Ein DSGVO-konformer Cookie-Banner ist nach deutschem Recht — geregelt durch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und die DSGVO — die zentrale Voraussetzung, bevor nicht-essentielle Cookies gesetzt oder Tracking-Tools wie Google Analytics, Meta Pixel oder Hotjar aktiviert werden dürfen. Die deutschen Aufsichtsbehörden, koordiniert durch die Datenschutzkonferenz (DSK), haben in mehreren Beschlüssen klare Vorgaben gemacht: „Akzeptieren"-Button und „Ablehnen"-Button müssen gleichwertig gestaltet sein, Pre-Ticked-Boxes sind unzulässig, und das Banner muss eindeutige, granulare Einwilligung ermöglichen. Bußgelder im Cookie-Bereich erreichen mehrere Hunderttausend Euro — die LfDI Baden-Württemberg verhängte bereits 400.000 EUR für schwerwiegende Banner-Mängel.
Kerntatsachen
TTDSG § 25 ist die zentrale deutsche Norm für Cookie-Einwilligungen — strenger als DSGVO Art. 6.
„Akzeptieren" und „Ablehnen" müssen gleichwertig prominent dargestellt sein.
Pre-Ticked-Boxes sind nach EuGH (C-673/17 „Planet49") immer unzulässig.
Granulare Auswahl nach Cookie-Kategorien ist Pflicht — pauschale Einwilligung reicht nicht.
Datenschutzerklärung muss verlinkt sein, mit detaillierter Cookie-Liste.
Widerruf der Einwilligung muss genauso einfach sein wie die Erteilung.
Bußgeldpraxis 2024/2025: typisch 50.000–500.000 EUR; bei systematischen Verstößen siebenstellig.
Tools: Cookiebot, OneTrust, Usercentrics, Borlabs, klaro.js — alle DSGVO-konform mit korrekter Konfiguration.
Das deutsche Cookie-Recht stützt sich auf drei Säulen.
Die rechtliche Grundlage
Norm
Inhalt
DSGVO
EU-weiter Rahmen für personenbezogene Datenverarbeitung
TTDSG § 25
deutsche Spezialregelung für Cookies und ähnliche Tracking-Technologien
DSK-Beschlüsse
Konkretisierungen der Aufsichtsbehörden
EuGH-Rechtsprechung
insb. C-673/17 (Planet49), C-252/21 (Meta-Bondi)
Die zentralen Schwellen
Cookie-Typ
Einwilligung erforderlich?
Technisch notwendig (Session, CSRF-Token, Login)
nein
Funktional (Sprach-Einstellung, Einkaufswagen)
meist nein, aber strittig
Statistik / Analytics
ja
Marketing / Tracking
ja
Personalisierung mit Profilbildung
ja, ausdrücklich
Kennzahl
Über 70 % der deutschen Websites haben nicht-konforme Cookie-Banner — laut einer Untersuchung der Stiftung Warentest und mehrerer Aufsichtsbehörden 2024. Die häufigsten Verstöße: nicht-gleichwertige Buttons, Pre-Ticked-Boxes, fehlende granulare Auswahl.
TTDSG § 25
§ 25 TTDSG ist der Kern der deutschen Cookie-Regelung. Er setzt die ePrivacy-Richtlinie (2002/58/EG) in deutsches Recht um.
Der Wortlaut
§ 25 TTDSG (1) — Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.
Ausnahmen nach § 25 Abs. 2
Ausnahme
Anwendung
Übertragung von Nachrichten über öffentliche Telekommunikations-Netze
technische Übertragung
Unbedingt erforderliche Speicherung
für vom Nutzer angeforderten Telemedien-Dienst
Was bedeutet „unbedingt erforderlich"?
Die DSK hat „unbedingt erforderlich" eng definiert:
Kategorie
Status
Session-Cookies (Login-State)
unbedingt erforderlich
CSRF-Token
unbedingt erforderlich
Sprach-Einstellungen
meist unbedingt erforderlich
Cookie-Consent-Cookie selbst
unbedingt erforderlich
Einkaufswagen
unbedingt erforderlich (bei Webshop)
Analytics-Cookies
NICHT unbedingt erforderlich
Marketing-Cookies
NICHT unbedingt erforderlich
Reichweiten-Messung
strittig — meist Einwilligung erforderlich
Welche Cookies
Eine systematische Klassifizierung der Cookies auf Ihrer Website ist Voraussetzung für das richtige Banner-Design.
Cookie-Kategorien
Kategorie
Beispiele
Einwilligung?
