Webanalyse-Werkzeuge rechtskonform einsetzen – Teil 2

30/11/2016

Neben der bereits in Teil 1 beschriebenen datenschutzrechtlichen Rollenverteilung spielen jedoch auch folgende gesetzliche Rahmenbedingungen eine Rolle, wenn es um den rechtskonformen Einsatz von Webanalyse-Werkzeugen geht.

Wann sind Webanalyse und Tracking-Cookies zulässig?

Rechtliche Grundlage für die Verwendung von Webanalyse-Werkzeugen und Cookies im Speziellen ist § 96 Abs. 3 Telekommunikationsgesetz 2003 („TKG“), der auf europarechtliche Vorgaben zurückgeht. Es handelt sich dabei um eine spezielle Rechtsvorschrift, die sich auf den vieldiskutierten Umgang mit Cookies und anderen ähnlichen Instrumenten bezieht. Die Grundsätze der rechtmäßigen Verarbeitung personenbezogener Daten werden jedoch nach dem DSG beurteilt.

§ 96 Abs. 3 TKG richtet sich an Betreiber öffentlicher Kommunikationsdienste sowie an Anbieter von Diensten der Informationsgesellschaft im Sinne des § 3 Z. 1 E-Commerce-Gesetz („ECG“). In der Regel unterfällt der Webauftritt eines Unternehmens dem Begriff „Dienst der Informationsgesellschaft“, da es sich bei diesen üblicherweise um kommerzielle elektronische Dienste handelt, die in Ertragsabsicht erbracht werden.

Cookies können grundsätzlich nach ihrer Lebensdauer (Session-Cookies oder persistente Cookies) und danach, wer das Cookie setzt (Webseitenbetreiber oder Drittanbieter), unterschieden werden. Session-Cookies haben eine kurze Lebensdauer, die sich üblicherweise auf die Dauer einer Sitzung beläuft. Persistente Cookies haben hingegen eine längere Lebensdauer, die zu einem festgelegten Ablaufdatum (nach Minuten, Tagen oder mehreren Jahren) endet. Werden Cookies von der aufgerufenen Seite (erkennbar an der URL in der Adressleiste des Browsers) selbst gesetzt, spricht man von „First-Party-Cookies“. Sofern das Cookie aber von einem „dritten“ Webserver gesetzt wird, liegt ein „Third-Party-Cookie“ vor.

Gemäß § 96 Abs. 3 TKG dürfen Cookies nicht ohne die vorherige Zustimmung des Nutzers eingesetzt werden, es sei denn, das Cookie ist unbedingt erforderlich, damit ein bestimmter, vom Nutzer angeforderter, Dienst zur Verfügung gestellt werden kann. Beispielsweise wäre ein Warenkorb im Onlineshop nicht ohne den Einsatz von Cookies möglich, da dessen Inhalt ansonsten nicht einem bestimmen Nutzer zugeordnet werden könnte. Für derartige Cookies muss somit keine Zustimmung des Nutzers eingeholt werden.

Ein Cookie, das dazu dient, das Surfverhalten des Nutzers zu verfolgen, darf jedoch nicht gesetzt werden, ohne dass die vorherige Zustimmung des Nutzers eingeholt wird. Dies gilt selbst dann, wenn dieses Cookie nur eingesetzt wird, um den Nutzer auf der Webseite des Betreibers zu verfolgen und nicht auch, um den Nutzer über mehrere Seiten hinweg zu identifizieren. Dies deshalb, da es nicht unbedingt erforderlich ist, um dem Nutzer einen Dienst zur Verfügung zu stellen.

Wie hat die Einholung der Zustimmung zu erfolgen?

Die Zustimmung zur Datenverwendung nach dem DSG ist an keine Formvorschriften gebunden und kann ausdrücklich oder konkludent erteilt werden. § 96 Abs. 3 TKG trifft zur Form der Einholung der Zustimmung ebenso keine Aussage. Folglich richten sich die Anforderungen an eine gültige Zustimmung ausschließlich nach dem DSG: Die Zustimmung hat frei, ohne Zwang, und in Kenntnis der Sachlage für den konkreten Fall zu erfolgen.

Ein Webseitenbetreiber muss folgende, entscheidende Voraussetzungen für eine wirksame und gültige Zustimmung des Nutzers zum Einsatz von Webanalyse-Werkzeugen beachten:

1. Spezifische Informationen:

Bei Verwendung von Cookies muss ein klarer, verständlicher und sichtbarer Hinweis angezeigt werden. Dieser hat zu dem Zeitpunkt und an dem Ort, zu bzw. an dem die Einwilligung eingeholt werden soll, also z.B. auf der Startseite einer Webseite beim ersten Aufruf, zu erfolgen. Konkret ist der Nutzer gemäß § 96 Abs. 3 TKG darüber in Kenntnis zu setzen, welche personenbezogenen Daten ermittelt, verarbeitet und übermittelt werden, auf welcher Rechtsgrundlage dieses Vorgehen beruht, für welche Zwecke (so etwa Interessenanalyse für personalisierte Werbung) die Datenverwendung vorgenommen wird und für wie lange (etwa für die Dauer der Browsersitzung oder aber persistierend) die Daten gespeichert werden.

Darüber hinaus ist nach allgemeinen datenschutzrechtlichen Grundsätzen über die Identität des Auftraggebers, in diesem Fall des Webseitenbetreibers, zu informieren (vgl. § 24 Abs. 1 DSG). Zusätzliche Informationen sind nach § 24 Abs. 2 DSG dann zu erteilen, „wenn dies für eine Verarbeitung nach Treu und Glauben“ erforderlich ist. So könnte auch die Bekanntgabe der Empfänger der erhobenen Daten erforderlich sein. Ermöglicht es ein Cookie, den Benutzer über mehrere Webseiten hinweg zu identifizieren, sollte der Nutzer auch über diesen Umstand entsprechend informiert werden.

Auch wenn dies in § 96 Abs. 3 TKG nicht ausdrücklich festgeschrieben wird, kann die erteilte Zustimmung nach datenschutzrechtlichen Grundsätzen jederzeit widerrufen werden. Aufgrund der strengen datenschutzrechtlichen Rechtsprechung zur Gültigkeit von Zustimmungserklärungen, sind diese nur gültig, sofern der Betroffene darin über sein Widerrufsrecht informiert wurde. Daher ist der Nutzer jedenfalls auch über das Bestehen des Widerrufsrechts zur Datenverwendung durch Cookies zu informieren.

2. Zeitpunkt der Zustimmung:

Von größter Wichtigkeit ist, dass die oben genannten Informationen vor Beginn der Datenverwendung, also bevor die Cookies gesetzt werden, zu erteilen sind. Aus diesem Grund dürfen Cookies auf dem Endgerät des Nutzers erst gesetzt/gespeichert werden, wenn dieser zugestimmt hat.

3. Aktives Verhalten:

Der Nutzer muss, nachdem er informiert wurde, welche konkrete Bedeutung seinem Verhalten zukommt, durch eine ausdrückliche Handlung oder eine andere aktive Verhaltensweise seine Zustimmung zur Datenverwendung erteilen. Die Zustimmung kann vom Nutzer durch einen Klick auf eine Schaltfläche oder einen Link sowie durch Markierung eines entsprechenden Feldes erfolgen, wobei das betreffende Element an oder nahe der Stelle eingeordnet sein sollte, an der entsprechende Informationen angezeigt werden. Darüber hinaus kommt jedoch auch jedes andere aktive Verhalten in Frage, aus welchem der Webseitenbetreiber eindeutig auf die Erteilung der Einwilligung für den konkreten Fall und in Kenntnis der Sachlage schließen kann. Die angezeigten Informationen sollten solange auf der Webseite zu sehen sein, bis der Nutzer seine Zustimmung erteilt hat.

Möglichkeiten zur Einholung der Zustimmung sind unter anderem Splash-Screens, Banner oder modale Dialogfelder, die entsprechende Informationen anzeigen bzw. auf diese verweisen und beim ersten Aufruf der Webseite angezeigt werden. Browser-Einstellungen sind nur dann als aktives Verhalten im verlangten Sinn anzusehen, wenn der Nutzer umfassend informiert wurde und seinen Browser aktiv konfiguriert hat, Cookies zu akzeptieren. Da heutige Browser standardmäßig sämtliche Cookies akzeptieren, kann die bloße Untätigkeit des Nutzers, Cookies abzulehnen, nicht als aktives Verhalten zur Zustimmung gewertet werden.

4. Freiwilligkeit:

Dem Nutzer muss beim ersten Aufruf der Webseite freigestellt werden, einige oder alle Cookies zu akzeptieren bzw. abzulehnen sowie einmal getroffene Einstellungen wieder zu ändern. Es sollte möglich sein, durch die Webseite zu navigieren, ohne dass alle Cookies akzeptiert werden müssen. Der „generelle“ Zugang zur Webseite sollte daher nicht von der Zustimmung zu sämtlichen Cookies abhängig gemacht werden. Dies schließt nicht aus, dass spezifische Bereiche einer Webseite nur zugänglich sind, wenn der Nutzer seine Zustimmung zu bestimmten Cookies erteilt hat. Vor allem sollte Nutzern eine echte Wahlmöglichkeit in Bezug auf Tracking-Cookies eingeräumt werden, wie sie von Webanalyse-Werkzeugen üblicherweise eingesetzt werden.

Eine pauschale Zustimmung für künftige Datenverwendungen ohne Kenntnis der näheren Umstände genügt für die Einhaltung der datenschutzrechtlichen Grundsätze nicht und ist daher unzulässig. Sofern der Nutzer jedoch ausreichend informiert wird, muss nicht jedes Mal seine Zustimmung erneut eingeholt werden, wenn ein Cookie beim Besuch der Webseite gelesen wird. Die Zustimmung zum Setzen des Cookies umfasst nämlich auch die Zustimmung zur (künftigen) Datenerhebung durch das Cookie.

Da der Nutzer aber „vergessen“ kann, dass er die Zustimmung (vor längerer Zeit) erteilt hat, sollte die Zustimmung nach gewisser Zeit, beispielsweise nach einem Jahr, erneut eingeholt werden. Unter Berücksichtigung der Möglichkeit, einmalig in die Überwachung einzuwilligen, sollte der Nutzer zumindest regelmäßig an seine Zustimmung zur Durchführung der Webanalyse erinnert werden. Dadurch wird die effektive Ausübung des Widerrufsrechts des Nutzers ermöglicht.

Der Nutzer muss aber jedenfalls die Möglichkeit haben, seine Zustimmung zur Datenverwendung jederzeit zu widerrufen, was die Unzulässigkeit der weiteren Verfolgung seines Surfverhaltens mittels Cookies zur Folge hat. Der Widerruf sollte einfach und nutzerfreundlich möglich sein.

Der richtige Einsatz von Dienstleistern

Sofern der Webseitenbetreiber ein anderes Unternehmen als Dienstleister zur Durchführung der Webanalyse einsetzt, muss gemäß § 10 DSG jedenfalls eine Vereinbarung mit dem Dienstleister abgeschlossen werden. Werden die in § 11 Abs. 1 DSG festgelegten Pflichten des Dienstleisters durch diese Vereinbarung näher ausgestaltet, muss die Dienstleistervereinbarung schriftlich abgeschlossen werden.

Der Abschluss einer schriftlichen Vereinbarung mit dem Dienstleister ist aus Sicht des Webseitenbetreibers in jedem Fall dringend zu empfehlen, um dessen rechtliche Position gegenüber dem Dienstleister abzusichern. Der Webseitenbetreiber kann so auch vorsorgen und den Dienstleister in Anspruch nehmen, wenn dieser gegen das DSG verstößt und deshalb der Webseitenbetreiber von betroffenen Nutzern rechtlich belangt wird. Tatsächlich bieten einige Anbieter von Analysesoftware entsprechende Musterverträge an, deren Tauglichkeit im Einzelnen jedoch geprüft werden muss. Problematisch in diesem Zusammenhang ist, dass gegenüber dem Dienstleister (Google etc.) oftmals für Verhandlungen kein Platz besteht und die vorhandenen Vertragsmuster vom Webseitenbetreiber unverändert akzeptiert werden müssen.

Werden personenbezogene Daten der Nutzer zwecks Webanalyse durch einen Dienstleister ins Ausland überlassen, so ist dieser Vorgang grundsätzlich genehmigungspflichtig. Der Datentransfer darf nicht ohne die vorherige Genehmigung der Datenschutzbehörde erfolgen. Unter „Ausland“ sind dabei alle Staaten zu verstehen, die nicht dem EWR angehören. Jeder EWR-Mitgliedsstaat und die Europäische Kommission ist jedoch ermächtigt, mittels Rechtsakt festzustellen, dass in einzelnen Drittstaaten ein angemessenes Schutzniveau gewährleistet ist, womit die Genehmigungspflicht entfällt. Zu den „gleichgestellten“ Drittstaaten zählen unter anderem die Schweiz und Kanada. Nach dem Fall von „Safe Harbour“ sind jüngst auch Datentransfers in die USA wieder durch das „EU-US-Datenschutzschild“ genehmigungsfrei. Wesentliche Voraussetzung dafür ist jedoch, dass sich das amerikanische Unternehmen, das als Dienstleister beauftragt werden soll, entsprechend zertifiziert hat.

