Cookie-Banner 2026: Was jetzt wirklich Pflicht ist
Sie befinden sich: Home > News Archiv > Webmaster > Cookie-Banner 2026: ...
Cookie-Banner verschwinden 2026 doch nicht. Welche Regeln gelten, welche Fehler abgemahnt werden und wie Sie Ihr Banner rechtssicher aufsetzen, ohne in die typischen Fallen zu tappen.Jahrelang hieß es, die nervigen Cookie-Banner stünden vor dem Aus. 2026 ist das Gegenteil klar: Sie bleiben. Im Juni hat der EU-Rat genau die Regel gestrichen, die Banner durch ein zentrales Browser-Signal hätte ersetzen sollen.
Wer eine Website betreibt, muss sich also weiter darum kümmern, und zwar richtig. Die Aufsichtsbehörden prüfen reihenweise Seiten, Gerichte urteilen, und ein falsch gebautes Banner kann teuer werden. Was heute gilt, welche Fehler abgemahnt werden und wie Sie Ihr Banner sauber aufsetzen, steht hier.
Welche Regeln 2026 gelten
Drei Gesetze bestimmen, was beim Thema Cookies erlaubt ist: die DSGVO, die europäische ePrivacy-Richtlinie und in Deutschland das TDDDG. Letzteres ist nur der neue Name des früheren TTDSG, umbenannt im Mai 2024. An den Cookie-Regeln selbst hat sich dadurch nichts geändert. Alte Verweise auf das TTDSG in Ihrer Datenschutzerklärung bleiben wirksam, sollten aber bei Gelegenheit auf TDDDG aktualisiert werden.
Die zentrale Vorschrift ist Paragraf 25 TDDDG. Er verlangt eine Einwilligung für jeden Zugriff auf das Gerät des Nutzers, der nicht unbedingt nötig ist. Und zwar unabhängig davon, ob dabei personenbezogene Daten anfallen. Die Frage ist also nicht, ob ein Cookie persönlich wird, sondern ob es für den gewünschten Dienst zwingend gebraucht wird.
Daraus ergibt sich eine klare Trennung, was ohne Zustimmung laufen darf und was nicht.
| Ohne Einwilligung erlaubt | Nur mit Einwilligung |
|---|---|
| Warenkorb- und Login-Cookies | Statistik und Analyse, etwa Google Analytics |
| Cookies für den Bezahlvorgang | Marketing und Retargeting, etwa Meta-Pixel oder Google Ads |
| Speicherung der Cookie-Auswahl selbst | Eingebettete Inhalte wie YouTube, Google Maps oder externe Schriften |
| Grundlegende Sicherheit und Lastverteilung | Fingerprinting zur Wiedererkennung |
Diese Regeln sind 2026 nicht lockerer geworden. Und die große Erleichterung, auf die viele gehofft hatten, blieb aus.
Die Banner-Abschaffung, die ausfiel
Die Idee war konkret. Mit dem sogenannten Digital Omnibus schlug die EU-Kommission im November 2025 vor, die Cookie-Regeln in die DSGVO zu verschieben und die Banner durch ein automatisches Signal aus dem Browser zu ersetzen. Statt auf jeder Seite zu klicken, hätten Nutzer einmal zentral entschieden.
Genau dieser Kern, im Entwurf Artikel 88b, wurde im Ratskompromiss vom 18. Juni 2026 gestrichen. Deutschland gehörte zu den Befürwortern der Streichung, nach kräftiger Lobbyarbeit der Werbebranche. Der Vorschlag ist damit nicht tot, aber entkernt, und das EU-Parlament hat noch nicht einmal Position bezogen. Die österreichische Datenschutzbehörde rechnet mit zwei bis drei Jahren Verhandlung.
Auch die seit Jahren geplante ePrivacy-Verordnung, die vieles vereinheitlicht hätte, ist gescheitert. Die EU-Kommission zog sie Anfang 2025 endgültig zurück. Wer also liest, Cookie-Banner würden 2026 abgeschafft, sitzt einer verfrühten Schlagzeile auf. Bis auf Weiteres bleibt das Banner Pflicht.
Und es zählt nur dann, wenn die Einwilligung dahinter sauber eingeholt wird.
Wann eine Einwilligung zählt
Eine wirksame Zustimmung ist mehr als ein Klick auf einen grünen Knopf. Der Europäische Gerichtshof hat schon 2019 im Fall Planet49 klargemacht, dass vorangekreuzte Kästchen nicht reichen. Aus DSGVO und Rechtsprechung ergeben sich feste Anforderungen:
- Aktive Handlung. Der Nutzer muss selbst zustimmen, Weitersurfen gilt nicht als Ja.
- Freiwilligkeit. Es braucht eine echte Wahl ohne Druck.
- Getrennte Zwecke. Statistik und Marketing müssen einzeln wählbar sein.
- Gleichwertigkeit. Ablehnen muss so leicht sein wie Akzeptieren, auf derselben Ebene.
- Widerruf. Die Zustimmung muss sich jederzeit so einfach zurücknehmen lassen, wie sie erteilt wurde.
- Nachweis. Sie müssen belegen können, wer wann in was eingewilligt hat.
Genauso wichtig ist, was nicht erlaubt ist. Als unzulässige Tricks gelten ein versteckter Ablehnen-Button, farbliches Schönreden mit blassem Ablehnen und grellem Akzeptieren, sowie irreführende Schaltflächen wie „Akzeptieren und schließen", die wie ein bloßes Wegklicken aussehen. Der Knackpunkt in fast allen Streitfällen ist derselbe: Der Ablehnen-Button muss gleichberechtigt auf der ersten Ebene stehen.
Manche Seiten versuchen, dieser Pflicht mit einem Preisschild auszuweichen.
Zahlen oder Tracking: das Pay-or-OK-Modell
Das Modell stellt Besucher vor die Wahl: dem Tracking zustimmen oder zahlen und werbefrei lesen. Vor allem große Verlage nutzen es. Rechtlich ist es heikel.
Der Europäische Datenschutzausschuss kam im April 2024 zu einem deutlichen Schluss. Bei großen Plattformen ist die reine Entweder-oder-Wahl meist keine freiwillige Einwilligung, weil den Nutzern faktisch die echte Alternative fehlt. Empfohlen wird ein dritter, gleichwertiger Weg, etwa Werbung ohne Verhaltensprofil. Wie ernst die EU das meint, zeigte sich im April 2025: Die EU-Kommission verhängte 200 Millionen Euro gegen Meta, weil dessen Modell keine echte Alternative bot.
Für einen normalen Betrieb oder Blog ist das kaum ein Vorbild. Die strengen Maßstäbe für Großplattformen lassen sich nicht eins zu eins übertragen, und das Risiko überwiegt den Nutzen klar. Für die meisten Seiten kommt die eigentliche Pflicht ohnehin aus einer anderen Richtung: von Google.
Consent-Tools und der Zwang von Google
Sobald eine Seite Werbung oder Analyse einsetzt, führt an einer Einwilligungslösung kein Weg vorbei. So eine Consent-Management-Plattform, kurz CMP, holt die Zustimmung ein, blockiert Skripte bis zum Ja, dokumentiert alles und meldet die Signale an die angeschlossenen Tools.
Wer Google-Werbung oder Google Analytics nutzt, kommt seit März 2024 um den Consent Mode v2 nicht herum. Ohne ihn liefert Google im europäischen Raum kein vollständiges Conversion-Tracking mehr und füllt keine Remarketing-Listen. Es gibt zwei Spielarten: Im Basis-Modus laden die Google-Tags erst nach der Zustimmung, im erweiterten Modus senden sie vorher anonyme, cookielose Signale, aus denen Google fehlende Zahlen schätzt.
Hinzu kommt eine zweite Hürde. Wer Anzeigen über Google AdSense oder den Ad Manager ausspielt, muss seit Januar 2024 eine von Google zertifizierte CMP einsetzen, die den Werbestandard TCF unterstützt. Ein selbstgebautes Banner erfüllt das nicht. Welche Lösung passt, hängt von Größe und System ab.
| Tool | Für wen | Stärke |
|---|---|---|
| Borlabs Cookie | WordPress, DACH-Raum | Deutscher Support, blockiert Skripte zuverlässig, TCF 2.2 und Consent Mode v2 |
| Real Cookie Banner | WordPress, kleinere Seiten | Ãœber 160 fertige Dienst-Vorlagen und ein eigener Scanner |
| Complianz | WordPress, international | Brauchbare Gratis-Version mit Einrichtungsassistent |
| Usercentrics und Cookiebot | vom KMU bis zum Konzern | Automatischer Scan, breite Kompatibilität, Google-zertifiziert |
| OneTrust und Didomi | große Organisationen | Sehr umfangreich, für komplexe Aufbauten |
Eine zweite Entscheidung von Google ging in die andere Richtung und beerdigte ganz nebenbei eine Prophezeiung.
