Cookie-Banner rechtssicher gestalten: Die Anforderungen aus § 25 TDDDG und DSGVO
Kaum ein Website-Element wird so häufig falsch umgesetzt wie der Cookie-Banner – und kaum eines wird so häufig abgemahnt oder von Aufsichtsbehörden beanstandet. Die Rechtslage ist zweistufig: § 25 TDDDG verlangt eine Einwilligung für den Zugriff auf Endgeräte (Cookies, Fingerprinting), die DSGVO regelt die anschließende Datenverarbeitung.
Dieser Ratgeber zeigt, welche Anforderungen eine wirksame Einwilligung erfüllen muss, welche Gestaltungstricks („Dark Patterns“) unzulässig sind und wie Sie Ihren Banner in wenigen Schritten abmahnsicher machen.
Dieser Ratgeber wurde von Rechtsanwalt Demirel von der Kanzlei MANDATI in Essen auf Grundlage der aktuellen Gesetzeslage und Rechtsprechung erstellt. Die Kanzlei berät Unternehmen, Start-ups und Verbraucher im IT-Recht – vor Ort im Ruhrgebiet und bundesweit digital.
1. Die zweistufige Rechtslage: TDDDG und DSGVO
Stufe 1: § 25 Abs. 1 TDDDG verlangt eine Einwilligung, bevor Informationen auf dem Endgerät gespeichert oder ausgelesen werden – das betrifft Cookies, Local Storage und Fingerprinting gleichermaßen, und zwar unabhängig davon, ob personenbezogene Daten betroffen sind. Ausnahmen gelten nur für unbedingt erforderliche Techniken (§ 25 Abs. 2 TDDDG), etwa den Warenkorb-Cookie.
Stufe 2: Werden über die Cookies personenbezogene Daten verarbeitet – beim Tracking praktisch immer –, braucht diese Verarbeitung zusätzlich eine Rechtsgrundlage nach Art. 6 DSGVO; beim Marketing-Tracking ist das regelmäßig ebenfalls die Einwilligung.
2. Was eine wirksame Einwilligung ausmacht
Anforderungen an den Consent
- Freiwillig: „Ablehnen“ muss so einfach sein wie „Akzeptieren“ – auf derselben Ebene, ohne Umwege
- Informiert: Zwecke, eingesetzte Dienste und Anbieter müssen klar benannt werden
- Vorab: Vor der Einwilligung dürfen keine einwilligungspflichtigen Dienste laden – auch nicht „kurz“
- Aktiv: Keine voraktivierten Häkchen, kein Weitersurfen als Zustimmung
- Widerruflich: Der Widerruf muss so einfach sein wie die Erteilung – etwa über ein dauerhaft erreichbares Icon
- Dokumentiert: Erteilte Einwilligungen müssen nachweisbar protokolliert werden
3. Verbotene Gestaltungstricks (Dark Patterns)
Aufsichtsbehörden und Gerichte beanstanden zunehmend manipulative Banner-Gestaltung. Riskant sind insbesondere:
| Dark Pattern | Problem |
|---|---|
| „Alles akzeptieren“ farbig, „Ablehnen“ nur als grauer Textlink | Keine gleichwertige Wahlmöglichkeit – Einwilligung unwirksam |
| Ablehnen erst auf zweiter Ebene („Einstellungen“) | Erschwerter Widerspruch spricht gegen Freiwilligkeit |
| Nudging-Texte („Beste Erfahrung nur mit Cookies“) | Irreführung über die Tragweite der Wahl |
| Cookie-Wall ohne echte Alternative | Zulässig allenfalls mit gleichwertiger, fair bepreister Alternative („Pur-Abo“) |
| Erneutes Aufpoppen nach Ablehnung bei jedem Seitenaufruf | Zermürbungstaktik – unzulässiger Druck auf die Entscheidung |
Praxis-Hinweis „Pur-Abo“: Modelle nach dem Muster „Einwilligen oder Bezahl-Abo“ sind unter engen Voraussetzungen vertretbar – der Preis muss angemessen sein und die Alternative tatsächlich tracking-frei. Die datenschutzrechtliche Bewertung ist im Fluss; wer das Modell einsetzt, sollte die Ausgestaltung anwaltlich prüfen lassen.
4. Die häufigsten Fehler in der Praxis
In unseren Website-Audits sehen wir immer wieder dieselben Schwachstellen: Dienste laden vor der Einwilligung (besonders Google Analytics, Meta Pixel und YouTube-Embeds), der Banner listet nicht alle tatsächlich eingesetzten Tools, „notwendige“ Kategorien enthalten in Wahrheit Marketing-Cookies, und der Widerruf ist nirgends auffindbar. Ebenfalls häufig: Das Consent-Tool ist korrekt konfiguriert, aber Entwickler binden neue Skripte daran vorbei ein – Compliance ist ein Prozess, kein einmaliges Projekt.
