Monday, November 21, 2011

TKG-Novelle 2011 nun im BGBl

Heute wurde die TKG-Novelle 2011 ("Bundesgesetz, mit dem das Telekommunikationsgesetz 2003, das KommAustria-Gesetz sowie das Verbraucherbehörden-Kooperationsgesetz geändert werden") im Bundesgesetzblatt (BGBl I 2011/102) kundgemacht. Da sich am Inhalt dieser Novelle seit der Regierungsvorlage nichts mehr geändert hat, kann ich wieder auf meine bisherigen Anmerkungen (zuletzt hier, zuvor hier, sowie hier zum Ministerialentwurf) sowie auf die offiziellen Erläuterungen zur Regierungsvorlage verweisen. Wie schon erwähnt, enthält das Gesetz einige Bestimmungen, deren Sinn sich wahrscheinlich nur den Lobbyisten erschließt, die sie hineinreklamiert haben (insbesondere § 38 Abs 2 und § 42 Abs 1 in der geänderten Fassung), im Großen und Ganzen aber handelt es sich um eine recht passable Umsetzung der unionsrechtlichen Vorgaben, ergänzt im Wesentlichen durch den grundsätzlich sinnvollen Versuch, innerstaatliche Zuständigkeiten und Verfahrensregeln zu bereinigen (zB durch die konzentrierte Zuständigkeit für Leitungs- und Mitbenutzungsrechte bei der Regulierungsbehörde oder durch die Zusammenführung von Marktdefinitions- und Marktanalyseverfahren).

Bisher noch nicht erwähnt habe ich die Regelung betreffend "Cookies", die für einige Unruhe vor allem unter Online-Werbern gesorgt hat und sorgt. In Werbekreisen wurde die mit der TKG-Novelle (unter anderem) umgesetzte RL 2009/136/EG (oder auch die durch diese Richtlinie unter anderem geänderte DatenschutzRL für elektronische Kommunikation) ja gerne gleich als "Cookie-Richtlinie" bezeichnet, weil sie - unter vielen anderen - auch Regeln für die Verwendung von Cookies enthält. Die Richtlinie lässt, etwas vereinfacht dargestellt, den Einsatz von Cookies zu, "sofern der Teilnehmer oder der Nutzer, auf den sich die Daten beziehen, zuvor seine Einwilligung gegeben hat" (siehe Art 5 und dazu die Erwägungsgründe 24 und 25 der Richtlinie).

Die österreichische Umsetzung in § 96 Abs 3 TKG 2003 wird nicht viel konkreter: Hier heißt es, dass Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft verpflichtet sind, "den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. [...]"

Die wesentliche Frage ist natürlich, ob die Einwilligung in die Verwendung von Cookies durch entsprechende Browsereinstellungen ausreicht. Die Erläuterungen zur Regierungsvorlage sagen dazu ein vorsichtiges Ja: "Wenn dies technisch durchführbar ist, kann die Einwilligung des Nutzers zur Verarbeitung über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden." Ob das letztendlich tatsächlich genügt, wird wohl erst der EuGH über die Auslegung der DatenschutzRL für elektronische Kommunikation klären.

2 comments :

Anonymous said...

Die Schwierigkeit bei den Browsereinstellungen besteht m.M. nach darin, dass es sich hier eher um einen Widerspruch (opt-out) als um eine Einwilligung (opt-in) handelt.
Ein durchschnittlicher User wird kaum wissen, dass es möglich ist solche Einstellungen zu machen und zudem funktioniert das nur bei neueren Browserversionen.
Selbst wenn man die Browsereinstellungen analog zu Einwilligung betrachtet, so müsste der Betreiber einer Webseite zumindest sicherstellen, dass bei Browsern ohne die Einstellmöglichkeit keine Cookies gespeichert werden.
Ob sich das einfach umsetzen lässt?

Hans Peter Lehofer said...

@Anonymus: das ist tatsächlich ein Problem; die britische Datenschutzbehörde zB sagt nicht ausdrücklich, dass Browsereinstellungen nicht reichen, aber empfiehlt jedenfalls Unternehmen, sich nicht darauf zu verlassen: "At present, most browser settings are not sophisticated enough to allow you to assume that the user has given their consent to allow your website to set a cookie. Also, not everyone who visits your site will do so using a browser. They may, for example, have used an application on their mobile device. So, for now we are advising organisations which use cookies or other means of storing information on a user’s equipment that they have to gain consent some other way." (hier)