Cookie Consent & Banner

Was dieser Artikel Ihnen zeigt

Cookie-Banner und Consent-Management verständlich erklärt – was KMU wissen müssen.

Cookie-Banner & Consent

Was sich 2026 ändert

Kernaussage

Der Digital Omnibus überführt die Cookie-Regeln aus der ePrivacy-Richtlinie in die GDPR. Das klingt technisch – bedeutet aber konkret: Neue Bannerpflichten, eine 6-Monats-Sperrfrist nach Ablehnung und standardisierte Layouts. Was KMU bis Ende 2026 anpassen müssen.

Was ändert sich durch den Digital Omnibus?

Bisher regelten ePrivacy-Richtlinie und GDPR das Cookie-Thema gemeinsam, aber getrennt. Der Digital Omnibus integriert die Cookie-Regeln vollständig in die GDPR. Das Ergebnis: einheitlichere Anforderungen, aber auch höhere Präzision.

Cookie-Integration	Cookie-Regeln werden vollständig Teil der GDPR. Einfacheres Regelwerk, aber schärfere Anforderungen.
6-Monats-Sperre	Nach Ablehnung darf 6 Monate lang keine erneute Einwilligungsanfrage erfolgen.
Aggregierte Messung	Einwilligungsfreie Messung erlaubt, wenn sie aggregiert und nicht zur Profilbildung genutzt wird.
Standardisierung	EU-Vorgaben für Bannerlayouts: Einheitliche Strukturen werden verpflichtend.
Transparenz	Strengere Transparenzpflichten: Speicherdauer, Drittanbieter, Datenübermittlungen explizit angeben.

1. Neue Pflichtangaben im Banner

Folgende Informationen müssen im Cookie-Banner bzw. in der verlinkten Datenschutzerklärung explizit und klar ausgewiesen werden:

Speicherdauer: Wie lange werden Cookies und Tracking-Daten gespeichert?

Drittanbieter: Welche Drittanbieter erhalten Daten? Namentlich, nicht pauschal.

Datenübermittlungen: In welche Länder werden Daten übertragen? Rechtsgrundlage?

Zweckkategorien: Was genau passiert mit den Daten? Werbung, Analyse, Personalisierung klar trennen.

Technisch notwendige Cookies: Klar und nachvollziehbar von optionalen Cookies abgrenzen.

2. Auswirkungen auf KMU

Praktisch bedeuten die Änderungen für den Websitebetrieb:

Alle Consent Management Platform (CMP)-Tools müssen aktualisiert werden

Bannerlayout wird durch EU-Vorgaben eingeschränkt – manipulative Dark Patterns werden verboten

Datenschutztexte müssen neu strukturiert werden

Mehr Fokus auf Server-Side Tracking und cookielose Analytics

6-Monats-Sperre nach Ablehnung erfordert CMP-Anpassung

Schweizer Unternehmen mit EU-Kunden Auch wenn das Schweizer revDSG keine identischen Cookie-Anforderungen hat: Wer eine Website für EU-Nutzer betreibt, unterliegt der GDPR. Die neuen Anforderungen gelten für alle Websites, die EU-Bürger ansprechen – unabhängig vom Unternehmenssitz.

3. Was KMU konkret tun müssen

Cookie-Inventar	Alle eingesetzten Cookies und Tracking-Tools erfassen. Welche sind technisch notwendig, welche optional?
Tracking reduzieren	Nicht benötigte Drittanbieter-Scripts entfernen. Jeder Drittanbieter erhöht die Compliance-Last.
Banner aktualisieren	CMP auf 6-Monats-Sperre und neue Pflichtfelder konfigurieren. EU-Standardlayout implementieren.
Datenschutzerklärung	Speicherdauern, Drittanbieter und Zwecke explizit ausweisen.
Jährliche Überprüfung	Cookie-Inventar und Banner jährlich auf Aktualität prüfen.

Checkliste

Cookie-Inventar erstellt und dokumentiert

Nicht notwendige Tracking-Scripts entfernt

CMP auf 6-Monats-Sperre konfiguriert

Neue Pflichtangaben im Banner eingebaut

Datenschutzerklärung auf neue Anforderungen aktualisiert

Jährliche Überprüfung im Governance-Kalender eingetragen

Was bedeutet das für mich? 1. Bestehende Cookie-Banner müssen in der Regel vollständig neu konfiguriert werden – kein kleineres Update. 2. Die 6-Monats-Sperrfrist ist technisch anspruchsvoll: CMP muss Ablehnungen mit Zeitstempel speichern. 3. Cookielose Analytics (Plausible, Fathom, Server-Side) werden zur Standardempfehlung für KMU.

Dieser Leitfaden ersetzt keine Rechtsberatung.

Weiter vertiefen

Leitfaden Leitfaden DSA & DMA Plattformregulierung und Transparenz. Lesen → Self-Check Self-Check Governance Datenschutz-Governance prüfen. Lesen → Deep Dive Deep Dive: Logging Nachvollziehbarkeit und Consent. Lesen →