Werbung und Marktkommunikation, Fachgruppe

Was ist im Zusammenhang mit Werbung, Online-Werbung und Datenschutz zu beachten?

Die Information zum Einsatz von Cookies muss deutlich auf den Websites erfolgen - Cookies dürfen erst nach aktiver Zustimmung des Users eingesetzt werden

Lesedauer: 6 Minuten

Schutzbereich:
Das grundrechtlich gewährleistete Recht auf Geheimhaltung personenbezogener Daten umfasst sowohl die Verarbeitung der Daten an sich als auch die Weitergabe bzw. Weiterverarbeitung der Daten zu anderen Zwecken als den ursprünglichen. Nach dem EU-Datenschutz-Grundverordnung (DSGVO) sind anonyme Daten, die niemand auf eine Person zurückführen kann und bei denen die Identität des Betroffenen überhaupt nicht feststellbar ist, nicht vom Schutzbereich umfasst.


Personenbezogene Daten:
Jedermann hat, insbesondere im Hinblick auf die Achtung seines Privat- und Familienlebens Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten. Soweit die Verwendung von personenbezogenen Daten des Betroffenen mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung zulässig. Diese Zustimmung kann dem Verantwortlichen konkludent oder ausdrücklich erteilt werden. Für „sensible“ Daten (besondere Kategorien personenbezogener Daten) sieht die DSGVO zwingend die ausdrückliche Zustimmung vor. Personenbezogen Daten sind Angaben über Betroffene, deren Identität bestimmt (Daten können der Person zugeordnet werden) oder bestimmbar (Daten sind verschlüsselt, wobei die Daten jederzeit entschlüsselt werden können) ist. Das sind sämtliche Informationen, die mit einer Person in Verbindung stehen oder gebracht werden können, wie z.B.: 

  • Name
  • Firmenname
  • Geburtsdatum
  • Adresse
  • Umsatz
  • Lieblingsfarbe, etc.

Besondere Kategorien personenbezogener Daten (kurz „sensible Daten“):
Die DSGVO sieht die ausdrückliche datenschutzrechtliche Zustimmung bei der Verwendung von sensiblen Daten vor. Darunter fallen folgende Daten natürlicher Personen:  


Cookies:
Cookies speichern Informationen auf dem Rechner des Internet-Nutzers, ohne dass sich dieser vorab selbst auf irgendeine Weise registriert oder persönliche Daten eingegeben hätte. Wenn dieser dann auf eine andere Website surft, können Auswertungssysteme die Cookies am Rechner des Internet-Nutzers auslesen und zielgerichtet eine auf seine Interessen Bezug nehmende Werbung liefern. Online-Targeting basiert auf einer Technik, die individuelle, auf den Nutzer abgestimmte Werbung, unabhängig vom Content einer Website, ermöglicht. Eine x-beliebige Werbung wird in folgenden Fällen geschaltet:

  • Wenn in den Cookies keine Information hinterlegt bzw. gespeichert wird; dann ist eigentlich überhaupt kein Cookie vorhanden
  • Wenn das Schreiben von Cookies über die Browsereinstellung unterbunden wird
  • Wenn geschriebene Cookies bereits wieder gelöscht wurden
     

IP-Adresse:
Die IP-Adresse ist die technische Basis für die Kommunikation im Internet. Sie identifiziert Geräte, die miteinander kommunizieren. Damit wird die IP-Adresse selbst zu einer wichtigen Datenart, die beim Surfen im Internet ermittelt werden kann. Die IP-Adresse kann nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) ein personenbezogenes Datum seindas dem Datenschutz unterliegt, insbesondere, wenn der Betreiber einer Website über "rechtliche Mittel" verfügt, die ihm die Bestimmung der hinter der IP-Adresse stehenden Person grundsätzlich ermöglichen.

  
Cookies und personenbezogene Daten:
Cookies halten Informationen zunächst anonym und anonymisiert fest. Kommt es jedoch zu Aufzeichnungen über die letzten Besuche von Websites, kann auf persönliche Interessen und Vorlieben geschlossen werden. Die Auswertung dieser Daten kann zur Kenntnis von sensiblen Informationen über eine Person führen. Zwar weisen Cookies in der Regel eine Zahlenkombination auf, die nicht unmittelbar einen Personenbezug erkennen lassen. Über eine Verknüpfung mit User- und Passworteingaben oder mit E-Mail-Adressen ist es aber möglich, dass ein Bezug zu einer konkreten Person hergestellt werden kann. Die Verwendung von Cookies macht es möglich, die IP-Adresse des Nutzers ersichtlich und nachvollziehbar zu machen.

Aus der Cookie-Zahlenkombination können die Anzahl der Klicks auf eine bestimmte Website, eine zeitliche Einordnung oder Interessengebiete und damit insgesamt das Nutzungsverhalten eines Nutzers ersehen werden. Mit Cookies allein können keine Verbindungen zu einer bestimmten Person hergestellt werden. Dazu ist eine Verknüpfung mit weiteren Informationen erforderlich. Möglich ist jedoch, dass jemand anderer, z.B. der Provider, durch Verknüpfungen dieser Daten mit der IP-Adresse und weiteren Informationen die Identität des Betroffenen bestimmen kann. Immer dann, wenn ein Bezug zu einer Person hergestellt werden kann, muss von der Anwendbarkeit der DSGVO ausgegangen werden. 


