Cookie-Banner datenschutzkonform umsetzen: worauf es ankommt

Ein rechtssicherer Cookie-Banner mit deutlich beschrifteten Zustimmungs- und Ablehnungsschaltflächen auf einer Unternehmenswebsite.

Von Manuel Hack, ihp media · Aktualisiert am 19. Juni 2026

Das Wichtigste in 30 Sekunden

  • Sobald eine Website Cookies oder ähnliche Technologien einsetzt, die nicht unbedingt für den Betrieb notwendig sind, ist nach § 25 TDDDG eine vorherige, aktive Einwilligung des Nutzers Pflicht.
  • Kein vorangekreuztes Kästchen, kein „Weiter surfen gilt als Zustimmung“: der EuGH hat 2019 in der Rechtssache Planet49 (C-673/17) klargestellt, dass nur eine aktive Handlung eine gültige Einwilligung darstellt.
  • Ablehnen muss auf der ersten Ebene des Banners genauso einfach sein wie Zustimmen. Versteckte Links, blasse Schaltflächen oder Klickstrecken für die Ablehnung gelten als unzulässige Dark Patterns.
  • Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO ist für nicht-essenzielles Tracking keine taugliche Rechtsgrundlage. Die Einwilligung nach Art. 6 Abs. 1 lit. a ist der einzige Weg.

Ein Cookie-Banner, der Nutzer verwirrt, drängt oder schlicht nicht funktioniert, ist keine Kleinigkeit. Datenschutzbehörden verhängen Bußgelder, Mitbewerber mahnen ab, und Nutzer vertrauen dem Betreiber weniger. Gleichzeitig lauern in der Praxis überraschend viele Fallstricke, die auf den ersten Blick nicht offensichtlich sind. Dieser Artikel erklärt, was das Gesetz tatsächlich verlangt, was EuGH und BGH dazu entschieden haben und wie ein rechtssicherer Banner konkret aussieht.

Hinweis: Dieser Artikel ist eine fachliche Einordnung und ersetzt keine Rechtsberatung im Einzelfall. Bei konkreten Datenschutzfragen wenden Sie sich an eine auf Datenschutzrecht spezialisierte Kanzlei oder an Ihren Datenschutzbeauftragten.

Warum der Cookie-Banner Pflicht ist

Die gesetzliche Grundlage ist § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, bis Mai 2024 als TTDSG bekannt). Der Paragraph lautet im Kern: Die Speicherung von Informationen in der Endeinrichtung des Nutzers oder der Zugriff auf dort bereits gespeicherte Informationen ist nur zulässig, wenn der Nutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.

Wichtig: Das Gesetz spricht nicht von Cookies im engeren Sinne, sondern von jedem Zugriff auf das Endgerät. Fingerprinting, Pixel, lokaler Speicher, Session Storage und ähnliche Technologien fallen ebenso darunter wie klassische HTTP-Cookies. Wer also argumentiert, er setze „keine Cookies“, weil er ein alternatives Tracking nutzt, liegt rechtlich falsch.

Kurz gesagt: §25 TDDDG verlangt eine vorherige, aktive Einwilligung für jeden Zugriff auf das Endgerät des Nutzers, der nicht technisch unbedingt erforderlich ist. Das gilt für Cookies, Pixel, Fingerprinting und vergleichbare Technologien.

Die Einwilligung selbst muss den Anforderungen der DSGVO genügen, denn §25 Abs. 1 TDDDG verweist ausdrücklich auf die Datenschutz-Grundverordnung. Das bedeutet: Art. 4 Nr. 11 DSGVO und Art. 7 DSGVO gelten für den Consent-Vorgang. Die Anforderungen sind nicht kumulativ neu erfunden worden, sondern aus beiden Regelwerken zusammengesetzt. Für die Rechtsgrundlage der eigentlichen Datenverarbeitung, die nach dem Zugriff auf das Endgerät folgt, gilt dann zusätzlich Art. 6 DSGVO.

