Cookie-Banner sind in Europa seit Jahren ein Ärgernis: Nutzer klicken genervt auf “Akzeptieren”, Webseitenbetreiber müssen komplexe Consent-Lösungen implementieren. Die EU diskutiert deshalb Reformen, etwa Browser-basierte Voreinstellungen, die Banner in Zukunft überflüssig machen könnten. Doch bis dahin gilt die aktuelle Rechtslage: Ein Banner ist Pflicht, wenn Cookies oder personenbezogene Daten verarbeitet werden. Für Webseitenbetreiber stellt sich damit die Frage: Welche Analytics-Lösung ermöglicht eine datenschutzfreundliche Nutzung – und wann lässt sich auf ein Banner verzichten? Matomo bietet hier mehr Spielraum als Google Analytics.
Wann ist ein Cookie-Hinweis nötig?
Solange die EU-Reform noch nicht umgesetzt ist, bleibt klar: Wer mit Analytics Cookies setzt oder personenbezogene Daten erhebt, braucht ein Banner. In Matomo betrifft dies z. B. den Standardbetrieb mit Cookies oder Funktionen wie Session Recording. Auch bei Google Analytics (GA4) gilt diese Pflicht grundsätzlich immer, da standardmäßig Cookies gesetzt werden und Daten an Google-Server in den USA übertragen werden.
Zusammenfassung:
- Banner nötig bei Cookies oder Identifikatoren
- Banner nötig bei personenbezogenen Daten (z. B. IP, User-ID)
- Banner nötig bei erweiterten Features (Heatmaps, Recording)
- Google Analytics (GA4) fast immer Bannerpflicht wegen Cookie- und Datenübertragung
Wann man kein Banner braucht (unter bestimmten Bedingungen)
Die EU-Diskussion zeigt, dass Cookie-Banner mittelfristig reduziert werden sollen – z. B. durch zentrale Browser-Einstellungen. Schon heute können Betreiber mit Matomo cookieloses Tracking einsetzen. In diesem Modus werden keine Cookies gesetzt und nur anonymisierte Daten verarbeitet. Manche Datenschutzbehörden akzeptieren dies als Ausnahme von der Einwilligungspflicht.
Google Analytics bietet mit Consent Mode zwar ein Modell, bei dem ohne Zustimmung keine Cookies gesetzt werden und nur modellierte Daten fließen. Aber da weiterhin Daten an Google übermittelt werden, ist eine Einwilligung in der EU fast immer nötig.
Zusammenfassung:
- Matomo cookieless = möglich ohne Banner, wenn nur anonymisierte Daten verarbeitet werden
- Transparenz & Opt-out bleiben Pflicht
- Google Analytics Consent Mode = Datenübertragung an Google → Banner bleibt notwendig
- EU-Reformen könnten zukünftig Vereinfachungen bringen, aktuell aber keine Befreiung
Vergleich: Matomo vs. Google Analytics
| Kriterium | Matomo (self-hosted) | Google Analytics (GA4) |
|---|---|---|
| Cookies | Deaktivierbar (cookieless Mode) | Standardmäßig gesetzt |
| Datenübertragung | Auf eigenem Server, volle Kontrolle | An Google-Server (USA, DPF) |
| Personenbezogene Daten | Optional anonymisiert, keine Pflicht | IP, IDs, modellierte Daten |
| Banner-Pflicht | Nicht nötig bei cookielosem, anonymem Setup (abhängig von Rechtslage) | In der EU fast immer nötig |
| Consent Mode | Nicht notwendig, da cookieless möglich | Consent Mode reduziert Cookies, aber Banner bleibt nötig |
| Rechtliches Risiko (EU) | Gering, da DSGVO-konform hostbar | Höher, trotz DPF, Consent zwingend |
Rechtsstand in Österreich (2025)
DSB-Bescheid 2022: Damals entschied die Datenschutzbehörde, dass Google Analytics gegen die DSGVO verstößt (Schrems II, Datenübermittlung USA - Teilbescheid GZ: D155.027/0009-DSB/2021).
Seit Juli 2023: Mit dem EU–US Data Privacy Framework (DPF) ist Google LLC zertifiziert. Damit ist die Übermittlung in die USA wieder zulässig, wenn Consent vorliegt.
GA4-Spezifikum: IP-Adressen werden für EU-Traffic sofort anonymisiert; Daten laufen über EU-Domains/Server, bevor sie zu Google gelangen.
ABER: Nach § 165 Abs. 3 TKG 2021 bleiben Analytics-Cookies einwilligungspflichtig. → Google Analytics ist in Österreich nur mit Consent-Banner rechtmäßig nutzbar.
Matomo cookieless: Kann (mit IP-Anonymisierung und ohne Cookies) in Österreich ohne Banner eingesetzt werden, aber Transparenz- und Opt-out-Pflicht bleiben bestehen.
Fazit
Die EU plant langfristig eine Vereinfachung der Cookie-Regeln, aber aktuell bleibt die Pflicht zu Bannern bestehen, sobald Cookies oder personenbezogene Daten verarbeitet werden. Mit Matomo kann bereits heute auf cookieloses Tracking umgestellt werden – in vielen Fällen ohne Banner. Google Analytics dagegen bleibt in Österreich auch mit DPF und GA4 nur mit Consent-Banner rechtlich sicher einsetzbar.
Meilensteine der EU-Regulierung zu Cookies / ePrivacy
| Jahr / Datum | Ereignis / Meilenstein | Bedeutung / Hinweis |
|---|---|---|
| 2002 | Annahme der ePrivacy-Richtlinie 2002/58/EG (“Richtlinie über Datenschutz und elektronische Kommunikation”) | Erste gesetzliche Regelungen zu Cookies & Datenschutz in elektronischer Kommunikation |
| 2009 | Änderung / Ergänzung: Richtlinie 2009/136/EG | Ergänzt Vorschriften zur Einwilligung bei Cookies („Informationspflicht“ und “vorherige Einwilligung”) |
| um 2011 | Umsetzung der ePrivacy-Richtlinie in nationales Recht vieler EU-Staaten | Die Regelungen zur Cookie-Einwilligung wurden in nationale Gesetze übernommen |
| 2016 / 2017 | Vorschlag für eine ePrivacy-Verordnung (ePR) | Ziel: die Richtlinie ablösen, einheitliches Recht in ganz Europa, stärkere Spezifizierung der Cookie-Regeln |
| 2018 (25. Mai) | Inkrafttreten der DSGVO (GDPR) | Die DSGVO setzt höhere Standards für Verarbeitung personenbezogener Daten – auch in Verbindung mit Cookies und Tracking |
| 2019 (1. Oktober) | EuGH-Urteil Planet49 (C-673/17) | Prä-gedrehte Checkboxen sind ungültig, Consent muss klar, informiert und aktiv erfolgen; Einwilligung nach ePrivacy-Richtlinie ist streng zu behandeln |
| 2021 | Europäisches Parlament verabschiedet Teilpositionen zum ePrivacy-Verordnungsentwurf | Die Diskussion um den endgültigen Text des ePR gewinnt an Fahrt, aber noch kein Inkrafttreten |
| 2022 (Nov.) | Inkrafttreten des Digital Services Act (DSA) | Zwar kein Ersatz für ePrivacy, aber neue Regulierungen zur Nutzung personenbezogener Daten und Werbung, die den Kontext beeinflussen |
| 2023 / 2024 | Fortwährende Verzögerungen bei Verabschiedung der ePrivacy-Verordnung | Der Entwurf wurde mehrfach verschoben – die ePrivacy-Richtlinie bleibt weiterhin in Kraft |
| 2025 (aktuelle Entwicklungen) | Reformdiskussion zu vereinfachtem Consent – etwa Browser-Einstellungen statt Banner |
Die EU-Kommission arbeitet an Konzepten, Bannerpflicht zu entschärfen, z. B. durch zentralisierte Consent-Einstellungen auf Browser-Ebene |
Weiterführende Verweise
ePrivacy Directive (2002/58/EC, amended 2009/136/EC) ; General Data Protection Regulation (GDPR – 2016/679) ; CJEU – Planet49 Case (C-673/17, 2019) ; EDPS (European Data Protection Supervisor) – History of GDPR ; European ePrivacy Regulation (unadopted draft, withdrawn 2025) ; InsidePrivacy – EU Supervisory Authorities Guidance on Cookies (2023–2024) ; TechReg Journal – “Cookies and EU Law: History, Future Regulation and Critique” ; Dataguard – Blog: Is the EU getting ready to act on cookie banners? ; Cybernews – “EU may get rid of cookie banners”