Die „Cookie Richtlinie“ der EU: In Österreich ist Opt-In für personenbezogene Daten Gesetz

blog-cookie

von Kerstin, Januar 2015

Zunehmend mehr Websites zeichnen das Verhalten ihrer Besucher im kleinen oder großen Stil auf: Webanalyse, Online-Shopping, Tracking,… Besonders in der Online-Werbung sind personenbezogene Daten Gold wert! Zum Einsatz kommen dabei meist Cookies, kleine Code-Schnipsel, die personenbezogenen Informationen auf dem Rechner des Nutzers speichern.

 

Ist die Nutzung personenbezogener Daten rechtlich geregelt?

Aus rechtlicher Sicht gibt es eine klare Grundlage: Die Europäische Union hat 2009 eine Richtlinie herausgegeben (2009/136/EG), die den Schutz personenbezogener Daten im Internet regelt, die sogenannte „Cookie Richtlinie“. Allerdings gibt es bei dieser Richtlinie zwei Schwachpunkte:

Der erste Punkt betrifft die nationale Gesetzgebung. EU-Richtlinien müssen in Folge in einem bestimmten Zeitraum – für die „Cookie-Richtlinie“ galt der Zeitraum bis Mai 2011 – von den EU-Mitgliedstaaten in nationales Recht umsetzt werden. Die meisten EU-Länder sind dieser Aufforderung bereits nachgekommen, jedoch ist zB. in Deutschland die Umsetzung der Richtlinie noch immer ausständig.

 

„Opt-In“ oder „Opt-Out“?

Der zweite und weitaus größere Kritikpunkt ist, dass der Wortlaut der Richtlinie nur schwammig formuliert ist und nicht klar definiert ist, ob der Kunde für die Datenspeicherung seine Zustimmung („Opt-In“) geben muss oder sich davon abmelden kann („Opt-Out“).

Während sich die meisten Länder, darunter auch Österreich, für die „Opt-In“-Lösung entschieden haben, genügt für einige Staaten wie Finnland und Portugal auch ein „Opt-Out“. Andere Länder wie Deutschland oder Ungarn zögern die Umsetzung noch immer hinaus.

 

Was genau definiert die „Cookie Richtlinie“ in Österreich?

In Österreich ist die EU-Richtlinie im Telekommunikationsgesetz (TKG § 96 Abs 3) geregelt, seit 22.11.2011 in Kraft und betrifft jeden Websitebetreiber:

„Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Der Teilnehmer ist auch über die Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen zu informieren. Diese Information hat in geeigneter Form, insbesondere im Rahmen Allgemeiner Geschäftsbedingungen und spätestens bei Beginn der Rechtsbeziehungen zu erfolgen. Das Auskunftsrecht nach dem Datenschutzgesetz bleibt unberührt.“

Somit ist klar, dass bei der Nutzung von Cookies, die personenbezogene Daten speichern, eine Informations- und Zustimmungspflicht herrscht. Eine Ausnahme besteht für die Speicherung von Cookies, „wenn die Cookies unbedingt erforderlich sind um einen bestimmten, vom Benutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen (etwa Coockies, die zum Betrieb eines Onlineshops oder von Online-Banking technisch unbedingt notwendig sind). Diese Cookies dürfen aber auch nur solange gespeichert bleiben, als für diesen Dienst unbedingt erforderlich, also in der Regel bis zum Ende der Bestellung oder der Banking-Nutzung.“

Quelle: ARGE Daten

 

Was gilt als Zustimmung?

Bei österreichischen Websites findet man meist nur einen Hinweis auf die Nutzung von Cookies in den Datenschutzbestimmungen der Website und hat selbstverantwortlich die Möglichkeit, diese durch Änderung der Browsereinstellungen zu verhindern. Damit wäre die Informationspflicht erfüllt, aber ist das wirklich eine „aktive“ Zustimmung?

Diese gängige Praxis wird unter anderem durch die Erläuternden Bemerkungen zu § 96 Abs 3 TKG unterstützt:

„In der Neuformulierung wird nun eine Zustimmung bzw. eine Einwilligung des Teilnehmers gefordert, die auf der Grundlage von klaren und umfassenden Informationen getroffen werden muss. Damit wird im Wesentlichen sicher gestellt, dass die allgemeinen Bestimmungen des Datenschutzgesetzes durch das Telekommunikationsgesetz 2003 nicht abgeschwächt werden. Der Informationspflicht kann für Dienste der Informationsgesellschaft etwa durch Aufnahme einer Datenschutzerklärung im verpflichtenden Impressum nachgekommen werden. Wenn dies technisch durchführbar ist, kann die Einwilligung des Nutzers zur Verarbeitung über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden.“

Dadurch wird der Gesetzestext wieder abgeschwächt und lässt durchaus Interpretationsspielraum: Mit dieser Erläuterung würden die Browsereinstellungen ausreichen, die Zustimmung darzustellen; es ist jedoch notwendig, die Benutzer ausreichend und früh (dh an prominenter Stelle auf der Website) über die Aufzeichnung bzw. Speicherung der personenbezogenen Daten zumindest zu informieren, um dem Nutzer die Möglichkeit zu geben, die Browsereinstellung zu ändern.