Für Website-Betreiber bedeutet das konkret: Wenn ein Nutzer auf eine Seite kommt, auf der nicht-essenzielles Tracking aktiv ist, und der Banner erscheint erst, nachdem die Skripte schon geladen haben, ist der Verstoß bereits eingetreten. Der Banner als solcher heilt das nicht. Die technische Reihenfolge muss stimmen: erst Banner, dann Einwilligung, dann Laden der nicht-essenziellen Skripte.

Was als essenziell gilt und was nicht

§25 Abs. 2 TDDDG nennt zwei Ausnahmen, bei denen keine Einwilligung erforderlich ist:

  1. Die Speicherung oder der Zugriff dient ausschließlich der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz.
  2. Die Speicherung oder der Zugriff ist unbedingt erforderlich, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten Dienst bereitstellen kann.

Die zweite Ausnahme ist die in der Praxis relevante. „Unbedingt erforderlich“ ist dabei eng auszulegen. Nicht hilfreich oder nützlich, sondern technisch unentbehrlich für eine Funktion, die der Nutzer aktiv angefordert hat. Praktische Beispiele für essenziell:

  • Session-Cookie für den Warenkorb eines Onlineshops: ohne ihn funktioniert der Kauf nicht.
  • Login-Cookie, das die Anmeldung aufrechterhält, für die Dauer der Sitzung.
  • Load-Balancing-Cookie eines CDN, das die technische Infrastruktur steuert.
  • Cookie zum Speichern der Cookie-Einwilligung selbst.

Nicht essenziell und damit einwilligungspflichtig sind dagegen alle folgenden Kategorien:

  • Analyse- und Statistik-Cookies (Google Analytics, Matomo ohne serverseitige First-Party-Konfiguration, Adobe Analytics usw.)
  • Marketing- und Retargeting-Cookies (Google Ads Remarketing, Facebook Pixel, LinkedIn Insight Tag)
  • Social-Media-Einbindungen, die beim Laden Daten übertragen (eingebettete YouTube-Videos vor Klick, Facebook Like-Button mit Zähler)
  • Personalisierungs-Cookies, die Nutzerverhalten aufzeichnen, um Inhalte anzupassen
  • A/B-Test-Tools, die das Verhalten tracken
Kurz gesagt: Essenziell ist, was der Betrieb technisch zwingend erfordert, nicht, was nützlich oder wirtschaftlich gewünscht ist. Im Zweifel gilt: Einwilligung einholen.

Ein häufiges Missverständnis betrifft externe Schriftarten. Wer Google Fonts direkt vom Google-Server lädt, überträgt beim ersten Aufruf die IP-Adresse des Nutzers an Google, ohne dass dieser eingewilligt hat. Das Bayerische Landesamt für Datenschutzaufsicht hat das in einem konkreten Verfahren beanstandet. Die technisch saubere Lösung ist, Schriftarten lokal auf dem eigenen Server zu hosten. Wie das bei WordPress umzusetzen ist, empfiehlt sich das lokale Einbinden der Schriftarten auf dem eigenen Server.

Aktive Einwilligung: was das konkret bedeutet

Der EuGH hat am 1. Oktober 2019 in der Rechtssache Planet49 (C-673/17) entschieden, dass eine vorangekreuzte Checkbox keine gültige Einwilligung darstellt. Die Klage hatte der Bundesverband der Verbraucherzentralen gegen Planet49 GmbH erhoben, weil das Unternehmen in einem Online-Gewinnspiel ein bereits gesetztes Häkchen für Werbe-Cookies verwendete. Das Urteil stellte klar: Eine Einwilligung im Sinne der ePrivacy-Richtlinie und der DSGVO erfordert eine aktive, eindeutige Handlung des Nutzers. Schweigen, voreingestellte Häkchen oder bloßes Weitersurfen genügen nicht.

Der BGH hat dieses Urteil in seiner Entscheidung vom 28. Mai 2020 (I ZR 7/16, „Cookie-Einwilligung II“) für das deutsche Recht umgesetzt und festgestellt, dass eine voreingestellte Checkbox eine unangemessene Benachteiligung des Nutzers darstellt, sowohl nach altem als auch nach neuem Recht.

