Datenschutz

Wie sieht ein DSGVO-konformer Cookie-Banner 2026 aus?

Zuletzt aktualisiert:

Rechtliche Grundlage

DSGVO Art. 6 + 7 + 13, TTDSG § 25, ePrivacy-Verordnung in Vorbereitung. EuGH-Urteile (Planet49 2019, OneTrust 2024) haben Anforderungen verschärft.

Sieben Pflichten

  1. Gleichwertige Buttons: 'Akzeptieren' + 'Ablehnen' gleich prominent in der ersten Ebene. Kein versteckter Ablehnen-Knopf.

  2. Granulare Auswahl: pro Cookie-Kategorie (essentiell, statistik, marketing, fingerprint) einzeln einwilligen.

  3. Klare Sprache: keine Juristen-Sprache, kein 'Cookies zur Verbesserung deines Erlebnisses'.

  4. Kein Dark-Pattern: keine Farbe / Schrift / Position, die zur Einwilligung lenkt.

  5. Pflicht vs freiwillig trennen: essentielle Cookies brauchen keine Einwilligung, alle anderen schon.

  6. Widerruf jederzeit möglich: Footer-Link, gleiche UX wie Einwilligung.

  7. Dokumentation: wann hat wer was eingewilligt - bei Audit nachweisbar.

Was geht nicht mehr

  • Nur 'Akzeptieren'-Button - Pflichtverstoss.

  • 'Weiterlesen' impliziert Einwilligung - verboten seit Planet49.

  • Pre-Checked-Boxes - Default muss 'aus' sein.

  • 'Bezahlen mit Daten' (Pur-Modell): mit Konsens-Modell + faire Bedingung erlaubt, sonst nicht.

  • Cookie-Wall ohne Alternative - gilt als unzulaessiger Zwang.

Pflicht-Cookies

  • Session-Cookies für Login.

  • Warenkorb.

  • Sprach-Wahl.

  • Sicherheit (CSRF-Token).

  • Nicht: Analytics, Marketing, Fingerprint - auch wenn 'wichtig für Betrieb' behauptet wird.

CMP-Anbieter

  • Usercentrics, OneTrust, Cookiebot - Marktführer.

  • Iubenda, Borlabs - KMU-tauglich.

  • Bei Eigenbau: hoher Compliance-Aufwand + Audit.

  • CMP muss IAB-TCF-2.2 unterstützen, wenn Werbung im Spiel.

EU-Kommission + WP29-Nachfolge-Gremium arbeiten an einer EU-weiten Standardisierung. Voraussichtlich 2026: einheitlicher 'Cookie-Pledge' + Empfehlungen für max. 2 Klicks zur Auswahl.

Anti-Patterns

  • Banner nur für EU-Besuche - Geo-Blocking ist riskant, DSGVO greift unter Umstaenden auch ausserhalb.

  • Tracking-Pixel läuft vor Einwilligung - illegal.

  • Keine Widerrufs-Möglichkeit - Verletzung Art. 7 (3) DSGVO.

  • Dokumentation nicht abrufbar - Bussgeld bei Beschwerde.

  • CMP eingerichtet, aber Tracking-Skripte nicht blockiert - CMP ist Marketing-Stempel.

Über thekey.academy

thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.