Exit

In der praktischen Anwendung des One-to-One Marketing stößt man schnell an seine Grenzen bezüglich der juristischen Regelungen. Einmal im großen Bereich des E-Mail-Marketing, ein anderes Mal zum Thema Datentracking über Cookies. Im folgenden Bericht sei ein Standpunkt der derzeitigen Regelungen geliefert – zwei neue Legislativvorschläge liegen der EU bereits vor und sollen wahrscheinlich 2014/15 in Kraft treten. Mehr dazu hier.

Die beiden rechtlichen Artikel zu Rechtliche Kriterien zu Cookies und im E-Mail-Marketing (siehe auch “Rechtliche Kriterien im E-Mail-Marketing“) sind ausführlicher, da gerade im juristischen Bereich wenig Interpretationsspielraum besteht und Vollständigkeit wichtig ist.

 

Grundlagen: Datenschutz rund um personenbezogene Daten

Schutzbereich:

Das verfassungsgesetzlich gewährleistete Recht auf Geheimhaltung personenbezogener Daten umfasst sowohl die Weiterverarbeitung als auch die Weitergabe bzw. Ermittlung derartiger Daten. Nach dem DSG 2000 sind anonyme Daten, die niemand auf eine Person zurückführen kann und bei denen die Identität des Betroffenen überhaupt nicht feststellbar ist, nicht vom Schutzbereich umfasst.

Personenbezogene Daten:

Jedermann hat, insbesondere im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten. Soweit die Verwendung von personenbezogenen Daten des Betroffenen mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung zulässig. Diese Zustimmung kann konkludent oder ausdrücklich erteilt werden. Für sensible besonders schützenswerte Daten sieht das DSG 2000 zwingend die ausdrückliche Zustimmung vor. Personenbezogen Daten sind Angaben über Betroffene, deren Identität bestimmt (Daten können der Person zugeordnet werden) oder bestimmbar (Daten sind verschlüsselt, wobei die Daten jederzeit entschlüsselt werden können) ist. Das sind sämtliche Informationen, die mit einer Person in Verbindung stehen oder gebracht werden können, wie z.B.:

  • Name
  • Firmenname
  • Geburtsdatum
  • Adresse
  • Umsatz
  • Lieblingsfarbe, etc.

Indirekt personenbezogene Daten:

Das sind jene Daten, die der konkrete Verwender nicht auf eine Person zurückführen und mit denen er somit auch nicht die Identität des Betroffenen bestimmen kann. Die Identifizierung ist jedoch durch jemand anderen möglich. Indirekt personenbezogene Daten sind verschlüsselt. Der Verwender der Daten kann diese jedoch durch Einsatz illegaler Mittel (Einbruch, Diebstahl, Zwang, Bestechung) entschlüsseln.

Sensible, besonders schutzwürdige Daten:

Das DSG 2000 sieht die ausdrückliche datenschutzrechtliche Zustimmung nur bei der Verwendung von sensiblen Daten vor. Darunter fallen folgende Daten natürlicher Personen:

  • Rassische und ethnische Herkunft
  • Politische Meinung
  • Gewerkschaftszugehörigkeit
  • Religiöse oder philosophische Überzeugung
  • Gesundheit
  • Sexualleben

Wie funktionieren Cookies

Cookies halten Informationen zunächst anonym und anonymisiert fest. Kommt es jedoch zu Aufzeichnungen über die letzten Besuche von Websites, kann auf persönliche Interessen und Vorlieben geschlossen werden. Die Auswertung dieser Daten kann zur Kenntnis von sensiblen Informationen über eine Person führen. Zwar weisen Cookies in der Regel eine Zahlenkombination auf, die nicht unmittelbar einen Personenbezug erkennen lassen. Über eine Verknüpfung mit User- und Passworteingaben oder mit E-Mail-Adressen ist es aber möglich, dass ein Bezug zu einer konkreten Person hergestellt werden kann. Die Verwendung von Cookies macht es möglich, die IP-Adresse des Nutzers ersichtlich und nachvollziehbar zu machen.

