Warum „Nudging“ bei Cookie-Bannern rechtlich riskant ist – Deutschland & Österreich im Vergleich

Warum reden wir überhaupt darüber?

Fast jede Website blendet heute ein Cookie-Banner ein. Und ja, sie nerven! Aber sie haben einen Grund: Sie sollen Deine Daten beim Surfen schützen und Dir eine transparente Möglichkeit geben, zu entscheiden, was über Dich und Dein Surfverhalten mitgelesen und mitverfolgt wird.

Viele Cookie-Banner sind aber so gebaut, dass der grüne „Alles akzeptieren“-Knopf direkt ins Auge springt, während „Ablehnen“ versteckt oder erst nach mehreren Klicks erreichbar ist. Genau das nennt man Nudging: ein Design, das dich sanft in eine Richtung schubst – hier: zur Zustimmung. Klingt clever, ist aber juristisch fragwürdig widerspricht den Grundprinzipien der DSGVO, nämlich Fairness und Transparenz.

Was ist „Nudging“ – in einem Bild erklärt

Stell dir vor, du kommst in ein Café und die Bedienung hält dir nur die Dessertkarte direkt vor die Nase, während die Speisekarte für herzhafte Gerichte hinter dem Tresen liegt. Technisch gesehen hast du eine Wahl, denn Du könntest Dich ja bis zur Speisekarte durchfragen. Praktisch hast Du aber fast keine Wahl, denn es ist so umständlich, dass Du lieber direkt ein Dessert bestellst.

Genauso wirken Banner, in denen „Zustimmen“ groß, bunt und sofort klickbar ist, „Ablehnen“ dagegen grau, klein oder gut versteckt.

Merke: Wenn eine Option sichtbar attraktiver oder leichter erreichbar ist, ist die Entscheidung nicht mehr wirklich frei.

Was das Recht verlangt – einfach erklärt

In Europa gilt: Du darfst auf einem Gerät nur dann nicht-notwendige Cookies setzen oder vergleichbare Technologien nutzen, wenn die betroffene Person freiwillig, informiert und eindeutig zugestimmt hat.

„Freiwillig“ bedeutet: Es gibt eine echte Wahl ohne Druck.

„Eindeutig“ heißt: aktives Einverständnis, keine voreingestellten Häkchen.

Diese Grundidee kommt aus zwei Ebenen: der DSGVO (z. B. Begriffsbestimmung und Anforderungen an die Einwilligung)
und der e-Privacy-Richtlinie (für Cookies und ähnliche Technologien). Die Mitgliedstaaten setzen Letztere in nationales Recht um.

Für dich heißt das: Die juristische Messlatte ist in Deutschland wie in Österreich inhaltlich gleich hoch. Unterschiede gibt es nur im Namen der nationalen Gesetze und in einzelnen Auslegungsdetails.

Deutschland und Österreich – derselbe Kurs, andere Schilder

Deutschland: Hier regelt § 25 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG; vormals TTDSG), dass das Speichern/Lesen von Informationen in der Endeinrichtung nur nach Einwilligung auf Basis klarer Informationen zulässig ist, wenn es nicht technisch notwendig ist.

Praktisch bedeutet das: kein Tracking vor dem Klick, keine voreingestellten Zustimmungen,
und vor allem keine Gestaltung, die Ablehnen schwerer macht als Zustimmen.

Österreich: In § 165 Abs. 3 des Telekommunikationsgesetzes (TKG 2021) steht sinngemäß dasselbe: Tracking ist nur mit jederzeit widerrufbarer Einwilligung erlaubt.

Die Datenschutzbehörde (DSB) betont in ihren FAQs, dass technisch nicht notwendige Cookies erst nach Einwilligung gesetzt werden dürfen. In einer vielbeachteten Entscheidung
hat die DSB zudem klargestellt, dass ein Banner, das „Akzeptieren“ sichtbar bevorzugt, unzulässig ist.

Gemeinsamer Nenner: Beide Länder folgen natürlich dem EU-Recht. Ein Banner ist nur dann sauber, wenn die Ablehnung genauso leicht, klar und schnell möglich ist wie die Zustimmung – und wenn ein Widerruf später ebenso einfach funktioniert. 

Was Gerichte und Aufsichtsbehörden dazu gesagt haben

Der Europäische Gerichtshof hat im Fall „Planet49“ unmissverständlich festgehalten:
Voreingestellte Ankreuzkästchen sind keine wirksame Einwilligung. Es braucht eine aktive Entscheidung. Die europäischen Datenschutzbehörden haben diese Linie in ihren Leitlinien bekräftigt: Einwilligungen müssen frei sein – ohne Druck, ohne Nudging, und immer widerrufbar. Österreichs DSB hat das zuletzt sehr praxisnah auf Cookie-Banner angewendet.

Wie sieht ein faires Banner aus?

Ein faires Banner fühlt sich an wie ein guter Service: Es erklärt in wenigen Worten, wofür Daten gebraucht werden (z. B. „Statistik“, „Marketing“, „Komfort“), gibt dir eine gleichwertige Entscheidung („Alle akzeptieren“ und „Alle ablehnen“ auf derselben Ebene), erlaubt eine feine Auswahl nach Zwecken/Anbietern ohne Default-Opt-ins und bietet später eine gut sichtbare Möglichkeit, die Entscheidung zu ändern. Punkt.

Wenn du unsicher bist, stelle dir zwei einfache Fragen:

1) Würde eine mündige Person hier spontan verstehen, worum es geht? Wenn nicht, ist der Text zu wolkig.

2) Braucht „Ablehnen“ mehr Klicks oder ist schlechter sichtbar als „Zustimmen“? Wenn ja, ist es wahrscheinlich unzulässiges Nudging.

Häufige Missverständnisse – kurz entwirrt

„Ein Scroll-Klick reicht doch als Einwilligung, oder?“
Nein. Einwilligungen müssen aktiv erfolgen. Scrolling oder bloßes „Weiter-Surfen“ ist keine ausdrückliche Zustimmung. 

„Wir setzen die Cookies erst nach dem ersten Seitenklick – passt doch, oder?“
Entscheidend ist nicht der Zeitpunkt, sondern ob schon vor der Einwilligung Tracking passiert.
Auch „nur ein bisschen“ Tracking vor der Zustimmung ist unzulässig.

„Wir schreiben ins Banner, dass es Tracking gibt. Damit ist’s informiert.“
Das hast Du vermutlich irgendwo schon mal gesehen: Ein Banner im Stile von “Wir nutzen Cookies” und den schlichten “Okay”-Button. Das genügt nicht. Die Information allein reicht nicht. Es braucht eine freie, aktive Entscheidung auf Augenhöhe, inklusive Möglichkeit zum späteren Widerruf.

Das bringt dir ein sauberes Banner – jenseits der Juristerei

Wir sind davon überzeugt: Wer Menschen fair behandelt, wird belohnt und lebt entspannter: weniger Beschwerden, weniger Risiko, bessere Datenqualität (weil freiwillig), und mehr Vertrauen in Marke und Produkt. Ein klares, ehrliches Banner wirkt wie ein sauberes Schaufenster. Du hast nichts zu verbergen und lädst offen zum Eintreten ein. So wollen wir doch alle auch behandelt werden, oder?