Datenschutz & Compliance

Cookie-Banner falsch konfiguriert: Die häufigsten Muster und Risiken

7 Min. Lesezeit
Kurze Antwort

Viele Cookie-Banner sind rechtswidrig konfiguriert: Vorausgewählte Checkboxen, fehlende Ablehnmöglichkeit und Dark Patterns verstoßen gegen DSGVO und ePrivacy-Richtlinie.

Ein fehlerhafter Cookie-Banner ist keine Kleinigkeit: Die französische CNIL verhängte allein 2023 über 100 Mio. Euro an Bußgeldern wegen mangelhafter Einwilligungslösungen – auch gegen mittelständische Unternehmen.

Warum Cookie-Banner so fehleranfällig sind

Die 6 häufigsten Fehler im Detail

  1. Vorausgewählte Checkboxen

    Analyse- oder Marketing-Cookies sind standardmäßig aktiviert, der Nutzer muss sie aktiv abwählen. Das ist laut EuGH-Urteil Planet49 (C-673/17) unzulässig. Einwilligung erfordert eine aktive Handlung – kein Opt-out, kein Pre-Tick.

  2. Kein gleichwertiger Ablehnbutton

    Der Zustimmen-Button ist prominent platziert, Ablehnen versteckt sich hinter einem Textlink oder einem dritten Klick. Dark Patterns dieser Art hat der EDPB in seinen Guidelines 3/2022 explizit für unzulässig erklärt. Ablehnen und Zustimmen müssen gleichwertig dargestellt werden.

  3. Fehlendes oder unvollständiges Cookie-Audit

    Das Banner deklariert 12 Cookies, das Consent Management Platform (CMP)-Log zählt 47. Nicht deklarierte Cookies werden gesetzt, bevor eine Einwilligung vorliegt. Jeder einzelne Cookie benötigt einen Verwendungszweck und einen Anbieter.

  4. Stillschweigende Einwilligung durch Weiterscrollen

    Formulierungen wie u0022Mit der Nutzung dieser Website stimmen Sie zuu0022 oder das Setzen von Cookies beim bloßen Weiterscrollen gelten nicht als wirksame Einwilligung. Aufsichtsbehörden werten dies als Verstoß.

  5. Kein Widerrufsmechanismus

    Nutzer können jederzeit ihre Einwilligung widerrufen (Art. 7 Abs. 3 DSGVO). Ein Widerrufslink oder ein erneut aufrufbares Banner muss dauerhaft zugänglich sein – zum Beispiel im Footer. Fehlt dieser Mechanismus, ist die gesamte Einwilligungsstruktur defekt.

  6. Keine oder mangelhafte Protokollierung

    Wer eine Einwilligung nicht nachweisen kann, kann sich im Streitfall nicht verteidigen. Jede Einwilligung muss mit Zeitstempel, IP (oder anonymisierter Kennung), ausgewählten Kategorien und CMP-Version gespeichert werden – und zwar mindestens so lange, wie die Einwilligung gilt.

Bußgeldrisiko: Die DSK (Datenschutzkonferenz) und Landesbehörden prüfen Cookie-Banner aktiv mit automatisierten Tools. Verstöße können nach Art. 83 Abs. 5 DSGVO bis zu 20 Mio. Euro oder 4 % des globalen Jahresumsatzes kosten.

Sofortmaßnahmen für Ihren Cookie-Banner

  • Cookie-Audit durchführen: alle gesetzten Cookies dokumentieren (Crawl-Tools: Cookiebot Scanner, CMP-eigene Reports)
  • Ablehnen-Button auf gleicher Ebene und mit gleichem Gewicht wie Zustimmen platzieren
  • Alle vorausgewählten Optionen deaktivieren – nur technisch notwendige Cookies sind ohne Einwilligung erlaubt
  • Widerrufsmechanismus im Footer einbinden und testen
  • Einwilligungsnachweise mit Zeitstempel und Kategorienauswahl protokollieren
  • Consent Management Platform (z. B. Usercentrics, Cookiebot) korrekt mit allen Drittsystemen verbinden

Prävention: Consent Management Platform richtig einrichten

Regelmäßige Prüfung einplanen: Ihre Website ändert sich – neue Plugins, Tools oder Tracking-Integrationen müssen immer auch im Cookie-Banner nachgepflegt werden. Quartalsweiser Scan-Termin empfohlen.

Unsicher, ob Ihr Cookie-Banner rechtssicher ist? INREMA prüft Ihre Einwilligungslösung und zeigt konkrete Handlungsschritte auf.

Jetzt beraten lassen

Häufige Fragen

Sind technisch notwendige Cookies einwilligungsfrei?
Ja. Cookies, die für die grundlegende Funktion der Website zwingend erforderlich sind (z. B. Session-Cookies, Warenkorb), benötigen keine Einwilligung. Alle anderen – Analyse, Marketing, Social Media – erfordern eine aktive Zustimmung.
Wie lange muss eine Cookie-Einwilligung gespeichert werden?
Es gibt keine gesetzlich festgelegte Mindestspeicherdauer. Orientierung: mindestens so lange, wie die Einwilligung gilt, in der Regel 12 Monate. Im Streitfall muss der Nachweis erbracht werden können.
Darf der Zustimmen-Button größer oder farblich hervorgehobener sein als Ablehnen?
Nein. Der EDPB und mehrere Aufsichtsbehörden werten farbliche oder größenmäßige Bevorzugung des Zustimmen-Buttons als unzulässiges Dark Pattern.
Was passiert, wenn mein Cookie-Banner rechtswidrig ist?
Aufsichtsbehörden können Bußgelder verhängen, Abmahnungen sind möglich und Nutzer können Beschwerden einreichen. Zudem riskieren Sie Vertrauensverlust bei Kunden.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
5 haeufigste DSGVO-Fehler auf Unternehmenswebsites
6 Min. Lesezeit
Datenschutz & Compliance
5 häufigste DSGVO-Fehler auf Unternehmenswebsites
8 Min. Lesezeit
Websites & Software
Cookie-Banner richtig einrichten: Was erlaubt ist und was nicht
5 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen