Fast jede Website hat heute einen Cookie-Banner. Und fast jeder zweite, den wir auf Kundenseiten prüfen, ist falsch eingestellt. Das ist kein Schönheitsfehler: Ein fehlerhafter Banner sammelt Einwilligungen ein, die rechtlich keine sind — und genau das wird teuer, wenn eine Aufsichtsbehörde oder ein Mitbewerber genauer hinschaut.
Die gute Nachricht: Die häufigsten Fehler sind immer dieselben, und sie lassen sich in einer halben Stunde beheben. Hier sind die fünf, die uns 2026 am häufigsten begegnen.
Worauf kommt es rechtlich überhaupt an?
Seit der Reform heißt das maßgebliche Gesetz TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), das im Mai 2024 das frühere TTDSG abgelöst hat. Der entscheidende Paragraf ist § 25: Wer Informationen auf dem Gerät eines Besuchers speichert oder ausliest — also Cookies setzt oder ähnliche Techniken nutzt — braucht dafür eine Einwilligung. Ausgenommen sind nur Cookies, die für den Betrieb der Seite technisch zwingend nötig sind, etwa der Warenkorb in einem Shop oder die Session beim Login.
Alles andere — Statistik, Karten, eingebettete Videos, Marketing-Pixel — darf erst laden, nachdem der Besucher zugestimmt hat. Klingt simpel, scheitert aber an den Details.
Fehler 1: Tracking lädt schon vor der Einwilligung
Der häufigste und folgenreichste Fehler. Der Banner ist noch zu sehen, aber Google Analytics, der Meta-Pixel oder eine eingebettete YouTube-Vorschau haben längst Daten übertragen. Damit ist die Einwilligung wertlos, denn sie kommt zu spät.
Prüfen Sie das selbst: Öffnen Sie Ihre Seite im Browser, drücken Sie F12, gehen Sie auf den Reiter „Netzwerk" und laden Sie neu — ohne auf den Banner zu klicken. Taucht dort schon eine Verbindung zu google-analytics.com oder facebook.com auf, lädt Ihr Tracking zu früh. Wie schnell daraus ein Bußgeld wird, haben wir am Beispiel eines Meta-Pixel-Falls beschrieben: Meta-Pixel ohne Einwilligung.
Fehler 2: „Ablehnen" ist versteckt oder fehlt ganz
Ein großer, bunter „Alle akzeptieren"-Knopf — und „Ablehnen" nur als grauer Link im Kleingedruckten oder erst eine Ebene tiefer in den Einstellungen. Das ist der Klassiker, und er ist nach Auffassung der deutschen Aufsichtsbehörden unzulässig.
Die Regel ist einfach: Ablehnen muss genauso leicht sein wie Annehmen. Steht „Akzeptieren" auf der ersten Ebene, muss „Ablehnen" gleichwertig daneben stehen — gleiche Ebene, vergleichbare Größe, vergleichbare Farbe. Ein einziger Klick zum Ablehnen, nicht drei.
Setzen Sie sich kurz selbst auf die Besucherseite: Schaffen Sie es, das Tracking in einem Klick abzulehnen? Wenn nein, ist Ihr Banner zu aufwendig gebaut — und rechtlich angreifbar.
Fehler 3: Vorausgewählte Häkchen
Manche Banner kommen mit bereits gesetzten Häkchen bei „Statistik" und „Marketing". Der Besucher muss aktiv abwählen, statt aktiv zuzustimmen. Das ist seit Jahren eindeutig unzulässig: Der Europäische Gerichtshof hat schon 2019 im Verfahren Planet49 entschieden, dass eine Einwilligung eine aktive Handlung verlangt — ein vorab angekreuztes Kästchen genügt nicht. Der Bundesgerichtshof hat das 2020 bestätigt.
Voreinstellung also immer: alles aus, außer den technisch notwendigen Cookies.
Fehler 4: Die Einwilligung lässt sich nicht widerrufen
Wer einmal zugestimmt hat, muss seine Meinung jederzeit ändern können — und zwar so unkompliziert, wie er zugestimmt hat. Das verlangt Artikel 7 der DSGVO ausdrücklich. In der Praxis fehlt dafür oft jede Möglichkeit: Der Banner erscheint nach dem ersten Klick nie wieder, einen „Cookie-Einstellungen"-Link im Footer gibt es nicht.
Bauen Sie einen dauerhaft erreichbaren Link ein, der den Banner erneut öffnet — meist als kleiner Eintrag im Footer neben Impressum und Datenschutzerklärung.
Fehler 5: Banner ja, Datenschutzerklärung nein
Der Banner allein reicht nicht. Er verweist auf die Datenschutzerklärung, und die muss tatsächlich beschreiben, welche Dienste Sie einsetzen, was sie speichern und wie lange. Wir sehen oft Banner, die fünf Tracking-Dienste abfragen, während in der Datenschutzerklärung nur von „Google Analytics" die Rede ist — oder umgekehrt. Beides muss zusammenpassen.
Ein praktischer Nebeneffekt: Wenn Sie Ihre Datenschutzerklärung sauber pflegen, wissen Sie selbst genau, welche Dienste auf Ihrer Seite laufen. Erstaunlich viele Betriebe wissen das nicht.
Wie prüfe ich meinen eigenen Banner in zehn Minuten?
Eine kurze Checkliste, die Sie ohne technisches Wissen durchgehen können:
- Lädt Tracking erst nach dem Klick auf „Akzeptieren"? (F12 → Netzwerk)
- Gibt es einen „Ablehnen"-Knopf auf der ersten Ebene, gleichwertig zu „Akzeptieren"?
- Sind alle optionalen Häkchen standardmäßig aus?
- Komme ich später über einen Footer-Link wieder an die Einstellungen?
- Deckt sich die Datenschutzerklärung mit den Diensten im Banner?
Fünfmal Ja heißt: Sie sind auf der sicheren Seite. Jedes Nein ist ein konkreter Punkt, den Sie heute noch abhaken können.
Cookie-Banner sind kein Selbstzweck und kein Marketing-Element — sie sind eine Pflicht, die man entweder richtig oder gar nicht macht. Wer hier sauber arbeitet, schützt sich vor Abmahnungen und Bußgeldern und zeigt Besuchern nebenbei, dass er ihre Daten ernst nimmt. Wenn Sie unsicher sind, ob bei Ihnen alles passt, schauen wir uns Ihren Banner gern an — meist ist es eine Sache von Minuten, nicht von Tagen. Welche Werkzeuge dabei helfen, haben wir in unserem Website-Werkzeugkasten 2026 zusammengestellt.
Lass uns über dein Projekt sprechen.
30 Minuten Erstgespräch, kostenlos und unverbindlich. Konkrete Antworten statt Sales-Pitch.
→ Kontakt aufnehmen