Cookie-Banner sind überall – aber die wenigsten sind DSGVO-konform. Studien zeigen: Über 80 % aller Cookie-Banner in Deutschland verstoßen gegen geltendes Recht. Das Ergebnis: Abmahnungen, Bußgelder und verärgerte Nutzer.
In diesem Artikel zeige ich dir die 5 häufigsten Fehler beim Einrichten von Cookie-Bannern – und wie du sie vermeidest. Am Ende kannst du mit dem nevik.de DSGVO-Scanner überprüfen, ob dein Banner rechtssicher ist.
Warum sind Cookie-Banner so wichtig?
Seit dem „Planet49"-Urteil des EuGH (2019) und der Entscheidung des BGH (2020) ist klar: Ohne aktive, freiwillige Einwilligung dürfen keine Tracking-Cookies gesetzt werden. Das gilt für:
- Google Analytics
- Facebook Pixel
- Google Ads Conversion-Tracking
- YouTube-Einbettungen
- Marketing-Tools (HubSpot, Mailchimp, etc.)
Nicht einwilligungspflichtig sind nur technisch notwendige Cookies:
- Session-Cookies (Login, Warenkorb)
- Cookie-Banner-Einstellungen selbst
- Load Balancing
Alles andere braucht eine aktive Zustimmung vor dem Setzen – und genau hier machen die meisten Fehler.
Fehler 1: Vorausgewählte Häkchen
Das Problem: Viele Cookie-Banner haben alle Kategorien (Marketing, Analyse, Social Media) bereits vorausgewählt. Der Nutzer muss aktiv ablehnen, statt aktiv zuzustimmen.
Warum ist das falsch?
- Der EuGH und BGH haben klar entschieden: Opt-in, nicht Opt-out!
- Vorausgewählte Häkchen sind keine freiwillige Einwilligung
- Das gilt auch für „weiche" Vorauswahlen wie „Empfohlen"
So geht’s richtig:
- Alle nicht-notwendigen Kategorien müssen standardmäßig deaktiviert sein
- Der Nutzer muss aktiv jede Kategorie anklicken, die er erlauben möchte
- „Akzeptieren Sie unsere empfohlenen Einstellungen" ist genauso unzulässig
Echtes Beispiel: Ein Online-Shop nutzte vorausgewählte Häkchen für Google Analytics. Nach einer Abmahnung musste er:
- 800 € Anwaltskosten zahlen
- 500 € Streitwert begleichen
- Das Banner überarbeiten
Fehler 2: Kein „Ablehnen"-Button (oder versteckt)
Das Problem: Viele Banner haben zwei große Buttons: „Einstellungen" und „Alle akzeptieren". Den „Ablehnen"-Button findet man erst nach mehreren Klicks – oder gar nicht.
Warum ist das falsch?
- Die Einwilligung muss freiwillig sein
- Wenn Ablehnen schwerer ist als Zustimmen, ist die Einwilligung nicht freiwillig
- Das nennt man „Dark Pattern" – und das ist illegal
So geht’s richtig:
- Gleichwertige Buttons: „Alle ablehnen" muss genauso prominent sein wie „Alle akzeptieren"
- Beide Buttons müssen die gleiche Größe, Farbe und Position haben
- Keine versteckten Links wie „Nur notwendige Cookies" in 8pt Grau
Echtes Beispiel: Ein Nachrichtenportal hatte „Alle akzeptieren" groß in Grün, „Ablehnen" klein und grau versteckt. Strafe: 25.000 € Bußgeld wegen „unzulässiger Beeinflussung der Einwilligung".
Fehler 3: Cookies werden vor der Einwilligung gesetzt
Das Problem: Das Banner erscheint, aber Google Analytics, Facebook Pixel & Co. werden schon vorher geladen. Die Einwilligung wird nur nachträglich abgefragt, ist aber bereits erfolgt.
Warum ist das falsch?
- Keine Cookies vor Einwilligung! (Art. 5 Abs. 3 ePrivacy-Richtlinie)
- Selbst wenn der Nutzer „Ablehnen" klickt, wurden schon Daten übertragen
- Das ist ein Datenschutzverstoß, der abmahnbar ist
So geht’s richtig:
- Alle Tracking-Skripte müssen nach der Einwilligung geladen werden
- Nutze
type="text/plain"oderdata-consent="marketing"für Scripts - Consent-Management-Plattformen (CMPs) wie Cookiebot, Usercentrics oder Borlabs übernehmen das automatisch
Technische Prüfung: Öffne deine Website im Inkognito-Modus:
- Drücke F12 → Netzwerk → lösche alles
- Lade die Seite
- Klicke NICHT auf das Banner
- Schaue, ob
google-analytics.com,facebook.netoderdoubleclick.neterscheinen
Wenn ja: Du verstößt gegen die DSGVO!
