Cookie Banner Pflicht 2026: Was gilt wirklich?

Was ist überhaupt ein Cookie?

Ein Cookie ist eine kleine Textdatei, die dein Browser auf deinem Computer speichert. Websites nutzen Cookies, um dich beim nächsten Besuch wiederzuerkennen, Warenkörbe zu speichern oder dein Verhalten zu tracken.

Das TTDSG § 25 bezieht sich aber nicht nur auf Cookies im technischen Sinne. Es gilt für das "Speichern von Informationen in der Endeinrichtung" und das "Auslesen von Informationen aus der Endeinrichtung". Das umfasst:

• Klassische HTTP-Cookies
• LocalStorage und SessionStorage
• IndexedDB
• Browser-Fingerprinting (ohne Cookie)
• Pixel-Tracking
• Ähnliche Technologien

Die entscheidende Frage ist nicht "Setze ich einen Cookie?", sondern "Greife ich auf die Endeinrichtung des Nutzers zu, und warum?"

Technisch notwendig vs. nicht notwendig: Die entscheidende Grenze

Das TTDSG unterscheidet klar zwischen zwei Kategorien.

Technisch notwendige Cookies: Kein Banner erforderlich

Diese Cookies sind "unbedingt erforderlich", um einen vom Nutzer ausdrücklich gewünschten Dienst zu erbringen. Sie dürfen ohne Einwilligung gesetzt werden:

• Session-Cookies für eingeloggte Nutzer (z. B. im Online-Shop)
• Warenkorb-Cookies im E-Commerce
• Cookies für die Lastverteilung auf dem Server
• Sicherheits-Cookies (CSRF-Schutz)
• Cookie-Consent-Einstellungen selbst (damit der Banner nicht bei jedem Besuch erscheint)

Nicht technisch notwendige Cookies: Pflicht-Einwilligung

Alles, was über technische Notwendigkeit hinausgeht, benötigt eine vorherige aktive Einwilligung:

• Analyse (Google Analytics, Matomo mit Tracking)
• Werbung (Google Ads, Meta Pixel)
• Social Media (Facebook Like-Button, Instagram-Feeds)
• Personalisierung (Empfehlungs-Algorithmen)
• Eingebettete Videos von YouTube oder Vimeo

Die Rechtslage 2026: BGH und EuGH haben gesprochen

Zwei Urteile sind für den deutschen Markt entscheidend:

EuGH, Urteil vom 01.10.2019 (C-673/17, "Planet49"): Der Europäische Gerichtshof hat klargestellt, dass vorangekreuzte Checkboxen keine wirksame Einwilligung darstellen. Opt-out ist verboten. Es muss immer ein aktives Opt-in vorliegen.

BGH, Urteil vom 28.05.2020 (I ZR 7/16, "Cookie-Einwilligung II"): Der Bundesgerichtshof hat Planet49 für Deutschland bestätigt und konkretisiert. Einwilligung erfordert: aktive Handlung, informiert, freiwillig, für einen bestimmten Zweck.

Was das konkret für deinen Cookie-Banner bedeutet:

1. Kein vorangehakter "Ich stimme zu"-Haken
2. Der "Ablehnen"-Button muss genauso leicht zu finden sein wie "Alle akzeptieren" (EuGH C-556/21, 2024)
3. Der Banner darf nicht durch Dark Patterns wie graue Ablehn-Buttons oder versteckte Einstellungen manipulieren
4. Einwilligung kann jederzeit widerrufen werden

Opt-in vs. Opt-out: Was du wissen musst

Opt-in (einzige legale Option für nicht-notwendige Cookies):

• Nutzer muss aktiv zustimmen
• Vorher: keine nicht-notwendigen Cookies gesetzt
• Keine vorangekreuzten Checkboxen

Opt-out (nicht zulässig in Deutschland):

• Cookies sind standardmäßig aktiv
• Nutzer muss aktiv widersprechen
• War früher verbreitet, ist heute rechtswidrig

Konkret: Welche Dienste brauchen Einwilligung?

Google Analytics: Ja, immer. GA überträgt Nutzerdaten an Google. Selbst mit IP-Anonymisierung. Für den Einsatz ohne Einwilligung gibt es keine Rechtsgrundlage.

Meta Pixel (Facebook Pixel): Ja. Der Pixel überträgt Verhaltensdaten an Meta für Werbezwecke. Ohne vorherige Einwilligung ist das unzulässig.

YouTube-Embeds: Ja, bei Standard-Einbettung. YouTube setzt beim Laden des Players Cookies und überträgt Daten an Google, auch wenn der Nutzer das Video nicht abspielt. Ausweg: youtube-nocookie.com mit Lazy Loading (Video lädt erst nach Klick).

Matomo (lokal gehostet): Kommt drauf an. Wenn Matomo auf deinem eigenen Server läuft, keine Daten an Dritte überträgt und du IP-Anonymisierung aktivierst, kann eine datenschutzrechtliche Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO möglich sein. Die Datenschutzkonferenz der Länder (DSK) hat das bestätigt. Aber: Sicher ist ein Opt-in trotzdem.

