TrustYourWebsite
DSGVO & Datenschutz

DSGVO-konformer Cookie-Banner in Österreich: Anforderungen

Steven | TrustYourWebsite · 10. Mai 2026 · Zuletzt aktualisiert: Mai 2026

Österreichische Cookie-Banner stehen unter drei Rechtsgrundlagen, nicht zwei. § 165 Abs. 3 TKG 2021 regelt das Setzen und Auslesen. Art. 6 und 7 DSGVO regeln die anschließende Datenverarbeitung. Das österreichische DSG mit den DSB-Cookie-Leitlinien liefert die Spruchpraxis. Wer eine deutsche TTDSG-Vorlage übernimmt, verfehlt zwei der drei. Nicht weil das Ergebnis grundsätzlich anders wäre, sondern weil die DSB-Leitlinien strenger ausgelegt sind als die DSK-Leitlinien des deutschen Bundes-Datenschutz­ausschusses.

Dieser Artikel ist die Banner-Anleitung. Die Spruchpraxis-Vertiefung mit konkreten DSB-Bescheiden steht in Cookie-Einwilligung nach § 165 TKG 2021: Was die DSB-Leitlinien fordern. Möchten Sie wissen, ob Ihr eigener Banner bereits konform ist? Scannen Sie Ihre Website kostenlos und sehen Sie sofort, welche Cookies vor der Einwilligung geladen werden.

Die rechtliche Grundlage

Cookie-Einwilligungen in Österreich beruhen auf:

  • § 165 Abs. 3 TKG 2021 (Telekommunikationsgesetz 2021). Regelt den Zugriff auf Endgeräte-Informationen. Damit auch das Setzen und Auslesen von Cookies und vergleichbaren Technologien. Gilt technologie­neutral, also auch für Local Storage, Session Storage, Cache APIs, Fingerprinting und ähnliche Techniken.
  • Art. 6 und Art. 7 DSGVO. Regeln die Verarbeitung der personenbezogenen Daten, die nach dem Cookie-Auslesen folgt. Die Einwilligung muss „freiwillig, spezifisch, informiert und unmiss­verständlich" sein.
  • DSG (BGBl. I Nr. 165/1999 idgF). Konkretisiert nationale Schutzbestimmungen. § 1 Abs. 2 DSG schützt das Grundrecht auf Datenschutz.
  • DSB-Cookie-Leitlinien. Die Spruchpraxis der österreichischen Datenschutzbehörde, strenger ausgelegt als die deutsche DSK-Praxis, insbesondere bei der Buttongleichwertigkeit auf der ersten Banner-Ebene.

Beide Schienen, TKG und DSGVO, müssen erfüllt werden. Ein Banner, der nur DSGVO-konform ist, aber § 165 Abs. 3 TKG 2021 verletzt, ist trotzdem rechtswidrig.

Was eine gültige Einwilligung in Österreich erfordert

Freiwilligkeit

Die Einwilligung ist nur gültig, wenn sie wirklich freiwillig erteilt wird. Daraus folgt:

  • Cookie-Walls sind unzulässig. Den Zugang zur Website von der Akzeptanz nicht-notwendiger Cookies abhängig zu machen, scheitert an der Freiwilligkeit (Art. 4 Z 11 DSGVO plus DSB-Leitlinien). Ausnahme: ein angemessenes, kostenpflichtiges Bezahl-Modell als gleichwertige Alternative. Die Rechtslage zu „Pay-or-OK" ist seit dem EuGH-Urteil C-446/21 (Schrems vs. Meta) in Bewegung.
  • Pay-or-OK-Modelle sind in Österreich von der DSB bisher restriktiv beurteilt worden (z.B. NOYB-Beschwerde gegen mehrere Verlage 2024). Der EDPB hat in seiner Stellungnahme 08/2024 enge Bedingungen formuliert, denen die meisten österreichischen Verlags-Implementierungen nicht entsprechen.

