Brauche ich einen Cookie-Banner in Österreich? Die § 165 TKG 2021-Pflicht für österreichische Websites

Jemand hat Ihnen gesagt, Sie brauchen einen Cookie-Banner. Eine andere Quelle sagt, es kommt darauf an. Cookiebanner-Anbieter wollen Ihnen am liebsten ein Monatsabo verkaufen. Die rechtliche Wahrheit ist einfacher — aber die meisten Websites kommen ihr nicht nach.

Die Pflicht zur Cookie-Einwilligung ergibt sich in Österreich aus zwei Rechtsquellen: dem § 165 Abs. 3 TKG 2021 (Telekommunikationsgesetz 2021) und der DSGVO Art. 6. Das TKG schützt den Endnutzer beim Zugriff auf Endgeräte; die DSGVO regelt die Verarbeitung personenbezogener Daten. Beide greifen in der Praxis zusammen.

Die entscheidende Ausnahme steht in § 165 Abs. 3 TKG 2021: Cookies, die unbedingt erforderlich sind, um einen vom Nutzer ausdrücklich gewünschten Dienst zu erbringen, brauchen keine Einwilligung.

Wichtige Klarstellung: Österreich, nicht Deutschland

Eine deutsche Vorlage zur Cookie-Banner-Pflicht 1:1 zu übernehmen, führt regelmäßig zu falschen Statutenverweisen. Was Sie auf einer österreichischen Website nicht schreiben sollten:

• „Nach § 25 TTDSG ..." — das deutsche Telekommunikation-Telemedien-Datenschutz-Gesetz gilt in Österreich nicht
• „Nach § 25 DDG ..." — die deutsche Nachfolgeregelung 2024 ebenfalls nicht
• „Nach BfDI / BayLDA / DSK ..." — alles deutsche Behörden / Gremien

Korrekte Verweise für Österreich: § 165 Abs. 3 TKG 2021, DSGVO, DSG, DSB, DSB-Cookie-Leitlinien.

Wann Sie keinen Cookie-Banner brauchen

Ihre Website kommt ohne Banner aus, wenn sie ausschließlich technisch notwendige Cookies setzt. Dazu gehören:

• Session-Cookies — halten Sie während eines Besuchs eingeloggt
• Warenkorb-Cookies — merken sich Produkte im Einkaufswagen
• CSRF-Schutz-Tokens — schützen Formulare vor Missbrauch
• Lastverteilungs-Cookies — technische Infrastruktur des Servers

Wenn Ihre Website nichts weiter lädt — keine externen Skripte, keine eingebetteten Videos, keine Analysedienste — brauchen Sie keinen Banner. Nur eine Datenschutzerklärung, die erklärt, welche Session-Daten verarbeitet werden.

Das trifft in der Praxis auf sehr wenige Websites zu.

Die häufigsten Quellen, die einen Banner erforderlich machen

Google Analytics und GA4

Google Analytics setzt die Cookies _ga, _gid und _ga_XXXXXXXX. Diese Cookies weisen jeder Besucher:in eine eindeutige Client-ID zu, die über Sitzungen hinweg bestehen bleibt. Das ist kein technisch notwendiges Cookie — es ist Tracking. Die Einwilligung muss eingeholt werden, bevor das Skript lädt.

Die DSB hat im Januar 2022 als erste EU-Aufsichtsbehörde den Einsatz von Google Analytics ohne ausreichende Schutzmaßnahmen für rechtswidrig erklärt — der NOYB-Bescheid ist europäisch wegweisend nach Schrems II.

Es gibt eine datenschutzfreundliche Alternative: Tools wie Plausible Analytics oder Matomo (selbst gehostet, ohne Cookies) kommen ohne Einwilligung aus und liefern trotzdem nützliche Reichweitendaten. Vertiefung: Google Analytics und DSGVO in Österreich.

Google Fonts extern geladen

Wenn Ihre Website Schriftarten von fonts.googleapis.com lädt, schickt der Browser jeder Besucher:in die IP-Adresse an Google-Server in den USA. Das ist eine Datenübermittlung ohne Rechtsgrundlage. Das Landgericht München I entschied am 20. Januar 2022 (Az. 3 O 17493/20) — eine Entscheidung mit DACH-weiter Argumentationskraft. Die bessere Lösung: Schriftarten lokal hosten statt extern laden.

YouTube-Einbettungen

Ein Standard-YouTube-iframe setzt Cookies (VISITOR_INFO1_LIVE, YSC) und sendet Tracking-Daten, noch bevor die Besucher:in auf Abspielen klickt. Der Modus youtube-nocookie.com schiebt die Cookie-Setzung bis zum tatsächlichen Abspielen hinaus — eine erhebliche Verbesserung, aber noch keine vollständige Befreiung von der Einwilligungspflicht.

Meta Pixel, LinkedIn Insight Tag, Google Ads

Marketing-Pixel sind eindeutige Tracking-Technologien. Sie müssen nach ausdrücklicher Einwilligung laden, nicht davor.

WordPress-Plugins und Themes

Viele WordPress-Themes laden Google Fonts, Font Awesome oder jQuery von externen CDNs. Kontaktformular-Plugins binden Google reCAPTCHA ein. Ein Slider legt Analytics-Cookies. Diese Quellen sind oft nicht sichtbar, wenn man nur die Plugin-Liste anschaut — man muss den Netzwerkverkehr der Seite prüfen.

Prüfen Sie Ihre Website mit unserem kostenlosen DSGVO-Scanner und sehen Sie, welche Cookies und externen Verbindungen tatsächlich geladen werden.

Was Ihr Cookie-Banner leisten muss

Wenn Sie einen Banner brauchen, muss er bestimmte Anforderungen erfüllen. Das ist nicht optional — die DSB kontrolliert aktiv und legt die Anforderungen tendenziell strenger aus als die deutsche DSK.

Ablehnen muss genauso einfach sein wie Akzeptieren

noyb hat das als „Reject All"-Prinzip bekannt gemacht. Ein großer grüner „Alles akzeptieren"-Button und ein kleiner grauer „Einstellungen"-Link darunter ist kein gleichwertiges Angebot. Die DSB-Cookie-Leitlinien sehen Punkt 6.4 ausdrücklich vor: gleiche Größe, gleiche Farbe, gleicher Schriftgrad, gleichrangige Position auf derselben Banner-Ebene.

In mehreren DSB-Bescheiden gegen österreichische Verlage wurden Banner mit grünem Akzeptieren-Button und grauem „Mehr Optionen"-Link als unwirksame Einwilligung qualifiziert.

Keine vorausgefüllten Häkchen

Tracking-Kategorien müssen standardmäßig deaktiviert sein. Vorausgefüllte Checkboxen gelten nicht als gültige Einwilligung unter Art. 4 Z 11 DSGVO.

Keine Cookies vor der Entscheidung

Kein Tracking-Skript darf laden, bevor die Besucher:in eine Wahl getroffen hat. Die meisten günstig konfigurierten Consent-Management-Plattformen laden Skripte „nachträglich" oder schieben die Einwilligung um. Das ist eine Verletzung von § 165 Abs. 3 TKG 2021 — der Ein-Klick-Verstoß, den die DSB im Verfahren mit Browser-DevTools nachweisen kann.

Kein Cookie-Wall

Sie dürfen den Zugang zu Ihrer Website nicht davon abhängig machen, dass Besucher:innen Tracking-Cookies akzeptieren. Die DSB sieht Cookie-Walls als Verstoß gegen das Freiwilligkeitsprinzip. „Pay-or-OK"-Modelle sind ebenfalls von der DSB restriktiv beurteilt worden — siehe NOYB-Beschwerden gegen mehrere Verlage 2024 und EDPB-Stellungnahme 08/2024.

Entscheidungstabelle: Brauche ich einen Banner?

Was die DSB tatsächlich tut

Die DSB ist aktiv. Folgende Muster zeigen, was auf dem Spiel steht:

• DSB Januar 2022 (NOYB-Beschwerde): Google-Analytics-Bescheid gegen einen österreichischen Verlag — der erste EU-Bescheid nach Schrems II, international wegweisend
• noyb 2023–2024: mehrere Hundert Beschwerden in Österreich wegen DSGVO-widriger Cookie-Banner — alle bei der DSB anhängig
• DSB-Cookie-Leitlinien Update 2024: strengere Vorgaben zur Buttongleichwertigkeit auf der ersten Banner-Ebene, zur Granularität der Kategorien und zum Pay-or-OK-Modell

Anders als in Deutschland gibt es keine Landesbehörden — die DSB ist die einzige Aufsicht. Das macht die Spruchpraxis konsistenter, hat aber auch zu einem Schwerpunkt auf hochwertige Einzelverfahren geführt statt der breiten DE-Streuung.

Vertiefung

• DSGVO-konformer Cookie-Banner: Was Ihr Banner können muss — Banner-Anleitung mit Konfigurations-Details
• Cookie-Einwilligung nach § 165 TKG 2021: Was die DSB-Leitlinien fordern — Spruchpraxis-Vertiefung mit konkreten DSB-Bescheiden

Zusammenfassung

Die meiste Zeit lautet die Antwort: Ja, Sie brauchen einen Cookie-Banner. Aber nicht immer. Wenn Ihre Website ausschließlich technisch notwendige Cookies setzt und keine externen Dienste einbindet, kommen Sie ohne Banner aus.

Wollen Sie sicher wissen, wo Ihre Website steht? Prüfen Sie jetzt Ihre Website kostenlos mit unserem DSGVO-Scanner. In zwei Minuten sehen Sie, welche Cookies geladen werden und was Sie anpassen müssen.

---

Dieser Artikel ist technische Analyse, kein Rechtsrat. Für Fragen zu Ihrer konkreten Situation wenden Sie sich an eine Datenschutzfachperson oder Rechtsanwältin in Österreich.