Home Webdesign Online Marketing Print Design Blog Kontakt Jetzt beraten lassen →

Cookie-Banner ohne Anwalt: das rechtssichere Minimum

Was ein Cookie-Banner wirklich leisten muss, um nach TTDSG und DSGVO abmahnsicher zu sein. Und wo teure Consent-Tools nur Angst verkaufen.

Ein Café-Betreiber aus dem Münchner Westen rief uns letztes Jahr an, weil er sein Cookie-Banner „endlich richtig“ haben wollte. Er zahlte damals gut 15 Euro im Monat für ein bekanntes Consent-Tool, seit über einem Jahr. Wir haben uns seine Seite angeschaut. Sie lud genau einen externen Dienst: Google Fonts. Sonst nichts. Kein Analytics, kein Facebook-Pixel, keine eingebettete Karte. Das Banner, für das er über 180 Euro bezahlt hatte, war für eine Sache da, die man in zehn Minuten anders löst. Diese Geschichte erzähle ich immer wieder, weil sie so typisch ist.

Rund um Cookie-Banner ist enorm viel Angst im Umlauf. Angst verkauft Abos. Also lassen Sie uns sortieren, was Pflicht ist und was reines Marketing der Consent-Anbieter.

Wann brauchen Sie überhaupt ein Cookie-Banner?

Kurze Antwort: nicht immer. Ein Banner ist nötig, sobald Ihre Seite Dinge im Browser des Besuchers speichert oder ausliest, die technisch nicht zwingend erforderlich sind. Das regelt seit Dezember 2021 das TTDSG, konkret § 25. Reine Warenkorb-Cookies, Login-Sessions, Spracheinstellung: alles erlaubt ohne Einwilligung. Sobald aber Tracking, Marketing oder eingebettete Fremdinhalte dazukommen, brauchen Sie vorher ein klares Ja.

Der Punkt, den fast alle übersehen: Es geht nicht um das Wort „Cookie“. Es geht ums Nachladen von externen Servern. Google Fonts von Googles CDN, ein YouTube-Video, Google Maps, ein Instagram-Feed. All das überträgt die IP-Adresse Ihres Besuchers an einen Dritten, oft in die USA. Und das ist der eigentliche Auslöser.

Beim Cafe war es genau das. Google Fonts vom Google-Server. Wir haben die zwei Schriften einfach heruntergeladen und lokal auf seinem eigenen Webspace abgelegt (self-hosted). Ab dem Moment wanderte keine IP mehr zu Google. Das Banner konnte komplett weg. Kein Abo, kein Klick-Frust für die Gäste, keine Kosten. Das Landgericht München I hatte übrigens schon 2022 entschieden, dass die dynamische Einbindung von Google Fonts ohne Einwilligung ein Datenschutzverstoß ist. Self-Hosting löst das Problem an der Wurzel.

Das rechtssichere Minimum: drei Dinge, mehr nicht

Wenn Sie einwilligungspflichtige Dienste haben und ein Banner brauchen, dann muss es exakt diese drei Sachen können. Alles darüber hinaus ist Komfort, nicht Pflicht.

1. Ablehnen so einfach wie Zustimmen

Der „Alle akzeptieren“-Button und der „Alle ablehnen“-Button müssen auf derselben Ebene stehen. Gleiche Größe, gleiche Erreichbarkeit, gleiche Sichtbarkeit. Sie dürfen das Ablehnen nicht hinter „Einstellungen“ verstecken, während der Akzeptieren-Knopf grün und riesig leuchtet. Die deutschen Datenschutzbehörden nennen solche Tricks „Dark Patterns“, und die EDSA-Leitlinien von 2023 sind da eindeutig. Ein zweistufiges Banner (erst akzeptieren, dann irgendwo klein ablehnen) ist der häufigste Fehler, den ich sehe.

2. Keine vorausgewählten Häkchen

Jede Checkbox für Marketing, Statistik oder personalisierte Werbung muss leer starten. Der Nutzer setzt das Häkchen aktiv, oder es passiert nichts. Ein vorausgekreuztes Kästchen ist keine Einwilligung. Das hat der EuGH schon 2019 im Planet49-Urteil festgehalten, lange bevor das TTDSG kam. Trotzdem finde ich es immer noch auf Seiten, teils sogar bei den teuren Tools, wenn sie falsch konfiguriert wurden.

