Grundlagen des Datenschutzrechts - VO Grundlagen des Technologierechts II, 10. März 2020 RA Dr. Lukas Feiler, SSCP CIPP/E

Die Seite wird erstellt Horst-Adolf Michels
Gesellschaft
Deutsch
 
WEITER LESEN
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Grundlagen des Datenschutzrechts - VO Grundlagen des Technologierechts II, 10. März 2020 RA Dr. Lukas Feiler, SSCP CIPP/E
Grundlagen des
Datenschutzrechts
VO Grundlagen des Technologierechts II, 10. März 2020
RA Dr. Lukas Feiler, SSCP CIPP/E
Grundlagen des Datenschutzrechts - VO Grundlagen des Technologierechts II, 10. März 2020 RA Dr. Lukas Feiler, SSCP CIPP/E
Themen
1   Einführung in das europäische Datenschutzrecht   3

2   Grundsätze der zulässigen Datenverarbeitung      14

3   Betroffenenrechte                                18

4   Besondere Pflichten nach der DSGVO               27
    • Bestellung eines Datenschutzbeauftragten
    • Verzeichnis der Verarbeitungstätigkeiten
    • Privacy Impact Assessments
    • Privacy by Design & Default
    • Datensicherheit & Data Breach Notification
    • Outsourcing & Übermittlungen in Drittländer

5   Datenschutz und Werbung                          41
    • Direktmarketing
    • Profiling
    • Cookies
    • Marktforschung

6   Rechtsdurchsetzung                               58
Grundlagen des Datenschutzrechts - VO Grundlagen des Technologierechts II, 10. März 2020 RA Dr. Lukas Feiler, SSCP CIPP/E
1   Einleitung in die Datenschutz-
    Grundverordnung
                                     3
Grundlagen des Datenschutzrechts - VO Grundlagen des Technologierechts II, 10. März 2020 RA Dr. Lukas Feiler, SSCP CIPP/E
Datenschutz als Grundrecht
 Europäische Menschenrechtskonvention
      Schützt Privatsphäre (Artikel 8)
 EU Grundrechtscharta
      Schützt das Grundrecht auf Datenschutz (Artikel 8)
 Österreich: § 1 Datenschutzgesetz
 USA
      4. Verfassungszusatz: Schutz vor unreasonable searches & seizures; gilt aber nur wenn
       “reasonable expectation of privacy” (Katz v. United States, 389 U.S. 347 (1967))
        secrecy paradigm

© 2020 Baker McKenzie                                                                          4
Entstehungsgeschichte
Rechtsetzungsprozess
 Der Rechtsetzungsprozess dauerte lange und war komplex

      Fast 4000 Änderungen wurden von Mitgliedern des EP eingebracht
      Die Abstimmung des EP wurde zweimal vertagt

 Zeitlicher Ablauf

      Januar 2012: Die Kommission bringt einen ersten Vorschlag ein
      März 2014: EP nimmt den Entwurf in einer Plenarabstimmung (1. Lesung) an
      Juni 2014: Der Rat verabschiedet eine gemeinsame Position zu einigen Aspekten
      15. Dezember 2016: Politische Einigung im Trilog
      25. Mai 2018: DSGVO tritt in Geltung

© 2020 Baker McKenzie                                                                  5
Wozu Datenschutz-Compliance?
 Bisher:
      In Österreich: Datenschutzgesetz 2000 (DSG 2000)
 Seit 25. Mai 2018: Datenschutz-Grundverordnung der EU (DSGVO)
      Geldstrafen von bis zu 20 Millionen Euro oder vier Prozent des gesamten,
       weltweit erzielten Jahresumsatzes
 Schadenersatzrechtliche Verantwortlichkeit
      materieller und immaterieller Schadenersatz
 Haftung der Geschäftsleitung
      Für Verwaltungsstrafen haften Mitglieder der Geschäftsleitung grds solidarisch mit der
       Gesellschaft
      Haftung gegenüber der Gesellschaft aus Dienstvertrag

© 2020 Baker McKenzie                                                                           6
Anwendungsbereich
Welche Datenverarbeitungen sind erfasst?
 Jede Verarbeitung personenbezogener Daten ist erfasst
 Verarbeiten: jede Handhabung personenbezogener Daten (auch das Gespeichert-Halten)
 Personenbezogene Daten: Daten, die sich auf eine bestimmte oder bestimmbare Person
  beziehen
      DSG 2000 (alte Rechtslage): natürliche und juristische Personen
      DSGVO: nur natürliche Personen

© 2020 Baker McKenzie                                                                  7
Die Rollenverteilung der DSGVO

© 2020 Baker McKenzie            8
Anwendungsbereich
Wo gilt die Datenschutz-Grundverordnung?
 DSGVO gilt für Verantwortliche/Auftragsverarbeiter
      mit Sitz in der EU bzw EWR;
      ohne Sitz in der EU/EWR aber mit einer Niederlassung in der EU/EWR, wenn
       Verarbeitung im Rahmen der Tätigkeiten der Niederlassung;
      ohne Sitz in der EU, aber
          Waren oder Dienstleistungen werden in der EU/EWR angeboten
          Verhalten von Betroffenen in der EU/EWR wird beobachtet

© 2020 Baker McKenzie                                                             9
Verhältnis zu nationalem Recht
Einheitliche Rechtsvorschrift mit Ausnahmen
 Unmittelbare Anwendbarkeit der DSGVO
      Kein Fortbestehen der nationalen Datenschutzgesetze nach dem 25. Mai 2018
      Prinzip der einheitlichen Auslegung
 Außerhalb des Anwendungsbereichs der DSGVO
      Spielraum des nationalen Gesetzgebers
      69 Öffnungsklauseln
 Europäische Kommission kann „delegierte Rechtsakte“ erlassen
      Vorschlag der Kommission: 26 Kompetenzen
      EP-Abstimmung: 10 Kompetenzen
      Endgültige Vereinbarung: 2 Kompetenzen

© 2020 Baker McKenzie                                                              10
Verhältnis zu nationalem Recht
Öffnungsklauseln für nationale Gesetzgeber
 DSGVO überlässt viele Fragen den nationalen Gesetzgebern (u.a.):
      Alter für eine wirksame Einwilligung eines Kindes: 16, 15, 14 oder 13?
      Wann ist wirksame Einwilligung in Verarbeitung sensibler Daten ausgeschlossen?
      Verarbeitung von strafrechtlich relevanten Daten möglich?
      Ausnahmen vom Profiling-Verbot?
      Unterliegen Betroffenenrechte zusätzlichen Beschränkungen?
      Muss ein Datenschutzbeauftragter bestellt werden?
      Können Behörden Geldbußen auferlegt werden?
      Können Datenschutz-NGOs im Namen der betroffenen Personen Schadenersatz fordern?
       Können sie selbst eine einstweilige Verfügung erwirken?

