Elektronische Werbung und Cookies in der Praxis. Johannes Juranek
Werbebanner auf einer Webseite.
1.2.1 Bedeutung der Unterscheidung „Werbung“ und „Direktwerbung“
Weder das Gesetz noch die Judikatur sowie Literatur unterscheiden die Begriffe „Werbung“ und „Direktwerbung“. Vielmehr verschwimmen die Grenzen dieser beiden Termini und werden demnach ohne Differenzierung zwischen den einzelnen Kommunikationsformen verwendet.
Dies hat zur Folge, dass die Ausführungen zur Werbung auch für die Direktwerbung heranzuziehen sind und dass die Differenzierung zwischen Werbung und Direktwerbung aus rechtlicher Sicht für werbende Unternehmer unerheblich ist.[9]
1.3 WELCHE RECHTSGRUNDLAGEN SIND BEIM VERSAND ELEKTRONISCHER WERBUNG ZU BEACHTEN?
!
Fallbeispiel:
Nachdem „Tennis-King“ nun weiß, dass es sich bei seinem Newsletter, den er per E-Mail an Dominic senden will, um „elektronische Werbung“ handelt, fragt sich „Tennis-King“, ob für den Versand elektronischer Werbung rechtliche Vorschriften zu beachten sind? Falls ja, um welche Rechtsvorschriften handelt es sich dabei?
Die Datenschutz-Grundverordnung („DSGVO“) ist seit 25.5.2018 in Geltung und enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie zum freien Verkehr solcher Daten. Die DSGVO schützt die Grundrechte und Grundfreiheiten von natürlichen Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art 1 DSGVO).
Die Regelungen der DSGVO sind also grundsätzlich überall dort zu beachten, wo personenbezogene Daten von natürlichen Personen verarbeitet werden. Personenbezogene Daten iSd Art 4 Z 1 DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie z. B. Name, Geburtsdatum, Adresse, E-Mail-Adresse, Sozialversicherungsnummer. Der Terminus „personenbezogene Daten“ ist weit gefasst und umfasst sohin sämtliche Informationen, die geeignet sind (unter Anwendung der verfügbaren technischen Hilfsmittel), einen Rückschluss auf eine dahinterstehende natürliche Person zu ziehen.
Die Übermittlung elektronischer Werbung setzt somit im Regelfall die Verarbeitung personenbezogener Daten voraus, zumal für die Übermittlung der elektronischen Werbung ein personenbezogenes Datum des Beworbenen verarbeitet werden muss:
+Für die Übermittlung eines elektronischen Newsletters muss die E-Mail-Adresse des Beworbenen verarbeitet werden.
+Für die Übermittlung von Werbung per WhatsApp muss die Telefonnummer des Beworbenen verarbeitet werden.
+Für die Übermittlung von Werbenachrichten über Facebook oder LinkedIn, müssen die Profildaten des Beworbenen verarbeitet werden.
+Usw.
All jene personenbezogenen Daten, die im Zusammenhang mit dem Versand (und damit zum Zwecke des Versands) von elektronischer Werbung von den Betroffenen (Empfänger der elektronischen Werbung) erhoben und verwendet werden, müssen sohin den Anforderungen der DSGVO genügen (siehe sogleich).
Demgegenüber regelt die Richtlinie 2002/58/EG[10] (Datenschutzrichtlinie für elektronische Kommunikation, „ePrivacy-RL“) die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation.
Art 95 DSGVO folgend, gelangen die Regelungen der DSGVO nicht zur Anwendung, sofern natürliche sowie juristische Personen bereits besonderen Pflichten aus der ePrivacy-RL unterliegen, die dasselbe Ziel wie die einschlägigen Regelungen der DSGVO verfolgen. ErwGr 173 DSGVO stellt in diesem Zusammenhang klar, dass die ePrivacy-RL unter den in Art 95 DSGVO geregelten Voraussetzungen Anwendungsvorrang gegenüber der DSGVO genießt.
Dies führt im Ergebnis dazu, dass vor allem für elektronische Werbung und die Verwendung von Cookies primär die Regelungen der ePrivacy-RL zu beachten sind, da diese verglichen mit der DSGVO speziellere Regelungen hierfür vorsieht. Dies wird nachstehend im Detail erläutert.
Exkurs: Die Europäische Union arbeitet bereits intensiv an der sogenannten „ePrivacy-Verordnung“ („ePrivacy-VO“), welche an die Stelle der ePrivacy-RL treten soll. Während deren Inkrafttreten ursprünglich zeitgleich mit jenem der DSGVO geplant war, hat sich der Zeitplan nunmehr insoweit geändert, als aktuell mit einem Inkrafttreten noch vor dem Jahr 2022 zu rechnen ist. Ob und inwiefern den Regelungen zur elektronischen Werbung dadurch eine Änderung widerfährt, ist aktuell nicht im Detail absehbar, zumal bislang mehrfach Änderungen am Entwurf vorgenommen wurden. Einzelne Aspekte hierzu werden jedoch im nachstehenden Kapitel „Cookies“ näher erläutert.
Zusammenfassend lässt sich festhalten, dass beim Einsatz von elektronischer Werbung primär die Regelungen der ePrivacy-RL zu beachten sind, besonders da diese in Bezug auf die elektronische Kommunikation (und damit auch in Bezug auf elektronische Werbung) speziellere Regelungen vorsieht.
Nichtsdestotrotz gilt zu beachten, dass – wie oben erwähnt – der Versand elektronischer Werbung im Regelfall eine Verarbeitung personenbezogener Daten beinhaltet, deren Rechtmäßigkeit vor dem Hintergrund der DSGVO zu beurteilen ist.
Daraus ergibt sich, dass für den Versand elektronischer Werbung als solcher grundsätzlich die Regelungen der ePrivacy-RL und der DSGVO parallel zu beachten sind.
Eine Richtlinie der Europäischen Union, wie die ePrivacy-RL, bedarf zu deren Geltung in den einzelnen Mitgliedstaaten (sohin auch in Österreich) einer Umsetzung durch einen nationalen Gesetzgebungsakt. In Österreich wurden die Regelungen der ePrivacy-RL durch das österreichische Telekommunikationsgesetz 2003 („TKG“) umgesetzt. Demnach sind beim Versand elektronischer Werbung sowie der Verwendung von Cookies in Österreich die Regelungen des TKG sowie der DSGVO zu berücksichtigen.
Die DSGVO entfaltet aufgrund ihres Verordnungscharakters unmittelbare Wirkung in den einzelnen Mitgliedstaaten, weshalb die DSGVO zu ihrer Geltung in Österreich keines nationalen Gesetzgebungsaktes bedarf. Unbeschadet dessen wird die DSGVO in Österreich durch das österreichische Datenschutzgesetz („DSG“) insofern präzisiert und ergänzt, als dies die DSGVO durch sogenannte „Öffnungsklauseln“ zulässt. Das DSG enthält jedoch keinerlei spezifische Regelungen, die im Zusammenhang mit dem Versand elektronischer Werbung von Bedeutung wären, weshalb die Bestimmungen des DSG im Nachfolgenden nur eine untergeordnete Rolle spielen.
!
Fallbeispiel:
Dominic hat beim Kauf seines Tennisschlägers sowie seiner Tennisbälle ein Kundenkonto bei „Tennis-King“ anlegen lassen, um in Zukunft von Rabatten zu profitieren. Er hat dabei Name, E-Mail-Adresse, Adresse sowie Geburtsdatum gegenüber „Tennis-King“ angegeben.
„Tennis-King“ möchte nun Name und E-Mail-Adresse von Dominic verwenden, um ihm regelmäßig Newsletter per E-Mail zukommen zu lassen.
„Tennis-King“ weiß mittlerweile, dass aus rechtlicher Perspektive hierfür die DSGVO und das TKG zu berücksichtigen sind.
Doch wann ist nun die DSGVO und wann das TKG zu beachten?
Sobald „Tennis-King“ personenbezogene Daten (Name, E-Mail-Adresse, Geburtsdatum etc.) von Dominic erhebt, findet eine Verarbeitung personenbezogener Daten statt, weshalb „Tennis-King“ als Verantwortlicher iSd DSGVO (Verantwortlicher ist diejenige Person, die über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet) die Vorgaben der DSGVO zu berücksichtigen und zu erfüllen hat. Diese sind unabhängig davon zu erfüllen, ob „Tennis-King“ elektronische Werbung an Dominic versendet oder nicht.
Sobald „Tennis-King“ in weiterer Folge elektronische Werbung (beispielsweise einen Newsletter) an Dominic versendet, ist die Zulässigkeit dieses Versands nach dem TKG zu beurteilen. „Tennis-King“ hat in diesem Schritt zu beurteilen, ob der Versand des Newsletters iSd § 107 TKG zulässig ist. Im gegenständlichen Fall hat „Tennis-King“ sohin die DSGVO (für die Verarbeitung der Kontaktdaten) und das