Heft 1, Februar 2019, Band 7

Nicht nur aus Sicht der Nutzerinnen und Nutzer ist das Thema Datenschutz ein wichtiges. Auch für Unternehmen bekam Datenschutz aus Sicherheitsaspekten und nicht auch zuletzt durch Verabschiedung der Datenschutzgrundverordnung (DSGVO) immer mehr Importanz. In einer Studie des Ponemon Institutes aus 2017 wurden die durchschnittlichen Kosten eines Datenlecks – sprich nach Definition der EU Kommission einer „Sicherheitsverletzung, die zur zufälligen oder unrechtmäßigen Zerstörung, zu Verlust, Veränderung, unbefugter Weitergabe oder unberechtigtem Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten“ führt – mit 3,62 Millionen US-Dollar beziffert.

Es scheint daher unumgänglich, sich mit dem Thema Datenschutz zu befassen. Die Implementierung der DSGVO verursacht Kosten in Millionenhöhe für größere Unternehmen, was diesen Gesetzgebungsakt nach einer Umfrage der Financial Times zu einem der teuersten macht, der je den Technologiesektor betraf. Hierbei wird von vielen Unternehmen die Dimension besagter Verordnung unterschätzt – handelt es sich doch um einen Gesetzesakt, welcher das gesamte Unternehmen mit sämtlichen internen und externen Prozessen betrifft. Vor allem in Hinblick auf Tätigkeiten und Funktionen müssen Unternehmen überlegen, wie sie Anforderungen der DSGVO hinsichtlich der Aufbau- und Ablauforganisation in bestehende Governance-Strukturen aufnehmen können. Anzumerken ist hierzu, dass derzeit keine Best-Practice zur Implementierung von Governance-Strukturen in Konzernunternehmen existiert.

Der vorliegende Beitrag behandelt sich aus der Datenschutzgrundverordnung ergebende Aspekte der Aufbau- und Ablauforganisation und deren Eingliederung in Konzernstrukturen im Sinne einer „Good Corporate Governance“ anhand des Europäischen Three Lines of Defense Modells.

Wenn Daten das neue Gold sind, dann ist die Kundendatenbank die Lebensversicherung eines Unternehmens. Diese oft mühsam aufgebaute Datenbank gilt es zu verteidigen – vor allem vor abwanderfreudigen Mitarbeitern. Gleich eine Reihe von Normen schützen die Kundendatenbank. Dieser Beitrag stellt die zur Anwendung gelangenden Schutzgesetze dar.

Unregelmäßig wiederkehrend widmet sich der Autor der nachfolgenden Zeilen mit willkürlichen Stichproben – diesmal im 4. Quartal 2018 insbesondere anhand der zahlreichen in Frage kommenden Inserate zweier am Wiener Gratis-Tageszeitungsmarkt erhältlicher Produkte – der Frage, ob sich bei den Inserenten schon alle inhaltlichen Anforderungen des „Medienkooperations- und -förderungs-Transparenz-Gesetzes“ (MedKF-TG) verfestigen konnten. Auch mehrere Jahre nach dessen Inkrafttreten dürften allerdings die in den Rechtsvorschriften verwendeten und näher beschriebenen Begriffe „Sachinformation“ und „Vermarktung“ im Bund und von Land zu Land unterschiedlich verstanden werden.

Die Geoblocking-Verordnung, die seit dem 3. Dezember 2018 gilt, soll Endnutzern im B2C- und B2B-Bereich den grenzüberschreitenden Zugang zu Gütern, Dienstleistungen und Zahlungsmethoden im digitalen EU-Binnenmarkt erleichtern. Diese neue Verordnung hat vor allem für Internet-Anbieter, die Waren und Dienstleistungen in der EU anbieten, eine bedeutende Auswirkung. Online-Benutzeroberflächen (Webseiten, Apps oder Plattformen des elektronischen Handels) sollen nicht aufgrund der Staatsangehörigkeit, des Wohnsitzes oder des Ortes der Niederlassung von Kunden beschränkt oder gesperrt werden. Zudem ist in bestimmten Fällen eine unterschiedliche Behandlung von Kunden aus anderen Mitgliedstaaten sowohl im online als auch im offline Bereich im Zusammenhang mit der Anwendung unterschiedlicher allgemeinen Geschäftsbedingungen für den Zugang zu Waren und Dienstleistungen objektiv nicht zu rechtfertigen. Der folgende Beitrag soll einen kurzen Überblick über die wichtigsten Auswirkungen der Geoblocking-VO für Internet-Anbieter und ihre Online-Benutzeroberflächen schaffen.

Eine Videoüberwachung muss dem Zweck entsprechend angemessen und auf das notwendige Maß beschränkt sein.

Eine Videoüberwachung die nicht nur den Eingangsbereich eines Wettlokals, sondern auch die öffentlichen Parkplätze und Verkehrsflächen umfasst, ist nicht angemessen und nicht auf das notwendige Maß beschränkt.

Im Zusammenhang mit einer Videoüberwachung hat eine Protokollierung der Verarbeitungsvorgänge stattzufinden.

Sofern keine Begründung für eine verlängerte Speicherdauer besteht, ist eine Löschung der durch die Videoüberwachung aufgenommenen personenbezogenen Bilddaten innerhalb von 72 Stunden vorzunehmen.

Die Videoüberwachung ist nicht geeignet gekennzeichnet.

Amtliche Leitsätze

Die e-Datenschutz-RL bzw das TKG 2003 geht dem DSG 2000 bzw nunmehr der DSGVO als lex specialis vor.

Der Begriff der Einwilligung nach § 96 Abs 3 TKG 2003 entspricht in systematischer Auslegung dem Begriff der Einwilligung nach Art 4 Z 11 bzw Art 7 DSGVO, wie sich aus Art 94 Abs 2 DSGVO ergibt.

Gemäß Art 7 DSGVO sowie unter Berücksichtigung von Art 4 Z 11 sowie ErwGr 43 DSGVO muss eine Einwilligung freiwillig erfolgen und darf nicht an die Erfüllung eines Vertrages gekoppelt sein, obwohl die Einwilligung zur Erfüllung dieses Vertrags nicht erforderlich ist; unfreiwillig ist dabei eine Einwilligung dann, wenn bei Nichtabgabe der Einwilligung ein Nachteil zu erwarten ist.

Ein Nachteil aus einer Einwilligung ist dann gegeben, wenn das Risiko einer Täuschung, Einschüchterung, Nötigung oder beträchtlicher negativer Folgen besteht. Dabei hat der Verantwortliche nachzuweisen, dass es möglich ist, die Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden.

Der Verantwortliche muss nachweisen, dass die betroffene Person eine echte oder freie Wahl hatte, ob sie ihre Einwilligung erteilt oder nicht.

Amtliche Leitsätze

Die Verwendung einer im Internet veröffentlichten Mobilfunknummer für einen unaufgeforderten Telefonanruf zu Werbezwecken stellt einen Verstoß gegen die DS-GVO dar, weil sie eine Informationspflicht nach Art 14 DS-GVO auslöst.

Der unerwünschte Anruf zu Werbezwecken (sog: Cold Calling) iSv § 107 Abs 1 TKG 2003 selbst ist nicht von der Datenschutzbehörde zu beurteilen, sondern von der zuständigen Fernmeldebehörde. Für die damit aber im konkreten Fall zugleich begangene Verletzung im Recht auf Geheimhaltung gemäß § 1 Abs 1 DSG 2018 ist wiederum die Datenschutzbehörde zuständig.

Redaktionelle Leitsätze

Die Speicherung von Bewerberdaten für die Dauer von sieben Monaten ist gerechtfertigt, angemessen und verhältnismäßig, da sie für den potentiellen Arbeitgeber notwendig ist, um sich gegen allfällige Ansprüche innerhalb der sechsmonatigen Anspruchsfristen (für Klage bzw Antrag) gemäß §§ 15, 29 GlBG verteidigen und begründen zu können, weshalb keine Diskriminierung vorliegt.

Die zulässige Löschfrist von sieben Monaten für die Bewerberdaten ab Bewerbungseingang setzt sich aus der sechsmonatigen Anspruchsfrist des Betroffenen und einem weiteren Monat für den allfälligen Klageweg zusammen. Innerhalb dieser Frist kann der Bewerber keine Löschung seiner personenbezogenen Daten nach Art 17 DS-GVO erwirken.

Redaktionelle Leitsätze

Wenn der Steuerberater für seinen Klienten die Lohnverrechnung übernimmt, handelt er insoweit immer noch als datenschutzrechtlicher Verantwortlicher iSv Art 4 Z 7 DS-GVO und es liegt keine Auftragsdatenverarbeitung vor.

Als datenschutzrechtlich Verantwortlicher hat daher der Steuerberater die Auskunft nach Art 15 DS-GVO über die Verarbeitung von personenbezogenen Daten iZm der Lohnverrechnung aus eigenem zu erteilen.

Redaktionelle Leitsätze

Art 15 Abs 1 S 1 der ePrivacy-Richtlinie (RL 2002/58/EG idF RL 2009/136/EG) ist nach seinem Wortlaut nicht auf die Bekämpfung schwerer Straftaten beschränkt, sondern betrifft „Straftaten“ im Allgemeinen.

Nach dem Grundsatz der Verhältnismäßigkeit können daher nicht besonders schwere Straftaten den behördlichen Zugang zu den durch elektronische Kommunikationsdienstleister gespeicherten personenbezogenen Daten rechtfertigen, sofern dieser Zugang keine schwere Beeinträchtigung des Privatlebens darstellt.

Der Zugang öffentlicher Stellen zu Daten, anhand deren die Identität der Inhaber von SIM-Karten, die mit einem gestohlenen Mobiltelefon aktiviert wurden, festgestellt werden soll, wie Name, Vorname und gegebenenfalls Adresse dieser Karteninhaber, stellt einen Eingriff in deren in den Artikeln 7 und 8 GRC verankerte Grundrechte dar, der nicht so schwer ist, dass dieser Zugang im Bereich der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten auf die Bekämpfung der schweren Kriminalität beschränkt werden müsste.

Redaktionelle Leitsätze

Soweit sich eine Videoüberwachung auch nur teilweise auf den öffentlichen Raum erstreckt und dadurch den Bereich der rein privaten Sphäre verlässt, kann sie nicht als ausschließlich persönliche oder familiäre Tätigkeit betrachtet werden.

Eine Videoüberwachung mit Aufzeichnungsfunktion kann in das allgemeine Persönlichkeitsrecht der Betroffenen in seiner Ausprägung als Recht auf informationelle Selbstbestimmung eingreifen; dieses Recht umfasst die Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden.

Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie zur Aufgabenerfüllung öffentlicher Stellen, zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

Die permanente und anlasslose Aufzeichnung des Verkehrsgeschehens ist mit den datenschutzrechtlichen Regelungen des Bundesdatenschutzgesetzes nicht vereinbar.

Rechtswidrig geschaffene oder erlangte Beweismittel sind im Zivilprozess aber nicht schlechthin unverwertbar; über die Frage der Verwertbarkeit ist vielmehr in derartigen Fällen aufgrund einer Interessen- und Güterabwägung nach den im Einzelfall gegebenen Umständen zu entscheiden.

Der Einzelne hat keine absolute, uneingeschränkte Herrschaft über „seine“ Daten, weil er seine Persönlichkeit innerhalb der sozialen Gemeinschaft entfaltet. Mit der Teilnahme am öffentlichen Straßenverkehr setzt sich der Einzelne bspw selbst der Wahrnehmung und Beobachtung durch andere Verkehrsteilnehmer aus.

Das in Art 20 Abs 3 GG verankerte Rechtsstaatsprinzip misst dem Erfordernis einer wirksamen Rechtspflege eine besondere Bedeutung bei; dabei stellen das Streben nach einer materiell richtigen Entscheidung wichtige Belange des Gemeinwohls dar. Um die Wahrheit zu ermitteln, sind die Gerichte deshalb grundsätzlich gehalten, von den Parteien angebotene Beweismittel zu berücksichtigen, wenn und soweit eine Tatsachenbehauptung erheblich und beweisbedürftig ist.

Obgleich die permanenten und anlasslosen Verkehrsgeschehensaufzeichnungen mit den datenschutzrechtlichen Regelungen des Bundesdatenschutzgesetzes nicht vereinbar sind, ist die Verwertung dieser, von einem Unfallbeteiligten vom Unfallgeschehen gefertigten Aufzeichnungen, als Beweismittel im Unfallhaftpflichtprozess zulässig.

Im Vergleich zum heimlichen Belauschen von Gesprächen und den dazu judizierten Beweisverwertungsverboten, wird bei Aufzeichnungen des öffentlichen Verkehrsgeschehens ein Verhalten festgehalten, das ohnehin in der Öffentlichkeit, zB auf öffentlichen Straßen, stattfindet.

Amtliche Leitsätze

Die Inhaberschaft an einer Internet-Domain unter der Top-Level-Domain „de“ gründet sich auf die Gesamtheit der schuldrechtlichen Ansprüche, die dem Inhaber der Domain aus dem Registrierungsvertrag gegenüber der DENIC eG zustehen. Diese Ansprüche sind Gegenstand der Pfändung nach § 857 Abs 1 ZPO.

Drittschuldnerin ist bei der Pfändung der Gesamtheit der schuldrechtlichen Ansprüche des Domaininhabers aus dem Registrierungsvertrag die DENIC eG.

Bei einer Verwertung der gepfändeten Ansprüche nach § 857 Abs 1, § 844 Abs 1 ZPO durch Überweisung an Zahlungs statt zu einem Schätzwert übernimmt der Gläubiger sämtliche Ansprüche aus dem Registrierungsvertrag mit der DENIC eG einschließlich der vertraglichen Position als zu registrierender Domaininhaber.

Amtliche Leitsätze

Ob ein Online-Verkäufer als Gewerbetreibender iSv Art 2 lit b der Richtlinie über unlautere Geschäftspraktiken RL 2005/29/EG (UGP-RL) eingestuft wird, darf nicht allein an der Zahl der angebotenen Artikel festgemacht werden. Ausschlaggebend ist vielmehr, ob die Verkäufe Teil einer „gewerblichen, handwerklichen oder beruflichen Tätigkeit“ sind.

Anhaltspunkte für die gewerbliche Tätigkeit bildet unter anderem, ob der Verkauf planmäßig erfolgte, ob er eine gewisse Regelmäßigkeit hatte oder mit ihm ein Erwerbszweck verfolgt wurde, ob sich das Angebot auf eine begrenzte Anzahl von Waren konzentriert. Zudem müssen die Rechtsform sowie die technischen Fähigkeiten des Verkäufers berücksichtigt werden.

Redaktionelle Leitsätze

So wie die Datenschutz-RL 95/46/EG normiert auch die DSGVO 2016/679 kein abgeschlossenes Sanktionssystem.

Die DSGVO (und auch die Datenschutz-RL) steht der Klagsbefugnis nach UWG insb nach § 8 Abs 3 Nr 1 UWG nicht grundsätzlich entgegen.

Nicht jede datenschutzrechtliche Norm hat marktverhaltensregelnden Charakter i.S. des § 3a UWG und ist daher UWG-relevant. Es muss daher die jeweilige Norm konkret darauf überprüft werden, ob die betreffende Norm eine Regelung des Marktverhaltens zum Gegenstand hat.

Im Rahmen des Erlaubnistatbestandes von § 28 Abs 7 BDSG a.F. geht es um besonders sensible Gesundheitsdaten und deren Verarbeitung zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten und um eine Datennutzung zum Zwecke der Werbung und damit für Zwecke, die die geschützten Interessen des Betroffenen gerade in Bezug auf seine Marktteilnahme berühren. Ein Bezug der Norm zu einer wie auch immer gearteten Teilnahme des Betroffenen oder von Wettbewerbern am Markt ist nicht zu erkennen. § 28 Abs 7 BDSG a.F. ist daher keine marktverhaltensregelnde Norm i.S. des § 3a UWG.

Amtliche Leitsätze

Der Begriff der Tatsachenbehauptung ist nach Lehre und ständiger Rechtsprechung weit auszulegen; selbst Urteile, die nur auf entsprechende Tatsachen schließen lassen, gelten als Tatsachenmitteilung („konkludente Tatsachenbehauptung“). Die reißerisch aufgemachte Wiedergabe von Vorwürfen eines „Dossiers“ genügt daher für eine Tatbildlichkeit iSd § 1330 ABGB; daran vermag der Hinweis am Schluss des Artikels, die Vorwürfe seien „abstrus“, nichts ändern und konnte den Gesamteindruck nicht widerlegen, den ein nicht unerheblicher Teil der Leser bis dahin bereits gewonnen hatte.

Auch über Tatsachen geäußerte Vermutungen und Verdächtigungen sowie in Frage gestellte Behauptungen können Tatsachenbehauptungen iSv § 1330 Abs 2 ABGB darstellen. Deren Weitergabe in Vermutungsform ist als „Verbreitung“ anzusehen.

Redaktionelle Leitsätze