Cookie-Banner · § 25 TDDDG · DSGVO
Cookie-Banner 2026: Die 7 häufigsten Fehler, die Abmahnungen auslösen
Cookie-Banner-Abmahnungen gehören seit 2022 zu den häufigsten Abmahn-Gründen im deutschen E-Commerce. Viele Betreiber sind der Meinung, ein Banner zu haben reicht — aber die technische Implementierung entscheidet. Dieser Artikel zeigt die 7 häufigsten Fehler, die Verbraucherschutz- verbände und Kanzleien abmahnen.
Stand: Juni 2026 · Informationsartikel, keine Rechtsberatung
Rechtslage: § 25 TDDDG, DSGVO und EuGH Planet49
Seit dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, vormals TTDSG) ist die Einwilligungspflicht für Cookies und ähnliche Speichermechanismen national gesetzlich geregelt. § 25 TDDDG verlangt eine Einwilligung vor dem Setzen nicht technisch notwendiger Cookies — unabhängig von der DSGVO-Einwilligungspflicht nach Art. 6.
Das EuGH-Urteil Planet49 (C-673/17, Oktober 2019) stellte klar: Vorab angekreuzte Checkboxen sind keine wirksame Einwilligung. Die Datenschutzkonferenz (DSK) ergänzte in ihrer Orientierungs- hilfe 2022, dass der Ablehnen-Button gleichwertig sichtbar sein muss wie der Akzeptieren-Button.
Verstöße können über UWG § 3a (Rechtsbruch), DSGVO Art. 77 (Beschwerde bei Aufsichtsbehörde) oder durch klagebefugte Verbände (§ 8 UWG) verfolgt werden.
Die 7 häufigsten Fehler
Kein gleichwertiger „Ablehnen“-Button auf der ersten Ebene
Risiko: hochSeit dem EuGH-Urteil Planet49 (C-673/17) und der DSGVO-Praxis der Datenschutzbehörden muss ein „Ablehnen“-Button ebenso prominent sein wie der „Akzeptieren“-Button — auf derselben ersten Ebene, gleiche Schriftgröße, kein verstecktes Kleingedrucktes. Wer Ablehnen in einem zweiten Dialog versteckt, riskiert Abmahnungen durch Verbraucherverbände.
Vorab angekreuzte Checkboxen (Pre-Checked Consent)
Risiko: hochVorausgewählte Zustimmungen sind nach Art. 4 Nr. 11 DSGVO keine wirksame Einwilligung. Der Nutzer muss aktiv handeln, um Einwilligung zu geben — eine vorausgewählte Option macht das Gegenteil. Das gilt auch für „alle auswählen“ als Standardzustand.
Tracking-Scripts feuern vor der Einwilligung
Risiko: hochGoogle Analytics, Meta Pixel, TikTok-Pixel und ähnliche Drittanbieter-Scripts dürfen erst nach Einwilligung laden — nicht im Hintergrund parallel zum Laden des Banners. Viele CMP-Konfigurationen starten Scripts bereits beim Seitenaufruf, was § 25 TDDDG direkt verletzt.
Google Fonts, Gravatar oder andere Ressourcen ohne Consent
Risiko: mittelDas LG München I hat 2022 geurteilt, dass die Einbindung von Google Fonts ohne Einwilligung gegen die DSGVO verstößt (Az. 3 O 17493/20), da die IP-Adresse an US-Server übertragen wird. Viele Websites laden Google Fonts, Gravatar oder ähnliche externe Ressourcen, ohne dafür Consent zu erholen.
Keine oder falsche Zweckangaben im Banner
Risiko: mittelEin gültiger Consent erfordert, dass Nutzer vor der Einwilligung verstehen, für welche Zwecke ihre Daten verarbeitet werden. Vage Formulierungen wie „Wir nutzen Cookies für ein besseres Erlebnis“ ohne Auflistung der konkreten Dienste erfüllen die Transparenzanforderungen von Art. 13 DSGVO nicht.
Consent-Cookie läuft zu lange oder wird nicht respektiert
Risiko: mittelConsent-Entscheidungen müssen nach einer angemessenen Zeit neu eingeholt werden — die DSK empfiehlt maximal 12 Monate. Außerdem muss eine Widerrufsmöglichkeit dauerhaft zugänglich sein (oft über einen Link im Footer). Wird der Consent nicht korrekt gespeichert oder beim Rückkehr nicht geladen, liegt ein technischer Fehler vor.
