Cookie-Banner: So erstellen Sie ein DSGVO-konformes Cookie-Banner

Wenn Ihre Website in Deutschland aufgerufen wird, sind Sie rechtlich verpflichtet, Besucher:innen vor dem Setzen nicht notwendiger Cookies um Erlaubnis zu fragen. Klingt simpel, ist es aber nicht immer. Denn die Anforderungen an einen rechtssicheren Cookie-Banner sind konkreter als viele denken, und deutsche Verbraucherzentralen prüfen aktiv, ob Websites diese einhalten.

In diesem Artikel erfahren Sie, was ein DSGVO-konformes Cookie-Banner leisten muss, welche Fehler zur Abmahnung führen und wie Sie mit Cookiebot in unter zehn Minuten ein rechtskonformes Banner für Ihre WordPress-, TYPO3- oder Shopify-Website einrichten.

Was ist ein Cookie-Banner und warum ist es in Deutschland Pflicht?

Ein Cookie-Banner (auch Consent-Banner genannt) ist das Dialogfeld, das Website-Besucher:innen beim ersten Besuch einer Seite zur Einwilligung in die Cookie-Nutzung auffordert. Es ist nicht nur eine technische Formalität, sondern eine gesetzliche Pflicht, geregelt durch zwei zentrale Rechtsquellen:

DSGVO (Datenschutz-Grundverordnung): Die europäische Verordnung schreibt vor, dass personenbezogene Daten oder Technologien zur Nutzerverfolgung, wie Tracking- und Marketing-Cookies nur mit freiwilliger, informierter und aktiver Einwilligung verarbeitet werden dürfen.

TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz): Das seit Dezember 2021 geltende deutsche Gesetz ergänzt die DSGVO und regelt explizit den Zugriff auf Endgeräte. § 25 TTDSG verlangt eine Einwilligung, bevor Cookies oder ähnliche Technologien auf dem Gerät der Nutzer:innen gesetzt werden, unabhängig davon, ob dabei personenbezogene Daten verarbeitet werden.

Das BGH-Urteil Planet49: Der Wendepunkt für Cookie-Banner in Deutschland

Der Ausgangspunkt der heutigen Rechtslage ist ein Gerichtsverfahren, das 2013 begann: Der Bundesverband der Verbraucherzentralen (vzbv) klagte gegen das Online-Gewinnspieleunternehmen Planet49, das in seinem Cookie-Banner vorangekreuzte Kästchen verwendete. Nutzer:innen mussten aktiv widersprechen, um dem Tracking zu entgehen.

Am 28. Mai 2020 entschied der Bundesgerichtshof (BGH, Az. I ZR 7/16) auf Grundlage eines EuGH-Urteils aus dem Jahr 2019: Vorangekreuzte Opt-in-Felder stellen keine wirksame Einwilligung dar. Cookies für Werbung, Tracking und Analyse dürfen in Deutschland nur gesetzt werden, wenn Nutzer:innen aktiv und ausdrücklich zugestimmt haben. Die frühere Opt-out-Praxis „Wer weitersurft, stimmt zu“ gilt seitdem als rechtswidrig.

Was die Verbraucherzentrale beim Audit prüft und wofür sie abmahnt

Das BGH-Urteil war kein Schlusspunkt, sondern ein Startschuss. Seitdem prüfen deutsche Verbraucherzentralen systematisch, ob Websites ihre Cookie-Banner rechtskonform gestalten.Der Verbraucherzentrale Bundesverband (vzbv) untersuchte rund 1.000 Websites auf DSGVO-Konformität. Das Ergebnis: Bei etwa 10 % der Seiten waren die Cookie-Banner eindeutig rechtswidrig. Knapp 100 Abmahnungen wurden verschickt, in zwei Dritteln der Fälle gaben die Unternehmen eine Unterlassungserklärung ab.

Was Verbraucherzentralen konkret beanstanden:

7 Anforderungen, die Ihr DSGVO-konformes Cookie-Banner erfüllen muss

1. Keine vorangekreuzten Kästchen

Tracking-, Marketing- und Analyse-Cookies dürfen im Banner nicht standardmäßig aktiviert sein. Jede Einwilligung muss durch eine aktive Handlung der Nutzer:innen erteilt werden.

