In jedem Paket · 30 Tage Kontrolle nach Go-Live — Bugs, Anpassungen, Fragen Pakete ansehen →
Brief starten
LeistungenPluginsPreiseÜber michKontakt Brief starten →
← Blog
19. Mai 2026 · 4 min

Cookie-Banner-Abmahnungen 2026: Die 3 häufigsten Fehler

Cookie-Banner-Abmahnungen 2026: Die 3 häufigsten Fehler

Die Abmahnwelle wegen Google Fonts kam 2022. Seitdem ist es nicht weniger geworden, im Gegenteil: reCAPTCHA, Consent-Banner ohne echte Wahl, Maps-Embeds ohne Einwilligung. Die Forderungen liegen meist zwischen 100 und 170 Euro — bei mehreren Verstößen auf einer Seite addiert sich das. Bei den letzten Lead-Audits in und um Augsburg war auf den meisten Solo-Selbstständigen-Seiten mindestens einer der drei Punkte falsch. Oft alle drei.

Welche drei Punkte gerade reihenweise zuschlagen:

1. Google Fonts extern eingebunden

Sobald die Seite lädt, ruft der Browser fonts.googleapis.com auf. Damit geht die IP-Adresse des Besuchers an Google in die USA — ohne Einwilligung, ohne Rechtsgrundlage. Das LG München hat das 2022 als DSGVO-Verstoß eingestuft und 100 € Schadensersatz zugesprochen. Seitdem mahnen Kanzleien das systematisch ab.

Die saubere Lösung: Schriften lokal hosten, keine Verbindung zu Google. Klingt einmalig — ist es aber nicht. Ein größeres Theme-Update spielt gern die Standard-Konfiguration zurück, Google-Verbindung ist wieder drin, niemand merkt's. Genau das findet sich auf einem Großteil der Seiten, die früher schon mal sauber waren.

2. Google reCAPTCHA ohne Einwilligung

Das gleiche Spiel: reCAPTCHA v2 oder v3 lädt sofort beim Seitenaufruf vom Google-Server, schickt IP und Browser-Fingerprint in die USA — ohne dass der Besucher überhaupt das Kontaktformular angefasst hat. Mehrere Landgerichte (u. a. LG Rostock, LG Wiesbaden) haben das als unzulässig eingestuft. Mahnungen kommen typischerweise mit Verweis auf §25 TTDSG.

Sauber wäre: ein Captcha-Mechanismus, der nicht erst Daten an Google US schickt — also entweder eine EU-gehostete Alternative oder ein serverseitiger Spam-Schutz ohne Drittanbieter. Welche Variante zu welcher Seite passt, hängt vom Formular-Plugin ab — und überlebt nicht jedes Update unverändert.

3. Cookie-Banner ohne gleichwertige Ablehnen-Option

Der zähste Fehler — und der am häufigsten abgemahnte. Die Datenschutzkonferenz (DSK) und EuGH-Urteile sind seit Jahren eindeutig: Wenn der "Alle akzeptieren"-Button in grün-fett-zentral steht, dann muss der "Alle ablehnen"-Button gleichwertig sichtbar daneben sein. Nicht versteckt im "Einstellungen"-Untermenü. Nicht in Grau. Nicht zwei Klicks weiter.

Vorher steht aber die wichtigere Frage: Braucht die Seite den Banner überhaupt? Wer nur ein Kontaktformular, ein datenschutzfreundliches Analytics-Tool (anonymisiert) und lokale Schriften einsetzt, ist nicht banner-pflichtig. Welche acht Punkte du als kleines Gewerbe wirklich abdecken musst, steht in der DSGVO-Checkliste fürs kleine Gewerbe. Pflicht wird's ab dem Moment, wo Google Analytics, Meta-Pixel, YouTube-Embeds, Google Maps oder Ähnliches geladen wird. Heißt: oft löst sich der Banner-Ärger auf, wenn man vorher den Tech-Stack ausmistet.

Warum "einmal fixen" nicht reicht

Alle drei Fehler haben eines gemeinsam: Sie sind technisch in einer halben Stunde behoben — und in der nächsten halben Stunde wieder da. Ein Theme-Update überschreibt die Custom-Fonts-Einstellung. Ein Plugin-Update setzt reCAPTCHA neu. Ein Update am Consent-Tool ändert das Default-Button-Layout. Auf den Seiten, die ich in den letzten Wochen geprüft habe, waren die meisten Verstöße keine "noch nie gemacht"-Fälle, sondern "vor zwei Jahren gefixt, dann passiert"-Fälle.

Wer eine Seite betreibt, muss diese drei Punkte auf der Liste haben — nach jedem Update, mindestens einmal im Quartal. Wer's nicht macht, zahlt im Zweifel die 170 €-Mahnung. Genau das ist der Wert eines ehrlichen Wartungsvertrags — Update gemacht, drei Punkte gegengecheckt, Bericht im Cockpit.

Wann Abmahnung nicht dein größtes Problem ist

Ehrlich: bei vielen Solo-Selbstständigen-Seiten ist die Abmahnung statistisch das kleinere Risiko. Was tatsächlich öfter passiert — Theme-Updates machen die Seite kaputt, Backups fehlen beim Server-Crash, das Kontaktformular verschwindet stillschweigend nach einem Plugin-Update und niemand merkt's wochenlang. Die 170-€-Mahnung trifft dich vielleicht einmal in drei Jahren. Ein verlorenes Backup nach einem Hack trifft dich genau einmal — und kostet ein Vielfaches.

Häufige Fragen zu Cookie-Banner-Abmahnungen

Wie hoch sind aktuelle Abmahnsummen für Cookie-Verstöße?

Die ersten Forderungen liegen typischerweise zwischen 100 und 170 Euro pro Verstoß als Schadensersatz nach Art. 82 DSGVO, plus Abmahnkosten-Pauschale (Rechtsanwaltsgebühren) von 200 bis 600 Euro. Bei mehreren Verstößen (Google Fonts + reCAPTCHA + Banner-Fehler) summiert sich das schnell auf 1.000+ Euro pro Mahnung.

Reicht ein Cookie-Banner-Generator wie Cookiebot oder Borlabs?

Ja, technisch — wenn die Konfiguration sauber ist. Beide Tools können DSGVO-konforme Banner ausspielen, scheitern aber regelmäßig an zwei Punkten: das Default-Layout hat "Akzeptieren" prominenter als "Ablehnen" (selbst zu fixen, nicht alle Generatoren machen das per Default), und die Skripte werden trotzdem geladen, bevor der Nutzer eingewilligt hat (Tag-Manager-Logik prüfen).

Muss ich Google Fonts wirklich lokal hosten?

Ja, wenn du auf der sicheren Seite sein willst. Das LG München hat 2022 entschieden, dass der externe Aufruf zu Google Fonts eine unrechtmäßige Datenübermittlung ist (IP-Adresse an US-Server). Lokales Hosten dauert je nach Theme 15 Minuten bis 2 Stunden — und ein Theme-Update kann die Konfiguration wieder zurücksetzen, deshalb gehört der Check zur regelmäßigen Wartungs-Routine.

Gibt es DSGVO-konforme Alternativen zu reCAPTCHA?

Ja: hCaptcha (in der EU gehostet), Friendly Captcha (deutsch, datenschutzfreundlich) oder serverseitiger Spam-Schutz ohne JavaScript (Honeypot-Felder, Akismet auf eigenem Server). Welche Variante zu deinem Formular passt, hängt vom Plugin ab — und überlebt nicht jedes Update unverändert.

Wie oft muss ich die Cookie-Konformität meiner Seite prüfen?

Nach jedem Theme- oder Plugin-Update, mindestens einmal pro Quartal. Wer eine größere Seite betreibt, automatisiert das idealerweise mit einem Monitoring-Tool oder lagert die Routine an einen Wartungsvertrag aus.

Genau dafür gibt's die Wartungs-Pakete: nach jedem Plugin- oder Theme-Update werden die drei Punkte automatisch geprüft, Verstöße landen im Monatsreport — ohne dass du jedes Mal selbst dran denken musst. Monatlich kündbar, kein Jahresvertrag. Wartung ansehen →