Für die Praxis bedeutet das:

  • Alle Kategorien im Cookie-Banner müssen beim ersten Aufruf deaktiviert sein, ausgenommen die essenziellen.
  • Der Nutzer muss selbst aktiv eine Kategorie einschalten, er darf nicht aktiv deaktivieren müssen.
  • Die Formulierung „Ich stimme zu“ oder ein klar beschrifteter Button reicht als Bestätigungshandlung. Ein Klick auf „Schließen“ ohne Einwilligungsfunktion reicht nicht.
  • Die Einwilligung muss informiert sein: Wofür wird eingewilligt, welche Anbieter sind konkret betroffen?
Kurz gesagt: Eine gültige Einwilligung verlangt eine aktive Handlung des Nutzers. Voreingestellte Häkchen, Weitersurfen als Zustimmung und ähnliche Konstrukte sind seit dem EuGH-Urteil Planet49 unzulässig.

Art. 7 Abs. 3 DSGVO schreibt außerdem vor, dass die Einwilligung jederzeit widerrufbar ist und dass der Widerruf so einfach sein muss wie das Erteilen der Einwilligung. Ein Cookie-Banner, der keine dauerhaft zugängliche Widerrufsmöglichkeit bietet, erfüllt diese Anforderung nicht. Üblich ist ein dauerhafter Link in der Fußzeile wie „Cookie-Einstellungen öffnen“, der das Consent-Overlay erneut aufruft.

Auch zum Thema Webanalyse und datenschutzkonformes Messen gibt es konkrete Orientierung: der Artikel Webanalyse ohne Datenschutzärger zeigt, unter welchen Bedingungen Analytics-Tools ohne Einwilligung betreibbar sind und wo die Grenze liegt.

Ablehnen muss gleichwertig sein

Das Europäische Datenschutzgremium (EDSA) hat in seinem Bericht der Cookie-Banner-Taskforce vom Januar 2023 klargestellt: Wenn ein Banner eine Schaltfläche „Alles akzeptieren“ auf der ersten Ebene zeigt, muss eine funktional gleichwertige Option zum Ablehnen ebenfalls auf der ersten Ebene vorhanden sein. Es reicht nicht, die Ablehnung erst über „Einstellungen“ oder „Mehr Informationen“ erreichbar zu machen, wenn die Zustimmung mit einem einzigen Klick möglich ist.

Gleichwertig bedeutet dabei nicht, dass die Schaltflächen identisch aussehen müssen. Unterschiedliche Farben sind zulässig, wenn sie nicht gezielt irreführend sind. Nicht zulässig ist etwa:

  • Der Akzeptieren-Button in auffälligem Markenblau, der Ablehnen-Button als blasser Grautext ohne Rahmen.
  • Der Ablehnen-Button deutlich kleiner als der Akzeptieren-Button.
  • „Akzeptieren“ als prominente Schaltfläche, „Ablehnen“ als unscheinbarer Hyperlink ohne Button-Stil.
  • Ablehnen nur über einen mehrstufigen Prozess mit mehrfachen Abfragen wie „Sind Sie sicher, dass Sie ablehnen möchten?“.

Für die DSGVO-konforme Gestaltung gilt: Was kein Cookie-Fachmann gesondert erklären müsste, ist der richtige Maßstab. Wenn der Nutzer ohne Anleitung auf den ersten Blick erkennt, wie er ablehnen kann, und das nicht mehr Aufwand ist als zuzustimmen, ist die Anforderung erfüllt.

