Cookie-Banner verschwinden nicht von heute auf morgen. Trotzdem verändert sich der Rahmen für Consent Management in Deutschland spürbar: Das TDDDG kennt anerkannte Dienste zur Einwilligungsverwaltung, die Einwilligungsverwaltungsverordnung regelt das Anerkennungsverfahren, und die BfDI führt inzwischen ein Register anerkannter Dienste. Für Website-Betreiber ist das kein Grund für hektische Umbauten, aber ein guter Anlass, das eigene Cookie- und Tracking-Setup sauber zu prüfen.

Gerade KMU, Selbstständige, Agenturen und WordPress-Betreiber brauchen eine praktische Antwort auf die Frage: Muss mein Cookie-Banner jetzt anders aussehen, wenn Nutzer Einwilligungen künftig zentral verwalten können? Die kurze Antwort lautet: Die Verantwortung für transparente Informationen, wirksame Einwilligungen und technisch korrekt blockierte Dienste bleibt beim Website-Betreiber. Neu ist vor allem, dass anerkannte Einwilligungsverwaltungsdienste als zusätzliche Schicht in den Consent-Prozess kommen können.

Warum Einwilligungsverwaltung jetzt auf die Website-Agenda gehört

§ 25 TDDDG bleibt die zentrale deutsche Vorschrift für Cookies, Tracking-Technologien und ähnliche Zugriffe auf Endgeräte. Wer Informationen auf dem Gerät eines Nutzers speichert oder ausliest, braucht grundsätzlich eine informierte Einwilligung, sofern keine Ausnahme greift. Die bekannte Ausnahme betrifft vor allem Zugriffe, die unbedingt erforderlich sind, um einen vom Nutzer ausdrücklich gewünschten digitalen Dienst bereitzustellen.

§ 26 TDDDG öffnet zusätzlich den Weg für anerkannte Dienste zur Einwilligungsverwaltung. Solche Dienste sollen Nutzerentscheidungen über Einwilligungen zentral verwalten und Website-Betreibern technisch nutzbar machen. Die Einwilligungsverwaltungsverordnung, kurz EinwV, konkretisiert unter anderem Antrag, Sicherheitskonzept, Register und technische Anforderungen. Die BfDI ist dabei die zuständige unabhängige Stelle für die Anerkennung.

Für Betreiber normaler Unternehmenswebsites ist besonders wichtig: Diese Entwicklung ersetzt die alltägliche Consent-Praxis nicht automatisch. Sie schafft eine zusätzliche Infrastruktur, die schrittweise relevant werden kann. Wer sein Consent-Setup heute nur als lästige Banner-Grafik versteht, wird spätestens bei neuen Browser-, Plugin- oder CMP-Integrationen merken, dass eine technische und dokumentierte Lösung nötig ist.

Was ein anerkannter Dienst zur Einwilligungsverwaltung leisten soll

Anerkannte Dienste zur Einwilligungsverwaltung sind nicht einfach ein weiteres Cookie-Banner-Design. Nach dem TDDDG sollen sie nutzerfreundliche und wettbewerbskonforme Verfahren bereitstellen, unabhängig von wirtschaftlichen Interessen an der Einwilligung sein und personenbezogene Daten beziehungsweise Einwilligungsentscheidungen nicht für andere Zwecke verarbeiten. Außerdem verlangt die EinwV ein Sicherheitskonzept und eine Prüfung durch die zuständige Stelle.

Die BfDI beschreibt diese Dienste als Alternative zur Vielzahl einzelner Entscheidungen, die Nutzer bisher auf jeder Website treffen müssen. Im Register der BfDI ist aktuell der Dienst „Consenter“ der Law & Innovation Technology GmbH mit Anerkennungsdatum 17. Oktober 2025 aufgeführt. Das zeigt: Aus der gesetzlichen Idee ist ein praktisches Anerkennungsverfahren geworden.

Für Website-Betreiber bedeutet das aber nicht, dass jeder Besucher automatisch mit einem solchen Dienst kommt. Viele Nutzer werden weiterhin ohne Einwilligungsverwaltungsdienst auf Websites zugreifen. Andere nutzen Browser-Einstellungen, blockieren Drittanbieter-Cookies oder löschen lokale Daten regelmäßig. Ein solides Consent-System muss deshalb mehrere Situationen abdecken: klassische Banner-Interaktion, spätere Änderung der Einstellungen und künftig auch Signale oder Integrationen anerkannter Dienste.

Was sich für Cookie-Banner nicht ändert

Die wichtigsten Anforderungen bleiben vertraut. Einwilligungen müssen freiwillig, informiert, verständlich und widerruflich sein. Die BfDI weist für Cookie-Banner darauf hin, dass Nutzer eine echte Wahl erhalten müssen. Ein Banner, das nur eine Zustimmung anbietet, reicht dafür nicht. Wenn es eine Schaltfläche für „zustimmen“ gibt, sollte auf derselben Ebene auch eine gut erreichbare Ablehnmöglichkeit bereitstehen.

Auch die Datenschutzkonferenz bleibt in ihrer Orientierungshilfe zu digitalen Diensten klar: Das TDDDG schützt die Privatsphäre bei Endeinrichtungen unabhängig davon, ob bereits ein Personenbezug vorliegt. Sobald personenbezogene Daten anschließend verarbeitet werden, kommt zusätzlich die DSGVO ins Spiel. In der Praxis sind Cookie-Recht und Datenschutzrecht deshalb selten sauber voneinander zu trennen. Analytics, Marketing-Pixel, eingebettete Videos, externe Schriftarten, Karten und Chat-Tools können beide Ebenen berühren.

Der EDPB-Bericht der Cookie Banner Taskforce ist ebenfalls weiterhin eine gute Prüffolie. Kritisch sind etwa fehlende Ablehnoptionen, vorausgewählte Kästchen, irreführendes Link-Design, täuschende Farben oder schwer auffindbare Widerrufsmöglichkeiten. Nicht jede Detailfrage ist pauschal zu beantworten, aber die Richtung ist eindeutig: Nutzer sollen verstehen, wozu sie einwilligen, und Ablehnung oder Widerruf dürfen nicht unnötig schwerer sein als Zustimmung.

Checkliste für deutsche Website-Betreiber

Der erste Schritt ist eine technische Bestandsaufnahme. Prüfen Sie nicht nur sichtbare Cookies im Browser, sondern auch Skripte, Pixel, iFrames, lokale Speicherzugriffe und externe Ressourcen, die schon vor einer Einwilligung laden könnten. In WordPress entstehen solche Zugriffe oft über Themes, Page Builder, Statistik-Plugins, Video-Embeds, Newsletter-Formulare, Fonts, Maps oder Shop-Erweiterungen.

Danach sollte jede Technologie einem Zweck zugeordnet werden: unbedingt erforderlich, Statistik, Marketing, externe Medien, Komfortfunktion oder sonstige Kategorie. Die Kategorie „notwendig“ sollte eng verstanden werden. Nur weil ein Tool für Marketing oder Reporting nützlich ist, ist es nicht automatisch unbedingt erforderlich für den vom Nutzer gewünschten Dienst.

Prüfen Sie anschließend die Banner-Oberfläche. Gibt es auf der ersten Ebene eine gleichwertige Möglichkeit zum Ablehnen, wenn auch eine Zustimmung angeboten wird? Sind Schaltflächen, Farben und Kontraste verständlich? Sind Zwecke, Anbieter und Kategorien konkret erklärt, bevor die Einwilligung erteilt wird? Können Nutzer ihre Entscheidung später über einen leicht auffindbaren Link, etwa im Footer oder in der Datenschutzerklärung, ändern?

Wichtig ist außerdem die technische Durchsetzung. Ein schönes Banner hilft wenig, wenn Google Analytics, Meta Pixel, TikTok Pixel, eingebettete Videos oder andere Dienste bereits vor der Auswahl feuern. Testen Sie neue Besucher-Sessions im privaten Fenster, mit geleertem Speicher und mit abgelehnter Einwilligung. Das Ziel ist nicht nur ein rechtlich sauberer Text, sondern ein Consent-Setup, das tatsächlich steuert.

Was WordPress-Betreiber besonders prüfen sollten

WordPress macht Consent Management einfach zugänglich, aber nicht automatisch richtig. Viele Plugins bringen eigene Skripte mit oder laden Dienste abhängig von Einstellungen im Theme. Nach Updates kann sich das Verhalten ändern. Deshalb sollten Betreiber nach größeren Plugin-, Theme- oder Tracking-Änderungen einen kurzen Consent-Test einplanen.

Besonders häufig übersehen werden eingebettete Inhalte. YouTube, Google Maps, Social-Media-Feeds, Bewertungswidgets, Terminbuchungen, Chatbots und Marketing-Automation können externe Ressourcen laden, die nicht nur Cookies setzen, sondern auch IP-Adressen oder andere personenbezogene Daten an Dritte übermitteln. Hier braucht es entweder eine saubere Einwilligung vor dem Laden oder eine datenschutzfreundlichere Einbindung.

Auch die Datenschutzerklärung sollte zum technischen Stand passen. Wenn neue Dienste eingesetzt werden, müssen Zwecke, Anbieter, Datenarten, Rechtsgrundlagen, Speicherdauer und Widerrufsmöglichkeiten verständlich beschrieben werden. Der AdSimple Datenschutz Generator kann dafür ein praktischer Ausgangspunkt sein. Für die technische Einwilligungssteuerung hilft der AdSimple Consent Manager, externe Ressourcen und Nutzerentscheidungen strukturiert zu verwalten.

Einwilligungsverwaltung als Prozess, nicht als Einmalprojekt

Die EinwV zeigt, dass Consent Management stärker standardisiert werden soll. Website-Betreiber sollten sich deshalb nicht nur fragen, ob ihr heutiger Banner formal gut aussieht. Besser ist ein kleiner interner Prozess: Wer darf neue Tracking- oder Marketing-Tools einbauen? Wer prüft, ob ein Dienst vor Einwilligung blockiert wird? Wer aktualisiert Datenschutzerklärung, Cookie-Liste und Widerrufslink? Wer kontrolliert nach Updates, ob alles weiterhin funktioniert?

Für Agenturen ist diese Prozessfrage besonders wichtig. Wer Kunden-Websites betreut, sollte Consent-Prüfungen in Relaunches, Wartungsverträge und monatliche Checks aufnehmen. Das reduziert spätere Diskussionen, weil klar dokumentiert ist, welche Dienste aktiv sind, welche Zwecke sie haben und wie Einwilligungen technisch umgesetzt werden.

Auch Marketingteams profitieren davon. Wenn weniger Nutzer Tracking erlauben, ändern sich Kennzahlen. Das ist kein Fehler des Banners, sondern Teil einer realistischeren Datenbasis. Sinnvoll sind deshalb ergänzende KPIs, serverseitige Logik ohne unzulässige Vorabzugriffe, klare Kampagnenparameter und eine ehrliche Dokumentation, welche Daten nur bei Zustimmung erhoben werden.

Wie Sie sich auf anerkannte Dienste vorbereiten

Website-Betreiber müssen nicht sofort ihr komplettes System austauschen. Sinnvoll ist aber, den eigenen Consent Manager und relevante Plugins daraufhin zu prüfen, ob sie künftige Signale anerkannter Dienste berücksichtigen können oder entsprechende Roadmaps haben. Fragen Sie Anbieter, wie sie mit § 26 TDDDG, EinwV, Browser-Einstellungen und Widerrufen umgehen.

Ebenso wichtig ist die Datenminimierung. Je weniger externe Dienste ohne klaren Nutzen eingebunden sind, desto einfacher wird jede Einwilligungsverwaltung. Entfernen Sie alte Pixel, doppelte Analytics-Tools, nicht mehr genutzte Heatmaps und veraltete Embeds. Ein schlankes Setup ist nicht nur datenschutzfreundlicher, sondern meist auch schneller und wartbarer.

Bei rechtlichen Detailfragen sollte im Zweifel fachkundige Beratung eingeholt werden. Dieser Beitrag ersetzt keine individuelle Rechtsberatung. Er zeigt aber die praktischen Prüfpunkte, die fast jede deutsche Unternehmenswebsite betreffen, sobald Cookies, Tracking oder externe Ressourcen im Spiel sind.

Fazit: Cookie-Consent wird technischer und dokumentationslastiger

Die Einwilligungsverwaltung nach TDDDG und EinwV ist ein weiterer Schritt weg vom reinen Banner-Denken. Website-Betreiber sollten Consent als Zusammenspiel aus klarer Information, echter Wahl, technischer Blockierung, Widerrufsmöglichkeit und laufender Dokumentation verstehen. Anerkannte Dienste können künftig helfen, Nutzerentscheidungen zentraler zu verwalten. Die Grundverantwortung für die eigene Website bleibt aber bestehen.

Prüfen Sie deshalb jetzt Ihr Cookie- und Tracking-Setup, bevor neue Tools oder Browser-Integrationen zusätzlichen Anpassungsdruck erzeugen. AdSimple unterstützt Sie dabei, Datenschutztexte, Cookie Consent und Website-Pflichten pragmatisch zu organisieren, damit Rechtstexte, Technik und Nutzererlebnis besser zusammenpassen.

Quellen