Echtes Beispiel: Ein Blogger nutzte Google Analytics ohne Cookie-Banner. Ein Datenschutzaktivist meldete das der Aufsichtsbehörde. Strafe: 3.000 € Bußgeld + 1.500 € Anwaltskosten.
Fehler 4: Keine Widerrufsmöglichkeit
Das Problem: Der Nutzer hat einmal „Alle akzeptieren" geklickt, aber findet keine Möglichkeit, die Einwilligung später zu widerrufen. Das Banner erscheint nur beim ersten Besuch.
Warum ist das falsch?
- Nach Art. 7 Abs. 3 DSGVO muss der Widerruf genauso einfach sein wie die Erteilung
- Wenn das Banner nie wieder erscheint, kann der Nutzer nicht widerrufen
- Das macht die ursprüngliche Einwilligung unwirksam
So geht’s richtig:
- Biete einen dauerhaft sichtbaren Link zum Widerruf an
- Typische Lösungen:
- Footer-Link: „Cookie-Einstellungen"
- Floating Button: Kleines Icon am Bildschirmrand
- In der Datenschutzerklärung: Link zum erneuten Öffnen des Banners
Technische Umsetzung: Die meisten Cookie-Banner-Tools bieten eine JavaScript-Funktion:
<a href="#" onclick="CookieConsent.renew(); return false;">Cookie-Einstellungen ändern</a>
Echtes Beispiel: Ein Online-Magazin hatte keinen Widerruf-Link. Nach einer Beschwerde bei der Aufsichtsbehörde musste es:
- Den Link nachträglich einbauen
- Alle Nutzer per Banner über die neue Möglichkeit informieren
- 500 € Verfahrenskosten zahlen
Fehler 5: Unklare oder irreführende Beschreibungen
Das Problem: Im Cookie-Banner steht: „Wir nutzen Cookies, um Ihre Erfahrung zu verbessern." Welche Cookies? Welche Drittanbieter? Welche Daten werden übertragen? – Unklar.
Warum ist das falsch?
- Nach Art. 13 DSGVO muss die Einwilligung informiert sein
- Nutzer müssen wissen, wofür sie zustimmen
- „Zur Verbesserung der Nutzererfahrung" ist zu vague
So geht’s richtig:
Kategorien klar benennen:
- „Notwendig" (immer erlaubt)
- „Statistik" (Google Analytics, Matomo)
- „Marketing" (Google Ads, Facebook Pixel)
- „Externe Medien" (YouTube, Google Maps)
Konkrete Anbieter nennen:
- Nicht: „Wir nutzen Analyse-Tools"
- Sondern: „Google Analytics (Google Ireland Limited)"
Zweck klar formulieren:
- Nicht: „Zur Optimierung"
- Sondern: „Zur Erfassung von Seitenaufrufen und Nutzerverhalten"
Echtes Beispiel: Ein SaaS-Startup hatte im Banner nur „Marketing-Cookies" stehen, ohne zu erwähnen, dass Daten an Facebook und TikTok übertragen werden. Nach einer Nutzerbeschwerde:
- Musste das Banner umformulieren
- Musste die Datenschutzerklärung ergänzen
- Zahlte 1.200 € Schadensersatz an den Beschwerdeführer
Bonus-Fehler: Cookie-Banner bei statischen Websites vergessen
Viele denken: „Ich nutze kein Google Analytics, ich brauche kein Banner." Aber Achtung:
Auch diese Dienste setzen Cookies oder übertragen Daten:
- Google Fonts (wenn nicht lokal gehostet)
- YouTube-Einbettungen (auch im Privacy-Modus!)
- Google Maps (immer einwilligungspflichtig)
- Social-Media-Buttons (Facebook Like, Twitter Share)
- CDN-Dienste (manche übertragen IPs)
Faustregel: Sobald externe Ressourcen geladen werden, die Daten an Drittanbieter übertragen, brauchst du ein Cookie-Banner oder musst die Dienste lokal hosten.
Praxis-Tipp: Mit dem nevik.de DSGVO-Scanner findest du in Sekunden heraus, welche externen Dienste deine Website lädt – auch solche, die du vielleicht vergessen hast.
Checkliste: Ist dein Cookie-Banner DSGVO-konform?
Gehe diese Punkte durch:
✅ Alle nicht-notwendigen Kategorien sind standardmäßig deaktiviert
✅ „Alle ablehnen" ist genauso prominent wie „Alle akzeptieren"
✅ Keine Cookies werden vor der Einwilligung gesetzt (F12-Test!)
✅ Es gibt einen dauerhaft sichtbaren Link zum Widerruf (z. B. im Footer)
✅ Die Beschreibungen sind klar und konkret (inkl. Drittanbieter-Namen)
✅ Das Banner erscheint bei jedem ersten Besuch (auch nach Cookie-Löschung)
✅ Externe Dienste (Fonts, Maps, YouTube) werden erst nach Einwilligung geladen
Wenn du auch nur einen Punkt nicht abhaken kannst, ist dein Banner angreifbar.
Die besten Cookie-Banner-Lösungen
Kostenlose Lösungen:
- Complianz (WordPress) – Open Source, sehr anpassbar
- Real Cookie Banner (WordPress) – gute UX, kostenlose Basisversion
- Klaro! (HTML/JS) – Lightweight, Open Source, für statische Websites
Premium-Lösungen (mit Garantie):
- Cookiebot – automatische Cookie-Erkennung, ab 9 €/Monat
- Usercentrics – für größere Websites, ab 15 €/Monat
- Borlabs Cookie (WordPress) – einmalig 49 €, sehr beliebt in Deutschland
Achtung bei kostenlosen Tools:
- Prüfe, ob der Anbieter selbst DSGVO-konform ist
- Manche Tools übertragen Daten in die USA (dann brauchst du zusätzliche Einwilligung!)
- Open-Source-Lösungen sind oft sicherer
So testest du dein Cookie-Banner
Methode 1: Manueller Test
- Öffne deine Website im Inkognito-Modus
- Drücke F12 → Netzwerk → lösche alles
- Lade die Seite neu
- Klicke NICHT auf das Banner
- Prüfe, ob
google-analytics.com,facebook.net,doubleclick.neterscheinen - Wenn ja → Verstoß!
Methode 2: Automatischer Check Nutze den nevik.de DSGVO-Scanner:
- Gibt deine URL ein
- Der Scanner prüft automatisch:
- Ob Cookies vor Einwilligung gesetzt werden
- Ob externe Dienste ohne Zustimmung geladen werden
- Ob Google Fonts über Google-Server laufen
- Ob dein Cookie-Banner Dark Patterns nutzt
- Du bekommst sofort eine detaillierte Auswertung
Was passiert bei Verstößen?
Abmahnungen durch Anwälte:
- Typischer Streitwert: 100–500 €
- Anwaltskosten: 150–800 €
- Häufigkeit: Massenhaft, vor allem seit 2022
Bußgelder durch Aufsichtsbehörden:
- Kleine Websites: 1.000–10.000 €
- Mittlere Unternehmen: 10.000–100.000 €
- Große Unternehmen: 100.000–10 Mio. €
Schadensersatz nach Art. 82 DSGVO:
- Nutzer können Schadensersatz verlangen
- Typisch: 100–500 € pro Fall
- Bei Sammelklagen: Mehrere tausend Euro
Fazit: Cookie-Banner sind kein Nice-to-have
Die 5 häufigsten Fehler:
- ❌ Vorausgewählte Häkchen
- ❌ Kein „Ablehnen"-Button (oder versteckt)
- ❌ Cookies werden vor Einwilligung gesetzt
- ❌ Keine Widerrufsmöglichkeit
- ❌ Unklare Beschreibungen
Die gute Nachricht: Alle Fehler sind in 1-2 Stunden behebbar. Die meisten Cookie-Banner-Tools bieten mittlerweile DSGVO-konforme Vorlagen.
Nächste Schritte:
- Kostenloser DSGVO-Check – finde heraus, ob dein Banner Fehler hat
- Nutze die Checkliste oben, um dein Banner zu überprüfen
- Implementiere die Verbesserungen (oder nutze ein besseres Tool)
- Teste erneut mit dem nevik.de Scanner
Ein DSGVO-konformes Cookie-Banner ist kein Hexenwerk – aber Nichtstun kann teuer werden. Investiere 1-2 Stunden jetzt, spare tausende Euro später.
Brauchst du Hilfe? Schreib mir gerne – ich helfe bei der Auswahl und Konfiguration des richtigen Cookie-Banners.