Dark Patterns im Cookie-Banner erkennen

Das EDSA hat in seinen Leitlinien 3/2022 zu irreführenden Gestaltungsmustern auf Social-Media-Plattformen Dark Patterns systematisch beschrieben. Viele dieser Muster tauchen auch in Cookie-Bannern auf. Einige sind so verbreitet, dass sie kaum noch auffallen:

Muster Erscheinungsbild Rechtliche Bewertung
Overloading Endlos langer Banner mit Listen aller Anbieter, bevor der Nutzer ablehnen kann Einwilligung per Erschöpfung, unzulässig
Skipping Keine Ablehnungsoption auf der ersten Ebene, nur über verstecktes Untermenü Fehlt gleichwertige Ablehnung, unzulässig
Stirring Emotionaler Text unter dem Ablehnen-Button: „Ohne Tracking müssen wir Inhalte einschränken“ Unzulässiger Druck, Einwilligung nicht freiwillig
Hindering Ablehnen-Button erst nach Scroll und Bestätigungsschritt erreichbar Ablehnen nicht gleich einfach wie Zustimmen, unzulässig
Fickle Inkonsistente Gestaltung: „Alle ablehnen“ führt zu Teilverzicht statt vollständiger Ablehnung Irreführend, Einwilligung nicht informiert
Left in the Dark Keine Angabe, wer konkret Daten erhält; nur generische Kategorien ohne Firmennamen Einwilligung nicht informiert, unzulässig

Besonders kritisch: der sogenannte Paywallansatz, bei dem der Nutzer wählen kann zwischen kostenpflichtigem Abo ohne Tracking oder kostenlosem Zugang mit Einwilligung in das Tracking. Dieser „Consent or Pay“-Ansatz ist datenschutzrechtlich umstritten. Das EDSA hat in einer Stellungnahme vom April 2024 Bedenken geäußert, dass eine solche Wahl die Freiwilligkeit der Einwilligung beeinträchtigen kann, insbesondere bei marktbeherrschenden Anbietern. Für kleine und mittelständische Anbieter ist das Risiko geringer, aber die Gestaltung muss sorgfältig abgewogen werden. Im Zweifel sollte das ein Datenschutzanwalt prüfen.

Cookie-Typ / Technologie Einwilligung nach §25 TDDDG nötig? Rechtsgrundlage für Datenverarbeitung (DSGVO)
Session-Cookie (Warenkorb, Login) Nein, essenziell Art. 6 Abs. 1 lit. b (Vertragserfüllung) oder lit. f (berechtigtes Interesse)
Cookie-Consent-Speicher (eigene Einwilligungsdokumentation) Nein, essenziell Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung)
Sicherheits-Token (CSRF-Schutz) Nein, essenziell Art. 6 Abs. 1 lit. f (berechtigtes Interesse)
Statistik-Cookie (Google Analytics, Matomo mit IP-Tracking) Ja Art. 6 Abs. 1 lit. a (Einwilligung)
Marketing-/Retargeting-Cookie (Facebook Pixel, Google Ads) Ja Art. 6 Abs. 1 lit. a (Einwilligung)
Personalisierungs-Cookie Ja Art. 6 Abs. 1 lit. a (Einwilligung)
Eingebettete externe Videos (YouTube ohne nocookie-Domain) Ja, bei Laden beim Seitenaufruf Art. 6 Abs. 1 lit. a (Einwilligung)
Externe Schriftarten (Google Fonts direkt) Ja (IP-Übertragung beim Laden) Art. 6 Abs. 1 lit. a oder lokal hosten
A/B-Test-Tool mit Verhaltenstracking Ja Art. 6 Abs. 1 lit. a (Einwilligung)

Zur Rechtsgrundlage für das Tracking ein wichtiger Punkt: Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO scheidet für nicht-essenzielle Tracking-Technologien als Grundlage aus. Das ergibt sich aus §25 TDDDG in Verbindung mit der EuGH-Rechtsprechung: Wo §25 TDDDG eine Einwilligung verlangt, kann der Betreiber für dieselbe Verarbeitung nicht gleichzeitig berechtigtes Interesse nach DSGVO geltend machen. Die DSK (Datenschutzkonferenz) hat das in ihrer Orientierungshilfe für Anbieter digitaler Dienste bestätigt. Die Einwilligung nach Art. 6 Abs. 1 lit. a ist der einzige valide Weg für nicht-essenzielles Tracking.

