In Österreich regelt § 165 Abs. 3 TKG 2021 (Telekommunikationsgesetz), dass Cookies nur mit vorheriger Zustimmung gesetzt werden dürfen – außer sie sind unbedingt nötig, um den von der Nutzerin ausdrücklich angeforderten Dienst bereitzustellen, etwa den Warenkorb im Webshop. Alles darüber hinaus – Google Analytics, Meta Pixel, Retargeting-Cookies – braucht ein Opt-in, keine vorausgewählten Häkchen.
Ein Cookie-Banner mit gleich prominentem Ablehnen- und Akzeptieren-Button ist der Praxis-Standard, den auch die Datenschutzbehörde (DSB) erwartet. Consent-Management-Tools wie Usercentrics oder Cookiebot protokollieren die Einwilligung und steuern, welche Skripte erst nach Zustimmung laden – technisch nötig, weil ein Tracking-Skript vor der Einwilligung schlicht nicht ausgeliefert werden darf.
Der häufigste Fehler: ein Banner, das zwar existiert, aber Skripte längst im Hintergrund lädt, bevor jemand geklickt hat. Das ist keine Formsache, sondern ein eigener Verstoß, unabhängig von der DSGVO. Cookie-Consent, Datenschutz und DSGVO greifen ineinander, sind aber drei verschiedene Baustellen.



