Alle Artikel

Cookie Banner DSGVO-konform: Was Agenturen wissen müssen

Cookie Banner DSGVO-konform umsetzen: Worauf Agenturen bei Consent-Gestaltung, Pre-Consent-Tracking und Mandantenhaftung achten müssen.

Cookie Banner DSGVO-konform: Was Agenturen wissen müssen

Ein Cookie Banner ist sichtbar – aber sichtbar ist nicht gleich rechtskonform. Agenturen, die für ihre Kunden Websites betreuen, tragen Mitverantwortung dafür, dass ein Banner nicht nur optisch vorhanden ist, sondern technisch korrekt funktioniert: kein Tracking vor dem Consent, keine vorangekreuzten Kästchen, kein Ablehnen-Button, der drei Klicks tiefer versteckt ist als das Akzeptieren. Dieser Artikel zeigt, worauf es bei einem cookie Banner DSGVO-konform ankommt – und wo die häufigsten Fehler in der Agenturpraxis liegen.

Der Begriff „DSGVO-konform" klingt nach einer einfachen Checkliste, verbirgt aber mehrere Schichten. Ein Cookie Banner – oder technisch präziser: ein Consent Management Platform-Interface (CMP-Interface) – muss sicherstellen, dass Nutzer eine informierte, freiwillige und eindeutige Einwilligung geben, bevor nicht notwendige Cookies oder Tracking-Technologien aktiviert werden. Das klingt trivial, scheitert in der Praxis jedoch regelmäßig an technischen Details.

Freiwilligkeit bedeutet: Ablehnen muss genauso einfach sein wie Zustimmen. Wer den Ablehnen-Button erst nach einem Klick auf „Einstellungen" findet, hat dieses Kriterium nicht erfüllt. Informiertheit bedeutet: Zweck, Anbieter und Speicherdauer müssen klar benannt sein – nicht in einem 40-seitigen PDF, das per Link erreichbar ist, sondern in der ersten Ebene des Banners oder unmittelbar zugänglich. Eindeutigkeit bedeutet: Kein Opt-out, kein „Weiter surfen gilt als Zustimmung", keine vorangekreuzten Kategorien.

Für Agenturen kommt eine weitere Dimension hinzu: Sie implementieren diese Banner nicht für sich selbst, sondern für Kunden. Damit entsteht eine Konstellation, in der die Agentur als Auftragsverarbeiterin oder als Mitverantwortliche auftreten kann – je nachdem, welche Entscheidungen sie über Zweck und Mittel der Verarbeitung trifft. Diese Abgrenzung sollte in einem Auftragsverarbeitungsvertrag (AVV) klar geregelt sein.

Der häufigste und gleichzeitig gefährlichste Fehler ist nicht ein schlecht gestalteter Banner, sondern Tracking, das bereits vor dem Consent aktiv ist. Pre-Consent-Tracking bezeichnet den Zustand, in dem Skripte – etwa Google Analytics, Meta Pixel oder Hotjar – bereits beim Seitenaufruf feuern, noch bevor der Nutzer irgendetwas angeklickt hat.

Das passiert aus mehreren Gründen: Entwickler binden Tracking-Skripte direkt im Quellcode ein, ohne sie an die CMP-Steuerung zu koppeln. Tag Manager-Konfigurationen werden nach einem CMP-Wechsel nicht angepasst. Oder ein Plugin-Update überschreibt die bisherige Konfiguration still und leise. Das Ergebnis ist ein Banner, der korrekt aussieht, aber technisch wirkungslos ist – weil die Daten längst übertragen wurden, bevor der Nutzer überhaupt eine Wahl hatte.

Für Agenturen ist das besonders heikel, weil der Fehler ohne technische Prüfung unsichtbar bleibt. Der Kunde sieht einen Banner und glaubt, alles sei in Ordnung. Die Agentur hat den Banner eingebaut und glaubt, ihre Arbeit sei getan. Erst eine Analyse auf Netzwerkebene – ein sogenannter Pre-Consent-Scan – zeigt, ob Skripte tatsächlich erst nach dem Consent geladen werden. Genau das ist die Kernfunktion eines technischen Audits: nicht prüfen, ob ein Banner existiert, sondern ob er wirkt.

