DSGVO Cookie-Banner 2026: Was ist Pflicht?

Cookie-Banner sind 2026 ein Dauerärgernis – für Nutzer, die täglich klicken müssen, und für Website-Betreiber, die mit ständig schärferen Anforderungen jonglieren. Das Verwirrende: Manches, was vor zwei Jahren noch erlaubt war, ist heute abmahngefährdet. Hier eine ehrliche Bestandsaufnahme, was 2026 wirklich Pflicht ist und worauf du verzichten kannst.

Die Rechtsgrundlagen kurz

Drei Gesetze regeln in Österreich und Deutschland, was beim Setzen von Cookies erlaubt ist:

• DSGVO – die EU-weite Datenschutz-Grundverordnung. Regelt, wann personenbezogene Daten verarbeitet werden dürfen.
• TKG 2021 (AT) / TTDSG (DE) – setzt die ePrivacy-Richtlinie um. Regelt den Zugriff auf Endgeräte (= das Setzen und Lesen von Cookies) – auch wenn keine personenbezogenen Daten betroffen sind.
• DSG (AT) – das österreichische Begleitgesetz zur DSGVO mit einigen Besonderheiten.

Für Cookies ist § 165 TKG (AT) bzw. § 25 TTDSG (DE) zentral: Cookies, die nicht zwingend für den Betrieb der Seite nötig sind, dürfen nur mit aktiver Einwilligung gesetzt werden.

Was bedeutet „aktive Einwilligung“?

Aktive Einwilligung heißt: eindeutige bestätigende Handlung. Ein vorausgekreuztes Häkchen ist ungültig (EuGH C-673/17 „Planet49“). Weiterscrollen ist ungültig. „Durch die Nutzung dieser Seite stimmen Sie zu“ ist ungültig. Nur ein bewusster Klick auf einen klar beschrifteten Button („Akzeptieren“, „Speichern“) zählt.

Was muss der Banner zwingend können

1. Vor Cookie-Setzung erscheinen – kein Cookie für Statistik/Marketing darf gesetzt werden, bevor der Nutzer entscheidet (Ausnahme: streng technisch notwendige Cookies).
2. Ablehnen muss gleich einfach sein wie Akzeptieren – seit der Entscheidung der französischen CNIL und der DSB Österreich ist die Ein-Klick-Ablehnung Pflicht.
3. Kategorisierte Auswahl ermöglichen – mindestens „Notwendig / Statistik / Marketing“ trennbar.
4. Über Zwecke und Anbieter informieren – Welche Tools werden eingebunden? Wer ist der Anbieter? Was wird gespeichert?
5. Drittland-Transfer transparent machen – Wenn Daten in die USA gehen (z. B. GA4, Meta), muss das benannt werden, ggf. mit Hinweis auf das Data Privacy Framework.
6. Widerruf jederzeit möglich – ein dauerhaft sichtbarer Reset-Button (oft im Footer oder als Floating-Icon).
7. Einwilligung dokumentieren – Zeitstempel, Banner-Version, Auswahl. Im Streitfall musst du die Einwilligung nachweisen können.

Was sind „Dark Patterns“ – und warum sie 2026 abmahngefährdet sind

Visuelle Tricks, die den Nutzer in die Zustimmung lenken, sind unzulässig. Konkret:

• Großer grüner „Akzeptieren“-Button vs. winziges graues „Ablehnen“-Link
• „Ablehnen“ versteckt hinter „Einstellungen ändern“ → 2 Klicks vs. 1 Klick zum Akzeptieren
• Vorausgewählte Häkchen für nicht-notwendige Kategorien
• Dauerhaftes Wiedererscheinen des Banners nach jedem Reload trotz Ablehnung
• Cookie-Wall („Sie können erst lesen, wenn Sie alle Cookies akzeptieren“) – außer es gibt ein klares Bezahlmodell als Alternative

Die österreichische Datenschutzbehörde hat in Bescheiden 2024/25 klar gemacht: Banner mit ungleichberechtigten Buttons sind unzulässig.

3 Stufen oder 1 Stufe?

Nicht zwingend drei Stufen – aber praxiserprobt. Die meisten Banner trennen Notwendig / Statistik / Marketing, weil das die typischen Verarbeitungszwecke gut abbildet. Wer mehr Tools einsetzt, kann feiner trennen (z. B. „Funktional“, „Personalisierung“). Mehr als 5 Kategorien wirken überfordert und werden meist generell abgelehnt.

Was passiert bei Nichteinhaltung?

• Beschwerden bei der Datenschutzbehörde – führt zu Prüfverfahren, oft mit Auflagen und Bußgeldern
• Abmahnungen durch Verbraucherschutzverbände (DE) bzw. Mitbewerber (AT/DE) – kostenpflichtig
• DSGVO-Bußgelder bis zu € 20 Mio. oder 4 % des Jahresumsatzes – in der Praxis bei KMUs meist drei- bis fünfstellig
• Schadensersatzklagen einzelner Nutzer – seit dem EuGH-Urteil 2023 grundsätzlich auch ohne nachgewiesenen materiellen Schaden möglich

Welche Tools/CMPs sind gut?

Drei Optionen mit unterschiedlicher Tiefe:

• Cookiebot, Usercentrics, Borlabs Cookie – etablierte CMPs mit IAB-TCF-Support, Auto-Scanner, mehrsprachig. Kosten € 9–199/Monat. Ideal für KMU mit Standard-Stack.
• Eigenes Lightweight-Setup – wenn du nur 2–3 Tools nutzt (GA4, Meta, vielleicht ein Chat-Widget). 100 Zeilen JavaScript reichen. Wir nutzen das auf dieser Site selbst.
• CMP mit IAB-TCF v2.2 – Pflicht, wenn du Adtech mit Real-Time-Bidding nutzt (Display-Werbung mit RTB-Beteiligung).

Praxis-Empfehlung

Für eine typische KMU-Website oder einen kleinen Shop: 3-Stufen-Banner mit gleichberechtigten Buttons („Alle akzeptieren“ / „Nur notwendige“ / „Einstellungen“), Detail-Liste der eingesetzten Tools, dauerhafter Widerrufs-Button im Footer, dokumentierte Speicherung in localStorage mit Zeitstempel. Das deckt 95 % der Praxisfälle DSGVO-konform ab. Wer Real-Time-Bidding nutzt oder Tracking auf medizinische/finanzielle Daten anwendet, sollte zusätzlich eine spezialisierte Kanzlei einbinden.

Fazit

Ein guter Cookie-Banner 2026 ist transparent, fair und ablehnbar. Die Lockmittel der Vergangenheit (Dark Patterns, vorausgewählte Häkchen, große grüne Knöpfe) funktionieren nicht mehr und werden zunehmend sanktioniert. Wer den Banner als ehrlichen Dialog mit dem Nutzer gestaltet, hat keine rechtlichen Probleme – und überraschend hohe Akzeptanz-Quoten. Erfahrungswert: Faire Banner liegen bei 50–70 % Zustimmung, manipulative Banner bei 80–90 %, aber mit hohem rechtlichen Risiko und schlechter Brand-Wahrnehmung.