Ist Tracking ohne Cookie-Banner möglich?

Rechtsgrundlage ist § 25 TDDDG (ehemals TTDSG), der Artikel 5(3) der ePrivacy-Richtlinie in deutsches Recht umsetzt. Der Grundsatz: Jeder Zugriff auf Informationen im Endgerät des Nutzers – also das Setzen von Cookies oder die Nutzung von Local Storage – erfordert eine vorherige Einwilligung. Die zentrale Ausnahme: Keine Einwilligung ist nötig, wenn der Zugriff unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen. Ein Shop, der nur solche technisch notwendigen Cookies setzt, braucht in der Regel keinen Banner.

Zum banner-freien Shop führen zwei Wege: der Verzicht auf alle consent-pflichtigen Dienste oder deren Ersatz durch datenschutzfreundliche Alternativen. Etabliert haben sich cookielose Webanalyse-Tools wie Matomo (cookieless konfiguriert) oder Plausible: Sie zählen Besucher über einen täglich zurückgesetzten, pseudonymisierten Hash statt über Cookies und greifen nicht auf das Endgerät zu. Wichtig zu wissen: Selbst „cookieloses" Google Analytics bleibt in der Regel consent-pflichtig, da es auf das Endgerät des Nutzers zugreift.

Was ohne Einwilligung erlaubt ist

• Session-Cookies für Warenkorb und Checkout-Prozess
• Authentifizierungs-Cookies für Login-Bereiche und Kundenkonten
• Spracheinstellungs-Cookies in mehrsprachigen Shops
• Payment- und CSRF-Cookies für sichere Zahlungsabwicklung
• Cookieless Analytics, die nicht auf das Endgerät zugreifen – etwa Tools, die Besucher über einen täglich zurückgesetzten, pseudonymisierten Hash zählen

Consent-pflichtig bleiben dagegen in der Regel Google Analytics (auch GA4), Werbe-Pixel, A/B-Testing-Tools, Heatmap-Dienste und Social-Media-Plugins. Der Umstieg lohnt sich dennoch: 68,9% der Nutzer schließen oder ignorieren Cookie-Banner, ohne eine Auswahl zu treffen (Advance Metrics), und consent-pflichtige Tools verlieren typischerweise rund 60% der Besucherdaten (etracker). Eine cookielose Webanalyse liefert daher oft die vollständigere Datenbasis für SEO und Shop-Optimierung – und zwar ohne Consent Bias, also ohne die systematische Verzerrung, die entsteht, wenn nur ein Teil der Besucher dem Tracking zustimmt.

Worauf Sie beim Banner-freien Setup achten müssen

Ein consent-freier Shop erfordert ein konsequent aufgeräumtes Frontend: IP-Adressen anonymisieren, keine User-IDs über Sessions hinweg nutzen und sämtliche Drittdienste prüfen. Häufig übersehen werden Google Fonts: Werden Schriften direkt von Google-Servern geladen, wird die IP-Adresse des Besuchers übermittelt – nach einem Urteil des LG München I (Az. 3 O 17493/20) ein DSGVO-Verstoß. Die Lösung sind lokal gehostete Fonts, die nebenbei die Ladezeit verbessern. Auch Google Maps und YouTube-Embeds sollten durch datenschutzfreundliche Varianten ersetzt werden – etwa ein statisches Kartenbild mit Link oder ein Vorschaubild, das das Video erst nach Klick lädt. Die Schritt-für-Schritt-Anleitung finden Sie in unserem Beitrag Shop ohne Cookie-Banner.

Auch ohne Banner gilt die Transparenzpflicht: Ihre Datenschutzerklärung muss benennen, welche technisch notwendigen Cookies der Shop setzt, warum sie erforderlich sind und welches Analytics-Setup im Einsatz ist. Die DSK-Leitlinien der deutschen Aufsichtsbehörden stellen zudem klar: Wer ausschließlich technisch notwendige Cookies verwendet, sollte gerade keinen Consent-Banner einblenden – denn ohne echte Wahlmöglichkeit wäre ein Banner irreführend. Ein technischer Weg zur Überprüfung: die Netzwerk-Anfragen des Shops in den Browser-DevTools kontrollieren – jede Anfrage an eine fremde Domain ist ein möglicher Consent-Auslöser.