ideaDIGITAL — Header v17 (Pilot)
Cookies, Tracking und der entspannte Umgang damit — Ratgeber — ideaDIGITAL (Pilot v4)
Ratgeber · Datenschutz im Alltag

Cookies, Tracking und der ent­spannte Umgang damit.
Was Sie wissen sollten, ohne paranoid zu werden.

Wir reden bei jedem Kunden­gespräch darüber. Cookies, Datenschutz, dieser nervige Banner. Die einen klicken alles weg, die anderen lehnen reflexhaft alles ab. Beide Reaktionen sind nach­voll­ziehbar — und beide sind falsch. Dieser Ratgeber erklärt, was Cookies wirklich sind, was Tracking tatsächlich kann, warum es die Banner gibt und wie ein erwachsener, ent­spannter Umgang aussieht.

13. Mai 2026 22 Minuten Lesezeit ideaDIGITAL Redaktion

1. Was sind Cookies eigentlich?

Cookies sind kleine Textdateien, die eine Webseite bei Ihnen auf der Festplatte ablegt — wenn Sie es zulassen. Mehr nicht. Keine Programme, keine ausführbaren Dateien, keine Spionage-Software. Nur Text.

Ein typisches Cookie enthält drei Dinge: einen Namen, einen Wert und ein Verfalls­datum. Das war's. Wenn die Sparkasse zum Beispiel einen Cookie setzt, der intern session_id=8a3f5c2e heißt, bedeutet das nicht mehr, als dass der Webserver später anhand dieses Wertes erkennt: „Aha, das ist derselbe Browser, der sich vorhin angemeldet hat.“ Ohne diesen Cookie müssten Sie sich auf jeder Unter­seite des Online-Bankings neu einloggen.

Cookies wurden Mitte der 1990er Jahre erfunden, um genau dieses Problem zu lösen: Eine Webseite besteht aus vielen einzelnen Aufrufen, und ohne kleine Erinnerungs­zettel hätte der Server keine Chance, zu wissen, was zusammen­gehört. Cookies sind also zunächst eine technische Notwendigkeit. Die Privacy-Diskussion entstand erst später, als Firmen merkten, dass man dieselbe Technik auch für sehr andere Zwecke einsetzen kann.

Die zwei wichtigsten Unterscheidungen

Zwei Begriffe sollten Sie kennen, weil sie in jedem Cookie-Banner auftauchen:

First-Party- vs. Third-Party-Cookies. First-Party heißt: Der Cookie kommt von der Seite, die Sie gerade besuchen. Third-Party heißt: Der Cookie wird von einer anderen Firma gesetzt, deren Inhalt in die Seite eingebettet ist — etwa von Google, Facebook oder einem Werbe-Netzwerk. Der erste Typ ist meist harmlos und oft notwendig. Der zweite ist das, worum sich die Datenschutz-Diskussion dreht, weil über Third-Party-Cookies seiten­übergreifendes Tracking möglich wird.

Session-Cookies vs. persistente Cookies. Session-Cookies werden gelöscht, sobald Sie den Browser schließen — sie überleben nur die aktuelle Sitzung. Persistente Cookies bleiben Tage, Wochen, manchmal Jahre. Der „Eingeloggt bleiben“-Häkchen bei vielen Diensten ist nichts anderes als ein persistenter Cookie mit einer Lebens­dauer von oft 30 Tagen.

Funktionale, Statistik- und Marketing-Cookies

In der Praxis hat sich eine Drei-Teilung eingebürgert, die auch in fast jedem Cookie-Banner so auftaucht:

  • Funktional / technisch notwendig — alles, was die Seite zum Funktionieren braucht. Anmelde-Status, Waren­korb, Sprach­einstellung, Cookie-Banner-Zustand selbst. Hier ist keine Einwilligung nötig (§ 25 Abs. 2 TDDDG)[1].
  • Statistik / Analyse — misst, wie Nutzer die Seite verwenden. Welche Seiten häufig besucht werden, woher die Besucher kommen, wo sie abspringen. Hier ist Einwilligung nötig — auch wenn es „nur“ um Statistik geht.
  • Marketing — alles, was zum Wieder­erkennen für Werbe-Zwecke dient. Re-Targeting („Sie haben den Artikel angesehen, hier ist er noch einmal als Werbung auf Facebook“), personalisierte Anzeigen, Conversion-Tracking. Hier ist Einwilligung definitiv Pflicht.

Diese Unterscheidung ist nicht nur rechtlich relevant, sondern auch praktisch: Wer Cookies wirklich verstehen will, sollte nicht alle in einen Topf werfen. Ein Warenkorb-Cookie hat mit einem Werbe-Cookie ungefähr so viel gemein wie ein Schraubenzieher mit einem Bagger — beides sind Werkzeuge, aber für sehr unterschiedliche Aufgaben.

2. Was passiert, wenn Sie Cookies zulassen?

Klicken Sie im Cookie-Banner auf „Alle akzeptieren“, läuft typischer­weise ein Prozess ab, von dem Sie in der Regel nichts mitbekommen. Der Banner verschwindet, die Seite lädt fertig — und im Hinter­grund werden Dutzende von Cookies gesetzt. Bei einer durch­schnittlichen Nachrichten-Seite sind es nicht selten 50 bis 80 Cookies, bei großen Shop-Seiten oft über 100. Die meisten davon kommen nicht von der besuchten Seite selbst, sondern von Werbe-Netzwerken, Analyse-Diensten und Social-Media-Plattformen.

