Wettbewerbsvorteil Datenschutz Know-How Mag. Klaus Pateter, Mag. Katharina Uhl Held Berdnik Astner & Partner Rechtsanwälte GmbH

Einführung Datenschutz als relevanter Wettbewerbsfaktor in einer digitalen Gesellschaft

IT Compliance Datenschutzstrafrecht bisher schwach ausgeprägt Entdeckungsrisiko eingeschränkt Geringe öffentliche Kontrollmöglichkeiten Fehlender wirtschaftliche Anreize Fehlende Kenntnis bei Usern und Unternehmern Öffentlichkeitswirksamkeit von Datenschutzskandalen

Gefahren mangelhafter IT Compliance Verlust des Kundenvertrauens Verlust von Geschäftschancen Reputationsschäden Bußgelder, Strafen Zivilrechtliche Haftung Persönliche Haftung der Leitungsorgane bei Sorgfaltsverstößen

Welche Daten sind geschützt? Adresse Name Geburtsdatum Telefonnummer Mailadresse Kundennummer Firmenbuchnummer Arbeitszeiten IP-Adresse SV-Nummer

Daten = Daten Personenbezogene Daten: Identität bestimmt oder bestimmbar Identität mit rechtlich zulässigen Mitteln nicht bestimmbar (= indirekt personenbezogen) Sensible Daten: Rasse, Ethik, politische Meinung, Gewerkschaftszugehörigkeit, Religion, philosophische Überzeugung, Gesundheit, Sexualleben

Datenströme im Unternehmen KundenLieferanten Mitarbeiter Unternehmen

Datenschutz Datensicherheit §§

Datenschutz – Was ist das? Datenschutz verfassungsrechtlich geschütztes Recht Schutz personenbezogener Daten (zB Bestellinformationen) Datensicherheit technischer und organisatorischer Aspekt Sicherung sämtlicher Daten (zB auch Know-How)

Datennutzung Datenerhebung Datenerfassung Datenspeicherung Datenverarbeitung Datenübermittlung

Datennutzung Grundsatz des Verbots der Datenverarbeitung

Grundsätze der Datennutzung Grundsatz von Treu und Glauben und Rechtmäßigkeit Zweckbindungsgrundsatz Wesentlichkeitsgrundsatz Grundsatz der sachlichen Richtigkeit und Aktualität Grundsatz der Datenlöschung

Zulässigkeit der Datennutzung rechtliche Befugnis für konkreten Zweck und konkreten Inhalt Konzession/Gewerbeberechtigung Zustimmung keine Verletzung schutzwürdiger Geheimhaltungsinteressen Unterscheidung sensible - nicht sensible Daten

Zulässigkeit der Datennutzung Nicht sensible Daten: gesetzliche Ermächtigung/Verpflichtung Zustimmung des Betroffenen lebenswichtige Interessen überwiegende berechtigte Interessen Zulässigerweise veröffentlichte Daten nur indirekt personenbezogene Daten

Zustimmung des Betroffenen Nur wenn kein anderer Fall für die Zulässigkeit erfüllt ist notwendig Sehr hohe Anforderungen Nicht in den AGB Bei nicht sensiblen Daten: konkludent möglich (aber Beweislast)

Zustimmung des Betroffenen Gültige, Ohne Zwang abgegebene Willenserklärungen des Betroffenen, dass er In Kenntnis der Sachlage Für den konkreten Fall In die Verwendung seiner Daten einwilligt.

Zulässigkeit der Übermittlung Daten aus zulässiger Datenanwendung Rechtliche Befugnis des Empfängers hinsichtlich des Übermittlungszwecks zumindest glaubhaft Keine Verletzung schutzwürdiger Geheimhaltungsinteressen EU/EWR-Ausland Drittstaat mit angemessenem Datenschutz Genehmigung der Datenschutzbehörde (mit Ausnahmen)

DVR-Meldung

Inhalt der DVR-Meldung Name, Anschrift und (sofern vorhanden) DVR-Nummer Nachweis der rechtlichen Befugnis Zweck der Datenanwendung Erklärung, ob Vorabkontrollpflicht Kreis der Betroffenen verarbeitete/zu übermittelnde Datenarten bei Übermittlung auch Empfängerkreis und Rechtsgrundlage allenfalls Genehmigung der Datenschutzbehörde Angaben über Datensicherheitsmaßnahmen

Datenschutz-Compliance Rechtsfolgen der Verletzung datenschutzrechtlicher Vorschriften

Zivilrechtliche Rechtsfolgen Schadenersatz nach allgemeinen Regeln (§ 33 Abs 1 DSG, §§ 1293 ff ABGB) Immaterieller Schadenersatz (§ 33 Abs 1 DSG, § 7 MedienG) bis zu EUR „Leutehaftung“: Auftraggeber/Dienstleister haften für von ihren Leuten (Mitarbeiter, Auftragnehmer, etc.) verursachten Schaden Beweislastumkehr: Verursacher muss sich vom Verschulden freibeweisen Geschäftsführerhaftung gegenüber der Gesellschaft nach § 25 GmbHG! Internes Kontrollsystem sollte auch Datenschutz einbetten!

Strafrechtliche Rechtsfolgen (geltende Rechtslage) § 51 DSG: Datenverwendung in Gewinn- oder Schädigungsabsicht Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr zu bestrafen. Offizialdelikt Bisher 1 Verurteilung am LG Salzburg (Fotografieren auf Damentoilette); kein OGH Judikat Anwendbarkeit auch auf Wirtschaftssachverhalte zB widerrechtlich erlangtes Passwort für Zugang zu fremder Mailbox

Strafrechtliche Rechtsfolgen (geltende Rechtslage) Auswahl weiterer Strafdelikte Datenbeschädigung (§ 126a StGB) Schädigung durch Verändern, Löschen oder Unbrauchbarmachung fremder Daten Datenfälschung (§ 225a StGB) Herstellung falsche oder Verfälschung echter Daten durch Eingabe, Veränderung, Löschung oder Unterdrückung von Daten (Pendant zur Urkundenfälschung) Schutz des Kommunikationsgeheimnisses (§ 93 iVm § 108 TKG) Inhaltsdaten, Verkehrsdaten und Standortdaten geschützt Erfasst Betreiber eines öffentlichen Kommunikationsnetzes oder -dienstes und alle Personen, die an der Tätigkeit des Betreibers mitwirken 3 Monate Freiheitsstrafe oder 180 Tagessätze (Antragsdelikt)

Verwaltungsstrafrechtliche Rechtsfolgen (geltende Rechtslage) § 52 DSG (Auswahl) EUR Vorsätzliche widerrechtlich Verschaffung oder Aufrechterhaltung eines solchen Zugangs zu einer Datenanwendung Verletzung des Datengeheimnisses (§ 15 DSG) EUR Verletzung der Meldepflicht, Betrieb einer Datenanwendung abweichend von der Meldung Übermittlung von Daten ins Ausland ohne Genehmigung der DSB nach § 13 DSG (Safe Harbour gekippt; EU-US Privacy Shield am bekannt gemacht)

Strafrechtliche Neuerungen durch DS- GVO Datenschutz-Grundverordnung Verordnung des Rats und des Parlaments vom EU-weite Vereinheitlichung der Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen Unmittelbar anwendbar, keine nationale Umsetzung nötig Inkrafttreten Geltung ab Wesentliche Neuerungen Recht auf Vergessenwerden, Recht auf Datenportabilität Massive Straferhöhung für Verstöße

Strafrechtliche Neuerungen durch DS- GVO Strafdrohungen (Geldbußen) in Artikel 83 Abs 4 DS-GVO Bis zu EUR oder bis zu 2% des weltweiten Jahresumsatzes des vorigen Geschäftsjahres, zB bei Art 8: Unrechtmäßige Datenverarbeitung Minderjähriger (DS-GVO: unter 16 J Zustimmung erforderlich) Art 11: Maßnahmen zur Umsetzung der Datenschutzgrundsätze (zB Datenminimierung); Voreinstellungen nur soweit als für den Datenverarbeitungszweck erforderlich Art 39: Aufgaben des Datenschutzbeauftragten

