th share video content contact download event event-wifi cross checkmark close xing whatsapp wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht Twitter search print pdf mail linkedin google-plus Facebook arrow-up arrow-right arrow-left arrow-down calendar user home icon-gallery icon-flickr icon-youtube icon-instagram pinterest skype vimeo snapchat
news.wko.at
Mein WKO

Klare Regeln für kleine Datensammler

Was beim Einsatz von Cookies beachtet werden muss und wie Unternehmen Abmahnungen vermeiden können.

Cookies
© raven/Fotolia

Sie speichern Daten beim Besuch von Websites, um beispielsweise deren Benutzerfreundlichkeit zu optimieren, merken sich Log-in-Daten und Spracheinstellungen, zeichnen aber auch das Surfverhalten auf, um personalisierte Werbung möglich zu machen: Cookies bieten vielerlei Möglichkeiten, um Informationen von Kunden zu bündeln. Der rechtskonforme Einsatz dieser praktischen „Helferlein” ist jedoch gar nicht so einfach: Einerseits gilt es die Bestimmungen der Datenschutzgrundverordnung (DSGVO) zu beachten, andererseits müssen auch die abweichenden Bestimmungen des Telekommunikationsgesetzes (TKG) berücksichtigt werden. So ist nach den Bestimmungen des DSGVO die Verarbeitung von personenbezogenen Daten nicht unbedingt von einer Einwilligung abhängig, nach den Bestimmungen des TKG ist allerdings bei technisch nicht notwendigen Cookies immer eine Einwilligung erforderlich. Zu unterscheiden gilt es auch die Art der Einwilligung: So ist laut DSGVO wie auch nach dem TKG eine „aktive Einwilligung” („Opt-In”) erforderlich. Eine „Opt-Out”-Lösung, also das Wegklicken einer vorangekreuzten Einwilligung, ist unzulässig. Hier eine kurze Checkliste zu den wichtigsten „Dos” und „Don’ts” der Cookie-Richtlinien.

  1. Notwendig oder nicht?
    Grundsätzlich wird zwischen technisch notwendigen Cookies (z.B. Speichern von Log-in-Daten oder des Warenkorbs durch sogenannte „Session-Cookies”) und technisch nicht notwendigen Cookies - dazu zählen Tracking-Cookies, Analyse-Cookies, Targeting-Cookies und Cookies von Social-Media-Websites - unterschieden. Im Gegensatz zu technisch notwendigen Cookies verlangt der Gebrauch technisch nicht notwendiger Cookies immer eine Zustimmung des Nutzers. (Nähere Infos dazu unter: wko.at/wien -> Tracking-Cookies)
  2. Personenbezogene Daten
    Wenn personenbezogene Daten verarbeitet werden, ist die DSGVO zu berücksichtigen. Für Cookies sind darüber hinaus die Bestimmungen des TKG zu berücksichtigen.
  3. Alterskontrolle
    Vor Vertragsabschluss sollte eine Alterskontrolle erfolgen. Datenverarbeitungen von Kindern unter 14 Jahren sind auch trotz Einwilligung nicht zulässig.
  4. Einhaltung der Grundsätze
    Die in der DSGVO aufgezählten Grundsätze sind bei jeder Datenverarbeitung einzuhalten. Jede Datenverarbeitung muss einem konkreten legitimen Zweck unterliegen. Dieser Zweck muss in der Datenschutzerklärung offengelegt werden.
  5. Rechtsgrundlage
    Im Rahmen der Informationspflicht muss die Rechtsgrundlage jeder Datenverarbeitung offengelegt werden. Folgende Fragen gilt es hier zu beachten: Liegt ein berechtigtes Interesse an der Datenverarbeitung vor? (z.B. Speicherung von IP-Adressen im Rahmen von Cookies für den Warenkorb) Ist die Datenverarbeitung zur Vertragserfüllung notwendig? Liegt eine gesetzliche Verpflichtung zur Datenverarbeitung vor? (z.B. steuerrechtliche Pflichten) Ist die Datenverarbeitung mit dem ursprünglichen Verarbeitungszweck vereinbar? Liegt eine gültige Einwilligung des Nutzers vor?
  6. Auftragsverarbeiter
    Wenn Auftragsverarbeiter eingesetzt werden, muss auch ein Auftragsbearbeiter-Vertrag geschlossen werden. In der Datenschutzerklärung muss auch auf diese hingewiesen werden.
  7. Betroffenenrechte
    Die Rechte von Personen, die von einer Datenanwendung betroffen sind, müssen in der Datenschutzerklärung angeführt werden. Der Geltendmachung dieser Rechte (z.B. der Wunsch nach Löschung von Daten) muss der Verantwortliche fristgerecht nachkommen.
  8. Dokumentation
    Datenanwendungen im Rahmen von Webauftritten müssen im Verarbeitungsverzeichnis dokumentiert werden.
  9. Meldeverpflichtung
    Datenverletzungen („data breach”) müssen der Datenschutzbehörde und den betroffenen Nutzern gemeldet werden.
  10. Folgeabschätzung
    Eine Datenschutz-Folgeabschätzung bewertet die Risiken und möglichen Folgen für die persönlichen Rechte und Freiheiten von Betroffenen. Sie wird durchgeführt, wenn besonders sensible Daten verarbeitet werden. Eine Datenschutz-Folgeabschätzung ist notwendig, wenn Kundenprofile erstellt werden, Webanalyse-Tools zur Auswertung des Nutzerverhaltens verwendet werden und Kunden im Hinblick auf Kreditwürdigkeit überprüft werden.
  11. Datenschutzbeauftragte
    Wenn „profiling” - also das Sammeln von Informationen von Nutzern - die Kerntätigkeit des Website-Betreibers ist, ist ein Datenschutzbeauftragter zu bestellen.
  12. Internationaler Austausch
    Daten dürfen nur dann ohne Einwilligung an Drittstaaten übermittelt werden, wenn dort ein gleiches Schutzniveau herrscht. Dies ist in der Datenschutzerklärung offenzulegen.

Das könnte Sie auch interessieren

Hilfspaket

So schafft man die Basis, um auch 2021 noch am Markt zu sein

Zigtausende Wiener Betriebe wurden durch die Corona-Pandemie von einem Tag auf den anderen in eine existenzielle Krise gedrängt. Die Politik hat rasch reagiert und versucht seitdem, mit staatlichen Hilfsprogrammen den Unternehmen zur Seite zu stehen. Doch nicht alle Betriebe kennen die vielen Möglichkeiten, die ihnen zur Verfügung stehen. mehr

SOME

Social Media richtig nutzen

Wie baut man sich einen Social-Media-Kanal auf? Worauf sollte man dabei achten? Und inwieweit ist es sinnvoll, sich dafür extern Unterstützung zu holen? Ein kurzer Fahrplan für den Start ins Social-Media-Marketing. mehr