Was kostet ein DSGVO-Verstoß beim Cookie-Banner?

Bußgelder reichen von wenigen tausend Euro bei kleineren Verstößen bis zu dreistelligen Millionenbeträgen. Die CNIL verhängte am 31. Dezember 2021 ein Bußgeld von 150 Mio. EUR gegen Google, weil das Ablehnen schwerer war als das Akzeptieren. In Deutschland drohen zusätzlich Abmahnungen durch Wettbewerber, die jeweils mehrere tausend Euro pro Vorgang kosten können.

Wann ist Google Analytics ohne Einwilligung erlaubt?

In der Standardkonfiguration nie. Selbst bei aktivierter IP-Anonymisierung greifen die Anforderungen aus § 25 TDDDG, weil Informationen im Endgerät gespeichert werden. Nur reine serverseitige Logfile-Analysen ohne Cookies oder vergleichbare Techniken fallen aus dem Consent-Erfordernis heraus, und auch dort gelten die DSGVO-Regeln zur Datenminimierung.

Wie muss ein Ablehnen-Button gestaltet sein?

Ablehnen muss genauso leicht möglich sein wie Akzeptieren. Beide Optionen liegen auf derselben Ebene, in vergleichbarer Größe und mit vergleichbarem Kontrast. Versteckte Buttons, graue Links oder mehrstufige Klickpfade verstoßen gegen die Freiwilligkeit der Einwilligung. Genau diese Asymmetrie war der Grund für die CNIL-Strafe gegen Google.

Was ist der Unterschied zwischen Cookie-Hinweis und Consent-Layer?

Ein Cookie-Hinweis informiert lediglich darüber, dass Cookies eingesetzt werden, und holt keine Einwilligung ein. Diese reine Information genügt seit dem EuGH-Urteil Planet49 vom 1. Oktober 2019 nicht mehr. Ein Consent-Layer dagegen blockiert nicht notwendige Skripte aktiv, holt eine differenzierte Zustimmung ein und dokumentiert sie revisionssicher.

Wie lange darf eine Einwilligung gespeichert werden?

Eine konkrete Höchstdauer gibt das Gesetz nicht vor, die Aufsichtsbehörden empfehlen jedoch maximal sechs bis zwölf Monate. Danach sollte der Besucher erneut gefragt werden, weil sich Zwecke, Anbieter und Inhalte einer Website über die Zeit verändern. Die Cookie-Laufzeit für die Speicherung der Einwilligung selbst kann länger sein, sollte aber transparent kommuniziert werden.

Was passiert bei einem Widerruf technisch?

Sobald der Besucher widerruft, müssen alle betroffenen Skripte sofort gestoppt und die zugehörigen Cookies gelöscht oder ausgeschlossen werden. Ein professionelles CMP übernimmt das automatisch, indem es Skripte deregistriert und Browser-Storage bereinigt. Der Widerruf muss laut Art. 7 Abs. 3 DSGVO genauso einfach möglich sein wie die ursprüngliche Zustimmung.

Cookie-Banner-Pflicht rechtssicher umsetzen | Cookie-Banner-Pflicht: DSGVO-konform umsetzen

Das Wichtigste in Kürze

Aktive Einwilligung ist Pflicht: Vorausgewählte Häkchen sind unzulässig, seit der EuGH am 1. Oktober 2019 im Verfahren Planet49 (C-673/17) entschieden hat.
§ 25 TDDDG verlangt Consent: Jeder Zugriff auf das Endgerät ist nur nach klarer Einwilligung zulässig, außer er ist technisch unbedingt erforderlich.
Bußgelder sind real: Die französische CNIL verhängte am 31.12.2021 eine Strafe von 150 Mio. EUR gegen Google, weil Ablehnen schwerer war als Akzeptieren.
Ablehnen muss so leicht wie Zustimmen sein: Eine noyb-Studie zeigt: 81 % der Websites bieten gar keinen Ablehnen-Button auf der ersten Ebene.

