Die EU schreibt vor, dass User erst zustimmen müssen, bevor die Werbeindustrie Daten über sie sammelt. Doch Österreich könnte weniger umsetzen, als es müsste. Für viele Unternehmen würden die neuen Regeln nicht gelten.
Wien. Je mehr man über einen Internetnutzer weiß, desto besser kann Werbung, die als interessant wahrgenommen werden soll, platziert werden. Das sogenannte Online-Targeting (siehe Info-Kasten) setzt auf das Online-Verhalten der User und versucht jene, die bereits einmal eine Website besucht haben, wieder „zurückzugewinnen“. So könnte man beim morgendlichen Klick auf seine Freemail-Seite überrascht sein, ganz „zufällig“ den Werbebanner genau jenes Unternehmens angezeigt zu bekommen, dessen Website man am Vorabend besucht, aber unverrichteter Dinge wieder verlassen hat.
Ausgangspunkt für die Analyse des Nutzerverhaltens sind Cookies, die die Surfgewohnheiten protokollieren und Informationen auf dem Rechner des Internetnutzers speichern, ohne dass sich dieser vorab selbst registriert oder persönliche Daten eingegeben hat. Dadurch können auch heikle, ganz persönliche Informationen gesammelt werden. Dies birgt die Gefahr eines Eingriffes in die Privatsphäre. Je nach Inhalt können Cookies daher datenschutzrechtlich problematisch sein. Dennoch akzeptieren die meisten Browser diese von vornherein. Um sie abzulehnen, müssen die Standardeinstellungen deaktiviert werden.
Vor diesem Hintergrund kam es im Jahr 2009 im Rahmen der sogenannten „EU-Telekom-Reform“ zu einer Änderung der Datenschutzrichtlinie für elektronische Kommunikation, der „E-Privacy-Richtlinie“. Diese sieht vor, dass der Nutzer um seine Einwilligung zur Speicherung von Cookies gefragt werden muss. Dadurch soll die Privatsphäre der User gestärkt werden. Bis Ende Mai müssen die EU-Staaten die Richtlinie umsetzen. In Österreich liegt bisher ein Ministerialentwurf vor, mit dem unter anderem das Telekommunikationsgesetz (TKG) geändert werden soll. In der Neuformulierung wird eine Einwilligung des Teilnehmers gefordert, die auf der Grundlage von klaren und umfassenden Informationen getroffen werden muss. Wird dieser Vorschlag zum Gesetz, erscheinen aber Anwendungs-, Auslegungs- und Abgrenzungsprobleme absehbar.
Regeln nur für Service-Provider?
Denn nach dem derzeitigen Wortlaut des Ministerialentwurfs wäre die Informations- und Einwilligungspflicht – wegen der Umsetzung im TKG – auf Betreiber eines öffentlichen Kommunikationsdienstes beschränkt. Das heißt, die neuen Regeln würden nur für die öffentlichen Internet-Service-Provider oder Telekommunikationsanbieter gelten. Andere Unternehmen (also Firmen, die im Internet Content bieten) wären von den neuen strengen Regeln nicht umfasst. Eine Einschränkung, die nach den EU-Vorgaben wohl nicht gedeckt ist. Denn die Richtlinie schränkt den Anwendungsbereich nicht auf öffentliche Kommunikationsnetze ein, sondern nimmt allgemein auf die Speicherung von Informationen im Endgerät des Teilnehmers oder Nutzers Bezug.
Zudem stellt die EU-Richtlinie generell auf Informationen ab, die auf dem Endgerät des Betroffenen gespeichert sind. Dabei geht es laut der „Art-29-Datenschutzgruppe“, dem unabhängigen Beratungsgremium der EU in Fragen des Datenschutzes, um den Schutz der Privatsphäre. Nicht erforderlich ist, dass es sich unbedingt um personenbezogene Daten im Sinne der Definition der Datenschutzrichtlinie handelt. Demgegenüber stellt der Ministerialentwurf ausdrücklich auf personenbezogene Daten ab. Cookies bzw. die in Cookies gespeicherten Informationen können aber sowohl personenbezogen als auch nicht personenbezogen sein. Vor diesem Hintergrund müsste zwischen verschiedenen Cookies bzw. deren Inhalt differenziert werden, was in der Praxis zu Auslegungsschwierigkeiten führen könnte. Beachtlich ist zudem, dass die Einwilligungspflicht nach dem Wortlaut des Ministerialentwurfes nur auf die Ermittlung der Daten, nicht jedoch auch auf sonstige Datenverarbeitungsschritte, wie etwa Verwendung, Verarbeitung, Übermittlung etc., abstellt. Gerade beim Online-Targeting kommt es aber auch zur Verarbeitung und Übermittlung der ermittelten Daten.
Wahlmöglichkeiten nötig
Um die unionsrechtlichen Vorgaben zu erfüllen sind bei der künftigen Behandlung von Cookies Transparenz, Auswahlmöglichkeiten sowie die Einholung der Einwilligung der Nutzer zu gewährleisten. Bei Anklicken eines „i-Logos“ könnten dem User Informationen über die Cookies angezeigt werden, auf deren Basis er eine Interesseneinordnung vornehmen kann. Damit werden Cookies von der bloßen Zahlenkombination zu „Klartext-Cookies“, die Auswahlmöglichkeiten bieten. Für eine praktikable Einwilligung erscheint es nötig, die Standardeinstellungen der Browser so abzuändern, dass Cookies von vornherein zugestimmt werden muss.
Sollte Österreich die EU-Richtlinie nicht fristgerecht umsetzen, könnte sie aber auch unmittelbar anwendbar werden. Schon deswegen sollten Unternehmen Usern den Schutz der Privatsphäre im Internet gewähren.
RA Dr. Michael M. Pachinger
ist Junior Partner und geschäftsführender Gesellschafter der
Saxinger Chalupsky & Partner Rechtsanwälte GmbH.
("Die Presse", Print-Ausgabe, 23.05.2011)