Zum Inhalt springen
← Zurück zum Blog
DSGVO Datenschutz Cookies

DSGVO-Cookies richtig: Tracking erst nach Einwilligung

Von René Pannier ·

Fast jede Website nutzt Cookies oder Tracking-Tools, für Statistik, Marketing oder eingebettete Inhalte. Doch viele Cookie-Banner sind rechtlich angreifbar, weil sie laden, was sie nicht dürfen, oder Nutzer zur Zustimmung drängen. Das kann teuer werden. Hier erfährst du, wie du es richtig machst.

Die Rechtslage ist eindeutig: Für alle Cookies und Dienste, die nicht technisch notwendig sind, brauchst du die aktive, informierte Einwilligung der Nutzer, bevor sie geladen werden. Das ergibt sich aus DSGVO und dem TDDDG (ehemals TTDSG). Technisch notwendige Cookies (z. B. für den Warenkorb) sind ausgenommen, Analyse- und Marketing-Tools dagegen nicht.

Die häufigsten Fehler

1. Tracking vor Einwilligung

Der häufigste und gefährlichste Fehler: Analyse- oder Marketing-Tools (Google Analytics, Meta-Pixel, Maps, YouTube-Einbettungen) laden bereits beim Seitenaufruf, noch bevor der Nutzer zugestimmt hat. Das ist unzulässig. Solche Dienste dürfen erst nach aktiver Einwilligung starten.

2. Dark Patterns

Viele Banner manipulieren: Der „Alles akzeptieren”-Button ist groß und bunt, „Ablehnen” ist versteckt, grau oder erst nach mehreren Klicks erreichbar. Das widerspricht der Anforderung, dass eine Einwilligung freiwillig sein muss. Ablehnen muss genauso einfach sein wie Zustimmen.

3. Fehlende oder unklare Informationen

Nutzer müssen wissen, welche Dienste zu welchem Zweck Daten verarbeiten und wie lange. Pauschale Banner ohne diese Angaben sind nicht zulässig.

4. „Weitersurfen gilt als Zustimmung”

Eine Einwilligung durch bloßes Scrollen oder Weiterklicken ist unwirksam. Es braucht eine aktive Handlung.

So machst du es richtig, die Checkliste

  1. Erst fragen, dann laden: Alle nicht notwendigen Dienste werden erst nach aktiver Einwilligung aktiviert.
  2. Gleichwertige Wahl: „Ablehnen” ist genauso sichtbar und leicht erreichbar wie „Akzeptieren”.
  3. Granular: Nutzer können einzelne Kategorien (Statistik, Marketing) getrennt zulassen.
  4. Transparent: Klare Angaben zu Diensten, Zwecken und Speicherdauer.
  5. Widerruf möglich: Die Einwilligung lässt sich jederzeit so einfach widerrufen wie erteilen.
  6. Dokumentiert: Einwilligungen werden nachvollziehbar gespeichert.
  7. Regelmäßig geprüft: Neue Plugins oder Einbindungen können unbemerkt neue Tracker mitbringen.

Versteckte Tracker erkennen

Ein häufiges Problem: Du hast ein sauberes Banner, aber irgendein Plugin oder eine eingebettete Schriftart, Karte oder Video lädt trotzdem Daten an Dritte, bevor zugestimmt wurde. Solche „blinden Flecken” findest du nur durch einen technischen Scan, der die Seite wie ein echter Besucher aufruft und prüft, was vor der Einwilligung passiert.

Genau hier setzt unser automatischer DSGVO-/Cookie-Scan an: Er erkennt Tracking vor Einwilligung, verdächtige Muster und fehlende Pflichtseiten, als Teil unserer Care-&-Compliance-Pläne.

Was kostet ein Verstoß?

Datenschutzverstöße können von Aufsichtsbehörden mit empfindlichen Bußgeldern geahndet werden. Häufiger und schneller schmerzhaft sind aber Abmahnungen durch Mitbewerber oder Verbände, die oft mit Kosten und einer Unterlassungserklärung einhergehen. Beides lässt sich mit einer sauberen Umsetzung vermeiden.

Welche Cookies sind technisch notwendig?

Eine häufige Unsicherheit: Was darf eigentlich ohne Einwilligung laden? Technisch notwendig sind nur Cookies, ohne die die Website nicht funktioniert, etwa für den Warenkorb, das Login oder die Speicherung der Cookie-Auswahl selbst. Alles, was der Reichweitenmessung, dem Marketing oder dem Komfort dient (z. B. Analyse, Retargeting, eingebettete Videos), ist nicht notwendig und braucht eine Einwilligung.

Ein Consent-Management-Tool (CMP) hilft, Einwilligungen sauber einzuholen und zu dokumentieren. Bei der Wahl solltest du darauf achten, dass es:

  • Dienste wirklich blockiert, bis zugestimmt wurde (nicht nur ein Banner anzeigt),
  • eine gleichwertige Ablehnen-Option bietet,
  • granular nach Kategorien funktioniert,
  • die Einwilligung revisionssicher protokolliert,
  • selbst datenschutzfreundlich ist (idealerweise ohne US-Datentransfer).

Schritt für Schritt: dein Banner prüfen

  1. Öffne deine Seite im privaten Fenster und den Entwicklertools (Reiter „Netzwerk”).
  2. Lade die Seite, ohne etwas anzuklicken.
  3. Prüfe, ob bereits Verbindungen zu Analyse- oder Marketing-Diensten aufgebaut werden.
  4. Wenn ja, lädt etwas zu früh, das muss hinter die Einwilligung.
  5. Teste anschließend „Ablehnen”: Es darf danach kein Tracking starten.

Das deckt die offensichtlichen Fälle ab. Versteckte Tracker in Plugins oder eingebetteten Inhalten findet ein gründlicher, automatisierter Scan zuverlässiger.

Häufige Fragen zu Cookies und Einwilligung

Brauche ich überhaupt ein Banner, wenn ich nur Google Fonts nutze? Wenn die Schriften extern von Google geladen werden, wird die IP-Adresse der Besucher übertragen, das ist zustimmungs- oder zumindest hinweispflichtig. Am saubersten ist es, Schriften lokal einzubinden, dann entfällt das Problem.

Reicht „berechtigtes Interesse” als Rechtsgrundlage für Analyse? In aller Regel nicht. Für Tracking- und Marketing-Cookies ist die aktive Einwilligung der Nutzer erforderlich. „Berechtigtes Interesse” trägt hier meist nicht.

Muss ich Einwilligungen dokumentieren? Ja. Du musst im Zweifel nachweisen können, dass und wie eine Einwilligung erteilt wurde. Ein gutes Consent-Tool übernimmt das automatisch.

Wie oft sollte ich mein Setup prüfen? Mindestens nach jeder größeren Änderung an der Website und ansonsten regelmäßig, neue Plugins oder eingebettete Inhalte schleusen schnell unbemerkt neue Tracker ein.

Weniger ist mehr: Tracking bewusst reduzieren

Ein oft übersehener Ansatz: Statt jedes erdenkliche Tool einzubauen und mühsam abzusichern, lohnt sich die Frage, was du wirklich brauchst. Viele Websites schleppen über Jahre Tracking-Skripte mit, deren Daten nie jemand auswertet. Jedes dieser Skripte ist ein Datenschutzrisiko, ein Tempobremser und ein weiterer Punkt auf der Liste, die du pflegen musst.

Wer bewusst auf datenschutzfreundliche, in der EU gehostete Analyse setzt und auf unnötige Marketing-Pixel verzichtet, vereinfacht nicht nur die rechtliche Lage, sondern macht die Website schneller und schlanker. Das ist gelebte Datensparsamkeit, und sie zahlt gleichzeitig auf Performance, Datenschutz und Nutzervertrauen ein. Im Zweifel gilt: Lieber wenige Dienste sauber einsetzen als viele halbherzig absichern.

Fazit

Ein korrektes Cookie-Management ist kein Hexenwerk, aber Detailarbeit. Wer „erst fragen, dann laden” konsequent umsetzt, eine faire Auswahl bietet und regelmäßig prüft, ist auf der sicheren Seite, und respektiert obendrein die Privatsphäre seiner Besucher. Das schützt nicht nur vor Abmahnungen, sondern stärkt auch das Vertrauen deiner Kunden, ein Gewinn, der sich gleich doppelt auszahlt.

Unsicher, ob dein Banner sauber ist? Starte mit dem kostenlosen Check oder lies unsere DSGVO-Checkliste 2026 für den kompletten Überblick.

Fragen zu diesem Thema?

Wir unterstützen dich konkret bei Website, Hosting, Barrierefreiheit und Datenschutz, persönlich und verständlich.

Projekt anfragen Für Agenturen