Cookie-Banner sind in Europa weiter ein Reizthema. Neu ist aber: Aus der früher eher allgemeinen Reformdebatte ist inzwischen ein konkreter EU-Vorschlag geworden. Die Kommission hat im November 2025 im Rahmen des Digital Omnibus vorgeschlagen, die Cookie-Regeln zu modernisieren, Einwilligungen zu vereinfachen und künftig auch zentrale, maschinenlesbare Nutzervorgaben – etwa über Browser-Signale – zu berücksichtigen. Das ist jedoch noch nicht geltendes Recht.
Für Webseitenbetreiber bleibt damit die praktische Frage dieselbe: Welches Analytics-Setup ist unter der heute geltenden Rechtslage realistisch ohne Banner betreibbar? Matomo bietet hier grundsätzlich mehr Spielraum als Google Analytics – aber nur dann, wenn es wirklich cookielos und ohne vergleichbare Tracking-Identifier vor Einwilligung betrieben wird.
Wann ist ein Cookie-Hinweis nötig?
Solange die EU-Reform nicht beschlossen und umgesetzt ist, bleibt in Österreich maßgeblich: Ein Banner bzw. ein wirksamer Consent-Mechanismus ist immer dann nötig, wenn technisch nicht notwendige Cookies oder vergleichbare Zugriffe auf Endgeräte eingesetzt werden. Die österreichische Datenschutzbehörde verweist dafür ausdrücklich auf § 165 Abs. 3 TKG 2021 und hält fest, dass technisch nicht notwendige Cookies nicht vor Einholung einer Einwilligung gesetzt werden dürfen. Diese Logik betrifft nicht nur klassische Cookies, sondern allgemein die technische Speicherung oder den Zugriff auf Daten am Endgerät.
Zusammenfassung:
- Banner nötig bei Cookies oder Identifikatoren
- Banner nötig bei personenbezogenen Daten (z. B. IP, User-ID)
- Banner nötig bei erweiterten Features (Heatmaps, Recording)
- Google Analytics (GA4) fast immer Bannerpflicht wegen Cookie- und Datenübertragung
Wann man kein Banner braucht (unter bestimmten Bedingungen)
Die EU-Diskussion ändert an der heutigen Lage noch nichts: Eine generelle Banner-Befreiung gibt es derzeit nicht. Ein Betrieb ohne Banner kommt nur in einer eng konfigurierten, tatsächlich cookielosen Reichweitenmessung in Betracht – also ohne technisch nicht notwendige Cookies, ohne vergleichbare Identifier auf dem Endgerät vor Einwilligung und mit konsequenter Datenminimierung. Gerade hier sollte man vorsichtig formulieren: Die österreichische Linie ist keine pauschale Freigabe für “Matomo ohne Banner”, sondern eine enge Prüfung des konkreten Setups.
Für Google Analytics bleibt die Lage strenger. Der EU-U.S. Data Privacy Framework kann zwar die Datenübermittlung an teilnehmende US-Unternehmen datenschutzrechtlich absichern, ersetzt aber nicht die vorherige Einwilligungspflicht nach dem österreichischen Cookie-Recht. Für österreichische Websites bedeutet das praktisch weiterhin: GA4 nur mit Consent-Banner.
Zusammenfassung:
- Matomo cookieless = möglich ohne Banner, wenn nur anonymisierte Daten verarbeitet werden
- Transparenz & Opt-out bleiben Pflicht
- Google Analytics Consent Mode = Datenübertragung an Google → Banner bleibt notwendig
- EU-Reformen könnten zukünftig Vereinfachungen bringen, aktuell aber keine Befreiung
Vergleich: Matomo vs. Google Analytics
| Kriterium | Matomo (self-hosted) | Google Analytics (GA4) |
|---|---|---|
| Cookies/Identifiers | Kann streng cookielos konfiguriert werden; sobald z. B. _pk_id eingesetzt wird, ist Consent nötig |
Im Regelfall Einsatz von Analytics-Identifiern / Cookies |
| Datenübertragung | Eigener Server, volle technische Kontrolle möglich | Verarbeitung über Google-Infrastruktur; Transferfrage separat zu prüfen |
| Betrieb ohne Banner in Österreich | Nur im eng begrenzten Ausnahmefall: wirklich cookielos, keine vergleichbaren Identifier vor Consent, konsequente Datenminimierung | Praktisch nein |
| Erweiterte Funktionen | Heatmaps, Session Recording, E-Commerce-Profiling etc. regelmäßig consent-pflichtig | Consent Mode ändert nichts daran, dass die Grundnutzung in der Praxis zustimmungsabhängig bleibt |
| Rechtslage in Österreich | Kein pauschales „ohne Banner“; konkrete Konfiguration ist entscheidend | Für übliche Nutzung weiterhin Banner / Consent erforderlich |
| Internationaler Datentransfer | Bei Self-Hosting regelmäßig einfacher beherrschbar | DPF kann Transferbasis sein, ersetzt aber nicht § 165 TKG 2021 |
Rechtsstand in Österreich
Der aktuelle Rechtsrahmen in Österreich ist klar: Maßgeblich ist § 165 Abs. 3 TKG 2021. Nach der FAQ der Datenschutzbehörde dürfen nur solche Cookies ohne Einwilligung gesetzt oder ausgelesen werden, die unbedingt erforderlich sind, damit ein ausdrücklich gewünschter Dienst bereitgestellt werden kann. Für alle technisch nicht notwendigen Cookies ist vorab eine Einwilligung einzuholen.
Wichtig für die Praxis ist außerdem die geteilte Zuständigkeit: Verstöße gegen § 165 Abs. 3 TKG 2021 werden auf nationaler Ebene grundsätzlich von den Fernmeldebehörden vollzogen. Die Datenschutzbehörde bleibt aber zuständig, wenn infolge des Cookie-Einsatzes auch personenbezogene Daten verarbeitet werden – etwa Online-Kennungen, IP-Bezüge oder Profilbildung.
Für Matomo bedeutet das: Ein pauschales „Matomo geht immer ohne Banner“ ist inzwischen zu weit. In einer aktuell öffentlich zugänglichen österreichischen Entscheidung wurde angeordnet, dass das Matomo-Cookie pkid nicht vor Einwilligung verwendet werden darf. Die Behörde hält dort fest, dass dieses Cookie eine „unique visitor ID“ enthält, nicht strikt technisch notwendig ist und daher erst nach gültiger Einwilligung eingesetzt werden darf.
Für Google Analytics gilt damit in Österreich unverändert: Selbst wenn die Übermittlung an einen teilnehmenden US-Empfänger über das Data Privacy Framework datenschutzrechtlich besser abgesichert ist, bleibt die Einwilligungspflicht für nicht notwendige Analytics-Identifier bestehen. Das Data Privacy Framework löst also die Transferfrage, aber nicht die Bannerfrage.
Fazit
Die EU hat die Reform der Cookie-Regeln inzwischen konkret auf die Agenda gesetzt, aber derzeit gilt noch das bestehende Recht. Für österreichische Webseiten und Webshops ist deshalb weiterhin entscheidend, ob vor Einwilligung nicht notwendige Cookies oder vergleichbare Identifier eingesetzt werden. Ein streng konfiguriertes, cookieloses Matomo-Setup kann unter Umständen ohne Banner auskommen; GA4 bleibt in der Praxis bannerpflichtig. Parallel ist mit dem geplanten Digital Fairness Act ab 2026 zusätzlicher Druck auf manipulative Banner-Gestaltung und andere Dark Patterns zu erwarten.
Meilensteine der EU-Regulierung zu Cookies / ePrivacy
| Jahr / Datum | Ereignis / Meilenstein | Bedeutung / Hinweis |
|---|---|---|
| 2002 | ePrivacy-Richtlinie 2002/58/EG | Erste gesetzliche Regelungen zu Cookies & Datenschutz in elektronischer Kommunikation |
| 2009 | Richtlinie 2009/136/EG | Ergänzt Vorschriften zur Einwilligung bei Cookies („Informationspflicht“ und “vorherige Einwilligung”) |
| 2018 (25. Mai) | Inkrafttreten der DSGVO (GDPR) | Die DSGVO setzt höhere Standards für Verarbeitung personenbezogener Daten – auch in Verbindung mit Cookies und Tracking |
| 2019 (1. Oktober) | EuGH-Urteil Planet49 (C-673/17) | Prä-gedrehte Checkboxen sind ungültig, Consent muss klar, informiert und aktiv erfolgen; Einwilligung nach ePrivacy-Richtlinie ist streng zu behandeln |
| 2021 | Europäisches Parlament verabschiedet Teilpositionen zum ePrivacy-Verordnungsentwurf Österreich: TKG 2021, § 165 Abs. 3 |
Die Diskussion um den endgültigen Text des ePR gewinnt an Fahrt, aber noch kein Inkrafttreten. Nationale Schlüsselnorm für Cookies und vergleichbare Endgeräte-Zugriffe |
| 2022 | Inkrafttreten des Digital Services Act (DSA) Österreichische DSB-Entscheidung zu Google Analytics |
Zwar kein Ersatz für ePrivacy, aber neue Regulierungen zur Nutzung personenbezogener Daten und Werbung, die den Kontext beeinflussen Prägt die österreichische Diskussion um personenbezogene Daten und US-Transfers |
| 2023 (7. Otober) | FEU-U.S. Data Privacy Framework | Neue Angemessenheitsentscheidung für teilnehmende US-Unternehmen |
| 2025 | Reformdiskussion zu vereinfachtem Consent – etwa Browser-Einstellungen statt Banner Österreichische Entscheidung zu Cookie-Banner / Matomo- _pk_id |
Die EU-Kommission arbeitet an Konzepten, Bannerpflicht zu entschärfen, z. B. durch zentralisierte Consent-Einstellungen auf Browser-Ebene Bestätigt: Matomo-Identifier wie '_pk_id' sind nicht technisch notwendig und vor Consent unzulässig |
| 2025 (November) | Digital Omnibus der Kommission | Vorschlag für vereinfachte Cookie-Regeln, One-Click-Consent und maschinenlesbare Präferenzsignale |
| 2026 | Digital Fairness Act in Vorbereitung | Soll Dark Patterns und unfaire digitale Gestaltung stärker adressieren |
| Aktuell | Reform noch nicht in Kraft | Für Betreiber gilt weiterhin die aktuelle Cookie- und Consent-Rechtslage |
Weiterführende Verweise
ePrivacy Directive (2002/58/EC, amended 2009/136/EC) ; General Data Protection Regulation (GDPR – 2016/679) ; CJEU – Planet49 Case (C-673/17, 2019) ; EDPS (European Data Protection Supervisor) – History of GDPR ; European ePrivacy Regulation (unadopted draft, withdrawn 2025) ; InsidePrivacy – EU Supervisory Authorities Guidance on Cookies (2023–2024) ; TechReg Journal – “Cookies and EU Law: History, Future Regulation and Critique” ; Dataguard – Blog: Is the EU getting ready to act on cookie banners? ; Cybernews – “EU may get rid of cookie banners”