5. In fünf Schritten zum abmahnsicheren Banner
Bestandsaufnahme
Alle Cookies, Skripte und Drittdienste technisch scannen – auch die, die niemand mehr auf dem Schirm hat.
Kategorisieren
Unbedingt erforderlich vs. einwilligungspflichtig sauber trennen (§ 25 Abs. 2 TDDDG eng auslegen).
Banner gestalten
Gleichwertige Buttons, transparente Informationen, Widerrufs-Icon – ohne Dark Patterns.
Technisch koppeln
Einwilligungspflichtige Dienste strikt erst nach Consent laden; Protokollierung aktivieren.
Dokumente anpassen
Datenschutzerklärung synchronisieren und Prozesse für neue Tools festlegen.
Das Wichtigste in Kürze
Ein rechtssicherer Cookie-Banner braucht eine echte, gleichwertige Wahl, vollständige Information und technische Konsequenz: Nichts lädt vor dem Consent. Dark Patterns machen die Einwilligung unwirksam – und damit das gesamte Tracking rechtswidrig. Ein Audit deckt die typischen Lücken schnell auf; die Umsetzung ist meist in wenigen Tagen erledigt.
Ist Ihr Cookie-Banner abmahnsicher?
Wir auditieren Website und Consent-Setup zum Festpreis – mit konkreter Umsetzungsliste für Ihre Technik.
Beratung anfragen →6. Häufige Fragen (FAQ)
Brauche ich für jeden Cookie eine Einwilligung?
Nein. Unbedingt erforderliche Cookies – etwa für Warenkorb, Log-in oder die Consent-Speicherung selbst – sind nach § 25 Abs. 2 TDDDG einwilligungsfrei. Alles, was Statistik, Marketing oder Personalisierung dient, braucht eine aktive Einwilligung.
Muss mein Banner einen „Alles ablehnen“-Button auf der ersten Ebene haben?
Nach Auffassung der deutschen Aufsichtsbehörden: ja – Ablehnen muss so einfach sein wie Akzeptieren. Banner, die das Ablehnen auf eine zweite Ebene verstecken, gelten als unwirksam und werden zunehmend beanstandet.
Ist Google Analytics ohne Einwilligung zulässig?
Nein. Reichweitenmessung mit Drittanbieter-Tracking ist nach behördlicher Praxis einwilligungspflichtig – sowohl nach § 25 TDDDG als auch nach der DSGVO. Ohne Consent darf das Skript gar nicht erst laden.
Was droht bei einem fehlerhaften Cookie-Banner?
Abmahnungen von Wettbewerbern und Verbänden, Beanstandungen und Bußgelder der Datenschutzaufsicht sowie Schadensersatzforderungen von Nutzern. Zudem ist ohne wirksame Einwilligung das gesamte darauf gestützte Tracking rechtswidrig – inklusive der gewonnenen Daten.
Sind „Pur-Abo“-Modelle (Consent or Pay) erlaubt?
Sie sind unter Voraussetzungen vertretbar: echte tracking-freie Alternative, angemessener Preis, transparente Darstellung. Die rechtliche Bewertung entwickelt sich weiter – eine individuelle Prüfung vor dem Einsatz ist dringend zu empfehlen.
Reicht ein gekauftes Consent-Tool für die Rechtssicherheit?
Das Tool ist die halbe Miete – entscheidend ist die Konfiguration: vollständige Dienste-Liste, korrekte Kategorisierung, technische Kopplung und gleichwertige Gestaltung. Genau diese Punkte prüfen wir im Website-Audit.
7. Ihre Kanzlei für Consent-Management und Website-Compliance in Essen und ganz NRW
Die Kanzlei MANDATI in Essen berät Unternehmen, Start-ups und Verbraucher im IT-Recht – von der DSGVO-Compliance über IT-Verträge bis zur Abwehr von Abmahnungen. Persönlich in Essen oder vollständig digital, bundesweit.
MANDATI Rechtsanwälte – Ihr Anwalt für Consent-Management und Website-Compliance in Essen und dem gesamten Ruhrgebiet. Persönliche Beratung vor Ort oder mandatsbezogen bundesweit.
Hindenburgstr. 23, 45127 Essen, Nordrhein-Westfalen
Telefon: 0201 – 890 722 40 · E-Mail: [email protected]
Öffnungszeiten: Mo–Fr 9–18 Uhr
Einzugsgebiete / „in der Nähe":
- Essen
- Bochum
- Dortmund
- Düsseldorf
- Duisburg
- Mülheim a. d. Ruhr
- Oberhausen
- Gelsenkirchen
- Köln
Kanzlei MANDATI
Hindenburgstr. 23
45127 Essen
Nordrhein-Westfalen
Telefon: 0201 – 890 722 40
E-Mail: [email protected]
Beratung im IT-Recht: vor Ort in Essen · bundesweit digital per Video und Telefon
Website-Compliance aus einer Hand
Cookie-Banner, Datenschutzerklärung, AV-Verträge: Kanzlei MANDATI macht Ihre Website rechtssicher – bundesweit digital.
Beratung anfragen →
