TL;DR. Ein DSGVO-konformer Cookie-Banner informiert klar, bietet eine echte Wahl (Ablehnen muss so einfach sein wie Annehmen), setzt keine vorangekreuzten Kästchen und erlaubt jederzeit den Widerruf der Einwilligung. Die meisten Banner scheitern, weil sie auf ein schnelles Ja ausgelegt sind und nicht auf eine freie Entscheidung.
Eine unbequeme Wahrheit über das europäische Web ist einfach. Ein großer Teil der Cookie-Banner, die Sie täglich sehen, ist nicht konform. Sie nutzen Farben, Formulierungen und Button-Hierarchien, die ein schnelles Ja erzwingen sollen. Aufsichtsbehörden wie der BfDI und die LfDI bezeichnen solche manipulativen Oberflächen als Dark Patterns. In diesem Artikel analysieren wir gute und schlechte Banner und geben Ihnen Text-Vorlagen, die Sie direkt anpassen können, sowie eine vollständige Checkliste.
Was macht einen Cookie-Banner DSGVO-konform?
Ein Banner ist konform, wenn er eine Einwilligung ermöglicht, die freiwillig, spezifisch, informiert und unmissverständlich ist. In der Praxis muss die Nutzerin ohne zusätzlichen Aufwand ablehnen können, verstehen, wozu sie einwilligt, und ihre Meinung leicht ändern können. Der Banner ist daher kein bloßes grafisches Element. Er ist der rechtliche Mechanismus, der belegt, dass Sie eine gültige Zustimmung eingeholt haben, bevor nicht notwendige Tracker gesetzt wurden.
Die vier erforderlichen Elemente
Erstens eine klare Information. Nutzer müssen wissen, welche Cookie-Kategorien zu welchem Zweck verwendet werden, in einfacher Sprache und ohne unnötigen Fachjargon. Zweitens eine echte Wahl. Der Ablehnen-Button muss auf derselben Ebene sichtbar und zugänglich sein wie Annehmen, schon auf dem ersten Bildschirm. Drittens keine Vorankreuzung. Die Einwilligung muss aus einer aktiven Handlung folgen, niemals aus Untätigkeit oder einem bereits aktivierten Kästchen. Viertens ein einfacher Widerruf. Die Einwilligung zurückzunehmen muss so einfach sein wie sie zu erteilen, etwa über einen dauerhaften Link in der Fußzeile auf jeder Seite.
Mehr dazu, was eine gültige Einwilligung ausmacht, finden Sie in unserem Leitfaden zu den Voraussetzungen der DSGVO-Einwilligung. Er erläutert jedes der vier Kriterien und ihre rechtliche Bedeutung.
Ein oft vergessenes Detail: Diese vier Elemente müssen zusammen vorliegen. Ein Banner kann perfekte Informationen zeigen und granulare Kategorien bieten, aber wenn er ein einziges Kästchen vorankreuzt oder den Ablehnen-Button vergräbt, wird er nicht konform. Konformität misst sich nicht am besten Button, sondern am schwächsten. Deshalb prüft ein ehrlicher Audit jedes Kriterium einzeln und verlässt sich nicht auf einen Gesamteindruck.
Was der Einwilligungs-Button sagen muss (keine Dark Patterns)
Die Beschriftung der Buttons zählt genauso wie ihr Design. Verwenden Sie neutrale, symmetrische Begriffe wie Alle akzeptieren und Alle ablehnen. Vermeiden Sie schuldzuweisende Formulierungen wie Nein danke, ich möchte ein schlechteres Erlebnis. Vermeiden Sie es, das Ablehnen hinter mehreren Klicks zu verstecken. Der Leitgedanke ist die Gleichwertigkeit: Ablehnen sollte dieselbe Anzahl an Klicks und denselben Aufwand erfordern wie Annehmen. Ein Banner, der das Ablehnen zwei oder drei Ebenen tief platziert, verletzt diesen Grundsatz, auch wenn das Wort ablehnen irgendwo erscheint.