Notwendig
Session, Login, CSRF-Token
nein
Funktional
Spracheinstellung, Theme-Wahl
meist nein
Statistik / Analytics
Google Analytics, Matomo, Plausible
ja (außer bei lokalen anonymen Lösungen)
Marketing
Google Ads, Meta Pixel, LinkedIn Insight Tag
ja
Personalisierung
Recommender-Systeme, Personalisierte Werbung
ja, ausdrücklich
Drittanbieter-Cookies
Social Media Embeds, Maps, Videos
ja
Drittanbieter-Embeds
Besondere Aufmerksamkeit für eingebettete Inhalte:
Service
Status
YouTube-Video (klassisch eingebettet)
Einwilligung erforderlich
YouTube-no-cookie
meist ohne Einwilligung
Vimeo
meist Einwilligung erforderlich
Google Maps
meist Einwilligung erforderlich
Facebook / Twitter Embeds
Einwilligung erforderlich
Recaptcha
meist Einwilligung erforderlich
Lokal gehostete Alternativen
Für statistische Erfassung gibt es DSGVO-freundlichere Alternativen:
Tool
Eigenschaften
Matomo (selbst-gehostet)
DSGVO-konform ohne Einwilligung möglich (mit Anonymisierung)
Plausible
EU-gehostet, cookieless, ohne Einwilligung möglich
Fathom
EU-Hosting möglich, cookieless
Simple Analytics
EU-Hosting, cookieless
Banner-Design
Die Aufsichtsbehörden haben klare Anforderungen an das Banner-Design.
Die Mindest-Anforderungen
Anforderung
Bedeutung
Gleichwertige Buttons
„Akzeptieren" und „Ablehnen" gleich prominent
Granulare Auswahl
nicht nur „Alle akzeptieren" oder „Ablehnen"
Klare Information
welche Cookies, welche Zwecke, welche Dritte
Datenschutzerklärung
verlinkt mit Cookie-Liste
Kein Layered Approach gegen den Nutzer
keine versteckten Optionen
Widerruf einfach möglich
dauerhaft erreichbarer Cookie-Settings-Link
Layout-Empfehlungen
Element
Empfehlung
Position
als Modal oder Banner, nicht das gesamte Erlebnis blockierend
Buttons
gleiche Größe, Farbe ähnlich (oder beide neutral)
„Akzeptieren" und „Ablehnen"
beide auf erster Ebene
„Einstellungen"
dritter Button für granulare Auswahl
Datenschutzerklärung-Link
gut sichtbar
Schließen-Symbol (X)
nur, wenn klar ist, was es bedeutet (vorzugsweise = „Ablehnen")
Beispiel-Texte
Wir nutzen Cookies, um unsere Website zu verbessern und
Inhalte sowie Anzeigen für Sie zu personalisieren.
Über "Einstellungen" können Sie selbst entscheiden, welche
Cookies Sie zulassen möchten. Sie können Ihre Auswahl jederzeit
in den Cookie-Einstellungen ändern.
Mehr Informationen finden Sie in unserer Datenschutzerklärung.
[Alle akzeptieren] [Alle ablehnen] [Einstellungen]
Granulare Auswahl
Auf der zweiten Ebene (Einstellungen):
☑ Notwendig (immer aktiv)
Session, Login-Status, Sicherheits-Token
☐ Funktional
Spracheinstellung, Theme-Wahl
☐ Statistik
Google Analytics, Plausible
☐ Marketing
Google Ads, Meta Pixel, LinkedIn Insight Tag
[Auswahl speichern]
Datenschutzerklärung
Die Datenschutzerklärung muss eine detaillierte Cookie-Liste enthalten.
Pflichtinhalte pro Cookie
Inhalt
Beschreibung
Cookie-Name
technische Bezeichnung
Anbieter
wer setzt das Cookie
Zweck
wofür wird es genutzt
Speicherdauer
wie lange gespeichert
Drittland-Bezug
wenn Übertragung in Drittländer
Rechtsgrundlage pro Cookie
Pro Cookie ist die Rechtsgrundlage zu nennen:
Rechtsgrundlage
Beispiele
Art. 6 Abs. 1 lit. a + § 25 TTDSG
Einwilligung (Standard für Marketing/Statistik)
§ 25 Abs. 2 TTDSG
unbedingt erforderlich
Art. 6 Abs. 1 lit. b
Vertragsdurchführung (z. B. Webshop-Funktion)
Auftragsverarbeiter und Drittland
Bei Drittanbieter-Cookies:
Auftragsverarbeiter-Vertrag (Art. 28 DSGVO)
Drittland-Bezug dokumentieren
Standardvertragsklauseln (SCC) bei US-Anbietern
Transfer Impact Assessment (TIA) dokumentieren
Widerruf
Art. 7 Abs. 3 DSGVO verlangt: „Der Widerruf der Einwilligung muss so einfach sein wie die Erteilung."
