Wettbewerbsvorteil Datenschutz KnowHow Mag Klaus Pateter Mag Katharina
Wettbewerbsvorteil Datenschutz Know-How Mag. Klaus Pateter, Mag. Katharina Uhl Held Berdnik Astner & Partner Rechtsanwälte Gmb. H
Einführung Datenschutz als relevanter Wettbewerbsfaktor in einer digitalen Gesellschaft
IT Compliance • Datenschutzstrafrecht bisher schwach ausgeprägt • Entdeckungsrisiko eingeschränkt • Geringe öffentliche Kontrollmöglichkeiten • Fehlender wirtschaftliche Anreize • Fehlende Kenntnis bei Usern und Unternehmern • Öffentlichkeitswirksamkeit von Datenschutzskandalen
Gefahren mangelhafter IT Compliance • Verlust des Kundenvertrauens • Verlust von Geschäftschancen • Reputationsschäden • Bußgelder, Strafen • Zivilrechtliche Haftung • Persönliche Haftung der Leitungsorgane bei Sorgfaltsverstößen
Welche Daten sind geschützt? Geburtsdatum Firmenbuchnummer IP-Adresse SV-Nummer Adresse Telefonnummer Mailadresse Kundennummer Name Arbeitszeiten
Daten = Daten • Personenbezogene Daten: • Identität bestimmt oder bestimmbar • Identität mit rechtlich zulässigen Mitteln nicht bestimmbar (= indirekt personenbezogen) • Sensible Daten: • Rasse, Ethik, politische Meinung, Gewerkschaftszugehörigkeit, Religion, philosophische Überzeugung, Gesundheit, Sexualleben
Datenströme im Unternehmen Kunden Lieferanten Unternehmen Mitarbeiter
§§ Datenschutz Datensicherheit
Datenschutz – Was ist das? Datenschutz Datensicherheit • verfassungsrechtlich geschütztes Recht • Schutz personenbezogener Daten (z. B Bestellinformationen) • technischer und organisatorischer Aspekt • Sicherung sämtlicher Daten (z. B auch Know-How)
Datennutzung • Datenerhebung • Datenerfassung • Datenspeicherung • Datenverarbeitung • Datenübermittlung
Datennutzung Grundsatz des Verbots der Datenverarbeitung
Grundsätze der Datennutzung • Grundsatz von Treu und Glauben und Rechtmäßigkeit • Zweckbindungsgrundsatz • Wesentlichkeitsgrundsatz • Grundsatz der sachlichen Richtigkeit und Aktualität • Grundsatz der Datenlöschung
Zulässigkeit der Datennutzung • rechtliche Befugnis für konkreten Zweck und konkreten Inhalt • Konzession/Gewerbeberechtigung • Zustimmung • keine Verletzung schutzwürdiger Geheimhaltungsinteressen • Unterscheidung sensible - nicht sensible Daten
Zulässigkeit der Datennutzung • Nicht sensible Daten: • • • gesetzliche Ermächtigung/Verpflichtung Zustimmung des Betroffenen lebenswichtige Interessen überwiegende berechtigte Interessen Zulässigerweise veröffentlichte Daten nur indirekt personenbezogene Daten
Zustimmung des Betroffenen • Nur wenn kein anderer Fall für die Zulässigkeit erfüllt ist notwendig • Sehr hohe Anforderungen • Nicht in den AGB • Bei nicht sensiblen Daten: konkludent möglich (aber Beweislast)
Zustimmung des Betroffenen • Gültige, • Ohne Zwang abgegebene • Willenserklärungen des Betroffenen, dass er • In Kenntnis der Sachlage • Für den konkreten Fall • In die Verwendung seiner Daten einwilligt.
