Cookie-Banner rechtssicher gestalten 2026 (§ 25 TDDDG)

Inhalt in Kürze

• Rechtsgrundlage ist § 25 TDDDG (seit Mai 2024 Nachfolger des TTDSG): Jeder nicht technisch notwendige Cookie braucht eine aktive Einwilligung nach Art. 6 Abs. 1 a DSGVO.
• Der Ablehnen-Button muss gleichwertig zum Akzeptieren-Button sein — gleiche Ebene, gleiche Sichtbarkeit. OLG Köln und VG Hannover haben das 2024/2025 bestätigt.
• Dark Patterns sind unwirksam: vorausgewählte Häkchen, versteckter Reject, Nudging-Farben, „berechtigtes Interesse” für Marketing-Cookies — alles macht die Einwilligung nichtig.
• Tracking ohne gültigen Consent ist ein DSGVO-Verstoß mit Bußgeld bis 4 % vom Jahresumsatz plus Abmahnrisiko — der HmbBfDI prüft Hamburger Websites aktiv.

Stand: Juni 2026 · Autor: Nils Oehmichen · Lesezeit: 9 Minuten

Ihr Cookie-Banner ist kein Deko-Element. Es ist die Stelle, an der Sie sich eine rechtskräftige Einwilligung holen — oder eben nicht. Und falsch gebaut wird genau hier abgemahnt: vorausgewählte Häkchen, ein grauer „Ablehnen”-Link in der Ecke, „Akzeptieren” in knalligem Grün. Das ist 2026 kein Kavaliersdelikt mehr, sondern ein DSGVO-Verstoß mit klarem Bußgeldrahmen. Wir zeigen Ihnen, welche Regeln gelten und wie Ihr Banner durchhält.

Cookie-Banner rechtssicher: was § 25 TDDDG verlangt

Seit dem 14. Mai 2024 heißt das Gesetz nicht mehr TTDSG, sondern TDDDG — Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. Inhaltlich für Cookies hat sich nichts geändert, nur der Name. Die zentrale Norm bleibt § 25 TDDDG.

Die Logik ist einfach. § 25 Abs. 1 sagt: Das Speichern von Informationen auf dem Endgerät eines Nutzers — und der Zugriff darauf — ist nur mit dessen Einwilligung erlaubt. Das gilt für Cookies, aber auch für Local Storage, Fingerprinting und Tracking-Pixel.

§ 25 Abs. 2 nennt die Ausnahme: Technisch notwendige Cookies brauchen keine Einwilligung. Notwendig heißt, der Dienst funktioniert ohne sie nicht — Warenkorb, Login-Session, Spracheinstellung, Lastverteilung.

Alles andere — Analyse, Marketing, Reichweitenmessung, Werbenetzwerke — fällt unter den Einwilligungsvorbehalt. Und die Einwilligung muss den Anforderungen der DSGVO genügen, nämlich Art. 6 Abs. 1 a in Verbindung mit Art. 7 DSGVO.

Technisch notwendig oder nicht? Die entscheidende Trennlinie

Die häufigste Fehlannahme: „Wir nutzen doch nur Google Analytics, das ist doch harmlos.” Falsch. Analyse-Cookies sind nie technisch notwendig im Sinne von § 25 Abs. 2 TDDDG. Sie messen Verhalten, sie helfen Ihnen — aber sie sind für den Betrieb der Website nicht erforderlich.

Diese Cookies dürfen ohne Einwilligung gesetzt werden:

• Session-Cookies. Login-Status, Warenkorb-Inhalt während des Besuchs.
• Sicherheits-Cookies. CSRF-Token, Lastverteilung, Bot-Schutz auf Funktionsebene.
• Präferenz-Cookies im engen Sinn. Sprachauswahl, Cookie-Einwilligung selbst (sonst müssten Sie ja bei jedem Klick neu fragen).

Diese brauchen immer eine aktive Einwilligung:

• Analyse & Statistik. Google Analytics 4, Matomo (im Cookie-Modus), Hotjar, Clarity.
• Marketing & Werbung. Meta-Pixel, Google Ads, LinkedIn Insight Tag, Retargeting.
• Externe Inhalte mit Tracking. Eingebettete YouTube-Videos, Google Maps, Schriftarten von externen CDN.