Praxisbeispiel: schlechter vs. guter Banner

In einem Website-Projekt, das wir technisch übernommen haben, fand sich folgender Banner beim Erstkontakt:

Problematischer Banner (Beispiel aus der Praxis): Beim Öffnen der Seite erschien sofort ein halb-transparentes Overlay mit dem Text „Wir verwenden Cookies, um Ihre Erfahrung zu verbessern.“ Darunter ein prominenter blauer Button „Alle akzeptieren“. Etwas weiter unten, deutlich kleiner und in hellgrauem Text, ein Hyperlink „Einstellungen“. Ein Ablehnen-Button existierte auf der ersten Ebene nicht. Ein Klick auf „Einstellungen“ öffnete eine weitere Seite mit einer langen Liste aller Anbieter, alle vorausgewählt. Erst dort gab es eine Schaltfläche „Alle ablehnen“. Gleichzeitig hatte eine Prüfung im Netzwerk-Tab des Browsers gezeigt, dass Google Analytics und ein Marketing-Pixel bereits beim initialen Laden der Seite aktiv waren, noch bevor der Nutzer irgendetwas geklickt hatte.

Drei Verstöße lagen hier übereinander: kein gleichwertiger Ablehnen-Button auf Ebene 1, vorausgewählte Einstellungen und technisches Laden von Tracking vor der Einwilligung. Das Risiko für eine Abmahnung durch einen Mitbewerber oder ein Verfahren durch eine Datenschutzbehörde war erheblich.

Rechtssicherer Banner nach der Überarbeitung: Der überarbeitete Banner erschien als schmaler Balken am unteren Seitenrand. Er enthielt drei Elemente nebeneinander: „Nur notwendige Cookies“ (links), „Einstellungen“ (mittig) und „Alle akzeptieren“ (rechts). Alle drei hatten denselben Button-Stil und dieselbe Schriftgröße, unterschieden sich lediglich durch Farbe entsprechend der Markenlinie. Die Skripte für Analyse und Marketing waren technisch blockiert, bis ein Klick auf „Alle akzeptieren“ oder die selektive Einwilligung in den Einstellungen erfolgte. Die Einwilligung wurde mit Zeitstempel und Versionsnummer des Banners protokolliert. Das Ergebnis: Die technische Prüfung im Browser zeigte beim Erstladen keine Drittanbieter-Anfragen mehr.

Der Aufwand für die Überarbeitung lag bei einem Nachmittag, weil ein gepflegtes Consent-Management-Plugin schon vorhanden war und nur falsch konfiguriert. Die kritischen Fehler lagen fast nie im Tool, sondern in dessen Konfiguration.

Ein Cookie-Banner ohne technische Unterstützung durch ein Consent-Management-Tool (CMP) ist für die meisten Websites keine praktikable Lösung. Die CMP übernimmt vier Kernaufgaben, die manuell kaum zuverlässig zu leisten sind:

  1. Sie blockiert nicht-essenzielles Tracking technisch, bis eine Einwilligung vorliegt.
  2. Sie präsentiert die Einwilligungsoptionen in der gesetzlich geforderten Form.
  3. Sie dokumentiert jede Einwilligung mit Zeitstempel, Consent-Version und den gewählten Einstellungen.
  4. Sie stellt die Widerrufsmöglichkeit dauerhaft bereit.

Verbreitete Tools für WordPress-Websites:

  • Borlabs Cookie: WordPress-Plugin mit deutscher Benutzeroberfläche, breiter Kompatibilität und guter Dokumentation. Eignet sich für kleine bis mittelgroße Sites. Einmalige Lizenzkosten je Domain.
  • Cookiebot (Usercentrics): SaaS-Lösung, die auch automatisch Cookies scannt und neue Dienste erkennt. Staffeltarife nach Seitenaufrufen. Gut geeignet, wenn die Website viele Dienste einbindet oder sich häufig ändert.
  • Usercentrics: Enterprise-orientierte Plattform, für komplexe Sites mit vielen Sprachen und Märkten gedacht.

Eine Standardinstallation ohne sorgfältige Konfiguration genügt nicht. Jeder auf der Website eingebundene Drittanbieter-Dienst muss im Tool erfasst sein und korrekt einer Kategorie zugeordnet werden. Neue Plugins, die ihrerseits Tracking laden, müssen dort nachgetragen werden. Wird das vernachlässigt, sind Cookies aktiv, ohne dass die CMP sie kennt und blockiert.

Für Websites, auf denen ausschließlich auf externen Tracking verzichtet werden soll, gibt es eine weitere Option: Matomo als selbst gehostetes Analyse-Tool mit vollständiger IP-Anonymisierung, deaktivierten Cookies und opt-out statt opt-in. Die DSK hat für dieses Konfigurationsprofil bestätigt, dass unter bestimmten Voraussetzungen auf eine Cookie-Einwilligung verzichtet werden kann. Das setzt aber eine sehr spezifische Konfiguration voraus. Details dazu im Artikel Webanalyse ohne Datenschutzärger.

Wer seine Website und deren DSGVO-Konformität grundlegend prüfen möchte, findet eine strukturierte Übersicht im Artikel DSGVO-konforme Website ohne Abmahnangst.

Sofort-Checkliste: Cookie-Banner rechtssicher umsetzen

  • Werden keine nicht-essenziellen Skripte und Cookies geladen, bevor der Nutzer eine aktive Einwilligung erteilt hat (prüfen im Browser-Netzwerktab)?
  • Ist ein gleichwertiger Ablehnen- oder „Nur notwendige Cookies“-Button auf der ersten Ebene des Banners vorhanden, nicht erst über ein Untermenü?
  • Sind alle Kategorie-Checkboxen beim ersten Banneraufruf deaktiviert (außer den essenziellen)?
  • Enthält der Banner konkrete Angaben zu den eingesetzten Anbietern oder zumindest zu den Kategorien und deren Zweck?
  • Gibt es eine dauerhaft zugängliche Widerrufsmöglichkeit (z. B. Link in der Fußzeile)?
  • Dokumentiert das Consent-Tool jede Einwilligung mit Zeitstempel und Consent-Version?
  • Sind alle auf der Website eingebundenen Drittanbieter im Consent-Tool erfasst und korrekt kategorisiert?
  • Wird bei neuen Plugins oder Tool-Wechseln das Consent-Tool zeitnah aktualisiert?
  • Entspricht die Datenschutzerklärung dem aktuellen Bestand an eingesetzten Diensten und nennt sie die Rechtsgrundlagen?
  • Ist der Banner ohne Anleitung bedienbar, also kein Muster, das auf Erschöpfung oder Verwirrung ausgelegt ist?
Das Wichtigste zum Mitnehmen

  • §25 TDDDG verlangt eine vorherige, aktive Einwilligung für jeden nicht-essenziellen Zugriff auf das Endgerät. Das gilt für Cookies, Pixel, Fingerprinting und ähnliche Technologien gleichermaßen.
  • EuGH Planet49 und BGH Cookie-Einwilligung II haben klargestellt: Vorangekreuzte Kästchen und Weitersurfen sind keine gültige Einwilligung. Die aktive Handlung des Nutzers ist Pflicht.
  • Ablehnen muss auf der ersten Ebene genauso erreichbar sein wie Zustimmen. Wer die Ablehnung in ein Untermenü versteckt, verstößt gegen das Gebot der gleichwertigen Wahl.
  • Berechtigtes Interesse ist für nicht-essenzielles Tracking keine taugliche Rechtsgrundlage. Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ist der einzige Weg. Das beste Tool nützt nichts, wenn es falsch konfiguriert ist.

Häufige Fragen

Brauche ich einen Cookie-Banner, wenn meine Website nur technisch notwendige Cookies setzt?