© 2020 Baker McKenzie                                                                   11
Verhältnis zu nationalem Recht
Rechtsdurchsetzung durch nationale Behörden
 Durchsetzung durch die nationalen Aufsichtsbehörden
      Europäische Kommission hat keine Durchsetzungsbefugnis
      Europäischer Datenschutzausschuss
          Ersetzt Artikel-29-Datenschutzgruppe
          Nur zuständig für Streitigkeiten zwischen Aufsichtsbehörden

© 2020 Baker McKenzie                                                    12
2   Grundsätze der zulässigen
    Datenverarbeitung
                                13
Grundsätze der Datenverarbeitung
 Rechtmäßigkeit (Rechtsgrundlage für Verarbeitung erforderlich)
 Treu und Glauben
 Transparenz
 Zweckfestlegung
 Zweckbindung
 Richtigkeit
 Datenminimierung
 Speicherbegrenzung
 Sicherheit
 Rechenschaftspflicht

© 2020 Baker McKenzie                                              14
Rechtmäßigkeit der Datenverarbeitung
Datenschutzrechtliche Rechtsgrundlagen
1. Einwilligung der betroffenen Person (informierte und freiwillige Zustimmung)
2. Erforderlichkeit für die Erfüllung des mit betroffener Person geschlossenen Vertrages
3. Gesetzliche Verpflichtung des Verantwortlichen
4. Lebenswichtige Interessen der betroffenen Person
5. Erforderlichkeit für Aufgabe im öffentlichen Interesse oder Ausübung öffentlicher Gewalt
6. Überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten

© 2020 Baker McKenzie                                                                         15
Rechtmäßigkeit der Datenverarbeitung
Rechtsgrundlage bei sensiblen Daten
 Als sensible Daten gelten: Daten aus denen
      rassische und ethnische Herkunft,
      politische Meinungen,
      religiöse oder weltanschauliche Überzeugungen oder
      Gewerkschaftszugehörigkeit hervorgeht
   und
      genetische und biometrische Daten zur Identifizierung einer natürlichen Person
      Gesundheitsdaten sowie Daten zum Sexualleben

 überwiegendes berechtigtes Interesse ist nicht ausreichend
 Einwilligung muss ausdrücklich erfolgen

© 2020 Baker McKenzie                                                                   16
3   Betroffenenrechte

                        17
Grundlagen der Betroffenenrechte
 Berechtigter: Eine identifizierte oder identifizierbare natürliche Person, auf die sich
  Informationen beziehen (Art 4 Nr. 1 DSGVO)
 Verpflichteter: Der Verantwortliche: jene natürliche oder juristische Person, die über
  Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheidet
 Gegenstand: Personenbezogene Daten – Informationen, die sich auf Betroffenen beziehen
 Fristen: Beantwortung aller Betroffenenanfragen unverzüglich, jedenfalls innerhalb eines
  Monats nach Eingang des Antrags – um zwei Monate verlängerbar bei komplexen Fällen
  (Art 12 Abs 3 DSGVO)
 Unentgeltlichkeit: Entgelt kann nur bei offenkundig unbegründeten oder exzessiven
  (wiederholten) Anträgen gefordert werden (Art 12 Abs 5 DSGVO)

© 2020 Baker McKenzie                                                                        18
Recht auf Transparenz - Datenschutzmitteilung
 Die Datenschutzmitteilung muss folgende Angaben enthalten (Art 13 f DSGVO)
      1. die Identität des Verantwortlichen          8. das überwiegende berechtigte
      2. den Datenschutzbeauftragten                    Interesse (sofern als
                                                        Rechtsgrundlage genutzt)
      3. die Verarbeitungszwecke
                                                     9. Betroffenenrechte
      4. die rechtliche Grundlage der Verarbeitung
      5. die Empfänger                               10. Möglichkeit, die Einwilligung zu
                                                         widerrufen
      6. die internationalen Datenübermittlungen
                                                     11. Bestehen eines Beschwerderechts
      7. die Dauer der Datenspeicherung
                                                     12. Bei Profiling: Entscheidungslogik

Zeitpunkt der Information: spätestens bei Datenerhebung; wenn nicht bei Betroffenen
erhoben, binnen 1 Monat ab Erhebung

© 2020 Baker McKenzie                                                                        19
Das Recht auf Auskunft – Art 15 DSGVO
 Betroffener hat das Recht zu erhalten
      Bestätigung, ob seine Daten verarbeitet werden
      Kopie der verarbeiteten Daten (wenn Antrag elektronisch, dann in elektronischer Form)
      wesentlichen Teil der Informationen, die in Datenschutzmitteilung enthalten sein müssen

© 2020 Baker McKenzie                                                                            20
Berichtigung & Vergessenwerden
 Recht auf Berichtigung – Art 16 DSGVO
      unrichtige personenbezogene Daten sind zu berichtigen
      Abhängig vom Verarbeitungszweck kann der Betroffene die Vervollständigung
       unvollständiger Daten (z.B. ergänzende Erklärung) verlangen
 Recht auf Vergessenwerden (= Recht auf Löschung) – Art 17 DSGVO
      Rechtsgrundlage weggefallen (z.B. Widerruf einer Einwilligung oder Speicherbegrenzung)
      Berechtigter Widerspruch
   grds unverzüglich, außer noch nicht möglich aus „wirtschaftlichen oder technischen
   Gründen“ (§ 4 Abs 2 DSG idF DSG 2018)

