Cookie-Banner: Brauchst du einen und wie machst du es rechtlich richtig?

Die kurze Antwort zuerst, weil sie viele ueberrascht: Nicht jede Website braucht einen Cookie-Banner. Ob du einen brauchst, haengt nicht davon ab, ob du eine Website hast, sondern davon, was diese Website im Hintergrund laedt. Wir bauen Webseiten und Tools zum Festpreis und betreiben sieben eigene Marken in Produktion. Diese Frage beantworten wir deshalb staendig, und meistens fuer uns selbst. Hier die ehrliche Praxis-Version ohne Panikmache.

Wann du keinen Banner brauchst

Wenn deine Website nur das tut, was sie technisch tun muss, um zu funktionieren, brauchst du keine Einwilligung und damit keinen Banner mit Buttons. Das gilt fuer:

• Technisch notwendige Cookies wie Session-Cookies, Login-Status, Warenkorb oder ein Sprach-Speicher.
• Sicherheitsfunktionen wie ein CSRF-Token oder ein Cookie, das einen Lastverteiler steuert.
• Reine Inhaltsseiten, die keine externen Dienste einbinden: kein Google Analytics, keine Werbe-Pixel, kein eingebettetes YouTube, keine externen Schriftarten, die nachgeladen werden.

Eine schlanke One-Pager-Visitenkarte, die ihre Schriften lokal ausliefert und auf Tracking verzichtet, kommt oft voellig ohne Consent-Banner aus. Du brauchst trotzdem eine korrekte Datenschutzerklaerung und ein Impressum, aber kein nerviges Pop-up.

Wann du einen Banner brauchst

Sobald du etwas einbindest, das nicht zwingend fuer den Betrieb noetig ist und das auf den Geraeten deiner Besucher Informationen speichert oder ausliest, brauchst du eine Einwilligung bevor es laedt. In Deutschland regelt das der Paragraf 25 TTDSG, parallel dazu greift die DSGVO fuer die Verarbeitung der Daten. Typische Ausloeser:

• Statistik und Analyse wie Google Analytics oder Matomo (ausser im anonymisierten Cookieless-Modus).
• Marketing- und Werbe-Pixel wie Meta Pixel, Google Ads oder LinkedIn Insight.
• Eingebettete Inhalte von Dritten: YouTube, Google Maps, Vimeo, manche Chat-Widgets.
• Externe Schriftarten und Fonts, die zur Laufzeit von einem fremden Server geladen werden.

Die Faustregel ist simpel: Im Zweifel braucht alles, was nicht zum reinen Funktionieren der Seite noetig ist, eine aktive Zustimmung.

Was ein rechtssicherer Banner koennen muss

Wenn du einen Banner einsetzt, dann richtig. Ein Banner, der nur einen grossen Akzeptieren-Knopf zeigt, ist rechtlich angreifbar und faellt regelmaessig durch. Diese Punkte sollten erfuellt sein:

• Ablehnen muss genauso einfach sein wie Akzeptieren. Beide Optionen gleichwertig, auf derselben Ebene, im selben Stil. Kein verstecktes Ablehnen hinter mehreren Klicks.
• Keine vorangekreuzten Haekchen. Optionale Cookies muessen standardmaessig aus sein. Schweigen ist keine Zustimmung.
• Nichts laedt vor der Einwilligung. Das ist der haeufigste Fehler: Der Banner ist da, aber Analytics feuert trotzdem schon beim ersten Seitenaufruf. Dann ist der Banner wertlos.
• Granulare Auswahl. Besucher sollten Kategorien wie Statistik und Marketing getrennt zustimmen koennen, nicht nur alles oder nichts.
• Widerruf jederzeit moeglich. Ein kleiner Link im Footer, der die Einstellungen erneut oeffnet, reicht.
• Dokumentation der Einwilligung. Du solltest nachweisen koennen, wer wann wozu zugestimmt hat.

Der oft uebersehene Punkt: Reihenfolge

Viele Banner sehen sauber aus und sind technisch trotzdem falsch eingebaut. Entscheidend ist die Lade-Reihenfolge. Drittanbieter-Skripte duerfen erst dann starten, wenn die Einwilligung tatsaechlich vorliegt. Das bedeutet, dass deine Tracking-Schnipsel nicht fest im Quelltext stehen duerfen, sondern erst nach dem Klick nachgeladen werden. Wer das ueberspringt, hat formal einen Banner und materiell trotzdem ein Datenschutzproblem. Genau hier trennt sich saubere Umsetzung von Augenwischerei.

Fertige Tools oder selbst bauen?

Fuer die meisten KMU-Seiten ist ein etabliertes Consent-Tool die pragmatische Wahl. Es nimmt dir die Pflege der Dienste-Liste, die Versionierung der Einwilligungen und die Anbindung an einen Tag-Manager ab. Bei sehr schlanken Seiten ohne Tracking ist die ehrlichste Loesung dagegen, schlicht auf die ausloesenden Dienste zu verzichten und gar keinen Banner zu brauchen. Das ist schneller, freundlicher fuer deine Besucher und entlastet dich rechtlich.

Bei unseren eigenen Projekten gehen wir genau diesen Weg: lokale Schriften statt nachgeladener Fonts, datensparsame oder anonymisierte Statistik wo moeglich, und ein vollwertiger Consent-Mechanismus nur dort, wo wirklich Marketing-Tracking laeuft. Diese Entscheidung treffen wir bei jeder Website bewusst, statt reflexartig ueberall ein Pop-up zu verbauen.

Kurz zusammengefasst

• Kein Tracking, keine externen Einbettungen? Dann brauchst du keinen Consent-Banner, nur Datenschutzerklaerung und Impressum.
• Analyse, Werbung oder Drittanbieter-Inhalte? Dann brauchst du eine echte Einwilligung vor dem Laden.
• Wenn Banner, dann fair: Ablehnen gleich einfach wie Akzeptieren, nichts laedt vorab, Widerruf moeglich.

Ein Cookie-Banner ist kein Selbstzweck und schon gar kein Qualitaetsmerkmal. Das beste Ergebnis ist oft eine Seite, die ihn gar nicht braucht.