Cookie-Banner und Consent-Management 2026: Was Genossenschaften auf Websites rechtssicher regeln beachten sollten
- vor einigen Sekunden
- 6 Min. Lesezeit
Aktualisiert: 30. Apr.
Seit dem TTDSG (heute TDDDG – Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) von 2021 und der nachgeführten Fassung 2024 ist klar: Wer auf einer Website Cookies setzt, die nicht technisch erforderlich sind, braucht die Einwilligung der Nutzer – aktiv, informiert und freiwillig. Die Datenschutzkonferenz (DSK), die Landesdatenschutzaufsichten und Gerichte haben 2024 und 2025 viele Details geklärt. 2026 ist das Abmahnrisiko hoch, nicht nur bei großen Unternehmen. Für Genossenschaften mit Mitglieder- oder Kundenwebsites bedeutet das: Consent-Management ist nicht optional, sondern Pflicht.
Das Wichtigste in Kürze
§ 25 TDDDG verlangt Einwilligung für alle nicht zwingend erforderlichen Cookies und Tracking-Technologien – Tracking ohne aktive Zustimmung ist rechtswidrig.
Banner müssen gleichwertige Ja- und Nein-Optionen anbieten; Dark Patterns (nur Hervorhebung des Ja-Buttons, verschachtelte Ablehnen-Optionen) sind nach DSK-Beschluss 2024 unzulässig.
Technisch notwendige Cookies (Warenkorb, Login, Session, Spracheinstellung) sind einwilligungsfrei; alles andere (Analyse, Retargeting, Social-Media-Plugins) einwilligungspflichtig.
Rechtlicher Rahmen: TDDDG, DSGVO, ePrivacy
Vier Normebenen greifen ineinander. Den Kern bildet § 25 TDDDG: Das Speichern und Auslesen von Informationen auf Endgeräten der Nutzer ist nur mit Einwilligung zulässig, es sei denn, es ist zur Erbringung des ausdrücklich gewünschten Telemediendienstes unbedingt erforderlich. Diese Norm ist der zentrale Regelkreis für Cookies, Local Storage, Fingerprinting und vergleichbare Technologien – unabhängig davon, ob personenbezogene Daten verarbeitet werden. Die Anforderungen an die Einwilligung selbst liefert die DSGVO in Artikel 6 und 7: Sie muss freiwillig, informiert und unmissverständlich erteilt werden, einzeln pro Verarbeitungszweck und ebenso einfach widerrufbar wie erteilt.
Darunter liegt die ePrivacy-Richtlinie (2002/58/EG), auf die § 25 TDDDG aufbaut. Die geplante ePrivacy-Verordnung ist seit Jahren in Verhandlung und 2026 weiterhin nicht verabschiedet; bis dahin bleibt die Richtlinie in Verbindung mit dem TDDDG der maßgebliche Rahmen. Wer die europäische Entwicklung im Blick behält, wird nicht überrascht, wenn sich einzelne Schutzanforderungen weiter verschärfen – die Richtung ist klar, nur das Tempo strittig.
Flankiert wird die Normebene durch höchstrichterliche Leitentscheidungen. Das BGH-Urteil „Cookie II“ (I ZR 7/16 vom 28. Mai 2020) hat klargestellt: Aktive Einwilligung muss gegeben sein, vorangekreuzte Checkboxen sind unwirksam. Die DSK hat diese Linie mit der Orientierungshilfe Telemedien (Dezember 2021, aktualisiert 2024) konkretisiert und die Gleichrangigkeit von Ja- und Nein-Option sowie das Verbot manipulativer Gestaltung festgeschrieben. In Summe ergibt sich 2026 ein dichtes, aber klar strukturiertes Regelwerk – der Gestaltungsspielraum liegt nicht in der Frage, ob Einwilligung nötig ist, sondern wie sie handwerklich sauber eingeholt wird.
Was ist technisch notwendig und was nicht?
Die Abgrenzung entscheidet über die gesamte Banner-Logik. Einwilligungsfrei sind Cookies, die zur Erbringung der gewünschten Dienstleistung zwingend nötig sind: Session-Cookies für Login, Warenkorb, Formular-Sicherung, Lastenverteilung, Spracheinstellungen – und der Consent-Cookie selbst, der die Entscheidung des Nutzers speichert. Einwilligungspflichtig ist alles, was darüber hinausgeht: Analyse-Cookies wie Google Analytics oder Matomo mit aktiviertem Tracking, Conversion-Pixel von Meta, LinkedIn oder Google Ads, Retargeting-Werkzeuge, YouTube-Einbindungen mit Tracking und Chat-Systeme mit Profiling.
Dazwischen liegt ein praxisrelevanter Graubereich. Matomo im statistikfreien Modus ohne IP-Speicherung und ohne Drittlandtransfer lässt sich einwilligungsfrei einsetzen; YouTube im Nocookie-Modus ist ein weiteres typisches Beispiel, bei dem sich das Tracking-Niveau deutlich reduzieren lässt. Pseudonymisierung hilft, ersetzt aber keine Einwilligung, wenn darüber hinaus Profile gebildet oder Daten an Dritte übermittelt werden. Die Bewertung bleibt einzelfallbezogen – Aufsichtsbehörden urteilen nach dem tatsächlichen Verarbeitungsumfang, nicht nach der Bezeichnung des Tools.
