Websites & Software

Cookie-Banner richtig einrichten: Was erlaubt ist und was nicht

5 Min. Lesezeit
Kurze Antwort

Ein rechtssicherer Cookie-Banner kategorisiert Cookies korrekt, erfordert aktive Einwilligung fuer nicht-notwendige Cookies, bietet eine ebenso einfache Ablehnmoeglichkeit wie die Zustimmung und setzt keine Cookies vor der Einwilligung.

Cookies, Einwilligung und ePrivacy: Was wirklich gilt

Cookies sind kleine Textdateien, die im Browser gespeichert werden. Manche sind technisch notwendig — Session-Management, Login-Status, Warenkorb. Andere dienen der Analyse (Google Analytics, Matomo) oder dem Marketing (Retargeting, Conversion-Tracking, Facebook Pixel). Dieser Unterschied ist rechtlich entscheidend und bestimmt, welche Einwilligung erforderlich ist.

Die ePrivacy-Richtlinie in Verbindung mit der DSGVO regelt eindeutig: Nur technisch notwendige Cookies dürfen ohne Einwilligung gesetzt werden. Alle anderen benötigen ein aktives Opt-In — also ein bewusstes Anklicken eines Zustimmungs-Buttons. Ein vorab angehaktes Kästchen zählt rechtlich nicht als Einwilligung. Eine versteckte Ablehnoption zählt nicht als freiwillige Einwilligung.

Was viele nicht wissen: Die Einwilligung muss nicht nur eingeholt, sondern auch gespeichert und nachweisbar sein. Eine Consent-Management-Plattform (CMP) erfüllt diese Anforderung — sie protokolliert, wann welche Person auf welcher Seite welche Einwilligung gegeben hat. Das ist im Streitfall der Nachweis, den Aufsichtsbehörden einfordern können.

Die häufigste Praxis im Mittelstand: Ein Cookie-Banner ist vorhanden, aber das Tracking läuft trotzdem von Anfang an. Das ist kein Compliance-Problem durch fehlenden Banner, sondern durch falsche Implementierung. INREMA prüft bei jedem Audit nicht nur den Banner, sondern das tatsächliche Tracking-Verhalten per Browser-Analyse.

Welche Cookies welche Einwilligung brauchen

  • Session-Cookies (keine Einwilligung): Warenkorb, Login-Status, Spracheinstellung
  • Load-Balancing-Cookies (keine Einwilligung): Technisch für Serververteilung, kein Personenbezug
  • Google Analytics (Einwilligung erforderlich): Überträgt Daten an Google-Server in den USA
  • Matomo mit Cookies (Einwilligung erforderlich): Cookielose Konfiguration ohne Einwilligung möglich
  • Facebook Pixel (Einwilligung + Widerrufsrecht): Marketing-Cookie mit hohem Datenschutzrisiko
  • Google Ads Conversion-Tracking (Einwilligung): Für Remarketing und Conversion-Messung
  • YouTube-Videos eingebettet (Einwilligung): Bereits beim Laden wird Daten an Google übertragen
  • LinkedIn Insight Tag (Einwilligung): B2B-Tracking, besonders für LinkedIn-Kampagnen relevant

Die häufigsten DSGVO-Verstöße bei Cookie-Bannern

Vier Fehler machen Cookie-Banner rechtswidrig, auch wenn sie sichtbar vorhanden sind: Erstens feuert Tracking bereits beim Seitenaufruf, bevor die Einwilligung gegeben wurde — nachweisbar mit Browser-DevTools. Zweitens ist die Ablehnen-Option versteckt, kleiner oder schwerer zu finden als die Akzeptieren-Option (sogenannte Dark Patterns — von Aufsichtsbehörden in DE und EU aktiv beanstandet). Drittens sind nicht-notwendige Kategorien vorausgewählt. Viertens gibt es keinen Widerrufsweg: Nutzer können nicht im Nachhinein die Einwilligung zurückziehen. Ein realer Fall aus 2023: Ein Online-Shop in Bayern wurde mit 50.000 Euro Bußgeld belegt, weil Analyse-Cookies bereits beim Seitenaufruf gesetzt wurden — der Banner war vorhanden, die Implementierung war falsch.

Empfohlene Consent-Management-Plattformen im Vergleich

  • Cookiebot (Cybot): Automatisches Cookie-Scanning, IAB-TCF-zertifiziert, für größere Websites
  • Usercentrics: Stark anpassbar, gut für komplexe Multi-Domain-Setups, Enterprise-tauglich
  • Borlabs Cookie: WordPress-Plugin, günstig, für die meisten Mittelstandswebsites ausreichend
  • Real Cookie Banner: WordPress-Plugin, deutsche Entwicklung, DSGVO-fokussiert, gutes Preis-Leistungs-Verhältnis
  • Consentmanager: Europäische CMP, IAB-zertifiziert, für Performance-Marketing-setups geeignet
  • Osano (US-Anbieter): Für international agierende Unternehmen mit CCPA-Anforderungen
  • Klaro (Open Source): Selbst gehostet, kostenlos, für technisch versierte Teams geeignet
  • Keine Eigenentwicklung: Selbstgebaute Banner erfüllen selten alle rechtlichen Anforderungen

Matomo ohne Cookie-Banner: So geht datenschutzkonformes Analytics

Matomo kann so konfiguriert werden, dass es ohne Einwilligung betrieben werden darf: IP-Anonymisierung aktiviert, keine Cookies gesetzt (stattdessen Session-basiertes Tracking ohne Persistenz), Daten nur auf eigenem Server oder einem EU-Server gespeichert — keine Übertragung an Dritte. Das Ergebnis: vollständigere Analytics-Daten, weil keine Opt-Out-Verzerrung entsteht. Wer Google Analytics einsetzt, hat typischerweise 20–40 Prozent weniger Daten als tatsächliche Besucher, weil viele Nutzer ablehnen oder den Tracker über Browser-Extensions blockieren. Matomo ohne Cookies vermeidet dieses Problem vollständig.

INREMA-Grundsatz zum Cookie-Banner

Ein Cookie-Banner, der niemanden schützt, ist kein Datenschutz — er ist Theater. Compliance beginnt nicht beim sichtbaren Banner, sondern beim tatsächlichen Tracking-Verhalten im Hintergrund.

Cookie-Compliance professionell prüfen lassen

Wir prüfen Ihre Cookie-Implementierung per Browser-Analyse — nicht nur den Banner, sondern das tatsächliche Tracking-Verhalten. Und konfigurieren einen rechtskonformen Banner ohne Dark Patterns.

Cookie-Compliance prüfen lassen

Cookie-Banner korrekt einrichten: Schritt für Schritt

  1. Alle Cookies und Dienste vollständig inventarisieren

    Bevor ein Banner konfiguriert wird, muss klar sein, welche Dienste welche Daten setzen. Dazu gehören eingebettete Videos, Analyse-Tools, Marketing-Pixel, Live-Chat-Widgets, Social-Media-Buttons und Schriftarten von externen CDNs. Viele CMPs bieten automatisches Scanning an — trotzdem sollte das Ergebnis manuell geprüft werden.

  2. Consent-Management-Plattform auswählen und einrichten

    Die Wahl der CMP hängt vom CMS, dem Budget und den eingebundenen Diensten ab. Für WordPress-Websites ist Borlabs Cookie oder Real Cookie Banner ein sinnvoller Einstieg. Alle nicht-notwendigen Dienste werden in der CMP als einwilligungspflichtige Kategorien konfiguriert — Analytics, Marketing, externe Medien separat.

  3. Tracking erst nach Einwilligung starten lassen

    Der häufigste Implementierungsfehler: Analytics-Skripte sind direkt im Header eingebunden und feuern unabhängig vom Banner. Alle nicht-notwendigen Skripte müssen über die CMP kontrolliert geladen werden — also erst dann, wenn die entsprechende Kategorie aktiv eingewilligt wurde. Das prüft man mit Browser-DevTools unter Network beim ersten Seitenaufruf ohne Cookies.

  4. Gleichwertigkeit von Annehmen und Ablehnen sicherstellen

    Akzeptieren und Ablehnen müssen auf gleicher Ebene und mit gleichem visuellen Gewicht angezeigt werden. Ein kleines 'Alle ablehnen' unter einem großen 'Alle akzeptieren'-Button ist ein Dark Pattern, das von Aufsichtsbehörden beanstandet wird. Das Landgericht Berlin hat 2023 mehrere Gestaltungen als unzulässig eingestuft.

  5. Widerrufsweg sichtbar einbauen

    Nutzer müssen die Einwilligung jederzeit widerrufen können — so einfach wie das Geben. Ein dauerhaft sichtbarer Link ('Cookie-Einstellungen ändern') im Footer ist die Standardlösung. Viele CMPs bieten hierfür einen schwebenden Button an. Ohne diesen Weg ist der Banner unvollständig.

  6. Regelmäßig neu scannen und dokumentieren

    Jede Änderung an der Website kann neue Cookie-Dienste einführen — ein neues Plugin, ein eingebettetes Video, ein neues Chat-Widget. CMPs mit automatischem Scanning erkennen neue Cookies. Ohne Scanning sollte mindestens bei jedem größeren Update geprüft werden, ob die Cookie-Deklaration noch aktuell ist.

Dark Patterns: Was Aufsichtsbehörden konkret beanstanden

Dark Patterns bei Cookie-Bannern sind Gestaltungstricks, die Nutzer zu einer Einwilligung drängen, die sie ohne diese Gestaltung nicht gegeben hätten. Die Datenschutzkonferenz (DSK) und der Europäische Datenschutzausschuss (EDSA) haben spezifische Muster definiert, die als unzulässig gelten.

Konkret beanstandet: Ein 'Alles akzeptieren'-Button in der Primärfarbe der Website, ein 'Ablehnen'-Link in Grau ohne visuellen Button-Charakter. Ein Pop-up, das beim Ablehnen weitere Fenster öffnet und mehrere Klicks erfordert. Eine Bannerfläche, die den gesamten Seiteninhalt verdeckt, aber keinen Ablehnen-Button auf der ersten Ebene zeigt. Vorausgewählte Checkboxen für Marketing-Kategorien.

Die EDSA-Richtlinie 'Dark patterns in social media' (2022) und die DSK-Orientierungshilfe Telemedien sind die maßgeblichen Dokumente. Sie sind öffentlich zugänglich und lesen sich wie eine Checkliste für unzulässige Gestaltungen — also auch als Prüfgrundlage für die eigene Website nutzbar.

Praktische Faustregel: Wenn das Ablehnen mehr Klicks erfordert als das Akzeptieren, ist der Banner vermutlich ein Dark Pattern. Wenn der Ablehnen-Button kleiner, blasser oder schwerer zu finden ist, gilt das Gleiche.

Das Wichtigste zu Cookie-Bannern

Zusammenfassung
  • Tracking darf erst nach aktiver Einwilligung starten — nicht bereits beim Seitenaufruf
  • Ablehnen muss genauso einfach sein wie Akzeptieren — Dark Patterns werden aktiv beanstandet
  • Matomo ohne Cookies ist eine datenschutzkonforme Alternative zu Google Analytics ohne Einwilligungspflicht

Browser-Check: So prüfen Sie Ihren eigenen Banner

Öffnen Sie Ihre Website im Inkognito-Modus, drücken Sie F12 und wechseln Sie zum Network-Tab. Laden Sie die Seite neu — ohne den Cookie-Banner zu bedienen. Prüfen Sie, ob bereits Anfragen an google-analytics.com, facebook.com oder ähnliche externe Domains erscheinen. Wenn ja: Das Tracking feuert vor der Einwilligung — ein klarer DSGVO-Verstoß, der sofort behoben werden muss.

Häufige Fragen

Brauche ich fuer Matomo einen Cookie-Banner?
Nicht unbedingt. Wenn Matomo korrekt konfiguriert ist (IP-Anonymisierung, keine persistenten Cookies, Daten nur auf eigenem Server), kann es ohne Einwilligung betrieben werden. Das sollte aber dokumentiert sein.
Darf ich Google Analytics ohne Cookie-Banner nutzen?
Nein. Google Analytics 4 setzt Cookies und uebermittelt Daten an US-Server. Das erfordert sowohl eine aktive Einwilligung als auch eine entsprechende Datenschutzerklaerung und einen AVV mit Google.
Was ist ein Dark Pattern bei Cookie-Bannern?
Dark Patterns sind Design-Tricks, die Nutzer unbewusst zu einer bestimmten Wahl leiten - z.B. ein kleiner grauer Ablehnen-Button neben einem grossen gruenen Akzeptieren-Button, vorausgewaehlte Zustimmungen oder mehrstufige Ablehnprozesse.
Wie oft muss ich die Cookie-Einwilligung erneuern?
Eine einmal gegebene Einwilligung gilt, bis sie widerrufen wird. Ein guter Cookie-Banner muss aber einen leicht zugaenglichen Widerrufsweg bieten - z.B. ueber einen Link im Footer.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
Cookie-Banner falsch konfiguriert: Die häufigsten Muster und Risiken
7 Min. Lesezeit
Datenschutz & Compliance
Cookie-Recht: Was rechtlich vorgeschrieben ist und was nur nervt
6 Min. Lesezeit
Datenschutz & Compliance
DSGVO-konforme Website: 10 Punkte die wirklich geprüft werden müssen
8 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen