cookie-bannerdsgvotdddgdatenschutzcmp

Cookie Banner 2026: Pflichten, rechtssichere Beispiele, Anbieter im Vergleich

Welche Pflichten gelten für Cookie Banner 2026? Was muss ein rechtssicherer Banner enthalten? Und welche Tools helfen bei der Umsetzung? Alle Antworten im Überblick.

suitApp Redaktion
30. Juni 2026
5 Min. Lesezeit

Wer eine Website betreibt, kommt an einem Cookie Banner kaum noch vorbei. Doch was viele als lästige Pflicht empfinden, ist rechtlich eine der wichtigsten Weichenstellungen überhaupt: Ein fehlerhafter oder fehlender Cookie Banner kann Abmahnungen, Bußgelder und Vertrauensverlust bei Nutzern bedeuten. Dieser Artikel erklärt, welche Pflichten 2026 gelten, wie ein rechtssicherer Banner aussieht, und welche Tools dir die Umsetzung erleichtern.

Was ist ein Cookie Banner und warum ist er Pflicht?

Ein Cookie Banner ist ein Hinweisfenster, das Besucher einer Website über den Einsatz von Cookies und ähnlichen Tracking-Technologien informiert und deren Einwilligung einholt. Die rechtliche Grundlage in Deutschland setzt sich aus zwei Regelwerken zusammen:

  • DSGVO (Datenschutz-Grundverordnung): Artikel 6 und 7 verlangen eine rechtmäßige Grundlage für die Datenverarbeitung. Für nicht notwendige Cookies ist das die ausdrückliche Einwilligung der betroffenen Person.
  • TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz): Das seit Dezember 2021 geltende und seither mehrfach präzisierte Gesetz (früher TTDSG) regelt den Zugriff auf Endgeräte. Paragraph 25 TDDDG verlangt eine aktive Einwilligung, bevor Informationen im Gerät des Nutzers gespeichert oder abgerufen werden dürfen.

Entscheidend ist: Nicht jedes Cookie löst eine Einwilligungspflicht aus. Technisch notwendige Cookies, etwa für Login-Sessions oder Warenkörbe, dürfen ohne Zustimmung gesetzt werden. Alles, was darüber hinausgeht, zum Beispiel Tracking für Werbung, Analytics oder Social-Media-Buttons, braucht ein klares Ja des Nutzers.

Rechtssichere Gestaltung: Was muss ein Cookie Banner enthalten?

Die Anforderungen an einen DSGVO-konformen Cookie Banner sind durch EuGH-Entscheidungen (u. a. Planet49 und Orange Romania) und Leitlinien der Datenschutzbehörden konkretisiert worden. Folgende Punkte sind in 2026 zwingend:

  • Aktive Einwilligung (Opt-in): Vorausgefüllte Häkchen oder das bloße Weitersurfen gelten nicht als Einwilligung. Nutzer müssen aktiv zustimmen.
  • Gleichwertiger Ablehn-Button: "Ablehnen" muss genauso leicht zugänglich sein wie "Alle akzeptieren" -- gleiche Schriftgröße, gleiche Farbe, gleiche Position. Einen Ablehnen-Button erst auf der zweiten Ebene zu verstecken, ist nicht zulässig.
  • Kategorie-Transparenz: Der Banner muss erklären, welche Kategorien von Cookies eingesetzt werden (z. B. Notwendig, Statistik, Marketing) und wozu diese dienen.
  • Granulare Auswahl: Nutzer sollen einzelne Kategorien zustimmen oder ablehnen können, nicht nur pauschal allem.
  • Widerruf jederzeit möglich: Eine Datenschutzseite oder ein dauerhaft zugängliches Einstellungs-Icon muss es ermöglichen, die Einwilligung jederzeit zu widerrufen.
  • Consent-Protokollierung: Wer die Einwilligung wann gegeben oder verweigert hat, muss für Nachweiszwecke gespeichert werden (Audit-Log).

Besonders häufige Fehler: Dark Patterns wie ein farblich hervorgehobenes "Akzeptieren" bei grauem "Ablehnen", das Fehlen einer Ablehnoption auf der ersten Ebene oder vorangehäkelte Kategorien.

Cookie Banner ohne Einwilligung: Ausnahmen für technisch notwendige Cookies

Nicht alle Cookies erfordern eine Einwilligung. Nach Paragraph 25 Abs. 2 TDDDG sind Cookies ausgenommen, die "unbedingt erforderlich" sind, damit ein vom Nutzer ausdrücklich gewünschter Dienst erbracht werden kann. Darunter fallen typischerweise:

  • Session-Cookies für Logins und Warenkörbe
  • Cookies zur Speicherung von Spracheinstellungen
  • Load-Balancing-Cookies des Servers
  • Sicherheits-Cookies (z. B. CSRF-Schutz)

Achtung: Google Analytics, Facebook Pixel, Hotjar und vergleichbare Tools fallen nicht unter diese Ausnahme und erfordern immer eine aktive Einwilligung -- auch wenn du sie nur für "statistischen Überblick" nutzt. Das hat die DSK (Datenschutzkonferenz) wiederholt klargestellt.

Rechtssichere Cookie Banner: Beispiele aus der Praxis

Ein guter Cookie Banner auf der ersten Ebene enthält den Anbieter, einen kurzen Erklärtext, zwei gleichwertige Buttons ("Alle akzeptieren" und "Ablehnen") sowie einen Link zu "Einstellungen anpassen". Auf der zweiten Ebene erscheinen die einzelnen Kategorien mit kurzen Beschreibungen und Ein/Aus-Schaltern.

Schlechte Beispiele erkennt man an folgenden Merkmalen: kein "Ablehnen" auf der ersten Ebene, vorausgefüllte Häkchen für Tracking-Kategorien, der Ablehnen-Button ist deutlich kleiner oder grau eingefärbt, oder die Seite sperrt sich komplett hinter dem Banner (Cookie Wall -- nach Auffassung vieler Datenschutzbehörden unzulässig, da Einwilligung nicht freiwillig).

Für WordPress-Websites hat sich Borlabs Cookie als deutscher Marktführer etabliert: Das Plugin aus Hamburg bietet einen vollständig konfigurierbaren Banner, automatischen Service-Scanner und selbstgehostete Consent-Logs. Auch Real Cookie Banner ist eine solide "Made in Germany"-Alternative mit TDDDG-Fokus.

Die besten Cookie-Banner-Anbieter 2026 im Vergleich

Der Markt für Consent Management Platformen (CMP) ist in den letzten Jahren stark gewachsen. Hier ein Überblick der wichtigsten Tools:

  • Cookiebot (Dänemark): Automatischer Cookie-Scanner, IAB TCF 2.3 und Google Consent Mode v2. Bewährte Lösung für KMU und Mittelstand, einfache Integration per Script-Tag. Freemium bis 500 Seiten-URLs.
  • CookieFirst (Niederlande): Starke IAB TCF v2.2-Unterstützung, EU-Datenspeicherung in Amsterdam, kostenloser Einstieg bis 5.000 Seitenaufrufe/Monat. Gute Wahl für internationale Shops.
  • Borlabs Cookie (Deutschland): WordPress-only, TDDDG-konform, selbstgehostete Consent-Logs, Cookie-Scanner. Einmalige Lizenz ab 39 Euro pro Seite -- ideal für WordPress-Sites ohne SaaS-Abhängigkeit.
  • Real Cookie Banner (Deutschland): Ebenfalls WordPress-Plugin, besonders einfache Einrichtung dank Service-Datenbank, Content Blocker für YouTube & Co. Ab 0 Euro für eine Seite.
  • Cookie Script (Litauen): Günstiger SaaS-Anbieter mit Auto-Scan, IAB TCF v2.2 und Google Consent Mode v2. Kostenloser Plan bis 2.000 Seitenaufrufe. Geeignet für Einsteiger mit kleinem Budget.
  • Cookie Information (Dänemark): Enterprise-Ausrichtung, EU-Cloud, stark in Skandinavien und Westeuropa. Bietet ein vollständiges Compliance-Dashboard.

Welches Tool das richtige ist, hängt von der Plattform (WordPress vs. Custom-Code), dem monatlichen Traffic und dem Budget ab. Wichtiger als die Wahl des Tools ist, dass die Konfiguration korrekt ist: Ein teures CMP hilft nicht, wenn Marketing-Cookies ohne Einwilligung geladen werden.

Häufige Fragen zum Cookie Banner

Brauche ich als kleines Unternehmen auch einen Cookie Banner? Ja. Die DSGVO und das TDDDG gelten unabhängig von Unternehmensgröße, sobald Cookies eingesetzt werden, die nicht rein technisch notwendig sind.

Was kostet ein Bußgeld bei fehlendem Cookie Banner? Die DSGVO erlaubt Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes -- je nachdem, welcher Betrag höher ist. In der Praxis sind Verfahren gegen KMU zwar seltener, aber Abmahnungen durch Mitbewerber oder Verbraucherschutzverbände kommen vor.

Reicht ein "Cookie-Hinweis" ohne Einwilligung? Nein. Ein reiner Hinweis ("Diese Seite nutzt Cookies") ohne Opt-in-Möglichkeit ist seit der DSGVO nicht mehr ausreichend, sofern nicht ausschließlich technisch notwendige Cookies eingesetzt werden.

Fazit

Ein rechtssicherer Cookie Banner ist 2026 keine Kür, sondern Pflicht -- und technisch einfacher umsetzbar als oft gedacht. Entscheidend sind drei Punkte: gleichwertiger Zugang zu Ablehnen und Akzeptieren auf der ersten Ebene, granulare Kategorieauswahl und nachvollziehbare Consent-Protokollierung. Wer die Konfiguration einer bewährten Consent Management Plattform übernimmt, ist auf der sicheren Seite -- ohne tiefes Rechtswissen zu benötigen.