2. Ablehnen-Button genauso prominent wie Akzeptieren-Button

Der Opt-out muss genauso leicht erreichbar sein wie der Opt-in. Ein kleiner, grau hinterlegter „Ablehnen"-Link neben einem großen grünen „Alle akzeptieren"-Button ist ein klassisches Dark Pattern und ein häufiger Abmahngrund. Gestalten Sie beide Buttons in gleicher Größe, Farbe und Position.

3. Keine Dark Patterns

Irreführende Buttonfarben, verschachtelte Menüs oder verwirrende Formulierungen, die Nutzer:innen zur Einwilligung drängen, sind nicht zulässig. Das Banner muss die freie Entscheidung ermöglichen, nicht behindern. Achten Sie darauf, dass auch der Weg zur Ablehnung maximal so viele Klicks erfordert wie die Zustimmung.

4. Granulare Einwilligung nach Kategorien

Nutzer:innen müssen differenziert zustimmen können, z. B. separat für „Statistik", „Marketing" oder „externe Medien". Ein pauschales „Alles oder nichts" genügt den DSGVO-Anforderungen an eine informierte Einwilligung nicht.

5. Cookies werden erst nach der Einwilligung gesetzt

Nicht notwendige Cookies dürfen technisch nicht gesetzt werden, bevor Nutzer:innen zugestimmt haben, weder beim Laden der Seite noch im Hintergrund. Dies ist eine der häufigsten technischen Fehlerquellen.

6. Klare Benennung von Drittanbietern

Wenn Ihre Website Dienste von Drittanbietern einsetzt, wie Google Analytics, Meta Pixel oder YouTube-Embeds, müssen diese im Banner namentlich aufgeführt werden. Nutzer:innen haben das Recht zu wissen, wer ihre Daten erhält.

7. Einwilligung jederzeit widerrufbar (Einwilligung widerrufen)

Es muss genauso einfach sein, eine erteilte Einwilligung zu widerrufen, wie sie zu erteilen. Ein dauerhaft zugänglicher Link, z. B. in der Fußzeile Ihrer Website, der das erneute Öffnen des Consent-Banners ermöglicht, ist Pflicht.

Cookie-Banner vs. Cookie-Hinweis: Was ist der Unterschied und was brauchen Sie?

Ein Cookie-Hinweis ist eine reine Informationsanzeige: Er teilt Nutzer:innen mit, dass die Website Cookies verwendet, bietet aber keine Auswahlmöglichkeit. Diese Form war früher weit verbreitet, ist heute aber für alle Websites, die nicht notwendige Cookies einsetzen, rechtlich unzureichend.

Ein Cookie-Banner (im rechtlichen Sinne: Consent-Banner oder Einwilligungsbanner) hingegen ermöglicht die aktive Auswahl. Nutzer:innen können zustimmen, ablehnen oder differenziert entscheiden.

Wann reicht ein Cookie-Hinweis? Nur dann, wenn Ihre Website ausschließlich technisch notwendige Cookies einsetzt, also keine Analyse-, Marketing- oder Personalisierungs-Tools. In der Praxis trifft das auf sehr wenige Websites zu.

Wann brauchen Sie ein vollständiges Cookie-Banner? Sobald Sie Tools wie Google Analytics, Google Ads, Facebook Pixel, YouTube-Einbettungen, Hotjar oder vergleichbare Dienste nutzen. Das gilt auch dann, wenn Sie diese Tools über ein CMS-Plugin eingebunden haben.

Was bedeutet das für Ihre Website und wie hilft Cookiebot dabei?

Ob Sie eine WordPress-Website betreiben, einen Shopify-Shop oder eine TYPO3-Instanz: Die Pflicht zu einem datenschutzkonformen Cookie-Banner gilt für alle Websitebetreiber, die einwilligungspflichtige Cookies oder Tracking-Technologien einsetzen. Und wer glaubt, als kleinerer Websitebetreiber unter dem Radar zu bleiben, sollte bedenken: Die Verbraucherzentralen prüfen nicht nur große Konzerne. Auch kleinere Websites wurden bereits abgemahnt.

Cookiebot hilft Ihnen, ein vollständig DSGVO- und TTDSG-konformes Cookie-Banner einzurichten, ohne eine einzige Zeile Code schreiben zu müssen. Der automatische Cookie-Scanner erkennt alle auf Ihrer Website eingesetzten Cookies, kategorisiert sie und stellt sicher, dass kein Tracking stattfindet, bevor Ihre Besucher:innen ihre Einwilligung erteilt haben.