Die vier Bedingungen einer gültigen Einwilligung

Art. 4 Nr. 11 und Art. 7 DSGVO definieren, wann eine Einwilligung überhaupt gilt. Vier Bedingungen müssen alle erfüllt sein:

1. Freiwillig: Der Nutzer muss eine echte Wahl haben. Kein Zwang, keine Cookie-Wall ohne Alternative für rein funktionale Inhalte, keine Nachteile bei Ablehnung.
2. Informiert: Vor dem Klick muss klar sein, wer welche Daten zu welchem Zweck verarbeitet — inklusive Drittanbieter und Datenübermittlung in Drittländer wie die USA.
3. Aktiv: Eine bewusste Handlung. Kein vorausgewähltes Häkchen, kein „Weiterscrollen gilt als Zustimmung", kein automatischer Consent durch Schließen des Banners.
4. Granular & widerrufbar: Der Nutzer kann einzelnen Zwecken getrennt zustimmen und die Einwilligung jederzeit so leicht widerrufen, wie er sie erteilt hat (Art. 7 Abs. 3 DSGVO).

Den entscheidenden Punkt hat der EuGH schon 2019 im Planet-49-Urteil (C-673/17) festgenagelt: Ein vorangekreuztes Kästchen ist keine gültige Einwilligung. Diese Linie hat sich seither nur verschärft.

Der Ablehnen-Button muss gleichwertig sein

Das ist der Punkt, an dem die meisten Banner durchfallen — und der, an dem aktuell am häufigsten abgemahnt wird.

Die Regel: „Ablehnen” muss auf der ersten Ebene des Banners stehen, gleich sichtbar und gleich leicht erreichbar wie „Akzeptieren”. Ein „Alle akzeptieren”-Knopf in Grün und daneben nur ein grauer „Einstellungen”-Link, hinter dem man sich erst durch drei Ebenen klicken muss, um ablehnen zu können — das ist ein klassisches Dark Pattern.

Die Gerichte sind hier eindeutig:

• Das OLG Köln (Urteil vom Januar 2024, Az. 6 U 80/23) entschied, dass Cookie-Banner fair gestaltet sein müssen und dem Nutzer eine echte Wahl lassen müssen — Ablehnen muss genauso leicht sein wie Zustimmen.
• Das VG Hannover (Urteil von 2025) kippte ein manipulatives Banner und kritisierte nicht nur die erste, sondern auch die zweite Ebene scharf: Der „Kommunikationseffekt” von Akzeptieren und Ablehnen sei nicht gleichwertig, wenn Ablehnen versteckt wird.
• Bereits das LG München I hatte 2023 die Ablehnungsmöglichkeit erst auf der zweiten Ebene für unzulässig erklärt.

Diese Rechtsprechung deckt sich mit der Orientierungshilfe der Datenschutzkonferenz (DSK) für Anbieter von Telemedien und mit den Leitlinien des Europäischen Datenschutzausschusses (EDSA) zu Dark Patterns.

Diese Dark Patterns machen Ihren Banner angreifbar

Ein „Dark Pattern” ist ein Design-Trick, der den Nutzer in Richtung Zustimmung schubst. Die Aufsichtsbehörden und Gerichte erkennen sie inzwischen zuverlässig. Diese sind die häufigsten — und alle machen die Einwilligung unwirksam:

Was Tracking ohne Consent kostet

Klingt hart, ist aber so: Wenn Ihr Banner unwirksam ist, läuft Ihr gesamtes Tracking ohne Rechtsgrundlage. Jeder Analytics-Aufruf, jeder Pixel-Hit ist dann eine Datenverarbeitung ohne Einwilligung — also ein DSGVO-Verstoß. Der Bußgeldrahmen liegt nach Art. 83 DSGVO bei bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes, je nachdem, was höher ist.

Konkret wurde es 2024 für einen Wetterplattform-Betreiber: 250.000 € wegen rechtswidriger Cookie-Banner. Die Verbraucherzentrale NRW hat schon 2022 Google zu Banner-Änderungen gezwungen, weil das Design gegen nationale Regeln verstieß.

Dazu kommt das zweite Risiko: die Abmahnung. Wettbewerber und Verbraucherverbände können unzulässige Banner abmahnen — das kostet Anwalts- und Gerichtskosten, oft vierstellig, plus die Pflicht zur sofortigen Korrektur. Eine Untersuchung von activeMind ergab schon vor Jahren, dass ein zweistelliger Prozentsatz der geprüften Banner rechtswidrig war. Das Problem ist also nicht selten — es ist die Regel.