Ein eigenes Thema sind externe Ressourcen. Google Fonts, CDN-Dienste oder eingebettete Skripte können eine Einwilligung erforderlich machen, sobald sie IP-Adressen an Drittserver weiterleiten. Die pragmatische Lösung ist die lokale Einbindung: Schriftarten und Bibliotheken werden auf dem eigenen Server gehostet, der Drittlandkontakt entfällt, die Einwilligungspflicht ebenso. Diese technische Entscheidung hat in den letzten Jahren mehrere Abmahnwellen entschärft und gehört heute zum Standard jeder datenschutzorientierten Webentwicklung.
Gestaltung des Consent-Banners: Do's and Don'ts
Sechs Regeln tragen die Praxis. Gleichrangigkeit ist die erste und härteste: „Alle akzeptieren“ und „Alle ablehnen“ (oder „Nur notwendige“) stehen auf einer Ebene, sind gleich groß und gleich farblich hervorgehoben. Ein größerer oder farblich betonter Ja-Button ist nach DSK-Beschluss 2024 unzulässig. Ergänzt wird die Gleichrangigkeit durch Granularität: Optional kann der Nutzer einzeln zustimmen – Analyse, Marketing, externe Medien –, der Button „Einstellungen“ genügt als dritter Weg neben Ja und Nein. Die Transparenz bildet die dritte Regel: Kurzhinweis auf Zweck und Anbieter im Banner, Verlinkung auf die vollständige Datenschutzerklärung.
Drei weitere Regeln betreffen das Verhalten der Nutzer. Kein Weiter-Surfen darf als Zustimmung gewertet werden; das Banner schließt sich nicht automatisch, wenn der Nutzer klickt oder scrollt – diese Linie ist seit 2021 gefestigt und wird von Aufsichtsbehörden konsequent durchgesetzt. Der Widerruf muss dauerhaft sichtbar und einfach erreichbar sein: Ein Link „Cookie-Einstellungen bearbeiten“ in der Fußzeile ist Standard und wird von allen gängigen CMPs unterstützt. Schließlich die Dokumentation: Einwilligungsnachweise mit Zeitstempel, Banner-Version und gewählten Optionen sind mindestens drei Jahre aufzubewahren – die Beweislast liegt beim Verantwortlichen.
Hinter diesen Regeln steht eine einfache Leitidee: Die Nein-Option darf nicht schlechter gestellt sein als die Ja-Option. Wer das Banner so gestaltet, dass die Ablehnung zwei Klicks braucht und die Zustimmung einen, erfüllt die Freiwilligkeit nicht. Dasselbe gilt für verschachtelte Einstellungsdialoge, in denen das Ablehnen länger dauert als das Zustimmen. Die DSK hat diese Muster als Dark Patterns benannt und sieht sie als unwirksame Einwilligung. Für Genossenschaftswebsites empfiehlt sich eine jährliche Prüfung: Tools entwickeln sich weiter, und kleine Layout-Änderungen durch Updates kippen schnell die Rechtmäßigkeit des gesamten Banners.
Consent-Management-Plattformen und technische Umsetzung
Consent-Management ist technisch weitgehend standardisiert. Consent-Management-Plattformen wie Usercentrics, Cookiebot, Borlabs oder OneTrust liefern vorkonfigurierte Banner, automatische Dokumentation und regelmäßige Aktualisierungen der Cookie-Liste. Die Integration in gängige CMS – WordPress, Drupal, Typo3, Wix – läuft über Plugins mit minimalem Aufwand. Die Plattform übernimmt dabei die drei kritischen Funktionen: Kategorisierung der Cookies, Speicherung der Einwilligung und technische Blockade nicht zugelassener Tools bis zur Entscheidung des Nutzers.
Den operativen Kern bildet die Kategorisierung. Cookies werden in Gruppen eingeteilt – notwendig, Präferenzen, Statistik, Marketing, externe Medien – und pro Gruppe eingewilligt. Diese Struktur verlangt regelmäßige Prüfung: Jedes neue Plugin, jede neue Marketing-Kampagne und jedes Update eines Drittanbieters kann Cookies hinzufügen oder verändern. Automatisierte Cookie-Scanner prüfen die tatsächliche Cookie-Landschaft der Website; sinnvoll ist ihr Einsatz vor Go-Live sowie bei jeder größeren Änderung. Wer diesen Scan nur einmal durchführt, verliert den Überblick innerhalb weniger Monate.
