Datenschutzaudit DSGVO Audit
Datenschutzaudit durchführen – Ablauf, Kosten und Checkliste
Datenschutzaudit durchführen: Kompletter Ablauf in 6 Schritten, typische Kosten und detaillierte Prüf-Checkliste für Hamburger KMU.
Weiterlesen Cookie Banner DSGVO ePrivacy Website Compliance
Cookie-Banner DSGVO-konform einrichten – Die häufigsten Fehler
Von Nils Oehmichen Datenschutzberater & Geschäftsführer
Inhalt in Kürze
- Ihr Cookie-Banner ist nicht automatisch DSGVO-konform, nur weil es angezeigt wird. Technische Blockierung, gleichwertige Buttons und korrekte Kategorisierung sind Pflicht.
- Das TDDDG (ehemals TTDSG) regelt seit Mai 2024 den Zugriff auf Endgeräte. Die DSGVO greift zusätzlich bei personenbezogenen Daten.
- Verbraucherschützer und Aufsichtsbehörden prüfen aktiv. Bei fast 1.000 geprüften Websites verstießen 10 % der Banner gegen geltendes Recht.
- Bußgelder bis 20 Millionen Euro oder 4 % des Jahresumsatzes drohen bei schweren Verstößen.
- Mit dem frag.hugo Datenschutz-Check finden Sie in wenigen Minuten heraus, ob Ihr Cookie-Banner Probleme hat.
Fast jede Website zeigt heute ein Cookie-Banner. Das Problem: Die meisten Banner sind fehlerhaft. Manche blockieren Cookies nicht wirklich. Andere verstecken den Ablehnen-Button. Wieder andere zeigen keine Informationen zu den eingesetzten Diensten.
Das Ergebnis: Sie wiegen sich in Sicherheit, während Ihre Website gegen § 25 TDDDG und die DSGVO verstößt. In diesem Artikel zeigen wir Ihnen die sieben häufigsten Cookie-Banner-Fehler und wie Sie sie beheben.
10 %
der geprüften Banner rechtswidrig (vzbv-Studie)
20 Mio €
maximales Bußgeld nach DSGVO
2 Gesetze
TDDDG + DSGVO greifen gleichzeitig
Rechtsrahmen: TDDDG und DSGVO greifen zusammen
Bevor wir zu den Fehlern kommen, kurz zur Rechtslage. Zwei Gesetze regeln Cookie-Banner in Deutschland:
Das TDDDG (§ 25) regelt den Zugriff auf das Endgerät des Nutzers. Wer Informationen auf dem Gerät speichert oder ausliest – also Cookies setzt –, braucht eine Einwilligung. Ausnahme: technisch notwendige Cookies.
Die DSGVO (Art. 6, Art. 7) regelt die Verarbeitung personenbezogener Daten. Sobald ein Cookie personenbezogene Daten erhebt (z. B. IP-Adresse über Analytics), gelten zusätzlich die Anforderungen der DSGVO an eine wirksame Einwilligung gemäß Art. 7 DSGVO.
In der Praxis bedeutet das: Für Marketing- und Analyse-Cookies brauchen Sie immer eine aktive Einwilligung. Die DSK-Orientierungshilfe für Telemedienanbieter fasst die Anforderungen zusammen.
Cookie-Kategorien: Wann ist eine Einwilligung nötig?
| Kategorie | Beispiele | Einwilligung nötig? | Rechtsgrundlage |
|---|---|---|---|
| Technisch notwendig | Session-Cookies, Warenkorb, Login-Status | Nein | § 25 Abs. 2 TDDDG |
| Funktional | Spracheinstellung, Schriftgröße | Nein (wenn zwingend nötig) | § 25 Abs. 2 TDDDG |
| Analyse / Statistik | Google Analytics, Matomo (mit Cookies) | Ja | § 25 Abs. 1 TDDDG + Art. 6 DSGVO |
| Marketing / Tracking | Google Ads, Meta Pixel, Remarketing | Ja | § 25 Abs. 1 TDDDG + Art. 6 DSGVO |
| Drittanbieter-Einbindungen | YouTube, Google Maps, Social Plugins | Ja | § 25 Abs. 1 TDDDG + Art. 6 DSGVO |
Die 7 häufigsten Cookie-Banner-Fehler
1. Banner zeigt nur einen Hinweis – blockiert aber nichts
Der häufigste und gefährlichste Fehler. Viele kostenlose Cookie-Plugins zeigen zwar einen Banner, blockieren die Cookies aber nicht technisch. Der Google-Analytics-Code läuft trotzdem. Das Meta Pixel feuert trotzdem. Der Banner ist reine Dekoration.
So prüfen Sie es: Öffnen Sie Ihre Website im Browser, lehnen Sie alle Cookies ab und prüfen Sie über die Entwicklertools (F12 → Application → Cookies), ob trotzdem Tracking-Cookies gesetzt werden.
