Zum Inhalt Zum Hauptmenü

Suchformular


Für Cookies muss der User erst gefragt werden

Publication

Für Cookies muss der User erst gefragt werden

publiziert: 
Der Standard, 05.03.2014
Datum: 
5. März 2014

Die Cookie-Richtlinie wird meist so umgesetzt, dass im Impressum oder in Nutzungsbedingungen auf den Einsatz hingewiesen wird. Doch das ist nicht mehr genug - derstandard.at/1392687075405/Fuer-Cookies-muss-der-User-erst-gefragt-werdenDie Cookie-Richtlinie wird meist so umgesetzt, dass im Impressum oder in Nutzungsbedingungen auf den Einsatz hingewiesen wird. Doch das ist nicht mehr genug - derstandard.at/1392687075405/Fuer-Cookies-muss-der-User-erst-gefragt-werden

Die Cookie-Richtlinie wird meist so umgesetzt, dass im Impressum oder in Nutzungsbedingungen auf den Einsatz hingewiesen wird. Doch das ist nicht mehr genug.

Der Schutz personenbezogener Daten in der elektronischen Kommunikation ist durch die europäische "Cookie-Richtlinie" (2009/ 136/EG) geregelt. Doch seit deren Umsetzung im österreichischen Telekommunikationsgesetz (TKG) herrscht Rechtsunsicherheit über deren praktische Implementierung. So ist zwar klargestellt, dass Informations- und Zustimmungspflichten beim Einsatz von Cookies gelten, doch wie bleiben die Websitebetreiber bei Erfüllung der Rahmenbedingungen userfreundlich und gleichzeitig rechtskonform? Eine aktuelle Stellungnahme der sogenannten Artikel-29-Datenschutzgruppe nimmt sich dieser Problematik an und bietet eine detaillierte Checkliste für die korrekte Implementierung.

Nach Art. 5 Abs. 3 der Richtlinie bedarf der Einsatz von Cookies, die personenbezogene Daten verarbeiten, der Zustimmung des betroffenen Nutzers. Dieser ist dafür klar und umfassend über die Zwecke der Verarbeitung zu informieren. Eine Zustimmung muss nur dann nicht vorliegen, wenn lediglich eine Nachricht über ein elektronisches Kommunikationsnetz übertragen wird oder wenn Cookies für einen vom Nutzer angeforderten Dienst unbedingt erforderlich sind.

User informieren

Der Gesetzgeber hat die Bestimmung in § 96 Abs. 3 TKG umgesetzt. So ist für österreichische Webseitenbetreiber seit Ende 2011 verpflichtend, dass sie betroffene User umfassend informieren und deren Zustimmung einholen. Bei Verstoß gegen die Vorschrift droht eine Verwaltungsstrafe von bis zu 37.000 Euro. Daneben können Mitbewerber auch auf Basis des Gesetzes gegen den unlauteren Wettbewerb mit Unterlassungsklagen - auch im Wege einstweiliger Verfügungen - vorgehen. Ursprünglich verwiesen die meisten Anbieter lediglich in ihren Websitenutzungsbedingungen oder im Impressum auf den Einsatz von Cookies sowie auf die Möglichkeit, diesen durch Browsereinstellungen verhindern zu können.

Diese gängige Praxis wird unter anderem durch die Erläuternden Bemerkungen zu § 96 Abs. 3 TKG unterstützt, die für die Informationspflicht die Aufnahme einer Datenschutzerklärung im verpflichteten Impressum vorschlagen. Ebenso könne die Einwilligung des Nutzers zum Einsatz von Cookies über Browsereinstellungen ausgedrückt werden. Diese Option zur Aufweichung des Zustimmungserfordernisses hatten bereits die Erwägungsgründe der Richtlinie angedeutet. Die erläuternden Bemerkungen suggerieren, dass eine einseitige Willenserklärung (Einsatz von Cookies) im Impressum sowie ein Hinweis auf die Möglichkeit der Änderung der Nutzereinstellung im Browser eine ausreichende Zustimmung begründen.

Echte Zustimmung gefordert

Diese liberale Sichtweise deckt sich freilich aber nicht mit der Text der Datenschutzrichtlinie (95/46/EG), die auf eine echte Zustimmung abstellt. Es ist daher nicht verwunderlich, dass zahlreiche andere europäische Staaten eine strengere Sichtweise eingenommen haben und sich international die Implementierung unansehnlicher Informationsbanner oder Pop-ups, die bei Besuch der Website automatisch auf den Einsatz von Cookies hinweisen, durchgesetzt hat. Doch ist das wirklich erforderlich?

Die Artikel-29-Datenschutzgruppe - ein beratendes Gremium bestehend aus je einem Vertreter der nationalen Datenschutzbehörden - gibt nun mit einer Stellungnahme eine eindeutige Antwort auf diese Frage:

Demnach ist ein Einsatz von Cookies nur dann zulässig, wenn

  • der User vorab im Detail informiert wird,
  • vor dem Einsatz von Cookies eine Zustimmung vorliegt und
  • die Zustimmung freiwillig, ohne Zweifel und durch eine aktive Handlung erteilt wurde.

Aus für alte Praxis

Die Stellungnahme räumt damit mit der alten österreichischen Praxis auf: Der Hinweis auf Cookies in einer Fußnote oder im Impressum allein reicht nicht (mehr) aus. Die Information zum Einsatz von Cookies muss deutlich erfolgen, und sie dürfen erst nach aktiver Zustimmung des Users eingesetzt werden. Die bloße Möglichkeit, eine Zustimmung im Nachhinein zu verweigern, indem man die Browsereigenschaften ändert, genügt also auch nicht.

Den Artikel-29-Stellungnahmen kommt zwar per se keine verbindliche Wirkung, aber große praktische Relevanz zu. So legt die österreichische Datenschutzbehörde sie ihren Erkenntnissen regelmäßig zugrunde. Damit ist zu erwarten, dass die Vereinheitlichungsinitiative hin zu einem ausdrücklichen Zustimmungserfordernis sich nun auch in Österreich durchsetzt und daher - leider - kein Weg an den unansehnlichen Hinweisen und Aufforderungen zur aktiven Zustimmung auf der Startseite vorbeiführt.

Für den vollständigen Text bitte klicken Sie hier.

 

Disclaimer

Alle Angaben auf dieser Website dienen nur der Erstinformation und können keine rechtliche oder sonstige Beratung sein oder ersetzen. Daher übernehmen wir keine Haftung für allfälligen Schadenersatz.

The material contained in this website is provided for general information purposes only and does not constitute legal or other professional advice. We accept no responsibility for loss which may arise from reliance on information contained on this site.