Gute Beispiele für Cookie-Banner (mit Analyse)
Hier sind fünf Muster, die Geist und Buchstaben der DSGVO respektieren. Keines davon braucht ein Bild, um verstanden zu werden: Entscheidend sind Struktur und Text.
Beispiel 1: der mehrschichtige Banner. Eine erste Ebene zeigt eine kurze Zusammenfassung (warum Cookies, die wichtigsten Kategorien) mit einem Link Mehr erfahren, der die Details öffnet. Die Nutzerin wird nicht mit Informationen überflutet, erreicht sie aber mit einem Klick. Was er richtig macht: Er verbindet Kürze mit Transparenz, ohne das eine dem anderen zu opfern.
Beispiel 2: gleichwertige Buttons. Alle akzeptieren und Alle ablehnen haben dieselbe Größe, Farbe und Position. Keiner wird visuell hervorgehoben. Was er richtig macht: Er beseitigt die visuelle Verzerrung und respektiert die Gleichwertigkeit, die Aufsichtsbehörden erwarten.
Beispiel 3: granulare Kategorien. Der Banner bietet getrennte Kästchen für funktionale, Analyse- und Marketing-Cookies, alle standardmäßig nicht angekreuzt außer den unbedingt erforderlichen. Was er richtig macht: Er erlaubt eine spezifische Einwilligung Kategorie für Kategorie statt eines erzwungenen globalen Ja.
Beispiel 4: dauerhafter Zugang zu den Einstellungen. Ein Link Cookies verwalten bleibt nach dem Schließen des Banners in der Fußzeile verfügbar. Was er richtig macht: Er macht den Widerruf so einfach wie die ursprüngliche Wahl, zu jedem Zeitpunkt des Besuchs.
Beispiel 5: ehrliche Formulierung. Der Text setzt das Surfen nie mit einer Einwilligung gleich. Er sagt nicht Durch die weitere Nutzung stimmen Sie zu. Er wartet auf eine ausdrückliche Handlung der Nutzerin. Was er richtig macht: Er bewahrt die Unmissverständlichkeit der Einwilligung, die die Verordnung verlangt.
Diese fünf Muster schließen sich nicht aus. Der beste Banner kombiniert sie: eine knappe und ehrliche erste Ebene, zwei symmetrische Buttons, einen Zugang zu den Kategorien mit einem Klick und einen dauerhaften Link, um die Wahl zu überdenken. Sie brauchen kein aufwändiges Design, nur eine faire Struktur. Prüfen Sie auf Mobilgeräten zusätzlich, dass der Ablehnen-Button ohne Scrollen voll sichtbar bleibt, denn genau dort bricht die Gleichwertigkeit oft zusammen.
Schlechte Beispiele für Cookie-Banner (zu vermeidende Dark Patterns)
Die folgenden Praktiken werden von Aufsichtsbehörden regelmäßig kritisiert. Sie erzeugen die Illusion einer Wahl und lenken die Entscheidung dennoch stark.
Vorangekreuzte Kästchen. Ein bereits angekreuztes Kästchen ist keine Einwilligung. Der Europäische Gerichtshof hat dies im Fall Planet49 bestätigt: Schweigen oder Untätigkeit können keine Zustimmung sein.
Versteckter Ablehnen-Button. Alle akzeptieren prominent zu zeigen und das Ablehnen hinter einem kleinen Link Einstellungen zu verstecken, verletzt die Gleichwertigkeit und stellt eine manipulative Oberfläche dar.
Verwirrende Sprache. Sätze wie Ich stimme zu, um weiter zu surfen, vermischen Einwilligung und Zugang zur Website. Die Nutzerin kann nicht mehr erkennen, ob sie einwilligt oder nur den Zugang bestätigt. Das ist irreführend.
Widerruf schwerer als die Einwilligung. Wenn Annehmen einen Klick erfordert, Ablehnen aber fünf, ist der Banner nicht konform. Die Symmetrie muss beim Widerruf genauso gelten wie im Moment der Einwilligung.
Farbhierarchie. Ein leuchtend grüner Annehmen-Button neben einem grauen, kleinen oder kontrastarmen Ablehnen-Button lenkt die Wahl. Das ist ein klassisches Dark Pattern, selbst wenn beide Buttons vorhanden sind.
Diese Taktiken untergraben auch das Vertrauen und schaden paradoxerweise Ihrer nachhaltigen Einwilligungsrate. Eine erzwungene Einwilligung ist fragil und anfechtbar.
Ein nützlicher Test, um ein Dark Pattern zu erkennen: Fragen Sie, ob das Design der Nutzerin bei der Entscheidung hilft oder Ihnen hilft, eine bestimmte Antwort zu erhalten. Wenn jeder visuelle und textliche Hinweis auf Ja deutet, lenkt der Banner, statt zu informieren. Ein zweiter Test ist die Stoppuhr: Messen Sie, wie lange das Ablehnen im Vergleich zum Annehmen dauert. Wenn Ablehnen merklich langsamer ist, haben Sie ein Konformitätsproblem, unabhängig davon, wie die Buttons beschriftet sind.
Warum halten sich diese Praktiken? Oft aus Gewohnheit oder aus Angst, Daten zu verlieren. Ein irreführender Banner schafft jedoch ein doppeltes Risiko: eine Sanktion der Aufsichtsbehörde und einen Vertrauensverlust bei Besuchern, die diese Manipulationen zunehmend erkennen. Die kurzfristige Rechnung (das Ja maximieren) schlägt mittelfristig fehl. Eine seltenere, aber solide Einwilligung ist mehr wert als eine massenhafte, aber rechtlich fragile.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Cookie-Banner-Text: was schreiben (Vorlagen)
Die folgenden Vorlagen sind an Ihre Website, Ihre tatsächlichen Zwecke und Ihre Sprache anzupassen. Kopieren Sie keinen Text, der nicht zu den Trackern passt, die Sie wirklich setzen. Guter Text ist kurz, konkret und frei von leeren juristischen Floskeln.
Kurzversion (nach Bedarf anpassen).
Wir verwenden Cookies, um diese Website zu betreiben und, mit Ihrer Zustimmung, um die Reichweite zu messen und Inhalte zu personalisieren. Sie können akzeptieren, ablehnen oder nach Kategorie wählen. Sie können Ihre Wahl jederzeit über den Link Cookies verwalten in der Fußzeile ändern.
Vollversion (nach Bedarf anpassen).
Diese Website verwendet Cookies. Unbedingt erforderliche Cookies halten die Grundfunktionen am Laufen und erfordern keine Einwilligung. Andere Cookies für Analyse und Marketing werden nur mit Ihrer Zustimmung gesetzt. Analyse-Cookies helfen uns zu verstehen, wie die Website genutzt wird. Marketing-Cookies ermöglichen relevante Inhalte. Sie können alle akzeptieren, alle ablehnen oder Ihre Wahl Kategorie für Kategorie festlegen. Kein Kästchen ist vorangekreuzt. Ihre Wahl wird gespeichert und Sie können sie jederzeit über den Link Cookies verwalten widerrufen oder ändern, ohne dass Ihr Zugang zu den Inhalten eingeschränkt wird.
Einige nützliche Regeln für die Formulierung. Benennen Sie die tatsächlichen Zwecke statt vager Kategorien. Geben Sie die Speicherdauer an, wo sie relevant ist. Vermeiden Sie mehrfache Verneinungen, die den Sinn verwischen. Und denken Sie daran, etwaige Datenübermittlungen außerhalb der Europäischen Union zu erwähnen, wenn Ihre Marketing-Tools sie mit sich bringen, denn diese Information gehört zu dem, was eine Einwilligung informiert macht.
