Die Cookie-Richtlinie richtig umsetzen

Praktisch alle modernen Websites verwenden mittlerweile Cookies, sei es für die Webanalyse, Online-Shopping, Tracking, Werbung oder andere Funktionen. Diese kleinen Code-Schnipsel, welche auf dem Rechner des Users gespeichert werden, machen viele Websites erst funktionstüchtig. Sie sind also essentiell – nicht nur BetreiberInnen, sondern auch für BenutzerInnen der Website. Deshalb hat die Europäische Union 2009 eine Richtlinie (2009/136/EG) herausgegebenen, welche den Schutz personenbezogener Daten im Internet regelt, darunter auch die korrekte Verwendung von Cookies.

 

Die Cookie-Richtlinie der EU

Die Richtlinie der Europäischen Union aus dem Jahr 2009 regelt den Umgang von WebsitebetreiberInnen mit personenbezogenen Daten. Da es sich um eine Richtlinie handelt, ist die Umsetzung derselbigen jedem Land selbst überlassen, eine Frist galt bis Mai 2011. Die meisten EU-Länder haben die Richtlinie auch bereits umgesetzt, in nur wenigen – wie zum Beispiel Deutschland – ist die Umsetzung noch ausständig.

Ein Kritikpunkt an der Richtlinie ist allerdings die schwammige Formulierung, da nicht klar definiert ist, ob der BenutzerInnen einer Webseite der Benützung von Cookies aktiv zustimmen müsswn („Opt In“) oder ob sich lediglich davon abmelden können müssen („Opt Out“). Einige Länder, darunter Österreich, haben sich für die Opt-In-Lösung entschieden, bei einigen anderen Staaten ist ein Opt Out zulässig. Die Umsetzung ist daher nicht konsequent in allen Staaten gleich geregelt.

 

Die Cookie-Richtlinie in Österreich

In Österreich wurde die Richtlinie im Telekommunikationsgesetz (TKG § 96 Abs 3) geregelt und ist seit 22. November 2011 in Kraft.

“(3) Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Der Teilnehmer ist auch über die Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen zu informieren. Diese Information hat in geeigneter Form, insbesondere im Rahmen Allgemeiner Geschäftsbedingungen und spätestens bei Beginn der Rechtsbeziehungen zu erfolgen. Das Auskunftsrecht nach dem Datenschutzgesetz bleibt unberührt.”

Für die Nutzung von Cookies, welche personenbezogene Daten speichern, ist daher eine Informations- und Zustimmungspflicht gegeben. Dies gilt allerdings nicht, wenn die Cookies technisch unbedingt erforderlich sind, wie es zum Beispiel bei Online Banking oder einem Online Shop der Fall ist. Webanalyse oder Tracking erfordern aber immer die Zustimmung der User für die Verwendung von Cookies.

 

Häufige Umsetzung der Richtlinie in Österreich

Sehr viele österreichische Websites setzen die Cookie-Richtlinie mittlerweile um. War man früher jedoch der Meinung, dass das bloße Setzen der entsprechenden Einstellungen im Browser und das Erwähnen der Verwendung von Cookies im Impressum oder den AGB bereits als Zustimmung des Users galt, so ist das nach Ansicht der Art 29 Datenschutzgruppe allerdings seit Anfang 2014 nicht mehr ausreichend, um eine aktive Zustimmung zu geben. Eine beliebte Form ist daher das Einblenden eines Banners ganz oben oder ganz unten auf der Website, mittels welchem User über die Nutzung von Cookies informiert werden. Sie müssen der Nutzung dann zustimmen, um den Banner zu deaktivieren, allerdings ist die Website auch ohne Zustimmung in den meisten Fällen normal nutzbar. Dies ist zwar im Sinne der Informationspflicht korrekt, ob aber auch die Zustimmungspflicht richtig umgesetzt wurde, muss hier im Einzelfall geprüft werden. Die beste Umsetzung der Richtlinie wäre daher eigentlich die Einblendung von Pop Ups oder Bannern vor dem Einsatz von Cookies und die Möglichkeit zur Benutzung der Webseite nur nach Zustimmung. In Großbritannien und anderen EU-Ländern, in welchen die Richtlinie strenger umgesetzt wurde, ist dies bereits der Fall.

 

Fazit

Obwohl die Cookie-Richtlinie in Österreich bereits seit 2011 in Kraft ist und auch bereits sehr viele österreichische Websites sie umsetzen, ist die Umsetzung häufig noch mangelhaft. Doch auch hier gilt es, den richtigen Ausgleich zwischen Rechtskonformität und Usability zu finden, um seine Webseite für die User so attraktiv wie möglich zu gestalten. Auf die Umsetzung der Cookie-Richtlinie sollte allerdings auf keinen Fall verzichtet werden, sonst drohen Verwaltungsstrafen bis zu 37.000 Euro.