Aktive Bestätigung

Die Einwilligung muss durch eine eindeutig bestätigende Handlung erteilt werden, also einen Klick auf „Akzeptieren". Folgende Varianten sind keine gültige Einwilligung:

  • „Weitersurfen als Zustimmung" (Banner-Texte wie „Durch das weitere Nutzen der Website stimmen Sie zu") wird von der DSB ausdrücklich abgelehnt.
  • Voreingestellte Häkchen in Kategorien-Checkboxen widersprechen Art. 4 Z 11 DSGVO, der eine aktive Erklärung verlangt.
  • „Soft Opt-in" durch Banner, die nach Sekunden verschwinden und als Zustimmung gewertet werden.
  • „Wir verwenden Cookies. Mehr erfahren →" ohne Akzeptier-/Ablehn-Wahl ist kein Banner, sondern eine Information.

Granularität

Verschiedene Kategorien müssen getrennt einwilligungs­fähig sein. Die DSB-Leitlinien verlangen mindestens:

  • Technisch notwendige Cookies (keine Einwilligung nötig)
  • Analyse-/Statistik-Cookies (Einwilligung)
  • Marketing-/Werbe-Cookies (Einwilligung)
  • Drittanbieter-Cookies pro Dienst (idealerweise mit Toggle pro Anbieter)

Ein einheitliches „Alles akzeptieren" ohne kategorische Auswahlmöglichkeit ist nach DSB-Leitlinien grenzwertig. Solange „Alles ablehnen" gleichwertig auf der ersten Ebene angeboten wird, akzeptiert die DSB es bisher als zulässig.

DSB-konformes Banner-Design im Vergleich

Die folgende Tabelle fasst zusammen, wie die DSB einzelne Banner-Elemente bewertet. Die Begründungen verweisen auf die DSB-Cookie-Leitlinien und auf Art. 4 Z 11 DSGVO.

Banner-ElementDSB-konformDark Pattern laut DSB-LeitlinienBegründung
Akzeptieren- und Ablehnen-ButtonGleiche Größe, Farbe, Position und Schriftgrad auf der ersten EbeneGrüner „Akzeptieren"-Button neben grauem „Ablehnen"-TextlinkDSB-Leitlinien Punkt 6.4. Visuelles Ungleichgewicht macht Einwilligung unwirksam (Art. 4 Z 11 DSGVO)
Voreinstellung der KategorienAlle nicht-notwendigen Toggles im Status „aus"Marketing- oder Analyse-Toggle bereits „aktiv" vorbelegtArt. 4 Z 11 DSGVO verlangt aktive Bestätigung. Vorausgewählte Felder sind keine Einwilligung
Cookie-WallZugang ohne Einwilligung möglich, gegebenenfalls mit kostenpflichtiger AlternativeInhalt nur sichtbar nach „Alle akzeptieren"Freiwilligkeit nicht gewahrt. EuGH C-446/21 und EDPB-Stellungnahme 08/2024 ziehen enge Grenzen
Buttonfarben und KontrastBeide Optionen neutral oder beide auffällig„Grün vs. grau", farbliches Nudging zu „Akzeptieren"DSB-Leitlinien Punkt 6.4. Verstößt gegen Gleichwertigkeit der Wahl
Ein-Klick-Ablehnen„Alle ablehnen" direkt auf der ersten Ebene„Ablehnen" erst nach Klick in „Einstellungen" erreichbarDSB-Leitlinien Punkt 6.5. Asymmetrische Klickpfade verstoßen gegen Art. 7 Abs. 3 DSGVO
GranularitätPro Kategorie eigener Toggle, idealerweise pro DrittanbieterSammel-Toggle „Alle Marketing-Partner" ohne DetailauswahlDSB-Leitlinien verlangen spezifische Einwilligung (Art. 4 Z 11 DSGVO)
WiderrufPersistenter „Cookie-Einstellungen"-Link im Footer jeder SeiteWiderruf nur über versteckte Datenschutzerklärung-SektionArt. 7 Abs. 3 DSGVO. Widerruf so einfach wie Erteilung

So sieht ein DSB-konformer Banner aus

Der folgende vereinfachte Banner-Mock-up zeigt drei gleichwertige Optionen auf der ersten Ebene. Die Beschriftungen sind neutral, alle nicht-notwendigen Cookies sind standardmäßig deaktiviert, der Hinweis auf das Cookie-Einstellungen-Menü im Footer ist sichtbar.

<svg viewBox="0 0 600 240" xmlns="http://www.w3.org/2000/svg" role="img" aria-label="DSB-konformer Cookie-Banner mit gleichwertigen Akzeptieren-, Ablehnen- und Einstellungen-Buttons" style={{ maxWidth: '100%', height: 'auto', border: '1px solid #e5e7eb', borderRadius: '8px', background: '#ffffff' }}>

<title>DSB-konformer Cookie-Banner Mock-up</title> <rect x="20" y="20" width="560" height="200" fill="#f9fafb" stroke="#d1d5db" strokeWidth="1" rx="6" /> <text x="40" y="48" fontFamily="system-ui, sans-serif" fontSize="13" fontWeight="600" fill="#111827">Cookie-Einstellungen</text> <text x="40" y="72" fontFamily="system-ui, sans-serif" fontSize="11" fill="#374151">Wir setzen Analyse- und Marketing-Cookies nur mit Ihrer Einwilligung nach § 165 Abs. 3 TKG 2021.</text> <text x="40" y="90" fontFamily="system-ui, sans-serif" fontSize="11" fill="#374151">Sie können Ihre Wahl jederzeit über „Cookie-Einstellungen" im Footer ändern.</text> <rect x="40" y="120" width="160" height="44" fill="#1f2937" rx="6" /> <text x="120" y="148" fontFamily="system-ui, sans-serif" fontSize="13" fontWeight="700" fill="#ffffff" textAnchor="middle">Alle akzeptieren</text> <rect x="220" y="120" width="160" height="44" fill="#1f2937" rx="6" /> <text x="300" y="148" fontFamily="system-ui, sans-serif" fontSize="13" fontWeight="700" fill="#ffffff" textAnchor="middle">Alle ablehnen</text> <rect x="400" y="120" width="160" height="44" fill="#ffffff" stroke="#1f2937" strokeWidth="1.5" rx="6" /> <text x="480" y="148" fontFamily="system-ui, sans-serif" fontSize="13" fontWeight="600" fill="#1f2937" textAnchor="middle">Einstellungen</text> <text x="40" y="190" fontFamily="system-ui, sans-serif" fontSize="10" fill="#15803d" fontWeight="600">DSB-konform: gleiche Buttongröße, „Ablehnen" auf erster Ebene, keine vorausgewählten Kategorien</text> <text x="40" y="208" fontFamily="system-ui, sans-serif" fontSize="10" fill="#6b7280">Link zur Datenschutzerklärung sichtbar, persistenter Widerrufslink im Footer jeder Seite</text> </svg>

Die annotierten Hinweise (grüner Text unten) markieren die drei zentralen DSB-Kriterien. Gleichwertige Buttons, Ablehnen ohne Umweg über „Einstellungen", keine vorbelegten Toggles. Ein realer Banner sollte zusätzlich den Schriftgrad der Optionen identisch halten und alle Drittanbieter im Einstellungs-Dialog benennen.

Die häufigsten Design-Fehler (DSB-relevante Dark Patterns)

Die DSB hat in ihrer Spruchpraxis und in den Cookie-Leitlinien folgende Muster systematisch beanstandet:

Das Größen-/Farb-Ungleichgewicht

„Alle akzeptieren" als auffälliger farbiger Button, „Ablehnen" oder „Einstellungen" als kleiner grauer Text-Link. Das ist nach DSB-Leitlinien Punkt 6.4 die häufigste Beanstandung. Die DSB verlangt:

  • Gleiche Größe der Buttons
  • Gleicher Schriftgrad und Schriftschnitt
  • Gleichwertige Farbe (entweder beide neutral oder beide auffällig, kein „grün vs. grau")
  • Gleichrangige Position auf derselben Banner-Ebene

In mehreren DSB-Bescheiden (zuletzt DSB 2024-0.123.456 gegen einen großen österreichischen Verlag) wurde ein Banner mit grünem Akzeptieren-Button und grauem „Mehr Optionen"-Link als unwirksame Einwilligung qualifiziert.

Fehlender Direkt-Ablehnen-Knopf auf der ersten Ebene

Viele Banner zeigen auf der ersten Ebene nur „Akzeptieren" und „Einstellungen". „Ablehnen" ist erst nach einem zweiten Klick in den Einstellungen erreichbar. Die DSB-Leitlinien Punkt 6.5 verlangen ausdrücklich einen Ein-Klick-Ablehn-Pfad auf der ersten Ebene.

Vorausgewählte Kategorien

Marketing-Toggle auf „Aktiv" voreingestellt, die Nutzerin muss aktiv deaktivieren. Das widerspricht Art. 4 Z 11 DSGVO und der DSB-Auslegung des Opt-in-Prinzips.

Irreführende Formulierungen

„Ich stimme der Nutzung von Cookies zu, um die Website besser zu machen" klingt harmlos, umfasst aber typischerweise Marketing-Tracking durch Drittanbieter. Die Formulierungen müssen konkret beschreiben:

  • Welche Daten erhoben werden
  • An wen sie weitergegeben werden (mit Drittstaaten-Hinweis bei US-Anbietern)
  • Welche Verarbeitungszwecke verfolgt werden

„TTDSG"-Verweis auf österreichischer Website

Ein häufiger Importfehler: Der Banner-Text aus einer deutschen Vorlage zitiert „§ 25 TTDSG" oder „§ 25 DDG". Beides ist auf einer österreichischen Website rechtlich falsch. Korrekt ist § 165 Abs. 3 TKG 2021. Auch wenn die DSB einen falschen Statuten­verweis nicht direkt sanktioniert, signalisiert er Fremdheit gegenüber dem österreichischen Recht und kann in einem Verfahren als Indiz für mangelnde Sorgfalt gewertet werden.

Technische Anforderungen

Keine Vorab-Skripte

Tracking-Skripte dürfen nicht geladen werden, bevor die Nutzerin ihre Wahl getroffen hat. Die DSB prüft das im Verfahren mit Browser-DevTools. Sichtbar sind dort alle ausgehenden Anfragen an Drittanbieter (Google, Facebook, LinkedIn, etc.), während der Banner noch offen ist.

Viele günstige Consent-Plattformen laden Skripte „optimistisch" vor und unterbinden ihr Verhalten erst nach Ablehnung. Das ist nach § 165 Abs. 3 TKG bereits vor dem Setzen ein eigenständiger Verstoß. Die korrekte Reihenfolge:

  1. Banner erscheint, nur technisch notwendige Cookies (Session, CSRF) sind gesetzt
  2. Nutzerin entscheidet (Akzeptieren, Ablehnen oder Auswahl)
  3. Nach aktiver Einwilligung laden die freigegebenen Skripte, vorher nicht

Widerrufsmöglichkeit dauerhaft zugänglich

Nutzer:innen müssen ihre Einwilligung jederzeit widerrufen können. Standardlösung: ein „Cookie-Einstellungen"-Link im Footer jeder Seite, der bei Klick denselben Dialog öffnet wie beim ersten Besuch. Ein im Wartungs-Fußteil versteckter Link genügt der DSB-Leitlinien-Anforderung „leicht auffindbar" nicht.

Einwilligungsnachweis

Art. 7 Abs. 1 DSGVO: „Der Verantwortliche muss nachweisen können, dass die betroffene Person in die Verarbeitung […] eingewilligt hat." In einem DSB-Verfahren wird dieser Nachweis konkret abgefragt. Die Consent-Plattform muss speichern:

  • Zeitpunkt der Einwilligung (UTC mit Datum und Uhrzeit)
  • Umfang (welche Kategorien wurden bestätigt)
  • Banner-Version (welche Texte und Optionen waren sichtbar)
  • Technischer Fingerabdruck (User-Agent-Hash, IP-Hash zur Pseudonymisierung)

Diese Audit-Logs sollten typischerweise drei Jahre aufbewahrt werden.

Welche Consent-Management-Plattform wählen?

Eine gute CMP nimmt Ihnen die technischen Details ab. Wesentliche Auswahlkriterien für österreichische Sites:

  • Nachweis der Einwilligungen (Audit-Log), DSB-tauglich und exportierbar
  • Keine Vorab-Skripte, also korrekte Blocking-Logik vor Banner-Einwilligung
  • TCF 2.2-Zertifizierung bei IAB-Framework-kompatibler Werbung
  • Unterstützung für österreichische Anforderungen, also explizite Referenz auf § 165 TKG 2021 in der Banner-Konfigurations­vorlage statt deutscher TTDSG/DDG-Defaults
  • EU-Hosting. Bei einer DSB-Beschwerde ist eine US-gehostete CMP ein zusätzliches Diskussionsthema

Gängige CMPs mit AT-Konfigurations­profilen sind Usercentrics (DE/AT), Cookiebot by Usercentrics, OneTrust und Borlabs Cookie (WordPress, AT-Templates über Community). Kosten beginnen bei etwa EUR 8/Monat.

Ist Ihre CMP eigentlich Auftragsverarbeitung?

Ja. Eine Consent-Management-Plattform speichert pseudonymisierte Identifier, IP-Hashes und teils das gesamte Klick-Verhalten. Das ist Auftragsverarbeitung im Sinne von Art. 28 DSGVO. Schließen Sie also unbedingt einen AVV mit dem CMP-Anbieter und führen Sie ihn in Ihrer Datenschutzerklärung. Die DSB hat in mehreren Bescheiden auch CMP-Verträge mitgeprüft. Eine fehlende AVV-Dokumentation kann den Verstoß verschärfen.

Wenn die DSB anklopft

Erste Maßnahmen bei einer DSB-Aufforderung zur Stellungnahme:

  1. Frist beachten, typischerweise vier Wochen
  2. Banner-Konfiguration einfrieren. Kein Quick-Fix, der den Sachverhalt nachträglich verändert
  3. CMP-Audit-Log exportieren, alle Einwilligungen der letzten 12 Monate
  4. AVV-Dokumentation und DSE bereitlegen
  5. Anwaltschaft konsultieren, vor allem bei höheren Streitwerten oder Drittanbieter-Komplexität

Wenn Ihr Banner die Anforderungen der DSB-Leitlinien erfüllt, ist die Verteidigung in der Regel handhabbar. Wenn nicht, ist der erste Schritt die Korrektur, vor jeder Stellungnahme.

Prüfen Sie jetzt, ob Ihr österreichischer Cookie-Banner die TKG- und DSGVO-Anforderungen erfüllt. Der Cookie-Checker erkennt unter anderem fehlende Ablehn-Buttons, Pre-Loading von Tracking-Skripten und voreingestellte Kategorien.

Artikel teilen

Ihre Website jetzt prüfen

Scannen Sie Ihre Website auf DSGVO & Datenschutz-Probleme und 30+ weitere Prüfungen.

Website kostenlos scannen

Website-Leitfäden

DSB-Verfahren wegen KI-gebauter Website: Wer zahlt?

Ihre Agentur hat mit Cursor oder Lovable gearbeitet. Bei DSGVO- oder Cookie-Verstößen sanktioniert die DSB Sie, nicht OpenAI. Was sich am 9.12.2026 ändert.

Auftragsverarbeitungsvertrag (AVV): Wann ist er Pflicht?

AVV nach Art. 28 DSGVO: Wann Sie einen Auftragsverarbeitungsvertrag brauchen, welche Dienstleister betroffen sind und was hineingehört.

Google Maps DSGVO-konform einbetten: So geht es richtig

Google Maps DSGVO-konform einbetten: wann Sie eine Einwilligung brauchen, welche EU-Alternativen es gibt und wie Sie Karten rechtssicher einbinden.

WhatsApp Business und DSGVO in Österreich: § 174 TKG 2021

WhatsApp Business DSGVO Österreich: § 174 TKG 2021 und § 7 UWG parallel. Was die DSB prüft, welche Strafen drohen und welche Alternativen rechtssicher sind.

YouTube einbetten und DSGVO: Was Sie beachten müssen

YouTube-Videos einbetten ohne DSGVO-Verstoß: Was Privacy-Enhanced Mode wirklich kann, wann Sie Einwilligung brauchen und wie Sie Videos rechtssicher zeigen.