In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
Abmahnwelle von Noyb: Was steckt dahinter und wie sieht ein rechtskonformes Cookie-Banner aus?

Abmahnwelle von Noyb: Was steckt dahinter und wie sieht ein rechtskonformes Cookie-Banner aus?

Niklas Hanitsch

Volljurist und Compliance-Experte

April 4, 2025

6 min

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Key Takeaways

Ein Cookie-Banner ist notwendig, wenn Cookies verwendet werden, die eine Einwilligung des Nutzers erfordern. Technisch notwendige Cookies benötigen keine Einwilligung.

Ein Cookie-Banner muss transparent gestaltet sein, die Möglichkeit bieten, alle nicht technisch notwendigen Cookies abzulehnen, und darf keine vorausgewählte Einwilligung enthalten.

Cookies müssen korrekt kategorisiert sein, die Einwilligung und deren Widerruf müssen einfach sein.

Der Nutzer muss über sein Widerrufsrecht informiert werden.

Max Schrems ist in der „Datenschutzwelt“ kein unbeschriebenes Blatt. Sein Name taucht immer wieder im Zusammenhang mit Klagen gegen große Unternehmen wie Facebook auf. Ferner sind die Urteile des Europäischen Gerichtshofs (EuGH), die die Aufhebung des Safe-Harbor-Abkommens und des EU-US Privacy Shields zur Folge hatten, nach ihm benannt („Schrems-I-Urteil“ und „Schrems-II-Urteil“).

In diesem Artikel lesen Sie: 

  • wie Sie einer Noyb-Abmahnung entgegenwirken
  • warum ein Cookie-Banner wichtig für Ihre Website ist
  • wie ein datenschutzkonformes Cookie-Banner aussieht

Um einer Abmahnung durch Noyb zu entgehen, stellt sich für viele Unternehmen die Frage:

Wie muss ein rechtskonformes Cookie-Banner aussehen?

Einige Hinweise hierzu liefert dieser Artikel. Für individuelle Unterstützung steht Ihnen das Team von SECJUR gerne zur Verfügung.

Erforderlichkeit eines Cookie-Banners für die Website

Nicht jede Website benötigt ein Cookie-Banner. Das Cookie-Banner wird für die Abfrage der datenschutzrechtlichen Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a) DSGVO und für die Erteilung weiterer Pflichtinformationen, wie etwa der Mitteilung über das Bestehen eines Widerrufsrechts, benötigt.

Das heißt im Umkehrschluss: Für Unternehmen, die auf Ihren Webseiten nur Cookies verwenden, die keiner Einwilligung bedürfen, besteht grundsätzlich auch kein Erfordernis eines Cookie-Banners.

Keiner Einwilligung bedürfen Cookies, die für den Betrieb der Webseite technisch notwendig sind. Achtung: Die Grenze der Notwendigkeit ist recht eng auszulegen. In der Regel ist daher die Einholung einer Einwilligung durch den Webseitenbesucher erforderlich.

Eine allgemeingültige Zuordnung von Cookies, welche als technisch notwendig angesehen werden, existiert nicht. Es ist immer der konkrete Einzelfall zu betrachten. Grundsätzlich kann jedoch bei Cookies, die zur Durchführung von Analysen gesetzt werden, davon ausgegangen werden, dass eine Einwilligung erforderlich ist.

Hinweis: Nicht nur bezüglich Cookies bedarf es grundsätzlich der Einholung von Einwilligungen via Cookie-Banner. Der Begriff des „Cookie-Banners“ ist in diesem Zusammenhang zu eng gewählt. Neben Cookies existieren nämlich weitere Methoden, wie etwa das Fingerprinting, bei denen die Einholung einer Einwilligung erforderlich ist.

Ausgestaltung des Cookie-Banners

Wenn ein Cookie-Banner zur Einholung von Einwilligungen erforderlich ist, ist unter anderem auf folgende Punkte zu achten:

  • Das Cookie-Banner muss transparent gestaltet sein.
  • Beim Aufbau des Cookie-Banners über mehrere Ebenen sollte für den Webseitenbesucher bereits auf der ersten Ebene die Option bestehen, alle nicht technisch notwendigen Cookie abzulehnen.
  • Die Einwilligung darf nicht vorausgewählt sein. Das bedeutet, dass nicht eine sogenannte Opt-Out-Lösung, also vorangekreuzten Kästchen, verwendet werden sollten (siehe „Planet49-Urteil“ - EuGH, 01.10.2019 - C-673/17).
  • Durch Farbe, Größe oder sonstige Gestaltung von Buttons darf es dem Webseitenbesucher nicht übermäßig erschwert werden, auf die Erteilung einer Einwilligung zu verzichten. Hier steckt der Teufel aber im Detail und es gibt durchaus Möglichkeiten, nach wie vor gewisse psychologische „Tricks“ zu verwenden.
  • Cookies müssen den richtigen Kategorien zugeordnet werden. Das bedeutet, Unternehmen müssen im Vorfeld sicherstellen, dass sie die genau Funktion des Cookies kennen (und somit auch die Rechtsgrundlage für die Datenverarbeitung).
  • So einfach wie die Einwilligung über das Cookie-Banner erteilt werden konnte, so einfach muss auch der Widerruf der Einwilligung möglich sein. Es sollte dem Webseitenbesucher daher im Cookie-Banner selbst ein entsprechender Hinweis angezeigt werden.

Fazit zur Abmahnwelle von Noyb

Um Abmahnungen wie denen von Noyb zu entgehen, sollten Unternehmen die oben aufgeführten Punkte bei der Wahl eines Anbieters für ihr Cookie-Banner beachten und nicht versuchen, sich eine Einwilligung des Webseitenbesuchers zu „erschleichen“. Zum einen sind diese dann in datenschutzrechtlicher Hinsicht unwirksam und zum anderen verärgern Unternehmen hierdurch häufig ihre potenziellen Kunden.

Tipp: Hier sehen Sie das Video von Noyb mit Max Schrems zu der Abmahnwelle bezüglich des „Cookie-Banner-Wahnsinns“.

Mehr erfahren
Niklas Hanitsch

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

November 19, 2025
5 Minuten
NIS2: Effektivität Ihrer Sicherheitsmaßnahmen mit KPIs messen

Viele Unternehmen sammeln technische Sicherheitsdaten, ohne wirklich zu verstehen, ob ihre NIS2-Maßnahmen wirken. Dieser Leitfaden zeigt, wie Sie aus unübersichtlichen Metriken klare, strategische KPIs formen, die Wirksamkeit messbar machen, Risiken transparent steuern und das Top-Management endlich mit verständlichen, geschäftsrelevanten Cybersecurity-Einblicken versorgen.

Lesen
June 6, 2023
8 min
CEO Fraud – Informationssicherheitsexperten geben 3 Tipps zur Abwehr

‍Der CEO-Fraud ist eine Variante des „Social Engineerings“, bei welchem die Täter auf das oft schwächste Glied in der IT-Sicherheitskette setzen: Den Menschen. Infolge der immer besseren technischen Schutzmaßnahmen, angefangen bei einer einfachen Firewall bis hin zu Verschlüsselungsmethoden, ist es schwieriger geworden, auf „klassischem“ Weg, wie beispielsweise Hacking, an vertrauliche Informationen zu gelangen. Wie schützt man sich als CEO?

Lesen
June 6, 2023
4 min
Was sind sensible Daten nach DSGVO? Definition & Erklärung

Wie allgemein bekannt ist, stellt der Schutz von Daten in unserer Zeit der „Big Data“ eine große Herausforderung dar. Daten sind nicht gleich Daten. Manche sind ganz besonders schützenswert. Namentlich Daten, die zur Diskriminierung führen können. Daten, die über die Einstellung eines potenziellen neuen Mitarbeiters entscheiden können. Daten, die die Gesundheitsgeschichte eines Menschen umreißen. Gerade auf diese Daten sollte niemand unbefugt Zugriff haben. Doch genau solche Daten lagen über Jahre hinweg für jedermann offen im Internet.

Lesen
Related Resources
ISO 9001 Remote Audit: Leitfaden für digitale QMS-Prüfungen
October 29, 2025
5 Minuten
Geldwäschegesetz: So setzen Sie das GwG im Unternehmen praktisch um
June 8, 2023
12 min
Datenpanne: Was ist zu tun im Datenschutznotfall?
June 6, 2023
8 min
Marketing Tips for Niche Industries
KPIs für ISO 9001: Kennzahlen für echten Unternehmenserfolg
October 29, 2025
5 Minuten
Partielle ISO 27001 Zertifizierung - Einfach erklärt
November 13, 2025
5 Minuten
ISO 9001: So fördern Sie kontinuierliche Verbesserung im QMS
October 27, 2025
5 Minuten
TO TOP