Nach unserer Erfahrung aus hunderten DACH-Website-Checks setzen rund drei Viertel aller kommerziellen Seiten Cookies, bevor der Nutzer überhaupt auf den Banner geklickt hat. Das ist. je nach Land. ein klarer Rechtsverstoß, der Bußgelder, Abmahnungen oder Verfahren durch die Datenschutzbehörde auslösen kann. Dieser Artikel erklärt, was 2026 in Österreich, Deutschland und der Schweiz wirklich vorgeschrieben ist, wo die typischen Fehler liegen und wie Sie Ihre eigene Seite prüfen.
Die drei Rechtsregime. AT, DE, CH
Ein „DSGVO-Banner“ ist nicht automatisch rechtskonform. In allen drei DACH-Ländern gilt neben der DSGVO jeweils ein eigenes Spezialgesetz für Telekommunikation bzw. digitale Dienste. Dieses Spezialgesetz ist entscheidend, wann und wie Sie Einwilligung einholen müssen.
Österreich. § 165 Abs. 3 TKG 2021
In Österreich regelt § 165 Abs. 3 Telekommunikationsgesetz 2021 (TKG 2021) das Setzen von Cookies und ähnlichen Technologien. Die Norm ist die österreichische Umsetzung der ePrivacy-Richtlinie. Für jeden Cookie, der nicht „unbedingt erforderlich“ ist (also jeden Analyse-, Marketing- und Third-Party-Cookie), muss der Nutzer vorher aktiv einwilligen. Die österreichische Datenschutzbehörde (DSB) kann Verwaltungsstrafen bis zu 37.000 Euro verhängen. Technisch notwendige Cookies (Session, Warenkorb, Login) sind ohne Einwilligung erlaubt.
Deutschland. § 25 TDDDG
In Deutschland gilt seit Mai 2024 das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, kurz TDDDG. Es hat das frühere TTDSG abgelöst. viele Vorlagen und ältere Artikel zitieren noch das TTDSG, was formal nicht mehr korrekt ist. § 25 TDDDG fordert eine informierte Einwilligung nach Art. 4 Nr. 11 DSGVO, bevor Informationen im Endgerät gespeichert oder ausgelesen werden. Die Aufsichtsbehörden der Länder (z. B. BfDI für Bundesstellen, Landesdatenschutzbeauftragte für Unternehmen) können Bußgelder verhängen; für TDDDG-Verstöße nennt das Gesetz Strafrahmen bis zu 300.000 Euro, in der Praxis werden typischerweise Beträge im Bereich bis 50.000 Euro verhängt. Bei gleichzeitigem DSGVO-Verstoß gilt ohnehin der DSGVO-Rahmen bis 20 Mio. € oder 4 % des Weltumsatzes.
Schweiz. revDSG Art. 6
In der Schweiz gilt seit 1. September 2023 das revidierte Datenschutzgesetz (revDSG). Anders als in der EU reicht dort grundsätzlich ein Opt-out-Prinzip: Der Nutzer muss informiert werden und widersprechen können. eine aktive Opt-in-Einwilligung ist nach rein schweizerischem Recht nicht zwingend. Aber: Sobald Ihre Schweizer Website auch Personen in der EU bedient (was praktisch immer der Fall ist), greift die DSGVO mit ihrem Opt-in-Prinzip. Die meisten schweizerischen Unternehmen setzen deshalb aus Pragmatismus einen DSGVO-konformen Opt-in-Banner.
Was muss ein rechtskonformer Banner können?
Ein Banner, der nur einen „Akzeptieren“-Button zeigt, ist in AT und DE nicht rechtskonform. Die Datenschutzbehörden und europäische Gerichte (u. a. EuGH „Planet49“) haben in mehreren Entscheidungen klargestellt, welche Anforderungen eine gültige Einwilligung erfüllen muss.
- „Ablehnen“-Button auf gleicher Ebene und gleich prominent wie „Akzeptieren“. nicht in einem Untermenü
- Keine Dark Patterns: keine farblichen Tricks, bei denen „Akzeptieren“ grün und „Ablehnen“ grau ist
- Granulare Kategorien (notwendig, funktional, analytisch, Marketing). einzeln abwählbar
- Vor der Einwilligung keine Analyse- oder Marketing-Cookies setzen (auch kein Google Tag Manager, der selbst Cookies setzt)
- Einwilligung ist jederzeit widerrufbar. typischerweise über einen permanenten Link im Footer
- Dokumentation der Einwilligung (Nachweispflicht nach Art. 7 Abs. 1 DSGVO)
- Informationen zu Drittlandübermittlung (vor allem USA) müssen vor der Einwilligung sichtbar sein
Die häufigsten Fehler in DACH
In der Praxis tauchen immer dieselben Muster auf. Jeder dieser Fehler kann einzeln bereits zur Beanstandung führen. und meist kommen mehrere zusammen.
- Der Banner lässt sich nur akzeptieren, nicht ablehnen (oder „Ablehnen“ ist drei Klicks tief)
- Cookies werden bereits beim Laden der Seite gesetzt, bevor der Nutzer entschieden hat
- „Einstellungen“ ist hinter „Mehr erfahren“ versteckt. Nutzer müssen aktiv suchen
- Farb-Nudging: „Akzeptieren“ knallig bunt, „Ablehnen“ blassgrau oder nur als Textlink
- „Durch die weitere Nutzung stimmen Sie zu“. dieses Konstrukt ist seit „Planet49“ ungültig
- Vorangekreuzte Checkboxen in den Detail-Einstellungen
- Kein Widerrufs-Link im Footer. Nutzer werden nach Einwilligung „gefangen“
- Google Tag Manager lädt unabhängig vom Consent und setzt eigene Cookies
Wie prüfe ich meine eigene Website?
Die ehrliche Antwort zuerst: Viele Websitebetreiber wissen nicht, welche Cookies ihre Seite tatsächlich setzt, weil Tracking oft über Drittanbieter-Scripts (Analytics, Pixel, Chat-Widgets, Karten, Video-Embeds) ausgeliefert wird. Ein manueller Blick in die Browser-DevTools zeigt die Cookies, aber nicht deren Zweck oder rechtliche Einordnung. Mit unserem Cookie-Scanner unter /tools/cookie-scanner lässt sich Ihre Seite automatisiert prüfen: Welche Cookies werden gesetzt, bevor der Nutzer eingewilligt hat? Welche Third-Party-Requests gehen in welche Länder? Ist der Banner granular genug? Das Ergebnis ist ein Bericht, den Sie intern oder mit einem Juristen besprechen können.
Wann drohen Bußgelder wirklich?
In der Praxis landen die meisten Verfahren nicht vor einem Bußgeldbescheid, sondern beginnen mit einer Beschwerde eines Nutzers oder einer Abmahnung durch Mitbewerber bzw. Verbraucherschutzverbände (z. B. vzbv in Deutschland). Die österreichische DSB hat in den letzten Jahren mehrfach Strafen wegen unzulässigen Cookie-Trackings verhängt, typischerweise im vier- bis fünfstelligen Bereich. In Deutschland haben mehrere Landesdatenschutzbehörden (u. a. Hamburg, Berlin, Baden-Württemberg) Bußgelder gegen Websitebetreiber verhängt, die Analyse-Cookies ohne gültige Einwilligung gesetzt haben. Die Beträge liegen meist zwischen 5.000 und 65.000 Euro, abhängig von Größe des Unternehmens, Dauer des Verstoßes und Kooperationsbereitschaft. Die DSGVO-Obergrenzen werden in der Regel nur gegen Großkonzerne ausgeschöpft.
„Ein korrekter Cookie-Banner ist in einem halben Tag eingerichtet. Ein Bußgeldbescheid zieht Monate von Aufwand nach sich. und der Reputationsschaden ist nicht einklagbar."
Kurz zusammengefasst
In Österreich und Deutschland ist Opt-in für Analyse- und Marketing-Cookies seit Jahren Pflicht. wer immer noch einen „Akzeptieren-only“-Banner einsetzt oder Cookies vor der Einwilligung setzt, verstößt gegen geltendes Recht. In der Schweiz reicht formal Opt-out, in der Praxis ist DSGVO-Konformität aber auch dort der Standard. Wenn Sie sich unsicher sind, wie Ihre eigene Seite einzuordnen ist, prüfen Sie sie mit unserem Cookie-Scanner. das ist kostenlos, dauert zwei Minuten und zeigt Ihnen schwarz auf weiß, welche Cookies vor Einwilligung gesetzt werden.
Häufige Fragen
- Muss ich einen Cookie-Banner haben?
- Ja, sobald Ihre Website auch nur einen nicht-essenziellen Cookie setzt. das schließt Google Analytics, Google Fonts (remote), Meta Pixel, YouTube-Embeds, Google Maps und viele weitere Standardkomponenten ein. Nur bei reinen Info-Websites ohne jegliches Tracking (kein Analytics, keine externen Schriften, keine Karten, keine Social-Media-Einbindungen) kann auf den Banner verzichtet werden. In der Realität trifft das auf weniger als 5 % aller kommerziellen Seiten zu.
- Reicht ein „Nur Akzeptieren“-Banner?
- Nein, in Österreich und Deutschland nicht. § 165 Abs. 3 TKG 2021 (AT) und § 25 TDDDG (DE) verlangen eine freiwillige, informierte und spezifische Einwilligung. Wenn die einzige Option „Akzeptieren“ ist, ist die Einwilligung nicht freiwillig und damit ungültig. Es muss ein gleichwertiger „Ablehnen“-Button auf derselben Ebene vorhanden sein.
- Was kostet ein DSGVO-konformer Cookie-Banner?
- Open-Source-Lösungen wie Klaro oder Orestbida sind kostenlos und self-hosted. Kommerzielle Consent Management Platforms (CMPs) wie Cookiebot, Usercentrics oder CookieFirst beginnen typischerweise bei etwa 10–50 Euro pro Monat für kleine bis mittlere Websites. Die Ersteinrichtung inklusive Cookie-Klassifizierung und Integration dauert meist 2 bis 4 Stunden. bei komplexen Setups mit vielen Third-Party-Scripts auch einen vollen Tag.
- Gilt die Pflicht auch für kleine Websites?
- Ja. Weder § 165 TKG 2021 noch § 25 TDDDG kennen eine Ausnahme für kleine Unternehmen oder geringe Besucherzahlen. Auch eine einseitige Visitenkarten-Website mit eingebetteter Google Map oder Google Font aus dem CDN fällt unter die Einwilligungspflicht. Die Größe des Unternehmens beeinflusst allenfalls die Höhe eines möglichen Bußgelds, nicht die Frage, ob die Pflicht gilt.