© 2020 Baker McKenzie                                                                       21
Neue Betroffenenrechte
Einschränkung der Verarbeitung – Art 18 DSGVO
 Daten müssen von regulärer Verarbeitung ausgenommen werden
 Recht des Betroffenen auf Einschränkung der Verarbeitung wenn:
      die Richtigkeit der Daten von betroffener Person bestritten wird – für Dauer der
       Überprüfung der Richtigkeit
      die Verarbeitung unrechtmäßig ist, die betroffene Person jedoch eine Löschung ablehnt
      der Verantwortliche die Daten nicht länger benötigt; aber die betroffene Person benötigt
       diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
      die betroffene Person Widerspruch eingelegt hat – bis über diesen entschieden wurde
      die Löschung aus „wirtschaftlichen oder technischen Gründen“ noch nicht möglich ist (§ 4
       Abs 2 DSG idF DSG 2018)

© 2020 Baker McKenzie                                                                             22
Neue Betroffenenrechte
Datenübertragbarkeit
 Recht auf Datenübertragbarkeit (Art 20 DSGVO)
      Recht auf Übermittlung der Daten in einem strukturierten, gängigen und
       maschinenlesbaren Format an (i) den Betroffenen oder (ii) einen anderen
       Verantwortlichen, soweit technisch machbar
      gilt nur gegenüber Verantwortlichen
      gilt nur, wenn Daten vom Betroffenen bereitgestellt wurden
      gilt nur, wenn Verarbeitung mit Einwilligung oder zur Vertragserfüllung

© 2020 Baker McKenzie                                                            23
Widerspruch – Art 21 DSGVO
 Der Betroffene kann der Datenverarbeitung widersprechen ( Löschungspflicht), wenn
      Überwiegendes berechtigtes Interesse als Rechtsgrundlage aber im konkreten Fall nicht
       gegeben (Beweislast bei Verantwortlichem)
      Daten werden zu Zwecken der Direktwerbung verarbeitet
      Daten werden zu Forschungszwecken oder statistischen Zwecken v erarbeitet

© 2020 Baker McKenzie                                                                          24
Automatisierte Entscheidungen – Art 22 DSGVO
 Verbot von
      automatisierten Entscheidung im Einzelfall und
      Profiling, dh automatisierte Bewertung oder Vorhersage persönlicher Aspekte des
       Betroffenen (z.B. wirtschaftliche Lage, Gesundheit, Interessen oder Verhalten)
   sofern rechtliche Wirkungen für Betroffenen oder ähnlich beeinträchtigt
 Ausnahmsweise zulässig, wenn
      für Abschluss/Erfüllung eines Vertrages mit Betroffenen notwendig (keine sensiblen Daten),
      gesetzliche Ermächtigung od.
      ausdrückliche Einwilligung
 Betroffener hat Recht auf Eingreifen einer Person seitens des Verantwortlichen, auf
  Darlegung seines Standpunkts und Anfechtung der Entscheidung

© 2020 Baker McKenzie                                                                         25
4   Besondere Pflichten nach der
    DSGVO
                                   26
Der Datenschutzbeauftragte
Bestellung eines Datenschutzbeauftragten
 DSG 2000 (alte Rechtslage): Keine Regelungen
 Mit der DSGVO verpflichtend, wenn
      Verarbeitung durch Behörde oder öffentliche Stelle
       oder
      risikoreiche Datenverarbeitung ist Kerntätigkeit
          Kerntätigkeit des Unternehmens ist umfangreiche regelmäßige und systematische Überwachung von
           Betroffenen
          Kerntätigkeit des Unternehmens ist die umfangreichen Verarbeitung sensibler oder strafrechtlich
           relevanter Daten
       oder
      nach nationalem Recht vorgeschrieben (nicht in Österreich)

© 2020 Baker McKenzie                                                                                        27
Der Datenschutzbeauftragte
Persönliche Voraussetzungen
 Persönliche Voraussetzungen
      berufliche Qualifikation und Fachwissen auf dem Gebiet des Datenschutzrechts
      kann, muss aber nicht Arbeitnehmer des Verantwortlichen sein
      es darf kein Interessenskonflikt vorliegen
 Bestellung eines externen Datenschutzbeauftragten ist möglich

© 2020 Baker McKenzie                                                                 28
Der Datenschutzbeauftragte
Stellung im Unternehmen
 weisungsfrei
 genießt Kündigungsschutz
 unmittelbare Berichterstattung an die höchste Managementebene
 Einbindung in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen
 muss über alle notwendigen Ressourcen verfügen
 hat Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen
 Anlaufstelle für betroffene Personen
 Verschwiegenheitsverpflichtung
 Grds keine Haftung nach der DSGVO

© 2020 Baker McKenzie                                                             29
Dokumentationspflichten
Verzeichnis der Verarbeitungstätigkeiten
 Dokumentationspflichten bisher:
   Österreich: grds keine
   Deutschland: Führung eines Verfahrensverzeichnisses

 DSGVO: Führung eines „Verzeichnisses der Verarbeitungstätigkeiten“
   auf Anfrage der Aufsichtsbehörde bereitzustellen
   keine Pflicht, Verzeichnis betroffenen Personen zur Verfügung zu stellen

 Mindestinhalt des Verzeichnisses nach DSGVO:
   Name und Kontaktdaten des Verantwortlichen und eines etwaigen Datenschutzbeauftragten
   Verarbeitungszwecke, Kategorien betroffener Personen, personenbezogener Daten und
    Empfänger
   Informationen zu Datenübermittlungen in Drittländer
   Speicherdauer
   Datensicherheitsmaßnahmen

