„Brauche ich diesen Cookie-Banner überhaupt?” – das fragen mich kleine Unternehmen erstaunlich selten. Die meisten haben irgendwann einen Banner eingebaut, weil „man das halt so macht”, und klicken seitdem mit ihren Besuchern um die Wette. Dabei ist die Rechtslage klarer, als die allgegenwärtigen Banner vermuten lassen – und die ehrlichste Antwort für viele kleine Websites lautet: Sie brauchen gar keinen.
Kurz gesagt: Ein Cookie-Banner ist nur dann nötig, wenn Ihre Website nicht-essenzielle Cookies setzt oder anderweitig Informationen auf dem Gerät der Besucher speichert oder ausliest – das regelt § 25 TDDDG (bis Mai 2024: TTDSG). Technisch notwendige Cookies – Warenkorb, Login, Spracheinstellung – sind ohne Einwilligung erlaubt. Analyse- und Marketing-Tracking dagegen erfordert eine aktive, freiwillige Einwilligung mit echter Ablehnen-Option (EuGH „Planet49”, C-673/17). Die Konsequenz, die in der Banner-Flut untergeht: Eine Website ohne Tracking braucht keinen Cookie-Banner. Viele kleine Dienstleister-Websites können auf Google Analytics, Marketing-Pixel und extern geladene Schriften schlicht verzichten – und damit auf den Banner gleich mit. Eine Datenschutzerklärung bleibt trotzdem immer Pflicht. Dieser Beitrag ist keine Rechtsberatung.
Auf einen Blick
- Rechtsgrundlage: § 25 TDDDG verlangt Einwilligung für das Speichern/Auslesen von Informationen auf Endgeräten – Ausnahme: technisch notwendige Cookies (§ 25 Abs. 2).
- Kein Tracking = kein Banner: Wer keine nicht-essenziellen Cookies setzt und keine einwilligungspflichtigen Dienste einbindet, braucht keinen Cookie-Banner.
- Wenn Banner, dann richtig: aktives Opt-in, keine Vorab-Häkchen (EuGH C-673/17), Ablehnen so einfach wie Zustimmen (DSK-Orientierungshilfe).
- Immer Pflicht: Datenschutzerklärung (Art. 13 DSGVO) und Impressum – unabhängig davon, ob ein Banner nötig ist.
Was ist ein Cookie-Banner – und was regelt das Gesetz?
Ein Cookie-Banner ist ein Einwilligungs-Dialog, der Besucher einer Website vor dem Setzen nicht-essenzieller Cookies um Zustimmung bittet – und diese Cookies so lange blockieren muss, bis die Zustimmung tatsächlich erteilt wurde. Ein Banner, der nur angezeigt wird, während das Tracking im Hintergrund längst läuft, erfüllt seinen rechtlichen Zweck nicht.
Die maßgebliche deutsche Vorschrift ist heute nicht mehr primär die DSGVO, sondern das TDDDG:
Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) ist das deutsche Gesetz, das in § 25 regelt, wann Informationen auf Endgeräten gespeichert oder ausgelesen werden dürfen – es hieß bis Mai 2024 TTDSG und wurde mit dem Digitale-Dienste-Gesetz umbenannt. Wichtig: § 25 TDDDG ist technologieneutral. Er erfasst nicht nur klassische Cookies, sondern auch LocalStorage, Fingerprinting und ähnliche Techniken – überall dort, wo auf dem Gerät der Besucher etwas gespeichert oder ausgelesen wird.
Die DSGVO kommt zusätzlich ins Spiel, sobald personenbezogene Daten verarbeitet werden – also praktisch immer, wenn Tracking-Dienste IP-Adressen, Geräte-IDs oder Nutzungsprofile verarbeiten. Beide Ebenen greifen ineinander: § 25 TDDDG regelt den Zugriff aufs Gerät, die DSGVO die anschließende Datenverarbeitung.
Welche Cookies brauchen keine Einwilligung?
§ 25 Abs. 2 TDDDG nennt zwei Ausnahmen: Speicherung, die allein der Nachrichtenübertragung dient, und Speicherung, die unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen.
Technisch notwendige Cookies sind Cookies, ohne die eine vom Besucher aktiv angeforderte Funktion nicht funktionieren würde – etwa der Warenkorb im Online-Shop, die Login-Sitzung im Kundenbereich oder die Speicherung der Cookie-Auswahl selbst. Sie dürfen ohne Einwilligung gesetzt werden. Reichweitenmessung und Werbe-Tracking zählen ausdrücklich nicht dazu: Dass der Betreiber die Daten gern hätte, macht sie nicht „unbedingt erforderlich”.
| Cookie / Technik | Einwilligung nötig? | Einordnung |
|---|---|---|
| Warenkorb-, Login-, Session-Cookies | Nein | unbedingt erforderlich (§ 25 Abs. 2 TDDDG) |
| Speicherung der Cookie-Auswahl | Nein | dient der Umsetzung der Nutzerentscheidung |
| Sprach-/Darstellungs-Einstellungen | Nein | vom Nutzer gewünschte Funktion |
| Google Analytics, Matomo mit Cookies | Ja | Reichweitenmessung ist nicht „unbedingt erforderlich” |
| Marketing-/Remarketing-Pixel (Meta, Google Ads) | Ja | Werbe-Tracking, zusätzlich DSGVO-relevant |
| Eingebettete Dienste mit Tracking (z. B. YouTube-Standard-Embed) | Ja | setzt Cookies des Drittanbieters |
| Server-Logfiles | Nein (kein Cookie) | aber in der Datenschutzerklärung erwähnen |
Die ehrliche Kernfrage: Brauchen Sie überhaupt einen Banner?
Hier liegt der Punkt, der in der Diskussion regelmäßig untergeht: Die Einwilligungspflicht hängt nicht davon ab, dass Sie eine Website betreiben – sondern davon, was Ihre Website tut.
Eine typische kleine Dienstleister-Website – Leistungen, Über-mich-Seite, Kontaktformular, Anfahrt – braucht keinen Cookie-Banner, wenn sie:
- kein Analyse-Tracking einsetzt (kein Google Analytics, kein Tag Manager mit Marketing-Tags),
- keine Drittanbieter-Dienste einbettet, die Cookies setzen (Standard-Video-Embeds, Karten-Widgets, Social-Media-Plugins),
- Schriften und Skripte selbst hostet, statt sie von fremden Servern zu laden,
- und nur technisch notwendige Cookies verwendet – oder gar keine.
Der Punkt mit den Schriften hat einen realen Hintergrund, der streng genommen gar kein Cookie-Thema ist: Das Landgericht München I hat 2022 entschieden (Urteil vom 20.01.2022, Az. 3 O 17493/20), dass schon das Einbinden von Google Fonts vom Google-Server die IP-Adresse der Besucher ohne Rechtfertigung in die USA übermittelt und damit gegen die DSGVO verstößt – und sprach der Klagepartei Schadensersatz zu. Die Lösung ist banal: Schriften lokal hosten. Sie ist zugleich schneller – ein doppelter Gewinn, den ich im Beitrag 7 Website-Fehler, die kleine Dienstleister 2026 Kunden kosten aus der Conversion-Perspektive beleuchte.
Aus meiner eigenen Praxis als First-Party-Beispiel: Diese Website (fabian-reiter.com) setzt kein Google Analytics, keine Marketing-Pixel und keine extern geladenen Schriften ein – die Schriftarten Hanken Grotesk und Bricolage Grotesque liegen als selbst gehostete Dateien auf dem eigenen Server, Statistiken beziehe ich aus der Google Search Console, die ohne Cookies auf meiner Seite auskommt. Es gibt schlicht nichts, wofür ich eine Einwilligung einsammeln müsste – deshalb kommt diese Website ohne Cookie-Banner aus. Genau diese Architektur – statisch, schnell, ohne Tracking-Ballast – empfehle ich den meisten kleinen Unternehmen, mit denen ich arbeite, von München aus für die ganze DACH-Region. Wer trotzdem belastbare Besucherzahlen braucht, kann das einwilligungsfrei lösen: Welches Analyse-Tool ohne Banner auskommt, vergleiche ich im Beitrag Google Analytics, Matomo oder Plausible? DSGVO-konforme Webanalyse für KMU 2026.
Wenn ein Banner nötig ist: Diese Anforderungen gelten
Setzen Sie einwilligungspflichtige Dienste ein – bewusst und mit gutem Grund –, dann muss der Banner echte Anforderungen erfüllen. Die Einwilligung muss nach Art. 4 Nr. 11 DSGVO freiwillig, informiert und eindeutig sein:
- Aktives Opt-in: Der Europäische Gerichtshof hat im Urteil „Planet49” (C-673/17, 1. Oktober 2019) klargestellt, dass vorangekreuzte Kästchen keine wirksame Einwilligung sind. Zustimmen muss eine aktive Handlung sein.
- Ablehnen so einfach wie Zustimmen: Die Datenschutzkonferenz (DSK) – das Gremium der deutschen Aufsichtsbehörden – verlangt in ihrer Orientierungshilfe für Telemedienanbieter eine gleichwertige Ablehnen-Möglichkeit. Ein riesiger „Akzeptieren”-Button neben einem versteckten „Einstellungen”-Link ist ein Dark Pattern, kein Einwilligungsmanagement.
- Vorher blockieren: Einwilligungspflichtige Skripte dürfen erst laden, nachdem zugestimmt wurde – nicht parallel zum Banner.
- Widerruf möglich: Nach Art. 7 Abs. 3 DSGVO muss der Widerruf so einfach sein wie die Erteilung – üblich ist ein dauerhaft erreichbarer Link („Cookie-Einstellungen”) im Footer.
- Konkret informieren: Welche Dienste, welche Zwecke, welche Anbieter – pauschale Formulierungen („zur Verbesserung Ihrer Erfahrung”) genügen nicht.
Seit dem 1. April 2025 ist ergänzend die Einwilligungsverwaltungsverordnung (EinwV) in Kraft, die auf § 26 TDDDG beruht und anerkannte Dienste ermöglicht, über die Nutzer ihre Einwilligungen zentral verwalten können. Für kleine Website-Betreiber spielt sie im Alltag bisher kaum eine Rolle – sie ändert nichts an der Grundregel: Einwilligung vor Tracking.
Und zur Einordnung der Sanktionen, ohne Angstrhetorik: Verstöße gegen § 25 TDDDG können nach § 28 TDDDG mit Bußgeldern bis 300.000 € geahndet werden, DSGVO-Verstöße nach Art. 83 DSGVO theoretisch deutlich höher. In der Praxis stehen bei kleinen Websites Beschwerden und Aufforderungen zur Nachbesserung im Vordergrund, nicht die Höchststrafe. Das ist kein Freibrief – aber ein Grund, das Thema sachlich statt panisch anzugehen.
Was immer Pflicht bleibt: Datenschutzerklärung und Impressum
Der Cookie-Banner ist verzichtbar, sobald nichts Einwilligungspflichtiges passiert. Nicht verzichtbar sind zwei andere Dinge: Eine Datenschutzerklärung nach Art. 13 DSGVO braucht praktisch jede Website – schon Server-Logfiles und ein Kontaktformular verarbeiten personenbezogene Daten. Was genau in sie hineingehört, schlüsselt der Beitrag Datenschutzerklärung für die eigene Website: Was 2026 reinmuss auf. Und das Impressum nach § 5 DDG ist für geschäftsmäßige Websites ohnehin Pflicht. Welche Seiten sonst noch auf eine vollständige KMU-Website gehören, habe ich im Beitrag Die 9 Seiten, die jede KMU-Website 2026 braucht aufgeschlüsselt – und ob das Barrierefreiheitsstärkungsgesetz für Sie gilt, klärt der komplementäre Rechts-Überblick BFSG 2026: Muss Ihre Website barrierefrei sein?.
Ehrliche Grenze: keine Rechtsberatung
Ich bin Berater für Digitalisierung und Web, kein Jurist – dieser Beitrag ist ausdrücklich keine Rechtsberatung. Die Einordnung beruht auf den öffentlich zugänglichen Gesetzestexten, Urteilen und Behörden-Veröffentlichungen, die unten in den Quellen verlinkt sind. Ob Ihr konkreter Dienste-Mix einwilligungspflichtig ist, hängt vom Einzelfall ab – gerade bei eingebetteten Tools (Buchungssysteme, Karten, Videos) lohnt der genaue Blick, was sie technisch tun. Im Zweifel: von einer auf IT-Recht spezialisierten Stelle prüfen lassen. Was ich übernehmen kann, ist die technische Seite – prüfen, was Ihre Website tatsächlich lädt, Tracking-Ballast entfernen, Schriften lokal hosten.
Fazit
Die Cookie-Banner-Frage wird 2026 meist falsch herum gestellt. Statt „Welchen Banner brauche ich?” lautet die bessere Frage: „Was tut meine Website eigentlich – und brauche ich das?” Technisch notwendige Cookies sind einwilligungsfrei, Tracking erfordert ein sauberes Opt-in mit echter Ablehnen-Option – und eine kleine Website ganz ohne Tracking braucht gar keinen Banner, nur eine ordentliche Datenschutzerklärung. Das ist der seltene Fall, in dem die rechtlich sauberste Lösung auch die schnellste und benutzerfreundlichste ist.
Nächster Schritt: Sie wissen nicht genau, was Ihre Website im Hintergrund lädt – und ob Ihr Banner nötig, korrekt oder schlicht überflüssig ist? Bei einem Mini-Website-Refresh ab 490 € schaue ich mir genau das mit an: was geladen wird, was weg kann und wie Ihre Seite schlanker, schneller und datensparsamer wird. Schildern Sie mir kurz Ihren Fall – ich sage Ihnen ehrlich, ob sich das bei Ihnen lohnt.
Quellen
- § 25 TDDDG – Schutz der Privatsphäre bei Endeinrichtungen (gesetze-im-internet.de, Bundesministerium der Justiz) – Einwilligungspflicht und Ausnahmen
- Datenschutz-Grundverordnung (DSGVO) (EUR-Lex) – Art. 4 Nr. 11 (Einwilligung), Art. 7 (Widerruf), Art. 13 (Informationspflichten), Art. 83 (Geldbußen)
- EuGH, Urteil vom 01.10.2019, C-673/17 („Planet49”) (curia.europa.eu) – keine wirksame Einwilligung durch vorangekreuzte Kästchen
- DSK – Orientierungshilfe für Anbieter:innen von Telemedien (Datenschutzkonferenz) – Anforderungen an Einwilligungs-Banner
- LG München I, Urteil vom 20.01.2022, Az. 3 O 17493/20 – dynamische Einbindung von Google Fonts als DSGVO-Verstoß
- First-Party-Angabe: technischer Aufbau von fabian-reiter.com (selbst gehostete Schriften, kein Analyse-/Marketing-Tracking), Stand Juni 2026