Der Cookie-Banner bleibt ein Beweisstück
Ein Cookie-Banner ist schnell eingebaut. Schwierig wird es erst, wenn jemand nachvollziehen will, was beim ersten Seitenaufruf technisch passiert ist, welche Entscheidung eine Besucherin getroffen hat und ob die Website diese Entscheidung tatsächlich respektiert hat. Genau diese Perspektive rückt ein aktueller Fall beim Europäischen Datenschutzausschuss wieder in den Mittelpunkt: Eine Beschwerde zu einem Cookie-Banner darf nicht allein aus Verfahrensgründen vom Tisch gewischt werden, sondern muss inhaltlich behandelt werden.
Der EDPB veröffentlichte am 14. Juli eine verbindliche Entscheidung zu einer Beschwerde gegen den Cookie-Banner des belgischen Rundfunks VRT. Die österreichische Datenschutzbehörde war als betroffene Aufsichtsbehörde beteiligt und hatte widersprochen, weil die Beschwerde nicht ohne Sachentscheidung erledigt werden sollte. Für österreichische Website-Betreiber ist das kein neues Banner-Gesetz und keine Aussage, dass jede konkrete Gestaltung rechtswidrig wäre. Der Fall ist dennoch ein guter Anlass für einen nüchternen Consent-Check: Nicht die schönste erste Ebene entscheidet allein, sondern die nachvollziehbare Verbindung aus Banner, Skripten, Diensten, Datenschutzerklärung und Widerruf.
Der neue Fall ändert nicht die Grundregeln, aber den Blick
Cookie- und Trackingfragen bestehen aus mehreren Ebenen. Das Setzen oder Auslesen von Informationen am Endgerät richtet sich in Österreich grundsätzlich nach § 165 Abs. 3 TKG 2021. Die anschließende Verarbeitung personenbezogener Daten folgt zusätzlich der DSGVO. Die österreichische Datenschutzbehörde fasst es praktisch zusammen: Technisch nicht notwendige Cookies dürfen nicht vor einer Einwilligung gesetzt oder ausgelesen werden. Eine Einwilligung muss freiwillig, informiert und eindeutig sein; sie muss ebenso einfach widerrufen wie erteilt werden.
Der EDPB-Fall ist deshalb kein Anlass für spektakuläre Schnellschüsse. Er zeigt vielmehr, dass Cookie-Banner kein reines Frontend-Thema sind. Wer einen Banner nur nach Farben und Button-Text beurteilt, übersieht die entscheidenden Fragen: Lädt der Browser vor einer Entscheidung bereits Marketing- oder Analyse-Skripte? Passt die Kategorie „notwendig“ wirklich zum Zweck? Wird nach „Ablehnen“ nur die Oberfläche geschlossen oder auch die technische Auslieferung gestoppt? Kann die Einwilligung später ohne Umwege geändert werden?
Der frühere Beitrag zum Digital Omnibus und maschinenlesbarem Consent ordnet die europäische Entwicklung ein. Im täglichen Betrieb bleibt aber die konkrete Website entscheidend. Ein Consent-Tool kann gut konfiguriert sein und trotzdem durch ein neues Plugin, ein Video-Embed oder ein Tag-Manager-Snippet überholt werden.
Was bei einer Cookie-Banner-Prüfung wirklich als Nachweis zählt
Ein Screenshot des Banners ist hilfreich, aber er belegt nur einen Moment. Für eine belastbare Prüfung brauchen Website-Betreiber ein kleines Paket aus fünf Bausteinen:
- Der erste Aufruf im leeren Browserprofil: Welche Cookies, Requests und Drittanbieter-Skripte werden gesetzt oder geladen, bevor jemand zustimmt?
- Die sichtbare Wahl: Sind Zustimmung, Ablehnung und Einstellungen verständlich erreichbar, ohne dass ein Weg optisch oder durch zusätzliche Klicks künstlich bevorzugt wird?
- Die technische Wirkung: Was passiert nach „Alle ablehnen“, nach einer Teilentscheidung und nach einem späteren Widerruf?
- Die Dokumentation: Sind Dienste, Zwecke, Empfänger, Speicherdauern und Rechtsgrundlagen in der Datenschutzerklärung nachvollziehbar beschrieben?
- Der Änderungsverlauf: Gibt es eine Person und einen Prozess, die neue Plugins, Marketing-Tags oder eingebettete Dienste vor dem Livegang prüfen?
Diese Punkte sind keine individuelle Rechtsberatung. Sie machen aber sichtbar, wo ein Consent-Setup tatsächlich geprüft werden kann. Besonders wichtig ist die Trennung zwischen dem, was Besucher sehen, und dem, was der Browser tut. Ein sauberer Button hilft nicht, wenn ein externer Dienst schon vorher Daten überträgt. Umgekehrt löst ein technisch korrekt blockierter Dienst nicht jede Informationspflicht, wenn Zweck und Datenempfänger in den Hinweisen fehlen.
Der Vier-Schritte-Test vor dem nächsten Website-Update
1. Mit leerem Profil starten
Öffnen Sie die Website in einem frischen Browserprofil oder privaten Fenster. Dadurch fällt eher auf, welche Technologien beim ersten Aufruf aktiv werden. Kontrollieren Sie nicht nur die Startseite: Formulare, Produktseiten, Videos, Karten, Social-Media-Feeds und Buchungsstrecken laden oft andere Dienste. Bei technisch nicht erforderlichen Technologien muss die Entscheidung vor dem Setzen oder Auslesen liegen. Die Datenschutzbehörde betont diesen Vorab-Grundsatz ausdrücklich.
2. „Ablehnen“ wie eine echte Nutzerentscheidung behandeln
Nach einer Ablehnung sollte die Seite weiter nutzbar bleiben, soweit nicht gerade ein ausdrücklich gewünschter Dienst betroffen ist. Testen Sie, ob Analyse, Retargeting, eingebettete Medien oder Drittanbieter-Funktionen tatsächlich blockiert bleiben. Prüfen Sie auch, ob ein Wechsel der Sprache, ein Reload oder ein Wechsel in den Shop die Einstellung ungewollt überschreibt. Der Ablehnungsweg muss nicht zwingend einen ganz bestimmten Buttonnamen tragen. Er sollte aber gleichwertig, verständlich und ohne versteckte Zusatzschritte erreichbar sein.
3. Kategorien fachlich statt sprachlich prüfen
„Technisch notwendig“ ist keine Designentscheidung und keine Kategorie, die ein Plugin automatisch richtig füllt. Die WKO weist darauf hin, dass die Einordnung vom konkreten Zweck abhängt. Auch Sicherheits- oder Komfortfunktionen sind nicht pauschal von der Einwilligung ausgenommen. Ein Beispiel ist reCAPTCHA: Nach der von der WKO erläuterten österreichischen Rechtsprechung kann das eingesetzte Cookie nicht allein deshalb als technisch notwendig gelten, weil es Angriffe abwehren soll. Für jede Website und jede Konfiguration bleibt eine Einzelfallprüfung nötig.
Das ist auch für Marketing-Teams relevant. Ein Dienst kann in der Oberfläche harmlos „Optimierung“ heißen und dennoch Besucherinformationen an einen Dritten übermitteln. Ordnen Sie daher nicht nach Produktnamen, sondern nach Funktion: Braucht die Website den Dienst wirklich, um die angeforderte Leistung bereitzustellen? Welche Daten fließen wohin? Kann eine datensparsamere Alternative den Zweck erfüllen?
4. Widerruf auffindbar halten
Viele Websites lösen den Widerruf über ein dauerhaft sichtbares Icon oder einen klar positionierten Link. Das konkrete Muster ist nicht das Entscheidende. Entscheidend ist, dass Nutzerinnen und Nutzer ihre Wahl jederzeit ohne Suchspiel ändern können. Der EDPB-Taskforce-Bericht betont, dass der Widerruf so einfach sein muss wie die Einwilligung. Prüfen Sie deshalb nach einem Design- oder Theme-Wechsel, ob das Privacy-Icon noch sichtbar ist, ob der Link im Footer funktioniert und ob der Widerruf die technische Auslieferung tatsächlich beeinflusst.
Consent, Datenschutzerklärung und Website-Code gehören zusammen
Ein Consent-Manager steuert Entscheidungen; er ersetzt keine vollständige Beschreibung der Verarbeitung. Die Datenschutzerklärung sollte die eingesetzten Dienste, Zwecke und Empfänger so erklären, dass Besucher die Einwilligung einordnen können. Mit dem Datenschutz Generator lassen sich passende Textbausteine und Dienstedokumentationen strukturiert vorbereiten. Nach einem Plugin- oder Tool-Wechsel muss die Erklärung jedoch mit der tatsächlichen Website abgeglichen werden.
Für die technische Ebene ist ein Consent Manager sinnvoll, wenn Tracking, Marketing, externe Medien oder andere einwilligungsbedürftige Dienste kontrolliert ausspielen sollen. Wichtig ist der wiederkehrende Audit: Neue Tags können über den Tag Manager kommen, ein Page Builder kann eine Karte nachladen, und ein Update kann eine bisherige Blockade verändern. Wer Website, Datenschutztexte und Consent-Konfiguration im selben Freigabeprozess hält, verhindert diese typischen Driftfehler.
Ein pragmatischer Monatsrhythmus für KMU
Sie brauchen kein großes Compliance-Projekt, um den Überblick zu behalten. Sinnvoll ist ein kurzer Check nach jedem relevanten Release und zusätzlich in einem festen Rhythmus. Halten Sie fest, wann geprüft wurde, welche Seiten getestet wurden, welche Dienste aktiv waren und was sich geändert hat. Die Notiz kann knapp sein: Datum, verantwortliche Person, Browserprofil, getestete Auswahl, auffällige Requests, Korrektur und erneuter Test.
Für Agenturen und Teams mit mehreren Websites hilft ein gemeinsamer Standard: Kein neuer Dienst geht live, bevor Zweck, Datenfluss, Consent-Kategorie, Datenschutzhinweis und Widerrufsweg geklärt sind. Das AdSimple Business Paket kann diesen wiederkehrenden Abgleich bündeln, wenn Datenschutzdokumentation und Website-Pflichten nicht in unterschiedlichen Listen verloren gehen sollen.
Fazit: Der Banner ist die Oberfläche, nicht die ganze Einwilligung
Die aktuelle EDPB-Entscheidung zu VRT ist kein pauschales Urteil über Cookie-Banner. Sie erinnert aber daran, dass Beschwerdefälle und Einwilligungsfragen eine sachliche Prüfung verdienen. Für österreichische Website-Betreiber ist die beste Vorbereitung kein neues Farbschema, sondern ein belastbarer Blick auf das gesamte Setup: Erstentscheidung, Ablehnung, technisch notwendige Dienste, Widerruf, Dokumentation und Änderungen im Website-Stack.
Bei komplexen Konstellationen wie Pay-or-Okay-Modellen, großen Werbe-Setups oder unklaren Drittlandübermittlungen ist eine individuelle Datenschutzberatung sinnvoll. Die Cookie-FAQ der österreichischen Datenschutzbehörde und die WKO-Einordnung zu technisch notwendigen Cookies sind gute Ausgangspunkte für den eigenen Check.

Hinterlassen Sie einen Kommentar
Sie müssen angemeldet sein um einen Kommentar zu schreiben.