© 2020 Baker McKenzie                                                                   30
Dokumentationspflichten
Datenschutz-Folgenabschätzungen
 Datenschutz-Folgenabschätzung verpflichtend, wenn voraussichtlich ein hohes Risiko für
  Betroffene durch Datenverarbeitung besteht, insbesondere bei
      Profiling;
      umfangreicher Verarbeitung sensibler oder strafrechtlich relevanter Daten;
      systematischer, umfangreicher Überwachung öffentlicher Bereiche
 Inhalt der Folgenabschätzung
      Beschreibung der Verarbeitungsvorgänge und Zwecke
      Bewertung der Notwendigkeit und Verhältnismäßigkeit
      Beschreibung allfälliger Abhilfemaßnahmen
      Risikobewertung (niedrig/mittel/hoch) unter Berücksichtigung der Abhilfemaßnahmen

© 2020 Baker McKenzie                                                                      31
Dokumentationspflichten
DSGVO reduziert „Meldepflichten“
 Keine allgemeine Meldepflicht
 Aber vorherige Konsultation der Aufsichtsbehörde
      wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung mit
       einem hohen Risiko verbunden ist, sofern der Verantwortliche keine Maßnahmen zur
       Eindämmung des Risikos trifft.
      ist die Aufsichtsbehörde der Auffassung, dass der Verantwortliche das Risiko nicht
       ausreichend eingedämmt hat, unterbreitet sie innerhalb von acht Wochen entsprechende
       Empfehlungen.

© 2020 Baker McKenzie                                                                       32
Datenschutz-Compliance-Maßnahmen
Privacy by Design & Privacy by Default
 Privacy by Design (Datenschutz durch Technik)
      technische Maßnahmen zur Umsetzung der Datenschutzgrundsätze
   z.B. Minimierung von Art und Umfang der Daten und Pseudonymisierung der Daten
 Privacy by Default (Datenschutz durch datenschutzrechtliche Voreinstellungen)
      personenbezogene Daten sollten durch Voreinstellungen nicht ohne Eingreifen der
       betroffenen Person veröffentlicht werden
 Relevanz für Softwarehersteller?

© 2020 Baker McKenzie                                                                    33
Datensicherheitspflichten
Vertraulichkeit, Verfügbarkeit, Integrität
 Daten sind zu schützen vor
      Verlust der Vertraulichkeit
      Verlust der Verfügbarkeit
      Verlust der Integrität
 Risikoangemessene Sicherheitsmaßnahmen unter Berücksichtigung
      des Stands der Technik,
      der Implementierungskosten,
      der Art, des Umfangs, der Umstände & Zwecke der Verarbeitung und
      der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte
       und Freiheiten natürlicher Personen

© 2020 Baker McKenzie                                                                             34
Datensicherheitspflichten
Sicherheitsmaßnahmen
 Angemessene Maßnahmen umfassen laut DSGVO insb.:
      Pseudonymisierung und Verschlüsselung;
      die Fähigkeit, die Sicherheit der Systeme sicherzustellen;
      die Fähigkeit, die Verfügbarkeit nach einem Zwischenfall rasch wiederherzustellen 
       Incident Response Capabilities;
      Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit
       der Sicherheitsmaßnahmen  Audits
 Technische Standards ausreichend?
      z.B. „Critical Security Controls für Effective Cyber Defense“ des Center for Internet
       Security (CIS) oder ISO/IEC 27001

© 2020 Baker McKenzie                                                                          35
Datensicherheitspflichten
Typen von Sicherheitsmaßnahmen
 Nach der Art der Maßnahme: Technische, organisatorische und physische Maßnahmen
 Nach der Wirkungsweise: präventive, detektive, reaktive oder absreckende Maßnahmen

     Beispiele          Technisch            Organisatorisch        Physisch
     Präventiv          Firewall             4-Augen-Prinzip        Stahltür
     Detektiv           Intrusion            Verpflichtender Log    Brandmelder
                        Detection System     Review
     Reaktiv            (Backup &)           Incident Response      Feueralarm
                        Restore              Policy
     Abschreckend       Warnmeldung          Disziplinarordnung     Hund

© 2020 Baker McKenzie                                                                  36
Meldung von Datensicherheitsverstößen
 auch Pflicht zur „Data Breach Notification“
 Eine Verletzung des Schutzes personenbezogener Daten muss der Aufsichtsbehörde
  unverzüglich und spätestens binnen 72 Stunden gemeldet werden
 Pflicht zur Notifikation gegenüber betroffenen Personen nur, wenn das bestehende Risiko
  hoch ist

© 2020 Baker McKenzie                                                                       37
Outsourcing an Auftragsverarbeiter
 Verantwortlicher kann sich zur Datenverarbeitung eines Auftragsverarbeiters bedienen
   Auftragsverarbeiter muss ausreichende Gewähr für rechtmäßige und sichere
    Datenverwendung bieten
 Auftragsverarbeitervereinbarung muss Pflichten des Auftragsverarbeiters festlegen:
      Verarbeitung nur auf dokumentierte Weisungen des Verantwortlichen;
      Vertraulichkeit von zur Verarbeitung befugter Personen gewährleisten;
      muss notwendige Sicherheitsmaßnahmen umsetzen;
      nach Abschluss der Leistungserbringung personenbezogene Daten löschen/zurückgeben;
      Einsatz von Sub-Auftragsverarbeitern nur mit Genehmigung des Verantwortlichen;
      Duldung und Unterstützung von Audits;
      stellt dem Verantwortlichen sämtliche Informationen zum Nachweis der Einhaltung zur
       Verfügung

© 2020 Baker McKenzie                                                                    38
Internationale Datenübermittlungen
 Unproblematisch bei Empfängern
      in der EU oder dem EWR;
      in einem Drittland mit adäquatem Datenschutzniveau
          z.B. Kanada, Schweiz
          U.S.-Privacy-Shield: angemessener Datenschutz, wenn sich der Empfänger nach Privacy Shield
           selbst-zertifiziert hat
 Wenn in Drittland kein adäquates Datenschutzniveau
      grundsätzlich „Standardvertragsklauseln“ erforderlich
          DSG 2000: genehmigungspflichtig
          DSGVO: keine Genehmigung erforderlich
      Ausnahme: Einwilligung der Betroffenen

