Ypsilondev
DSGVO & Recht

Cookie-Banner Pflicht: Was kleine Unternehmen wissen müssen

Kaum ein Thema sorgt bei Website-Betreibern für so viel Unsicherheit wie die Cookie-Banner-Pflicht für kleine Unternehmen. Brauche ich als Handwerksbetrieb, Praxis oder Restaurant überhaupt so ein Banner? Reicht der Hinweis “Diese Seite verwendet Cookies”? Und kann mich wirklich jemand abmahnen, nur weil ein Häkchen falsch gesetzt ist?

Die kurze Antwort: Eine pauschale Banner-Pflicht gibt es nicht – aber sobald Deine Website Dienste wie Google Analytics, YouTube-Videos oder eingebettete Karten nutzt, kommst Du um eine echte Einwilligung nicht herum. Und genau da machen viele kleine Websites Fehler, die Abmahnanwälte und Datenschutzbehörden seit Jahren gezielt suchen.

In diesem Artikel klären wir aus Agentursicht, wann Du ein Cookie-Banner wirklich brauchst, welche Regeln aus DSGVO und TDDDG dahinterstecken, welche Fehler am häufigsten abgemahnt werden und wie Du Dein Banner so einrichtest, dass es rechtlich sauber ist – ohne Deine Besucher mehr als nötig zu nerven.

Das Banner selbst ist nicht das Gesetz – die Einwilligung ist es. Ein Cookie-Banner ist nur das Werkzeug, mit dem Du diese Einwilligung einholst. Ob Du eines brauchst, hängt also davon ab, was Deine Website technisch tut. Geh diese Fragen ehrlich durch:

  • Nutzt Du ein Statistik-Tool wie Google Analytics oder Matomo mit Cookies?
  • Bindest Du externe Inhalte ein – YouTube-Videos, Google Maps, Instagram-Feeds, Buchungswidgets?
  • Schaltest Du Werbung mit Tracking, etwa Google Ads mit Conversion-Messung oder Remarketing?
  • Lädt Deine Seite Schriften oder Skripte von fremden Servern, zum Beispiel Google Fonts direkt von Google?
  • Setzt Dein Shop- oder Chat-System Cookies, die nicht rein technisch notwendig sind?

Hast Du überall mit Nein geantwortet, brauchst Du tatsächlich kein Einwilligungs-Banner. Eine reine Visitenkarten-Website mit Kontaktformular, lokal eingebundenen Schriften und ohne Tracking kommt ohne aus – die Pflichtinfos gehören dann in die Datenschutzerklärung, nicht in ein Pop-up. Schon ein einziges Ja bedeutet aber: Du brauchst eine saubere Einwilligungslösung, bevor der jeweilige Dienst lädt.

In der Praxis erleben wir allerdings selten ein ehrliches fünffaches Nein. Viele Baukasten-Seiten und ältere WordPress-Installationen laden Google Fonts oder Tracking-Skripte, ohne dass der Betreiber davon weiß. Wenn Du gerade eine neue Website erstellen lässt, ist das der beste Zeitpunkt, solche Altlasten von Anfang an zu vermeiden – nachträglich aufräumen ist immer aufwendiger.

DSGVO vs. TDDDG: Welche Regeln für Cookies wirklich gelten

Viele reden nur von der DSGVO, dabei sind es zwei Gesetze, die zusammenspielen. Das zu verstehen hilft Dir, Diskussionen mit Dienstleistern und die Einstellungen Deines Consent-Tools richtig einzuordnen.

TDDDG: Der Zugriff auf das Endgerät

Das TDDDG (früher TTDSG) regelt in § 25, dass das Speichern von Informationen auf dem Gerät Deiner Besucher – und der Zugriff darauf – grundsätzlich eine Einwilligung braucht. Das betrifft Cookies, aber genauso Local Storage, Fingerprinting oder Tracking-Pixel. Die wichtige Ausnahme: Was technisch unbedingt erforderlich ist, darf ohne Einwilligung gesetzt werden. Dazu zählen etwa der Warenkorb-Cookie in Deinem Shop, ein Login-Cookie oder der Cookie, der die Banner-Entscheidung selbst speichert.

DSGVO: Die Verarbeitung der Daten

Die DSGVO greift eine Ebene später: Sobald über Cookies personenbezogene Daten verarbeitet werden – IP-Adressen, Nutzerprofile, Standortdaten –, brauchst Du dafür eine Rechtsgrundlage. Bei Tracking und Marketing ist das praktisch immer die Einwilligung, und die muss freiwillig, informiert und vor dem Laden des Dienstes erfolgen. Außerdem muss der Widerruf so einfach sein wie die Zustimmung.

Für Dich als Betreiber heißt das zusammengefasst: “Technisch notwendig” ist die einzige Kategorie, die ohne Klick erlaubt ist. Alles andere – Statistik, Marketing, externe Medien – darf erst laden, nachdem Deine Besucher aktiv zugestimmt haben. Ein Banner, das nur informiert (“Wir nutzen Cookies, okay!”), erfüllt diese Anforderung nicht.

Die meisten Abmahnungen und Behördenbeschwerden drehen sich nicht um exotische Rechtsfragen, sondern um immer dieselben handwerklichen Fehler. Das sind die Klassiker, die uns bei Website-Checks regelmäßig begegnen:

  1. Kein “Ablehnen” auf der ersten Ebene. Wenn “Alle akzeptieren” prominent leuchtet, das Ablehnen aber in einem Untermenü versteckt ist, gilt die Einwilligung als nicht freiwillig. Datenschutzbehörden fordern eine gleichwertige Ablehnen-Option direkt im Banner.
  2. Cookies laden vor dem Klick. Der häufigste technische Fehler: Das Banner ist da, aber Analytics oder YouTube laden trotzdem sofort. Das lässt sich mit den Entwicklertools jedes Browsers in Sekunden nachweisen – und genau so arbeiten auch Abmahner.
  3. Vorangekreuzte Häkchen. Der Europäische Gerichtshof hat schon vor Jahren klargestellt: Eine vorab gesetzte Checkbox ist keine wirksame Einwilligung. Alle optionalen Kategorien müssen standardmäßig aus sein.
  4. Google Fonts & Co. laufen am Banner vorbei. Schriften, Skripte oder Karten, die direkt von US-Servern laden, übertragen die IP-Adresse Deiner Besucher – auch ohne Cookie. Google Fonts war deshalb bereits Auslöser ganzer Abmahnwellen. Die saubere Lösung: lokal einbinden.
  5. Kein Widerruf möglich. Besucher müssen ihre Entscheidung jederzeit ändern können, etwa über einen kleinen Fingerprint-Button oder einen Link im Footer. Fehlt der, ist die Einwilligung formal unvollständig.
  6. Impressum und Datenschutzerklärung blockiert. Diese Seiten müssen ohne Einwilligung erreichbar sein. Ein Banner, das die komplette Website sperrt, bis geklickt wurde, verstößt genau dagegen.

Besonders relevant wird das Thema, wenn Du Werbung schaltest: Conversion-Tracking und Remarketing für Google Ads funktionieren nur mit korrekt eingeholter Einwilligung – inklusive Consent Mode. Ein schlampiges Banner kostet Dich hier doppelt: rechtliches Risiko plus Kampagnen, deren Erfolg Du nicht messen kannst.

Du musst kein eigenes Banner programmieren – dafür gibt es etablierte Consent-Management-Tools. Die Unterschiede liegen weniger im Banner selbst als in Betrieb, Wartung und Kostenmodell:

Tool-TypBeispieleStärkenWorauf Du achten solltest
WordPress-PluginsBorlabs Cookie, Real Cookie Banner, ComplianzEinmalige oder günstige Jahreslizenz, Daten bleiben auf Deinem Server, gute Integration ins CMSMuss bei jedem neuen Dienst gepflegt werden; Blocken der Skripte musst Du korrekt konfigurieren
Cloud-DiensteCookiebot, UsercentricsAutomatischer Website-Scan, laufend aktualisierte Cookie-Datenbank, systemunabhängigLaufende Abokosten, die mit Seitenzahl/Traffic steigen; Abhängigkeit vom Anbieter
Baukasten-FunktionenIntegrierte Banner von Homepage-BaukästenOhne Zusatzkosten aktivierbarOft nur Info-Banner ohne echtes Skript-Blocking – genau prüfen, ob Dienste wirklich erst nach Klick laden

Für eine typische kleine Unternehmens-Website auf WordPress ist ein gepflegtes Plugin meist die pragmatischste Wahl: überschaubare Kosten, volle Kontrolle, keine Datenweitergabe an einen weiteren Dienstleister. Konkrete Preise hängen vom Anbieter und Umfang ab – wichtiger als zehn Euro Unterschied ist, dass das Tool sauber konfiguriert wird. Denn das beste Consent-Tool nützt nichts, wenn die Skripte daran vorbeiladen.

Wenn Du Dein Banner selbst aufsetzt oder ein bestehendes prüfen willst, arbeite diese Punkte durch:

  • Bestandsaufnahme: Alle Dienste, Cookies und externen Skripte Deiner Website erfassen (Browser-Entwicklertools oder Scan-Funktion des Consent-Tools)
  • Kategorien definieren: Technisch notwendig, Statistik, Marketing, externe Medien – jeder Dienst gehört in genau eine Kategorie
  • Skript-Blocking testen: Vor dem Klick auf “Akzeptieren” darf kein optionaler Dienst laden – im Inkognito-Fenster prüfen
  • Gleichwertiger Ablehnen-Button auf der ersten Banner-Ebene, keine versteckten Untermenüs
  • Alle Checkboxen standardmäßig leer, keine Vorauswahl optionaler Kategorien
  • Widerrufsmöglichkeit dauerhaft erreichbar, z. B. als Footer-Link “Cookie-Einstellungen”
  • Google Fonts lokal einbinden statt vom Google-Server zu laden
  • Datenschutzerklärung aktualisieren: Jeder Dienst aus dem Banner muss dort beschrieben sein – und umgekehrt
  • Impressum und Datenschutzerklärung ohne Einwilligung erreichbar halten

Ein realistischer Hinweis aus der Praxis: Die Checkliste ist kein Einmal-Projekt. Jedes neue Plugin, jedes eingebettete Video und jedes Marketing-Tool kann neue Cookies mitbringen. Plane eine kurze Prüfung ein, wann immer sich an Deiner Website etwas ändert.

Wann Du das Banner vom Profi einrichten lassen solltest

Vieles davon kannst Du mit etwas Zeit selbst umsetzen. Es gibt aber Situationen, in denen sich professionelle Hilfe schnell rechnet:

  • Deine Website ist historisch gewachsen und niemand weiß mehr genau, welche Skripte wo laden.
  • Du betreibst einen Online-Shop mit Zahlungsanbietern, Tracking und Bewertungswidgets – hier greifen mehrere Dienste ineinander.
  • Du schaltest Werbung mit Conversion-Messung und brauchst Consent Mode, Server-Side-Tagging oder saubere Datenweitergabe.
  • Du hast schlicht keine Zeit, Dich in Kategorien, Skript-Blocking und Rechtsgrundlagen einzuarbeiten.

Genau dafür gibt es unsere DSGVO-Optimierung: Wir prüfen Deine Website komplett durch, binden Schriften und Medien datenschutzfreundlich ein, richten ein passendes Consent-Tool korrekt ein und testen, dass wirklich nichts am Banner vorbeilädt. Gehostet wird bei uns übrigens DSGVO-konform bei IONOS in Deutschland – ein Baustein weniger, um den Du Dich kümmern musst. Nur zur Einordnung: Wir sind eine Webdesign-Agentur, keine Rechtsanwälte. Die technische Umsetzung machen wir wasserdicht, individuelle Rechtsberatung bekommst Du bei einem Anwalt für IT-Recht.

Häufige Fragen (FAQ)

Nein. Pflicht ist die Einwilligung, nicht das Banner. Nutzt Deine Website ausschließlich technisch notwendige Cookies und keine externen Dienste, brauchst Du kein Banner – nur eine vollständige Datenschutzerklärung. Sobald Statistik, Marketing oder eingebettete Inhalte ins Spiel kommen, führt am Einwilligungs-Banner kein Weg vorbei.

Reicht ein einfacher Hinweis “Diese Seite verwendet Cookies”?

Nein. Ein reines Info-Banner ohne echte Wahlmöglichkeit erfüllt weder TDDDG noch DSGVO. Deine Besucher müssen aktiv zustimmen oder ablehnen können, bevor optionale Dienste laden – und beides muss gleich einfach sein.

Möglich sind Abmahnungen von Mitbewerbern oder Verbänden sowie Beschwerden bei der Datenschutzbehörde, die Prüfverfahren und im Ernstfall Bußgelder nach sich ziehen können. Wie hoch das Risiko im Einzelfall ist, lässt sich seriös nicht pauschal beziffern – klar ist nur: Die typischen Fehler sind leicht nachweisbar und genauso leicht vermeidbar.

Ja. DSGVO und TDDDG kennen keine Bagatellgrenze nach Unternehmensgröße. Der Ein-Mann-Handwerksbetrieb unterliegt denselben Regeln wie der Konzern – der Unterschied liegt nur im Umfang der eingesetzten Dienste, und der ist bei kleinen Websites zum Glück meist überschaubar.

Muss ich mein Banner regelmäßig aktualisieren?

Ja, immer dann, wenn sich Deine Website ändert: neues Tracking, neues Video, neues Buchungstool. Außerdem entwickeln sich Rechtsprechung und Behördenvorgaben weiter. Einmal im Jahr prüfen – oder prüfen lassen – ist eine gute Faustregel.

Fazit: Lieber einmal richtig als dreimal nachgebessert

Die Cookie-Banner-Pflicht ist für kleine Unternehmen kein Hexenwerk – aber sie verzeiht keine Halbherzigkeit. Ein Banner, das nur Deko ist, schützt Dich nicht; ein sauber konfiguriertes erledigt das Thema dauerhaft. Wenn Du unsicher bist, ob Deine Website rechtlich sauber aufgestellt ist, schau Dir Dein Banner mit der Checkliste oben an – oder lass uns das gemeinsam machen: In einem kostenlosen Erstgespräch prüfen wir Deine Website und sagen Dir ehrlich, was passt und was nicht. Melde Dich einfach bei uns – wir antworten schnell und ohne Fachchinesisch.

#Cookie-Banner#DSGVO#TDDDG#Abmahnung#KMU