Cookie-Banner sind für viele Website-Betreiber inzwischen Alltag – doch auch eine kleine Unachtsamkeit kann teuer werden. Immer mehr Unternehmen erhalten Abmahnungen wegen Cookie Banners, weil sie gegen geltende Datenschutzbestimmungen verstoßen. Dabei lassen sich typische Fehler leicht vermeiden, wenn man weiß, worauf zu achten ist. In diesem Beitrag zeigen wir die häufigsten Stolperfallen bei Cookie-Bannern und erklären, wie Sie rechtssicher handeln können, um Abmahnungen und Bußgelder wegen eines fehlerhaften Cookie-Banners zu vermeiden.
Inhaltsverzeichnis
- Was sind Cookies und wozu dienen sie?
- Was ist ein Cookie Banner?
- Wann ist ein Cookie-Banner Pflicht?
- Warum kann man für das Cookie Banner eine Abmahnung erhalten?
- Konsequenz einer Abmahnung für fehlerhafte Cookie Banner:
- Abmahnung wegen Cookie Banner – Typische Fehler
- Sonderfall: Cookie-Walls
- Wann kann man auf einen Cookie-Banner verzichten?
- Fazit
- FAQ Abmahnung Cookie Banner
Was sind Cookies und wozu dienen sie?
Cookies sind kleine Textdateien, die beim Besuch einer Website auf dem Endgerät des Nutzers gespeichert werden. Sie erfüllen unterschiedliche Zwecke, etwa die Speicherung von Spracheinstellungen, das Ermöglichen eines Login-Status oder das Sammeln von Informationen über das Nutzerverhalten.
Man unterscheidet grundsätzlich zwischen technisch notwendigen Cookies (z. B. für die Funktion des Warenkorbs) und technisch nicht notwendigen Cookies, wie z. B. Tracking- oder Marketing-Cookies, die Daten zu Analyse- oder Werbezwecken sammeln.
Was ist ein Cookie Banner?
Ein Cookie-Banner ist ein Hinweis auf einer Website, der Nutzer über die Verwendung von Cookies informiert und ihnen die Möglichkeit gibt, der Nutzung zuzustimmen oder sie abzulehnen. Dabei bezieht sich der Banner insbesondere auf technisch nicht notwendige Cookies, für die eine ausdrückliche Einwilligung erforderlich ist.
Die rechtliche Grundlage für Cookie-Banner ergibt sich aus datenschutzrechtlichen Vorgaben der DSGVO, sowie dem Telekommunikation-Telemedien-Datenschutzgesetz (TDDDG). Ein korrekt eingebundener Cookie-Banner muss transparent, freiwillig, informiert und eindeutig gestaltet sein. Der Nutzer muss aktiv zustimmen, bevor Cookies gesetzt werden dürfen, die nicht unbedingt technisch notwendig sind.
Wann ist ein Cookie-Banner Pflicht?
Ein Cookie-Banner ist immer dann Pflicht, wenn auf einer Website technisch nicht notwendige Cookies eingesetzt werden (§ 25 Absatz 1 TDDDG). Zu den bewilligungspflichtigen Cookies gehören beispielsweise:
- Analyse- und Tracking-Cookies (z.B. Google Analytics)
- Cookies für personalisierte Werbung
- Drittanbieter-Cookies (z.B. YouTube, Facebook)
Dazu zählen nicht nur klassische Cookies, sondern auch ähnliche Tracking-Technologien wie Local Storage, Pixel oder Fingerprinting. Das bedeutet konkret: Tracking- oder Marketing-Cookies dürfen erst dann gesetzt werden, wenn der Nutzer aktiv zugestimmt hat. Um Nutzereinwilligung einzuholen, können Sie auch sogenannte Cookie Consent Tools nutzen.
Warum kann man für das Cookie Banner eine Abmahnung erhalten?