Google Fonts (extern): Kein Cookie, aber trotzdem problematisch (IP-Übertragung). Lösung: lokal einbinden. Wie das geht, zeigt unsere Anleitung zu Google Fonts lokal einbinden.

Cookie-Banner richtig umsetzen: Was dein Banner braucht

Damit dein Cookie-Banner rechtskonform ist, muss er folgende Anforderungen erfüllen:

Pflicht:

• Klare Beschreibung, welche Cookies gesetzt werden und zu welchem Zweck
• Separate Buttons: "Alle akzeptieren" und "Ablehnen" (oder "Nur notwendige")
• Kein voreingestelltes "Akzeptieren"
• Ablehnen muss genauso einfach sein wie Akzeptieren
• Widerruf muss jederzeit möglich sein (z. B. über Link im Footer)
• Einwilligung muss dokumentiert werden (für eventuelle Nachweise)

Verboten (Dark Patterns):

• "Akzeptieren" in leuchtenden Farben, "Ablehnen" grau und klein
• Ablehnen versteckt in "Einstellungen" vergraben
• Weiterklicken als Zustimmung werten
• Banner, der die Website nicht bedienbar macht, bis man zustimmt
• Vorausgewählte Kategorien außer "Notwendig"

Tools für rechtskonforme Cookie-Banner

Drei verbreitete Lösungen für kleine Websites:

Cookiebot (jetzt Usercentrics): Einer der bekanntesten Anbieter. Scannt deine Website automatisch auf Cookies, generiert Banner und Dokumentation. Kostenlos bis 100 Seiten/Monat. Datenschutzrechtlich in der EU (Dänemark). Ab ca. 12 EUR/Monat für größere Sites.

CookieYes: Einfache Einrichtung, gutes Preis-Leistungs-Verhältnis. Kostenlos bis 100 Domains (begrenzte Seitenaufrufe). Ab 10 USD/Monat.

Borlabs Cookie: Speziell für WordPress. Einmalige Zahlung, keine monatlichen Kosten. Sehr verbreitet in Deutschland. Ca. 39 EUR/Jahr pro Website.

Wichtig: Kein Tool macht einen Banner automatisch rechtskonform. Du musst selbst sicherstellen, dass kein nicht-notwendiger Cookie geladen wird, bevor der Nutzer zustimmt. Das Tool hilft bei der Verwaltung, aber die Konfiguration liegt bei dir.

Nutze unseren Compliance-Check, um zu prüfen, ob dein Cookie-Banner die aktuellen Anforderungen erfüllt.

Die beste Lösung: Gar keine nicht-notwendigen Cookies

Was viele nicht bedenken: Der einfachste Weg, das Cookie-Banner-Problem zu lösen, ist, keine nicht-notwendigen Cookies einzusetzen. Statische Websites ohne Tracking, ohne eingebettete Fremdinhalte und ohne Werbe-Scripts brauchen gar keinen Cookie-Banner.

Das geht für viele kleine Unternehmenswebsites problemlos:

• Kein Google Analytics. Besucherzahlen kann man auch mit serverseitigen Logs messen, ohne Cookies.
• Kein Meta Pixel. Stattdessen: Direktes Feedback in Sales-Calls.
• Keine YouTube-Einbettung. Stattdessen: Link zum Video mit Vorschaubild.
• Lokale Fonts. Kein externes Laden.

Was bleibt: technisch notwendige Cookies für Kontaktformulare (CSRF) und Cookie-Consent-Speicherung selbst. Beide sind ohne Einwilligung erlaubt.

Das Ergebnis: kein Cookie-Banner nötig, keine Compliance-Risiken, keine laufenden Kosten für ein Consent-Management-Tool, keine frustrierten Nutzer, die sich durch Popups kämpfen.

Bei KI-WebSichtbar bauen wir Websites standardmäßig ohne externe Tracker und ohne Cookie-Banner-Pflicht. Mehr dazu in unserem Artikel über professionelles Webdesign.

Wer wissen will, ob die eigene Website DSGVO-konform ist, kann den kostenlosen DSGVO-Check nutzen.

Wann man trotzdem einen Cookie-Banner braucht

Für bestimmte Zwecke führt kein Weg am Cookie-Banner vorbei:

• Online-Shop mit Warenkorbverfolgung über Sessions hinaus (Remarketing)
• Website mit Google Analytics oder ähnlichen Analysetools
• Eingebettete Maps, Videos oder Social-Media-Feeds
• Affiliate-Tracking (Provisionen für Weiterempfehlungen)
• Personalisierte Inhalte basierend auf früherem Verhalten

In diesen Fällen gilt: lieber einen guten Banner einsetzen als keinen. Ein unvollständiger Banner ist schlechter als kein Banner, weil er falsche Sicherheit suggeriert.