Die häufigsten Gestaltungsfehler und ihre Konsequenzen

Neben dem technischen Pre-Consent-Problem gibt es eine Reihe von Gestaltungsfehlern, die in der Agenturpraxis immer wieder auftauchen. Die folgende Tabelle gibt einen Überblick über typische Muster und deren Bewertung:

Fehler Beschreibung Risiko
Asymmetrisches Design „Alle akzeptieren" prominent, „Ablehnen" versteckt oder farblich kaum sichtbar Freiwilligkeit nicht gegeben
Vorangekreuzte Kategorien Marketing- oder Analyse-Cookies standardmäßig aktiviert Keine wirksame Einwilligung
Kein Widerruf Nutzer können Einwilligung nicht nachträglich zurückziehen Pflicht zur Widerrufsmöglichkeit verletzt
Unklare Zweckbeschreibungen „Zur Verbesserung unserer Dienste" ohne konkrete Angabe Informiertheit nicht erfüllt
Fehlende Anbieternennung Drittanbieter wie Meta oder Google nicht explizit aufgeführt Transparenzpflicht verletzt
Banner nur auf Startseite Unterseiten werden ohne Consent-Abfrage aufgerufen Tracking auf Unterseiten unkontrolliert

Jeder dieser Fehler kann isoliert auftreten – in der Praxis treten sie jedoch häufig kombiniert auf, insbesondere wenn Banner schnell und ohne strukturierte Prüfung implementiert werden.

Technische Implementierung: CMP richtig koppeln

Ein Cookie Banner ist nur so gut wie seine technische Anbindung an die tatsächlich eingesetzten Skripte. Die CMP – also das System, das den Banner ausspielt und Einwilligungen speichert – muss mit dem Tag Manager oder den direkt eingebundenen Skripten so verknüpft sein, dass nicht eingewilligte Kategorien blockiert werden, bis eine explizite Zustimmung vorliegt.

In der Praxis bedeutet das für Agenturen konkret: Jedes Tracking-Skript, das nicht technisch notwendig ist, muss einer Consent-Kategorie zugeordnet sein. Im Google Tag Manager geschieht das über Consent Mode v2 oder über eigene Trigger-Konfigurationen, die auf den Consent-Status der CMP reagieren. Wer Consent Mode v2 nutzt, muss zusätzlich sicherstellen, dass die Signale korrekt an Google übertragen werden – anderenfalls verliert das Setup seine Wirkung für Google-Dienste.

Ein weiterer kritischer Punkt ist die Consent-Speicherung. Die Einwilligung muss nachweisbar dokumentiert sein: Zeitstempel, Version des Banners, gewählte Kategorien. Ohne diese Dokumentation kann eine Agentur im Zweifelsfall nicht belegen, dass eine gültige Einwilligung vorlag. Einige CMP-Anbieter speichern diese Daten serverseitig, andere nur im Browser des Nutzers – was bei gelöschten Cookies zu Problemen führt.

Für Agenturen mit mehreren Kundenprojekten ist außerdem die Mandantentrennung relevant: Consent-Konfigurationen müssen projektspezifisch sein und dürfen sich nicht gegenseitig beeinflussen. Ein zentrales Dashboard, das den Status aller Projekte auf einen Blick zeigt, ist hier kein Komfort, sondern eine operative Notwendigkeit.

Agenturhaftung: Wer haftet bei einem fehlerhaften Banner?

Die Haftungsfrage ist für Agenturen unangenehm, aber unvermeidlich. Grundsätzlich ist der Websitebetreiber – also der Kunde – verantwortlich für die Einhaltung datenschutzrechtlicher Anforderungen. Doch diese Verantwortung entbindet die Agentur nicht vollständig.

Wenn eine Agentur einen Banner implementiert, der technisch fehlerhaft ist – etwa weil Pre-Consent-Tracking nicht verhindert wird –, kann sie zivilrechtlich in Regress genommen werden, sofern im Dienstleistungsvertrag eine entsprechende Leistungspflicht vereinbart wurde. Noch heikler wird es, wenn die Agentur aktiv Entscheidungen über Tracking-Konfigurationen trifft, ohne den Kunden zu informieren: In diesem Fall kann sie als Mitverantwortliche im Sinne der DSGVO eingestuft werden.

Praktisch bedeutet das: Agenturen sollten in ihren Verträgen klar definieren, welche Leistungen sie erbringen und welche Verantwortung beim Kunden verbleibt. Der AVV (Auftragsverarbeitungsvertrag) ist dabei das zentrale Instrument. Darüber hinaus empfiehlt es sich, Kunden schriftlich zu dokumentieren, wenn sie Empfehlungen zur Consent-Konfiguration ablehnen – als Nachweis, dass die Agentur ihrer Beratungspflicht nachgekommen ist.

Ein regelmäßiger technischer Nachweis, dass der Banner korrekt funktioniert, schützt die Agentur zusätzlich: Wer dokumentieren kann, dass zum Zeitpunkt der Übergabe kein Pre-Consent-Tracking aktiv war, steht bei späteren Streitigkeiten deutlich besser da.

Besonderheiten bei häufig eingesetzten Tracking-Tools

Nicht alle Tracking-Technologien verhalten sich gleich, und nicht alle lassen sich mit denselben Methoden consent-konform einbinden. Einige Besonderheiten, die in der Agenturpraxis regelmäßig zu Problemen führen:

  • Meta Pixel: Das Pixel feuert standardmäßig beim Seitenaufruf. Ohne explizite Consent-Steuerung über den Tag Manager oder eine direkte CMP-Integration ist Pre-Consent-Tracking vorprogrammiert. Zusätzlich überträgt das Pixel bei aktiviertem „Automatic Advanced Matching" personenbezogene Daten aus Formularfeldern – auch wenn der Nutzer noch nicht eingewilligt hat.
  • Google Analytics 4: GA4 unterstützt Consent Mode v2, der Tracking-Daten bei fehlendem Consent durch Modellierung ersetzt. Das ist kein Freifahrtschein: Auch mit Consent Mode muss sichergestellt sein, dass keine Cookies gesetzt werden, bevor der Consent vorliegt.
  • Hotjar / Microsoft Clarity: Session-Recording-Tools erfassen Nutzereingaben und Mausbewegungen. Sie fallen eindeutig in die Kategorie „nicht notwendig" und müssen strikt hinter dem Consent-Gate liegen.
  • Self-hosted oder proxied Tracking: Einige Agenturen routen Tracking-Anfragen über eigene Server, um Adblocker zu umgehen. Das ändert nichts an der Consent-Pflicht, macht die Erkennung aber schwieriger.

Für jedes dieser Tools gilt: Die technische Einbindung muss individuell geprüft werden. Eine pauschale CMP-Konfiguration, die für alle Projekte identisch ist, reicht in der Regel nicht aus.

Ein cookie Banner DSGVO-konform zu betreiben bedeutet nicht nur, ihn korrekt zu implementieren – es bedeutet auch, den korrekten Betrieb nachweisen zu können. Aufsichtsbehörden und Gerichte verlangen im Streitfall Belege: Wann wurde welche Einwilligung erteilt? Welche Version des Banners war zu diesem Zeitpunkt aktiv? Welche Skripte wurden blockiert?

Ohne strukturierte Dokumentation ist dieser Nachweis kaum zu führen. Agenturen, die Websites langfristig betreuen, sollten daher nicht nur bei der Erstimplementierung prüfen, sondern in regelmäßigen Abständen – und nach jedem Update, das Tracking-Konfigurationen berühren könnte. Ein Screenshot des Banners reicht nicht: Entscheidend ist der technische Zustand auf Netzwerkebene, also ob Skripte tatsächlich erst nach dem Consent geladen werden.

Dieser Nachweis lässt sich durch einen strukturierten Scan-Bericht erbringen, der beide Zustände dokumentiert: den Zustand vor dem Consent (Pre-Consent) und nach dem Consent (Post-Consent). Ein solcher Beweis-Block ist das, was Complianty als zentrales Prüfinstrument bereitstellt – unabhängig davon, welchen Banner-Anbieter der Kunde einsetzt. Complianty verkauft keinen Banner und hat kein Interesse daran, einen bestimmten CMP-Anbieter zu empfehlen; die Prüfung erfolgt technologieneutral auf Basis des tatsächlichen Netzwerkverhaltens.

Die folgende Checkliste fasst zusammen, woran ein cookie Banner DSGVO-konform erkennbar ist. Sie eignet sich als Prüfraster vor jeder Übergabe und nach jedem Update. Der erste Punkt lässt sich nur über einen technischen Pre-Consent-Scan verlässlich beantworten, die übrigen sind am Banner selbst prüfbar:

  • Kein Tracking vor dem Consent: Vor dem Klick feuert kein nicht notwendiges Skript – auf Netzwerkebene belegt, nicht per Augenschein.
  • Ablehnen so einfach wie Akzeptieren: „Alle ablehnen" steht gleichwertig auf der ersten Ebene – gleiche Klickzahl, vergleichbare Größe und Farbe.
  • Keine vorangekreuzten Kategorien: Analyse- und Marketing-Cookies sind standardmäßig deaktiviert.
  • Zweck, Anbieter und Speicherdauer transparent: Auf der ersten Ebene oder unmittelbar zugänglich – nicht in einem verlinkten 40-Seiten-PDF.
  • Drittanbieter namentlich genannt: Google, Meta & Co. sind explizit aufgeführt, nicht hinter „unsere Partner" versteckt.
  • Widerruf jederzeit möglich: Ein dauerhaft erreichbarer Weg (Footer-Link oder Widget), die Einwilligung zurückzuziehen.
  • Banner auf allen Seiten wirksam: Auch beim Direkteinstieg auf eine Unterseite erscheint er und blockiert Tracking.
  • CMP korrekt gekoppelt: Jedes nicht notwendige Skript hängt an einer Consent-Kategorie (Tag Manager / Consent Mode v2), nicht hartkodiert im Quellcode.
  • Consent revisionssicher dokumentiert: Zeitstempel, Banner-Version und gewählte Kategorien sind nachweisbar gespeichert.
  • Mandantentrennung: Bei mehreren Projekten beeinflussen sich die Consent-Konfigurationen nicht gegenseitig.
  • Regelmäßige Re-Prüfung: Nach jedem Plugin-Update, CMP-Wechsel oder neuer Tracking-Integration wird der technische Status erneut geprüft.

Hakt einer dieser Punkte, ist der Banner nicht rechtssicher – unabhängig davon, wie professionell er aussieht. Besonders der erste Punkt bleibt ohne technische Prüfung unsichtbar.

Nächster Schritt: Technischen Status prüfen lassen

Ob ein Cookie Banner wirklich DSGVO-konform funktioniert, lässt sich nicht allein durch Inaugenscheinnahme feststellen. Die entscheidende Frage – feuern Skripte vor dem Consent? – beantwortet nur eine technische Analyse auf Netzwerkebene. Für Agenturen, die mehrere Kundenprojekte betreuen, ist ein strukturierter, wiederholbarer Prüfprozess keine Kür, sondern Grundlage einer belastbaren Compliance-Dokumentation.

Einen solchen Prozess bietet der Cookie Banner Audit von Complianty: Pre- und Post-Consent-Scan mit dokumentiertem Beweis-Block, mandantenfähig für Agenturen mit mehreren Projekten – ohne Interessenkonflikt, weil Complianty keinen Banner verkauft.