Skip to main content

Cookie-Banner: Der umfassende Leitfaden

Ein Cookie-Banner bildet die Schnittstelle zwischen Ihrer Website und dem Recht Ihrer Besucher auf Privatsphäre. Es ist der Mechanismus, über den Sie eine rechtlich gültige Einwilligung für nicht notwendige Cookies einholen – oder eben nicht. Dies korrekt umzusetzen, ist keine Option: Es ist eine gesetzliche Pflicht in der gesamten Europäischen Union und in einer zunehmenden Zahl von Rechtsräumen weltweit.

Dieser Leitfaden erläutert, was Cookie-Banner sind, warum es sie gibt, was das Gesetz verlangt und wie Sie ein Banner umsetzen, das sowohl rechtskonform als auch benutzerfreundlich ist.

Was ist ein Cookie-Banner?

Ein Cookie-Banner ist ein Element der Benutzeroberfläche – üblicherweise angezeigt, wenn ein Besucher zum ersten Mal auf Ihre Website gelangt –, das den Nutzer über die Verwendung von Cookies und ähnlichen Tracking-Technologien informiert und ihm einen Mechanismus zur Erteilung oder Verweigerung der Einwilligung bereitstellt.

Der Begriff „Cookie-Banner“ ist eher umgangssprachlich. Rechtlich gesehen handelt es sich um eine Consent-Management-Oberfläche. Sie existiert aufgrund zweier ineinandergreifender EU-Gesetze:

  • Die ePrivacy-Richtlinie (2002/58/EG), Artikel 5 Absatz 3 – verlangt eine vorherige Einwilligung, bevor Informationen auf dem Endgerät eines Nutzers gespeichert oder abgerufen werden (mit eng gefassten Ausnahmen für unbedingt erforderliche Cookies).
  • Die Datenschutz-Grundverordnung (GDPR), Artikel 4 Absatz 11 und Artikel 7 – definiert, was eine gültige Einwilligung ausmacht: Sie muss freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich durch eine eindeutige bestätigende Handlung erteilt werden.

Zusammen bedeuten diese Gesetze, dass Sie den Nutzer fragen und ein klares „Ja“ erhalten müssen, bevor Sie ein Analyse-Cookie, ein Marketing-Pixel oder einen anderen nicht notwendigen Tracker setzen.

Gesetzliche Anforderungen an Cookie-Banner

Ein rechtskonformes Cookie-Banner ist nicht bloß eine Benachrichtigung – es ist ein Einwilligungsmechanismus. Der Europäische Datenschutzausschuss (EDPB) und die nationalen Datenschutzbehörden haben umfangreiche Leitlinien dazu veröffentlicht, was Banner enthalten müssen. Hier sind die nicht verhandelbaren Anforderungen:

Was angezeigt werden muss

  1. Eine klare Beschreibung des Zwecks. Nutzer müssen verstehen, warum Cookies verwendet werden, nicht nur, dass sie existieren. „Wir verwenden Cookies, um Ihr Erlebnis zu verbessern“ reicht nicht aus. Sie müssen die konkreten Zwecke erläutern: Analyse, Werbung, Personalisierung, Social-Media-Integration.
  2. Eine Schaltfläche zum Akzeptieren. Eine klare, bestätigende Handlung zur Einwilligung in nicht notwendige Cookies.
  3. Eine Schaltfläche zum Ablehnen (oder Gleichwertiges). Nutzer müssen nicht notwendige Cookies ebenso einfach ablehnen können. Die CNIL (Frankreich), die dänische Datenschutzbehörde (Datatilsynet) und der EDPB haben alle bestätigt: Cookies abzulehnen muss genauso einfach sein wie sie zu akzeptieren.
  4. Ein Link zu den Cookie-Einstellungen oder -Präferenzen. Nutzer müssen differenzierte Entscheidungen treffen können – einige Cookie-Kategorien akzeptieren und andere ablehnen.
  5. Ein Link zu Ihrer Cookie-Richtlinie. Das Banner muss Zugang zu detaillierten Informationen darüber bieten, welche Cookies Sie verwenden, zu welchen Zwecken, mit welcher Laufzeit und ob es sich um Erst- oder Drittanbieter-Cookies handelt.
  6. Identität des Verantwortlichen. Nutzer müssen wissen, wer ihre Daten erhebt.

Was nicht passieren darf

  • Nicht notwendige Cookies dürfen nicht gesetzt werden, bevor der Nutzer eine Entscheidung getroffen hat.
  • Eine Einwilligung darf nicht aus Scrollen, weiterem Surfen oder Untätigkeit abgeleitet werden.
  • Vorangekreuzte Kontrollkästchen stellen keine gültige Einwilligung dar (bestätigt durch den EuGH im Planet49-Urteil, Rechtssache C-673/17).
  • Cookie-Walls – die den Zugang zur Website sperren, sofern der Nutzer nicht einwilligt – sind grundsätzlich unzulässig, wobei in einigen Rechtsräumen begrenzte Ausnahmen bestehen.

Arten von Cookie-Bannern

Nicht alle Cookie-Banner sind gleichwertig. Welche Art Sie benötigen, hängt von Ihrem Rechtsraum, den von Ihnen verwendeten Cookies und dem angestrebten Compliance-Niveau ab.

Reine Hinweis-Banner

Diese informieren den Nutzer lediglich darüber, dass Cookies verwendet werden, oft mit einer einzigen Schaltfläche „OK“ oder „Verstanden“. Reine Hinweis-Banner sind nach EU-Recht nicht rechtskonform. In der Frühzeit der Cookie-Regulierung waren sie verbreitet, doch sie erfüllen nicht den Einwilligungsstandard der GDPR. Wenn sich Ihre Website an EU-Nutzer richtet, stellt ein reines Hinweis-Banner ein Haftungsrisiko dar.

Opt-in-Banner (Einwilligung zuerst)

Der Goldstandard für EU-Compliance. Es werden keine nicht notwendigen Cookies gesetzt, bevor der Nutzer aktiv einwilligt. Das Banner bietet klare Optionen zum Akzeptieren und Ablehnen sowie idealerweise einen Link zu differenzierten Einstellungen. Dies ist das Modell, das die ePrivacy-Richtlinie in ihrer Auslegung durch die GDPR verlangt.

Mehrschichtige Banner

Ein mehrschichtiger Ansatz präsentiert die wesentlichen Informationen auf der ersten Ebene (dem Banner selbst) und detaillierte Informationen auf einer zweiten Ebene (einem Präferenzbereich oder einer Einstellungsseite). Dies ist der vom EDPB und den meisten Datenschutzbehörden empfohlene Ansatz. Er verbindet Transparenz mit Benutzerfreundlichkeit: Nutzer erhalten die wichtigsten Informationen sofort, mit der Möglichkeit, tiefer einzusteigen.

Ein gut umgesetztes mehrschichtiges Banner zeigt typischerweise:

  • Erste Ebene: Kurze Zweckbeschreibung, Schaltfläche zum Akzeptieren, Schaltfläche zum Ablehnen, Link „Präferenzen verwalten“.
  • Zweite Ebene: Kategorie-für-Kategorie-Aufschlüsselung mit Umschaltern, detaillierte Beschreibungen und eine Liste der konkreten Cookies in jeder Kategorie.

Platzierung des Banners

Wo Sie Ihr Cookie-Banner platzieren, wirkt sich sowohl auf die Compliance als auch auf die Nutzererfahrung aus. Häufige Platzierungen sind:

Platzierung Vorteile Nachteile
Leiste am unteren Rand Wenig aufdringlich, ermöglicht das Betrachten der Inhalte, weithin bekannt Kann übersehen werden, verdeckt möglicherweise Fußzeileninhalte
Zentriertes Modal (Overlay) Nicht zu ignorieren, erzwingt eine Entscheidung, hohe Interaktionsrate Unterbricht das Erlebnis, kann aggressiv wirken
Leiste am oberen Rand Gut sichtbar, konventionelle Platzierung Kann Inhalte nach unten schieben, beeinträchtigt möglicherweise die Navigation
Widget in der Ecke Minimale optische Wirkung, unaufdringlich Leicht zu übersehen, geringe Interaktionsrate, kann Compliance-Bedenken aufwerfen

Der EDPB hat keine bestimmte Platzierung vorgeschrieben, doch das Banner muss deutlich sichtbar und nicht leicht zu übersehen sein. Ein zentriertes Modal oder eine auffällige Leiste am unteren Rand sind aus Compliance-Sicht die sichersten Optionen. Ein kleines Eck-Widget, das Nutzer regelmäßig ignorieren, erfüllt möglicherweise nicht den Standard „klarer und deutlicher“ Information.

Was ein rechtskonformes Banner enthalten muss

Zusammengefasst muss ein Banner, das den aktuellen EU-Standards entspricht, folgende Elemente enthalten:

  1. Zweckbeschreibung: Eine prägnante Erläuterung, warum Cookies verwendet werden, gegliedert nach Kategorien (notwendig, Analyse, Marketing, Präferenzen).
  2. Schaltfläche „Alle akzeptieren“: Klar beschriftet, erteilt die Einwilligung für alle nicht notwendigen Cookie-Kategorien.
  3. Schaltfläche „Alle ablehnen“: Ebenso auffällig wie die Schaltfläche zum Akzeptieren – gleiche Größe, gleiches optisches Gewicht, gleiche Zugänglichkeit.
  4. Link „Präferenzen verwalten“ / „Einstellungen“: Öffnet eine zweite Ebene, auf der Nutzer Kategorie für Kategorie Entscheidungen treffen können.
  5. Link zur Cookie-Richtlinie: Verweist auf ein detailliertes Cookie-Richtlinien-Dokument.
  6. Link zur Datenschutzerklärung: Verweist auf die vollständige Datenschutzerklärung der Website (kann mit dem Link zur Cookie-Richtlinie kombiniert werden).

Häufige Fehler bei der Umsetzung von Cookie-Bannern

Selbst gut gemeinte Umsetzungen enthalten häufig Fehler, die die Compliance untergraben:

  • Cookies vor der Einwilligung setzen. Der häufigste und schwerwiegendste Fehler. Wenn Ihre Analyse- oder Werbe-Tags beim Laden der Seite ausgelöst werden, bevor der Nutzer mit dem Banner interagiert, verstoßen Sie gegen das Gesetz. Die Einwilligung muss eingeholt werden, bevor die Cookies gesetzt werden.
  • Keine Schaltfläche zum Ablehnen. Nur „Akzeptieren“ und „Einstellungen“ anzubieten, ist nicht ausreichend. Nutzer müssen alle nicht notwendigen Cookies von der ersten Ebene aus mit einer einzigen Handlung ablehnen können.
  • Optische Manipulation. Die Schaltfläche zum Akzeptieren groß und grün zu gestalten, während die Option zum Ablehnen ein kleiner Textlink ist, ist ein Dark Pattern. Datenschutzbehörden haben für diese Praxis erhebliche Bußgelder verhängt.
  • Vage Zweckbeschreibungen. „Wir verwenden Cookies, um Ihr Erlebnis zu verbessern“ sagt dem Nutzer nichts. Seien Sie konkret: Analyse, zielgerichtete Werbung, Social-Media-Einbettungen, A/B-Tests.
  • Die Einwilligung auf Folgeseiten ignorieren. Die Einwilligung (oder Ablehnung) muss über die gesamte Sitzung und über Besuche hinweg bestehen bleiben. Wenn ein Nutzer Cookies auf der Startseite ablehnt, muss diese Entscheidung auf jeder weiteren Seite respektiert werden.
  • Keine Möglichkeit zur Änderung der Präferenzen bieten. Nutzer müssen ihre Einwilligung jederzeit widerrufen können, und zwar ebenso einfach, wie sie sie erteilt haben (GDPR Artikel 7 Absatz 3). Ein dauerhaft verfügbarer Einstellungslink – oft ein kleines Symbol in der Ecke der Seite – sollte stets vorhanden sein.
  • Versäumnis, bei Cookie-Änderungen zu aktualisieren. Wenn Sie ein neues Marketing-Tool hinzufügen, müssen Ihre Banner-Kategorien und Ihre Cookie-Richtlinie aktualisiert werden. Eine veraltete Einwilligung ist keine gültige Einwilligung.

