Cookie-Banner sind 2026 immer noch das DSGVO-Thema, bei dem die meisten Websites Fehler machen. Und das wird teuer: Die Landesdatenschutzbeauftragten haben in den letzten Monaten mehrfach hohe Bußgelder verhängt — auch bei kleinen Selbstständigen.
Hier ist der aktuelle Stand 2026: Was ist Pflicht, was ist verboten, und welches Tool macht es richtig.
Die Rechtslage 2026 in einem Satz
Du brauchst eine aktive, freiwillige, informierte und granular widerrufbare Einwilligung für jeden Cookie, der nicht technisch notwendig ist. Das gilt seit dem TTDSG (Telekommunikations-Telemedien-Datenschutz-Gesetz) und wurde durch mehrere Urteile 2024/2025 konkretisiert.
Was IST erlaubt (ohne Einwilligung)
- Session-Cookies für Login, Warenkorb, CSRF-Schutz
- Sprach-Einstellung wenn der Nutzer sie aktiv ausgewählt hat
- Lastausgleichs-Cookies (technisch notwendige Infrastruktur)
- Cookie-Banner-Status-Cookie selbst (eigentlich notwendig)
Was NICHT erlaubt ist (ohne Einwilligung)
- Google Analytics (in jeder Variante)
- Facebook Pixel / Meta Pixel
- Google Ads Conversion-Tracking
- LinkedIn Insight Tag
- Hotjar, Crazy Egg, Mouseflow (Heatmap-Tools)
- Google Fonts (wenn von Google geladen, nicht selbst gehostet)
- YouTube-Embeds (nutze
youtube-nocookie.comoder Klick-Wall) - Stripe-JS auf Nicht-Checkout-Seiten
Die 5 schwerwiegendsten Fehler 2026
Fehler 1: „Alle akzeptieren" größer als „Ablehnen"
Wenn der „Alle akzeptieren"-Button grün und prominent ist, „Ablehnen" aber grau und klein — das ist 2026 abmahnfähig. Beide Buttons müssen gleich auffällig sein. Das Bundesgericht hat das mehrfach bestätigt.
Fehler 2: Nudging und Dark Patterns
„Wenn Sie unsere Cookies ablehnen, können Sie unsere Website nicht voll nutzen" — solche Drohungen sind verboten. Du darfst keine Nutzungs-Nachteile suggerieren, wenn der Nutzer ablehnt.
Fehler 3: Cookies bereits vor der Einwilligung gesetzt
Klassiker: Google Analytics lädt schon beim Seitenaufruf, bevor der Nutzer überhaupt den Banner gesehen hat. Das ist DSGVO-Verletzung. Tracking-Skripte dürfen erst NACH der aktiven Einwilligung geladen werden.
Fehler 4: Keine granulare Auswahl möglich
Es muss möglich sein, einzelne Cookie-Kategorien zu akzeptieren oder abzulehnen (z. B. „Analytics ja, Marketing nein"). Ein einfaches „Alle akzeptieren oder gar nichts" ist verboten.
Fehler 5: Widerruf nicht möglich
Wenn ein Nutzer seine Einwilligung später widerrufen will, muss das genauso einfach sein wie das Erteilen. Heißt: Es muss einen Link „Cookie-Einstellungen ändern" geben, der den Banner erneut öffnet.
Wie ein DSGVO-konformer Banner 2026 aussieht
Pflicht-Elemente:
- Klarer Titel („Cookies & Datenschutz")
- Erklärungstext: Was, warum, wie lange werden Cookies gesetzt
- 3 Auswahl-Buttons gleichberechtigt: „Akzeptieren" / „Ablehnen" / „Einstellungen"
- Kategorien-Auswahl bei „Einstellungen" mit Toggle pro Kategorie
- Detail-Liste: Welcher Cookie gehört zu welcher Kategorie
- Link zur Datenschutzerklärung
- Widerrufs-Möglichkeit jederzeit (Footer-Link)
Tool-Vergleich: Welche Cookie-Banner-Lösung 2026?
| Tool | Preis | DSGVO-Bewertung |
|---|---|---|
| Borlabs Cookie | 49 €/Jahr | Sehr gut (Made in Germany) |
| Real Cookie Banner | 49 €/Jahr | Sehr gut |
| Complianz | 59 €/Jahr | Gut |
| Usercentrics | ab 80 €/Mo | Sehr gut (Enterprise) |
| Cookiebot | ab 12 €/Mo | Gut |
Für die meisten Solo-Selbstständigen und KMUs empfehle ich Borlabs Cookie oder Real Cookie Banner — beide Made in Germany, einmalige Lizenz, sehr saubere Implementierung.
Selbst gebauter Cookie-Banner
Wenn du nicht für ein Plugin zahlen willst: Ein selbst geschriebener Banner ist erlaubt, wenn er alle oben genannten Anforderungen erfüllt. Aufwand: 4-8 Stunden Entwicklung. Vorteil: Volle Kontrolle, kein externes Tool. Nachteil: Du musst bei rechtlichen Änderungen selbst nachziehen.
Was passiert bei Verstößen?
Verstöße werden in der Regel zuerst durch Abmahnungen (durch Wettbewerber oder Datenschutz-Vereine) bemerkbar. Häufige Kosten:
- Abmahnung durch Wettbewerber: 500-2.500 €
- Datenschutzbehörden-Verfahren: bis 50.000 € (bei Vorsatz oder Wiederholung höher)
- Bei Streamingdiensten und Großunternehmen wurden auch schon Bußgelder im 6-stelligen Bereich verhängt
Pflicht-Check für deine Site
Geh deine Website durch:
- Erscheint der Cookie-Banner sofort beim ersten Aufruf?
- Sind „Akzeptieren" und „Ablehnen" visuell gleichwertig?
- Werden NUR essentielle Cookies vor Einwilligung gesetzt?
- Gibt es eine Auswahl-Möglichkeit nach Kategorien?
- Findest du im Footer einen Link „Cookie-Einstellungen ändern"?
- Ist Google Analytics oder Pixel erst NACH Klick auf „Akzeptieren" aktiv?
- Gibt es eine Datenschutzerklärung im Footer?
Wenn du auch nur einmal „Nein" antwortest: Handeln.
Häufige Fragen
Brauche ich Cookie-Banner auch ohne Tracking?
Wenn deine Site WIRKLICH keinen Cookie außer Session-Cookies setzt: Nein. Aber 98 % aller Sites haben mindestens ein Embed (Google Fonts, YouTube, Maps) — und das ist schon einwilligungspflichtig.
Was, wenn ich nur Kontaktformular und Statisches habe?
Trotzdem prüfen: Google Fonts selbst gehostet? Schriftarten lokal? Embed-Karten? Dann reicht ein einfacher Banner.
Muss der Banner mehrsprachig sein?
Wenn deine Site mehrsprachig ist: Ja. Der Banner muss in der Sprache des Nutzers angezeigt werden.
Und jetzt?
Wenn du unsicher bist, ob dein Banner DSGVO-konform ist: Wir machen einen DSGVO-Audit für Cookie-Banner und Datenschutz für 280 € Festpreis. Inkl. konkreter To-Do-Liste. Schreib uns kurz — Antwort innerhalb 24 Stunden.