Noch ein praktischer Punkt: Halten Sie die Formulierung zwischen dem Banner und Ihrer vollständigen Cookie-Richtlinie konsistent. Wenn der Banner drei Kategorien nennt, die Richtlinie aber zehn Tracker unter unklaren Namen auflistet, untergräbt der Widerspruch den informierten Charakter der Einwilligung. Behandeln Sie den Banner als die kurze, ehrliche Zusammenfassung eines längeren Dokuments, das jeder mit einem Klick öffnen kann. Genau diese Konsistenz prüfen Aufsichtsbehörden bei einer Kontrolle.
Checkliste zur Konformität des Cookie-Banners
- Die Information ist klar, in einfacher Sprache, und nennt Kategorien und Zwecke.
- Der Button Alle ablehnen ist so sichtbar und zugänglich wie Alle akzeptieren, schon auf dem ersten Bildschirm.
- Kein Kästchen ist vorangekreuzt, außer den unbedingt erforderlichen Cookies.
- Ablehnen erfordert dieselbe Anzahl an Klicks wie Annehmen.
- Die Kategorien (funktional, Analyse, Marketing) sind getrennt und auswählbar.
- Kein nicht erforderlicher Cookie wird vor der Einwilligung gesetzt.
- Ein dauerhafter Link erlaubt das Ändern oder den Widerruf der Einwilligung jederzeit.
- Keine Formulierung setzt das Surfen mit einer Einwilligung gleich.
- Das Design bevorzugt keinen Button visuell.
- Der Nachweis der Einwilligung wird mit Zeitstempel gespeichert.
Fazit
Ein guter Cookie-Banner ist keine Frage der Optik, sondern des Respekts vor der Wahl der Nutzerin. Klare Information, symmetrische Buttons, keine vorangekreuzten Kästchen und ein einfacher Widerruf decken das Wesentliche ab. Bevor Sie Ihren Banner umgestalten, beachten Sie, dass eine Cookie-Wall nur unter Bedingungen zulässig ist, und sie sollte nie dazu dienen, das Recht auf Ablehnung zu umgehen.
Nächster Schritt: Prüfen Sie Ihre eigene Website. Starten Sie einen kostenlosen Cookie-Scan, um in wenigen Minuten zu sehen, welche Cookies Sie setzen und wo Ihr Banner die Konformität verfehlt.
Häufig gestellte Fragen
Muss der Ablehnen-Button auf derselben Ebene sein wie der Annehmen-Button?
Ja. Aufsichtsbehörden wenden den Grundsatz der Gleichwertigkeit an: Ablehnen muss so einfach sein wie Annehmen, mit derselben Anzahl an Klicks und vergleichbarer Sichtbarkeit. Das Ablehnen hinter einem unauffälligen Link zu verstecken, gilt als manipulative Oberfläche.
Gilt ein vorangekreuztes Kästchen als Einwilligung?
Nein. Die Einwilligung muss aus einer aktiven Handlung der Nutzerin folgen. Der Europäische Gerichtshof hat dies im Fall Planet49 bestätigt. Ein bereits angekreuztes Kästchen hat keinen rechtlichen Wert.
Darf ich Analyse-Cookies vor der Einwilligung setzen?
Grundsätzlich nein, außer bei eng definierter, von den Behörden ausgenommener Reichweitenmessung, die die Kriterien strikt erfüllt. Marketing-Cookies und die meisten Analyse-Cookies erfordern eine vorherige Einwilligung.
Wie ermögliche ich den Widerruf der Einwilligung?
Am einfachsten ist ein dauerhafter Link, zum Beispiel Cookies verwalten, in der Fußzeile. Er sollte das Einstellungsfenster erneut öffnen und es erlauben, jede Kategorie jederzeit zu ändern oder zu widerrufen.