Nein. §25 Abs. 2 TDDDG nimmt technisch unbedingt erforderliche Cookies vom Einwilligungserfordernis aus. Wenn Ihre Website ausschließlich solche essenziellen Cookies setzt und keine externen Dienste einbindet, die Daten übertragen, entfällt der Banner. In der Praxis trifft das auf sehr wenige Websites zu. Sobald Google Analytics, ein eingebettetes Video oder ein Kontaktformular mit externem Dienstleister aktiv ist, besteht Einwilligungsbedarf.

Ist „Weitersurfen gilt als Zustimmung“ zulässig?

Nein. Der EuGH hat in Planet49 (C-673/17) ausdrücklich entschieden, dass bloßes Weitersurfen keine Einwilligung im Sinne der ePrivacy-Richtlinie und DSGVO darstellt. Eine Einwilligung erfordert eine aktive, eindeutige Handlung des Nutzers. Wer diese Formulierung noch im Banner verwendet, handelt rechtswidrig.

Kann ich für Analyse-Cookies berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO geltend machen?

Nein, nicht für nicht-essenzielles Tracking. §25 TDDDG verlangt für den Zugriff auf das Endgerät eine Einwilligung. Berechtigtes Interesse kann nicht als Grundlage dienen, um das Einwilligungserfordernis von §25 TDDDG zu umgehen. Die DSK hat das in ihrer Orientierungshilfe für Anbieter digitaler Dienste bestätigt.

Muss der Ablehnen-Button genauso groß wie der Akzeptieren-Button sein?

Eine identische Größe ist nicht zwingend vorgeschrieben, wohl aber eine gleichwertige Erreichbarkeit. Das EDSA hat in seinem Cookie-Banner-Taskforce-Bericht von 2023 klargestellt, dass ein Ablehnen-Button, der nur als schwer erkennbarer Grauhyperlink neben einem prominenten farbigen Button steht, die Anforderung der gleichwertigen Wahl nicht erfüllt. Die Gestaltung darf die Ablehnung nicht systematisch erschweren.

Wie lange ist eine erteilte Cookie-Einwilligung gültig?

Das Gesetz nennt keine feste Frist. In der Praxis haben sich sechs bis zwölf Monate als üblicher Erneuerungszeitraum etabliert, weil Einwilligungen unter veränderten Umständen (neue Dienste, neue Banner-Version) erneut eingeholt werden sollten. Die meisten Consent-Management-Plattformen bieten eine automatische Erneuerungsanfrage nach einem konfigurierbaren Zeitraum an.

Was passiert, wenn mein Cookie-Banner nicht den Anforderungen entspricht?

Datenschutzbehörden können Bußgelder verhängen. Art. 83 DSGVO sieht bei Verstößen gegen die Einwilligungsanforderungen Bußgelder bis 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor. In der Praxis lagen verhängte Bußgelder für kleinere Unternehmen deutlich niedriger, aber selbst ein Verfahren verursacht Zeit- und Anwaltskosten. Hinzu kommt das Abmahnrisiko durch Mitbewerber oder Verbände. Die Kombination aus technischem Fehler und unzureichendem Banner ist in der Praxis der häufigste Ausgangspunkt.

Gilt der Cookie-Banner auch für B2B-Websites?

§25 TDDDG unterscheidet nicht nach dem Status des Nutzers, also nicht zwischen Verbrauchern und Gewerbetreibenden. Die Einwilligungspflicht gilt auch für reine B2B-Websites, wenn nicht-essenzielles Tracking aktiv ist.

Was ist der Unterschied zwischen TTDSG, TDDDG und DDG?

TTDSG war die ursprüngliche Bezeichnung des Gesetzes (Telekommunikation-Telemedien-Datenschutz-Gesetz), das am 1. Dezember 2021 in Kraft trat. Durch das Digitalgesetze-Paket wurde es zum 14. Mai 2024 umbenannt in TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz). Der §25 mit seinen Anforderungen an Cookies und Endgerätezugriff ist inhaltlich gleich geblieben, nur die Bezeichnung hat sich geändert. Das DDG (Digitale-Dienste-Gesetz) ist ein separates Gesetz, das Pflichten für Diensteanbieter regelt und nichts mit dem Cookie-Consent zu tun hat.