Cookie-Banner richtig machen: Was deine Website 2026 wirklich braucht

Du hast einen Cookie-Banner auf deiner Website. Gut. Aber schützt er dich wirklich?

Viele Inhaber kleiner Unternehmen denken: Banner drauf, fertig, Thema erledigt. Das stimmt leider nicht. Seit 2021 hat sich die Rechtslage deutlich verändert — und mit dem TDDDG (früher TTDSG) und dem BFSG (Barrierefreiheitsstärkungsgesetz seit Juni 2025) kommen immer neue Anforderungen dazu.

Der Unterschied zwischen einem korrekten und einem fehlerhaften Cookie-Banner kann eine Abmahnung oder ein Bußgeld bis zu 20 Millionen Euro bedeuten. Klingt dramatisch — ist es auch.

In diesem Beitrag erkläre ich dir, was dein Banner 2026 wirklich leisten muss, welche Fehler besonders häufig sind und welche Tools für kleine Budgets tatsächlich funktionieren.

Was überhaupt eine Cookie-Einwilligung auslöst

Zuerst die wichtige Unterscheidung: Nicht jeder Cookie braucht eine Einwilligung.

Technisch notwendige Cookies — also alles, was deine Website zum Funktionieren braucht — sind vom Einwilligungserfordernis ausgenommen. Dazu gehören Session-Cookies, Login-Funktionen oder ein Warenkorb bei Shops.

Sobald du aber Analytics (Google Analytics, Matomo nicht-anonymisiert), Werbung (Google Ads, Meta Pixel), Social-Media-Plugins oder externe Schriften wie Google Fonts einbindest, brauchst du eine aktive Einwilligung — bevor die Daten übertragen werden.

Rechtliche Grundlage ist seit Dezember 2021 §25 TDDDG (vormals §25 TTDSG). Das Gesetz ist schärfer als die ursprüngliche DSGVO: Während die DSGVO auf personenbezogene Daten fokussiert, reicht §25 TDDDG weiter und greift bei jedem Zugriff auf Endgeräte — egal ob personenbezogene Daten verarbeitet werden oder nicht.

Praktische Konsequenz: Selbst wenn du Google Fonts lokal hostest, hast du einen Teil des Problems gelöst. Aber Google Analytics läuft ohne Einwilligung nie rechtskonform.

Die Mindestanforderungen an deinen Cookie-Banner

Ein DSGVO-konformer Cookie-Banner 2026 muss folgende Mindestanforderungen erfüllen:

Gleichwertige Buttons: "Akzeptieren" und "Ablehnen" müssen optisch gleichwertig sein. Kein hellgrauer Ablehnungsbutton neben einem satten grünen "Akzeptieren"-Button. Die Aufsichtsbehörden nennen das "Dark Patterns" und gehen aktiv dagegen vor.

Keine vorausgewählten Checkboxen: Standardmäßig darf nichts aktiviert sein. Der Nutzer muss aktiv zustimmen — kein Häkchen bei "Marketing" das schon gesetzt ist.

Granulare Kategorien: Statistik, Marketing, Funktional — wer will, muss einzeln wählen können. Ein reines "Alles oder nichts" reicht meistens nicht, wenn du mehrere Dienste einbindest.

Widerruf jederzeit: Es reicht nicht, einmal eine Einwilligung einzuholen. Der Nutzer muss sie jederzeit über einen dauerhaften Link — typischerweise im Footer — widerrufen können.

Dokumentation: Einwilligungen müssen protokolliert werden. Wenn die Datenschutzbehörde fragt, musst du nachweisen können, wer wann was eingewilligt hat.

Transparente Infos: Welche Dienste, welche Zwecke, wie lange werden Daten gespeichert, welche Drittanbieter sind involviert? All das muss aus dem Banner — oder einem verlinkten Datenschutzdokument — klar hervorgehen.

Die häufigsten Fehler — und warum sie teuer werden können

Ich habe in Projekten schon die verschiedensten Banner gesehen. Diese Fehler tauchen am häufigsten auf:

Fehler 1: Google Analytics lädt ohne Einwilligung. Das passiert oft, wenn der Analytics-Code direkt im Header der Website liegt und nicht durch das Consent-Tool gesteuert wird. Der Banner sieht gut aus, steuert aber technisch gar nichts.

Fehler 2: Das Banner erscheint nur beim ersten Besuch. Nach einem Cookie-Clearing oder auf einem neuen Gerät muss es erneut erscheinen. Wer das Banner nach der ersten Zustimmung nie wieder zeigt, hat keine korrekte Dokumentation.

Fehler 3: Consent gilt nicht für Subdomains. Wer einen Shop auf shop.meineseite.de betreibt und einen Blog auf meineseite.de, braucht oft getrennte Consent-Lösungen oder muss sicherstellen, dass das Tool domainübergreifend funktioniert.

Fehler 4: Veraltete Datenschutzerklärung. Der Banner verweist auf eine Datenschutzerklärung, die noch Google Analytics Universal nennt — obwohl längst GA4 läuft oder gar kein Analytics mehr eingesetzt wird.

