DSGVO-konforme Website: Cookies, Tracking und Rechtstexte

Cookie-Banner, Tracking und Rechtstexte sind kein Selbstzweck – entscheidend ist, welche Dienste eine Website wirklich lädt und wann dafür eine Einwilligung nötig ist.

Der Brief kommt an einem Dienstag: Abmahnung, 1.200 Euro, Unterlassungserklärung im Anhang. Vorwurf: Auf der Website des Handwerksbetriebs lädt Google Analytics, bevor irgendjemand zugestimmt hat, und der Ablehnen-Button versteckt sich hinter „Einstellungen". Der Chef hatte das Banner vor zwei Jahren von der Agentur einbauen lassen und nie wieder angeschaut.

Kurz gesagt: Die Rechtslage ist klarer, als der Nebel vermuten lässt. Die DSGVO regelt, ob personenbezogene Daten verarbeitet werden dürfen; § 25 TDDDG regelt, ob überhaupt auf das Endgerät zugegriffen werden darf. Aus diesen zwei Sätzen ergibt sich alles Weitere – auch die Frage, ob eine Website überhaupt ein Banner braucht. Dieser Beitrag zeigt die Anforderungen, die typischen Abmahnfallen, die technische Umsetzung in Contao mit Code und die Alternativen zum klassischen Tracking. Er ersetzt keine Rechtsberatung.

DSGVO oder TDDDG? Zwei Gesetze, zwei Fragen

Beide, und sie regeln Unterschiedliches. Die DSGVO bestimmt, unter welchen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen – etwa IP-Adressen, Formulareingaben oder Nutzungsprofile. Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) hat im Mai 2024 das TTDSG abgelöst und regelt in § 25 den Zugriff auf Endgeräte: Wer Informationen auf dem Gerät eines Besuchers speichert oder ausliest – klassisch per Cookie, aber auch per Local Storage oder Fingerprinting –, benötigt eine Einwilligung.

Die einzige Ausnahme: Der Zugriff ist unbedingt erforderlich, um einen ausdrücklich gewünschten Dienst bereitzustellen. Ein Warenkorb, eine Session-Kennung oder die Speicherung der Cookie-Auswahl selbst fallen darunter. Reichweitenmessung, Marketing-Pixel oder eingebettete Karten tun das nicht. Der Bußgeldrahmen der DSGVO ist beachtlich – bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes –, praktisch relevanter sind für den Mittelstand jedoch Abmahnungen durch Wettbewerber und Verbände.

Die unterschätzte Frage: Braucht es überhaupt ein Banner?

Die überraschende Antwort lautet: nicht immer. Ein Banner ist nur dann erforderlich, wenn eine Website Dienste einsetzt, die eine Einwilligung brauchen. Ohne Einwilligung zulässig sind insbesondere:

  • technisch notwendige Cookies wie Session-Kennung, Warenkorb, Login oder Spam-Schutz eines Formulars;
  • die Speicherung der Consent-Entscheidung selbst;
  • serverseitige Zugriffsprotokolle im üblichen Umfang.

Einwilligungspflichtig sind dagegen Statistik- und Marketing-Werkzeuge, eingebettete Videos und Karten, Social-Media-Plugins, Chat-Widgets, A/B-Testing sowie extern geladene Schriften und Skripte. Wer auf all das verzichtet, kann tatsächlich bannerfrei arbeiten – eine Möglichkeit, die viele Unternehmensseiten unterschätzen. Häufig genügt eine Website ohne Tracking völlig, wenn Reichweite ohnehin über Suchmaschinen und Empfehlungen entsteht.

Der teure Klassiker: das versteckte „Ablehnen"

Gegenüberstellung: zulässige Banner-Gestaltung mit gleichwertigem Ablehnen-Button gegenüber abmahnriskanten Varianten wie verstecktem Ablehnen-Link.
Der häufigste Abmahngrund steckt in der ersten Ebene: „Alle ablehnen" muss gleichwertig sichtbar sein.

