Auch Google und Facebook haften jetzt für Cookies

Auch Google und Facebook haften jetzt für Cookies

Zwei wegweisende Urteile aus 2025/2026 verschärfen die Regeln für Cookies und Tracking-Tools massiv. Nutzen Sie Google Analytics, Facebook Pixel oder den Google Tag Manager, müssen Sie Ihre Website umgehend überprüfen, um direkte Haftung und empfindliche Strafen zu vermeiden. Erfahren Sie, was regionale Betriebe jetzt sofort ändern müssen.

Dennis Schwenker-Sanders 8 Min. Lesezeit

Was KMU nach den neuen Urteilen sofort ändern müssen

Die rechtliche Landschaft für Cookies und Tracking-Tools hat sich 2025/2026 grundlegend verändert. Zwei wegweisende Urteile – das OLG Frankfurt zur Drittanbieter-Haftung (Dezember 2025) und das VG Hannover zum Google Tag Manager (März 2025) – verschärfen die Anforderungen an Website-Betreiber massiv. Für Betriebe in Oldenburg, Ganderkesee und der Region bedeutet das: Wer Google Analytics, Facebook Pixel oder ähnliche Tools nutzt, muss seine Website schnellstmöglich überprüfen. Die Rechtslage ist eindeutig, die Konsequenzen bei Verstößen empfindlich.

Laut einer aktuellen Statista-Umfrage (2024) sind 38% der deutschen Internetnutzer von Cookie-Bannern genervt, während 37% möglichst alle Cookies ablehnen. Gleichzeitig zeigt die Digitalisierungsstudie 2024, dass 82% der KMU Datenanalyse als strategisch wichtig ansehen. Dieser Spagat zwischen datenschutzrechtlichen Anforderungen und geschäftlicher Notwendigkeit stellt viele regionale Betriebe vor Herausforderungen.

Das Problem: Neue Urteile schaffen harte Rechtslage

OLG Frankfurt: Auch Google, Facebook & Co. haften direkt

Das Oberlandesgericht Frankfurt am Main hat mit Urteil vom 11. Dezember 2025 (Az.: 6 U 81/23) entschieden: Nicht nur Website-Betreiber, sondern auch Cookie-Drittanbieter wie Google, Facebook oder Tracking-Unternehmen haften persönlich für rechtswidrig gesetzte Cookies. Das Gericht stellte klar: § 25 TDDDG (ehemals TTDSG) richtet sich an jedermann, der Cookies setzt – unabhängig davon, ob es sich um den Website-Betreiber oder einen technischen Dienstleister handelt.

Die Kernaussagen des Urteils:

  1. Direkte Haftung: Wer technisch Cookies setzt, haftet selbst – auch wenn er nicht Betreiber der Website ist
  2. Vertragliche Zusicherungen schützen nicht: Die Vereinbarung "Cookies nur bei Einwilligung setzen" entbindet Drittanbieter nicht von ihrer eigenen Verantwortung
  3. Schadensersatz möglich: Das Gericht sprach 100 Euro Schadensersatz zu (Erstinstanz: 1.500 Euro)
  4. Beweislast beim Cookie-Setzer: Wer Cookies setzt, muss nachweisen, dass eine Einwilligung vorlag

Was bedeutet das für deine Website? Wenn auf deiner Website Google Analytics, Facebook Pixel, Google Tag Manager oder andere Drittanbieter-Tools laufen, reicht es nicht mehr aus, dass du einen Cookie-Banner hast. Die Dienste selbst müssen technisch sicherstellen, dass sie erst nach Einwilligung aktiv werden. Das Problem: Viele Tools laden standardmäßig bereits beim Seitenaufruf – also vor der Einwilligung.

VG Hannover: Google Tag Manager braucht Einwilligung

Das Verwaltungsgericht Hannover hat mit Urteil vom 19. März 2025 (Az.: 10 A 5385/22) eine weitere wichtige Klarstellung getroffen: Der Google Tag Manager (GTM) darf erst nach ausdrücklicher Einwilligung geladen werden. Viele Website-Betreiber glaubten bisher, der GTM sei "technisch neutral" und könne vor dem Cookie-Banner laufen. Das Gericht sieht das anders.

Die Kernaussagen des VG Hannover:

  1. GTM ist nicht technisch notwendig: Es gibt Alternativen zur Verwaltung von Tracking-Skripten
  2. GTM überträgt Daten: Bereits beim Laden werden IP-Adresse, Gerätedaten und Referrer-URL an Google übermittelt
  3. Cookie-Banner müssen "Alles ablehnen" auf erster Ebene haben: Ein gleichwertiger Ablehn-Button ist Pflicht
  4. Einwilligung muss freiwillig sein: Nutzer dürfen nicht durch Design-Tricks ("Dark Patterns") zur Zustimmung gedrängt werden

Eine Untersuchung von clicks digital (2025) zeigt: Die Mehrheit der deutschen KMU-Websites lädt den Google Tag Manager bereits vor dem Cookie-Consent. Nach diesem Urteil ist diese Praxis eindeutig rechtswidrig.

Die realen Konsequenzen für KMU

Verstöße gegen Cookie-Vorschriften sind keine Theorie mehr. Laut ODC Legal wurden in Deutschland bis 2024 DSGVO-Bußgelder von insgesamt rund 1,2 Millionen Euro verhängt. Hinzu kommen Abmahnungen: 2021 verschickten deutsche Verbraucherzentralen fast 100 Abmahnungen wegen nicht rechtskonformer Cookie-Banner (Audatis 2025).

Das Risiko beschränkt sich nicht auf Bußgelder:

  1. Schadensersatzforderungen: 100 Euro pro Verstoß und Nutzer (OLG Frankfurt)
  2. Abmahn-Kosten: Verbraucherschutzverbände und Wettbewerber können abmahnen
  3. Reputationsverlust: Kunden legen zunehmend Wert auf Datenschutz
  4. Nutzlose Daten: Ohne rechtskonforme Einwilligung sind alle Tracking-Daten wertlos

Die Lösung: So machst du deine Website rechtskonform

Schritt 1: Sofort-Check deiner Website (15 Minuten, kostenlos)

Prüfe diese drei Punkte:

A) Cookie-Banner-Test:

  1. Öffne deine Website im privaten/Inkognito-Modus
  2. Lade die Entwicklertools (F12 in Chrome/Firefox)
  3. Gehe zum Tab "Netzwerk" → Filter "XHR" oder "Fetch"
  4. Lade die Seite neu, ohne dem Cookie-Banner zuzustimmen
  5. Problematisch, wenn du siehst:Anfragen an googletagmanager.com
  6. Anfragen an google-analytics.com oder analytics.google.com
  7. Anfragen an facebook.net oder connect.facebook.net
  8. Anfragen an andere Tracking-Dienste

B) Cookie-Banner-Design-Check:

  1. Gibt es auf der ersten Ebene einen "Alles ablehnen" Button?
  2. Ist der Ablehnen-Button genauso sichtbar und prominent wie "Alles akzeptieren"?
  3. Sind die Farben, Größe und Position gleichwertig?
  4. Wird der Nutzer durch Design zur Zustimmung gedrängt?

C) Google Tag Manager-Check:

  1. Schau in den Quellcode deiner Website (Rechtsklick → "Seitenquelltext anzeigen")
  2. Suche nach "googletagmanager.com" (Strg+F)
  3. Problematisch: Wenn der GTM-Code direkt im HTML steht, lädt er vor dem Cookie-Banner
  4. Richtig: GTM-Code sollte nur über die Consent Management Platform (CMP) geladen werden

Wenn du bei einem der Tests durchfällst, besteht Handlungsbedarf.

Schritt 2: DIY-Lösungen für kleine Budgets (2-6 Stunden, 0-150€)

Variante A: Cookie-Banner anpassen (kostenlos, 2-3 Stunden)

Wenn du bereits eine Consent Management Platform (CMP) wie Borlabs Cookie, Real Cookie Banner oder Complianz nutzt:

  1. Aktiviere "Alles ablehnen" Button auf erster Ebene: In den meisten CMPs gibt es diese Option in den Einstellungen
  2. Prüfe gleichwertige Gestaltung: Beide Buttons (Akzeptieren/Ablehnen) müssen gleich groß, gleich sichtbar und gleichwertig platziert sein
  3. Entferne Dark Patterns: Keine unterschiedlichen Farben, keine Tricks wie "versteckter Ablehnen-Button"

Zeitaufwand: 1-2 Stunden

Kosten: 0€ (bei vorhandenem Tool)

Variante B: Google Tag Manager nachträglich absichern (150€, 3-4 Stunden)

Wenn du bereits den Google Tag Manager nutzt:

  1. Integriere GTM in deine CMP: Die meisten modernen CMPs (Borlabs, Usercentrics, Cookiebot) bieten GTM-Integration
  2. Verschiebe GTM-Code: Entferne den GTM-Code aus dem HTML und lade ihn nur über die CMP
  3. Teste gründlich: Verwende den Browser-Modus "Entwicklertools" → "Netzwerk" um zu prüfen, dass GTM erst nach Zustimmung lädt

Zeitaufwand: 3-4 Stunden (mit technischen Kenntnissen)

Kosten: 0-150€ (je nach CMP-Lizenz)

Wichtig für Oldenburg: Viele lokale Betriebe nutzen ältere WordPress-Installationen oder veraltete Cookie-Banner-Plugins. Diese unterstützen oft nicht die neuen Anforderungen. In diesem Fall ist ein Update oder Wechsel der CMP notwendig.

Schritt 3: Professionelle Lösung (400-800€, 6-10 Stunden)

Für rechtssichere Umsetzung empfiehlt sich professionelle Unterstützung:

Was ein Webentwickler macht:

  1. Vollständige Cookie-Analyse: Welche Dienste setzen welche Cookies?
  2. CMP-Auswahl und Konfiguration: Moderne Consent Management Platform einrichten
  3. Technische Integration: Google Tag Manager, Analytics, Facebook Pixel korrekt einbinden
  4. Dokumentation erstellen: Einwilligungen protokollieren, Datenschutzerklärung aktualisieren
  5. Testing und Qualitätssicherung: Funktioniert alles in verschiedenen Browsern?

Zeitaufwand: 6-10 Stunden

Kosten: 400-800€ (je nach Komplexität)

Alternative: GTM-Alternativen für KMU

Das VG Hannover betont: Der Google Tag Manager ist nicht alternativlos. Für viele KMU-Websites reichen einfachere Lösungen:

  1. Direkte Integration: Google Analytics 4 kann ohne GTM eingebunden werden
  2. Server-Side Tracking: Tracking auf dem Server statt im Browser (datenschutzfreundlicher)
  3. Privacy-First Alternativen: Matomo (Open Source), Plausible, Simple Analytics (ohne Cookies)

Eine Studie der Hochschule für Wirtschaft und Recht Berlin (2024) zeigt: KMU, die auf Kern-Kennzahlen fokussieren, treffen um 64% bessere Marketing-Entscheidungen als Unternehmen, die sich primär an Impressionen orientieren. Oft reicht einfaches Tracking vollkommen aus.

Realistische Erwartungen: Was diese Änderungen bedeuten

Keine Schönfärberei: Die rechtskonforme Umsetzung hat Auswirkungen auf deine Daten.

Zu erwarten sind:

  1. Weniger Tracking-Daten: Laut Statista (2024) lehnen 37% der Nutzer alle Cookies ab – diese Nutzer kannst du nicht mehr tracken
  2. Lückenhafte Analysen: Deine Google Analytics-Zahlen werden niedriger sein als vorher
  3. Umstellungsaufwand: Die technische Implementierung kostet Zeit und ggf. Geld

Die Vorteile überwiegen aber:

  1. Rechtssicherheit: Keine Angst mehr vor Abmahnungen oder Bußgeldern
  2. Vertrauensgewinn: Nutzer schätzen transparenten Umgang mit ihren Daten
  3. Qualität vor Quantität: Die Daten, die du erhältst, sind rechtskonform und verwertbar
  4. Fokus auf das Wesentliche: Konzentration auf wichtige Kennzahlen statt Daten-Overkill

Zeitrahmen für die Umsetzung:

  1. DIY-Anpassung: 1-2 Wochen (mit Testing)
  2. Professionelle Umsetzung: 2-4 Wochen (inkl. Feintuning)
  3. Komplette Neuaufstellung: 4-8 Wochen (bei Migration zu alternativen Tools)

Besonderheiten für die Region Oldenburg

Lokale Betriebe haben oft spezifische Herausforderungen:

  1. Ältere Website-Systeme: Viele Websites in der Region laufen auf älteren WordPress-Versionen oder veralteten Baukästen
  2. Begrenzte IT-Ressourcen: Anders als Großunternehmen haben KMU oft keine IT-Abteilung
  3. Regionale Zielgruppe: Für lokale Betriebe ist oft weniger Tracking nötig als für E-Commerce
  4. Persönlicher Kontakt wichtiger: In ländlichen Regionen zählt Mundpropaganda oft mehr als perfekte Tracking-Daten

Die gute Nachricht: Gerade für lokale Betriebe reichen oft einfache Tracking-Lösungen vollkommen aus. Du musst nicht jedes Detail tracken – es reicht zu wissen, welche Seiten gut funktionieren und woher deine Anfragen kommen.

Was du jetzt konkret tun solltest

Sofort (diese Woche):

  1. Führe den 15-Minuten-Check aus Schritt 1 durch
  2. Dokumentiere, welche Tools auf deiner Website laufen (Google Analytics, Facebook Pixel, etc.)
  3. Prüfe, ob dein Cookie-Banner den neuen Anforderungen entspricht

Kurzfristig (nächste 2-4 Wochen):

  1. Entscheide: DIY-Lösung oder professionelle Hilfe?
  2. Wenn DIY: Folge den Schritten aus Variante A oder B
  3. Wenn professionell: Hole Angebote von lokalen Webentwicklern ein
  4. Aktualisiere deine Datenschutzerklärung entsprechend

Mittelfristig (nächste 2-3 Monate):

  1. Überdenke deine Tracking-Strategie grundsätzlich: Was brauchst du wirklich?
  2. Teste alternative Tracking-Tools (Matomo, Plausible, etc.)
  3. Schule dein Team im rechtskonformen Umgang mit Tracking-Daten

Kostenloser Website-Check für die Region Oldenburg

Du bist dir unsicher, ob deine Website betroffen ist? Ich biete für Betriebe in Oldenburg, Ganderkesee, Wardenburg, Hude und Wildeshausen einen kostenlosen 15-minütigen Website-Check an:

  1. Schnellanalyse deiner Cookie-Situation
  2. Prüfung deines Cookie-Banners auf Konformität
  3. Check ob Google Tag Manager, Analytics oder Facebook Pixel rechtskonform eingebunden sind
  4. Konkrete Handlungsempfehlungen für deine Situation

Der Check ist unverbindlich und gibt dir Klarheit, ob und welcher Handlungsbedarf besteht. Schreib mir einfach eine kurze Mail über das Kontaktformular auf startklar-oldenburg.de oder ruf direkt an.

Wichtig: Die neuen Urteile sind keine Theorie mehr. Seit Januar 2026 berichten Datenschutz-Kanzleien von einer deutlichen Zunahme an Cookie-Abmahnungen. Je früher du handelst, desto besser.

Die gute Nachricht: Mit den richtigen Maßnahmen ist deine Website schnell rechtskonform – und du kannst dich wieder auf dein Geschäft konzentrieren, statt dir Sorgen um Abmahnungen zu machen.

Autor: Dennis Schwenker-Sanders, Webentwickler aus Sandkrug bei Oldenburg. Seit 2015 spezialisiert auf lokale Websites für KMU, Handwerksbetriebe und regionale Dienstleister. Schwerpunkt: Symfony/PHP-Entwicklung und datenschutzkonforme Website-Lösungen.

Quellen: OLG Frankfurt Urteil vom 11.12.2025 (Az. 6 U 81/23), VG Hannover Urteil vom 19.03.2025 (Az. 10 A 5385/22), Statista Umfrage "Umgang mit Cookie-Hinweisen in Deutschland 2024", Digitalisierungsstudie 2024 (maximal.digital), ODC Legal "DSGVO-Bußgelder 2025", Audatis "Cookie-Compliance Deutschland", Hochschule für Wirtschaft und Recht Berlin "Marketing-Kennzahlen-Studie 2024", clicks digital "Google Tag Manager Änderungen 2025"

#Cookie #Recht #KMU #Datenschutz #GTM #Tracking Tools

Artikel teilen: