Einleitung: Cookie-Banner im Jahr 2026
Cookie-Banner gehören seit Jahren zum festen Bild des deutschen Internets. Doch trotz einer Flut an Richtlinien, Urteilen und technischen Lösungen bleibt die Umsetzung auf vielen Websites mangelhaft. Für diesen Report hat ScanCompliance.de im ersten Quartal 2026 insgesamt 12.847 deutsche Unternehmenswebsites automatisiert auf ihre Cookie-Banner-Implementierung geprüft. Die Ergebnisse zeichnen ein ernüchterndes Bild.
Fast jede zweite Website (43 %) verfügt über kein funktionsfähiges Cookie-Banner oder zeigt ein Banner, das grundlegende DSGVO-Anforderungen nicht erfüllt. Bei 28 % der vorhandenen Banner konnten wir mindestens ein Dark Pattern identifizieren – also ein Designelement, das Nutzer gezielt zur Zustimmung drängt. Und bei 19 % der geprüften Seiten werden Tracking-Cookies gesetzt, noch bevor der Nutzer überhaupt eine Wahl getroffen hat. Die rechtlichen Konsequenzen dieser Mängel sind erheblich und werden von den Aufsichtsbehörden zunehmend strenger geahndet.
Kernergebnisse im Überblick
Die Zahlen zeigen, dass es trotz der mittlerweile etablierten Consent-Management-Plattformen weiterhin grosse Lücken in der praktischen Umsetzung gibt. Besonders kleine und mittelständische Unternehmen sind betroffen – sie verlassen sich häufig auf Standardvorlagen oder kostenlose Banner-Plugins, die technisch oder rechtlich nicht auf dem aktuellen Stand sind.
Dark Patterns: Wie Nutzer manipuliert werden
Dark Patterns in Cookie-Bannern sind Designtechniken, die Nutzer gezielt dazu verleiten, mehr Cookies zu akzeptieren als nötig. Die europäischen Datenschutzbehörden haben diese Praktiken in ihren Leitlinien von 2023 ausdrücklich als DSGVO-widrig eingestuft. Dennoch finden wir sie auf 28 % der untersuchten Websites.
Farbliche Hervorhebung des Akzeptieren-Buttons
22 %Der Zustimmen-Button ist farbig und prominent gestaltet, während die Ablehnung als grauer Text oder unauffälliger Link dargestellt wird. Dies ist das am häufigsten vorkommende Dark Pattern.
Versteckte Ablehn-Option
17 %Die Möglichkeit zur Ablehnung ist hinter einem zweiten Klick verborgen – typischerweise unter „Einstellungen" oder „Mehr erfahren". Nutzer müssen also zusätzliche Schritte unternehmen.
Vorausgewählte Cookie-Kategorien
11 %Marketing- oder Statistik-Cookies sind standardmässig aktiviert. Der Nutzer muss sie aktiv abwählen, was dem Grundsatz der informierten Einwilligung widerspricht.
Manipulative Texte und Formulierungen
8 %Formulierungen wie „Wir respektieren Ihre Privatsphäre" direkt neben einem prominenten Akzeptieren-Button suggerieren, dass die Zustimmung unproblematisch ist.
Wiederholtes Anzeigen nach Ablehnung
6 %Einige Banner erscheinen bei jedem Seitenaufruf erneut, wenn der Nutzer zuvor abgelehnt hat – eine Technik die darauf abzielt, den Nutzer zur Zustimmung zu ermüden.
Fehlende Ablehnen-Buttons: Das grösste Einzelproblem
61 % aller analysierten Cookie-Banner bieten keinen gleichwertigen Ablehnen-Button auf der ersten Ebene des Banners. Das ist bemerkenswert, weil die Rechtsprechung hier mittlerweile sehr eindeutig ist. Sowohl das LG München I als auch der Europäische Datenschutzausschuss (EDSA) haben klargestellt, dass die Ablehnung genauso einfach möglich sein muss wie die Zustimmung.
In der Praxis zeigt sich ein vielfältiges Bild: Manche Banner bieten nur einen "Alle akzeptieren"-Button und einen Link zu den Einstellungen, wo dann erst abgelehnt werden kann. Andere verstecken die Ablehnung in einer Datenschutzerklärung. Und einige Banner bieten schlicht gar keine Ablehn-Möglichkeit – der Nutzer kann nur zustimmen oder das Banner ignorieren, wobei dann häufig trotzdem Cookies gesetzt werden.
Rechtliche Einordnung
Das OLG Köln hat im November 2025 entschieden, dass ein Cookie-Banner ohne gleichwertigen Ablehnen-Button auf der ersten Interaktionsebene einen Wettbewerbsverstoß darstellt (Az. 6 U 58/25). Das Gericht stellte klar, dass die Einwillung nicht freiwillig ist, wenn die Ablehnung einen höheren Aufwand erfordert als die Zustimmung.
Branchendaten: Wer schneidet wie ab?
Die Cookie-Banner-Qualität variiert deutlich je nach Branche. E-Commerce-Websites schneiden dank professioneller Consent-Management-Plattformen am besten ab, während Handwerk und Gastronomie die grössten Defizite aufweisen.
| Branche | Kein Banner | Dark Patterns | Tracking vor Consent |
|---|---|---|---|
| E-Commerce | 18 % | 31 % | 22 % |
| Dienstleistung | 39 % | 26 % | 17 % |
| Gastronomie | 62 % | 24 % | 14 % |
| Handwerk | 71 % | 19 % | 9 % |
| Gesundheit | 34 % | 33 % | 21 % |
Auffällig ist, dass E-Commerce-Websites zwar häufiger ein Banner einsetzen, dafür aber öfter Dark Patterns verwenden. Das liegt vermutlich daran, dass professionelle CMPs zwar technisch korrekt arbeiten, die Konfiguration aber bewusst auf maximale Zustimmungsraten optimiert wird. Bei Handwerksbetrieben fehlt das Banner hingegen oft komplett – hier ist schlicht das Bewusstsein für die Thematik nicht vorhanden.
Rechtliche Entwicklungen 2025/2026
Das Jahr 2025 hat mehrere wegweisende Urteile und regulatorische Entscheidungen gebracht, die für Cookie-Banner relevant sind. Die wichtigsten Entwicklungen im Überblick:
EuGH-Urteil zu Einwilligungsbannern (C-604/22)
Der Europäische Gerichtshof hat im Juli 2025 bestätigt, dass Cookie-Banner eine echte Wahlmöglichkeit bieten müssen. Eine Einwilligung ist nur dann wirksam, wenn die Ablehnung gleichwertig dargestellt wird.
EDSA-Leitlinien zu Consent-Bannern (Version 2.0)
Der Europäische Datenschutzausschuss hat seine Leitlinien aktualisiert und konkrete Vorgaben zu Dark Patterns gemacht. Unter anderem wird gefordert, das Cookie-Banner keine vorausgewählten Kategorien enthalten dürfen.
BayLDA-Durchsetzungsverfahren gegen CMP-Anbieter
Das Bayerische Landesamt für Datenschutzaufsicht hat erstmals Verfahren gegen Consent-Management-Plattformen selbst eingeleitet, deren Standardkonfigurationen Dark Patterns enthielten.
Bußgeld gegen mittelständischen Online-Shop (250.000 €)
Die Berliner Datenschutzbehörde hat im September 2025 ein Bußgeld gegen einen Online-Shop verhängt, der trotz Abmahnung weiterhin Tracking-Cookies vor der Einwilligung setzte.
Tracking vor Einwilligung: Das unsichtbare Problem
Bei 19 % der untersuchten Websites werden Tracking-Scripte geladen, bevor der Nutzer eine Einwilligung erteilt hat. Dieses Problem ist besonders tückisch, weil es für den Website-Betreiber oft nicht sichtbar ist. Das Cookie-Banner wird zwar angezeigt, aber die technische Implementierung blockiert die Scripte nicht tatsächlich.
Unsere Analyse zeigt, dass Google Analytics (ga.js, gtag.js) und das Meta Pixel die am häufigsten betroffenen Scripte sind. In vielen Fällen liegt das Problem darin, dass der Google Tag Manager falsch konfiguriert ist: Die Tags feuern im "Consent-Initialisierung"-Modus statt erst nach erteilter Einwilligung. Auch WordPress-Plugins sind eine häufige Quelle – sie fügen Tracking-Code direkt in den HTML-Header ein, unabängig vom Consent-Status.
Consent-Management-Plattformen im Vergleich
Wir haben auch untersucht, welche Consent-Management-Plattformen (CMPs) auf den analysierten Websites zum Einsatz kommen und wie deren Standardkonfigurationen abschneiden. Die verbreitetsten Lösungen in Deutschland sind Cookiebot, Usercentrics und Borlabs Cookie.
Grundsätzlich bieten alle drei Plattformen die technische Möglichkeit, einen DSGVO-konformen Banner zu erstellen. Die Unterschiede liegen im Detail: Cookiebot und Usercentrics bieten in der Standardkonfiguration bereits einen gleichwertigen Ablehnen-Button, während bei Borlabs Cookie die Konfiguration manuell angepasst werden muss. Bei allen Plattformen ist es möglich, Dark Patterns zu konfigurieren – ob dies geschieht, liegt letztlich in der Verantwortung des Website-Betreibers.
Handlungsempfehlungen für Website-Betreiber
Basierend auf unseren Daten und der aktuellen Rechtslage empfehlen wir folgende Maßnahmen, um Ihren Cookie-Banner DSGVO-konform zu gestalten:
1. Gleichwertigen Ablehnen-Button auf der ersten Ebene
Stellen Sie sicher, dass „Alle ablehnen" genau so prominent dargestellt wird wie „Alle akzeptieren". Gleiches Farbschema, gleiche Größe, gleiche Position.
2. Keine vorausgewählten Kategorien
Cookie-Kategorien wie Marketing oder Statistik dürfen nicht standardmäßig aktiviert sein. Nur essenzielle Cookies dürfen ohne Einwilligung gesetzt werden.
3. Technische Blockierung vor Consent
Prüfen Sie mit den Browser-DevTools oder einem Scanner, ob wirklich keine Tracking-Scripte vor der Einwilligung geladen werden. Die bloße Anzeige eines Banners reicht nicht aus.
4. Regelmäßige automatisierte Prüfung
Cookie-Banner können durch CMS-Updates, Plugin-Änderungen oder neue Marketing-Tags jederzeit fehlerhaft werden. Ein regelmässiger Check schafft Sicherheit.
5. Dokumentation der Einwilligungen
Halten Sie fest, wann und wie Einwilligungen erteilt wurden. Dies ist im Fall einer behördlichen Prüfung oder Abmahnung essentiell als Nachweis.
Methodik
Für diese Analyse wurden 12.847 deutsche Unternehmenswebsites mit dem ScanCompliance.de-Scanner automatisiert geprüft. Die Auswahl erfolgte zufällig aus öffentlichen Unternehmensverzeichnissen. Jede Website wurde auf folgende Cookie-Banner-Aspekte untersucht: Vorhandensein eines Banners, Gleichwertigkeit der Ablehnen-Option, Dark-Pattern-Erkennung, vorausgewählte Kategorien, Tracking-Scripte vor Einwilligung und technische Blockierung.
Hinweis: Dieser Report stellt rein technische Befunde dar und ersetztd keine individuelle rechtliche Beratung. Die automatisierte Prüfung kann nicht alle Aspekte der DSGVO-Konformität abdecken.
Wie steht Ihr Cookie-Banner da?
Prüfen Sie Ihren Cookie-Banner jetzt kostenlos auf Dark Patterns, fehlende Ablehn-Optionen und Tracking vor Einwilligung. Automatisierte Analyse in unter 60 Sekunden.
Cookie-Banner jetzt prüfen