Die Consent-Management-Plattform (CMP)

Ein rechtssicheres Banner von Hand zu bauen ist möglich — aber fehleranfällig und schwer nachweisbar. Deshalb nutzen die meisten Betreiber eine Consent-Management-Plattform. Sie übernimmt drei Aufgaben, die Sie sonst manuell lösen müssten:

• Skript-Blocking. Tracking-Skripte werden erst geladen, nachdem der Nutzer zugestimmt hat — nicht vorher. Das ist die Kernfunktion, an der Eigenbauten meist scheitern.
• Consent-Logging. Jede Einwilligung wird mit Zeitstempel, Version und gewählten Kategorien revisionssicher dokumentiert. Damit erfüllen Sie die Nachweispflicht aus Art. 7 Abs. 1 DSGVO.
• Widerruf & Verwaltung. Der Nutzer kann seine Einwilligung jederzeit über ein dauerhaft erreichbares Symbol ändern oder widerrufen — so leicht, wie er sie erteilt hat.

Worauf Sie bei der Auswahl achten sollten: ein gleichwertiger Ablehnen-Button auf Ebene eins, granulare Kategorien, dokumentiertes Consent-Logging, ein dauerhafter Widerrufsmechanismus und — falls Sie internationale Werbenetzwerke nutzen — Unterstützung für das IAB Transparency & Consent Framework (TCF).

Seit 2025 erlaubt § 26 TDDDG außerdem anerkannte Dienste zur Einwilligungsverwaltung (PIMS). Das ist die gesetzliche Grundlage für browser- oder accountbasierte Consent-Signale, die irgendwann den Banner-Wildwuchs reduzieren sollen — in der Praxis ist das aber noch Zukunftsmusik.

Google Consent Mode v2 — kurz erklärt

Wer Google Ads oder Google Analytics nutzt, stolpert über den Consent Mode v2. Wichtig: Das ist keine DSGVO-Pflicht, sondern eine Google-Vorgabe. Seit März 2024 verlangt Google den Consent Mode v2, damit personalisierte Funktionen in Ads und Analytics weiter funktionieren.

Der Consent Mode überträgt das Ergebnis Ihres Cookie-Banners an Google: Hat der Nutzer zugestimmt oder nicht? Im Basic Mode wird ohne Zustimmung gar nichts an Google gesendet. Im Advanced Mode werden anonymisierte, cookielose Signale übertragen, aus denen Google modelliert.

Aus der Praxis

Für uns ist wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen — ohne dabei den Geschäftsbetrieb einzustellen. Beim Cookie-Banner heißt das: zwei gleichwertige Buttons, Tracking erst nach dem Klick, sauberes Logging. Das ist in einem halben Tag erledigt und nimmt das Abmahnrisiko fast komplett raus.

Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Schritt für Schritt zum rechtssicheren Banner

So gehen Sie vor — die Reihenfolge ist wichtig, weil Sie sonst Cookies ins Banner einbauen, die Sie gar nicht kennen:

1. Cookie-Audit: Listen Sie alle Cookies und Skripte auf. Welche sind technisch notwendig, welche nicht? Vergessen Sie eingebettete Inhalte (YouTube, Maps, Fonts) nicht.
2. CMP einrichten: Wählen Sie eine Consent-Management-Plattform und konfigurieren Sie die Kategorien (Notwendig / Statistik / Marketing).
3. Skript-Blocking aktivieren: Stellen Sie sicher, dass kein Tracking-Skript vor der Einwilligung lädt. Das ist die häufigste Fehlerquelle — testen Sie es im Netzwerk-Tab.
4. Buttons gleichwertig gestalten: „Alle akzeptieren" und „Alle ablehnen" gleich groß, gleich auffällig, auf Ebene eins. Keine Nudging-Farben.
5. Datenschutzerklärung verlinken: Vor dem Klick muss der Nutzer informiert sein — Link zur Datenschutzerklärung mit allen Diensten und Drittlandtransfers.
6. Widerruf einbauen: Ein dauerhaft erreichbares Symbol zum Ändern der Einwilligung.
7. Consent-Logging prüfen: Werden Zustimmungen revisionssicher gespeichert? Können Sie im Streitfall nachweisen, wer wann was erlaubt hat?