Aus der Cookie-Zahlenkombination können die Anzahl der Klicks auf eine bestimmte Website, eine zeitliche Einordnung oder Interessengebiete und damit insgesamt das Nutzungsverhalten eines Nutzers ersehen werden. Mit Cookies allein können keine Verbindungen zu einer bestimmten Person hergestellt werden. Dazu ist eine Verknüpfung mit weiteren  Informationen erforderlich. Möglich ist jedoch, dass jemand anderer, z.B. der Provider, durch Verknüpfungen dieser Daten mit der IP-Adresse und weiteren Informationen die Identität des Betroffenen bestimmen kann.

Regelung der Europäischen Union – der Cookie Paragraph

Seit dem 25. Mai 2011 schreibt die Europäische Union ein einheitliches Europäisches Rezept für Cookies vor. Mit diesem Tag ist die Frist abgelaufen, die für die Umsetzung der Richtlinie 2009/136/EG über den Schutz personenbezogener Daten in der elektronischen Kommunikation (auch “Cookie Richtlinie” oder “E-Privacy Richtlinie” genannt) in nationales Recht eingeräumt war. Doch nicht alle Länder haben sie schon umgesetzt.

Erlassen hat der europäische Gesetzgeber die Cookie-Richtlinie 2009. Sie bestimmt unter anderem folgendes: Dienen die Cookies nicht dem alleinigen Zweck der Übertragung von Nachrichten über ein elektronisches Kommunikationsnetz oder der von einem Nutzer ausdrücklichen gewünschten Diensteerbringung, so soll ihre Verwendung nur noch mit vorheriger Einwilligung des Nutzers erlaubt sein (Artikel 5 (3) der Richtlinie). Vorausgesetzt ist zudem die umfassende Information des Nutzers über den Einsatz der Cookie-Techniken und die Verwendung der damit erzeugten Daten.

Ohne Einwilligung ist weiterhin das Setzen eines Cookies im Rahmen eines Online-Shops möglich, wenn es darum geht, den “Einkaufswagen” einem bestimmten Nutzer zuzuordnen. Anders verhält es sich mit dem Einsatz von Cookies, die darauf zielen, das Surf-Verhalten des Nutzers auszuwerten.

Die nationalen Gesetzgeber in Europa, die die Richtlinie in nationales Recht umzusetzen haben, monieren vor allem den unklaren Wortlaut des Artikels 5 (3). Die Richtlinie lässt offen, wie genau die Einwilligung eingeholt werden muss, damit sie wirksam ist. So wird dem nationalen Gesetzgeber ein Gestaltungsspielraum eingeräumt, der in der Praxis zu erheblichen Problemen geführt hat. Gestritten wird insbesondere darüber, ob ein Nutzer aktiv in die Verwendung von Cookies einwilligen muss (“Opt-in”) oder ob es reicht, wenn er – beispielsweise über ein Anpassen der BrowserEinstellungen – die Möglichkeit hat, der Verwendung zu widersprechen (“Opt-out”).

Die Mitgliedstaaten der EU haben diesen Gestaltungsspielraum genutzt und den Artikel 5 (3) der Richtlinie unterschiedlich umgesetzt. Während sich die Mehrheit für eine Opt-in-Lösung entschieden hat, genügt in einigen Staaten, unter anderen Finnland und Portugal, ein Opt-out des Nutzers. Einige nationale Gesetze haben den Text der Richtlinie direkt übernommen, legen sich also nicht eindeutig fest. Hier ist die Rechtsunsicherheit groß.

Diskutiert wird außerdem, mit welchen technischen Mitteln die geforderte Einwilligung am praktikabelsten auf einer Web-Seite eingeholt werden kann. Hier bevorzugen die meisten Staaten “Pop-Ups” oder Banner, die beim ersten Besuch auf einer Web-Seite angeklickt werden müssen. Auch über die Nutzungsbedingungen einer Site soll die Einwilligung teilweise eingeholt werden können.

