Top Themen in der Web-Compliance:
Ein Cookie Banner ist ein Einwilligungsdialog, der beim ersten Besuch einer Website erscheint und Nutzer über den Einsatz von Cookies und Tracking-Technologien informiert. Ob Ihr Cookie Banner rechtskonform ist, zeigt unser DSGVO Website Check.
Ein Cookie Banner informiert Websitebesucher über den Einsatz von Cookies und Tracking-Technologien und holt deren Einwilligung ein, bevor diese Technologien aktiviert werden. Er muss eine Ablehn-Option auf der ersten Ebene enthalten, alle Datenempfänger benennen und granulare Einwilligungen ermöglichen. Ein Banner ohne Ablehnen-Button oder mit vorausgefüllten Feldern ist nach DSGVO und § 25 TDDDG rechtswidrig.
Gemäß § 25 TDDDG und Art. 6 Abs. 1 lit. a DSGVO ist die aktive, informierte Einwilligung des Nutzers vor dem Setzen nicht technisch notwendiger Cookies Pflicht. Ohne rechtskonformen Cookie Banner drohen Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes nach Art. 83 Abs. 5 DSGVO. Seit 2011 gibt es die EU-Datenschutzrichtlinie für elektronische Kommunikation, auch bekannt als „Cookie-Gesetz“. Früher reichte ein einfaches Pop-up-Fenster mit dem Hinweis auf Cookies — ohne weitere Informationen, ohne Auswahlmöglichkeit.
Heute gelten deutlich höhere Anforderungen. Ein DSGVO-konformes Cookie Banner muss:
Die Einhaltung dieser Vorgaben ist nicht nur gesetzlich vorgeschrieben, sondern stärkt auch das Vertrauen der Nutzer in den verantwortungsvollen Umgang mit ihren Daten. Um die Flut an Cookie-Bannern im Internet zu reduzieren, hat die Bundesregierung im Dezember 2024 eine Verordnung über Dienste zur Einwilligungsverwaltung beschlossen. Diese ermöglicht es Nutzerinnen und Nutzern, ihre Cookie-Entscheidungen dauerhaft zu hinterlegen — sodass wiederholte Einwilligungen auf verschiedenen Websites entfallen.
Die rechtliche Grundlage für Cookie-Einwilligungen in Deutschland ist § 25 Abs. 1 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), der seit Dezember 2021 das frühere TTDSG ersetzt. Er verlangt eine aktive Einwilligung vor dem Zugriff auf Endgeräte — unabhängig davon, ob dabei personenbezogene Daten erhoben werden.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenDie Auswahl des passenden Consent Management Tools kann herausfordernd sein. Wir helfen Ihnen, den Überblick im vielfältigen Marktangebot zu behalten, fundierte Entscheidungen zu treffen und Ihre Lösung hinsichtlich Kosten und Datenschutzkonformität zu optimieren – von der Bewertung der rechtlichen Grundlage (DSGVO, TDDDG etc.) über die technische Umsetzung bis hin zu konkreten Handlungsempfehlungen für Ihre Websites.
Wir unterstützen Sie unter anderem bei:
Immer wenn eine Website Cookies oder vergleichbare Technologien einsetzt, die personenbezogene Daten erheben oder an Dritte übermitteln — etwa Google Analytics, Meta Pixel oder Retargeting-Netzwerke — ist ein Cookie Banner mit aktivem Opt-in gesetzlich verpflichtend. Rein technisch notwendige Cookies, die ausschließlich die Funktion der Website sicherstellen und keine Daten an Dritte senden, sind nach § 25 TDDDG einwilligungsfrei. Rechtsgrundlagen sind kumulativ: § 25 TDDDG regelt den Zugriff auf das Endgerät, Art. 6 Abs. 1 lit. a DSGVO die Verarbeitung der dadurch erhobenen Daten.
Einwilligungspflicht besteht bei:
Keine Einwilligung erforderlich bei:
Prüfen Sie mit unserem kostenlosen DSGVO Website Check, welche Cookies Ihre Seite tatsächlich setzt.
Ein DSGVO-konformer Cookie Banner braucht mindestens drei gleichwertig gestaltete Buttons — Akzeptieren, Ablehnen und Einstellungen — sowie einen Hinweistext, Links zu Datenschutzerklärung und Impressum, und eine granulare Einwilligungsmöglichkeit für jeden Datenempfänger. Ablehnen muss auf der ersten Ebene sichtbar sein. Laut OLG Köln (Az. 6 U 80/23, 19.01.2024) sind Banner mit ungleichgewichtigem Button-Design rechtswidrig.
Element | Anforderung | Rechtsgrundlage |
|---|---|---|
Akzeptieren-Button | Erste Ebene, deutlich sichtbar | Art. 6 Abs. 1 lit. a DSGVO |
Ablehnen-Button | Erste Ebene, gleichwertig gestaltet | OLG Köln Az. 6 U 80/23 |
Einstellungen-Button | Zugang zu granularer Auswahl | Art. 7 DSGVO |
Datenschutzerklärung-Link | Aufrufbar ohne Cookie-Setzung | Art. 13 DSGVO |
Impressum-Link | Aufrufbar ohne Cookie-Setzung | § 5 DDG |
Granulare Auswahl | Je Datenempfänger separat | § 25 TDDDG |
Widerrufsmöglichkeit | Jederzeit, gleich einfach wie Einwilligung | Art. 7 Abs. 3 DSGVO |
Dokumentation | Einwilligungshistorie nachweisbar | Art. 7 Abs. 1 DSGVO |
Solange der Banner angezeigt wird, müssen alle Skripte, die Nutzerdaten erfassen könnten, blockiert bleiben. Erst nach Einwilligung dürfen die gewählten Technologien geladen werden.
Cortina Consult erstellt und implementiert Cookie Banner – 100 % DSGVO-konform.
Das Oberlandesgericht Köln hat mit Cookie Banner Urteil vom 19. Januar 2024 (Az. 6 U 80/23) entschieden, dass alle Schaltflächen eines Cookie Banners gleichwertig gestaltet sein müssen. Ein kleiner, schwer auffindbarer „Ablehnen“-Button neben einem prominenten „Akzeptieren“-Button ist rechtswidrig. Das Urteil hat unmittelbare praktische Konsequenzen: Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) führte 2024 mittels KI-gestütztem Scanner Massenprüfungen durch und identifizierte 350 Websites mit rechtswidrigem Banner-Design.
Ein Verstoß kann nach Art. 83 Abs. 5 DSGVO mit Bußgeldern bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden — je nachdem, welcher Betrag höher ist. Hinzu kommen Abmahnungen durch Mitbewerber und Verbraucherschutzverbände.
Das Urteil gilt als Wendepunkt: Websitebetreiber können sich nicht mehr auf Dark Patterns verlassen, die Nutzer zur Zustimmung drängen. Wer seinen Banner nicht angepasst hat, riskiert beim nächsten BayLDA-Scan-Durchlauf aktiv erfasst zu werden.
Viele Websites verstoßen unbewusst gegen die DSGVO – durch Tools wie reCAPTCHA, Google Fonts oder nicht konforme Cookie-Banner. Unser kostenloser Web-Compliance-Check deckt alle kritischen Punkte auf.
Consent Management bezeichnet die technische und rechtliche Verwaltung von Nutzereinwilligungen für Cookies und Tracking-Technologien. Eine Consent Management Platform (CMP) blockiert alle nicht-notwendigen Skripte vor dem Opt-in, dokumentiert jede Einwilligung serverseitig, ermöglicht einfachen Widerruf und stellt die Einwilligungshistorie für Behördenprüfungen bereit. Ohne CMP ist die nach Art. 7 Abs. 1 DSGVO geforderte Beweispflicht für Einwilligungen praktisch nicht erfüllbar.
Eine freie Zustimmung liegt vor, wenn der Nutzer bei seinem ersten Website-Besuch aktiv zwischen Akzeptieren und Ablehnen wählen kann — ohne dass Inhalte oder Funktionen gesperrt werden. Die Dokumentation muss serverseitig erfolgen, damit sie bei Behördenanfragen nachweisbar ist.
Einerseits können Sie dies intern lösen. Hier gilt jedoch Vorsicht, da eine stetige Überwachung der Rechtsverordnungen nötig ist. Um hier auf Nummer sicher zu gehen und Haftungsrisiken zu vermeiden, ist es sinnvoll, das Consent Management an einen spezialisierten Anbieter auszulagern. Dafür eignet sich am besten eine Consent-Management-Plattform (CMP), die es einem Websitebetreiber ermöglicht, die Zustimmung für die Nutzung von Cookies abzufragen, zu dokumentieren oder zu verwalten. Auf dem Markt etabliert ist beispielsweise Consentmanager.de. Dieses Tool ermöglicht transparente Einwilligungsprozesse, individuelle Gestaltung und eine rechtskonforme Dokumentation der Einwilligungen.
