th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung: FAQ zum Online-Bereich

ACHTUNG: Hier kommen nicht nur datenschutzrechtliche, sondern auch Bestimmungen zum E-Commerce, Telekommunikationsgesetz und Unternehmensgesetzbuch zur Anwendung!


  1. Ändert sich an der Handhabung von Cookies etwas, ist weiterhin ein Cookie-Consent notwendig bzw. wie muss ich die User vom Gebrauch der Cookies informieren?
  2. Welche Besonderheiten des Datenschutzes neu ergeben sich für einen bestehenden Onlineshop?
  3. Wie geht man mit E-Mails um, hier ist fast immer eine natürlich Person und Daten identifizierbar, gibt es hier Löschfristen/-regeln?
  4. Als Eventveranstalter stelle ich Bilder von Events z.B. auf Facebook online, wo Personen abgebildet sind. Wie ist hier die Rechtslage?
  5. Im Zuge einer Bestellung in einem Onlineshop werden Daten zur Auslieferung an den Geschäfts- oder Endkunden erfasst. 

  6. Welche grundlegenden Anforderungen gibt es hier an den Onlinehändler?
  7. Müssen E-Mails an und von Kunden archiviert werden?
  8. Ich habe Anschrift und Unternehmensinformationen von anderen Unternehmern auf meiner Homepage - so eine Art - Werbung für Firmen - gibt es da etwas zu beachten?
  9. Gibt es Auswirkungen auf die Newsletteranmeldungen bzw. die Sammlung von E-Mail-Adressen? & in wie weit muss man als Webshopbetreiber Änderungen vornehmen? zB. wenn Kunden als "Gast" bestellen?
  10. Was ist bei Verwendung von Google-Analytics zu beachten? Der von Google derzeit bereitgestellte Text dürfte ja nicht DSGVO-konform sein.
  11. Was bedeutet das konkret z.B. für einen kleinen Onlineshop (Einzelperson Unternehmen) der zB wenige Merchandisingartikel vertreibt (weltweit) - was konkret muss ich mit den Daten der "Kunden" (die zb ein T-Shirt bestellen) machen (Adresse, Name, Email, Kreditkarte) um den neuem Datenschutzgesetz zu entsprechen?
  12. Sind Website Cookies Boxen zukünftig noch notwendig?
  13. Muss für die Veröffentlichung von Fotos auf der Homepage eine SCHRIFTLICHE Einverständniserklärung eingeholt werden?
  14. Wie sieht es mit Facebook aus, darf man Facebook Pixel noch in Webseiten einbauen? Ich denke das Verwenden von Custom Audience und das Erstellen von Look-alike Audience wird ohnehin problematisch sein?
  15. Ich habe zum Thema Webfonts wie zb Google Fonts unterschiedliche Angaben. Widerspricht der Einsatz von Webfonts der DSGVO weil dadurch möglicherweise IP-Adressen übermittelt werden, wenn die Webfonts nicht lokal eingebunden sind, sondern beim Besuch der Website nachgeladen werden. Benötige ich dann einen ADV-Vertrag? Wenn ja, wie kann der Webfont-Anbieter ein Auftragsverarbeiter sein, wenn ich gar nicht weiß, ob und welche Daten dieser verarbeitet und ich auch keinen Zugriff darauf habe?
  16. Wer ist bei der Website verantwortlich für Hinweise der DSVGO (zB. Cookie Hinweis). Der Unternehmer/in oder der Webdesigner/in?
  17. Ist laut der DSGVO auf Internetseiten nun das Opt-In bei zB Website-Statistiken nun Pflicht oder weiterhin nur das optionale Opt-Out auf der Seite Datenschutz?
  18. Cookie - Wenn ein User hier nicht zustimmt - sprich auf OK drückt - und weiter auf der Seite bleibt - gilt das auch als Zustimmung?

  19. Art 7 (1) verlangt vom Verantwortlichen den Nachweis der Einwilligung in die Verarbeitung. Wie kann ich diesen Nachweis bei einer Checkbox erbringen? Muss ich Zeitstempel und IP-Adresse der vom Kunden erteilten Einverständnis mitspeichern, um das zu beweisen?
  20. Darf ein Cookie gesetzt werden bevor der User die Meldung bestätigt? Oder erst nach Bestätigung/Zustimmung?
  21. Muss die Zustimmung bei Cookies per Opt-In erfolgen oder ist Opt-Out auch zulässig?
  22. Ist die (dynamische) IP-Adresse ein personenbezogenes Datum?
  23. Sind anonymisierte Daten personenbezogene Daten?

