Cookie-Banner
Ein Cookie-Banner ist ein Pop-up-Element auf einer Website, das Nutzer:innen vor dem Setzen nicht notwendiger Cookies um eine aktive Einwilligung bittet. In Österreich und Deutschland ist es rechtlich verpflichtend, wenn Tracking-, Analyse- oder Marketing-Cookies zum Einsatz kommen.
Ausführliche Erklärung
Cookie-Banner, auch Cookie-Layer genannt, erscheinen beim ersten Besuch einer Website als vorgeschaltetes Element und holen die datenschutzrechtlich erforderliche Einwilligung zum Speichern und Auslesen von Cookies ein. Sie sind gesetzlich vorgeschrieben durch die DSGVO sowie national durch das deutsche TDDDG (ehemals TTDSG) und in Österreich durch das Telekommunikationsgesetz 2021 (§ 165 Abs. 3 TKG 2021). Die rechtliche Grundlage bildet die europäische ePrivacy-Richtlinie.
Technisch notwendige Cookies, etwa für Login-Sitzungen, Warenkörbe oder Spracheinstellungen, dürfen ohne Einwilligung gesetzt werden. Für alle übrigen Cookies – insbesondere für Webanalyse mit Google Analytics, Tracking-Pixel, Social-Media-Plugins und personalisierte Werbung – ist eine aktive, informierte Einwilligung erforderlich. Besonders wichtig ist die Rechtsprechung des EuGH (Planet49-Urteil, 2019) und des Bundesgerichtshofs (2020), die klarstellten, dass vorangekreuzte Checkboxen oder stillschweigende Zustimmung durch "Weitersurfen" nicht rechtsgültig sind.
Ein datenschutzkonformer Cookie-Banner muss mehrere Anforderungen erfüllen: Die Ablehnungsoption muss auf der ersten Ebene gleichberechtigt zur Zustimmung angeboten werden, ohne manipulative Designtechniken (sogenannte Dark Patterns). Die Einwilligung muss granular erfolgen – Nutzer:innen müssen zwischen verschiedenen Zwecken (z. B. Reichweitenmessung, personalisierte Werbung) einzeln wählen können. Zudem muss die Einwilligung jederzeit ebenso einfach widerrufbar sein wie sie erteilt wurde, etwa über einen dauerhaft sichtbaren Link im Footer.
Verstöße gegen die Cookie-Banner-Pflicht können empfindliche Folgen haben: Datenschutzbehörden können Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängen. Auch Abmahnungen durch Mitbewerber:innen sind möglich. Für KMU bedeutet die konforme Umsetzung oft den Einsatz von Consent Management Platforms (CMP), die technisch sicherstellen, dass vor der Einwilligung keine Tracking-Skripte geladen werden. Die EU-Kommission plant mit dem "Digital Omnibus"-Reformpaket eine künftige Vereinfachung durch browserbasierte Einwilligungen, doch bis zur Umsetzung (frühestens 2027) gelten die strengen aktuellen Vorgaben weiter.
Praxisbeispiel
Eine Steuerberatungskanzlei mit 12 Mitarbeiter:innen in Linz nutzt auf ihrer Website Google Analytics zur Besucherstatistik und bindet YouTube-Videos ein. Beide Dienste setzen nicht notwendige Cookies. Die Kanzlei implementiert daher ein Cookie-Banner mit Consent Management Tool, das Nutzer:innen beim ersten Besuch die Wahl "Alle akzeptieren", "Alle ablehnen" oder "Einstellungen" bietet. Erst nach aktiver Zustimmung werden Analytics und YouTube geladen. Im Footer findet sich dauerhaft ein Link "Cookie-Einstellungen", über den Nutzer:innen ihre Wahl jederzeit ändern können.
Quellen
- FAQ zum Thema Cookies und Datenschutz – Österreichische Datenschutzbehörde
- Rechtsfrage #19: Technisch notwendige versus nicht notwendige Cookies – WKO
- Cookie-Banner: Wann sind sie DSGVO-konform? – Onlinesicherheit.gv.at
- Pressemitteilung zum BGH-Urteil Cookie-Einwilligung II (Planet49) – Bundesgerichtshof
- Cookie-Banner 2026: Anforderung & Reform – isico