.

DSGVO-konformes Cookie-Banner: Alle Anforderungen im Überblick

Wer eine Website für ein deutsches Publikum betreibt, kommt i.d.R. an einem Cookie-Banner nicht mehr vorbei. Doch spätestens seit mehreren aktuellen Urteilen deutscher Verwaltungsgerichte – insbesondere des VG Hannover – stehen Website-Betreiber vor der Herausforderung, ihre Cookie-Banner noch exakter an die Datenschutzregeln anzupassen. Die Gerichte machen klar: Nur wer wirklich alle Anforderungen der DSGVO und deren Auslegung umsetzt, kann Abmahnungen und Bußgelder vermeiden.

Doch wie sieht so ein rechtssicheres Cookie-Banner im Jahr 2025 konkret aus? Welche Punkte sind laut den jüngsten Urteilen besonders zu beachten und woran scheitern viele noch immer? In diesem Beitrag bekommst du einen strukturierten Überblick inklusive Infografik und Praxisbeispielen. So kannst du Schritt für Schritt prüfen, ob dein Cookie-Banner auf dem neuesten Stand ist.

DSGVO-konformes Cookie-Banner:
Alle Anforderungen im Überblick
Transparente Information

Der Nutzer muss vor der Einwilligung klar und verständlich darüber informiert werden, welche Cookies verwendet werden und zu welchem Zweck.

Beispiel: "Diese Website verwendet Cookies für Analyse, Marketing und Funktionalität. Weitere Informationen finden Sie in unserer Datenschutzerklärung."
Einwilligung erforderlich

Die Einwilligung muss gemäß Artikel 6 DSGVO freiwillig, informiert und für jeden Nutzer einzeln erteilt werden.

Keine voreingestellten Zustimmungen – der Nutzer muss aktiv zustimmen.
Nur essenzielle Cookies vor Zustimmung

Vor der Einwilligung dürfen nur technisch notwendige Cookies gesetzt werden (z. B. für Sicherheit oder Warenkorb).

Analyse-, Tracking- oder Marketing-Cookies erst nach ausdrücklicher Zustimmung aktivieren.
Widerruf jederzeit möglich

Der Nutzer muss seine Einwilligung später jederzeit widerrufen können.

Ein Link wie "Cookie-Einstellungen bearbeiten" bleibt dauerhaft sichtbar (z. B. im Footer).
Dokumentation der Einwilligung

Die erteilte Einwilligung muss lückenlos dokumentiert werden (Zeitpunkt, Umfang, Informationsstand).

Protokollierung der Zustimmung für mögliche Prüfungen durch Aufsichtsbehörden.
Buttons: Gleichwertige Auswahl und neutrales Design

Das Cookie-Banner darf nicht manipulierend gestaltet sein: Die Buttons „Akzeptieren“ und „Ablehnen“ müssen gleich groß, ähnlich sichtbar und neutral gestaltet sein. Farben, Größe oder Reihenfolge dürfen den Nutzer nicht in Richtung „Akzeptieren“ lenken.

Beide Buttons sind gleich groß und neutral gestaltet – keine Hervorhebung, keine Voreinstellungen.
Design & Gestaltung
Das gehört rein
  • ✓ Gleichwertige „Akzeptieren“ und „Ablehnen“ Buttons
  • ✓ Neutrale Farbgestaltung
  • ✓ Link zu detaillierteren Einstellungen
  • ✓ Verständliche, einfache Sprache
  • ✓ Sichtbar ohne störend zu sein
Das ist verboten
  • ✗ Nur ein „Akzeptieren“ Button
  • ✗ Farbliche Hervorhebung von „Akzeptieren“
  • ✗ Vorausgewählte Cookie-Kategorien
  • ✗ Zustimmung beim Scrollen
  • ✗ Irreführende oder komplexe Sprache
Beispiel eines DSGVO-konformen Cookie-Banners
DSGVO-konform
Basierend auf den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und EuGH-Rechtsprechung

 

Praxis-Check: So setzen Sie die DSGVO-Anforderungen im Cookie-Banner richtig um

Die Infografik zeigt auf einen Blick, was 2025 für ein rechtssicheres Cookie-Banner zählt. Doch was bedeutet jeder dieser Punkte für die konkrete Gestaltung und technische Umsetzung?

Hier erläutern wir jeden Aspekt einzeln – von der Information bis zur Gestaltung – und geben Ihnen Tipps für die fehlerfreie Praxis.

Transparente Information

Ein DSGVO-konformes Cookie-Banner muss dem Nutzer bereits vor seiner Einwilligung klar und verständlich erklären,

  • welche Cookies oder Dienste zum Einsatz kommen
  • zu welchem Zweck sie genutzt werden.

Praxis:
Vermeiden Sie juristische Fachsprache oder lange, unübersichtliche Textblöcke. Nutzer müssen sofort erfassen können,
welche Arten von Cookies (z. B. Statistik, Marketing, Funktionalität) verwendet werden und was das für sie bedeutet.

Beispiel:
„Diese Website verwendet Cookies für Analyse, Marketing und Funktionalität. Weitere Informationen finden Sie in unserer Datenschutzerklärung."

Dos:

  • Klare Sprache
  • Einfache, nachvollziehbare Kategorien (z. B. „Analyse", „Werbung")
  • Link zur Datenschutzerklärung direkt im Banner

Don'ts:

  • Versteckte Hinweise
  • „Kleingedrucktes" oder nur technischer Jargon

Einwilligung erforderlich

Die aktive Zustimmung der Nutzer ist Pflicht.
Vor dem Setzen von nicht-essentiellen Cookies (z. B. für Marketing oder Statistik) muss der Nutzer eindeutig zustimmen – und darf dies nicht einfach durch bloßes Weitersurfen oder Scrollen tun.

Praxis:
Es darf keine vorausgewählten Checkboxen geben. Nutzer müssen selbst wählen können, ob und wofür sie zustimmen.
Ein bloßes „OK“-Button ohne echte Auswahlmöglichkeiten reicht nicht.

Beispiel:
Erst nach Klick auf „Akzeptieren“ oder gezieltes Aktivieren einer Kategorie dürfen entsprechende Cookies gesetzt werden.

Dos:

  • Buttons und Optionen klar benennen („Alle akzeptieren“, „Nur notwendige Cookies“)
  • Keine vorausgewählten Häkchen bei optionalen Diensten

Don'ts:

  • Voreingestellte Zustimmung
  • Zustimmung allein durch Scrollen oder Weitersurfen

Nur essenzielle Cookies vor Zustimmung

Technisch nicht notwendige Cookies (z. B. Analyse, Marketing) dürfen erst nach Einwilligung gesetzt werden.

Praxis:
Vor der Zustimmung dürfen lediglich Cookies für Sicherheit, Login oder den Warenkorb gesetzt werden – alles andere ist erst nach expliziter Einwilligung zulässig.

Beispiel:
Analytics, Tracking- oder Werbe-Cookies werden erst nach Zustimmung geladen.

Dos:

  • Deutliche Trennung zwischen essentiellen und optionalen Cookies
  • Banner zeigt, dass bestimmte Dienste erst nach Zustimmung aktiviert werden

Don'ts:

  • Analyse- oder Marketing-Cookies bereits beim Seitenaufruf

Widerruf jederzeit möglich

Nutzer müssen ihre Zustimmung jederzeit und genauso einfach widerrufen können, wie sie sie gegeben haben.

Praxis:
Ein „Cookie-Einstellungen bearbeiten“-Link sollte jederzeit sichtbar bleiben (z. B. im Footer).

Beispiel:
Der Nutzer kann jederzeit seine Einwilligung widerrufen und die Cookie-Einstellungen anpassen.

Dos:

  • Klar sichtbarer Link („Cookie-Einstellungen“, „Zustimmung widerrufen“)
  • Genauso einfache Bedienung wie beim Erteilen der Zustimmung

Don'ts:

  • Einstellungen nur tief versteckt im Impressum
  • Keine Möglichkeit zum Widerruf nach Erteilung

Dokumentation der Einwilligung

Die erteilte Einwilligung muss nachvollziehbar dokumentiert werden:

  • Zeitpunkt
  • Umfang
  • Informationsstand zum Zeitpunkt der Zustimmung

Praxis:
Das Banner muss technisch so gestaltet sein, dass Einwilligungen datenschutzkonform gespeichert werden und im Zweifel (z. B. bei einer Prüfung durch die Aufsichtsbehörde) nachgewiesen werden können.

Beispiel:
Technische Protokollierung: Datum, Uhrzeit, gewählte Optionen.

Dos:

  • Sichere und datenschutzkonforme Speicherung
  • Exportfunktion oder Prüfprotokoll im Backend

Don'ts:

  • Keine Nachweismöglichkeit bei Prüfungen

Buttons: Gleichwertige Auswahl und neutrales Design

Die Auswahl zwischen „Akzeptieren“ und „Ablehnen“ muss gleichwertig und neutral präsentiert werden.
Buttons dürfen nicht durch Farbe, Größe oder Position beeinflussen.

Praxis:
Beide Buttons müssen gleich sichtbar, gleich groß und ähnlich gestaltet sein. Es darf keine optische „Bevorzugung“ einer Option geben.

Beispiel:
Beide Buttons im Banner sind identisch hervorgehoben („Alle akzeptieren“ und „Nur notwendige Cookies“).

Dos:

  • Gleiche Größe, Farbe und Platzierung
  • Kein zusätzlicher Button nur zum Akzeptieren

Don'ts:

  • Farblich hervorgehobener „Akzeptieren“-Button
  • „Ablehnen“-Button versteckt oder kleiner

Design & Gestaltung

Das Banner muss insgesamt neutral und nicht manipulativ gestaltet sein.
Farben, Texte und Interaktionen dürfen die Entscheidung nicht beeinflussen.

Praxis:
Vermeide Animationen, aufdringliche Farben oder ablenkende Effekte. Die Gestaltung soll informieren – nicht lenken.

Beispiel:
Das Banner ist ruhig, klar, ohne auffällige Animationen. Die Buttons sind beide dezent und gleich gestaltet.

Dos:

  • Unaufdringliche Farben
  • Klare Struktur und ausreichend Abstand

Don'ts:

  • Pop-ups mit Zwangsschließung
  • Übertriebene Animationen oder Farbakzente, die zum Akzeptieren verleiten

 

Aktuelle Urteile & Entwicklungen (2025)

„Alles ablehnen“-Button auf der ersten Ebene erforderlich

Das Verwaltungsgericht Hannover hat entschieden, dass Cookie-Banner, die einen „Alle akzeptieren“-Button anbieten, zwingend einen ebenso sichtbaren „Alles ablehnen“-Button auf der ersten Ebene zeigen müssen. Eine versteckte oder weniger auffällige Ablehnoption reicht nicht aus, um eine echte Wahl zu gewährleisten.
Gericht kippt manipulative Cookie-Banner – kein Problem für CCM19 Kunden

Google Tag Manager (GTM) nur mit Einwilligung zulässig

Auch der Einsatz des Google Tag Managers ist seit dem Urteil des VG Hannover streng an die Einwilligungspflicht gebunden. Beim Laden des GTM werden bereits personenbezogene Daten wie IP-Adressen und Fingerprint-Daten an Google übermittelt – ohne aktive Zustimmung ist das rechtswidrig.
Google Tag Manager nur mit Einwilligung

Einwilligungsverwaltungsverordnung (EinwV): Gesetzlich in Kraft, aber keine Dienste verfügbar

Seit dem 1. April 2025 ist die Einwilligungsverwaltungsverordnung (EinwV) in Kraft. Sie soll Nutzern eine zentrale Verwaltung von Einwilligungen über zertifizierte Dienste (PIMS) ermöglichen. Bisher gibt es jedoch noch keine anerkannten Anbieter – bis dahin bleiben Cookie-Banner unverzichtbar.
Einwilligungsverwaltungsverordnung in Kraft: Warum Cookie-Banner weiterhin nötig sind

Ihr Kommentar
Kommentare 1

Sehr Informativ