ePrivacy + Cookie 2026

Cookie-Banner rechtssicher: Was 2025 wirklich rein muss — und was rausfliegt

Stand: 8. Oktober 20254 Min Lesezeit

Was drin steht

Vier Bausteine machen einen Cookie-Banner rechtssicher: gleichwertiger Reject-Knopf, granulare Auswahl, verständliche Beschreibung pro Tool-Kategorie, einfacher Widerruf-Weg. Wer einen davon weglässt, ist abmahnbar.
Der Reject-Knopf muss visuell, sprachlich und in der Klick-Tiefe gleichwertig zum „Alles akzeptieren“ sein. „Nur essenzielle“ in Hellgrau klein unter dem orangen „OK“-Button ist seit dem EuGH-Urteil 2024 definitiv durch.
Granulare Auswahl heißt: Nutzer kann pro Tool oder Kategorie einzeln entscheiden. Ein Sammel-„Akzeptieren“ ohne Trennung ist nur zulässig, wenn es einen gleichwertigen Sammel-„Ablehnen“ gibt.
Die Beschreibung der Tools muss verständlich sein, nicht Jura-Deutsch oder Tool-Name pur. „Analyse-Cookies, die uns zeigen, welche Seiten am häufigsten besucht werden“ statt „GA4 Analytics“.
Premium-Variante 2026: Toast oder Bottom-Banner statt Vollbild-Wand. Weniger aggressiv, gleich rechtssicher, deutlich besser für die Marken-Wahrnehmung. Cookie-Banner-Wände sind die Klobrille der Marken-Optik.

Cookie-Banner sind nervig — für deine Besucher genauso wie für dich. Trotzdem sind sie Pflicht. Hier kommt der Klartext: was rechtssicher rein muss, was rausfliegt, und wie ein Premium-Banner 2026 aussieht, der nicht wie ein Notausgang-Schild deine Marken-Optik überschattet.

Wo die Rechtsgrundlage steht — und was das EuGH-Urteil 2024 geändert hat

Rechtsgrundlage in Deutschland: § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), die deutsche Umsetzung der ePrivacy-Richtlinie. Plus DSGVO für die Verarbeitung der Daten danach. Das EuGH-Urteil C-621/24 vom 11.07.2024 hat klargestellt: Eine Einwilligung ist nur dann wirksam, wenn die Ablehnung gleichwertig leicht wie die Annahme ist. „Akzeptieren“-Button groß und orange, „Ablehnen“-Link klein und grau am Rand: nicht mehr zulässig.

Was deutsche Gerichte und Datenschutz-Aufsichtsbehörden seitdem nachgezogen haben:

Reject-Knopf muss auf derselben Ebene wie Accept-Knopf liegen (nicht in zweiter Klick-Tiefe),
Reject-Knopf muss visuell gleichwertig sein (Farbe, Größe, Position),
Sprachlich gleichwertig: „Alles ablehnen“ vs. „Alles akzeptieren“ — nicht „Nur essenzielle“ vs. „Alles akzeptieren“ (verschiedene Bedeutungs-Ebenen).

1. Gleichwertiger Reject-Knopf

Konkret heißt das: Alles akzeptieren und Alles ablehnen als gleich große, gleich farbige Buttons nebeneinander. Wer den Reject-Knopf bewusst farblos macht oder versteckt, riskiert Abmahnung und die rechtliche Bewertung, dass die Einwilligung der Nutzer unwirksam war — was im Worst Case bedeutet, dass alle bisher gesammelten Daten ohne Rechtsgrundlage verarbeitet wurden.

2. Granulare Auswahl

Nutzer muss entscheiden können, welche Kategorien oder Tools sie erlauben. Pflicht-Kategorien sind:

Notwendig (Sitzungs-Cookies, CSRF-Schutz, Sprach-Wahl) — keine Einwilligung nötig, läuft immer,
Statistik / Analyse (Reichweiten-Messung, Heatmaps, Scroll-Tiefe),
Marketing (Werbe-Pixel, Conversion-Tracking, Retargeting),
Externe Medien (eingebettete YouTube-Videos, Karten-Dienste, Social-Media-Embeds).

Wer keine Marketing-Tools nutzt, lässt die Kategorie raus — sie aufzuführen, wenn sie leer ist, wirkt überzogen.

3. Verständliche Beschreibung

Pro Kategorie oder Tool muss in einfacher Sprache stehen, was passiert und welche Daten verarbeitet werden. Beispiele:

Schlecht	Gut
GA4 Analytics	Analyse-Cookies, die uns zeigen, welche Seiten häufig besucht werden — anonymisiert, ohne Personen-Verfolgung über Seiten hinweg.
FB Pixel	Marketing-Pixel, das deinem Browser eine Markierung setzt, damit wir später passende Werbung auf einer anderen Plattform anzeigen können.
Hotjar	Aufzeichnung deines Mausklick-Verhaltens, damit wir erkennen, wo Nutzer auf der Seite hängen bleiben.

Die Beschreibung muss kein Romankapitel sein — ein bis zwei Sätze reichen, solange klar ist, was passiert.

4. Einfacher Widerruf-Weg

Wer einmal eingewilligt hat, muss die Einwilligung jederzeit gleich einfach widerrufen können. Pflicht-Element: ein Link „Cookie-Einstellungen ändern“ im Footer oder in der Datenschutz-Erklärung, der den Banner wieder öffnet. Wer den Widerruf verkompliziert, riskiert ebenfalls Abmahnung.

Was rausfliegt — die häufigsten Verstöße 2025

„Nur essenzielle“ als Ablehnungs-Knopf

„Nur essenzielle“ ist nicht dasselbe wie „Alles ablehnen“. Wer „Nur essenzielle“ klickt, weiß nicht eindeutig, ob er damit auch Marketing-Cookies ablehnt oder nur die nicht-zwingenden Statistik-Cookies. Sprachlich klar wird es nur mit „Alles ablehnen“.

Reject-Knopf in zweiter Klick-Tiefe

Banner zeigt „Akzeptieren“ + „Einstellungen“. In den Einstellungen sind alle Toggles per Default aktiviert. Wer ablehnen will, muss alle einzeln umlegen + speichern. Klar nicht mehr zulässig — der EuGH hat den Standard auf „gleichwertige Sammel-Ablehnung in einem Klick“ angehoben.

Pre-Checked Boxes

Wer in den Einstellungen alle Kategorien per Default angekreuzt zeigt, hat keine wirksame Einwilligung. EuGH-Standard seit Planet49-Urteil 2019. Wer das 2025 noch macht, ist seit Jahren überfällig.

Zulässig ja, aber: Wer ohne Akzeptanz die Seite gar nicht ansehen darf, riskiert die Bewertung als „erpresserische Einwilligung“. Das ist in DE noch nicht endgültig geklärt — Premium-Marken machen es trotzdem nicht, weil es die Marken-Wahrnehmung beschädigt.

Tracking läuft, bevor die Einwilligung kommt

Häufigster technischer Verstoß. Pixel und Skripte laden, bevor der Banner überhaupt sichtbar ist — die Einwilligung kommt zu spät. Saubere Lösung: alle nicht-essenziellen Skripte erst nach explizitem Click laden, nicht vor dem Banner.

Premium-Variante 2026: der Toast statt der Wand

Cookie-Banner-Wände sind die Klobrille der Marken-Optik. Premium-Marken setzen seit Mitte 2025 auf eine elegantere Variante:

Toast unten: schmaler Streifen am unteren Bildrand, zwei Buttons (Alles akzeptieren / Alles ablehnen), ein Link „Einstellungen“. Inhalt der Seite bleibt sichtbar und nutzbar.
Bottom-Banner mit Slide-In: sanft eingeblendet von unten, schließbar mit X, Inhalt zugänglich. Funktioniert für Marken-Sites genauso gut wie für Shops.
Side-Panel rechts: dezent am Rand, mit klarem Hinweis. Wird oft wahrgenommen, ohne aufdringlich zu sein.

Wichtig: Die Premium-Variante ist genauso rechtssicher wie die Wand-Variante — es geht nur um die optische Wirkung. Wer die Wand mit Reject-Knopf gleichwertig baut, ist auch konform; aber er signalisiert „uns ist die Wand wichtiger als das Erlebnis“.

Was Hannes daraus macht

Wir liefern bei jedem neuen Site-Projekt einen rechtssicheren Premium-Toast als Standard: gleichwertige Buttons, granulare Auswahl, verständliche Tool-Beschreibungen, einfacher Widerruf-Weg im Footer. Bei Bestand-Sites prüfen wir den Banner gegen die vier Bausteine und liefern eine konkrete Reparatur-Liste. Wer eine Cookie-Wand mit „Nur essenzielle“-Knopf hat, ist die häufigste Reparatur — meist in einem halben Tag erledigt.

Wenn du wissen willst, wo dein Banner steht: frag Hannes — er prüft Pflicht-Bausteine und Tracking-Reihenfolge. Wer ihn neu aufsetzen will, buch einen Termin.

Häufige Fragen

Wir haben einen Banner-Anbieter — reicht das?

Nicht automatisch. Die meisten Banner-Anbieter liefern eine technisch konforme Vorlage, aber: Du musst sie korrekt konfigurieren (Tools einzeln eintragen, Beschreibungen anpassen, Reject-Knopf gleichwertig stellen) und das Tracking auf der Seite muss so eingebunden sein, dass es erst nach Einwilligung lädt. Die rechtliche Verantwortung bleibt bei dir, nicht beim Banner-Anbieter.

Was passiert bei einer Abmahnung wegen unwirksamem Banner?

Ablauf: Anwaltsschreiben mit Unterlassungserklärung und Kostenforderung (typisch 300–800 Euro Anwaltsgebühren). Wer nicht reagiert, bekommt einstweilige Verfügung — dann ist es teurer. Wer den Banner sofort korrigiert und die Unterlassung unterzeichnet (mit Anpassungen über einen eigenen Anwalt), kommt meist mit den Anwalts-Kosten davon. Wichtig: nie ohne eigene rechtliche Prüfung unterzeichnen.

Reicht ein „Akzeptieren“-Button, wenn ich gar keine Marketing-Tools nutze?

Wenn du wirklich nur essenzielle Cookies setzt (Sitzungs-Cookies, Spracheinstellung, Warenkorb): kein Banner nötig. Pflicht ist der Banner erst, sobald Statistik, Marketing oder externe Medien geladen werden. Viele Mittelständler haben mehr Tracking aktiv, als ihnen bewusst ist (Maps, eingebettete Videos, Reichweiten-Messung) — Audit lohnt sich.

Wie lange darf die Einwilligung gespeichert werden, bis ich nochmal frage?

Es gibt keine harte Frist im Gesetz, aber der Datenschutz-Konferenz-Standard liegt bei maximal 12 Monaten. Premium-Variante: 6 Monate, danach wird der Banner erneut angezeigt. Wer länger als 24 Monate ohne Neu-Einwilligung weiterhin Tracking-Daten verarbeitet, bewegt sich auf dünnem Eis.

Was, wenn ich Google Analytics nutze — geht das überhaupt noch DSGVO-konform?

Ja, mit Sorgfalt: GA4-Konfiguration mit IP-Anonymisierung, ohne Personen-Verfolgung über Seiten hinweg, Auftragsverarbeitungs-Vertrag, sauberer Banner-Eintrag. Wer streng konform sein will, schaut sich serverseitiges Tracking oder Open-Source-Alternativen (Matomo, Plausible) an — die laufen ohne Drittland-Übertragung und sind in vielen Mittelstands-Fällen ausreichend.

Sind die ePrivacy-Anpassungen 2026 schon konkret bekannt?

Die EU-Kommission diskutiert seit 2023 eine neue ePrivacy-Verordnung, die die Richtlinie ablösen soll. Inhaltlich erwartet: gleiche Logik wie heute, mehr Vereinheitlichung zwischen EU-Mitgliedstaaten, Möglichkeit der globalen Browser-Einstellung („Do not track“ als bindendes Signal). Stand Anfang 2026 ist noch keine endgültige Fassung beschlossen — die deutschen Regeln über TDDDG bleiben vorerst der gültige Rahmen.

Das regeln wir — so sieht das bei uns aus.

Unsicher, wo deine Seite steht? Frag Hannes — er schaut sie sich an und sagt dir ehrlich, was zu holen ist.

Frag Hannes →Beschreib Hannes dein Vorhaben — er sagt dir in Minuten, was geht.

Weiterlesen

05.03.2026Newsletter-Einwilligung in der Praxis: Double-Opt-In, Beweispflicht, Bestätigungs-Logs 15.02.2026Cookie-Banner 2026: Der ehrliche Stand nach TDDDG, EuGH und DE-Anpassung 15.12.2025Tracking-Tools sortiert: Welche brauchen Einwilligung, welche nicht — und welche fliegen besser raus