Abmahnung wegen Cookie-Banner – Was tun?
Eine Abmahnung im Briefkasten, Betreff: Cookie-Banner. Der Puls steigt, die Gedanken rasen. Ist das ernst? Muss ich zahlen? Kann ich etwas tun? Die gute Nachricht: Sie können eine Menge tun. Aber der Reihe nach.
Abmahnungen wegen fehlerhafter Consent-Banner und DSGVO-Verstöße auf Websites haben seit 2022 spürbar zugenommen. Allein der Verbraucherzentrale Bundesverband (vzbv) prüfte in einer Aktion knapp 1.000 Websites, verschickte rund 100 Abmahnungen und erwirkte 66 Unterlassungserklärungen.
In unserer eigenen Analyse von über 2,9 Mio. Websites (Stand: Mai 2026) zeigt sich: 16,7 % aller Websites mit Consent-Banner tracken vor der Einwilligung. Die gute Nachricht: 56,1 % der Websites machen es richtig. Entweder läuft das Banner korrekt – oder es fehlt, weil es gar nicht nötig ist.
Besonders überraschend: Auch viele Webseitenbetreiber, die auf Analyse-Tools wie Matomo setzen, wiegen sich in falscher Sicherheit. Matomo kann consent-frei betrieben werden. Aber nur, wenn eine entscheidende Option aktiviert ist. Wer das versäumt, misst nicht consent-frei. Und ist damit genauso angreifbar wie jede andere Website mit falschem Tracking. Sie setzen Matomo ein? Dann testen Sie jetzt Ihre Webseite.
Ein Abmahnrisiko ist also real – aber nicht jede Abmahnung ist berechtigt.
Hinweis: Die folgenden Ausführungen basieren auf unserer technischen Analyse und stellen keine Rechtsberatung dar. Für die rechtliche Bewertung Ihrer konkreten Abmahnung konsultieren Sie bitte einen Fachanwalt für IT-Recht.
Häufige Fragen zu Abmahnung wegen Cookie-Banner
Was soll ich tun, wenn ich eine Abmahnung wegen meines Cookie-Banners erhalte?
Bewahren Sie Ruhe und reagieren Sie nicht sofort. Notieren Sie die Frist, prüfen Sie den Absender und den konkreten Vorwurf. Unterschreiben Sie keine vorformulierte Unterlassungserklärung, ohne diese anwaltlich prüfen zu lassen. Dokumentieren Sie den aktuellen technischen Zustand Ihrer Website, bevor Sie Änderungen vornehmen.
Wie viel kann eine Cookie-Banner-Abmahnung kosten?
Die Forderungen variieren stark. Einzelne Schadensersatzforderungen liegen typischerweise zwischen 100 € und 500 €. Anwaltskosten können zusätzlich anfallen. Besonders teuer wird es bei einer Unterlassungserklärung: Jeder Folgeverstoß kann eine Vertragsstrafe von 2.500 € oder mehr auslösen. Auch 10.000 € können da schnell genannt werden. Prävention durch regelmäßige Audits ist deutlich günstiger.
Ist jede Cookie-Banner-Abmahnung berechtigt?
Nein, nicht zwingend. Gerade massenhafte Abmahnungen durch Privatpersonen wurden von einigen Gerichten als rechtsmissbräuchlich eingestuft. Dennoch kann der technische Vorwurf trotzdem zutreffen. Lassen Sie die Berechtigung der Abmahnung anwaltlich prüfen und beheben Sie unabhängig davon eventuelle technische Mängel auf Ihrer Website.
Abmahnung erhalten? Erstmal durchatmen, dann prüfen!
Klingt banal, ist aber entscheidend: Reagieren Sie nicht sofort. Nicht unterschreiben, nicht zahlen, nicht anrufen. Eine Abmahnung ist kein Gerichtsurteil – sie ist zunächst nur die Aufforderung einer anderen Partei. Und die kann berechtigt sein. Oder eben nicht.
Was Sie als Erstes tun sollten:
- Frist notieren – Jede Abmahnung enthält eine Frist. Tragen Sie diese sofort in Ihren Kalender ein. Verstreicht die Frist, kann es teurer werden.
- Absender prüfen – Kommt die Abmahnung von einer Kanzlei? Von einer Privatperson? Von einem Verband? Das macht einen erheblichen Unterschied für Ihre Optionen.
- Vorwurf verstehen – Was genau wird Ihnen vorgeworfen? Fehlendes Cookie-Banner? Tracking ohne Einwilligung? Daten an Server außerhalb der EU? Jeder Vorwurf erfordert eine andere Prüfung.
- Fachanwalt kontaktieren – Bei Forderungen über 500 € oder Unterlassungserklärungen: unbedingt anwaltliche Beratung einholen. Die Kosten dafür sind für Ihr Unternehmen meist geringer als die Folgen einer falschen Reaktion.
Panik ist der schlechteste Berater. Methodisch vorgehen – das ist der Weg. Schritt für Schritt.
Häufige Gründe für Cookie-Banner-Abmahnungen
Häufig wird von einem Cookie-Banner gesprochen. Aber das ist fachlich nicht ganz korrekt. Denn es geht nicht nur um Cookies. Es geht um alle externen Dienste auf Ihrer Webseite – und die personenbezogenen Daten, die dabei fließen. Daher ist Consent-Banner der eigentlich korrekte Begriff. Nicht jede Website braucht ein solches Banner. Aber jede Website, die eines braucht, muss es korrekt umsetzen. Klingt einfach – ist es leider nicht.
Die gute Nachricht: Die häufigsten Abmahngründe sind bekannt – und behebbar.
- Tracking ohne Einwilligung – Google Analytics, der Google Tag Manager, Facebook Pixel oder andere Tracking-Dienste laden, bevor der Nutzer zugestimmt hat. Das betrifft 16,7 % aller Websites mit Consent-Banner in unserer Analyse. Rechtlich dürfte das besonders heikel sein.
- Kein Consent-Banner trotz Bedarf – Unsere Analysen zeigen auch, dass 23,0 % der Websites kein Consent-Banner haben, obwohl nach unserer Einschätzung eines erforderlich wäre. Wer Dienste einbindet, die eine Zustimmung brauchen, und kein Banner zeigt, bietet eine offene Angriffsfläche.
- Kein Ablehn-Button – Das Consent-Banner bietet nur „Akzeptieren“ an, keine echte Wahl zum Ablehnen. Nach Auffassung mehrerer Gerichte und Aufsichtsbehörden kann das zur Unwirksamkeit der Einwilligung führen – so stufte etwa das Landgericht Hannover eine fehlende „Alles ablehnen“-Schaltfläche als unzulässig ein. Gleichzeitig handelt es sich um ein klassisches Dark Pattern.
- Vorausgewählte Checkboxen – Tracking-Kategorien sind standardmäßig aktiviert. Der Europäische Gerichtshof (EuGH) hat das in einem Grundsatzurteil gegen den Gewinnspielbetreiber Planet49 klargestellt: Vorausgewählte Checkboxen stellen keine wirksame Einwilligung dar.
- Externe Ressourcen ohne Einwilligung – Google Fonts, YouTube-Embeds oder Social-Media-Plugins laden vor der Zustimmung. Jede dieser Verbindungen überträgt die IP-Adresse des Besuchers – und das ist nach der DSGVO bereits ein personenbezogenes Datum.
- Fehlerhafte Umsetzung – Das Banner sieht korrekt aus, blockiert aber technisch keine Cookies. Das ist wie eine Haustür, die zwar abgeschlossen aussieht, aber nicht ins Schloss gefallen ist.
Die meisten Abmahnungen basieren auf technisch nachweisbaren Mängeln. Technisch nachweisbar heißt aber auch: technisch behebbar.
Und unser exatics-Audit bietet Ihnen hier eine perfekte Unterstützung. Haben Sie bereits Ihre Website geprüft? Wenn wir nichts gefunden haben – und das sehen Sie kostenfrei und unverbindlich – wird auch ein Abmahner schlechte Karten haben.
Okay. Auch wir sind bei unseren technischen Prüfungen nicht 100 % fehlerfrei. Aber wir erkennen aktuell 771 Signaturen. Das sind so viele Dienste, dass wir sehr wahrscheinlich auch Ihre Webseite komplett prüfen können. Unser Versprechen: Wenn wir einen abmahnrelevanten Dienst auf Ihrer Webseite übersehen, erkennen wir ihn nach Ihrer Supportanfrage binnen 14 Tagen. Erkannt, eingestuft, erledigt.
Ist die Abmahnung überhaupt berechtigt?
Nicht jede Abmahnung, die im Briefkasten liegt, hat auch Substanz. Gerade bei massenhaft versendeten Abmahnungen lohnt sich ein genauer Blick.
Vier Fragen helfen Ihnen, die Lage einzuschätzen:
- Wer darf abmahnen? – Können Privatpersonen DSGVO-Verstöße abmahnen? Das ist unter Juristen umstritten. Einige Gerichte sagen ja, andere nein. Wettbewerber und Verbände unterliegen weitere Hürden.
- Massenabmahnung – Wurde die Abmahnung offensichtlich massenhaft versendet? Einige Gerichte haben solche Massenabmahnungen als missbräuchlich eingestuft. Das könnte ein Argument für Ihre Seite sein – Ihr Anwalt kann das im Einzelfall bewerten.
- Technische Korrektheit – Stimmt der DSGVO-Vorwurf technisch? Laden Sie wirklich Tracking-Skripte vor der Einwilligung? Testen Sie das mit den Browser-Entwicklertools oder einem Cookie-Banner-Audit.
- Beweislage – Hat der Abmahner den Verstoß belegt? Netzwerk-Mitschnitte des Browsers (sogenannte HAR-Dateien) und Screenshots? Oder ist der Vorwurf pauschal?
Auch wenn die Abmahnung unberechtigt sein sollte – den technischen Zustand Ihrer Website sollten Sie trotzdem prüfen. Warum? Weil der nächste Abmahner bestimmt kommt. Und der hat vielleicht recht.
Dabei hilft Ihnen unser exatics-Audit. Bereits im Start-Tarif können Sie ein signiertes PDF herunterladen. Es dokumentiert den aktuellen Stand Ihrer Website – verbindlich und nachweisbar. Schnell. Nachweisbar. Und im Ernstfall ein starkes Argument.
Konkrete Schritte: So reagieren Sie richtig
Abmahnung auf dem Tisch, Anwalt informiert, Frist im Kalender. Das Wichtigste jetzt: systematisch vorgehen. Die folgenden vier Schritte zeigen, wie.
Schritt 1: Technischen Ist-Zustand dokumentieren
Bevor Sie irgendetwas ändern: Halten Sie den aktuellen Zustand Ihrer Webseite fest. Screenshots. Netzwerk-Aufnahmen des Browsers (HAR-Dateien). Das brauchen Sie möglicherweise als Beweismittel – sowohl für als auch gegen Sie.
Schritt 2: Verstöße identifizieren und beheben
Gehen Sie Ihre Webseite Punkt für Punkt durch. Unser Audit analysiert Ihre Webseite in einem echten Browser und erkennt:
- Tracking-Skripte, die vor der Einwilligung laden
- Cookies, die ohne Consent gesetzt werden
- Externe Verbindungen zu Drittanbietern
- Fehlende oder fehlerhafte Banner-Einrichtung
Schritt 3: Unterlassungserklärung prüfen (lassen)
Viele Abmahnungen enthalten eine vorformulierte Unterlassungserklärung. Unterschreiben Sie niemals ungeprüft. So eine Erklärung ist bindend – bei jedem weiteren Verstoß droht eine Strafe. Lassen Sie den Text von einem Anwalt prüfen und anpassen.
Schritt 4: Behebung dokumentieren und kommunizieren
Nachdem Sie die Mängel behoben haben: Halten Sie die Änderungen fest. Zeigen Sie den Vorher-Nachher-Stand. Das zeigt dem Abmahner (und im Zweifelsfall einem Gericht), dass Sie den Verstoß ernst nehmen und behoben haben. Schnell. Gründlich. Nachweisbar.
Wiederholungsgefahr und Prävention
Eine Abmahnung ist ärgerlich. Aber wissen Sie, was noch ärgerlicher ist? Zwei Abmahnungen zum selben Thema. Das wird richtig teuer. Denn nach einer Unterlassungserklärung droht bei jedem weiteren Verstoß eine Vertragsstrafe – oft zwischen 2.500 € und 10.000 €.
So minimieren Sie das Risiko:
- Regelmäßige Audits – Prüfen Sie Ihre Website nicht einmalig, sondern regelmäßig. Ein Plugin-Update, ein neues Theme oder ein neuer Inhalt – und schon können neue Datenschutz-Probleme entstehen.
- CMP richtig konfigurieren – Wenn Sie ein Consent-Tool nutzen, stellen Sie sicher, dass es Tracking tatsächlich blockiert und nicht nur ein Banner anzeigt.
- Datenschutzerklärung aktuell halten – Ihre Datenschutzerklärung muss alle eingesetzten Dienste und deren Cookies korrekt auflisten. Eine unvollständige Datenschutzerklärung ist ein eigener Abmahngrund. Fehlende oder veraltete Angaben? Eigener Abmahngrund.
- Mitarbeiter sensibilisieren – Jeder im Unternehmen, der neue Plugins installiert oder Inhalte einbettet, sollte die Folgen für den Datenschutz kennen.
Versprochen: Der Aufwand für Prävention ist immer geringer als der für Schadensbegrenzung.
Was prüft exatics?
Sie wollen wissen, ob Ihre Webseite angreifbar ist? Unser Audit deckt genau die Probleme auf, die zu Abmahnungen führen können. Automatisiert. In einem echten Browser. Ohne technisches Vorwissen.
Wir prüfen unter anderem:
- Tracking vor Einwilligung – Werden Analyse- oder Werbe-Dienste vor dem Consent geladen?
- Banner-Funktion – Blockiert Ihr Banner Cookies oder zeigt es nur ein Fenster an?
- Externe Verbindungen – Welche Drittanbieter-Server kontaktiert Ihre Website beim Laden?
- Dark Patterns – Ist der Ablehn-Button gleichwertig zum Akzeptieren-Button?
Die Prüfung dauert wenige Sekunden. Die Ergebnisse sind konkret. Und die Gewissheit, die Sie danach haben, ist unbezahlbar.
Quellen und Hinweise
Sie wollen tiefer einsteigen? Die wichtigsten Urteile und Quellen im Überblick:
- vzbv-Aktion zu Cookie-Bannern (2022): Pressemitteilung des vzbv
- EuGH-Urteil Planet49 zur Einwilligung durch vorausgewählte Checkboxen: Einordnung des LfDI Baden-Württemberg
- Urteil zu manipulativem Cookie-Banner – „Alles ablehnen“-Schaltfläche: Presseinfo des LfD Niedersachsen
- Audit-Daten stammen aus eigenen exatics-Prüfungen.
- Die rechtliche Einordnung in diesem Artikel stellt keine Rechtsberatung dar. Für die Bewertung Ihres konkreten Falls konsultieren Sie bitte einen Fachanwalt für IT-Recht.
Weiterführende Artikel
Die Abmahnung ist geklärt – aber Sie wollen nicht nur wissen wie, sondern auch warum? Diese Artikel helfen weiter:
Vertiefende Fragen zu Abmahnung wegen Cookie-Banner
Welche Fristen gelten bei einer Cookie-Banner-Abmahnung?
Die Frist zur Abgabe einer Unterlassungserklärung beträgt üblicherweise 7 bis 14 Tage ab Zugang der Abmahnung. Diese Frist ist ernst zu nehmen: Nach Ablauf kann der Abmahner eine einstweilige Verfügung beantragen. Bei knappen Fristen können Sie über Ihren Anwalt eine angemessene Fristverlängerung erbitten – die meisten Gegenseiten stimmen dem zu.
Kann ich eine modifizierte Unterlassungserklärung abgeben?
Ja, und das ist in den meisten Fällen empfehlenswert. Vorformulierte Unterlassungserklärungen sind oft zu weit gefasst und können Sie bei zukünftigen Verstößen stark belasten. Ein Fachanwalt kann die Erklärung so anpassen, dass sie den konkreten Verstoß abdeckt, ohne unnötige Risiken für die Zukunft zu schaffen. Wichtig: Die modifizierte Erklärung muss den Kern des Vorwurfs weiterhin anerkennen.