Zwei technische Nebenthemen runden das Bild. Server-Side-Tracking reduziert Drittanbieter-Cookies, ersetzt aber nicht die Einwilligungspflicht, wenn Profile gebildet werden – die rechtliche Bewertung folgt der Verarbeitung, nicht dem Transportweg. Und Auftragsverarbeitung: CMP-Anbieter sind AV-Partner nach Artikel 28 DSGVO, ein Auftragsverarbeitungsvertrag ist erforderlich und sollte vor dem Produktivbetrieb unterzeichnet vorliegen. Bei EU-basierten Anbietern ist das ein Formalie; bei Anbietern mit Drittland-Infrastruktur lohnt der zusätzliche Blick auf die Datentransfermechanismen.
Abmahnpraxis und Aufsichtsmaßnahmen
Die Durchsetzung ist real und vielfältig. Zivilrechtliche Abmahnungen nach UWG bei unlauterem Wettbewerb kommen insbesondere von klagebefugten Verbänden wie VZBV oder Wettbewerbszentrale; das Kostenrisiko liegt pro Fall im niedrigen vierstelligen Bereich, summiert sich aber schnell, wenn mehrere Sites oder mehrere Versäumnisse zugleich betroffen sind. Parallel laufen Bußgeldverfahren: Landesdatenschutzbehörden prüfen seit 2023 proaktiv größere Websites; in Niedersachsen und Baden-Württemberg wurden 2024 erste Bußgelder im fünfstelligen Bereich verhängt. Der dritte Durchsetzungsweg sind Publikumsbeschwerden, die zunehmen und Behörden oft den konkreten Anlass für eine Prüfung liefern.
Die reputativen Effekte können die bußgeldrechtlichen übersteigen. Der Verhaltenskodex der DSK sieht die Publikation betroffener Unternehmen vor; auch unterhalb förmlicher Bußgelder entsteht eine Außenwirkung, die für Genossenschaften mit starker Mitgliederbindung heikel ist. Eine gut erreichbare Kontakt-Adresse für Datenschutzanfragen – idealerweise mit namentlich genannter Ansprechperson – entschärft viele Einzelfälle, bevor sie auf Aufsichtsebene eskalieren. Der Aufwand dafür ist gering, die Wirkung auf das Beschwerde-Volumen hoch.
Den Abschluss bildet ein geordneter Reviewprozess. Mindestens einmal im Jahr gehört das Banner vollständig geprüft: gesetzte Cookies, neue Drittanbieter, aktuelle CMP-Konfiguration, Wirksamkeit der Blockade vor Einwilligung. Bei neuen Plugins, Marketing-Kampagnen oder CMS-Updates lohnt eine ad-hoc-Kontrolle – in vielen Fällen werden über solche Updates unbemerkt neue Cookies mitgeliefert. Wer diesen Reviewprozess schriftlich fixiert und die Ergebnisse dokumentiert, hat im Abmahn- oder Aufsichtsfall eine belastbare Verteidigung und kann die Sorgfaltspflicht nachweisen, die § 25 TDDDG und DSGVO vom Verantwortlichen verlangen.
Häufige Fragen
Reicht ein Hinweis 'Diese Website verwendet Cookies' mit OK-Button?
Nein. Das ist seit 2020 (BGH Cookie II) und 2021 (TTDSG) nicht mehr ausreichend. Nutzer müssen aktiv zustimmen können und ebenso einfach ablehnen können. Ein einzelner OK-Button ohne gleichrangige Ablehnen-Option ist unwirksam.
Was passiert, wenn ein Nutzer die Einwilligung verweigert?
Die Website muss funktionieren, aber ohne tracking-basierte Dienste. Ein Cookie-Wall (Inhalt nur nach Einwilligung) ist grundsätzlich unzulässig, sofern keine gleichwertige Alternative besteht (Bezahl-Wand ist in Spezialfällen zulässig, aber für Genossenschaftsseiten untypisch).
Müssen auch Intranets Consent-Banner haben?
Für reine interne Nutzung (nur eingeloggte Mitglieder, keine externe Werbung) sind die Anforderungen niedriger, aber die DSGVO-Transparenz- und Auskunftspflichten gelten. Werden Analyse-Tools eingesetzt, ist eine Information und im Zweifel eine Einwilligung nötig.
Wie gehen wir mit YouTube-Videos auf der Seite um?
Einbindung als 'erweitertes Datenschutz-Modus' (youtube-nocookie.com) verringert das Tracking, erfordert aber weiterhin eine Einwilligung für Marketing-Cookies. Alternativ: Vorschaubild mit Klick auf Play-Button, das erst nach Einwilligung das Video lädt ('Two-Click-Lösung').
Gibt es Erleichterungen für kleine Websites?
Nein. Größe der Website ist unerheblich. Allerdings ist das Risiko einer Abmahnung bei stark frequentierten Seiten höher. Jede Website mit Tracking-Komponenten sollte ein Consent-Management haben – unabhängig von Reichweite.
Für eine individuelle Einschätzung oder Unterstützung steht Ihnen der Genossenschaftsverband der Länder e.V. (GVdL) gern zur Verfügung. Kontakt: Kathrin Becher, info@gvdl.de, www.gvdlverband.de.
Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine individuelle steuerliche oder rechtliche Beratung.
Kommentare