Was wird konkret gespeichert? Hier eine ehrliche Aufstellung dessen, was die häufigsten Cookie-Typen erfassen:

  • Eine eindeutige Kennung Ihres Browsers — eine zufällige Zeichen­kette, die nur Sie haben. Damit lassen sich Ihre weiteren Besuche dieser Seite eindeutig zuordnen.
  • Zeitpunkt und Dauer Ihrer Besuche — wann Sie wie lange auf welcher Unter­seite waren.
  • Klick-Pfade — welchen Weg Sie durch die Seite genommen haben, was Sie angeschaut, was Sie übersprungen haben.
  • Such-Eingaben — was Sie in interne Such-Felder eingetippt haben.
  • Geografische Annäherung — meist auf Stadt-Ebene, abgeleitet aus Ihrer IP-Adresse.
  • Geräte-Informationen — Betriebs­system, Browser-Version, Bildschirm-Auflösung, Sprach­einstellung.
  • Verweisende Seite — von welcher Webseite Sie gekommen sind, welche Suchmaschine, welche Anzeige.

Bei Third-Party-Cookies kommt noch ein wichtiger Punkt hinzu: Diese Daten werden seiten­übergreifend zusammen­geführt. Ein Werbe-Netzwerk wie das von Google oder Meta hat Cookies auf zehntausenden Webseiten gleichzeitig. Wenn Sie heute auf Seite A nach einer Bohrmaschine schauen und morgen auf Seite B Urlaubs-Angebote ansehen, weiß das Werbe-Netz: Dieser Browser interessiert sich für Bohrmaschinen und Urlaub. Daraus entsteht über Wochen und Monate ein recht detailliertes Profil.

50 bis 80
Cookies werden auf einer durch­schnittlichen Nachrichten-Seite gesetzt, sobald „Alle akzeptieren“ geklickt wird. Bei großen Shopping-Seiten oft über 100. Die meisten davon stammen nicht von der Seite selbst, sondern von Werbe- und Analyse-Drittanbietern.

Wichtig zur Einordnung: All das ist keine Hexerei und keine Verschwörung. Es ist die ehrliche, technische Realität, wie das Werbe-finanzierte Web seit zwei Jahr­zehnten funktioniert. Die Frage ist nicht, ob das stattfindet — die Frage ist, ob Sie das in Ordnung finden. Und ob Sie es differenzieren wollen: für welche Seiten und Zwecke ja, für welche nicht.

3. Cookies vom PC löschen — so geht es

Cookies sammeln sich an. Wer ein Jahr lang keinen Browser-Cookie löscht, hat oft mehrere zehn­tausend davon im System. Das löscht keine wichtigen Daten — Sie werden nur überall ausgeloggt und müssen sich neu anmelden — und ist ein guter Reset-Knopf, wenn Sie das Gefühl haben, die Werbung kennt Sie zu gut.

Hier die Vorgehens­weise für die vier verbreitetsten Browser:

Google Chrome
# 1. Drei-Punkte-Menü oben rechts
# 2. „Browserdaten löschen“
# 3. Zeitraum: „Gesamte Zeit“
# 4. Häkchen bei „Cookies und andere Websitedaten“
# 5. „Daten löschen“
# Kurz: Strg+Shift+Entf
Mozilla Firefox
# 1. Drei-Striche-Menü oben rechts
# 2. „Einstellungen“ → „Datenschutz und Sicherheit“
# 3. Sektion „Cookies und Website-Daten“
# 4. „Daten entfernen…“
# 5. Beide Häkchen aktiv lassen, „Entfernen“
# Kurz: Strg+Shift+Entf
Microsoft Edge
# 1. Drei-Punkte-Menü oben rechts
# 2. „Einstellungen“ → „Datenschutz, Suche und Dienste“
# 3. „Browserdaten löschen“ → „Zu löschende Elemente auswählen“
# 4. Zeitraum: „Gesamte Zeit“
# 5. Häkchen bei „Cookies…“ und „Jetzt löschen“
# Kurz: Strg+Shift+Entf
Apple Safari (Mac)
# 1. Menü „Safari“ oben links
# 2. „Einstellungen…“ → Reiter „Datenschutz“
# 3. „Websitedaten verwalten…“
# 4. „Alle entfernen“ bestätigen
# Alternativ: Safari → „Verlauf löschen“
# Zeitraum: „Gesamter Verlauf“

Auf dem Smartphone ist die Logik dieselbe, der Weg etwas verkürzt: In Chrome auf Android und Safari auf iPhone finden Sie die Cookie-Löschen-Option in den Browser-Einstellungen unter „Datenschutz“ oder „Verlauf“.

Was nach dem Löschen passiert

Drei Dinge ändern sich für Sie spürbar nach einer kompletten Cookie-Löschung:

  • Sie sind überall ausgeloggt. Mail-Postfach, Online-Shopping, soziale Medien — alles braucht neu Ihr Passwort.
  • Ihre Voreinstellungen sind weg. Spracheinstellung der Seiten, Cookie-Banner-Entscheidungen, Warenkörbe — alles auf Anfang.
  • Die Werbung wirkt für ein paar Tage anders. Bis die neuen Cookies wieder ein Profil aufgebaut haben, sehen Sie eher allgemeine als persönlich passende Werbung.

Nichts davon ist schlimm. Es ist nur ungewohnt. Wer sich daran stört, der hat eben gemerkt, wie sehr sein Alltag im Web durch Cookies bequem gemacht wird.

4. Cookies gar nicht erst zulassen

Wer eine restriktive Grund­einstellung möchte, kann den Browser so konfigurieren, dass Cookies grund­sätzlich nur eingeschränkt zugelassen werden. Die wichtigste Stell­schraube heißt in allen Browsern ähnlich: Third-Party-Cookies blockieren.

Das ist der vernünftige Mittel­weg. Die seiten­eigenen First-Party-Cookies funktionieren weiter — Anmeldungen, Warenkörbe, Komfort-Funktionen bleiben erhalten. Aber die Tracking-Cookies der Werbe-Netzwerke werden blockiert, das seiten­übergreifende Profil-Building wird massiv erschwert.

So aktivieren Sie das in den vier Browsern:

  • Chrome — Einstellungen → Datenschutz und Sicherheit → Drittanbieter-Cookies → „Drittanbieter-Cookies blockieren“. Hinweis: Google hat hier in der Vergangenheit häufig Begrifflichkeiten und Defaults geändert.
  • Firefox — Einstellungen → Datenschutz und Sicherheit → Schutz vor Aktivitäten­verfolgung. Voreinstellung „Standard“ blockiert schon einiges, „Streng“ blockiert mehr. Firefox ist hier von Haus aus restriktiver als Chrome.
  • Edge — Einstellungen → Datenschutz, Suche und Dienste → Tracking­verhinderung. Stufe „Ausgewogen“ ist Standard, „Streng“ blockiert deutlich mehr.
  • Safari — Einstellungen → Datenschutz → „Cross-Site-Tracking verhindern“. Safari geht hier am weitesten und blockiert Third-Party-Cookies grund­sätzlich.

Browser-Erweiterungen für mehr Kontrolle

Wer noch genauer steuern möchte, was geladen wird, kann Browser-Erweiterungen einsetzen. Die zwei verbreitetsten und seriösesten:

  • uBlock Origin — kosten­los, Open Source, blockiert Werbung und einen Großteil der Tracking-Skripte. Eine der am häufigsten empfohlenen Erweiterungen[2]. Verfügbar für Firefox, Chrome, Edge.
  • Privacy Badger — von der Electronic Frontier Foundation (EFF). Lernt selbst­ständig, welche Tracker auf besuchten Seiten aktiv sind, und blockiert sie zunehmend.

Beide Erweiterungen sind nicht-kommerziell, finanzieren sich also nicht über die Daten der Nutzer. Das ist im Werbe-Block-Markt nicht selbst­verständlich — einige bekanntere Anbieter verkaufen ihrer­seits Daten oder schließen Werbung-Deals.

Realistisch bleiben

Wer alle Cookies kategorisch blockiert, wird ein kaputtes Web erleben. Anmeldungen funktionieren nicht, Warenkörbe verschwinden, Banking-Seiten werfen Sie sofort wieder raus. Vernünftig: First-Party erlauben, Third-Party blockieren. Damit haben Sie 90 % des Datenschutz-Effekts ohne 90 % des Komfort-Verlusts.

5. Mehr als Cookies — die anderen Tracking-Verfahren

Es ist ein Mythos, dass Tracking nur über Cookies stattfindet. Tatsächlich gibt es eine ganze Reihe weiterer Verfahren, von denen einige sogar wirksamer und schwerer zu blockieren sind als klassische Cookies. Wer das nicht weiß, hat den Eindruck, mit „alle Cookies ablehnen“ wäre er fertig — und übersieht dabei die wichtigeren Mechanismen.

Tracking-Pixel

Ein Tracking-Pixel ist ein winziges, unsichtbares Bild — typischer­weise nur 1×1 Pixel groß — das in eine Webseite oder eine E-Mail eingebettet wird. Wenn Ihr Browser oder E-Mail-Programm dieses Pixel lädt, weiß der Server, der das Pixel ausliefert: Diese Person hat diese Seite oder diese E-Mail gerade angeschaut. Mit Zeitstempel, IP-Adresse, Geräte-Informationen.

Der berühmteste Vertreter ist das Meta-Pixel (früher „Facebook-Pixel“), das auf vielen tausend Webseiten eingebunden ist. Aber auch in jedem Newsletter, der die Öffnungs-Rate misst, steckt im Grunde ein Tracking-Pixel.

Browser-Fingerprinting

Das technisch interessanteste — und für viele beun­ruhigende — Verfahren ist das Browser-Fingerprinting. Anstatt etwas auf Ihrem Gerät zu speichern, wird Ihre Hardware- und Software-Konfiguration aus­gelesen und zu einem digitalen Finger­abdruck verdichtet. Verwendet werden dazu Dutzende von Einzel­merkmalen, die Ihr Browser bereitwillig preisgibt[3]:

  • Browser-Typ und exakte Version
  • Installierte Schriftarten
  • Bildschirm-Auflösung und Farbtiefe
  • Zeit-Zone und Sprach­einstellung
  • Verwendete Grafikkarte (über Canvas- und WebGL-Tests messbar)
  • Audio-Hardware-Signaturen
  • Liste der unter­stützten Datei-Formate

Die Kombination dieser Merkmale ist in den meisten Fällen weltweit eindeutig. Untersuchungen zeigen: Bei den meisten Internet-Nutzern reicht der Browser-Fingerprint, um die Person seiten­übergreifend wieder­zuerkennen — komplett ohne Cookies, komplett ohne Möglichkeit, das einfach zu löschen[3].

Aus deutscher Daten­schutz-Sicht ist Browser-Fingerprinting genauso einwilligungs­pflichtig wie Cookies — das deutsche TDDDG erfasst nicht nur die Speicherung von Informationen auf dem Gerät, sondern auch das Auslesen von Informationen vom Gerät[4]. Das wird in der Praxis aber häufig ignoriert, weil Fingerprinting für Nutzer kaum sichtbar ist.

Local Storage und Session Storage

Neben Cookies können Webseiten auch im sogenannten Local Storage oder Session Storage Daten in Ihrem Browser ablegen — technisch andere Mechanismen, praktisch oft ähnlich genutzt. Wer „nur Cookies löscht“, lässt Local Storage in Ruhe. Erst die komplette Browser-Daten-Löschung räumt auch hier auf.

Server-side Tracking

Die jüngste Entwicklung: Tracking-Daten werden gar nicht mehr im Browser des Nutzers erhoben, sondern direkt auf dem Server der Webseite — und von dort an Analyse-Dienste weiter­gegeben. Für den Nutzer ist das nahezu unsichtbar, klassische Cookie-Blocker greifen nicht mehr. Rechtlich gilt aber dieselbe Einwilligungs-Logik wie für Cookies, sobald personen­bezogene Daten verarbeitet werden.

Cookies sind das, worüber alle reden — aber sie sind nur eines von vielen Verfahren. Browser-Finger­printing und Tracking-Pixel sind in vielen Fällen wirksamer und schwerer zu blockieren. Wer ehrlichen Daten­schutz will, muss das ganze Bild sehen. aus der Redaktion

6. Warum gibt es überhaupt Cookie-Banner?

Die Banner sind nervig. Über deren Sinn­haftigkeit wird seit Jahren gestritten. Trotzdem sind sie keine Schikane, sondern die Folge eines klaren Rechts­rahmens — und zwar gleich aus zwei verschiedenen Richtungen:

  1. Die europäische DSGVO (Datenschutz-Grund­verordnung, seit Mai 2018 wirksam), Artikel 6 und 7. Sie verlangt für die Verarbeitung personen­bezogener Daten eine Rechts­grundlage — und „Einwilligung“ ist die häufigste davon.
  2. Das deutsche TDDDG (Telekommunikation-Digitale-Dienste-Datenschutzgesetz), § 25. In Kraft seit Mai 2024, vorher als TTDSG bekannt[1]. Es schreibt vor: Wer Informationen auf einem End­gerät speichern oder von dort auslesen will, braucht eine Einwilligung. Mit zwei Ausnahmen: technisch notwendige Vorgänge und vom Nutzer ausdrücklich gewünschte Dienste.

Die zweite Vorschrift ist die strengere. Das TDDDG gilt unab­hängig davon, ob personen­bezogene Daten verarbeitet werden — schon das Setzen eines Cookies allein löst die Einwilligungs­pflicht aus. Genau deshalb tauchen die Banner heute praktisch überall auf[5].

Was der Banner können muss

Damit eine Einwilligung rechtlich wirksam ist, müssen mehrere Bedingungen erfüllt sein[6]:

  • Aktive Zustimmung. Vor-angekreuzte Häkchen reichen nicht. Der EuGH hat das 2019 im sogenannten „Planet49“-Urteil endgültig klar­gestellt[7].
  • Echte Wahl. Auf der ersten Banner-Ebene muss ein Ablehnen genauso einfach möglich sein wie ein Zustimmen. „Alle akzeptieren“ als großer grüner Knopf und „Einstellungen“ in winzigem Grau ist nach Auffassung der Aufsichts­behörden nicht zulässig.
  • Klare Informationen. Vor der Zustimmung muss sicht­bar sein, wofür man zustimmt — welche Cookies, welche Anbieter, welche Zwecke, welche Speicher­dauer.
  • Widerruf so leicht wie Erteilung. Wer einmal zugestimmt hat, muss die Zustimmung mit ähnlich wenigen Klicks wieder zurück­ziehen können.

Wer diese Anforderungen nicht erfüllt, riskiert Bußgelder: Bis zu 300.000 Euro nach TDDDG, bis zu 20 Millionen Euro oder 4 % des Jahres­umsatzes nach DSGVO[6]. In der Praxis sind das gestaffelte Bußgelder, die für kleinere Verstöße im niedrigen vier- bis fünf­stelligen Bereich liegen — aber auch das tut weh, vor allem für kleinere Unternehmen.

Warum wird das eigentlich besser?

Ja, langfristig schon. Im April 2025 trat die deutsche Einwilligungs­verwaltungs­verordnung in Kraft[8]. Sie soll soge­nannte „Personal Information Management Services“ (PIMS) ermöglichen — also Dienste, bei denen Sie einmal Ihre Cookie-Präferenzen festlegen, die dann automatisch an alle besuchten Webseiten übermittelt werden. Das Ziel: weniger Banner. In der Praxis muss sich das System aber erst etablieren; zertifizierte Anbieter sind im Frühjahr 2026 noch dünn gesät. Bis dahin bleiben die Banner.

7. Was Google Analytics ist — und warum es brisant bleibt

Google Analytics ist mit großem Abstand das verbreitetste Webanalyse-Werkzeug der Welt. Es ist kostenlos, leistungs­fähig und liefert detaillierte Berichte über Besucher, deren Verhalten und die Wirksamkeit von Marketing-Maß­nahmen. Im Mittelstand finden Sie es auf gefühlt jeder zweiten Webseite — oft ohne dass die Inhaber wissen, dass es überhaupt aktiv ist, weil es irgend­wann durch eine Agentur oder einen Web-Bauer eingebunden wurde.

Technisch funktioniert es so: Ein kleines JavaScript-Schnipsel auf jeder Seite Ihrer Webseite schickt bei jedem Aufruf Daten an Google-Server in den USA — IP-Adresse, besuchte Seite, Verweis­quelle, Browser, Gerät, Zeit­punkt, Klicks. Google verarbeitet das und stellt Ihnen dafür kostenlose Auswertungen bereit.

Genau dieser Punkt — Daten­übertragung in die USA — ist seit Jahren der Knack­punkt der juristischen Debatte.

Die juristische Geschichte in Kurzform

Das EuGH-Urteil Schrems II vom Juli 2020 erklärte die damalige Grundlage für US-Datentransfers (das „Privacy Shield“) für ungültig[9]. Begründung: US-Behörden haben durch FISA-702 und Executive Order 12.333 weit­gehende Zugriffs­rechte auf Daten von US-Unter­nehmen — und das ist mit dem europäischen Datenschutz-Niveau unvereinbar.

Im Anschluss erklärten mehrere europäische Aufsichts­behörden — Österreich, Frankreich, Italien, Norwegen, Schweden, Dänemark — den Einsatz von Google Analytics in der bisherigen Form für rechtswidrig[10]. Begleitet wurden diese Verfahren von 101 Muster­beschwerden, die die NGO noyb (None Of Your Business) um Max Schrems gegen europäische Webseiten einreichte[11].

Im Juli 2023 trat dann das neue EU-US Data Privacy Framework (DPF) in Kraft[12]. Es soll die Schrems-II-Problematik lösen, indem zerti­fizierte US-Unter­nehmen wieder als „angemessen geschützt“ gelten. Google hat sich seit September 2023 entsprechend zertifiziert. Rechtlich ist Google Analytics damit aktuell in Europa wieder ein­setzbar — voraus­gesetzt, die übrigen Anforderungen (Einwilligung, Information, Datenschutzerklärung) sind erfüllt.

Warum trotzdem Skepsis angebracht ist

Das DPF gilt unter Datenschutz-Juristen als wacklig. Erstens kritisieren der Europäische Datenschutz­ausschuss (EDPB) und das EU-Parlament selbst, dass die strukturellen Probleme der US-Über­wachungs­gesetze nicht beseitigt sind[13]. Zweitens hat noyb bereits angekündigt, gegen das DPF zu klagen — ein „Schrems III“-Urteil gilt unter Beobachtern als wahr­scheinlich, nur der Zeit­punkt ist offen. Und drittens hat die Trump-Administration Anfang 2025 wichtige Aufsichts-Strukturen geschwächt, was die Stabilität des Frameworks weiter in Frage stellt[13].

Das bedeutet praktisch: Wer heute Google Analytics einsetzt, bewegt sich auf einem rechts­wirksamen, aber juristisch nicht unbe­dingt zukunfts­sicheren Boden. Niemand kann garantieren, dass das in zwei oder drei Jahren noch genauso aussieht.

8. Warum Google Analytics auf Hand­werker-Seiten nichts verloren hat

Selbst wenn man die rechtlichen Bedenken beiseite­legt und auf das DPF vertraut: Für die typische Hand­werker-, Dienstleister- oder Verein-Webseite ist Google Analytics aus mehreren Gründen die falsche Wahl. Wir empfehlen das in der Beratung konsequent — und unsere Begründungen kommen direkt aus der Praxis.

Grund 1: Sie übertragen Kundendaten in die USA, ohne dass Sie es müssen

Eine Klempnerei in Cuxhaven hat Besucher, die meistens nur eines wollen: Telefon­nummer raussuchen, vielleicht Öffnungs­zeiten checken. Es gibt keinen praktischen Grund, von jedem dieser Besuche IP-Adresse, Geräte­informationen und Klick­pfade an Google-Server in Kalifornien zu schicken. Sie übernehmen damit Risiken (Rechts­unsicherheit, mögliche „Schrems III“-Folgen), die in keinem Verhältnis zum praktischen Nutzen stehen.

Fallbeispiel aus der Praxis

„Wir machen doch nur Heizungs­wartung, was soll uns passieren?“

Ein Heizungs­bauer aus dem Hamburger Umland nutzt seit Jahren Google Analytics, weil seine ehemalige Web-Agentur das Standard-mäßig eingerichtet hatte. 2024 bekommt er ein anwaltliches Abmahn­schreiben — nicht von einer Behörde, sondern von einem konkurrierenden Anwalt aus einer anderen Stadt, der die Webseite zufällig besucht hat. Vorwurf: keine wirksame Einwilligung für US-Datentransfer.

Die Sache wird mit einer Unter­lassungs­erklärung und etwa 1.500 Euro Anwalts­gebühr beigelegt. Der eigentliche Schaden ist aber der Aufwand: zwei Tage Zeit mit dem eigenen Anwalt, drei Tage technische Bereinigung der Webseite, plus Datenschutz­erklärung anpassen. Hätte er von Anfang an ein europäisches Analyse-Tool eingesetzt, wäre das nicht passiert.

Grund 2: Sie brauchen die Tiefe nicht

Google Analytics ist ein Werkzeug, das ursprünglich für große Online-Shops und Medien-Portale entwickelt wurde, die täglich Zehn­tausende von Besuchern auswerten und ihre Marketing-Budgets optimieren. Ein Mittel­ständler mit 500 bis 5.000 Besuchern pro Monat braucht nicht mehr als drei Antworten: Wie viele waren es? Woher kamen sie? Was haben sie angesehen? Diese Fragen beantwortet jedes datenschutz­freundliche Tool genauso gut wie Google Analytics — oft sogar mit besser lesbaren Berichten.

Grund 3: Es gibt bessere Alternativen — und sie sind nicht teuer

Drei seriöse Alternativen, die wir in der Beratung empfehlen:

  • Plausible Analytics — Open Source, Server in der EU, kein Cookie nötig, daher auch kein Cookie-Banner für das Analyse-Tool erforderlich. Cloud-Variante ab etwa 9 Euro pro Monat, selbst hostbar kostenlos.
  • Matomo — Open Source, deutsch­sprachiger Anbieter, in Deutschland auf eigenen Servern hostbar. Kostenfrei in der Self-Hosted-Variante. Ist seit Jahren der Standard für daten­schutz­orientierte Analyse.
  • Etracker — deutscher Anbieter aus Hamburg, ohne Cookie-Banner für die Standard-Variante einsetzbar, in der DSGVO-konformen Konfiguration.

Alle drei liefern für den typischen Mittelständler genau das, was er wirklich braucht. Und alle drei umgehen die US-Daten­übertragung komplett — kein DPF, kein Schrems-Risiko, kein Anwalts­ärger.

Grund 4: Es nervt Ihre Besucher mit Bannern, die sonst nicht nötig wären

Wer auf seiner Hand­werker-Seite kein Google Analytics einsetzt, sondern eine datenschutz­freundliche Alternative wie Plausible, kann den Cookie-Banner unter Umständen komplett weglassen. Plausible setzt keine Cookies, sammelt keine personen­bezogenen Daten, braucht keine Einwilligung. Das bedeutet: keine Banner-Frust­ration für Ihre Besucher, höhere Konversion, weniger juristischer Aufwand. Drei Vorteile auf einmal — bei besseren Datenschutz-Werten.

Faustregel

Google Analytics ist für Unter­nehmen, die jeden Monat sechs- bis sieben­stellige Marketing-Budgets steuern und für jeden Cent eine messbare Wirkung sehen müssen. Für die typische lokale Mittelstands-Webseite ist es Over­engineering mit eingebautem Rechts-Risiko.

9. Warum es paranoid ist, alles abzulehnen

Jetzt zur Gegen­richtung. Es gibt eine zunehmende Gruppe von Nutzern, die reflexhaft auf jeden Cookie-Banner mit „Alle ablehnen“ reagieren oder versuchen, das Banner so schnell wie möglich wegzu­klicken. Verständlich — aber pauschal ist das ähnlich unklug wie das pauschale „Alle akzeptieren“. Hier die Gründe.

Sie schaden in vielen Fällen den Falschen

Wer alle Cookies auf der Webseite eines Lokal­journalismus-Magazins ablehnt, schadet damit nicht Google oder Meta — er schadet dem kleinen Verlag, dessen Werbe-Einnahmen davon abhängen, dass er Reichweite messen kann. Wer alle Cookies auf der Webseite eines Soft­ware-Anbieters ablehnt, der eine kosten­lose Open-Source-Version anbietet, blockiert damit Statistik-Cookies, die dem Entwickler-Team helfen würden, das Produkt zu verbessern.

Anders gesagt: Cookies sind nicht per se böse. Sie sind ein Werkzeug. Es kommt darauf an, wer es wofür einsetzt — und welches Vertrauen Sie diesem Jemand entgegen­bringen.

Sie verlieren echte Vorteile

Viele Komfort-Funktionen, die wir alle nutzen, funktionieren nur mit Cookies. Drei Beispiele:

  • Anmelde-Status. Ohne Cookies müssen Sie sich bei jedem Seiten­wechsel neu anmelden. Bei Online-Banking wäre das eine Zumutung.
  • Warenkörbe. Ihre Bestellung bleibt nur erhalten, weil ein Cookie sie zwischen­speichert. Ohne Cookies wäre Online-Shopping in der heutigen Form unmöglich.
  • Persönliche Präferenzen. Sprach­wechsel, dunkles Design, gespeicherte Filter — all das funktioniert über Cookies.

Sie täuschen sich über die Wirkung

„Alle ablehnen“ klingt nach maximalem Schutz. In Wirklichkeit verhindert es vor allem Cookies — und damit das Tracking-Verfahren, das ohnehin am leichtesten zu blockieren wäre. Browser-Fingerprinting, Tracking-Pixel und Server-side-Tracking laufen weiter, egal was Sie im Banner klicken. Wer es wirklich ernst meint mit dem Schutz vor Tracking, kommt mit Browser-Banner-Klicks allein nicht weit — der muss am Browser, an Erweiterungen und am Verhalten ansetzen.

Fallbeispiel aus der Praxis

„Ich klicke immer Ablehnen — warum kommen trotzdem perfekte Werbungen?“

Eine Mittfünf­zigerin aus dem Bekannten­kreis ist über­zeugt davon, perfekt geschützt zu sein, weil sie auf jedem Banner „Alle ablehnen“ klickt. Trotzdem zeigt ihr Facebook genau die Schuhe, die sie sich gerade bei Zalando angesehen hat. Die Erklärung: Sie ist bei Facebook eingeloggt, weil sie regel­mäßig mit Verwandten chattet. Facebook erkennt sie über das eigene Konto wieder — Cookies oder nicht. Die Information, dass jemand mit ihrem Konto-Profil-Muster bei Zalando die Schuhe angesehen hat, kommt aus dem Meta-Pixel, das auf Zalandos Seite läuft.

Was tatsächlich gegen das gezielte Wieder­erkennen helfen würde: ein zweiter Browser nur für Facebook, in dem sie sonst nichts anderes macht. Oder Facebook nicht über den Browser, sondern nur über die App nutzen — und im Browser konsequent nicht eingeloggt sein. Das ist wirksamer als alle Banner-Klicks zusammen.

10. Der entspannte, differenzierte Umgang

Zwischen „Alle akzeptieren“ und „Alle ablehnen“ liegt der vernünftige Mittel­weg. Er heißt: differenziert entscheiden. Nicht jede Webseite ist gleich, nicht jeder Cookie ist gleich, und nicht jede Situation verlangt dieselbe Antwort. Hier eine pragmatische Anleitung für den Alltag.

Eine Faustregel für die Banner

Vor dem Klick im Banner kurz drei Sekunden überlegen:

  • Vertraue ich der Seite? Die Webseite Ihrer Sparkasse, des Bürger­amtes, eines bekannten Mittel­ständlers — meist ja, hier ist „Akzeptieren“ vertretbar.
  • Bin ich nur kurz hier? Eine einmalige Recherche, eine schnelle Info — da reicht „Nur essenzielle“ oder „Ablehnen“. Statistik-Cookies braucht es nicht, wenn man die Seite nie wieder sieht.
  • Will ich der Seite Wachstum gönnen? Lokale Nachrichten, kleine Anbieter, ein Blog, den Sie gerne lesen — Statistik-Cookies (nicht Marketing-Cookies) sind hier eine harmlose Form, dem Anbieter etwas zurück­zugeben.
  • Werde ich auf der Seite eine längere Aktion durchführen? Bestellung, Konfiguration, Buchung — hier macht „Akzeptieren“ Sinn, weil Sie sonst Funktionen verlieren könnten.

Die Brutto-Strategie

Wer sich nicht jedes Mal Gedanken machen möchte, fährt mit einer einfachen Strategie über­raschend gut:

  1. Browser-Voreinstellung auf „Third-Party-Cookies blockieren“. Damit blockieren Sie das meiste Cross-Site-Tracking automatisch, ohne dass es Sie Komfort kostet.
  2. uBlock Origin oder Privacy Badger installieren. Filtert die meisten Tracker und Werbe-Skripte raus.
  3. Im Cookie-Banner pauschal „Nur essenzielle“ oder „Ablehnen“ klicken. Auf Seiten, die Sie häufig nutzen, gerne auch die Statistik-Stufe — Marketing nie.
  4. Einmal im Quartal alle Cookies löschen. Reset-Knopf für Profile, die sich aufgebaut haben.

Das ist kein Hoch­sicherheits­trakt. Aber es ist deutlich mehr Datenschutz als die meisten Menschen praktizieren, mit deutlich weniger Komfort­verlust als der „alles ablehnen“-Reflex bringt. Vor allem ist es nachhaltig: Sie können das machen und es vergessen, und es schützt Sie über Jahre.

Datenschutz ist nicht alles oder nichts. Datenschutz ist eine Reihe von kleinen, klugen Entschei­dungen über Zeit — bei denen Sie sich nicht jedes Mal auf einen Banner verlassen müssen, sondern Ihren Browser einmal richtig einstellen. aus der Redaktion

Was wir bei ideaDIGITAL auf unseren Webseiten machen

Damit Sie wissen, woher unsere Empfehlungen kommen: Auf den Webseiten, die wir für unsere Kunden bauen, ist Google Analytics fast nie im Einsatz. Wir setzen statt­dessen auf Plausible (cloud) oder Matomo (selbst gehostet) — beide ohne Cookies, beide DSGVO-konform ohne große juristische Akrobatik, beide für mittel­ständische Anforderungen voll ausreichend. Ergebnis: Auf rund 80 % der Webseiten, die wir betreuen, ist gar kein Cookie-Banner nötig, weil wir keine einwilligungs­pflichtigen Cookies setzen. Das ist auch ein Vorteil für die Konversion: Eine Webseite ohne Banner-Frust führt schneller zur Anfrage.

Für die typische Hand­werks-, Gastronomie-, Dienst­leister- oder Vereins-Webseite ist das in unserer Erfahrung der richtige Weg: so wenig Datenverarbeitung wie möglich, so viel wie nötig — und ehrlich kommuniziert.

11. Häufige Fragen

Sind Cookies eigentlich gefährlich für meinen Computer?
Nein. Cookies sind reine Text­dateien, sie können keinen Schad-Code ausführen, kein Programm starten, keinen Virus enthalten. Die Diskussion um Cookies ist eine reine Datenschutz-Diskussion, keine Sicherheits-Diskussion. Sicher­heits­technisch sind Cookies harmlos.
Werde ich abgemahnt, wenn meine Webseite keinen Cookie-Banner hat?
Nur dann, wenn Ihre Webseite einwilligungs­pflichtige Cookies setzt — und das tut sie nur, wenn Sie Tracking-, Analyse- oder Marketing-Tools eingebunden haben. Eine reine Visiten­karten-Webseite ohne diese Tools braucht keinen Banner. In der Praxis setzen aber selbst einfache WordPress-Seiten oft Cookies, weil eingebundene Schrift-Dienste (Google Fonts), Karten (Google Maps), Videos (YouTube) oder Formulare diese mitbringen. Lassen Sie das einmal prüfen — bevor jemand anderes es prüft.
Hilft der „Inkognito-Modus“ gegen Tracking?
Nur sehr begrenzt. Der Inkognito-Modus löscht Cookies und Verlauf, sobald Sie das Fenster schließen — innerhalb einer Sitzung sind Sie aber genauso trackbar wie sonst auch. Browser-Fingerprinting funktioniert dort weiterhin. Und wer im Inkognito-Modus bei Facebook oder Google angemeldet ist, ist sowieso wieder identifiziert. Inkognito ist nützlich für „spurloses Online-Geschenke-Recherchieren“ — kein Werkzeug für echten Datenschutz.
Was ist mit Cookies in E-Mails?
In E-Mails gibt es keine klassischen Cookies — aber Tracking-Pixel. Wenn Sie eine HTML-Mail öffnen und die Bilder automatisch laden, sieht der Absender oft schon, dass und wann Sie die Mail gelesen haben, mit welchem Gerät und manchmal mit grober Geo-Lokation. Die meisten E-Mail-Programme bieten eine Option „externe Bilder erst nach Bestätigung laden“ — diese Option zu aktivieren, ist eine der wirk­samsten Datenschutz-Maßnahmen mit einer drei­sekündigen Konfiguration.
Sind Cookies nach Browser-Schließen automatisch weg?
Nur die Session-Cookies. Persistente Cookies — und das sind die meisten — überleben die Browser-Sitzung und bleiben bis zu ihrem Verfalls-Datum oder bis sie manuell gelöscht werden. Bei manchen Marketing-Cookies sind das mehrere Jahre.
Warum sind Cookie-Banner auf manchen Webseiten so penetrant gestaltet?
Weil sich Webseiten-Betreiber Einwilligungen wünschen. Je leichter „Akzeptieren“ und je versteckter „Ablehnen“, desto höher die Akzeptanz-Quote, desto mehr Daten, desto mehr Werbe-Erlöse. Das ist juristisch nicht zulässig — die Banner-Optionen müssen gleich­wertig dargestellt sein — wird aber in der Praxis häufig ignoriert. Wenn Sie sich an einem Banner als unfair empfinden, ist das oft objektiv unzulässig.
Wir sind eine Hand­werks-Webseite. Was sollten wir konkret tun?
Drei Schritte. Erstens: Prüfen, was Ihre Webseite aktuell tatsächlich an Cookies setzt — meist sind das mehr als gedacht, weil eingebundene Dienste eigene Cookies mitbringen. Zweitens: Wo möglich, Dienste durch DSGVO-freundliche Alternativen ersetzen (Schrift-Dienste lokal hosten, Google Maps durch OpenStreetMap, Google Analytics durch Plausible). Drittens: Cookie-Banner und Datenschutz­erklärung sauber konfigurieren — bei minimalem Cookie-Einsatz oft sehr schlank möglich. Das alles ist Teil unserer Standard-Leistung, wir machen das für jeden Kunden.

Quellen und weiter­führende Informationen

Die folgende Liste umfasst die Gesetzes­grundlagen (TDDDG, DSGVO), Stellung­nahmen deutscher Aufsichts­behörden, EuGH-Urteile, EU-Kommission und Fach­artikel anerkannter Datenschutz-Anwälte und Spezialisten. Stand der Recherche: 13. Mai 2026.

  1. IHK Köln, Regeln für Cookies — TDDDG. Erläuterungen zu § 25 TDDDG, Cookie-Banner-Anforderungen, technisch notwendige vs. einwilligungs­pflichtige Cookies. Offizielle IHK-Quelle. ihk.de/koeln
  2. Electronic Frontier Foundation, Privacy Badger Documentation. Doku­mentation zur Funk­tions­weise von Tracker-Blockern und Browser-Erweiterungen aus dem Hause der EFF, eine der etabliertesten Bürger­rechts-Organisationen im digitalen Raum. privacybadger.org
  3. Dr. Datenschutz, Bedarf das Browser-Fingerprinting einer Einwilligung nach DSGVO? Fach­artikel zu den technischen Methoden des Browser-Fingerprintings und deren rechtlicher Einordnung unter DSGVO und TDDDG. dr-datenschutz.de
  4. Dr. DSGVO, Browser Fingerprinting und das TDDDG. Aktuelle juristische Analyse, inwieweit Fingerprinting unter den § 25 TDDDG fällt — auch wenn keine Cookies im klassischen Sinne gesetzt werden. dr-dsgvo.de
  5. eRecht24, TDDDG ersetzt TTDSG. Überblick zum am 14. Mai 2024 in Kraft getretenen TDDDG, inkl. konkreter Anforderungen an Banner und Einwilligung. e-recht24.de
  6. Cortina Consult, TDDDG: Cookie-Einwilligung, §25 & Bußgelder erklärt. Detail­ierte Übersicht der Anforderungen an Cookie-Banner, mit aktuellem Bußgeld-Rahmen (bis 300.000 €) und Stand 2026. cortina-consult.com
  7. Dr. Datenschutz, Cookies und Datenschutz: Zwischen TDDDG und DSGVO. Histo­rische Einordnung inkl. Planet49-Entscheidung des EuGH (C-673/17), die vorab­ge­kreuzte Häkchen für unzulässig erklärte. dr-datenschutz.de
  8. CMS Hasche Sigle Blog, Das Ende der Cookie-Banner? — Dienste zur Einwilligungs­verwaltung. Erläuterung zur Einwilligungs­verwaltungs­verordnung (EinwV), in Kraft seit 1. April 2025, und den geplanten PIMS. cmshs-bloggt.de
  9. activeMind AG, Das Ende von Google Analytics in Europa? Analyse des LG-Köln-Urteils und der Schrems-II-Folgen für Google Analytics in Deutschland. Mit juristischer Einordnung der Standard­vertrags­klauseln. activemind.de
  10. Piwik PRO, Is Google Analytics (3 & 4) GDPR-compliant? Über­sicht über die Verbote von Google Analytics in Österreich, Frank­reich, Italien, Norwegen, Schweden — und die Wirkung des EU-US Data Privacy Frameworks. piwik.pro
  11. noyb (Max Schrems), 101 Beschwerden. Die NGO noyb („None Of Your Business“) hat 2020 europaweit 101 Muster­beschwerden gegen Webseiten eingereicht, die Google Analytics oder Facebook Connect einsetzen. noyb.eu
  12. Europäische Kommission, EU-US Data Privacy Framework Adequacy Decision (10. Juli 2023). Offizieller Beschluss der EU-Kommission zum DPF, der die Daten­übertragung in die USA an zerti­fizierte Unter­nehmen wieder ermöglicht. commission.europa.eu
  13. Usercentrics, Is Google Analytics 4 GDPR-compliant? Aktuelle Einschätzung zur Stabilität des DPF nach den US-politischen Entwicklungen Anfang 2025 und potenziellen „Schrems III“-Klagen. usercentrics.com
  14. EuGH, Urteil vom 16. Juli 2020, Rs. C-311/18 („Schrems II“). Grund­legendes Urteil zur Daten­übertragung in die USA, das den Privacy Shield für ungültig erklärte und alle US-Über­tragungen auf den Prüfstand stellte. curia.europa.eu
Cookies, aber richtig

Ihre Webseite — datenschutz­freundlich, ohne Banner-Frust.

Wir machen Ihnen einen kosten­losen Cookie-Check: Welche Cookies setzt Ihre Webseite aktuell? Welche davon sind nötig, welche entbehrlich? Welche Tools lassen sich DSGVO-konform ersetzen? Sie bekommen einen klaren Report und konkrete Empfehlungen — ohne Verpflichtung, ohne Verkaufs­druck.

Kostenloser Cookie-Check Mehr Ratgeber: Was sind Keywords? →