Der Rechts-Kanon zu 'Kein Cookie-Banner': Art. 6(1)(a) DSGVO, §25 TDDDG, Art. 7. Historisch prägend: BGH I ZR 7/16 'Cookie II' (28.05.2020). Zudem relevant: EuGH C-673/17 'Planet49' (01.10.2019). Für KMU heißt das: Jede Website-Prüfung 2025/26 umfasst diesen Punkt.
Die technische Diagnose: Kein Banner = gesetzlicher Opt-Out reicht nicht; Dark-Pattern-Banner (vorausgewählte Häkchen) unwirksam. Moderne CMS-Plugins (CookieBot, Borlabs, Complianz) lösen das in zwei Mausklicks. Für statische HTML-Seiten genügt eine Template-Änderung in <10 Zeilen.
Unser DSGVO-Check analysiert Ihre Website in 60 Sekunden und zeigt konkrete Risiken auf — inklusive Fehlender Cookie-Banner.
DSGVO-Check starten →Fix-Anleitung: CookieBot, Usercentrics, Complianz oder eigenes Opt-In-Banner (nicht Opt-Out) implementieren. Prüfen Sie anschließend mit unserem Scanner oder einem externen Tool, dass keine Alt-Version im Cache noch durchrutscht.
Wirtschaftlich klar: Fix ~100 € einmalig, Risiko 500–5.000 € Abmahnung + Behördenverfahren. Trotzdem unterschätzen viele KMU das — weil Abmahnungen statistisch als 'passiert anderen' empfunden werden. 2025 sind sie jedoch systematisch und automatisiert.
Aufsichtspraxis: 'Kein Cookie-Banner' wird in der Regel in Kombination mit Google Fonts extern und Kein Impressum geprüft. Die 23 % aller Websites haben gar keinen Banner, 41 % einen unwirksamen sind häufig bei zwei oder drei Punkten gleichzeitig betroffen.
Abmahn-Industrialisierung: Scanner-Bots der Kanzleien durchsuchen gezielt nach 'Kein Cookie-Banner'. Sichtbarkeit ist verpflichtend (Impressum), aber Scan-Muster der Bots sind dokumentiert. Ein eigener automatischer Gegen-Scan (wöchentlich) ist die einfachste Gegenmaßnahme.
Checkliste 'Kein Cookie-Banner': (1) aktuelle Implementierung dokumentieren, (2) technischen Fix planen, (3) Fix ausrollen, (4) mit zwei Scannern nachprüfen, (5) im internen VVT (Art. 30) eintragen, (6) Datenschutzerklärung anpassen, (7) Mitarbeiter informieren.
Starten Sie mit einem 60-Sekunden-Scan. Sie erhalten Score 0–100, priorisierte Aufgaben und direkt umsetzbare Fix-Anleitungen zu 'Kein Cookie-Banner' und neun weiteren Themen.
Der Banner zeigt einen großen 'OK'-Button und versteckt die Ablehnen-Option im Menü oder in den Einstellungen. Unzulässig nach EuGH-Rechtsprechung.
Kategorien wie 'Statistik' oder 'Marketing' sind per Default aktiviert. Das widerspricht dem Freiwilligkeitsprinzip des Art. 4 Nr. 11 DSGVO.
Der Akzeptieren-Button ist grün und groß, der Ablehnen-Button grau und klein. Die psychologische Steuerung unterläuft die Freiwilligkeit.
Analytics oder Social-Pixel werden geladen, während der Banner noch angezeigt wird. Banner ist dann reine Attrappe.
Nach Zustimmung findet der Nutzer keine einfache Möglichkeit mehr, seine Einwilligung zu widerrufen. Art. 7 Abs. 3 DSGVO fordert das ausdrücklich.
Ohne revisionssichere Consent-Logs kann der Verantwortliche im Streitfall nicht nachweisen, dass der Nutzer zugestimmt hat.
Der Banner verdeckt die gesamte Seite, sodass Nutzer gezwungen sind zu klicken. Dies ist ein Fall von 'Consent Wall' und wird zunehmend von Behörden gerügt.
Die Aufzählung der tatsächlich eingesetzten Cookies fehlt oder stimmt nicht mehr mit dem aktuellen Setup überein. Transparenz wird verletzt.
Nutzer widerruft, aber Google-Dienste erhalten das Signal nicht (Consent Mode v2 fehlt). Die technische Umsetzung ist unvollständig.
Die folgenden Fälle zeigen, in welchen Größenordnungen sich die wirtschaftlichen Folgen bewegen. Alle Fälle sind öffentlich oder aus Abmahnregistern dokumentiert.
Diese Checkliste fasst die Mindestanforderungen zusammen. Jeder Punkt, den Sie mit "Nein" beantworten, ist ein potenzielles Risiko.
Für 25 deutsche Großstädte stellen wir detaillierte DSGVO-Analysen mit lokalen Daten bereit. Jede Seite nennt die zuständige Aufsichtsbehörde und stadtspezifische Bußgeld-Fälle.
Öffnen Sie Ihre Website in einem frischen Inkognito-Fenster — nur so sehen Sie den Banner, wie ihn neue Besucher erleben. Prüfen Sie zuerst die Button-Struktur: Sind 'Akzeptieren' und 'Ablehnen' auf derselben Ebene? Haben sie dieselbe Größe, Farbe und visuelle Gewichtung? Wenn der Ablehnen-Button grau ist oder in einem Untermenü versteckt wird, liegt ein Dark Pattern vor, das die Freiwilligkeit der Einwilligung untergräbt.
Als nächstes öffnen Sie die Entwicklertools (F12), wechseln zum Netzwerk-Tab und laden die Seite neu. Prüfen Sie, ob Tracking-Skripte (Google Analytics, Facebook Pixel, LinkedIn Insight Tag, Hotjar) bereits geladen werden, OBWOHL Sie noch keinen Klick im Banner gemacht haben. Jeder solche Request vor Consent ist ein eindeutiger Rechtsverstoß.
Abschließend testen Sie den Widerruf: Klicken Sie im Banner auf 'Akzeptieren', schließen Sie den Dialog, suchen Sie dann auf der Seite nach einer Möglichkeit, Ihre Entscheidung zurückzunehmen. Findet sich kein Footer-Link 'Cookie-Einstellungen' oder ähnlich, ist der Widerruf nicht einfach möglich — ein weiterer potenzieller Verstoß gegen Art. 7 Abs. 3 DSGVO. Tools wie Cookiebot-Scan oder der Web-Skyline DSGVO-Check automatisieren diese Prüfung und liefern in 60 Sekunden eine detaillierte Auswertung mit konkreten Empfehlungen.
Das Landgericht Rostock (Az. 3 O 762/19) hat 2021 gestaffelte Button-Designs als irreführend verworfen. Das Oberlandesgericht Köln (Az. 6 U 124/22) hat 2023 entschieden, dass 'Nur notwendige Cookies' als gleichwertige Option auf der ersten Bannerebene erreichbar sein muss.
Auf europäischer Ebene hat der EuGH in Planet49 (C-673/17) klargestellt, dass voreingestellte Einwilligungen unwirksam sind. Die französische CNIL hat Google mit 150 Millionen Euro Bußgeld belegt, die italienische Garante Microsoft mit 60.000 Euro. In Deutschland sind die behördlichen Bußgelder bislang niedriger, doch die Datenschutzkonferenz hat angekündigt, konsistenter durchzugreifen.
Branchen mit hohem Drittanbieter-Einsatz (Shops, Medien, Reisewebsites, SaaS-Anbieter) haben überproportional viele Cookies und damit erhöhten Consent-Bedarf. Hier lohnt sich eine professionelle CMP mit automatischem Cookie-Scan und Kategorisierung, weil manuelle Pflege bei zehn oder mehr externen Diensten schnell fehleranfällig wird. Im Gesundheitsbereich kommt hinzu, dass Analytics-Integrationen besonders sensibel sind — jedes geladene Tracking-Skript kann Rückschlüsse auf Patientendaten erlauben und muss daher mit besonderer Sorgfalt behandelt werden.
Kleine Dienstleister und Handwerksbetriebe kommen dagegen häufig mit einem minimalistischen Ansatz aus: Verzicht auf Marketing-Tracking, Nutzung cookieloser Analytics (Plausible, Matomo ohne Cookies) und einfacher Consent-Banner für die wenigen tatsächlich gesetzten Cookies. Der Aufwand sinkt damit erheblich, das Compliance-Risiko ebenfalls. Für Blogs und Content-Websites lohnt sich der Blick auf 'consent-freie' Analytics-Lösungen, die gänzlich ohne Einwilligung auskommen und trotzdem solide Nutzungsstatistiken liefern.
Wer ohne große Projekt-Struktur schnell zu einer belastbaren Lösung kommen möchte, arbeitet am besten in drei Phasen. Phase eins (15 Minuten): Bestandsaufnahme mit den oben beschriebenen Selbsttest-Werkzeugen. Dokumentieren Sie per Screenshot, was aktuell problematisch ist. Phase zwei (30 Minuten): Die konkrete technische Korrektur — meist genügt eine Plugin-Installation, ein Hoster-Klick oder eine kleine Code-Änderung. Phase drei (15 Minuten): Überprüfung mit dem Web-Skyline DSGVO-Check und paralleles Nachziehen der Datenschutzerklärung, damit Technik und Text übereinstimmen.