3. Skripte erst nach dem Ja

Das ist der Teil, an dem die meisten Banner technisch scheitern. Ein hübsches Banner nützt gar nichts, wenn Google Analytics schon geladen und gefeuert hat, während der Besucher noch überlegt. Die Tracking-Skripte dürfen erst starten, nachdem der Nutzer zugestimmt hat. Technisch heißt das: Die Skripte hängen an der Einwilligung, nicht am Seitenaufruf. Klingt simpel, wird aber ständig falsch gebaut. Wir prüfen das immer mit den Entwickler-Tools im Browser, Reiter Netzwerk, und schauen, was vor dem Klick schon rausgeht. Bei einem Zahnarzt in Germering ging vor jeder Zustimmung munter das Facebook-Pixel raus. Das Banner darüber war reine Deko.

Was die Consent-Anbieter Ihnen verkaufen, das Sie nicht brauchen

Die großen Consent-Management-Plattformen sind nicht böse. Für einen großen Online-Shop mit 40 eingebundenen Marketing-Tools ergeben sie Sinn. Sie halten Consent-Logs vor, aktualisieren die Anbieterliste, decken TCF-Frameworks ab. Nur: Die allermeisten KMU-Seiten in Bruck, Olching oder Puchheim haben nicht 40 Tools. Sie haben null bis drei.

Was hier gern als „abmahnsicher“ verkauft wird und für eine kleine Firmenseite meist überflüssig ist:

  • Automatisches Scannen der Seite nach Cookies. Wenn Sie Ihre eigene Seite kennen (und das sollten Sie), brauchen Sie keinen Scanner, der monatlich Geld kostet.
  • Riesige Anbieterdatenbanken mit hunderten Diensten. Nützlich für Werbenetzwerke. Für eine Handwerker- oder Praxisseite irrelevant.
  • Das IAB-TCF-Framework. Das ist für programmatische Werbung gebaut. Wenn Sie keine Werbung ausspielen, brauchen Sie es schlicht nicht.

Ein sauber gebautes, leichtes Banner, das nur Ihre tatsächlichen Dienste abfragt und die Einwilligung ordentlich speichert, erfüllt dieselben rechtlichen Anforderungen. Ohne monatliches Abo. Wir setzen so etwas bei Kundenprojekten oft direkt in den Code, wenn wir das Webdesign ohnehin machen.

Die ehrliche Minimal-Checkliste

Gehen Sie das einmal durch, bevor Sie irgendein Tool bezahlen:

  • Welche externen Dienste lädt meine Seite wirklich? (Netzwerk-Tab im Browser öffnen und mitlesen.)
  • Kann ich davon etwas self-hosten? Google Fonts fast immer, ja.
  • Bleibt danach überhaupt etwas Einwilligungspflichtiges übrig? Wenn nein, brauchen Sie kein Banner.
  • Falls doch: Ablehnen gleichwertig zu Zustimmen, keine Vorauswahl, Skripte erst nach dem Klick.
  • Feuert vor der Zustimmung wirklich nichts? Selbst nachprüfen.

Das ist es. Kein Jurastudium nötig.

Und wann brauchen Sie doch einen Anwalt?

Ich will hier nichts schönreden. Es gibt Situationen, in denen ein Fachanwalt für IT-Recht sein Geld wert ist, und ich rate dann auch ausdrücklich dazu. Etwa wenn Sie mit besonders sensiblen Daten arbeiten (Gesundheit, Finanzen), wenn Sie Nutzerprofile über mehrere Kanäle zusammenführen, wenn Sie in größerem Stil Werbung ausspielen oder Daten in Drittländer übermitteln. Auch bei einer bereits erhaltenen Abmahnung: sofort zum Anwalt, nicht selbst basteln. Wir sind eine Webdesign-Agentur, keine Kanzlei. Was wir liefern, ist die technisch korrekte Umsetzung und ein ehrlicher Blick darauf, was Ihre Seite überhaupt an Diensten lädt.

Der Punkt bleibt: Die meisten kleinen Firmenseiten sind viel einfacher gestrickt, als die Angst-Kommunikation der Tool-Anbieter suggeriert. Oft ist das rechtssichere Minimum näher, als Sie denken. Manchmal ist es sogar gar kein Banner.

Sie sind sich unsicher, was Ihre Seite lädt und ob Ihr Banner überhaupt korrekt funktioniert? Wir schauen im Rahmen eines kostenlosen 30-Minuten-Checks drauf, sagen Ihnen ehrlich, ob Ihr Consent-Setup passt, und ob Sie sich Ihr Abo sparen können. Melden Sie sich einfach über unser Kontaktformular. Von hier aus, direkt aus Fürstenfeldbruck.

Bereit für mehr?

bytebrise unterstützt Unternehmen in Fürstenfeldbruck mit Webdesign, Online Marketing und Print Design.

Kostenloses Erstgespräch