Leitfaden zum datenschutzkonformen Cookie-Einsatz


Werbefinanzierte Webdienste dürfen Cookies erst nach Zustimmung der Benutzer setzen - Rechtsgrundlagen - Erklärungen - praktische Beispiele - rechtskonform handeln und Strafen vermeiden

Was sind „Cookies“?


Cookies sind kleine Textdateien, die Websites bei deren Aufruf auf dem Computer des Besuchers abspeichern und Informationen über Benutzer und Website hinterlegen. Cookies können unterschiedlichen Zwecken dienen. Häufigster Anwendungsfall ist das Wiedererkennen von Besuchern, aber auch Warenkörbe von Onlineshops verwenden Cookies.

Rechtsgrundlage


Die Zulässigkeit von Cookies ist in Österreich in § 96 Abs 3 Telekommunikationsgesetz 2003 (TKG 2003) geregelt.
Generell gilt, dass Websitebesucher informiert werden müssen, welche personenbezogenen Daten ermittelt, verarbeitet oder übermittelt werden, aufgrund welcher Rechtsgrundlage, für welche Zwecke dies geschieht und wie lange die Daten gespeichert werden. Die Ermittlung bestimmter Daten ist erst nach Zustimmung der Besucher zulässig.
Cookies sind von dieser Bestimmung dann erfasst, wenn sie geeignet sind einen Websitebesucher eindeutig zu identifizieren. Dies ist nicht erst der Fall, wenn Cookies den Namen oder die Benutzerkennung eines Websitebesuchers enthalten, sondern sobald sie - in welcher Form auch immer - geeignet sind einen Websitebesucher aus der Summe aller Besucher auszuwählen (zu individualisieren).
Von der Zustimmungspflicht ausgenommen ist die Speicherung von Cookies nur dann, wenn die Cookies unbedingt erforderlich sind um einen bestimmten, vom Benutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen (etwa Coockies, die zum Betrieb eines Onlineshops oder von Online-Banking technisch unbedingt notwendig sind). Diese Cookies dürfen aber auch nur solange gespeichert bleiben, als für diesen Dienst unbedingt erforderlich, also in der Regel bis zum Ende der Bestellung oder der Banking-Nutzung.
Welche Unternehmen sind von der Cookie-Regelung betroffen?
Die Cookie-Regelungen gilt für alle Anbieter eines Dienstes der Informationsgesellschaft, im Prinzip also für jeden der eine Website betreibt (auch wenn diese nur für Werbezwecke verwendet wird). Schon auch das Anbieten von Informationen zählt als Dienst der Informationsgesellschaft iSd § 3 Z 1 E-Commerce-Gesetz (ECG). Zusätzliche besondere Regelungen gelten für Online-Shop-Betreiber, Suchmaschinenbetreiber, Online-Werbeanbieter.

Wie und wo müssen Benutzer informiert werden?


Informationen darüber, welche Daten Cookies zu welchem Zweck verarbeiten, können im Rahmen einer entsprechenden Datenschutzerklärung im Impressum gegeben werden. Ein Beispiel für eine besonders informative Cookie-Beschreibung findet sich auf der Homepage der britischen Datenschutzbehörde, dem Information Commissioner's Office (ICO), unter: http://www.ico.gov.uk/Global/cookies.aspx?cookies.

Verwendungszweck und Benutzersicht entscheidet über Zustimmungspflicht


Unabhängig davon welche Daten in einem Cookie gespeichert werden, entscheidet der Verwendungszweck darüber, ob ein Cookie ohne Zustimmung verwendet werden darf oder nicht.
Entscheidne ist die Sicht der Websitebesucher, ob das Setzen eines Cookies „unbedingt erforderlich“ ist, um den „ausdrücklich gewünschten Dienst“ in Anspruch zu nehmen.
Bloße Finanzierungserfordernisse sind nicht wesentlich. Wenn sich ein Dienst durch Werbeeinnahmen finanziert und dort Cookies für die personalisierte Werbung "unerlässlich" sind, ist das aus Sicht des Benutzers der Website bedeutungslos. Für die bloß für die Werbung erforderlichen Cookies muss eine Zustimmung vom Benutzer eingeholt werden. Eine Verpflichtung, der die wenigsten werbefinanzierten Webdienste nachkommen.

Beispiele für nicht zustimmungspflichtige Cookies


- Warenkorb-Cookies: Cookies die den Inhalt eines Warenkorbs eines Onlineshops, oder allgemein Benutzereingaben speichern.
- Sicherheits-Cookies: Cookies die fehlgeschlagene Anmeldeversuche protokollieren, und so zur Sicherheit von Benutzerkonten beitragen.
- Multimedia-Cookies: Cookies die zur Darstellung von Mulitmediainhalten benötigt werden.

Beispiele für zustimmungspflichtige Cookies


- Tracking-Cookies: Cookies die eine Verhaltensanalyse von Besuchern über mehrere Websites hinweg ermöglichen.
- Werbe-Cookies: Cookies die einer optimierten Bewerbung von Besuchern dienen.
- Analyse-Cookies: Cookies zur Besucherzählung oder zur Erstellung sonstiger Auswertungen.

Beispiele für bedingt zustimmungspflichtige Cookies


- Authentifizierungs-Cookies: Cookies welche bei einem Dienst angemeldete Benutzer identifizieren.
Die Verwendung dieser Cookies benötigt keine Zustimmung, solange diese ausschließlich für die Dauer des Websitebesuchs verwendet werden. Sollen derartige Cookies auch ein „Angemeldet bleiben“ ermöglichen, müssen Benutzer darüber informiert werden, dass für diese Funktionalität Cookies über die Dauer des Besuchs hinweg gespeichert werden und dem Speichern z.B. mittels Checkbox zustimmen.
- Darstellungs-Cookies: Cookies die Informationen über die Darstellung von Websites speichern. Beispielsweise in welcher Sprache eine Website dargestellt werden soll oder ob eine mobile Version der Website bevorzugt wird.
Hier verhält es sich ähnlich wie bei Authentifizierungs-Cookies, sollen die Einstellungen über eine Browsersitzung hinweg gespeichert werden, ist die Information und Zustimmung der Benutzer, dass dazu Cookies gespeichert werden, vor dem Speichern eines Cookies notwendig.
- Social Plugin-Cookies: Cookies die es ermöglichen Inhalte mit anderen Mitgliedern eines sozialen Onlinenetzwerks zu teilen.
Cookies für diese Zwecke sind zulässig, sofern sie ausschließlich von angemeldeten Mitgliedern eines sozialen Netzwerks ausgelesen bzw. gespeichert werden und die Cookies ausschließlich eine vom Benutzer gewünschte Funktionalität ermöglichen. Werden derartige Cookies z.B. auch für das Tracking von Mitgliedern oder gar von Nicht-Mitgliedern verwendet sind sie zustimmungspflichtig.
Bestehen, trotz sorgfältiger Überlegung Zweifel darüber, ob eine Zustimmung eingeholt werden muss oder nicht, empfiehlt die Artikel-29 Datenschutzgruppe der EU im Zweifel die Zustimmung einzuholen.

Wie kann die Zustimmung zu Cookies eingeholt werden?


In der Praxis haben sich mehrere Methoden etabliert. Diese reichen vom vorschalten einer Informationsseite, zum Anzeigen eines Informationsbanners, über Pop-Ups, bis hin zu eigenen Einstellungsmöglichkeiten für registrierte Benutzer.
Der Kreativität von Websiteentwicklern sind keine Grenzen gesetzt, solange die Zustimmung vor dem Setzen von Cookies eingeholt wird.
Ein weitverbreiteter Irrglaube ist, dass für jedes Cookie eine eigene Zustimmung eingeholt werden muss. Dies ist unzutreffend. Sofern klar und deutlich über den Verwendungszweck sämtlicher Cookies informiert wird, reicht auch eine einzige Zustimmung aus.

Befreien Browsereinstellungen vom Einholen einer Zustimmung?


Sowohl in den Erläuterungen der EU-Richtlinie 2002/58/EG als auch des österreichischen TKG 2003 ist festgehalten, dass die Einholung der Zustimmung auch mittels entsprechender Browsereinstellungen (z.B. „Do Not Track“) erfolgen kann.
Den Ansichten von Datenschutzorganisationen zufolge, sind derartige Technologien aktuell aber noch nicht ausgereift genug, um in jedem Fall von einer gültigen Zustimmung der Benutzer ausgehen zu können. Es wird daher empfohlen immer die ausdrückliche Zustimmung der Benutzer einzuholen.

Zusammenfassung


Cookies die nicht für einen ausdrücklich von Nutzern gewünschten Dienst erforderlich sind, unterliegen der Zustimmungspflicht. Diese Cookies dürfen erst nach umfassender Information und dem Einholen der Zustimmung gesetzt bzw. ausgelesen werden. Dies dient zum Schutz der Privatsphäre von Website-Nutzern.
Eine umfassende Darstellung findet sich in der Studie „Datenschutzkonformer Einsatz von Social Media Plug-ins und Websiteanalyse-Software“, die sich neben Cookies mit dem datenschutzkonformen Einsatz von Social Plug-ins (wie z.B. Facebooks Like-Button) beschäftigt. Weitere Details zur Studie: http://www.argedaten.at/socialmedia.

Quelle: http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=51778ngg