Cookie-Banner

Cookie-Banner-Pflicht — Wann ist ein Cookie-Banner erforderlich?

Die Pflicht zum Cookie-Banner entsteht, sobald eine Website nicht-notwendige Cookies oder ähnliche Tracking-Technologien einsetzt. Die relevante Frage ist nicht, ob ein Banner vorhanden ist — sondern ob er technisch sicherstellt, dass diese Technologien erst nach aktiver Einwilligung aktiv werden.

Wann eine Einwilligung erforderlich ist

Die Rechtsgrundlage für die Einwilligungspflicht bei Cookies ergibt sich in Deutschland aus § 25 TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), der die ePrivacy-Richtlinie der EU umsetzt. Eine Einwilligung ist erforderlich für alle Cookies und ähnlichen Tracking-Technologien, die nicht „unbedingt erforderlich" für den technischen Betrieb der Website sind.

Als technisch notwendig gelten zum Beispiel: Session-Cookies, die den Warenkorb aufrechterhalten, Login-Status-Cookies, CSRF-Token. Nicht als technisch notwendig gelten: Analytics-Cookies, Werbe-Cookies, Cookies von Social-Media-Plugins, Tracking-Pixel.

In vielen Fällen funktioniert dieser Ablauf nicht wie angenommen. Ein sichtbarer Banner ist kein verlässlicher Indikator für einen funktionsfähigen Consent-Flow.

Ob diese Konfiguration auf Ihrer Website tatsächlich so umgesetzt ist, lässt sich ohne technische Analyse nicht feststellen. Eine visuelle Prüfung der Website reicht dafür nicht aus.

Ein Cookie-Banner ist kein verlässlicher Indikator dafür, dass Tracking-Skripte tatsächlich erst nach der Einwilligungsentscheidung geladen werden. Das hängt von der technischen Konfiguration mehrerer unabhängiger Systemkomponenten ab.

Nur technisch notwendige Cookies ≠ Cookie-Banner erforderlich

Cookie-Banner vorhanden ≠ Einwilligung vor Skript-Ladevorgang erteilt

Einwilligung gespeichert ≠ Skript-Ladereihenfolge korrekt konfiguriert

Nicht-notwendige Cookies oder Skripte werden in vielen Fällen bereits vor einer Einwilligungsentscheidung geladen.

Die Analyse bildet genau diese technische Prüfung ab — tatsächliche Erreichbarkeit, technische Einbindung und reale Lade- und Verarbeitungsprozesse.

Website prüfen

Warum die Cookie-Banner-Pflicht in der Praxis in vielen Fällen nicht korrekt umgesetzt ist

Ein funktionsfähiger Cookie-Consent-Flow erfordert das explizite Zusammenspiel von mindestens drei unabhängigen Komponenten: dem Consent-Tool (zeigt den Banner, speichert die Entscheidung), dem Script-Lademechanismus (Google Tag Manager oder direktes Script-Management) und den eigentlichen Tracking-Scripts. Diese drei Komponenten stammen typischerweise aus verschiedenen Quellen und werden von verschiedenen Personen konfiguriert.

Fehlt die explizite Konfigurationsverbindung zwischen diesen Komponenten — was typischerweise der Fall ist, wenn sie nicht gemeinsam eingerichtet und getestet wurden — feuern die Tracking-Scripts beim Seitenaufruf, unabhängig vom Consent-Tool. Der Banner erscheint, hat aber keinen technischen Einfluss auf das Skript-Ladeverhalten.

Warum sich korrekte Implementierung von außen erkennen lässt

Ob nicht-notwendige Skripte beim initialen Seitenaufruf — vor jeder Interaktion mit dem Banner — geladen werden, ist durch HTTP-Traffic-Analyse ohne Zugang zur Website-Konfiguration feststellbar. Automatisierte Prüfsysteme rufen die Seite auf und protokollieren alle ausgehenden HTTP-Requests zu bekannten Tracking-Domains. Requests an analytics.google.com, connect.facebook.net oder static.hotjar.com vor jeder Nutzerinteraktion sind dokumentierbar.

Diese Prüfung ist reproduzierbar und skalierbar. Sie wird von Wettbewerbern, Verbänden und Datenschutzbehörden systematisch eingesetzt — bevor der Betreiber von der Prüfung weiß. Diese Prüfung wird systematisch durchgeführt — nicht als Einzelfall, sondern standardisiert und reproduzierbar.

Die Grauzone: Was als „notwendig" gilt

Die Abgrenzung zwischen notwendigen und nicht-notwendigen Cookies ist in der Praxis nicht immer eindeutig. Einige Dienste erfüllen sowohl funktionale als auch analytische Zwecke. Das bedeutet konkret:

  • Ein Chat-Widget, das für Support benötigt wird, setzt Cookies — aber ob diese Cookies notwendig im TTDSG-Sinne sind, hängt von der konkreten Implementierung ab
  • Google Tag Manager setzt selbst Cookies, die bei manchen Konfigurationen als technisch notwendig argumentiert werden — bei anderen nicht
  • Webfonts von Google Fonts setzen keine Cookies, übertragen aber IP-Adressen und fallen damit unter den Datenschutz, nicht unter das TTDSG

Diese Punkte lassen sich nicht zuverlässig manuell prüfen, da sie von technischen Zuständen und Template-Strukturen abhängen.

Welche Cookies auf einer Website tatsächlich gesetzt werden — und welche davon einer Einwilligung bedürfen — lässt sich ohne technische Cookie-Analyse nicht verlässlich feststellen.

Was eine wirksame Einwilligung technisch erfordert

Eine Einwilligung nach § 25 TTDSG und Art. 7 DSGVO muss folgende Anforderungen erfüllen:

  • Freiwilligkeit: Ablehnen muss genauso einfach zugänglich sein wie Zustimmen — kein „X" zum Schließen ohne Ablehnoption, keine versteckte Ablehn-Schaltfläche
  • Informiertheit: Der Nutzer muss verstehen, welchen Diensten er zustimmt — pauschale Formulierungen wie „und Partner" sind nicht ausreichend
  • Aktivität: Vorausgewählte Häkchen, Weitersurfen als Zustimmung oder Timer-basierte Einwilligung sind nicht zulässig
  • Spezifität: Einwilligung muss für einzelne Kategorien (Analytics, Marketing, etc.) separat erteilt werden können
  • Widerrufbarkeit: Der Nutzer muss die Einwilligung jederzeit widerrufen können — mit demselben Aufwand wie die ursprüngliche Einwilligung

Technisch entscheidend: Die Skripte für nicht-notwendige Dienste dürfen erst laden, nachdem die Einwilligung aktiv erteilt wurde — nicht gleichzeitig mit dem Banner-Erscheinen.

Typische Fehlannahme

Annahme: „Ich habe nur einen Google Analytics-Code und ein einziges Cookie — das ist doch nicht so schlimm, da brauche ich keinen aufwändigen Banner."

Tatsächlich: Ein einzelner nicht-notwendiger Cookie begründet dieselbe Einwilligungspflicht wie zehn. Google Analytics setzt beim ersten Seitenaufruf Cookies und überträgt Nutzerdaten — ohne Einwilligung ist diese Verarbeitung nicht rechtmäßig, unabhängig davon, wie viele andere Dienste eingesetzt werden. Die Aufwändigkeit eines Consent-Banners skaliert mit der Zahl der Dienste, nicht mit der Pflicht selbst. Und: Ob Google Analytics bereits beim Seitenaufruf feuert — vor jeder Nutzerinteraktion — ist durch HTTP-Traffic-Analyse von außen nachweisbar, ohne Zugang zur internen Konfiguration der Website.

Warum sich Konformität nicht selbst prüfen lässt

Ob tatsächlich nur technisch notwendige Cookies ohne Einwilligung gesetzt werden, lässt sich nicht durch Anschauen des Cookie-Banners feststellen. Es erfordert eine technische Prüfung der gesetzten Cookies und HTTP-Requests beim Seitenaufruf vor jeder Interaktion mit dem Banner. Ob der Banner Dark Patterns enthält, die die Ablehnung erschweren, lässt sich erst durch Analyse der Interaktionswege erkennen. Ob bei expliziter Ablehnung alle nicht-notwendigen Skripte nicht geladen werden, erfordert einen separaten Test — mit Ablehnung im Banner und anschließender Netzwerkbeobachtung.

Wer diese Tests nicht explizit vorgenommen hat, kann die Frage „Ist mein Cookie-Banner technisch korrekt?" nicht verlässlich beantworten.

Der entscheidende Zustand ist nicht das, was auf der Website sichtbar ist, sondern das, was im Hintergrund technisch passiert. Dieser Zustand ist ohne Analyse nicht zugänglich.

Die Analyse bildet genau diese technische Prüfung ab — tatsächliche Erreichbarkeit, technische Einbindung und reale Lade- und Verarbeitungsprozesse.

Website prüfen
Diese Inhalte stellen keine Rechtsberatung dar. Für verbindliche Einschätzungen wenden Sie sich an eine qualifizierte Fachperson.

Die Einschätzung, dass die eigene Website korrekt umgesetzt ist, basiert in vielen Fällen nicht auf einer technischen Prüfung, sondern auf Annahmen über den Zustand der Implementierung.

Diese Annahmen sind ohne externe Analyse nicht verifizierbar.

In vielen Fällen besteht bereits eine Abweichung zwischen dem angenommenen und dem tatsächlichen Zustand der Website.

Ob Ihre Website Cookies erst nach aktiver Einwilligung setzt, lässt sich ohne technische Prüfung nicht feststellen.

Die Analyse bildet genau diese Prüfung ab.

Website prüfen