Wer in Deutschland eine Website betreibt, kommt an einer wirksamen Cookie-Einwilligung nicht vorbei. § 25 TDDDG und Art. 6 DSGVO verlangen aktive Zustimmung, bevor nicht notwendige Cookies gesetzt oder externe Dienste geladen werden. Wie ernst Aufsichtsbehörden das nehmen, zeigt die CNIL-Strafe über 150 Mio. EUR gegen Google vom 31. Dezember 2021. In diesem Leitfaden zeige ich Ihnen, welche Anforderungen heute gelten, wo die häufigsten Fehler liegen und wie ein Consent-Layer wartungsarm in eine moderne Website integriert wird.

Was schreibt die Cookie-Banner-Pflicht heute vor?

Die Antwort ist kurz: Ohne Einwilligung dürfen Sie nichts setzen, was nicht technisch unbedingt notwendig ist. Punkt. § 25 Abs. 1 TDDDG formuliert das so: Die Speicherung oder der Zugriff auf Informationen im Endgerät ist nur zulässig, wenn der Endnutzer auf der Grundlage klarer und umfassender Informationen eingewilligt hat. Diese Regel gilt unabhängig davon, ob es sich um Cookies, LocalStorage, Fingerprinting oder Pixel handelt.

Damit eine Einwilligung wirksam ist, muss sie nach Art. 4 Nr. 11 DSGVO freiwillig, spezifisch, informiert und durch eine eindeutige bestätigende Handlung erfolgen. Schweigen reicht nicht. Ein graues Banner reicht nicht. Auch das Weiterklicken auf eine Unterseite gilt nicht als Zustimmung. Der EuGH hat das im Verfahren Planet49 am 1. Oktober 2019 eindeutig festgestellt: Vorausgewählte Häkchen sind keine Einwilligung. Der BGH hat dieses Ergebnis im Mai 2020 unter dem Aktenzeichen I ZR 7/16 für Deutschland bestätigt.

In Audits bei norddeutschen KMU sehe ich immer wieder dieselbe Konstellation. Ein freundliches Banner mit großem "Alles akzeptieren"-Button. Daneben, klein und grau, ein Link "Einstellungen". Einen echten "Ablehnen"-Button gibt es nicht. Dass eine solche Asymmetrie teuer wird, zeigt der Fall Google: Die CNIL verhängte 150 Mio. EUR, weil das Ablehnen der Cookies nicht so einfach möglich war wie das Akzeptieren. Wer die DSGVO-Anforderungen an Websites korrekt umsetzen will, muss Ablehnen gleichberechtigt anbieten.

Wichtig ist außerdem: Die Pflicht trifft nicht nur große Onlineshops mit Marketing-Setup, sondern jede deutsche Website, die Drittanbieter-Skripte einbindet. Eine Kanzlei-Homepage mit Google Maps unter der Anfahrt, eine Handwerksseite mit YouTube-Referenzvideos oder ein B2B-Auftritt mit Google Fonts fallen unter dieselbe Regel wie ein Onlineshop mit Tracking-Pixeln. Die Größe der Website verändert die Pflicht nicht, sie verändert nur die Tragweite eines Verstoßes.

Wann benötigt eine Website überhaupt eine Einwilligung?

Hier hilft eine Faustregel: Sobald ein Dienst über das technisch Notwendige hinausgeht, brauchen Sie Consent.

Was ohne Einwilligung erlaubt ist

Notwendig sind beispielsweise Session-Cookies des Warenkorbs, der Login-Status, ein CSRF-Token oder die Sprachwahl. Diese Cookies erfüllen einen vom Nutzer ausdrücklich gewünschten Dienst und fallen unter die Ausnahme des § 25 Abs. 2 TDDDG. Sobald Tracking, Marketing oder Personalisierung dazukommen, kippt die Bewertung.

