Cookie-Banner mit Einwilligung Deutschland (§ 25 TKDSG, DSGVO Art. 6, 7)

Der Cookie-Banner mit Einwilligung in Deutschland ist die rechtsverbindliche Lösung zur Erfüllung der Einwilligungspflicht nach § 25 Abs. 1 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TKDSG, früher TTDSG) und Art. 6 Abs. 1 lit. a der Datenschutz-Grundverordnung (DSGVO). Seit dem Inkrafttreten des TTDSG am 1. Dezember 2021 — fortgeführt durch das TKDSG — müssen Webseiten-Betreiber in Deutschland für jede Speicherung oder das Auslesen von Informationen auf Endgeräten der Nutzer eine ausdrückliche Einwilligung einholen. Die Einwilligungspflicht gilt für alle Cookies und ähnliche Technologien wie Local Storage, Session Storage, Pixel-Tracking, Fingerprinting, IndexedDB und Web Beacons.

Der Cookie-Banner Deutschland muss zwei zentrale rechtliche Anforderungen erfüllen — die spezialgesetzliche Einwilligung nach § 25 Abs. 1 TKDSG für die Speicherung und das Auslesen von Informationen auf Endgeräten und die DSGVO-Einwilligung nach Art. 6 Abs. 1 lit. a für die nachfolgende Verarbeitung personenbezogener Daten. Beide Einwilligungen müssen die Anforderungen des Art. 7 DSGVO erfüllen — sie müssen freiwillig, informiert, spezifisch und eindeutig sein. Vorausgewählte Häkchen sind nach EuGH C-673/17 (Planet49-Urteil) vom 1. Oktober 2019 unzulässig — die Einwilligung muss aktiv und ausdrücklich durch eine eindeutige bestätigende Handlung erteilt werden.

Der Bundesgerichtshof hat in BGH I ZR 7/16 (Cookie-II-Urteil) vom 28. Mai 2020 ausdrücklich klargestellt, dass die Einwilligungspflicht nicht nur auf personenbezogene Cookies beschränkt ist, sondern für alle Cookies und ähnliche Technologien gilt, die Informationen auf dem Endgerät des Nutzers speichern oder dort gespeicherte Informationen auslesen. Ausnahmen von der Einwilligungspflicht regelt § 25 Abs. 2 TKDSG — technisch notwendige Cookies (z.B. Warenkorb-Cookies, Session-Cookies, Cookies zur Sicherheit) und Cookies zur ausschließlichen Übertragung einer Nachricht im elektronischen Kommunikationsnetz benötigen keine Einwilligung.

Wesentliche Anforderungen an den Cookie-Banner umfassen — gleichwertige Schaltflächen für „Alle akzeptieren" und „Alle ablehnen" oder „Nur essentielle", deren optische Gestaltung gleichwertig sein muss (DSK-Beschluss von 2023; OLG Köln 6 U 175/19); klare und verständliche Information über die einzelnen Cookie-Kategorien (technisch notwendig, statistisch, marketing); Möglichkeit zur granularen Einwilligung pro Cookie-Kategorie; jederzeit widerrufbare Einwilligung nach Art. 7 Abs. 3 DSGVO mit gleichermaßen einfachem Widerrufsmechanismus; Speicherdauer der Einwilligung von typischerweise 6 bis 12 Monaten mit anschließender erneuter Abfrage.

Bei der Einbindung von Drittanbieter-Tools wie Google Analytics, Google Ads, Meta-Pixel (Facebook), LinkedIn Insight Tag oder Hotjar muss der Cookie-Banner zusätzlich die Anforderungen des Drittlandtransfers nach Art. 44 ff. DSGVO erfüllen. Seit dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH C-311/18) vom 16. Juli 2020 müssen Webseiten-Betreiber bei Übermittlung personenbezogener Daten in die USA — wo die meisten dieser Tools Server betreiben — zusätzliche Garantien wie Standardvertragsklauseln (SCC) der EU-Kommission gemäß Durchführungsbeschluss 2021/914 sowie ein Transfer Impact Assessment (TIA) durchführen.

