Cookie-Banner: Ihre Rechte und wie Sie richtig ablehnen

Cookie-Banner: Ihre Rechte

Cookie-Banner gehören zum Alltag im Internet — und sie sind oft bewusst so gestaltet, dass Sie möglichst schnell auf „Alle akzeptieren" klicken. Die Verbraucherzentrale Finanzen und Versicherungen erklärt Ihre Rechte und zeigt, wie Sie Cookies richtig ablehnen.

Die Rechtslage ist klar: Sie haben das Recht, nicht-essentielle Cookies abzulehnen, und dies muss genauso einfach sein wie das Akzeptieren. In der Praxis ignorieren viele Webseitenbetreiber diese Vorgabe. Wir zeigen Ihnen, was Sie dagegen tun können.

Nach Untersuchungen der Datenschutzkonferenz (DSK) verstoßen über 70 % der Cookie-Banner auf deutschen Webseiten gegen geltende Datenschutzvorschriften. Die häufigsten Verstöße: fehlender Ablehnen-Button, vorausgewählte Einwilligungen und manipulatives Design. Als Verbraucher haben Sie wirksame Instrumente, diese Missstände zu melden.

DSGVO-Anforderungen an Cookies

Die rechtliche Grundlage für Cookie-Banner bilden die DSGVO (Datenschutz-Grundverordnung) und das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, ehemals TTDSG), das die EU-ePrivacy-Richtlinie in deutsches Recht umsetzt:

• § 25 TDDDG: Die Speicherung von Informationen auf dem Endgerät des Nutzers (Cookies) oder der Zugriff darauf ist nur mit Einwilligung zulässig — es sei denn, es handelt sich um technisch notwendige Cookies
• Art. 7 DSGVO: Die Einwilligung muss freiwillig, informiert und unmissverständlich sein. Sie muss aktiv erteilt werden (Opt-in, nicht Opt-out)
• Art. 7 Abs. 3 DSGVO: Die Einwilligung muss jederzeit widerrufbar sein, und der Widerruf muss so einfach sein wie die Erteilung

Welche Cookies sind betroffen?

Technisch notwendige Cookies (z. B. Warenkorb, Login-Status) dürfen ohne Einwilligung gesetzt werden. Alle anderen Cookies — insbesondere Tracking-, Marketing- und Analyse-Cookies — erfordern die vorherige, aktive Einwilligung des Nutzers. Eine vorangekreuzte Checkbox reicht nicht aus.

Der Ablehnen-Button: Pflicht seit 2022

Die Datenschutzkonferenz (DSK) hat 2022 in einer richtungsweisenden Orientierungshilfe klargestellt: Ein Cookie-Banner muss eine gleichwertige Möglichkeit bieten, Cookies abzulehnen. Das bedeutet konkret:

• Der „Ablehnen"-Button muss auf der ersten Ebene des Banners sichtbar sein — nicht versteckt in den Einstellungen
• Der „Ablehnen"-Button muss in Größe, Farbe und Platzierung gleichwertig zum „Akzeptieren"-Button sein
• Die Ablehnung darf nicht mehr Klicks erfordern als die Zustimmung
• Nach der Ablehnung darf der Banner nicht erneut erscheinen (für einen angemessenen Zeitraum)

Der Europäische Gerichtshof (EuGH) hat in mehreren Urteilen bestätigt, dass eine Einwilligung nur dann gültig ist, wenn sie freiwillig, ohne Druck und mit einer echten Wahlmöglichkeit erteilt wird. Ein Cookie-Banner ohne Ablehnen-Option auf der ersten Ebene verstößt gegen diese Anforderung.

Dark Patterns bei Cookie-Bannern

Viele Webseitenbetreiber setzen bewusst Dark Patterns ein, um Nutzer zur Einwilligung zu manipulieren. Die häufigsten Tricks:

• Farbliche Hervorhebung: Der „Akzeptieren"-Button ist groß und bunt, der „Ablehnen"-Button klein und grau
• Versteckte Ablehnung: Die Ablehnung ist nur über „Einstellungen" → „Alle deaktivieren" → „Speichern" erreichbar (3+ Klicks)
• Guilt-Tripping: Formulierungen wie „Wir respektieren Ihre Privatsphäre" über dem Akzeptieren-Button, während Ablehnung als unkooperativ dargestellt wird
• Vorausgewählte Checkboxen: In den Einstellungen sind alle Cookies vorausgewählt — Sie müssen jeden einzelnen deaktivieren
• Cookie-Wall: Die Webseite ist ohne Cookie-Einwilligung nicht nutzbar — in den meisten Fällen unzulässig
• Wiederholtes Nachfragen: Nach Ablehnung erscheint der Banner beim nächsten Besuch erneut

All diese Praktiken verstoßen gegen die DSGVO und können bei der zuständigen Datenschutzbehörde gemeldet werden. Der Digital Services Act (DSA) verbietet manipulative Designelemente explizit und stärkt die Durchsetzungsmöglichkeiten.

Consent-Management richtig nutzen

Wenn ein Cookie-Banner Einstellungsmöglichkeiten bietet, nutzen Sie diese gezielt:

• Technisch notwendig: Diese Cookies können nicht deaktiviert werden und sind für die Grundfunktion der Webseite erforderlich — das ist in Ordnung
• Analyse/Statistik: Tracking Ihres Nutzerverhaltens — Sie können diese bedenkenlos ablehnen
• Marketing/Werbung: Dienen der personalisierten Werbung — ablehnen hat keine Auswirkung auf die Webseiten-Nutzung
• Externe Medien: Für eingebettete Videos oder Social-Media-Inhalte — können bei Bedarf einzeln zugelassen werden

Merken Sie sich als Faustregel: Nur „technisch notwendige" Cookies sind wirklich notwendig. Alle anderen Kategorien dienen den Interessen des Webseitenbetreibers, nicht Ihren.

Browser-Einstellungen optimieren

Unabhängig von Cookie-Bannern können Sie Ihren Browser so konfigurieren, dass Tracking minimiert wird:

• Drittanbieter-Cookies blockieren: In den Browser-Einstellungen können Sie Cookies von Drittanbietern generell blockieren. Firefox, Safari und Brave tun dies standardmäßig
• Cookies beim Schließen löschen: Konfigurieren Sie Ihren Browser so, dass Cookies beim Schließen automatisch gelöscht werden
• Do-Not-Track: Aktivieren Sie die Do-Not-Track-Funktion — auch wenn sie nicht von allen Webseiten respektiert wird, signalisiert sie Ihren Wunsch nach Privatsphäre
• Privater Modus: Nutzen Sie den privaten/inkognito Modus für Webseiten, denen Sie nicht vertrauen

Beschwerde bei Datenschutzbehörde

Wenn ein Cookie-Banner gegen die DSGVO verstößt, können Sie sich bei der zuständigen Datenschutzbehörde beschweren. So gehen Sie vor:

• Schritt 1: Dokumentieren Sie den Verstoß mit Screenshots (Cookie-Banner, fehlender Ablehnen-Button, Dark Patterns)
• Schritt 2: Identifizieren Sie die zuständige Datenschutzbehörde — bei in Deutschland ansässigen Unternehmen ist dies der Landesdatenschutzbeauftragte des Bundeslandes, in dem das Unternehmen seinen Sitz hat
• Schritt 3: Reichen Sie Ihre Beschwerde über das Online-Formular der Behörde ein. Die meisten Behörden bieten unkomplizierte Online-Beschwerdeformulare an
• Schritt 4: Die Datenschutzbehörde prüft Ihre Beschwerde und kann Bußgelder verhängen oder Anordnungen erlassen

Beschwerden sind kostenlos und können auch anonym eingereicht werden. Je mehr Verbraucher Verstöße melden, desto höher der Druck auf Webseitenbetreiber, die DSGVO einzuhalten.

Aktuelle Urteile zu Cookie-Bannern

Die Rechtsprechung zu Cookie-Bannern hat sich in den letzten Jahren stark weiterentwickelt:

• EuGH „Planet49" (2019): Vorausgewählte Checkboxen sind keine gültige Einwilligung — Opt-in ist Pflicht
• BGH „Cookie-Einwilligung II" (2020): Cookies erfordern die aktive, informierte Einwilligung des Nutzers
• Beschluss der DSK (2022): Ablehnen muss auf der ersten Ebene des Banners genauso einfach sein wie Akzeptieren
• BVerwG (2024): Cookie-Walls sind grundsätzlich unzulässig, wenn sie den Zugang zu wesentlichen Inhalten blockieren
• CNIL-Bußgelder (Frankreich): Die französische Datenschutzbehörde hat Bußgelder in Millionenhöhe gegen Google und Facebook wegen mangelhafter Cookie-Banner verhängt — richtungsweisend auch für Deutschland

Nützliche Tools und Erweiterungen

Verschiedene Browser-Erweiterungen helfen Ihnen, Cookie-Banner automatisch abzulehnen:

• uBlock Origin: Blockiert neben Werbung auch viele Cookie-Banner und Tracking-Skripte
• I don't care about cookies: Lehnt Cookie-Banner automatisch ab (achten Sie auf die Original-Erweiterung, nicht die von Avast übernommene Version)
• Consent-O-Matic: Open-Source-Erweiterung, die Cookie-Banner automatisch mit minimalen Einwilligungen beantwortet
• Privacy Badger: Von der Electronic Frontier Foundation (EFF) entwickelt — lernt automatisch, welche Tracker blockiert werden sollten

Diese Tools ersetzen nicht Ihre Rechte, erleichtern aber den Alltag erheblich. Für maximalen Schutz empfiehlt die Verbraucherzentrale Finanzen und Versicherungen die Kombination aus uBlock Origin und Consent-O-Matic.

Fazit: Bestehen Sie auf Ihre Rechte

Cookie-Banner sind keine lästige Formalität, sondern Ausdruck Ihres Grundrechts auf Datenschutz. Sie haben das Recht, nicht-essentielle Cookies abzulehnen, und Webseitenbetreiber sind verpflichtet, Ihnen diese Wahl einfach zu machen.

Die Verbraucherzentrale Finanzen und Versicherungen empfiehlt: Nehmen Sie sich die wenigen Sekunden, um Cookies abzulehnen statt blind auf „Alle akzeptieren" zu klicken. Nutzen Sie Browser-Erweiterungen, um den Aufwand zu minimieren. Und melden Sie Verstöße bei der zuständigen Datenschutzbehörde — nur durch konsequente Durchsetzung wird sich die Praxis verbessern. Ihre Daten gehören Ihnen.