Hier liegt der häufigste Abmahngrund. Die Anforderungen ergeben sich aus DSGVO und TDDDG und wurden von Gerichten und Aufsichtsbehörden mehrfach konkretisiert:

  • Gleichwertiger Ablehnen-Button auf der ersten Ebene – gleich groß, gleich auffällig wie „Alle akzeptieren". Ein „Ablehnen" versteckt im Untermenü genügt nicht.
  • Keine Vorauswahl: nicht-notwendige Kategorien sind standardmäßig deaktiviert; vorangekreuzte Kästchen sind unwirksam.
  • Keine Skripte vor der Einwilligung: Tracking darf erst laden, nachdem zugestimmt wurde – „Weitersurfen gilt als Zustimmung" ist unzulässig.
  • Transparente Information: Zwecke, eingesetzte Dienste, Empfänger und Speicherdauer müssen erkennbar sein.
  • Widerruf jederzeit – ebenso einfach wie die Erteilung, etwa über einen dauerhaft erreichbaren Link im Footer.
  • Dokumentation: Einwilligungen sind nachweisbar zu protokollieren (Zeitpunkt, Version, Umfang).

Unzulässig sind zudem Dark Patterns: eingefärbte Zustimmungsbuttons neben blassen Ablehnen-Links, Endlos-Schleifen oder Banner, die sich nur durch Zustimmung schließen lassen.

Aus der Praxis: vier Datenabflüsse, drei davon überflüssig

Typisches Szenario – so verläuft ein solcher Fall in der Praxis; die Zahlen sind beispielhaft.

Ein Steuerberatungsbüro erhält eine Abmahnung wegen des Cookie-Banners. Die Netzwerkanalyse zeigt beim ersten Seitenaufruf, noch vor jeder Zustimmung: Google Fonts von einem externen Server, ein Analytics-Skript, ein Chat-Widget und eine eingebettete Karte. Vier Datenübertragungen, null Einwilligungen.

Das Aufräumen dauert einen halben Tag:

  • Schriften werden lokal eingebunden – der externe Aufruf entfällt ersatzlos, die Ladezeit sinkt nebenbei.
  • Analytics fliegt raus und wird durch ein cookieloses, selbst gehostetes Matomo mit gekürzter IP ersetzt.
  • Das Chat-Widget wird deaktiviert; die zwei Anfragen pro Monat kamen ohnehin per Formular.
  • Die Karte weicht einem statischen Vorschaubild mit Klick-Lösung.
  • Übrig bleibt ein Banner mit zwei gleichwertigen Buttons – nötig nur noch für die Karte.

Die eigentliche Erkenntnis liegt nicht im Banner, sondern davor: Drei von vier einwilligungspflichtigen Diensten brauchte niemand. Wer zuerst aufräumt und erst danach über Consent nachdenkt, spart sich Risiko, Ladezeit und die Diskussion über Button-Farben.

Einwilligungsverwaltung: viel Hoffnung, wenig Alltag

Seit dem 1. April 2025 gilt die Einwilligungsverwaltungsverordnung (EinwV). Damit entsteht die Grundlage für anerkannte Einwilligungsdienste, bei denen Präferenzen zentral hinterlegt werden – die Website müsste sie dann nur noch abfragen, statt ein eigenes Banner zu zeigen. Ein erster Dienst wurde Ende 2025 anerkannt.

Für die Praxis heißt das vorerst wenig: Es besteht keine Pflicht, solche Dienste einzubinden, und solange Besucher sie kaum nutzen, bleibt das eigene Banner notwendig. Die Verordnung ist ein Signal in Richtung weniger Banner-Ermüdung, aber keine Entwarnung. Wer heute plant, sollte auf eine saubere Consent-Lösung setzen, die sich später erweitern lässt.

Fünf Dienste, die regelmäßig Ärger machen

Fünf Klassiker verursachen den Großteil der Probleme:

  • Extern geladene Google Fonts: Beim Aufruf wandert die IP-Adresse zu Google. Das Landgericht München I sprach dafür bereits Schadenersatz zu – Abmahnwellen folgten. Lösung: Schriften lokal einbinden.
  • Google Analytics und Google Ads: nur nach Einwilligung; zusätzlich verlangt Google seit 2024 den Consent Mode v2, damit Daten aus dem EWR überhaupt verarbeitet werden dürfen.
  • YouTube- und Vimeo-Einbettungen: laden beim Seitenaufruf Daten – abhilfe schaffen eine Zwei-Klick-Lösung und der Modus ohne Cookies.
  • Google Maps: ebenfalls einwilligungspflichtig; oft genügt ein statisches Bild mit Link zur Karte.
  • Newsletter- und Chat-Tools: Double-Opt-in ist Pflicht, ein Auftragsverarbeitungsvertrag ebenfalls.

