Google Analytics & Co datenschutzkonform nutzen

Dr. Johannes Juranek

Auch wenn es für viele noch immer #Neuland sein mag: Das Internet ist längst kein rechtsfreier Raum mehr. Besonders rund um das Thema Datenschutz gibt es in der EU und insbesondere in Österreich strenge Regeln, die es zu beachten gilt. Vor allem die datenschutzkonforme Verwendung von Google Analytics und der rechtssichere Einsatz von Social PlugIns auf der eigenen Website sind Themen, die für alle österreichischen Websitebetreiber interessant und relevant sind. Wo zur deutschen Situation zahlreiche Artikel zu finden sind, sind aktuelle Informationen zur österreichischen Rechtslage im Web rar. Wir haben deshalb Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz gebeten, uns die wichtigsten Fragen rund um das Thema Datenschutz zu beantworten.

 

Google Analytics rechtssicher nutzen

Google Analytics bietet jedem Webmaster eine kostenlose Möglichkeit zu analysieren, wie sich die Besucher der eigenen Website verhalten. Während sich in Deutschland zahlreiche Artikel finden, wie man das Tool auch datenschutzkonform nutzt, finden sich in Österreich kaum Informationen, ob und wie man Google Analytics rechtssicher einsetzen kann und darf. Wie ist denn nun die Situation in Österreich?

Beim Einsatz von Google Analytics setzt Google Inc. mit Sitz in den USA rechtlich gesehen als Dienstleister des Webmasters Cookies auf dem Endgerät (Handy, Laptop, Tablet usw.) des Nutzers. Das bedeutet, die Datenverarbeitung findet im Auftrag des Betreibers der Webseite statt. Um dies sicherzustellen, wird der Abschluss eines schriftlichen Dienstleistervertrags mit Google Inc. empfohlen, der vor allem die wesentlichen Bestimmungen des § 14 DSG 2000 („DSG“) über die vom Dienstleister einzuhaltenden Datensicherheitsmaßnahmen festlegen muss.

Es ist daher zunächst die Frage zu klären, ob und unter welchen Voraussetzungen der Betreiber der Webseite selbst Werkzeuge zur Analyse des Verhaltens der Nutzer einsetzen darf. Werkzeuge wie Google Analytics setzen üblicherweise Cookies oder vergleichbare Technologien zur Verfolgung des Surfverhaltens des Nutzers ein, um so ein Profil über das gesamte Nutzerverhalten zu erstellen. Gemäß § 96 Abs. 3 TKG sind Webseitenbetreiber verpflichtet, den Nutzer darüber zu informieren, welche personenbezogenen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden.

Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.

Nach der derzeitigen Rechtslage des § 96 Abs. 3 TKG, der auf Art. 5 Abs. 3 der Richtlinie 2002/58/EG, in der Fassung der Richtlinie 2009/136/EG, beruht, existiert keine Ausnahme für Cookies für statistische Zwecke, sodass solche nur nach Einwilligung des Nutzers gesetzt werden dürfen. Üblicherweise sind nämlich Cookies, die für statistische Zwecke eingesetzt werden, nicht unbedingt erforderlich, um einen Dienst (die Webseite) dem Nutzer bei Aufruf im Browser zur Verfügung zu stellen.

Cookies, die vom Webseitenbetreiber selbst eingesetzt werden, um das Surfverhalten der Nutzer zu analysieren („First Party Cookies“), stellen jedoch üblicherweise kein großes Risiko für die Privatsphäre der Nutzer dar. Vorausgesetzt, dass sie bloß zur Erstellung von aggregierten Statistiken dienen und die Nutzer verständlich über diese Cookies informiert werden sowie adäquate Maßnahmen zum Schutz der Privatsphäre der Nutzer getroffen werden. Solche Maßnahmen schließen einen benutzerfreundlichen Mechanismus mit ein, mithilfe dessen der Nutzer der Sammlung seiner Daten widersprechen kann, und ebenso, dass umfassende Anonymisierungsmaßnahmen ergriffen werden, um die gesammelten personenbezogenen Daten wie IP-Adressen zu anonymisieren.
Hinsichtlich First-Party-Cookies für statistische Zwecke sollte der europäische Gesetzgeber aus den oben genannten Gründen in Zukunft die rechtlichen Rahmenbedingungen für deren Einsatz überdenken und mit der Auflage lockern, dass der Webseitenbetreiber geeignete Maßnahmen zum Schutz der Privatsphäre der Nutzer ergreift.

Streng genommen ist jedoch nach der derzeitigen Rechtlage auch für den Einsatz von First-Party-Cookies für statistische Zwecke die Zustimmung des Nutzers erforderlich, da zunächst jedenfalls personenbezogene Daten wie IP-Adressen etc. ermittelt und erst während der Verarbeitung für statistische Zwecke anonymisiert werden. Dieser Grundsatz gilt allgemein und damit auch für den Einsatz von Google Analytics.
Weiter ist beim Einsatz von Google Analytics zu bedenken, dass die Überlassung von personenbezogenen Daten an die Google Inc. mit Sitz in einem unsicheren Drittstaat, nämlich den USA, grundsätzlich genehmigungspflichtig ist. Der Datenverkehr ins Ausland ist jedoch unter anderem dann genehmigungsfrei, wenn die Daten für den Empfänger nur indirekt personenbezogen sind oder der Betroffene ohne jeden Zweifel seine Zustimmung für den Transfer ins Ausland erteilt hat. Werden die gesammelten Daten vor der Weitergabe an Google Inc. daher vollständig anonymisiert, dann handelt es sich nicht mehr um personenbezogene Daten und der Datentransfer an Google Inc. unterliegt nicht mehr dem DSG.

Beim Einsatz von Google Analytics ist der Webmaster rechtlich auf der sicheren Seite, wenn er vor dem Einsatz die Zustimmung der Nutzer einholt oder keine IP-Adressen oder andere personenbezogene Daten ermittelt, was beim Einsatz von Google Analytics jedoch kaum vorstellbar ist. Für die genehmigungsfreie Weitergabe der Daten an Google Inc. ist aber jedenfalls erforderlich, dass die Daten nur in indirekt personenbezogener Form überlassen, der Nutzer seine Zustimmung erteilt hat, oder die Daten vor dem Transfer vollständig anonymisiert werden, wobei im letzteren Fall das DSG überhaupt nicht anwendbar ist.

An die Zustimmungserklärung des Nutzers sind hohe Anforderungen zu stellen: Der Benutzer muss für eine gültige Zustimmung zur Datenverarbeitung seine Erklärung „in Kenntnis der Sachlage“ abgeben; für weitere Ausführungen zur „informierten Zustimmung“ sei auf die Antwort zu Frage 4 verwiesen.

In a nutshell

Websitebetreiber sollten beim Einsatz von Google Analytics beachten, dass sie…

  • eine Vereinbarung zur Auftragsdatenverarbeitung im Rahmen eines schriftlichen Dienstleistervertrags mit Google abschließen, welche die vom Dienstleister einzuhaltenden Datensicherheitsmaßnahmen festlegen muss.
  • vor dem Einsatz die Zustimmung der Nutzer einholt, wobei es sich dabei um eine „informierte Zustimmung“ handeln muss, und
  • dem User eine Opt-Out Möglichkeit bieten.

Info: So wird der Google Analytics Code technisch an die Datenschschutzanforderungen angepasst

Österreichisches Datenschutzrecht

Wann fällt eine Seite überhaupt unter österreichisches (Datenschutz-)Recht? Geht es um das Impressum auf der Website oder spielt auch der Serverstandort oder eine .at Domain eine Rolle?

§ 3 DSG regelt den räumlichen Anwendungsbereich des österreichischen Datenschutzrechts: Handelt es sich um einen Rechtsträger mit Sitz in einem EWR-Mitgliedstaat, stellt grundsätzlich der Ort der Niederlassung des Auftraggebers den maßgeblichen Anknüpfungspunkt für die Frage des anwendbaren Rechts dar (§ 3 Abs. 2 DSG; „Sitzstaatsprinzip“). Das DSG ist darüber hinaus auf die Verwendung von Daten im Ausland anzuwenden, soweit die Verwendung in anderen Mitgliedsstaaten des EWR für Zwecke einer in Österreich gelegenen Haupt- oder Zweigniederlassung eines Auftraggebers geschieht. Erhebt beispielsweise ein deutsches Versandhaus in Österreich durch eigenes, von Deutschland ausgesandtes Marketingpersonal Interessentendaten in Österreich, um Katalog zu versenden, so unterliegt diese Datenverarbeitung grundsätzlich dem deutschen Bundesdatenschutzgesetz. Das DSG wäre jedoch anzuwenden, wenn das deutsche Versandhaus eine eigene Tochterfirma (rechtlich unselbstständige Zweigniederlassung oder eigenständige Gesellschaft) in Österreich hat, soweit die gesammelten Daten z.B. für Marketingaktivitäten der österreichischen Tochterfirma gesammelt werden.

Hat der Rechtsträger jedoch keine Niederlassung in einem EWR-Mitgliedstaat, bildet der Ort der Datenverwendung den Anknüpfungspunkt für die Anwendbarkeit einer nationalen Rechtsordnung (§ 3 Abs. 1 DSG; „Territorialitätsprinzip“). Ein Webseitenbetreiber mit Sitz in den USA, der beispielsweise seinen Webshop auf österreichische Kunden ausrichtet, um Waren zu verkaufen, und dabei Cookies einsetzt wird grundsätzlich vom räumlichen Anwendungsbereich des DSG erfasst.

Ob österreichisches Datenschutzrecht anwendbar ist richtet sich daher primär nach der Niederlassung des Auftraggebers in Österreich. Subsidiär, wenn es sich um einen Auftraggeber mit Niederlassung außerhalb des EWR handelt, ist für die Anwendbarkeit des österreichischen DSG erforderlich, dass der Betreiber die Absicht hat, personenbezogene Daten in Österreich zu verwenden und dass er auf automatisierte oder nicht automatisierte Mittel zurückgreift, die in Österreich belegen sind. Bereits der Einsatz von Cookies kann unter den Begriff „Mittel“ subsumiert werden, womit die Verwendung von personenbezogenen Daten in Österreich gegeben ist, sofern der ausländische Webseitenbetreiber die Absicht hat, diese in Österreich einzusetzen. Ein Webseitenbetreiber in den USA, der seine Tätigkeit auf einen bestimmten Mitgliedstaat der EU ausrichtet und Cookies einsetzt, fällt nach vertretbarer Rechtsansicht bereits unter das Datenschutzrecht des jeweiligen Mitgliedsstaats.

Der Serverstandort spielt daher an sich keine Rolle, sondern die Niederlassung des Auftraggebers innerhalb des EWR bzw. bei Auftraggebern mit Niederlassung außerhalb des EWR der Ort an dem die Datenverwendung stattfindet.

Unter einer „Niederlassung“ versteht das DSG jede durch feste Einrichtungen an einem bestimmten Ort räumlich und funktional abgegrenzte Organisationseinheit mit oder ohne Rechtspersönlichkeit, die am Ort ihrer Einrichtung auch tatsächlich Tätigkeiten ausübt. Der Firmensitz eines Unternehmens fällt unter den Begriff der Niederlassung, ein Server oder Computer erfüllt ihn hingegen üblicherweise nicht.

In a nutshell

Unternehmen, die in Österreich eine Niederlassung haben fallen in jedem Fall unter das österreichische DSG, soweit die Datenverarbeitung im Rahmen der Tätigkeiten dieser Niederlassung ausgeführt wird.

 

Safe Harbor down

Dank des Einsatzes des österreichischen Juristen Max Schrems hat der Europäische Gerichtshof ja das Safe Harbour Abkommen der EU mit den USA gekippt. An einer Nachfolgeregelung wird noch gearbeitet, noch steht sie aber aus. Wie wirkt sich das für österreichische Unternehmen aus? Welche Daten dürfen nicht mehr auf amerikanische Server ausgelagert werden? Wie steht es etwa mit Newsletter-Anbietern in Amerika (Bsp. MailChimp?)

Nachdem der EuGH im Herbst 2015 Safe Harbor für ungültig erklärt hat, sind Datentransfers von Österreich in die USA genehmigungspflichtig (§ 13 DSG). Die Genehmigungspflicht entfällt, wenn die Daten vor dem Transfer anonymisiert werden, da dann der Personenbezug entfällt und das DSG nicht mehr auf den Transfer anwendbar ist. Darüber hinaus bedarf der Transfer unter anderem dann keiner vorherigen Genehmigung der österreichischen Datenschutzbehörde, wenn die personenbezogenen Daten für den Empfänger nur indirekt personenbezogen sind („Pseudonymisierung“), der Betroffene ohne jeden Zweifel seine Zustimmung zur Übermittlung oder Überlassung seiner Daten ins Ausland gegeben hat, oder die Übermittlung oder Überlassung in einer Standardverordnung oder Musterverordnung ausdrücklich angeführt ist (§ 12 Abs. 3 DSG). Nachdem der EuGH im Herbst 2015 Safe Harbor für ungültig erklärt hat, wurde im Februar 2016 die Nachfolgereglung, das „EU-US Privacy Shield“, vorgestellt. Hierbei gibt es mehrere Neuregelungen, doch es ist auch zweifelhaft, inwiefern das EU-US Privacy Shield vor dem EuGH Bestand hält. Angesichts der zahlreichen Ankündigungen, ist es sehr wahrscheinlich, dass der EuGH sich jedenfalls auch mit dem Privacy Shield wird befassen müssen. Max Schrems selbst hat ja bereits eine Initiative angekündigt.

In der Praxis ist jedoch zu beobachten, dass zahlreiche Unternehmen nach wie vor ihre Transfers auf Safe Harbor stützen und die Datenschutzbehörde dieses Vorgehen derzeit zu tolerieren scheint, um die Wirtschaft nicht übermäßig zu belasten, was jedoch keinesfalls für Unternehmen empfehlenswert ist. Aufgrund dieser rechtlichen Unsicherheiten ist zu raten, auf EU-Standardvertragsklauseln oder Binding Corporate Rules zu setzen, die jedoch in Österreich der vorherigen Genehmigung der Datenschutzbehörde bedürfen, ohne die ein Transfer von personenbezogenen Daten in unsichere Drittstaaten nicht stattfinden darf.

In a nutshell

Österreichische Unternehmen sollten für den Transfer von personenbezogenen Daten in unsichere Drittstaaten wie die USA auf die EU-Standardvertragsklauseln oder Binding Corporate Rules (BCR) setzen; der Datentransfer darf jedoch in beiden Fällen nicht ohne die vorherige Genehmigung der österreichischen Datenschutzbehörde erfolgen.

 

Was sind personenbezogene Daten?

Was versteht das österreichische Gesetz unter personenbezogenen Daten? Gibt es Daten, die man auf keinen Fall tracken darf?

Personenbezogene Daten (§ 4 Zf. 1 DSG) sind Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist. Angaben können sämtliche Informationen sein, zB Name, Geburtsdatum oder auch Umsatz, Lebenslauf, Lieblingsfarbe etc. Solche Daten dürfen verarbeitet werden, wenn dies unter anderem überwiegende berechtigte Interessen des Auftraggebers rechtfertigen oder der Betroffene der Verwendung konkludent oder ausdrücklich zugestimmt hat.
Die Verwendung von sensiblen Daten (§ 4 Zf. 2 DSG) ist jedoch nur eingeschränkt zulässig: Unter sensible Daten versteht man Daten über die rassische und ethnische Herkunft; politische Meinung, Gewerkschaftszugehörigkeit; religiöse oder philosophische Überzeugung; Gesundheit oder Sexualleben.
Sensible Daten unterliegen einem allgemeinen Verwendungsverbot: Sie dürfen nur unter den in § 9 DSG taxativ angeführten Gründen verwendet werden; unter anderem dann, wenn der Betroffene seine Zustimmung zur Verwendung der Daten ausdrücklich erteilt hat. Eine konkludente Zustimmung zur Verwendung ist bei sensiblen Daten demnach nicht zulässig. Eine Datenkategorie, die man unter keinen Umständen nachverfolgen („tracken“) darf, existiert daher im österreichischen DSG nicht. Sensible Daten dürfen aber in der Regel von einem Webseitenbetreiber mangels anderer in Frage kommender Alternativen nur nach ausdrücklicher Zustimmung des Nutzers verarbeitet werden.
§ 4 Zf. 14 DSG definiert die datenschutzrechtliche Zustimmung als gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt. Es muss sich demnach um eine „informierte Zustimmungserklärung“ handeln. Eine solche setzt nach der strengen Judikatur voraus, dass die Datenarten, Übermittlungsempfänger und der Zweck der Datenverarbeitung und –übermittlung genau beschrieben werden. Beispielhafte Aufzählungen sind unzureichend. Darüber hinaus ist auf die Möglichkeit des jederzeitigen schriftlichen Widerrufs der Datenverarbeitung hinzuweisen und die Zustimmungsklausel ist im Text hervorzuheben (insbesondere wenn sie in allgemeinen Geschäftsbedingungen verwendet wird).