Da es nicht nur um die Zustimmung für die Nutzung von Cookies geht, sondern auch um andere Tracking-Technologien, werden Cookie Banner auch als Consent Banner bezeichnet.
Um die Einwilligungen zu dokumentieren und zu verwalten, wird eine Consent-Management-Platform genutzt. Es handelt sich also um ein Zustimmungsmanagement. Website-Besitzer können ihre User über die Consent-Management-Platform über den Einsatz von Cookie- und Tracking-Technologien informieren und ihre Einwilligung einholen. Zudem können sie ihren Website-Besuchern die Möglichkeit geben, die Einwilligung zu verweigern (Opt-out).
Consent Management unterstützt Websitebetreiber dabei, drei zentrale regulatorische Pflichten aus DSGVO und TDDDG zu erfüllen: Einwilligungsdokumentation, technisches Blocking vor Opt-in und nachweisbarer Widerruf.
Die frühere Regelung in § 15 Abs. 3 TMG wurde im Dezember 2021 durch § 25 TDDDG abgelöst. Maßgeblich ist heute ausschließlich der TDDDG-Rechtsrahmen in Verbindung mit der DSGVO — ein aktives Opt-in des Nutzers ist Pflicht, vorausgefüllte Felder oder reine Hinweisbanner sind unwirksam.
Nach Ansicht der DSK müssen Website-Cookies datensparsam eingesetzt werden, also technisch oder zur Website-Optimierung notwendig sein. Die Nutzung von Cookies erfordert jedoch nicht per se eine Einwilligung — Cookies, die keine Einwilligung erfordern, müssen nur in der Datenschutzerklärung aufgeführt werden.
Die Einwilligungspflicht bei Cookies bezieht sich auf die Erhebung persönlicher Daten, vor allem die Weitergabe von Daten an Dritte oder die Möglichkeit Dritter, selbst Daten über diese Website zu erheben.
Solange das Banner angezeigt wird, also die Erklärung nicht abgeschlossen ist, müssen alle Skripte, die Nutzerdaten erfassen könnten, blockiert bleiben. Erst nach der Cookie-Auswahl und deren Bestätigung dürfen die gewählten Cookies dynamisch nachgeladen werden und zum Einsatz kommen.
Es muss auch dokumentiert werden, auf Basis welcher Erlaubnis die Datenverarbeitung stattfindet. Außerdem muss sichergestellt werden, dass möglichst wenige Daten erhoben werden und der Nutzer jederzeit Einsicht in die gewährte Erlaubnis hat bzw. diese Erlaubnis teils oder ganz widerrufen kann. Ein externer Datenschutzbeauftragter kann im Unternehmen sicherstellen, dass diese Vorgaben technisch und organisatorisch eingehalten werden.
Die reine Verwendung von Pseudonymen wird von der DSK nicht als ausreichende Pseudonymisierungsmaßnahme nach der DSGVO anerkannt. Streng genommen sind nur anonymisierte Cookies nicht einwilligungsbedürftig.
Tracking-Cookies auf Basis berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO sind in der Praxis nur selten zulässig — die DSK verlangt eine dreistufige Prüfung: Liegt ein legitimes Geschäftsziel vor? Ist die Datenerhebung dafür tatsächlich erforderlich — gibt es kein milderes Mittel? Und überwiegen die Unternehmensinteressen die Datenschutzrechte der Nutzer? In den meisten Fällen führt diese Prüfung zur Einwilligungspflicht. Eine vollständige Analyse der DSK-Zulässigkeitsprüfung mit allen Abwägungskriterien findet sich auf der Seite Berechtigtes Interesse beim Tracking.
Die fünf häufigsten Fehler bei Cookie Bannern führen direkt zu DSGVO-Verstößen und können Bußgelder, Abmahnungen oder den Verlust von Tracking-Daten auslösen. Der schwerwiegendste Fehler ist die fehlende Ablehnen-Option auf der ersten Ebene — sie macht den gesamten Banner rechtswidrig, unabhängig von allen anderen Einstellungen.
Tipp: Ein fehlerhafter Banner kann auch bei korrektem restlichen Datenschutz zu Bußgeldern führen. Das BayLDA prüft Banner-Design 2024 automatisiert mittels KI-Scanner.
Ein Cookie Banner Generator erstellt automatisiert ein passendes Cookie Banner. Die Voraussetzung für Rechtssicherheit ist jedoch nicht das Tool allein, sondern die korrekte Konfiguration: Alle eingesetzten Cookies müssen erfasst sein, das Blocking vor Opt-in muss technisch funktionieren, und die Einwilligungshistorie muss dokumentiert werden.