Zulässigkeit der Übermittlung • Daten aus zulässiger Datenanwendung • Rechtliche Befugnis des Empfängers hinsichtlich des Übermittlungszwecks zumindest glaubhaft • Keine Verletzung schutzwürdiger Geheimhaltungsinteressen • EU/EWR-Ausland • Drittstaat mit angemessenem Datenschutz • Genehmigung der Datenschutzbehörde (mit Ausnahmen)
DVR-Meldung
Inhalt der DVR-Meldung • Name, Anschrift und (sofern vorhanden) DVR-Nummer • Nachweis der rechtlichen Befugnis • Zweck der Datenanwendung • Erklärung, ob Vorabkontrollpflicht • Kreis der Betroffenen • verarbeitete/zu übermittelnde Datenarten • bei Übermittlung auch Empfängerkreis und Rechtsgrundlage • allenfalls Genehmigung der Datenschutzbehörde • Angaben über Datensicherheitsmaßnahmen
Datenschutz-Compliance Rechtsfolgen der Verletzung datenschutzrechtlicher Vorschriften
Zivilrechtliche Rechtsfolgen • Schadenersatz nach allgemeinen Regeln (§ 33 Abs 1 DSG, §§ 1293 ff ABGB) • Immaterieller Schadenersatz (§ 33 Abs 1 DSG, § 7 Medien. G) bis zu EUR 20. 000 • „Leutehaftung“: Auftraggeber/Dienstleister haften für von ihren Leuten (Mitarbeiter, Auftragnehmer, etc. ) verursachten Schaden • Beweislastumkehr: Verursacher muss sich vom Verschulden freibeweisen • Geschäftsführerhaftung gegenüber der Gesellschaft nach § 25 Gmb. HG! Internes Kontrollsystem sollte auch Datenschutz einbetten!
Strafrechtliche Rechtsfolgen (geltende Rechtslage) • § 51 DSG: Datenverwendung in Gewinn- oder Schädigungsabsicht Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr zu bestrafen. • Offizialdelikt • Bisher 1 Verurteilung am LG Salzburg (Fotografieren auf Damentoilette); kein OGH Judikat • Anwendbarkeit auch auf Wirtschaftssachverhalte • z. B widerrechtlich erlangtes Passwort für Zugang zu fremder Mailbox
Strafrechtliche Rechtsfolgen (geltende Rechtslage) • Auswahl weiterer Strafdelikte • Datenbeschädigung (§ 126 a St. GB) • Schädigung durch Verändern, Löschen oder Unbrauchbarmachung fremder Daten • Datenfälschung (§ 225 a St. GB) • Herstellung falsche oder Verfälschung echter Daten durch Eingabe, Veränderung, Löschung oder Unterdrückung von Daten (Pendant zur Urkundenfälschung) • Schutz des Kommunikationsgeheimnisses (§ 93 i. Vm § 108 TKG) • Inhaltsdaten, Verkehrsdaten und Standortdaten geschützt • Erfasst Betreiber eines öffentlichen Kommunikationsnetzes oder -dienstes und alle Personen, die an der Tätigkeit des Betreibers mitwirken • 3 Monate Freiheitsstrafe oder 180 Tagessätze (Antragsdelikt)
Verwaltungsstrafrechtliche Rechtsfolgen (geltende Rechtslage) • § 52 DSG (Auswahl) • EUR 25. 000 • Vorsätzliche widerrechtlich Verschaffung oder Aufrechterhaltung eines solchen Zugangs zu einer Datenanwendung • Verletzung des Datengeheimnisses (§ 15 DSG) • EUR 10. 000 • Verletzung der Meldepflicht, Betrieb einer Datenanwendung abweichend von der Meldung • Übermittlung von Daten ins Ausland ohne Genehmigung der DSB nach § 13 DSG • (Safe Harbour gekippt; EU-US Privacy Shield am 2. 2. 2016 bekannt gemacht)
Strafrechtliche Neuerungen durch DS-GVO • Datenschutz-Grundverordnung • Verordnung des Rats und des Parlaments vom 04. 05. 2016 • EU-weite Vereinheitlichung der Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen • Unmittelbar anwendbar, keine nationale Umsetzung nötig • Inkrafttreten 24. 05. 2016 • Geltung ab 24. 05. 2018 • Wesentliche Neuerungen • Recht auf Vergessenwerden, Recht auf Datenportabilität • Massive Straferhöhung für Verstöße
Strafrechtliche Neuerungen durch DS-GVO • Strafdrohungen (Geldbußen) in Artikel 83 Abs 4 DS-GVO • Bis zu EUR 10. 000 oder bis zu 2% des weltweiten Jahresumsatzes des vorigen Geschäftsjahres, z. B bei • Art 8: Unrechtmäßige Datenverarbeitung Minderjähriger (DS-GVO: unter 16 J Zustimmung erforderlich) • Art 11: Maßnahmen zur Umsetzung der Datenschutzgrundsätze (z. B Datenminimierung); Voreinstellungen nur soweit als für den Datenverarbeitungszweck erforderlich • Art 39: Aufgaben des Datenschutzbeauftragten