Strafrechtliche Neuerungen durch DS- GVO Strafdrohungen (Geldbußen) in Artikel 83 Abs 5 DS-GVO Bis zu EUR oder bis zu 4% des weltweiten Jahresumsatzes des vorigen Geschäftsjahres, zB bei Art 5, 6, 7 und 9: Grundsätze der Datenverarbeitung, Rechtmäßige Datenverarbeitung, Einwilligung, Verarbeitung sensibler Daten Art 12-22: Rechte des Betroffenen: Transparenz, Informations- und Auskunftspflicht, Recht auf Berichtigung und Löschung, Datenübertragung, Widerspruchsrecht Art 44-49: Bestimmung über die Übermittlung personenbezogener Daten in Drittstaaten

Wettbewerbsrechtliche Komponente Beobachtung durch Konkurrenten wird größer § 1 UWG – „Rechtsbruch“ Schadenersatz und Unterlassungsanspruch des verletzten Mitbewerbers Auch strafrechtliche Sanktionen möglich

Datenschutz als Wettbewerbsvorteil nutzen Sichtbarmachung der hohen Kompetenz durch Transparenz auf der Webseite und Einbettung ins Marketing-Konzept Rasche und kompetente Reaktion auf Kundenanfragen Zertifizierung zB EU-Datenschutzsiegel „EuroPriSe“ Erstmals in einer Rechtsvorschrift, der DS-GVO, erwähnt Ausweis datenschutzfreundlicher Produkte und Dienstleistungen Besonderes Alleinstellungsmerkmal Zweistufiges Zertifizierungsverfahren Prüfung durch technische und rechtliche Gutachter Prüfung des Gutachtens durch Zertifizierungsstelle (Vollständigkeit, Schlüssigkeit, Nachvollziehbarkeit)

Datenschutz auf der Webseite und beim Marketing

Online-Targeting Verwendung von Cookies nach DSG Zustimmungspflicht bei Verwendung personenbezogener Daten Ausnahme (Beispiel): Verarbeitung ist zur Vertragsabwicklung notwendig Erfordernisse für Verwendung von Cookies nach § 96 Abs 3 TKG Offenlegung, dass Cookies verwendet werden Nennung der verantwortlichen Stelle, die die Informationen verarbeitet Art und Umfang von verarbeiteten Daten Zweck der Datenanwendung Empfänger der Daten Hinweis auf Ablehnungs- und Löschungsmöglichkeit Technische Vorkehrung zur Löschung Einfacher Zugriff auf diese Informationen Aufklärung des Users über Auskunfts-, Berichtigungs- und Löschungsrecht

Cold-Calling, Cold-Mailing § 107 TKG Anrufe zu Werbezwecken nur mit Zustimmung des Teilnehmers s nur mit Zustimmung des Empfängers Bei Direktwerbung Wenn an mehr als 50 Empfänger Zustimmung jederzeit widerruflich Zustimmung nur wirksam bei Kenntnis von Unternehmen Kommunikationsmittel Beworbene Produkte/Dienstleistungen Ausnahme: Customer Relations

Datenschutz und Outsourcing

Grundsatz (§ 7 Abs 2 DSG): Datenübermittlung nur zulässig wenn Daten rechtmäßig erhoben Empfänger ist gesetzlich zuständig bzw hat rechtliche Befugnis und macht Übermittlungszweck glaubhaft Zweck und Inhalt der Übermittlung verletzen nicht die schutzwürdigen Geheimhaltungsinteressen des Betroffenen Überlassen von Daten für Dienstleistungen (Outsourcing) gem § 10 DSG Datenverarbeitung durch externe Unternehmen Werkvertrag (idR) Auftraggeber muss notwendiger Vereinbarungen treffen Auftraggeber muss Einhaltung durch Einholung von Informationen kontrollieren Zustimmung des Betroffenen nicht notwendig

Datenschutz und Outsourcing Pflichten des Dienstleisters (§ 11 DSG) (Auswahl) Auftragsgemäße Datenverwendung Datensicherheitsmaßnahmen (§ 14 DSG) Weitere Dienstleister nur mit Zustimmung des Auftraggebers Übergabe, Aufbewahrung, Vernichtung nach Auftragsbeendigung Nähere Ausgestaltung muss schriftlich vereinbart werden

Outsourcing ins Ausland Übertragung genehmigungsfrei zulässig (§ 12 DSG) ins EU- und EWR-Ausland Drittstaaten mit angemessenem Datenschutzniveau Für USA gilt jetzt EU-US Privacy Shield Ausnahmenkatalog (Auswahl) Daten im Inland zulässigerweise veröffentlicht Daten für Empfänger nur indirekt personenbezogen Daten aus Datenanwendungen für private Zwecke (§ 45) oder für publizistische Tätigkeit (§ 48) Zustimmung zur Übermittlung oder Überlassung der Daten ins Ausland unzweifelhaft Vertrag kann nicht anders erfüllt werden § 12 nicht anwendbar?  Genehmigung der DSB (§ 13 DSG) Outsourcing ins Ausland: Vertrag mit Dienstleister (§ 10 DSG) und Einhaltung des § 11 oder § 12 DSG

Cloud Computing im Unternehmen Zulässig?

Datensicherheitsmaßnahmen nach § 14 DSG Zielvorgaben Maßnahmen zur Gewährleistung der Datensicherheit für alle Organisationseinheiten Schutz vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust Ordnungsgemäße Verwendung Kein Zugriff durch Unbefugte Maßnahmen (Auswahl) Klare Aufgabenverteilung in der Organisation Schulungspflicht der Mitarbeiter Zutritts- und Zugriffsbeschränkungen Protokoll- und Dokumentationspflichten

Datensicherheitsmaßnahmen nach § 14 DSG Sonstiges Verwendungsbeschränkung der Kontroll- und Dokumentationsdaten auf den Ermittlungszweck Aufbewahrungsdauer 3 Jahre Mitarbeiterinformation Verletzung des § 14 DSG § 52 Abs 2 Z 4 DSG: „wer die gemäß § 14 erforderlichen Sicherheitsmaßnahmen gröblich außer Acht lässt„ Strafmaß bis zu EUR ZB keine üblichen Vorkehrungen gegen Hacker-Angriffe Höhere Sorgfalt bei gefährdeten Daten (zB Bankdaten von Kunden)

„Data Breach Notification Duty“ § 24 Abs 2a DSG: Informationspflicht bei Datenmissbrauch Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Diese Verpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert.

„Data Breach Notification Duty“ Erfasste Daten Personenbezogene Indirekt personenbezogene, wenn Personenbezug für Verwender herstellbar Datenanwendung muss beim Auftraggeber sein; unklar, ob Pishing erfasst (Passworteingabe in Fremdanwendung) Begriffe „systematisch und schwerwiegend“ sind undefiniert „Unrechtmäßig“ ist jede Datenverwendung entgegen dem DSG „Verwenden“ ist jede Art der Handhabung (ermitteln, erfassen, speichern, …) Schaden muss bloß „drohen“ Sonstiges Vorbereitung auf Data Notification mit Krisen-, PR-, Marketing-, IT-, Legal-Department Erkennung erleichtern durch Intrusion Detection Systeme

Videoüberwachung im Unternehmen

Nur für eingeschränkte Zwecke zB Schutz von Personen Überwachung verhältnismäßig? Mitarbeiterüberwachung ist unzulässig Genehmigung der Datenschutzbehörde im Vorhinein einzuholen IdR Betriebsvereinbarung bzw. Zustimmung, wenn Mitarbeiter erfasst sind Aufnahme grundsätzlich nach 72h zu löschen

Vielen Dank für Ihre Aufmerksamkeit Held Berdnik Astner & Partner Rechtsanwälte GmbH RAA Mag. Klaus Pateter T M RAA Mag. Katharina Uhl T M