DSGVO & Cookie-Banner: Was deine Website wirklich braucht
Cookie-Banner nerven – aber sind sie wirklich nötig? Und wenn ja: Wie richtest du sie richtig ein, ohne deine Besucher zu vergraulen? In diesem Guide erfährst du, was die DSGVO für deine Website bedeutet, wann du einen Cookie-Banner brauchst und wie du rechtssicher bleibst, ohne zu übertreiben.
Die Grundlagen: DSGVO, ePrivacy und TTDSG
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) regelt seit 2018, wie Unternehmen in der EU personenbezogene Daten verarbeiten dürfen. Sie gilt für alle Websites, die von EU-Bürgern besucht werden – also praktisch jede deutsche Website.
Was ist das TTDSG?
Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) von 2021 konkretisiert, wann du für Cookies eine Einwilligung brauchst. Kurz gesagt: Für alle Cookies, die nicht "technisch notwendig" sind.
Wann brauchst du einen Cookie-Banner?
Du brauchst KEINEN Cookie-Banner, wenn:
- Du nur technisch notwendige Cookies nutzt (Session, Warenkorb, Login)
- Du keine Tracking-Tools wie Google Analytics verwendest
- Du keine eingebetteten Inhalte (YouTube, Google Maps) hast
- Du keine Werbung schaltest
Wichtig: Ein einfacher Hinweis "Diese Website verwendet Cookies" ohne Auswahlmöglichkeit reicht NICHT! Das war vor der DSGVO Standard, ist heute aber rechtswidrig.
Du BRAUCHST einen Cookie-Banner mit Einwilligung, wenn:
- Du Google Analytics, Matomo oder ähnliche Tracking-Tools nutzt
- Du YouTube-Videos, Google Maps oder Social-Media-Plugins einbindest
- Du Facebook Pixel, Google Ads Conversion Tracking oder ähnliches nutzt
- Du Marketing-Automation-Tools einsetzt
Die häufigsten Fehler bei Cookie-Bannern
Fehler 1: Keine echte Wahl
"Alle akzeptieren" ist groß und bunt, "Ablehnen" ist klein und grau. Das ist ein "Dark Pattern" und rechtlich fragwürdig.
Richtig: Gleichwertige Buttons für "Akzeptieren" und "Ablehnen".
Fehler 2: Pre-checked Checkboxes
Cookies sind standardmäßig aktiviert und müssen aktiv abgewählt werden. Das ist nicht erlaubt.
Richtig: Opt-in, nicht Opt-out. Alle nicht-notwendigen Cookies sind standardmäßig deaktiviert.
Fehler 3: Cookie-Wall
"Akzeptiere alle Cookies oder du kannst die Seite nicht nutzen." Das ist in den meisten Fällen nicht zulässig.
Richtig: Die Website muss auch ohne Marketing-Cookies nutzbar sein.
Fehler 4: Keine Widerrufsmöglichkeit
Einmal zugestimmt, immer zugestimmt? Nein! Nutzer müssen ihre Einwilligung jederzeit widerrufen können.
Richtig: Cookie-Einstellungen im Footer verlinken, wo Nutzer ihre Wahl ändern können.
So richtest du einen korrekten Cookie-Banner ein
Option 1: DIY mit JavaScript
Für technisch versierte: Selbst programmieren. Vorteil: Volle Kontrolle, keine externen Dienste. Nachteil: Aufwendig, muss regelmäßig aktualisiert werden.
Option 2: Cookie-Consent-Tools
Empfehlung für die meisten Unternehmen:
| Tool | Kosten | Besonderheiten |
|---|---|---|
| Borlabs Cookie | ab 39€/Jahr | WordPress-Plugin, DSGVO-konform, deutscher Anbieter |
| Cookiebot | ab 0€ (bis 100 Seiten) | Automatische Cookie-Erkennung, international etabliert |
| Usercentrics | ab 8€/Monat | Umfangreich, für größere Websites |
| Complianz | ab 45€/Jahr | WordPress-Plugin, gutes Preis-Leistung |
Die wichtigsten Pflichtseiten
Impressum
Jede geschäftliche Website braucht ein Impressum mit:
- Vollständiger Name/Firmenname
- Anschrift (kein Postfach)
- Kontaktdaten (E-Mail, Telefon)
- Bei GmbH: Handelsregister, Geschäftsführer
- Umsatzsteuer-ID (falls vorhanden)
Datenschutzerklärung
Muss alle Datenverarbeitungen auf deiner Website erklären:
- Welche Daten werden erhoben?
- Warum werden sie erhoben? (Rechtsgrundlage)
- Wer erhält die Daten? (Drittanbieter)
- Wie lange werden sie gespeichert?
- Welche Rechte haben Nutzer?
Tipp: Datenschutz-Generatoren wie von der Deutschen Gesellschaft für Datenschutz oder e-recht24 helfen bei der Erstellung.