  24. Muss über die Gültigkeitsdauer der Cookies infomiert werden?
  25. Muss der Cookie Banner mittels Klick bestätigt werden?
  26. Wie werden Social Plug-Ins (Facebook) auf Webseiten behandelt? Muss daran etwas geändert werden oder reicht die Zustimmung von Facebook?
  27. Welche Alternativen gibt es zu einem Cookie-Banner?
  28. Muss die Einwilligung eines Website-Besucher über dem Cookie-Banner gespeichert werden?
  29. Ist Einwilligung der Speicherung der IP-Adresse (Google Analytics) auch gegeben, wenn ich auf meiner Website im Impressum darauf hinweise und den Link eingebe, in dem sich jeder davon ausnehmen kann? Oder muss ich auch tatsächlich ein Kästchen aufpoppen lassen, das der Nutzer aktiv ankreuzen muss, wenn er mit dem Sammeln von Cookies einverstanden ist?

1. Ändert sich an der Handhabung von Cookies etwas, ist weiterhin ein Cookie-Consent notwendig bzw. wie muss ich die User vom Gebrauch der Cookies informieren?

Nach der geltenden EU-Richtlinie (ePrivacy RL), die in Österreich mit § 96 Telekommunikations-Gesetz (TKG) umgesetzt wurde, ist das Abspeichern von Cookies auf dem Endgerät des Kunden, um Daten mit dem Computer des Kunden zu verknüpfen, zulässig, wenn die Einwilligung des Users eingeholt wurde und der User entsprechend informiert wurde. Diese kann nach den Erläuterungen zum § 96 TKG grundsätzlich auch durch die Einstellungen des jeweiligen Browsers eingeholt werden. Die Datenschutzbehörden verlangen jedoch ein aktives Verhalten für diese Einwilligungserklärung. Im Sinne der Rechtssicherheit und auch um den Informationsverpflichtungen nachzukommen, wird die Verwendung eines Cookie-Banners vorgeschlagen (PopUp). Entsprechenden Formulierungsvorschläge finden Sie unter https://www.wko.at/service/wirtschaftsrecht-gewerberecht/datenverarbeitung-webshop-website.html

2. Welche Besonderheiten des Datenschutzes neu ergeben sich für einen bestehenden Onlineshop?

Die Website muss „perfekt“ sein, da diese Ihr Aushängeschild ist, öffentlich zugänglich ist und sohin auch für jedermann einsehbar. Die Datenschutzerklärung auf der Website sollte daher unbedingt dsgvo-konform sein (Muster). Für Anbieter von Diensten der Informationsgesellschaft (z.B. Betreiber von Webshops) gelten zusätzlich die Bestimmungen des Telekommunikationsgesetzes (§ 96 TKG). Diese Bestimmungen stammen nicht aus der DSGVO, sondern aus der E-Privacy-Richtlinie, die derzeit auf EU-Ebene überarbeitet wird und in eine eigene Datenschutzverordnung für die elektronische Kommunikation (ePrivacy Verordnung) münden soll. Da derzeit noch nicht absehbar ist, wie die Änderungen im Detail aussehen werden und wann sie in Kraft treten werden, werden hier noch die derzeit geltenden Bestimmungen des TKG dargestellt.

3. Wie geht man mit E-Mails um, hier ist fast immer eine natürliche Person und Daten identifizierbar, gibt es hier Löschfristen/-regeln?

Es gibt keine Sonderregelungen für E-Mails im Hinblick auf Löschfristen. Die allgemeinen Regelungen kommen hier zur Anwendung, vgl auch: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Pflicht-zur-Berichtigung.html und https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-speicher-und-aufbewahrungsfristen.html

4. Als Eventveranstalter stelle ich Bilder von Events z.B. auf Facebook online, wo Personen abgebildet sind. Wie ist hier die Rechtslage?

Sie müssen sicherstellen, für diese Art der Veröffentlichung auch eine entsprechende Grundlage zu haben (zB berechtigtes Dokumentationsinteresse nach transparenter Aufklärung der betroffenen Personen oder Einwilligungserklärung (auch im Hinblick auf urheberrechtliche Ansprüche)).Speziell bei Portraitaufnahmen sollte eine Einwilligungserklärung der betroffenen Person für diese Form der Veröffentlichung eingeholt werden.

