th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Speicherung von Kundendaten: Zustimmungserklärung - Cookies - Datenschutzerklärung

Ist eine Zustimmungserklärung des Betroffenen erforderlich?

Bei unternehmerischen Tätigkeiten mit dem Medium Internet stellen sich immer wieder Fragen in Bezug auf den Datenschutz. Auch wenn dieser Themenkomplex nicht nur in der virtuellen Welt des Internet eine Rolle spielt, besteht dort aufgrund der großen technischen Möglichkeiten zur Datenverarbeitung eine besondere psychologische Sensibilität, vor allem was die Speicherung von Kundendaten anbelangt.

Eine der ersten Fragen in diesem Zusammenhang ist – abgesehen von der Frage einer Meldeverpflichtung beim Datenverarbeitungsregister – ob für die Datenspeicherung eine Zustimmungserklärung des Betroffenen erforderlich ist.

Diese Frage und grundlegende Überlegungen zur Datenverarbeitung generell sollen überblicksmäßig in diesem Merkblatt behandelt werden. Eine Einschränkung erfolgt aber insofern, als die Übermittlung und Überlassung von Daten und die Behandlung von „sensiblen“ Daten hier keine Berücksichtigung finden (als „sensible“ Daten bezeichnet man solche, die sich auf die Rasse und ethnische Herkunft, die politische Meinung, die Gewerkschaftszugehörigkeit, die religiöse oder philosophische Überzeugung, die Gesundheit oder auch das Sexualleben einer natürlichen Person beziehen). 

Grundsätze zulässiger Datenverarbeitung

Eine Datenverarbeitung (zB Datenspeicherung) ist nach den Bestimmungen des Datenschutzgesetzes (DSG) nur zulässig:

  • für festgelegte, eindeutige und rechtmäßige Zwecke
  • nach Treu und Glauben
  • bei Vorliegen rechtlicher Befugnisse
  • wenn die Datenverwendung wesentlich ist („Datensparsamkeit“)
  • wenn der Verhältnismäßigkeitsgrundsatz eingehalten wird und
  • keine Verletzung der schutzwürdigen Geheimhaltungsinteressen des Betroffenen mit der Datenverarbeitung einhergeht

Es müssen sämtliche der aufgezählten Kriterien erfüllt sein.

Achtung!

Unter „Daten“ (gemeint sind personenbezogene Daten) versteht das Datenschutzgesetz all jene Angaben über Betroffene, auf deren Grundlage die Identität des Betroffenen bestimmt werden kann oder bestimmbar ist (zB Namen, Geburtsdaten, Kontonummern, IP-Adressen etc).

Zweck der Datenverarbeitung

Jeder Auftraggeber (gemeint ist damit derjenige, der Daten speichert) muss sich vor der ersten Datenspeicherung überlegen, welche Daten er von welchen Personengruppen speichern will und für welche Zwecke. Nach dem Datenschutzgesetz dürfen Daten nämlich nur für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt werden und nur nach Treu und Glauben und auf rechtmäßige Weise verwendet werden. So ist zB die Speicherung von Daten für den Zweck der Durchführung krimineller Machenschaften selbstverständlich unzulässig. Rechtmäßig wäre aber die Datenspeicherung zB für den Zweck der Personalverwaltung oder Buchhaltung.

Achtung!

Von der Zustimmung zur Datenspeicherung zu unterscheiden ist die Frage, ob allenfalls Meldepflichten der Datenspeicherung beim Datenverarbeitungsregister bestehen. Dieser Themenkomplex wird in diesem Merkblatt nicht behandelt. Details dazu finden Sie im Infoblatt „Meldeverpflichtung beim Datenverarbeitungsregister/DVRNr“.

