Die größten DSGVO-Cookie-Bußgelder 2026

7,1 Milliarden EUR und es werden mehr

Seit die DSGVO im Mai 2018 in Kraft trat, haben europäische Aufsichtsbehörden insgesamt über 7,1 Milliarden EUR an Bußgeldern verhängt. Und 2025 war ein Wendepunkt: Cookie-Verstöße wurden zur am schnellsten wachsenden Durchsetzungskategorie, wobei Behörden in der gesamten EU deutlich machten, dass nicht-konforme Cookie-Banner kein geringfügiges Versäumnis mehr sind. Sie sind ein finanzielles Risiko.

Wenn Sie eine Website betreiben, die europäische Besucher bedient, ist dieser Artikel Ihr Weckruf. Hier sind die größten Cookie-bezogenen Bußgelder des vergangenen Jahres und was Sie tun müssen, um nicht als Nächster betroffen zu sein.

Die Größten Cookie-Bußgelder 2025

Google - 325 Millionen EUR (Frankreich, September 2025)

Die französische Datenschutzbehörde CNIL verhängte ein Bußgeld von 325 Millionen EUR gegen Google für die Anzeige von Werbung in Gmail ohne Einwilligung der Nutzer. Das Urteil stellte auch fest, dass Googles Einwilligungsdesigns gezielt darauf ausgerichtet waren, Nutzer zur Akzeptanz personalisierter Werbung zu lenken. Dieses Bußgeld bekräftigte, dass die Einwilligung freiwillig erteilt werden muss, nicht durch Dark Patterns beeinflusst.

SHEIN - 150 Millionen EUR (Frankreich, September 2025)

Der Fast-Fashion-Riese SHEIN erhielt ein Bußgeld von 150 Millionen EUR für einen der grundlegendsten Verstöße: das Laden von Werbe-Cookies, bevor Nutzer überhaupt das Cookie-Banner sehen konnten. Darüber hinaus stellte die CNIL fest, dass der Button "Alle ablehnen" schlichtweg nicht funktionierte und das Cookie-Banner den Werbezweck des Trackings nicht erwähnte. Dieser Fall ist ein Meilenstein, da er beweist, dass Regulierungsbehörden prüfen, was tatsächlich im Browser passiert, nicht nur, was das Banner sagt.

TikTok - 530 Millionen EUR (Frankreich, 2025)

Obwohl sich das Verfahren hauptsächlich auf den Umgang mit Kinderdaten konzentrierte, umfasste das 530-Millionen-EUR-Bußgeld gegen TikTok auch Verstöße bei den Einwilligungsmechanismen. Konten waren standardmäßig öffentlich, und TikToks Ansatz zur Einholung der Einwilligung entsprach nicht den DSGVO-Standards.

Orange - 50 Millionen EUR (Frankreich, November 2024)

Der Telekommunikationsriese Orange wurde für das Einfügen von Werbebotschaften in die E-Mail-Postfächer der Nutzer ohne Einwilligung bestraft, wovon 7,8 Millionen Menschen betroffen waren. Entscheidend war, dass die CNIL feststellte, dass Cookies weiterhin gelesen und übertragen wurden, selbst nachdem die Nutzer ihre Einwilligung widerrufen hatten. Orange erhielt die Auflage, dies innerhalb von 3 Monaten zu beheben, andernfalls drohten Strafen von 100.000 EUR pro Tag.

Condé Nast - 750.000 EUR (Frankreich, November 2025)

Der Verlag von Vanity Fair Frankreich wurde für das Setzen von Cookies auf den Geräten der Besucher ohne jegliche Einwilligung bestraft. Ein einfacher Verstoß, der zeigt, dass auch namhafte Medienunternehmen erwischt werden.

Coolblue - 40.000 EUR (Niederlande, Dezember 2024)

Der niederländische Einzelhändler Coolblue wurde für die Verwendung vorangekreuzter Einwilligungsboxen bestraft, Einwilligung wurde standardmäßig angenommen. Die niederländische Datenschutzbehörde hatte bereits zuvor gewarnt, was diesen Fall zu einem Beispiel für das Ignorieren von Regulierungsbehörden macht.

Die Muster, die zu Bußgeldern führen

Bei der Analyse dieser Fälle wird ein klares Muster erkennbar. Regulierungsbehörden zielen auf:

• Tracking vor Einwilligung: Laden von Cookies oder Trackern, bevor der Nutzer die Möglichkeit hat, zu akzeptieren oder abzulehnen. Dies war der Kern des SHEIN-Falls.
• Asymmetrische Einwilligung: "Akzeptieren" mit einem Klick, während "Ablehnen" hinter mehreren Bildschirmen versteckt wird. Facebook, Google und TikTok wurden alle dafür bestraft.
• Dark Patterns: Einsatz von Farbkontrasten, Buttongrößen oder Formulierungen, um Nutzer zur Akzeptanz zu drängen. Schwedens Datenschutzbehörde (IMY) erteilte ATG, Aller Media und Warner Music im April 2025 formelle Rügen.
• Ignorieren des Einwilligungswiderrufs: Weiterlesen von Cookies, nachdem ein Nutzer seine Einwilligung widerruft, wie im Fall Orange.
• Nicht-funktionale Ablehnungsbuttons: Eine "Ablehnen"-Option, die Cookies tatsächlich nicht blockiert, wie im SHEIN-Bußgeld nachgewiesen.

Die Neuen Regeln für 2026

Im November 2025 veröffentlichte die EU den Digital Omnibus-Vorschlag, der die Funktionsweise der Cookie-Einwilligung grundlegend verändern wird:

Ablehnung mit einem Klick: Nutzer müssen Cookies mit einem einzigen Klick ablehnen können. Das Verstecken der Ablehnungsoption hinter "Einstellungen verwalten"-Bildschirmen hat ein Ende.

Sechs-Monats-Abkühlung: Wenn ein Nutzer die Einwilligung ablehnt, darf die Website für denselben Zweck mindestens sechs Monate lang nicht erneut fragen. Die Ära der Abfrage bei jedem Seitenbesuch geht zu Ende.

Maschinenlesbare Einwilligungssignale: Der Vorschlag wird automatisierte Einwilligungssignale (wie Global Privacy Control) kodifizieren, die es Browsern ermöglichen, Einwilligungspräferenzen im Namen der Nutzer zu kommunizieren.

Cookie-Regeln wandern in die DSGVO: Artikel 88a wird Cookie-Tracking-Regeln direkt in die DSGVO integrieren und den Flickenteppich nationaler ePrivacy-Umsetzungen ersetzen. Das bedeutet einen einheitlichen, durchsetzbaren Standard in allen 27 EU-Mitgliedstaaten.

Diese Regeln werden voraussichtlich Mitte bis Ende 2026 in Kraft treten.

Es Betrifft Nicht Mehr Nur die Großen Techunternehmen

Einer der wichtigsten Trends 2025-2026 ist, dass die Durchsetzung weit über Google und Meta hinausgeht. Die niederländische Datenschutzbehörde sandte formelle Warnungen an 50 Organisationen, darunter Online-Händler, Medienunternehmen und Versicherungen, und gab ihnen drei Monate Zeit, ihre Cookie-Praktiken zu korrigieren oder mit einer Untersuchung zu rechnen.

Im Vereinigten Königreich überprüfte die ICO die 1.000 meistbesuchten Websites und stellte fest, dass 564 ihre Cookie-Praktiken korrigieren mussten. Bis Dezember 2025 waren 95% dieser Seiten konform.

Gleichzeitig reichte die Interessengruppe noyb über 560 DSGVO-Beschwerden gegen Websites in 33 Ländern ein. Ihre Analyse ergab, dass 81% dieser Seiten keine "Ablehnen"-Option auf der ersten Ebene des Cookie-Banners anboten und 73% täuschende Farbkontraste verwendeten, um Nutzer zur Akzeptanz zu drängen.

Allein Spanien hat über 1.021 DSGVO-Bußgelder verhängt. Italiens Datenschutzbehörde nimmt zunehmend KMU ins Visier. Keine Website ist zu klein, um bemerkt zu werden.

Was Dies für Ihre Website Bedeutet

Gemäß DSGVO Artikel 83 können Cookie- und Einwilligungsverstöße zu Bußgeldern von bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist. Aber jenseits der Bußgelder gibt es den Reputationsschaden, die Rechtskosten und den Vertrauensverlust Ihrer Besucher.

Die gute Nachricht: Die meisten Cookie-Verstöße sind einfach zu beheben, sobald man weiß, dass sie existieren. Das Problem ist, dass die meisten Website-Betreiber keine Ahnung haben, dass ihr Banner nicht konform ist. Ihre Entwickler haben es einmal eingerichtet und nie getestet, was tatsächlich im Browser passiert.

Genau das tun die Regulierungsbehörden: Sie öffnen Ihre Seite, beobachten, was vor der Einwilligung geladen wird, und prüfen, ob der Ablehnungsbutton tatsächlich funktioniert.

Prüfen Sie Ihre Website Jetzt

Sie müssen nicht warten, bis eine Aufsichtsbehörde Sie findet. Scannen Sie Ihre Website kostenlos und sehen Sie genau, was ein Compliance-Audit finden würde: Cookies vor Einwilligung, Tracker die vor der Zustimmung laden und Banner-Probleme. Es dauert 30 Sekunden und gibt Ihnen ein klares Bild Ihres Risikos.

Die obigen Bußgelder beweisen, dass die Durchsetzung real ist, wächst und sich auf Unternehmen jeder Größe ausweitet. Die Frage ist nicht, ob Regulierungsbehörden Ihre Website überprüfen werden, sondern wann.