TKG 2021, § 165 Abs. 3 (Telekommunikationsgesetz 2021)
§ 165 Abs. 3 TKG 2021 ist die österreichische Rechtsgrundlage für die Verwendung von Cookies und regelt, dass das Speichern von Informationen auf Endgeräten oder der Zugriff darauf grundsätzlich nur nach aktiver Einwilligung der Nutzer:innen zulässig ist.
Ausführliche Erklärung
§ 165 Abs. 3 des Telekommunikationsgesetzes 2021 setzt die europäische E-Privacy-Richtlinie (RL 2002/58/EG) in österreichisches Recht um und regelt den Einsatz von Cookies sowie ähnlicher Tracking-Technologien auf Websites und in Apps. Die Bestimmung verpflichtet Betreiber öffentlicher Kommunikationsdienste und Anbieter von Diensten der Informationsgesellschaft, Nutzer:innen über die Verarbeitung personenbezogener Daten zu informieren und deren aktive Einwilligung einzuholen – basierend auf klaren und umfassenden Informationen. Diese Einwilligung muss freiwillig erfolgen und kann jederzeit widerrufen werden.
Die Regelung gilt nicht nur für klassische HTTP-Cookies, sondern auch für andere Technologien zur Speicherung oder zum Zugriff auf Daten im Endgerät der Nutzer:innen, wie Web Storage, Flash Cookies oder Browser Fingerprinting. Eine wichtige Ausnahme bilden technisch notwendige Cookies, die für die Bereitstellung eines vom Nutzer ausdrücklich gewünschten Dienstes unbedingt erforderlich sind – etwa Session-Cookies für den Warenkorb oder zur Speicherung der Cookie-Einwilligung selbst. Diese dürfen ohne vorherige Einwilligung gesetzt werden.
Für KMU ist § 165 Abs. 3 TKG 2021 besonders relevant, weil praktisch jede Website mit Analyse-Tools, Marketing-Cookies oder eingebetteten Drittinhalten davon betroffen ist. Die Zuständigkeit für die Ahndung von Verstößen gegen diese Bestimmung liegt bei den Fernmeldebehörden, nicht bei der Datenschutzbehörde – sofern keine personenbezogenen Daten verarbeitet werden. Werden allerdings in Folge des Cookie-Einsatzes auch personenbezogene Daten verarbeitet (etwa IP-Adressen oder Online-Kennungen), greifen zusätzlich die Bestimmungen der DSGVO. In der Praxis bedeutet dies: Cookie-Banner müssen korrekt implementiert sein, Cookies dürfen erst nach aktiver Zustimmung gesetzt werden, und das Ablehnen muss ebenso einfach sein wie das Akzeptieren.
Die Bestimmung trat mit dem TKG 2021 am 1. November 2021 in Kraft und löste die Vorgängerregelung in § 96 Abs. 3 TKG 2003 ab. Datenschutzerklärungen, die noch auf das alte TKG 2003 verweisen, sind nicht aktuell und sollten angepasst werden.
Praxisbeispiel
Eine Wiener IT-Beratungsfirma mit 18 Mitarbeiter:innen betreibt eine Website mit Google Analytics und eingebetteten YouTube-Videos. Nach § 165 Abs. 3 TKG 2021 muss das Unternehmen ein Cookie-Banner implementieren, das vor dem Setzen von Analyse- und Tracking-Cookies die aktive Einwilligung der Besucher:innen einholt. Technisch notwendige Cookies für die Grundfunktion der Website dürfen bereits vorher gesetzt werden. Das Unternehmen stellt sicher, dass alle Cookie-Kategorien klar beschrieben sind, die Ablehnung genauso einfach ist wie die Zustimmung, und aktualisiert seine Datenschutzerklärung vom alten TKG 2003 auf die gültige Fassung TKG 2021.