Das Dokument behandelt die rechtlichen Rahmenbedingungen zur Monetarisierung personenbezogener Daten im Werbung, insbesondere gemäß dem Datenschutzgesetz (DSG). Es erläutert verschiedene Arten von Daten (personenbezogen, sensibel, anonymisiert, pseudonymisiert) sowie die Pflichten der Auftraggeber und Dienstleister in Bezug auf die Datenverarbeitung und Zustimmung der Betroffenen. Zudem werden Problematiken bei der Verwendung und Weitergabe von Daten im Online-Marketing angesprochen.

1. Daten – das neue Gold in der
Werbung …
Wer darf diese
innerhalb welcher rechtlichen Grenzen
monetarisieren?
von RA Dr. Sonja Dürager
Wien, 1. Juli 2015
© 2015 – RA Dr Sonja Dürager

2. Anwendungsbereich des DSG (I)
Personenbezogene Daten
Solche Angaben über den Betroffenen, deren Identität bestimmt ist.
Indirekt personenbezogene Daten
Solche Angaben über den Betroffenen, deren Identität bestimmbar sein kann („Pseudonym“).
Sensible Daten
Daten von natürlichen Personen über die rassische Herkunft, politische Meinung,
Gewerkschaftszugehörigkeit, religiöse Überzeugung, Gesundheit und Sexualleben.
Vorname, Nachname, Geburtsdatum
ohne Zusatzinformation!
IdentitätIP-Adresse …? mit Zusatzinformation!
Identität
© 2015 – RA Dr Sonja Dürager
Firma, Firmenbuchnummer ?

3. Anwendungsbereich des DSG (II)
 Anonymisierte Auswertung:
statistische Informationen, zB zur Feststellung der durchschnittlichen Aufrufe einer Website.
 Pseudonymisierte Auswertung:
keine Auswertung der Identität, allerdings sind die statistischen Daten mit einem einer bestimmten
Person zuordenbaren Code verbunden.
 Identifizierung des Users:
Personenbezug herstellbar durch Zuordnung des Device an einzelne User.
© 2015 – RA Dr Sonja Dürager

4.  Verletzung des Zweckbindungsgrundsatzes:
 Daten werden für nicht klar definierte Zwecke gesammelt und verwendet
 Daten werden an Dritte weitergegeben und/oder von Dritten verwendet
 Verletzung des Grundsatzes von Treu und Glauben:
 Intransparenz des Umfangs der Datenverarbeitung:
 wer ist datenschutzrechtlicher Auftraggeber?
 welche Daten werden erzeugt?
 Methodik der Ermittlung der Daten?
 welche Daten werden an wen übermittelt?
 Verletzung des „Rechts auf informationelle Selbstbestimmung“:
 permanente Erstellung von personalisierten Profilen
 Zustimmungen nicht rechtskonform
Problemstellungen bei Online-Marketing
© 2015 – RA Dr Sonja Dürager

5. Rollenverteilung
Betroffener
(zB Kunde)
Auftraggeber = Herr der Daten
(zB Werbekunde)
Dienstleister
(zB Agentur, Publisher)
Daten
Dritter
(zB Werbenetzwerke)
Neue
Datenanwendung
? zulässig ?
Verwendung der
Daten zu eigenen
Zwecken
Dienstleister wird
neuer Auftraggeber
Ausgangslage:
Datenanwendung
Schutzwürdige
Geheimhaltungsint
eressen der
Betroffenen?
© 2015 – RA Dr Sonja Dürager

6. Inhalt der Datenverarbeitung
Relevante Verarbeitungsschritte …
 Einsatz von Cookies
 Device Fingerprinting
 Verknüpfungen mit anderen Datenquellen
… Behavioural Advertising:
 Profilerstellung ?
 Datenhandel ?
… mit dem Ziel
© 2015 – RA Dr Sonja Dürager

7. Einsatz von Cookies
… abhängig von der Art der Cookies zulässig, wenn
§ der User vorab im Detail informiert wird,
§ vor dem Einsatz von Cookies eine Zustimmung vorliegt,
§ die Zustimmung freiwillig, ohne Zweifel und durch eine proaktive Handlung erteilt wird.
Arten der Zustimmung:
 Modaler Dialog
 Permanenter Banner
 Temporärer Banner
 Zeitlich limitierter Banner
 Information in Heater oder Footer
© 2015 – RA Dr Sonja Dürager

8. Zustimmung
1) konkludent/ausdrücklich:
 Schweigen ist keine Erklärung
 Vorauswahl durch bereits vorangehakte Tickbox getroffen?
 proaktive Erklärung notwendig
2) Inhalt der Zustimmung:
 verständliche und abschließende Darstellung der Sachlage:
 Bezeichnung der Datenarten (taxative Aufzählung)
 Zweck der Datenverarbeitung
 Benennung der Übermittlungsempfänger
 Information des Betroffenen über Übermittlungszwecke
 Widerrufsbelehrung
3) formelle Kriterien:
 ohne Zwang, Freiwilligkeit
 Koppelung an Vertragsabschluss / Nutzung des Services ?
© 2015 – RA Dr Sonja Dürager

9.  Auftraggeber muss aus Anlass der Ermittlung von Daten informieren über
 den Zweck der Datenanwendung
 Name und Adresse des Auftraggebers
Information in geeigneter Weise
 verlangt keine bestimmte Form
keine generelle Informationspflicht
 Prüfung im Einzelfall, ob und welche Informationen mitzuteilen sind.
 Es kann von der Information abgesehen werden, wenn
 dem Betroffenen die Sachlage klar ist,
 keine überraschenden Datenarten verarbeitet werden ,
 keine überraschenden Datenübermittlungen vorgenommen werden.
Verwaltungsübertretung nach § 52 Abs 2 Z 4 DSG 2000
Informationspflicht
© 2015 – RA Dr Sonja Dürager

10. Weiterverwendung für Profiling
Identifikationsdaten Rohdaten
a) Anreicherung der individuellen Daten mit aggregierten Daten oder mit
recherchierten/extrahierten Daten
c) Berechnung von Zusatzinformationen durch induktive, deskriptive
oder explorative Statistik
(personalisiertes) Nutzerprofil
b) Verknüpfung und Auswertung der individuellen Daten (interpretierte Informationen)
© 2015 – RA Dr Sonja Dürager

11. Ausgangslage nach § 46 DSG 2000:
Auftraggeber verarbeitet Daten zu legitimem Zweck
Zweckungebundene Weiterverwendung
1. Fall: Konkrete Untersuchungen
wissenschaftlicher oder statistischer
Natur /
keine personenbezogenen Ergebnisse
2. Fall: Permanente oder nicht konkrete
Untersuchungen /
Gewinnung von personenbezogenen
Ergebnissen
ohne weiteres
zulässig
nur mit Zustimmung des
Betroffenen oder
Genehmigung der DSB
zulässig
© 2015 – RA Dr Sonja Dürager

12. Kontakt IP-/IT-Recht
bpv Hügel Rechtsanwälte OG
Dr. Sonja Dürager, LL.M. (IT-Law)
Rechtsanwalt/Partner
bpv Hügel Rechtsanwälte OG
Donau-City-Strasse 11
1220 Wien
Telefon: +43 1 260 50-125
Fax: +43 1 260 50-308
E-Mail: sonja.duerager@bpv-huegel.com
© 2015 – RA Dr Sonja Dürager