In the last part of my Master thesis, I analysed the legal implications of user tracking methods found on websites provided by the .trend magazine's Top 500 enterprises. While doing so, I found major limitations in the Austrian transposition of  Article 5(3) of the Directive on privacy and electronic communications (the so-called "cookie law") into national law.

Because of these limitations, the Austrian transposition of Article 5(3) of the Directive on privacy and electronic communications reduces its applicability to several user tracking methods and therefore Austrian enterprises are held to a laxer set of rules than other European companies (for example German companies governed by Section 25 of the TTDSG, which includes a more literal transposition of said Article). Find a more detailed argument below:

Article 5(3) of the Directive on privacy and electronic communications states:

"Member States shall ensure that the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC, inter alia, about the purposes of the processing. This shall not prevent any technical storage or access for the sole purpose of carrying out the transmission of a communication over an electronic communications network, or as strictly necessary in order for the provider of an information society service explicitly requested by the subscriber or user to provide the service."

However, the Austrian transposition in Section 165 Paragraph 3 of the Telekommunikationsgesetz 2021 reads as follows:

"Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Nutzer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er verarbeiten wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Nutzer oder Benutzer seine Einwilligung dazu aktiv und auf Grundlage von klaren und umfassenden Informationen erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Nutzer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Der Nutzer ist auch über die Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen zu informieren. Diese Information hat in geeigneter Form, insbesondere im Rahmen Allgemeiner Geschäftsbedingungen und spätestens bei Beginn der Rechtsbeziehungen zu erfolgen."

The second part of the first sentence together with the second sentence is limiting the applicability of Section 165 Paragraph 3 of the TKG21 to the collection of personal data. Which is clearly not the intention of Article 5(3) of the Directive on privacy and electronic communications, as the European Court of Justice stated in its preliminary ruling regarding the "Planet 49" case:

"Article 2(f) and Article 5(3) of Directive 2002/58, as amended by Directive 2009/136, read in conjunction with Article 2(h) of Directive 95/46 and Article 4(11) and Article 6(1)(a) of Regulation 2016/679[*], are not to be interpreted differently according to whether or not the information stored or accessed on a website user’s terminal equipment is personal data within the meaning of Directive 95/46 and Regulation 2016/679."

[*] Regulation 2016/679 is better known as GDPR (or DSGVO in German).