Welche Dienste einwilligungspflichtig sind

Konkret einwilligungspflichtig sind in der Praxis:

Google Analytics, Matomo (im Cookie-Modus), Hotjar, Plausible mit Cookies
Google Ads, Meta Pixel, LinkedIn Insight Tag, TikTok Pixel
YouTube-, Vimeo- und Spotify-Embeds
Google Maps und externe Schriftarten von Google Fonts
Chat-Widgets wie Intercom, HubSpot, Zendesk
A/B-Testing-Tools wie VWO oder Optimizely

Was viele unterschätzen: Schon das Laden externer Ressourcen überträgt die IP-Adresse an Drittanbieter. Die DSK-Orientierungshilfe Telemedien 2021 der deutschen Aufsichtsbehörden stellt klar, dass auch eingebettete Inhalte über § 25 TDDDG zustimmungspflichtig sind. Selbst ein simples Google-Maps-Modul mit der Anfahrt zur Niederlassung fällt darunter. Wer auf Nummer sicher gehen will, lädt externe Ressourcen erst nach aktivem Opt-in. Mehr dazu finden Sie in unserem Leitfaden zur rechtssicheren Website.

Was leistet ein Cookie Consent Manager im Hintergrund?

Die vier Kernaufgaben eines CMP

Ein professionelles Einwilligungsmanagement übernimmt vier Aufgaben gleichzeitig. Erstens scannt es die Website regelmäßig und ordnet jedes gefundene Skript einer Kategorie zu, etwa Statistik, Marketing oder Komfort. Zweitens blockiert es alle nicht notwendigen Tags so lange, bis eine Zustimmung vorliegt. Drittens speichert es die Entscheidung jedes Besuchers revisionssicher mit Zeitstempel, gewählten Kategorien und Banner-Version. Viertens stellt es einen Reopen-Link bereit, über den die Auswahl jederzeit geändert werden kann.

Bekannte Anbieter und ihre Grenzen

Bekannte Anbieter sind Cookiebot, Usercentrics, Borlabs Cookie, Iubenda und OneTrust. Sie unterscheiden sich in Preis, Tag-Datenbank und Compliance-Tiefe. Der Mechanismus dahinter ist überall ähnlich: Tag-Manager-Integration, eine zentrale Konfiguration im Dashboard, ein generierter Banner mit angepasstem Design. Wer es selbst entwickelt, übernimmt die volle Verantwortung für die Pflege. Das funktioniert für sehr einfache Seiten. Sobald jedoch externe Skripte über Marketing-Tools nachgeladen werden, wird die manuelle Lösung schnell zur Dauerbaustelle.

Anzeige und Wirkung sauber trennen

Wichtig ist die saubere Trennung zwischen Anzeige und Wirkung. Ein Banner, das alle Buttons enthält, aber im Hintergrund weiterhin Tracker startet, ist trotzdem nicht konform. Auch der umgekehrte Fall existiert: ein technisch korrekt blockierender Layer, dessen "Ablehnen" jedoch in einem Untermenü versteckt liegt. Beides sind klassische Audit-Treffer. Wer parallel an seinen Sicherheitseinstellungen arbeitet, sollte Consent und Content Security Policy gemeinsam denken.

Ein gutes CMP nimmt der Marketingabteilung außerdem die Sorge ab, dass neue Tools unbemerkt aktiv werden. Sobald ein zusätzlicher Tag im Tag Manager erscheint, ordnet ihn der wöchentliche Scan einer Kategorie zu und sperrt ihn vorerst. Wer einen Wartungsvertrag mit der Agentur hat, bekommt diesen Schritt mitgeliefert. Ohne diese Kopplung wird die Consent-Lösung schnell zur Insel, die zwar einmal sauber eingerichtet wurde, aber drei Monate später nicht mehr widerspiegelt, was tatsächlich auf der Seite passiert.

Lassen Sie Ihre Website professionell erstellen

Wir bauen Ihnen eine sichere, moderne Website inklusive Cookie Consent Lösung.

Jetzt unverbindlich anfragen

Welche Bußgelder drohen bei einem fehlerhaften Cookie-Banner?