Anforderungen
Anforderung
Praktische Umsetzung
Dauerhaft erreichbarer Link
„Cookie-Einstellungen" im Footer oder im Datenschutzerklärung
Sofort wirksam
beim Widerruf sofortige Beendigung der Verarbeitung
Keine zusätzlichen Hürden
keine Anmeldung, keine Identitätsprüfung
Granulare Widerrufs-Option
pro Kategorie oder pro Cookie
Praktische Implementierung
Element
Anforderung
Footer-Link „Cookie-Einstellungen"
auf jeder Seite
Direkter Aufruf des CMP-Banners
mit aktuellen Einstellungen
Speicherung der Änderung
sofort wirksam
Bestätigung an den Nutzer
erfolgreich aktualisiert
Dark Patterns
Die Aufsichtsbehörden haben mehrere Dark Patterns als unzulässig deklariert.
Verbotene Praktiken
Praktik
Warum unzulässig
Pre-Ticked-Boxes
EuGH C-673/17 — keine aktive Einwilligung
Nur „Akzeptieren"-Button auf erster Ebene
nicht gleichwertig
„Ablehnen" verstecken in Untermenüs
nicht gleichwertig
Dunklere Farbe für „Ablehnen"
manipulative Gestaltung
Umfangreiche Texte vor „Ablehnen"
Nudging-Element
„Erneut fragen"-Loops
Druckaufbau
Zwingende Akzeptanz ohne Alternative
unzulässig
Akzeptanz an Vertragsabschluss koppeln
nicht freiwillig
Beispiele aus der Aufsichtspraxis
Verstoß
Sanktion
Pre-Ticked-Box bei Newsletter-Anmeldung
abmahnfähig
„Akzeptieren" grün, „Ablehnen" grau
nicht gleichwertig
„Ablehnen" auf zweiter Ebene versteckt
unzulässig
Cookies vor Banner-Klick gesetzt
klarer Verstoß
CMP
Consent-Management-Plattformen (CMP) automatisieren das Cookie-Management. Sie sind für komplexe Websites praktisch unverzichtbar.
Top-CMP-Anbieter in DACH
Anbieter
Stärken
Preis
Cookiebot
DSGVO-fokussiert, deutsches Hosting möglich
ab 9 EUR/Monat
Usercentrics
umfassend, Enterprise-Markt
ab 50 EUR/Monat
OneTrust
Marktführer, hohe Konfigurierbarkeit
ab 300 EUR/Monat
Borlabs
WordPress-Plugin, KMU-orientiert
einmalig 39-99 EUR
klaro.js
Open Source
kostenlos
iubenda
italienisch, mehrsprachig
ab 10 EUR/Monat
Sourcepoint
Enterprise, viele Integrationen
individuell
CMP-Auswahl-Kriterien
DSGVO- und TTDSG-Konformität zertifiziert
Dauerhafter Cookie-Settings-Link unterstützt
Granulare Auswahl nach Kategorien
Automatische Cookie-Erkennung (Cookie-Scanner)
Mehrsprachigkeit (DE/EN mind.)
Reporting und Audit-Trail
EU-Hosting für eigene Daten
Integration mit gängigen Frameworks und CMS
API für CMS-Integration
Performance-optimiert (asynchrones Laden)
Tracking-Tools
Die häufigsten Tracking-Tools und ihre rechtliche Bewertung.
Google Analytics 4 (GA4)
Aspekt
Status
Einwilligung erforderlich
ja, ausdrücklich
Drittlandtransfer
USA — nach DPF-Zertifizierung wieder einfacher
DSGVO-konform
nur mit korrekter Konfiguration (IP-Anonymisierung, Data Retention)
Alternative
Plausible, Matomo (selbst-gehostet)
Meta Pixel (Facebook)
Aspekt
Status
Einwilligung erforderlich
ja, ausdrücklich
Drittlandtransfer
USA — DPF-Zertifizierung erforderlich
Datenschutzkonferenz-Bewertung
strittig, häufig Bußgelder
Alternative
First-Party-Daten, eigene Conversion-Tracking
Google Ads / Tag Manager
Aspekt
Status
Einwilligung erforderlich
ja, ausdrücklich für Conversion-Tracking
Consent Mode v2
erforderlich seit März 2024
Drittlandtransfer
USA — DPF
Hotjar / Mouseflow
Aspekt
Status
Einwilligung erforderlich
ja, ausdrücklich
Mit Heatmaps und Session-Recordings
sensibel — DSFA empfohlen
Drittlandtransfer
je nach Anbieter-Setup
LinkedIn Insight Tag
Aspekt
Status
Einwilligung erforderlich
ja, ausdrücklich
Drittlandtransfer
USA — DPF
Server-Side Tracking
Eine wachsende Praxis: Server-Side Tracking umgeht einige Cookie-Beschränkungen — aber nicht die DSGVO-Pflichten.
