Zurück zur Übersicht

Die EU-Cookie Richtlinie
Cookie Richtlinie

In letzter Zeit häufen sich die Begegnungen mit den kleinen „Datenkeksen“ - meistens finden Sie Erwähnung in informierenden Textmeldungen auf der Startseite vieler Webauftritte. Fast jeder Webauftritt verwendet Cookies, doch was ist zu berücksichtigen und wie ist die Gesetzeslage zur Verwendung der Daten?

Cookie Richtlinie

Die schnelle Fact-List für Österreich

  • EU-Richtlinie - Cookie-Richtlinie wurde 2009 von der EU vorgestellt.
    Umsetzung in nationales Recht der Mitgliedsstaaten sollte bis Mai 2011 erfolgen.
     
  • Österreich setzte am 22. November 2011 die Richtlinie um
    durch Ergänzung des Telekommunikationsgesetztes (TGK § 96 Abs 3)
     
  • In Österreich gilt Opt-In: Durch eine Click-Through- oder Pop-Up-Aktion
    muss vom User die ausdrückliche Erlaubnis eingeholt werden
    bevor technisch nicht erforderliche Cookies gesetzt werden.
     
  • Auf Einwilligung rein durch Browsereinstellungen des Nutzers
    zu schließen ist in Österreich nicht ausreichend. Der Nutzer
    muss vorab informiert werden und eine freiwillige zweifelsfreie
    Zustimmung abgeben.
     
  • Der Nutzer muss für Gültigkeit der Zustimmung informiert werden über:
  • Die personenbezogenen Daten welche gespeichert werden

Auf welcher Rechtsgrundlage dies geschieht
Den Zweck der Speicherung
Die Dauer der Speicherung

 

Wenn’s ein bisserl ausführlicher sein darf

„Cookies“, das ist ein Begriff mit dem ein Großteil an Internetusern schon einmal im Laufe ihrer „Surflaufbahn“ konfrontiert worden sein dürfte. Doch gerade in letzter Zeit häufen sich die Begegnungen mit den kleinen „Datenkeksen“ - meistens finden Sie Erwähnung in informierenden Textmeldungen auf der Startseite vieler Webauftritte. Was es damit auf sich hat und wieso man auch „real-life“ Cookies nicht unterschätzen sollte, dieser Frage geht dieser Artikel nach.

Doch beginnen wir bei den Basics – was sind Cookies eigentlich? Bei Cookies handelt es sich um winzige Datenpakete welche generiert werden um eine Wiedererkennung des Users im Browser während eines Nutzungsvorgangs zu gewährleisten. Die auf dem Rechner des Users gespeicherten Cookies sind z.B. essentiell für Warenkörbe, da der Server einer Seite ohne sie beim nächsten Klick schon vergessen hätte welches Produkt man zuvor in den Einkaufswagen gelegt hat, geschweige denn mit welchem Benutzeraccount man momentan überhaupt eingeloggt ist.

Allerdings können die durch Cookies gesammelten Daten auch dazu genutzt werden um Benutzerprofile zu erstellen und so gezieltes Marketing mit individueller Werbung zu betreiben. Speziell bei personenbezogenen Daten welche Rückschlüsse auf ein Individuum schließen lassen handelt es sich jedoch um ein sensibles Thema und aus diesem Grund wurde zum Schutz der Nutzer 2009 von der EU eine eigene Cookie-Richtlinie erlassen (EU-Richtlinien sind Vorgaben die innerhalb eines bestimmten Zeitraums von den Mitgliedsstaaten in nationales Recht umgesetzt werden müssen). Da diese Richtlinie von der EU jedoch recht schwammig formuliert wurde, herrscht bis heute Unsicherheit und die nationale Umsetzung durch die Mitgliedsstaaten weist Unterschiede auf. Generell sollte die Umsetzung in nationales Recht bis Mai 2011 erfolgen, Deutschland zum Beispiel hat allerdings bis heute noch keine gesonderte Umsetzung durchgeführt.

 

Opt-In oder Opt-Out

Einer der größten Mängel welche die Regelung mit sich brachte ist, dass nicht genau hervorgeht ob ein bloßes Opt-Out (die Möglichkeit für den Nutzer sich von der Datenspeicherung abzumelden) ausreichend ist, oder zwingend ein Opt-In, also die ausdrückliche Zustimmung des Nutzers, zur Speicherung seiner Daten nötig ist. In den meisten Ländern, darunter auch Österreich, fiel die Entscheidung darauf, im nationalen Recht ein Opt-In festzulegen. Finnland und Luxemburg zum Beispiel entschieden sich allerdings für die Opt-Out Variante.

 

Technisch erforderlich?

Weiters muss unterschieden werden zwischen Cookies welche technisch erforderlich sind - hier ist weder Information noch Zustimmung notwendig um sie zu setzen - und technisch nicht erforderlichen Cookies, welche Großteils zu Werbe- und Marktforschungszwecken eingesetzt werden. Bei Letzteren gilt sowohl die Pflicht zur Information als auch zur ausdrücklichen Einholung der Zustimmung des Nutzers.

 

Was sagt eigentlich Google dazu?

Im Juli 2015 kündigte Google, wohl in Reaktion auf besagte Richtlinie, an, dass Nutzer der Anwendungen GoogleAdSense, GoogleDoubleClick for Publishers & Google DoubleClick Ad Exchange ab 30.09.2015 verpflichtend Hinweise auf die Verwendung von Cookies geben müssen. Je nach Webseite und Apps und den jeweils verwendeten Cookies unterscheiden sich die erforderlichen Hinweise allerdings in Inhalt und Umfang etwas. Auf www.cookiechoices.org stellt Google zumindest Beispiele für Hinweise bereit die geeignet sein könnten, allerdings ist jeder selbst gefragt nachzuprüfen ob die Variante ausreicht oder man individuell erweitern muss um auf Nummer sicher zu gehen.


Real Life Cookies?

Doch selbst wenn man glaubt die Cookie-Situation voll durchschaut und im Griff zu haben, auch im wahren Leben ist man nicht ganz vor Cookies gefeit. Gerade Kundenkarten, welche Vergünstigungen und Vorteile versprechen sind für Unternehmen eine wahre Quelle an Daten welche sich für die Anlegung von Kundenprofilen verwenden lassen. Problematisch ist besonders die Weitergabe an Dritte in Kombination mit fehlender Transparenz. So ganz kann man sich leider nicht sicher sein welchen Unternehmen wirklich die eigenen Daten in die Hände fallen. Im Endeffekt bleibt es jedem selber überlassen, aber man sollte definitiv Kosten und Nutzen abwägen bevor man die nächste Kundenkarte in das meist ohnehin schon überladene Geldbörserl steckt.

 

Ausschnitt TGK

Telekommunikationsgesetztes (TGK § 96 Abs 3)

Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Der Teilnehmer ist auch über die Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen zu informieren. Diese Information hat in geeigneter Form, insbesondere im Rahmen Allgemeiner Geschäftsbedingungen und spätestens bei Beginn der Rechtsbeziehungen zu erfolgen. Das Auskunftsrecht nach dem Datenschutzgesetz bleibt unberührt.