Datenschutz auf Webseiten: Cookies, Consent, Barrierefreiheit und rechtssichere Websites

Du baust Websites, die funktionieren – und willst dabei sauber bleiben. Dafür gibt es klare To-dos.:

  • strengere Erwartungen an CookieBanner, ein neues Kapitel für zentrale Einwilligungsverwaltung
  • Gerichtsentscheidungen mit echtem Haftungsdruck
  • der Stichtag zur digitalen Barrierefreiheit
  • und der Abschied von der EUODR-Plattform.

In diesem Leitfaden zeigen wir Dir konkret, was jetzt zählt, wie Du typische Fallstricke vermeidest und wo Du smart Chancen nutzt – aus der Perspektive von geübten Datenschützern, die wissen, wie der Alltag zwischen Marketing, Technik und Recht aussieht.

Warum Du jetzt handeln solltest

Wenn DrittanbieterCookies ohne Einwilligung feuern, haftet nicht nur die Website – auch der Drittanbieter selbst kann dran sein. Genau das hat das Oberlandesgericht (OLG) Frankfurt klargestellt. Das Risiko für Abmahnungen und Klagen steigt, und zwar spürbar. Gleichzeitig laufen CookieEntscheidungen dank Diensten zur Einwilligungsverwaltung künftig zentral („Personal Information Management Systems“, kurz: PIMS). Dein Banner wird weniger geklickt, aber muss technisch und rechtlich sauber mitspielen. Und: Seit dem 29.06.2025 gelten Pflichten zur digitalen Barrierefreiheit nach dem Barrierefreiheitsstärkungsgesetz (BFSG) auch für viele ECommerceWebsites – mit Bußgeldern bis 100.000 Euro. Klingt nach Druck? Stimmt. Aber: Mit der richtigen Umsetzung holst Du Transparenz, Vertrauen und verlässliche Daten zurück.

Die Basis: Sichtbare Informationen und sichere Übertragung

Deine Datenschutzerklärung und Dein Impressum gehören von jeder Unterseite aus mit maximal 2 Klicks erreichbar dargestellt. CookieBanner dürfen diese Links nicht verdecken. Halte Dich an sprechende Linktexte („Datenschutz“, „Impressum“) und eine klare Platzierung im Header oder Footer.
Setze Transportverschlüsselung mit „Transport Layer Security“ (TLS) konsequent ein und sorge für „Hypertext Transfer Protocol Secure“ (HTTPS) auf allen Seiten – das SchlossSymbol im Browser ist kein „Nicetohave“, sondern Standard.

Kontaktformulare: Weniger ist mehr

Frag nur ab, was Du wirklich brauchst. Für die erste Antwort genügen meist EMailAdresse und Nachricht. Markiere Pflichtfelder eindeutig und vermeide pauschale Einwilligungen zur Verarbeitung, wenn die Bearbeitung der Anfrage bereits auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) möglich ist. Nutze Datenschutz durch Technikgestaltung:

  • serverseitige Validierung ohne unnötige Speicherung
  • SpamSchutz ohne Tracking
  • kurze Speicherfristen mit automatischer Löschung

Aus der Praxis: Ein Formular mit fünf Pflichtfeldern performt oft schlechter – und macht rechtlich mehr Arbeit.

Mitarbeiterfotos und Kontaktdaten: Einwilligung richtig denken

Dienstliche Kontaktdaten von Mitarbeitenden, die nach außen auftreten, kannst Du zur Erfüllung der Arbeitspflicht veröffentlichen. Für Fotos oder weitergehende Angaben brauchst Du in der Regel eine freiwillige, informierte Einwilligung – mit klarem Widerrufshinweis und fairer Alternative. Ein Urteil des Arbeitsgerichts (ArbG) Münster zeigte: Marketingeinsatz ohne Einwilligung kann teuer werden.

Auftragsverarbeitung: Verträge sauber schließen

Prüfe, wer Zugriff auf Website-Daten hat: Hosting, Agenturen, Analytics-Anbieter. Schließe mit ihnen Auftragsverarbeitungsverträge (Art. 28 DSGVO) und prüfe Drittlandtransfers. Setze „privacy by default“ um: So wenig Daten wie möglich, so kurz wie nötig, so gut geschützt wie praktikabel.

Analytics 2026: Google Analytics bewusst konfigurieren, Matomo smart nutzen

Google Analytics 4 (GA4) ist Standard – aber nur mit Einwilligung. Konfiguriere bewusst:

  • Speicherdauer kurz halten (z. B. 2 – 14 Monate)
  • Reset bei neuer Aktivität deaktivieren
  • Datenfreigaben minimieren, keine „GoogleSignale“
  • Standort/Gerätedaten und UserID nur, wenn zwingend erforderlich
  • den „Consent Mode“ in der einfachen Variante implementieren: Tags erst nach Einwilligung laden
  • Widerruf so einfach wie die Erteilung – das Banner jederzeit wieder aufrufbar machen.

Matomo ist oft die pragmatischere Wahl. So bleibst Du häufig einwilligungsfrei:

  • lokal hosten (OnPremises)
  • IPAdressen anonymisieren
  • cookielosen Betrieb aktivieren
  • Altdaten regelmäßig löschen

So behältst Du die Datenhoheit im eigenen Haus – und Deine Reichweitenmessung bleibt stabil, ohne ConsentDrop.

CookieBanner: Klare Wahl, echte Kontrolle

Dein Banner muss eine informierte, freiwillige und aktive Einwilligung ermöglichen – mit gleichwertiger „Alles ablehnen“-Option auf erster Ebene. Achte auf folgende Mindestanforderungen:

  • klarer Hinweis auf die Möglichkeit zum Widerruf direkt im Banner
  • Liste der Tools mit Zweck, Laufzeit und Anbieter
  • Blockade einwilligungsbedürftiger Dienste bis zur Zustimmung
  • jederzeit erneut aufrufbare Einstellungen (z. B. „Datenschutzeinstellungen“ im Footer)
  • Kategorien sind okay, wenn einzelne Tools separat wählbar sind

Wichtig: Das StandardTemplate Deiner ConsentManagementPlattform (CMP) ist selten „fertig“. Du musst es inhaltlich befüllen, rechtlich prüfen und technisch testen.

PIMS: Zentrale Einwilligungsverwaltung kommt

Seit Anfang 2026 ist der erste anerkannte Dienst zur Einwilligungsverwaltung („Consenter“) offiziell im Register nach § 26 Abs. 2 des TDDDG. Das Ziel: Nutzerpräferenzen einmal setzen, überall wirksam. Für

Dich heißt das:

  • CMP kompatibel halten
  • PIMSSignale korrekt verarbeiten
  • Transparenz im Banner bewahren
  • ConsentLogs sauber dokumentieren

Das senkt Frust – und macht Deine Datenbasis belastbarer.

Videos und Schriften: Unnötige Datenflüsse vermeiden

Externe Videos (YouTube, Vimeo) und WebSchriften (Google Fonts) sind Klassiker für verdeckte Drittlandtransfers. So gehst Du auf Nummer sicher: lade Videos erst nach Einwilligung (2-Klikck-Lösung) oder hoste sie selbst. Ähnliches gilt für Google Fonts. Lade diese lokal vom eigenen Server und es fällt keine Einwilligung an.

Social Media: Gemeinsame Verantwortung ernst nehmen

Fanpages bedeuten „gemeinsame Verantwortlichkeit“. Verlinke Dein Impressum und Deine Datenschutzerklärung deutlich in jedem Profil und richte Prozesse für Betroffenenrechte ein. Das wirkt nüchtern – schützt aber vor vermeidbaren Konflikten.

Barrierefreiheit: BFSGPflichten seit 29.06.2025

Viele elektronische Dienstleistungen im ECommerce müssen digitale Barrierefreiheit erfüllen. Die „Barrierefreiheitsstärkungsverordnung“ (BFSV) konkretisiert: Inhalte müssen wahrnehmbar, bedienbar, verständlich und robust gestaltet sein. Ergänze eine Barrierefreiheitserklärung mit konkreten Umsetzungsinfos und zuständiger Marktüberwachungsbehörde. Prüfe Ausnahmen (rein private Websites, ausschließlich BusinesstoBusiness, Kleinstunternehmen), setze aber trotzdem Mindeststandards – schon aus UXGründen.

OnlineStreitbeilegung (ODRPlattform)

Die EUPlattform zur OnlineStreitbeilegung (ODR) wurde zum 20.07.2025 eingestellt. Die Folge: entferne noch vorhandene Links zur ODRPlattform von Website und AGB, prüfe etwaige Unterlassungserklärungen und passe sie ggf. an. Beachte aber weiterhin das Verbraucherstreitbeilegungsgesetz (VSBG). Ein nicht mehr erreichbarer Link wirkt irreführend – und lädt zu Abmahnungen ein.

