Cookie-Banner rechtssicher einbinden: TTDSG, Consent Mode & was wirklich Pflicht ist (2026)

Warum es überhaupt einen Cookie-Banner gibt

Bis 2021 gab es in Deutschland viele Jahre Rechtsunsicherheit: ePrivacy-Richtlinie, DSGVO, das alte Telemediengesetz – jeder legte sich aus, was passt. Mit dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), in Kraft seit 1. Dezember 2021, gibt es nun eine klare nationale Regelung.

Der entscheidende Paragraph ist § 25 TTDSG: Das Speichern von Informationen auf dem Endgerät eines Nutzers oder das Auslesen solcher Informationen ist nur mit Einwilligung zulässig. Ausnahme: technisch unbedingt erforderliche Cookies.

Konkret: Sobald Ihre Website etwas auf das Gerät der Nutzer schreibt oder von dort liest (Cookie, LocalStorage, Fingerprint), brauchen Sie entweder eine technische Notwendigkeit oder eine Einwilligung. Es geht also längst nicht mehr nur um klassische Cookies, sondern um jeden Speicher- und Tracking-Vorgang.

Wann brauchen Sie einen Cookie-Banner – und wann nicht?

Faustregel: Sobald ein externer Anbieter Daten erhält oder Cookies setzt, die nicht für die Grundfunktion der Website notwendig sind, brauchen Sie einen Consent-Mechanismus.

Was ein rechtssicherer Cookie-Banner können muss

Die Datenschutzkonferenz (DSK), das LG München, das BGH-Urteil "Planet49" und die Aufsichtsbehörden haben die Anforderungen klar formuliert:

1. 1
   Vollständige Informationen vor der Einwilligung – welche Cookies, welche Anbieter, welche Zwecke, welche Speicherdauer, welche Drittlandtransfers.
2. 2
   Aktive Einwilligung – kein vorausgewähltes Häkchen, keine reine Weiternutzung als "Zustimmung".
3. 3
   Gleichwertige Ablehnung – "Ablehnen"-Button muss optisch und inhaltlich genauso prominent sein wie "Akzeptieren". Versteckt im "Einstellungen"-Untermenü ist nicht zulässig.
4. 4
   Granulare Auswahl – Nutzer müssen einzelnen Kategorien (Marketing, Statistik, Komfort) gezielt zustimmen können.
5. 5
   Keine Vorauswahl außerhalb der Kategorie "Notwendig".
6. 6
   Widerruf jederzeit möglich – z. B. über einen Link "Cookie-Einstellungen" im Footer.
7. 7
   Kein "Nudging" – keine Tricks wie eingegrauter Ablehnen-Button, Dark Patterns, Cookie-Walls ohne Alternative.
8. 8
   Lückenlose Dokumentation – wer hat wann welcher Kategorie zugestimmt? Üblicherweise mit Consent-ID, Timestamp und IP-Hash.

Wer einen dieser Punkte verletzt, riskiert Abmahnungen. Typische Forderungssummen 2025: 500–2.000 € pro Vorfall, bei Wiederholung deutlich mehr.

Der Google Consent Mode v2 – was er ist und was er nicht ist

Seit März 2024 verlangt Google von allen Werbetreibenden im EWR den Consent Mode v2 für Google Ads, GA4 und alle Conversion-Tools. Ohne wird das Conversion-Tracking eingeschränkt oder ganz unterbrochen.

Wichtig zu verstehen: Der Consent Mode ist kein Consent-Banner und kein Ersatz für eine rechtsgültige Einwilligung. Es ist eine technische Schnittstelle, mit der Ihr Banner Google sagt:

• ad_storage: erlaubt? (Marketing-Cookies)
• ad_user_data: erlaubt? (Datenweitergabe an Google)
• ad_personalization: erlaubt? (personalisierte Werbung)
• analytics_storage: erlaubt? (Analytics-Cookies)

Bei Ablehnung sendet Google trotzdem anonymisierte Pings ("Cookieless Pings") und modelliert Conversions mithilfe von Machine Learning. Praktisch heißt das: Auch ohne Einwilligung sehen Sie näherungsweise Conversions in Ads – datenschutzrechtlich sauber, weil keine personenbezogenen Daten weitergegeben werden.

Implementierung kurz:

<!-- Default vor Banner-Interaktion: alles abgelehnt -->
<script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}
  gtag('consent', 'default', {
    'ad_storage': 'denied',
    'ad_user_data': 'denied',
    'ad_personalization': 'denied',
    'analytics_storage': 'denied',
    'wait_for_update': 500
  });
</script>

Nach Klick im Banner aktualisiert das CMP (Consent Management Plattform) den State per gtag('consent', 'update', {...}). Standard-CMPs wie Cookiebot, Usercentrics, Borlabs Cookie und Complianz setzen das automatisch um.

Die häufigsten Fehler bei Cookie-Bannern

In Audits sehen wir bei Bestands-Websites diese Probleme regelmäßig:

Punkt eins ist der häufigste Stolperstein: Viele WordPress-Plugins binden ihre Skripte direkt im Theme ein. Der Banner ist hübsch, aber die Tracker laden, bevor der Nutzer klickt. Das ist technisch ein Verstoß gegen § 25 TTDSG – auch wenn der Nutzer nachträglich zustimmt.

Unser Ansatz: Banner-frei statt Banner-perfekt

Bei VisiBuilt bauen wir Websites bewusst so, dass in den meisten Fällen gar kein Cookie-Banner nötig ist. Das ist kein juristischer Trick, sondern eine Architekturentscheidung:

• Schriftarten lokal hosten (woff2 auf der eigenen Domain) statt Google Fonts/Adobe Fonts
• Karten-Einbindung über statische Karten oder selbst gehostete Lösungen (MapLibre + OSM-Tiles); Google Maps nur auf Klick mit Hinweis
• Videos über lokal gehostetes MP4 oder YouTube/Vimeo im Privacy-Mode mit Klick-zu-Laden-Pattern
• Analytics nur server-seitig oder mit Tools wie Plausible Analytics (cookiefrei, EU-gehostet)
• Marketing-Tracking nur dort einsetzen, wo der ROI ein Banner rechtfertigt – sonst weglassen

Die Vorteile:

1. 1
   Keine Banner-Pflicht → keine "Ablehnen"-Klicks, keine Trackingverluste
2. 2
   Schnellere Ladezeit → bessere Core Web Vitals → besseres Ranking
3. 3
   Geringeres Abmahnrisiko
4. 4
   Sauberere Datenschutzerklärung
5. 5
   Höhere Conversion-Rate (Banner stören messbar den ersten Eindruck)

Für die meisten lokalen B2B-Websites unserer Kunden reicht das vollkommen aus. Wer aktives Performance-Marketing mit Meta-Pixel und Google Ads betreibt, braucht trotzdem einen Banner – dann setzen wir Cookiebot oder Borlabs sauber auf.

Welche Cookie-Banner-Lösung für welchen Bedarf?

Es gibt drei sinnvolle Ansätze, je nach Größe und Marketing-Setup:

Wichtig: Auch das beste CMP entbindet Sie nicht von der Pflicht, die Cookie-Liste aktuell zu halten und die Datenschutzerklärung regelmäßig zu prüfen.

Was 2026 zusätzlich wichtig wird

Drei Entwicklungen sollten Sie im Blick haben:

1. EU AI Act & Tracking: Ab 2026 greifen Teile des AI Acts auch im Marketing-Kontext. Profiling auf Basis von Tracking-Daten unterliegt strengeren Anforderungen.

2. Drittlandtransfers nach den USA: Das EU-US Data Privacy Framework (DPF) ist seit Juli 2023 in Kraft, aber juristisch angegriffen ("Schrems III" wird erwartet). Unternehmen sollten sich auf erneute Rechtsunsicherheit vorbereiten – wer EU-only-Tools nutzt, ist unabhängig davon auf der sicheren Seite.

3. Strengere Aufsichtsbehörden: Die Datenschutzkonferenz (DSK) hat 2024 und 2025 mehrfach betont, dass Banner-Designs mit "Dark Patterns" nicht mehr toleriert werden. Behördliche Prüfungen nehmen zu.

Fazit

Ein Cookie-Banner ist kein Standardelement, das auf jede Website gehört. Er ist eine technische Notwendigkeit für Websites, die nicht-essentielle Tracker einsetzen. Wer den Banner braucht, sollte ihn rechtskonform und nutzerfreundlich bauen. Wer ihn vermeiden kann, sollte das tun – im Sinne der Performance, der Conversion und der Rechtssicherheit.

Sie sind sich unsicher, ob Ihre Website einen Banner braucht oder ob der bestehende konform ist?

Wir prüfen Ihre Website auf gesetzte Cookies, Tracker und Drittanbieter und geben Ihnen eine ehrliche Einschätzung – ohne Verkaufsdruck.

→ [Kostenlose Erstberatung anfragen](/kontakt)

Weiterführende Inhalte

• DSGVO-konforme Website: 15-Punkte-Checkliste
• SSL-Zertifikat: Bedeutung für Website und SEO
• Was kostet eine Website 2026?
• Webdesign – Unsere Pakete und unser Ansatz