DSGVO-Cookie-Banner: Standard-Konfiguration für KMU
Welche Cookie-Banner-Konfiguration ist für typische KMU-Webseiten verbreitet? § 25 TTDSG, Reject-All-Parität, Pflicht-Inhalte — konditionale Praxis-Einordnung.
ComplyCheck-Redaktion · Stand: 2026-07-09
DSGVO-Cookie-Banner: Standard-Konfiguration für KMU
Stand: 2026-05-17 · ComplyCheck-Redaktion · Keine Rechtsberatung iSd RDG § 2.
Diese Einordnung beschreibt verbreitete Banner-Konfigurationen für KMU im Standard-Fall (klassische Webseite mit Analytics und Marketing-Pixeln). Bei spezifischen Tracking-Setups — etwa Server-Side-Tagging, eigene Customer Data Platform, Multi-Domain-Tracking oder programmatic Advertising — sind individuelle Bewertungen erforderlich. Diese Darstellung ersetzt keine Einzelfall-Prüfung durch qualifizierte Beratung.
Welche regulatorische Grundlage gilt?
Die Zulässigkeit des Setzens und Auslesens von Informationen auf Endgeräten richtet sich in Deutschland primär nach § 25 TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz). § 25 Abs. 1 verlangt eine vorherige Einwilligung, sofern keine Ausnahme nach Abs. 2 greift. Die nachgelagerte Verarbeitung der so gewonnenen personenbezogenen Daten unterliegt zusätzlich Art. 6 DSGVO — bei Tracking-Cookies regelmäßig Art. 6 Abs. 1 lit. a (Einwilligung).
Detail
Die Anforderungen an eine wirksame Einwilligung folgen aus Art. 4 Nr. 11 und Art. 7 DSGVO: freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben. Der EuGH hat in C-673/17 („Planet49") klargestellt, dass vorausgewählte Checkboxen keine wirksame Einwilligung darstellen. Die EDSA-Guidelines 03/2022 zu Dark Patterns konkretisieren, welche Gestaltungs-Muster die Freiwilligkeit beeinträchtigen.
Auf nationaler Ebene haben mehrere Aufsichtsbehörden — etwa der LfDI Baden-Württemberg und die Berliner Beauftragte für Datenschutz — die Anforderungen in Beschlüssen und Prüfschemata konkretisiert. Die DSK hat eine Orientierungshilfe für Anbieter von Telemedien veröffentlicht, die als Verwaltungs-Praxis-Referenz dient.
Welche Konstellation passt zu deinem Verarbeitungs-Profil?
§ 25 Abs. 2 TTDSG kennt zwei Ausnahmen vom Einwilligungs-Erfordernis: die unbedingte Erforderlichkeit für die Nachrichten-Übertragung und die unbedingte Erforderlichkeit für einen ausdrücklich gewünschten Telemediendienst. In der Praxis fallen unter die zweite Ausnahme typischerweise Session-Cookies für Login-Funktionen, Warenkorb-Persistenz oder Spracheinstellungen.
Detail
Sofern eine Webseite ausschließlich solche unbedingt erforderlichen Cookies setzt — also keine Analytics, keine Marketing-Pixel, keine eingebetteten Drittanbieter-Inhalte mit eigenen Cookies — ist ein Einwilligungs-Banner üblicherweise nicht erforderlich. Eine Datenschutzerklärung mit Information über die technisch notwendigen Cookies bleibt gleichwohl Pflicht.
Einwilligungspflichtig sind in der Standard-Konstellation regelmäßig:
- Analyse- und Tracking-Cookies (Google Analytics, Matomo mit Cookies, Hotjar)
- Marketing- und Retargeting-Pixel (Meta Pixel, Google Ads, LinkedIn Insight Tag)
- eingebettete Drittanbieter-Inhalte mit Cookie-Setzung (YouTube, Vimeo, Google Maps in Standard-Einbettung)
- A/B-Testing-Werkzeuge mit Nutzer-Persistenz
- Chatbot- und Live-Chat-Lösungen mit Tracking-Komponenten
Die Faustregel der Aufsichtsbehörden lautet sinngemäß: Sofern ein Cookie nicht zwingend für die vom Nutzer aktiv angefragte Funktion erforderlich ist, ist eine Einwilligung regelmäßig einzuholen.
Welcher Aufbau-Rahmen ist verbreitet?
Eine in der Beratungspraxis häufig genannte Banner-Konfiguration für KMU umfasst folgende Elemente:
Erste Banner-Ebene — klare Information zur Verarbeitung, gleichberechtigte Buttons „Alle akzeptieren" und „Alle ablehnen" in identischer Farbe, Größe und Position, optional ein Link zu detaillierteren Einstellungen. Die EDSA-Guidelines 03/2022 nennen die visuelle Gleichbehandlung als zentrales Kriterium für die Freiwilligkeit.
Detail
Granulare Einstellungs-Ebene — Trennung in mindestens „technisch notwendig", „Statistik" und „Marketing", mit jeweils einzeln umschaltbaren Schaltern. Vorausgewählte Schalter für nicht-essenzielle Kategorien sind nach EuGH C-673/17 unzulässig.
Cookie-Liste mit Detail-Informationen — Name des Cookies, Anbieter, Zweck, Speicherdauer und gegebenenfalls Drittlands-Transfer. Diese Angaben fließen in die Informationspflicht nach Art. 13 DSGVO ein.
Technische Blockade vor Einwilligung — Tracking-Skripte und -Pixel werden erst nach aktiver Einwilligung geladen. Eine Implementierung über Google Tag Manager mit Consent Mode v2 oder über serverseitige Tag-Steuerung ist verbreitet.
Widerruf in vergleichbarer Reichweite — ein permanenter Footer-Link „Cookie-Einstellungen", der das Banner erneut öffnet, ist die in der Praxis am häufigsten gewählte Umsetzung der Anforderung aus Art. 7 Abs. 3 DSGVO.
Bei der Tool-Auswahl werden in der DACH-Praxis sowohl Open-Source-Lösungen (Klaro, Orestbida Cookie Consent) als auch SaaS-Anbieter (Cookiebot, Usercentrics, Borlabs) genannt. Die Auswahl sollte sich an Daten-Volumen, Multi-Domain-Bedarf, Audit-Trail-Anforderungen und Integrations-Tiefe orientieren. Eine pauschale Empfehlung ohne Kenntnis der konkreten Tracking-Landschaft ist nicht möglich.
Welche Konstellationen erfordern abweichendes Vorgehen?
Mehrere Setup-Varianten verschieben die Anforderungen über den Standard-Fall hinaus:
- Server-Side-Tagging (etwa über Google Tag Manager Server-Side oder eigene Edge-Worker) — hier verschiebt sich der Setzungs-Ort der Cookies, was eine differenzierte Bewertung der Einwilligungs-Pflicht und der TOMs erfordert.
- Eigene Customer Data Platform (Segment, mParticle, eigene CDP) mit Cross-Device-Identifikation — hier sind regelmäßig zusätzliche Informations-Pflichten zu erfüllen, und eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO kann angezeigt sein.
Detail
- Programmatic Advertising und Real-Time Bidding — hier sind die Anforderungen aus dem IAB-TCF-2.2-Framework zu beachten; mehrere europäische Aufsichtsbehörden haben den Rahmen kritisch bewertet.
- Multi-Domain-Tracking über zentrale Consent-Lösungen — hier sind Konsens-Synchronisation und Storage-Strategien gesondert zu prüfen.
- Verarbeitung besonderer Datenkategorien über Tracking (etwa Gesundheits-Themen-Targeting) — hier verschärfen sich Anforderungen über Art. 9 DSGVO.
- B2B-Plattformen mit Login-Bereich — hier können Cookies teilweise auf Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) gestützt werden; eine Einzelfall-Bewertung ist erforderlich.
In allen genannten Konstellationen ist eine rechtliche und technische Einzel-Begutachtung empfehlenswert. Die hier dargestellte Standard-Konfiguration erfasst diese Komplexitäten nicht.
Nächster Schritt
Sobald eine Banner-Konfiguration steht, sind Auftragsverarbeitungs-Verträge mit den eingesetzten Cookie- und Tracking-Anbietern in der Regel erforderlich. Unser AVV-Generator erzeugt für gängige Anbieter (Cookiebot, Google, Meta, LinkedIn und weitere) Standard-AVVs mit den in Art. 28 Abs. 3 DSGVO genannten Mindestinhalten — einschließlich Anlagen für Standardvertragsklauseln bei Drittlands-Transfers.
Für die Frage, auf welcher Rechtsgrundlage einzelne Verarbeitungen jeweils zu stützen sind (Einwilligung, berechtigtes Interesse, Vertragsdurchführung), bietet DSGVO-Rechtsgrundlagen Art. 6 im Überblick eine strukturierte Einordnung der sechs Tatbestände aus Art. 6 Abs. 1 DSGVO.
Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 9. Juli 2026.
Verantwortlich i.S.d. § 18 MStV: siehe Impressum.
Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de
Compliance-Updates ohne GRC-Bloat
NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.
🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU
Das könnte dich auch interessieren
DSGVO und Mitarbeiterdaten: Welche Verarbeitungen werden als zulässig eingeordnet?
Welche Mitarbeiterdaten werden in der Beschäftigtenkontext-Konstellation typischerweise als zulässig eingeordnet? Rechtsgrundlagen, Sonderkategorien, Fristen — mit Quellen.
DSGVO für 5-Personen-Firma: Häufig genannte Mindest-Kategorien
Welche DSGVO-Pflichten werden bei Kleinst-Unternehmen üblicherweise erwartet? Verzeichnis, Webseite, AVVs — konditionale Einordnung mit Quellen.
NIS2 Quick-Check: 10 Fragen in 30 Minuten
Erste strukturierte NIS2-Selbst-Bewertung anhand von 10 Leitfragen. Typischer Aufwand 30-60 Minuten, abhängig von Vorwissen und Komplexität. Keine Rechtsberatung.