Cookie Banner – warum er nervt, wann er Pflicht ist und wie er richtig aussehen muss
Von einer Webdesignerin die seit 2001 in dieser Branche arbeitet – und die Cookie Banner genauso hasst wie Sie.
Kaum öffnet man eine Website – schon erscheint er. Der unvermeidliche Cookie Banner. Manchmal klein und diskret, manchmal bildschirmfüllend und aufdringlich. Immer lästig. Immer im Weg.
Die gute Nachricht: Nicht jede Website braucht einen. Die schlechte Nachricht: Die meisten Cookie Banner die man sieht sind illegal. Und die Betreiber wissen es oft nicht.
Was ist ein Cookie überhaupt?
Ein Cookie ist eine kleine Textdatei die eine Website im Browser des Besuchers speichert. Beim nächsten Besuch wird sie wieder ausgelesen – die Website "erinnert" sich sozusagen.
Das klingt harmlos. Ist es auch – solange Cookies nur für das verwendet werden was wirklich notwendig ist. Das Problem entsteht wenn Cookies genutzt werden um Besucher zu verfolgen, zu analysieren oder für Werbung zu profilieren.
Und genau hier trennt das Gesetz klar zwischen zwei Welten.
Die zwei Welten – technisch notwendig vs. alles andere
Technisch notwendige Cookies – keine Einwilligung erforderlich:
- Session Cookies – speichern den Login-Status damit man sich nicht bei jedem Klick neu anmelden muss
- Warenkorb Cookies – merken sich was man in den Warenkorb gelegt hat
- Spracheinstellungen – speichern die gewählte Sprache
- Sicherheits-Cookies – schützen Formulare vor automatisierten Angriffen
- Opt-Out Cookies – speichern die Ablehnung von Cookies – ja, die brauchen auch einen Cookie 😄
Diese Cookies dürfen ohne Einwilligung gesetzt werden – weil sie für den Betrieb der Website unbedingt notwendig sind.
Alle anderen Cookies – Einwilligung zwingend erforderlich:
- Analyse Cookies – Google Analytics, Matomo, Piwik – analysieren das Surfverhalten
- Marketing Cookies – Google Ads, Facebook Pixel – schalten personalisierte Werbung
- Tracking Cookies – verfolgen Besucher geräteübergreifend
- Social Media Cookies – Facebook, Instagram, LinkedIn Einbindungen
- Komfort Cookies – speichern Einstellungen die nicht unbedingt notwendig sind
Für diese Cookies muss vor dem Setzen eine aktive, freiwillige und informierte Einwilligung eingeholt werden. Nicht danach. Davor.
Wann braucht man keinen Cookie Banner?
Das ist die Frage die die meisten Websitebetreiber noch nicht kennen – und die Antwort ist erfreulich:
Wer ausschließlich technisch notwendige Cookies verwendet braucht keinen Cookie Banner.
Was bedeutet das konkret? Wer keine:
- Google Analytics oder ähnliche Analyse-Tools einbindet
- Facebook Pixel oder andere Marketing-Pixel verwendet
- Google Ads Conversion Tracking nutzt
- Social Media Buttons direkt einbindet
- Externe Schriftarten von Google Fonts lädt (die übertragen IP-Adressen!)
- YouTube oder Vimeo Videos direkt einbettet
- Google Maps direkt einbettet
...der braucht keinen Cookie Banner. Punkt.
Meine eigene Website – Vienna-Webdesign.at – hat keinen Cookie Banner. Weil sie keinen braucht. Keine externen Tracking-Dienste, keine Analytics, keine Marketing-Pixel. Die Website funktioniert – ohne Cookies die eine Einwilligung brauchen.
Das ist keine Ausnahme. Das ist eine Entscheidung.
Was die meisten falsch machen – illegale Banner überall
Die Realität auf österreichischen und deutschen Websites ist ernüchternd. Die meisten Cookie Banner die man sieht verstoßen gegen die DSGVO. Nicht weil die Betreiber böse sind – sondern weil sie es nicht wissen.
Die häufigsten illegalen Praktiken:
"Durch die weitere Nutzung stimmen Sie zu"
Illegal. Das österreichische Bundesverwaltungsgericht und der EuGH haben klar entschieden: Weitersurfen ist keine aktive Einwilligung. Eine Einwilligung muss eine eindeutige bestätigende Handlung sein.
Vorausgewählte Checkboxen
Illegal. "Analyse Cookies ✓ (vorausgewählt)" – das ist keine freiwillige Einwilligung. Alle nicht notwendigen Cookies müssen standardmäßig deaktiviert sein.
"Akzeptieren" groß, "Ablehnen" versteckt
Illegal. Das österreichische Bundesverwaltungsgericht hat 2024 ausdrücklich entschieden: Die Ablehnungsmöglichkeit muss gleichwertig leicht zugänglich sein wie die Zustimmung. Bereits ein zusätzlicher Klick zum Ablehnen kann ein Datenschutzverstoß sein.
Nur "Akzeptieren" – kein "Ablehnen"
Illegal. Wer keine gleichwertige Ablehnungsmöglichkeit bietet hat keinen rechtsgültigen Banner.
"Wir verwenden Cookies"
Nicht ausreichend. Ein Banner muss klar erklären welche Cookies zu welchem Zweck wie lange gespeichert werden – und für jeden Zweck eine separate Entscheidung ermöglichen.
Wie ein rechtskonformer Cookie Banner wirklich aussehen muss
Ein DSGVO-konformer Cookie Banner hat folgende Eigenschaften – alle davon sind Pflicht, keine ist optional:
1. Aktive Einwilligung vor dem Setzen
Kein Cookie darf gesetzt werden bevor der Besucher aktiv zugestimmt hat. Die Website muss beim ersten Besuch ohne nicht-notwendige Cookies funktionieren.
2. Gleichwertige Buttons
"Alle akzeptieren" und "Alle ablehnen" müssen gleich groß, gleich auffällig und gleich leicht erreichbar sein. Kein grüner großer Button und versteckter grauer Kleintext.
3. Granulare Auswahl – jedes Cookie einzeln
Das ist der Kern – und der den die meisten Banner falsch machen. Der Besucher muss für jede Kategorie separat entscheiden können:
- ✅ Technisch notwendig (immer aktiv – kann nicht deaktiviert werden)
- ☐ Analyse (z.B. Google Analytics – standardmäßig aus)
- ☐ Marketing (z.B. Google Ads, Facebook Pixel – standardmäßig aus)
- ☐ Social Media (z.B. Facebook, Instagram – standardmäßig aus)
- ☐ Komfort (z.B. Spracheinstellungen die nicht notwendig sind – standardmäßig aus)
Und für jeden einzelnen Dienst muss erklärt werden: Was ist das? Wozu dient es? Wie lange wird gespeichert? Wer ist der Anbieter?
4. Klare Informationen zu jedem Cookie
Nicht "Wir verwenden Analyse-Cookies" – sondern: "Google Analytics – analysiert Ihr Surfverhalten auf dieser Website. Anbieter: Google Ireland Ltd. Speicherdauer: 24 Monate. Zweck: Statistik."
5. Widerruf jederzeit möglich
Die Einwilligung muss jederzeit widerrufbar sein – so einfach wie sie erteilt wurde. Ein dauerhaft sichtbares "Cookie-Einstellungen" Element im Footer ist Pflicht.
6. Keine Dark Patterns
Keine manipulativen Gestaltungselemente die Besucher in eine Richtung drängen. Kein "Leider können wir Ihnen ohne Cookies keinen vollen Zugang gewähren" wenn das nicht stimmt. Kein Countdown-Timer. Keine erschreckenden Formulierungen beim Ablehnen.
7. Consent-Log führen
Jede Einwilligung muss mit Zeitstempel, Banner-Version und anonymer ID dokumentiert werden – als Nachweis bei Datenschutzprüfungen.
Was bei Verstoß droht – in Österreich und der EU
Das ist kein theoretisches Risiko. Das österreichische Bundesverwaltungsgericht hat 2024 klar entschieden dass bereits ein einzelner zusätzlicher Klick zum Ablehnen ein Datenschutzverstoß ist.
- Abmahnungen – von Mitbewerbern oder Datenschutzorganisationen
- Bußgelder – bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes
- Beschwerden bei der Datenschutzbehörde – die österreichische DSB ist aktiv
- Reputationsschaden – ein illegaler Banner ist ein sichtbares Zeichen für Fahrlässigkeit
Die ehrliche Empfehlung
Bevor man sich mit Cookie Bannern beschäftigt sollte man eine grundlegendere Frage stellen:
Brauche ich diese Dienste wirklich?
- Google Analytics – was tue ich wirklich mit den Daten? Schaue ich sie überhaupt an?
- Facebook Pixel – schalte ich wirklich Facebook Ads? Lohnt sich das?
- Google Fonts – kann ich die Schriften lokal hosten statt sie von Google zu laden?
- YouTube Videos – kann ich sie als Datenschutz-freundliche Einbettung (no-cookie) laden?
- Google Maps – gibt es eine Alternative die keine Einwilligung braucht?
Wer diese Fragen ehrlich beantwortet stellt oft fest: Die meisten dieser Dienste sind nice-to-have – kein must-have. Und wer sie weglässt braucht keinen Cookie Banner.
Wer sie trotzdem braucht – und das ist legitim – der soll es richtig machen. Mit einem Banner der wirklich konform ist, der jeden Dienst einzeln auflistet und der Ablehnen genauso einfach macht wie Akzeptieren.
Alles andere ist nicht nur illegal – es ist auch respektlos gegenüber den Besuchern.
Ich bin Petra Dippold – Webdesignerin aus Moosbrunn, in der Nähe von Wien, seit 2001 in dieser Branche. Meine Websites kommen ohne Cookie Banner aus – weil ich von Anfang an auf externe Tracking-Dienste verzichte. Das ist eine Entscheidung für Datenschutz und gegen unnötige Komplexität. 😊
Hinweis: Dieser Artikel informiert allgemein über Cookie Banner und DSGVO – er ersetzt keine Rechtsberatung. Bei konkreten datenschutzrechtlichen Fragen wenden Sie sich an einen Datenschutzexperten oder Rechtsanwalt.