Diese Struktur verhindert den häufigsten Anfängerfehler: die technische Korrektur wird durchgeführt, die Datenschutzerklärung bleibt aber im alten Wortlaut. In der Folge widersprechen Dokument und tatsächliches Verhalten — genau diese Diskrepanz ist ein beliebter Abmahnansatz. Wer das Dreiklang-Modell (prüfen — korrigieren — validieren) diszipliniert umsetzt, reduziert sein Restrisiko auf ein Niveau, das sich im normalen Geschäftsbetrieb nicht weiter rechnen lässt. Eine jährliche Wiederholung des Zyklus (vor allem bei neuen Tools oder Rechtsformänderungen) sichert den erreichten Stand dauerhaft ab.
Die Auswahl einer geeigneten Consent Management Platform (CMP) richtet sich nach Websitegröße, Tech-Stack und Budget. Usercentrics gilt als Marktführer im deutschsprachigen Raum — mit zertifizierter IAB-TCF-v2.2-Konformität, detailliertem Audit-Log, Branchen-spezifischen Templates und nahtloser Integration in Google Tag Manager. Cookiebot bietet vergleichbare Funktionalität mit starkem Fokus auf automatische Website-Scans, die neue Cookies beim Erscheinen automatisch erkennen und klassifizieren. Für WordPress ist Borlabs Cookie eine beliebte Alternative: deutsche Entwicklerfirma, DSGVO-Fokus, einmalige Kauflizenz statt Abo. Complianz (ebenfalls WordPress-Plugin) kombiniert Banner und Datenschutzerklärung-Generator in einem Paket. Wer keine CMP einsetzen möchte, kann mit eigenem Code arbeiten, sollte aber mindestens folgende Features selbst bauen: aktives Opt-In, gleichwertige Buttons, Logging, Widerruf und granulare Steuerung. Die Investition in eine etablierte CMP liegt zwischen 8 Euro monatlich (Borlabs Single-Site-Lizenz jährlich umgerechnet) und 150 Euro monatlich (Enterprise-Pakete mit mehreren Domains). Wichtig: Jede CMP muss individuell konfiguriert werden — ein 'Installieren und fertig' gibt es nicht. Die erste Konfiguration dauert typischerweise 1 bis 3 Stunden, die laufende Pflege 1 bis 2 Stunden pro Quartal.
Ja, sobald die Website nicht zwingend notwendige Cookies oder vergleichbare Technologien einsetzt — das tun die meisten Websites durch Analytics, Marketing-Pixel oder externe Einbindungen.
Session-Cookies für Login, Warenkorb-Cookies, Sprachpräferenz-Cookies, Lastverteilungs-Cookies. Alles, was den vom Nutzer ausdrücklich gewünschten Dienst technisch ermöglicht.
Klar, verständlich, auf Deutsch. Er muss Zweck der Cookies nennen, mindestens zwei gleichwertige Optionen (Akzeptieren/Ablehnen) bieten und auf die Datenschutzerklärung verlinken.
Nein. Das widerspricht dem Freiwilligkeitsprinzip. Die Website muss auch ohne Consent grundsätzlich nutzbar bleiben — nur analytische oder Marketing-Funktionen dürfen wegfallen.
Kleine Tarife ab 8-15 Euro pro Monat, mittlere Anbieter ab 30-80 Euro monatlich, Enterprise-Lösungen zwischen 100 und 500 Euro. Einmalig gekaufte Plugins (Borlabs) ab 39 Euro pro Jahr.
Nein. Die Einwilligung bleibt in der Regel 6 bis 12 Monate gültig. Nach dieser Zeit oder nach Änderungen im Setup (neue Tools) sollte der Banner erneut angezeigt werden.
Jede CMP bietet Consent-Logs: Nutzer-ID (meist anonymisierte Kennung), Zeitstempel, gewählte Kategorien, Banner-Version. Diese Logs müssen revisionssicher mindestens drei Jahre aufbewahrt werden.
60 Sekunden. Keine Anmeldung. Sofort-Ergebnis mit Handlungsempfehlungen.
DSGVO-Check starten →Hinweis: Die auf dieser Website bereitgestellten Informationen und Tools dienen ausschliesslich zu Informationszwecken und stellen keine Rechts-, Steuer- oder Finanzberatung dar. Alle Angaben ohne Gewähr.