Braucht deine Website einen Cookie-Banner? (2026)

Q: Brauche ich einen Cookie-Banner, wenn ich keine Cookies setze?

Nein. Wenn die Website keine Cookies setzt, die über das technisch Notwendige hinausgehen, ist kein Banner erforderlich. Allerdings sollte sichergestellt sein, dass auch keine eingebundenen Dienste im Hintergrund Cookies setzen.

Q: Sind selbst gehostete Schriften DSGVO-konform?

Ja. Wenn die Schriftdateien auf dem eigenen Server liegen und keine Verbindung zu einem Drittanbieter aufgebaut wird, werden keine personenbezogenen Daten an Dritte übertragen.

Q: Was ist mit dem Cookie meines Kontaktformulars?

Wenn das Kontaktformular ein technisch notwendiges Cookie setzt, etwa einen CSRF-Token zum Schutz vor Spam, ist das ohne Einwilligung zulässig. Das Cookie dient der Sicherheit, nicht dem Tracking.

Kaum eine Website ohne: Das Overlay, das dich beim ersten Besuch fragt, ob du alles akzeptierst, nur das Nötigste willst oder dich durch 47 Unterkategorien klicken möchtest. Cookie-Banner sind überall. Aber die wenigsten Websitebetreiber wissen, wann sie tatsächlich einen brauchen. Und noch weniger wissen, dass man das Problem an der Wurzel lösen kann.

Wann ein Cookie-Banner Pflicht ist

Die Regel ist einfacher, als sie klingt. Seit Dezember 2021 regelt in Deutschland das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz, § 25), wann eine Einwilligung nötig ist: Immer dann, wenn auf dem Endgerät des Nutzers Informationen gespeichert oder ausgelesen werden, die nicht technisch notwendig sind. Technisch notwendig bedeutet: Die Website funktioniert ohne sie nicht. Ein Session-Cookie, das den Warenkorb am Leben hält, ist notwendig. Ein Tracking-Cookie von Google Analytics ist es nicht.

Sobald du einen Dienst einbindest, der Cookies setzt oder Nutzerdaten an Dritte überträgt, brauchst du eine aktive Einwilligung des Besuchers, bevor der Dienst geladen wird. Das betrifft:

Google Analytics und vergleichbare Tracking-Tools
Facebook Pixel, LinkedIn Insight Tag, TikTok Pixel
Eingebettete YouTube-Videos (ohne nocookie-Variante)
Google Maps direkt eingebunden
Google Fonts, die von Googles Servern geladen werden
Chat-Widgets von Drittanbietern
Werbenetzwerke und Retargeting

Wer einen dieser Dienste nutzt und keinen Cookie-Banner hat, verstößt gegen die DSGVO. Wer keinen dieser Dienste nutzt, braucht keinen Banner.

Warum so viele Websites einen haben

Die meisten Websites setzen auf fertige Lösungen: WordPress mit Plugins, Baukästen wie Wix oder Squarespace. Diese Systeme laden standardmäßig externe Ressourcen. Google Fonts von Google, YouTube-Embeds, Analytics-Snippets, Social-Media-Buttons. Jeder einzelne dieser Dienste erzeugt eine Verbindung zu einem Drittserver und überträgt dabei Nutzerdaten.

Das Ergebnis: Die Website braucht einen Cookie-Banner. Nicht weil die Inhalte es erfordern, sondern weil die Technik dahinter Abhängigkeiten geschaffen hat, die ohne Einwilligung nicht rechtskonform sind.

Was passiert, wenn du keinen hast, aber einen bräuchtest

Abmahnungen wegen fehlender Cookie-Einwilligung gibt es. Der bekannteste Fall in Deutschland waren die Google-Fonts-Abmahnwellen ab 2022. Tausende Websitebetreiber erhielten Schreiben, weil ihre Seiten Schriften direkt von Google luden und dabei IP-Adressen ohne Einwilligung übertrugen.

Das ist kein theoretisches Risiko. Es trifft Selbständige, Handwerker, kleine Unternehmen. Genau die, die sich keine Rechtsabteilung leisten können.

Ein Cookie-Banner ist kein Feature. Er ist ein Symptom. Wer ihn braucht, hat Abhängigkeiten auf der Website, die er hinterfragen sollte.

Wie ich das bei meinen Projekten löse

Meine Websites brauchen keinen Cookie-Banner. Das ist kein Zufall, sondern Prinzip. Der Ansatz ist simpel: Wenn kein Dienst Daten an Dritte überträgt, gibt es nichts, wozu der Besucher einwilligen müsste.

Konkret bedeutet das:

Schriften lokal hosten: Ich lade keine Google Fonts über Googles Server. Die Schriftdateien liegen direkt auf dem Webserver. Kein Verbindungsaufbau zu Google, keine Datenübertragung.
Keine externen CDNs: Kein Bootstrap von einem CDN, kein jQuery von Google. Alles, was die Website braucht, liegt lokal. Kein einziger Request an einen Fremdserver.
Kein Tracking: Kein Google Analytics, kein Facebook Pixel, kein Retargeting. Für die meisten kleinen Websites sind Server-Logs oder selbst gehostetes Matomo vollkommen ausreichend.
Keine Social-Media-Buttons mit Tracking: Einfache Links statt eingebetteter Like-Buttons, die beim Laden bereits Daten übertragen.
Videos und Karten nur auf Klick: Wenn ein YouTube-Video oder eine Karte nötig ist, wird sie erst geladen, nachdem der Besucher aktiv klickt. Oder ich nutze datenschutzfreundliche Alternativen wie YouTube-nocookie und OpenStreetMap.

