Datenschutzreform & Online-Handel. Dr. Michael Reinle, LL.M. Zürich Bühlmann Rechtsanwälte AG

Transkript

1 Datenschutzreform & Online-Handel Dr. Michael Reinle, LL.M. Zürich Bühlmann Rechtsanwälte AG 1

2 Überblick. Wo stehen wir?. Wichtige Bestimmungen. EU-Datenschutzgrundverordnung. Anwendung auf CH-Unternehmen. Informationspflichten. Einwilligungen. Berechtigtes Interesse. Weitere wichtige Pflichten. Datenschutzerklärung. Rechtsprechung / Datentransfer in die USA. Take Home Message 2

3 Datenschutz & Onlinehandel 3

4 Wo stehen wir?. DSG-Revision nicht im luftleeren Raum. Modernisierung der Datenschutzkonvention SEV 108 des Europarates (E-K108). EU-Datenschutzgrundverordnung. Starker Einfluss der E-K108. Aber: keine Revolution notwendig. Adäquanz mit internationalem Standard für grenzüberschreitende Datentransfers (vgl. Art. 6 DSG). Anpassungsbedarf besteht z.b. bei:. Ausbau Informationspflicht (Art. 7bis E-K108). Anhörungsrecht bei automatisierten Einzelfallentscheidungen (Art. 8 lit. a E-K108). Katalog mit Sorgfaltspflichten (Art. 8bis E-K108). Verwaltungssanktionen (Art. 10 E-K108) 4

5 Wichtige Bestimmungen 5

6 Informationspflicht. Informationspflicht bei allen Datenbearbeitungen mehr Informationen notwendig. Kategorie der beschafften Daten. Zweck der Datenbearbeitung. Kategorien von Datenempfängern. Rechte der betroffenen Person. Kontaktdaten der für die Datenbearbeitung verantwortlichen Person. Verbindliche Detailregelung oder Regeln der Guten Praxis?. Ausnahmen: Person bereits informiert, Gesetz, Information unverhältnismässig. Bei Beschaffung aus Drittquellen? Art. 7bis E- K108 6

7 Sorgfaltspflichten. Katalog der Sorgfaltspflichten. Technische und organisatorische Massnahmen (bereits bisher Art. 7 DSG). Privacy by Design (Datensparsamkeit, dezentrale Speicherung von Daten). Privacy by Default (datenschutzfreundlichste Option als Standard). Dokumentationspflicht aber: kein Recht auf Einblick. Datenschutzfolgeabschätzung (bei Datenbearbeitungen mit erhöhtem Risiko). Meldepflicht bei Datenschutzverletzungen (an Aufsichtsbehörde, keine zwingende an betroffene Person). Ernennung eines Datenschutzverantwortlichen (bei grösseren Unternehmen) 7

8 Einwilligung und Kontrollrechte. Anforderungen an Einwilligung. Bestehende Regelung ausreichend. Aber: gewisse Stimmen für qualitative Verbesserung der Einwilligung. Rechte der betroffenen Person Katalog. Ergänzung Auskunftsrecht: Aufbewahrungsdauer und logischer Aufbau von automatisierten Datenbearbeitungen (z.b. Profiling) letzteres umstritten und unklar. Berichtigungsrecht Information an Dritte bei Weitergabe der Daten!. Recht auf Löschung. Recht auf Sperrung einer widerrechtlichen Datenbearbeitung. Bestreitungsvermerk. Recht auf Widerspruch gegen Datenbearbeitungen ohne Rechtfertigungsgrund. Recht, keiner auf einer rein automatisierten Bearbeitung von Daten basierenden Entscheidung unterworfen zu sein, welche die Person in massgeblicher Weise betrifft (z.b. Bonitätsprüfung, wohl aber nicht Profiling für Werbeaktivitäten). Recht auf Dataportabilität DSG oder Wettbewerbsrecht? 8

9 Wichtige Bestimmungen 9

10 Rechtsansprüche bei Verletzung. Umkehr der Beweislast bei Datenschutzrechtsverletzung. Datenbearbeiter muss beweisen, dass Bearbeitung rechtmässig ist. Rechtfertigungsgründe. Beibehaltung der Struktur - Konkretisierung des überwiegenden Interesses. Rechtsansprüche der betroffenen Personen bei Verletzungen. Verweis auf Art. 28 ff. ZGB bleibt. Umstritten: Änderungen betreffend Schadenersatz (z.b. Einführung der Kausalhaftung, Einführung einer Pauschalentschädigung wie im Arbeitsrecht). Umstritten: Kostenerleichterung bei Datenschutzverletzungsprozessen 10

11 Kompetenzen EDÖB und Sanktionen. Kompetenzen des EDÖB. Durchführung einer Vorabklärung. Formelle Untersuchung. Informationsbeschaffungsbefugnisse (z.b. Recht auf Zutritt in Räumlichkeiten). Verfügungs- und Sanktionskompetenzen (Sistierung oder Unterlassung von Datenbearbeitungen, Geldsanktionen). Sanktionen. Strenge Administrativbussen: diskutiert wird analoge Regelung wie im KG, d.h. bis zu 10% des durchschnittlichen Umsatzes der letzten drei Geschäftsjahre 11

12 EU-Datenschutzgrundverordnung 12

13 Anwendung auf CH-Unternehmen 13

14 Räumlicher Geltungsbereich. Art. 3 DSGVO: Anwendung auch auf Nicht-EU-Unternehmen. Bearbeitung durch Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union, unabhängig davon, ob die Verarbeitung in der Union stattfindet. Bearbeitung von Daten betroffener Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht. Angebot von Waren und Dienstleistungen an betroffene Personen in der Union. Beobachtung des Verhaltens betroffener Personen, soweit ihr Verhalten in der Union erfolgt (Tracking Tools) 14

15 Beispiele. EU-Niederlassung eines CH-Unternehmen oder Teilnahme an Datenbearbeitungen von EU-Unternehmen (z.b. in Konzernverhältnissen). CH-Onlineshop richtet seine Angebote an Kunden aus EU-Ländern (z.b. Deutschland). Webseite eines CH-Unternehmens mit Tracking-Tools, sofern sich Webseite auch auf Nutzer aus EU-Ländern ausrichtet. Auftragsdatenbearbeitung durch EU-Unternehmen für CH- Unternehmen (z.b. Cloud-Anbieter) oder Bearbeitung von Personendaten durch CH-Unternehmen im Auftrag eines EU- Unternehmens (z.b. einer EU-Niederlassung) 15

16 Informationspflichten 16

17 Datenbeschaffung. Informationspflicht (Art. 13 DSGVO). Umfangreiche Informationspflicht nicht vergleichbar mit aktueller Regelung in CH. Wichtige Beispiele:. Bearbeitungszweck, Rechtfertigungsgrund, Kategorie von Datenempfängern, Transfer ins Ausland, Dauer der Datenspeicherung, Information zu den Rechten der betroffenen Person, Widerrufsrecht bei einwilligungsbasierten Datenbearbeitungen, Beschwerderecht bei zuständiger Aufsichtsbehörde. Schwierig umsetzbar: Bestehen einer automatisierten Entscheidungsfindung einschliesslich Profiling sowie aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person 17

18 Indirekte Datenbeschaffung. Aktive Informationspflicht (Art. 14 DSGVO). Informationspflicht bei der Beschaffung von Daten aus Drittquellen. Relevant bei der Datenanreicherung für Analysen (CRM-Analysen). Information spätestens einen Monat nach Datenerhebung aus Drittquelle. Ausnahme: Information unmöglich, unverhältnismässig oder würde den verfolgten Zweck vereiteln. Achtung: Gegenwärtig keine solche Pflicht im schweizerischen Recht!. Inhalt der Information. Umfangreiche Informationspflicht. Inhalt der Information praktisch identisch wie bei direkter Datenbeschaffung bei betroffener Person 18

19 19

20 Anforderungen an Einwilligung. Wichtig: In EU Prinzip des Verbots mit Erlaubnistatbestand jede Datenbearbeitung benötigt Rechtfertigung! Einwilligung und berechtigtes Interesse. Informiertheit (Art. 7 Abs. 2 DSGVO). Widerruflichkeit (Art. 7 Abs. 3 DSGVO). Freiwilligkeit (Art. 7 Abs. 4 DSGVO). Konsequenzen in Praxis:. Einwilligung durch ausdrückliche, aktive Handlung Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit keine Einwilligung!. Bei Dokumenten, welche nebst Einwilligungserklärungen andere Informationen enthalten: Einwilligungserklärungen gut sicht- und lesbar sowie getrennt von anderen Themen besonders wichtig bei Datenschutzerklärungen!. Koppelungsverbot (Art. 7 Abs. 4 DSGVO): Unzulässigkeit der Einwilligung in Datenbearbeitung als Vorbedingung für Abschluss eines Rechtsgeschäft, falls betreffende Datenbearbeitung für Durchführung des Vertrages nicht notwendig Bei Einwilligungen im Rahmen von Gewinnspielen relevant! 20

21 Berechtigtes Interesse 21

22 Interessenabwägung. Berechtigtes Interesse als wichtiger Rechtfertigungsgrund für Datenbearbeitungen (Art. 6 Abs. 1 Satz 1 lit. f DSGVO). Interessenabwägung im Einzelfall: Interesse des Datenbearbeiter gegenüber Persönlichkeitsrechtsinteressen der betroffenen Person. Berechtigtes Interesse z.b. wenn Datenbearbeitung für Durchführung eines Online-Einkaufes notwendig (z.b. Beschaffung derjenigen Daten, welche für die Bestellung und Lieferung einer Ware erforderlich; Daten, welche für Zahlungsabwicklung notwendig). Im Zweifel: Reasonable Expectations. Mit welchen Datenbearbeitungen musste die betroffene Person im Zeitpunkt der Datenbeschaffung aufgrund der Umstände rechnen?. Widerspruchsrecht (Art. 21 DSGVO). Voraussetzungsloses unentgeltliches Widerspruchsrecht. Opt-Out-Recht bei Datenbearbeitungen gestützt auf berechtigtes Interesse. Information der betroffenen Person 22

23 Wichtige Beispiele. Direktmarketing gegenüber bestehenden Kunden berechtigtes Interesse gegeben (für CH jedoch auch UWG relevant). Bewerbung von Produkten und Dienstleistungen anderer Unternehmen (Empfehlungsmarketing) tendenziell kein berechtigtes Interesse. Verkauf oder Vermietung von Personendaten für Direktmarketingzwecke an Dritte kein berechtigtes Interesse. Profiling ist im Einzelfall zu entscheiden (z.b. Menge der bearbeiteten Daten, Umfang der Analyse, etc.). Einsatz von Analysetools berechtigtes Interesse gegeben 23

24 Weitere Pflichten 24

25 Sorgfaltspflichten. Data Privacy by Default / by Design (Art. 23 DSGVO). Ernennung eines Vertreters bei Unternehmen mit Sitz ausserhalb der EU (Art. 25 DSGVO). Dokumentation aller Datenbearbeitungen (Art. 28 DSGVO). Obligatorische Pflicht zur Meldung von Datenschutzpannen (Art. 32 DSGVO). Data Protection Impact Assessment (Art. 33 DSGVO) 25

26 Rechte der betroffenen Person. Recht auf Vergessen (Art. 17 DSGVO). Recht auf Dataportabilität (Art. 18 DSGVO). Dokumentation aller Datenbearbeitungen (Art. 28 DSGVO). Recht, nicht Gegenstand von automatisierten Entscheidungsprozessen zu sein, die rechtliche oder vergleichbare Auswirkungen auf die Person haben (Art. 20 DSGVO) Ausnahme:. Automatisierter Entscheidungsprozess ist für Vertragsdurchführung erforderlich (z.b. Kreditwürdigkeitsprüfung bei Kauf auf Rechnung), durch Gesetz erlaubt oder erfolgt mit Zustimmung. Werbemassnahmen (keine erhebliche Beeinträchtigung) 26

27 Datenschutzerklärung 27

28 Auswirkungen. Erhebliche Auswirkungen der Reformen auf Form und Inhalt der Datenschutzerklärungen für Online-Shops. Verstärkte Informationspflichten erhöhen Anforderungen an Transparenz. Präzise, transparente und verständliche Informationen. Klare und einfache Sprache. Spezifische Anforderungen an Einwilligungserklärungen in Datenschutzerklärung. Gut sicht- und lesbar sowie getrennt von anderen Informationen 28

