Zum Inhalt springen
Persönlich aus der Region Hildesheim
Recht und Datenschutz

Cookie-Banner 2026: Was Ihre Website erfüllen muss

Was verlangt § 25 TDDDG von Ihrer Website? Wann Sie ein Cookie-Banner brauchen, wie es rechtssicher aussieht und welche Fehler abgemahnt werden - der Leitfaden.

13 Min. Lesezeit DSGVOTDDDGCookie-ConsentWebsite-Recht

Cookie-Banner sind vielen Betrieben ein Ärgernis - lästig für Besucher, unklar für Betreiber und rechtlich ein Minenfeld. 2026 rückt das Thema erneut nach vorn: Mit dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) gilt in Deutschland eine klare Regel, wann eine Website eine aktive Einwilligung braucht - und die Aufsichtsbehörden setzen sie zunehmend durch (DSK). Für kleine und mittlere Betriebe in und um Hildesheim heißt das: Ein Banner allein genügt nicht, es muss richtig gebaut sein. Dieser Beitrag erklärt sachlich, was § 25 TDDDG verlangt, wann Sie überhaupt ein Banner brauchen, wie ein rechtssicheres Banner konkret aussieht und welche Fehler abgemahnt werden. Als Internetagentur aus der Region Hildesheim begleiten wir lokale Unternehmen dabei, Datenschutz und Cookie-Einwilligung ruhig und korrekt umzusetzen - ohne Panik, aber mit dem nötigen Ernst.

Tagespflege-Website: freie Plätze schneller belegenBelegungsplan Tagespflege heutebelegtfrei - jetzt buchbar6 freie Plätze - sofort auf der Website sichtbarVon der Website zur Belegungsanfrage1Angehörige suchen onlinemeist mobil und abends (Bitkom)2Website zeigt freie Plätzeaktuelle Belegung sichtbar3Tagesablauf und Fahrdienstnachvollziehbar erklärt4Belegungsanfrage abgeschicktaus Besuch wird Kontakt70,5%Auslastung der Tagespflege, Okt. 2023 (pflegemarkt.com)86%der Pflegebedürftigen zu Hause versorgt (Stat. Bundesamt)89,7%vollstationäre Pflege ausgelastet, 2023 (Statista)Freie Plätze sichtbar machen | Tagesablauf erklären | Fahrdienst zeigen | Vertrauen aufbauen | Belegungsanfrage

Warum Cookie-Banner 2026 wieder Thema sind

Die rechtliche Grundlage für Cookies heißt seit Mai 2024 nicht mehr TTDSG, sondern Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, kurz TDDDG (TDDDG). Inhaltlich hat sich der Kern nicht geändert: Der zentrale § 25 regelt, wann eine Website Informationen auf dem Endgerät speichern oder auslesen darf. Neu ist die Tonlage der Durchsetzung. Lange wurden fehlerhafte Banner geduldet, doch die Aufsichtsbehörden prüfen inzwischen konsequenter, ob Einwilligungen wirklich freiwillig und informiert eingeholt werden (DSK).

Dass es dabei nicht um Kleinigkeiten geht, zeigen aktuelle Verfahren im Ausland: Die französische Aufsichtsbehörde CNIL verhängte im September 2025 Bußgelder von 150 Millionen Euro und 325 Millionen Euro gegen zwei Konzerne, weil deren Cookie- und Einwilligungsgestaltung Nutzer in Richtung Zustimmung drängte (CNIL). Solche Summen betreffen Großunternehmen - für den deutschen Mittelstand ist die nationale Obergrenze relevanter: Verstöße gegen § 25 TDDDG können mit bis zu 300.000 Euro geahndet werden (§ 28 TDDDG). Hinzu kommt das praktische Risiko wettbewerbsrechtlicher Abmahnungen durch Mitbewerber.

Zwei Gesetze, zwei Ebenen

Cookie-Einwilligung berührt zwei Regelwerke gleichzeitig. Das TDDDG regelt in § 25 den rein technischen Vorgang - das Speichern oder Auslesen von Informationen auf dem Endgerät, unabhängig davon, ob dabei personenbezogene Daten anfallen (TDDDG). Werden anschließend personenbezogene Daten verarbeitet, greift zusätzlich die Datenschutz-Grundverordnung mit ihren Anforderungen an eine wirksame Einwilligung (DSGVO). Beide Ebenen müssen erfüllt sein - das eine ersetzt das andere nicht.

Was § 25 TDDDG konkret verlangt

Die Regel ist kurz und weitreichend zugleich: Jede Speicherung von Informationen auf dem Endgerät eines Nutzers und jeder Zugriff auf bereits gespeicherte Informationen ist nur mit vorheriger Einwilligung auf Basis klarer und umfassender Informationen zulässig (§ 25 TDDDG). Das gilt nicht nur für klassische Cookies, sondern für jede vergleichbare Technik - etwa LocalStorage, Tracking-Pixel oder Geräte-Fingerprinting. Entscheidend ist der Zugriff auf das Gerät, nicht die Bezeichnung der Technologie.

Die Grundregel: erst fragen, dann setzen

Nicht zwingend notwendige Cookies dürfen erst gesetzt werden, nachdem der Nutzer aktiv zugestimmt hat - nicht vorher und nicht auf Verdacht. Eine reine Vorab-Information ohne Zustimmung reicht nicht, ebenso wenig vorangekreuzte Kästchen: Der Europäische Gerichtshof hat bereits entschieden, dass eine Einwilligung per bereits gesetztem Häkchen unwirksam ist (EuGH, Planet49). Der Bundesgerichtshof hat diese Linie für Deutschland bestätigt und die aktive Einwilligung zur Pflicht gemacht (BGH).

Damit eine Einwilligung wirksam ist, muss sie den Anforderungen der DSGVO genügen: freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich abgegeben (Art. 4 Nr. 11 DSGVO). Und sie muss so einfach widerrufbar sein, wie sie erteilt wurde - der Nutzer muss seine Entscheidung jederzeit ändern können (Art. 7 Abs. 3 DSGVO). Ein Banner, das nur ein einziges Mal beim ersten Besuch erscheint und danach keinen Weg zurück lässt, erfüllt diese Vorgabe nicht.

Wann Sie überhaupt ein Banner brauchen

Eine verbreitete Fehlannahme lautet: Jede Website braucht ein Cookie-Banner. Das stimmt nicht. Der Gesetzgeber unterscheidet klar zwischen technisch notwendigen Cookies, die den Betrieb der Seite erst ermöglichen, und allem, was darüber hinausgeht. Technisch notwendige Speicherung ist ausdrücklich von der Einwilligungspflicht ausgenommen (§ 25 Abs. 2 TDDDG). Analyse- und Marketing-Techniken dagegen sind fast nie notwendig in diesem engen Sinne - sie brauchen eine Einwilligung.

Warenkorb und Bestellprozess

Ein Warenkorb, der Ihre Auswahl über mehrere Seiten hält, und die Session-Cookies eines Bestell- oder Login-Vorgangs sind technisch notwendig. Ohne sie funktioniert der Kern der Seite nicht - dafür braucht es kein Banner (§ 25 Abs. 2 TDDDG).

Sicherheit und Grundfunktion

Cookies für Lastverteilung, Betrugsschutz oder das Speichern der ausgewählten Sprache gelten in der Regel als notwendig. Auch das Cookie, das Ihre getroffene Cookie-Entscheidung merkt, ist zustimmungsfrei erlaubt.

Reichweiten- und Analyse-Tools

Werkzeuge, die messen, welche Seiten wie oft besucht werden, sind kein notwendiger Bestandteil des Angebots. Sie verarbeiten Nutzungsdaten zu Auswertungszwecken und benötigen daher eine aktive Einwilligung.

Marketing, Retargeting und Embeds

Marketing- und Retargeting-Pixel, eingebettete Karten oder Videos externer Anbieter sowie A/B-Test-Werkzeuge setzen fast immer Cookies oder laden Drittinhalte. Sie fallen unter die Einwilligungspflicht.

Zweck des CookiesEinwilligung nötig?Begründung
Warenkorb und Login-Sessionnicht enthalten Technisch notwendig für den Betrieb
Gemerkte Sprach- oder Cookie-Wahlnicht enthalten Grundfunktion, ausdrücklich ausgenommen
Reichweitenmessung und Analyseenthalten Dient der Auswertung, nicht dem Betrieb
Marketing- und Retargeting-Pixelenthalten Verarbeitung zu Werbezwecken
Eingebettete Karte oder Videoenthalten Lädt Drittinhalte und setzt Cookies

So prüfen Sie Ihren Bedarf

Verschaffen Sie sich zuerst einen Überblick, welche Cookies und externen Dienste Ihre Seite tatsächlich lädt. Wenn ausschließlich technisch notwendige Cookies zum Einsatz kommen - etwa auf einer reinen Informationsseite mit Kontaktformular - brauchen Sie in der Regel kein Banner. Sobald aber ein Analyse-Tool, ein Marketing-Pixel oder eine eingebettete Karte hinzukommt, wird eine korrekte Einwilligung Pflicht. Im Zweifel klären wir Ihren konkreten Funktionsumfang gemeinsam, bevor Aufwand entsteht.

Wenn ein Banner nötig ist, entscheidet die Gestaltung über die Rechtssicherheit. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat dazu eine Orientierungshilfe für Anbieter digitaler Dienste veröffentlicht (Stand November 2024), die den Maßstab vorgibt (DSK). Ihr Kerngedanke: Der Nutzer muss eine echte, freie Wahl haben - und die Ablehnung darf nicht schwerer sein als die Zustimmung.

  • Keine vorangekreuzten Kästchen: Sämtliche einwilligungspflichtigen Kategorien sind zu Beginn deaktiviert. Zustimmung entsteht nur durch eine aktive Handlung des Nutzers.
  • Ablehnen so einfach wie Zustimmen: Auf der ersten Ebene des Banners steht neben dem Zustimmen-Button ein gleichwertiger Ablehnen-Button - gleich sichtbar, gleiche Ebene, nicht in Text versteckt (DSK).
  • Granulare Information: Der Nutzer erfährt, welche Dienste welcher Anbieter zum Einsatz kommen, zu welchem Zweck und wie lange die Cookies gespeichert werden.
  • Hinweis auf Drittländer: Werden Daten in Länder außerhalb der EU übermittelt, ist darüber transparent zu informieren.
  • Widerruf jederzeit: Ein dauerhaft erreichbarer Weg - etwa ein Link im Footer - erlaubt es, die einmal getroffene Entscheidung später zu ändern (Art. 7 Abs. 3 DSGVO).
  • Keine Nötigung: Farbliche Tricks, die den Ablehnen-Button verstecken, oder eine Bedienung, die faktisch nur den Weg zur Zustimmung offenlässt, sind unzulässig.

Ablehnen so einfach wie Zustimmen

Die wohl wichtigste einzelne Anforderung: Die Aufsichtsbehörden verlangen, dass die Ablehnung als gleichwertige Alternative zur Zustimmung angeboten wird. Gleichwertigkeit meint dabei nicht nur die Gestaltung, sondern auch die Position - ein gleich aussehender Button genügt nicht, wenn er nicht auf derselben Ebene und in gleicher Erreichbarkeit steht wie der Zustimmen-Button (DSK). Ein Banner mit nur einem Zustimmen-Button erfüllt die Vorgaben nicht.

Diese Anforderungen lassen sich technisch sauber umsetzen, ohne dass die Seite überladen wirkt. Wichtig ist, dass das Banner die aktive Zustimmung tatsächlich abwartet, bevor irgendein einwilligungspflichtiger Dienst geladen wird - und dass es dieselbe Sorgfalt auf allen Endgeräten zeigt. Gerade auf dem Smartphone geraten Banner schnell zu groß oder verdecken den Inhalt; wie sich Bedienbarkeit und Banner auf kleinen Displays vertragen, ist Teil eines durchdachten mobile-first gedachten Webdesigns.

Verbreitete Fehler, die abgemahnt werden

Wo Banner scheitern, ähneln sich die Muster. Der Europäische Datenschutzausschuss hat mit seiner Cookie Banner Taskforce - einem Zusammenschluss aus dem Ausschuss und 18 nationalen Aufsichtsbehörden - im Januar 2023 einen Katalog typischer Verstöße veröffentlicht, der bis heute den Prüfmaßstab prägt (EDPB). Die häufigsten Fehler sind keine Grauzonen, sondern klar benannt.

  • Kein Ablehnen auf der ersten Ebene: Ein Banner zeigt nur Zustimmen und verweist die Ablehnung in ein Untermenü. Die Mehrheit der Behörden wertet das als Verstoß (EDPB).
  • Irreführende Farben und Kontraste: Der Zustimmen-Button leuchtet, der Ablehnen-Button verschwimmt mit dem Hintergrund - eine Gestaltung, die den Nutzer lenkt statt frei wählen zu lassen (EDPB).
  • Ablehnung im Fließtext versteckt: Der Weg, ohne Zustimmung fortzufahren, ist in einem Textblock vergraben und kaum auffindbar (EDPB).
  • Falsch eingestufte Cookies: Analyse- oder Marketing-Cookies werden als notwendig deklariert, um die Einwilligung zu umgehen (EDPB).
  • Vorausgewählte Zustimmung: Kästchen sind bereits angekreuzt - auch auf der zweiten Ebene der Einstellungen unzulässig (EDPB).
  • Cookies vor der Entscheidung: Der wohl häufigste technische Fehler ist, dass Tracking bereits lädt, bevor der Nutzer überhaupt reagiert hat (EDPB).

Eine Einwilligung, die keine echte Wahl lässt, ist keine Einwilligung. Wer die Ablehnung erschwert, riskiert, dass die gesamte Zustimmung als unwirksam gilt - und damit jede darauf gestützte Datenverarbeitung.

Grundgedanke der Aufsichtsbehörden zur Freiwilligkeit

EinwV und die schärfere Durchsetzung

Ein Baustein soll die Banner-Flut langfristig entlasten: die Einwilligungsverwaltungsverordnung (EinwV), in Kraft seit dem 1. April 2025 (EinwV). Sie stützt sich auf § 26 TDDDG und schafft den Rahmen für zentrale Einwilligungsdienste - die Idee, dass Nutzer ihre Cookie-Präferenzen einmal zentral hinterlegen, statt sie auf jeder Website neu zu setzen. Der erste solche Dienst wurde am 17. Oktober 2025 offiziell anerkannt (BfDI). In der Praxis ändert das für Websitebetreiber vorerst wenig: Solange kaum anerkannte Dienste verfügbar sind und keine Pflicht besteht, zentrale Einwilligungen zu berücksichtigen, bleibt das eigene Banner die maßgebliche Lösung.

Wichtiger für den Alltag ist die Durchsetzung. Verstöße können zwei Wege nehmen: die behördliche Marktüberwachung, die Mängel feststellt, Fristen setzt und Bußgelder bis zu 300.000 Euro verhängen kann (§ 28 TDDDG), sowie die datenschutzrechtliche Ebene der DSGVO. Fehler bei den Grundsätzen der Einwilligung fallen dort in die höchste Bußgeldkategorie von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes (Art. 83 DSGVO). Für lokale Betriebe ist die reale Gefahr selten das Maximalbußgeld, sondern eher die wettbewerbsrechtliche Abmahnung eines Mitbewerbers - lästig, aber vermeidbar.

Abmahn- und Bußgeldrisiko

Dass Aufsichtsbehörden bei der Einwilligungsgestaltung ernst machen, zeigen die Millionenbußgelder gegen große Plattformen (CNIL). Für kleine und mittlere Betriebe ist die Wahrscheinlichkeit eines solchen Verfahrens gering - das eigentliche Ärgernis sind Abmahnungen und die Rechtsunsicherheit eines fehlerhaften Banners. Beides lässt sich mit einer sauberen Umsetzung von vornherein entschärfen. Dieser Beitrag ersetzt keine Rechtsberatung; die genannten Beträge sind gesetzliche Obergrenzen, keine automatischen Sanktionen.

Ein rechtssicheres Banner ist keine einmalige Aufgabe, die man abhakt. Die Realität einer Website ist in Bewegung: Es kommt ein neues Tool hinzu, ein eingebettetes Video wird ergänzt, ein Dienstleister wechselt seinen Anbieter - und schon stimmt die im Banner hinterlegte Cookie-Liste nicht mehr mit dem überein, was die Seite tatsächlich lädt. Auch die rechtliche Einordnung entwickelt sich weiter, etwa wenn die Aufsichtsbehörden ihre Orientierungshilfe aktualisieren (DSK). Ein Banner, das vor zwei Jahren korrekt war, kann heute lückenhaft sein.

Consent-Tool aktuell halten

Das eingesetzte Consent-Werkzeug wird gepflegt und an neue Anforderungen angepasst, damit Ablehnen-Button, Ebenen und Widerruf weiterhin den Vorgaben entsprechen.

Cookie-Liste und Texte pflegen

Neue Dienste werden in die Cookie-Liste aufgenommen, entfallene entfernt und die Datenschutzerklärung entsprechend nachgezogen - damit Banner und Realität übereinstimmen.

Rechtslage beobachten

Ändern sich Gesetze oder die Orientierungshilfen der Behörden, wird das Banner rechtzeitig angepasst, statt erst nach einer Beanstandung zu reagieren.

Genau hier setzt eine laufende Website-Wartung aus Hildesheim an: Sie hält Consent-Tool, Cookie-Liste und Datenschutz-Texte aktuell, wenn sich Tools oder Rechtslage ändern. Das ist bewusst etwas anderes als die technische Absicherung gegen Angriffe - worum es beim Schutz vor Hackern und Ausfällen geht, haben wir im Beitrag zur Website-Wartung und Sicherheit beschrieben. Beim Cookie-Consent geht es ausschließlich um Datenschutz: die richtige Einwilligung, dokumentiert und dauerhaft gepflegt.

Für lokale Betriebe zahlt sich eine saubere Umsetzung doppelt aus. Ein korrektes Banner schafft Rechtssicherheit, und ein Consent, das die Ablehnung fair anbietet, wirkt vertrauenswürdiger als ein aufdringliches Layout. Datenschutz reiht sich damit in dieselbe Sorgfalt ein, mit der wir Websites gestalten, in der Suche sichtbar machen und technisch barrierefrei nach BFSG aufbauen. Wer ohnehin über den Aufbau und die Kosten einer neuen Website nachdenkt oder abwägt, ob sich das Budget besser in Google Ads oder SEO lohnt, sollte den korrekten Consent von Anfang an mitplanen - er lässt sich in einem sauber gebauten Webauftritt deutlich einfacher pflegen als in einer gewachsenen Altstruktur.

Dieser Artikel basiert auf Daten aus: Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, insbesondere § 25, § 26 und § 28) zu Einwilligungspflicht, notwendigen Cookies und Bußgeldrahmen, Datenschutz-Grundverordnung (DSGVO, Art. 4 Nr. 11, Art. 7 und Art. 83) zu wirksamer Einwilligung und Sanktionen, Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) mit der Orientierungshilfe für Anbieter digitaler Dienste, Einwilligungsverwaltungsverordnung (EinwV) und Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) zur zentralen Einwilligungsverwaltung, Europäischer Datenschutzausschuss (EDPB) mit dem Bericht der Cookie Banner Taskforce, Gerichtshof der Europäischen Union (EuGH, Planet49) und Bundesgerichtshof (BGH) zur aktiven Einwilligung sowie Commission nationale de l'informatique et des libertés (CNIL) zu aktuellen Bußgeldern. Der Beitrag ersetzt keine Rechtsberatung; genannte Beträge sind gesetzliche Obergrenzen und keine automatischen Sanktionen.