Banner und Seitenleistung

Cookie-Banner nehmen eine kritische Position ein: Sie werden bei jedem Erstbesuch und auf jeder Seite geladen. Ein schlecht umgesetztes Banner kann die Leistung Ihrer Website erheblich beeinträchtigen – mit Auswirkungen auf die Core Web Vitals und damit auf Ihr Suchmaschinen-Ranking.

Wichtige Leistungsaspekte:

  • Skriptgröße. Das Skript einer Consent-Management-Plattform (CMP) sollte so schlank wie möglich sein. Umfangreiche Skripte, die zusätzliche Abhängigkeiten laden, können die Ladezeit der Seite um mehrere Hundert Millisekunden verlängern. Streben Sie für das Banner-Skript unter 30 KB gzip-komprimiert an.
  • Render-Blocking. Das Banner-Skript muss asynchron geladen werden. Es darf niemals die Darstellung Ihrer Seiteninhalte blockieren. Nutzer sollten Ihre Website laden sehen, während das Banner erscheint.
  • Layout-Verschiebung. Ein Banner, das Inhalte nach unten schiebt oder Elemente umherspringen lässt, verschlechtert Ihren Wert für die Cumulative Layout Shift (CLS). Verwenden Sie feste oder Overlay-Positionierung, um Layout-Verschiebungen zu vermeiden.
  • Tag-Management. Das Banner muss sich in Ihren Tag-Manager integrieren, um Skripte je nach Einwilligung bedingt zu laden. Tags, die ausgelöst werden, bevor die Einwilligung geprüft wird, sind sowohl ein rechtliches als auch ein Leistungsproblem – sie laden unnötige Ressourcen.

Der beste Ansatz ist eine Banner-Lösung, die von Grund auf auf Leistung ausgelegt ist: minimales JavaScript, keine externen Abhängigkeiten, asynchrones Laden und eine enge Integration in Ihr Tag-Management.

Passiros Ansatz für Cookie-Einwilligungen

Passiros Einwilligungsbanner ist darauf ausgelegt, jede auf dieser Seite dargelegte Anforderung zu erfüllen – und das, ohne die Leistung Ihrer Website zu beeinträchtigen. Unser Banner-Skript ist unter 15 KB gzip-komprimiert, wird asynchron geladen, unterstützt Google Consent Mode v2 und bietet von Haus aus eine vollständig barrierefreie, WCAG-AA-konforme Einwilligungsoberfläche. Passiro ist bei IAB Europe als CMP-ID 499 registriert, was eine gültige TC-String-Generierung und die vollständige Teilnahme am IAB TCF v2.3 Framework ermöglicht.

Wir übernehmen die rechtliche Komplexität, damit Sie sich auf Ihr Geschäft konzentrieren können. Passiro durchsucht Ihre Website automatisch nach Cookies, kategorisiert sie, erstellt eine rechtskonforme Banner-Konfiguration und hält alles synchron, während sich Ihre Website weiterentwickelt.

Erfahren Sie, wie Passiro Ihnen helfen kann, Cookie-Compliance zu erreichen.

Erfüllt Ihre Website die Cookie-Vorschriften?

Scannen Sie Ihre Website kostenlos und finden Sie alle Cookies in wenigen Minuten.

Cookies kostenlos scannen