Cookie-Banner-Pflicht 2026: Was das Gesetz wirklich verlangt

Aktualisiert: März 2026 · Lesezeit: 11 Min.

Ja, ein Cookie-Banner ist 2026 in Deutschland Pflicht, wenn Ihre Website nicht-essentielle Cookies oder Tracking-Tools einsetzt. Nach dem TTDSG (§ 25) und der DSGVO (Art. 6) müssen Besucher aktiv einwilligen, bevor Cookies gesetzt werden. Der Banner muss eine gleichwertige Ablehn-Option bieten.

Cookie-Banner 2026: Was hat sich geändert?

Mal ehrlich — wer hat noch den Überblick, welche Cookie-Regeln gerade gelten? Gefühlt ändert sich das alle sechs Monate. Und trotzdem sehe ich als Agenturinhaber jede Woche Websites, die mit einem popligen „Wir verwenden Cookies"-Hinweis auskommen wollen. Spoiler: Das reicht seit Jahren nicht mehr.

Seit dem TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), das Ende 2021 in Kraft trat, ist die Lage in Deutschland eigentlich glasklar: Wer Cookies setzt, die nicht „unbedingt erforderlich" sind, braucht eine aktive Einwilligung. Punkt. Kein implied consent, kein „Weitersurfen = Zustimmung". Das galt schon 2022 — und 2026 wird es nur noch konsequenter durchgesetzt.

Die Rechtsgrundlage: TTDSG § 25 + DSGVO

Das TTDSG regelt den Zugriff auf Endgeräte — also das Setzen und Lesen von Cookies. Die DSGVO greift dann bei der Verarbeitung der personenbezogenen Daten dahinter. Zwei Gesetze, ein Problem: Ohne informierte, freiwillige Einwilligung geht bei Marketing- und Analyse-Cookies schlicht gar nichts.

Was viele übersehen: Das TTDSG betrifft nicht nur klassische Cookies. Fingerprinting, Local Storage, Pixel-Tracking — alles, was Informationen auf dem Endgerät speichert oder ausliest, fällt unter § 25 TTDSG. Macht die Sache noch ungemütlicher, als sie eh schon ist.

Wann ist ein Cookie-Banner Pflicht?

Die kurze Antwort: Fast immer. Die etwas differenziertere:

• Technisch notwendige Cookies (Session-ID, Warenkorb, Spracheinstellung) — kein Banner nötig, aber sie gehören in die Datenschutzerklärung
• Analyse-Cookies (Google Analytics, Matomo mit Cookie) — Einwilligung erforderlich
• Marketing-Cookies (Facebook Pixel, Google Ads Remarketing) — Einwilligung erforderlich
• Drittanbieter-Einbindungen (YouTube, Google Maps, Social Plugins) — Einwilligung erforderlich, sobald Cookies gesetzt werden

Im Klartext: Sobald Sie Google Analytics oder auch nur ein eingebettetes YouTube-Video nutzen, brauchen Sie ein funktionierendes Cookie-Consent-Banner. Und „funktionierend" heißt nicht bloß „es poppt auf".

Was muss ein rechtskonformes Cookie-Banner enthalten?

Hier scheitern erstaunlich viele. Ein korrektes Banner braucht 2026 diese Elemente:

Die häufigsten Fehler — und was sie kosten können

Ich sehe das bei gut der Hälfte meiner neuen Kunden: Das Cookie-Banner existiert zwar, funktioniert aber technisch nicht. Cookies werden gesetzt, bevor irgendjemand auf „Akzeptieren" klickt. Das Consent-Tool ist installiert, blockiert aber schlicht gar nichts. Oder — mein persönlicher Favorit — das Banner wurde 2020 eingerichtet und seitdem keiner hat es je wieder angefasst.

Was das kosten kann? Die Datenschutzkonferenz hat 2025 deutlich gemacht, dass Cookie-Verstöße nicht mehr nur eine freundliche Verwarnung nach sich ziehen. Bußgelder nach TTDSG können bis zu 300.000 Euro betragen — und die DSGVO erlaubt bekanntlich bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes.

Klingt nach Panikmache? Fragen Sie mal die Betreiber, die 2024 und 2025 Post von der Berliner oder bayerischen Datenschutzbehörde bekommen haben. Die Prüfverfahren laufen — und zwar nicht nur bei DAX-Konzernen.

Was sich 2026 konkret verschärft hat

Drei Entwicklungen sollten Sie auf dem Schirm haben:

1. Koordinierte Prüfwellen der Aufsichtsbehörden: Die Datenschutzkonferenz (DSK) hat 2025 beschlossen, Cookie-Banner bundesweit systematisch zu prüfen. Nicht stichprobenartig — systematisch.
2. Technische Prüfung statt Augenschein: Die Behörden scannen jetzt automatisiert, ob Cookies vor der Einwilligung gesetzt werden. Ein hübsches Banner allein reicht also nicht mehr — es muss technisch korrekt arbeiten.
3. EuGH-Rechtsprechung wird strenger: Nach Planet49 und dem Meta-Urteil 2024 liegt die Messlatte für „freiwillige Einwilligung" höher denn je. Dark Patterns werden explizit als rechtswidrig eingestuft.

Praxis-Empfehlung: So machen Sie es richtig

Nach hunderten von Cookie-Audits für unsere Agenturkunden — hier meine Empfehlung, ohne Umschweife:

1. Cookie-Audit durchführen: Welche Cookies setzt Ihre Website tatsächlich? Nicht was Sie glauben — was wirklich passiert. Tools wie der WebShield Cookie-Check zeigen das in Sekunden.
2. CMP richtig konfigurieren: Ob Cookiebot, Usercentrics, Borlabs oder Complianz — das Tool ist weniger entscheidend als die Konfiguration. Alle Skripte müssen blockiert werden, bis Consent vorliegt.
3. Regelmäßig testen: Mindestens quartalsweise prüfen, ob nach einem Plugin-Update oder Theme-Wechsel plötzlich Cookies durchrutschen.
4. Dokumentation: Halten Sie fest, welche Cookies Sie setzen, warum, und wie lange. Diese Unterlagen brauchen Sie, wenn die Behörde anklopft.

Ja — das kostet Zeit und manchmal Geld. Aber deutlich weniger als ein Bußgeldverfahren.

Braucht jede Website ein Cookie-Banner?

Nicht jede — aber fast jede. Sobald Ihre Website Cookies oder ähnliche Technologien einsetzt, die nicht technisch notwendig sind (z. B. Google Analytics, Facebook Pixel, YouTube-Einbettungen), ist ein Consent-Banner nach TTDSG § 25 und DSGVO Pflicht. Rein statische Seiten ohne Tracking kommen ohne aus.

Wie hoch sind die Bußgelder bei fehlendem Cookie-Banner?

Verstöße gegen das TTDSG können mit bis zu 300.000 Euro geahndet werden. Kommt eine DSGVO-Verletzung dazu, sind bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes möglich. Die Aufsichtsbehörden prüfen seit 2025 systematisch — auch bei KMU.