Abmahnung wegen Cookie-Banner – Was tun?

Abmahnung erhalten? Erst durchatmen, dann prüfen

Klingt banal, ist aber entscheidend: Reagieren Sie nicht sofort. Nicht unterschreiben, nicht zahlen, nicht anrufen. Eine Abmahnung ist kein Gerichtsurteil – sie ist zunächst nur die Aufforderung einer anderen Partei. Und die kann berechtigt sein. Oder eben nicht.

Was Sie als Erstes tun sollten:

• Frist notieren – Jede Abmahnung enthält eine Frist. Tragen Sie diese sofort in Ihren Kalender ein. Verstreicht die Frist, kann es teurer werden.
• Absender prüfen – Kommt die Abmahnung von einer Kanzlei? Von einer Privatperson? Von einem Verband? Das macht einen erheblichen Unterschied für Ihre Handlungsoptionen.
• Vorwurf verstehen – Was genau wird Ihnen vorgeworfen? Fehlendes Cookie-Banner? Tracking ohne Einwilligung? Datenübertragung in Drittländer? Jeder Vorwurf erfordert eine andere Prüfung.
• Fachanwalt kontaktieren – Bei Forderungen über 500 € oder Unterlassungserklärungen: unbedingt anwaltliche Beratung einholen. Die Kosten dafür sind meist geringer als die Folgen einer falschen Reaktion.

Eines ist sicher: Panik ist der schlechteste Berater. Methodisch vorgehen – das ist der Weg.

Häufige Gründe für Cookie-Banner-Abmahnungen

Nicht jede Website braucht ein Cookie-Banner. Aber jede Website, die eines braucht, muss es korrekt umsetzen. Klingt einfach – ist es leider nicht.

Die häufigsten Abmahngründe, die wir in der Praxis sehen:

• Tracking ohne Einwilligung – Google Analytics, Facebook Pixel oder andere Tracking-Dienste laden, bevor der Nutzer zugestimmt hat. Das betrifft 17,3 % aller Websites mit Cookie-Banner. Rechtlich besonders heikel.
• Kein Ablehn-Button – Das Cookie-Banner bietet nur „Akzeptieren“ an, keine gleichwertige Option zum Ablehnen. Das ist ein Verstoß gegen DSGVO Art. 7 und ein klassisches Dark Pattern.
• Vorausgewählte Checkboxen – Tracking-Kategorien sind standardmäßig aktiviert. Der EuGH hat das in der Planet49-Entscheidung eindeutig als unzulässig eingestuft.
• Externe Ressourcen ohne Einwilligung – Google Fonts, YouTube-Embeds oder Social-Media-Plugins laden vor der Zustimmung. Jede dieser Verbindungen überträgt die IP-Adresse des Besuchers.
• Fehlerhafte Umsetzung – Das Banner sieht korrekt aus, blockiert aber technisch keine Cookies. Das ist wie eine Haustür, die zwar abgeschlossen aussieht, aber nicht ins Schloss gefallen ist.

Fakt ist: Die meisten Abmahnungen basieren auf technisch nachweisbaren Mängeln. Und genau deshalb können Sie diese Mängel auch technisch beheben.

Ist die Abmahnung überhaupt berechtigt?

Nicht jede Abmahnung, die im Briefkasten liegt, hat auch Substanz. Gerade bei massenhaft versendeten Abmahnungen lohnt sich ein genauer Blick.

Prüfen Sie diese Punkte:

• Abmahnberechtigung – Wer mahnt ab? Privatpersonen können DSGVO-Verstöße grundsätzlich abmahnen (umstritten, aber von einigen Gerichten bejaht). Wettbewerber und Verbände haben zusätzliche Voraussetzungen.
• Massenabmahnung – Wurde die Abmahnung offensichtlich massenhaft versendet? Einige Gerichte haben solche Massenabmahnungen als rechtsmissbräuchlich eingestuft (z. B. AG Ludwigsburg, 2022). Das kann ein Verteidigungsargument sein.
• Technische Korrektheit – Stimmt der Vorwurf technisch? Laden Sie wirklich Tracking-Skripte vor der Einwilligung? Prüfen Sie das mit den Browser-Entwicklertools oder einem Cookie-Banner-Audit.
• Beweislage – Hat der Abmahner den Verstoß dokumentiert? Screenshots und HAR-Dateien? Oder ist der Vorwurf pauschal?

Auch wenn die Abmahnung unberechtigt sein sollte: Den technischen Zustand Ihrer Website sollten Sie trotzdem prüfen. Denn der nächste Abmahner kommt bestimmt – und der hat vielleicht recht.

Konkrete Schritte: So reagieren Sie richtig

Abmahnung auf dem Tisch, Anwalt informiert, Frist im Kalender. Was jetzt? Jetzt wird es praktisch.

Schritt 1: Technischen Ist-Zustand dokumentieren

Bevor Sie irgendetwas ändern: Dokumentieren Sie den aktuellen Zustand Ihrer Website. Screenshots, HAR-Dateien, Netzwerk-Logs. Das brauchen Sie möglicherweise als Beweismittel – sowohl für als auch gegen Sie.

Schritt 2: Verstöße identifizieren und beheben

Prüfen Sie Ihre Website systematisch auf die in der Abmahnung genannten Punkte. Unser Audit analysiert Ihre Website in einem echten Browser und erkennt:

• Tracking-Skripte, die vor der Einwilligung laden
• Cookies, die ohne Consent gesetzt werden
• Externe Verbindungen zu Drittanbietern
• Fehlende oder fehlerhafte Cookie-Banner-Konfiguration

Jetzt Website auf Datenschutzverstöße prüfen

Schritt 3: Unterlassungserklärung prüfen (lassen)

Viele Abmahnungen enthalten eine vorformulierte Unterlassungserklärung. Unterschreiben Sie diese niemals ungeprüft. Eine Unterlassungserklärung ist rechtlich bindend – bei jedem weiteren Verstoß droht eine Vertragsstrafe. Lassen Sie die Erklärung anwaltlich prüfen und gegebenenfalls modifizieren.

Schritt 4: Behebung dokumentieren und kommunizieren

Nachdem Sie die Mängel behoben haben: Dokumentieren Sie die Änderungen. Erstellen Sie einen Vorher-Nachher-Vergleich. Das zeigt dem Abmahner (und im Zweifelsfall einem Gericht), dass Sie den Verstoß ernst nehmen und behoben haben. Schnell. Gründlich. Nachweisbar.

Brauchen Sie überhaupt ein Cookie-Banner?

Diese Frage klingt ketzerisch – ist aber absolut berechtigt. Denn 53,3 % aller Websites in unserer Analyse zeigen ein Cookie-Banner, obwohl sie technisch gar keines benötigen.

Ein Cookie-Banner ist nur dann erforderlich, wenn Ihre Website:

• Nicht-technisch-notwendige Cookies setzt (z. B. für Analytics oder Werbung)
• Tracking-Dienste einbindet, die eine Einwilligung erfordern
• Externe Ressourcen lädt, die personenbezogene Daten übertragen

Nutzen Sie ausschließlich technisch notwendige Cookies? Dann brauchen Sie kein Banner – und können es auch nicht falsch konfigurieren. Das Problem dabei: Viele Webseitenbetreiber wissen gar nicht genau, welche Dienste und Cookies ihre Website tatsächlich nutzt. Plugins, Themes und eingebettete Inhalte können unbemerkt Tracking-Code einschleusen.

Die beste Abmahnung ist die, die nie kommt. Und der sicherste Weg dahin: Wissen, was Ihre Website wirklich tut.

Wiederholungsgefahr und Prävention

Eine Abmahnung ist ärgerlich. Zwei Abmahnungen zum selben Thema? Das wird richtig teuer. Denn nach einer Unterlassungserklärung droht bei jedem weiteren Verstoß eine Vertragsstrafe – typischerweise zwischen 2.500 € und 10.000 €.

So minimieren Sie das Risiko:

• Regelmäßige Audits – Prüfen Sie Ihre Website nicht einmalig, sondern kontinuierlich. Plugin-Updates, Theme-Wechsel oder neue Inhalte können jederzeit neue Datenschutzprobleme verursachen.
• CMP richtig konfigurieren – Wenn Sie ein Consent-Tool nutzen, stellen Sie sicher, dass es Tracking tatsächlich blockiert und nicht nur ein Banner anzeigt.
• Datenschutzerklärung aktuell halten – Die Datenschutzerklärung muss alle eingesetzten Dienste korrekt aufführen. Fehlende oder veraltete Angaben sind ein eigener Abmahngrund.
• Mitarbeiter sensibilisieren – Wer neue Plugins installiert oder Inhalte einbettet, muss die Datenschutz-Auswirkungen kennen.

Versprochen: Der Aufwand für Prävention ist immer geringer als der für Schadensbegrenzung.

Was prüft exatics?

Unser Audit deckt genau die Probleme auf, die zu Abmahnungen führen – automatisiert, in einem echten Browser und ohne technisches Vorwissen.

Wir prüfen unter anderem:

• Tracking vor Einwilligung – Werden Analyse- oder Werbe-Dienste vor dem Consent geladen?
• Cookie-Banner-Funktionalität – Blockiert Ihr Banner tatsächlich Cookies oder zeigt es nur ein Fenster an?
• Externe Verbindungen – Welche Drittanbieter-Server kontaktiert Ihre Website beim Laden?
• Dark Patterns – Ist der Ablehn-Button gleichwertig zum Akzeptieren-Button?

Die Prüfung dauert wenige Sekunden und liefert eine klare Übersicht aller datenschutzrelevanten Befunde. Das ist messbar. Und es schützt Sie vor der nächsten Abmahnung.

Jetzt Website kostenlos prüfen

Weiterführende Artikel

• Cookie-Banner prüfen: Häufige Fehler erkennen und beheben
• Häufigste Datenschutz-Verstöße auf deutschen Websites
• Dark Patterns in Cookie-Bannern
• Tracking ohne Einwilligung: Was unsere Audits aufdecken