5. Im Zuge einer Bestellung in einem Onlineshop werden Daten zur Auslieferung an den Geschäfts- oder Endkunden erfasst. 

Sie erfassen diese Daten offenbar zur Auftragserfüllung, was grundsätzlich zulässig ist. Alle Informationen hierüber und auch Muster finden Sie unter: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/datenverarbeitung-webshop-website.html

6. Welche grundlegenden Anforderungen gibt es hier an den Onlinehändler?

Alle Informationen hierüber und auch Muster finden Sie unter: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/datenverarbeitung-webshop-website.html

7. Müssen E-Mails an und von Kunden archiviert werden?

Das entscheidet sich aufgrund von betriebswirtschaftlichen Überlegungen, steuer- und arbeitsrechtlichen Aufbewahrungspflichten etc. 

8. Ich habe Anschrift und Unternehmensinformationen von anderen Unternehmern auf meiner Homepage, so eine Art Werbung für Firmen. Gibt es da etwas zu beachten?

Das ist ebenfalls als personenbezogen zu qualifizieren und stellt sich die Frage nach der Rechtsgrundlage für diese Veröffentlichung. Im Zweifel sollten Sie eine Einwilligung der betroffenen Unternehmen einholen. 

9. Gibt es Auswirkungen auf die Newsletteranmeldungen bzw. die Sammlung von E-Mail-Adressen? Inwieweit muss man als Webshopbetreiber Änderungen vornehmen?

Auch Newsletter und Websites werden an die neue Rechtslage angepasst werden müssen, allerdings kommen hier auch Regelungen aus anderen Rechtsgebieten zur Anwendung, welche nach wie vor dieselben geblieben sind und derzeit noch bleiben. Informationen hierüber und auch Muster finden Sie unter: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/datenverarbeitung-webshop-website.html

10. Was ist bei Verwendung von Google-Analytics zu beachten? Der von Google derzeit bereitgestellte Text dürfte ja nicht DSGVO-konform sein.

Der Text liegt uns leider nicht vor. Muster für eine korrekte Implementierung von Cookies finden Sie hier: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html

11. Was bedeutet das konkret z.B. für einen kleinen Onlineshop (Einzelperson Unternehmen) der zB wenige Merchandisingartikel vertreibt (weltweit) - was konkret muss ich mit den Daten der "Kunden" (die zb ein T-Shirt bestellen) machen (Adresse, Name, Email, Kreditkarte) um den neuem Datenschutzgesetz zu entsprechen?

Die konkreten Schritte für Websitebetreiber finden Sie hier: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/datenverarbeitung-webshop-website.html

12. Sind Website Cookies Boxen zukünftig noch notwendig?

Derzeit ist noch davon auszugehen, Muster hierfür finden Sie hier: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html

13. Muss für die Veröffentlichung von Fotos auf der Homepage eine SCHRIFTLICHE Einverständniserklärung eingeholt werden?

Eine Einwilligung kann grundsätzlich auch mündlich oder konkludent erteilt werden, aus Beweisgründen empfiehlt sich allerdings eine schriftliche Einwilligung. 

14. Wie sieht es mit Facebook aus, darf man Facebook Pixel noch in Webseiten einbauen? Ich denke das Verwenden von Custom Audience und das Erstellen von Look-alike Audience wird ohnehin problematisch sein?

Man darf, allerdings ist hier darauf zu achten, dass wieder 1. informiert wird und 2. eine Einwilligung eingeholt wird, da auch hier personenbezogene Daten erhoben und weitergegeben werden. In der Praxis hat sich bei PlugIns die „Zwei-Klick-Lösung“ etabliert. Social Plugins werden als iFrames in einer Webseite eingebunden. Deutsche Aufsichtsbehörden sind der Meinung, dass die Einbindung von Social Plugins eine unzulässige Datenweitergabe darstellt, da keine Einwilligung eingeholt wurde. Die „Zwei-Klick-Lösung“ bindet die Social Plug-Ins erst nach Aktivierung der Schaltflächen durch den Nutzer ein, dh dieser wird informiert, was passiert (= Datenaustausch), wenn er klickt und klickt er dennoch, ist das Ihre Einwilligung. 

15. Ich habe zum Thema Webfonts wie zb Google Fonts unterschiedliche Angaben. Widerspricht der Einsatz von Webfonts der DSGVO weil dadurch möglicherweise IP-Adressen übermittelt werden, wenn die Webfonts nicht lokal eingebunden sind, sondern beim Besuch der Website nachgeladen werden. Benötige ich dann einen ADV-Vertrag? Wenn ja, wie kann der Webfont-Anbieter ein Auftragsverarbeiter sein, wenn ich gar nicht weiß, ob und welche Daten dieser verarbeitet und ich auch keinen Zugriff darauf habe?

Fonts sind nur eine technisch etwas diffizilere Art der Möglichkeit, jemanden im Internet zu tracken. Es gelten daher die gleichen Regelungen wie beim Setzen von Cookies, wenn personenbezogene Daten, wie die IP Adresse, verarbeitet werden. Nach der geltenden EU-Richtlinie (ePrivacy RL), die in Österreich mit § 96 Telekommunikations-Gesetz (TKG) umgesetzt wurde, ist das Abspeichern von Cookies auf dem Endgerät des Kunden, um Daten mit dem Computer des Kunden zu verknüpfen, zulässig, wenn die Einwilligung des Users eingeholt wurde und der User entsprechend informiert wurde. Diese kann nach den Erläuterungen zum § 96 TKG grundsätzlich auch durch die Einstellungen des jeweiligen Browsers eingeholt werden. Die Datenschutzbehörden verlangen jedoch ein aktives Verhalten für diese Einwilligungserklärung. Im Sinne der Rechtssicherheit und auch um den Informationsverpflichtungen nachzukommen, wird die Verwendung eines Cookie-Banners vorgeschlagen. Entsprechenden Formulierungsvorschläge finden Sie unter https://www.wko.at/service/wirtschaftsrecht-gewerberecht/datenverarbeitung-webshop-website.html.

16. Wer ist bei der Website verantwortlich für Hinweise der DSVGO (zB. Cookie Hinweis). Der Unternehmer/in oder der Webdesigner/in?

Der Unternehmer, als Verantwortlicher. Sie als Webdesigner sollten ihn jedoch dezidiert warnen, dass hier auch datenschutzrechtliche Belange abzuklären sind. Bestenfalls schriftlich.

17. Ist laut der DSGVO auf Internetseiten nun das Opt-In bei zB Website-Statistiken nun Pflicht oder weiterhin nur das optionale Opt-Out auf der Seite Datenschutz?

Nach der geltenden EU-Richtlinie (ePrivacy RL), die in Österreich mit § 96 Telekommunikations-Gesetz (TKG) umgesetzt wurde, ist das Abspeichern von Cookies auf dem Endgerät des Kunden, um Daten mit dem Computer des Kunden zu verknüpfen, zulässig, wenn die Einwilligung des Users eingeholt wurde und der User entsprechend informiert wurde. Diese kann nach den Erläuterungen zum § 96 TKG grundsätzlich auch durch die Einstellungen des jeweiligen Browsers eingeholt werden. Die Datenschutzbehörden verlangen jedoch ein aktives Verhalten für diese Einwilligungserklärung. Im Sinne der Rechtssicherheit und auch um den Informationsverpflichtungen nachzukommen, wird die Verwendung eines Cookie-Banners vorgeschlagen. Entsprechenden Formulierungsvorschläge finden Sie unter https://www.wko.at/service/wirtschaftsrecht-gewerberecht/datenverarbeitung-webshop-website.html.

18. Cookie - Wenn ein User hier nicht zustimmt - sprich auf OK drückt - und weiter auf der Seite bleibt - gilt das auch als Zustimmung?

Wenn Sie darüber aufgeklärt haben, dass Cookies gesetzt werden und der User mit dem Weitersurfen das auch entsprechend zur Kenntnis nimmt, ja. Vgl die Informationserklärung hier: Muster zur Erfüllung der datenschutzrechtlichen Informationspflichten für Webseiten.

19. Art 7 (1) verlangt vom Verantwortlichen den Nachweis der Einwilligung in die Verarbeitung. Wie kann ich diesen Nachweis bei einer Checkbox erbringen? Muss ich Zeitstempel und IP-Adresse der vom Kunden erteilten Einverständnis mitspeichern, um das zu beweisen?

Oftmals wird so etwas mittels Cookies erfasst und gespeichert. In irgendeiner Art und Weise erhalten Sie aber eine Benachrichtigung, dass hier etwas abgehakt wurde. Technisch sollten hier also Lösungen parat stehen.

20. Darf ein Cookie gesetzt werden bevor der User die Meldung bestätigt? Oder erst nach Bestätigung/Zustimmung?

Nach der geltenden EU-Richtlinie (ePrivacy RL), die in Österreich mit § 96 Telekommunikations-Gesetz (TKG) umgesetzt wurde, ist das Abspeichern von Cookies auf dem Endgerät des Kunden, um Daten mit dem Computer des Kunden zu verknüpfen, zulässig, wenn die Einwilligung des Users eingeholt wurde und der User entsprechend informiert wurde. Diese kann nach den Erläuternden Bemerkungen grundsätzlich auch durch die Einstellungen des jeweiligen Browsers eingeholt werden.

Die Datenschutzbehörden verlangen jedoch ein aktives Verhalten für diese Einwilligungserklärung. Im Sinne der Rechtssicherheit und auch um den Informationsverpflichtungen nachzukommen, wird die Verwendung eines Cookie-Banners vorgeschlagen. Entsprechenden Formulierungsvorschläge finden Sie unter https://www.wko.at/service/wirtschaftsrecht-gewerberecht/datenverarbeitung-webshop-website.html.

21. Muss die Zustimmung bei Cookies per Opt-In erfolgen oder ist Opt-Out auch zulässig?

Wir haben jetzt einen Mix. Nach der geltenden EU-Richtlinie (ePrivacy RL), die in Österreich mit § 96 Telekommunikations-Gesetz (TKG) umgesetzt wurde, ist das Abspeichern von Cookies auf dem Endgerät des Kunden, um Daten mit dem Computer des Kunden zu verknüpfen, zulässig, wenn die Einwilligung des Users eingeholt wurde und der User entsprechend informiert wurde. Diese kann nach den Erläuternden Bemerkungen grundsätzlich auch durch die Einstellungen des jeweiligen Browsers eingeholt werden. Die Datenschutzbehörden verlangen jedoch ein aktives Verhalten für diese Einwilligungserklärung. Im Sinne der Rechtssicherheit und auch um den Informationsverpflichtungen nachzukommen, wird die Verwendung eines Cookie-Banners vorgeschlagen. Entsprechenden Formulierungsvorschläge finden Sie unter https://www.wko.at/service/wirtschaftsrecht-gewerberecht/datenverarbeitung-webshop-website.html.

22. Ist die (dynamische) IP-Adresse ein personenbezogenes Datum?

Ja, der Europäische Gerichtshof hat das 2017 nochmals ausgewiesen (vgl http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=de&mode=req&dir=&occ=first&part=1&cid=1070434).  Eine dynamische Internetprotokoll-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt für den Anbieter ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.

23. Sind anonymisierte Daten personenbezogene Daten?

Nein, wenn kein Personenbezug weder direkt noch indirekt hergestellt werden kann und die Daten auch nicht bloß verschlüsselt oder pseudonymisiert sind, dann sind die Daten anonym und nicht mehr personenbezogen.

24. Muss über die Gültigkeitsdauer der Cookies infomiert werden?

Die Speicherdauer muss angegeben werden, ja.

25. Muss der Cookie Banner mittels Klick bestätigt werden?

Es wäre empfehlenswert. Zumindest sollte darauf verwiesen werden, dass Cookies gesetzt werden und der User dem mit dem Weitersurfen und der Browsereinstellung zustimmt (vgl auch Muster zur Erfüllung der datenschutzrechtlichen Informationspflichten für Webseiten).

26. Wie werden Social Plug-Ins (Facebook) auf Webseiten behandelt? Muss daran etwas geändert werden oder reicht die Zustimmung von Facebook?

Welche Zustimmung von Facebook? Social Plug-Ins sollten via Zwei-Klick-Lösung implementiert werden. Die „Zwei-Klick-Lösung“ bindet die Social Plug-Ins erst nach Aktivierung der Schaltflächen durch den Nutzer ein, dh dieser wird informiert, was passiert (= Datenaustausch), wenn er klickt und klickt er dennoch, ist das Ihre Einwilligung.

27. Welche Alternativen gibt es zu einem Cookie-Banner?

Sie schreiben einen fixen Text auf (jede ansteuerbare Unter-)Seite der Website. Oder Sie setzen keine Cookies.

28. Muss die Einwilligung eines Website-Besucher über dem Cookie-Banner gespeichert werden?

Wenn Sie die Einwilligung über den Cookie-Banner einholen möchten, wäre es empfehlenswert, hier ein Cookie zu setzen, um diese nachweisen zu können, ja.

29. Ist Einwilligung der Speicherung der IP-Adresse (Google Analytics) auch gegeben, wenn ich auf meiner Website im Impressum darauf hinweise und den Link eingebe, in dem sich jeder davon ausnehmen kann? Oder muss ich auch tatsächlich ein Kästchen aufpoppen lassen, das der Nutzer aktiv ankreuzen muss, wenn er mit dem Sammeln von Cookies einverstanden ist?

Das Pop-Up dient weniger der Einholung der Einwilligung, sondern der Information an den User. Es hat sich als Best-Practice Empfehlung eingebürgert und wäre daher sehr empfehlenswert.