Website ohne Cookie-Banner: Ist das möglich?
Website ohne Cookie-Banner: Ist das möglich?
Cookie-Banner sind allgegenwärtig – und laut Studien klicken über 60 % der Nutzer genervt auf „Alle ablehnen" oder verlassen die Seite direkt. Das kostet Conversion und Umsatz. Eine Studie von Cookiebot aus 2024 zeigt, dass Cookie-Banner die Absprungrate um bis zu 15 % erhöhen. Doch gibt es einen legalen Weg, ganz auf den Cookie-Banner zu verzichten? Die Antwort: Ja, unter bestimmten Voraussetzungen. CERTISCAN selbst verwendet keine Drittanbieter-Cookies und zeigt, wie eine moderne Web-Anwendung ohne Cookie-Banner funktioniert.
Die Rechtslage: §25 TTDSG und DSGVO
Seit Dezember 2021 regelt §25 TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) das Setzen von Cookies in Deutschland. Das Gesetz setzt die ePrivacy-Richtlinie der EU um.
Grundregel (§25 Abs. 1 TTDSG): Das Speichern von Informationen auf dem Endgerät des Nutzers (= Cookies, aber auch Local Storage, Fingerprinting etc.) oder der Zugriff darauf ist nur mit Einwilligung zulässig.
Ausnahme (§25 Abs. 2 TTDSG): Keine Einwilligung nötig, wenn die Speicherung/der Zugriff:
- unbedingt erforderlich ist, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Dienst erbringen kann, oder
- technisch notwendig ist für die Übertragung einer Nachricht über ein Telekommunikationsnetz
Diese Ausnahme ist eng auszulegen – nur wirklich technisch notwendige Cookies fallen darunter. „Nützlich" oder „praktisch" reicht nicht.
Welche Cookies brauchen keinen Banner?
| Cookie-Typ | Einwilligung nötig? | Begründung |
|---|---|---|
| Session-Cookie (Login) | Nein | Technisch notwendig für Login-Funktion |
| CSRF-Token | Nein | Sicherheitsfunktion gegen Cross-Site-Request-Forgery |
| Warenkorb-Cookie | Nein | Vom Nutzer ausdrücklich gewünschter Dienst |
| Spracheinstellung | Nein | Vom Nutzer gewünschte Funktion |
| Cookie-Consent-Cookie | Nein | Speichert die Einwilligungsentscheidung |
| Load-Balancer-Cookie | Nein | Technisch notwendig für die Infrastruktur |
| Google Analytics | Ja | Tracking, nicht technisch notwendig |
| Facebook Pixel | Ja | Werbung, nicht technisch notwendig |
| YouTube-Embed (Standard) | Ja | Setzt Google-Cookies (DoubleClick etc.) |
| YouTube-Embed (no-cookie) | Nein | youtube-nocookie.com setzt keine Tracking-Cookies |
| Google Fonts (extern) | Ja (umstritten) | Überträgt IP-Adresse an Google (LG München I, 20.01.2022) |
| Google Maps (extern) | Ja | Setzt Tracking-Cookies |
| Newsletter-Tracking | Ja | Nicht technisch notwendig |
| A/B-Testing-Cookie | Ja | Nicht technisch notwendig |
3 Strategien für eine Website ohne Cookie-Banner
Strategie 1: Nur technisch notwendige Cookies
Die einfachste und sicherste Lösung: Verzichten Sie komplett auf alle Tracking-Cookies und eingebetteten Drittanbieter-Inhalte.
Checkliste:
- Kein Google Analytics, kein Facebook Pixel, kein Hotjar
- Keine externen Google Fonts (lokal einbinden!)
- Keine YouTube-Embeds (oder nur youtube-nocookie.com mit erweiterten Datenschutzeinstellungen)
- Keine Google Maps (statisches Bild mit Link statt interaktives Embed)
- Kein externes Newsletter-Tool mit Cookies auf der Website
- Keine Social-Media-Buttons mit Tracking (Shariff-Lösung verwenden)
- Keine Chat-Widgets externer Anbieter (z.B. Intercom, Zendesk)
CERTISCAN folgt genau dieser Strategie: Keine Drittanbieter-Cookies, lokale Fonts, keine externen Tracking-Dienste. Das Ergebnis: Kein Cookie-Banner notwendig.
Strategie 2: Cookielose Analytics
Wenn Sie nicht auf Website-Analytics verzichten möchten, gibt es datenschutzfreundliche Alternativen, die ohne Cookies auskommen:
| Tool | Cookies? | Hosting | Preis | DSGVO-konform? | Features |
|---|---|---|---|---|---|
| Plausible Analytics | Nein | EU (oder self-hosted) | Ab 9 EUR/Mo | Ja | Seitenaufrufe, Referrer, UTM |
| Matomo (self-hosted) | Optional | Eigener Server | Kostenlos | Ja (self-hosted) | Vollständiges Analytics |
| Fathom Analytics | Nein | EU | Ab 14 USD/Mo | Ja | Einfach, Seitenaufrufe |
| Umami | Nein | Self-hosted | Kostenlos | Ja | Open Source, leichtgewichtig |
| Simple Analytics | Nein | Niederlande | Ab 9 EUR/Mo | Ja | Minimalistisch |
| Google Analytics | Ja | USA | Kostenlos | Nein (ohne Einwilligung) | Vollständiges Analytics |
Strategie 3: Server-Side Tracking
Eine technisch anspruchsvollere Lösung: Das Tracking findet serverseitig statt, ohne Cookies auf dem Client zu setzen.
- Server-Side GTM: Google Tag Manager auf eigenem Server, anonymisiert Daten vor der Weiterleitung
- Log-Analyse: Auswertung der Server-Logs (z.B. mit GoAccess oder AWStats)
- Edge Analytics: Analyse auf CDN-Ebene (z.B. Cloudflare Web Analytics – ebenfalls ohne Cookies)
Praxis-Beispiel: CERTISCAN ohne Cookie-Banner
CERTISCAN demonstriert, dass eine professionelle B2B-SaaS-Plattform ohne Cookie-Banner funktioniert und dabei keinerlei Funktionalität einbüßt:
- Keine Drittanbieter-Cookies: Kein Google Analytics, kein Facebook Pixel, kein HubSpot
- Lokale Fonts: Alle Schriftarten werden vom eigenen Server geladen – kein Google-Fonts-Datenschutzproblem
- Nur Session-Cookies: Für Login, CSRF-Schutz und Spracheinstellung
- Barrierefreiheit: Kein Cookie-Banner bedeutet auch bessere Accessibility – Screen Reader müssen keine Banner-Dialoge navigieren (Barrierefreiheits-Check)
- Bessere Performance: Kein Consent-Manager-Script, das die Ladezeit um 200-500ms erhöht
- Kein Conversion-Verlust: Besucher können sofort die Seite nutzen, ohne erst Entscheidungen treffen zu müssen
Google Fonts: Die unterschätzte Abmahnfalle
Seit dem Urteil des LG München I (20.01.2022, Az. 3 O 17493/20) ist klar: Die externe Einbindung von Google Fonts ohne Einwilligung verstößt gegen die DSGVO, da die IP-Adresse des Besuchers an Google (USA) übertragen wird. Das Gericht sprach dem Kläger 100 EUR Schadenersatz zu. In der Folge gab es eine regelrechte Abmahnwelle, bei der Anwaltskanzleien massenhaft Websites abmahnten.
Lösung: Google Fonts lokal einbinden:
- Fonts von einem Font-Helper-Tool herunterladen (WOFF2-Format)
- Auf den eigenen Server im Verzeichnis /fonts/ hochladen
- CSS anpassen: @font-face mit lokalem Pfad statt Google-URL
- Alle externen Google-Fonts-Links aus dem HTML-Head entfernen
- Überprüfen, ob keine CSS-Datei noch auf fonts.googleapis.com verweist
Vergleich: Cookie-Banner-Strategien
| Kriterium | Alles erlauben (mit Banner) | Nur notwendige Cookies | Cookielose Analytics | CERTISCAN-Ansatz |
|---|---|---|---|---|
| Cookie-Banner | Ja (aufwendig, CMP nötig) | Nein | Nein | Nein |
| Google Analytics | Ja (mit Consent) | Nein | Nein | Nein |
| Besucherstatistiken | Ja (vollständig) | Nein | Ja (aggregiert) | Server-Logs |
| Conversion-Tracking | Ja | Nein | Eingeschränkt | Intern |
| Ladezeit | Langsam (+300-500ms) | Schnell | Schnell | Schnell |
| Abmahnrisiko | Mittel (bei fehlerhaftem Banner) | Gering | Gering | Gering |
| Kosten CMP | 10-50 EUR/Mo (Cookiebot etc.) | 0 EUR | 9-14 EUR/Mo | 0 EUR |
| Opt-in-Rate | 40-60 % (Datenverlust) | – | – | – |
Häufige Fehler bei Cookie-Bannern
Selbst wenn Sie sich für einen Cookie-Banner entscheiden, gibt es zahlreiche Fehlerquellen, die zu Bußgeldern führen können:
- Dark Patterns: „Alle akzeptieren" ist groß und grün, „Alle ablehnen" ist klein und versteckt → unzulässig
- Vorangekreuzte Checkboxen: Müssen leer sein (EuGH Planet49-Urteil)
- Cookie Wall: „Sie können die Website nur nutzen, wenn Sie alle Cookies akzeptieren" → unzulässig
- Fehlende Ablehnmöglichkeit: „Ablehnen" muss genauso einfach sein wie „Akzeptieren"
- Tracking vor Einwilligung: Cookies werden bereits gesetzt, bevor der Nutzer klickt → Verstoß
Fazit: Weniger Cookies = Bessere Websites
Eine Website ohne Cookie-Banner ist nicht nur legal möglich, sondern in vielen Fällen die bessere Wahl: schnellere Ladezeiten, bessere User Experience, geringeres Abmahnrisiko und kein Conversion-Verlust durch genervte Besucher. Der Verzicht auf Drittanbieter-Tracker ist dabei der einfachste und effektivste Weg. Prüfen Sie Ihre Website mit dem Barrierefreiheits-Check von CERTISCAN auf Datenschutz und Accessibility.
Häufig gestellte Fragen
Brauche ich einen Cookie-Banner, wenn ich nur technisch notwendige Cookies setze?
Nein. Technisch notwendige Cookies (Session-Cookies, Warenkorb, Login-Status) sind nach §25 Abs. 2 TTDSG ohne Einwilligung zulässig. Sie müssen aber trotzdem in der Datenschutzerklärung darüber informieren.
Ist Google Analytics ohne Cookie-Banner möglich?
Nein. Google Analytics setzt Cookies und überträgt Daten in die USA, was eine ausdrückliche Einwilligung erfordert. Alternativen wie Plausible Analytics oder Matomo (selbst gehostet) können ohne Cookie-Banner betrieben werden.
Was passiert, wenn ich keinen Cookie-Banner habe, aber Tracking-Cookies setze?
Dies ist ein Verstoß gegen §25 TTDSG und die DSGVO. Die Aufsichtsbehörden können Bußgelder verhängen. Häufig werden auch Abmahnungen von Wettbewerbern ausgesprochen. Die Kosten liegen typischerweise bei 1.500-3.000 EUR.
Zählt der Login-Cookie als technisch notwendig?
Ja. Session-Cookies, die den Login-Status speichern, sind technisch notwendig und fallen unter die Ausnahme des §25 Abs. 2 TTDSG. Gleiches gilt für CSRF-Token und Spracheinstellungen.
Wie funktioniert cookieloses Tracking?
Cookielose Analytics-Tools wie Plausible nutzen statt Cookies eine Kombination aus anonymisierter IP-Adresse, User-Agent und Website-Domain. Die Daten werden täglich rotiert und können keiner Person zugeordnet werden.
Ist Ihr Unternehmen konform?
Testen Sie CERTISCAN 14 Tage kostenlos und bringen Sie Ihre Compliance auf den neuesten Stand.