Google Analytics DSGVO-konform nutzen
Google Analytics ist das meistgenutzte Analyse-Tool – aber auch das problematischste für den Datenschutz:
Minimale Anforderungen:
- Einwilligung einholen: Vor dem Setzen des Analytics-Cookies
- IP-Anonymisierung: Bei GA4 standardmäßig aktiv
- Auftragsverarbeitungsvertrag: Mit Google abschließen
- In Datenschutzerklärung aufführen: Mit Opt-out-Möglichkeit
Alternative: Matomo
Matomo (früher Piwik) ist eine datenschutzfreundliche Alternative:
- Kann selbst gehostet werden (keine Daten an Dritte)
- Mit Cookie-losem Tracking möglich
- Ohne Einwilligung nutzbar (bei korrekter Konfiguration)
Eingebettete Inhalte richtig handhaben
YouTube-Videos
YouTube setzt Cookies beim Einbetten. Lösung:
- Option 1: Erst nach Cookie-Einwilligung laden (2-Klick-Lösung)
- Option 2: youtube-nocookie.com verwenden (weniger Cookies)
- Option 3: Nur Vorschaubild zeigen, Video öffnet auf YouTube
Google Maps
Auch Google Maps setzt Tracking-Cookies. Alternativen:
- Erst nach Einwilligung laden
- Statisches Bild der Karte mit Link zu Google Maps
- OpenStreetMap nutzen (datenschutzfreundlicher)
Was passiert bei Verstößen?
Die Risiken sind real:
- Abmahnungen: Wettbewerber oder Abmahnvereine können kostenpflichtig abmahnen (300-1.500€)
- Bußgelder: Die Datenschutzbehörden können Bußgelder verhängen (bis 4% des Jahresumsatzes)
- Schadensersatz: Betroffene können Schadensersatz fordern
In der Praxis: Kleine Unternehmen erhalten meist Verwarnungen statt Bußgelder – aber Abmahnungen sind ein reales Risiko.
FAQ: Häufige Fragen zu DSGVO & Cookies
Brauche ich für meine kleine Firmenwebsite wirklich das alles?
Impressum und Datenschutzerklärung: Ja, immer. Cookie-Banner: Nur wenn du Tracking oder externe Dienste nutzt. Viele kleine Websites können mit einer einfachen Lösung ohne Cookie-Banner auskommen.
Gilt die DSGVO auch für Vereine?
Ja, die DSGVO gilt für alle Organisationen, die personenbezogene Daten verarbeiten – auch Vereine, Freiberufler und Kleinunternehmer.
Was sind "technisch notwendige" Cookies?
Cookies, ohne die die Website nicht funktioniert: Session-Cookies für Logins, Warenkorb-Cookies für Shops, Sprach-Einstellungen. Diese brauchen keine Einwilligung.
Kann ich einfach Google Analytics weglassen?
Ja! Für viele kleine Websites reicht die Webserver-Statistik oder datenschutzfreundliche Alternativen wie Plausible oder Fathom.
Wie oft muss ich meine Datenschutzerklärung aktualisieren?
Bei jeder Änderung der Datenverarbeitung – neues Tool, neuer Dienst, neue Funktion. Mindestens einmal jährlich prüfen.
Muss der Cookie-Banner bei jedem Besuch erscheinen?
Nein, nur beim ersten Besuch. Die Einwilligung wird in einem Cookie gespeichert (ironischerweise). Der Banner sollte aber nach ~12 Monaten erneut erscheinen.
Was ist mit Social-Media-Buttons?
Klassische "Teilen"-Buttons von Facebook & Co. setzen Tracking-Cookies beim Laden. Datenschutzfreundliche Alternative: Shariff (lädt erst bei Klick).
Brauche ich einen Datenschutzbeauftragten?
Nur wenn du mehr als 20 Mitarbeiter hast, die regelmäßig mit personenbezogenen Daten arbeiten – oder besonders sensible Daten verarbeitest (Gesundheitsdaten, etc.).
Glossar: Wichtige Begriffe erklärt
DSGVO (Datenschutz-Grundverordnung): EU-weite Verordnung zum Schutz personenbezogener Daten, seit Mai 2018 in Kraft.
TTDSG: Deutsches Gesetz, das regelt, wann für Cookies eine Einwilligung nötig ist. Seit Dezember 2021 in Kraft.
Cookie: Kleine Textdatei, die im Browser gespeichert wird. Kann harmlos (Warenkorb) oder problematisch (Tracking) sein.
Einwilligung (Consent): Die aktive Zustimmung des Nutzers zur Datenverarbeitung. Muss freiwillig, informiert und eindeutig sein.
Auftragsverarbeitung: Wenn ein Dritter (z.B. Google) in deinem Auftrag Daten verarbeitet. Erfordert einen Vertrag (AV-Vertrag).
Dark Patterns: Manipulative Design-Techniken, die Nutzer zu ungewollten Handlungen verleiten – bei Cookie-Bannern oft problematisch.
Opt-in: Der Nutzer muss aktiv zustimmen. Gegenteil: Opt-out (muss aktiv ablehnen).
Website rechtssicher machen?
TwoPixels hilft dir, deine Website DSGVO-konform zu gestalten – ohne übertriebene Cookie-Banner, die Besucher vergraulen. Wir finden die pragmatische Lösung, die rechtlich sicher ist und trotzdem benutzerfreundlich.
Datenschutz-Check anfragen