Unsere DSGVO-Checkliste für KMU-Websites zeigt, was über den Cookie-Banner hinaus noch auf deiner Website geprüft werden sollte.

Besonderheit: Analyse ohne Cookies und ohne Banner

Wer Besucher analysieren will, ohne einen Cookie-Banner zu benötigen, hat echte Alternativen zu Google Analytics:

Plausible Analytics: Datenschutzfreundliches Analyse-Tool mit Servern in der EU. Keine Cookies, kein Fingerprinting, keine personenbezogenen Daten. Nach aktuellem Stand der Datenschutzkonferenz der Länder (DSK) ist Plausible ohne Einwilligung nutzbar. Ab 9 USD/Monat, kostenlos selbst hostbar.

Umami: Ebenfalls Cookie-frei, Open Source, selbst auf dem eigenen Server hostbar. Keine Kosten für Self-Hosting. Ähnlicher Funktionsumfang wie Plausible.

Serverseitige Logs: Jeder Webserver erzeugt Access-Logs, aus denen Seitenaufrufe, Herkunftsländer und Gerätetypen abgelesen werden können. Kein Cookie, kein Einwilligungserfordernis. Werkzeuge wie AWStats oder GoAccess werten diese Logs aus. Nicht so komfortabel wie Analytics, aber DSGVO-neutral.

Wer keine tiefen Analysen braucht und nur wissen will, wie viele Besucher eine Seite hat, fährt mit serverseitigem Logging am sichersten.

Cookie-Banner und Abmahnrisiko: Was wirklich passiert

Die Abmahngefahr bei fehlerhaften Cookie-Bannern kommt von zwei Seiten:

Behörden: Datenschutzbehörden der Länder verhängen Bußgelder. Der Fokus liegt auf größeren Unternehmen und systematischen Verstößen. KMU erhalten eher eine Verwarnung mit Fristsetzung als sofort ein Bußgeld, wenn sie kooperieren.

Mitbewerber und Verbraucherschutzverbände: Diese können auf Basis des UWG (Gesetz gegen den unlauteren Wettbewerb) abmahnen, wenn ein fehlerhafter Cookie-Banner als wettbewerbswidriges Verhalten gewertet wird. Das ist bei KMU deutlich häufiger als Behördenverfahren. Kosten: 500-3.000 Euro pro Abmahnung.

Ein häufig unterschätztes Risiko: Der Cookie-Banner ist korrekt, aber dahinter werden trotzdem Cookies gesetzt, bevor der Nutzer zustimmt. Das passiert oft bei WordPress-Themes oder Plugins, die unkontrolliert Cookies setzen. Hier hilft nur eine technische Prüfung mit dem Network-Tab der DevTools nach dem Leeren des Browser-Caches und vor jeder Interaktion mit dem Banner.

Unser Compliance-Check prüft automatisch auf die häufigsten Implementierungsfehler.

---

FAQ: Cookie-Banner Pflicht

Braucht jede Website in Deutschland einen Cookie-Banner?

Nein. Nur Websites, die nicht-technisch notwendige Cookies oder vergleichbare Tracking-Technologien einsetzen, benötigen einen Cookie-Banner. Eine rein statische Website ohne Tracking, ohne externe Einbettungen und ohne Analyse-Tools braucht keinen Banner.

Reicht es, den Cookie-Banner in der Datenschutzerklärung zu erwähnen?

Nein. Die Einwilligung muss aktiv und vorab eingeholt werden, bevor nicht-notwendige Cookies gesetzt werden. Eine nachträgliche Information in der Datenschutzerklärung ersetzt das nicht.

Was passiert, wenn mein Cookie-Banner nicht rechtskonform ist?

Behörden können Bußgelder verhängen. Die Höhe richtet sich nach Schwere und Umsatz. Zusätzlich können Mitbewerber und Verbraucherschutzverbände abmahnen. Abmahnkosten liegen erfahrungsgemäß zwischen 500 und 3.000 Euro.

Darf ich den Cookie-Banner nach dem Klick auf "Ablehnen" erneut zeigen?

Nur mit gutem Grund und nicht sofort erneut. Wenn du den Banner bei jedem Besuch zeigst, obwohl der Nutzer abgelehnt hat, ist das eine unzulässige Belästigung und möglicherweise ein Dark Pattern.

Gilt die Cookie-Pflicht auch für mobile Apps?

Das TTDSG gilt primär für Websites. Für native Apps gelten die DSGVO und möglicherweise plattformspezifische Regeln (Apple ATT-Framework für iOS). Das Grundprinzip Opt-in vor nicht-notwendigem Tracking gilt aber überall.

Was ist mit Google Analytics 4: Brauche ich trotzdem einen Banner?

Ja. Auch Google Analytics 4 überträgt Nutzerdaten an Google. Ohne Einwilligung ist das in Deutschland und der EU rechtswidrig. Consent Mode v2 von Google ist kein Freifahrtschein, er reduziert nur die Datenmenge bei Ablehnung.