Cookie-Banner DSGVO-konform: Die 5 teuersten Fehler auf KMU-Websites

Inhalt in Kürze

• Das VG Hannover hat im März 2025 entschieden: Ein gleichwertiger Ablehnen-Button ist auf der ersten Banner-Ebene Pflicht. Fehlt er, ist die gesamte Einwilligung unwirksam.
• Zwei Gesetze greifen gleichzeitig: Das TDDDG droht mit bis zu 300.000 Euro Bußgeld, die DSGVO mit bis zu 20 Millionen Euro.
• Der vzbv hat bei 949 geprüften Websites jeden zehnten Banner als rechtswidrig eingestuft und 98 Abmahnungen verschickt.
• Mit dem Hugo Check finden Sie in 2 Minuten heraus, ob Ihr Cookie-Banner technisch funktioniert.

Ihr Cookie-Banner sieht gut aus. Es poppt auf, hat bunte Buttons, nennt sogar ein paar Cookie-Kategorien. Trotzdem kann es rechtswidrig sein. Denn die meisten Banner haben mindestens einen der fünf Fehler, die wir Ihnen gleich zeigen.

Das Problem dabei: Sie merken es nicht. Ihre Besucher merken es nicht. Aber die Aufsichtsbehörde merkt es -- und der vzbv hat gezeigt, dass er aktiv abmahnt.

Cookie-Banner DSGVO: Warum zwei Gesetze gleichzeitig gelten

Viele Website-Betreiber denken bei Cookie-Bannern nur an die DSGVO. Das greift zu kurz. Seit Mai 2024 heißt das ehemalige TTDSG jetzt TDDDG -- und es regelt den Zugriff auf das Endgerät Ihrer Besucher. Wer Cookies setzt, braucht nach § 25 TDDDG eine Einwilligung. Ausnahme: technisch notwendige Cookies.

Die DSGVO kommt obendrauf, sobald personenbezogene Daten verarbeitet werden. Also bei Google Analytics, Meta Pixel, Hotjar -- praktisch bei allem, was über Session-Cookies hinausgeht.

In der Praxis heißt das: Ihr Cookie-Banner muss beide Gesetze gleichzeitig erfüllen. Das TDDDG für den technischen Zugriff, die DSGVO für die Datenverarbeitung. Wer nur eines beachtet, hat ein Problem.

Die 5 häufigsten Cookie-Banner-Fehler

Fehler 1: Banner zeigt sich -- blockiert aber nichts

Der gefährlichste Fehler. Viele kostenlose Cookie-Plugins zeigen zwar einen Banner, blockieren die Cookies aber nicht technisch. Ihr Besucher klickt auf "Ablehnen" -- und Google Analytics läuft trotzdem. Das Meta Pixel feuert trotzdem.

So ein Banner ist schlimmer als keiner. Denn es täuscht eine Einwilligung vor, die nicht existiert.

Schnelltest: Öffnen Sie Ihre Website, lehnen Sie alle Cookies ab. Dann F12, Application, Cookies. Sehen Sie dort Tracking-Cookies? Dann haben Sie ein Problem.

Fehler 2: Kein gleichwertiger Ablehnen-Button

Das ist der Fehler, den wir bei der Mehrheit aller Websites sehen. Großer grüner "Akzeptieren"-Button. Daneben ein kaum sichtbarer "Einstellungen"-Link in Grau. Das ist ein Dark Pattern -- und es macht die gesamte Einwilligung unwirksam.

Die DSK-Orientierungshilfe für Telemedienanbieter hatte das schon 2022 klargestellt. Seit dem VG-Hannover-Urteil gibt es dazu auch Rechtsprechung.

Fehler 3: Vorangekreuzte Checkboxen

Der EuGH hat bereits 2019 im Planet49-Urteil entschieden: Vorausgewählte Häkchen bei nicht-notwendigen Cookies sind keine gültige Einwilligung. Klingt selbstverständlich. Trotzdem tauchen sie immer wieder auf -- besonders bei selbstgebauten Consent-Lösungen oder veralteten WordPress-Plugins.

Fehler 4: Google Tag Manager lädt vor der Einwilligung

Viele Website-Betreiber laden den Google Tag Manager (GTM) sofort beim Seitenaufruf. Die Logik: "Der GTM setzt ja selbst keine Cookies." Falsch gedacht. Das VG Hannover hat 2025 bestätigt, dass der GTM selbst einwilligungspflichtig ist. Er dient dem Interesse des Betreibers und überträgt Daten an Google-Server.

Seit dem Digital Markets Act ist außerdem der Google Consent Mode v2 Pflicht für alle, die Google Ads oder GA4 im Europäischen Wirtschaftsraum nutzen.

Fehler 5: Einwilligungen werden nicht protokolliert

Nach Art. 7 Abs. 1 DSGVO müssen Sie nachweisen können, dass eine Einwilligung erteilt wurde. Dazu gehören Zeitstempel, Banner-Version, Umfang der Zustimmung. Ohne Protokollierung ist Ihre Einwilligung vor der Aufsichtsbehörde wertlos -- genauso wie fehlende DSGVO-Dokumentation in anderen Bereichen.

Wir erleben das regelmäßig: Ein Unternehmen hat ein professionelles Cookie-Banner. Aber beim Nachweis, wer wann was akzeptiert hat, herrscht Schweigen.

Aus der Praxis

Viele Unternehmer denken, ich bin doch zu klein für das ganze Thema Datenschutz. Wir haben Mandanten mit drei, vier, fünf Mitarbeitern – die arbeiten für große Kunden mit enormen Ansprüchen an den Datenschutz.

Nils OehmichenDatenschutzberater bei frag.hugo

Die Unternehmensgröße spielt keine Rolle. Der vzbv hat 949 Websites geprüft und 98 Abmahnungen verschickt. Darunter waren kleine Handwerksbetriebe genauso wie mittelständische Online-Shops. In zwei Dritteln der Fälle gaben die Unternehmen eine Unterlassungserklärung ab. Dazu kommen mögliche DSGVO-Bußgelder, die bei KMU typischerweise zwischen 5.000 und 50.000 Euro liegen.

In Hamburg kommt hinzu: Der HmbBfDI ist aktiv. Die Verbraucherzentrale Hamburg prüft regelmäßig Websites Hamburger Unternehmen auf Dark Patterns. Wer hier auffällt, bekommt Post. Wenn Sie auf der sicheren Seite sein wollen, lassen Sie Ihren Banner von einem externen Datenschutzbeauftragten prüfen.

Checkliste: Ist Ihr Cookie-Banner rechtskonform?

• Technische Blockierung: Werden Tracking-Cookies erst nach Einwilligung gesetzt? (Browser-Entwicklertools prüfen!)
• Gleichwertige Buttons: Sind "Akzeptieren" und "Ablehnen" auf derselben Ebene, in gleicher Größe und Farbe?
• Keine Vorauswahl: Sind nicht-notwendige Cookie-Kategorien standardmäßig deaktiviert?
• GTM nach Consent: Wird der Google Tag Manager erst nach Einwilligung geladen?
• Consent Mode v2: Ist der Google Consent Mode v2 korrekt implementiert?
• Protokollierung: Werden Einwilligungen mit Zeitstempel dokumentiert?
• Widerruf im Footer: Kann der Nutzer seine Cookie-Einstellungen jederzeit über einen sichtbaren Link ändern?
• Datenschutzerklärung verlinkt: Verlinkt der Banner auf Ihre aktuelle Datenschutzerklärung?

Was sich 2025 geändert hat: EinwV und PIMS

Seit April 2025 ist die Einwilligungsverwaltungsverordnung (EinwV) in Kraft. Sie regelt sogenannte PIMS -- Personal Information Management Services. Die Idee: Nutzer verwalten ihre Cookie-Präferenzen zentral in einem Dienst, statt auf jeder Website einzeln zu entscheiden.

Im Oktober 2025 wurde mit "Consenter" der erste PIMS-Dienst offiziell anerkannt. Für Website-Betreiber ist die Integration aber freiwillig. Cookie-Banner bleiben also auf absehbare Zeit Pflicht. Grund genug, Ihren Banner jetzt richtig aufzusetzen.

Ihr nächster Schritt

1. Banner testen: Nutzen Sie den kostenlosen Hugo Check -- er prüft Ihr Cookie-Banner automatisch auf technische Fehler.
2. CMP einsetzen: Wechseln Sie auf eine professionelle Consent-Management-Plattform (Cookiebot, Usercentrics, Borlabs), die Cookies technisch blockiert.
3. Button-Design prüfen: Akzeptieren und Ablehnen müssen gleichwertig sein -- gleiche Ebene, gleiche Größe, gleiche Farbstärke.
4. Datenschutzerklärung aktualisieren: Alle im Banner genannten Dienste müssen in Ihrer Datenschutzerklärung beschrieben sein.
5. Regelmäßig scannen: Neue Plugins setzen neue Cookies. Ein monatlicher Check mit dem Hugo Check schützt Sie vor Überraschungen.

Häufige Fragen (FAQ)

Muss mein Cookie-Banner einen Ablehnen-Button haben?

Ja. Das VG Hannover hat im März 2025 entschieden, dass ein gleichwertiger Ablehnen-Button auf der ersten Ebene Pflicht ist, wenn ein Akzeptieren-Button vorhanden ist. Ohne diese Option ist die Einwilligung unwirksam.

Welche Bußgelder drohen bei einem fehlerhaften Cookie-Banner?

Nach dem TDDDG drohen bis zu 300.000 Euro Bußgeld. Liegt gleichzeitig ein DSGVO-Verstoß vor, können bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes fällig werden. Bei KMU liegen die tatsächlichen Bußgelder typischerweise zwischen 5.000 und 50.000 Euro.

Reicht ein Cookie-Hinweis ohne Ablehnmöglichkeit?

Nein. Ein reiner Hinweis wie "Diese Website verwendet Cookies" ohne echte Wahlmöglichkeit verstößt gegen § 25 TDDDG und die DSGVO. Sie brauchen eine aktive, informierte Einwilligung mit gleichwertiger Ablehnmöglichkeit.

Ist der Google Tag Manager einwilligungspflichtig?

Ja. Das VG Hannover hat 2025 bestätigt, dass der Google Tag Manager selbst einwilligungspflichtig ist, da er dem Interesse des Betreibers dient und Daten an Google-Server übermittelt. Laden Sie den GTM erst nach Einwilligung.

Was ist die Einwilligungsverwaltungsverordnung (EinwV)?

Die EinwV ist seit April 2025 in Kraft und regelt sogenannte PIMS -- Dienste zur Einwilligungsverwaltung. Nutzer können ihre Cookie-Präferenzen zentral verwalten. Die Nutzung ist für Website-Betreiber allerdings freiwillig. Cookie-Banner bleiben deshalb weiterhin Pflicht.

Cookie-Banner-Compliance für Hamburger Websites

Der HmbBfDI prüft aktiv Websites Hamburger Unternehmen auf korrekte Cookie-Banner und Consent-Management – und hat bereits Bußgelder bei fehlenden Ablehnmöglichkeiten verhängt. Besonders E-Commerce-Unternehmen in der Hansestadt stehen im Fokus. Für einen rechtskonformen Cookie-Banner unterstützen wir Sie als BSI-Grundschutz-Beratung in Hamburg.