Wichtigste Punkte

• Cookie-Banner sind die bekannten Hinweis- und Einstimmungsfenster auf Websites, die Nutzer um Einwilligung in das Setzen bestimmter Cookies (und vergleichbarer Tracker) bitten. Sie sind durch gesetzliche Vorgaben (insb. EU-Richtlinie und deutsches TTDSG) erforderlich, sobald nicht technisch notwendige Cookies eingesetzt werden, etwa für Tracking, Werbung, Analytics.

• Einwilligungspflicht: Seit Gerichtsurteilen und dem TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) ist klar: Cookies, die nicht für den Betrieb der Seite unbedingt erforderlich sind, dürfen erst gesetzt werden, wenn der Nutzer aktiv zugestimmt hat (Opt-in). Bloßes Weitersurfen zählt nicht als Zustimmung, und bereits vorangekreuzte Häkchen sind unzulässig.

• Gestaltung: Cookie-Banner müssen verständlich erklären, wofür man einwilligt (z. B. „Wir nutzen Cookies für personalisierte Anzeigen und Webanalyse.“). Es muss eine echte Wahl geben: Ablehnen muss genauso einfach sein wie Akzeptieren (ansonsten besteht Risiko, dass die Einwilligung unwirksam ist, da nicht freiwillig).

• Viele Seiten bieten mehrstufige Einstellungen („Cookie-Einstellungen“), wo Nutzer einzelne Kategorien (Statistik, Marketing etc.) auswählen können. Rechtlich gilt: Die Einwilligung sollte informiert und granular sein – Nutzer sollten bestimmte Zwecke ablehnen können, während sie anderen zustimmen.

• Technisch notwendige Cookies (z. B. Warenkorb-Cookie, Login-Session) dürfen auch ohne Banner gesetzt werden, da hier eine Einwilligung nicht erforderlich ist. Im Cookie-Banner trennt man diese oft als „essenzielle Cookies“ aus, die immer aktiv sind.

• Dokumentation: Die erteilte Einwilligung muss protokolliert werden (wer hat wann wozu eingewilligt), um sie im Zweifel nachweisen zu können. Viele Consent-Management-Tools übernehmen das automatisch. Zudem muss eine Widerrufsmöglichkeit bestehen – Nutzer sollen ihre Einwilligung später ändern oder zurückziehen können (z. B. über einen „Cookie-Einstellungen“-Link im Footer).

• Für Startups ist das Thema wichtig, weil Verstöße von Datenschutzbehörden abgemahnt werden können. Ebenso können nervige oder undurchsichtige Banner die User Experience beeinträchtigen. Es gilt also, einen rechtlich sauberen und zugleich nutzerfreundlichen Consent-Mechanismus zu finden.

Rechtsgrundlage: ePrivacy und DSGVO

Die Pflicht zu Cookie-Bannern kommt primär aus der ePrivacy-Richtlinie der EU (auch „Cookie-Richtlinie“ genannt) und deren Umsetzung im nationalen Recht. Deutschland hat 2021 das TTDSG erlassen, das in § 25 TTDSG regelt: Das Speichern von Informationen im Endgerät des Nutzers (worunter Cookies fallen) ist nur erlaubt, wenn entweder

a) es technisch notwendig ist zur Bereitstellung des Dienstes, oder
b) der Nutzer eingewilligt hat.

Parallel dazu greift oft auch die DSGVO: Viele Cookies erfassen personenbezogene Daten (IP-Adressen, Nutzerprofile). Die DSGVO verlangt für solche Verarbeitungen entweder Einwilligung oder eine andere Rechtsgrundlage. Für Tracking etc. akzeptieren die Aufsichtsbehörden aber keine andere Rechtsgrundlage als Einwilligung (berechtigtes Interesse wird meist abgelehnt in dem Kontext).

Ergo: Will man Google Analytics, Facebook Pixel & Co einsetzen, braucht man die vorherige Zustimmung der Besucher.

Welche Cookies brauchen Einwilligung?

Beispiel „technisch notwendig“: Session-Cookies, die Login-Status halten; Sprach-Einstellungen; Warenkorb-Cookie im Shop; Cookies zur Sicherheit (z.B. CSRF-Token). Solche werden benötigt, damit die Website funktioniert und der Nutzer die angeforderte Aktion durchführen kann. Hier darf man ohne Banner arbeiten, sollte aber in der Datenschutzerklärung drüber informieren.

Beispiel einwilligungspflichtig:

• Analyse-Cookies (Google Analytics, Matomo (mit Cookies), etc.), weil sie das Verhalten tracken.

• Werbe-Cookies (Google Ads, Facebook Pixel, Affiliate-Tracking).

• Personalisierungs-Cookies (um Inhalte/Empfehlungen auf den Nutzer zuzuschneiden).

• Cookies von externen Medien (z.B. YouTube-Video-Embeds setzen oft Cookies zur Nachverfolgung).

Auch Scripts, die keine klassischen Cookies setzen, aber ähnliches tun (Local Storage Nutzung, Fingerprinting) fallen unter „Speichern von Informationen im Endgerät“ -> ebenso einwilligungspflichtig.

Das Banner muss also zumindest diese nicht notwendigen Dinge abdecken.

Gestaltung des Cookie-Banners

Es gibt verschiedenste Designs, aber folgende Punkte sind für Rechtssicherheit zentral:

• Klare Sprache: Der Nutzer soll verstehen, wozu er da „Ja“ sagt. Also nicht nur „Wir nutzen Cookies, akzeptieren?“ – besser: „Wir nutzen Cookies und vergleichbare Technologien, um unsere Website zu optimieren, personalisierte Inhalte und Anzeigen zu zeigen und Zugriffe zu analysieren. Dafür benötigen wir Ihre Einwilligung.“

• Auswahlmöglichkeiten: Mindestens „Akzeptieren“ und „Ablehnen“ sollten vorhanden sein. Schlecht ist, wenn nur „Akzeptieren“ dick und sichtbar ist und „Ablehnen“ versteckt im Fließtext. Die Datenschutzbehörden monieren sog. „Nudging“-Designs, die praktisch Nutzer zum Akzeptieren drängen. Idealerweise beide Buttons gleichwertig.

• Details zugänglich: Ein Link oder Button „Einstellungen“ oder „Details anzeigen“ sollte da sein, der die einzelnen Cookies/Kategorien auflistet und ggf. Anbieter und Zwecke nennt.

• Kein Pre-Check: Checkboxen bei Kategorien dürfen nicht vorab angehakt sein außer bei essentiellen, die sowieso ohne Einwilligung laufen. Für die anderen muss der Nutzer selbst aktiv anhaken, wenn er will.

• Nicht weiterleiten ohne Aktion: Früher hatten manche Seiten „Wenn Sie weitersurfen, stimmen Sie zu“. Das reicht nicht. Der Banner muss eine bewusste Aktion verlangen. Manche blockieren auch erstmal alle Scripte und Inhalte, bis Wahl getroffen. Das ist rechtlich sicher, aber user-unfreundlich. Viele machen einen Kompromiss: Standard nix laden außer Essentielles, Banner unten oder modaler Dialog – wenn Nutzer ignoriert und einfach scrollt, bleibt Tracking blockiert (oder teils wird Interpretationsspielraum genutzt: Scrollen als Zustimmung – aber das hat der EuGH eigentlich verneint). Besser ist, wirklich auf Klick zu warten.

• Widerruf: Nach DSGVO muss Einwilligung so leicht widerrufbar sein wie erteilt. Praktisch: irgendwo permanent erreichbar „Cookie-Einstellungen ändern“ – oft im Footer – damit Nutzer später Cookies ablehnen kann, die er vielleicht anfangs akzeptiert hat.

• Protokollierung: Das Consent-Tool sollte speichern, wann wer was geklickt hat. Im Fall einer Prüfung kann man zeigen, dass man nachweisen kann, dass User X zugestimmt hat. Die Daten sollten datenschutzkonform gespeichert werden (idealerweise anonymisiert oder nur Indikatoren).

Consent-Management-Plattformen (CMP)

Viele Websites nutzen fertige CMPs (OneTrust, Usercentrics, Borlabs Cookie etc.), die diese Anforderungen abbilden und regelmäßig Updates einspielen, wenn sich rechtlich was ändert.

