Welche Consent-Management-Plattform ist 2026 die richtige für eine deutsche Website? Kurzantwort: Für die reine Cookie- und Tracking-Einwilligung nach § 25 TDDDG sind Usercentrics, Cookiebot und consentmanager die etablierten Optionen — mit gestaffelten Preisen von kostenlosen Kleinsttarifen bis zu Enterprise-Angeboten auf Anfrage. Entscheidend ist nicht der schönste Banner, sondern die rechtssichere Umsetzung: gleichwertiger Ablehnen-Button, granulare Einwilligung, dokumentierter Nachweis. Und die wichtigste Einsicht vorweg: Eine CMP regelt die Website-Ebene — sie ist kein Ersatz für DSGVO-Compliance im Unternehmen. Dieser Vergleich zeigt, worauf es ankommt und wo die Grenze der CMP liegt.
Key Takeaways
- Seit dem TDDDG regelt § 25 TDDDG den Zugriff auf Endgeräte (Cookies, Tracking) — Einwilligung ist die Regel, „unbedingt erforderlich" die enge Ausnahme.
- Der Ablehnen-Button muss gleichwertig zum Akzeptieren sein; die CNIL verhängte 2021 gegen Google (150 Mio. €) und Facebook (60 Mio. €), weil das Ablehnen erschwert war.
- Etablierte CMP: Usercentrics, Cookiebot, consentmanager — plus integrierte Datenschutzplattformen für den Gesamtzusammenhang.
- Eine CMP allein ist keine DSGVO-Compliance: Sie deckt Cookies ab, nicht Verzeichnis, DSFA, AVV oder Betroffenenrechte.
§ 25 TDDDG: der rechtliche Rahmen
Das frühere TTDSG wurde zum TDDDG (Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten). Die zentrale Norm für Cookie-Banner ist unverändert: § 25 TDDDG verlangt für das Speichern von Informationen auf dem Endgerät und den Zugriff darauf die Einwilligung des Nutzers — es sei denn, der Zugriff ist unbedingt erforderlich, um einen ausdrücklich gewünschten Dienst bereitzustellen.
„Unbedingt erforderlich" ist eng auszulegen: Warenkorb-Cookies, Session-IDs, Load-Balancing — ja. Analyse, Marketing, Personalisierung — nein, dafür braucht es Einwilligung. Und diese Einwilligung muss den Anforderungen des Art. 7 DSGVO genügen: freiwillig, informiert, granular, widerrufbar. Die Grundlagen erklärt unser Beitrag zum TDDDG-Cookie-Banner. Der europäische Rahmen ergibt sich aus der ePrivacy-Richtlinie 2002/58/EG und der DSGVO.
Der Ablehnen-Button: die häufigste Fehlerquelle
Der teuerste Fehler beim Cookie-Banner ist das erschwerte Ablehnen. Die französische CNIL verhängte im Dezember 2021 Bußgelder von 150 Mio. € gegen Google und 60 Mio. € gegen Facebook, weil das Akzeptieren mit einem Klick möglich war, das Ablehnen aber mehrere Schritte erforderte. Die Aussage gilt EU-weit: Ablehnen muss so einfach sein wie Akzeptieren — gleichwertiger Button auf der ersten Ebene, keine versteckte Ablehnung im Untermenü.
Deutsche Aufsichtsbehörden haben diese Linie übernommen. Ein CMP-Setup, das nur „Alle akzeptieren" prominent zeigt und das Ablehnen erschwert, ist nicht rechtskonform — unabhängig davon, welche Plattform es technisch umsetzt. Die Software liefert das Werkzeug; die rechtskonforme Konfiguration bleibt Aufgabe des Betreibers.
Ein zweiter Punkt am Horizont: Die Einwilligungsverwaltungsverordnung (EinwVO) soll nutzerfreundliche, dienstübergreifende Einwilligungsverwaltung ermöglichen — anerkannte Dienste, die Präferenzen zentral verwalten. Die praktische Bedeutung entfaltet sich erst mit der Anerkennung solcher Dienste; CMP-Anbieter positionieren sich bereits darauf.
Die CMP im Vergleich
| Plattform | Herkunft | Preisrahmen | Stärke |
|---|---|---|---|
| Usercentrics | München | auf Anfrage, Enterprise | Marktführer DACH, tiefe Integration |
| Cookiebot | (Usercentrics-Gruppe) | Free bis ~49 €/Monat gestaffelt | schnelles Scanning, KMU-tauglich |
| consentmanager | Deutschland | Free bis mittlere Tarife | granular, deutschsprachig, TCF |
| Integrierte Datenschutzplattform | EU | Teil des DSMS-Abos | Cookies im Gesamtkontext |
Usercentrics ist die DACH-Referenz für größere Websites und Konzerne, mit tiefen Integrationen und A/B-Testing der Banner; Preise individuell. Cookiebot (heute Teil der Usercentrics-Gruppe) punktet mit automatischem Cookie-Scanning und gestaffelten Tarifen bis etwa 49 €/Monat — gut für KMU. consentmanager ist ein deutscher Anbieter mit granularer Kategorisierung und Unterstützung des IAB-TCF-Standards für programmatische Werbung.
Für Unternehmen, die Cookies nicht isoliert, sondern als Teil des gesamten Datenschutzes betrachten, ist die Einbettung in eine Datenschutzplattform (etwa Legiscope) sinnvoll — die Einwilligungsdokumentation liegt dann beim Verzeichnis, der Datenschutzerklärung und dem AVV-Register, nicht in einem isolierten Tool.
Usercentrics, Cookiebot und consentmanager im Detail
Die drei Marktführer unterscheiden sich weniger im Banner als im Betriebsmodell — und genau das entscheidet über Eignung und Preis.
Usercentrics. Die DACH-Referenz für größere Websites und Konzerne. Stärken: tiefe Tag-Manager-Integration, serverseitiges Consent-Management, A/B-Testing der Banner-Varianten und ein Consent-Analytics-Dashboard, das die Akzeptanzrate misst. Der IAB-TCF-Standard für programmatische Werbung ist unterstützt. Die Preise sind individuell und beginnen erst im höheren Segment — für eine kleine Unternehmensseite überdimensioniert.
Cookiebot (heute Teil der Usercentrics-Gruppe). Stärke ist das automatische, wöchentliche Cookie- und Tracker-Scanning: Es findet neue Skripte selbstständig und ordnet sie einer Kategorie zu — der beste Schutz gegen unbemerkt nachgeladene Cookies. Google-zertifiziert und damit für Setups mit Google Consent Mode v2 geeignet. Gestaffelte Tarife bis etwa 49 €/Monat, kostenloser Einstieg für eine Domain unter 50 Unterseiten. Ideal für KMU, die wenig konfigurieren wollen.
consentmanager. Deutscher Anbieter mit Fokus auf granulare Kategorisierung und starker TCF-Unterstützung für Publisher und Werbevermarkter. Über 30 Sprachen, eigenes A/B-Testing und ein transparentes, gestaffeltes Preismodell nach Seitenaufrufen. Für werbefinanzierte deutsche Websites oft die passendste Wahl.
Die Auswahl folgt dem Bedarf, nicht dem Bekanntheitsgrad: Wer nur ein rechtssicheres Banner für eine Unternehmensseite braucht, ist mit Cookiebot am schnellsten fertig; wer programmatische Werbung ausspielt, braucht die TCF-Tiefe von consentmanager oder Usercentrics; wer konzernweit A/B-testet und serverseitig misst, landet bei Usercentrics. Ein praktischer Test vor der Entscheidung: Lassen Sie jede Kandidaten-CMP einmal über die eigene Website scannen und vergleichen Sie, wie viele Skripte sie tatsächlich findet und korrekt kategorisiert — die Unterschiede sind größer, als das Marketing vermuten lässt, und genau diese Erkennungsrate entscheidet über die Rechtssicherheit im Alltag.
Worauf es bei der Auswahl technisch ankommt
Jenseits des Preises entscheiden vier technische Punkte über die Rechtssicherheit einer CMP.
Vorheriges Blockieren (Prior Blocking). Skripte für Analyse und Marketing dürfen erst nach Einwilligung laden, nicht schon beim Seitenaufruf. Eine CMP, die Tags erst nachträglich stoppt, hat bereits Daten übermittelt — der Verstoß ist passiert. Gutes Prior Blocking hält alle nicht notwendigen Skripte zurück, bis der Nutzer zustimmt.
Granularität. Der Nutzer muss je Zweck oder Kategorie entscheiden können — Analyse ja, Marketing nein. Eine reine Alles-oder-nichts-Auswahl genügt den Anforderungen des Art. 7 DSGVO an die informierte, spezifische Einwilligung nicht.
Dokumentation und Widerruf. Jede Einwilligung muss protokolliert werden — Zeitpunkt, Version des Banners, gewählte Kategorien — und der Widerruf muss so einfach sein wie die Erteilung. Ein dauerhaft erreichbarer „Einstellungen"-Link ist Pflicht, nicht Komfort.
Automatisches Cookie-Scanning. Websites ändern sich; neue Tools bringen neue Cookies. Eine CMP mit regelmäßigem Scan erkennt neue Skripte und ordnet sie einer Kategorie zu, statt dass ungeprüfte Cookies unbemerkt laden. Cookiebot ist hier traditionell stark.
Diese vier Punkte trennen ein rechtssicheres Setup von einem hübschen Banner, der nur so tut. Sie sind wichtiger als die Optik — und in einer Beschwerde bei der Aufsichtsbehörde genau das, was geprüft wird.
Wo die CMP endet
Der häufigste Denkfehler: „Wir haben ein Cookie-Banner, also sind wir DSGVO-konform." Falsch. Eine CMP deckt die Endgeräte-Ebene ab — welche Skripte mit welcher Einwilligung laden. Sie erzeugt kein Verarbeitungsverzeichnis, keine DSFA, keine AV-Verträge und bearbeitet keine Betroffenenanfragen. Ein Onlineshop mit perfektem Banner und ohne Verzeichnis fällt in der Behördenprüfung genauso durch wie einer ohne Banner.
Die CMP ist notwendig, aber nicht hinreichend. Sie gehört zur Website-Compliance; die Unternehmens-Compliance liegt eine Ebene darüber. Wer die Cookie-Richtlinie sauber dokumentieren will, findet die Struktur in unserem Muster für die Cookie-Richtlinie, und die rechtssichere Einwilligung im Einwilligungs-Muster.
Ein konkretes Beispiel macht die Grenze deutlich: Ein Onlineshop setzt ein CMP korrekt ein, sodass Google Analytics und der Meta-Pixel erst nach Einwilligung laden. Trotzdem verarbeitet der Shop Bestelldaten, Zahlungsinformationen und Kundenkonten — für die er ein Verzeichnis, AV-Verträge mit Zahlungsdienstleister und Hoster, ein Löschkonzept und Prozesse für Betroffenenrechte braucht. Nichts davon leistet die CMP. Sie regelt die Skripte auf der Seite, nicht die Daten im Backend. Wer beide Ebenen verwechselt, hat den einfacheren Teil gelöst und den schwierigeren übersehen — und genau das prüft eine Aufsichtsbehörde bei einem Onlineshop zuerst.
FAQ
Brauche ich für meine Website zwingend ein Cookie-Banner?
Nur, wenn Sie nicht unbedingt erforderliche Cookies oder ähnliche Technologien einsetzen — also Analyse, Marketing oder Personalisierung. Rein technisch notwendige Cookies (Warenkorb, Session, Sicherheit) sind nach § 25 Abs. 2 TDDDG einwilligungsfrei. Fast jede kommerzielle Website nutzt jedoch mindestens Analyse-Tools und braucht daher eine Einwilligungslösung.
Muss der Ablehnen-Button gleich prominent sein wie Akzeptieren?
Ja. Ablehnen muss so einfach möglich sein wie Akzeptieren — gleichwertiger Button auf der ersten Ebene. Die CNIL-Bußgelder gegen Google (150 Mio. €) und Facebook (60 Mio. €) von Dezember 2021 beruhten genau auf dem erschwerten Ablehnen. Deutsche Aufsichtsbehörden folgen dieser Linie.
Was kostet eine Consent-Management-Plattform?
Die Spanne ist groß: Cookiebot und consentmanager bieten kostenlose Einstiegstarife für kleine Seiten und gestaffelte Preise bis etwa 49 €/Monat; Usercentrics arbeitet im Enterprise-Segment mit individuellen Angeboten. Für die meisten KMU-Websites genügt ein Tarif im niedrigen zweistelligen Monatsbereich.
Ist eine CMP gleichbedeutend mit DSGVO-Compliance?
Nein. Eine CMP regelt die Cookie- und Tracking-Einwilligung auf der Website. DSGVO-Compliance umfasst darüber hinaus Verzeichnis, DSFA, AV-Verträge, Betroffenenrechte, Löschkonzept und Nachweisführung. Die CMP ist ein notwendiger Baustein der Website-Ebene, aber kein Ersatz für das Datenschutz-Management des Unternehmens.
Fazit
Eine Consent-Management-Plattform ist Pflicht für jede Website mit Tracking — aber sie löst nur einen Teil des Problems. Usercentrics, Cookiebot und consentmanager sind die etablierten Werkzeuge; die eigentliche Arbeit ist die rechtskonforme Konfiguration mit gleichwertigem Ablehnen-Button und granularer Einwilligung. Verwechseln Sie die Website-Ebene nicht mit der Unternehmens-Compliance: Der schönste Banner ersetzt kein Verzeichnis. Kaufen Sie die CMP für die Website und das Datenschutz-Management für das Unternehmen — zwei Ebenen, zwei Werkzeuge.
Siehe auch: Angrenzende Themen behandeln wir in der Software für Betroffenenanfragen und im Leitfaden DSGVO für Marketing-Agenturen.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo