Zum Inhalt springen

Cookie-Consent-Banner: Diese Pflichten gelten für Ihre Website

Provimedia 5 Min. Lesezeit 11. Juli 2026
Unternehmerpflichten
Cookie-Consent-Banner: Diese Pflichten gelten für Ihre Website

Wer auf seiner Website Cookies, Tracking-Pixel oder ähnliche Tools einsetzt, die nicht zwingend für den Betrieb der Seite notwendig sind, braucht dafür die vorherige Einwilligung der Besucher. Ein reiner Hinweis-Banner ohne echte Wahlmöglichkeit reicht dafür nicht mehr aus.

Kurz erklärt: Betroffen ist jede Website, auf der nicht technisch notwendige Cookies, Tracking-Pixel oder ähnliche Technologien zum Einsatz kommen. § 25 TDDDG verlangt dafür eine vorherige, aktive Einwilligung der Besucher, bei der Ablehnen genauso leicht möglich sein muss wie Zustimmen. Wer das ignoriert, riskiert Bußgelder bis zu 300.000 Euro.

Wer ist von der Cookie-Consent-Pflicht betroffen?

Betroffen ist jeder Website-Betreiber, der Cookies, Tracking-Pixel oder vergleichbare Technologien einsetzt, die nicht technisch zwingend für die Funktion der Seite erforderlich sind. Das umfasst zum Beispiel Analyse-Tools, Marketing-Pixel, eingebettete Inhalte mit Tracking oder Social-Media-Plugins – nicht aber rein funktionale Elemente wie den Warenkorb oder die Login-Session. Für alle diese nicht notwendigen Technologien schreibt § 25 TDDDG eine vorherige, aktive Einwilligung vor, bevor sie auf dem Endgerät der Besucher gespeichert oder ausgelesen werden. Die Pflicht trifft damit praktisch jede Website mit Analyse-, Marketing- oder Einbettungs-Tools, unabhängig von der Unternehmensgröße oder Rechtsform – vom Einzelunternehmen über den Onlineshop bis zum Verein mit eigener Homepage. Wer eine Agentur oder einen externen Dienstleister mit dem Aufbau der Website beauftragt hat, bleibt als Betreiber trotzdem selbst in der Pflicht, die Einwilligung korrekt einzuholen.

Was müssen Sie konkret tun?

Konkret brauchen Sie ein Consent-Management-Tool, das die Einwilligung einholt, bevor nicht notwendige Skripte überhaupt geladen werden. Bevor ein solches Tool eingerichtet wird, lohnt sich ein Blick auf alle Systeme, die auf der Website eingebunden sind – von Analyse- und Marketing-Tools über Video-Einbettungen bis zu Chat- oder Bewertungs-Widgets. Eine rechtskonforme Umsetzung umfasst dabei folgende Schritte:

  1. Alle eingesetzten Cookies/Tools inventarisieren und in technisch notwendig vs. nicht notwendig einteilen.
  2. Consent-Management-Tool (CMP) einbinden, das Zustimmung VOR dem Laden nicht notwendiger Skripte einholt.
  3. Ablehnen-Option gleichwertig zur Zustimmen-Option gestalten (kein Pre-Checked, kein Nudging).
  4. Einwilligungen dokumentieren/protokollieren und Widerruf jederzeit ermöglichen.
  5. Cookie-/Tool-Liste bei neuen Diensten (z. B. neues Analyse-Tool) laufend aktuell halten.

Ein sauber konfiguriertes Consent-Management-Tool deckt die Dokumentation und Protokollierung der Einwilligungen in der Regel automatisch mit ab, sodass dieser Schritt keinen separaten manuellen Aufwand mehr bedeutet. Welche dieser und weiterer Pflichten konkret für Ihr Unternehmen gelten, zeigt ein Werkzeug wie Company Audit.

Bis wann müssen Sie handeln – und wie oft?

Eine feste Frist oder ein wiederkehrendes Pflichtdatum gibt es hierfür nicht: Die Einwilligungspflicht gilt fortlaufend, ab dem Moment, in dem eine nicht notwendige Technologie eingesetzt wird. Wer bereits eine Website mit Cookies oder Tracking-Tools betreibt, sollte den aktuellen Stand deshalb zeitnah prüfen, statt auf einen bestimmten Stichtag zu warten. Wichtig ist außerdem, die Cookie- und Tool-Liste bei jedem neuen Dienst – etwa einem neuen Analyse- oder Marketing-Tool – laufend zu aktualisieren und die Einwilligung entsprechend anzupassen, statt sie einmalig einzurichten und danach zu vergessen. Wird ein neues Tool eingebunden, ohne die Cookie-Liste und das Consent-Management-Tool anzupassen, entsteht dieselbe Pflichtverletzung wie beim vollständigen Fehlen eines Banners.

Was droht bei einem Verstoß?

Bei einem Verstoß gegen die Einwilligungspflicht drohen Bußgelder von bis zu 300.000 Euro. Betroffen ist insbesondere, wer nicht notwendige Cookies ohne vorherige Einwilligung setzt oder das Ablehnen schwerer gestaltet als das Zustimmen, etwa durch vorangehakte Kästchen oder optisch hervorgehobene Zustimmen-Buttons. Auch ein reiner Cookie-Hinweis-Banner ohne echte Ablehnen-Option erfüllt die Anforderungen von § 25 TDDDG nicht mehr und gilt als Verstoß. Für Unternehmen bedeutet das: Schon die Gestaltung des Banners selbst kann rechtlich relevant sein, nicht nur die Frage, ob überhaupt eines vorhanden ist.

Häufige Fragen

Brauche ich für einfache Reichweitenmessung auch ein Consent-Banner?

Ja, sobald ein Analyse-Tool Cookies setzt oder Daten auf dem Endgerät des Besuchers ausliest, die nicht technisch zwingend notwendig sind, ist eine vorherige Einwilligung erforderlich – unabhängig davon, wie das Tool heißt, wie klein die Website ist oder wofür die Daten genutzt werden.

Reicht ein Banner mit nur einem „Akzeptieren"-Button?

Nein. Das Ablehnen nicht notwendiger Cookies muss genauso leicht möglich sein wie das Zustimmen. Ein Banner ohne gleichwertige, gut sichtbare Ablehnen-Option entspricht nicht den Anforderungen von § 25 TDDDG, selbst wenn ein Hinweistext vorhanden ist.

Muss ich erteilte Einwilligungen dokumentieren?

Ja, erteilte Einwilligungen sollten dokumentiert bzw. protokolliert werden, und Besucher müssen sie jederzeit widerrufen können. Ein sauber konfiguriertes Consent-Management-Tool deckt diese Dokumentation und Protokollierung in der Regel automatisch mit ab.

Was zählt als technisch notwendiges Cookie, für das keine Einwilligung nötig ist?

Technisch notwendig sind Cookies, ohne die eine vom Besucher ausdrücklich gewünschte Funktion nicht funktioniert, etwa der Warenkorb im Onlineshop oder die Session beim Login. Alle Cookies, die darüber hinausgehen – etwa für Analyse, Marketing oder eingebettete Drittanbieter-Inhalte – gelten als nicht notwendig und benötigen eine Einwilligung.

Was passiert, wenn ich ein neues Tool auf der Website einbinde?

Jedes neu eingesetzte Tool muss zunächst in die Einteilung „technisch notwendig" vs. „nicht notwendig" aufgenommen werden. Nicht notwendige Tools dürfen erst laden, nachdem die Einwilligung über das Consent-Management-Tool erteilt wurde; die Cookie-Liste sollte deshalb laufend aktuell gehalten werden, damit kein neues Tool unbemerkt ohne Einwilligung startet.

Quelle: § 25 TDDDG. Dieser Beitrag ist eine allgemeine Information und ersetzt keine Rechtsberatung im Einzelfall. Stand: Juli 2026.

Beitrag teilen

Bleiben Sie auf dem Laufenden

Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.

Bereit für Ihr KI-Kompetenz-Zertifikat?

Sichern Sie sich das anerkannte KI-Zertifikat – flexibel, online und EU-AI-Act-konform.