Cookie-Consent bedeutet, dass kein Tracking-Script geladen werden darf, bevor der Nutzer aktiv eingewilligt hat. Das TTDSG (Paragraph 25) und die DSGVO machen diese Einwilligung zur Pflicht für jede Website, die nicht-notwendige Cookies oder vergleichbare Technologien einsetzt. Die Datenschutzkonferenz (DSK) hat 2024 zusätzlich klargestellt, dass Dark Patterns in Cookie-Bannern rechtswidrig sind. Seit Februar 2024 verlangt Google zudem den Consent Mode v2 für alle Werbetreibenden im EWR.
Rechtlicher Rahmen: TTDSG und DSGVO im Zusammenspiel
Das TTDSG regelt seit Dezember 2021 den Zugriff auf Endgeräte. Paragraph 25 Absatz 1 TTDSG verlangt eine Einwilligung, bevor Informationen auf dem Endgerät gespeichert oder ausgelesen werden. Das betrifft nicht nur Cookies, sondern auch Local Storage, Fingerprinting und ähnliche Technologien.
Die DSGVO greift ergänzend, sobald personenbezogene Daten verarbeitet werden. In der Praxis bedeutet das: Nahezu jedes Analytics-Tool und jedes Marketing-Pixel benötigt eine informierte, freiwillige Einwilligung. Ausgenommen sind nur technisch notwendige Cookies, etwa für den Warenkorb oder die Session-Verwaltung. Mehr zu den rechtlichen Grundlagen finden Sie im Beitrag zu DSGVO-konformer Webentwicklung .
Cookie-Kategorien: Was ist notwendig, was nicht?
Ein sauberes Consent-System unterscheidet mindestens drei Kategorien. Diese Einteilung ist nicht nur rechtlich relevant, sondern bestimmt auch die technische Implementierung: Welche Scripts werden sofort geladen, welche erst nach Einwilligung?
- Notwendige Cookies: Session-IDs, CSRF-Tokens, Spracheinstellungen, Warenkorb. Diese dürfen ohne Einwilligung gesetzt werden.
- Statistik/Analyse: Google Analytics, Matomo, Hotjar. Erfordern Einwilligung, es sei denn, sie sind vollständig anonymisiert und serverseitig (z.B. Matomo ohne Cookies).
- Marketing/Tracking: Google Ads, Meta Pixel, LinkedIn Insight Tag. Erfordern immer eine aktive Einwilligung.
- Externe Medien: YouTube-Embeds, Google Maps, Social-Media-Widgets. Laden oft Tracking-Cookies nach und benötigen daher ebenfalls Consent.
Dark Patterns: Was die DSK verbietet
Die DSK-Orientierungshilfe von 2024 stellt unmissverständlich klar: Cookie-Banner dürfen Nutzer nicht manipulieren. In der Praxis werden trotzdem zahlreiche Websites mit problematischen Mustern betrieben.
- Kein gleichwertiger Ablehnungsbutton: Der Button zum Ablehnen muss genauso sichtbar und zugänglich sein wie der zum Akzeptieren. Versteckte Links oder kleine Textlinks reichen nicht.
- Vorausgewählte Checkboxen: Alle nicht-notwendigen Kategorien müssen standardmäßig deaktiviert sein.
- Wiederholtes Nachfragen: Wer ablehnt, darf nicht bei jedem Seitenaufruf erneut gefragt werden.
- Irreführende Farbgebung: Der Akzeptieren-Button darf nicht visuell dominant gestaltet sein, während der Ablehnen-Button ausgegraut wirkt.
- Fehlende Widerrufmöglichkeit: Nutzer müssen ihre Einwilligung jederzeit zurücknehmen können.
Technische Implementierung: Consent vor Script
Der zentrale technische Grundsatz lautet: Kein nicht-notwendiges Script darf vor der Einwilligung geladen werden. Das bedeutet, dass Google Analytics, das Meta Pixel und alle anderen Tracking-Scripts nicht im HTML stehen dürfen, sondern erst nach positivem Consent dynamisch injiziert werden.
Consent Management Platforms (CMPs) wie Cookiebot, Usercentrics oder Klaro übernehmen diese Steuerung. Sie blockieren Scripts standardmäßig und geben sie erst nach Einwilligung frei. Alternativ lässt sich ein eigenes System implementieren, bei dem Scripts über das type-Attribut blockiert werden (type="text/plain" statt type="text/javascript") und nach Consent dynamisch aktiviert werden.
Wichtig ist dabei die Integration mit dem Google Tag Manager. Seit Februar 2024 verlangt Google den Consent Mode v2 für alle Werbetreibenden im EWR. Ohne korrekte Consent-Signale erhält Google Ads keine Conversion-Daten mehr. Der Consent Mode sendet zwei Signale: ad_storage und analytics_storage, jeweils mit dem Wert "granted" oder "denied". Die technischen Details zur DSGVO-konformen Formularen können als Grundlage für die Consent-Implementierung dienen.
CMP vs. Custom-Lösung: Was lohnt sich für KMU?
Für die meisten KMU-Websites ist eine etablierte CMP die pragmatischere Wahl. Lösungen wie Cookiebot (ab ca. 12 Euro/Monat) oder Usercentrics bieten automatische Cookie-Scans, rechtskonforme Templates, Consent-Logging und Integration mit dem Google Consent Mode. Der Zeitaufwand für die Einrichtung liegt bei 2 bis 4 Stunden.
Eine Custom-Lösung lohnt sich nur, wenn besondere Anforderungen bestehen: sehr hohe Seitenaufrufe (CMP-Kosten steigen mit Traffic), spezielle UX-Anforderungen oder ein bestehendes Tag-Management-System. Der Entwicklungsaufwand liegt dann bei 15 bis 30 Stunden, zuzüglich laufender Wartung bei Rechtsänderungen.
Fazit: Consent ist keine UX-Frage, sondern eine technische Pflicht
Cookie-Consent ist ein technisch-rechtliches Thema, das bei jeder Website von Anfang an mitgedacht werden muss. Die Anforderungen sind klar: keine Dark Patterns, keine vorausgewählten Optionen, kein Tracking ohne Einwilligung, Consent Mode v2 für Google-Dienste. Wer diese Grundlagen beachtet, schützt sich vor Abmahnungen und schafft gleichzeitig Vertrauen bei den Nutzern.
Für KMU empfiehlt sich eine etablierte CMP, die korrekt konfiguriert und regelmäßig geprüft wird. Technik, Recht und Nutzererfahrung müssen dabei als Einheit betrachtet werden.
