TKG 2021, § 165 Abs. 3 (Telekommunikationsgesetz 2021)
§ 165 Abs. 3 TKG 2021 ist die österreichische Rechtsgrundlage für die Verwendung von Cookies und regelt, dass das Speichern von Informationen auf Endgeräten oder der Zugriff darauf grundsätzlich nur nach aktiver Einwilligung der Nutzer:innen zulässig ist.
Ausführliche Erklärung
§ 165 Abs. 3 des Telekommunikationsgesetzes 2021 setzt die europäische E-Privacy-Richtlinie (RL 2002/58/EG) in österreichisches Recht um und regelt den rechtskonformen Einsatz von Cookies sowie ähnlicher Tracking-Technologien auf Websites und in Apps. Die Bestimmung verpflichtet Betreiber öffentlicher Kommunikationsdienste und Anbieter von Diensten der Informationsgesellschaft, Nutzerinnen und Nutzer über die Verarbeitung zu informieren und deren aktive Einwilligung einzuholen – basierend auf klaren und umfassenden Informationen. Diese Einwilligung muss freiwillig erfolgen und kann jederzeit widerrufen werden. Das Gesetz trat am 1. November 2021 in Kraft und löste die Vorgängerregelung in § 96 Abs. 3 TKG 2003 ab.
Die Regelung gilt nicht nur für klassische HTTP-Cookies, sondern auch für andere Technologien zur Speicherung oder zum Zugriff auf Daten im Endgerät, wie Web Storage, Flash Cookies oder Browser Fingerprinting. Eine wichtige Ausnahme bilden technisch notwendige Cookies, die für die Bereitstellung eines vom Nutzer ausdrücklich gewünschten Dienstes unbedingt erforderlich sind – etwa Session-Cookies für den Warenkorb oder zur Speicherung der Cookie-Einwilligung selbst. Diese dürfen ohne vorherige Einwilligung gesetzt werden. Weder die ePrivacy-Richtlinie noch das TKG 2021 enthalten eine abschließende Liste technisch notwendiger Cookies; die österreichische Datenschutzbehörde verweist hier auf die Opinion 04/2012 der ehemaligen Art. 29-Gruppe als Orientierungshilfe.
Für KMU ist § 165 Abs. 3 TKG 2021 besonders relevant, weil praktisch jede Website mit Analyse-Tools, Marketing-Cookies oder eingebetteten Drittinhalten davon betroffen ist. In der Praxis bedeutet dies: Cookie-Banner müssen korrekt implementiert sein, Cookies dürfen erst nach aktiver Zustimmung gesetzt werden, und das Ablehnen muss ebenso einfach sein wie das Akzeptieren. Die Zuständigkeit für die Ahndung von Verstößen gegen diese Bestimmung liegt grundsätzlich bei den Fernmeldebehörden. Werden allerdings in Folge des Cookie-Einsatzes auch personenbezogene Daten verarbeitet – etwa IP-Adressen oder Online-Kennungen – greifen zusätzlich die Bestimmungen der DSGVO, und die Datenschutzbehörde kann zuständig werden. Die Anforderungen an eine gültige Einwilligung richten sich dann nach Art. 4 Z 11 und Art. 7 DSGVO.
Praxisbeispiel
Eine Wiener IT-Beratungsfirma mit 18 Mitarbeiterinnen und Mitarbeitern betreibt eine Website mit Google Analytics und eingebetteten YouTube-Videos. Nach § 165 Abs. 3 TKG 2021 muss das Unternehmen ein Cookie-Banner implementieren, das vor dem Setzen von Analyse- und Tracking-Cookies die aktive Einwilligung der Besucherinnen und Besucher einholt. Technisch notwendige Cookies für die Grundfunktion der Website dürfen bereits vorher gesetzt werden. Das Unternehmen stellt sicher, dass alle Cookie-Kategorien klar beschrieben sind, die Ablehnung genauso einfach ist wie die Zustimmung, und aktualisiert seine Datenschutzerklärung vom alten TKG 2003 auf die gültige Fassung TKG 2021.