DSGVO ohne Cookie-Banner: Wie das wirklich funktioniert

Ein weit verbreitetes Missverständnis

In Kundengesprächen höre ich regelmäßig: „Wir brauchen noch einen Cookie-Banner, kannst du den einbauen?" Die Gegenfrage lohnt sich: Ist er wirklich notwendig?

Die verbreitete Annahme lautet: DSGVO = Cookie-Banner. Das ist so nicht richtig. Cookie-Banner sind kein Bestandteil der DSGVO. Sie sind eine Lösung für ein konkretes Problem – nämlich dann, wenn eine Website ohne Einwilligung Daten an Dritte überträgt. Wer das von vornherein vermeidet, braucht auch keinen Banner.

Bei Websites mit WordPress, Google Fonts über CDN und eingebettetem Google Maps wird ein Consent-Tool tatsächlich notwendig. Die Ursache liegt dann aber nicht im Datenschutzrecht, sondern in den eingesetzten Tools.

Kurz zur Rechtslage: Die relevanten Gesetze sind die DSGVO (Datenschutz-Grundverordnung) und das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz, seit Dezember 2021). Das TTDSG regelt, wann Cookies und ähnliche Speicherzugriffe eine Einwilligung erfordern – nämlich immer dann, wenn sie nicht technisch notwendig sind.

Was einen Cookie-Banner auslöst

Bevor ich erkläre, wie man ohne auskommt, lohnt ein Blick darauf, was überhaupt dazu führt. Die häufigsten Auslöser auf typischen KMU-Websites:

Google Fonts über CDN: Bei jedem Seitenaufruf wird die IP-Adresse des Besuchers an Google übertragen. Ein deutsches Gericht hat das 2022 als DSGVO-Verstoß eingestuft.
Google Analytics / GA4: Verhaltens-Tracking, das eindeutig eine Einwilligung erfordert.
Google Maps eingebettet: Überträgt beim Laden Daten an Google, auch wenn der Nutzer nie mit der Karte interagiert.
Facebook Pixel / Meta Pixel: Klassisches Werbe-Tracking, klar einwilligungspflichtig.
YouTube-Einbettungen: Laden beim Seitenaufruf sofort Tracking-Daten, auch ohne Klick auf das Video.
Externe Schriften generell: Jeder externe Request überträgt die IP des Besuchers. Google Fonts ist nur der bekannteste Fall.

Das Muster dahinter ist klar: Alles, was beim Laden einer Seite automatisch Daten an einen Drittanbieter sendet, erfordert eine Einwilligung – sofern es nicht technisch zwingend notwendig ist.

~73%

der Cookie-Banner in Deutschland erfüllen laut Untersuchungen des Hamburger Datenschutzbeauftragten nicht die rechtlichen Anforderungen an eine wirksame Einwilligung.

Wenn ein Banner schon vorhanden ist: Worauf es ankommt

Viele Cookie-Banner sind leider so gestaltet, dass sie rechtlich angreifbar sind. Eine gültige Einwilligung nach DSGVO muss freiwillig, informiert, eindeutig und aktiv erteilt werden. In der Praxis bedeutet das:

❌ Nicht ausreichend

„Alle akzeptieren" prominent, „Ablehnen" schwer auffindbar
Vorausgewählte Häkchen für nicht notwendige Kategorien
„Durch weitere Nutzung stimmen Sie zu"
Ablehnen erfordert mehr Klicks als Akzeptieren
Kein gleichwertiger Zugang ohne Einwilligung

✅ Rechtlich korrekt

Ablehnen genauso einfach wie Akzeptieren
Keine vorausgewählten Häkchen
Klare, verständliche Sprache
Echte Wahlmöglichkeit ohne Nachteile
Einwilligung jederzeit widerrufbar

Abgesehen von der Rechtslage: Ein prominent platzierter Cookie-Banner bremst den ersten Eindruck. Besucher, die eine Website aufrufen und sofort eine Entscheidung treffen müssen, starten die Interaktion mit einem kleinen Störgefühl – das muss nicht sein.

Wie ich Websites ohne Banner baue

Mein Ansatz beruht auf einem einfachen Prinzip: Keine Daten an Dritte ohne Einwilligung. Das bedeutet in der Praxis:

Fonts lokal ausliefern

Alle Schriften werden auf dem eigenen Server gehostet und per @font-face eingebunden. Kein Request an Google, Typekit oder Adobe. Die Ladezeit ist dabei oft sogar besser als über ein CDN – und die Daten der Besucher bleiben auf dem eigenen Server.

Datenschutzfreundliche Webanalyse

Für Reichweitenmessung ohne klassisches Tracking gibt es gute Alternativen: Plausible Analytics oder Matomo (selbst gehostet) arbeiten cookielos, IP-anonymisiert und ohne Datentransfer in Drittländer. Für die meisten KMU-Websites ist das vollkommen ausreichend.

Google Maps ersetzen oder nachladen

Statt einer eingebetteten Karte reicht für viele lokale Betriebe ein statisches Kartenbild mit einem Link zu Google Maps. Wer echte Interaktivität benötigt, bindet die Karte erst nach einem aktiven Klick des Nutzers ein.

Videos über einen Facade-Loader einbinden

YouTube-Embeds werden erst beim Klick auf „Abspielen" geladen. Der Nutzer sieht bis dahin ein Vorschaubild. Daten werden erst übertragen, wenn er bewusst mit dem Video interagiert.

Kein externer Code ohne Grund

Jedes externe Script und jede externe Ressource ist ein potenzielles Datenschutz- und Performanceproblem. Custom Code hat hier einen natürlichen Vorteil: Es gibt keine Plugin-Schicht, die im Hintergrund unkontrolliert Requests abschickt.

⚠ Hinweis: Kontaktformulare

Auch Kontaktformulare verarbeiten personenbezogene Daten. Das erfordert zwar keine Einwilligung im Sinne des TTDSG, aber eine saubere Datenschutzerklärung – und je nach Hosting-Konfiguration einen Auftragsverarbeitungsvertrag mit dem Anbieter. Wer ein serverseitiges Formular betreibt und die Daten nur per E-Mail weiterleitet, ohne sie dauerhaft zu speichern, ist in der Regel auf der sicheren Seite.

Wann ein Cookie-Banner sinnvoll ist

Es gibt Fälle, in denen ein Consent-Tool die richtige Wahl ist:

E-Commerce mit Retargeting: Wer Remarketing über Google oder Meta betreibt, kommt ohne Einwilligungslösung nicht aus.
Websites mit zentralen Video-Inhalten: Wenn Videos ohne Facade-Loader eingebunden werden sollen.
Bestehende WordPress-Seiten: Wer eine bestehende, plugin-lastige Seite betreibt, kann externe Abhängigkeiten nicht von heute auf morgen entfernen. Hier ist ein sauber konfiguriertes Consent-Tool der pragmatische Weg.

Was das für ein Projekt bedeutet

Wenn ich eine neue Website baue, ist DSGVO-Konformität kein Zusatzmodul. Sie ist Teil der Grundstruktur. Konkret heißt das:

Fonts werden immer lokal eingebunden
Kein Google Analytics ohne ausdrücklichen Wunsch und Aufklärung über Alternativen
Kontaktformulare werden serverseitig verarbeitet, keine Drittanbieter-Formulartools
Externe Embeds nur mit Facade oder nach Einwilligung
Die Datenschutzerklärung wird auf den tatsächlichen Stand der Website abgestimmt

Kurz zusammengefasst: DSGVO-konformes Webdesign ist kein Bürokratiethema. Es ist eine Frage des Handwerks. Wer von Anfang an keine unnötigen Drittanbieter-Abhängigkeiten einbaut, hat keinen Consent-Aufwand – und eine Website, die schneller lädt, weniger Requests macht und Besucher ohne Unterbrechung empfängt.

Soll deine Website von Anfang an sauber aufgestellt sein?

Ich baue Websites, bei denen Datenschutz keine nachträgliche Baustelle ist – sondern von Beginn an mitgedacht wird.

Unverbindliches Erstgespräch →