Wissen/DSGVO-Cookie-Banner: Standard-Konfiguration für KMU

DSGVO-Cookie-Banner: Standard-Konfiguration für KMU

Welche Cookie-Banner-Konfiguration ist für typische KMU-Webseiten verbreitet? § 25 TTDSG, Reject-All-Parität, Pflicht-Inhalte — konditionale Praxis-Einordnung.

ComplyCheck-Redaktion · Stand: 2026-07-09

DSGVOTTDSGCookie-BannerKMUQuick-Decision

DSGVO-Cookie-Banner: Standard-Konfiguration für KMU

Stand: 2026-05-17 · ComplyCheck-Redaktion · Keine Rechtsberatung iSd RDG § 2.

Wichtig

Diese Einordnung beschreibt verbreitete Banner-Konfigurationen für KMU im Standard-Fall (klassische Webseite mit Analytics und Marketing-Pixeln). Bei spezifischen Tracking-Setups — etwa Server-Side-Tagging, eigene Customer Data Platform, Multi-Domain-Tracking oder programmatic Advertising — sind individuelle Bewertungen erforderlich. Diese Darstellung ersetzt keine Einzelfall-Prüfung durch qualifizierte Beratung.

Welche regulatorische Grundlage gilt?

Die Zulässigkeit des Setzens und Auslesens von Informationen auf Endgeräten richtet sich in Deutschland primär nach § 25 TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz). § 25 Abs. 1 verlangt eine vorherige Einwilligung, sofern keine Ausnahme nach Abs. 2 greift. Die nachgelagerte Verarbeitung der so gewonnenen personenbezogenen Daten unterliegt zusätzlich Art. 6 DSGVO — bei Tracking-Cookies regelmäßig Art. 6 Abs. 1 lit. a (Einwilligung).

Detail

Die Anforderungen an eine wirksame Einwilligung folgen aus Art. 4 Nr. 11 und Art. 7 DSGVO: freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben. Der EuGH hat in C-673/17 („Planet49") klargestellt, dass vorausgewählte Checkboxen keine wirksame Einwilligung darstellen. Die EDSA-Guidelines 03/2022 zu Dark Patterns konkretisieren, welche Gestaltungs-Muster die Freiwilligkeit beeinträchtigen.

Auf nationaler Ebene haben mehrere Aufsichtsbehörden — etwa der LfDI Baden-Württemberg und die Berliner Beauftragte für Datenschutz — die Anforderungen in Beschlüssen und Prüfschemata konkretisiert. Die DSK hat eine Orientierungshilfe für Anbieter von Telemedien veröffentlicht, die als Verwaltungs-Praxis-Referenz dient.

Welche Konstellation passt zu deinem Verarbeitungs-Profil?

§ 25 Abs. 2 TTDSG kennt zwei Ausnahmen vom Einwilligungs-Erfordernis: die unbedingte Erforderlichkeit für die Nachrichten-Übertragung und die unbedingte Erforderlichkeit für einen ausdrücklich gewünschten Telemediendienst. In der Praxis fallen unter die zweite Ausnahme typischerweise Session-Cookies für Login-Funktionen, Warenkorb-Persistenz oder Spracheinstellungen.

Detail

Sofern eine Webseite ausschließlich solche unbedingt erforderlichen Cookies setzt — also keine Analytics, keine Marketing-Pixel, keine eingebetteten Drittanbieter-Inhalte mit eigenen Cookies — ist ein Einwilligungs-Banner üblicherweise nicht erforderlich. Eine Datenschutzerklärung mit Information über die technisch notwendigen Cookies bleibt gleichwohl Pflicht.

Einwilligungspflichtig sind in der Standard-Konstellation regelmäßig:

  • Analyse- und Tracking-Cookies (Google Analytics, Matomo mit Cookies, Hotjar)
  • Marketing- und Retargeting-Pixel (Meta Pixel, Google Ads, LinkedIn Insight Tag)
  • eingebettete Drittanbieter-Inhalte mit Cookie-Setzung (YouTube, Vimeo, Google Maps in Standard-Einbettung)
  • A/B-Testing-Werkzeuge mit Nutzer-Persistenz
  • Chatbot- und Live-Chat-Lösungen mit Tracking-Komponenten

Die Faustregel der Aufsichtsbehörden lautet sinngemäß: Sofern ein Cookie nicht zwingend für die vom Nutzer aktiv angefragte Funktion erforderlich ist, ist eine Einwilligung regelmäßig einzuholen.

Welcher Aufbau-Rahmen ist verbreitet?