In a nutshell

Personenbezogene Daten dürfen verarbeitet werden, wenn dies unter anderem überwiegende berechtigte Interessen des Auftraggebers rechtfertigen oder der Betroffene der Verwendung ausdrücklich oder konkludent zugestimmt hat. Sensible Daten jedoch dürfen nur nach ausdrücklicher Zustimmung des Nutzers verarbeitet werden.

 

Einsatz von Social Plug-Ins

In Deutschland wurde unlängst der Einsatz des Facebook Page Plug-Ins als rechtswidrig eingestuft. Das Plug-In wird auch von Österreichischen Unternehmen und Websitebetreibern gern benutzt, um ihren Facebook Auftritt auf der Website zu promoten. Besteht auch für österreichische Seiten die Gefahr solche sozialen Plug-Ins künftig nicht mehr rechtskonform nutzen zu können?

Auf Social-Plug-Ins ist § 96 Abs. 3 Telekommunikationsgesetz (TKG) anzuwenden, da sich diese Cookies oder ähnlicher Technologien bedienen. Diese Bestimmung verpflichtet den Websitebetreiber, seine User dahingehend zu informieren, welche personenbezogenen Daten er ermittelt, verarbeitet und übermitteln wird und auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden.
Social-Plug-Ins können rechtlich mit Cookies verglichen werden. Bei Cookies wurde früher in Nutzungsbedingungen über die Datenerhebungen aufgeklärt, wobei die Klausel in Nutzungsbedingungen nur schwer zu finden war. Heute setzt sich auch in Österreich langsam die Einholung aktiver Zustimmung für Cookies via Informationsbanner durch. Womit auch die Verpflichtung zur Zustimmung auf Social-Plug-Ins anzuwenden ist (siehe ausführlich die Antwort zu Frage 1 und Frage 6).

In a nutshell

Social-Plug-Ins dürfen grundsätzlich nicht ohne die vorherige informierte Zustimmung des Nutzers eingesetzt werden.

 

Cookie Einverständnis

Seit Google im letzten Jahr die Nutzer von AdSense angeschrieben hat, sehen wir auf vielen Seiten ein Overlay, das auf die Verwendung von Cookies hinweist und das Einverständnis der Nutzer einholen soll. Viele empfinden das als störend. Müssen auch User österreichischer Seiten tatsächlich so auf Cookies hingewiesen werden oder reicht vielleicht ein Hinweis auf der Datenschutzseite?

Wie oben dargestellt, bedürfen grundsätzlich alle Cookies der informierten Zustimmung des Nutzers, die nicht unbedingt erforderlich sind, damit der Webseitenbetreiber die Webseite dem Nutzer zur Verfügung stellen kann. Gemäß der Datenschutz-Richtlinie 95/46/EG (die in Österreich durch das DSG umgesetzt wurde) setzt eine gültige (informierte) Zustimmung des Nutzers folgende Elemente voraus:

  1. Spezifische Informationen: Die Einwilligung ist nur dann gültig, wenn sie für den konkreten Fall gegeben wurde und auf angemessener Information beruht. Das heißt mit anderen Worten, dass eine pauschale Einwilligung ohne Angabe des genauen Zwecks der Verarbeitung nicht zulässig ist. Die Information, die der Nutzer erhält hat auf jeden Fall die Anforderungen des § 96 Abs. 3 TKG und zu entsprechen. Dem Nutzer muss daher klar sein, welche seiner Daten auf welcher Rechtsgrundlage, für welche Zwecke, sowie für welche Dauer gespeichert werden.
  2. Zeitablauf: Grundsätzlich ist die Einwilligung vor Beginn der Verarbeitung einzuholen.
  3. Aktive Entscheidung: Die Einwilligung muss eindeutig sein. Folglich darf das Verfahren zur Einholung und zur Erteilung der Einwilligung keinen Zweifel an der Absicht der betroffenen Person lassen. Grundsätzlich bestehen keine Einschränkungen hinsichtlich der Form einer Einwilligung. Damit die Einwilligung gültig ist, muss sie jedoch durch eine aktive Willensbekundung des Nutzers erteilt werden. Als Mindestform der Willensbekundung könnte jede Art von Zeichen angesehen werden, das ausreichend eindeutig ist, um die Wünsche der betroffenen Person zum Ausdruck zu bringen und für den für die Datenverarbeitung Verantwortlichen verständlich zu sein (beispielsweise eine handschriftliche Unterschrift unter einem Papiervordruck oder ein aktives Verhalten, aus dem nach vernünftigem Ermessen auf eine Einwilligung geschlossen werden kann).
  4. Ohne Zwang: Eine Einwilligung kann nur dann gültig sein, wenn die betroffene Person eine echte Wahlmöglichkeit hat und keine Gefahr einer Täuschung, Einschüchterung, Nötigung oder beträchtlicher negativer Folgen besteht, wenn sie die Einwilligung nicht erteilt.

Von größter Wichtigkeit ist, dass keine Cookies gesetzt werden, die nicht unbedingt für den Betrieb der Webseite erforderlich sind, bevor der Nutzer seine Zustimmung erklärt hat. Viele Webseitenbetreiber setzen jedoch solche Cookies schon bei der ersten Anfrage des Nutzers zur Anzeige der Startseite einer Webseite. Ein solches Vorgehen erscheint unter den oben dargestellten Grundsätzen jedenfalls unzulässig, da der Nutzer weder vorher informiert wurde noch seine Zustimmung gültig abgeben konnte.

Für die Einholung der Zustimmung können Popups, Banner oder modale Dialoge verwendet werden, die zusammen mit den Informationen über die Verwendung von Cookies auf der Startseite der Webseite angezeigt werden. Diese Informationen können natürlich mithilfe eines Links zugänglich gemacht werden, da sich die Informationen nur selten vollständig in einem Banner etc. vollständig darstellen lassen.

Der Nutzer muss auch darüber informiert werden, wie er dem Einsatz von Cookies widersprechen, wie er einzelne Cookies ablehnen und wie er diese Einstellung in Zukunft ändern kann. Der Nutzer kann seine Zustimmung zur Verwendung von Cookies durch eine ausdrückliche Handlung oder eine andere aktive Verhaltensweise geben. Der Nutzer könnte daher seine Zustimmung erklären, indem er in unmittelbarer Nähe wo die Informationen zu Cookies angezeigt werden entweder auf einen Button oder Link klickt, oder eine Checkbox anhakt. Es eignet sich jedoch auch jede andere aktive Verhaltensweise, aus der der Webseitenbetreiber unzweifelhaft schließen kann, dass es sich bei diesem um die informierte Zustimmung des Nutzers handelt. Ein solche „aktive Verhaltensweise“ wäre beispielsweise gegeben, wenn der Nutzer auf einen Link, ein Bild oder einen anderen Inhalt auf der Startseite einer Webseite klickt, nachdem er vollständig über den Einsatz von Cookies und die Bedeutung seines Verhaltens informiert wurde.

Damit ist jedenfalls erforderlich, dass der Nutzer auf der Startseite der Webseite über die Verwendung von Cookies vollständig informiert wird, bevor Cookies auf dem Endgerät des Nutzers gesetzt werden. Ob der Nutzer aber explizit einen Button, Link etc. anklicken muss, der sich unmittelbar im Infobanner etc. befindet oder ob es für eine gültige, informierte Zustimmung ausreichend ist, dass der Nutzer einen beliebigen Link auf der Seite anklickt, lässt sich mangels Rechtsprechung in Österreich nicht beurteilen. Cookies, die unbedingt erforderlich sind, um den Dienst (d.h. die Webseite) dem Nutzer zur Verfügung zu stellen, dürfen jedoch schon bei der ersten Anfrage gesetzt werden, da für diese keine Zustimmung des Nutzers erforderlich ist. Zu solchen Cookies zählen üblicherweise Cookies für die Authentifizierung des Nutzers, Load-Balancing-Cookies oder Session-Cookies.

In a nutshell:

Vorausgesetzt auf der Startseite einer Webseite wird ein entsprechendes Informationsbanner oder ein Popup etc. angezeigt, das über die Verwendung von Cookies informiert, ist es wohl zulässig, dass Cookies gesetzt werden, sobald der Nutzer Inhalte auf der Webseite anklickt. Die Cookies dürfen allerdings erst bei der zweiten Anfrage des Browsers des Nutzers gesetzt werden, nicht schon beim Aufruf der Startseite, die ja erst die für eine gültige Zustimmung notwendigen Informationen anzeigt. Ungeachtet dessen dürfen jedoch Cookies, die unbedingt erforderlich sind, um den Dienst dem Nutzer zur Verfügung zu stellen, unmittelbar gesetzt werden, da für diese keine Zustimmung des Nutzers erforderlich ist.