Die Wahl der richtigen CMP entscheidet darüber, ob Einwilligungen rechtssicher dokumentiert werden, ob Skripte technisch korrekt blockiert werden und ob Widerrufe lückenlos verarbeitet werden. Wichtigste Kriterien: EU-Serverspeicherung der Einwilligungsdaten, Opt-in-First-Blocking (kein Laden vor Einwilligung), granulare Einwilligungsmöglichkeit und IAB TCF-Kompatibilität. Das Privacy Hub von Cortina Consult erfüllt alle diese Kriterien — für die individuelle Auswahl und Implementierung steht die Web-Compliance-Beratung zur Verfügung.
Da es sich bei den CMPs um eine Neuentwicklung auf dem Gebiet der Website-Technologien handelt, haben wir objektive Kriterien zusammengestellt, die sich aus rechtlichen und technischen Aspekten zusammensetzen und bei der Auswahl eines CMP berücksichtigt werden sollten.
Umfassende Beratung rund um Consent Management und Cookie-Compliance – damit Sie Einwilligungen rechtssicher umsetzen und Ihre Website datenschutzkonform betreiben.
Bei einem rechtswidrigen Cookie Banner drohen DSGVO-Bußgelder nach Art. 83 Abs. 5 DSGVO von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Hinzu kommen Abmahnungen durch Mitbewerber und klagebefugte Organisationen wie Verbraucherzentralen sowie zivilrechtliche Schadensersatzforderungen betroffener Nutzer. Das BayLDA hat 2024 mittels KI-Scanner bereits 350 Websites mit rechtswidrigem Banner-Design identifiziert und angeschrieben.
Ja. Google Analytics ist ein Analyse-Tool, das personenbezogene Daten über Nutzerverhalten erhebt und an US-Server von Google übermittelt. Für den Einsatz ist nach § 25 TDDDG und Art. 6 DSGVO eine aktive Einwilligung erforderlich, bevor das Skript geladen wird. Google Analytics darf erst nach Zustimmung im Cookie Banner aktiviert werden — ein Opt-out-Verfahren reicht nicht aus.
Ein Cookie Banner ist die sichtbare Benutzeroberfläche für die Einwilligungsentscheidung. Eine Consent Management Platform (CMP) ist das technische System dahinter: Sie dokumentiert Einwilligungen, blockiert Skripte vor dem Opt-in, verwaltet Widerrufe und stellt die Einwilligungshistorie für Behördenprüfungen bereit. Nach Art. 7 Abs. 1 DSGVO trägt der Websitebetreiber die Beweispflicht für jede eingeholte Einwilligung — ohne CMP ist diese Dokumentation praktisch nicht nachweisbar.
Ja. Das OLG Köln hat mit Urteil vom 19. Januar 2024 (Az. 6 U 80/23) entschieden, dass alle Schaltflächen eines Cookie Banners gleichwertig gestaltet sein müssen. Ein kleiner, grau hinterlegter „Ablehnen“-Button neben einem großen grünen „Akzeptieren“-Button ist rechtswidrig. Gleichwertig bedeutet: gleiche Größe, gleiche Hervorhebung, gleiche Auffindbarkeit — auf der ersten Ebene des Banners.
Ja. Die Einwilligungspflicht nach § 25 TDDDG und DSGVO gilt unabhängig davon, ob die Website an Verbraucher oder Geschäftskunden gerichtet ist. Da Mitarbeiter, die eine B2B-Website besuchen, als natürliche Personen unter den DSGVO-Schutz fallen, greift die Einwilligungspflicht auch dort. Eine Ausnahme gilt nur für rein interne Systeme ohne Außenzugriff.
Technisch funktioniert ein Cookie Banner in zwei verschiedenen Varianten. Bei beiden Varianten werden Skripte durch den Besucher kontrolliert ausgeführt, wodurch Website-Cookies oder andere Elemente im Browser des Besuchers abgelegt werden.
1.) Cookie Banner Blocking: Diese Methode wird am häufigsten verwendet. Dabei erfolgen so gut wie keine Änderungen im Quellcode. Es wird lediglich das Skript-Tag mit der Einbindung des Cookie Banners in die Seite integriert. Der Banner blockiert dann automatisch die Ausführung der zu blockierenden Skripte (z.B. Google Analytics) in der Seite.
2.) Cookie Banner als Tag Manager: In dieser Variante werden die gewünschten Skripte (z.B. Google Analytics) im Consent Manager eingetragen. Die Consent Management Platform spielt dann den Banner für die Seite aus. Nach der Einwilligung des Besuchers für das Setzen der Cookies wird das Skript erst ausgeführt.
