Die ePrivacy-Richtlinie im Alltag:
Wissenswertes für Unternehmer in Österreich (TKG 2021)

Aktualisiert am

Wenn du als Unternehmer in Österreich eine Website betreibst, Newsletter verschickst oder digitale Services nutzt, bist du unweigerlich mit den Themen Datenschutz und digitaler Privatsphäre konfrontiert. Neben der bekannten Datenschutz-Grundverordnung (DSGVO) bestimmt ein weiteres Regelwerk maßgeblich, wie du digitale Kommunikationskanäle und Tracking-Technologien nutzen darfst: die europäische ePrivacy-Regulierung. In Österreich wird dies primär durch das Telekommunikationsgesetz (TKG) geregelt. Für dich bedeutet das: Es gibt klare, bestehende Spielregeln für deine digitale Kundenkommunikation, die du strikt einhalten musst, um hohe Strafen zu vermeiden. Diese Seite ist ein Teilbereich von rechtlichen Informationen für Online-Präsenzen  die ich Unternehmen als Orientierung zur Verfügung stelle.

DEFINITION

Was ist die
ePrivacy Verordnung?

Die ePrivacy-Verordnung der EU soll den Schutz der Privatsphäre in der digitalen Kommunikation regeln, allerdings liegt der Entwurf für diese neue Fassung nach jahrelangen Verhandlungen aktuell auf Eis. Solange diese neue Verordnung nicht in Kraft ist, gilt in Österreich weiterhin das Telekommunikationsgesetz (TKG 2021) in Kombination mit der Datenschutz-Grundverordnung (DSGVO).

 

Das bedeutet für dich, dass für Cookies, Tracking und Messenger-Dienste momentan die alten, nationalen Regeln bindend sind. 

VERGLEICH

Was ist der Unterschied zwischen
der DSGVO und ePrivacy?

Die DSGVO schützt alle personenbezogenen Daten, wie Namen, Adressen oder Geburtsdaten deiner Kunden. Die ePrivacy-Regelungen hingegen sind ein Spezialgesetz für die elektronische Kommunikation. Sie greifen bereits dann, wenn überhaupt Daten über digitale Netze übertragen, auf Endgeräten gespeichert oder von dort ausgelesen werden – unabhängig davon, ob es sich dabei um personenbezogene Daten handelt oder nicht.

 

Wenn du beispielsweise ein Analysetool auf deiner Firmenwebsite einbindest, das lediglich anonyme Gerätedaten ausliest, greift bereits die ePrivacy-Regelung. Sie gilt als die speziellere Norm und überschreibt in ihrem Anwendungsbereich die allgemeineren Vorgaben der DSGVO.

TKG ERKLÄRT

Die Rolle des österreichischen
Telekommunikationsgesetzes (TKG)

Da die neue ePrivacy-Verordnung vorerst nicht kommt, ist in Österreich das nationale Telekommunikationsgesetz (TKG 2021) deine wichtigste Rechtsquelle. Dieses setzt die Vorgaben der europäischen ePrivacy-Richtlinie in verbindliches österreichisches Recht um.

 

Speziell § 165 Abs. 3 TKG 2021 regelt detailliert, unter welchen Bedingungen du Daten auf den Endgeräten deiner Website-Besucher speichern oder auslesen darfst. Das betrifft neben klassischen HTTP-Cookies auch Technologien wie Local Storage oder Tracking-Pixel. Eine solche Speicherung erfordert eine rechtsgültige Einwilligung, wobei die genauen Anforderungen durch die Rechtsprechung der österreichischen Datenschutzbehörde (DSB) ergänzt werden.

 

Cookies und E-Mail-Marketing sind rechtlich getrennt. Für ungebetene Werbe-E-Mails, SMS und vergleichbare Direktwerbung gilt nämlich § 174 TKG 2021 und nicht der Cookie-Paragraf.

 

Rechtsquellen:

CHECKLISTE FÜR KONFORMITÄT

Das Ende des "berechtigten Interesses"
beim Online-Tracking

Ein häufiger Fehler im B2B- und B2C-Marketing ist der Verweis auf das sogenannte „berechtigte Interesse“ laut DSGVO, um Nutzeraktivitäten ohne Einwilligung zu tracken. Die ePrivacy-Richtlinie und das österreichische TKG kennen dieses berechtigte Interesse für das Speichern von Informationen auf Endgeräten jedoch nicht.

 

Für fast jede Form von Marketing-Tracking, Retargeting-Pixeln oder verhaltensbasierter Analytik benötigst du zwingend die aktive, informierte und vorherige Einwilligung deines Nutzers (Opt-in). Ohne diese Zustimmung darf kein einziges nicht-essenzielles Cookie gesetzt werden.

COOKIES

Essenzielle vs. nicht-essenzielle
Cookies auf Firmen-Websites

Das Gesetz unterscheidet strikt zwischen technisch notwendigen und nicht notwendigen Datenverarbeitungen. Wenn du einen Online-Shop betreibst, ist das Cookie, das den Inhalt des virtuellen Warenkorbs speichert, technisch zwingend erforderlich. Hierfür brauchst du keine Einwilligung. Möchtest du jedoch das Klickverhalten deiner Kunden mittels Analysetools auswerten, um deine Angebote zu optimieren, handelt es sich um ein nicht-essenzielles Tool. Hierfür musst du vorab eine explizite Zustimmung einholen.

COOKIE-CONSENT

Wie ein rechtssicheres
Cookie-Banner aufgebaut sein muss

Ein einfacher Hinweistext mit einem „OK“-Button reicht in Österreich längst nicht mehr aus. Dein Cookie-Banner muss dem Nutzer eine echte und freie Wahl lassen. Das bedeutet konkret, dass der Button zum Ablehnen aller nicht-essenziellen Cookies auf der ersten Ebene des Banners genauso leicht zugänglich und visuell gleichwertig gestaltet sein muss wie der „Akzeptieren“-Button.

 

Zudem darfst du keine Kontrollkästchen im Hintergrund vorauswählen. Erst wenn der Nutzer aktiv auf „Zustimmen“ klickt, dürfen Marketing-Scripte geladen werden.

E-MAIL-MARKETING

Strenge Regeln für direkte
Werbe-E-Mails

Der Versand digitaler Direktwerbung – Newsletter, Werbe-E-Mails, SMS – ist in Österreich in § 174 Telekommunikationsgesetz 2021 (TKG) geregelt. Die Vorschrift gilt für B2C und B2B gleichermaßen. Eine pauschale B2B-Ausnahme für ungefragte Werbe-E-Mails gibt es im TKG nicht.

 

Werbe-E-Mails und SMS dürfen nur mit vorheriger Einwilligung des Empfängers versendet werden (Opt-in). Für Newsletter empfiehlt sich das Double-Opt-in-Verfahren inklusive Dokumentation.

 

Einzige Ausnahme ist bei bestehender Kundenbeziehung. Hast du die E-Mail-Adresse im Zusammenhang mit einem Verkauf oder einer Dienstleistung erhalten, darfst du unter engen Voraussetzungen ohne separate Einwilligung für eigene, ähnliche Produkte oder Dienstleistungen werben – wenn der Empfänger bei Erhebung und bei jeder Zusendung klar, kostenfrei und einfach widersprechen kann. Details: WKO zum TKG.

 

Kaltakquise durch B2B-E-Mails an fremde Kontakte ohne Einwilligung sind unzulässig. Für reine Kaltakquise per E-Mail brauchst du eine wirksame Einwilligung – unabhängig davon, ob dein Ziel B2B oder B2C ist.

Rechtsquelle: § 174 TKG 2021 auf RIS.

DURCHSETZUNG

Wer prüft was?
Fernmeldebehörden, DSB und Bußgelder

Verstöße gegen Cookie- und Tracking-Regeln sowie gegen E-Mail-Werberegeln werden in Österreich nicht von einer einzigen Stelle gehandhabt. Für dich als Unternehmer ist entscheidend, welcher Rechtsbereich betroffen ist.

 

Thema

Rechtsgrundlage

Zuständigkeit

Cookies, Local Storage, Tracking ohne Einwilligung (Endgerät)

§ 165 Abs. 3 TKG, Art. 5 Abs. 3 ePrivacy-RL

Fernmeldebehörden (Vollzug TKG); bei personenbezogener Folgeverarbeitung zusätzlich DSB

Verarbeitung personenbezogener Daten (z. B. nach Cookie-Einwilligung)

DSGVO

Datenschutzbehörde (DSB); Bußgelder nach DSGVO möglich

Unerlaubte Werbe-E-Mails / SMS

§ 174 TKG

Vollzug nach § 174 TKG (Verwaltungsstrafen); bei Verarbeitung personenbezogener Daten zusätzlich DSB

 

Organisatorische und technische Maßnahmen (CMP, Script-Blocking, dokumentierte Einwilligungen, Newsletter-Opt-in) reduzieren das Risiko in allen Spalten gleichzeitig.

 

Neben den Imageverlusten deines Unternehmens haftest du persönlich als Geschäftsführer unter Umständen auch für Organisationsmängel, wenn du keine datenschutzkonformen Prozesse im Betrieb etabliert hast.

CHECKLISTE FÜR DICH

So machst du
dein Unternehmen ePrivacy-konform

Um dein Unternehmen in Österreich rechtssicher aufzustellen, solltest du eine strukturierte Überprüfung deiner digitalen Kanäle durchführen. Wenn du dir unsicher bist oder Nutzerdaten auf deiner Seite trackst, kannst du diese vier Schritte als Handlungsempfehlung durchführen:

  • Website-Audit durchführen: Analysiere mit IT-Tools, welche Cookies, Pixel und Skripte deine Website tatsächlich im Hintergrund lädt.
  • Consent-Management-Plattform (CMP) integrieren: Wenn du Nutzerdaten nicht anonymisiert trackst, implementiere ein professionelles Cookie-Banner, das die Skripte bis zur Einwilligung blockiert.
  • Datenschutzerklärung aktualisieren: Führe alle genutzten Tools, deren Zweck, die Speicherdauer und die Empfänger der Daten lückenlos auf.
  • Newsletter-Verteiler prüfen: Stelle sicher, dass für alle Kontakte in deiner Marketing-Datenbank ein sauber dokumentiertes Double-Opt-in vorliegt.

 

Bei einer Neuanschaffung deiner Online-Präsenz (z.B. einer Website), achte genau darauf ob die dir angebotene Webseite auch alle notwendigen rechtlichen Anforderungen erfüllt! Viele Werbeagenturen oder Webdesigner kennen die meisten Richtlinien und Gesetze nur unzureichend. Webseiten Baukastensysteme decken dazu nicht alle notwendigen österreichischen Rechte für Online-Dienste ab. Wenn du sicher gehen willst, kannst du gerne meine Webdesign Angebote anschauen.

FAQ

Fragen und Antworten zu
ePrivacy, TKG und Cookies in Österreich

Die neue EU-ePrivacy-Verordnung ist noch nicht in Kraft. Deshalb gilt für Cookies, Endgeräte-Speicherung und unerbetene E-Mail-Werbung das Telekommunikationsgesetz 2021 (TKG), ergänzt durch die DSGVO, sobald personenbezogene Daten verarbeitet werden.

Wenn Analytics nicht technisch notwendig ist und Daten auf dem Endgerät speichert oder ausliest (typisch bei nicht anonymisierten Setups), ist vorherige Einwilligung nach § 165 Abs. 3 TKG erforderlich. „Berechtigtes Interesse“ nach DSGVO ersetzt diese Einwilligung für das Endgerät nicht.

Ja. Die DSB verlangt, dass die Ablehnung nicht-essenzieller Cookies genauso einfach ist wie die Zustimmung – gleichwertige Buttons auf der ersten Ebene, keine vorausgewählten Häkchen, keine Marketing-Skripte vor der Einwilligung.

Nein, nicht ohne vorherige Einwilligung oder die enge Bestandskunden-Ausnahme nach § 174 TKG. Das gilt auch im B2B.

Die bei der RTR geführte Liste enthält Adressen, die Werbe-E-Mails abgelehnt haben. Selbst bei Bestandskundenbeziehung darfst du an eingetragene Adressen keine Werbe-E-Mails senden.

Die DSB hat „Pay or Okay“ unter engen Voraussetzungen (fairer Preis, keine Monopolstellung, keine öffentliche Versorgungsaufgabe u. a.) grundsätzlich für zulässig erachtet – die Rechtslage ist aber komplex und umstritten; im Zweifel rechtlich prüfen lassen.

Verstöße gegen § 165 Abs. 3 TKG (Cookies/Endgerät): Fernmeldebehörden. Wenn durch Tracking zugleich personenbezogene Daten verarbeitet werden: zusätzlich DSB. Bei unerlaubter Werbe-E-Mail: relevante Behörden nach § 174 TKG; Betroffene können sich informieren lassen.

JETZT PROJEKT STARTEN

Suchst du gerade nach einer Webseite
die alle rechtlichen Anforderungen erfüllt?

Anrufen Rufe jetzt direkt an und vereinbare einen unverbindlichen Termin rund zum Thema rechtliche Grundlagen für deine Online-Präsenz
E-Mail schreiben Schreibe mir eine E-Mail bei Fragen rund um rechtliche Grundlagen für deine Online-Präsenz
Zum Kontaktformular →