Auf vielen kleinen Webseiten steht ein Cookie-Banner, das vier Spalten Schieberegler einfordert, obwohl im Hintergrund kaum mehr läuft als eine Sprachwahl. Auf anderen Seiten klickst Du Dich durch ein Modal, das den ganzen Bildschirm blockiert, bevor Du auch nur die Begrüßung gelesen hast. Beide Extreme entstehen aus derselben Unsicherheit: niemand weiß so genau, was so ein Banner eigentlich leisten muss.
Die kurze Antwort: nicht viel. Drei tragende Elemente reichen, und es gibt sogar Webseiten, die ganz ohne Banner auskommen. Dieser Beitrag zieht eine pragmatische Linie. Was rein gehört, was Du weglassen kannst, und woran Du erkennst, ob Dein Banner überhaupt das Richtige tut.
Warum es überhaupt einen Banner braucht
Die rechtliche Grundlage ist schnell erzählt. DSGVO und das deutsche TTDSG verlangen eine Einwilligung, sobald auf dem Gerät Deines Besuchers Informationen gespeichert oder ausgelesen werden, die nicht für den eigentlichen Betrieb der Webseite nötig sind. Sobald Du also Analyse-Skripte, eingebettete Videos, externe Schriften oder Karten-Dienste einsetzt, kommst Du an einer Einwilligung nicht vorbei.
Wichtig ist die Unterscheidung zwischen technisch notwendigen und allen anderen Speichervorgängen. Ein Session-Cookie, der Deinen Login hält, eine Sprachwahl-Einstellung oder ein CSRF-Schutz-Token sind notwendig, dafür brauchst Du keine Einwilligung. Alles, was darüber hinausgeht, schon.
Aufsichtsbehörden orientieren sich dabei an drei Prinzipien: Die Einwilligung muss informiert, freiwillig und widerrufbar sein. Wer das ehrlich umsetzt, ist auf der pragmatisch tragenden Seite. Wer eines davon umgeht, fällt auf, manchmal durch eine Abmahnung, manchmal nur durch verlorenes Vertrauen.
Die drei Elemente, die wirklich tragen
Reduziert auf das Wesentliche besteht ein funktionierendes Banner aus drei Bausteinen.
- Information vor Aktivierung: Bevor irgendein Tracker geladen wird, sieht Dein Besucher, was gespeichert werden soll und wofür. Kein juristisches Kleingedrucktes, sondern eine klare Aussage.
- Gleichwertige Wahl: Annehmen und Ablehnen liegen auf derselben Ebene. Gleiche Größe, gleiche Farbintensität, gleiche Klick-Distanz. Ein knallgrüner Annehmen-Button neben einem grauen Text-Link ist keine gleichwertige Wahl.
- Funktionierender Widerruf: Dein Besucher muss die Einwilligung später genauso leicht zurücknehmen können, wie er sie gegeben hat. Ein kleiner Link im Footer reicht, solange er den Banner wieder öffnet.
Wenn diese drei Bausteine sauber sitzen, ist Dein Banner mehr als die meisten da draußen. Die ganze Bannergymnastik dahinter ist Beiwerk.
Was Du weglassen kannst
Vieles, was in Bannern auftaucht, ist Show. Du kannst getrost darauf verzichten:
- Vier-Spalten-Schiebereglergymnastik mit Kategorien wie „Statistik", „Marketing", „Funktional", „Notwendig" — wenn Du gar keine Marketing-Tools einsetzt, ist die Marketing-Spalte sinnlos. Lieber zeigen, was Du tatsächlich verwendest, und nichts darüber hinaus.
- Mikroskopische Zweck-Listen mit hundert Drittanbieter-Einträgen, die niemand liest. Wenige, ehrliche Kategorien sind besser als eine erschlagende Auflistung.
- Marketing-Wording im Annehmen-Button wie „Bestes Erlebnis aktivieren". Das ist manipulativ und untergräbt die Freiwilligkeit. „Annehmen" reicht.
- Cookie-Walls ohne echten Mehrwert, also harte Modal-Layer, die den Inhalt blockieren, bis Du zustimmst. Sobald die Webseite ohne Tracker funktionieren würde, ist diese Sperre nicht zulässig.
Weniger ist hier wörtlich mehr. Ein schlankes Banner wirkt vertrauenswürdiger als ein überladenes. Es ist meist auch leichter zu warten.
Wenn Du gar keinen Banner brauchst
Der einfachste Fall ist schnell beschrieben: Du betreibst eine Webseite, die nur technisch notwendige Daten speichert. Kein Analytics, keine eingebetteten Videos, keine Karten-API, keine externen Schriften, keine Social-Media-Buttons mit Tracking. Nur eigene Inhalte, eigene Schriften aus dem Webspace, eigene Bilder. In diesem Fall brauchst Du keinen Cookie-Banner — weil es nichts gibt, in das eingewilligt werden müsste.
Das ist häufiger der Fall, als man denkt. Eine schlanke Visitenkarten-Webseite mit Kontaktformular, eigenem Impressum und eigener Schrift kommt ohne Banner aus. Auch ein Blog ohne Tracking-Plugins. Wer das ehrlich umsetzt, bekommt eine ruhige Seite ohne Reibungspunkt, und Besucher, die sofort beim Inhalt landen.
Wenn Du verstehen willst, was eigentlich im Hintergrund gespeichert wird, hilft der Beitrag was Dein Browser im Hintergrund speichert. Dort ist die Mechanik von Cookies und Local Storage erklärt, bevor es um die Banner-Frage geht.
Was die typischen Fallen sind
Vier Stolpersteine tauchen in Audits immer wieder auf:
- Pre-Checked-Boxen: Schieberegler stehen bereits auf „aktiv", bevor der Besucher überhaupt entschieden hat. Das ist keine Einwilligung, weil keine bewusste Handlung dahintersteht.
- Fadenscheiniges „berechtigtes Interesse": Tracking-Cookies werden als notwendig deklariert, obwohl sie zur Reichweitenmessung dienen. Das verschiebt die Last auf den Besucher, der sich aktiv abmelden müsste, was meist nicht haltbar ist.
- Cookies werden vor Zustimmung gesetzt: Das Banner fragt höflich, aber die Skripte sind längst geladen. Dann ist die Frage Theater.
- Kein dokumentierter Consent-Log: Wenn jemand nachweisen will, dass er nie zugestimmt hat, brauchst Du eine Protokollierung. Ohne sie steht Aussage gegen Aussage.
Welche Tracker auf Deiner Seite tatsächlich aktiv sind, lässt sich nüchtern feststellen. Siehe welche Cookies und Tracker Deine Webseite einsetzt. Das ist die Basis, bevor Du das Banner überhaupt konfigurierst.
Wie Du Deine Seite ehrlich prüfst
Du brauchst kein Tool und keinen Berater, um zu sehen, was Deine Webseite tut. Drei Schritte mit dem Browser reichen:
- Inkognito-Fenster öffnen. So startest Du mit einem leeren Zustand, ohne Cookies aus früheren Besuchen.
- Entwicklertools, Tab Netzwerk. Lade Deine Webseite. Jeder Eintrag, der zu einer fremden Domain geht, bevor Du dem Banner zugestimmt hast, ist verdächtig. Google, Facebook, YouTube, fonts.googleapis — alles Spuren, die eigentlich Einwilligung brauchen.
- Tab Application oder Speicher. Dort siehst Du, welche Cookies und Local-Storage-Einträge tatsächlich angelegt wurden. Die Wahrheit über Deine Webseite steht hier, nicht im Banner-Text.
Wenn die Liste lang ist und Dein Banner trotzdem nur zwei Schalter zeigt, stimmt etwas nicht. Wenn die Liste leer ist und Dein Banner trotzdem fünf Kategorien einfordert, stimmt auch etwas nicht. Beides lässt sich in wenigen Minuten korrigieren.
Und falls Dein Banner auch noch ein bildschirmfüllendes Modal mit fummeliger Tastatur-Navigation ist, lohnt der Blick auf die Barrierefreiheits-Anforderungen des BFSG — denn ein Banner, das Besucher mit Tastatur oder Screenreader aussperrt, ist seit 2025 zusätzlich problematisch.
Fazit — weniger Banner, mehr Substanz
Ein Cookie-Banner ist kein juristisches Bollwerk, sondern ein ehrliches Versprechen an Deinen Besucher: Du weißt, was passiert, Du hast eine echte Wahl, und Du kommst jederzeit darauf zurück. Wer diese drei Elemente sauber umsetzt, hat den größten Teil der Arbeit getan.
Strategisch klüger als die nächste Banner-Erweiterung ist meistens der Schritt zurück: Welche Tracker brauchst Du wirklich? Welche Einbindungen lassen sich durch eine eigene Lösung ersetzen? Je weniger Du speicherst, desto kürzer der Banner — und desto ruhiger Deine Seite.