 

Positive Beispiele österreichischer Unternehmen

Unternehmen, die auf dem europäischen Markt tätig sind, nehmen die Richtlinie auch in Österreich durchaus ernster und verlangen vom Nutzer eine aktive Zustimmung zum Einsatz von Cookies. Beispiele:

–  Microsoft Österreich

–   Opel Österreich

–   BMW Österreich

Umfassende Information zur Speicherung von Cookies liefern beispielsweise Neutrogena, Sony oder Velux.

 

Stellungsnahme der Art 29 Datenschutzgruppe

Nach Ansicht der Art 29 Datenschutzgruppe ist diese Vorgehensweise in Österreich nicht ausreichend, um eine aktive Zustimmung zur Datenspeicherung zu geben. Erklärung: „Nur Aussagen und Handlungen, nicht reines Schweigen oder Untätigkeit, kann diese Zustimmung darstellen.“ Ergänzend zu dieser Stellungnahme hat die Gruppe Ende 2013 noch eine detaillierte Checkliste veröffentlich. www.cnpd.public.lu/de/publications/groupe-art29/wp208_de.pdf

Ein Einsatz von Cookies ist demnach nur dann zulässig, wenn

–  der User vorab im Detail informiert wird,

–  vor dem Einsatz von Cookies eine Zustimmung vorliegt und

– die Zustimmung freiwillig, ohne Zweifel und durch eine aktive Handlung erteilt wurde.

 

Fazit:

Personenbezogene Daten werden von österreichischen Unternehmen ernst genommen. Zumindest informieren österreichische Websites in der Regel in den Datenschutzbestimmungen der Website über den Einsatz von Cookies und deren Nutzung. In der Folge ist aber der Nutzer selbstverantwortlich, ob er über die Verwaltung seiner Browsereinstellungen eine Speicherung von Cookies zulässt.

Dies trägt nicht zum aktiven Schutz personenbezogener Daten von Nutzern bei und ist genau genommen eine Fehlinterpretation der „Cookie Richtlinie“ der EU. In anderen Ländern wie beispielsweise Großbritannien wird die Richtlinie weitaus strenger gehandhabt und der Einsatz von Pop-ups oder Bannern vor dem Einsatz von Cookies empfohlen – siehe Beispiel.

Laut Stellungnahme der Art-29-Datenschutzgruppe ist der alleinige Hinweis auf Cookies im Impressum alleine nicht ausreichend. Die Information zum Einsatz von Cookies muss vielmehr deutlich erfolgen und Cookies dürfen erst nach aktiver Zustimmung des Users eingesetzt werden. Obwohl die Stellungnahme der Art-29 nicht rechtsverbindlich ist, ist man mit einem Hinweise und der Aufforderungen zur aktiven Zustimmung auf der Startseite auf der „rechtssicheren“ Seite. Wer möchte schon eine Verwaltungsstrafe von bis zu EUR 37.000,- riskieren?

 

Ergänzung: Unsere Empfehlung Google Analytics rechtskonform nutzen

Google Analytics ist die Standard-Software um das Nutzerverhalten auf der eigenen Website zu analysieren. Allerdings sind für den rechtssicheren Umgang einige Dinge zu beachten, da Google Analytics ebenfalls Cookies verwendet und personenbezogene Daten speichert:

 
Anonymisierung der IP-Adresse

Datenschützer zählen die IP-Adresse zu den personenbezogenen Daten. Mit der Anonymisierung der IP-Adresse durch Ergänzung des Google Analytics Codes werden die letzten 8 bit der IP verschleiert und eine Identifizierung ist nicht mehr möglich.
Zur Anleitung

 
Information über den Einsatz von Cookies durch Drittanbieter

Der Nutzer muss in der Datenschutzerklärung informiert werden, dass Cookies von Drittanbietern (Google Analytics) eingesetzt werden (Beispiel). Der Link zur Datenschutzerklärung sollte leicht auffindbar sein und direkt auf der Einstiegsseite platziert werden. Idealerweise auf allen Seiten, da nicht gesichert ist, dass der User über die Startseite die Website besucht.

Wer mit gutem Beispiel voran gehen möchte – die österreichischen Richtlinien sind leider nicht ganz klar definiert – bietet auf der Einstiegsseite einen Hinweis zur Verwendung von Cookies an.
Beispiel UCB Pharma

 
Wenn schon kein Opt-In, dann wenigstens ein Opt-Out

Damit sich ein Nutzer Google Analytics auch entziehen kann, sollte man ihm eine Möglichkeit zum Opt-Out bieten. Wir empfehlen dazu auf der Einstiegsseite ein Overlay (oben oder unten) bzw. in Folge in der Datenschutzerklärung einen Hinweis zur Deaktivierung von Google Analytics. Fürs Opt-Out stellt Google ein Browser-AddOn zur Verfügung. Um auch bei mobilen Browsern auf der sicheren Seite zu sein, wo keine AddOns unterstützt werden, muss der Google Analytics Code zudem noch um ein paar Zeilen erweitert werden.
Zur Anleitung

 

Quellen:

https://www.ris.bka.gv.at/Dokument.wxe?Abfrage=Bundesnormen&Dokumentnummer=NOR40132644

http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=51778ngg

http://www.dbj.at/en/node/1655

http://www.it-recht.at/index.php/aktuelles/246-umsetzung-der-cookie-richtlinie-im-telekommunikationsg

http://www.onpagedoc.com/wiki/Google_Analytics_anonymisieren

https://tools.google.com/dlpage/gaoptout

http://rechtsanwalt-schwenke.de/google-analytics-mobile-nutzung-update-anleitung/



TAGS: