Zum Inhalt springen
Hand mit Laptop, während Sie die Internet-Cookie-Richtlinie akzeptieren oder ablehnen. Kundendatenschutzkonzept, das es dem Webbrowser ermöglicht, Benutzerdaten zu sammeln, um sie weiterzuverkaufen oder für Marketingzwecke zu verwenden.
© BritCats Studio | stock.adobe.com

Rechtsfrage #19: Technisch notwendige versus nicht notwendige Cookies: 

Wie erfolgt die Abgrenzung und welche rechtlichen Anforderungen bestehen hinsichtlich der Einwilligungspflichten?

Lesedauer: 15 Minuten

29.08.2025

Der Einsatz von Cookies wirft zentrale datenschutzrechtliche Fragestellungen auf. Abhängig von Zweck und Funktion der jeweiligen Datenverarbeitungsvorgänge ist zu prüfen, ob eine Cookie-Einwilligung einzuholen ist. In diesem Beitrag geben wir eine Übersicht, welche Cookies technisch notwendig sind und welche nicht und wie ein rechtssicherer Cookie-Banner gestaltet werden muss.

Was sind Cookies?

Cookies sind kleine Textdateien, die der Webbrowser auf dem Gerät des Nutzers speichert. Sobald zum ersten Mal eine Seite über den Browser aufgerufen wird, wird ein neues Cookie gesetzt, das fortan die vom Websitebetreiber erfassbaren Informationen sammelt.

Cookies lassen sich in verschiedene Kategorien einteilen, abhängig von der Funktion, die sie erfüllen, der Speicherdauer sowie der Herkunft. Während einige Cookies für die grundlegende Funktionalität und Sicherheit einer Website unerlässlich sind, dienen andere eher dazu, das Nutzerverhalten zu analysieren oder personalisierte Inhalte und Werbung bereitzustellen. Diese Unterscheidung ist vor allem aus rechtlicher Sicht von Bedeutung, denn nur Cookies, die für den Betrieb der Website (oder auch der App) unbedingt erforderlich sind, dürfen auch ohne Einwilligung gesetzt werden.

Wie gestaltet sich der rechtliche Rahmen zu den Cookies?

Die Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG), besser bekannt als „E-Privacy-Richtlinie“ regelt den Einsatz von Cookies. In Österreich wurden die Bestimmungen der EU-Richtlinie in § 165 Abs 3 des Telekommunikationsgesetzes 2021 (TKG 2021) umgesetzt. Vor der TKG-Novelle waren die Bestimmungen in § 96 Abs 3 TKG 2003 zu finden.

Hinweis: Noch heute nehmen viele Datenschutzerklärungen auf das TKG 2003 Bezug. Dies ist ein Zeichen, dass die Datenschutzerklärung länger nicht aktualisiert wurde. Es sollte daher auf die geltende Fassung des TKG – demnach auf § 165 Abs 3 TKG 2021 – verwiesen werden.

§ 165 Abs 3 TKG 2021 legt fest, dass Cookies grundsätzlich nur nach vorheriger Einwilligung gesetzt werden dürfen (Einwilligungspflicht). Website-Betreiber benötigen daher einen Cookie-Banner, über diesen sie die Zustimmung ihrer Nutzer zum Setzen und Auslesen von Cookies einholen. Eine Ausnahme von der Einwilligungspflicht gibt es für technisch notwendige Cookies.

Als technisch notwendig werden Cookies erachtet, die zur Nutzung der Website unabdingbar sind, damit die Website technisch einwandfrei funktioniert. Für diese Cookies ist eine Einwilligung des Users nicht erforderlich. Daher dürfen diese Cookies auch dann gesetzt werden, wenn der Nutzer die Auswahl „Alle Ablehnen“ im Cookie-Banner getroffen hat. Es muss auch keine Funktion im Cookie-Banner geben, um die technisch notwendigen Cookies abzulehnen. Diese dürfen immer aktiv sein. Demnach genügt eine reine Information in der eigenen Datenschutzerklärung bzw. Cookie-Richtlinie über die Funktionsweise technisch notwendiger Cookies.