Das klingt nach Einschränkung. Ist es aber nicht. Es ist sauberes Webdesign.

Was du davon hast

Kein Cookie-Banner bedeutet nicht nur weniger rechtliches Risiko. Es hat direkte Auswirkungen auf die Qualität deiner Website:

Schnellere Ladezeit: Keine externen Requests bedeutet weniger Wartezeit. Jeder Drittanbieter-Dienst kostet Millisekunden, manchmal Sekunden. Eine Website, die alles lokal lädt, ist messbar schneller.
Bessere Nutzererfahrung: Kein Overlay, das den Besucher beim ersten Klick blockiert. Der Inhalt ist sofort da.
Weniger Abhängigkeiten: Wenn Googles CDN ausfällt, lädt deine Website trotzdem. Wenn ein Drittanbieter seine Nutzungsbedingungen ändert, betrifft dich das nicht.
Bessere Core Web Vitals: Google misst, wie schnell deine Seite interaktiv wird. Externe Skripte verzögern das. Ohne sie sind die Werte besser.

Was ist mit WordPress

WordPress macht es schwer, ohne Cookie-Banner auszukommen. Viele Themes laden Google Fonts standardmäßig. Plugins binden externe Dienste ein. Selbst ein simples Kontaktformular-Plugin kann Daten an Drittserver senden, ohne dass du es merkst.

Das heißt nicht, dass es unmöglich ist. Es heißt, dass du bei WordPress aktiv dagegen arbeiten musst: Fonts manuell lokalisieren, Plugins auf externe Verbindungen prüfen, Theme-Einstellungen kontrollieren. Das kostet Zeit und technisches Verständnis.

Bei einer individuell gebauten Website stellt sich das Problem gar nicht erst. Wenn nichts Externes eingebunden wird, gibt es nichts zu entfernen.

Wann du trotzdem einen Cookie-Banner brauchst

Es gibt Fälle, in denen ein Cookie-Banner die richtige Lösung ist. Wenn du einen Online-Shop mit Conversion-Tracking betreibst, wirst du um Google Analytics oder ein vergleichbares Tool nicht herumkommen. Wenn du Werbeanzeigen schaltest und Retargeting nutzt, brauchst du Tracking-Pixel.

In diesen Fällen ist der Cookie-Banner kein Problem, sondern die korrekte Reaktion auf einen legitimen Bedarf. Wichtig ist nur, dass er richtig umgesetzt wird: Opt-in statt Opt-out, keine vorausgewählten Häkchen, echte Wahlmöglichkeit.

Für die allermeisten Selbständigen, Handwerker und Dienstleister mit einer klassischen Firmenwebsite gilt das aber nicht. Eine saubere Website ohne Tracking kommt ohne Banner aus.

Kein Anwalt, keine Rechtsberatung

Ich bin Webdesigner, kein Jurist. Dieser Artikel beschreibt, was ich in meiner Arbeit als technische Grundlage umsetze. Die rechtliche Bewertung deiner konkreten Situation kann nur ein Anwalt für IT-Recht oder ein Datenschutzbeauftragter leisten. Was ich hier beschreibe, basiert auf der DSGVO (Datenschutz-Grundverordnung), der ePrivacy-Richtlinie und dem TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), die in Deutschland die Rechtsgrundlage für Cookies und Einwilligung bilden.

Wie du prüfst, ob deine Website Cookies setzt

Öffne deine Website im Browser. Rechtsklick, Entwicklertools, Tab „Anwendung" (Chrome) oder „Datenspeicher" (Firefox). Unter „Cookies" siehst du, welche Cookies gesetzt werden und von welcher Domain sie kommen.

Wenn dort nur Cookies von deiner eigenen Domain stehen und diese technisch notwendig sind (Session, CSRF-Token), brauchst du keinen Banner. Wenn dort Einträge von google.com, facebook.com, doubleclick.net oder ähnlichen Domains auftauchen, brauchst du einen.

Häufig gestellte Fragen

Brauche ich einen Cookie-Banner, wenn ich keine Cookies setze?

Nein. Wenn deine Website keine Cookies setzt, die über das technisch Notwendige hinausgehen, ist kein Banner erforderlich. Allerdings solltest du sicherstellen, dass auch keine eingebundenen Dienste im Hintergrund Cookies setzen, ohne dass du es weißt.

Reicht es, wenn ich „Wir verwenden Cookies" anzeige?

Nein. Ein reines Informationsbanner ohne echte Wahlmöglichkeit erfüllt die DSGVO-Anforderungen nicht. Der Besucher muss aktiv einwilligen können und muss die Möglichkeit haben, nicht-notwendige Cookies abzulehnen, bevor sie gesetzt werden.

Sind selbst gehostete Schriften wirklich DSGVO-konform?

Ja. Wenn die Schriftdateien auf deinem eigenen Server liegen und beim Laden keine Verbindung zu einem Drittanbieter aufgebaut wird, ist das datenschutzrechtlich unbedenklich. Es werden keine personenbezogenen Daten an Dritte übertragen.

Was ist mit dem Cookie meines Kontaktformulars?

Wenn dein Kontaktformular ein technisch notwendiges Cookie setzt, etwa einen CSRF-Token zum Schutz vor Spam, ist das ohne Einwilligung zulässig. Das Cookie dient der Sicherheit, nicht dem Tracking.

Kostet ein Cookie-Banner-Plugin etwas?

Die meisten guten Consent-Management-Lösungen kosten Geld. Kostenlose Varianten gibt es, aber sie sind oft unvollständig oder nicht rechtskonform. Besser als ein teures Plugin ist eine Website, die keins braucht.