Das Cookie-Monster geht weiter um – und das nicht nur in der Sesamstraße: Am 13. Oktober 2021 wurde im Rahmen des neuen Telekommunikationsgesetzes 2021 (TKG 2021) (Link zur Regierungsvorlage) auch die Cookie-Bestimmung „überarbeitet“, nämlich, wie folgt [Streichungen weggefallen, Unterstreichungen ergänzt]:
***
§ 96 TKG alt wird zu § 165 TKG 2021
[…]
(3) Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den TeilnehmerNutzer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er verarbeiten wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer oder Benutzer seine Einwilligung dazu aktiv und auf Grundlage von klaren und umfassenden Informationen erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer Nutzer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Der Teilnehmer Nutzer ist auch über die Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen zu informieren. Diese Information hat in geeigneter Form, insbesondere im Rahmen Allgemeiner Geschäftsbedingungen und spätestens bei Beginn der Rechtsbeziehungen zu erfolgen. Das Auskunftsrecht nach dem Datenschutzgesetz und der DSGVO bleibt unberührt.
***
Kosmetische Änderungen nach EuGH-Vorgaben
Zu mehr als diesen „kosmetischen Änderungen“ konnte sich der österreichische Gesetzgeber offensichtlich nicht durchringen, und das, obwohl eine EuGH-Entscheidung bereits dazu geführt hatte, dass sich die Lehre, die deutschen Datenschutzbehörden und der deutsche Gesetzgeber mit der deutschen „Schwesterbestimmung“ intensiv auseinandergesetzt haben. Und das auch vor dem Hintergrund, dass hunderte „Cookie-Verfahren“ bei der österreichischen Datenschutzbehörde (DSB) anhängig sind und die DSB wohl mit ihren Entscheidungen auf die TKG-Novelle gewartet hat.
Aber der Reihe nach: Die Große Kammer des Europäischen Gerichtshofs (EuGH) hat am 1. Oktober 2019 in der Rechtssache C‑673/17 (Link) aufgrund des Vorabentscheidungsersuchen des Bundesgerichtshofs – BGH (Deutschland) in dem Verfahren der (deutschen) Verbraucherzentrale gegen Planet49 GmbH eine Entscheidung hinsichtlich des Einsatzes von Cookies (mit personenbezogenen Daten!) gefällt.
Der Umstand, dass personenbezogene Daten erfasst waren, hat schon bei manchen zu fatalen Fehlschlüssen geführt, insbesondere was die Abgrenzung der telekommunikationsrechtlichen Konsequenzen von jenen nach dem Datenschutzrecht betrifft. Die EuGH-Entscheidung legte auch nahe, dass die schon bisherige österreichische „Cookie-Regelung“ europarechtswidrig war die obige neue weiterhin ist; auch die sich daraus ergebenden Konsequenzen bedürfen noch eingehender Beschäftigung, weil eine richtlinienkonforme Interpretation gegen den klaren Gesetzeswortlaut wohl nicht möglich ist.
Der österreichische Gesetzgeber hat sich offensichtlich nur insoweit zu Änderungen hinreißen lassen, als der EuGH aussprach, dass keine wirksame Einwilligung vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss. Es bedarf also einer aktiven Einwilligung. Der EuGH betonte auch, dass dieser aktiven Einwilligung eine klare und umfassende Information vorangehen muss. Entgegen dem EuGH hat der technische Gesetzgeber aber nicht klargestellt, dass diese Information auch umfassen muss, ob Dritte Zugriff auf die Cookies erhalten können.
Österreichische Cookie-Bestimmung europarechtswidrig?!
Die alte wie neue Cookie-Bestimmung geht auf Art. 5 Abs. 3 der „CookieRL“ zurück, welche – entgegen dem Wortlaut des TKG – nicht auf personenbezogene Daten, sondern auf Speicherung bzw. Zugriff auf Informationen (!) abstellt. Diese Thematik – also ob die Bestimmung auch nicht-personenbezogene Daten umfasst – musste der EuGH nicht aufgreifen bzw. beantworten, weil im dortigen Fall personenbezogene Daten betroffen waren.
Das TKG bezieht sich aber ausdrücklich ausschließlich auf personenbezogene Daten, sodass – da es sich ja um Verwaltungsstrafrechts handelt – eine erweiterte Anwendung ausgeschlossen ist.
Das TKG ist auch im Bereich der personenbezogenen Daten die Spezialbestimmung, sodass sowohl hinsichtlich der Kompetenz (Fernmeldebehörden) als auch der Strafhöhe (ausschließlich nach TKG, wobei dort eine Verwaltungsstrafe von bis zu € 50.000 ausschließlich für den Fall der Nicht-Information und nicht für den Fall der Nicht-Einwilligung vorsieht) die Spezialbestimmung den allgemeinen datenschutzrechtlichen Bestimmungen vorgeht.
Daran hat das neue TKG 2021 nichts geändert.