© 2020 Baker McKenzie                                                                                   39
5   Datenschutz und Werbung

                              40
Datenschutz & Werbung – Topics
1) Direktmarketing
2) Profiling
3) Cookies
4) Marktforschung

© 2020 Baker McKenzie            41
5.1   Direktmarketing

                        42
Direktmarketing
Einwilligung erforderlich?
 Zwei Rechtsgrundlagen kommen in Betracht
      Einwilligung (Art 6 Abs 1 lit a DSGVO; jederzeit widerruflich)
      Überwiegende berechtigte Interessen des Verantwortlichen (Art 6 Abs 1 lit f DSGVO)
          „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem
           berechtigten Interesse dienende Verarbeitung betrachtet werden.“ (ErwGr 47 lt. Satz)
 Wenn keine Einwilligung (Opt-In) erforderlich, gilt unbedingtes Widerspruchsrecht (Opt-Out)
      Der Betroffene kann jederzeit der Verarbeitung seiner Daten zu Zwecken des
       Direktmarketings widersprechen (Art 21 Abs 2 DSGVO)
      Widerspruchsrecht ist kostenlos (Art 12 Abs 5 DSGVO)
      Frist für Verantwortlichen: unverzüglich, max. 1 Monat (Art 12 Abs 3 DSGVO)
      Der Widerspruch kann grds auch elektronisch erfolgen (Art 12 Abs 2 DSGVO)

© 2020 Baker McKenzie                                                                                   43
Direktmarketing
Fälle der notwendigen Einwilligung – Opt-In
 Telefonwerbung
      Einwilligung immer erforderlich (§ 107 Abs 1 TKG 2003)
 E-Mail-Werbung an Nicht-Kunden
      Einwilligung immer erforderlich (§ 107 Abs 2 TKG 2003)
 Direktwerbung unter Verwendung sensibler Daten
      überwiegendes berechtigtes Interesse scheidet aus (Art 9 Abs 2 DSGVO)
      es kommt nur eine ausdrückliche Einwilligung in Betracht
 Datenverarbeitung mit besonders hoher Eingriffsintensität – z.B. manche Arten des Profiling

© 2020 Baker McKenzie                                                                       44
Direktmarketing
Ohne Einwilligung – Opt-Out
 Postalische Werbung
      Adressverlage und Direktmarketingunternehmen haben allgemeines Opt-Out durch
       Eintragung in Robinsonliste der WKÖ zu beachten (§ 151 Abs 9 GewO)
 E-Mail-Werbung gegenüber Kunden (§ 107 Abs 3 TKG 2003)
      bestehende oder ehemalige Kunden
      Opt-Out-Möglichkeit muss bei Erhebung und in jeder E-Mail gewährt werden
      Werbung nur für eigene ähnliche Produkte oder Dienstleistungen
      Allgemeines Opt-Out durch Eintragung in ECG-Liste zu beachten
 pseudonyme personenbezogene Werbung online
      Wenn Identität des Betroffenen nur sehr schwer feststellbar (z.B. nur IP-Adresse bekannt)

© 2020 Baker McKenzie                                                                          45
Herausforderung Einwilligung
Neue Grenzen für die elektronische Einwilligung
 Schlüssige oder ausdrückliche Zustimmung
 Checkbox darf nicht per Default angehakt sein
 Zustimmung durch AGB?
      in verständlicher und leicht zugänglicher Form
      in klarer und einfacher Sprache
      von anderen Regelungsgegenständen der AGB klar zu unterscheiden

© 2020 Baker McKenzie                                                    46
Herausforderung Einwilligung
Einwilligung von Personen unter 14 Jahren
 Einwilligung von Minderjährigen für Online-Dienste grds erst gültig ab 14 Jahren
 < 14 Jahre: Zustimmung der Erziehungsberechtigten erforderlich
      Verantwortlicher muss „angemessene Anstrengungen unter Berücksichtigung der
       vorhandenen Technologie“ unternehmen
 Praktische Umsetzung
      Angebot nicht auf Unter-14-Jährige ausrichten
      Registrierung nur zulassen, wenn Geburtsdatum angegeben

© 2020 Baker McKenzie                                                                47
Herausforderung Einwilligung
Einwilligung & Koppelungsverbot
 Viele „Gratis“-Angebote im Internet setzen Zustimmung zur Datenerhebung voraus (z.B.
  Gewinnspiel)
 Zustimmung nur gültig, wenn sie „frei“ ist
 Grds nicht „frei“, wenn
   die Durchführung eines Vertrages von Zustimmung zur Datenverarbeitung abhängig
    gemacht wird und
   die Datenverarbeitung für die Vertragserfüllung nicht erforderlich ist

 Stehen datenbasierte Geschäftsmodelle auf dem Spiel?
   Die Einwilligung kann für die Vertragserfüllung (wirtschaftlich) notwendig sein
   Alternativ anbieten:
         keine Gebühr + datenschutzrechtliche Einwilligung oder
         angemessene Gebühr

© 2020 Baker McKenzie                                                                    48
5.2   Profiling

                  49
Profiling
Was ist Profiling?
 Bewertung oder Vorhersage persönlicher Aspekte von Betroffenen, wie (Art 4 Nr. 4 DSGVO)
      Arbeitsleistung,
      wirtschaftliche Lage,
      Gesundheit,
      persönliche Vorlieben,
      Interessen,
      Zuverlässigkeit,
      Verhalten,
      Aufenthaltsort oder Ortswechsel

© 2020 Baker McKenzie                                                                  50
Profiling
Setzt Profiling eine Einwilligung voraus?
 Profiling zu internen Zwecken
   überwiegendes berechtigtes Interesse als Rechtsgrundlage; Widerspruch (Opt-Out) nur
    selten möglich (z.B. bei Kindern; vgl Art 6 Abs 1 lit f DSGVO)
 Profiling zu Zwecken des Direktmarketings (Art 21 Abs 2 DSGVO)
   grds überwiegendes berechtigtes Interesse als Rechtsgrundlage; Opt-Out immer möglich

 Profiling mit erhöhter Eingriffsintensität
   z.B. bei Preisdifferenzierung oder bei sensiblen Daten
   nur mit (ausdrücklicher) Einwilligung

 Profiling mit rechtlichen Folgen für Betroffene oder ähnlich schwerer Beeinträchtigung (Art 22)
   ausdrückliche Einwilligung (sofern nicht für Vertragsabschluss od. -erfüllung erforderlich)
   Recht des Betroffenen auf Darlegung des Standpunkts & Anfechtung der Entscheidung
   Pflicht zur Information über verwendete Logik und Auswirkungen der Entscheidung

© 2020 Baker McKenzie                                                                         51
5.3   Cookies

                52
Cookies
Das Einwilligungserfordernis bei Cookies
 Auslesen von Daten des Endgeräts des Nutzers grds nur mit Einwilligung (§ 96 Abs 3 TKG
  2003)
 Ausnahme funktionale Cookies
      Keine Einwilligung nötig, wenn Cookie zur Erbringung des ausdrücklich gewünschten
       Dienstes technisch notwendig
 Praktische Einholung der Einwilligung
      Information über verwendete Cookies (Cookie Policy; z.B. im Impressum)
      Nutzer willigt ein durch Handhabung der Browser-Einstellungen ein (EBRV 1389 BlgNR
       XXIV. GP 25)
 „Lösung“ Device Fingerprinting?

© 2020 Baker McKenzie                                                                       53
5.4   Marktforschung

                       54
Marktforschung
Marktforschung ohne Einwilligung?
  Echte Marktforschung                           Push Polling

   wissenschaftlich-methodisches                 ist versteckte Direktwerbung
    Vorgehen                                      kein überwiegendes berechtigtes
   Ziel ist statistische Aussage, keine           Interesse
    Aussage über Einzelperson                     nur mit Einwilligung zulässig
   überwiegendes berechtigtes
    Interesse
           •    Einwilligungserfordernis würde
                Sample auf bereits bekannte
                Nutzer beschränken
   Opt-Out nur im Einzelfall

© 2020 Baker McKenzie                                                                55
Marktforschung
Sonderproblem Informationspflichten per Telefon
 Eine Datenschutzmitteilung muss folgende Angaben enthalten (Art 13 f DSGVO)
      1. die Identität des Verantwortlichen          8. das überwiegende berechtigte
      2. den Datenschutzbeauftragten                    Interesse (sofern als
                                                        Rechtsgrundlage genutzt)
      3. die Verarbeitungszwecke
                                                     9. Betroffenenrechte
      4. die rechtliche Grundlage der Verarbeitung
      5. die Empfänger                               10. Möglichkeit, die Einwilligung zu
                                                         widerrufen
      6. die internationalen Datenübermittlungen
                                                     11. Bestehen eines Beschwerderechts
      7. die Dauer der Datenspeicherung
                                                    12. Bei Profiling: Entscheidungslogik
 Zeitpunkt der Information: spätestens bei Datenerhebung bei Betroffenen
 Erfüllung der Informationspflicht durch Verweis auf Datenschutzerklärung auf der
  Website?

© 2020 Baker McKenzie                                                                       56
6   Rechtsdurchsetzung

                         57
Rechtsdurchsetzung & Strafen
Zuständigkeit der nationalen Behörden
 Die Durchsetzungsbefugnis liegt bei den nationalen Aufsichtsbehörden
 Welche Aufsichtsbehörde ist zuständig?
      Kein echter One-Stop-Shop (Verfahren der Zusammenarbeit und Kohärenz) für Konzerne
      Allgemein gilt: jede Aufsichtsbehörde ist im Hoheitsgebiet ihres Mitgliedstaats zuständig

© 2020 Baker McKenzie                                                                              58
Rechtsdurchsetzung & Strafen
Fehlendes Kollisionsrecht
 Das nationale Recht welches Mitgliedstaats ist anwendbar?
 DSGVO enthält (bis auf eine Ausnahme) keine Regelungen zu Gesetzeskonflikten in Bezug
  auf Öffnungsklauseln
   Das Recht des Landes, in dem der für die Verarbeitung Verantwortliche niedergelassen
    ist?
   Das Recht des Landes, in dem die betroffene Person ihren Wohnsitz hat?
   Das Recht des Landes, in dem die Daten verarbeitet werden?
   Wendet jede Aufsichtsbehörde ihre eigenen Rechtsvorschriften an?

      Das Recht welches Mitgliedstaats wenden die Gerichte an?
       Wird die Beschwerde einer betroffenen Person abgewiesen, entscheidet die Aufsichtsbehörde, bei der
       die Beschwerde eingelegt wurde; wird der Beschwerde stattgegeben, entscheidet die federführende
       Aufsichtsbehörde  kollisions- und zuständigkeitsrechtliches Paradoxon

© 2020 Baker McKenzie                                                                                   59
Rechtsdurchsetzung & Strafen
Befugnisse der Aufsichtsbehörden
 Untersuchungsbefugnisse
 Abhilfebefugnisse
      Warnungen über voraussichtliche Verstöße gegen Verordnung erteilen
      Verwarnungen bei Verstößen gegen Verordnung erteilen
      Einhaltung anordnen und Verarbeitungsverbote/-einschränkungen verhängen
 Genehmigungsbefugnisse

© 2020 Baker McKenzie                                                            60
Rechtsdurchsetzung & Strafen
Verhängung und Bemessung von Geldstrafen
 Strafrahmen nach DSGVO: bis zu 20 Millionen Euro oder vier Prozent des weltweiten,
  jährlichen Umsatzes des Unternehmens
 Unionskartellrechtlicher Unternehmensbegriff
      Bemessung der Strafe: weltweiter Umsatz des gesamten Konzerns maßgeblich
      Strafe kann auch über Konzernmutter verhängt werden
          Mitverantwortung der Konzernobergesellschaft, wenn Tochtergesellschaft Verhalten nicht autonom
           bestimmt
          widerlegliche Vermutung bei 100%-igen Tochtergesellschaften (EuGH C-107/82 – AEG)

© 2020 Baker McKenzie                                                                                       61
Rechtsdurchsetzung & Strafen
Private Rechtsdurchsetzung
 Betroffene Person kann klagen,
      wo sie ihren Wohnsitz hat;
      wo der Verantwortliche/Auftragsverarbeiter eine Niederlassung hat
 Mögliche Ansprüche:
      Betroffenenrechte (Auskunft, Löschung, …)
      Materieller und immaterieller Schadenersatz
 Rechtsdurchsetzung durch NGOs:
      NGOs können im Namen von Betroffenen klagen
      Schadenersatzansprüche nur, wenn nach nationalem Recht zugelassen (nach welchem?)
      Betroffenenrechte unabhängig von Auftrag eines Betroffenen einklagen (je nach
       Gerichtsstand)

© 2020 Baker McKenzie                                                                  62
Dr. Lukas Feiler, SSCP CIPP/E    Lukas Feiler ist Co-Autor eines Kommentars zur Datenschutz-Grundverordnung und des ersten Praktiker-
Partner für IT-Recht in Wien     Buches zur DSGVO sowie des ersten österreichischen DSGVO-Muster-Buches. Er begleitet Unternehmen auf
                                 www.digitalwave.at bei der digitalen Transformation.
Schottenring 25
1010 Vienna