2. Kein gleichwertiger Ablehnen-Button
Ablehnen-Button muss gleichwertig sein
Das OLG Köln und die DSK haben klargestellt: Der Button zum Ablehnen muss auf derselben Ebene und in derselben Gestaltung wie der Akzeptieren-Button erscheinen. Ein riesiger grüner „Alle akzeptieren"-Button neben einem grauen „Einstellungen"-Link in kleiner Schrift ist rechtswidrig. Beide Optionen müssen gleichwertig in Farbe, Größe und Platzierung sein.
Diesen Fehler sehen wir bei der Mehrheit aller Websites. Der Akzeptieren-Button ist groß und farbig. Die Ablehnen-Option versteckt sich hinter „Einstellungen” oder „Weitere Optionen” auf einer zweiten Ebene. Das ist kein freiwilliges Opt-in – das ist Nudging. Und Nudging macht die Einwilligung unwirksam.
3. Vorangekreuzte Checkboxen
Der EuGH hat bereits 2019 im Planet49-Urteil klargestellt: Vorausgewählte Häkchen bei nicht-notwendigen Cookies sind keine gültige Einwilligung. Trotzdem tauchen sie immer wieder auf – besonders bei selbstgebauten Consent-Lösungen.
4. Keine granularen Informationen im Banner
Der Banner muss angeben, welche Cookies gesetzt werden, zu welchem Zweck, von welchem Anbieter und wie lange sie gespeichert werden. Ein pauschales „Wir verwenden Cookies, um Ihre Erfahrung zu verbessern” reicht nicht. Der Nutzer muss vor der Einwilligung wissen, worin er einwilligt.
5. Einwilligungen werden nicht protokolliert
Nach Art. 7 Abs. 1 DSGVO müssen Sie nachweisen können, dass eine Einwilligung erteilt wurde. Dazu gehören: Zeitstempel, Banner-Version, Umfang der Zustimmung und die verwendete IP-Adresse. Ohne diese Protokollierung ist Ihre Einwilligung im Zweifel wertlos.
6. Kein Widerruf möglich – oder nur schwer auffindbar
Die Einwilligung muss jederzeit so einfach widerrufbar sein, wie sie erteilt wurde. In der Praxis heißt das: Ein Link im Footer oder in der Datenschutzerklärung, über den der Nutzer seine Cookie-Einstellungen jederzeit ändern kann. Viele Websites bieten diese Möglichkeit gar nicht an.
7. Google Tag Manager ohne Einwilligung laden
Seit 2025 stufen Gerichte das Laden des Google Tag Managers selbst als einwilligungspflichtig ein. Der GTM dient primär dem Interesse des Betreibers, nicht dem des Nutzers. Wer den GTM vor der Einwilligung lädt, verstößt gegen § 25 TDDDG. Der Google Consent Mode v2 ist seit dem Digital Markets Act (DMA) zudem Pflicht für alle, die Google Ads oder GA4 im EWR nutzen.
Aus der Praxis: Warum Größe nicht schützt
Viele Unternehmer denken, ich bin doch zu klein für das ganze Thema Datenschutz. Wir haben Mandanten mit drei, vier, fünf Mitarbeitern – die arbeiten für große Kunden mit enormen Ansprüchen an den Datenschutz.
Nils OehmichenDatenschutzberater bei frag.hugo
Die Unternehmensgröße spielt keine Rolle. Der Verbraucherzentrale Bundesverband (vzbv) hat bei einer Prüfung fast 1.000 Websites überprüft – und rund 100 Unternehmen abgemahnt. Darunter waren kleine Handwerksbetriebe genauso wie mittelständische Online-Shops. Die Abmahnkosten liegen schnell im vierstelligen Bereich. Dazu kommen mögliche DSGVO-Bußgelder, die bei KMU typischerweise zwischen 5.000 und 50.000 Euro liegen.
Checkliste: Cookie-Banner Fehler-Check
Gehen Sie diese Punkte durch. Jedes „Nein” ist ein Risiko:
- Technische Blockierung: Werden Tracking-Cookies wirklich erst nach Einwilligung gesetzt?
- Gleichwertige Buttons: Sind Akzeptieren und Ablehnen auf derselben Ebene, in gleicher Größe und Farbe?
- Keine Vorauswahl: Sind nicht-notwendige Cookie-Kategorien standardmäßig deaktiviert?
- Granulare Informationen: Zeigt der Banner Anbieter, Zweck und Speicherdauer der Cookies?
- Protokollierung: Werden Einwilligungen mit Zeitstempel und Version dokumentiert?
- Widerruf möglich: Kann der Nutzer seine Cookie-Einstellungen jederzeit über einen sichtbaren Link ändern?
- GTM nach Consent: Wird der Google Tag Manager erst nach Einwilligung geladen?
- Consent Mode v2: Ist der Google Consent Mode v2 korrekt implementiert (falls Google-Dienste genutzt werden)?
- Link zur Datenschutzerklärung: Verlinkt der Banner direkt auf Ihre aktuelle Datenschutzerklärung?
Was Sie jetzt tun sollten
- Banner testen: Lehnen Sie auf Ihrer eigenen Website alle Cookies ab und prüfen Sie mit den Browser-Entwicklertools, ob trotzdem Cookies gesetzt werden.
- CMP einsetzen: Nutzen Sie eine professionelle Consent-Management-Plattform, die Cookies technisch blockiert – nicht nur anzeigt.
- Button-Design prüfen: Stellen Sie sicher, dass Akzeptieren und Ablehnen gleichwertig gestaltet sind.
- Datenschutzerklärung aktualisieren: Alle im Banner genannten Dienste müssen auch in Ihrer Datenschutzerklärung beschrieben sein.
- Regelmäßig scannen: Neue Plugins, Tools oder Skripte können unbemerkt zusätzliche Cookies setzen. Ein automatisierter Check hilft.
Wenn Sie einen externen Datenschutzbeauftragten haben, lassen Sie den Banner von ihm prüfen. Falls nicht, nutzen Sie unseren kostenlosen Scan als ersten Schritt.
Das Wichtigste auf einen Blick
- Ein Cookie-Banner, der Cookies nicht technisch blockiert, ist wertlos – und rechtswidrig.
- TDDDG und DSGVO greifen gleichzeitig. Für Marketing- und Analyse-Cookies brauchen Sie immer eine aktive Einwilligung.
- Ablehnen muss genauso einfach sein wie Akzeptieren – gleiche Ebene, gleiche Gestaltung.
- Einwilligungen müssen protokolliert und jederzeit widerrufbar sein.
- Auch der Google Tag Manager ist einwilligungspflichtig.
- Prüfen Sie Ihre Website regelmäßig – neue Tools setzen neue Cookies.
Cookie-Banner unsicher?
Unser kostenloser Hugo Check scannt Ihre Website auf Datenschutz-Probleme – inklusive Cookie-Banner.
Jetzt kostenlos scannen →Cookie-Banner-Abmahnungen in Hamburg
Hamburger Unternehmen sind überdurchschnittlich häufig von Cookie-Banner-Abmahnungen betroffen. Das liegt an der aktiven Verbraucherzentrale Hamburg, die regelmäßig Websites prüft, und am HmbBfDI, der bei Beschwerden zu Cookie-Bannern konsequent nachfasst. Allein 2025 gingen beim HmbBfDI zahlreiche Beschwerden wegen Dark Patterns auf Websites Hamburger Firmen ein. Wenn Sie sichergehen wollen, dass Ihr Cookie-Banner den Anforderungen standhält, lassen Sie Ihre Website mit dem Hugo Check scannen — oder sprechen Sie uns als externen Datenschutzbeauftragten in Hamburg direkt an.
Häufige Fragen zu Cookie-Bannern und DSGVO
Brauche ich überhaupt ein Cookie-Banner?
Wenn Ihre Website ausschließlich technisch notwendige Cookies setzt, brauchen Sie kein Consent-Banner. Sobald Sie aber Analytics, Marketing oder Drittanbieter-Dienste einbinden, ist ein DSGVO-konformes Cookie-Banner Pflicht.
Reicht ein einfacher Cookie-Hinweis?
Nein. Ein reiner Hinweis wie „Diese Website verwendet Cookies” ohne Ablehnmöglichkeit erfüllt die Anforderungen von § 25 TDDDG und der DSGVO nicht. Sie brauchen eine aktive Einwilligung mit der Möglichkeit, nicht-notwendige Cookies abzulehnen.
Welche Consent-Management-Plattform ist empfehlenswert?
Es gibt zahlreiche Anbieter – Cookiebot, Usercentrics, Real Cookie Banner, Borlabs Cookie. Entscheidend ist nicht der Name, sondern dass die CMP Cookies technisch blockiert, granulare Einstellungen ermöglicht und Einwilligungen rechtssicher protokolliert.
Was kostet eine Abmahnung wegen Cookie-Banner?
Abmahnungen durch Verbraucherschutzverbände kosten in der Regel zwischen 500 und 5.000 Euro. Dazu können Bußgelder der Aufsichtsbehörde kommen, die bei KMU typischerweise im fünfstelligen Bereich liegen.
Inhaltsverzeichnis
Weiterlesen
Ähnliche Artikel
Datenschutzbeauftragter DSGVO KMU
Datenschutzbeauftragter bestellen – Ablauf und Checkliste
Datenschutzbeauftragter bestellen: Der komplette Ablauf in 5 Schritten für Hamburger Unternehmen – von der Pflichtprüfung bis zur Behördenmeldung.
Weiterlesen
DSGVO Dokumentation Compliance
DSGVO Dokumentationspflichten – Was Sie als Nachweis vorweisen müssen
DSGVO Dokumentationspflichten: Welche Dokumente Ihr Unternehmen braucht – komplette Übersicht mit Praxis-Checkliste für Hamburger KMU.
Weiterlesen Über den Autor
Nils Oehmichen
Datenschutzberater & Geschäftsführer
Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.
Nächster Schritt
Haben Sie Fragen?
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