Viele Website-Betreiber unterschätzen das rechtliche Risiko fehlerhafter Cookie-Banner. Neben datenschutzrechtlichen Sanktionen durch Aufsichtsbehörden drohen auch Abmahnungen auf Grundlage des Gesetzes gegen den unlauteren Wettbewerb (UWG). Der Grund: Ein nicht rechtskonformer Cookie-Banner kann einen unlauteren Wettbewerbsvorteil darstellen. Wenn z. B. Cookies ohne gültige Einwilligung gesetzt werden und dadurch ein effektiveres Nutzertracking und personalisierte Werbung möglich ist, verschafft sich der Betreiber gegenüber rechtskonform agierenden Wettbewerbern einen Vorteil – das kann laut § 3a UWG als Verstoß gegen Marktverhaltensregeln abgemahnt werden. Abmahnberechtigt sind in solchen Fällen häufig Konkurrenten, Verbraucherschutzverbände oder auch Mitbewerber.
Typische Abmahngründe sind z. B. voreingestellte Zustimmungshäkchen, das Fehlen einer echten Ablehn-Option, das Setzen von Cookies vor der Einwilligung oder der Einsatz manipulativer Gestaltungselemente („Dark Patterns“). Diese Praxis widerspricht nicht nur der DSGVO und dem TDDDG, sondern kann auch aus wettbewerbsrechtlicher Sicht als unzulässig gelten. Selbst wenn eine Datenschutzaufsicht noch nicht eingeschritten ist, kann also schon eine UWG-Abmahnung finanzielle und rechtliche Folgen nach sich ziehen. Umso wichtiger ist es, Cookie-Banner nicht nur technisch sauber, sondern auch rechtskonform und fair zu gestalten – sowohl im Sinne des Datenschutzes als auch im Interesse eines fairen Wettbewerbs.
Konsequenz einer Abmahnung für fehlerhafte Cookie Banner:
Eine Abmahnung wegen eines fehlerhaften Cookie-Banners kann erhebliche finanzielle Folgen nach sich ziehen. Neben den Abmahnkosten, die je nach Anwalt und Umfang variieren können (oft mehrere hundert Euro), kommt oft eine Unterlassungserklärung hinzu. Verstößt man später gegen diese, drohen empfindliche Vertragsstrafen.
Zusätzlich kann auch eine Aufsichtsbehörde tätig werden. Im Rahmen der DSGVO können Datenschutzbehörden Bußgelder verhängen, insbesondere wenn wiederholt oder vorsätzlich gegen Einwilligungsanforderungen verstoßen wird. Auch Beschwerden von Nutzern können eine Untersuchung auslösen.
Abmahnung wegen Cookie Banner – Typische Fehler
Viele Website-Betreiber machen beim Einsatz von Cookie-Bannern immer wieder dieselben Fehler. Hier die häufigsten:
1.Cookie Banner überdeckt Impressum
Ein häufiger Fehler ist ein Cookie-Banner, das dauerhaft oder bei erstmaligem Besuch das Impressum überlagert.
Laut § 5 Digitale-Dienste-Gesetz (kurz DDG (ehemals § 5 TMG)) muss das Impressum jederzeit leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein. Ist es durch ein Cookie-Banner blockiert, liegt ein klarer Verstoß vor. Gerichte haben dies mehrfach als abmahnfähig eingestuft.
Achten Sie daher darauf, dass der Einwilligungsbanner entweder das Impressum nicht überdeckt oder eine direkte Möglichkeit bietet, dieses trotzdem problemlos aufzurufen. Testen Sie Ihre Website auch auf mobilen Endgeräten, wo Platz knapp ist und Banner schnell solche Inhalte überdecken können.
2.Vorausgewählte Checkboxen
Ein weiterer typischer Fehler ist, dass Checkboxen für Marketing- oder Tracking-Cookies bereits im Cookie Banner aktiviert sind, ohne dass der Nutzer diese Auswahl getroffen hat. Achten Sie darauf, dass Checkboxen nicht automatisch vorausgewählt sind und Nutzer die Möglichkeit haben, diese vorher aktiv anwählen zu können.
Hintergrund: Eine wirksame Einwilligung setzt aktives Handeln des Nutzers voraus. Nutzer müssen also selbst entscheiden können, ob sie zustimmen wollen. Vorausgewählte Optionen gelten nicht als aktive Zustimmung und machen die Einwilligung unwirksam. Dadurch steigt das Risiko für Abmahnung und Bußgelder wegen eines Datenschutzverstoßes.
