Mehr als die Hälfte aller Cookie-Banner im deutschen Web erfüllen die Anforderungen von DSGVO und TTDSG nicht. Wer das Risiko unterschätzt, wundert sich beim ersten Abmahnschreiben.
Cookie-Banner sollten 2026 ein gelöstes Problem sein. Die Rechtslage ist klar, die Rechtsprechung gefestigt, die Werkzeuge ausgereift. Trotzdem zeigen Stichproben in jedem Branchenumfeld dasselbe Bild: die Mehrheit der Banner verstößt in mindestens einem zentralen Punkt gegen geltendes Recht — meistens unwissentlich, weil die Implementierung “schon immer so war”.
Was DSGVO und TTDSG wirklich verlangen
Drei Anforderungen sind nicht verhandelbar:
- Vor jeder nicht zwingend notwendigen Speicherung oder dem Zugriff auf Informationen im Endgerät des Nutzers muss eine wirksame Einwilligung vorliegen. Das gilt nicht nur für Cookies, sondern für jeden Local-Storage-Eintrag, jedes Fingerprinting, jedes Tracking-Pixel.
- Die Einwilligung muss freiwillig, informiert, eindeutig und granular sein. Pauschal-Zustimmung über einen einzigen “Akzeptieren”-Button ist unzulässig.
- Ablehnen muss genauso einfach sein wie Zustimmen. Das ist der Punkt, an dem die meisten Banner scheitern.
Die häufigsten Verstöße — alle vermeidbar
In Audits begegnen uns immer die gleichen Muster:
- “Akzeptieren” prominent grün, “Ablehnen” als grauer Textlink im Footer des Banners — oder, noch dreister, nur über “Einstellungen” und drei Klicks erreichbar. Die Aufsichtsbehörden haben das wiederholt als unzulässig eingestuft.
- Voraktivierte Checkboxen für nicht notwendige Cookies. Stillschweigende Einwilligung gibt es nach DSGVO nicht — der Nutzer muss aktiv zustimmen.
- Tracking-Skripte werden geladen, bevor die Einwilligung erteilt ist. Google Analytics, Meta Pixel oder Facebook-Connect-Skripte tauchen im Network-Tab auf, obwohl der Banner noch offen ist. Das ist der häufigste und folgenreichste Fehler.
- “Berechtigtes Interesse” als Rechtsgrundlage für Marketing-Tracking. Funktioniert nicht. Marketing-Cookies brauchen Einwilligung, Punkt.
- Kein zumutbarer Weg, die Einwilligung später zu widerrufen. Wer einmal “Akzeptieren” geklickt hat, sollte über einen permanent erreichbaren Link sein Opt-out finden — typischerweise im Footer.
Was eine saubere Implementierung leistet
Ein DSGVO-konformer Banner ist technisch unaufwendig — aber er gehört einmal richtig gemacht. Die Mindest-Checkliste:
- Strikte Trennung in Kategorien — notwendig, Statistik, Marketing, Externe Inhalte — jede mit eigenem Schalter.
- Gleichwertige Buttons — “Alle akzeptieren” und “Alle ablehnen” auf erster Ebene, optisch und positionsmäßig gleichwertig.
- Strikte Ladereihenfolge — kein Drittanbieter-Skript wird vor expliziter Einwilligung geladen. Das schließt insbesondere Google Tag Manager mit ein, der oft als Trojaner für ungefragtes Tracking dient.
- Sauberes Logging der Einwilligungen — Zeitpunkt, IP-anonymisiert, gewählte Optionen. Nachweispflicht liegt beim Betreiber.
- Widerrufs-Link dauerhaft erreichbar im Footer.
- Regelmäßige Re-Prüfung — denn was heute zustimmungsfrei eingebunden ist, kann durch ein Update des Anbieters zur einwilligungspflichtigen Komponente werden.
Das real existierende Risiko
Wer denkt, dass Cookie-Banner-Verstöße ein theoretisches Problem sind, irrt. Aufsichtsbehörden in Frankreich, Italien und der Schweiz haben in den letzten Jahren wiederholt Bußgelder im sechs- bis siebenstelligen Bereich verhängt. In Deutschland nimmt die Praxis Fahrt auf. Dazu kommen Abmahnungen von Verbänden, die wirtschaftlich oft schmerzhafter sind als das eigentliche Bußgeld.
Unser Fazit
Cookie-Banner sind kein UX-Detail, sondern eine Compliance-Komponente mit klaren rechtlichen Anforderungen. Wer 2026 noch mit einem “Akzeptieren oder zu den Einstellungen”-Banner unterwegs ist, riskiert vermeidbaren Ärger. Eine saubere Implementierung kostet einen halben Tag — eine Abmahnung kostet ein Vielfaches.