Zum Inhalt Zum Hauptmenü

Suchformular

Rechtskonformer Einsatz von Cookies

Autoren: Axel Anderl, Nino Tlapak

Über den Schutz personenbezogener Daten in der elektronischen Kommunikation herrscht seit Umsetzung der Richtlinie 2009/136/EG („Cookie-Richtlinie”) in § 96 Abs 3 Telekommunikationsgesetz (TKG) bei den Websitebetreibern Rechtsunsicherheit über die praktische Implementierung.

So ist zwar klar, dass nun Informations- und Zustimmungspflichten beim Einsatz von Cookies gelten. Doch wie bleiben die Websitebetreiber bei Erfüllung der Rahmenbedingungen userfreundlich und gleichzeitig rechtskonform? Eine aktuelle Stellungnahme der Art-29- Datenschutzgruppe nimmt sich dieser Problematik an und bietet eine detaillierte Checkliste für die korrekte Implementierung.

Europäische Vorgaben
Nach Art 5 Abs 3 der Cookie-Richtlinie bedarf der Einsatz von Cookies, die personenbezogene Daten verarbeiten, der Zustimmung des betroffenen Nutzers. Dieser ist dafür klar und umfassend über die Zwecke der Verarbeitung zu informieren. Eine Zustimmung muss nur dann nicht vorliegen, wenn lediglich eine Nachricht über ein elektronisches Kommunikationsnetz übertragen wird oder wenn Cookies für einen vom Nutzer angeforderten Dienst unbedingt erforderlich sind.

Rechtslage in Österreich
Der österreichische Gesetzgeber hat die Bestimmung in § 96 Abs 3 TKG umgesetzt. So ist für österreichische Webseitenbetreiber seit Ende 2011 verpflichtend, dass sie betroffene User umfassend informieren und deren Zustimmung einholen. Bei Verstoß gegen die Vorschrift droht eine Verwaltungsstrafe von bis zu EUR 37.000. Daneben können Mitbewerber auch auf Basis des Gesetzes gegen den unlauteren Wettbewerb mit Unterlassungsklagen – auch im Wege von einstweiligen Verfügungen – vorgehen. Ursprünglich verwiesen die meisten Anbieter lediglich in ihren Websitenutzungsbedingungen oder im Impressum auf den Einsatz von Cookies, sowie auf die Möglichkeit, diesen durch Browsereinstellungen verhindern zu können.

Was gilt als Zustimmung?

Diese gängige Praxis wird unter anderem durch die Erläuternden Bemerkungen zu § 96 Abs 3 TKG unterstützt, die für die Informationspflicht die Aufnahme einer Datenschutzerklärung im verpflichteten Impressum vorschlagen. Ebenso könne die Einwilligung des Nutzers zum Einsatz von Cookies über Browsereinstellungen ausgedrückt werden. Kurzum, die erläuternden Bemerkungen suggerieren, dass eine einseitige Willenserklärung (Einsatz von Cookies) im Impressum sowie Hinweis auf die Möglichkeit der Änderung der Nutzereinstellung im Browser eine ausreichende Zustimmung begründen.
Diese liberale Sichtweise deckt sich freilich aber nicht mit der Intention der Richtlinie, die auf eine echte Zustimmung abstellt. Es ist daher nicht verwunderlich, dass zahlreiche andere europäische Staaten eine strengere Sichtweise eingenommen haben und sich international die Implementierung unansehnlicher Informationsbanner oder Pop-Ups, die bei Besuch der Website automatisch auf den Einsatz von Cookies hinweisen, durchgesetzt haben. Doch ist das wirklich erforderlich?

Stellungnahme der Art-29-Datenschutzgruppe

Die Artikel-29-Datenschutzgruppe gibt nun mit einer Stellungnahme eine Antwort auf diese Frage: Dieses beratende Gremium, bestehend aus je einem Vertreter der nationalen Datenschutzbehörden, widmet sich laufend aktuellen datenschutzrechtlichen Themen und erteilt detaillierte Empfehlungen. Ihnen kommt per se keine verbindliche Wirkung, aber große praktische Relevanz zu: So legt die österreichische Datenschutzkommission die Art-29-Stellungnahmen regelmäßig ihren Erkenntnissen zu Grunde. Ergänzend zu ihrer initialen Stellungnahme aus 2010 (WP 171), hat die Art-29-Gruppe am 2.10.2013 zur Harmonisierung der Zustimmungspraxis eine detaillierte Checkliste für die wirksame Vereinbarung von Cookies veröffentlicht (WP 208).

Ein Einsatz von Cookies ist demnach nur dann zulässig, wenn