Für alle Cookies, die nicht zwingend benötigt werden, um den Dienst (die Website) bereitzustellen, muss die aktive Einwilligung des Nutzers eingeholt werden. Technisch nicht notwendig sind jedenfalls all die Cookies aus Drittanbieteranwendungen, mit denen zu Marketing-, Marktforschungs-, Marktanalysen oder Kooperationszwecken ein bestimmtes Surfverhalten von Seitenbesuchern nachvollzogen werden kann.

Die Beurteilung, welche Cookies technisch notwendig sind und welche nicht, kann mitunter schwierig sein. Die auf der Website eingesetzten Cookies sind daher immer einer Einzelfallprüfung zu unterziehen. 

Sollte man nicht mit Bestimmtheit festlegen können, ob die Cookies nun technisch notwendig sind oder nicht, wird seitens der Österreichischen Datenschutzbehörde empfohlen die Kriterien der Opinion 04/2012 on Cookie Consent Exemption bei der Beurteilung der Cookies heranzuziehen. Im Zweifelsfall sollte daher immer die Einwilligung des Nutzers eingeholt werden.

Welche Cookies sind technisch notwendig?

Weder die Richtlinie noch das TKG 2021 enthalten eine klare Aufzählung, welche Cookies als technisch notwendig erachtet werden. Eine erste Orientierung bietet zumindest die Opinion 04/2012 on Cookie Consent Exemption (WP 194, 00879/12/EN) der ehemaligen Art 29 Gruppe. Diese legt Kriterien zur Beurteilung fest, ob Cookies im Sinne des Art 5 Abs 3 der Datenschutzrichtlinie in der geltenden Fassung aus technischer Sicht notwendig sind.  

  • Session-Cookies, die bestimmte Einstellungen des Nutzers speichern, wie z.B.
    • Warenkorb
    • Spracheinstellungen
    • Login-Status
  • Cookies die von einem eingebundenen Zahlungsdienstanbieter (unabhängig von einer konkreten Zahlung) gesetzt werden, sofern sie kein bestimmtes Nutzungsverhalten analysieren, sondern nur der Vorbereitung eventueller Zahlungen oder der Prüfung einer Zahlungslegitimation dienen. Dabei ist eine Einzelfallprüfung durchzuführen, ob es sich bei den jeweiligen Zahlungsdienstanbietern um technisch notwendige oder technisch nicht notwendige Cookies handelt.
  • Online-Formular-Eingaben, wenn zum Abschicken eine Eingabe über mehrere Unterseiten notwendig ist
  • usw. 

Wie bereits oben erwähnt, sind Website-Betreiber gut beraten, die von ihnen eingesetzten Cookies dahingehend zu prüfen, ob sie für die Bereitstellung ihrer Website unbedingt erforderlich sind oder nicht. Für eine erste Einschätzung können auch sog. Cookie-Checker herangezogen werden.

Sind Cookies, die zu Sicherheitszwecken eingesetzt werden, technisch notwendig?

Cookies, die zu Sicherheitszwecken eingesetzt werden, können nicht pauschal als „technisch erforderlich“ beurteilt werden. Es ist im Einzelfall festzustellen, welche Funktionen das Cookie erfüllt und ob diese Funktionen für den Betrieb der Website zwingend erforderlich sind oder nicht.

Das Bundesverwaltungsgericht Österreich hat sich zuletzt mit dem Dienst „reCAPTCHA“ beschäftigt. Google reCAPTCHA ist ein Security Tool von Google, der Seitenbetreibern durch die Einbindung eines Verifizierungsschritts eine möglichst präzise Unterscheidung dahingehend ermöglicht, ob die Eingabe durch eine natürliche Person oder missbräuchlich durch maschinelle und automatisierte Verarbeitung erfolgt.

Das gesetzte Cookie soll laut Google der Analyse von Besucherzugriffsrisiken dienen, geht jedoch mit einer Übertragung gewisser über das Cookie erhobener Informationen (IP-Adresse = personenbezogenes Datum) an Google einher.

Das Bundesverwaltungsgericht Österreich hat sich nun mit dieser Frage befasst und entschieden, dass das verwendete Tool „Google reCAPTCHA“ und dessen Cookie technisch nicht notwendig sind, um die Website betreiben zu können. Zwar ist es nützlich, um missbräuchliche maschinelle/automatisierte Zugriffe abzuwehren, für die Bereitstellung und Gewährleistung der Seite ist dieses Cookie jedoch nicht zwingend notwendig.

Für Website Betreiber bedeutet die Entscheidung des Bundesverwaltungsgerichts nun, dass bei Verwendung von Google reCAPTCHA eben gerade kein technisch notwendiges Cookie vorliegt und somit dem User vor Nutzung der Website die Möglichkeit gegeben werden muss, die Zustimmung oder Ablehnung zu erteilen (Einbindung des Tools in einen Cookie Consent Banner).

Welche Cookies sind nicht technisch notwendig?

Technisch nicht notwendig sind alle Cookies, die für die Bereitstellung des Dienstes nicht unbedingt erforderlich sind. Dazu zählen etwa:

  • Tracking- und Analysetools
  • Affiliate-Dienste
  • Remarketing-Dienste
  • Retargeting-Dienste
  • Social-Media-Plugins (zB Facebook, Instagram, Google +, Twitter, …)
  • Video-Embedding-Anwendungen (Vimeo, Youtube,…)
  • Online-Kartendiensten (Google-Maps,…)

Werden technisch nicht erforderliche Cookies eingesetzt, so muss vor dem Setzen und Auslesen der Cookies eine ausdrückliche Einwilligung über den Cookie-Banner eingeholt werden. Die Cookies dürfen solange nicht gesetzt werden, solange der Nutzer nicht seine Zustimmung erteilt hat. Klickt der Website-Besucher etwa auf „Alle Ablehnen“ im Cookie-Banner, so dürfen keine Cookies – mit Ausnahme der technisch notwendigen – gesetzt werden. 

Sind Cookies zu Werbezwecken einwilligungspflichtig?

Das Landesgericht Berlin hat sich in einem Fall damit beschäftigt, ob Werbe-Cookies eine Einwilligung benötigen. Bei Werbe-Cookies handelt es sich um technisch nicht notwendige Cookies. Daher dürfen diese nicht ohne Einwilligung auf Endgeräten gespeichert werden. Es benötigt daher einen aktiven Cookie-Banner, der über die Datenverarbeitung informiert und die Möglichkeit bietet, die Einwilligung zu erteilen oder abzulehnen.

Sind Cookies personenbezogene Daten?

Cookies sind nicht per se als personenbezogene oder nicht personenbezogene Daten zu qualifizieren. Insbesondere kommt es darauf an, welche Informationen in den Cookies enthalten sind und auf welche Weise diese Informationen miteinander kombiniert werden können.

Ein Beispiel hierfür wären Cookies, die auch sog. UUID (Universally Unique Identifier) beinhalten. Es handelt sich dabei um nutzerspezifische Identifikatoren, mit denen Endgeräte des Nutzers markiert werden („Online-Kennung“). Grundsätzlich bezwecken diese UUID eine reine Markierung eines Endgeräts, jedoch ist es möglich dieses Endgerät mit einer konkreten Person in Verbindung zu bringen, weshalb dann wieder von personenbezogenen Daten gesprochen werden kann.

Es ist im Einzelfall festzustellen, ob es sich bei den Informationen, die in Cookies enthalten sind, um personenbezogene Daten handelt oder nicht.

Werden in Cookies auch personenbezogene Daten verarbeitet, gelten zusätzlich zum TKG die Bestimmungen der DSGVO.

Wann spielt die DSGVO beim Einsatz von Cookies eine Rolle?

Die DSGVO spielt beim Einsatz von Cookies dort eine Rolle, wo personenbezogene Daten verarbeitet werden. Besonders relevant ist in diesem Zusammenhang die IP-Adresse: häufig wird die IP-Adresse in Cookies verarbeitet. Die IP-Adresse stellt nach Ansicht des EuGH ein personenbezogenes Datum dar, sodass bei Cookies, die auf die IP-Adresse zugreifen, auch die DSGVO zu beachten ist.

In aller Regel sind Website-Betreiber als Verantwortliche im Sinne der DSGVO zu sehen, da sie über Zweck und Mittel der Datenverarbeitungen entscheiden, also etwa, ob ein gewisser Dienst in die Website integriert wird oder nicht.

Vereinfacht gesagt bedeutet dies: wenn aus Eigeninteresse Cookies gesetzt werden und dadurch personenbezogene Daten verarbeitet werden, gilt man aus datenschutzrechtlicher Sicht als Verantwortlicher.

Im Ergebnis ist die DSGVO im Zusammenhang mit Cookies nur dann beachtlich, wenn in den Cookies personenbezogene Daten verarbeitet werden. In diesem Fall sind sowohl die Bestimmungen des TKG als auch jene der DSGVO einzuhalten (u.a. auch die Informationspflichten in der Datenschutzerklärung).

Wenn keine personenbezogenen Daten verarbeitet werden, beurteilt sich die rechtliche Zulässigkeit des Setzens von Cookies nur nach § 165 Abs 3 TKG 2021. Wesentlich ist hier die Unterscheidung hinsichtlich der technischen Notwendigkeit. Dementsprechend lässt sich die Frage beantworten, ob eine Einwilligung eingeholt werden muss oder nicht.

Welche Anforderungen werden an eine gültige Einwilligung gestellt?

Die Anforderungen an eine gültige Einwilligung richten sich nach der DSGVO. Nach der DSGVO ist eine Einwilligung eine für den bestimmten Zweck, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Demnach müssen die Nutzer, bevor sie eine Cookie Auswahl treffen auch informiert werden, welche Cookies auf der Website gesetzt werden und was deren Zweck ist. Zudem sieht das TKG eigenen Informationspflichten vor.

Welche Informationen müssen im Cookie-Banner auf 1. Ebene bereitgestellt werden?

Da es sich meist um eine Vielzahl von Informationen handelt, die zur Verfügung gestellt werden müssen, hat sich im digitalen Bereich der „Mehrebenen-Ansatz“ entwickelt.

Auf der ersten Ebene, demnach im Cookie Banner, werden die grundlegenden Informationen zur Verfügung gestellt. Es ist zusätzlich ein Link zur Datenschutzerklärung einzufügen. In dieser Datenschutzerklärung werden dann auf zweiter Ebene die Informationen vollständig zur Verfügung gestellt.

Auf der ersten Ebene sind gemäß der Österreichischen Datenschutzbehörde folgende grundlegenden Informationen zur Verfügung zu stellen (siehe dazu: Datenschutz & Cookies):

  • Identität des Verantwortlichen (z.B. durch Verlinkung auf das Impressum)
  • Genaue Beschreibung der Verarbeitungszwecke (z.B. Angabe der Cookie-Kategorien, damit die Nutzer grob wissen, welche Funktion die Cookies erfüllen)
  • Rechtsgrundlage der Datenverarbeitung (d.h. Einwilligung)
  • Hinweis, dass die Einwilligung jederzeit ohne Angaben von Gründen widerrufen werden kann, jedoch ohne, dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
  • Wie und wo die Einwilligung widerrufen werden kann

Zudem wird empfohlen, im Cookie-Banner auf die Datenschutzerklärung zu verlinken, da dort in der Regel auch nähere Informationen zu Cookies zur Verfügung gestellt werden.

Sind vorangekreuzte Checkboxen zulässig?

Der EuGH beschäftigte sich mit der Frage der Einwilligung für den Einsatz von technisch nicht notwendigen Cookies in Zusammenhang mit der Teilnahme an einem Gewinnspiel (siehe dazu: EuGH-Urteil C-673/17).

Um an einem Gewinnspiel teilnehmen zu können, mussten die User Namen und Adresse angeben. Unter dem Eingabefeld befand sich ein Hinweistext zur Verwendung von Cookies, dessen „Checkbox“ bereits mit einem voreingestellten Häkchen versehen war. Die User mussten dann nur noch auf „Okay“ klicken. Um die Einwilligung zur Setzung von technisch nicht notwendigen Cookies zu verweigern, hätte der User dieses Häkchen aktiv entfernen müssen (sog. Opt-out-Verfahren). Eine solche Voreinstellung ist jedoch unzulässig, denn vielmehr erfordert das Setzen von Cookies eine aktive Einwilligung des Users (sog. Opt-in-Verfahren).

Für technisch notwendige Cookies hingegen ging aus dem Urteil hervor, dass die Anforderungen einer informierten Einwilligung für technisch notwendige Cookies nicht gelten. Es reicht daher für technisch notwendige Cookies, dass Informationen über deren Verwendung und Funktionsweise in der Datenschutzerklärung abgebildet werden. Der Einsatz eines Banners für (ausschließlich) technisch notwendige Cookies ist möglich, aber rechtlich nicht zwingend.

„Pay or Okay“: Kann statt einer Cookie-Einwilligung eine Zugangsgebühr verlangt werden?

Bei „Pay or Okay“ hat der Nutzer der Website die Wahl zwischen der Zustimmung zu Cookies auf der einen Seite und der Möglichkeit des Abschlusses eines kostenpflichtigen Abonnements auf der anderen Seite. Es muss dabei stets geprüft werden, ob die Zustimmung zu Cookies in einem „Pay oder Okay“-Modell tatsächlich als freiwillig betrachtet werden kann. 

Unlängst hat sich jedoch das österreichische Bundesverwaltungsgericht mit dem Modell „Pay or Okay“ beschäftigt. Im konkreten Fall erschien beim Erstaufruf einer Website ein Cookie-/Consent-Banner („Mit Werbung weiterlesen“ vs. „PUR-ohne Werbung & Tracking“). Ein Klick auf „Einverstanden“ führte zu einer Gesamteinwilligung in verschiedene funktionale Cookies (Analyse-, Optimierungs- und Werbe-Cookies). Alternativ konnte ein PUR-Abo abgeschlossen werden. Das Gericht hat nun entschieden, dass die Einwilligung nicht wirksam war. Eine wirksame Einwilligung setzt laut dem BWvG voraus, dass den Erwägungen der Granularität Rechnung getragen wird. Das bedeutet, dass der Nutzer pro Zweck eine Auswahlmöglichkeit haben muss. Eine Pauschaleinwilligung in unterschiedliche Zwecke (zB Reichweitenmessung, personalisierte Ads, Website-Optimierung) sei nicht datenschutzkonform. Die verantwortlichen Website-Betreiber benötigen separate, informierte Einwilligungen pro Zweck und müssen den Nutzern eine diesbezügliche Wahlmöglichkeit lassen.

Nach Ansicht der österreichischen Datenschutzbehörde (siehe dazu: Datenschutz & Cookies) müssen folgende Punkte beim „Pay or Okay“ Modell berücksichtigt werden: 

  • Vollständige Einhaltung der datenschutzrechtlichen Bestimmungen
  • Einhaltung der Anforderungen an die Granularität: Einholung von separaten Einwilligungen pro Zweck
  • Keine „Pay or Okay“-Modelle bei Websites von Behörden oder sonstigen öffentlichen Stellen bzw. bei Unternehmen, die eine (Quasi-)Monopolstellung am Markt haben
  • Die Bezahl-Variante muss preislich angemessen und fair sein und somit eine echte Alternative darstellen
  • Bei der Bezahl-Alternative dürfen keine personenbezogenen Daten zu Werbezwecken verarbeitet werden

Wir weisen ausdrücklich darauf hin, dass es zur Frage nach der Zulässigkeit von „Pay or Okay“ noch keine Rechtsprechung von Höchstgerichten in Österreich oder dem Europäischen Gerichtshof gibt.

Was sind „Dark Patterns“ und warum spielt dieses Thema bei Cookies eine Rolle? Gibt es Rechtsprechung dazu?

Cookie Banner müssen so gestaltet sein, dass sie dem Nutzer die Möglichkeit geben, eine freiwillige und informierte Entscheidung zu treffen. Unter Dark Patterns sind derartige Gestaltungen von Cookie-Bannern zu verstehen, die den Nutzer (wenn auch nur subtil) zu einer Einstellung verleiten bzw. dahingehend manipulieren.

Mit dieser Thematik haben sich in der Vergangenheit einige deutsche Gerichte auseinandergesetzt und folgende Grundsätze für die Gestaltung von Cookie-Bannern festgelegt.

  • Ablehnungsmöglichkeit: Das Landesgericht München hielt einen Cookie-Opt-In Banner für unzureichend und manipulativ, der keine Ablehnungsfunktion geboten hat. Das Gericht stellte fest, dass eine einfache Abwahl der Cookies erforderlich sein muss, wenn die Website sonst nicht nutzbar ist (wegen der Größe des Cookie-Banners). Es sollte gemäß der Entscheidung möglich sein, die Website trotz des Cookie-Banners vernünftig nutzen/“einsehen“ zu können. Denn bereits der Umstand, dass ein Besucher die Website nicht ohne weitere Interaktion mit dem Cookie Banner nutzen kann (z.B. durch Verdecken der Website), spricht gegen eine freiwillige Entscheidung.
  • Farbliche Gestaltung: Das Landesgericht Rostock beschäftigte sich mit der farblichen Gestaltung von Cookie-Bannern. Im zu entscheidenden Fall war der Button „Cookies zulassen“ stark hervorgehoben (kräftiges Grün), während die Schaltfläche „Nur notwendige Cookies verwenden“ in einem sehr blassen Grauton gehalten war – also deutlich in den Hintergrund getreten ist. 
  • Das Gericht war der Meinung, dass sich der dominante grüne Farbton deutlich vom blassgrauen Farbton abhob und sich die Schaltfläche für die notwendigen Cookies kaum als „anklickbarer“ Button erkennen ließ. Das Gericht verbot diese „Dark Patterns“ und vertrat die Ansicht, dass die Schaltfläche zur Ablehnung von Cookies optisch genauso wahrnehmbar sein muss, wie die Zustimmungsschaltfläche.
  • Sichtbarkeit auf erster Ebene: Das Verwaltungsgericht Hannover hat in seinem Urteil die Rechtsauffassung der Datenschutzaufsichtsbehörde Niedersachsen bestätigt, in der es darum ging, dass Website-Betreiber bei Cookie Einwilligungsabfragen eine gut sichtbare „Alle-Ablehnen“-Schaltfläche auf der ersten Ebene des Cookie-Banners anzubieten haben, wenn es eine „Alle-Akzeptieren“-Schaltfläche gibt. Einwilligungsbanner dürfen nicht gezielt zur Abgabe einer Einwilligung hinlenken und von der Ablehnung der Cookies abhalten. Derart eingeholte Einwilligung gelten als unwirksam, da es unter anderem einen Verstoß gegen die Datenschutzgrundverordnung darstellt.
  • Wahlmöglichkeit: Das Oberlandesgericht Köln stellte klar, dass Cookie-Banner fair gestaltet sein müssen und den Nutzern eine echte Wahl lassen müssen, ob sie Cookies akzeptieren oder nicht. Im vorliegenden Fall wurde ein Cookie-Banner genutzt, der eine bloße Auswahl zwischen „Akzeptieren“ und „Einstellungen“ lies. Den Nutzern würde durch die konkrete Gestaltung keine gleichwertige Ablehnungsposition geboten werden, sodass die erteilte Einwilligung nicht als freiwillig und hinreichend aufgeklärt angesehen werden kann. 

Wie muss der Cookie-Banner gestaltet sein?

Die Österreichische Datenschutzbehörde hat in Ihrem Cookie-FAQ Grundsätze aufgestellt, die ihrer Ansicht nach eingehalten werden müssen, damit der Cookie-Banner und damit auch die Einwilligung des Website-Besuchers rechtsgültig sind.

Nach Ansicht der DSB muss ein Cookie-Banner die folgenden Grundsätze einhalten:  

  • Erst Einwilligung dann Cookies: Die Einwilligung ist vorab einzuholen. Bei Erstellung der Website ist darauf zu achten, dass keine technisch nicht notwendigen Cookies vor dem Einholen der Einwilligung gesetzt werden.
  • Bewusstsein: Dem Nutzer muss klar sein, dass dieser gerade eine Einwilligung erteilt.
  • Privacy by default: Der Nutzer muss sich aktiv für die Einwilligung entscheiden. Voreinstellungen im Cookie-Banner sind nicht zulässig.
  • Freiwilligkeit: Die Einwilligung muss freiwillig erfolgen. Dem Nutzer dürfen keine Nachteile angedroht werden und er darf keine Nachteile erleiden, wenn die Einwilligung nicht abgegeben wird.
  • Widerrufsmöglichkeit: Im Cookie-Banner muss klar und deutlich angegeben werden, wo und wie die Einwilligung widerrufen werden kann. Die Abgabe des Widerrufs muss genauso einfach sein, wie die Abgabe der Einwilligung.
  • Informationspflicht: Dem Nutzer muss klar sein, wofür die Einwilligung abgegeben wird. Dies setzt voraus, dass die Informationspflichten vollständig erfüllt werden.
  • Nichtabgabe einer Einwilligung genauso leicht wie Einwilligung: Die Nichtabgabe einer Einwilligung muss genauso einfach sein, wie die Abgabe der Einwilligung. Demnach dürfen nicht mehr Interaktionen mit dem Cookie-Banner notwendig sein. Mit diesem Grundsatz hat sich auch bereits das österreichische Bundesverwaltungsgericht beschäftigt (siehe dazu: RIS - W108 2284491-1 - Entscheidungstext - Bundesverwaltungsgericht (BVwG)).
  • Keine unfairen Praktiken („Dark Patterns“): Der Nutzer darf weder unmittelbar noch subtil zur Abgabe einer Einwilligung gedrängt werden.

Tipps für rechtskonformen Cookie Banner

  • Erst die Einwilligung, dann die Cookies: Die Einwilligung bei technisch nicht erforderlichen Cookies ist vorab einzuholen. Aus dem Cookie Banner muss dem User ebenso klar ersichtlich sein, dass und wofür er seine Einwilligung abgibt.
  • Der User muss sich aktiv für die Einwilligung entscheiden (kein Opt-out zulässig) und dies auch freiwillig tun. Dem User ist es jederzeit möglich die Einwilligung zu widerrufen (klare Angaben, wie und wo der Widerruf möglich ist).
  • Die Nichtabgabe einer Einwilligung ist so einfach wie die Abgabe einer Einwilligung. Es dürfen für die Nichtabgabe nicht mehr Schritte notwendig sein als für die Abgabe einer Einwilligung.
  • Keine unfairen Praktiken: die betroffene Person darf weder unmittelbar noch subtil zur Abgabe einer Einwilligung gedrängt werden.

Sie haben noch weitere Fragen zum Thema E-Commerce? Wir sind für Sie da!

Jacqueline Eder, LL.B.
© WKNÖ

Jacqueline Eder, LL.B.

02742/851-18340
e-service@wknoe.at

Michaela Quintus
© WKNÖ

Mag. Michaela Quintus BSc

02742/851-18360
e-service@wknoe.at

Portraitbild
© WKNÖ

Mag. Denise Weiß

+43 2742 851 18330
e-service@wknoe.at

 

Weitere interessante Artikel
  • Personen in blauer Arbeitskleidung mit blauer Kappe entladen einen Transporter mit Paketen
    E-Commerce Rechtsfrage #2: Wie ist die Lieferzeit im Onlineshop anzugeben?
    Weiterlesen
  • Mehrere von der Höhe zunehmende Münzstapel nebeneinander platziert, über einzelnen Stapeln Prozentzeichen und nach oben deutende Pfeilchen
    E-Commerce Rechtsfrage #9: Werbung mit Rabatten - so darf mit Rabatten geworben werden
    Weiterlesen
  • Kartonagen Pakete verpackt und bereit für den Versand stehen auf einem Regal während im Hintergrund weitere Pakete stehen
    E-Commerce Rechtsfrage #1: Müssen dem Verbraucher die Versandkosten im Widerrufsfall rückerstattet werden?
    Weiterlesen