Der Fall Google: 150 Mio. EUR

Die teuerste Lektion der vergangenen Jahre lieferte die französische Aufsichtsbehörde. Am 31. Dezember 2021 verhängte die CNIL gegen Google ein Bußgeld von 150 Mio. EUR und gegen Meta zusätzlich 60 Mio. EUR. Der Grund klingt simpel: Auf google.fr und youtube.com genügte ein Klick zum Akzeptieren, während das Ablehnen mehrere Schritte verlangte. Diese Asymmetrie wertete die CNIL als nicht regelkonformen Ablehn-Mechanismus und damit als Verstoß gegen die freiwillige Einwilligung.

Risiko in Deutschland: Behörden und Abmahnungen

In Deutschland sind die Strafen seltener öffentlich, das Risiko bleibt jedoch hoch. Aufsichtsbehörden wie das BayLDA, der LfDI Baden-Württemberg oder der LDI NRW prüfen Cookie-Banner aktiv und sprechen formelle Anordnungen aus. Hinzu kommt die wettbewerbsrechtliche Schiene. Der EuGH bestätigte am 4. Oktober 2024 im Verfahren Lindenapotheke (C-21/23), dass Mitgliedstaaten Mitbewerbern erlauben dürfen, DSGVO-Verstöße als unlautere Geschäftspraktik gerichtlich zu verfolgen. Ein einzelner Verstoß kostet selten 150 Mio. EUR, aber wiederholt sechs Vorgänge mit je 5.000 EUR Anwaltskosten ergeben eine spürbare Summe.

Hinzu kommt der Reputationsschaden, der sich nicht in einer Rechnungssumme abbilden lässt. Ein Bericht im Lokalblatt über eine Datenschutzbeanstandung oder eine Bewertung mit dem Hinweis "lädt Tracker, bevor man zustimmen konnte" wirkt im B2B-Vertrieb länger nach als die eigentliche Strafe. Gerade Mittelständler, deren Geschäftsmodell auf Vertrauen aufbaut, treffen solche Hinweise härter als ein einmaliges Bußgeld. Die rechtliche Bewertung und die wirtschaftliche Folge sind zwei Seiten derselben Pflicht.

Die Beweislast liegt beim Betreiber

Die Beweislast trägt der Website-Betreiber. Art. 7 Abs. 1 DSGVO formuliert das eindeutig: Wer sich auf eine Einwilligung beruft, muss sie nachweisen können. Ein Consent-System ohne Logging ist deshalb keine Lösung, sondern ein Risiko. Im Streitfall müssen Sie zeigen, wann welcher Besucher welcher Kategorie zugestimmt hat und welche Banner-Version damals aktiv war. Ohne solche Protokolle ist die Verteidigung praktisch unmöglich.

Dark-Pattern und typische Fehler beim Einwilligungsmanagement

Was die noyb-Studie offenlegt

Die ehrlichste Studie zu Cookie-Bannern stammt von noyb, der Initiative von Max Schrems. Eine Untersuchung von 560 Websites in 33 Ländern ergab im Mai 2021 ein deutliches Bild: 81 Prozent boten gar keinen Ablehnen-Button auf der ersten Ebene, 73 Prozent setzten Farbtricks ein, um zur Zustimmung zu drängen, und 90 Prozent erschwerten den nachträglichen Widerruf. Das Muster wiederholt sich auch fünf Jahre später.

Fünf Fehlerklassen aus der Audit-Praxis

Aus meiner Audit-Praxis ergeben sich fünf Fehlerklassen, die ich fast immer finde:

Pre-Consent-Tracking. Skripte starten beim Seitenaufruf, das Banner erscheint erst danach. Datenschutzrechtlich ist der Schaden bereits passiert, bevor der Besucher überhaupt klicken konnte.
Versteckter Ablehnen-Button. "Akzeptieren" leuchtet bunt, "Einstellungen" liegt in Grau im Footer des Banners, "Ablehnen" gibt es gar nicht oder erst zwei Klicks tiefer. Genau diese Konstellation kostete Google die 150 Mio. EUR.
Kategorien ohne Wirkung. Der Nutzer wählt aus, doch im Quellcode laufen alle Skripte unabhängig vom Status. Auch ein hübsches Banner schützt nicht, wenn die technische Steuerung fehlt.
Fehlende Reopen-Funktion. Der Besucher kann seine Wahl nicht ändern, weil im Footer kein "Datenschutzeinstellungen anpassen"-Link existiert. Das verletzt Art. 7 Abs. 3 DSGVO direkt.
Veraltete Konfiguration. Marketing baut über das Jahr Tools ein, die Consent-Konfiguration wandert nicht mit. Sechs Monate später liefert die Website Daten an Dienste, die im Banner gar nicht aufgeführt sind.

Wer den Banner als Designaufgabe behandelt, verfehlt den Punkt. Er ist ein juristisches Instrument mit technischem Unterbau. Auch das Impressum gehört zur rechtlichen Grundausstattung jeder Seite, lässt sich aber ohne Consent-Logik nachpflegen. Beim Cookie-Banner geht das nicht.

Häufige Fehler beim Cookie Banner

❌ Banner zeigt nur Hinweis, aber keine echte Auswahl
❌ Cookies laufen bereits vor Zustimmung
❌ „Ablehnen“ ist versteckt oder schwer auffindbar
❌ Keine Speicherung / Dokumentation der Einwilligung
❌ Kein Widerruf möglich

Diese Fehler führen dazu, dass die Website nicht DSGVO-konform ist, selbst wenn ein Banner angezeigt wird.

Wie führen Sie ein CMP wartungsarm in die Website ein?

Eine saubere Einführung läuft in fünf Schritten ab. Wichtig ist die Reihenfolge: Wer mit dem Banner-Design startet, statt mit der Bestandsaufnahme, baut hübsche Oberflächen für eine Realität, die er gar nicht kennt.

Schritt 1: Bestandsaufnahme aller Skripte

Welche Skripte laufen aktuell? Welche Embeds, welche Marketing-Pixel, welche Tools im Tag-Manager? Ein automatischer Scan hilft, ersetzt aber nicht den Blick in den Quellcode und in die Anforderungen der Marketingabteilung. Erst wenn Sie wissen, was Daten überträgt, können Sie es kontrollieren.

Schritt 2: Das passende Tool auswählen

Für klassische KMU-Websites bis 50.000 Seitenaufrufe pro Monat genügen meist Cookiebot oder Borlabs Cookie. Größere Setups mit mehreren Domains und Subdomains profitieren von Usercentrics oder OneTrust. Wichtig ist die TCF-Kompatibilität, falls Werbenetzwerke eingebunden werden, sowie eine API für eigene Skripte, die auf Consent-Änderungen reagieren sollen.

Schritt 3: Technische Integration

Alle externen Skripte werden zunächst geblockt und über den Cookie-Manager freigegeben. Wer einen Tag Manager nutzt, hinterlegt Consent-Trigger pro Tag und prüft anschließend mit dem Vorschau-Modus, ob bei einem fiktiven Erstbesucher wirklich nichts feuert. Bei direkten Einbindungen im Template hilft eine Klassenmarkierung, die das CMP nach Zustimmung in den ausführbaren MIME-Typ umschreibt. Externe Schriftarten laden Sie lokal vom eigenen Server, das spart eine ganze Consent-Kategorie. Embeds wie YouTube, Vimeo oder Google Maps ersetzen Sie durch Klick-Platzhalter mit Vorschaubild, die erst nach Zustimmung den Originaldienst nachladen.

Schritt 4: Dokumentation und Reopen-Link

Jeder Consent-Vorgang wandert in ein Logbuch des Tools, der Footer bekommt einen sichtbaren Link "Cookie-Einstellungen", und das Banner erhält klar formulierte Texte. So bleibt die Einwilligung jederzeit nachweisbar und widerrufbar.

Schritt 5: Quartalsweise Routine

Der oft vergessene Schritt. Einmal pro Quartal: Scan laufen lassen, neue Skripte einsortieren, alte Tags entfernen. Wer hier diszipliniert bleibt, hat dauerhaft Ruhe. Für Unternehmen, die das im Rahmen einer professionellen Webdesign-Umsetzung angehen, lässt sich die Routine in den Wartungsvertrag integrieren.

Eine ehrliche Nebenbemerkung zum Umsatz: Rechtskonforme Banner kosten Conversion. Laut etracker-Benchmark gehen im Schnitt 60 % der Besuchsdaten verloren, wenn der Banner sauber gestaltet ist. Diese Zahl klingt hart. Sie ist aber die Realität, mit der seriöse Betreiber rechnen müssen. Im Gegenzug entfällt das Risiko von Bußgeldern und Abmahnungen, und das ist langfristig der bessere Tausch.

Ihre Website ist nicht DSGVO-konform?

Wir entwickeln rechtssichere und moderne Websites

Jetzt unverbindlich anfragen

Cookie-Banner als Vertrauenssignal

Ein Cookie-Banner ist nicht das Ziel. Das Ziel ist eine Website, deren Tracking erst nach echter Zustimmung läuft und die diese Zustimmung jederzeit belegen kann. Wer das ernst nimmt, gestaltet Akzeptieren und Ablehnen gleichberechtigt, blockiert alle nicht notwendigen Skripte technisch sauber und protokolliert jede Entscheidung. Tools wie Cookiebot, Usercentrics oder Borlabs erleichtern die Umsetzung, ersetzen aber nicht die Verantwortung des Betreibers für die laufende Pflege.

Ich begleite seit über 21 Jahren digitale Projekte und habe in dieser Zeit dutzende Cookie-Setups aufgesetzt, korrigiert oder ersetzt. Die teuersten Fehler waren nie technisch komplex. Sie waren immer ein Banner, das ein Problem versteckte, statt es zu lösen. Wer den Aufwand einmal sauber investiert, spart sich Abmahnungen, behördliche Anordnungen und vor allem das mulmige Gefühl beim nächsten Audit.

Aus dem Evelan-Alltag

Vielen unserer Kunden ist gar nicht bewusst, dass ihre Website Daten überträgt, bevor jemand zugestimmt hat. Ein YouTube-Video auf der Startseite, eine Google-Maps-Karte mit der Anfahrt, Google Analytics für die Auswertung, dazu ein Banner, das nur "Akzeptieren" anbietet und keinen echten Ablehnen-Button. Beim ersten Blick wirkt alles ordentlich, im Hintergrund laufen die Tracker aber längst.

Genau diese Konstellation sehen wir bei Evelan regelmäßig, quer durch Branchen vom Handwerk bis zur Beratung. Wir nehmen zuerst auf, welche Dienste tatsächlich Daten senden, blockieren alle nicht notwendigen Skripte über einen Consent-Layer und ersetzen Embeds wie YouTube oder Maps durch Klick-Platzhalter. Anschließend richten wir das Consent-Log und einen sichtbaren Reopen-Link im Footer ein. Kein Relaunch, nur eine saubere Consent-Integration, die im nächsten Audit standhält.

Häufig gestellte Fragen

Nur technisch unbedingt notwendige Cookies, etwa für den Warenkorb, den Login-Status, ein CSRF-Token oder die Sprachwahl. § 25 Abs. 2 TDDDG erlaubt diese Ausnahme. Sobald ein Cookie Analyse, Marketing oder Komfort über das Wesentliche hinaus ermöglicht, brauchen Sie eine aktive Einwilligung nach Art. 6 und Art. 7 DSGVO.

Cookie-Banner-Pflicht rechtssicher umsetzen

Inhaltsverzeichnis

Was schreibt die Cookie-Banner-Pflicht heute vor?