T: +43 1 24 250
lukas.feiler@bakermckenzie.com
                                 www.bakermckenzie.com
                                 Diwok Hermann Petsche Rechtsanwälte LLP & Co KG ist ein Mitglied von Baker & McKenzie International, einem Verein
                                 nach dem Recht der Schweiz mit weltweiten Baker & McKenzie-Anwaltsgesellschaften und kooperiert mit Baker &
                                 McKenzie Rechtsanwaltsgesellschaft mbH, Düsseldorf. Der allgemeinen Übung von Beratungsunternehmen folgend,
                                 bezeichnen wir als "Partner" einen Freiberufler, der als Gesellschafter oder in vergleichbarer Funktion für ein Mitglied
                                 von Baker & McKenzie International tätig ist. Als "Büros" bezeichnen wir die Kanzleistandorte der Mitglieder von Baker &
                                 McKenzie International.
                                 © 2020 Baker McKenzie
Sie können auch lesen
Anbieter und Datenschutz - Impressum Impressum - DA!MM - Digitale ...
Anbieter und Datenschutz - Impressum Impressum - DA!MM - Digitale ...
Entgeltbestimmungen für alle kabelplus Mobile Privat Tarife gültig ab 01.12.2020
Entgeltbestimmungen für alle kabelplus Mobile Privat Tarife gültig ab 01.12.2020
Handbuch ZIB-Portal Zentrale Informationsstelle für Breitbandversorgung - ZIB - RTR
Handbuch ZIB-Portal Zentrale Informationsstelle für Breitbandversorgung - ZIB - RTR
Calenso Vertrag über die Auftragsverarbeitung personenbezogener Daten nach EU Daten sch utz-G ru ndverord nu ng (AV-Vertrag)
Calenso Vertrag über die Auftragsverarbeitung personenbezogener Daten nach EU Daten sch utz-G ru ndverord nu ng (AV-Vertrag)
Handbuch ZIS-Portal Zentrale Informationsstelle für Infrastrukturdaten - ZIS - RTR.at
Handbuch ZIS-Portal Zentrale Informationsstelle für Infrastrukturdaten - ZIS - RTR.at
DATENSCHUTZERKLÄRUNG LA BARBACOA RESTAURANTE GMBH
DATENSCHUTZERKLÄRUNG LA BARBACOA RESTAURANTE GMBH
Simulationsgestützter Ansatz zur Verbesserung der Leistungsprognose maschineller Tunnelvortriebe mithilfe baubegleitender Prozessdaten - ASIM ...
Simulationsgestützter Ansatz zur Verbesserung der Leistungsprognose maschineller Tunnelvortriebe mithilfe baubegleitender Prozessdaten - ASIM ...
Merkblatt "Datenschutz im Sozialwesen"
Merkblatt "Datenschutz im Sozialwesen"
Schweißtechnik und Schneidtechnik - Ready for Industrie 4.0! (Strategien und Geschäftsmodelle für eine vernetzte Fertigung) - TÜV Nord
Schweißtechnik und Schneidtechnik - Ready for Industrie 4.0! (Strategien und Geschäftsmodelle für eine vernetzte Fertigung) - TÜV Nord
MERKBLATT ZUM VERFAHREN DER DATENLIEFERUNG NACH 21 KHENTGG - INEK
MERKBLATT ZUM VERFAHREN DER DATENLIEFERUNG NACH 21 KHENTGG - INEK
Datenschutzerklärung BKW Energie AG
Datenschutzerklärung BKW Energie AG
Stellungnahme zum Entwurf der Verordnung zum Bundesgesetz über den Datenschutz (E-VDSG) - Creditreform
Stellungnahme zum Entwurf der Verordnung zum Bundesgesetz über den Datenschutz (E-VDSG) - Creditreform
INTERNATIONALE AMTSHILF E GRUPPENANFRAGEN GEHÖREN ZUM OECD-STANDARD
INTERNATIONALE AMTSHILF E GRUPPENANFRAGEN GEHÖREN ZUM OECD-STANDARD
Bemerkenswerte Stechimmenfunde aus Nieder-sachsen und Bremen (Hymenoptera: Aculeata) - Zobodat
Bemerkenswerte Stechimmenfunde aus Nieder-sachsen und Bremen (Hymenoptera: Aculeata) - Zobodat
Öffentliches Wirtschaftsrecht II (FS 2021) Fälle und Fragen
Öffentliches Wirtschaftsrecht II (FS 2021) Fälle und Fragen
Datenschutzinformation zur Digitalen Impfverwaltung Bayern
Datenschutzinformation zur Digitalen Impfverwaltung Bayern
Publikationen Institut für Wirtschaftsrecht der Universität Bern (IWR) - PETER V. KUNZ - Universität ...
Publikationen Institut für Wirtschaftsrecht der Universität Bern (IWR) - PETER V. KUNZ - Universität ...
Prüfbericht zur Barrierefreiheit - Hochschule Neu-Ulm
Prüfbericht zur Barrierefreiheit - Hochschule Neu-Ulm
Stadt Freilassing Historische Ortsmitte Salzburghofen
Stadt Freilassing Historische Ortsmitte Salzburghofen
AUSSEN MERCEDES-BENZ - INNEN SORTIMO - von Profis für Profis sortimo.at
AUSSEN MERCEDES-BENZ - INNEN SORTIMO - von Profis für Profis sortimo.at
Möbelleuchten Furniture lights Mehr Licht. Mehr Möglichkeiten. LED More light. More options. LED
Möbelleuchten Furniture lights Mehr Licht. Mehr Möglichkeiten. LED More light. More options. LED
Röntgenaufnahmen im niedrigen und mittleren Dosisbereich (KHM) - SIWF
Röntgenaufnahmen im niedrigen und mittleren Dosisbereich (KHM) - SIWF
Datensch utzerkläru ng - Christen in Krefeld
Datensch utzerkläru ng - Christen in Krefeld
Verkehrsführung im Zentrum - Teilrevision Verkehrsplan
Verkehrsführung im Zentrum - Teilrevision Verkehrsplan
Studiengang Lehramt Gymnasium Sport - Modulkatalog
Studiengang Lehramt Gymnasium Sport - Modulkatalog
Neues zum Lohnausweis und Spesen
Neues zum Lohnausweis und Spesen
Kühlschränke und Gefrierschränke für Ihr Labor - Cool it down with VWR! ch.vwr.com
Kühlschränke und Gefrierschränke für Ihr Labor - Cool it down with VWR! ch.vwr.com
Familienrecht in Deutschland und den Niederlanden
Familienrecht in Deutschland und den Niederlanden
Richtlinie zur Datenschutzorganisation und zum Umgang mit personenbezogenen Daten
Richtlinie zur Datenschutzorganisation und zum Umgang mit personenbezogenen Daten
Worst-Case-Szenarien - TU Dresden
Worst-Case-Szenarien - TU Dresden
Datenschutzhinweise für die Webseite www.saturn.de
Datenschutzhinweise für die Webseite www.saturn.de
Eneco eMobility - Datenschutzerklärung - Datenschutzerklärung Allgemein 1. Verantwortlicher ...
Eneco eMobility - Datenschutzerklärung - Datenschutzerklärung Allgemein 1. Verantwortlicher ...
Zur Ermittlung und Kompensation der CO2-Emissionen bei (Synodal)-Tagungen
Zur Ermittlung und Kompensation der CO2-Emissionen bei (Synodal)-Tagungen
Genussvolle Auszeit mit A-ROSA - Hanseat Reisen
Genussvolle Auszeit mit A-ROSA - Hanseat Reisen
WIR BESCHLEUNIGEN IHRE EMOTIONEN - Porsche Experience Center Hockenheimring Die Angaben zu Kraftstoffverbrauch und CO -Emissionen finden Sie auf ...
WIR BESCHLEUNIGEN IHRE EMOTIONEN - Porsche Experience Center Hockenheimring Die Angaben zu Kraftstoffverbrauch und CO -Emissionen finden Sie auf ...
REISEPROGRAMM 2019 - hoevelsbus.de
REISEPROGRAMM 2019 - hoevelsbus.de
COVID-19-LEITFADEN FÜR DAS OÖ. LANDESMUSIKSCHULWERK - Gültig ab 19. Mai 2021
COVID-19-LEITFADEN FÜR DAS OÖ. LANDESMUSIKSCHULWERK - Gültig ab 19. Mai 2021
RENNRAD bei rennradreisen.cc - OSTSTEIERMARK - SÜDBURGENLAND - WESTUNGARN
RENNRAD bei rennradreisen.cc - OSTSTEIERMARK - SÜDBURGENLAND - WESTUNGARN
Auf ins Abenteuer - Wellness in Bayern.
Auf ins Abenteuer - Wellness in Bayern.
SIE DÜRFEN FEIERN - marcus-schuster.de
SIE DÜRFEN FEIERN - marcus-schuster.de
Aktuelle Information über Coronavirus - 2020-04-13 Klaus Friedrich
Aktuelle Information über Coronavirus - 2020-04-13 Klaus Friedrich
G enuss HÖHEPUNKTE SEPTEMBER BIS DEZEMBER JAHRESAUSKLANG 2021
G enuss HÖHEPUNKTE SEPTEMBER BIS DEZEMBER JAHRESAUSKLANG 2021
Informationen zur Installation
Informationen zur Installation
Montage- und Bedienungsanleitung - E-Roller Lorenzo - Home-Deluxe
Montage- und Bedienungsanleitung - E-Roller Lorenzo - Home-Deluxe
Häufig gestellte Fragen zur Registrierung und Terminvereinbarung in BayIMCO
Häufig gestellte Fragen zur Registrierung und Terminvereinbarung in BayIMCO
Antwort der Bundesregierung - Deutscher Bundestag
Antwort der Bundesregierung - Deutscher Bundestag
26k-User-Guide Deutsch - ISO 26000 Leitfaden Gesellschaftliche Verantwortung
26k-User-Guide Deutsch - ISO 26000 Leitfaden Gesellschaftliche Verantwortung
Tutorial-Projekt der Nashornwerkstatt
Tutorial-Projekt der Nashornwerkstatt
COVID-Impfungen-news H.Kollaritsch, Wien - infektiologie.co.at
COVID-Impfungen-news H.Kollaritsch, Wien - infektiologie.co.at
Halbjahresbericht 2021 - HELLERICH mit seinem Teilfonds HELLERICH - Sachwertaktien
Halbjahresbericht 2021 - HELLERICH mit seinem Teilfonds HELLERICH - Sachwertaktien
Wir verwenden Cookies. Bitte beachten Sie die Datenschutzbestimmungen.