In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
Abmahnwelle von Noyb: Was steckt dahinter und wie sieht ein rechtskonformes Cookie-Banner aus?

Abmahnwelle von Noyb: Was steckt dahinter und wie sieht ein rechtskonformes Cookie-Banner aus?

Niklas Hanitsch

Volljurist und Compliance-Experte

December 23, 2025

6 min

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Key Takeaways

Ein Cookie-Banner ist notwendig, wenn Cookies verwendet werden, die eine Einwilligung des Nutzers erfordern. Technisch notwendige Cookies benötigen keine Einwilligung.

Ein Cookie-Banner muss transparent gestaltet sein, die Möglichkeit bieten, alle nicht technisch notwendigen Cookies abzulehnen, und darf keine vorausgewählte Einwilligung enthalten.

Cookies müssen korrekt kategorisiert sein, die Einwilligung und deren Widerruf müssen einfach sein.

Der Nutzer muss über sein Widerrufsrecht informiert werden.

Max Schrems ist in der „Datenschutzwelt“ kein unbeschriebenes Blatt. Sein Name taucht immer wieder im Zusammenhang mit Klagen gegen große Unternehmen wie Facebook auf. Ferner sind die Urteile des Europäischen Gerichtshofs (EuGH), die die Aufhebung des Safe-Harbor-Abkommens und des EU-US Privacy Shields zur Folge hatten, nach ihm benannt („Schrems-I-Urteil“ und „Schrems-II-Urteil“).

In diesem Artikel lesen Sie: 

  • wie Sie einer Noyb-Abmahnung entgegenwirken
  • warum ein Cookie-Banner wichtig für Ihre Website ist
  • wie ein datenschutzkonformes Cookie-Banner aussieht

Um einer Abmahnung durch Noyb zu entgehen, stellt sich für viele Unternehmen die Frage:

Wie muss ein rechtskonformes Cookie-Banner aussehen?

Einige Hinweise hierzu liefert dieser Artikel. Für individuelle Unterstützung steht Ihnen das Team von SECJUR gerne zur Verfügung.

Erforderlichkeit eines Cookie-Banners für die Website

Nicht jede Website benötigt ein Cookie-Banner. Das Cookie-Banner wird für die Abfrage der datenschutzrechtlichen Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a) DSGVO und für die Erteilung weiterer Pflichtinformationen, wie etwa der Mitteilung über das Bestehen eines Widerrufsrechts, benötigt.

Das heißt im Umkehrschluss: Für Unternehmen, die auf Ihren Webseiten nur Cookies verwenden, die keiner Einwilligung bedürfen, besteht grundsätzlich auch kein Erfordernis eines Cookie-Banners.

Keiner Einwilligung bedürfen Cookies, die für den Betrieb der Webseite technisch notwendig sind. Achtung: Die Grenze der Notwendigkeit ist recht eng auszulegen. In der Regel ist daher die Einholung einer Einwilligung durch den Webseitenbesucher erforderlich.

Eine allgemeingültige Zuordnung von Cookies, welche als technisch notwendig angesehen werden, existiert nicht. Es ist immer der konkrete Einzelfall zu betrachten. Grundsätzlich kann jedoch bei Cookies, die zur Durchführung von Analysen gesetzt werden, davon ausgegangen werden, dass eine Einwilligung erforderlich ist.

Hinweis: Nicht nur bezüglich Cookies bedarf es grundsätzlich der Einholung von Einwilligungen via Cookie-Banner. Der Begriff des „Cookie-Banners“ ist in diesem Zusammenhang zu eng gewählt. Neben Cookies existieren nämlich weitere Methoden, wie etwa das Fingerprinting, bei denen die Einholung einer Einwilligung erforderlich ist.

Ausgestaltung des Cookie-Banners

Wenn ein Cookie-Banner zur Einholung von Einwilligungen erforderlich ist, ist unter anderem auf folgende Punkte zu achten:

  • Das Cookie-Banner muss transparent gestaltet sein.
  • Beim Aufbau des Cookie-Banners über mehrere Ebenen sollte für den Webseitenbesucher bereits auf der ersten Ebene die Option bestehen, alle nicht technisch notwendigen Cookie abzulehnen.
  • Die Einwilligung darf nicht vorausgewählt sein. Das bedeutet, dass nicht eine sogenannte Opt-Out-Lösung, also vorangekreuzten Kästchen, verwendet werden sollten (siehe „Planet49-Urteil“ - EuGH, 01.10.2019 - C-673/17).
  • Durch Farbe, Größe oder sonstige Gestaltung von Buttons darf es dem Webseitenbesucher nicht übermäßig erschwert werden, auf die Erteilung einer Einwilligung zu verzichten. Hier steckt der Teufel aber im Detail und es gibt durchaus Möglichkeiten, nach wie vor gewisse psychologische „Tricks“ zu verwenden.
  • Cookies müssen den richtigen Kategorien zugeordnet werden. Das bedeutet, Unternehmen müssen im Vorfeld sicherstellen, dass sie die genau Funktion des Cookies kennen (und somit auch die Rechtsgrundlage für die Datenverarbeitung).
  • So einfach wie die Einwilligung über das Cookie-Banner erteilt werden konnte, so einfach muss auch der Widerruf der Einwilligung möglich sein. Es sollte dem Webseitenbesucher daher im Cookie-Banner selbst ein entsprechender Hinweis angezeigt werden.

Fazit zur Abmahnwelle von Noyb

Um Abmahnungen wie denen von Noyb zu entgehen, sollten Unternehmen die oben aufgeführten Punkte bei der Wahl eines Anbieters für ihr Cookie-Banner beachten und nicht versuchen, sich eine Einwilligung des Webseitenbesuchers zu „erschleichen“. Zum einen sind diese dann in datenschutzrechtlicher Hinsicht unwirksam und zum anderen verärgern Unternehmen hierdurch häufig ihre potenziellen Kunden.

Tipp: Hier sehen Sie das Video von Noyb mit Max Schrems zu der Abmahnwelle bezüglich des „Cookie-Banner-Wahnsinns“.

Mehr erfahren
Niklas Hanitsch

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

November 21, 2025
5 Minuten
ISO 27001: Funktionstrennung (SoD) in hybriden IT-Umgebungen

Viele Unternehmen kämpfen damit, Funktionstrennung in zunehmend hybriden IT-Landschaften sauber umzusetzen. Dieser Leitfaden zeigt praxisnah, wie Sie SoD-Konflikte in On-Premise-, Cloud- und SaaS-Umgebungen identifizieren, technische Kontrollen wirksam einsetzen und ISO-27001-konform strukturieren. Erfahren Sie, wie moderne Self-Service-Modelle, zentrale Rollenmatrix und automatisiertes Berechtigungsmanagement aus komplexen Zugriffsszenarien ein robustes, audit­sicheres Sicherheitsfundament machen.

Lesen
November 27, 2025
5 Minuten
NIS2 & Aufsichtsrat: Haftungsrisiken erkennen und vermeiden

Viele Aufsichtsräte unterschätzen ihre persönliche Haftung unter NIS2 erheblich. Erfahren Sie, welche neuen Überwachungspflichten jetzt gelten, welche Risiken bei Versäumnissen drohen und wie Sie Ihre Governance auditsicher aufstellen. Dieser Leitfaden zeigt praxisnah, wie der Aufsichtsrat Cybersicherheit wirksam steuert und Haftungsfallen vermeidet.

Lesen
November 26, 2025
5 Minuten
NIS2-Audit: Kriterien für Governance und Management

Mit NIS2 wird die Management-Verantwortung für Cybersicherheit erstmals konkret prüf- und haftungsrelevant. Dieser Leitfaden zeigt, welche Governance-Nachweise Auditoren wirklich verlangen, von Genehmigung über Überwachung bis Schulung der Geschäftsleitung. Erfahren Sie praxisnah, wie Sie sich mit klaren Protokollen, KPIs und Management-Reviews auditsicher aufstellen. So verwandeln Sie Haftungsrisiken in eine belastbare NIS2-Governance-Struktur.

Lesen
Related Resources
NIS2: Technische Anforderungen an Incident-Meldungen
November 3, 2025
5 Minuten
NIS2 & Lieferkette: Umgang mit Non-konformen Lieferanten
December 2, 2025
5 Minuten
EU AI Act & GPAI: Wie gelingt die Risikoklassifizierung?
November 28, 2025
4 Minuten
Marketing Tips for Niche Industries
NIS2-Compliance für KMU: Der Leitfaden für Geschäftsführer
August 29, 2025
5 Minuten
ISMS-Standard – SECJUR-Ratgeber zur Wahl Ihres ISMS-Standards
June 7, 2023
5 min
ISO 27001: Risikomanagement richtig umsetzen
November 6, 2025
5 Minuten
TO TOP