Ist ein Cookie-Banner Pflicht?

Die Pflicht ergibt sich aus zwei Gesetzen, die zusammenspielen:

• TDDDG §25 (bis 2024 TTDSG): Alles, was auf dem Endgerät gespeichert oder ausgelesen wird – Cookies, Local Storage, Tracking-IDs – braucht grundsätzlich eine vorherige Einwilligung. Ausnahme: Es ist unbedingt erforderlich, damit der Dienst überhaupt funktioniert.
• DSGVO Art. 6 Abs. 1 lit. a: Für die anschließende Verarbeitung der so gewonnenen Daten – etwa für Analyse oder Marketing – ist regelmäßig nur die Einwilligung die passende Rechtsgrundlage. Ein „berechtigtes Interesse" (Art. 6 Abs. 1 lit. f) reicht für Tracking-Cookies nach herrschender Meinung und Rechtsprechung nicht aus.

Praktisch heißt das: Setzt deine Seite Google Analytics, Meta-Pixel, eingebettete YouTube-Videos, Schriftarten von Drittservern oder andere Marketing- und Statistik-Tools ein, ist ein Einwilligungs-Banner Pflicht. Und zwar bevor diese Tools überhaupt geladen werden.

Kein Banner ist nötig, wenn deine Website ausschließlich technisch notwendige Cookies verwendet und keine Dienste einbindet, die Daten an Dritte übertragen. Als technisch notwendig gelten typischerweise:

• Login- und Session-Cookies, damit Nutzer eingeloggt bleiben
• Warenkorb-Funktionen in einem Shop
• Sicherheits- und Lastverteilungs-Funktionen
• die Speicherung der Consent-Entscheidung selbst

Wichtig: Die Latte liegt hoch. „Notwendig" bedeutet, dass der Dienst ohne das Cookie für den Nutzer nicht funktioniert – nicht, dass es für dich praktisch oder fürs Marketing nützlich ist. Reichweitenmessung, A/B-Tests oder Conversion-Tracking fallen praktisch nie unter die Ausnahme.

Ein verbreiteter Trugschluss: Auch viele scheinbar harmlose Bausteine – eingebettete Maps, externe Fonts, Video-Embeds – laden Daten von Drittservern und lösen damit die Banner-Pflicht aus. Ob du eines brauchst, lässt sich nur durch einen Blick auf alle tatsächlich geladenen Tracker zuverlässig beantworten.

Aus Gesetz und aktueller Rechtsprechung lassen sich klare Mindestanforderungen ableiten:

• „Alles ablehnen" gleichwertig auf der ersten Ebene. Akzeptieren und Ablehnen müssen schon im ersten Layer gleich sichtbar und gleich leicht erreichbar sein. Das VG Hannover (Urteil vom 19.03.2025, Az. 10 A 5385/22) hat ein Banner beanstandet, das auf der ersten Ebene nur „Alle akzeptieren" und „Einstellungen" bot – Ablehnen war erst eine Ebene tiefer möglich. Das genügt nicht.
• Tracker vorher blocken. Tools wie der Google Tag Manager dürfen erst nach wirksamer Einwilligung laden – nicht schon beim Seitenaufruf. Lädt ein Tracker, bevor der Nutzer geklickt hat, ist das Banner reine Kosmetik und die Verarbeitung rechtswidrig.
• Keine Dark Patterns. Ablehnen darf nicht umständlicher sein als Akzeptieren. Keine grell hervorgehobenen Zustimmen-Buttons neben grauen Ablehnen-Links.
• Klare Zwecke und vollständige Anbieterliste. Nutzer müssen verstehen, wofür Daten verarbeitet werden und welche Dritten beteiligt sind.
• Widerruf so einfach wie die Einwilligung. Die Entscheidung muss jederzeit änderbar sein.

Fehlt auch nur einer dieser Punkte, riskierst du Abmahnungen, Beschwerden und im Ernstfall Bußgelder durch die Aufsichtsbehörden.

• „Ein Banner reicht – egal wie." Falsch. Ein Banner ohne gleichwertigen Ablehnen-Button oder mit vorab ladenden Trackern schützt dich nicht, sondern dokumentiert sogar den Verstoß.
• „Berechtigtes Interesse genügt für Analytics." Nein. Für Marketing- und Statistik-Cookies ist die Einwilligung die einzig tragfähige Grundlage.
• „Ein einmal gesetztes Banner bleibt rechtssicher." Nein. Sobald ein neues Tool, Plugin oder Embed dazukommt, ändert sich die Tracker-Landschaft. Ohne regelmäßigen Scan veraltet jede Einwilligungslösung.

Gerade für Webagenturen und Freelancer mit mehreren Kundenseiten wird das schnell unübersichtlich: Jede Website hat eine andere Tracker-Liste, und jedes Plugin-Update kann neue Cookies mitbringen.

Du willst auf Nummer sicher gehen? Mach den kostenlosen Website-Scan von BlueOcean Privacy AI. Er zeigt dir in Minuten, welche Tracker deine Seiten wirklich laden und ob dein Banner den Anforderungen genügt – für alle deine Mandanten aus einem Cockpit, ab 49 €/Monat für 5 Mandanten, DE-gehostet und ohne Per-Domain-Aufschlag. Jetzt scannen oder kostenlosen Beratungstermin sichern.