ePrivacy + Cookie 2026

Cookie-Banner 2026: Der ehrliche Stand nach TDDDG, EuGH und DE-Anpassung

Stand: 15. Februar 20264 Min Lesezeit

Was drin steht

  • Cookie-Banner-Recht 2026 ist klarer geworden als viele denken — und gleichzeitig härter. TDDDG, EuGH-Urteile 2024/2025 und die DE-Anpassung haben drei Dinge endgültig festgezurrt.
  • Erstens: Der Reject-Knopf muss gleich sichtbar und gleich erreichbar sein wie der Akzeptieren-Knopf. „Nur OK“, versteckte Ablehnung oder Dark-Pattern-Trichter sind aus.
  • Zweitens: Granulare Wahlmöglichkeit ist Pflicht — pauschales „alle Cookies aktivieren“ reicht nicht, der Nutzer muss kategorienweise entscheiden können.
  • Drittens: Wer 95 % OK-Quote durch Friction-Tricks erreicht hat, sitzt jetzt auf einem Abmahn-Risiko. Aufsichtsbehörden und Wettbewerbsverbände schauen aktiv hin.
  • Premium-Lösung 2026: ein dezenter Toast statt Bildschirm-Wand, ehrliche Entscheidungen, weniger Tracking-Tools. Die OK-Quote sinkt — die Datenqualität steigt.

Cookie-Banner sind seit fünf Jahren das ungeliebteste Bauteil deutscher Websites. 2026 ist die Lage rechtlich klarer als sie war — und gleichzeitig härter. Wer dachte, die „Akzeptieren“-Wand werde wieder verschwinden, irrt. Was sich verschoben hat, ist die Art und Weise, wie der Banner aussehen MUSS — und wer ihn falsch macht, riskiert mehr als nur einen schlechten Eindruck.

Hier kommt der ehrliche Stand 2026 — was du behalten kannst, was du ändern musst, und wie eine Premium-Lösung aussieht.

Die rechtliche Lage in drei Schichten

Drei Rechtsquellen, die zusammenwirken:

Schicht 1 — DSGVO

Die DSGVO regelt die Verarbeitung personenbezogener Daten. Cookies, die personenbezogene Daten verarbeiten (z.B. Tracking-IDs, Werbe-Cookies, Analyse-Cookies mit Personenbezug), brauchen eine Rechtsgrundlage. Die übliche: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Schicht 2 — TDDDG (ehemals TTDSG)

Das deutsche Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz regelt seit 2021 das Setzen und Auslesen von Cookies. § 25 TDDDG schreibt vor: Jede Speicherung von Informationen auf dem Endgerät (= Cookie, LocalStorage, SessionStorage) UND jedes Auslesen daraus braucht Einwilligung, außer es ist „unbedingt erforderlich“ für den ausdrücklich gewünschten Dienst.

Beispiele für „unbedingt erforderlich“: Session-Cookie für den Warenkorb. Cookie für die Sprach-Auswahl. CSRF-Token-Cookie. Hier braucht es keine Einwilligung.

Beispiele für einwilligungspflichtig: Google Analytics, Meta Pixel, jedes Werbe-Tracking, jede Heatmap-Tool, jeder Chat-Widget-Tracker. Hier ist Einwilligung Pflicht.

Schicht 3 — EuGH-Rechtsprechung 2024/2025

Mehrere Urteile haben die Anforderungen geschärft:

  • Reject muss gleichwertig sein. Wer „Akzeptieren“ als großen grünen Knopf macht und „Ablehnen“ als grauen Mini-Link, riskiert die Einwilligung als nicht wirksam einzustufen.
  • Granulare Wahl ist Pflicht. Pauschales „alle Cookies“ reicht nicht — der Nutzer muss zwischen Funktional / Statistik / Marketing entscheiden können.
  • Vor-Aktivierung verboten. Häkchen dürfen NICHT vorher gesetzt sein. Opt-in, nicht Opt-out.
  • Klar und verständlich. Juristen-Deutsch oder „Drittland-Übermittlung mit Standard-Vertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO“ reicht nicht. Klartext.

Was 2026 konkret nicht mehr durchgeht

1. „Nur OK“-Banner

Ein Banner mit nur einem Knopf „Verstanden“ oder „OK“, der jede Cookie-Setzung aktiviert. War lange Praxis bei kleineren Sites — ist jetzt eindeutig unwirksam. Keine echte Einwilligung, daher rechtswidrige Cookie-Setzung.