Website Cookies sind kleine Dateien, die während des Websitebesuches auf dem Rechner des Nutzers gespeichert werden. Diese Informationen werden bei späteren Besuchen wieder ausgelesen und dienen dazu, Teile des Nutzerverhaltens auf der Website nachzuverfolgen. Hierzu enthalten sie häufig Kennungen, die als personenbezogene Daten betrachtet werden.
Da der Benutzer im Vorhinein nicht weiß, ob die verwendeten Website-Cookies seinem Nutzervorteil dienen oder personenbezogene Daten enthalten oder nicht, muss der Webseitenbetreiber offenlegen, wofür die Cookies eingesetzt werden und was mit den erhobenen Daten passiert. Dadurch erlangt der Nutzer die Möglichkeit auszuwählen, welche Cookies zugelassen werden dürfen — für jeden Datenempfänger einzeln.
Die für den Nutzer angenehmste Form der Cookie-Einwilligung ist ein Cookie-Banner, das unten oder mittig über der Website eingeblendet wird. Pop-Up-Lösungen könnten durch entsprechende Blocker nicht angezeigt werden, sodass die Website insgesamt nicht richtig dargestellt wird. Eine vorgeschaltete vollflächige Seite irritiert die Nutzer und kann dazu führen, dass sie den Besuch der Seite vorzeitig beenden.
Wenn eine Einwilligung des Nutzers erforderlich ist, muss er bei seinem ersten Webseitenbesuch über ein informatives Cookie-Banner darüber in Kenntnis gesetzt werden, dass die Website durch Cookies personenbezogene Daten erheben will, wozu sie dienen und wohin die Daten übermittelt werden, bevor diese Cookies zum Einsatz kommen. Für jeden Verarbeitungsvorgang und jeden eingebundenen Akteur muss eine gesonderte Einwilligung erteilt werden können.
Cookie-Banner, die nur eine Zustimmung zulassen, die weitere Nutzung der Seite als Zustimmung werten oder vorausgefüllt sind, sind nicht rechtskonform. Auch eine Widerspruchslösung, die erst nach dem Setzen der Cookies greift, entspricht nicht den Vorgaben.
Wenn Ihre Website keine Opt-In-Möglichkeiten für den User beinhaltet, können folgende Konsequenzen drohen:
Um ein Cookie Banner sicher und rechtskonform auf einer Website zu implementieren, muss der Websitebetreiber dieses Cookie Banner auch in seiner Datenschutzerklärung aufführen. Die Datenschutzerklärung dient dazu, dem Nutzer detailliert aufzuzeigen, was nach der Speicherung mit den Daten passieren wird.
Daraus folgt: Ein alleinstehendes Cookie Banner ohne dazugehörige Datenschutzerklärung hat keinen rechtlichen Wert. Somit ist es nicht DSGVO-konform. Für die schnelle Erstellung einer konformen Erklärung steht der Datenschutzerklärung Generator zur Verfügung.
Oft sind Cookie Banner am oberen oder unteren Bildschirmrand angelegt. Bei der Platzierung eines Cookie Banners sollte der Websitebesucher zu jedem Zeitpunkt die Möglichkeit haben, auf das Impressum und die Datenschutzerklärung zuzugreifen — auch dann, wenn er der Verwendung von Cookies zugestimmt hat.
Um rechtssicher zu gehen, empfehlen sich drei Maßnahmen: Erstens ein technischer Cookie-Scan der eigenen Website — viele Betreiber wissen nicht, welche Cookies tatsächlich gesetzt werden. Zweitens die Einbindung einer zertifizierten CMP mit EU-Serverspeicherung und Opt-in-First-Blocking. Drittens eine jährliche Überprüfung des Banner-Designs auf aktuelle Rechtsprechung — das OLG-Köln-Urteil 2024 hat gezeigt, dass sich die Anforderungen kurzfristig ändern können. Bei Verstößen gegen Art. 83 Abs. 5 DSGVO drohen Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.
Qualifizierte Beratung zu allen Belangen, die den Umgang mit Ihrer CMP betreffen.
Wir helfen Unternehmen dabei, die gesetzlichen Anforderungen für Websites, Apps und Social Media umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Mit unserer DSGVO-Software, spezialisierten E-Learnings oder in der Beratung zu Consent Management sorgen wir dafür, dass die gesetzlichen Vorschriften eingehalten und rechtliche Risiken minimiert werden.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Hubspot Meetings. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen