Cookie-Einwilligung in Österreich: § 165 TKG 2021 und die DSB-Cookie-Leitlinien

In Österreich regelt nicht das deutsche TTDSG die Einwilligung für Cookies, sondern § 165 Abs. 3 TKG 2021 — das österreichische Telekommunikationsgesetz von 2021. Beide Normen setzen dieselbe EU-Richtlinie 2002/58/EG („ePrivacy") um, der Wortlaut und vor allem die Aufsichtspraxis unterscheiden sich aber spürbar.

Diese Anleitung erklärt, was § 165 TKG verlangt, was die Datenschutzbehörde (DSB) in ihren Cookie-Leitlinien konkretisiert hat und welche Banner-Designs in der Praxis bestehen — ohne den deutschen Bezugspunkt zu wiederholen.

Rechtsgrundlage: zwei Normen, die zusammenspielen

Cookie-Einwilligung in Österreich beruht immer auf zwei Statuten parallel:

• § 165 Abs. 3 TKG 2021 — Speicherung von Daten in Endeinrichtungen. Diese Vorschrift verbietet jeden Zugriff auf das Endgerät der Nutzer:innen ohne vorherige, informierte Einwilligung — es sei denn, der Zugriff ist unbedingt erforderlich, um einen vom Nutzer ausdrücklich angeforderten Dienst zu erbringen.
• Art. 6 DSGVO — Rechtmäßigkeit der anschließenden Verarbeitung personenbezogener Daten. Die per Cookie gesammelten Daten unterliegen zusätzlich der DSGVO; die Einwilligung muss „freiwillig, spezifisch, informiert und unmissverständlich" sein (Art. 4 Z 11 DSGVO).

Beide müssen erfüllt sein. Ein Banner, der nur den DSGVO-Anforderungen genügt, aber § 165 TKG verletzt, ist trotzdem rechtswidrig — und umgekehrt.

Vor der TKG-Novelle 2021 stand die Cookie-Vorschrift in § 96 Abs. 3 TKG 2003. Ältere österreichische Quellen, Anwaltsleitfäden vor Ende 2021 und manche WKÖ-Materialien zitieren noch diesen Paragraphen — inhaltlich gilt heute § 165 TKG 2021.

Die DSB-Cookie-Leitlinien: was die Behörde wirklich verlangt

Die Datenschutzbehörde hat in mehreren Bescheiden und einer eigenen Leitlinie konkretisiert, wie ein Cookie-Banner gestaltet sein muss. Die wichtigsten Anforderungen:

Gleichwertige Buttons

Akzeptieren und Ablehnen müssen auf der ersten Banner-Ebene angeboten werden — und zwar gleich prominent. Konkret:

• gleiche Schriftgröße
• gleiche Farbintensität (kein blasser „Ablehnen"-Button neben einem leuchtenden „Akzeptieren")
• gleiche Position im selben Banner-Layer (nicht „Akzeptieren" auf Layer 1 und „Ablehnen" erst auf Layer 2 unter „Einstellungen")
• gleiche Click-Distanz vom Sichtbereich her

Ein Banner, der nur „Akzeptieren" und „Einstellungen" anbietet und „Ablehnen" hinter „Einstellungen" versteckt, erfüllt die Anforderungen nicht.

Keine vorausgewählten Häkchen

Vorausgefüllte Checkboxen für Analyse- oder Marketing-Cookies sind unzulässig. Art. 4 Z 11 DSGVO und § 165 Abs. 3 TKG verlangen eine aktive Einwilligung — Voreinstellungen entsprechen dem nicht.

Keine „Cookie-Walls"

Eine Variante, die den Zugriff auf den Inhalt vom Cookie-Akzept abhängig macht („Sie müssen Cookies akzeptieren, um diese Seite zu lesen"), gilt als nicht freiwillige Einwilligung. Eine Ausnahme besteht für Bezahl­modelle: ein „Pay or Consent"-Modell, bei dem Nutzer:innen wahlweise mit Werbung-Tracking oder mit Bezahlung Zugang erhalten, ist umstritten — die DSB hat dazu bislang keine eindeutige Linie veröffentlicht. Hier gilt: vor Einsatz juristischen Rat einholen.

Kein Nudging

Dunkle Muster („Dark Patterns"), die zur Akzeptanz drängen — emotional gefärbte Texte, Schockfarben für „Ablehnen", animiertes Hervorheben von „Akzeptieren" — verletzen die Anforderung freiwilliger Einwilligung.

Widerruf so leicht wie Erteilung

Art. 7 Abs. 3 DSGVO verlangt, dass die Einwilligung jederzeit so einfach widerrufen werden kann wie sie erteilt wurde. In der Praxis: ein „Cookie-Einstellungen ändern"-Link im Footer, der den Banner wieder aufruft, oder ein dedizierter Schalter im Privacy-Center.

Nachweis der Einwilligung

Art. 7 Abs. 1 DSGVO: „Der Verantwortliche muss nachweisen können, dass die betroffene Person in die Verarbeitung [...] eingewilligt hat." Die Consent-Plattform muss Zeitpunkt, Umfang und technischen Fingerabdruck der Einwilligung speichern und auf Anfrage der DSB vorlegen können.

Welche Cookies dürfen Sie ohne Einwilligung setzen?

§ 165 Abs. 3 TKG nennt zwei Ausnahmen:

1. Übertragungstechnischer Zweck: Cookies, die der Übermittlung einer Nachricht über ein Kommunikationsnetz technisch dienen.
2. Unbedingte Erforderlichkeit für einen vom Nutzer ausdrücklich angeforderten Dienst: Login-Session, Warenkorb, Sprachauswahl, Cookie-Consent selbst, einige Sicherheits-Cookies (CSRF-Schutz, Bot-Erkennung in Form-Submissions).

Nicht strikt erforderlich sind:

• Analyse-Cookies (Google Analytics, Matomo, Plausible mit Cookies)
• Marketing-Pixel und Conversion-Tracking
• Embeds (YouTube, Vimeo, Twitter-Karten) bevor der Nutzer einwilligt
• Custom-Schriftarten, die externe Server treffen (Google Fonts), bevor der Nutzer einwilligt — Self-Hosting umgeht die Einwilligungspflicht

Die Rechtsprechung neigt dazu, die Ausnahme eng auszulegen. Wer im Zweifel ist, sollte den Cookie als nicht unbedingt erforderlich behandeln und eine Einwilligung einholen.

Was hat die DSB konkret beanstandet?

Die DSB veröffentlicht ihre Bescheide in der Bescheid­sammlung und im Newsroom. Wiederkehrende Beanstandungen:

• Tracking-Skripte werden geladen, bevor die Einwilligung erteilt ist. Häufiger Konfigurationsfehler: das CMP läuft, aber Google Tag Manager sendet trotzdem schon Pageview-Events. Aus Sicht der DSB ist die Einwilligung dann gegenstandslos.
• Server-side Tracking ohne Cookie-Banner. Wer Tracking serverseitig durchführt (z. B. via Server-side Google Tag Manager), entgeht damit nicht der Einwilligungspflicht — § 165 Abs. 3 TKG bezieht sich auf den Zugriff auf Endgeräte-Informationen, der serverseitig genauso geschieht (über die IP-Adresse, Header etc.).
• Privacy-Notice ohne aktualisierten Cookie-Catalog. Wer in der Datenschutzerklärung Google Analytics nennt, in Wirklichkeit aber Hotjar plus drei weitere Tools einsetzt, hat ein doppeltes Compliance-Problem.

Ein konkreter Beispielfall mit Modellcharakter: Im Dezember 2021 stellte die DSB fest, dass die Übermittlung von Google-Analytics-Daten in die USA gegen Art. 44 ff. DSGVO verstößt (veröffentlicht im Januar 2022, Bescheid-PDF via NOYB). Die rechtliche Lage hat sich durch das EU-US Data Privacy Framework (Juli 2023) geändert — Übermittlungen sind unter Adequacy-Beschluss wieder zulässig — der Bescheid bleibt aber lehrreich für die Einwilligungs- und Transferanalyse.

Eine sichere Banner-Konfiguration in fünf Punkten

Vor dem Live-Gang einer österreichischen Website prüfen:

1. Erstes Layer: vier gleich prominente Optionen — „Alles akzeptieren", „Alles ablehnen", „Einstellungen", „Mehr Informationen". „Ablehnen" niemals nur über „Einstellungen" erreichbar.
2. Skript-Ladung gated: nicht-essentielle Skripte erst nach erteilter Einwilligung. Idealerweise mit einem Tag-Manager, der die Consent-Categories pro Tag prüft.
3. Cookie-Inventar: jede gesetzte Cookie ist in der Cookie-Richtlinie aufgeführt mit Anbieter, Zweck, Dauer und Kategorie.
4. Widerrufs-Mechanismus: Footer-Link „Cookie-Einstellungen ändern" oder ein persistenter Schalter im Privacy-Center.
5. Audit-Log: Consent-Records mit Zeitstempel und IP-Hash für mindestens drei Jahre archivieren — Beweislast bei der DSB liegt beim Verantwortlichen.

Wo es kaputt geht

Die häufigsten Fehler, die wir bei Scans österreichischer Websites sehen:

• „Akzeptieren" + „Einstellungen" ohne sichtbares „Ablehnen". Eindeutiger Verstoß gegen die DSB-Leitlinien.
• Vorausgewählte Toggles in der Einstellungs-Ebene. Egal ob „Akzeptieren" auf Ebene 1 erforderlich ist — wenn Ebene 2 mit aktivierten Häkchen startet, ist die Einwilligung unwirksam.
• Tracking-Cookies vor dem Banner. Browser-Devtools öffnen, Cookies vor jedem Klick prüfen — wenn _ga, _fbp oder Ähnliches schon gesetzt ist, bevor irgendein Button geklickt wurde, ist das ein Verstoß.
• DE-importierter Banner-Text mit „TTDSG"-Verweis. Auf einer österreichischen Website signalisiert das Foreignness und ist juristisch falsch. Korrekt: § 165 Abs. 3 TKG 2021.

Verifizieren mit dem TYW Cookie Checker

Sie können einen ersten technischen Check mit unserem kostenlosen Cookie Checker durchführen — er erkennt, welche Cookies geladen werden, ob nicht-essentielle Cookies vor dem Klick gesetzt werden, und ob die Anzahl der Cookies vor und nach „Ablehnen" stimmt.

Die Frage „ist mein Cookie-Banner DSB-konform" ist damit aber nicht final beantwortet — Banner-Design, Wortlaut und Cookie-Richtlinie sollten zusätzlich durch eine österreichische Anwaltschaft geprüft werden, bevor Sie eine Werbekampagne fahren oder eine größere Reichweite erreichen.