Fazit / Ihr nächster Schritt

Ein rechtssicheres Cookie-Banner ist kein Hexenwerk — aber Detailarbeit. § 25 TDDDG verlangt Einwilligung für alles, was nicht technisch notwendig ist. Die DSGVO verlangt, dass diese Einwilligung freiwillig, informiert, aktiv und granular ist. Und die Gerichte verlangen, dass Ablehnen genauso leicht ist wie Akzeptieren. Wer diese drei Linien hält, ist auf der sicheren Seite.

Den größten Hebel haben Sie beim Skript-Blocking und beim Button-Layout. Beides ist in wenigen Stunden korrigiert — und genau dort schauen Aufsichtsbehörde und Abmahner zuerst hin. Für Hamburger Shops gilt das doppelt, weil der HmbBfDI Cookie-Banner aktiv prüft.

Mehr zum Thema: unsere Datenschutz-Lösung für E-Commerce, der Beitrag Datenschutzerklärung erstellen und unsere Übersicht externer DSB Hamburg mit Tarifen und Angebotsrechner. Wenn Sie eine Anfrage vom HmbBfDI bekommen haben, lesen Sie unbedingt, was jetzt zu tun ist.

Häufige Fragen (FAQ)

Brauche ich für jeden Cookie eine Einwilligung?

Nein. Technisch notwendige Cookies — Warenkorb, Login-Session, Spracheinstellung, Lastverteilung — dürfen nach § 25 Abs. 2 TDDDG ohne Einwilligung gesetzt werden. Sobald Sie Analyse-, Marketing- oder Tracking-Cookies (Google Analytics, Meta-Pixel, Werbenetzwerke) einsetzen, brauchen Sie eine aktive Einwilligung.

Muss der Ablehnen-Button gleichwertig zum Akzeptieren-Button sein?

Ja. Mehrere Gerichte (OLG Köln 6 U 80/23, VG Hannover 2025) und die Datenschutzkonferenz verlangen, dass Ablehnen genauso leicht und auf derselben Ebene möglich ist wie Akzeptieren. Ein versteckter oder grau gestalteter Ablehnen-Button ist ein Dark Pattern und macht die Einwilligung unwirksam.

Ist ein vorausgewähltes Häkchen erlaubt?

Nein. Der EuGH hat im Planet-49-Urteil (C-673/17) klargestellt, dass vorangekreuzte Kästchen keine gültige Einwilligung sind. Einwilligung muss eine aktive Handlung sein — der Nutzer muss selbst zustimmen, nicht ein Häkchen entfernen.

Drohen für falsche Cookie-Banner Bußgelder?

Ja. Cookie-Banner ohne gültige Einwilligung bedeuten Tracking ohne Rechtsgrundlage — das ist ein DSGVO-Verstoß mit Bußgeldrahmen bis 4 % vom Jahresumsatz. 2024 wurde ein Wetterplattform-Betreiber wegen manipulativer Banner mit 250.000 € belegt. Dazu kommt das Abmahnrisiko durch Wettbewerber und Verbände.

Brauche ich eine Consent-Management-Plattform?

Praktisch ja. Eine CMP blockiert Tracking-Skripte bis zur Einwilligung, dokumentiert jede Zustimmung revisionssicher und macht den Widerruf möglich. Ohne dieses Consent-Logging können Sie im Streitfall nicht nachweisen, dass eine gültige Einwilligung vorlag — und genau das verlangt Art. 7 Abs. 1 DSGVO.

Ist der Google Consent Mode v2 Pflicht?

Nicht aus Sicht der DSGVO, aber aus Sicht von Google: Seit März 2024 brauchen Sie ihn, um Google Ads und Analytics mit personalisierten Funktionen weiter zu nutzen. Er ersetzt aber keine Einwilligung — die holt weiterhin Ihr Cookie-Banner ein.

Recherche-Stand: verifiziert am 5. Juni 2026 über gesetze-im-internet.de (§ 25 TDDDG), heise.de (VG Hannover), noerr.com (OLG Köln 6 U 80/23), it-recht-kanzlei.de (LG München I, Dark Patterns), datenschutzberater.nrw (250.000-€-Bußgeld) und dr-datenschutz.de (Google Consent Mode v2).