Cookie-Banner Abmahnung 2025: Reject-All Pflicht und was Sie beachten müssen

Der „Alle akzeptieren"-Button ist groß und grün. Der „Ablehnen"-Button? Klein, grau, versteckt hinter „Einstellungen". Das kennen Sie — und genau das ist seit 2024 abmahnfähig.

Cookie-Banner gehören zu den häufigsten Abmahnfallen im deutschsprachigen Internet. Die Rechtslage hat sich in den letzten zwei Jahren deutlich verschärft: Wer keinen gleichwertigen Ablehnen-Button zeigt, riskiert Post vom Anwalt. Dieser Artikel erklärt die aktuelle Rechtslage, die häufigsten Fehler und wie ein konformer Banner aussieht.

Aktuelle Rechtslage: Was gilt?

Die Rechtsgrundlagen

Cookie-Banner werden in Deutschland durch zwei Gesetze geregelt:

1. §25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, vormals TTDSG): Regelt das Setzen und Auslesen von Cookies und ähnlichen Technologien. Einwilligung ist Pflicht — mit wenigen Ausnahmen.

2. Art. 7 DSGVO: Regelt die Anforderungen an eine wirksame Einwilligung. Sie muss freiwillig, informiert, spezifisch und unmissverständlich sein.

Das BGH-Urteil: Planet49 und die Folgen

Der BGH hat in seiner Entscheidung vom 28.05.2020 (I ZR 7/16 — „Planet49") klargestellt:

• Opt-in ist Pflicht. Vorangekreuzte Checkboxen reichen nicht.
• Die Einwilligung muss aktiv erfolgen. Der Nutzer muss selbst klicken.
• Tracking-Cookies ohne Einwilligung sind unzulässig. Wer Google Analytics, Meta Pixel oder Hotjar ohne Consent lädt, verstößt gegen §25 TDDDG.

Reject-All Pflicht: VG Hannover März 2025

Die entscheidende Weiterentwicklung kam 2025 — mit einem Urteil, das die Praxis verbindlich ändert:

VG Hannover, 19. März 2025 (Az. 10 A 5385/22): Das Gericht stellte klipp und klar fest: Wenn ein Cookie-Banner einen „Alle akzeptieren"-Button anbietet, muss ein gleichwertiger „Alles ablehnen"-Button auf derselben Ebene vorhanden sein. Das Gericht beanstandete konkret:

• Ablehnen war deutlich umständlicher als Akzeptieren
• Wiederholte Banner-Einblendungen wurden als Einwilligungsdruck gewertet
• Ein Schließen-Button, der als „akzeptieren und schließen" funktionierte, war irreführend
• Die Headline „optimales Nutzungserlebnis" wurde als Manipulation eingestuft

Weitere Meilensteine:

• Datenschutzkonferenz (DSK), Orientierungshilfe 2023: „Ablehnen" muss auf der ersten Ebene des Banners verfügbar sein.
• Französische CNIL, Dezember 2025: 1,5 Mio. EUR Bußgeld gegen ein Finanzunternehmen und 750.000 EUR gegen ein Medienunternehmen — wegen Cookie-Verstößen.
• Französische CNIL (früher): 150 Mio. EUR gegen Google und 60 Mio. EUR gegen Facebook für Banner ohne gleichwertigen Ablehnen-Button.

Die Kern-Regel: „Ablehnen" muss genauso einfach sein wie „Akzeptieren". Gleiche Ebene, gleiche Größe, gleiche Sichtbarkeit.

Die 5 häufigsten Cookie-Banner-Fehler

1. Kein Ablehnen-Button auf der ersten Ebene

Das Problem: Der Nutzer sieht nur „Alle akzeptieren" und „Einstellungen". Um Cookies abzulehnen, muss er zuerst auf „Einstellungen" klicken, dort alle Regler einzeln deaktivieren und dann bestätigen.

Die Regel: „Alle ablehnen" (oder „Nur notwendige") muss direkt sichtbar sein — ohne zusätzlichen Klick.

Abmahnrisiko: Hoch. Die häufigste Abmahngrundlage bei Cookie-Bannern.

2. Unterschiedliche Gestaltung der Buttons

Das Problem: „Akzeptieren" ist ein farbiger, großer Button. „Ablehnen" ist ein unterstrichener Textlink in Grau, kleiner Schriftgröße.

Die Regel: Beide Optionen müssen gleichwertig gestaltet sein. Gleiche Größe, gleicher Typ (beide Buttons oder beide Links), ähnliche Farbgebung.

Abmahnrisiko: Mittel bis hoch — besonders wenn der Kontrast-Unterschied offensichtlich ist.

3. Vorausgewählte Kategorien

Das Problem: Beim Öffnen der Cookie-Einstellungen sind Kategorien wie „Marketing" oder „Statistik" bereits aktiviert. Der Nutzer muss sie aktiv abwählen.

Die Regel: Nur „Notwendige Cookies" dürfen vorausgewählt sein. Alle anderen Kategorien müssen standardmäßig deaktiviert sein (Opt-in, nicht Opt-out).

Abmahnrisiko: Hoch — direkter Verstoß gegen das Planet49-Urteil.

4. Cookie-Wall (Zustimmen oder gehen)

Das Problem: Der Banner blockiert die Seite komplett. Der Nutzer kann nur „Akzeptieren" klicken — oder die Seite verlassen. Kein Ablehnen, kein Schließen.

Die Regel: Eine Einwilligung, die unter Druck zustande kommt, ist nicht freiwillig und damit unwirksam (Art. 7 Abs. 4 DSGVO). Eine Cookie-Wall ist in den meisten Fällen unzulässig.

Abmahnrisiko: Sehr hoch — Verstoß gegen das Freiwilligkeitsprinzip.

5. Fehlende oder falsche Informationen

Das Problem: Der Banner informiert nicht darüber, welche Cookies gesetzt werden, zu welchem Zweck und wie lange sie gespeichert werden. Oder: Die Angaben stimmen nicht mit der Datenschutzerklärung überein.

Die Regel: Der Nutzer muss vor der Einwilligung informiert werden (Art. 13 DSGVO). Mindestens: Welche Kategorien, welcher Zweck, welche Empfänger, Speicherdauer. Der Link zur Datenschutzerklärung muss im Banner erreichbar sein.

Abmahnrisiko: Mittel — wird oft in Kombination mit anderen Fehlern abgemahnt.

Dark Patterns: Was ist verboten?

Der Begriff „Dark Pattern" beschreibt Designtricks, die Nutzer zu einer bestimmten Entscheidung manipulieren. Bei Cookie-Bannern gibt es klare Grenzen:

Verbotene Dark Patterns

| Pattern | Beschreibung | Rechtliche Bewertung | |---|---|---| | Farb-Manipulation | Akzeptieren = kräftige Farbe, Ablehnen = ausgegraut | Unzulässig — ungleichwertige Gestaltung | | Versteckter Ablehnen-Button | Ablehnen erst auf zweiter Ebene | Unzulässig — DSK-Orientierungshilfe | | Confirm Shaming | „Nein, ich möchte keine sichere Website" | Unzulässig — Druckausübung | | Endlos-Einstellungen | 47 einzelne Regler, die man einzeln deaktivieren muss | Unzulässig — keine gleichwertige Alternative | | Auto-Ablauf | Banner verschwindet nach 10 Sekunden, Cookies werden gesetzt | Unzulässig — keine aktive Einwilligung | | Scrolling = Consent | Weiterscrollen gilt als Zustimmung | Unzulässig — EuGH hat aktive Handlung gefordert |

Erlaubte Gestaltung

• Zwei gleichwertige Buttons: „Alle akzeptieren" + „Nur notwendige" (gleiche Größe, gleicher Stil)
• Drei-Button-Modell: „Akzeptieren" + „Nur notwendige" + „Einstellungen" (alle drei gleich prominent)
• Neutrale Farben: Beide Buttons in der gleichen Farbe, oder „Akzeptieren" dezent hervorgehoben (nicht massiv unterschiedlich)

Technische Umsetzung: Was ein konformer Banner enthält

Ein rechtssicherer Cookie-Banner muss diese Elemente haben:

Auf der ersten Ebene (sofort sichtbar)

1. Kurze Erklärung: Was Cookies sind und warum Sie sie nutzen (2-3 Sätze)
2. Button „Alle akzeptieren": Setzt alle Cookie-Kategorien
3. Button „Nur notwendige" oder „Alle ablehnen": Setzt nur technisch notwendige Cookies
4. Link zu „Einstellungen" oder „Individuell konfigurieren": Für granulare Auswahl
5. Link zur Datenschutzerklärung
6. Link zum Impressum (muss auch bei blockiertem Inhalt erreichbar sein)

Auf der zweiten Ebene (Cookie-Einstellungen)

1. Cookie-Kategorien mit Erklärung:
   • Notwendig (nicht deaktivierbar)
   • Statistik / Analyse
   • Marketing / Werbung
   • Externe Medien (YouTube, Google Maps, etc.)
2. Einzelne Cookies pro Kategorie: Name, Anbieter, Zweck, Speicherdauer
3. Speichern-Button: Übernimmt die individuelle Auswahl
4. Alle akzeptieren / Alle ablehnen: Auch in den Einstellungen verfügbar

Technische Anforderungen

• Cookies erst nach Consent setzen: Kein Tracking-Script darf vor der Einwilligung laden. Das heißt: Google Analytics, Meta Pixel etc. dürfen erst nach dem Klick auf „Akzeptieren" initialisiert werden.
• Consent dokumentieren: Speichern Sie, wann und wie der Nutzer zugestimmt hat (Timestamp, Version des Banners, gewählte Kategorien). Die DSGVO verlangt Nachweisbarkeit (Art. 7 Abs. 1).
• Consent widerrufbar: Der Nutzer muss seine Einwilligung jederzeit zurücknehmen können — z.B. über einen Cookie-Link im Footer.
• Barrierefreiheit: Der Banner muss per Tastatur bedienbar sein und für Screenreader zugänglich sein (siehe auch: BFSG Barrierefreiheit 2025).

Welche Cookies brauchen keine Einwilligung?

Nicht für alle Cookies ist eine Einwilligung nötig. §25 Abs. 2 TDDDG erlaubt Cookies ohne Einwilligung, wenn sie:

1. Technisch notwendig sind, um den Dienst bereitzustellen, den der Nutzer ausdrücklich angefordert hat

Beispiele:

| Cookie | Einwilligung nötig? | Begründung | |---|---|---| | Session-Cookie (Login) | ❌ Nein | Technisch notwendig für Login | | Warenkorb-Cookie | ❌ Nein | Technisch notwendig für Shop-Funktion | | Sprach-Auswahl | ❌ Nein | Technisch notwendig für Nutzererlebnis | | Cookie-Consent-Cookie | ❌ Nein | Speichert die Einwilligung selbst | | Google Analytics | ✅ Ja | Statistik, nicht für Bereitstellung nötig | | Meta Pixel | ✅ Ja | Marketing/Tracking | | YouTube-Embed (Standard) | ✅ Ja | Setzt Tracking-Cookies | | YouTube-Embed (nocookie) | ❌ Nein | youtube-nocookie.com setzt keine Cookies vor dem Abspielen | | Google Fonts (extern) | ⚠️ Diskutiert | IP-Übertragung, besser lokal einbinden |

Was tun nach einer Cookie-Banner-Abmahnung?

1. Banner sofort korrigieren. Die Rechtsverletzung muss aufhören — unabhängig von der rechtlichen Bewertung der Abmahnung.
2. Abmahnung prüfen lassen. Nicht jede Abmahnung ist berechtigt. Manche sind überzogen oder formal fehlerhaft.
3. Modifizierte Unterlassungserklärung abgeben. Die vorformulierte Erklärung ist oft zu weit gefasst. Lassen Sie eine eigene Version aufsetzen.
4. Consent-Management-Tool prüfen. Wenn Sie ein CMP nutzen (Cookiebot, Borlabs, Usercentrics): Ist es korrekt konfiguriert? Viele CMPs sind ab Werk nicht rechtskonform.

Prüfen Sie Ihren Cookie-Banner automatisch

Ist Ihr Cookie-Banner abmahnsicher? Der kostenlose Abmahn-Risiko-Check von easyRechtssicher analysiert Ihren Banner automatisch: Wird ein Ablehnen-Button angezeigt? Werden Cookies vor dem Consent gesetzt? Sind die Buttons gleichwertig gestaltet?

Zusätzlich prüft der Check alle anderen Abmahn-Risiken — von Impressum über AVV-Pflicht bis §312j BGB.

→ Jetzt Cookie-Banner prüfen lassen

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Die Rechtslage bei Cookie-Bannern entwickelt sich laufend weiter. Für eine aktuelle rechtliche Bewertung wenden Sie sich an einen Rechtsanwalt. Stand: April 2026.