Risiken und Chancen – meine Einschätzung

Ohne wirksame Einwilligung riskierst Du die Haftung von Drittanbietern; prüfe deshalb konsequent Deinen TagManager und jeden einzelnen Tag – nicht nur den Banner. Ein falsch gesetztes „Marketing Default“ kann Dich unmittelbar in die Haftung bringen.
Schwach gestaltete CookieBanner mit unauffälliger „Ablehnen“-Option oder ohne Widerrufsmöglichkeit direkt am Ort der Einwilligung führen schnell zu Abmahnungen. Die Rechtsprechung ist den StandardEinstellungen mancher ConsentManagementPlattformen (CMP) voraus, daher solltest Du Deine Konfiguration aktiv anpassen.
Wenn Du Matomo lokal ohne Cookies betreibst, erhältst Du verlässliche Trenddaten ohne „ConsentDrop“. Dadurch sparst Du operativen Aufwand und stärkst das Vertrauen Deiner Nutzerinnen und Nutzer.
Dienste zur Einwilligungsverwaltung (Personal Information Management Systems, PIMS) reduzieren die Friktion für Nutzer spürbar. Wenn Du deren Signale korrekt auswertest, verbessern sich Deine Datenqualität und die User Experience (UX) gleichzeitig.

Handlungsschritte: In zwei Wochen zum belastbaren Setup

  1. Sichtbarkeit fixen: Impressum und Datenschutzerklärung prüfen, TLS/HTTPS überall aktivieren.
  2. ConsentCheck: CMP so konfigurieren, dass „Alles ablehnen“ gleichwertig zu „Alles akzeptieren“ ist; Widerruf im Banner; ToolListe sauber; LiveTests auf Produktion.
  3. TagManager durchleuchten: Nur technisch notwendige Tags ohne Einwilligung laden; Consent Mode (einfach) implementieren; Ladebedingungen testen.
  4. Analytics entscheiden: Entweder Matomo lokal ohne Cookies (inkl. IPAnonymisierung, Löschregeln) oder GA4 mit strenger Datenminimierung und Einwilligung.
  5. Medienhygiene: YouTube/Vimeo mit ZweiKlick oder selfhosting; WebSchriften lokal einbinden.
  6. Formulare entschlacken: Pflichtfelder reduzieren; Datenfluss dokumentieren; Löschfristen im System hinterlegen.
  7. Barrierefreiheit planen: Anforderungen der BFSV gegen Deine Website prüfen; Barrierefreiheitserklärung erstellen; Roadmap bis zur Abnahme.
  8. Social Profiles ergänzen: Deutliche Links zu Impressum und Datenschutz; Rollen und Prozesse für Anfragen klären.
  9. ODRHinweise entfernen: Website/AGB/Unterlassungserklärungen aktualisieren.

FAQ: Die häufigsten Fragen aus Projekten

Brauchst Du für Matomo immer ein CookieBanner?
Nein, wenn Du lokal ohne Cookies und mit IPAnonymisierung arbeitest, ist eine Einwilligung oft nicht erforderlich. Prüfe Dein konkretes Setup sorgfältig.

Reicht „Weiter nutzen = Einwilligung“?
Nein. Du brauchst eine aktive Einwilligung mit klarer Auswahl und gleichwertiger Ablehnung.

Muss „Alles ablehnen“ so sichtbar sein wie „Alles akzeptieren“? 
Ja. Gleichwertig und auf erster Ebene. Unauffällige oder versteckte Ablehnung ist rechtlich riskant.

Darfst Du Google Analytics 4 ohne Einwilligung nutzen?
In der Regel nein. GA4 verarbeitet einwilligungsbedürftige Informationen auf der Endeinrichtung. Nutze den Consent Mode und lade Tags erst nach Zustimmung.

Was bringt Dir PIMS praktisch?
Weniger BannerKlicks, konsistente Nutzerpräferenzen, bessere Datenbasis. Du musst die PIMSSignale technisch korrekt annehmen und dokumentieren.

Müssen Newsletter immer per DoubleOptIn bestätigt werden? 
Grundsätzlich ja. Für Bestandskunden gelten Ausnahmen nach § 7 Abs. 3 des Gesetzes gegen den unlauteren Wettbewerb (UWG) – eng auszulegen.

Fazit: Weniger Grauzonen, mehr Vertrauen

Datenschutz auf Websites ist 2026 kein Bauchgefühl, sondern Handwerk: klare Banner, saubere Tags, bewusste Analytics und barrierefreie Interfaces. Du schützt damit nicht nur vor Bußgeldern und Abmahnungen – Du stärkst Markenvertrauen und Datenqualität. Und ganz ehrlich: Es fühlt sich gut an, wenn Technik, Recht und UX endlich in die gleiche Richtung laufen.