Braucht Ihre Website wirklich einen Cookie-Banner?
Die kurze Antwort: nur dann, wenn sie Techniken einsetzt, die Informationen am Endgerät speichern oder auslesen und dafür keine Ausnahme gilt (§ 165 Abs 3 TKG 2021). Warenkorb, Login und Sprachwahl brauchen keine Einwilligung. Google Analytics, YouTube-Embeds und Werbepixel brauchen sie. Und für praktisch jede einwilligungspflichtige Technik gibt es einen bannerfreien Ersatz.
Dieser Check stellt die zehn Fragen, auf die es ankommt, und sagt Ihnen am Ende: Banner nötig oder nicht, und wenn ja, wie Sie ihn loswerden. Alles läuft in Ihrem Browser, es wird nichts gespeichert oder übertragen. Diese Website selbst ist übrigens der Beweis, dass es geht: 0 Cookies, kein Banner, volle Statistik.
Der Check: 10 Fragen zu Ihrer Website
01
Wie messen Sie Ihre Besucherzahlen?
02
Setzen Sie Werbe- oder Marketing-Pixel ein (Meta Pixel, Google Ads Remarketing, LinkedIn Insight Tag)?
03
Sind Videos eingebettet?
04
Sind Landkarten eingebettet?
05
Woher kommen Ihre Schriften?
06
Gibt es einen Webshop, Warenkorb oder eine Online-Buchung?
07
Gibt es einen Login-Bereich?
08
Merkt sich die Website Nutzer-Präferenzen (Sprachwahl, Dark Mode)?
09
Laufen Drittanbieter-Widgets auf der Seite (Live-Chat, reCAPTCHA, Social-Media-Feeds)?
10
Läuft A/B-Testing oder Personalisierung im Browser der Besucher (Optimizely & Co.)?
Ihr Ergebnis
30 Minuten · kostenlos · mit konkreten nächsten Schritten
Technik für Technik: Was den Banner erzwingt und was nicht
Maßstab ist § 165 Abs 3 TKG 2021: Einwilligung für jedes Speichern oder Auslesen am Endgerät, außer es ist für den ausdrücklich gewünschten Dienst unbedingt erforderlich. Die Einordnungen folgen den FAQ der Datenschutzbehörde, den EDPB-Leitlinien 2/2023 und dem Ausnahmenkatalog der Art-29-Gruppe (WP 194). Stand: 15.07.2026.
| Technik | Einwilligung | Warum | Bannerfreier Ersatz |
|---|---|---|---|
| Warenkorb-Cookie | Nein | Unbedingt erforderlich für die Sitzung (DSB-FAQ) | Keiner nötig |
| Login- / Session-Cookie | Nein | Authentifizierung ist ausdrücklich gewünschter Dienst (WP 194) | Keiner nötig |
| Cookie-Entscheidung speichern | Nein | Laut DSB-FAQ einwilligungsfrei, sofern ohne eindeutige Kennung | Keiner nötig |
| Sicherheit, CSRF, Load-Balancing | Nein | Sicherheits- und Lastverteilungs-Ausnahme (WP 194) | Keiner nötig |
| Sprachwahl-Cookie | Nein | UI-Personalisierung, solange kurzlebig und ohne Tracking (WP 194) | Laufzeit begrenzen |
| Serverseitige Logfile-Statistik | Nein | Kein Zugriff auf das Endgerät, § 165 TKG greift nicht; DSGVO-seitig berechtigtes Interesse | Ist selbst der Ersatz |
| Matomo / Plausible cookieless, selbst gehostet | Nein | Kein Endgeräte-Zugriff; sauber konfigurieren (IP-Kürzung, kein Fingerprinting) | Ist selbst der Ersatz |
| Google Analytics / GA4 | Ja | Cookies zur Wiedererkennung, laut DSB nicht technisch notwendig; Österreich kennt keine Analytics-Ausnahme | Cookieloses, selbst gehostetes Matomo oder Serverstatistik |
| YouTube- / Vimeo-Embed (Standard) | Ja | Lädt beim Seitenaufruf Cookies und Skripte des Anbieters | Zwei-Klick-Lösung mit Vorschaubild oder selbst hosten |
| Google-Maps-Embed | Ja | Cookies plus Datenübertragung an Google | Statisches Kartenbild mit Link oder selbst gehostetes OpenStreetMap |
| Werbepixel (Meta, Google Ads, LinkedIn) | Ja | Seitenübergreifendes Tracking, nie unbedingt erforderlich | Klick-basierte Conversion-Messung; oder bewusst auf Retargeting verzichten |
| A/B-Testing clientseitig | Ja | Speichert die Varianten-Zuordnung am Endgerät, nicht nutzergewünscht | Serverseitig testen |
| Live-Chat, reCAPTCHA, Social-Feeds | Ja | Drittskripte mit Endgeräte-Zugriff und eigenem Tracking | Kontaktformular, Honeypot-Felder, statisch eingebundene Inhalte |
| Google Fonts vom Fremdserver | Kein Cookie, aber DSGVO | Überträgt die IP-Adresse an Google; LG München sprach dafür 100 Euro Schadenersatz zu | Schriften lokal hosten, wenige Minuten Arbeit |
| Google Consent Mode (advanced) | Grauzone | Sendet auch nach Ablehnung cookielose Pings, rechtlich umstritten | Weglassen |
Häufige Fragen
Wann ist ein Cookie-Banner Pflicht?
Nur wenn die Website Informationen am Endgerät speichert oder ausliest, die nicht unbedingt erforderlich sind (§ 165 Abs 3 TKG 2021, die österreichische Umsetzung von Art 5 Abs 3 der ePrivacy-Richtlinie). Das gilt technologieneutral, also auch für localStorage, Pixel und Fingerprinting. Eine Website, die auf einwilligungspflichtige Techniken verzichtet, braucht keinen Banner. Die Einwilligung muss aktiv erfolgen, vorangekreuzte Kästchen sind seit dem EuGH-Urteil Planet49 unwirksam, und Ablehnen muss laut Bundesverwaltungsgericht gleichwertig auf der ersten Ebene möglich sein.
Ist Google Analytics ohne Cookie-Banner erlaubt?
Nein. Google Analytics setzt Cookies zur Wiedererkennung und ist laut Datenschutzbehörde nicht technisch notwendig. Anders als Frankreich kennt Österreich auch keine Ausnahme für Reichweitenmessung. Wer nur wissen will, wie viele Besucher welche Seiten lesen, kommt mit cookielosem, selbst gehostetem Matomo oder serverseitiger Logfile-Statistik ohne Einwilligung aus.
Braucht eine Website ohne Cookies eine Datenschutzerklärung?
Ja, immer. Die Informationspflichten nach Art 13 DSGVO gelten unabhängig von Cookies, schon weil der Webserver IP-Adressen verarbeitet. Und der Umkehrschluss gilt auch: Kein Cookie heißt nicht kein Datenschutz-Thema. Google Fonts vom Fremdserver setzt kein einziges Cookie, überträgt aber bei jedem Seitenaufruf die IP-Adresse an Google, das LG München sprach dafür 100 Euro Schadenersatz zu. Die Lösung ist trivial: Schriften lokal hosten.
Schafft die EU die Cookie-Banner nicht ohnehin bald ab?
Vorerst nein. Der Digital-Omnibus-Vorschlag der EU-Kommission (November 2025) will die Cookie-Regeln in die DSGVO verschieben und Reichweitenmessung einwilligungsfrei stellen. Das Element, das Banner wirklich überflüssig gemacht hätte, browserseitige Einwilligungssignale nach Art 88b, wurde im Rat aber gestrichen. Vor 2027 ändert sich nichts, und Cross-Site-Tracking bleibt auch danach einwilligungspflichtig. Wer den Banner los sein will, muss die Website selbst umbauen, und genau das ist meist einfacher als gedacht.
Was bringt eine Website ohne Cookie-Banner?
Weniger Absprünge, mehr Vertrauen, bessere Daten. Weltweit klickt weniger als die Hälfte der Besucher auf Zustimmen, der Rest wird von Consent-Tools schlicht nicht gemessen. Eine bannerfreie Website misst dagegen alle Besucher, rechtssicher. Dazu entfallen Consent-Tool-Abo, Pflege und das Risiko fehlerhaft konfigurierter Banner, wegen derer es in Österreich bereits Beschwerden und Bescheide gab.
Rechtsgrundlagen und Quellen
- § 165 Abs 3 TKG 2021 (RIS): Einwilligungspflicht für Speichern und Auslesen am Endgerät
- FAQ der Datenschutzbehörde zu Cookies: einwilligungsfreie und einwilligungspflichtige Fälle
- EDPB-Leitlinien 2/2023: technischer Anwendungsbereich von Art 5 Abs 3 ePrivacy-RL (auch Pixel, localStorage, Fingerprinting)
- Art-29-Datenschutzgruppe, Stellungnahme 04/2012 (WP 194): Ausnahmenkatalog für unbedingt erforderliche Cookies (PDF, englisch)
- EuGH C-673/17 (Planet49): aktive Einwilligung, keine vorangekreuzten Kästchen
- BVwG 31.07.2024, W108 2284491-1 (RIS): Ablehnen muss gleichwertig auf der ersten Banner-Ebene möglich sein; 2026 auch für ORF.at bestätigt
- LG München I, 3 O 17493/20: 100 Euro Schadenersatz für Google Fonts vom Fremdserver
Sorgfältig recherchiert, aber keine Rechtsberatung: Dieser Check ersetzt im Einzelfall keine anwaltliche Prüfung. Stand der Rechtslage: 15.07.2026.