Daten – das neue Gold in der Werbung … Wer darf diese innerhalb welcher rechtlichen Grenzen monetarisieren? von RA Dr. Sonja Dürager

Wien, 1. Juli 2015

© 2015 – RA Dr Sonja Dürager

Anwendungsbereich des DSG (I)

Personenbezogene Daten

Solche Angaben über den Betroffenen, deren Identität bestimmt ist.

Indirekt personenbezogene Daten

Solche Angaben über den Betroffenen, deren Identität bestimmbar sein kann („Pseudonym“).

Sensible Daten

Daten von natürlichen Personen über die rassische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse Überzeugung, Gesundheit und Sexualleben.

Vorname, Nachname, Geburtsdatum ohne Zusatzinformation!

Identität IP-Adresse …? mit Zusatzinformation!

Identität

© 2015 – RA Dr Sonja Dürager

Firma, Firmenbuchnummer ?

Anwendungsbereich des DSG (II)

Anonymisierte Auswertung:

statistische Informationen, zB zur Feststellung der durchschnittlichen Aufrufe einer Website.

Pseudonymisierte Auswertung:

keine Auswertung der Identität, allerdings sind die statistischen Daten mit einem einer bestimmten Person zuordenbaren Code verbunden.

Identifizierung des Users:

Personenbezug herstellbar durch Zuordnung des Device an einzelne User.

© 2015 – RA Dr Sonja Dürager

Verletzung des Zweckbindungsgrundsatzes:

Daten werden für nicht klar definierte Zwecke gesammelt und verwendet

Daten werden an Dritte weitergegeben und/oder von Dritten verwendet

Verletzung des Grundsatzes von Treu und Glauben:

Intransparenz des Umfangs der Datenverarbeitung:

wer ist datenschutzrechtlicher Auftraggeber?

welche Daten werden erzeugt?

Methodik der Ermittlung der Daten?

welche Daten werden an wen übermittelt?

Verletzung des „Rechts auf informationelle Selbstbestimmung“:

permanente Erstellung von personalisierten Profilen

Zustimmungen nicht rechtskonform

Problemstellungen bei Online-Marketing

© 2015 – RA Dr Sonja Dürager

Rollenverteilung

Betroffener (zB Kunde)

Auftraggeber = Herr der Daten (zB Werbekunde)

Dienstleister (zB Agentur, Publisher)

Daten

Dritter (zB Werbenetzwerke)

Neue

Datenanwendung ? zulässig ?

Verwendung der Daten zu eigenen Zwecken

Dienstleister wird neuer Auftraggeber

Ausgangslage: Datenanwendung

Schutzwürdige Geheimhaltungsinteressen der Betroffenen?

© 2015 – RA Dr Sonja Dürager

Inhalt der Datenverarbeitung

Relevante Verarbeitungsschritte …

Einsatz von Cookies

Device Fingerprinting

Verknüpfungen mit anderen Datenquellen

… Behavioural Advertising:

Profilerstellung ?

Datenhandel ?

… mit dem Ziel

© 2015 – RA Dr Sonja Dürager

Einsatz von Cookies … abhängig von der Art der Cookies zulässig, wenn

§ der User vorab im Detail informiert wird,

§ vor dem Einsatz von Cookies eine Zustimmung vorliegt,

§ die Zustimmung freiwillig, ohne Zweifel und durch eine proaktive Handlung erteilt wird.

Arten der Zustimmung:

Modaler Dialog

Permanenter Banner

Temporärer Banner

Zeitlich limitierter Banner

Information in Heater oder Footer

© 2015 – RA Dr Sonja Dürager

Zustimmung

1) konkludent/ausdrücklich:

Schweigen ist keine Erklärung

Vorauswahl durch bereits vorangehakte Tickbox getroffen?

proaktive Erklärung notwendig

2) Inhalt der Zustimmung:

verständliche und abschließende Darstellung der Sachlage:

Bezeichnung der Datenarten (taxative Aufzählung)

Zweck der Datenverarbeitung

Benennung der Übermittlungsempfänger

Information des Betroffenen über Übermittlungszwecke

Widerrufsbelehrung

3) formelle Kriterien:

ohne Zwang, Freiwilligkeit

Koppelung an Vertragsabschluss / Nutzung des Services ?

© 2015 – RA Dr Sonja Dürager

Auftraggeber muss aus Anlass der Ermittlung von Daten informieren über

den Zweck der Datenanwendung

Name und Adresse des Auftraggebers

Information in geeigneter Weise

verlangt keine bestimmte Form

keine generelle Informationspflicht

Prüfung im Einzelfall, ob und welche Informationen mitzuteilen sind.

Es kann von der Information abgesehen werden, wenn

dem Betroffenen die Sachlage klar ist,

keine überraschenden Datenarten verarbeitet werden ,

keine überraschenden Datenübermittlungen vorgenommen werden.

Verwaltungsübertretung nach § 52 Abs 2 Z 4 DSG 2000

Informationspflicht

© 2015 – RA Dr Sonja Dürager

Weiterverwendung für Profiling

Identifikationsdaten Rohdaten

a) Anreicherung der individuellen Daten mit aggregierten Daten oder mit recherchierten/extrahierten Daten

c) Berechnung von Zusatzinformationen durch induktive, deskriptive oder explorative Statistik

(personalisiertes) Nutzerprofil

b) Verknüpfung und Auswertung der individuellen Daten (interpretierte Informationen)

© 2015 – RA Dr Sonja Dürager

Ausgangslage nach § 46 DSG 2000:

Auftraggeber verarbeitet Daten zu legitimem Zweck

Zweckungebundene Weiterverwendung

1. Fall: Konkrete Untersuchungen wissenschaftlicher oder statistischer Natur / keine personenbezogenen Ergebnisse

2. Fall: Permanente oder nicht konkrete Untersuchungen / Gewinnung von personenbezogenen Ergebnissen

ohne weiteres zulässig

nur mit Zustimmung des Betroffenen oder Genehmigung der DSB zulässig © 2015 – RA Dr Sonja Dürager

Kontakt IP-/IT-Recht bpv Hügel Rechtsanwälte OG

Dr. Sonja Dürager, LL.M. (IT-Law) Rechtsanwalt/Partner

bpv Hügel Rechtsanwälte OG

Donau-City-Strasse 11

1220 Wien

Telefon: +43 1 260 50-125

Fax: +43 1 260 50-308

E-Mail: sonja.duerager@bpv-huegel.com

© 2015 – RA Dr Sonja Dürager