Zurück zu den Artikeln
Consentement
Einwilligung DSGVO Cookies Cookie Wall

Cookie Wall: Rechtslage in Deutschland 2026

25. März 2026 12 Min. Lesezeit DPLIANCE

Eine Cookie Wall (auch “Cookie-Mauer” oder “Cookie-Sperre”) ist ein Mechanismus, der den Zugang zu einer Website davon abhaengig macht, dass der Nutzer saemtliche nicht-notwendigen Cookies akzeptiert. Konkret: Der Besucher oeffnet die Website, das Cookie-Banner erscheint, er klickt auf “Alle ablehnen” — und statt den Inhalt zu sehen, wird ihm der Zugang verweigert. Er sieht einen Sperrbildschirm, eine Weiterleitung auf eine Fehlerseite oder schlicht eine leere Seite.

Die Cookie Wall wirft eine grundlegende datenschutzrechtliche Frage auf: Kann eine Einwilligung “freiwillig” sein, wenn die einzige Alternative darin besteht, den Dienst ueberhaupt nicht zu nutzen? Diese Frage beschaeftigt seit Jahren die deutschen und europaeischen Datenschutzbehoerden, Gerichte und den Gesetzgeber.

Abzugrenzen ist die Cookie Wall vom sogenannten “Pay or Okay”-Modell (auch “Consent or Pay” genannt), bei dem der Nutzer die Wahl hat, entweder Cookies zu akzeptieren oder fuer einen werbefreien Zugang zu bezahlen. Dieses Modell ist eine Sonderform der Cookie Wall und wird weiter unten gesondert behandelt.

Rechtsrahmen in Deutschland: DSGVO und TDDDG

In Deutschland greifen zwei Regelungsebenen gleichzeitig: die europaeische Datenschutz-Grundverordnung (DSGVO) und das nationale Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG), das seit Mai 2024 das fruehere TTDSG abgeloest hat.

DSGVO: Artikel 6 und Artikel 7

Die DSGVO regelt die Verarbeitung personenbezogener Daten. Wenn Cookies personenbezogene Daten erheben — und das tun praktisch alle Tracking-, Marketing- und Analyse-Cookies —, benoetigt der Verantwortliche eine Rechtsgrundlage nach Artikel 6 Absatz 1 DSGVO. Fuer nicht-notwendige Cookies ist diese Rechtsgrundlage in aller Regel die Einwilligung nach Artikel 6 Absatz 1 Buchstabe a.

Artikel 7 DSGVO definiert die Bedingungen fuer eine gueltige Einwilligung. Fuer die Bewertung von Cookie Walls sind insbesondere relevant:

  • Absatz 1 — Nachweisbarkeit: Der Verantwortliche muss nachweisen koennen, dass die betroffene Person ihre Einwilligung erteilt hat.
  • Absatz 4 — Koppelungsverbot: Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, wird dem Umstand “in groesstem Umfang Rechnung getragen”, ob die Erfuellung eines Vertrags von einer Einwilligung abhaengig gemacht wird, die fuer die Vertragsdurchfuehrung nicht erforderlich ist.

Erwaegungsgrund 42 der DSGVO praezisiert: Die Einwilligung sollte nicht als freiwillig erteilt gelten, wenn die betroffene Person keine echte oder freie Wahl hat oder die Einwilligung nicht ohne Nachteil verweigern kann. Genau hier setzt die Kritik an Cookie Walls an — der Nachteil besteht im vollstaendigen Zugangsverlust.

TDDDG: Paragraph 25

Das TDDDG schuetzt die Integritaet des Endgeraets. Paragraph 25 Absatz 1 TDDDG verlangt die Einwilligung des Nutzers fuer jede Speicherung von Informationen auf dem Endgeraet oder den Zugriff auf bereits gespeicherte Informationen, sofern diese nicht strikt notwendig sind. Diese Einwilligung muss den Anforderungen der DSGVO entsprechen — also auch dem Freiwilligkeitsgrundsatz.

Die Kombination beider Gesetze bedeutet: Selbst wenn ein Cookie isoliert betrachtet kein personenbezogenes Datum enthaelt, unterliegt seine Speicherung auf dem Endgeraet dem TDDDG. Und wenn der Zugang zur Website an die Akzeptanz dieser Cookies gekoppelt wird, steht die Freiwilligkeit der Einwilligung infrage — sowohl nach DSGVO als auch nach TDDDG.

Paragraph 26 TDDDG und Einwilligungsverwaltungsdienste (PIMS)

Paragraph 26 TDDDG schafft den Rechtsrahmen fuer Einwilligungsverwaltungsdienste (sogenannte PIMS — Personal Information Management Systems). Die Einwilligungsverwaltungsverordnung (EinwV) trat am 1. April 2025 in Kraft und konkretisiert die Anforderungen. Stand Maerz 2026 gibt es jedoch kein vom BfDI anerkanntes PIMS-System. Es wurden noch keine Antraege auf Anerkennung gestellt. Das DSGVO Cookie Banner bleibt damit fuer absehbare Zeit die einzige rechtmaessige Methode zur Einholung der Einwilligung.

Rechtsprechung in Deutschland

BGH — Planet49 (I ZR 7/16, 28. Mai 2020)

Das Grundsatzurteil des Bundesgerichtshofs in Sachen Planet49 betrifft zwar nicht direkt Cookie Walls, hat aber die Anforderungen an die Cookie-Einwilligung grundlegend definiert. Der BGH stellte — in Umsetzung der Vorabentscheidung des EuGH (C-673/17) — fest:

  • Vorausgewaehlte Checkboxen stellen keine gueltige Einwilligung dar.
  • Die Einwilligung muss durch eine aktive Handlung des Nutzers erfolgen.
  • Der Nutzer muss ueber die Funktionsdauer der Cookies und den Zugriff Dritter informiert werden.

Fuer Cookie Walls ist dieses Urteil relevant, weil es den Standard fuer “aktive” und “informierte” Einwilligung setzt. Eine Einwilligung, die nur deshalb erteilt wird, weil der Nutzer anders keinen Zugang erhaelt, erfuellt diese Anforderungen fragwuerdig.

VG Hannover (10 A 5385/22, 19. Maerz 2025)

Das Verwaltungsgericht Hannover urteilte in einem wegweisenden Verfahren, dass ein Cookie-Banner auf der ersten Ebene einen gleichwertigen “Alles ablehnen”-Button haben muss. Der “Alles ablehnen”-Button muss dem “Alle akzeptieren”-Button in Groesse, Farbintensitaet und Platzierung gleichwertig sein. Nutzer duerfen nicht durch die Gestaltung zur Zustimmung gedraengt werden.

Dieses Urteil hat fuer Cookie Walls eine mittelbare Bedeutung: Wenn schon die ungleiche Gestaltung von Buttons als unzulaessig gilt, weil sie die Freiwilligkeit der Einwilligung beeintraechtigt, dann ist das vollstaendige Fehlen einer Ablehnungsmoeglichkeit — wie bei einer Cookie Wall — erst recht problematisch.

OLG Frankfurt (6 U 81/23, 11. Dezember 2025)

Das Oberlandesgericht Frankfurt hat in einem bemerkenswerten Urteil entschieden, dass nicht nur der Website-Betreiber, sondern auch der Cookie-Drittanbieter haftet, wenn Cookies ohne gueltige Einwilligung des Nutzers gesetzt werden. Das Gericht sprach dem betroffenen Nutzer einen Schadensersatz von 100 Euro nach Artikel 82 DSGVO zu.

Fuer Cookie-Wall-Betreiber bedeutet das: Die Haftung beschraenkt sich nicht auf den Seitenbetreiber. Auch die eingebundenen Drittanbieter — Werbenetzwerke, Analyse-Dienste, Social-Media-Plattformen — koennen zur Verantwortung gezogen werden. Das erhoet den Druck auf alle Beteiligten, die Einwilligung rechtmaessig einzuholen.

EDSA-Position (Europaeischer Datenschutzausschuss)

Leitlinien 05/2020 zur Einwilligung

Der Europaeische Datenschutzausschuss (EDSA, englisch: EDPB) hat in seinen Leitlinien 05/2020 zur Einwilligung gemaess der DSGVO eine klare Position bezogen: Der Zugang zu Diensten und Funktionen darf nicht von der Einwilligung des Nutzers in die Speicherung von Informationen auf seinem Endgeraet abhaengig gemacht werden. Cookie Walls sind grundsaetzlich unzulaessig.

Der EDSA begruendet dies mit dem Freiwilligkeitsgrundsatz: Wenn der Nutzer keine andere Wahl hat als zuzustimmen, um den Dienst zu nutzen, ist die Einwilligung nicht freiwillig und damit ungueltig.

Ausnahme: Gleichwertiges Alternativangebot

Die Leitlinien sehen eine Ausnahme vor: Eine Cookie Wall kann dann zulaessig sein, wenn ein vergleichbarer Dienst auch ohne Tracking angeboten wird — beispielsweise als bezahlter Dienst. Voraussetzung ist, dass beide Angebote tatsaechlich gleichwertig sind. Eine degradierte Version ohne zentrale Funktionen erfuellt diese Anforderung nicht.

Der EDSA hat eine eigene Task Force zu Cookie-Bannern koordiniert, deren Ergebnisse im Januar 2023 angenommen wurden. Die grosse Mehrheit der teilnehmenden Aufsichtsbehoerden betrachtet das Fehlen einer gleichwertigen Ablehnungsoption auf der gleichen Ebene wie die Annahme als Rechtsverstoß. Die Ergebnisse sind zwar nicht rechtsverbindlich, stellen aber eine starke Referenz fuer die harmonisierte Auslegung des europaeischen Datenschutzrechts dar.

Stellungnahme 08/2024 zu “Pay or Okay”

Im November 2024 hat der EDSA eine Stellungnahme zu den sogenannten “Consent or Pay”-Modellen grosser Online-Plattformen veroeffentlicht. Der Anlass war die Entscheidung von Meta, europaeischen Nutzern ein kostenpflichtiges Abonnement als Alternative zur personalisierter Werbung anzubieten.

Der EDSA betont:

  • Die blosse Wahl zwischen “Zustimmen” und “Bezahlen” genuegt nicht immer, um die Freiwilligkeit der Einwilligung zu gewaehrleisten.
  • Verantwortliche sollten eine dritte Option pruefen, die weder Tracking noch eine Bezahlung erfordert — beispielsweise eine Version mit kontextbezogener Werbung ohne Profilbildung.
  • Der Preis fuer die bezahlte Alternative muss verhaeltnismaessig sein.

Diese Stellungnahme geht ueber die bisherige Praxis hinaus und deutet darauf hin, dass das binaere Modell “Cookies akzeptieren oder bezahlen” kuenftig nicht mehr ausreichen koennte.

Haltung des BfDI und der Landesbehoerden

BfDI (Bundesbeauftragter fuer den Datenschutz und die Informationsfreiheit)

Der BfDI hat die EDSA-Leitlinien ausdruecklich begruesst und erklaert, dass die meisten Cookie Walls dem Grundsatz der Freiwilligkeit widersprechen und gegen die DSGVO verstossen. Die Leitlinien des EDSA werden von den nationalen Aufsichtsbehoerden als fuer sie verbindlich betrachtet und fliessen in die nationale Aufsichtspraxis ein.

LfDI Niedersachsen

Der Landesbeauftragte fuer den Datenschutz Niedersachsen hat die Aktualisierung der EDSA-Leitlinien kommentiert und ausdruecklich festgestellt, dass Cookie Walls die Freiwilligkeit der Einwilligung untergraben. Die Behoerde betont, dass eine Cookie Wall nur dann zulaessig sein kann, wenn ein gleichwertiges Alternativangebot ohne Tracking besteht.

BayLDA (Bayerisches Landesamt fuer Datenschutzaufsicht)

Das BayLDA hat 2024 eine teilautomatisierte Pruefung von rund 350 bayerischen Websites durchgefuehrt und dabei auf nahezu allen ueberprueften Seiten Verstoesse gegen die Einwilligungspflicht festgestellt. Die Behoerde entwickelt eigene Tools zur systematischen Ueberpruefung von Cookie-Bannern — ein Signal, dass die Kontrolldichte zunimmt.

DSK (Datenschutzkonferenz)

Die DSK, das Gremium der deutschen Aufsichtsbehoerden, hat klare Positionen zu manipulativen Banner-Designs (Dark Patterns) bezogen und die Gleichwertigkeit von Akzeptieren- und Ablehnen-Buttons gefordert. Diese Haltung ist direkt auf Cookie Walls uebertragbar: Wenn schon eine ungleiche Button-Gestaltung unzulaessig ist, dann ist die vollstaendige Verweigerung des Zugangs bei Ablehnung erst recht nicht vereinbar mit dem Freiwilligkeitsgrundsatz.

Wann ist eine Cookie Wall erlaubt — und wann nicht?

Grundsatz: Unzulaessig

Nach der Position des EDSA, des BfDI und der deutschen Landesbehoerden ist eine Cookie Wall grundsaetzlich unzulaessig, weil sie die Freiwilligkeit der Einwilligung nach Artikel 7 DSGVO und Erwaegungsgrund 42 untergaebt. Der Nutzer hat keine echte Wahl, wenn die Alternative der vollstaendige Zugangsverlust ist.

Ausnahme: Gleichwertiges Alternativangebot

Eine Cookie Wall kann zulaessig sein, wenn folgende Voraussetzungen kumulativ erfuellt sind:

  1. Echtes Alternativangebot: Der Nutzer muss eine reale Alternative haben, um den Dienst auch ohne Tracking zu nutzen. Diese Alternative kann ein bezahltes Abonnement sein (“Pay or Okay”).
  2. Gleichwertiger Zugang: Die Alternative darf nicht degradiert sein. Der Nutzer, der bezahlt, muss den gleichen Funktionsumfang erhalten wie der Nutzer, der Cookies akzeptiert.
  3. Verhaeltnismaessiger Preis: Der Preis fuer die bezahlte Alternative muss in einem angemessenen Verhaeltnis zum Dienst stehen. Ein Abonnement von wenigen Euro pro Monat fuer ein Nachrichtenportal kann verhaeltnismaessig sein — 50 Euro pro Monat fuer einen einfachen Blog nicht.
  4. Transparenz: Der Nutzer muss klar und verstaendlich ueber die Wahlmoeglichkeiten informiert werden, einschliesslich der Art und des Zwecks der eingesetzten Cookies.
  5. Kein Monopol oder essentieller Dienst: Bei Diensten ohne reale Alternative (oeffentliche Einrichtungen, Monopole, essentielle Dienste) ist eine Cookie Wall in jedem Fall unzulaessig.

Immer unzulaessig

In folgenden Faellen ist eine Cookie Wall immer unzulaessig, unabhaengig von einem Alternativangebot:

  • Oeffentliche Dienste: Behoerden, Verwaltungen, oeffentlich-rechtliche Einrichtungen — der Buerger hat keine Alternative fuer seine Verwaltungsangelegenheiten.
  • Monopole und marktbeherrschende Unternehmen: Wenn es keinen vergleichbaren Wettbewerber gibt, kann der Nutzer nicht ausweichen.
  • Arbeitsrechtliche Kontexte: Plattformen, die Arbeitnehmer oder Bewerber nutzen muessen.
  • Gesundheits- und Bildungsdienste: Dienste mit besonderer gesellschaftlicher Relevanz.
  • SaaS-Dienste mit bestehenden Vertraegen: Wenn der Nutzer bereits fuer den Dienst bezahlt, ist eine zusaetzliche Cookie-Pflicht disproportional.

Statt den Zugang zu blockieren, gibt es rechtskonforme Wege, Einnahmen zu generieren und gleichzeitig die Einwilligung zu respektieren.

Kontextbezogene Werbung

Werbung, die sich am Inhalt der Seite orientiert statt am Nutzerprofil, benoetigt keine Einwilligung fuer Tracking-Cookies. Ein Artikel ueber Laufschuhe zeigt Werbung fuer Laufschuhe — ohne den Nutzer zu verfolgen. Die EDSA-Stellungnahme 08/2024 nennt kontextbezogene Werbung ausdruecklich als moegliche dritte Option neben “Akzeptieren” und “Bezahlen”.

Analytics ohne Cookies

Web-Analyse ist auch ohne einwilligungspflichtige Cookies moeglich. Tools wie Mirage arbeiten vollstaendig ohne Cookies und ohne personenbezogene Daten. Da kein Zugriff auf das Endgeraet stattfindet und keine personenbezogenen Daten verarbeitet werden, entfaellt die Einwilligungspflicht. Mehr dazu in unserem Artikel ueber Analytics ohne Cookies.

Das wirksamste Mittel gegen Einwilligungsprobleme ist ein rechtlich und technisch einwandfreies Cookie-Banner. Ein Banner mit gleichwertigem “Alles ablehnen”-Button, striktem Script-Blocking und serverseitigem Einwilligungsnachweis schafft Vertrauen — und rechtliche Sicherheit. Cookilio setzt genau diesen Ansatz um: Wizard-basiertes Banner ohne Dark Patterns, Nachweis mit Korrelations-IDs in Ihrer eigenen Datenbank, und vollstaendiges Script-Blocking vor der Einwilligung.

Freiwillige Abonnements und Micropayments

Statt den Zugang zu blockieren, koennen Medien und Content-Anbieter freiwillige Abonnements oder Micropayments anbieten — als Ergaenzung zum werbefinanzierten Gratiszugang, nicht als Bedingung. Der Nutzer entscheidet sich aus Ueberzeugung, nicht unter Zwang.

Bevor Sie eine Cookie Wall implementieren, pruefen Sie jeden der folgenden Punkte:

  • Bieten Sie ein gleichwertiges Alternativangebot ohne Tracking an?
  • Ist der Preis fuer die Alternative verhaeltnismaessig?
  • Erhaelt der zahlende Nutzer den identischen Funktionsumfang?
  • Informieren Sie transparent ueber die Wahlmoeglichkeiten?
  • Ist Ihr Dienst kein oeffentlicher, monopolistischer oder essentieller Dienst?
  • Respektiert Ihr Banner die Gleichwertigkeit der Buttons?
  • Werden bei Ablehnung tatsaechlich keine Tracking-Cookies gesetzt?

Wenn Sie auch nur einen Punkt mit “Nein” beantworten muessen, ist Ihre Cookie Wall mit hoher Wahrscheinlichkeit rechtswidrig. In diesem Fall empfehlen wir, auf eine Cookie Wall zu verzichten und stattdessen auf ein DSGVO-konformes Cookie-Banner mit gleichwertigem Ablehnen-Button zu setzen.

FAQ

Nicht grundsaetzlich, aber in den meisten Faellen unzulaessig. Der EDSA hat in seinen Leitlinien 05/2020 klargestellt, dass Cookie Walls die Freiwilligkeit der Einwilligung untergraben und grundsaetzlich gegen die DSGVO verstossen. Der BfDI und die deutschen Landesbehoerden folgen dieser Auffassung. Eine Ausnahme besteht nur, wenn ein gleichwertiges Alternativangebot — etwa ein bezahltes Abonnement — zur Verfuegung steht und bestimmte Voraussetzungen erfuellt sind.

Die Einwilligungen, die ueber eine rechtswidrige Cookie Wall eingeholt werden, sind ungueltig. Das bedeutet: Jede darauf basierende Datenverarbeitung ist rechtswidrig — rueckwirkend. Es drohen Bussgelder nach Artikel 83 DSGVO (bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes), Unterlassungsansprueche und — wie das OLG Frankfurt (6 U 81/23) gezeigt hat — individuelle Schadensersatzansprueche nach Artikel 82 DSGVO.

Ist das “Pay or Okay”-Modell in Deutschland zulaessig?

Unter strengen Voraussetzungen ja. Der Preis muss verhaeltnismaessig sein, der Zugang fuer zahlende Nutzer muss gleichwertig sein, und der Nutzer muss transparent informiert werden. Die EDSA-Stellungnahme 08/2024 empfiehlt darueber hinaus, eine dritte Option zu pruefen, die weder Tracking noch Bezahlung erfordert. Fuer oeffentliche Dienste und Monopole ist auch das “Pay or Okay”-Modell unzulaessig.

Kann ich mich auf die Vertragserfuellung (Artikel 6 Absatz 1 Buchstabe b DSGVO) als Rechtsgrundlage berufen, um die Einwilligungspflicht zu umgehen?

Nein. Die deutschen Aufsichtsbehoerden und der EDSA haben klargestellt, dass die Vertragserfuellung keine geeignete Rechtsgrundlage fuer Marketing- und Analyse-Cookies darstellt. Tracking-Cookies sind fuer die Bereitstellung des Dienstes nicht “erforderlich” im Sinne von Artikel 6 Absatz 1 Buchstabe b. Zudem schuetzt Paragraph 25 TDDDG das Endgeraet unabhaengig von der Rechtsgrundlage der DSGVO — die Einwilligung ist hier zwingend.

Kurzfristig keine. Die Einwilligungsverwaltungsverordnung (EinwV) schafft den Rechtsrahmen fuer PIMS-Dienste, ueber die Nutzer ihre Cookie-Praeferenzen zentral verwalten koennten. Stand Maerz 2026 gibt es jedoch kein anerkanntes PIMS-System. Langfristig koennten PIMS Cookie Walls ueberfluessig machen — Nutzer, die ihre Praeferenzen ueber ein PIMS uebermitteln, muessten kein Banner sehen. Bis dahin bleibt das Cookie-Banner die einzige rechtmaessige Methode.

Die Rechtslage ist eindeutig: Cookie Walls sind in den meisten Faellen rechtswidrig. Wer auf Nummer sicher gehen will, setzt auf ein faires, transparentes DSGVO Cookie Banner mit gleichwertigem Ablehnen-Button — und kombiniert es mit cookielosen Analytics fuer die Besucheranalyse.

Cookilio entdecken — das selbst gehostete Cookie Consent Tool, das Einwilligung ernst nimmt. Ab 9 Euro netto pro Monat.

Schreiben Sie uns

contact@dpliance.com
Kontaktieren Sie uns