Rechtliche Befugnis und Verhältnismäßigkeitsgrundsatz

Damit die Datenverarbeitung (-speicherung) aber nicht „ausufert“, zieht das Datenschutzgesetz  Grenzen ein:

Die Datenspeicherung muss von den rechtlichen Befugnissen des jeweiligen Auftraggebers (Datenverarbeiter) gedeckt sein und die Daten müssen für den Zweck der Datenanwendung wesentlich sein. Zusätzlich muss die Datenspeicherung dem Verhältnismäßigkeitsgrundsatz entsprechen (zB

Im Rahmen der Verhältnismäßigkeitsprüfung sind zB folgende Fragen zu beantworten:

  • Ist die konkrete Datenspeicherung überhaupt erforderlich, um den rechtmäßigen Zweck zu erreichen?
  • Gibt es Alternativen zur konkreten Datenspeicherung, die als „gelindere“ Mittel zur Zweckerreichung ausreichen würden und eine geringere Beeinträchtigung der Geheimhaltungsinteressen des Betroffenen bewirken würden?
  • Ist die Datenspeicherung als adäquates Mittel anzusehen?   

Als „rechtliche Befugnisse“ kommen zB in Betracht:

  • die jeweilige Gewerbeberechtigung
  • die jeweilige Konzession nach bestimmten Materiengesetzen (zB Bankkonzession, Konzession nach dem Telekommunikationsgesetz etc)
  • der Gesellschaftsvertrag
  • die Vereinsstatuten

Diese „rechtlichen Befugnisse“ stecken die Grenzen der zulässigen Datenspeicherung ab.

Beispiel:

Ein Webshop-Betreiber, der eine Gewerbeberechtigung für den Handel hat, möchte Kundendaten speichern, damit er die Aufträge seiner Kunden besser verarbeiten kann. Der Zweck „Auftragsabwicklung mit dem Kunden“ ist sicherlich als rechtmäßig zu betrachten. Für die „Auftragsabwicklung mit dem Kunden des Online-Händlers“ besteht eine rechtliche Befugnis, nämlich die entsprechende Gewerbeberechtigung.

Möchte der Online-Händler die gespeicherten Kundendaten aber auch dazu verwenden, dass diese für die Abwicklung von Finanzdienstleistungen herangezogen werden, so wäre diese Form der Datenspeicherung unzulässig, da dies nicht von der Gewerbeberechtigung „Handel“ gedeckt ist und somit dafür keine „rechtliche Befugnis“ vorliegt.

Zusätzlich zu den obigen Voraussetzungen dürfen mit der Datenspeicherung keine schutzwürdigen Geheimhaltungsinteressen der Betroffenen verletzt werden.

Schutzwürdige Geheimhaltungsinteressen der Betroffenen

Eine Datenverarbeitung verletzt bei Vorliegen einer der nachfolgenden Voraussetzungen nicht die schutzwürdigen Geheimhaltungsinteressen des Betroffenen:

a) wenn eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verarbeitung der Daten besteht: so besteht zB nach dem Allgemeinen Sozialversicherungsgesetz (ASVG) eine gesetzliche Verpflichtung des Arbeitgebers zur Ermittlung von Mitarbeiterdaten, die er dann auch den Krankenversicherungsträgern übermitteln muss (so zB nach § 41 Abs 2 ASVG die Vor- und Familiennamen und die Versicherungsnummer bzw die Geburtsdaten der bei ihm beschäftigen Personen).

b) wenn lebenswichtige Interessen des Betroffenen die Verwendung von Daten erfordern: dies ist bei Notfallsituationen der Fall (zB Autounfall), bei denen der Betroffene zB bewusstlos ist und das Krankenhaus gewisse Daten zur richtigen Behandlung ermitteln muss.

c) wenn Daten gespeichert werden sollen, die bereits zulässigerweise veröffentlicht wurden: zB Grundbuchs- oder Firmenbuchdaten.

d) wenn es sich bei den zu verarbeitenden Daten um anonyme, also nicht personenbezogene Daten handelt: dies ist dann der Fall, wenn aus den Datenarten die Identität des Betroffenen überhaupt nicht feststellbar ist.

e) wenn aufgrund einer Interessenabwägung die überwiegenden berechtigten Interessen des Auftraggebers oder eines Dritten die Speicherung von Daten erfordern: das DSG selbst sieht zu diesem Punkt zB vor, dass zur Erfüllung vertraglicher Verpflichtungen zwischen dem Auftraggeber und einem Betroffenen die Datenspeicherung erforderlich ist; in diesem Fall besitzt der Auftraggeber ein überwiegendes, berechtigtes Interesse für die Datenspeicherung, sodass keine Zustimmung des Betroffenen zur Datenspeicherung erforderlich ist; dies gilt aber nur solange, als die Daten für die konkrete Vertragserfüllung erforderlich sind.

Beispiel:

Ein Kfz-Händler schließt mit einem Kunden einen Verkaufsvertrag über ein bestimmtes Auto ab. Für die Abwicklung dieses Vertrages sind einige Daten des Kunden erforderlich. Bis zu Erfüllung des Vertrages (wohl auch für die Dauer der Gewährleistungs- und Verjährungsfristen, die gesetzlichen Aufbewahrungspflichten, etc) dürfen die für die Vertragserfüllung erforderlichen Daten auch ohne Zustimmung des Betroffenen gespeichert werden; möchte der Kfz-Händler diese Daten aber dafür verwenden, dass er den Käufer in der Folge auch über neue Automodelle informiert, so hat diese Datenverwendung (in Form der Speicherung) nichts mehr mit der konkreten Vertragserfüllung zu tun und müsste daher eine entsprechende Zustimmungserklärung des betroffenen Kunden eingeholt werden, es sei denn, dass eine andere Ausnahme der oben angeführten Punkte [a) bis d)] zur Anwendung gelangt.

f) erst dann, wenn keine der obigen Bestimmungen [a) bis e)] zur Anwendung gelangen, ist eine Zustimmungserklärung der Betroffenen erforderlich, damit die Datenspeicherung keine schutzwürdigen Geheimhaltungsinteressen verletzt. 

Die Zustimmungserklärung

In formeller Hinsicht muss die Zustimmungserklärung folgende Kriterien erfüllen:

  • Sie muss gültig, insbesondere ohne physischen oder psychischen Zwang (zB Drohung) vom Betroffenen abgegeben worden sein.

Tipp:

Aus Beweisgründen ist es ratsam die Zustimmungserklärung möglichst schriftlich oder reproduzierbar auf einem dauerhaften Datenträger (zB E-Mail oder Abspeicherung auf einer Festplatte) einzuholen (auch wenn das DSG nicht mehr unbedingt Schriftlichkeit verlangt und bei nicht-sensiblen Daten auch eine konkludente Zustimmungserklärung zulässig ist).

  • Die Zustimmungserklärung muss eine Willenserklärung sein, das heißt eine vom Betroffenen bewusst abgegebene Erklärung, in der er sich mit der Datenspeicherung einverstanden erklärt. Schweigen gilt grundsätzlich nicht als Zustimmung.

  • Der Betroffene muss in Kenntnis der Sachlage seine Zustimmungserklärung abgeben, die sich auf einen bestimmten Zweck beziehen muss. Damit der Betroffene „in Kenntnis der Sachlage“ eine Zustimmungserklärung abgeben kann, muss diese einen „transparenten“ Inhalt aufweisen, das heißt, der Betroffene muss genau wissen, welche Datenarten für welche Zwecke gespeichert werden sollen. Damit eine Zustimmungserklärung nicht wegen Intransparenz nichtig und damit unwirksam wird, muss der oben angeführte Inhalt der Zustimmungserklärung möglichst genau umschrieben werden (das heißt genaue Angaben über die zu speichernden Daten, genaue Zweckangabe).

Sollte die Zustimmungserklärung auch eine Übermittlung an Dritte umfassen, so muss auch der Übermittlungsempfänger und der Übermittlungszweck in der Zustimmungserklärung angeführt werden. Zu berücksichtigen ist, dass eine einmal abgegebene Zustimmungserklärung jederzeit widerrufbar ist.

Wenn eine Zustimmungserklärung für eine Datenverwendung erforderlich ist, ist diese stets vor dem Beginn der Datenverwendung einzuholen. 

Tipp:

Bevor eine Zustimmungserklärung eingeholt wird, sollte man überprüfen, ob nicht eine oben unter a) bis e) genannte Ausnahme auf den jeweiligen Fall anzuwenden ist. Wenn dies nicht zutrifft, muss eine Zustimmungserklärung eingeholt werden. Diese kann sinngemäß wie folgt lauten (ist aber im Bedarfsfall auf den konkreten Sachverhalt anzupassen):

Formulierungsvorschlag:

„Der Vertragspartner stimmt zu, dass seine persönlichen Daten, nämlich ... (die Datenarten genau aufzählen, zB „Name“, „Adresse“, etc ...) zum Zweck der ... (genaue Zweckangabe, zB „zur Zusendung von Werbematerial über die Produkte der Firma...“) gespeichert und verarbeitet werden.“ 

Zusätzliche Bestimmungen für „Cookies“ (§ 96 Abs. 3 TKG)

Cookies nennt man Informationen, die vom Informationsanbieter (zB einem Webshop-Betreiber) mit Hilfe des Browsers auf der Festplatte des PC des Kunden abgespeichert werden, um Daten mit dem Computer des Kunden zu verknüpfen. Diese Technik wird zB beim virtuellen Einkauf angewendet. Durch das Setzen von Cookies können aber auch Benutzerprofile erstellt werden. 

In Cookies können sowohl personenbezogene als auch nicht personenbezogene Daten gespeichert werden. Wenn mit den in den Cookies gespeicherten Informationen ein Personenbezug hergestellt werden kann, sind die oben beschriebenen datenschutzrechtliche Pflichten zu beachten.

Achtung!

IP-Daten werden nach herrschender Ansicht als personenbezogene Daten gesehen, da aus ihnen die Identität eines Betroffenen zumindest bestimmbar ist, wenn nicht sogar konkret bestimmt werden kann (zB bei statischen IP-Daten).

Achtung!

In den weiteren Ausführungen wird aufgrund der in der Praxis überwiegenden Datenverwendung von nicht-sensiblen Daten lediglich auf diese repliziert. Zur Definition von sensiblen und nicht-sensiblen Daten siehe oben.

Nach dem TKG gibt es – in Konkretisierung des bereits oben erwähnten Transparenzgebotes – zusätzliche Informationspflichten. Es ist darüber zu informieren,

  • welche personenbezogenen Daten ermittelt, verarbeitet oder an Dritte übermittelt werden,

  • auf welcher Rechtsgrundlage (zB aufgrund eines Vertrages, eines speziellen Gesetzes),

  • für welche Zwecke dies erfolgt und

  • wie lange die Daten gespeichert werden.

Datenschutzerklärung

Der Informationspflicht kann – so erwähnen es die Erläuternden Bemerkungen zur Regierungsvorlage – auch durch Aufnahme einer Datenschutzerklärung im verpflichtenden Impressum nachgekommen werden.

Achtung!

Die sogenannte Artikel 29-Gruppe (ein europäisches Datenschutzgremium, dem Vertreter der nationalen Datenschutzbehörden angehören) hat in einem „Arbeitspapier“ die Rechtsmeinung veröffentlicht, dass der Informationspflicht an „prominenter“ Stelle in klarer und verständlicher Form nachgekommen werden muss, zB auf der Startseite. Nach dieser Rechtsmeinung scheint das „bloße“ Anführen im Impressum ohne Zusatzinfo auf der Startseite problematisch. Die Informationserklärung muss allenfalls auch Hinweise beinhalten, „wie der User alle oder einzelne Cookies akzeptieren kann und wie er in der Zukunft seine Präferenz ändern kann“.

Auch wenn der Artikel 29-Gruppe rein beratende und keine gesetzgebende Kompetenz zukommt, haben die in ihren „Arbeitspapieren“ ausgeführten Erwägungen große praktische Relevanz!

