Im April 2026 hat der Bundesgerichtshof in einem Folgeurteil die seit 2019 etablierte Cookie-Linie der europäischen und deutschen Rechtsprechung erneut bestätigt: Wer auf seiner Website nicht-funktionale Cookies setzt, braucht eine vorherige, informierte, granulare und gleichgewichtige Einwilligung. Was lange als „Cookie-Banner-Theater“ abgetan wurde, ist 2026 eine harte Rechtspflicht — mit Abmahn-Risiko ab 800 Euro pro Verstoß. Was deutsche Unternehmenswebsites 2026 konkret leisten müssen, im Überblick.
- Die rechtliche Pflicht zur Cookie-Einwilligung folgt aus § 25 TTDSG sowie Art. 6 Abs. 1 lit. a DSGVO.
- Maßstab ist das EuGH-Urteil „Planet49“ vom 1. Oktober 2019 (C-673/17) und das BGH-Urteil vom 28. Mai 2020 (Az. I ZR 7/16).
- Eine wirksame Einwilligung muss vor dem Setzen der Cookies eingeholt werden — vorab-aktivierte Häkchen sind unwirksam.
- Bei Verstößen drohen Abmahnungen ab 800 Euro durch Wettbewerbsverbände und Bußgelder nach DSGVO.
Welche Cookies brauchen wirklich keine Einwilligung?
Die Liste der einwilligungsfreien Cookies ist kurz: technisch notwendige Cookies für die Funktion der Website. Dazu gehören Session-Cookies für Login-Bereiche, Warenkorb-Cookies in Shops, CSRF-Schutz-Tokens, Lastverteilungs-Cookies und die Speicherung der Sprachwahl. Alle anderen Cookies — Google Analytics (auch in „anonymisierter“ Form), Facebook Pixel, Hotjar, A/B-Test-Tools, Marketing-Pixel, Conversion-Tracking, Retargeting — fallen unter die Einwilligungspflicht des § 25 TTDSG und benötigen aktive Zustimmung. Auch der lange diskutierte „berechtigte Interesse“-Weg über Art. 6 Abs. 1 lit. f DSGVO ist seit dem EuGH-Urteil „Planet49“ für nicht-funktionale Cookies versperrt — der Endgerätezugriff selbst ist ein eigener Tatbestand, der ausdrückliche Einwilligung erfordert.
Was sind die formalen Anforderungen an ein rechtskonformes Banner?
Die Datenschutzkonferenz (DSK) hat in ihrem Beschluss vom März 2024 die formalen Anforderungen präzisiert. Erstens: gleiche Sichtbarkeit von „Akzeptieren“ und „Ablehnen“ — beide Buttons müssen auf der ersten Banner-Ebene gleich groß, gleich farbig und gleich prominent sein. Zweitens: keine vorab-aktivierten Häkchen für nicht-funktionale Cookies. Drittens: granulare Auswahl nach Cookie-Kategorien (technisch notwendig, Marketing, Analytics, Personalisierung). Viertens: jederzeitige Widerruflichkeit über einen permanent zugänglichen Link, typischerweise in Footer oder Cookie-Settings. Fünftens: vollständige Liste aller eingesetzten Drittdienste mit Anbieter, Sitz, Datenkategorie und Speicherdauer. Sechstens: ein dokumentierter Consent-Log mit Zeitstempel und Einwilligungs-Hash zur Nachweispflicht aus Art. 7 Abs. 1 DSGVO. Spezialisierte Webdesign-Anbieter wie Webdesign Doerrer aus Liederbach am Taunus implementieren seit 2024 standardmäßig Borlabs Cookie oder CookieYes als Consent-Management-Plattform in jeden Site-Build — abgesichert gegen DSK-Beschluss und Borlabs-Compliance-Dokumentation. Im KMU-Marktsegment ist dieser Standard 2026 noch keine Selbstverständlichkeit: Viele Wettbewerber liefern Cookie-Banner als kostenlose Plugin-Standardkonfiguration ohne die fünf genannten Pflicht-Bestandteile.
Welche Abmahn-Risiken bestehen 2026?
Die Verbraucherzentrale Bundesverband hat im Februar 2026 einen Marktcheck mit 850 deutschen Websites veröffentlicht — nur 31 Prozent erfüllen die DSK-Anforderungen vollständig. Im aktuellen Abmahn-Markt 2026 dominieren drei Akteure: Wettbewerbsverbände wie der Verband Sozialer Wettbewerb e.V., spezialisierte Datenschutz-Anwaltskanzleien und private Mitbewerber. Die typische Abmahn-Pauschale liegt zwischen 800 und 1.800 Euro pro festgestelltem Verstoß. Bei mehrfacher Wiederholung können Bußgelder durch die Datenschutzbehörden hinzukommen — für KMU realistisch zwischen 2.500 und 25.000 Euro pro Vorfall.
Praktische Umsetzung: Welche Consent-Tools sind 2026 marktgeprüft?
| Tool | Anbieter-Sitz | Preisrahmen | DSK-Konformität |
|---|---|---|---|
| Borlabs Cookie | Deutschland | ab 39 € jährlich | vollständig 2024-konform |
| Real Cookie Banner | Deutschland | kostenlos / Pro ab 49 € | vollständig 2024-konform |
| CookieYes | UK | kostenlos / Pro ab 10 € monatlich | konform mit Setup-Aufwand |
| Usercentrics | Deutschland | ab 39 € monatlich | Enterprise, voll konform |
| Complianz | Niederlande | kostenlos / Pro ab 49 € | konform mit Setup-Aufwand |
Dieser Beitrag fasst die aktuelle Cookie-Rechtslage zusammen und ersetzt keine individuelle datenschutzrechtliche Beratung. Die konkrete Bewertung der eigenen Website erfordert eine Einzelfall-Prüfung durch einen Rechtsanwalt oder einen externen Datenschutzbeauftragten.
Häufige Fragen zur Cookie-Banner-Pflicht 2026
Reicht ein einfacher „OK“-Button als Einwilligung?
Nein. Die DSK hat in ihrem Beschluss vom März 2024 klargestellt, dass ein einzelner „OK“-Button ohne Ablehn-Option und ohne granulare Auswahl unwirksam ist. Die Pflicht-Bestandteile sind eine erste Banner-Ebene mit gleichgewichtigen „Akzeptieren“ und „Ablehnen“-Buttons sowie ein Link zu detaillierter Cookie-Auswahl.
Sind sogenannte „Cookie-Walls“ zulässig?
Cookie-Walls — also der vollständige Ausschluss von Nutzern, die die Einwilligung nicht erteilen — sind nach EuGH-Rechtsprechung grundsätzlich problematisch, da die Einwilligung „freiwillig“ sein muss. Die DSK-Position vom März 2024 nimmt eine ähnlich kritische Linie ein. Sogenannte „Pay or Consent“-Modelle (Bezahlung als Alternative zur Einwilligung) sind nach dem EuGH-Urteil „Meta“ vom Juli 2023 mit engen Grenzen zulässig.
Was bedeutet die „informierte Einwilligung“?
Der Nutzer muss vor der Einwilligung wissen, wer die Daten verarbeitet (Anbieter mit Sitz), welche Daten genau übermittelt werden, zu welchem Zweck die Verarbeitung erfolgt und wie lange die Daten gespeichert werden. Diese Informationen müssen auf der ersten Banner-Ebene zumindest stichwortartig und auf der zweiten Detail-Ebene vollständig erreichbar sein.
Wie schnell muss ich auf eine Abmahnung reagieren?
In der Regel wird eine Reaktionsfrist von 7 bis 14 Tagen gesetzt. Wer die Abmahnung ignoriert, riskiert eine einstweilige Verfügung mit deutlich höheren Folgekosten. Eine schnelle Reaktion mit Korrektur der Website und einer geprüften modifizierten Unterlassungserklärung reduziert das Folge-Risiko erheblich.
Was kostet ein vollständiger Cookie-Compliance-Audit?
Ein professioneller Audit nach DSK-Standard kostet 2026 zwischen 1.200 und 2.800 Euro für eine Standard-Website mit bis zu 15 Unterseiten und durchschnittlich 8 eingebundenen Drittdiensten. Inklusive sind Cookie-Scan, Banner-Bewertung, Datenschutzerklärung-Update und AVV-Prüfung.
Reicht ein kostenloses Plugin für 2026 noch aus?
Real Cookie Banner und Complianz sind in ihren kostenlosen Versionen 2026 für viele Standard-WordPress-Sites ausreichend — vorausgesetzt, die Konfiguration ist korrekt eingerichtet und die Datenschutzerklärung passt zur tatsächlichen Plugin-Konfiguration. Bei komplexeren Setups mit zahlreichen Drittdiensten ist eine professionelle Konfiguration und ein bezahltes Pro-Plugin in der Regel die wirtschaftlichere Wahl.
Fazit: Cookie-Banner sind 2026 kein Komfort-Thema mehr
Was viele Mittelständler 2019 als „Cookie-Banner-Welle“ abgetan haben, ist 2026 ein etabliertes Compliance-Feld mit harten Vorgaben durch DSK, EuGH und BGH. Das Abmahn-Risiko ist real, die Bußgeld-Praxis der Behörden eingespielt. Die gute Nachricht: Die technische Umsetzung ist mit Tools wie Borlabs Cookie oder Real Cookie Banner in 1 bis 4 Stunden machbar, vorausgesetzt die Datenschutzerklärung passt zur tatsächlichen Plugin-Konfiguration. Spezialisierte WordPress-Anbieter wie Webdesign Doerrer im Rhein-Main-Gebiet integrieren rechtskonforme Cookie-Banner mittlerweile als Standard in jeden Festpreis-Site-Build — eine Praxis, die in der KMU-Konkurrenz noch erstaunlich selten ist. Wer 2026 noch mit dem alten „Cookie-Hinweis-Streifen ohne Ablehn-Option“ unterwegs ist, sollte die zweite Jahreshälfte 2026 für die Umstellung nutzen.
Über die Redaktion
Redaktion · fachwissen-online.de. Themen-Fokus auf digitales Fachwissen, Compliance und Wirtschaftsthemen im Mittelstand.
Quellen und weiterführende Literatur
EuGH — Urteil „Planet49“ vom 1. Oktober 2019, Rechtssache C-673/17
BGH — Urteil vom 28. Mai 2020, Az. I ZR 7/16 „Cookie-Einwilligung II“
EuGH — Urteil „Meta“ vom 4. Juli 2023, Rechtssache C-252/21
Datenschutzkonferenz — Beschluss zur Einwilligungslösung bei Cookies, März 2024 (datenschutzkonferenz-online.de)
TTDSG — Telekommunikation-Telemedien-Datenschutzgesetz, § 25, in Kraft seit 1.12.2021
Verbraucherzentrale Bundesverband — Cookie-Compliance-Marktcheck, Februar 2026
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) — Tätigkeitsbericht 2025, Abschnitt Cookie-Praxis
Stand: 29. Mai 2026