Fehler 5: Kein Mobile-Check. Der Banner sieht auf dem Desktop ordentlich aus, versteckt aber auf dem Handy den Ablehnen-Button unterhalb des sichtbaren Bereichs. Das ist ein klassisches Dark Pattern, das Abmahnkanzleien gerne nutzen.

Zur Einordnung: Abmahnkanzleien prüfen zunehmend automatisiert auf Datenschutzverstöße. Die Bußgelder der Datenschutzbehörden klingen mit "bis zu 20 Millionen Euro" abstrakt — aber auch kleinere Bußgelder im dreistelligen oder vierstelligen Bereich können für ein Kleinstgewerbe schmerzhaft sein. Mehr zu den laufenden Risiken einer vernachlässigten Website: Website-Wartung: Was passiert, wenn du sie vernachlässigst.

Tools für kleines Budget: Was wirklich funktioniert

Die gute Nachricht: Du brauchst keine teuren Rechtsanwälte für einen korrekten Cookie-Banner. Es gibt bewährte Tools, die das für dich übernehmen:

Borlabs Cookie (für WordPress): Einmalige Lizenzgebühr um die 40–60 € pro Jahr, gute Deutsche-Lokalisierung, aktiv gepflegt und an die aktuelle Rechtslage angepasst. Für die meisten kleinen Websites reicht das völlig.

Cookiebot: Freemium-Modell — kostenlos bis 100 Unterseiten, danach ab ca. 9 € pro Monat. Starker Funktionsumfang, SaaS-Lösung, gut dokumentiert. Für größere Sites oder wenn du es lieber als Service nutzen möchtest.

Consentmanager: Deutsches Unternehmen, gute Rechtssicherheit, Preise ab etwa 12 € monatlich. Wer auf Nummer sicher gehen will und auf einen deutschen Anbieter besteht.

Wichtig: Das Tool allein macht dich nicht rechtssicher. Es muss korrekt konfiguriert sein — alle eingebundenen Dienste müssen eingetragen, kategorisiert und tatsächlich blockiert werden, bis die Einwilligung erfolgt ist.

Wenn du WordPress nutzt und selbst Hand anlegen willst: Borlabs Cookie ist der solide Standard. Wenn du nicht gerne in Plugin-Einstellungen eintauchst, kann ich das für dich einrichten — schau dir den kostenlosen Website-Check an, dann schauen wir gemeinsam was bei dir läuft.

BFSG und Barrierefreiheit: Der neue Faktor seit Juni 2025

Seit dem 28. Juni 2025 gilt das Barrierefreiheitsstärkungsgesetz (BFSG). Es setzt die EU-Richtlinie über Barrierefreiheitsanforderungen (EAA) in deutsches Recht um — und betrifft auch deinen Cookie-Banner.

Konkret bedeutet das: Dein Banner muss tastatursteuerbar sein (Tab, Enter, Escape müssen funktionieren), ausreichende Farbkontraste haben, Screenreader-kompatibel sein und auf dem Handy problemlos bedienbar sein.

Wer ist betroffen? Das BFSG gilt für privatwirtschaftliche Unternehmen, die Dienstleistungen für Verbraucher anbieten. Kleinstunternehmen mit weniger als 10 Beschäftigten UND maximal 2 Millionen Euro Jahresumsatz sind ausgenommen — aber nur wenn beide Bedingungen gleichzeitig erfüllt sind.

Die meisten aktuellen Consent-Tools wie Borlabs oder Cookiebot sind inzwischen BFSG-kompatibel — aber prüf es beim Setup kurz nach. Barrierefreiheit ist ohnehin gute Praxis: Google bewertet zugängliche Websites tendenziell besser, und du erreichst schlicht mehr Nutzer.

Wie du jetzt vorgehen solltest

Kurzes Selbst-Audit — beantworte diese Fragen:

1. Weiß ich, welche Cookies meine Website setzt? (Browser-DevTools → Application → Cookies)

2. Lädt kein externer Dienst vor der Einwilligung? (Netzwerk-Tab prüfen, Filter auf "Third-party")

3. Sind Akzeptieren und Ablehnen optisch gleichwertig?

4. Kann ich als Nutzer die Einwilligung im Footer widerrufen?

5. Ist meine Datenschutzerklärung aktuell?

Wenn du bei mehr als zwei Punkten unsicher bist, lohnt sich eine kurze Überprüfung. Wenn du nicht weißt, wo du anfangen sollst — ich schaue mir deine Website kostenfrei an: Zum Website-Check.

Fazit

Ein Cookie-Banner ist keine einmalige Sache. Die Rechtslage entwickelt sich weiter, Tools müssen aktuell bleiben, und was 2021 noch ausreichend war, kann heute eine Abmahnung bedeuten.

Das klingt nach viel Aufwand — ist es aber nicht, wenn du die Grundlagen einmal sauber aufgesetzt hast. Ein gutes Consent-Tool, eine aktuelle Datenschutzerklärung und ein jährlicher Check kosten dich vielleicht zwei Stunden pro Jahr.

Zwei Stunden Investition gegen potenzielle Abmahnkosten, Bußgelder oder schlicht das ungute Gefühl, nicht auf der sicheren Seite zu sein. Die Rechnung ist ziemlich klar.