Die Aufsichtsbehörden in Deutschland — Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Hamburgischer Beauftragter für Datenschutz, Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Landesbeauftragte für Datenschutz NRW (LDI NRW), Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) — haben in zahlreichen Beschlüssen und Hinweisen die Anforderungen an Cookie-Banner präzisiert. Die Datenschutzkonferenz (DSK) — der Zusammenschluss aller Datenschutzaufsichtsbehörden — veröffentlicht regelmäßig Orientierungshilfen, die als Maßstab für die Bußgeldpraxis dienen.

Verstöße gegen die Einwilligungspflicht des § 25 TKDSG können nach § 28 TKDSG mit einem Bußgeld von bis zu 300.000 Euro geahndet werden. DSGVO-Verstöße können nach Art. 83 Abs. 5 DSGVO mit Bußgeldern bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden. In der Praxis verhängen die deutschen Aufsichtsbehörden seit 2021 zunehmend Bußgelder gegen Webseiten-Betreiber wegen mangelhafter Cookie-Banner — etwa die Hamburgische Aufsichtsbehörde im Verfahren gegen H&M (35,3 Millionen Euro 2020). Forms-legal.com bietet eine rechtssichere Cookie-Banner-Vorlage, die alle vorgenannten Anforderungen erfüllt.

Der Cookie-Banner mit Einwilligung wird in Deutschland praktisch auf jeder Webseite benötigt, die mehr als rein technisch notwendige Cookies setzt. Da auch grundlegende Funktionen wie Statistik-Tools, Such-Box-Optimierung oder Login-Sessions häufig durch Cookies oder ähnliche Technologien realisiert werden, betrifft die Einwilligungspflicht praktisch alle gewerblichen und vereinsmäßig betriebenen Webseiten in Deutschland.

Erste Konstellation — Webseite mit Statistik- und Analyse-Tools: Webseiten, die Google Analytics, Matomo, Hotjar, Adobe Analytics, Plausible Analytics oder ähnliche Statistik-Tools einsetzen, müssen einen Cookie-Banner mit Einwilligung implementieren. Auch wenn das Tool Pseudonymisierung anbietet (z.B. Google Analytics 4 mit IP-Anonymisierung), bleibt die Einwilligungspflicht nach § 25 TKDSG bestehen, da der Tool-Code Informationen auf dem Endgerät des Nutzers speichert oder ausliest.

Zweite Situation — Webseite mit Marketing- und Werbe-Pixeln: Webseiten, die Marketing-Tools wie Google Ads Conversion Tracking, Meta-Pixel (Facebook), LinkedIn Insight Tag, TikTok Pixel, Pinterest Tag oder ähnliche Werbe-Pixel einsetzen, müssen den Cookie-Banner mit besonderer Sorgfalt implementieren. Marketing-Cookies sind besonders kritisch — neben der Einwilligungspflicht gilt hier auch der Schrems-II-Drittlandtransfer-Hinweis nach Art. 44 ff. DSGVO, da die meisten Anbieter US-amerikanische Unternehmen sind.

Dritte Konstellation — E-Commerce und Onlineshop: Onlineshops setzen typischerweise eine Vielzahl von Cookies ein — Warenkorb-Cookies (technisch notwendig, keine Einwilligung erforderlich), Session-Cookies (technisch notwendig), Login-Cookies (technisch notwendig), Personalisierungs-Cookies (Einwilligung erforderlich), Marketing-Pixel (Einwilligung erforderlich), A/B-Testing-Cookies (Einwilligung erforderlich). Ein granularer Cookie-Banner mit getrennten Einwilligungsoptionen ist hier zwingend.

Vierte Situation — Newsletter- und CRM-Integration: Webseiten mit Newsletter-Anmeldeformularen, CRM-Systemen wie HubSpot, Salesforce, Mailchimp oder Sendinblue, oder Marketing-Automation-Tools wie ActiveCampaign müssen für die Tracking-Cookies dieser Tools eine separate Einwilligung einholen. Die Newsletter-Anmeldung selbst (Double-Opt-In) ist ein eigenständiger Vorgang mit eigener Einwilligung nach § 7 Abs. 2 Nr. 3 UWG.