Wie sieht es mit der Meldepflicht beim Einsatz von Webanalyse-Werkzeugen aus?

Grundsätzlich muss jede Datenanwendung in Österreich im Datenverarbeitungsregister (DVR) gemeldet werden, es sei denn, sie fällt unter eine der Ausnahmebestimmungen des § 17 Abs. 3 DSG. So sind sogenannte „Standardanwendungen“ von der Meldepflicht ausgenommen. Bei diesen handelt es sich um Datenanwendungen, die von einer großen Anzahl an Auftraggebern in derselben Weise vorgenommen werden. Die Liste der Standardanwendungen ist in einer Verordnung festgehalten. Zu den wichtigsten Standardanwendungen gehören „Rechnungswesen und Logistik“ sowie „Kundenbetreuung und Marketing für eigene Zwecke“, die gebräuchliche Datenverwendungen im Rahmen einer Geschäftsbeziehung mit Kunden im Unternehmensumfeld abdecken sollen. Typischerweise ist somit ein Webshop üblicherweise nicht meldepflichtig, da dieser unter die Standardanwendung „Rechnungswesen und Logistik“ fällt.

Die Verfolgung der Aktivitäten von Nutzern auf einer Webseite und die Analyse deren Surfverhaltens ist jedoch ein eigener Zweck, der soweit ersichtlich von keiner der Standardanwendungen gedeckt ist. Der Einsatz von Webanalyse-Werkzeugen ist daher im Regelfall meldepflichtig. Die Datenanwendung darf nicht ohne die vorherige Meldung betrieben werden.

Wichtiges zu möglichen Sanktionen

Die Unterlassung der nach § 96 Abs. 3 TKG vorgeschriebenen Informationspflichten ist gemäß § 109 Abs. 3 Z. 16 TKG mit einer Verwaltungsstrafe von bis zu 37.000 Euro bedroht.

Diese Bestimmung ist jedoch aus zwei Gründen nicht besonders gelungen: Der persönliche Anwendungsbereich der konkreten Bestimmung schließt zum einen nicht „(Be-)Nutzer“ mit ein, sondern ist auf „Teilnehmer“ beschränkt. Unter „Teilnehmer“ im Sinne des TKG sind vor allem Kunden von „Internetprovidern“ zu verstehen, nicht jedoch die Nutzer von (kommerziellen) Webseiten. Zum anderen ist lediglich die Nichterteilung der in § 96 Abs. 3 TKG genannten Informationen (verarbeitete Daten, Rechtsgrundlage, Zweck und Speicherdauer) vom sachlichen Anwendungsbereich erfasst. Unterlässt der Webseitenbetreiber die Einholung der Zustimmung zum Einsatz von Cookies, ist dies streng genommen nicht unter Strafe gestellt. Eine Interpretation, die den sachlichen Anwendungsbereich des § 109 Abs. 3 TKG erweitert, scheitert wohl an dem strengen Grundsatz im (Verwaltungs-)Strafrecht, dass nur eine Tat bestraft werden darf, deren Begehung (im Tatzeitpunkt) explizit mit Strafe bedroht ist.

Nach § 52 Abs. 2 Z. 1 DSG ist zudem die Verletzung der Meldepflicht mit einer Verwaltungsstrafe bis zu 10.000 Euro sanktioniert. Geht man davon aus, dass Webanalyse-Werkzeuge meldepflichtig sind, so stellt deren Betrieb ohne vorherige Meldung eine Verwaltungsübertretung dar, die mit Strafe bis zu 10.000 Euro zu ahnden ist.

Im dritten und letzten Teil unserer Serie finden Sie eine Checkliste, welche die wichtigsten Voraussetzungen für einen rechtskonformen Einsatz von Webanalyse-Werkzeugen zusammenfasst. Mehr dazu in Kürze...

Autoren

Das Photo von Johannes Scharf
Johannes Scharf
Associate
Wien