig zu machen. Wer auf tracking-lastige Dienste verzichtet, externe Inhalte lokal einbindet und nur technisch notwendige Cookies nutzt, braucht keinen Einwilligungsdialog. Weniger Drittdienste bedeuten zugleich schnellere Ladezeiten und weniger Angriffsfläche. Das Banner ist die Antwort auf ein Problem, das man an vielen Stellen auch vermeiden kann.

Was DSGVO und TTDSG konkret verlangen

Zwei Regelwerke greifen ineinander. Die Datenschutz-Grundverordnung (DSGVO) regelt, wie personenbezogene Daten verarbeitet werden dürfen, und definiert, was eine wirksame Einwilligung ausmacht: Sie muss freiwillig, informiert, für den konkreten Zweck erteilt und ebenso leicht widerrufbar sein. Das TTDSG, das Telekommunikation-Telemedien-Datenschutz-Gesetz, regelt in Paragraf 25 speziell den Zugriff auf Informationen im Endgerät der Nutzer, also das Setzen und Auslesen von Cookies und ähnlichen Kennungen. Nur für das, was für den ausdrücklich gewünschten Dienst unbedingt erforderlich ist, gilt eine Ausnahme von der Einwilligungspflicht.

Wichtig ist der Zeitpunkt: Die Einwilligung muss vor dem Setzen nicht notwendiger Cookies eingeholt werden, nicht danach. Ein Banner, das im Hintergrund bereits Tracking startet, während der Nutzer noch überlegt, verfehlt seinen Zweck. Der Europäische Gerichtshof hat zudem klargestellt, dass vorangekreuzte Kästchen keine wirksame Einwilligung darstellen (EuGH, Rechtssache C-673/17, Planet49). Zustimmung entsteht nur durch eine aktive, bewusste Handlung. Wer diese Grundlagen kennt, erkennt schnell, warum so viele Banner in der Praxis nicht halten, was sie versprechen.

Kurz erklärt: TTDSG und der neue Name TDDDG

Das TTDSG regelt in Paragraf 25 den Schutz der Endeinrichtung, also den Zugriff auf Cookies und ähnliche Techniken. Seit Mai 2024 trägt dasselbe Gesetz den Namen TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz). Inhaltlich sind die Cookie-Regeln gleich geblieben, in älteren Texten findet sich noch die Bezeichnung TTDSG. Zusammen mit der DSGVO bildet es den Rahmen, an dem sich Consent-Banner in Deutschland orientieren.

Die vier Merkmale einer wirksamen Einwilligung

Freiwillig, informiert, zweckgebunden und widerrufbar. Fehlt eines dieser Merkmale, ist die Zustimmung angreifbar. Freiwillig heißt: Ablehnen darf keinen Nachteil bringen und muss genauso leicht sein wie Zustimmen. Informiert heißt: klar benennen, wer welche Daten wofür verarbeitet. Zweckgebunden heißt: keine pauschale Zustimmung für alles. Widerrufbar heißt: die Entscheidung lässt sich jederzeit ohne Hürden ändern.

Häufige Fehler bei Cookie-Bannern

Viele Banner scheitern nicht an bösem Willen, sondern an voreingestellten Vorlagen und dem Wunsch, möglichst viele Zustimmungen einzusammeln. Genau dieser Wunsch führt zu Gestaltungen, die die Freiwilligkeit untergraben. Ein großer, bunter Akzeptieren-Knopf neben einem blassen, versteckten Ablehnen-Link ist der Klassiker. Solche Muster werden oft als Dark Patterns bezeichnet und sind ein Hauptgrund, warum die eingangs genannte Untersuchung so viele Banner als nicht regelkonform einstufte. Die folgende Liste fasst die häufigsten Probleme zusammen, die uns in der Praxis begegnen (Projekterfahrung).

  • Ablehnen ist schwerer als Zustimmen: kein gleichwertiger Ablehnen-Button auf der ersten Ebene
  • Vorausgewählte Haken oder ein großer Akzeptieren-Knopf neben einem blassen Ablehnen-Link
  • Tracking startet schon, bevor der Nutzer überhaupt geklickt hat
  • Ein Nur-noch-schnell-Akzeptieren-Banner ohne echte Auswahlmöglichkeit
  • Zustimmungswand, die die ganze Seite blockiert und Ablehnen faktisch unmöglich macht
  • Kein einfacher Weg, die Einwilligung später zu widerrufen oder zu ändern
  • Unklare oder unvollständige Angaben, welche Dienste welche Daten verarbeiten

Ein besonders häufiger technischer Fehler ist, dass externe Dienste bereits im Quelltext eingebunden sind und beim Seitenaufruf sofort laden, unabhängig vom Banner. Ein eingebettetes Video, eine Karte oder ein Schrift-Import von einem fremden Server überträgt dabei oft schon die IP-Adresse des Besuchers, bevor irgendeine Einwilligung vorliegt. Das Banner ist dann reine Kulisse. Sauber ist es nur, wenn solche Dienste erst nach aktiver Zustimmung nachgeladen werden, etwa über eine Vorschau mit Platzhalter, die den Inhalt erst auf Klick freigibt. Genau solche Dienste im Blick zu behalten, gehört zur laufenden [Website-Betreuung1.

Zustimmungswand mit Vorsicht

Ein Banner, das die gesamte Seite blockiert und praktisch nur einen Akzeptieren-Knopf bietet, setzt Nutzer unter Druck und untergräbt die Freiwilligkeit. Aufsichtsbehörden und Gerichte sehen solche erzwungenen Zustimmungen kritisch. Wer Reichweite messen will, sollte prüfen, ob es nicht auch datensparsam und ohne Zwang geht, statt die Zustimmung faktisch zu erpressen.

Datensparsame Alternativen zum Tracking

Der eleganteste Weg um ein aufdringliches Banner herum ist, weniger Daten zu erheben. Datensparsamkeit ist kein Verzicht, sondern oft die bessere Lösung: Wer nur das misst, was er wirklich braucht, hat sauberere Zahlen, schnellere Seiten und keinen Konflikt mit dem Datenschutz. Für viele kleine und mittlere Unternehmen reicht eine grobe Orientierung über Besucherzahlen und beliebte Seiten völlig aus. Dafür gibt es Ansätze, die entweder ganz ohne Cookies auskommen oder Daten so weit anonymisieren, dass kein Personenbezug entsteht und damit häufig keine Einwilligung nötig ist. Die genaue Bewertung im Einzelfall bleibt eine juristische Frage, die technische Umsetzung aber lässt sich datensparsam gestalten.

Serverbasierte Messung

Reichweite aus den ohnehin anfallenden Server-Zugriffen ableiten, ohne Cookies im Browser zu setzen. Grobe Trends statt personenbezogener Profile.

Anonyme Statistik

Analyse-Ansätze, die IP-Adressen kürzen und keine geräteübergreifende Wiedererkennung erlauben, sodass oft kein Personenbezug entsteht.

Externes lokal einbinden

Schriften, Skripte und Karten vom eigenen Server ausliefern statt von Drittanbietern. Kein Datenabfluss beim Seitenaufruf, schnellere Ladezeit.

Auch eingebettete Inhalte lassen sich datensparsam lösen. Statt ein Video oder eine Karte direkt zu laden, zeigt eine Vorschau zunächst nur ein Platzhalterbild und lädt den eigentlichen Inhalt erst, wenn der Nutzer bewusst darauf klickt. So entsteht der Datenabfluss nur bei denen, die den Inhalt wirklich sehen wollen. Schriften und Icons gehören auf den eigenen Server, wo sie ohnehin schneller ausgeliefert werden. Diese Maßnahmen reduzieren nicht nur die Zahl der einwilligungspflichtigen Dienste, sondern verbessern zugleich Ladezeit und Sicherheit, wie wir im Beitrag zu den [Grundlagen der Website-Sicherheit1 zeigen.