Cookies und Information/Zustimmung:
Aufgrund einer Änderung der EU-Datenschutz-RL für elektronische Kommunikation (2009/136/EG) kam es auf europäischer Ebene zu verschärften Regelungen für Cookies. Danach dürfen Cookies nur dann eingesetzt werden, wenn der Internet-Nutzer klar und umfassend über die Datenanwendung informiert wurde und zudem seine Einwilligung dazu erteilt hat. Im Zusammenhang mit dem Setzen und Auslesen von Cookies sowie dem Einblenden zielgerichteter Werbung kommt es zu einer Verantwortung zwischen Betreibern von Werbenetzwerken und Anbietern von Online-Inhalten.

Ein Einsatz von Cookies ist demnach nur zulässig, wenn 

  • der User vorab im Detail darüber informiert wird,
    • welche personenbezogenen Daten ermitteln, verarbeiten und übermitteln werden,
    • auf welcher Rechtsgrundlage und
    • für welche Zwecke dies erfolgt und
    • für wie lange die Daten gespeichert werden,
    • welche Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen besteht.
  • vor dem Einsatz von Cookies eine Zustimmung vorliegt und die Zustimmung freiwillig, ohne Zweifel und durch eine aktive Handlung erteilt wurde.

Österreichische Websitebetreiber haben auf der Website entsprechenden über den Einsatz von Cookies und deren Nutzung in geeigneter Form und spätestens bei Beginn der Rechtsbeziehungen zu informieren. In der Folge ist aber der Nutzer selbst verantwortlich, ob er über die Verwaltung seiner Browser-Einstellungen eine Speicherung von Cookies zulässt oder nicht. Die Information zum Einsatz von Cookies muss deutlich erfolgen und Cookies dürfen erst nach aktiver Zustimmung des Users eingesetzt werden. Diese Positionierung der sogenannten Artikel 29-Gruppe (ein unabhängiges Beratungsgremium aus den Vertretern der in jedem Mitgliedstaat bestehenden unabhängigen Datenschutz-Kontrollstellen) ist zwar nicht rechtsverbindlich, es wird aber dringend empfohlen, aus Gründen der Rechtssicherheit und um auf der "sicheren Seite" zu sein, unbedingt Hinweise und Aufforderungen zur aktiven Zustimmung zu Cookies auf der Startseite zu geben (vgl auch sogenannte „Cookie-Informationsbanner“).

Eine technische Speicherung oder der Zugang ist allerdings zulässig, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter den vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung stellen kann.


1st Party/ 3rd Party Cookies:

Diese Regelungen bestehen unabhängig davon, ob Cookies als 1st Party Cookies (vom Websitebetreiber selbst gesetzt und genutzt) oder als 3rd Party Cookies (werden von Dritten erhoben und am Markt angeboten). Der Nutzer muss aber in der Datenschutzerklärung ebenfalls darüber informiert werden, dass Cookies von Drittanbietern eingesetzt werden. Der Link zur Datenschutzerklärung muss leicht auffindbar sein und direkt auf der Einstiegsseite platziert werden. Es wird empfohlen, diesen Hinweis auf allen Seiten zu platzieren, da es möglich ist, dass der User nicht über die Startseite die entsprechenden Websites besucht. Damit sich der User Drittanbieter-Cookies entziehen kann, sollte ihm eine Möglichkeit zum Opt-Out geboten werden. Das kann auf der Einstiegsseite durch ein Overlay bzw. in der Datenschutzerklärung durch einen Hinweis zur Deaktivierung von Drittanbieter-Cookies erfolgen. 


Informationspflichten:

Achtung: Nach der DSGVO gibt es auch allgemeine Informationspflichten, die auch im Onlinekontext schlagend werden. In den meisten Fällen ist eine Auflistung in der Datenschutz-Erklärung auf der Website sinnvoll. Die Informationen erfassen folgende Punkte: 

  • Namen und Kontaktdaten des Verantwortlichen (und ggf seiner Vertreter),
  • Ggf Kontaktdaten des Datenschutzbeauftragten,
  • Verarbeitungszwecke und Rechtsgrundlagen der Verarbeitung,
  • Im Falle einer Datenverarbeitung aufgrund berechtigter Interessen des Verantwortlichen bzw eines Dritten sind die berechtigten Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden, auszuweisen,
  • Ggf Empfänger der Daten,
  • Falls die Absicht besteht, die Daten an ein Drittland oder eine internationale Organisation zu übermitteln, muss auch darüber informiert werden, ebenso wie über das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Europäischen Kommission. Weiters ist im Falle von Datenübermittlung vorbehaltlich geeigneter Garantien oder aufgrund von verbindlichen internen Datenschutzvorschriften, bzw generell aufgrund von besonderen Ausnahmebestimmungen eben auf diese geeigneten oder angemessenen Garantien zu verweisen oder zumindest, wo eine Kopie erhältlich wäre,
  • Dauer der Datenspeicherung bzw wenn unmöglich die Kriterien für die Festlegung der Dauer,
  • Betroffenenrechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch,
  • Die Möglichkeit des Widerrufs der Einwilligung,
  • Das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  • Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte,
  • Ggf über das Bestehen automatisierter Entscheidungsfindung, inkl aussagekräftiger Informationen über die involvierte Logik und die Tragweite der Entscheidung (zB Profiling),
  • Ggf Informationen über die Weiterverarbeitung der Daten für einen anderen Zweck als den ursprünglichen.

Werden Informationen nicht von der betroffenen Person direkt erhoben, sondern von einem Dritten, muss zusätzlich auch informiert werden, welche Kategorien personenbezogener Daten verarbeitet werden und aus welcher Quelle die personenbezogenen Daten stammen.

Stand: 20.11.2019

Weitere interessante Artikel