Cookie-Banner-Optionen müssen gleichwertig gestaltet sein
Bundesverwaltungsgericht (Österreich) · W171 2303402-1/7E · 23. April 2026
Datenschutz / DSGVO
Orientierungssatz
Hebt ein Cookie-Banner die Schaltfläche „Alle Cookies akzeptieren” deutlich prominenter hervor als die übrigen Optionen, ist die Einwilligung missverständlich und keine unmissverständliche Willenserklärung; die Gestaltung verstößt gegen den Grundsatz von Treu und Glauben (Art. 5 Abs. 1 lit. a DSGVO). Auf der ersten Ebene ist eine visuell gleichwertige Wahl zwischen „Alle akzeptieren” und „Nur notwendige” zu bieten; technisch nicht notwendige Cookies dürfen vor Einwilligung nicht gesetzt werden.
Die Entscheidung im Überblick
Das österreichische Bundesverwaltungsgericht hat mit Erkenntnis vom 23. April 2026 die Beschwerde des Verantwortlichen gegen die Anordnung der Datenschutzbehörde (Spruchpunkt 2a) als unbegründet abgewiesen und damit die Pflicht zur Neugestaltung des Cookie-Banners bestätigt. Die Datenschutzbehörde hatte mit Bescheid vom 28.10.2024 amtswegig aufgetragen, auf der ersten Ebene des Banners eine gleichwertige Wahlmöglichkeit zwischen „Alle Cookies akzeptieren” und „Nur notwendige Cookies” zu bieten und bestimmte Tracking-Cookies (u. a. ioam2018, i00, UserID1, autouserid2) vor Einwilligung nicht zu setzen.
Maßstab ist die Figur des durchschnittlich informierten, aufmerksamen und verständigen Verbrauchers. Die betroffene Person darf bei der Einwilligung weder unmittelbar noch subtil gedrängt werden. Ein Banner, dessen Schaltfläche „Alle Cookies akzeptieren” deutlich prominenter hervorgehoben ist als die übrigen Optionen, ist daher missverständlich; es liegt keine unmissverständliche Willenserklärung vor. Eine solche Gestaltung widerspricht dem Grundsatz von Treu und Glauben (Art. 5 Abs. 1 lit. a DSGVO). Technisch nicht notwendige Cookies, die der Nutzererkennung und Interessenverfolgung dienen, dürfen mangels gesetzlicher Grundlage nur mit Einwilligung und damit nicht vor deren Abgabe gesetzt werden.
Hintergrund und Einordnung
Das Verfahren geht auf eine von noyb unterstützte Datenschutzbeschwerde aus 2021 zurück; der Verantwortliche wurde im Verfahren erst nachträglich präzise bezeichnet, was das Gericht nicht als Präklusion wertete. Der Verantwortliche rügte u. a. eine Überschreitung der Behördenzuständigkeit durch die amtswegige Anordnung und das Fehlen zwingender DSGVO-Vorgaben zur konkreten Banner-Gestaltung. Das BVwG folgte dem nicht: Auch ohne starre Gestaltungsregeln ergibt sich aus dem Freiwilligkeits- und dem Treu-und-Glauben-Grundsatz, dass Ablehn- und Zustimmungsoption visuell gleichwertig sein müssen.
Die Entscheidung liegt auf der Linie der EDSA-Leitlinien zu „Deceptive Design Patterns” und der deutschen Diskussion um „Dark Patterns”. Für deutsche Website-Betreiber ist sie trotz österreichischer Herkunft unmittelbar relevant, weil derselbe DSGVO-Maßstab gilt. Dass die Revision an den VwGH zugelassen wurde, zeigt die grundsätzliche Bedeutung; rechtskräftig abschließend geklärt ist die Frage damit noch nicht. Für Datenschutz-Audits liefert der Fall ein klares Prüfkriterium: Ist „Ablehnen” auf der ersten Ebene genauso prominent und leicht erreichbar wie „Akzeptieren”?
Originalurteil
Der vollständige Urteilstext ist über die folgende Quelle abrufbar:
Quellen
- RIS — BVwG W171 2303402-1/7E (Volltext, RTF) · original · abgerufen 2026-06-16
- Dr. Datenschutz — ÖBVwG: Cookie-Banner-Optionen müssen gleichwertig sein · kommentar · abgerufen 2026-06-16
- SN.at — Cookie-Banner auf ORF.at muss angepasst werden · kommentar · abgerufen 2026-06-16