AnsatzBraucht meist ein BannerMerkmal
Technisch notwendige CookiesNeinLogin, Warenkorb, Sprache, Sicherheit
Serverbasierte ReichweitenmessungMeist neinKein Cookie im Browser, grobe Trends
Anonyme Statistik ohne WiedererkennungHäufig neinIP gekürzt, kein Personenbezug angestrebt
Externe Schriften und Karten (lokal)NeinVom eigenen Server, kein Drittabruf
Klassische Analyse mit WiedererkennungJaCookies und Profile, aktive Zustimmung
Marketing-Pixel und WerbenetzwerkeJaDatenweitergabe an Dritte, Einwilligung

Die Tabelle zeigt das Grundmuster: Je weniger ein Dienst personenbezogene Daten sammelt und an Dritte weitergibt, desto eher lässt er sich ohne Banner nutzen. Wo eine Einwilligung nötig bleibt, sollte der Dialog fair gestaltet sein. Die Kunst besteht nicht darin, das perfekte Banner zu bauen, sondern die Zahl der einwilligungspflichtigen Dienste so klein wie möglich zu halten. Ob ein bestimmter Dienst im Einzelfall zustimmungsfrei ist, hängt von den Details ab und sollte im Zweifel rechtlich geprüft werden.

Ein sauberer Consent-Dialog: die Bausteine

Wenn ein Banner nötig ist, entscheidet die Gestaltung über Fairness und Akzeptanz. Ein guter Consent-Dialog gibt auf der ersten Ebene eine echte, gleichwertige Wahl: Alle akzeptieren und Alle ablehnen als gleich große, gleich sichtbare Schaltflächen, ergänzt um einen Weg zu den Einstellungen. Es gibt keine vorausgewählten Haken für nicht notwendige Zwecke, keine versteckten Ablehnen-Links und kein farbliches Nudging, das die Zustimmung optisch bevorzugt. Vor dem Klick läuft kein Tracking. Und die einmal getroffene Entscheidung lässt sich später jederzeit über einen dauerhaft erreichbaren Link ändern oder widerrufen.

  • Ablehnen und Zustimmen auf der ersten Ebene, gleich groß und gleich sichtbar
  • Keine vorausgewählten Haken für Analyse, Marketing oder externe Medien
  • Kein Nudging durch Farbe, Größe oder Platzierung zugunsten der Zustimmung
  • Nicht notwendige Dienste laden erst nach aktiver Einwilligung
  • Klare Angaben, welcher Dienst welche Daten zu welchem Zweck verarbeitet
  • Widerruf jederzeit über einen dauerhaft erreichbaren Link möglich
  • Verlinkung zur Datenschutzerklärung mit Details zu allen Diensten

Praxis-Tipp für den Widerruf

Ein oft vergessener Baustein ist der einfache Widerruf. Ein kleiner, dauerhaft sichtbarer Link im Footer, etwa Cookie-Einstellungen, öffnet den Dialog erneut und lässt die Wahl jederzeit anpassen. Das erfüllt nicht nur die Anforderung an die Widerrufbarkeit, sondern schafft auch Vertrauen: Wer die Kontrolle sichtbar in die Hand der Nutzer legt, wirkt glaubwürdiger als eine Seite, die die Zustimmung einmal einsammelt und dann versteckt.

Zur Ehrlichkeit gehört der Hinweis, dass Datenschutz ein bewegliches Feld ist. Gesetze werden angepasst, Gerichte präzisieren einzelne Fragen, und Aufsichtsbehörden veröffentlichen laufend neue Orientierungshilfen. Ein Banner ist deshalb nie für immer fertig, sondern Teil der laufenden Pflege einer Website. Wer Dienste ergänzt oder austauscht, muss den Consent-Dialog mitziehen. Ein sicherer, aktueller Betrieb, gutes [Hosting in Deutschland1 und regelmäßige Kontrolle der eingebundenen Dienste gehören zusammen. Dieser Beitrag ist ein Überblick aus technischer Sicht und ersetzt im Zweifel nicht die Einschätzung eines auf Datenschutz spezialisierten Rechtsberaters.

Dieser Artikel basiert auf Daten aus: Nouwens et al. (CHI 2020, Konformität von Cookie-Bannern), Europäischer Gerichtshof (Rechtssache C-673/17, Planet49), TTDSG bzw. TDDDG Paragraf 25 und der Datenschutz-Grundverordnung sowie eigenen Projekten. Mit (Projekterfahrung) markierte Angaben beruhen auf eigenen Website-Projekten. Der Beitrag ist eine technische Orientierung und keine Rechtsberatung; die Bewertung im Einzelfall bleibt einer fachkundigen rechtlichen Prüfung vorbehalten.