Für ein Startup lohnt es meist, auf so ein Tool zu setzen, weil das Rad neu zu erfinden mühsam ist. Es kostet aber teils Gebühren (manche auch kostenlose Varianten).

Wichtig: Alle Scripte, die Cookies setzen, müssen anfänglich blockiert werden. CMPs laden diese Scripte erst, wenn „Akzeptieren“ geklickt wurde. Das bedarf technischer Integration (z.B. Google Analytics Code wird über das CMP injiziert oder mit einer Abfrage versehen).

Auswirkungen auf Nutzer und Conversion

Cookie-Banner haben den Nebeneffekt, dass viele Nutzer einfach „Ablehnen“ klicken, wenn es leicht verfügbar ist, oder nur das Nötigste erlauben. Das bedeutet z.B. für Marketing: Viele haben keine Erlaubnis zum Tracken – Analytics-Daten sind lückenhaft, Remarketing-Reichweite sinkt. Das hat in den letzten Jahren das Online-Marketing herausgefordert.

Einige Unternehmen versuchen, das Banner so dezent wie möglich und in CI zu gestalten, um mehr Opt-ins zu bekommen. Aber rechtlich darf man es eben nicht verstecken.

Es gibt auch den Ansatz „Cookie-less Tracking“ mittels rein serverseitigen Logging etc. – aber das birgt auch rechtliche Grauzonen.

Keine Einwilligungspflicht bei rein technischen Cookies

Manche Seite fragen einfach pauschal „Cookies okay?“. Das wäre eigentlich nicht nötig, wenn sie gar keine Tracking-Cookies haben. Für eine ganz simple Webseite, die nur Session-Cookies hat, braucht man keinen Banner. Es kann sogar irritieren.

Darum: Bevor man implementiert, prüfen, ob man wirklich Cookies/Tracker nutzt, die es erfordern. Vielleicht kommt man auch ohne Google Analytics aus (z.B. mit einem datenschutzfreundlichen Dienst, der ohne Cookies arbeitet – es gibt Tools, die nur aggregiert und anonym tracken, was dann DSGVO-konform ohne Einwilligung sein kann, wenn keine Personenbeziehbarkeit).

Strafen und Abmahnungen

In den letzten Jahren haben Datenschutzbehörden vermehrt Webseiten geprüft. Es gab Fälle, wo Websites in der EU ordentlich Strafen zahlen mussten, weil sie z.B. Google Analytics ohne Einwilligung nutzten (Frankreich und Österreich hatten da Bescheide, allerdings auch teils wegen Datentransfer in die USA).

Auch Abmahnungen durch Wettbewerber oder Verbände sind möglich, da man argumentieren kann, ein Verstoß gegen Cookie-Einwilligung sei ein Wettbewerbsverstoß (weil man unlautere Datenpraxis hat). Das ist aber noch nicht höchstrichterlich durch, gibt aber erste Tendenzen, dass es abmahnbar ist.

Für Startups heißt das: Ein ordentlicher Cookie-Consent ist nicht nur „nice to have“, sondern elementar, um keine rechtlichen Risiken einzugehen. Zudem erwartet auch das Publikum mittlerweile ehrlich gesagt diesen Mechanismus (auch wenn er nervt).

Fazit

Das Cookie-Banner ist ein fester Bestandteil der Web-Nutzung geworden – auch wenn es manchmal nervt, erfüllt es einen wichtigen Zweck: Transparenz und Kontrolle für den Nutzer über Tracking und Datensammlung. Für die Betreiber wiederum ist es eine juristische Pflichtübung. Wichtig ist, diese nicht zu umgehen oder halbherzig umzusetzen: Die Einwilligung muss wirklich freiwillig und informiert sein. Ein gut konfiguriertes Cookie-Banner schafft den Spagat, die rechtlichen Vorgaben zu erfüllen und dem User eine klare Wahl zu lassen, ohne ihn durch Dark Patterns in eine Richtung zu drängen. Wer das sauber löst, erspart sich mögliche Sanktionen und zeigt zugleich, dass ihm der Datenschutz seiner Besucher am Herzen liegt.