Wie sieht ein DSGVO-konformer Cookie-Banner 2026 aus?
Rechtliche Grundlage
DSGVO Art. 6 + 7 + 13, TTDSG § 25, ePrivacy-Verordnung in Vorbereitung. EuGH-Urteile (Planet49 2019, OneTrust 2024) haben Anforderungen verschärft.
Sieben Pflichten
Gleichwertige Buttons: 'Akzeptieren' + 'Ablehnen' gleich prominent in der ersten Ebene. Kein versteckter Ablehnen-Knopf.
Granulare Auswahl: pro Cookie-Kategorie (essentiell, statistik, marketing, fingerprint) einzeln einwilligen.
Klare Sprache: keine Juristen-Sprache, kein 'Cookies zur Verbesserung deines Erlebnisses'.
Kein Dark-Pattern: keine Farbe / Schrift / Position, die zur Einwilligung lenkt.
Pflicht vs freiwillig trennen: essentielle Cookies brauchen keine Einwilligung, alle anderen schon.
Widerruf jederzeit möglich: Footer-Link, gleiche UX wie Einwilligung.
Dokumentation: wann hat wer was eingewilligt - bei Audit nachweisbar.
Was geht nicht mehr
Nur 'Akzeptieren'-Button - Pflichtverstoss.
'Weiterlesen' impliziert Einwilligung - verboten seit Planet49.
Pre-Checked-Boxes - Default muss 'aus' sein.
'Bezahlen mit Daten' (Pur-Modell): mit Konsens-Modell + faire Bedingung erlaubt, sonst nicht.
Cookie-Wall ohne Alternative - gilt als unzulaessiger Zwang.
Pflicht-Cookies
Session-Cookies für Login.
Warenkorb.
Sprach-Wahl.
Sicherheit (CSRF-Token).
Nicht: Analytics, Marketing, Fingerprint - auch wenn 'wichtig für Betrieb' behauptet wird.
CMP-Anbieter
Usercentrics, OneTrust, Cookiebot - Marktführer.
Iubenda, Borlabs - KMU-tauglich.
Bei Eigenbau: hoher Compliance-Aufwand + Audit.
CMP muss IAB-TCF-2.2 unterstützen, wenn Werbung im Spiel.
EU-Cookie-Pledge-Initiative 2024-2025
EU-Kommission + WP29-Nachfolge-Gremium arbeiten an einer EU-weiten Standardisierung. Voraussichtlich 2026: einheitlicher 'Cookie-Pledge' + Empfehlungen für max. 2 Klicks zur Auswahl.
Anti-Patterns
Banner nur für EU-Besuche - Geo-Blocking ist riskant, DSGVO greift unter Umstaenden auch ausserhalb.
Tracking-Pixel läuft vor Einwilligung - illegal.
Keine Widerrufs-Möglichkeit - Verletzung Art. 7 (3) DSGVO.
Dokumentation nicht abrufbar - Bussgeld bei Beschwerde.
CMP eingerichtet, aber Tracking-Skripte nicht blockiert - CMP ist Marketing-Stempel.
thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.
:quality(85))