Am 14. Juli 2026 hat der Europäische Datenschutzausschuss (EDPB) veröffentlicht Bindungsentscheidung 1/2026 nach Art. 65 Abs. 1 lit. a DSGVO, mit der die belgische Datenschutzbehörde gezwungen wird, über die Sache einer NOYB-Cookie-Banner-Beschwerde zu entscheiden, statt sie als Rechtsmissbrauch abzuweisen. Die Entscheidung wurde am 28. Mai 2026 verabschiedet und am 14. Juli 2026 veröffentlicht; sie weist die belgische Datenschutzbehörde in ihrer Rolle als hauptzuständige Aufsichtsbehörde (LSA) an, die Beschwerde in der Sache zu prüfen und den betroffenen Aufsichtsbehörden nach Art. 60 Abs. 3 DSGVO einen neuen Entwurf der Entscheidung zu übermitteln.

Die Beschwerde war von der NGO NOYB im Namen einer Einzelperson bei der österreichischen Datenschutzbehörde eingelegt worden und richtete sich gegen die Cookie-Banner auf der Website von VRT, dem flämischen öffentlich-rechtlichen Rundfunk. Da VRT in Belgien ansässig ist, übernahm die belgische Datenschutzbehörde im One-Stop-Shop-Verfahren die Federführung, während die österreichische Datenschutzbehörde als betroffene Aufsichtsbehörde (CSA) fungierte.

Warum wollte die belgische Datenschutzbehörde die Beschwerde abweisen?

Der Entwurf der belgischen Datenschutzbehörde sah vor, die Sache aus verfahrensrechtlichen Gründen abzuweisen, mit dem Argument, die beschwerdeführende Person habe ihr Recht auf Beschwerde nach Art. 77 DSGVO und ihr Recht auf Bevollmächtigung eines Vertreters nach Art. 80 Abs. 1 DSGVO missbraucht. Die österreichische Datenschutzbehörde wandte ein, die LSA müsse die Sache in der Sache entscheiden, anstatt sie aus verfahrensrechtlichen Gründen fallen zu lassen. Als die belgische Datenschutzbehörde dem Einwand nicht folgte, legte sie den Streitfall dem EDPB im Rahmen des Streitbeilegungsverfahrens nach Art. 65 Abs. 1 lit. a DSGVO vor, dem Kanal, der eine einheitliche Anwendung der DSGVO in grenzüberschreitenden Fällen sicherstellen soll.

Wie hat der EDPB über den Einwand des Rechtsmissbrauchs entschieden?

Der EDPB stellte zunächst fest, dass der österreichische Einwand im Sinne von Art. 4 Ziff. 24 DSGVO relevant und begründet war; dabei wandte er seine Leitlinien 09/2020 zum relevanten und begründeten Einwand an und prüfte ihn in der Sache. Anschließend wandte er den Maßstab des EuGH für einen behaupteten Rechtsmissbrauch an und stellte fest, dass die beschwerdeführende Person weder Art. 77 noch Art. 80 Abs. 1 DSGVO missbraucht hatte, da weder die objektive noch die subjektive Komponente, die für den Nachweis eines solchen Missbrauchs erforderlich sind, belegt waren. Der EDPB wies die LSA daher an, die Beschwerde nicht abzuweisen, sondern in der Sache zu prüfen.

Wer ist betroffen, und was sollten Compliance-Teams jetzt tun?

Die Entscheidung richtet sich unmittelbar an Datenschutzbeauftragte und Privacy-Compliance-Teams jedes auf den EU-Raum ausgerichteten Unternehmens, das ein Cookie-Banner betreibt, sowie an Anbieter von Consent-Management-Plattformen (CMP) und Akteure aus dem Adtech-Umfeld, deren Einwilligungsflüsse nun einem erhöhten Durchsetzungsrisiko ausgesetzt sind. Das praktische Signal: Hauptzuständige Aufsichtsbehörden können Beschwerden vom Typ NOYB gegen Cookie-Banner nicht mehr mit dem Verweis auf Rechtsmissbrauch auf verfahrensrechtlicher Ebene abwenden; die Sache, einschließlich der Frage, ob die Einwilligung freiwillig, spezifisch und informiert im Sinne der ePrivacy-Richtlinie und der DSGVO erteilt wurde, muss inhaltlich geprüft werden.

Drei unmittelbare Maßnahmen ergeben sich daraus. Erstens: Prüfen Sie Ihre Cookie-Einwilligungsflüsse anhand der EDPB-Leitlinien zu irreführenden Einwilligungsdesigns, denn eine Beschwerde, die eine verfahrensrechtliche Abweisung übersteht, wird daran gemessen, ob das Banner selbst konform ist. Zweitens: Überprüfen Sie, ob Ihre CMP auf Dark Patterns oder vorangekreuzte Felder setzt, die eine Aufsichtsbehörde nun in der Sache prüfen müsste. Drittens: Dokumentieren Sie die Rechtsgrundlage und den Erfassungsmechanismus der Einwilligung für jede Tracking-Technologie, damit Sie die Sache verteidigen können, falls eine Beschwerde bei Ihrer hauptzuständigen Aufsichtsbehörde eingeht.

StufeWas geschahRechtsgrundlage
Beschwerde eingereichtNOYB legt Beschwerde bei der österreichischen Datenschutzbehörde gegen die VRT-Cookie-Banner einArt. 77 + Art. 80 Abs. 1 DSGVO
Entwurf der HauptzuständigenBelgische Datenschutzbehörde (LSA) schlägt Abweisung wegen Rechtsmissbrauchs vorArt. 60 Abs. 3 DSGVO
Einwand der CSAÖsterreichische Datenschutzbehörde legt Einwand ein und verlangt eine Entscheidung in der SacheArt. 4 Ziff. 24 DSGVO
EDPB-BindungsentscheidungEDPB stellt keinen Missbrauch fest und weist die LSA an, in der Sache zu entscheidenArt. 65 Abs. 1 lit. a DSGVO

Nutzen Sie diese Echtzeit-Überwachung

Digital Omnibus data reform triloguesLive
Monitor the EU Digital Omnibus data strand for the AI, data and digital governance industry.
Stündlich Email 3 Meldungen
Dieser laufende Monitoring-Job hat die Meldung entdeckt, die Sie gerade lesen.
Diese Überwachung jetzt kostenlos aktivieren

Die belgische Datenschutzbehörde muss nun einen neuen Entwurf der Entscheidung über die Sache der VRT-Cookie-Banner-Beschwerde erlassen und ihn im Rahmen des One-Stop-Shop-Zusammenarbeitsverfahrens zirkulieren lassen. Die Argumentation des EDPB wird voraussichtlich in weiteren NOYB-Cookie-Banner-Beschwerden in der gesamten EU zitiert und engt die verfahrensrechtlichen Auswege für hauptzuständige Aufsichtsbehörden weiter ein. Kontinuierliches, pro Jurisdiktion aufgebautes Echtzeit-Monitoring macht solche Verschiebungen in der Durchsetzung in dem Moment sichtbar, in dem sie veröffentlicht werden, damit Ihr Team nicht erst nach Eingang einer Beschwerde einen Einwilligungsfluss prüfen muss.