DSGVO-Bußgeld vermeiden: 5 häufigste Cookie-Fehler

Jedes Jahr verhängen Datenschutzbehörden Bußgelder in Millionenhöhe wegen Verstößen bei Cookies. Gerade Cookie-Banner sind ein Dauerbrenner, da viele Webseitenbetreiber die Anforderungen der DSGVO unterschätzen. In diesem Artikel beleuchten wir die 5 häufigsten Cookie-Fehler, die zu Abmahnungen und Bußgeldern führen, und zeigen Lösungen auf. So schützen Sie Ihre Website vor hohen Strafen bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes.[1][2][8]

Die DSGVO verlangt eine aktive, informierte Einwilligung für nicht-essentielle Cookies, wie der EuGH im Planet49-Urteil klärte. Dennoch zeigen Untersuchungen, dass nur 11 Prozent der EU-Websites ein konformes Consent-Management nutzen. Häufige Fallen lauern in der technischen Umsetzung und Designentscheidungen.[1][2]

Fehler 1: Cookies vor der Einwilligung setzen

Der grundlegendste Fehler ist das Setzen von Cookies – insbesondere Werbe- oder Tracking-Cookies – noch bevor der Nutzer eine Einwilligung erteilt hat. Beim bloßen Aufruf der Startseite werden oft bereits Daten gesammelt, was einen schweren Verstoß gegen Art. 6 und 7 DSGVO darstellt.[6]

Im Fall von SHEIN verhängte die französische CNIL ein Bußgeld von 150 Millionen Euro, weil Werbe-Cookies vor der Banner-Interaktion platziert wurden. Ähnlich erging es Google mit 60 Millionen Euro Strafe für ungenehmigtes Tracking.[4][6]

Lösung: Blockieren Sie alle nicht-essentiellen Cookies technisch, bis der Nutzer aktiv zustimmt. Essentielle Cookies wie für den Warenkorb sind ausgenommen, aber Tracking-Tools wie Google Analytics erfordern Einwilligung. Führen Sie regelmäßige Audits durch, um sicherzustellen, dass keine Cookies vorzeitig laden.[1][5]

Fehler 2: Fehlender oder unwirksamer Ablehnungsbutton

Viele Cookie-Banner bieten nur einen prominenten „Akzeptieren“-Button, während „Ablehnen“ versteckt, klein oder gar nicht vorhanden ist. Das verstößt gegen das Gleichheitsgebot: Ablehnen muss ebenso einfach sein wie Zustimmen.[2][3]

Bei Carrefour wurden 2,25 Millionen Euro Bußgeld verhängt, da die Ablehnung technisch ignoriert wurde – Cookies wurden trotz Klick auf „Ablehnen“ weiter gesetzt. Verbraucherzentralen und Behörden melden, dass solche Designs die Einwilligung unwirksam machen.[2][6]

Lösung: Gestalten Sie beide Buttons gleich groß, kontrastreich und leicht erreichbar. Testen Sie die Funktionalität: Nach Ablehnen dürfen keine nicht-essentiellen Cookies laden. Tools mit automatischer Protokollierung der Entscheidungen erhöhen die Rechtssicherheit.[1][5]

Fehler 3: Unklare oder unvollständige Informationen im Banner

Nutzer müssen informiert werden über Zweck, Dauer, Anbieter und Rechte bezüglich der Cookies. Vage Formulierungen wie „Wir nutzen Cookies für bessere Nutzung“ reichen nicht. Oft fehlen Details zu Drittanbietern wie Google oder Facebook.[2][6]

Die Carrefour-Fälle zeigten, dass unklare Infos in gemischten Texten dem Transparenzgebot widersprechen. SHEIN scheiterte ebenfalls an vagen Angaben, was die Einwilligung ungültig machte.[2][6]

Lösung: Listen Sie im Banner oder Link zur Cookie-Übersicht klar Zwecke (z. B. Analyse, Marketing), Anbieter und Widerrufsmöglichkeiten auf. Ergänzen Sie eine detaillierte Cookie-Tabelle in der Datenschutzerklärung. Verwenden Sie granulare Einwilligungen für Kategorien wie Notwendig, Funktional, Tracking.[1][3]

Fehler 4: Opt-out statt Opt-in oder dunkle Muster

Banner mit „Opt-out“-Funktion, bei der alle Cookies standardmäßig aktiviert sind, sind unzulässig. Ebenso manipulative Designs (Dark Patterns), die durch Farben, Größen oder Animationen zur Zustimmung drängen.[2][4]

Eine Usercentrics-Studie fand, dass viele Banner den Nutzer unterschwellig beeinflussen. Das führt zur Unwirksamkeit der Einwilligung und droht mit hohen Bußgeldern nach Art. 83 Abs. 5 DSGVO.[1][2]

Lösung: Setzen Sie auf echtes Opt-in: Keine Cookies ohne Zustimmung. Vermeiden Sie dunkle Muster – Buttons in neutralen Farben und ohne Voreinstellungen. Dokumentieren Sie jede Einwilligung mit Timestamp, IP und Auswahl für Nachweisbarkeit.[5][6]

Fehler 5: Fehlende Dokumentation und Widerrufsmöglichkeit

Viele Betreiber vergessen, Einwilligungen nachzuweisen oder einen einfachen Widerruf anzubieten. Die DSGVO fordert Nachweisbarkeit (Art. 7), und ein Widerruf muss jederzeit möglich sein.[1][5]

Im Jubel.be-Fall (15.000 Euro Bußgeld) fehlte eine Opt-out-Option und Info zu Tracking. Ohne Protokollierung können Sie bei Prüfungen nichts belegen.[7]

Lösung: Nutzen Sie Consent-Management-Plattformen (CMP), die Einwilligungen protokollieren und einen zentralen Widerruf-Link bereitstellen (z. B. „Cookie-Einstellungen ändern“). Passen Sie die Datenschutzerklärung an und schulen Sie Ihr Team.[1][3]

Fazit

Die 5 häufigsten Cookie-Fehler – vorzeitiges Setzen, unwirksames Ablehnen, unklare Infos, Opt-out statt Opt-in und fehlende Dokumentation – kosten Unternehmen Millionen. Mit einem DSGVO-konformen Cookie-Banner wie Consent by KaaTai vermeiden Sie diese Risiken einfach und rechtssicher.[1]

Handeln Sie jetzt: Führen Sie einen Cookie-Scan durch, implementieren Sie ein CMP und aktualisieren Sie Ihre Erklärung. So schützen Sie sich vor Bußgeldern, Abmahnungen und Schadensersatz. Bleiben Sie informiert über Behördenentscheidungen und passen Sie Ihre Website an – Datenschutz lohnt sich.[2][8]

Regelmäßige Checks und Schulungen minimieren Risiken langfristig. Ihre Website wird nicht nur compliant, sondern auch nutzerfreundlicher.