Strafrechtliche Neuerungen durch DS-GVO • Strafdrohungen (Geldbußen) in Artikel 83 Abs 5 DS-GVO • Bis zu EUR 20. 000 oder bis zu 4% des weltweiten Jahresumsatzes des vorigen Geschäftsjahres, z. B bei • Art 5, 6, 7 und 9: Grundsätze der Datenverarbeitung, Rechtmäßige Datenverarbeitung, Einwilligung, Verarbeitung sensibler Daten • Art 12 -22: Rechte des Betroffenen: Transparenz, Informations- und Auskunftspflicht, Recht auf Berichtigung und Löschung, Datenübertragung, Widerspruchsrecht • Art 44 -49: Bestimmung über die Übermittlung personenbezogener Daten in Drittstaaten
Wettbewerbsrechtliche Komponente • Beobachtung durch Konkurrenten wird größer • § 1 UWG – „Rechtsbruch“ • Schadenersatz und Unterlassungsanspruch des verletzten Mitbewerbers • Auch strafrechtliche Sanktionen möglich
Datenschutz als Wettbewerbsvorteil nutzen • Sichtbarmachung der hohen Kompetenz durch Transparenz auf der Webseite und Einbettung ins Marketing-Konzept • Rasche und kompetente Reaktion auf Kundenanfragen • Zertifizierung • • • z. B EU-Datenschutzsiegel „Euro. Pri. Se“ Erstmals in einer Rechtsvorschrift, der DS-GVO, erwähnt Ausweis datenschutzfreundlicher Produkte und Dienstleistungen Besonderes Alleinstellungsmerkmal Zweistufiges Zertifizierungsverfahren • Prüfung durch technische und rechtliche Gutachter • Prüfung des Gutachtens durch Zertifizierungsstelle (Vollständigkeit, Schlüssigkeit, Nachvollziehbarkeit)
Datenschutz auf der Webseite und beim Marketing
Online-Targeting • Verwendung von Cookies nach DSG • Zustimmungspflicht bei Verwendung personenbezogener Daten • Ausnahme (Beispiel): Verarbeitung ist zur Vertragsabwicklung notwendig • Erfordernisse für Verwendung von Cookies nach § 96 Abs 3 TKG • • • Offenlegung, dass Cookies verwendet werden Nennung der verantwortlichen Stelle, die Informationen verarbeitet Art und Umfang von verarbeiteten Daten Zweck der Datenanwendung Empfänger der Daten Hinweis auf Ablehnungs- und Löschungsmöglichkeit Technische Vorkehrung zur Löschung Einfacher Zugriff auf diese Informationen Aufklärung des Users über Auskunfts-, Berichtigungs- und Löschungsrecht
Cold-Calling, Cold-Mailing • § 107 TKG • Anrufe zu Werbezwecken nur mit Zustimmung des Teilnehmers • Emails nur mit Zustimmung des Empfängers • Bei Direktwerbung • Wenn an mehr als 50 Empfänger • Zustimmung jederzeit widerruflich • Zustimmung nur wirksam bei Kenntnis von • Unternehmen • Kommunikationsmittel • Beworbene Produkte/Dienstleistungen • Ausnahme: Customer Relations
Datenschutz und Outsourcing
Datenschutz und Outsourcing • Grundsatz (§ 7 Abs 2 DSG): • Datenübermittlung nur zulässig wenn • Daten rechtmäßig erhoben • Empfänger ist gesetzlich zuständig bzw hat rechtliche Befugnis und macht Übermittlungszweck glaubhaft • Zweck und Inhalt der Übermittlung verletzen nicht die schutzwürdigen Geheimhaltungsinteressen des Betroffenen • Überlassen von Daten für Dienstleistungen (Outsourcing) gem § 10 DSG • • Datenverarbeitung durch externe Unternehmen Werkvertrag (id. R) Auftraggeber muss notwendiger Vereinbarungen treffen Auftraggeber muss Einhaltung durch Einholung von Informationen kontrollieren • Zustimmung des Betroffenen nicht notwendig
Datenschutz und Outsourcing • Pflichten des Dienstleisters (§ 11 DSG) • • (Auswahl) Auftragsgemäße Datenverwendung Datensicherheitsmaßnahmen (§ 14 DSG) Weitere Dienstleister nur mit Zustimmung des Auftraggebers Übergabe, Aufbewahrung, Vernichtung nach Auftragsbeendigung • Nähere Ausgestaltung muss schriftlich vereinbart werden
Outsourcing ins Ausland • Übertragung genehmigungsfrei zulässig (§ 12 DSG) • ins EU- und EWR-Ausland • Drittstaaten mit angemessenem Datenschutzniveau • Für USA gilt jetzt EU-US Privacy Shield • Ausnahmenkatalog (Auswahl) • Daten im Inland zulässigerweise veröffentlicht • Daten für Empfänger nur indirekt personenbezogen • Daten aus Datenanwendungen für private Zwecke (§ 45) oder für publizistische Tätigkeit (§ 48) • Zustimmung zur Übermittlung oder Überlassung der Daten ins Ausland unzweifelhaft • Vertrag kann nicht anders erfüllt werden • § 12 nicht anwendbar? Genehmigung der DSB (§ 13 DSG) • Outsourcing ins Ausland: Vertrag mit Dienstleister (§ 10 DSG) und Einhaltung des § 11 oder § 12 DSG
Cloud Computing im Unternehmen Zulässig?
Datensicherheitsmaßnahmen nach § 14 DSG • Zielvorgaben • Maßnahmen zur Gewährleistung der Datensicherheit für alle Organisationseinheiten • Schutz vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust • Ordnungsgemäße Verwendung • Kein Zugriff durch Unbefugte • Maßnahmen (Auswahl) • • Klare Aufgabenverteilung in der Organisation Schulungspflicht der Mitarbeiter Zutritts- und Zugriffsbeschränkungen Protokoll- und Dokumentationspflichten
Datensicherheitsmaßnahmen nach § 14 DSG • Sonstiges • Verwendungsbeschränkung der Kontroll- und Dokumentationsdaten auf den Ermittlungszweck • Aufbewahrungsdauer 3 Jahre • Mitarbeiterinformation • Verletzung des § 14 DSG • § 52 Abs 2 Z 4 DSG: „wer die gemäß § 14 erforderlichen Sicherheitsmaßnahmen gröblich außer Acht lässt„ • Strafmaß bis zu EUR 10. 000 • ZB keine üblichen Vorkehrungen gegen Hacker-Angriffe • Höhere Sorgfalt bei gefährdeten Daten (z. B Bankdaten von Kunden)
„Data Breach Notification Duty“ • § 24 Abs 2 a DSG: Informationspflicht bei Datenmissbrauch • Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. • Diese Verpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert.
„Data Breach Notification Duty“ • Erfasste Daten • Personenbezogene • Indirekt personenbezogene, wenn Personenbezug für Verwender herstellbar • Datenanwendung muss beim Auftraggeber sein; unklar, ob Pishing erfasst (Passworteingabe in Fremdanwendung) • Begriffe „systematisch und schwerwiegend“ sind undefiniert • „Unrechtmäßig“ ist jede Datenverwendung entgegen dem DSG • „Verwenden“ ist jede Art der Handhabung (ermitteln, erfassen, speichern, …) • Schaden muss bloß „drohen“ • Sonstiges • Vorbereitung auf Data Notification mit Krisen-, PR-, Marketing-, IT-, Legal-Department • Erkennung erleichtern durch Intrusion Detection Systeme
Videoüberwachung im Unternehmen
Videoüberwachung im Unternehmen • Nur für eingeschränkte Zwecke • z. B Schutz von Personen • Überwachung verhältnismäßig? • Mitarbeiterüberwachung ist unzulässig • Genehmigung der Datenschutzbehörde im Vorhinein einzuholen • Id. R Betriebsvereinbarung bzw. Zustimmung, wenn Mitarbeiter erfasst sind • Aufnahme grundsätzlich nach 72 h zu löschen
Vielen Dank für Ihre Aufmerksamkeit Held Berdnik Astner & Partner Rechtsanwälte Gmb. H RAA Mag. Klaus Pateter T +43 50 8060 914 M +43 664 8060 8450 k. pateter@hba. at RAA Mag. Katharina Uhl T +43 50 8060 295 M +43 664 8060 8860 k. uhl@hba. at
- Slides: 52