Ein Cookie-Banner (auch Consent-Management-Platform oder CMP) ist immer dann erforderlich, wenn auf einer Website Cookies oder ähnliche Technologien eingesetzt werden, die nicht unter die Ausnahmen des Paragraph 25 Abs. 2 TDDDG fallen. Da die Einwilligung nach DSGVO-Standard eingeholt werden muss (freiwillig, informiert, unmissverständlich, für den bestimmten Fall), ist ein Cookie-Banner das praktische Mittel zur Einholung und Dokumentation dieser Einwilligung.
Kein Cookie-Banner nötig, wenn die Website außchließlich technisch notwendige Cookies einsetzt. Dazu zählen: Session-Cookies zur Aufrechterhaltung einer Sitzung, Warenkorb-Cookies in Online-Shops, Cookies für Spracheinstellungen, Authentifizierungs-Cookies für Login-Bereiche und Cookies für den Lastenausgleich (Load Balancing). Diese sind "unbedingt erforderlich" im Sinne des Paragraph 25 Abs. 2 Nr. 2 TDDDG.
Cookie-Banner nötig, sobald auch nur ein einziges nicht-notwendiges Cookie gesetzt wird. Dies betrifft insbesondere: Analyse-Cookies (Google Analytics, Matomo mit Cookies), Marketing- und Werbe-Cookies, Retargeting-Pixel, Social-Media-Plugins mit Tracking-Funktion, eingebettete Inhalte von Drittanbietern (YouTube, Google Maps), die eigene Cookies setzen, und jede Form von Browser-Fingerprinting.
Gestaltungsanforderungen: Die DSK-OH Digitale Dienste (November 2024) stellt klare Anforderungen: Die Ablehnoption muss auf derselben Ebene stehen wie die Zustimmungsoption. Nudging oder Dark Patterns - also gestalterische Tricks, die den Nutzer zur Einwilligung drängen - sind unzuläßig. Vorangekreuzte Kästchen gelten nicht als Einwilligung (EG 32 DSGVO). Der Nutzer muss eine echte Wahlmöglichkeit haben, und die Ablehnung darf keine nachteiligen Konsequenzen haben.