3.Einwilligung durch „einfach weiter Surfen“
„Mit der weiteren Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu.“ –
Diese Formulierung liest man noch immer häufig in Cookie-Bannern ohne Funktion. Dies ist aber längst nicht mehr zulässig. Das bloße Scrollen oder Weitersurfen auf einer Internetseite stellt in keinem Fall eine Einwilligung dar. Nutzer müssen bewusst in die Verarbeitung ihrer personenbezogenen Daten einwilligen, zum Beispiel durch das Anklicken eines Buttons oder Setzen eines Häkchens. Die stillschweigende Einwilligung durch einfaches Scrollen oder Verbleiben auf der Seite gilt als unzureichend. Vermeiden Sie diesen typischen Fehler in Ihrem Cookie-Banner und setzen Sie stattdessen auf transparente, aktive Einwilligungsmöglichkeiten, um keine Abmahnung zu riskieren.
4.Verstecke Ablehnen-Option
Ein besonders typischer Fehler im Cookie-Banner ist die Gestaltung der Ablehnungsoption. Häufig ist der „Einwilligung“-Button prominent platziert, während die Option zum Ablehnen von Cookies gut versteckt oder gar nicht vorhanden ist. Das widerspricht dem Prinzip der informierten Einwilligung. Nutzer müssen eine echte Wahl haben – dazu gehört auch, Cookies ablehnen zu können, ohne sich durch mehrere Klicks oder Menüs kämpfen zu müssen. Ein gut umgesetzter Cookie-Banner bietet direkt auf der ersten Ebene gleichwertige Optionen: „Alle akzeptieren“ und „Nur notwendige Cookies verwenden“. Beide Buttons sollten gleich sichtbar und leicht anklickbar sein. Wer hier trickst, riskiert Abmahnungen wegen eines fehlerhaften Cookie-Consent-Banners oder ein Bußgeld wegen eines Datenschutzverstoßes.
5.Hervorgehobener ‚Zustimmen‘-Button
Neben der Platzierung spielt auch das Design eine Rolle: Wenn der „Einwilligung“-Button groß, bunt und auffällig gestaltet ist, während die Ablehnungs-Option grau und unscheinbar bleibt, liegt ein sogenanntes „Nudging“ vor. Dabei wird der Nutzer gezielt in eine bestimmte Richtung gelenkt – in diesem Fall zur Zustimmung. Auch das kann als Verstoß gegen die DSGVO gewertet werden, da es die Freiwilligkeit in der Abgabe der Einwilligung beeinträchtigt. Um dies zu vermeiden, sollten alle Auswahlmöglichkeiten gleichwertig präsentiert werden – sowohl optisch als auch funktional. Verzichten Sie auf manipulative Designs und setzen Sie stattdessen auf eine faire, transparente Gestaltung. Das signalisiert Seriosität und schützt Sie vor rechtlichen Risiken.
6.Fehlerhafte technische Einbindung
Auch technisch kann vieles schief laufen: So kann es vorkommen, dass trotz fehlender Einwilligung bereits Tracking-Cookies gesetzt werden – etwa durch falsch konfigurierte Skripte oder Drittanbieter-Tools. In solchen Fällen hilft auch das schönste Banner nichts, denn die Einwilligung muss technisch wirksam sein. Achten Sie darauf, dass Cookies tatsächlich erst nach Zustimmung gesetzt werden und Ihre Consent-Management-Plattform korrekt funktioniert. Prüfen Sie regelmäßig, ob neue Tools oder Updates unbemerkt Tracking aktivieren. Auch externe Inhalte wie YouTube-Videos oder Social-Media-Plugins sollten erst nach Freigabe geladen werden. Eine professionelle technische Umsetzung ist daher ebenso wichtig wie die juristisch saubere Formulierung.
