DSGVO-Wissen · cookie banner rechtssicher
Cookie-Banner rechtssicher — § 25 TTDSG umsetzen, nicht nur dekorieren
Seit Mai 2021 verlangt § 25 TTDSG (jetzt TDDDG) eine echte Einwilligung vor jedem nicht-essentiellen Cookie. Die meisten Cookie-Banner erfuellen das nicht — sie sind Show, kein Schutz. Was wirklich verlangt wird.
Was sagt § 25 TTDSG / TDDDG genau?
Sinngemaess: "Die Speicherung von Informationen in der Endeinrichtung des Endnutzers ist nur zulaessig, wenn der Endnutzer ... auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat."
Wichtig: Diese Pflicht greift vor jedem nicht-essentiellen Cookie und vor jedem nicht-essentiellen Skript — also auch vor Google Analytics, Tag Manager, Facebook Pixel, Hotjar, etc.
Grundlage: § 25 Abs. 1 TTDSG (seit Mai 2021) · nahtlos uebernommen ins TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, in Kraft Mai 2024).
Was ein rechtssicheres Banner leisten muss
- Aktive Einwilligung: Nutzer muss aktiv klicken (z.B. "Akzeptieren"). Vorausgewaehlte Checkboxen sind unzulaessig (EuGH C-673/17 — Planet49).
- Gleichwertige Ablehnung: "Alle ablehnen" muss genauso prominent sein wie "Alle akzeptieren". Versteckt im Untermenu = unzulaessig (BGH I ZR 186/17).
- Granulare Auswahl: Nutzer muss einzelne Kategorien (Statistik, Marketing, etc.) waehlen koennen.
- Vor jedem Tracking: Keine Cookies, kein Script-Load bevor der Klick erfolgt ist.
- Widerrufbar: Es muss eine Moeglichkeit geben, die Einwilligung jederzeit zu widerrufen (z.B. permanent eingeblendeter Icon-Link).
Die haeufigste Falle: "Cosmetic Consent"
Sehr verbreitet: das Banner erscheint, aber Google Analytics und der Facebook Pixel laden trotzdem schon im Hintergrund. Selbst wenn der Nutzer "Ablehnen" klickt, sind die Tracker schon aktiv geworden. Das ist rechtlich genauso schlimm wie gar kein Banner.
Test: Browser-DevTools → Network-Tab → Seite mit leerem Cache neu laden → bevor irgendetwas geklickt wird, sollte kein einziger Request zu googletagmanager.com, google-analytics.com, connect.facebook.net usw. gehen.
Welche Cookie-Banner-Loesungen sind rechtssicher?
Hosted / Closed-Source
- Cookiebot — Marktfuehrer, hosted in EU, ca. 5-30 Euro/Monat. Scant automatisch Cookies.
- Usercentrics — deutscher Anbieter, professionell aber teuer (ab ca. 30 Euro/Monat).
- CCM19 — deutscher Anbieter, gutes Preis-Leistungs-Verhaeltnis (ab 6 Euro/Monat).
Self-Hosted / Open-Source
- Borlabs Cookie — WordPress-Plugin, einmaliger Kauf ca. 39 Euro.
- Real Cookie Banner — WordPress, Freemium-Modell.
- Klaro! — Open-Source JavaScript, kostenlos, etwas mehr Aufwand.
Wann brauchen Sie KEIN Cookie-Banner?
Wenn Ihre Website:
- Keine Analytics nutzt (kein GA, kein Matomo, kein Pixel)
- Keine externen Schriften / Maps / Videos einbindet
- Nur Session-Cookies fuer essenzielle Funktionen setzt (z.B. Warenkorb)
Dann reicht ein kurzer Hinweis in der Datenschutzerklaerung. Das ist bei vielen Handwerker-Websites der einfachere Weg: "Wir tracken nicht. Wir brauchen Sie nicht ueberwacht. Wir wollen nur, dass Sie Ihre Heizung repariert kriegen."
Wird Ihr Banner ueberhaupt gebraucht? Oder ist es nur Theater?
Unser Check sagt Ihnen, ob Tracker auf Ihrer Seite schon VOR dem Banner-Klick laden.
Banner testen