Das Cookie-Aus, das nicht kam
Über Jahre kündigte Google an, die Drittanbieter-Cookies in Chrome abzuschaffen. Im April 2025 kam die Kehrtwende: Die Cookies bleiben, einen Zwangs-Dialog gibt es nicht, Nutzer steuern das weiter in den Einstellungen. Die meisten Bausteine der als Ersatz gedachten Privacy Sandbox stellte Google im Herbst 2025 wieder ein. In Safari und Firefox sind Drittanbieter-Cookies dagegen längst standardmäßig blockiert.
Tot ist das klassische Tracking trotzdem, nur langsamer. In Deutschland lehnt laut einer Umfrage von Web.de fast die Hälfte der Nutzer möglichst alle Cookies ab, nur rund 30 Prozent klicken alles weg. Wer auf belastbare Zahlen angewiesen ist, baut deshalb auf eigene Daten aus Newsletter, Konto oder Formular und prüft serverseitiges Tracking. Eines ersetzt das aber nicht: die Einwilligung. Auch serverseitig bleibt der Zugriff auf das Gerät zustimmungspflichtig.
Welche Technik Sie auch wählen, die Rechnung kommt dann, wenn das Banner falsch gebaut ist.
Was abgemahnt wird, und was es kostet
Die teuersten Fälle kommen aus dem Ausland. Die französische Datenschutzbehörde CNIL verhängte im September 2025 150 Millionen Euro gegen den Betreiber von Shein, weil Werbe-Cookies schon vor der Zustimmung gesetzt und selbst nach einer Ablehnung weiter ausgelesen wurden. Wichtig dabei: Bei Cookies gibt es keine zentrale EU-Zuständigkeit, jede nationale Behörde kann eigenständig vorgehen.
In Deutschland ist bisher kein eigenes Bußgeld nur für ein fehlerhaftes Banner öffentlich bekannt. Die Behörden arbeiten meist mit Anordnungen. Das bayerische Landesamt prüfte allein über 350 Webseiten und forderte zur Nachbesserung auf. Mehr Druck machen die Gerichte: Das Verwaltungsgericht Hannover entschied im März 2025, dass ein Ablehnen-Button gleichwertig auf die erste Ebene gehört, dass der Google Tag Manager erst nach der Einwilligung laden darf, und dass ein „Akzeptieren und schließen" in die Irre führt. Das Oberlandesgericht Köln verlangte schon 2024 gleichwertige Buttons.
Für kleine Betreiber ist die Abmahnung durch Mitbewerber oder Verbände wahrscheinlicher als ein Behörden-Bußgeld. Die Behörden wägen ab, ein Kleinunternehmer bekommt keine Millionenstrafe. Realistisch reicht die Spanne von der kostenlosen Verwarnung bis zu einigen Tausend Euro. Abgemahnt werden vor allem immer dieselben Fehler:
- Tracking, Analyse oder der Tag Manager laden schon vor der Einwilligung.
- Es fehlt ein gleichwertiger Ablehnen-Button auf der ersten Ebene.
- Das Banner lässt sich nur durch Akzeptieren wegklicken.
- Häkchen sind vorausgewählt statt leer.
- YouTube, Google Maps oder Google Fonts laden von fremden Servern ohne Zustimmung.
Die gute Nachricht: Diese Fehler zu vermeiden ist vor allem Routine.
So setzen Sie es richtig auf
Der Weg zum sauberen Banner folgt einer festen Reihenfolge.
- Bestandsaufnahme. Mit einem Scanner oder den Entwicklertools des Browsers alle Cookies und eingebundenen Dienste erfassen.
- Sortieren. Die Dienste in notwendig, Statistik und Marketing einteilen.
- CMP wählen. Bei Google-Werbung zwingend eine zertifizierte Lösung mit Consent Mode v2.
- Skripte blockieren. Sicherstellen, dass kein Statistik- oder Marketing-Tag vor der Zustimmung startet, auch nicht der Tag Manager.
- Banner gestalten. Erste Ebene mit gleichwertigem Akzeptieren und Ablehnen, klare Infos, Link zur Datenschutzerklärung.
- Dokumentieren und Widerruf einbauen. Einwilligungen protokollieren und einen dauerhaften Link für die Cookie-Einstellungen setzen, meist im Footer.
- Nachprüfen. Nach jeder Änderung an der Seite erneut scannen.