Fünfte Konstellation — Vereinswebseite mit Spenden-Funktion: Auch Vereinswebseiten, die über reine Mitgliederinformationen hinausgehen — etwa mit Spendenformularen, Online-Mitgliedsbeiträgen oder Newsletter-Versand —, müssen einen Cookie-Banner implementieren, sobald sie Statistik-Tools oder Drittanbieter-Embeds (YouTube-Videos, Google Maps, Twitter-Feeds) einbinden. Die Datenschutzaufsichtsbehörden behandeln Vereinswebseiten gleichwertig wie gewerbliche Webseiten.

Sechste Situation — B2B-Webseiten und Branchenlösungen: B2B-Webseiten mit LinkedIn-Tracking, Account-Based-Marketing-Tools oder Branchenspezifischen CRM-Systemen müssen ebenfalls einen Cookie-Banner implementieren. Die Annahme „B2B braucht keinen Cookie-Banner" ist falsch — das TKDSG und die DSGVO unterscheiden nicht nach B2B oder B2C, sondern stellen auf die Speicherung von Informationen auf Endgeräten ab.

Siebte Konstellation — Embedded Content (YouTube, Google Maps, Vimeo): Bei eingebetteten Drittanbieter-Inhalten — YouTube-Videos, Google Maps Iframes, Vimeo-Player, Twitter-Feeds, Facebook-Like-Boxen — werden bereits beim Seitenaufruf Cookies und Tracking-Daten gesetzt. Eine Lösung ist die Two-Click-Lösung — der Nutzer muss zunächst die Drittanbieter-Inhalte aktivieren, bevor sie geladen werden. Forms-legal.com bietet Cookie-Banner-Vorlagen für die häufigsten Anwendungsfälle.

Der wirksame Cookie-Banner mit Einwilligung in Deutschland muss bestimmte Kernelemente enthalten, damit die Einwilligung den Anforderungen des § 25 TKDSG, der DSGVO und der Rechtsprechung des Bundesgerichtshofs sowie des Europäischen Gerichtshofs genügt.

Klare und verständliche Information beim ersten Besuch: Der Banner muss beim ersten Besuch der Webseite vor jeder Cookie-Aktivität (außer technisch notwendigen Cookies) erscheinen. Die Information muss in einer verständlichen Sprache und unmittelbar erfassbarer Form erfolgen — wer ist der Verantwortliche, welche Cookies werden gesetzt, zu welchen Zwecken, welche Daten werden verarbeitet, an wen werden Daten übermittelt (insbesondere Drittländer wie USA), welche Speicherdauer haben die Cookies. Pauschale Formulierungen wie „Wir verwenden Cookies" ohne weitere Information genügen nach BfDI-Hinweis nicht.

Gleichwertige Schaltflächen für Akzeptieren und Ablehnen: Nach DSK-Beschluss von 2023 und OLG Köln 6 U 175/19 müssen die Schaltflächen „Alle akzeptieren" und „Alle ablehnen" (oder „Nur essentielle") optisch gleichwertig dargestellt werden — gleiche Größe, gleiche Farbgestaltung, gleiche Position. „Dark Patterns" wie eine prominente grüne „Akzeptieren"-Schaltfläche neben einer kleinen grauen „Ablehnen"-Schaltfläche sind unzulässig. Die Wahl muss dem Nutzer nicht durch optisches Ungleichgewicht erschwert werden.

Granulare Einwilligungsmöglichkeit: Der Banner muss eine Detail-Ebene anbieten, in der der Nutzer einzelne Cookie-Kategorien oder Tools selektiv akzeptieren oder ablehnen kann — typischerweise gestaffelt nach „Technisch notwendig" (immer aktiv), „Statistik / Analytics", „Marketing / Werbung", „Personalisierung". Der Verbraucher muss frei entscheiden können, welche Kategorien er aktiviert. Eine Bündelung mehrerer Zwecke unter einer einzigen Einwilligung („alles oder nichts") ist nach Art. 7 Abs. 4 DSGVO unzulässig.

Keine vorausgewählten Häkchen: Nach EuGH C-673/17 (Planet49-Urteil) vom 1. Oktober 2019 sind vorausgewählte Häkchen für nicht-notwendige Cookies unzulässig. Die Einwilligung muss durch eine aktive bestätigende Handlung des Nutzers erfolgen — Anklicken eines Buttons, Setzen eines Häkchens. Vorausgewählte Häkchen oder Schieberegler sind nicht ausreichend für eine wirksame Einwilligung.

Widerrufbarkeit der Einwilligung (Art. 7 Abs. 3 DSGVO): Die Einwilligung muss jederzeit mit Wirkung für die Zukunft widerruflich sein. Der Widerruf muss „so einfach wie die Einwilligung" sein. In der Praxis wird dies durch einen permanenten Link „Cookie-Einstellungen ändern" im Footer der Webseite umgesetzt, der beim Anklicken den Cookie-Banner mit den aktuellen Einstellungen wieder öffnet. Der Widerruf darf nicht erschwert werden — etwa durch Login-Pflicht, lange Formulare oder mehrstufige Bestätigungen.

Drittlandtransfer-Hinweis (Art. 44 ff. DSGVO und Schrems-II): Bei Cookies und Tools, die Daten in Drittländer übermitteln (USA bei Google Analytics, Meta-Pixel, LinkedIn Insight Tag), muss der Banner über den Drittlandtransfer informieren. Hinweise auf Standardvertragsklauseln (SCC) der EU-Kommission gemäß Durchführungsbeschluss 2021/914, das EU-US Data Privacy Framework (seit 10. Juli 2023) sowie auf das Transfer Impact Assessment (TIA) sind erforderlich. Bei Datenübermittlung in Länder ohne Angemessenheitsbeschluss muss zusätzlich auf besondere Risiken hingewiesen werden.

Speicherdauer der Einwilligung: Die Einwilligung sollte zeitlich begrenzt gespeichert werden — Empfehlung der DSK ist 6 bis 12 Monate. Nach Ablauf dieser Frist muss der Nutzer erneut um Einwilligung gefragt werden. Eine unbegrenzte Speicherung der Einwilligung verstößt gegen den Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO.

Protokollierung der Einwilligung (Rechenschaftspflicht Art. 5 Abs. 2 DSGVO): Der Webseiten-Betreiber muss die erteilte Einwilligung dokumentieren — wer hat wann welche Einwilligung erteilt, mit welchen Cookie-Kategorien, von welcher Quelle. Im Streitfall vor der Aufsichtsbehörde oder vor Gericht muss der Verantwortliche die Einwilligung beweisen können (Art. 7 Abs. 1 DSGVO Rechenschaftspflicht).

Verlinkung auf Datenschutzerklärung und Impressum: Der Cookie-Banner muss auf die ausführliche Datenschutzerklärung nach Art. 13 DSGVO verlinken, in der alle Cookies, Tools, Speicherzeiten und Drittanbieter detailliert dokumentiert sind. Auch ein Link zum Impressum nach § 5 TMG ist üblich. Forms-legal.com bietet einen Cookie-Banner mit allen Pflichtbestandteilen, der mit den gängigen Consent-Management-Plattformen wie Cookiebot, Usercentrics, OneTrust, CookieYes oder Borlabs Cookie kompatibel ist.

Cookie-Banner mit Einwilligung Deutschland korrekt auszufüllen erfordert eine vollständige Inventur aller auf der Webseite eingesetzten Cookies und ähnlicher Technologien. Eine fehlende oder fehlerhafte Cookie-Information führt zu Bußgeldern der Aufsichtsbehörde und Abmahnungen durch Wettbewerber.

Schritt 1 — Cookie-Inventur erstellen: Bevor der Cookie-Banner konfiguriert wird, muss eine vollständige Liste aller Cookies und ähnlichen Technologien auf der Webseite erstellt werden. Tools wie der Cookiebot Scanner, der Usercentrics Privacy Manager oder die Browser-Entwicklertools (DevTools → Application → Cookies / Local Storage) helfen bei der Inventur. Pro Cookie zu dokumentieren — Name, Zweck, Anbieter (1st Party / 3rd Party), Speicherdauer, Datenkategorie.

Schritt 2 — Cookies in Kategorien einteilen: Die identifizierten Cookies sind in Kategorien einzuteilen — „Technisch notwendig" (Session, Warenkorb, Login, Sicherheit, Cookie-Consent selbst); „Statistik / Analytics" (Google Analytics, Matomo, Hotjar, Plausible); „Marketing / Werbung" (Google Ads, Meta-Pixel, LinkedIn Insight, Pinterest Tag, TikTok Pixel); „Personalisierung" (Sprachauswahl, Theme, Voreinstellungen). Nur die erste Kategorie ist einwilligungsfrei nach § 25 Abs. 2 TKDSG.