Einheitlich setzten alle Staaten nur voraus, dass der Nutzer eindeutig und klar verständlich über den Zweck der Speicherung und Nutzung seiner Daten – sowie die Möglichkeit, eine Speicherung zu verweigern – informiert sein muss. Web-Seiten-Betreiber sind also aufgefordert, unbedingt ihre Nutzungsbedingungen und Datenschutzrichtlinien zu überprüfen und gegebenenfalls umfassend zu ergänzen.

Für den Nutzer bedeutet die Regelung mehr Transparenz. Durch die umfassenden Informationen und die Einwilligungsmöglichkeiten wird er wieder “Herr seiner Daten”. Aber auch für Unternehmen ziehen die Änderungen nicht nur einen ärgerlichen Aufwand nach sich, sondern sie können durchaus eine Chance bieten: Je transparenter eine Web-Seite, desto nutzerfreundlicher. Und das ist in jedem Fall ein Qualitätsmerkmal, das sich schnell herumspricht.

Festzuhalten bleibt jedoch, dass die Rechtslage in Europa zumindest derzeit alles andere als einheitlich ist. Unternehmen mit Sitz in einem EU-Land müssen sich dabei an die dortigen Anforderungen halten. In Europa tätige Unternehmen mit Sitz außerhalb des Europäischen Wirtschaftsraumes hingegen leiden besonders unter der Rechtsunsicherheit: Sie haben möglicherweise verschiedene nationale Vorgaben für ein und dieselbe Webseite zu beachten. Hier empfiehlt es sich in der Regel, dem strengsten Schutzstandard zu folgen.

Regelung in Österreich – Umsetzung in der Telekommunikationsgesetz-Novelle 2011

In Österreich wurde die Richtlinie im Rahmen einer Novellierung des Telekommunikationsgesetzes umgesetz, allerdings gilt der entsprechende Paragraph nur für personenbezogene Daten. Für Österreich wurde mit diesem Beschluss die Grundlage für einen gesunden Wettbewerb und den weiteren Ausbau der IKT-Wirtschaft geschaffen.

Das Parlament hat damit die für die Werbewirtschaft wichtige Datenschutz-Regelung betreffend Cookies in dieser Telekom-Gesetz-Novelle 2011 innerstaatlich umgesetzt. Die Einwilligung des Nutzers zum Setzen und Auslesen von Cookies gilt somit über die Handhabung der entsprechenden Browsereinstellung als konkludent erteilt. Damit wird sichergestellt, dass die allgemeinen Bestimmungen des Datenschutzgesetzes durch das Telekom-Gesetz nicht abgeschwächt werden. Dieser Pflicht kann für Dienste der Informationsgesellschaft durch die Aufnahme einer Datenschutzerklärung im verpflichtenden Impressum nachgekommen werden. Wenn dies technisch durchführbar ist, kann die Einwilligung des Nutzers zur Verarbeitung über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Verwendung von personenbezogenen Daten des Betroffenen mit seiner Zustimmung ist zulässig.

Weitere Infos und Detailfragen:

www.ombudsmann.at – Kostenlose Beratung und Streitschlichtung für Online KonusmentInnen in Österreich
www.oiat.at – Österreichisches Insitut für angewandte Telekommunikation
www.wko.at – Wirtschaftskammer Österreich

Quellen:

Computerwoche: Cookie Richtlinien in Europa, 11.02.2013
Wirtschaftskammer Österreich: Was ist in Zusammenhang mit Werbung, Online-Werbung und Datenschutz zu beachten, 11.02.2014
Wirtschaftskammer Österreich: Checkliste Zusendung von Werbe-E-Mails nach dem TKG (Telekommunikationsgesetz), Juli 2014
Wirtschaftskammer Österreich: E-Mail versenden, aber richtig, Juli 2009

Close
Go top