Beispiel:

Ein Webshop-Betreiber setzt Cookies, damit der User mit einem virtuellen Einkaufswagen online bestellen kann. Dabei wird die IP-Nummer des Users verarbeitet. Darüber hinaus speichert der Händler zum Zwecke der Vertragsabwicklung den Namen, die Anschrift und Kreditkartennummer des Einkäufers. Eine Information könnte folgendermaßen lauten:

„Wir weisen darauf hin, dass zum Zweck des einfacheren Einkaufsvorganges und zur späteren Vertragsabwicklung vom Webshop-Betreiber im Rahmen von Cookies die IP-Daten des Users gespeichert werden, ebenso wie Name, Anschrift und Kreditkartennummer des Einkäufers. Darüber hinaus werden zum Zweck der Vertragsabwicklung folgende Daten auch bei uns gespeichert: …….... . Eine Datenübermittlung an Dritte erfolgt nicht, mit Ausnahme der Übermittlung der Kreditkartennummer an das Bankinstitut XY zum Zwecke der Abbuchung des Einkaufspreises. Nach Beendigung des virtuellen Einkaufs bzw. nach Abbruch des Einkaufsvorganges werden die bei uns gespeicherten Daten gelöscht (oder: „bis zur Begleichung der Rechnung gespeichert“). Die Daten Name, Anschrift und Kreditkartennummer werden bis zur Lieferung der Ware (oder: „bis zum Ablauf der Gewährleistungspflicht“) gespeichert. Die Datenverarbeitung erfolgt auf Basis der gesetzlichen Bestimmung des § 96 Abs. 3 TKG sowie des § 8 Abs. 3 Z 4 DSG.“

 

Achtung! Dieses Beispiel wurde nur zum besseren Verständnis gewählt. Jeder Auftraggeber („Datenverarbeiter“) muss selbst überlegen, welche konkreten Daten er von einem User für welche rechtlich zulässigen Zwecke benötigt.


Wenn eine Zustimmungserklärung zur Datenverwendung in Form von Cookies erforderlich ist (zB Webtracking) hat diese grundsätzlich immer vor Beginn der Datenverwendung (Ermittlung, Speicherung usw.) zu erfolgen („opt-in“). Zum Inhalt dieser Zustimmung siehe oben. 

Form der Einholung einer allenfalls erforderlichen Zustimmungserklärung bei Cookies

Die Erläuternden Bemerkungen zur Regierungsvorlage erwähnen, dass die Zustimmung auch über die entsprechende Browser-Einstellung erfolgen kann. Dies setzt im Sinne des Transparenzgebotes allerdings voraus, dass der User zuvor informiert wird, dass Cookies gesetzt werden und welche personenbezogenen Daten für welche Zwecke verwendet werden. Aus Beweisgründen empfiehlt es sich, dies etwa im Rahmen einer „Infobox“ darzustellen und den User etwa mittels Bestätigungsklick zustimmen zu lassen.

Achtung!

Die Artikel 29-Gruppe hat in einem „Arbeitspapier“ die Rechtsmeinung veröffentlicht, dass es eines „aktiven Verhaltens“ des Users bedarf, um von einer gültigen Zustimmung zur Cookie-Setzung ausgehen zu können. Die Artikel 29-Gruppe führt dafür beispielhaft das Anklicken einer „Infobox“ an, in der die Datenschutzerklärung (siehe oben) abgebildet ist.

Tipp: Die Einholung der Zustimmung kann gleichzeitig mit dem Anbieten der entsprechenden Informationen erfolgen, indem zu Beginn der Session eine „Infobox“ erscheint, die der User sodann anklicken kann.

Lediglich in jenen Fällen bedarf es keiner vorherigen Zustimmung des Betroffenen, in denen der Anbieter eines Informationsdienstes (etwa ein Webshop-Betreiber) einen vom Betroffenen ausdrücklich gewünschten Dienst nur unter der Bedingung zur Verfügung stellen kann, dass Daten verwendet werden müssen und dies auch unbedingt erforderlich ist. Bei IP-Datenspeicherungen im Rahmen von Cookies zum Zwecke des virtuellen Einkaufs mit begrenzter Speicherdauer („Warenkorb“) könnte dies so gesehen werden. Hier ist lediglich der Informationspflicht nachzukommen. 

Exkurs: Anwendbarkeit des Datenschutzrechts eines anderen europäischen Staates

Gelegentlich kommt es vor, dass etwa deutsche Rechtsanwälte kostenpflichtige Abmahnschreiben an österreichische Websitenbetreiber (zB Webshops), die zB Cookies setzen und dabei auch Daten deutscher User (mit-)verwenden, wegen angeblichen Verstoßes gegen das deutsche Bundesdatenschutzgesetz (BDSG) versenden. Es wird bezüglich der Anwendbarkeit des deutschen BDSG oft damit argumentiert, dass  das deutsche Telemediengesetz (dTMG) – das ist das Pendant zum österreichischen ECG – den Schutz personenbezogener Daten vom Herkunftslandprinzip ausnimmt und somit eben das deutsche Datenschutzrecht zur Anwendung gelangt. Doch sind bei der Frage der Anwendbarkeit des jeweils in Frage kommenden Datenschutzrechts die materiellen datenschutzrechtlichen Zuständigkeitsregeln zu beachten:

Sowohl die Regeln des deutschen BDSG als auch des österreichischen DSG bezüglich des anwendbaren Datenschutzrechts bei grenzüberschreitenden Sachverhalten beruhen auf der harmonisierten Rechtsgrundlage der europäischen Datenschutzrichtlinie. Danach gelten folgende Grundsätze sowohl in Deutschland als auch in Österreich:

Hinweis: die folgenden Ausführungen beziehen sich ausschließlich auf Sachverhalte, die einen EU-Bezug haben und keinerlei Anknüpfungen zu Drittstaaten haben.

Jeder, der in Österreich eine Datenverarbeitung vornimmt (egal ob „inländischer“ oder „ausländischer“ Auftraggeber) unterliegt dem österreichischen Datenschutzrecht. Selbiges gilt sinngemäß für eine Datenverwendung in Deutschland, bei dem dann eben deutsches Datenschutzrecht zur Anwendung gelangt.

Eine Ausnahme besteht zu Gunsten des Sitzstaatsprinzips, dh das Recht des Sitzstaates ist auch im Ausland anwendbar, wenn der Auftraggeber im EU-Ausland eine Niederlassung hat, die Datenverarbeitung aber dieser (dem Zweck nach und „materiell“) nicht zurechenbar ist. Sofern eine solche Zurechnung aber möglich ist, gelangt das Datenschutzrecht des Staates in dem sich die Niederlassung befindet, zur Anwendung.

Beispiel:

Ein österreichischer Webshop-Betreiber, der ausschließlich in Österreich einen Sitz hat, hat bei der Cookie-Setzung auf seiner Website nur österreichisches Datenschutzrecht zu beachten, auch wenn bei diesem Vorgang auch Daten deutscher User (mit-)verwendet werden.

Hat der österreichische Webshop-Betreiber in Deutschland eine Zweigniederlassung, bei der eine Datenverwendung erfolgt, ist von dieser Zweigniederlassung deutsches Datenschutzrecht einzuhalten.

Eine österreichische Einzelhandelskette hat Filialen in Österreich und Deutschland, sowie einen Webshop. Auf die Daten, die in den jeweiligen Geschäften anfallen, ist jeweils österreichisches oder deutsches Datenschutzrecht anwendbar. Der Webshop wird aus Österreich betrieben, und zwar völlig getrennt vom Ladengeschäft. Er ist daher einer deutschen Niederlassung nicht zurechenbar, weshalb auch nur österreichisches Datenschutzrecht anwendbar ist.


Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.