Schritt 3 — Verantwortlichen und Datenschutzbeauftragten benennen: Der Cookie-Banner muss den Verantwortlichen i.S.v. Art. 4 Nr. 7 DSGVO namentlich benennen — Firmenname, Anschrift, E-Mail-Adresse für Datenschutzanfragen. Bei mehr als 20 Beschäftigten oder bei besonderen Verarbeitungstätigkeiten ist auch der Datenschutzbeauftragte zu nennen (§ 38 BDSG, Art. 37 DSGVO).

Schritt 4 — Drittlandtransfer-Status klären: Bei jedem eingesetzten Tool ist zu prüfen, ob personenbezogene Daten in Drittländer übermittelt werden. Google Analytics, Meta-Pixel, LinkedIn Insight Tag, Hotjar (Server in Malta, jedoch mit US-Tochterunternehmen), Stripe Payments (US-amerikanisch) — alle übermitteln Daten in die USA. In den Cookie-Banner-Banner-Text muss der Drittlandtransfer-Hinweis nach Art. 13 Abs. 1 lit. f DSGVO aufgenommen werden.

Schritt 5 — Auftragsverarbeitungsverträge dokumentieren: Mit jedem externen Dienstleister, der personenbezogene Daten im Auftrag verarbeitet, ist nach Art. 28 Abs. 3 DSGVO ein Auftragsverarbeitungsvertrag (AVV) abzuschließen. Anbieter wie Google, Meta, Hotjar bieten Standard-AVV in ihren Servicebedingungen an, die akzeptiert werden müssen. Im Cookie-Banner ist auf das Bestehen dieser AVV hinzuweisen.

Schritt 6 — Speicherdauer der Einwilligung festlegen: Die Speicherdauer der Cookie-Einwilligung sollte auf 6 bis 12 Monate festgelegt werden. Nach Ablauf wird der Banner erneut angezeigt. Diese Speicherdauer ist im Banner-Text zu dokumentieren. Zusätzlich ist die Speicherdauer im technisch notwendigen Cookie selbst (z.B. „consent_status") als Cookie-Lifetime zu konfigurieren.

Schritt 7 — Banner mit gleichwertigen Buttons gestalten: Der Cookie-Banner muss mindestens drei gleichwertige Schaltflächen anbieten — „Alle akzeptieren" (alle Cookies inkl. Marketing zulassen), „Nur essentielle Cookies" (nur technisch notwendige Cookies, kein Tracking), „Einstellungen" (Detail-Ebene mit granularer Auswahl). Die Buttons müssen optisch gleichwertig sein — gleiche Größe, ähnliche Farbgestaltung, ähnliche Position. „Dark Patterns" mit prominenter Akzeptieren-Schaltfläche und versteckter Ablehnen-Schaltfläche sind unzulässig.

Schritt 8 — Widerrufslink im Footer integrieren: Im Footer der Webseite ist ein dauerhafter Link „Cookie-Einstellungen ändern" oder „Privacy-Settings" zu integrieren, der den Cookie-Banner jederzeit erneut öffnet. So erfüllt der Webseiten-Betreiber die Anforderung der jederzeit widerrufbaren Einwilligung nach Art. 7 Abs. 3 DSGVO. Der Widerruf muss so einfach sein wie die ursprüngliche Einwilligung.

Der Cookie-Banner mit Einwilligung in Deutschland unterliegt einem dichten Regelungsnetz aus dem TKDSG, der DSGVO, der Rechtsprechung des Bundesgerichtshofs (BGH) und des Europäischen Gerichtshofs (EuGH) sowie den Beschlüssen der Datenschutzkonferenz (DSK).

Einwilligungspflicht § 25 Abs. 1 TKDSG: Die Speicherung oder das Auslesen von Informationen auf Endgeräten der Nutzer ist nur mit Einwilligung des Nutzers zulässig. Die Einwilligungspflicht gilt für alle Cookies, Local Storage, Session Storage, Pixel-Tracking, Fingerprinting, IndexedDB und Web Beacons. Ausnahmen nach § 25 Abs. 2 TKDSG — Cookies zur Übertragung einer Nachricht im elektronischen Kommunikationsnetz und technisch notwendige Cookies, die für den vom Nutzer ausdrücklich gewünschten Telemediendienst unbedingt erforderlich sind.

