Was ein Cookie-Banner wirklich leisten muss
Die rechtlichen Anforderungen an eine gültige Einwilligung nach DSGVO — und warum viele Banner sie nicht erfüllen.
Man öffnet eine Website, der Banner erscheint. Ein großer grüner Button: 'Alle akzeptieren'. Daneben ein blasser Link: 'Einstellungen'. Wer keine Zeit hat — also fast alle —, klickt grün. Der Unternehmer hat einen Banner, der Besucher hat eingewilligt, alle sind fertig.
Nur ist diese Einwilligung nach DSGVO möglicherweise wertlos. Nicht wegen des Inhalts, sondern wegen der Form. Die meisten Banner erfüllen die Anforderungen an eine gültige Einwilligung nicht — und das Unternehmen weiß es nicht.
Was die DSGVO von einer Einwilligung verlangt
Artikel 7 der Datenschutzgrundverordnung ist in einem Punkt ungewöhnlich konkret. Eine gültige Einwilligung muss freiwillig, informiert, unmissverständlich und durch eine aktive Handlung abgegeben werden. Das sind keine weichen Kriterien.
Aktiv bedeutet: keine Vorauswahl. Ein Häkchen, das beim Laden der Seite bereits gesetzt ist, zählt nicht als Einwilligung. Der Europäische Gerichtshof hat das 2019 im Urteil Planet49 ausdrücklich klargestellt — seitdem beziehen sich Aufsichtsbehörden und Gerichte regelmäßig darauf. Es ist kein Graubereich.
Freiwillig bedeutet: Es darf keinen spürbaren Nachteil geben, wenn jemand ablehnt. Ablehnen muss genauso einfach sein wie zustimmen. Das ist keine Gestaltungsempfehlung, sondern eine rechtliche Anforderung.
Was einwilligungspflichtig ist — und was nicht
Nicht jedes Cookie braucht eine Einwilligung. Technisch notwendige Cookies — etwa für den Loginzustand, den Warenkorb oder die Sicherheit einer verschlüsselten Verbindung — dürfen ohne Zustimmung gesetzt werden. Sie sind für den Betrieb der Website erforderlich.
Einwilligungspflichtig ist alles, was darüber hinausgeht und personenbezogene Daten verarbeitet: Analyse-Tools, die Besucherverhalten tracken, Werbenetze, eingebettete Inhalte von Drittanbietern wie YouTube oder Google Maps, und externe Schriften, wenn sie direkt von einem externen Server geladen werden. Die Grenze liegt nicht am Tool, sondern an der Frage, ob dabei Daten an Dritte übertragen werden — und wofür.
Das klingt überschaubar. Wird aber in der Praxis oft nicht sauber unterschieden. Eine Website, die Google Analytics lädt, ohne Einwilligung abzufragen, verarbeitet personenbezogene Daten ohne Rechtsgrundlage. Das Banner fehlt dann nicht nur als Interface — sondern als Schritt in einem rechtlich notwendigen Prozess.
Wo Banner in der Praxis scheitern
Es gibt wiederkehrende Muster, die den Unterschied zwischen einem wirksamen und einem angreifbaren Consent ausmachen.
Vorausgewählte Kategorien. Beim Öffnen des Banners sind Marketing- oder Analyse-Cookies bereits aktiviert. Der Besucher kann sie abwählen — aber der Ausgangszustand war schon Einwilligung. Das dreht die gesetzliche Logik um.
Asymmetrische Gestaltung. Der 'Alle akzeptieren'-Button ist farbig und prominent. Die Ablehn-Option führt über 'Einstellungen' in ein Untermenü, das mehrere Klicks erfordert. Wenn Zustimmung deutlich einfacher zu erreichen ist als Ablehnung, spricht die Datenschutzkonferenz von einem unzulässigen Nudging — einem gestalterischen Druck in eine bestimmte Richtung.
Technische Entkopplung. Der Banner sieht korrekt aus. Aber dahinter läuft ein Consent-System, das Cookies setzt, bevor die Einwilligung protokolliert wurde. Das ist ein bekannter Fehler bei einigen verbreiteten Tools und ohne technische Prüfung unsichtbar. Was das Interface sagt und was dahinter passiert, kann auseinanderfallen.
Kopplung. 'Um diese Website zu nutzen, stimmen Sie bitte zu.' Zugang oder Inhalte an eine Cookie-Einwilligung zu knüpfen, ist nur unter engen Voraussetzungen zulässig. Bei einer normalen Unternehmenswebsite ist diese Konstruktion in der Regel angreifbar.
Ein Banner, der es schwer macht abzulehnen, holt keine Einwilligung ein. Er erzwingt sie.
Was einen belastbaren Consent ausmacht
Keine Liste von Anforderungen — aber ein klares Bild.
Ein rechtlich belastbarer Cookie-Banner ermöglicht, dass ein Besucher die Seite nutzt, ohne nicht-notwendigen Cookies zustimmen zu müssen. Auf der ersten Ebene des Banners — also ohne weiteres Öffnen von Untermenüs — gibt es sowohl eine Zustimmungs- als auch eine Ablehn-Option. Beide Optionen sind optisch gleichwertig. Alle Kategorien sind per Standard deaktiviert. Und das Consent-System dahinter setzt Cookies tatsächlich erst nach Einwilligung.
Dieser letzte Punkt lässt sich überprüfen: Wer im Browser die Netzwerkprotokolle öffnet, bevor er auf dem Banner irgendetwas klickt, sieht, welche Anfragen die Seite bereits abschickt. Was dort auftaucht, bevor jemand 'Akzeptieren' gedrückt hat, war nicht autorisiert.
Nicht notwendig ist, dass der Banner groß, aufdringlich oder visuell dominant ist. Was zählt, ist die Funktion — nicht die Größe.
Was auf dem Banner steht, muss mit dem übereinstimmen, was dahinter technisch passiert. Das ist überprüfbar.
Ein Cookie-Banner ist kein Abschluss. Er ist im Streitfall ein Protokoll, das nachweisen muss, dass Einwilligung wirklich stattgefunden hat. Wer ihn einmal aufgesetzt und dann nicht mehr angefasst hat, verlässt sich auf Sicherheit, die er nicht geprüft hat.
Wer wissen will, ob der eigene Banner diesen Anforderungen genügt, kann das mit einem einfachen technischen Check herausfinden — bevor es jemand anderes tut.
Häufige Fragen
Reicht ein einfaches 'Ich stimme zu'-Banner aus?
Nein. Eine pauschale Zustimmung ohne Kategorienwahl und ohne gleichwertige Ablehn-Option genügt den DSGVO-Anforderungen nicht. Solche Banner sind rechtlich angreifbar, auch wenn sie noch weit verbreitet sind.
Welche Cookies brauchen keine Einwilligung?
Technisch notwendige Cookies — etwa für den Loginzustand, den Warenkorb oder Sicherheitsfunktionen — dürfen ohne Zustimmung gesetzt werden. Einwilligungspflichtig ist alles, was personenbezogene Daten an Dritte überträgt oder das Verhalten von Besuchern aufzeichnet.
Ist es ein Problem, wenn der Zustimmungsbutton auffälliger gestaltet ist als die Ablehn-Option?
Ja. Wenn Zustimmung optisch wesentlich einfacher zu erreichen ist als Ablehnung, werten Aufsichtsbehörden das als unzulässiges Nudging. Beide Optionen müssen gleichwertig erreichbar und erkennbar sein.
Wie kann ich prüfen, ob mein Banner technisch korrekt arbeitet?
Öffnen Sie im Browser die Netzwerkprotokolle (F12 → Netzwerk), laden Sie die Seite neu und beobachten Sie, welche Anfragen abgehen, bevor Sie irgendetwas auf dem Banner geklickt haben. Was dort bereits auftaucht, wurde ohne Einwilligung ausgelöst.
Was passiert bei einem Verstoß?
Bußgelder durch Datenschutzaufsichtsbehörden sind möglich. Praktisch häufiger sind Abmahnungen durch Wettbewerber oder Verbraucherschutzorganisationen. Die Höhe variiert stark, das Risiko ist aber auch für kleine Unternehmen real.
Wie steht Ihre Website bei Datenschutz und Technik da?
Cookie-Implementierung, Datenschutzerklärung, Ladezeiten — ich schaue auf die Dinge, die sonst unbemerkt bleiben. Der Website-Check ist kostenlos.
Gründer von Seethaler Studio.