2. Dark Patterns

Akzeptieren in grün und Ablehnen in grau. Akzeptieren oben, Ablehnen versteckt nach drei Klicks. Akzeptieren als Knopf, Ablehnen als Mini-Link. Banner, der erst nach mehreren Sekunden den Ablehnen-Knopf zeigt. Alles Dark Patterns, alle abmahn-fähig, alle in der Aufsichts-Praxis dokumentiert.

3. Pauschale „Alle akzeptieren“-Logik ohne Granular-Option

Wer nur „Alle akzeptieren“ und „Alle ablehnen“ anbietet, ohne dem Nutzer die kategorienweise Wahl zu erlauben, ist nicht konform. Mindest-Granularität: Funktional / Statistik / Marketing.

Klassischer Fehler: Der Banner wird angezeigt, aber Google Analytics oder Facebook Pixel lädt schon im Hintergrund. Konsens und Tracking müssen synchronisiert sein — kein Tracking-Skript darf laden, bevor der Nutzer eingewilligt hat.

Schicht A — Technisch

  • Tracking-Skripte werden erst nach Einwilligung geladen (Consent-Mode oder eigener Loader),
  • Consent-Entscheidungen werden protokolliert (für die Nachweispflicht),
  • Reject ist gleichwertig erreichbar wie Akzeptieren,
  • Granulare Wahl pro Kategorie verfügbar,
  • Widerruf jederzeit möglich (Cookie-Einstellungen-Link im Footer).

Schicht B — Inhalt

  • Klar formulierter Banner-Text, der WAS und WARUM erklärt,
  • Auflistung aller Cookie-Anbieter mit Zweck und Aufbewahrungsdauer in der Datenschutzerklärung,
  • Hinweis auf Drittland-Übermittlung, wenn relevant (US-Anbieter, internationale Tools).

Schicht C — Premium-Optik

Die meisten Banner-Lösungen 2026 setzen auf eine Bildschirm-Wand — den ganzen Hero verschwindet hinter dem Cookie-Banner. Das ist juristisch zulässig, aber UX-mäßig brutal. Premium-Alternativen:

  • Toast unten — eine schmale Leiste am Bildschirm-Rand, blockiert nichts, lässt den Nutzer die Seite erkunden, bevor er entscheidet,
  • Pop-up bei Bedarf — Banner taucht nur auf, wenn der Nutzer auf Funktionen tippt, die Tracking brauchen,
  • Komplett-Verzicht auf einwilligungspflichtige Cookies — möglich, wenn du auf Tracking verzichtest und nur „unbedingt erforderliche“ Cookies nutzt. Dann brauchst du gar keinen Banner.

Die unbequeme Wahrheit über die OK-Quote

Wer heute eine 90–95 % OK-Quote hat, hat das fast immer mit Friction-Tricks erreicht. 2026 ist das Risiko zu groß. Eine ehrliche, konforme Cookie-Lösung liegt typischerweise bei 30–50 % Einwilligung — der Rest lehnt aktiv ab oder wählt granulär.

Das klingt erstmal nach Verlust. Ist aber nicht so. Drei Punkte:

  1. Die verbleibende Datenbasis ist deutlich sauberer — alle Tracking-Daten kommen von Nutzern, die wirklich zugestimmt haben.
  2. Die Datenschutz-Behörden lassen dich in Ruhe.
  3. Die Abmahn-Risiken sinken massiv.

Premium-Marken haben das schon vor zwei Jahren verstanden: Lieber 40 % saubere Daten als 95 % rechtlich angreifbar.

Was du diese Woche prüfen solltest

  1. Banner-Check. Akzeptieren und Ablehnen gleich sichtbar? Gleich groß? Gleich farblich? Wenn nein — handeln.
  2. Granular-Check. Kannst du als Nutzer zwischen Funktional/Statistik/Marketing wählen? Wenn nein — handeln.
  3. Pre-Load-Check. Browser-Devtools öffnen, Netzwerk-Tab, Seite neu laden, schauen, welche Tracking-Skripte VOR der Einwilligung laden. Wenn welche dabei sind — handeln.
  4. Widerruf-Check. Findet ein Nutzer im Footer einen Link „Cookie-Einstellungen ändern“? Wenn nein — handeln.

Was Hannes daraus macht

Unsere Wachstumsplattform bringt eine eigene, konforme Cookie-Lösung mit: dezenter Toast statt Bildschirm-Wand, gleichwertiger Reject-Knopf, granulare Auswahl, Tracking-Lade-Logik die wirklich erst nach Einwilligung ladet, Widerruf-Link im Footer. Bei unseren Mandanten ist die Default-Konfiguration konservativ — wir aktivieren Tracking-Tools nur, wenn sie wirklich Geschäftswert bringen, nicht standardmäßig.

Wer prüfen will, ob seine bestehende Cookie-Lösung 2026-konform ist: frag Hannes — er prüft die wichtigsten Punkte (Reject-Erreichbarkeit, Pre-Load-Skripte, Widerruf-Link). Wer den Banner überarbeiten will, kann das oft als Eingriff in 1–2 Werktagen lösen — kein Komplett-Umbau nötig.

Häufige Fragen

Ich habe einen alten Cookie-Banner aus 2021 — reicht das für 2026?
Sehr wahrscheinlich nicht. Die EuGH-Rechtsprechung hat die Anforderungen seit 2022 mehrfach geschärft. Wer einen Banner aus 2021 noch unverändert betreibt, hat fast garantiert Lücken bei Reject-Gleichwertigkeit, Granular-Wahl oder Pre-Load. Ein Banner-Update ist meist in 1–2 Werktagen erledigt.
Kann ich nicht einfach auf alle einwilligungspflichtigen Cookies verzichten?
Kannst du — und es ist eine ernsthafte Premium-Option. Wer auf Google Analytics, Facebook Pixel und andere Tracker verzichtet, braucht keinen Banner, hat keine Banner-UX-Pein, keine Abmahn-Risiken. Als Ersatz funktioniert oft serverseitiges Logfile-Tracking (kein Personenbezug) oder ein einwilligungsfreies Analytics-Tool wie Plausible oder Matomo (mit anonymisierten IPs und richtiger Konfiguration).
Was passiert konkret, wenn ich nichts ändere?
In der ersten Stufe: Abmahnungen durch Wettbewerbsverbände oder Wettbewerber (Streitwerte 5.000–25.000 EUR, plus Anwaltskosten). In der zweiten Stufe: Beschwerden bei Datenschutzbehörden, die Bußgelder verhängen können (Größenordnung deutlich höher). Beide Risiken sind 2026 real und steigen.
Reicht ein „Consent Management Platform“-Tool wie Cookiebot oder Usercentrics?
Diese Tools können konforme Banner bauen — aber nur, wenn du sie richtig konfigurierst. Default-Einstellungen vieler CMPs erfüllen die EuGH-Anforderungen nicht (oft Dark-Pattern-freundlich konfiguriert). Wer ein CMP einsetzt, sollte die Konfiguration durch jemanden prüfen lassen, der die aktuelle Rechtsprechung kennt.
Was ist mit Local Storage und Session Storage — fällt das auch unter den Banner?
Ja. § 25 TDDDG sagt „Speicherung von Informationen in der Endeinrichtung“ — das umfasst Cookies, LocalStorage, SessionStorage, IndexedDB, alles. Wer nur LocalStorage statt Cookies setzt, hat das Problem nicht umgangen, nur verlagert.
Brauche ich einen Banner für „unbedingt erforderliche“ Cookies?
Nein. Cookies, die für den ausdrücklich gewünschten Dienst unbedingt erforderlich sind (Session, Warenkorb, Sprach-Auswahl, CSRF-Token), brauchen keine Einwilligung. Wer nur solche Cookies setzt, braucht überhaupt keinen Banner — nur einen Hinweis in der Datenschutzerklärung.
Was ist mit der angekündigten ePrivacy-Verordnung der EU?
Die EU-Verordnung ist seit Jahren im Gesetzgebungs-Prozess und kommt aktuell nicht voran. Aktuell ist die nationale Umsetzung (TDDDG in Deutschland) maßgeblich. Wenn die Verordnung irgendwann kommt, wird sie die Lage EU-weit vereinheitlichen — substantielle Verschärfungen gegenüber der heutigen deutschen Praxis sind nicht zu erwarten.

Das regeln wir — so sieht das bei uns aus.

Unsicher, wo deine Seite steht? Frag Hannes — er schaut sie sich an und sagt dir ehrlich, was zu holen ist.

Weiterlesen

05.03.2026Newsletter-Einwilligung in der Praxis: Double-Opt-In, Beweispflicht, Bestätigungs-Logs15.12.2025Tracking-Tools sortiert: Welche brauchen Einwilligung, welche nicht — und welche fliegen besser raus08.10.2025Cookie-Banner rechtssicher: Was 2025 wirklich rein muss — und was rausfliegt