Cookies – im Graubereich zwischen Recht und Machbarkeit

2012-01

Jeder, der sich schon einmal durch die virtuelle Welt des World Wide Web (WWW) bewegt hat, ist zwangsläufig mit „Cookies“ in Kontakt gekommen: Es handelt sich um kleine Dateien, die bestimmte Informationen über den vernetzten Rechner bzw. seinen Nutzer automatisch mitschreiben und bei Bedarf an den Server, von dem sie stammen, wieder zurücksenden.

Was sind „Cookies“?

Der Begriff soll eine Anlehnung an jene Kekse sein, die man zu einem Kaffee serviert bekommt. Manchmal freut man sich über sie, manchmal schmecken sie jedoch nicht. Genauso ist es auch mit den digitalen „Keksen“: Durch die gespeicherten Informationen garantieren sie einen schnellen, nutzergerechten Seitenaufbau, helfen bei der Suche nach Waren oder Informationen, die den eigenen Interessen entsprechen, und ermöglichen es, virtuelle Einkaufskörbe in Webshops zu füllen, um damit zur digitalen Kasse zu gehen.

Warum also sollten Cookies jemandem nicht „schmecken“? Diese Frage ist eng mit dem Bereich des Datenschutzes verknüpft. Im Text der Cookies können nicht nur brisante Daten wie Passwörter oder Kreditkartennummern gespeichert und somit für Kriminelle ausspähbar werden. Es ist auch möglich, über Cookies mit einer langen Lebensdauer (persistente Cookies) ein Protokoll über das Surfverhalten des Nutzers eines Rechners zu erstellen. Diesem lässt man dann gezielt Werbung zukommen. Das Auslesen dieser Daten ist bereits möglich, wenn ein Nutzer eine Seite mit einem eingebundenen Feld der großen sozialen Netzwerke wie Facebook, Google+ oder Twitter abruft. Die hinter den Netzwerken stehenden Unternehmen können damit einen Abgleich der im Protokoll erfassten Daten erstellen.

Gemeinschaftsrechtliche Normen

Für Website-Betreiber stellt sich die Frage, ob das Ablegen von Cookies durch Provider auf den Rechnern der Nutzer in der heute üblichen Form nach dem Datenschutzgesetz (DSG) zulässig ist. Die EU-Richtlinie RL 2009/136/EG lässt das Ablegen von Cookies durch Provider unter der Voraussetzung einer Einwilligung des Nutzers auf Basis einer klaren und umfassenden Information zu. Diese Information muss die Zwecke der Datenverarbeitung, die Dauer der Datenspeicherung und die Rechtsgrundlage der Datenverarbeitung enthalten.

Unter dem Vorbehalt der technischen Durchführbarkeit kann diese Einwilligung nach Erwägungsgrund 66 der genannten Richtlinie auch via Browsereinstellungen erfolgen, sofern der Nutzer vorab klar informiert wurde. Üblicherweise ist der Browser werksseitig auf das Zulassen solcher Cookies eingestellt und viele Nutzer wissen gar nicht, wie das Deaktivieren funktioniert.

Rechtliche Umsetzung in Österreich

Die Umsetzung der Richtlinie in Österreich erfolgte durch Novellierung des § 96 (3) des Telekommunikations-gesetzes (TKG) im November 2011. Die genannte Bestimmung führt aus, dass Provider verpflichtet sind, Nutzer über Art, Zweck und Dauer der Verwendung ihrer Daten zu informieren. Eine Ermittlung dieser Daten ist nur mit Einwilligung der Nutzer zulässig. Das Setzen von Cookies ohne Information und Einwilligung des Nutzers ist daher verboten. Der Anbieter muss also darüber informieren, welche personenbezogene Daten er wie verwenden wird.

§ 8 Abs 1 Z 2 DSG lässt im Falle nicht sensibler Daten eine konkludente Einwilligung genügen, etwa über eine entsprechende Browsereinstellung. Dies ist jedoch nur der Fall, wenn der Nutzer weiß, welche Daten für welchen Zweck gesammelt werden. Dies muss ihm etwa über Allgemeine Geschäftsbedingungen oder sonstige Hinweise bekannt gemacht werden. Im Fall von sensiblen Daten (Religion, ethnische Zugehörigkeit, Gesundheit etc.) muss die Einwilligung vom Nutzer gem. § 9 Z 6 DSG ausdrücklich gegeben werden. Hier genügen die Browsereinstellungen nicht. Vielmehr wird das ausdrückliche Einverständnis durch einen Klick auf einen entsprechenden Button oder ähnliches notwendig.

Auswirkungen für die Praxis

Keinesfalls ist davon auszugehen, dass der durchschnittliche Nutzer über seine Browsereinstellungen Bescheid weiß. Um Verletzungen des DSG zu vermeiden, wird empfohlen, immer eine Funktion (z.B. einen Accept-Button) auf der Website einzubauen, durch welche die Voraussetzungen einer umfassenden Information des Nutzers sowie einer ausdrücklichen Zustimmung zum Setzen von Cookies und der Ermittlung von Daten erfüllt werden. Weiters sollte man eine rechtliche Überprüfung der eigenen Website im Hinblick auf das TKG sowie das DSG durchführen lassen.

Autoren

Das Photo von Johannes Juranek
Johannes Juranek
Partner