Banner selbst nicht barrierefrei bedienbar (BFSG-Schnittstelle)
Risiko: mittelCookie-Banner müssen nach WCAG 2.1 AA bedienbar sein — das ist eine direkte BFSG-Anforderung für betroffene Websites. Konkret: Fokus-Reihenfolge korrekt (Tastatur kommt zum Ablehnen-Button), Kontrast mind. 4,5:1, aria-Attribute korrekt gesetzt. Viele CMP-Standard-Implementierungen scheitern an diesen Anforderungen.
3 CMP-Lösungen im Kurzvergleich
Keine Empfehlung oder Garantie — nur sachliche Merkmale auf Basis öffentlicher Dokumentationen.
| CMP | Typ | TCF 2.2 | WordPress-Plugin | Einstiegspreis |
|---|---|---|---|---|
| Cookiebot (Usercentrics) | SaaS/Hosted | Ja | Ja | ab ~10 €/Mo |
| Borlabs Cookie | Self-Hosted WP | Seit v3 | Ja (nativ) | 49 €/Jahr |
| Klaro (Open Source) | Self-Hosted | Nein | Per Plugin | Kostenlos (MIT) |
Preisangaben ohne Gewähr, Stand Juni 2026. Prüfen Sie die aktuellen Preise direkt beim Anbieter.
Cookie-Banner jetzt technisch prüfen lassen
Der BFSG-Check Cookie-Basis-Check (49 €) prüft automatisiert, welche Tracker vor Consent feuern, welche Cookies ohne Einwilligung gesetzt werden, ob Google Fonts oder US-Drittland-Transfers stattfinden — mit konkreter Handlungsempfehlung je Fund. Der Cookie-Profi-Check (79 €) enthält zusätzlich eine manuelle Sichtung der CMP-Konfiguration.
Häufige Fragen zum Cookie-Banner
Ist ein Cookie-Banner wirklich Pflicht für jeden Shop?
Ein Cookie-Banner (genauer: eine Einwilligungslösung nach § 25 TDDDG) ist Pflicht, sobald auf der Website nicht technisch notwendige Cookies oder ähnliche Speichermechanismen eingesetzt werden. Dazu zählen Analytics-Cookies, Marketing-Pixel, Social-Media-Buttons und viele externe Fonts. Rein technisch notwendige Cookies (Session, Warenkorb, Login) benötigen keinen Consent.
Was ist TCF 2.2 und brauche ich das?
Das Transparency and Consent Framework (TCF) ist ein IAB-Standard für programmatische Werbung. TCF 2.2 ist notwendig, wenn Sie Programmatic Advertising, Real-Time-Bidding oder Google Consent Mode v2 mit erweiterten Opt-in-Signalen nutzen. Für die meisten mittelständischen Shops ohne Programmatic Ads ist TCF 2.2 nicht zwingend — aber Google Analytics 4 erfordert bei GA4-Activation Consent Mode.
Reicht ein selbst gebauter Cookie-Banner?
Technisch ja — wenn er alle rechtlichen Anforderungen erfüllt. In der Praxis ist ein selbst gebauter Banner fehleranfälliger, weil rechtliche Anforderungen sich ändern (Urteile, Behördenhinweise) und manuelle Updates nötig werden. Bewährte CMP-Lösungen wie Cookiebot, Usercentrics oder Borlabs Cookie aktualisieren ihre Konfigurationen, wenn sich die Rechtslage ändert.
Wie prüfe ich, ob mein Cookie-Banner korrekt implementiert ist?
Technisch: Öffnen Sie die Browser-DevTools (Network-Tab), laden Sie die Seite neu ohne Consent zu geben und prüfen Sie, ob externe Requests zu Google Analytics, Meta oder ähnlichen Diensten gesendet werden. Falls ja, feuern Scripts vor Consent. Rechtlich: Prüfen Sie, ob Ablehnen-Button und Akzeptieren-Button gleichwertig auf der ersten Ebene sichtbar sind. Der Cookie-Check von BFSG-Check prüft diese Aspekte automatisiert.
Was kostet ein Cookie-Banner-Check?
Der kostenlose Gratis-Check von BFSG-Check gibt einen ersten Überblick. Der Cookie-Basis-Check (49 €) prüft, welche Tracker vor Consent feuern, welche Cookies gesetzt werden und ob Google Fonts oder US-Drittland-Transfers ohne Einwilligung stattfinden — mit konkreter Handlungsempfehlung pro Fund.