AllgemeinE-Commerce

Cookies – was ist das? Wann sind diese notwendig und zulässig?

Bernhard Aichinger
Bernhard Aichinger

Wir sehen es als unsere Aufgabe, als professionelle Internetagentur uns mit Themen rund ums e-Business bzw. e-Commerce zu beschäftigen und unsere Kunden auf dem Laufenden zu halten. Zu diesem Zweck haben wir von Dr. Michael Pichlmair (Gütlbauer-Partner) einen exklusiven Gastbeitrag zum Thema Cookies erhalten.

Die generelle Funktionalität bestimmter Onlinedienste einerseits und Marketingtools auf oder in be-stimmten Websites andererseits, werden oft von Cookies gesteuert. Darunter sind kleine Textdateien zu verstehen, mit welchen Informationen über Benutzer und Website von Servern auf dem Computer des Internetnutzers gespeichert werden, wenn dessen Internetbrowser Websites lädt. Es ist dabei technisch möglich Internetnutzer über Jahre hinweg zu beobachten. Wesentliche Einsatzbereiche von Cookies finden sich insbesondere bei Online-Shops, Suchmaschinen, sozialen Netzwerken und in der Online-Werbung (Online-Targeting zur zielgruppengerechten Ansprache, Informationen über Surfver-halten, Wiedererkennung von Besuchern, etc.).
Die Verwendung von Cookies ist bei bestimmten Onlinediensten unumgänglich oder aber aus marke-tingtechnischen Gründen gewünscht. Da Cookies mitunter datenschutzrechtlich problematisch und damit nur unter bestimmten Voraussetzungen überhaupt zulässig sind, ist es unabdingbar sich mit den Rechtsgrundlagen und Rechtsfolgen vor dem Einsatz von Cookies auseinanderzusetzen. Dies nicht zuletzt deshalb, weil bei Verstößen gegen die gesetzlichen Regelungen Geldstrafen in der Höhe von bis zu EUR 37.000,00 verhängt werden können.

1. Allgemeines
Die Zulässigkeit von Cookies ist in Österreich in § 96 Abs. 3 Telekommunikationsgesetz 2003 (TKG 2003) geregelt. In der seit 22.11.2011 in Kraft getretenen Fassung ist normiert, dass eine Ermittlung von personenbezogenen Daten durch Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz (ECG) nur zulässig ist, wenn die Benutzer ihre Einwilligung dazu erteilt haben.
Websitebesucher sind darüber zu informieren, welche personenbezogenen Daten ermittelt, verarbeitet oder übermittelt werden, aufgrund welcher Rechtsgrundlage, für welche Zwecke dies geschieht und wie lange die Daten gespeichert werden. Die Ermittlung dieser Daten ist nur zulässig, wenn der Teil-nehmer oder Nutzer seine Einwilligung dazu erteilt hat.
Cookies gelten als personenbezogene Daten und sind damit von dieser Regelung erfasst, wenn diese eine Nutzererkennung ermöglichen, d.h. geeignet sind einen Bezug zu einer konkreten Person herzu-stellen. Die Identifizierbarkeit einer Person setzt dabei nicht die Kenntnis des Namens voraus.
Die Ausnahmeregelung von der grundsätzlichen Zustimmungspflicht betrifft lediglich Cookies, welche unbedingt erforderlich sind, um einen bestimmten, vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen (z.B. zum Betrieb eines Online-Shops oder von Online-Banking).

2. Wer muss die Cookie-Regelung beachten?
Die Bestimmungen für Cookies sind grundsätzlich von allen Websitebetreibern zu beachten, dies gilt selbst dann, wenn diese nur Werbezwecken dient. Bereits das Anbieten von Informationen ist als Dienst der Informationsgesellschaft im Sinne des § 3 Z 1 ECG zu betrachten. Besondere Regelungen gelten für Online-Shop-Betreiber, Suchmaschinenbetreiber und Online-Werbeanbieter.

3. Zustimmungspflicht / Ausnahmekriterien
3.1. Eine Zustimmung zu Cookies (bzw. besser zum Setzen derselben oder zur Speicherung von Informationen) ist nicht notwendig,
− wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektroni-sches Kommunikationsnetz ist, oder
− wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesell-schaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfü-gung stellen kann.
Bei der Beurteilung der Kriterien ist sowohl auf den Zweck als auch auf die spezielle An- und Verwen-dung abzustellen. Cookies, die mehreren Zwecken dienen, müssen hinsichtlich all dieser Zwecke von der Zustimmung befreit sein. Unabhängig davon, welche Daten in einem Cookie gespeichert werden, entscheidet also der Verwendungszweck darüber, ob ein Cookie ohne Zustimmung verwendet werden darf oder nicht. Entscheidend ist die Sicht der Websitebesucher, ob das Setzen eines Cookies „unbe-dingt erforderlich“ ist, um den „ausdrücklich gewünschten Dienst“ in Anspruch zu nehmen.
Etwa bloß für die (personalisierte) Werbung „unerlässliche“ Cookies sind aus Sicht des Benutzers der Website bedeutungslos, sodass hiefür eine Zustimmung eingeholt werden muss.
Vom Zustimmungserfordernis sind daher etwa Cookies für die Dauer der Session (oder eine im Einzelfall beschränkte Zeitdauer) ausgenommen, welche
− auf in Online-Formularen von Benutzern eingegebenen Informationen basieren und für das ausdrücklich gewünschte Service notwendig sind („User-Input“ Cookies – z.B. elektronischer Einkaufskorb);
− eine Identifizierung des Benutzers nach dessen Einloggen möglich machen und etwa Zugang zu autorisiertem Inhalt bieten („Authentication“ Cookies – z.B. Online-Banking);
− fehlgeschlagene Log-In-Versuche protokollieren und so zur Sicherheit eines Services dienen („User centric security“ Cookies);
− zur Darstellung von Multimediainhalten benötigt werden, z.B. Flash Cookies („Multimedia player session“ Cookies);
− im Hinblick auf die Technik eines sogenannten Lastverteilers notwendig sind, um die Weiter-leitung zu einem bestimmten Server im Pool zu gewährleisten („Load balancing session“ Coo-kies);
− die Referenzen der Nutzer hinsichtlich eines Services über mehrere Websites Speichern und nicht mit anderen, ständigen Identifizierungsmerkmalen (z.B. Username) verbunden sind, je-doch ausdrücklich gewünscht sind (Button, Check Box), z.B. Cookies zur Einstellung der Sprachpräferenz („UI customization“ Cookies);
Lediglich die „Load balancing session“ Cookies sind von der Zustimmung insoweit befreit, als der al-leinige Zweck die Durchführung der Übertragung einer Nachricht über eine elektronisches Kommuni-kationsnetz ist. Alle anderen dargestellten Cookies sind nur dann von der Zustimmung ausgenommen, wenn sie für die ausdrücklich gewünschte Funktionalität eines Services unbedingt erforderlich sind. In Zweifelsfällen sollte jedenfalls die Zustimmung eingeholt werden, um Rechtssicherheit zu schaffen.
3.2. Cookies für Zwecke des Behavioral Advertising, d.h. Cookies Dritter für personalisierte Online-Werbung bedürfen jedenfalls der vorherigen Zustimmung, da diese für das Betreiben einer Website aus technischer Sicht nicht notwendig sind („Third Party Advertising“ Cookies Dritter für personalisier-te Onlinewerbung). Dies betrifft etwa Cookies welche für Zwecke des frequency capping, financial logging, ad affiliation, click fraud detection, research and market analysis, product improvement and debugging.
Für rechtmäßiges Online-Behavioral-Advertising ist es erforderlich, den Nutzer über folgende Tatsa-chen zu informieren:
− die Identität des Web Servers, der für das Setzen der Cookies verantwortlich ist;
− die Tatsache, dass Cookies für die Erstellung von Nutzerprofilen verwendet werden;
− welche Daten des Internetnutzers gespeichert werden;
− die Verwendung des Nutzerprofils für Behavioral Advertising;
− die Identifizierbarkeit des Nutzers über mehrere Websites hinweg.

4. Wie kann die Zustimmung zu Cookies eingeholt werden?
Die Zustimmung kann auf verschiedene Art und Weise eingeholt werden; dies etwa durch eine vorge-schaltete Informationsseite, einen Informationsbanner, mittels Pop-Ups oder etwa durch eigene Ein-stellungsmöglichkeiten für registrierte Benutzer. In jedem Fall muss aber die Zustimmung vor dem Setzen von Cookies eingeholt werden. Eine eigene Zustimmung für jedes Cookie ist grundsätzlich nicht erforderlich. Es ist aber zu gewährleisten, dass klar und deutlich über den Verwendungszweck sämtlicher Cookies informiert wird.
Obgleich grundsätzlich auch die Einholung der Zustimmung mittels entsprechender Browsereinstel-lungen erfolgen kann, ist hinsichtlich der Technologie „Do not Track“ noch insoweit Zurückhaltung geboten, als mit dieser möglicherweise bestimmte Cookies nicht ausgeschlossen werden können. Es wird daher empfohlen, immer die ausdrückliche Zustimmung der Benutzer einzuholen. Im Rahmen der Einwilligung ist darauf zu achten, dass der Benutzer seine Einwilligung aktiv, eindeutig, nicht stan-dardmäßig, nicht stillschweigend, im Einzelfall vor Beginn der jeweiligen Datenverarbeitung, freiwillig und nachweisbar erteilt.

5. Empfindliche Strafdrohung
Bei Verstoß gegen die vorgenannten Bestimmungen über die Verwendung von Cookies nach dem Telekommunikationsgesetz droht eine Verwaltungsstrafe von bis zu EUR 37.000,00.

6. Zusammenfassung
Sind Cookies nicht für einen vom Teilnehmer oder Benutzer ausdrücklich gewünschten Dienst erfor-derlich, so dürfen diese erst nach umfassender Information und dem Einholen der Zustimmung ge-setzt bzw. ausgelesen werden. Um diesen gesetzlichen Voraussetzungen benutzerfreundlich einer-seits technisch und andererseits auch rechtskonform zu begegnen, bedarf es fundierter einschlägiger Fachkenntnisse. Zudem bedarf es aufgrund stetiger rechtlicher Änderungen in diesem Bereich auch einer regelmäßigen Kontrolle und Überwachung der Rechtskonformität betriebener Websites bzw. Onlinedienste, um nicht mitunter schmerzlichen Verwaltungsstrafen ausgesetzt zu sein.
Unternehmen sollten daher klären, für welche Zwecke Cookies eingesetzt werden, welche Informatio-nen ermittelt werden und ob dadurch ein Personenbezug hergestellt werden kann, und wie im Einzel-fall am geeignetsten die Zustimmung des Internetnutzers eingeholt werden kann.

Selbstverständlich können wir als Ihre Internetagentur für TYPO3 und Magento diese Umsetzungen für Sie vornehmen. Wir freuen uns auf Ihre Kontaktaufnahme und stehen Ihnen gerne für ein unverbindliches Gespräch zur Verfügung.

Teile diesen Artikel

Unsere Social Media Accounts

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.