Der Schutz personenbezogener Daten in der elektronischen Kommunikation ist durch die europäische "Cookie-Richtlinie" (2009/ 136/EG) geregelt. Doch seit deren Umsetzung im österreichischen Telekommunikationsgesetz (TKG) herrscht Rechtsunsicherheit über deren praktische Implementierung. So ist zwar klargestellt, dass Informations- und Zustimmungspflichten beim Einsatz von Cookies gelten, doch wie bleiben die Websitebetreiber bei Erfüllung der Rahmenbedingungen userfreundlich und gleichzeitig rechtskonform? Eine aktuelle Stellungnahme der sogenannten Artikel-29-Datenschutzgruppe nimmt sich dieser Problematik an und bietet eine detaillierte Checkliste für die korrekte Implementierung.

Nutzer muss informiert werden

Nach Art. 5 Abs. 3 der Richtlinie bedarf der Einsatz von Cookies, die personenbezogene Daten verarbeiten, der Zustimmung des betroffenen Nutzers. Dieser ist dafür klar und umfassend über die Zwecke der Verarbeitung zu informieren. Eine Zustimmung muss nur dann nicht vorliegen, wenn lediglich eine Nachricht über ein elektronisches Kommunikationsnetz übertragen wird oder wenn Cookies für einen vom Nutzer angeforderten Dienst unbedingt erforderlich sind.

Strafe bis zu 37.000 Euro

Der Gesetzgeber hat die Bestimmung in § 96 Abs. 3 TKG umgesetzt. So ist für österreichische Webseitenbetreiber seit Ende 2011 verpflichtend, dass sie betroffene User umfassend informieren und deren Zustimmung einholen. Bei Verstoß gegen die Vorschrift droht eine Verwaltungsstrafe von bis zu 37.000 Euro. Daneben können Mitbewerber auch auf Basis des Gesetzes gegen den unlauteren Wettbewerb mit Unterlassungsklagen - auch im Wege einstweiliger Verfügungen - vorgehen. Ursprünglich verwiesen die meisten Anbieter lediglich in ihren Websitenutzungsbedingungen oder im Impressum auf den Einsatz von Cookies sowie auf die Möglichkeit, diesen durch Browsereinstellungen verhindern zu können.

Datenschutzerklärung im Impressum

Diese gängige Praxis wird unter anderem durch die Erläuternden Bemerkungen zu § 96 Abs. 3 TKG unterstützt, die für die Informationspflicht die Aufnahme einer Datenschutzerklärung im verpflichteten Impressum vorschlagen. Ebenso könne die Einwilligung des Nutzers zum Einsatz von Cookies über Browsereinstellungen ausgedrückt werden. Diese Option zur Aufweichung des Zustimmungserfordernisses hatten bereits die Erwägungsgründe der Richtlinie angedeutet. Die erläuternden Bemerkungen suggerieren, dass eine einseitige Willenserklärung (Einsatz von Cookies) im Impressum sowie ein Hinweis auf die Möglichkeit der Änderung der Nutzereinstellung im Browser eine ausreichende Zustimmung begründen.

Echte Zustimmung gefordert

Diese liberale Sichtweise deckt sich freilich aber nicht mit der Text der Datenschutzrichtlinie (95/46/EG), die auf eine echte Zustimmung abstellt. Es ist daher nicht verwunderlich, dass zahlreiche andere europäische Staaten eine strengere Sichtweise eingenommen haben und sich international die Implementierung unansehnlicher Informationsbanner oder Pop-ups, die bei Besuch der Website automatisch auf den Einsatz von Cookies hinweisen, durchgesetzt hat. Doch ist das wirklich erforderlich?

Die Artikel-29-Datenschutzgruppe - ein beratendes Gremium bestehend aus je einem Vertreter der nationalen Datenschutzbehörden - gibt nun mit einer Stellungnahme eine eindeutige Antwort auf diese Frage:

Demnach ist ein Einsatz von Cookies nur dann zulässig, wenn

• der User vorab im Detail informiert wird,
• vor dem Einsatz von Cookies eine Zustimmung vorliegt und
• die Zustimmung freiwillig, ohne Zweifel und durch eine aktive Handlung erteilt wurde.

Aus für alte Praxis

Die Stellungnahme räumt damit mit der alten österreichischen Praxis auf: Der Hinweis auf Cookies in einer Fußnote oder im Impressum allein reicht nicht (mehr) aus. Die Information zum Einsatz von Cookies muss deutlich erfolgen, und sie dürfen erst nach aktiver Zustimmung des Users eingesetzt werden. Die bloße Möglichkeit, eine Zustimmung im Nachhinein zu verweigern, indem man die Browsereigenschaften ändert, genügt also auch nicht.

Den Artikel-29-Stellungnahmen kommt zwar per se keine verbindliche Wirkung, aber große praktische Relevanz zu. So legt die österreichische Datenschutzbehörde sie ihren Erkenntnissen regelmäßig zugrunde. Damit ist zu erwarten, dass die Vereinheitlichungsinitiative hin zu einem ausdrücklichen Zustimmungserfordernis sich nun auch in Österreich durchsetzt und daher - leider - kein Weg an den unansehnlichen Hinweisen und Aufforderungen zur aktiven Zustimmung auf der Startseite vorbeiführt. (Axel Anderl, Nino Tlapak, DER STANDARD, 5.3.2014)