Cookie-Banner 2025 — was die aktuelle Rechtslage für Dich ändert

Kaum ein Thema nervt Webseitenbetreiber so zuverlässig wie Cookie-Banner. Sie sind hässlich, sie bremsen die User Experience, und kaum glaubt man, eine rechtssichere Lösung gefunden zu haben, kommt das nächste Urteil um die Ecke. 2025 ist so ein Jahr: Mit dem TDDDG als Nachfolger des TTDSG, einer überarbeiteten Handlungsempfehlung der Datenschutzkonferenz (DSK) und frischen Gerichtsentscheidungen zur Banner-Gestaltung hat sich einiges getan.

Wir sind MOLOTOW Web Development aus Lahr im Schwarzwald, geführt vom zertifizierten KI-Manager Thorsten Heß. In diesem Beitrag räumen wir auf mit halbgaren Annahmen und zeigen Dir, was ein Consent-Banner heute wirklich erfüllen muss — pragmatisch, ohne Panikmache und mit klaren Handlungsempfehlungen.

Was ist das TDDDG und was hat sich geändert?

Seit dem 14. Mai 2024 heißt das frühere TTDSG offiziell TDDDG — Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. Die Umbenennung ging im Rahmen des Digitale-Dienste-Gesetzes durch, inhaltlich sind die für Dich wichtigen Regelungen aber geblieben: § 25 TDDDG setzt Artikel 5 Absatz 3 der ePrivacy-Richtlinie um und verlangt eine aktive Einwilligung, bevor Du auf dem Endgerät Deiner Besucher Informationen speicherst oder ausliest — egal ob in Cookies, LocalStorage oder Pixel-Tags.

Ausnahmen gibt es nur für technisch unbedingt erforderliche Speicherungen, etwa den Warenkorb eines Online-Shops oder die Session-ID beim Login. Alles, was Marketing, Tracking, Retargeting oder Statistik macht, braucht eine Einwilligung. Auch wenn der Anbieter beteuert, „anonym” zu arbeiten.

Die DSK-Handlungsempfehlung: der Maßstab der Aufsicht

Die Datenschutzkonferenz — also das Gremium aller deutschen Landesdatenschutzbehörden — hat im November 2024 ihre „Orientierungshilfe für Anbieter digitaler Dienste” in Version 1.2 aktualisiert. Dieses Dokument ist zwar kein Gesetz, aber die Behörden richten sich in ihrer Aufsichtspraxis danach. Wer es ignoriert, provoziert Ärger.

Die Kernaussagen lauten:

• Ablehnen muss genauso einfach sein wie Annehmen. Gibt es einen „Alles akzeptieren”-Button auf der ersten Ebene, muss dort auch ein gleichwertiger „Alles ablehnen”-Button stehen. Gleiche Farbe, gleiche Größe, gleiche Position.
• Keine Dark Patterns. Kein grüner Akzeptieren-Button neben einem grauen Ablehnen-Link. Keine vorausgewählten Checkboxen. Keine versteckten „Einstellungen”-Menüs, in denen man den Ablehnen-Knopf erst suchen muss.
• Granulare Kontrolle auf Kategorie-Ebene muss möglich sein — mindestens Statistik, Marketing und externe Medien getrennt wählbar.
• Einwilligung ist freiwillig. Kein Zwang, zustimmen zu müssen, um die Seite überhaupt lesen zu können (sogenannte „Cookie-Walls”), außer in engen Ausnahmen mit echter Alternative.
• Widerruf so einfach wie die Einwilligung. Im Footer muss ein Link sein, über den Besucher ihre Entscheidung jederzeit ändern können.

Aktuelle Rechtsprechung: Der „Alles ablehnen”-Button ist Pflicht

2024 und 2025 haben mehrere Gerichte klargestellt, was die Aufsicht seit Jahren predigt. Das VG Hannover entschied im März 2025, dass ein Consent-Banner ohne gleichwertigen Ablehnen-Button auf der ersten Ebene rechtswidrig ist. Schon vorher hatte das OLG Köln bestätigt, dass Banner, die Nutzer psychologisch in Richtung Zustimmung drängen, keine wirksame Einwilligung erzeugen — mit der Konsequenz, dass alle darauf basierenden Einwilligungen ungültig sind.

Auch der EuGH hatte mit der Planet49-Entscheidung schon 2019 vorgelegt: Vorausgewählte Häkchen sind keine Einwilligung. Wer das heute noch macht, braucht sich über Abmahnungen nicht zu wundern.

Welche Tools funktionieren?

Wir haben in den letzten Jahren diverse Consent-Tools eingesetzt. Drei können wir aus der Praxis empfehlen:

Borlabs Cookie (WordPress)

Der Platzhirsch im deutschen WordPress-Umfeld. Gut gepflegt, vollständig DSGVO-orientiert, mit Content-Blocker für YouTube, Google Maps & Co. Kostet ab ca. 39 Euro pro Jahr pro Domain. Für normale KMU-Websites unsere Standardempfehlung.

Klaro!

Open Source (BSD-3-Lizenz), entwickelt von KIProtect in Berlin, ca. 30 KB klein. Kein Abo, keine Cloud, selbst gehostet. Ideal für Jamstack-Sites und alle, die keine WordPress-Umgebung haben. Diesen Blog hier betreiben wir selbst mit Klaro.

Cookiebot / Usercentrics

Die „Enterprise”-Lösung mit automatischem Cookie-Scanner und Zertifikaten. Teurer und mit Cloud-Abhängigkeit, aber bei vielen Drittanbieter-Integrationen komfortabler. Für Konzerne und große Shops sinnvoll, für den Handwerksbetrieb überdimensioniert.

Welches Tool zu Dir passt, besprechen wir am besten in einer kurzen Beratung.

Die fünf häufigsten Fehler

Aus den Audits, die wir regelmäßig für Kunden machen, sehen wir immer wieder dieselben Baustellen:

1. Scripts laden, bevor die Einwilligung steht. Google Tag Manager, Analytics oder Meta-Pixel feuern schon im <head>, bevor der Banner überhaupt angezeigt wird. Das ist nach § 25 TDDDG ein klarer Verstoß.
2. „Weitersurfen gilt als Zustimmung”. Diese Formel ist seit Planet49 tot. Eine aktive Handlung ist Pflicht.
3. Ablehnen erst auf der zweiten Ebene. Nach aktueller Rechtsprechung eine ungültige Einwilligung — mit allen Folgen für darauf gestützte Verarbeitungen.
4. Keine Möglichkeit zum Widerruf. Der Footer-Link „Cookie-Einstellungen ändern” fehlt oder ist so klein, dass man ihn nicht findet.
5. Datenschutzerklärung passt nicht zum Banner. Im Banner tauchen Dienste auf, die in der Erklärung nicht stehen — oder umgekehrt. Beides ist ein klassischer Prüfpunkt der Aufsichtsbehörden.

Häufige Fragen

Brauche ich überhaupt einen Cookie-Banner?

Nur, wenn Du nicht-essenzielle Cookies oder Tracking einsetzt. Eine reine Visitenkarten-Seite ohne Analytics, ohne Google Maps, ohne YouTube-Einbettungen braucht keinen Banner. Sobald aber Google Fonts dynamisch geladen werden oder ein Matomo mit Cookie aktiv ist, brauchst Du eine Einwilligung.

Ist Matomo ohne Cookies einwilligungsfrei?

Matomo im Cookieless-Modus mit IP-Anonymisierung und ohne Fingerprinting gilt nach Auffassung mehrerer Landesdatenschutzbehörden als einwilligungsfrei — wenn Du es konsequent datenschutzfreundlich konfigurierst. Die DSK ist hier etwas strenger; im Zweifel ist ein schlichter Hinweis in der Datenschutzerklärung die sicherste Variante.

Darf ich Google Analytics noch einsetzen?

Ja, aber nur mit aktiver Einwilligung vor dem ersten Request und nach vollständiger Information in der Datenschutzerklärung. Zusätzlich solltest Du das Schrems-II-Thema im Blick behalten und IP-Anonymisierung aktivieren. Einfacher wird es nicht.

Was passiert, wenn ich einen rechtswidrigen Banner habe?

Es gibt drei Szenarien: Abmahnungen von Mitbewerbern oder Verbraucherschützern, Beschwerden bei der Landesdatenschutzbehörde mit möglichen Bußgeldern (die können in die Hunderttausende gehen), und zivilrechtliche Schadensersatzforderungen einzelner Betroffener. In der Praxis der letzten Jahre dominieren Abmahnungen und behördliche Anhörungen.

Fazit

Cookie-Banner bleiben lästig, aber die Regeln sind 2025 klarer denn je: gleichwertiger Ablehnen-Button auf der ersten Ebene, keine Dark Patterns, aktive Einwilligung vor dem ersten Tracking-Request und ein jederzeit erreichbarer Widerruf. Wer sich daran hält, ist auf der sicheren Seite. Wer es ignoriert, riskiert Bußgelder und Abmahnungen — beides vermeidbar. Wir bauen Dir einen sauberen Banner ein, der rechtlich hält und optisch nicht nervt. Schreib uns über unser Kontaktformular oder sieh Dir unsere Leistungen unter Sicher im Netz an.

---

Dieser Beitrag ist keine Rechtsberatung. Für verbindliche Auskünfte zu Deinem konkreten Fall wende Dich bitte an einen Fachanwalt oder eine spezialisierte Rechtsberatung.

---

Stand: April 2026. Rechtslage und technische Empfehlungen können sich kurzfristig ändern — wir aktualisieren diesen Beitrag bei relevanten Neuerungen.