Eine in der Beratungspraxis häufig genannte Banner-Konfiguration für KMU umfasst folgende Elemente:

Erste Banner-Ebene — klare Information zur Verarbeitung, gleichberechtigte Buttons „Alle akzeptieren" und „Alle ablehnen" in identischer Farbe, Größe und Position, optional ein Link zu detaillierteren Einstellungen. Die EDSA-Guidelines 03/2022 nennen die visuelle Gleichbehandlung als zentrales Kriterium für die Freiwilligkeit.

Detail

Granulare Einstellungs-Ebene — Trennung in mindestens „technisch notwendig", „Statistik" und „Marketing", mit jeweils einzeln umschaltbaren Schaltern. Vorausgewählte Schalter für nicht-essenzielle Kategorien sind nach EuGH C-673/17 unzulässig.

Cookie-Liste mit Detail-Informationen — Name des Cookies, Anbieter, Zweck, Speicherdauer und gegebenenfalls Drittlands-Transfer. Diese Angaben fließen in die Informationspflicht nach Art. 13 DSGVO ein.

Technische Blockade vor Einwilligung — Tracking-Skripte und -Pixel werden erst nach aktiver Einwilligung geladen. Eine Implementierung über Google Tag Manager mit Consent Mode v2 oder über serverseitige Tag-Steuerung ist verbreitet.

Widerruf in vergleichbarer Reichweite — ein permanenter Footer-Link „Cookie-Einstellungen", der das Banner erneut öffnet, ist die in der Praxis am häufigsten gewählte Umsetzung der Anforderung aus Art. 7 Abs. 3 DSGVO.

Bei der Tool-Auswahl werden in der DACH-Praxis sowohl Open-Source-Lösungen (Klaro, Orestbida Cookie Consent) als auch SaaS-Anbieter (Cookiebot, Usercentrics, Borlabs) genannt. Die Auswahl sollte sich an Daten-Volumen, Multi-Domain-Bedarf, Audit-Trail-Anforderungen und Integrations-Tiefe orientieren. Eine pauschale Empfehlung ohne Kenntnis der konkreten Tracking-Landschaft ist nicht möglich.

Welche Konstellationen erfordern abweichendes Vorgehen?

Mehrere Setup-Varianten verschieben die Anforderungen über den Standard-Fall hinaus:

  • Server-Side-Tagging (etwa über Google Tag Manager Server-Side oder eigene Edge-Worker) — hier verschiebt sich der Setzungs-Ort der Cookies, was eine differenzierte Bewertung der Einwilligungs-Pflicht und der TOMs erfordert.
  • Eigene Customer Data Platform (Segment, mParticle, eigene CDP) mit Cross-Device-Identifikation — hier sind regelmäßig zusätzliche Informations-Pflichten zu erfüllen, und eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO kann angezeigt sein.

Detail

  • Programmatic Advertising und Real-Time Bidding — hier sind die Anforderungen aus dem IAB-TCF-2.2-Framework zu beachten; mehrere europäische Aufsichtsbehörden haben den Rahmen kritisch bewertet.
  • Multi-Domain-Tracking über zentrale Consent-Lösungen — hier sind Konsens-Synchronisation und Storage-Strategien gesondert zu prüfen.
  • Verarbeitung besonderer Datenkategorien über Tracking (etwa Gesundheits-Themen-Targeting) — hier verschärfen sich Anforderungen über Art. 9 DSGVO.
  • B2B-Plattformen mit Login-Bereich — hier können Cookies teilweise auf Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) gestützt werden; eine Einzelfall-Bewertung ist erforderlich.

In allen genannten Konstellationen ist eine rechtliche und technische Einzel-Begutachtung empfehlenswert. Die hier dargestellte Standard-Konfiguration erfasst diese Komplexitäten nicht.

Nächster Schritt

Sobald eine Banner-Konfiguration steht, sind Auftragsverarbeitungs-Verträge mit den eingesetzten Cookie- und Tracking-Anbietern in der Regel erforderlich. Unser AVV-Generator erzeugt für gängige Anbieter (Cookiebot, Google, Meta, LinkedIn und weitere) Standard-AVVs mit den in Art. 28 Abs. 3 DSGVO genannten Mindestinhalten — einschließlich Anlagen für Standardvertragsklauseln bei Drittlands-Transfers.

Für die Frage, auf welcher Rechtsgrundlage einzelne Verarbeitungen jeweils zu stützen sind (Einwilligung, berechtigtes Interesse, Vertragsdurchführung), bietet DSGVO-Rechtsgrundlagen Art. 6 im Überblick eine strukturierte Einordnung der sechs Tatbestände aus Art. 6 Abs. 1 DSGVO.

Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 9. Juli 2026.

Verantwortlich i.S.d. § 18 MStV: siehe Impressum.

Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de

Artikel teilen
CC

Compliance-Updates ohne GRC-Bloat

NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.

🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU

Das könnte dich auch interessieren

Kommentare (0)

Kommentar schreiben

Kommentare werden vor der Veröffentlichung geprüft.