29 Wichtige Themen. Server-Logfiles. Webanalyse-Tools. Re-Targeting mittels Cookies. Social PlugIns. Kontaktdaten. Bearbeitung für Marketingzwecke. Hinweis auf Kreditwürdigkeitsprüfungen / Bonitätsprüfungen. Informationen betreffend Datenbeschaffungen aus Drittquellen. Datenbearbeitungen durch Dritte (Auftragsdatenbearbeitung). Transfer von Daten in Ausland 29

30 Rechtsprechung / Entwicklungen 30

31 Abmahnung Datenschutzerklärung. LG Köln vom 26. November Fehlen einer Datenschutzerklärung auf Webseite ist Wettbewerbsverstoss. Konkurrenten können Fehlen der Datenschutzerklärung abmahnen. Andere Gerichte verneinten Wettbewerbsverstoss bei Datenschutzverletzungen. Konsequenzen. CH-Onlinehändler mit Ausrichtung auf deutsche Kunden aufgepasst!. Abmahnungen wegen Datenschutzverletzungen möglich 31

32 Einwilligung in Weitergabe von Daten. OLG Frankfurt vom 28. Juli Einwilligungserklärung in Telefon- und -Werbung im Rahmen eines Gewinnspieles unwirksam. Grund: Einwilligung für Weitergabe an eine Vielzahl von werbenden Unternehmen zu unbestimmt!. Link auf Liste mit 50 werbenden Unternehmen, aber: Geschäftsbereiche der Unternehmen zu wenig spezifisch. Rechtslage Schweiz. Anforderungen an Einwilligung zur Weitergabe von Daten an Dritte liberaler. Aber: Nutzer muss eine Vorstellung über den Kreis der Datenempfänger erhalten!. Geschäftsbereiche der werbenden Unternehmen auch nach schweizerischem Recht relevant Kategorisierung genügt! 32

33 Einbezug von Google Analytics. LG Hamburg vom 9. August LG Hamburg untersagt einem Online-Händler weitere Nutzung von Google Analytics. Grund: Keine Information über die Nutzung von Google Analytics und keine Anonymisierung der IP-Adressen. Vorgaben deutsche Datenschutzbehörden (2011). Auftragsdatenverarbeitung: schriftlicher Vertrag mit Google. Widerspruchsmöglichkeit: Information in Datenschutzerklärung. IP-Anonymisierung. Löschung bestehender Analytics-Account, falls Anforderungen bisher nicht erfüllt!. Rechtslage Schweiz. Transparente Information in Datenschutzerklärung und Hinweis auf Widerspruchsmöglichkeit. Auftragsdatenbearbeitung, aber nicht zwingend Vertrag notwendig. Datenschutzgesetz nach IP-Anonymisierung noch anwendbar? 33

34 Datentransfer in USA. Rechtslage Schweiz. EDÖB erklärte Safe Harbor-Abkommen für unwirksam. Art. 6 DSG: USA Land ohne angemessenes Datenschutzniveau vertragliche Garantien oder Zustimmung der betroffenen Personen. Verwendung der Standardvertragsklauseln. EDÖB zusätzliche Anforderungen: Informationspflicht betreffend Risiken bei Transfer in die USA. Rechtslage EU. Privacy Shield Principles. Zertifizierung ab 1. August 2016 möglich 34

35 Take Home Message 35

36 Take Home Message. Verstärkte Informations- und Sorgfaltspflichten erhöhen datenschutzrechtliche Anforderungen und Risiken. Falls EU-DSGVO anwendbar Rechtfertigung für jede Datenbearbeitung. Erschwerung einzelner Marketingmassnahmen durch EU-DSGVO (z.b. Datenbeschaffung durch Gewinnspiele, Empfehlungsmarketing, Verkauf und Vermietung von Daten für Marketingzwecke). Erhöhung der administrativen Kosten (Sorgfaltspflichten und Rechte der betroffenen Personen). Ausbau der Rechtsansprüche und Kompetenzen des EDÖB erhöhen Verfolgungsrisiko. Pragmatisches Vorgehen bei Datenschutz-Compliance kann zukünftig teuer zu stehen kommen 36

37 Vielen Dank für die Aufmerksamkeit. Dr. Michael Reinle, LL.M. Zürich Bühlmann Rechtsanwälte AG 37