Aspekt
Bewertung
Cookie-Aspekte
reduziert
DSGVO-Pflichten
bleiben vollständig bestehen
Einwilligung
weiterhin erforderlich für nicht-essentielle Tracking
Bußgeldpraxis
Cookie-bezogene Bußgelder sind in den letzten Jahren stark gestiegen.
Beispielfälle
Jahr
Behörde
Sektor
Bußgeld
Hauptgrund
2024
LfDI BW
Online-Shop
405.000 EUR
Pre-Ticked-Boxes + nicht-gleichwertige Buttons
2023
BlnBDI
E-Commerce
525.000 EUR
mehrere Verstöße inkl. Cookie
2023
BayLDA
Marketing-Plattform
150.000 EUR
fehlende Einwilligung für Tracking
2022
LDI NRW
News-Portal
85.000 EUR
Cookies vor Banner-Klick gesetzt
EuGH-Rechtsprechung
Datum
Aktenzeichen
Inhalt
01.10.2019
C-673/17 (Planet49)
Pre-Ticked-Boxes unzulässig
04.07.2023
C-252/21 (Meta Bundeskartellamt)
Datenschutz-Verstöße auch wettbewerbsrechtlich relevant
Häufige Fehler
Fehler
Häufigkeit
Pre-Ticked-Boxes
25 %
„Akzeptieren" und „Ablehnen" nicht gleichwertig
50 %
Cookies vor Banner-Klick gesetzt
35 %
Fehlende granulare Auswahl
40 %
Kein Widerrufs-Link
45 %
Datenschutzerklärung ohne Cookie-Liste
55 %
Drittland-Transfer nicht dokumentiert
50 %
Veraltete Cookies in Liste
30 %
Nicht-anonymisierte IP-Adressen bei Analytics
25 %
Banner verschwindet nach Scrollen / Klick
30 %
FAQ
Brauche ich für jede Website einen Cookie-Banner?
Sobald nicht-essentielle Cookies oder Tracking-Tools eingesetzt werden — ja. Eine reine Info-Website ohne Tracking kann ohne Banner funktionieren, ist aber selten.
Sind Pre-Ticked-Boxes erlaubt?
Nein — EuGH C-673/17 hat klargestellt: Cookie-Einwilligung erfordert aktive Handlung. Vorausgewählte Checkboxes sind unzulässig.
Müssen „Akzeptieren" und „Ablehnen" gleich aussehen?
Nicht identisch, aber gleichwertig prominent. Gleiche Größe, ähnliche Farbe, beide auf erster Ebene.
Was ist mit Google Analytics?
Google Analytics 4 erfordert Einwilligung — auch mit IP-Anonymisierung. Alternativen: Matomo (selbst-gehostet), Plausible.
Reicht ein Cookie-Banner ohne Datenschutzerklärung?
Nein — Cookie-Banner und Datenschutzerklärung sind separate Pflicht-Elemente. Die Datenschutzerklärung muss eine detaillierte Cookie-Liste enthalten.
Welche Tools kann ich nutzen?
Cookiebot, Usercentrics, OneTrust, Borlabs, klaro.js, iubenda, Sourcepoint — alle DSGVO-konform mit korrekter Konfiguration.
Wie wird die Einwilligung dokumentiert?
CMPs erstellen automatisch ein Consent-Log mit Zeitstempel, IP, gewählten Kategorien — als Nachweis bei Aufsichtsanfragen.
Ein DSGVO-konformer Cookie-Banner ist rechtlich Pflicht und vertrauensbildend — aber operativ einfach umsetzbar mit den richtigen Tools. Drei strategische Empfehlungen:
Erstens, gleichwertige Buttons auf erster Ebene. „Akzeptieren" und „Ablehnen" — keine Manipulation, keine Dark Patterns. Die Aufsichtsbehörden bewerten das als zentrales Konformitäts-Kriterium.
Zweitens, granulare Auswahl mit klarer Information. Je transparenter Sie über Cookie-Zwecke und Anbieter informieren, desto weniger rechtliche Risiken.
Drittens, Tools wählen, nicht selbst bauen. Cookiebot, Usercentrics, OneTrust und Co. sind günstiger und rechtssicher als Eigenbau.
Vision Compliance unterstützt Unternehmen bei Cookie-Banner-Audits, CMP-Auswahl und rechtskonformer Konfiguration — als Teil unserer Datenschutz-Beratung und externen DSB-Bestellung. Wir kombinieren Datenschutzrecht mit Web-Compliance-Expertise. Sprechen Sie uns an für ein kostenloses Cookie-Banner-Audit Ihrer Website.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