Hinzu kommt der Blick auf das Hosting: Server in Deutschland oder der EU vereinfachen vieles. Bei US-Anbietern ist die Übermittlung gesondert zu begründen.

Weniger messen, weniger Risiko

Ja, und sie sind oft die pragmatischere Wahl. Matomo lässt sich auf dem eigenen Server betreiben und so konfigurieren, dass keine Cookies gesetzt und IP-Adressen gekürzt werden. In dieser strengen Konfiguration kann eine Reichweitenmessung unter Umständen ohne Einwilligung erfolgen – pauschal zusichern lässt sich das allerdings nicht, entscheidend ist der Einzelfall. Ähnliche Wege bieten europäische Dienste wie etracker oder Piwik PRO.

Google Analytics 4 bleibt in der Praxis dagegen bannerpflichtig. Wer ohnehin nur wissen möchte, welche Seiten gefragt sind, kommt häufig mit serverseitigen Auswertungen und der Google Search Console aus – beides ohne Einwilligungsbedarf. Weniger Werkzeuge bedeuten zudem weniger Skripte, kürzere Ladezeiten und geringeres Risiko.

Datenschutzerklärung: Abbild der Technik, nicht Textbaustein

Die Datenschutzerklärung ist kein Textbaustein, sondern ein Abbild der tatsächlich eingesetzten Technik. Nach Artikel 13 DSGVO gehören hinein: Verantwortlicher und Kontaktdaten, Zwecke und Rechtsgrundlagen der Verarbeitung, Empfänger beziehungsweise Kategorien von Empfängern, geplante Speicherdauer, die Rechte der Betroffenen (Auskunft, Berichtigung, Löschung, Widerspruch, Datenübertragbarkeit) sowie das Beschwerderecht bei einer Aufsichtsbehörde.

Ebenso wichtig, aber häufig vergessen: Auftragsverarbeitungsverträge nach Artikel 28 DSGVO mit Hoster, Newsletter-Dienst, Consent-Tool und allen weiteren Dienstleistern. Dazu kommen technische und organisatorische Maßnahmen – TLS-Verschlüsselung, Zugriffsbeschränkungen im Backend, Zwei-Faktor-Authentifizierung, regelmäßige Updates und ein durchdachtes Backup-Konzept. Formulare erheben nur die Daten, die wirklich gebraucht werden; Pflichtfelder sind sparsam zu setzen.

Contao konkret: Skripte erst nach der Einwilligung

Contao bringt die Bausteine mit, es kommt auf die Konfiguration an:

  • Consent-Lösung einbinden (etwa eine Cookiebar-Erweiterung) und alle einwilligungspflichtigen Skripte darüber steuern – geladen wird erst nach Zustimmung.
  • Schriften lokal ausliefern statt über externe CDNs; das verbessert nebenbei die Ladezeit.
  • Videos und Karten über eine Klick-Lösung einbinden, Vorschaubild statt Auto-Embed.
  • Formulare prüfen: Datensparsamkeit, Einwilligungs-Checkbox mit klarem Text, Speicherdauer der Eingaben begrenzen, Benachrichtigungen verschlüsselt versenden.
  • Backend absichern: individuelle Konten statt Sammel-Logins, Zwei-Faktor-Authentifizierung, minimale Rechte je Redakteur.
  • Serverprotokolle und Zugriffs-Logs mit gekürzten IP-Adressen und begrenzter Aufbewahrung.

Ein sinnvoller Ablauf: erst inventarisieren, welche externen Dienste tatsächlich laden (die Netzwerkanalyse des Browsers zeigt es schonungslos), dann Überflüssiges entfernen, den Rest in die Consent-Steuerung überführen und die Datenschutzerklärung entsprechend anpassen.

Technisch läuft die Steuerung über einen Platzhalter: Das Skript wird nicht als src eingebunden, sondern erst nach der Einwilligung aktiviert. In Contao gelingt das mit wenigen Zeilen im Template:

<!-- Skript blockiert, bis eingewilligt wurde -->
<script type="text/plain" data-consent="statistik"
        src="/assets/matomo/matomo.js" defer></script>

<script>
// Nach Zustimmung: Platzhalter in echte Skripte umwandeln
document.addEventListener("consent:accepted", (e) => {
  document.querySelectorAll('script[data-consent="' + e.detail.kategorie + '"]')
    .forEach((alt) => {
      const neu = document.createElement("script");
      neu.src = alt.src;
      neu.defer = true;
      alt.replaceWith(neu);
    });
});
</script>

Für eingebettete Videos und Karten empfiehlt sich dieselbe Logik als Zwei-Klick-Lösung: Statt des iframes wird zunächst ein Vorschaubild ausgeliefert, der eigentliche Einbettungscode steht in einem data-Attribut und wird erst beim Klick eingesetzt:

<figure class="video-consent"
        data-embed="&lt;iframe src=&quot;https://www.youtube-nocookie.com/embed/ID&quot;&gt;&lt;/iframe&gt;">
  <img src="/files/video-vorschau.webp" width="800" height="450" alt="Vorschau">
  <button type="button">Video laden – dabei werden Daten an YouTube übertragen</button>
</figure>

Wichtig ist die Reihenfolge im Projekt: erst prüfen, was überhaupt lädt (die Netzwerkanalyse des Browsers zeigt es schonungslos), dann Überflüssiges entfernen – und erst den Rest über die Einwilligung steuern. Jedes Skript, das gar nicht erst eingebunden wird, spart Consent-Aufwand, Ladezeit und Risiko gleichzeitig.

Fazit: erst aufräumen, dann einwilligen lassen

Datenschutz auf Websites ist beherrschbar, wenn die Reihenfolge stimmt: erst prüfen, was wirklich geladen wird, dann Überflüssiges abschalten, dann eine saubere Einwilligungslösung für den Rest. Ein rechtssicheres Banner braucht einen gleichwertigen Ablehnen-Button, keine Vorauswahl und keine Skripte vor der Zustimmung. Lokale Schriften, europäische Analysewerkzeuge und ein Hosting in der EU nehmen zusätzlich Druck aus dem Thema. Wer so vorgeht, senkt das Abmahnrisiko und gewinnt nebenbei Ladezeit und Vertrauen. Rechtliche Zweifelsfragen gehören in fachkundige Hände – dieser Beitrag ersetzt keine Rechtsberatung.

Häufige Fragen

Die häufigsten Fragen zu Cookie-Bannern, Tracking und Datenschutz auf der Unternehmens-Website – kurz beantwortet.

Nein. Ein Banner ist nur nötig, wenn einwilligungspflichtige Dienste geladen werden – etwa Statistik, Marketing, Videos oder Karten. Eine Website ohne solche Dienste kommt ohne Banner aus.

Ja. Er muss auf der ersten Ebene stehen und dem Zustimmen-Button gleichwertig gestaltet sein. Ein versteckter Ablehnen-Link ist der häufigste Abmahngrund.

Das TDDDG gilt seit Mai 2024 und hat das TTDSG abgelöst. Sein § 25 verlangt eine Einwilligung, bevor Informationen auf dem Endgerät gespeichert oder ausgelesen werden – Ausnahme: technisch unbedingt erforderliche Zugriffe.

Vorerst nicht. Die Einwilligungsverwaltungsverordnung gilt seit April 2025 und ermöglicht anerkannte Einwilligungsdienste. Eine Pflicht zur Nutzung besteht nicht, deshalb bleiben eigene Banner notwendig.

Lokal eingebunden ja, ohne Weiteres. Beim externen Laden von Google-Servern wird die IP-Adresse übertragen – dafür wäre eine Einwilligung nötig; genau das war Gegenstand zahlreicher Abmahnungen.

Zurück zur Blog-Übersicht