Als schnelle Kontrolle hilft der direkte Vergleich, was sauber ist und was Ärger macht.
| So ist es richtig | Das wird beanstandet |
|---|---|
| „Alle ablehnen" gleichwertig neben „Alle akzeptieren" | Ablehnen versteckt auf der zweiten Ebene |
| Leere Kästchen, aktive Zustimmung | Vorausgewählte Häkchen |
| Tracking lädt erst nach dem Klick | Tag Manager startet beim Seitenaufruf |
| Beide Buttons gleich gestaltet | Bunter Akzeptieren-Knopf, blasses Ablehnen |
| Widerruf jederzeit möglich | „Akzeptieren und schließen" als einziger Ausgang |
Auf WordPress übernehmen Plugins wie Borlabs Cookie, Real Cookie Banner oder Complianz den Großteil der Arbeit. Wichtig ist nur, dass das Plugin die Tracking-Werkzeuge wirklich blockiert, bis die Zustimmung vorliegt, und nicht bloß ein Hinweisfenster anzeigt. Die häufigsten technischen Stolpersteine:
- Der Google Tag Manager lädt oft schon beim Seitenaufruf und muss gezielt hinter die Einwilligung gelegt werden.
- Eingebettete Videos, Karten und Social-Feeds setzen vorab Cookies. Hier hilft eine Klick-zum-Laden-Lösung.
- Google Fonts besser lokal einbinden statt vom Google-Server zu laden.
- Manche Caching-Plugins hebeln die Einwilligungslogik aus, deshalb die Kompatibilität prüfen.
Dieser Text ist ein Überblick, keine Rechtsberatung im Einzelfall. Bei einer konkreten Abmahnung oder einem Bescheid gehört der Fall in die Hände einer auf IT-Recht spezialisierten Kanzlei.
Wie sieht Ihr Banner aus?
Öffnen Sie einmal Ihre eigene Seite im Browser und schauen Sie in die Entwicklertools: Lädt vor Ihrem Klick schon ein Tracking-Skript? Steht der Ablehnen-Button gleichwertig daneben? Schreiben Sie in die Kommentare, welches Tool Sie nutzen und ob Sie schon einmal eine Abmahnung wegen eines Banners bekommen haben. Wenn Sie an einer bestimmten Stelle nicht weiterkommen, fragen Sie ruhig konkret, oft hilft die Antwort gleich mehreren Lesern.
banner cookie aufsetzen abgemahnt klar tappen
Webung: Hier bekommen Sie PHP fähigen Webspace der mit Ökostrom betrieben wird ab bereits 2 Euro/ Monat für ihre Homepage. Zusätzlich ist eine eigene Internetadresse mit enthalten.
Neusten News in der Kategorie "Webmaster"
| • Core Web Vitals 2026: Was beim Ranking wirklich zählt Mehr als vier von zehn Websites fallen bei Googles Core Web Vitals dur... |
| • NIS2 in Deutschland: Wer betroffen ist und was gilt Seit Dezember 2025 gilt in Deutschland das NIS2-Gesetz, und zwar ohne ... |
| • Passkeys statt Passwörter: Ratgeber für Webmaster Passwörter gelten als das schwächste Glied der Sicherheit. Passkeys so... |
| • CVE-2026-54420: LiteSpeed-cPanel-Lücke wird ausgenutzt Eine kritische Lücke im LiteSpeed-Plugin für cPanel wird bereits aktiv... |
| • Neuer KI-Bericht in der Google Search Console erklärt Seit Juni 2026 zeigt die Google Search Console endlich, wie oft Ihre S... |
| • llms.txt: Hype oder Pflicht für SEO und Webmaster? Kaum eine Datei wurde 2025 so gehypt wie llms.txt. Doch eine Analyse v... |
| • FAQ Rich Snippets sind weg: Schema jetzt entfernen? Jahrelang war FAQ-Schema ein einfacher Trick für mehr Platz in der Goo... |
| • Gmail lehnt Mails ab: SPF, DKIM und DMARC einrichten Seit Ende 2025 prallen Mails ohne saubere Authentifizierung an Gmail u... |
| • HTTP/2 Bomb: Webserver-Lücke trifft Apache und nginx Ein einzelner Heim-PC mit normaler Leitung genügt, um einen Webserver ... |
| • PHP 8.5 Upgrade: jetzt oder doch bei 8.4 bleiben? PHP 8.1 ist tot, PHP 8.2 läuft Ende 2026 aus, ein Upgrade steht also a... |
Kommentar schreiben
Teilen Sie uns Ihre Meinung mit. Ihr Kommentar wird nach Pruefung veroeffentlicht.