Das Datenschutzrecht kommt zur Anwendung, wenn es sich um personenbezogene Daten handelt. Werden daher gänzlich anonyme Daten, die keiner konkreten Person zugeordnet werden können für die Bildung eines Preises herangezogen, sind die Datenschutzgesetze nicht anwendbar. Soweit es sich aber um pseudonyme oder personenbezogene Daten handelt, muss den Datenschutzvorgaben entsprochen werden. Besonders relevant sind im vorliegenden Fall Cookies – diese zwischengespeicherten Textdateien sind mit gewissem technischem Aufwand in den meisten Fällen (Ausnahme sog. Session cookies, siehe unten) einer bestimmten oder bestimmbaren Person zuordenbar und fallen dann in die Kategorie der personenbezogenen Daten.

Als Rechtsgrundlage in Österreich ist im Bereich des Datenschutzes einerseits die direkt anwendbare EU Datenschutzgrundverordnung (DSGVO) relevant. Andererseits finden sich einige weitergehende bzw. präzisierende Vorgaben im österreichischen Datenschutzgesetz (DSG). Werden personenbezogene Daten verarbeitet, also beispielsweise Cookies gespeichert und ausgewertet, bedarf es hierfür eines der im Gesetz genannten Erlaubnistatbestände. Art 6 und 9 DSGVO zählen diese erlaubten Verarbeitungszwecke auf. Handelt es sich bei den in Form von Cookies gespeicherten Daten ausnahmsweise um keine personenbezogenen Informationen (dies gilt in der Regel für sog. „session cookies“), ist wohl dennoch über den Einsatz dieser Cookies gemäß § 96 Abs 3 Telekommunikationsgesetz zu informieren. Für personenbezogene Cookies sieht diese Bestimmung zudem eine explizite Zustimmungspflicht vor. Wird daher beispielsweise durch Cookies die IP-Adresse eines Users erfasst, muss vorab über diese Verarbeitung informiert werden und eine Einwilligung eingeholt werden. Nach dieser Bestimmung entfällt aber die Pflicht zur Einholung einer Einwilligung, wenn lediglich eine Nachricht über ein elektronisches Kommunikationsnetz übertragen wird oder wenn Cookies für einen vom Nutzer angeforderten Dienst unbedingt erforderlich sind. Werden für die Preisbildung Daten der betroffenen Person herangezogen, kann als Erlaubnis Art 6 Abs 1 lit b DSGVO in Frage kommen. Dieser erlaubt eine Datenverarbeitung, soweit diese zur Erfüllung eines Vertrages oder zur Durchführung einer vorvertraglichen Maßnahme erforderlich ist.

Die Generierung umfangreicher Informationen zum User stellt für Anbieter regelmäßig eine sinnvolle Variante dar den Vertrag zu erfüllen, ist aber für eine Vertragserfüllung nicht erforderlich, weshalb dieser Erlaubnistatbestand nicht zur Anwendung gelangen kann, um personalisierte Preise zu erstellen. Möchte ein Anbieter daher durch Datenauswertung einen persönlich zugeschnittenen Preis gestalten, ist hierfür wohl eine ausdrückliche – freiwillig, informiert und unmissverständlich - Einwilligung gemäß Art 6 Abs 1 lit a DSGVO durch den Nutzer/die Nutzerin einzuholen. Die generell viel besprochene und schwer zu beurteilende Frage der Anforderungen an eine „ausdrückliche Einwilligung“ kommt auch bei personalised pricing eine wichtige Rolle zu, da es für KonsumentInnen häufig schwierig sein wird, eine informierte Entscheidung über die oft technisch komplexen Grundlagen einer personalisierten Preisgestaltung zu treffen. Zu beachten ist in diesem Zusammenhang auch das datenschutzrechtliche Kopplungsverbot.