InFocus · Begriff

Cookie-Banner

Aktualisiert Juli 2026 ca. 8Minuten Norm-Anker: § 25 TDDDG, ePrivacy-Richtlinie, DSGVO

AppCore IntelligenceUnit Redaktion, AppCore

Die AppCore IntelligenceUnit beobachtet die Entwicklung der einschlägigen Regulierung laufend und bereitet sie redaktionell auf.

  • Content-Compliance
  • Markenkommunikation

Ein Cookie-Banner holt die Einwilligung ein, bevor eine Website nicht notwendige Cookies und Tracker lädt. Seit 2021 ist diese Einwilligung im TDDDG verbindlich geregelt.

In Kürze Rechtsgrundlage: § 25 TDDDG (früher TTDSG)Einwilligung nötig vor nicht notwendigen CookiesAblehnen muss so leicht sein wie ZustimmenTechnisch notwendige Cookies brauchen keine EinwilligungVorab-Laden von Trackern ist ein häufiger Abmahn-Anlass

Was ein Cookie-Banner leisten muss

Ein Cookie-Banner, oft auch Consent-Banner genannt, ist das Werkzeug, mit dem eine Website die Einwilligung der Besucher einholt, bevor sie Cookies und ähnliche Techniken einsetzt, die nicht technisch notwendig sind. Dazu zählen vor allem Analyse-, Marketing- und Tracking-Werkzeuge.

Der entscheidende Punkt ist das Timing: Die Einwilligung muss vorliegen, bevor der jeweilige Dienst Daten sendet. Ein Banner, das zwar erscheint, während im Hintergrund längst ein Analyse-Skript geladen hat, erfüllt seinen Zweck nicht.

Technisch notwendige Cookies, etwa für den Warenkorb, die Anmeldung oder das Speichern der Cookie-Entscheidung selbst, brauchen keine Einwilligung. Für alles andere gilt: erst fragen, dann laden.

Die Rechtsgrundlage: § 25 TDDDG und die DSGVO

Rechtlich ruht der Cookie-Banner auf zwei Säulen. Das Speichern von Informationen auf dem Endgerät und der Zugriff darauf regelt § 25 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG), das die europäische ePrivacy-Richtlinie umsetzt. Die anschließende Verarbeitung der so gewonnenen Daten unterliegt zusätzlich der DSGVO.

Nur für technisch unbedingt erforderliche Cookies verzichtet § 25 auf die Einwilligung. Für jeden anderen Zweck, insbesondere Analyse und Werbung, ist die vorherige, informierte Einwilligung des Nutzers nötig. Diese Rechtslage geht auf mehrere Urteile zurück, unter anderem die Entscheidung Planet49 des Europäischen Gerichtshofs.

Was eine wirksame Einwilligung ausmacht

Eine wirksame Einwilligung ist freiwillig, informiert, für den konkreten Zweck erteilt und eindeutig. Freiwillig heißt, dass Ablehnen genauso einfach möglich sein muss wie Zustimmen; ein prominenter Alles-akzeptieren-Knopf neben einem versteckten Ablehnen-Link genügt nicht. Informiert heißt, dass der Nutzer erfährt, welche Dienste welche Daten zu welchem Zweck verarbeiten.

Voreingestellte Häkchen sind unzulässig: Die Einwilligung muss eine aktive Handlung sein. Ebenso wenig darf das Weitersurfen oder Scrollen als Zustimmung gewertet werden. Und die einmal getroffene Entscheidung muss sich später ebenso leicht widerrufen lassen, üblicherweise über einen dauerhaft erreichbaren Link zu den Cookie-Einstellungen.

Dark Patterns: der häufigste Fehler

Die meisten Beanstandungen betreffen nicht das Fehlen eines Banners, sondern seine Gestaltung. Ein grün leuchtender Zustimmen-Knopf neben einem grauen, kleinen Ablehnen-Link, ein fehlender Ablehnen-Knopf auf der ersten Ebene oder ein Banner, das trotz Ablehnung Tracker lädt, sind typische Stolperfallen. Solche Muster gelten als unzulässige Beeinflussung der freien Entscheidung.

Brauchst du ein Cookie-Banner?

Schalte ein, was auf deine Website zutrifft. Der Wert ist ein Anhaltspunkt, keine Rechtsprüfung.

Trifft mich das?

Schalte mindestens ein Kriterium ein, um eine Einschätzung zu sehen.

Woran sich ein Cookie-Banner messen lässt

Was § 25 TDDDG und die DSGVO von der Einwilligung verlangen, in vier Prinzipien.

Vier Anforderungen, zum Durchtippen

Einwilligung vor dem Laden, nicht danach.

Nicht notwendige Dienste dürfen erst starten, wenn die Einwilligung vorliegt. Ein Banner, der nur anzeigt, aber nicht blockt, ist wirkungslos.

Hilft Analyse-Skript startet erst nach dem Klick auf Zustimmen.

Stolperfalle Tracking-Pixel lädt schon beim Seitenaufruf.

Ablehnen so leicht wie Zustimmen.

Die Ablehnung muss auf derselben Ebene und mit demselben Aufwand möglich sein wie die Zustimmung. Ungleiche Gestaltung gilt als unzulässige Beeinflussung.

Hilft Zwei gleich gestaltete Knöpfe: Akzeptieren und Ablehnen.

Stolperfalle Großer Akzeptieren-Knopf, Ablehnen nur als kleiner Link.

Klar, welche Dienste was tun.

Der Nutzer muss vor der Entscheidung erfahren, welche Dienste welche Daten zu welchem Zweck verarbeiten. Ohne diese Information ist die Einwilligung nicht wirksam.

Hilft Aufschlüsselung nach Zweck und Dienst, mit Details zum Aufklappen.

Stolperfalle Nur der pauschale Satz „Wir nutzen Cookies“.

Entscheidung jederzeit änderbar.

Eine erteilte Einwilligung muss sich so leicht widerrufen lassen, wie sie erteilt wurde. Üblich ist ein jederzeit erreichbarer Link zu den Einstellungen.

Hilft Dauerhafter Link zu den Cookie-Einstellungen im Footer.

Stolperfalle Nach dem ersten Klick keine Möglichkeit mehr, die Wahl zu ändern.

Kosmetische Banner: viel Anzeige, keine Wirkung

Ein verbreiteter Irrtum ist, dass ein sichtbarer Banner allein genügt. Viele Banner sind rein kosmetisch: Sie fragen zwar nach Zustimmung, blockieren die Dienste aber nicht wirklich, sodass Tracker unabhängig von der Antwort laufen. Rechtlich ist das der schlechteste Fall, denn er verbindet den Anschein von Rechtstreue mit einem tatsächlichen Verstoß.

Ein wirksames Consent-Management muss die einwilligungspflichtigen Dienste technisch zurückhalten, bis die Einwilligung vorliegt, und die Entscheidung des Nutzers nachvollziehbar dokumentieren. Der Banner ist nur die sichtbare Spitze; entscheidend ist, was im Hintergrund wirklich geladen wird.

Wie steht es um deinen Cookie-Banner?

Wähle die Situation, die deiner aktuellen Website am nächsten kommt.

Trifft eine der folgenden Situationen auf dich zu?

Wähle eine Situation, um die Einordnung zu sehen.

Zeitleiste

Von der Cookie-Richtlinie zum TDDDG

Wie aus einer europäischen Vorgabe eine konkrete Pflicht mit Blick auf die Gestaltung wurde.

  1. 2009

    Die EU verlangt Einwilligung für Cookies

    Die überarbeitete ePrivacy-Richtlinie macht die Einwilligung für nicht notwendige Cookies zur europäischen Vorgabe.

  2. 2019

    Planet49: keine vorangekreuzten Häkchen

    Der Europäische Gerichtshof stellt klar, dass eine wirksame Cookie-Einwilligung eine aktive Handlung verlangt, kein vorausgefülltes Häkchen.

  3. 2021

    Das TTDSG bringt die Regel ins deutsche Recht

    Mit § 25 TTDSG wird die Einwilligungspflicht für Cookies in Deutschland ausdrücklich verankert.

  4. seit 2024

    TDDDG und der Blick auf Dark Patterns

    Das TTDSG wird zum TDDDG. Aufsichtsbehörden nehmen zunehmend die Banner-Gestaltung und irreführende Muster ins Visier.

Die Rechtslage: § 25 TDDDG und DSGVO

Rechtlich verlangt § 25 TDDDG die vorherige Einwilligung für das Speichern und Auslesen von Informationen auf dem Endgerät, soweit sie nicht technisch unbedingt erforderlich sind. Die daran anschließende Datenverarbeitung unterliegt der DSGVO, die dieselbe Einwilligung an ihre Wirksamkeits-Kriterien bindet: freiwillig, informiert, spezifisch, eindeutig.

Für die Praxis heißt das: Der Banner muss vor dem Laden fragen, gleichrangig ablehnen lassen, verständlich informieren und die Dienste bis zur Einwilligung technisch zurückhalten. Fehlt einer dieser Punkte, ist der Einsatz der betroffenen Dienste angreifbar.

So prüft der AppCore Audit den Cookie-Banner

Der AppCore Audit prüft mit der Lösung CookieGuard, welche Dienste eine Seite lädt und ob sie das vor oder nach der Einwilligung tun. So wird sichtbar, ob ein Banner wirklich blockt oder nur kosmetisch ist und ob die Ablehnung gleichrangig angeboten wird.

Abmahnung und Bußgeld: die Folgen

Ein fehlerhafter Cookie-Banner ist doppelt riskant. Datenschutzrechtlich können Aufsichtsbehörden den Einsatz nicht eingewilligter Dienste als Verstoß mit einem Bußgeld ahnden. Wettbewerbsrechtlich mahnen Mitbewerber und Verbände das Vorab-Laden von Trackern und irreführende Banner-Gestaltungen ab.

Besonders im Blick der Aufsicht stehen die Dark Patterns: ungleich gestaltete Knöpfe, fehlende Ablehnung auf der ersten Ebene und Banner, die trotz Ablehnung laden. Wer den Banner korrekt aufsetzt und regelmäßig gegen die tatsächlich geladenen Dienste prüft, nimmt beiden Risiken den Anlass.

Den eigenen Cookie-Banner richtig aufsetzen

Die meisten Banner-Probleme entstehen nicht aus Absicht, sondern aus der Lücke zwischen Anzeige und Technik: Der Banner fragt, aber blockt nicht, oder ein neues Tool wird eingebunden, ohne es in den Banner aufzunehmen. Drei Fragen helfen bei der Einordnung. Erstens: Laden alle nicht notwendigen Dienste wirklich erst nach der Einwilligung? Zweitens: Ist Ablehnen genauso leicht wie Zustimmen? Drittens: Lässt sich die Entscheidung jederzeit widerrufen?

Wer diese Fragen ehrlich beantwortet, erkennt die typischen Stolperfallen. Vorab geladene Analyse- und Marketing-Dienste, ein versteckter Ablehnen-Knopf und ein Banner, der die Dienste nicht wirklich blockt, gehören zu den häufigsten Fundstellen.

Für Seiten mit vielen eingebundenen Diensten ist schwer im Blick zu behalten, was wann lädt. Genau hier setzt der AppCore Audit an: Er beobachtet, welche Dienste vor und nach der Einwilligung starten, und macht sichtbar, wo der Banner seine Aufgabe nicht erfüllt. Aus einem diffusen Verdacht wird eine konkrete Liste.

Ein guter Cookie-Banner ist kein lästiges Hindernis, sondern ein sichtbares Zeichen, dass eine Seite die Entscheidung ihrer Besucher ernst nimmt. Wer ihn korrekt aufsetzt, senkt nicht nur sein Compliance-Risiko, sondern respektiert auch die Wahl der eigenen Nutzer.

Wo stehst du gerade?

Dein Weg zu mehr Sicherheit

Vom Befund zur laufenden Prüfung

Drei Schritte, jeder für sich nutzbar.

Schritt 1 · Diagnose

AppCore Audit

kostenfreieinmalige Diagnose

Wir prüfen deine Seite über alle 20 Lösungen und zeigen dir, was offen ist.

Kostenfrei starten
Schritt 3 · Dauerpflege

Plan

ab 99,- €pro Monat

Deine Seite bleibt dauerhaft sauber, mit laufender Prüfung.

Pläne ansehen

Audit BluePrint / CMS Plan

Nächster Schritt

Compliance-Risiko einschätzen

Der AppCore-Erstaudit zeigt dir in 10 Minuten, wo deine Website steht.