DSGVO-Einwilligung Art. 6 Abs. 1 lit. a und Art. 7: Die Einwilligung muss freiwillig, informiert, spezifisch und eindeutig erteilt werden. Sie muss durch eine eindeutige bestätigende Handlung des Nutzers erfolgen — Anklicken eines Buttons. Vorausgewählte Häkchen sind nach EuGH C-673/17 (Planet49-Urteil) unzulässig. Die Einwilligung muss von der Erfüllung eines Vertrags abtrennbar sein (Kopplungsverbot nach Art. 7 Abs. 4 DSGVO). Sie muss jederzeit mit Wirkung für die Zukunft widerruflich sein (Art. 7 Abs. 3 DSGVO).

Gleichwertigkeit der Schaltflächen (DSK-Beschluss 2023, OLG Köln 6 U 175/19): Die Schaltflächen für Einwilligung und Ablehnung müssen optisch gleichwertig dargestellt werden — gleiche Größe, ähnliche Farbgestaltung, ähnliche Position. „Dark Patterns" zur Manipulation des Nutzerverhaltens sind unzulässig und führen zur Unwirksamkeit der Einwilligung.

Granulare Einwilligung Art. 7 Abs. 4 DSGVO (Kopplungsverbot): Die Einwilligung muss für jeden einzelnen Verarbeitungszweck separat eingeholt werden. Eine Bündelung mehrerer unterschiedlicher Zwecke unter einer einzigen Einwilligung („alles oder nichts") ist unzulässig. Der Nutzer muss frei entscheiden können, welche Kategorien er aktiviert.

Drittlandtransfer Art. 44 ff. DSGVO und Schrems-II: Bei Übermittlung personenbezogener Daten in Drittländer (USA, etc.) müssen zusätzliche Garantien wie Standardvertragsklauseln (SCC) der EU-Kommission gemäß Durchführungsbeschluss 2021/914 vereinbart werden. Seit dem EuGH-Urteil C-311/18 (Schrems-II) vom 16. Juli 2020 ist zusätzlich ein Transfer Impact Assessment (TIA) durchzuführen. Seit dem 10. Juli 2023 gilt zudem das EU-US Data Privacy Framework, das eine adäquate Datenschutz-Anerkennung für US-Unternehmen ermöglicht, die das Framework zertifiziert haben.

Informationspflichten Art. 13 DSGVO: Der Verantwortliche muss dem Nutzer bei der Erhebung personenbezogener Daten umfangreiche Informationen bereitstellen — Identität des Verantwortlichen, Zwecke der Verarbeitung, Rechtsgrundlage, berechtigtes Interesse, Empfänger, Drittlandtransfer, Speicherdauer, Betroffenenrechte (Auskunft, Löschung, Widerspruch, Datenübertragbarkeit), Beschwerderecht bei der Aufsichtsbehörde.

Protokollierung der Einwilligung Art. 5 Abs. 2 und Art. 7 Abs. 1 DSGVO: Der Verantwortliche muss die erteilte Einwilligung dokumentieren — wer hat wann welche Einwilligung erteilt, mit welchen Cookie-Kategorien. Diese Rechenschaftspflicht erfordert eine technische Lösung, die die Einwilligung und ihren Umfang nachweisbar speichert.

Bußgelder nach § 28 TKDSG und Art. 83 DSGVO: Verstöße gegen die Einwilligungspflicht des § 25 TKDSG können nach § 28 TKDSG mit Bußgeldern bis 300.000 Euro geahndet werden. DSGVO-Verstöße können nach Art. 83 Abs. 5 DSGVO mit Bußgeldern bis 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden — der höhere Betrag gilt. Die deutschen Aufsichtsbehörden haben seit 2021 zunehmend Bußgelder gegen Webseiten-Betreiber wegen mangelhafter Cookie-Banner verhängt — Bekannteste Fälle sind H&M Hennes & Mauritz Online Shop GmbH (35,3 Mio. Euro) und Notebooksbilliger.de (10,4 Mio. Euro).

Abmahnrisiko § 8 UWG: Wettbewerber und qualifizierte Wirtschaftsverbände wie der Verband Sozialer Wettbewerb (VSW) oder die Wettbewerbszentrale können nach § 8 Abs. 1 UWG Abmahnungen aussprechen. Abmahnkosten beginnen bei 1.500 Euro und können bei wiederholten Verstößen schnell 5.000 Euro übersteigen — zuzüglich strafbewehrter Unterlassungserklärung mit Vertragsstrafen-Versprechen.

Häufige Fehler beim Cookie-Banner in Deutschland führen zu Bußgeldern der Aufsichtsbehörde und kostenpflichtigen Abmahnungen durch Wettbewerber. Die deutschen Aufsichtsbehörden haben seit 2021 ein zunehmendes Augenmerk auf Cookie-Banner-Compliance gelegt.

Fehler 1 — Vorausgewählte Häkchen oder Auto-Akzeptieren: Vorausgewählte Häkchen für nicht-notwendige Cookies sind nach EuGH C-673/17 (Planet49-Urteil) ausdrücklich unzulässig. Auch der „Auto-Akzeptieren"-Mechanismus, bei dem das bloße Weiterscrollen oder Klicken auf einen anderen Link der Webseite als Einwilligung gewertet wird, ist unwirksam. Korrekt — die Einwilligung muss durch eine aktive bestätigende Handlung erfolgen (Klick auf „Alle akzeptieren" oder „Auswahl bestätigen").

Fehler 2 — „Dark Patterns" mit ungleicher Schaltflächengestaltung: Eine prominente grüne „Akzeptieren"-Schaltfläche neben einer kleinen grauen „Ablehnen"-Schaltfläche oder eine versteckte „Ablehnen"-Option in der Detail-Ebene sind nach DSK-Beschluss von 2023 und OLG Köln 6 U 175/19 unzulässig. Korrekt — gleichwertige Schaltflächen mit gleicher Größe, ähnlicher Farbgestaltung und ähnlicher Position.

Fehler 3 — Pauschale Einwilligung ohne Granularität: Eine pauschale Einwilligung „Ich akzeptiere die Verwendung von Cookies" ohne Möglichkeit zur Auswahl einzelner Cookie-Kategorien verstößt gegen das Kopplungsverbot des Art. 7 Abs. 4 DSGVO. Korrekt — granulare Einwilligung mit getrennten Kategorien (technisch notwendig, Statistik, Marketing).

Fehler 4 — Fehlende oder verspätete Cookie-Inventur: Viele Webseiten-Betreiber wissen nicht, welche Cookies tatsächlich auf ihrer Webseite gesetzt werden. Versteckte Drittanbieter-Cookies — etwa durch eingebettete YouTube-Videos, Google Maps Iframes oder Twitter-Feeds — werden oft übersehen. Korrekt — vollständige Cookie-Inventur mit Cookie-Scanner-Tools wie Cookiebot oder Usercentrics, regelmäßige Aktualisierung bei neuen Tools.

Fehler 5 — Fehlender Drittlandtransfer-Hinweis: Bei Tools wie Google Analytics, Meta-Pixel oder LinkedIn Insight Tag erfolgt eine Datenübermittlung in die USA. Der Hinweis auf den Drittlandtransfer und die Schutzmaßnahmen (Standardvertragsklauseln, Transfer Impact Assessment) ist nach Art. 13 Abs. 1 lit. f DSGVO Pflicht. Korrekt — expliziter Hinweis auf den Drittlandtransfer im Banner-Text und in der Datenschutzerklärung.

Fehler 6 — Erschwerter Widerruf der Einwilligung: Ein versteckter oder schwer auffindbarer Widerruf-Link verstößt gegen Art. 7 Abs. 3 DSGVO. Korrekt — dauerhaft sichtbarer Link „Cookie-Einstellungen ändern" im Footer der Webseite, der den Cookie-Banner mit den aktuellen Einstellungen wieder öffnet. Forms-legal.com bietet eine rechtssichere Cookie-Banner-Vorlage, die alle vorgenannten Fehler vermeidet.