Wissensbasis

Lade … ← Übersicht Vorgänge

Stand: 28.5.2026 · Thema: Marketing & Kommunikation · DSGVO Art. 6, 7

Cookie-Banner — was ist Pflicht, was nicht

Seit dem TDDDG (vormals TTDSG) ist die Rechtslage klarer als oft kommuniziert. Vieles, was Cookie-Banner heute zeigen, ist überflüssig — und manches, was sie zeigen, ist sogar rechtswidrig.

Die Norm: § 25 TDDDG

Speicherung von Informationen in der Endeinrichtung des Nutzers (oder Zugriff darauf) bedarf der Einwilligung.

Ausnahme (§ 25 Abs. 2):

  1. Übermittlungs-Cookies — wenn der alleinige Zweck die Übertragung einer Nachricht ist.
  2. Unbedingt erforderlich, damit der vom Nutzer ausdrücklich gewünschte Dienst zur Verfügung gestellt werden kann.

Welche Cookies/Speicherzugriffe brauchen KEINE Einwilligung?

  • Login-Session-Cookie.
  • Warenkorb-Cookie im Online-Shop.
  • CSRF-Token für Formular-Sicherheit.
  • Spracheinstellung, die der Nutzer aktiv gewählt hat.
  • Cookie-Banner-Einstellung selbst (welche Auswahl der Nutzer getroffen hat).
  • Load-Balancer-Cookie.
  • Sicherheits-Cookie für Bot-Erkennung.

Welche brauchen Einwilligung?

  • Tracking (GA4, Matomo mit Personenbezug, Plausible mit IP-Verwertung).
  • Marketing-/Werbe-Cookies (Meta Pixel, LinkedIn Insight, Google Ads).
  • A/B-Testing mit Personenbezug.
  • Social-Media-Plugins (Like-Buttons, eingebettete Posts) sobald sie Daten senden.
  • Video-Player wie YouTube/Vimeo in Standard-Modus.
  • CDN-Cookies mit Tracking-Funktion.

Wann ist gar kein Banner nötig?

  • Website setzt ausschließlich technisch notwendige Cookies.
  • Keine externen Skripte mit Tracking-Wirkung.
  • Beispiel: statische Imagewebsite ohne Analyse, ohne Embeds.

In diesem Fall ist ein rein informativer Hinweis in der Datenschutzerklärung ausreichend — kein Pop-up.

Was im Banner stehen muss (wenn nötig)

  • Zweck-Information: warum Tracking/Marketing.
  • Konkrete Anbieter und Cookie-Namen (in der Detail-Ansicht).
  • Echte Wahlfreiheit: „Akzeptieren” und „Ablehnen” gleichwertig.
  • Granulare Zustimmung pro Zweck-Kategorie.
  • Widerruf jederzeit (mindestens ein nicht versteckter Link).
  • Speicherdauer der Zustimmung.

Verbotene Banner-Designs (seit OLG-Urteilen 2022/23 und TDDDG 2024)

  • „Akzeptieren” prominent, „Ablehnen” versteckt — Dark Pattern, unwirksame Einwilligung.
  • Tracking startet vor Banner-Klick („Cookie wall” mit Vorab-Tracking).
  • Kein Ablehnen-Button, nur „Einstellungen anpassen” mit umständlichem Workflow.
  • Pay-or-Track-Modelle ohne echte Alternative (umstritten, hohes Risiko).
  • Wiederkehrender Banner bei jeder Seitenaufruf, wenn schon abgelehnt wurde.

Dokumentation

  • Einwilligungsprotokoll: Zeitstempel, IP-Hash oder Pseudonym, Banner-Version, getroffene Wahl.
  • Aufbewahrung mind. 3 Jahre (Beweislast).
  • Banner-Version mit Datum versionieren — falls die Aufsicht prüft, welche Texte zum Einwilligungszeitpunkt galten.

Häufige Fehler

  • Banner für eine reine Imagewebsite ohne Tracking — überflüssig und teils irreführend.
  • GA4 ohne Banner — Verstoß gegen § 25 TDDDG, hohes Bußgeldrisiko.
  • „Berechtigtes Interesse” als Rechtsgrundlage für Tracking — falsch, TDDDG verlangt Einwilligung.
  • Akzeptanz vorausgewählt — unwirksam.
  • Banner-Tool ohne Einwilligungsprotokoll — Beweisproblem im Streit.

Wenn wir DSB sind

Wir prüfen Ihre Website auf wirklich notwendige Banner-Pflicht (oft kann das Banner ganz weg) und auditieren Banner-Design und Einwilligungsprotokoll. Bei Bedarf empfehlen wir Open-Source-Alternativen ohne Tracking (Plausible mit lokalem Hosting, Matomo mit Cookie-Free-Modus).

Quelle: FS/CS GmbH