7.Nudging vermeiden
„Nudging“ bezeichnet subtile Gestaltungstricks, mit denen Nutzer zu einer bestimmten Entscheidung gedrängt werden – etwa zur Zustimmung von Cookies. In vielen Cookie-Bannern zeigt sich Nudging dadurch, dass der „Alle akzeptieren“-Button farblich hervorgehoben ist, während die Ablehnungsoption kaum sichtbar oder erst über mehrere Klicks erreichbar ist. Solche ungleichen Gestaltungen können rechtlich problematisch sein, da sie die Entscheidungsfreiheit der Nutzer beeinträchtigen und gegen die Grundsätze der Datenschutz-Grundverordnung (DSGVO) verstoßen. Die Einwilligung muss freiwillig und in voller Informiertheit erfolgen – und das ist nicht gegeben, wenn Nutzer unbewusst in eine Richtung gedrängt werden. Auch Buttongrößen, Farbschemata oder Formulierungen wie „empfohlene Auswahl“ zählen zu manipulativen Elementen, die vermieden werden sollten. Ein fairer, transparenter Cookie-Banner bietet alle Optionen gleichwertig an – sowohl in Platzierung, Design als auch in der sprachlichen Darstellung. Wenn Sie auf manipulationsfreie Gestaltung setzen, schaffen Sie nicht nur rechtliche Sicherheit, sondern stärken auch die Vertrauensbasis zu Ihren Website-Besuchern.
Sonderfall: Cookie-Walls
Cookie-Walls sind eine besonders umstrittene Variante der Einwilligung – dabei wird der Zugang zur Website oder zu bestimmten Inhalten davon abhängig gemacht, dass der Nutzer der Verwendung von Cookies zustimmt. Nach dem Motto: „Zustimmen oder Seite nicht nutzen.“ Aus rechtlicher Sicht ist dieses Vorgehen problematisch, weil die Einwilligung in die Datenverarbeitung laut DSGVO freiwillig erfolgen muss. Eine echte Freiwilligkeit ist jedoch fraglich, wenn der Nutzer keine echte Wahl hat. Die Datenschutzaufsichtsbehörden sehen Cookie-Walls daher meist kritisch und betonen, dass ein alternatives Angebot ohne Tracking bereitgestellt werden muss, wenn eine solche Schranke eingesetzt wird. Besonders bei öffentlich zugänglichen Informationsangeboten – wie Nachrichtenportalen oder Unternehmenswebsites – ist der Einsatz von Cookie-Walls kaum zu rechtfertigen. In bestimmten Fällen, etwa bei klar freiwilligen, registrierungspflichtigen Diensten, kann die Nutzung von Cookie-Walls zulässig sein – aber auch hier gelten strenge Anforderungen. Unternehmen sollten daher genau prüfen, ob eine Cookie-Wall wirklich notwendig und rechtlich vertretbar ist, oder ob nutzerfreundlichere Alternativen wie differenzierte Einwilligungsmodelle sinnvoller sind.
Wann kann man auf einen Cookie-Banner verzichten?
Auf einen Cookie-Banner können Sie verzichten, wenn auf einer Website technisch unbedingt notwendige Cookies eingesetzt werden. Andersherum ausgedrückt: Keine Einwilligung ist erforderlich, wenn das jeweilige Cookie technisch erforderlich ist, um einen vom Nutzer ausdrücklich gewünschte Webseitenfunktion bereitzustellen. Gemeint sind hier z. B. Warenkorb-Cookies im Online-Shop oder Session-Cookies, die für den Login notwendig sind. Für solche technisch notwendigen Cookies ist kein Cookie-Banner mit Auswahlmöglichkeit nötig – ein kurzer Hinweis in der Datenschutzerklärung reicht aus.
Website-Betreiber sollten daher sorgfältig prüfen, welche Tools und Skripte auf ihrer Seite eingebunden sind und ob diese unter die Einwilligungspflicht nach § 25 TDDDG fallen.
Fazit
Cookie-Banner sind ein zentrales Thema im Datenschutz. Wer sie falsch konfiguriert, riskiert nicht nur das Vertrauen seiner Nutzer, sondern auch kostenintensive Abmahnungen und DSGVO-Bußgelder. Website-Betreiber sollten sich mit den rechtlichen Anforderungen intensiv auseinandersetzen und ihre Cookie-Banner sowohl inhaltlich als auch technisch prüfen lassen. Die typischen Fehler lassen sich mit etwas Aufmerksamkeit leicht vermeiden. Ein transparenter, fair gestalteter Einwilligungsbanner bringt nicht nur Rechtssicherheit, sondern auch Pluspunkte in Sachen Nutzererlebnis.
Bei Unsicherheiten empfiehlt sich die Beratung durch einen externen Datenschutzberater.
FAQ Abmahnung Cookie Banner
Nein, nicht jede Website braucht zwingend ein Cookie-Banner. Nur wenn technisch nicht notwendige Cookies (z. B. für Marketing, Tracking oder externe Inhalte) zum Einsatz kommen, ist eine vorherige Einwilligung der Nutzer und damit ein Cookie-Consent-Banner erforderlich.
Cookies sind kleine Textdateien, die auf dem Endgerät des Nutzers gespeichert werden. Sie dienen z. B. dazu, Nutzereinstellungen zu speichern, Logins aufrechtzuerhalten oder das Nutzerverhalten zu analysieren, um Inhalte oder Werbung zu optimieren.
Cookies, die technisch notwendig sind, dürfen ohne Einwilligung gesetzt werden. Dazu zählen z. B.: Warenkorbfunktionen im Onlineshop, Login-Sessions, Spracheinstellungen, Sicherheitsrelevante Cookies.
Für alle nicht technisch notwendigen Cookies ist eine aktive Zustimmung erforderlich. Dazu gehören u. a.:
•Tracking- und Analyse-Tools (z.B. Google Analytics)
•Marketing-Cookies (z. B. Facebook Pixel)
•Einbindung externer Inhalte (z.B. YouTube, Google Maps)
•Social Media Plugins
Diese dürfen erst nach Einwilligung gesetzt werden (Opt-In).
Opt-In bedeutet: Der Nutzer muss aktiv zustimmen, bevor Daten erhoben oder Cookies gesetzt werden dürfen. Die Einwilligung darf nicht vorausgewählt sein und muss freiwillig, informiert und eindeutig erfolgen. Ohne aktives Opt-In dürfen z. B. keine Marketing-Cookies geladen werden
Opt-Out bedeutet: Der Nutzer wird standardmäßig einbezogen, muss aber aktiv widersprechen, wenn er das nicht möchte. Dieses Verfahren ist nicht zulässig für Cookies, die eine Einwilligung erfordern – hier ist Opt-In Pflicht. Opt-Out ist nur in Ausnahmefällen (z. B. bei bestimmten berechtigten Interessen) anwendbar.
Externe Kartendienste wie Google Maps oder OpenStreetMap sollten zunächst blockiert werden. Erst nach Einwilligung dürfen sie geladen werden. Das kann über eine Zwei-Klick-Lösung oder durch eine Vorschau mit Einwilligungsschaltfläche umgesetzt werden. Wichtig ist, die Nutzer vorher über Datenübertragung und Anbieter zu informieren
Google Fonts sollten lokal gehostet werden, um Datentransfers an Google zu vermeiden. Die Einbindung über die Google-Server kann eine Datenschutzrisiko darstellen, weil dabei IP-Adressen an Google übermittelt werden. Lokales Hosting ist technisch unkompliziert und datenschutzkonform. So lassen sich teure Abmahnungen wegen eines fehlerhaften Cookie-Banner vermeiden.
Nudging bezeichnet die beeinflussende Gestaltung von Nutzerentscheidungen, z. B. durch auffällige „Zustimmen“-Buttons und versteckte „Ablehnen“-Optionen. Im Datenschutzkontext ist das problematisch, da die Einwilligung dann nicht mehr als freiwillig gilt. Ein rechtssicherer Banner behandelt beide Optionen gleichwertig.
Ruhe bewahren und nicht vorschnell zahlen oder unterschreiben. Die Abmahnung sollte von einem Datenschutz- oder IT-Rechtsanwalt geprüft werden. Parallel empfiehlt sich eine sofortige Überprüfung und Anpassung des Cookie-Banners. Auch eine Beratung durch Datenschutzexperten kann helfen, dauerhafte Risiken zu vermeiden.
Als „Cookie-Wall“ wird ein Verfahren bezeichnet, das von Nutzenden eines Online-Angebots einfordert, Cookies zu akzeptieren, um das Angebot nutzen zu können. Ausnahmsweise sind Cookie-Walls dann zulässig, wenn ein vergleichbarer Dienst auch ohne Tracking angeboten wird, beispielsweise als bezahlter Dienst.
