Die österreichische Datenschutzbehörde DSB hat auf ihrer Internetseite FAQ zum Thema Datenschutz und Cookies veröffentlicht. In den FAQ wird auf praxisrelevante Fragen eingegangen, wie zum Beispiel das Gestalten von Cookie-Bannern, oder unter welchen Voraussetzungen eine Einwilligung für das Setzen und Auslesen von Cookies erforderlich ist. Die DSB betont in ihrem Newsletter, dass die FAQ in „nicht juristischer“ Sprache geschrieben wurden, damit das Thema auch für Laien verständlich ist.
Bekanntlich sind Cookies kleine Textdateien, die am Computer oder Smartphone bzw. im Browser abgespeichert werden, wenn eine Internetseite aufgerufen wird. Diese Textdateien können u.a. vom Webserver der Internetseite ausgelesen werden. Beispielsweise dienen abgelegte Cookies zum Speichern der Sprache, in der die Internetseite (auch bei einem erneuten Aufruf) angezeigt wird.
Nur technisch notwendige Cookies ohne Einwilligung
Cookies dürfen beim Aufruf einer Internetseite nur dann ohne Einwilligung gesetzt oder ausgelesen werden, wenn dies für das Bereitstellen der Internetseite unbedingt erforderlich ist („technisch notwendige Cookies“). Für alle „technisch nicht notwendigen Cookies“ muss eine Einwilligung eingeholt werden.
Die Bedingungen für solche Einwilligungen richten sich nach Artikel 4 Ziffer 11 und Artikel 7 der Datenschutz-Grundverordnung DSGVO. In den FAQ beschreibt die DSB Beispiele, wann aus Sicht der Datenschutzbehörde von einer „technischen Notwendigkeit“ von Cookies auszugehen ist.
Da der Einsatz von Cookies auf nationaler Ebene von § 165 Absatz 3 des Telekommunikationsgesetzes TKG 2021 geregelt wird, sind für Verstöße grundsätzlich die Fernmeldebehörden zuständig. Doch auch die Datenschutzbehörde kann zuständig sein, wenn im Zuge des Einsatzes von Cookies personenbezogene Daten verarbeitet werden. Dies wird in der Regel bei so genannten „Tracking-Cookies“ der Fall sein, die das Surfverhalten von Nutzern aufzeichnen, um in Folge beispielsweise personalisierte Werbung anzuzeigen.
Auf korrekte Cookie-Banner achten
Oft stellt sich die Frage, wie ein Cookie-Banner (also die Schaltfläche, mit welcher die Einwilligung eingeholt wird) rechtskonform gestaltet sein muss. In den FAQ gibt die DSB Handlungsempfehlungen für die Gestaltung eines Cookie-Banners. Dabei vertritt die Datenschutzbehörde die Ansicht, dass die Nichtabgabe einer Einwilligung (bzw. das Weitersurfen ohne Einwilligung) genauso einfach sein muss wie die Abgabe der Einwilligung. Von Besuchern der Internetseite kann laut DSB nicht verlangt werden, dass sie auf einer Schaltfläche erst auf einer zweiten oder dritten Ebene die Entscheidung treffen können, keine Einwilligung abzugeben.
Es entspricht auch keiner fairen Praxis, den Button zur Nichtabgabe einer Einwilligung (bzw. zum Weitersurfen ohne Einwilligung) derart zu gestalten oder zu positionieren, dass dieser Button weniger prominent ist, als der Button zur Abgabe einer Einwilligung.
Auch der Frage, ob eine „Cookiewall“ zulässig ist, widmet sich die Datenschutzbehörde. Bei einer solchen „Cookiewall“ kann für den Zutritt zur Internetseite entweder Geld bezahlt werden, alternativ kann die Einwilligung für den Einsatz von Cookies abgegeben werden. Umgangssprachlich bezeichnet man dies auch als „pay or okay“. Die DSB hat in der Vergangenheit bereits ausgesprochen, dass ein derartiges Modell grundsätzlich zulässig sein kann. Allerdings gibt es dazu noch keine Judikatur des Europäischen Gerichtshofs EuGH.
Die FAQ sind auf der Website der Datenschutzbehörde (Menüpunkt: „Download & Links“) zu finden und werden laufend ergänzt.
