DSGVO-konforme Website: Cookie-Banner, Tracking & Consent Mode richtig aufsetzen

Die DSGVO ist seit 2018 in Kraft, das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) seit 2021. Trotzdem hat 2026 noch jede zweite Mittelstandswebsite ein nicht-konformes Cookie-Banner oder unsauberes Tracking. Die Folgen reichen von Abmahnungen (mehrere tausend Euro) bis zu Bußgeldern der Datenschutzbehörden.

Wir bei DigitalMoonrise setzen DSGVO-Konformität in jedem Kundenprojekt um. Hier zeigen wir Schritt für Schritt, worauf es ankommt.

Inhaltsverzeichnis

1. Was die DSGVO konkret verlangt
2. Cookie-Banner: was muss drin sein?
3. Google Consent Mode v2 erklärt
4. Tracking-Tools im DSGVO-Vergleich
5. Server-Side Tracking: Wann lohnt sich die Alternative?
6. Datenschutzerklärung & Impressum
7. Auftragsverarbeitungsverträge (AVV)
8. Fazit & Empfehlung

1. Was die DSGVO konkret verlangt

Für Website-Betreiber gelten 2026 vor allem diese Pflichten:

• Einwilligung vor Tracking: Nicht-essenzielle Cookies und Tracking dürfen erst nach aktiver Einwilligung des Nutzers gesetzt werden
• Granulare Auswahl: Nutzer muss zwischen Kategorien (Notwendig, Analyse, Marketing) wählen können
• Ablehnen so einfach wie Zustimmen: Keine versteckten Ablehnen-Links, keine auffälligeren Zustimmen-Buttons
• Vollständige Datenschutzerklärung: auflisten, welche Daten warum verarbeitet werden
• Auftragsverarbeitungsverträge (AVV): mit jedem Drittanbieter, der Daten verarbeitet
• Recht auf Löschung, Auskunft, Datenübertragbarkeit

2. Cookie-Banner: was muss drin sein?

Pflichtelemente

• Klare, verständliche Sprache (kein Juristen-Deutsch)
• Zwei gleichberechtigte Buttons: „Alle akzeptieren" und „Alle ablehnen"
• Optional: „Einstellungen" für granulare Auswahl
• Link zur vollständigen Datenschutzerklärung
• Kategorisierung: Notwendig (immer aktiv) / Analyse / Marketing / Externe Inhalte

Typische Fehler

• „Akzeptieren" als großer grüner Button und „Ablehnen" nur als kleiner grauer Link: Das zählt als Abschreckung und ist nicht zulässig
• Tracking läuft schon vor der Einwilligung
• „Weitersurfen = Einwilligung" – ist seit 2020 nicht mehr zulässig
• Banner blockt die ganze Seite, ohne dass eine Ablehnung möglich ist
• Cookies werden auch nach Ablehnung gesetzt

3. Google Consent Mode v2 erklärt

Seit März 2024 verlangt Google verpflichtend den Consent Mode v2, wenn du Google-Dienste (Analytics, Ads, Tag Manager) in der EU einsetzt.

Was macht Consent Mode v2?

• Empfängt vom Cookie-Banner Signale über die Nutzer-Einwilligung
• Passt Tracking entsprechend an: bei Ablehnung werden nur anonymisierte, aggregierte Daten gesendet
• Liefert auch bei abgelehnter Einwilligung noch nutzbare Conversion-Daten (modellierte Conversions)

Pflichtparameter

• `ad_storage`
• `analytics_storage`
• `ad_user_data` (neu in v2)
• `ad_personalization` (neu in v2)

Wer Consent Mode v2 nicht implementiert hat, sieht in Google Ads + Analytics seit 2024 keine vollständigen Daten mehr.

4. Tracking-Tools im DSGVO-Vergleich

Analytics-Tools laufen DSGVO-konform erst mit einem Consent-Tool, das Einwilligungen verwaltet und an Google Consent Mode v2 weitergibt. Unser Standard dafür:

CookieYes

• Cookie-Banner und Einwilligungsverwaltung in einem Tool
• Google Consent Mode v2 nativ integriert, Signale gehen direkt an GA4 und Google Ads
• Granulare Kategorien (Notwendig, Analyse, Marketing) und gleichwertige Akzeptieren-/Ablehnen-Buttons
• AVV verfügbar, Cookie-Scan und Dokumentation für die Datenschutzerklärung
• Bei DigitalMoonrise setzen wir CookieYes standardmäßig in Kundenprojekten ein

Google Analytics 4

• DSGVO-konform mit Consent Mode v2 & richtiger Konfiguration möglich
• Daten werden in die USA übertragen → AVV + Standard-Vertragsklauseln nötig
• EU-US Data Privacy Framework seit 2023 erleichtert das

Matomo (selbst gehostet)

• Volle DSGVO-Konformität, da Daten in deiner Hand
• Bei korrekter Anonymisierung sogar ohne Cookie-Banner möglich
• Höherer technischer Aufwand

Plausible Analytics

• Cookieless, DSGVO-konform out-of-the-box
• Server in EU (Frankfurt)
• Reduzierter Funktionsumfang vs. GA4
• Kostet ab 9 $/Monat

Fathom Analytics

• Ähnlich wie Plausible: cookieless, DSGVO-konform
• Etwas teurer, mehr Features

5. Server-Side Tracking: Wann lohnt sich die Alternative?

Cookie-Banner und Consent Mode v2 sind die Basis. Trotzdem kennen viele Betreiber das Problem: Nutzer lehnen Tracking ab, Adblocker blockieren Google-Scripts, die Zahlen in GA4 werden lückenhaft. Server-Side Tracking ist deshalb eine Alternative für Unternehmen, die Google Analytics oder Google Ads weiter nutzen wollen, aber mehr Kontrolle über den Datenfluss brauchen. Es ersetzt weder Einwilligung noch CookieYes, kann das Setup aber ergänzen, wenn dir Datenqualität und Performance wichtiger werden.

So funktioniert es

Der Begriff klingt, als würde alles ohne Browser laufen. Tut es nicht. Auch hier passiert die Erfassung im Browser, z. B. beim Seitenaufruf oder Klick. Der Unterschied liegt im letzten Schritt: wohin die Daten geschickt werden.

Klassisch (clientseitig): Der Browser lädt ein Google-Analytics-Script und sendet Pageviews direkt an Google. Einfach aufzusetzen, aber Adblocker blockieren das oft.

Server-Side: Der Browser sendet das Event an deinen eigenen Server (z. B. metrics.deinedomain.de). Von dort leitet dein Server die Daten weiter an Google Analytics, Google Ads oder andere Tools. Kurz gesagt: clientseitig erfassen, serverseitig weiterleiten.

Typischer Ablauf:

1. Nutzer lädt Seite oder klickt (Browser)
2. Kleines Script oder Google Tag Manager Web-Container erfasst das Event (Browser)
3. Event geht an deine Subdomain, nicht direkt an Google (Browser → dein Server)
4. Dein Server-Container leitet an Google und Co. weiter (Server → Google)

Warum Unternehmen darauf umsteigen

• Bessere Datenqualität: Weniger Adblocker-Probleme, weil die Anfrage über deine Domain läuft
• Mehr Kontrolle: Du entscheidest vor dem Weiterleiten, welche Daten Google und Co. bekommen, z. B. IP kürzen oder Parameter entfernen
• Bessere Performance: Weniger schwere Third-Party-Scripts im Browser

Wichtig zu wissen

• Server-Side Tracking ist kein DSGVO-Trick: Cookie-Banner und Einwilligung brauchst du trotzdem
• Setup ist deutlich aufwändiger als klassisches GA4 im Browser
• Für die meisten Mittelständler reichen CookieYes + GA4 + Consent Mode v2 vollkommen aus

Technisch läuft das meist über einen Google Tag Manager Server-Container auf eigenem Server oder Diensten wie Stape.io oder Cloudflare. Grobe Größenordnung: 2.000–5.000 € einmalig fürs Setup, 30–80 €/Monat für Hosting. Sinnvoll vor allem bei größeren Shops oder starkem Google-Ads-Einsatz, wenn clientseitiges Tracking trotz Consent Mode zu unvollständige Daten liefert.

6. Datenschutzerklärung & Impressum

• Datenschutzerklärung muss alle eingesetzten Tools (Analytics, Maps, Schriften, Embeds) auflisten
• Generatoren wie e-recht24.de, datenschutz-generator.de helfen – aber prüfe individuell
• Impressum muss Anbieter, Adresse, Kontakt, USt-IdNr (falls vorhanden), Verantwortlichen nach §18 MStV nennen
• Beides muss von jeder Seite aus erreichbar sein (Footer-Link)

7. Auftragsverarbeitungsverträge (AVV)

Mit jedem Anbieter, der personenbezogene Daten in deinem Auftrag verarbeitet, brauchst du einen AVV nach Art. 28 DSGVO. Betroffen sind:

• Hosting-Anbieter
• Newsletter-Tools (Brevo, Mailchimp)
• Analytics-Anbieter
• CDN-Anbieter (Cloudflare)
• Cookie-Consent-Tool (CookieYes, Cookiebot, Usercentrics)

Die meisten Anbieter stellen den AVV als Online-Formular bereit – herunterladen, im Datenschutz-Ordner ablegen.

8. Fazit & Empfehlung

DSGVO ist keine Hexerei, aber Detailarbeit. Ein konformes Setup besteht aus: ordentlichem Cookie-Banner + Google Consent Mode v2 (oder Alternative wie Plausible) + vollständiger Datenschutzerklärung + AVVs mit allen Dienstleistern.

Bei DigitalMoonrise ist DSGVO-Konformität Teil jedes Projekts – kein Aufpreis, kein Extra-Modul. Wir nutzen CookieYes als Consent-Tool und integrieren Consent Mode v2 standardmäßig.

Du brauchst Hilfe bei deinem Setup? Sprich mit uns – wir prüfen deine Website kostenlos auf DSGVO-Schwachstellen.