Die Cookie Richtlinie in Österreich

von artworx, Oktober 2020

Die Cookie-Richtlinie in Österreich

Seit Einführung der ePrivacy Richtlinie und DSGVO ist der Einsatz von Cookies auf österreichischen Websites ein viel diskutiertes Thema. Wie macht man es richtig?
Wir haben die Antworten!

  • Brauchst du eine Einwilligung zur Nutzung von Cookies?
  • Reicht ein einfacher Cookie-Hinweis?
  • Oder brauchst du gleich einen umfangreichen Cookie Banner?
  • Was gibt es bei der Umsetzung der EU ePrivacy Richtlinie in Österreich zu beachten?

Achtung:
Auch wenn wir die Fakten gründlich recherchiert haben – dieser Artikel ist KEINE Rechtsberatung!

Was sind Cookies?

Cookies sind kleine Textdateien, die beim Besuch einer Websites auf deinem Computer gespeichert werden. In diesen Textdateien sind Informationen zu Besucher und/oder Website hinterlegt, zB. für Spracheinstellungen, für Warenkörbe von Online-Onlineshops, um Besucher wiederzuerkennen oder für Web-Statistiken.

Warum sind Cookies so wertvoll?

Speziell im Online Marketing sind Cookies eine wertvolle Datenbasis. Aufgrund der gesammelten Daten können Online Marketing Kampagnen differenziert für bestimmte Zielgruppen ausgespielt werden.

Für wen gilt die EU Cookie Richtlinie?

Die Cookie Richtlinie gilt für jeden Website-Betreiber, der personenbezogene Daten mittels Cookies verarbeitet (zB. via Google Analytics).

Wie sieht die gesetzliche Grundlage für Cookies in Österreich aus?

Der Ausgangspunkt für die Cookie Richtlinie ist eine EU Verordnung, die die Privatsphäre von Bürgern im Online-Bereich stärken und intensiver regulieren soll. Offiziell ist die Cookie Richtlinie als ePrivacy Richtlinie zum Schutz personenbezogener Daten bekannt, wurde 2002 erlassen und 2009 novelliert. Diese sieht seit der Änderung vor, dass nur technisch notwendige Cookies ungefragt eingesetzt werden dürfen. Für alle weiteren Cookies wird die Zustimmung des Nutzers benötigt. Das betrifft somit alle Cookies, die technisch nicht notwendig für das Funktionieren der Website sind, wie Retargeting Cookies, aber auch Analyse- und Social-Media-Cookies zählen dazu.

In Österreich wurde die ePrivacy Richtlinie der EU 2011 im Telekommunikationsgesetz (TKG) umgesetzt. Aufgrund des unklaren Wortlautes der EU-Richtlinie wurde die Richtlinie in den einzelnen Ländern unterschiedlich interpretiert. Die meisten Länder, darunter auch Österreich, haben sich für eine „Opt-in“-Lösung entschieden, während andere Staaten wie zB. Finnland eine „Opt-out“-Lösung wählten.

Was ist die ePrivacy Verordnung?

Aufgrund dieser Unklarheiten sollte die Richtlinie nochmals nachgeschärft werden und hätte als ePrivacy Verordnung gemeinsam mit der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 in Kraft treten sollen. Doch viele Länder, darunter auch Österreich,  stehen seit mehr als zwei Jahren bei der Verabschiedung des endgültigen Gesetzestextes auf der Bremse und man findet keine gemeinsame Position der EU Mitgliedsstaaten.

Nachteilig betroffen von der ePrivacy Verordnung ist vor allem die Online Marketing-Branche. Die Einschnitte durch die geplante ePrivacy Verordnung trifft vor allem werbefinanzierte Online Medien wie Blogs, Webauftritte von Zeitungen und anderen Medien, deren Geschäftsmodell von Werbeeinblendungen abhängig ist.

Auch die Websitebesucher müssen sich auf einen Mehraufwand einstellen, wenn für jedes Cookie künftig eine spezifische Zustimmung erforderlich wird.

Welche Richtlinien müssen laut DSGVO eingehalten werden?

Die DSGVO hat jedoch bereits eine weitere Verbesserung für Websitebesucher geschaffen, da diese seit 25. Mai 2018 auf der Website informiert werden müssen, welche personenbezogenen Daten verarbeitet werden, auf welcher Rechtsgrundlage, für welche Zwecke und wie lange die Daten gespeichert werden. Eine Ermittlung von personenbezogenen Daten ist zudem nur zulässig, wenn der Nutzer seine Einwilligung dazu erteilt hat.

Seit 1. Oktober 2019 gibt es durch die EU eine Verschärfung der bestehenden ePrivacy Richtlinie, die besagt, dass der User seine aktive Einwilligung geben muss, um Cookies zu nutzen.

Anlass für diese Verschärfung war ein Urteil des Europäischen Gerichtshofes: Ein Unternehmen bot für das Setzen von Cookies eine Checkbox an, die bereits vorangehakt war. Der EuGH stellte in seinem Urteil klar, dass damit keine wirksame Einwilligung erteilt wird. Erst die aktive Einwilligung stellt eine rechtskonforme Grundlage für den Einsatz von Cookies dar.

Welche Arten von Cookie Banner gibt es?

Die Zustimmung zum Einsatz von Cookies kann auf unterschiedlichen Wegen gegeben werden – ideal dafür geeignet ist ein sogenannter Cookie Banner. Hier kann der Besucher über Checkboxen für einzelne Cookie-Arten seine Einwilligung geben – oder diese verweigern. Zudem muss der Besucher laut Datenschutzgrundverordnung (DSGVO) informiert werden, welche Cookies eingesetzt werden und welchem Zweck die einzelnen Cookies dienen.

Es gibt drei Arten von Cookie Bannern, von denen jedoch nur einer der aktuellen rechtlichen Lage entspricht.

Einfacher Cookie-Hinweis

Hier wird mittels Cookie Banner lediglich ein Hinweis geliefert, dass auf der Website Cookies eingesetzt werden, meist ergänzt um einen Link zur Datenschutzerklärung und einem OK-Button.

In den wenigsten Fällen ist dieser Hinweis ausreichend, da weder darüber informiert wird, welche Cookies genutzt werden noch eine konkrete, aktive Einwilligung für einzelne Cookies vorliegt. Ausgenommen es werden AUSSCHLIESSLICH technisch notwendige Cookies auf der Website verwendet. Das sollte dann auch ganz klar im Hinweistext kommuniziert werden.

Opt-in Cookie Banner

Das Opt-in Cookie Banner wird als Overlay beim ersten Besuch einer Website präsentiert und bietet dem Besucher eine detaillierte Übersicht, welche Arten von Cookies auf der Website eingesetzt werden. Der Besucher kann hier seine aktive Zustimmung für alle oder auch nur einzelne Kategorien geben.

Diese Variante ist die einzig datenschutzkonforme Lösung. Voraussetzung ist natürlich, dass die Cookies wirklich erst gesetzt werden, nachdem der Nutzer seine ausdrückliche Zustimmung mittels Opt-in erteilt hat.

Opt-out Cookie Banner

Ein Opt-out Cookie Banner ist einem Opt-in Cookie Banner optisch sehr ähnlich, unterscheidet sich technisch jedoch erheblich: Beim Opt-out Banner werden Cookies und die dazugehörigen Skripte bereits beim Seitenaufruf geladen und erst durch Ablehnen von Cookies werden die Skripte beendet.

Diese Variante ist nicht rechtskonform, da zuvor keine explizite Zustimmung zur Verwendung von Cookies gegeben wurde.

Für welche Arten von Cookies brauche ich ein Opt-in?

„Technisch notwendige“ Cookies benötigen KEINE explizite Zustimmung durch den Besucher. Hierbei handelt es sich z.B. um Cookies, die Spracheinstellungen speichern oder Session-Cookies, die den Inhalt eines Warenkorb speichern und nach dem Schließen des Browsers wieder gelöscht werden.

Nicht-technisch notwendig sind beispielsweise Cookies, die der Websiteanalyse dienen, für Marketingzwecke eingesetzt werden oder Social Media Cookies.

Legt man die ePrivacy Richtlinie rechtskonform aus, dann sind alle Cookies, die für den Betrieb einer Website und die Bereitstellung spezifischer Funktionen technisch nicht zwingend erforderlich sind, EINWILLIGUNGSPFLICHTIGE Cookies.

Tipp: Wenn du nicht sicher bist, ob eine Cookie technisch notwendig ist, sollte besser eine Einwilligung eingeholt werden!

Allerdings erleiden Online Marketing Unternehmen – aber auch generell alle Websitebetreiber dadurch erhebliche Nachteile:

  • Die Aktivitäten des Websitebesucher können nicht getrackt werden
  • Klickverhalten und Verweildauer bleiben im Dunkeln
  • Es gibt keine Optimierungsmöglichkeiten
  • Traffic-Entwicklung und Ergebnisse der Kampagnen können nicht gemessen werden
  • Retargeting ist nicht möglich

Gibt es Besonderheiten in der Auslegung der österreichischen Cookie Richtlinie?

Im österreichischen Telekommunikationsgesetz (TGK) gibt es tatsächlich eine Grauzone. Mit dem Einfließen der DSGVO in das TKG wurde am 1.12.2018 die Cookie Richtlinie dahingehend angepasst, dass nur für PERSONENBEZOGENE Cookies eine explizite Einwilligung vorliegen muss. Somit widerspricht das österreichische TGK dem EU Recht, das für alle nicht technisch notwendigen Cookies eine Einwilligung vorschreibt. Es ist jedoch zu erwarten, dass auch die österreichische Gesetzgebung zeitnah die Cookie Richtlinie im TGK anpassen wird, sodass auch der Einsatz von anonymen Cookies einwilligungspflichtig wird. Derzeit wird bei Gerichtsverhandlungen im Einzelfall entschieden.

Was sind anonyme und personenbezogene Cookies?

Von personenbezogenen Cookies spricht man, wenn man die gespeicherten Informationen auf eine identifizierte oder identifizierbare natürliche Personen zurückführen kann. Dem Gegenüber steht natürlich der Aufwand, den man betreiben müsste, um diese Person wirklich zu identifizieren.

Im Zusammenhang mit Online Marketing besteht in den meisten Fällen gar kein Interesse, einzelne Personen zu identifizieren oder einen echten Personenbezug herzustellen, sondern mittels Retargeting INTERESSIERTEN Personen zielgerichtete Werbeangebote auszuspielen. Dieses Interesse durch den User wurde zudem bereits durch den Besuch der Website bekundet.

Ist Google Analytics ein essentielles Cookie?

Auch wenn Google Analytics einzig und alleine dazu dient, durch Analyse die Usability zu verbessern, wenn keine Nutzer ID gespeichert wird oder keine Verbindung zu weiteren Diensten wie Google Ads hergestellt wird, ist es zwar ein essentielles, dennoch kein „technisch notwendiges“ Cookie.

Fazit

Wir plädieren im Sinne der Rechtssicherheit in Österreich für eine Cookie-Lösung auf Opt-in-Basis, die über die genutzten Cookies informiert und eine aktive Einwilligung durch den Besucher verlangt – und zwar nicht nur für personenbezogene Daten. Die Einwilligung muss jederzeit widerrufbar sein. Um all diese Vorgabe zu erfüllen, ist der Einsatz eines Cookie Banners somit Pflicht.

Wir beraten Sie gerne!

Dominik Pfannhauser

Key Account Manager & Projektleitung
Telefon: +43 7242 90 80 99 14
Mobil: +43 676 625 911 5

Quellen:
https://cms.law/de/aut/insight/e-privacy
https://de.wikipedia.org/wiki/Datenschutzrichtlinie_f%C3%BCr_elektronische_Kommunikation
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/checkliste-cookies-webanalyse-webshop.html
https://www.wko.at/branchen/information-consulting/werbung-marktkommunikation/eugh-entscheidung-zu-cookies-und-einwilligung.html
http://www.argedaten.at/php-generiert/_Leitfaden_zum_datenschutzkonformen_Cookie_Einsatz.html
https://www.ionos.at/digitalguide/websites/online-recht/eprivacy-verordnung/
https://netzpolitik.org/2018/schutz-gegen-tracking-unerwuenscht-oesterreich-verschiebt-eprivacy-reform-auf-den-st-nimmerleinstag/
https://www.blogmojo.de/wordpress-cookie-plugins
https://www.derbrutkasten.com/tracking-cookies
https://www.it-recht-kanzlei.de/notwendige-nicht-notwendige-cookies.html
https://www.onlinesolutionsgroup.de/blog/datenschutz-wie-sieht-die-zukunft-der-cookie-banner-aus

Achtung: Dieser Artikel ist KEINE Rechtsberatung!