Buchstaben formen DSGVO im Fokus, im Hintergrund steht der Schriftzug Datenschutz
© Sonja Birkelbach | stock.adobe.com
Werbung und Marktkommunikation, Fachgruppe

Fragen und Antworten zum Datenschutz in der Werbebranche

Die Datenschutzgrundverordnung (DSGVO) in Marketing und Werbung

Lesedauer: 37 Minuten

Die FAQ zum Datenschutz gemäß Datenschutzgrundverordnung (DSGVO) bieten Werbeagenturen, Adressverlage und Direktmarketing-Unternehmen Orientierung, was erlaub und was verboten ist.

Die FAQ können nach Schlagworten wie z.B. "Impressum" oder "Direktmarketing" durchsucht werden.

FAQ zum Datenschutz

Der § 151 Gewerbeordnung (GewO), der hierfür relevant ist, besteht auch weiterhin neben der DSGVO weiter. Durch die DSGVO werden keine Geschäftsmodelle verhindert, es wird nur anders argumentiert werden müssen.

Die gängigsten Praktiken der Adressverlage- und Direktmarketingunternehmen können wohl mit einem "berechtigten Interesse" iSd Art 6 Abs 1 lit f DSGVO argumentiert werden, da ein solches Interesse grundsätzlich für eine für die Volkswirtschaft wichtige Möglichkeit, Produkte und Dienstleistungen zu bewerben anerkannt ist.

Auch ErwG 47 DSGVO sieht vor, dass "die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann."

Wird diese Leistung im Rahmen eines Gesamtvertrages zwischen der Werbeagentur und ihrem Kunden vereinbart, ist dies grundsätzlich im Nebenrecht möglich. Es muss datenschutzrechtlich aber ein Auftragsverarbeitungsvertrag zwischen der Werbeagentur und ihrem Kunden abgeschlossen werden. Ebenso sollte eine schriftliche Unbedenklichkeitserklärung eingeholt werden, d.h., der Kunde bestätigt, dass die Daten rechtmäßig erhoben und weiterverwendet werden dürfen.

Wird die Leistung des Direktmarketings oder des Adressverlages als eigenständige Leistung durch die Agentur angeboten, muss das Gewerbe "Adressverlag" oder "Direktmarketingunternehmen" angemeldet werden.

Nein, für österreichische Unternehmen gilt nationales Datenschutzrecht. In diesem Fall ist dieselbe Rechtslage wie oben geschildert gegeben. Hat die österreichische Agentur aber z.B. eine Filiale in Deutschland und betreut dort deutsche Kunden, wird jedenfalls auch deutsches Recht einzuhalten sein.

Ich muss jeden Betroffenen umfassend über die vorgenommenen Datenverarbeitungen informieren. Informationen sind direkt bei der Datenerhebung zu geben, wenn diese bei der betroffenen Person direkt erfolgt.

Erhält man die Daten anderweitig (z.B. von öffentlichen Quellen, von Marketingunternehmen oder von Konzernunternehmen), muss man den Betroffenen innerhalb von einem Monat (Maixmalfrist – oder wenn vorher: bei der ersten Kommunikation mit dem Kunden oder wenn Daten einem Dritten weitergegeben werden, zu diesem Zeitpunkt) die Informationen zur Verfügung stellen.

Es bedarf auf jeden Fall einer Rechtsgrundlage für die Datenverarbeitung. Entweder es gibt eine gesetzliche Grundlage hierfür (§ 151 GewO) oder es muss geprüft werden, ob die Weitergabe sich auf eine andere rechtliche Grundlage stützen kann (andere gesetzliche Grundlage, vertragliche Grundlage, berechtigtes Interesse). Liegt keine solche vor, muss die Zustimmung eingeholt werden.

Werden sensible Daten weitergegeben (rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person), braucht es eine spezielle Rechtmäßigkeitsgrundlage [ausdrückliche Einwilligung (konkludent oder schlüssig ist nicht möglich), arbeits- oder sozialrechtliche Verpflichtungen, für Zwecke der Gesundheitsvorsorge oder Arbeitsmedizin, gesetzliche Verpflichtung, Schutz lebensnotwendiger Interessen, von der Person selbst veröffentlichte Daten, … ].

Die einmalige Zusendung von postalischer Werbung ist u.E. unproblematisch, da dies einerseits durch ein sogenanntes "berechtigtes Interesse" des Unternehmens (im Sinne des Artikel 6 Abs 1 lit f DSGVO iVm EG 47) gedeckt wäre bzw. im Rahmen der gewerberechtlichen Bestimmungen, wenn das Gewerbe Adressverlag und/oder Direktmarketing ausgeübt wird.

Die Zusendung elektronischer Werbung ist allerdings durch eine besondere Bestimmung, im Telekommunikationsgesetz (§ 174 TKG 2021) geregelt und ist daher an die Einwilligung des Adressaten oder an folgende Voraussetzungen gebunden (nähere Infos, unter welchen Voraussetzungen welche Arten von E-Mails erlaubter Weise versendet werden dürfen):

  1. Der Absender hat die Kontaktinformation für die Nachricht im Zusammenhang mit dem Verkauf oder einer Dienstleistung an seine Kunden erhalten und
  2. diese Nachricht erfolgt zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen und
  3. der Kunde hat klar und deutlich die Möglichkeit erhalten, eine solche Nutzung der elektronischen Kontaktinformation von vornherein bei deren Erhebung und zusätzlich bei jeder Übertragung kostenfrei und problemlos abzulehnen.
  4. die Mailadresse des Kunden ist nicht in der ECG Liste bei der RTR eingetragen.

Allein die Tatsache, dass E-Mail-Adressen im (verpflichtenden) Impressum auf der Website des Unternehmens aufscheinen, heißt noch nicht, dass Sie diese zu Werbezwecken kontaktieren dürfen.

Nein, die DVR Nummer gibt es seit 25.5.2018 nicht mehr und das Datenverarbeitungsregister ist auch mittlerweile nicht mehr einsehbar.

Wenn die Datenverarbeitung auf eine Einwilligung des Betroffenen gestützt war, dann ist jedenfalls der Widerruf dieser Einwilligung ein wichtiger Haltepunkt.

Es wird empfohlen, sich iZm Datenschutz an die gesetzlichen Aufbewahrungsfristen in Österreich, wie im Steuerrecht, im Sozialversicherungsrecht, Gewährleistungsrecht, etc. genannt, zu halten. Nach der Bundesabgabenordnung sind Buchhaltungsunterlagen 7 Jahre aufzubewahren.

Gewährleistungsansprüche können innerhalb von 2 Jahren, Schadenersatz nach 3 bzw. 30 Jahren geltend gemacht werden. Im Arbeitsrecht verjährt der Anspruch auf Herausgabe eines Dienstzettels nach 30 Jahren.

Es liegt nach Datenschutzgrundverordnung (DSGVO) eine Weitergabe personenbezogener Daten vor, da die Verschlüsselung der Daten nicht mit der Anonymisierung der Daten gleichgesetzt werden kann. 

Die Frage ist daher, über welche Grundlage eine solche Weitergabe erfolgt. Nach Ansicht deutscher Datenschutzbehörden kann eine solche Grundlage bei der Weitergabe von Kundenlisten eigentlich nur die informierte Einwilligung der jeweiligen Kunden sein, d.h., diese wissen und willigen ein, dass ihre Daten an Facebook zu diesen Zwecken weitergegeben werden.

Vielfach wurde in der Praxis in der Vergangenheit aber mit einem "überwiegenden berechtigten Interesse" argumentiert, was in Österreich vermutlich eine gute Argumentationslinie war (bislang war die Weiterverwendung indirekt personenbezogener Daten, wie es verschlüsselte Daten darstellten, grundsätzlich weitergehender möglich), ob diese im Rahmen der DSGVO aber beibehalten werden kann, ist (noch) fraglich.

Offenbar spielt es nach Ansicht der (deutschen) Behörden auch eine große Rolle, in welcher Form die Daten weitergegeben werden (Pixel oder Kundenlisten, vgl. auch die Pressemeldung "Facebook Custom Audience bei bayerischen Unternehmen" des Bayrischen Landesamtes für Datenschutz).

Wichtig ist in jedem Fall, Kunden ausreichend, transparent und verständlich zu informieren, dass dieses Tool verwendet wird, was mit den Daten geschieht, wer darauf Zugriff hat, etc. (vgl. auch Online-Ratgeber zu den Informationsverpflichtungen) und – wenn man alle Zweifel ausräumen möchte – eine Einwilligung derjenigen einzuholen, deren Daten man weitergibt.

Social Media unterliegt ebenfalls dem Datenschutzrecht, Medienrecht usw. Es gibt noch keinen eigenen Leitfaden für die Social-Media Nutzung.

Grundsätzlich ist aber zu sagen, dass die Social Media Nutzung und alle darin bestehenden Marketing-Tools den gleichen Regelungen unterliegen, wie außerhalb der jeweiligen Netzwerke.
Es gelten dieselben Regelungen wie für den Online-Bereich (Impressum, Kennzeichnung von Werbung, Informationspflichten, etc.)

Da diese Listen offenbar in Papierform aufgehängt werden, stellt sich die Frage, ob überhaupt ein "Dateisystem" vorliegt – d.h. eine gewisse strukturierte Sammlung personenbezogener Daten, die nach bestimmen Kriterien zugänglich sind, die man u.E. verneinen kann und somit keine datenschutzrechtliche Relevanz vorliegt.

Werden diese Listen entsprechend "geordnet" ableget bzw. wenn die Daten der jeweiligen Ersthelfer und Teilnehmer z.B. ursprünglich auf elektronischem Wege eingeholt wurden und diese nur zusätzlich auf der Pinnwand veröffentlicht werden würden, dann wäre es DSGVO-relevant.

Man kann aber davon ausgehen, dass diese Vorgehensweise in der Firma üblich ist, die jeweiligen Personen darüber informiert sind und ohnehin hier schlüssig die Einwilligung erteilt haben.

Nach der Datenschutzgrundverordnung (DSGVO) unterliegt der Datenverkehr innerhalb der EU keinen Beschränkungen. Der Datenverkehr mit Drittländern ist nur unter bestimmten Voraussetzungen zulässig.

Schon nach der bisherigen Rechtslage nach der EU-Datenschutzrichtlinie 1995 (95/46/EG) bzw. dem Österreichischen Datenschutzgesetz 2000 müssen angemessene Garantien für die Übermittlung personenbezogener Daten von der EU in Drittländer gewährleistet werden. 

Es gibt auch nach der DSGVO diverse Möglichkeiten der Übermittlung personenbezogener Daten in Drittländer, z.B. Angemessenheitsbeschlüsse der Europäischen Kommission im Rahmen der Handelsabkommen (z.B. mit Kanada, Japan), Standarddatenschutzklauseln zur Verwendung zwischen Verantwortlichen oder Auftragsverarbeitern und auch andere Ausnahmen für bestimmte Fälle.

Nach der Datenschutzgrundverordnung (DSGVO) ist die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung ein berechtigtes Interesse*) des Verantwortlichen.

Werbung des eigenen Unternehmens auf postalischem Wege für eigene Produkte und Dienstleistung ist daher als unproblematisch anzusehen. Etwas anderes gilt für elektronische Werbung, wie E-Mail Aussendungen.

In Österreich gibt es ein sehr restriktives Telekommunikationsgesetz (TKG). Danach ist elektronische Kommunikation zu Zwecken der Direktwerbung ohne Zustimmung der betroffenen Person (Telefon, Fax, E-Mail, SMS, MMS) untersagt (siehe auch die Informationen zur Rechtslage bei Werbung per Telefon, Fax oder E-Mail). Das umfasst auch Journalisten-Verteiler von PR-Agenturen.

In der PR-Praxis wird eine rechtskonforme Vorgangsweise (Vorab-Einholung der Einwilligung des Journalisten in jedem Einzelfall) nicht gelebt werden können. Hinzu kommt noch, dass Einwilligungserklärungen immer direkt zwischen den betroffenen Parteien geschlossen werden müssen und sehr individuell ausgestaltet sind.

Aus diesem Grund kann auch kein "individuelles" bzw. "branchengerechtes Muster" zur Verfügung gestellt werden. Eine solche Einwilligung könnte auch bestehen, wenn man von Journalisten z.B. für diese Zwecke die Visitenkarten oder Kontaktdaten erhalten hat oder Journalisten ihre Kontaktdaten zu diesen Zwecken im Web veröffentlichen. Die bloße Ausweisung des Namens und der Kontaktdaten auf der Seite des Medienunternehmens reicht aber nicht aus.

*) ErwG 47 DSGVO: "Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden."

Mit dem Datenschutz-Anpassungsgesetz wurde nun ein neuer § 8 DSG*) erlassen, der mit 25.5.2018 in Kraft tritt. Diese Bestimmung verlangt für die Übermittlung von Adressdaten vereinfacht gesagt entweder

  • die Einwilligung der betroffenen Person (Abs. 1),
  • die Einräumung einer Widerspruchsmöglichkeit (Abs. 2) oder
  • eine Genehmigung der Datenschutzbehörde (DSB) (Abs. 3+4).

Die dort vorgesehenen Einschränkungen lassen für Adressverlage und Direktmarketingunternehmen auf den ersten Blick die Übermittlung von Marketingdaten ohne Einwilligung/Widerspruchsmöglichkeit unzulässig erscheinen, da diese auch nicht von den in Abs. 3 genannten Zwecken gedeckt wird (und damit genehmigungsfähig wäre)?

Da Adressverlage und Direktmarketingunternehmen dem § 151 der GewO unterliegen, geht diese Regelung als lex specialis vor. Der Art. 6 DSGVO beschreibt die Rechtmäßigkeit der Verarbeitung, die durch die Öffnungsklausel Buchstabe c Abs. 2 Art. 6 DSGVO in den einzelnen Staaten ermöglicht, spezielle Regeln zu erlassen, die sich in Österreich im § 151 GewO widerspiegeln.

*) Datenschutzgesetz, Bundesrecht konsolidiert

Der § 8 Abs. 2 Datenschutzgesetz (DSG) bezieht sich auf Unternehmen, die das Gewerbe der Markt- und Meinungsforschung ausüben oder Daten für statistische Zwecke erheben. Daher gibt es eine unterschiedliche Beurteilung der Widerspruchsfrist.

Die telefonische Kontaktaufnahme zu Werbezwecken ist bereits seit vielen Jahren nach § 174 Telekommunikationsgesetz 2021 nicht erlaubt.

Dieses Verbot gilt auch für Anrufe, die dazu dienen einen ersten Kontakt zum potentiellen Kunden herzustellen. Zulässig sind Anrufe, die sich auf ein bestehendes Vertragsverhältnis beziehen, nicht aber jene, die ein künftiges bewerben möchten. Werbezweck wird hier durch die oberstgerichtliche Rechtsprechung leider auch sehr weitgehend interpretiert.

Drunter fallen auch schon alle auf Absatz ausgerichteten Aktivitäten im Zusammenhang mit Werbenachrichten. Das bedeutet, dass „jede Äußerung bei der Ausübung des Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz der Waren oder die Erbringung von Dienstleistungen einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen zu fördern“ Werbung darstellt. Daher gilt etwa ein bloßes Angebot schon als Werbung und fällt unter diesen Tatbestand.

Dieser Paragraph änderte sich durch die Datenschutz-Grundverordnung auch nicht, das Telekommunikationsgesetz gilt als selbstständige und speziellere Regelung weiterhin.

Nähere Informationen zur Rechtslage bei Werbung per Telefon, Fax oder E-Mail

Seit dem 25.5.2018 gilt die Datenschutzgrundverordnung (DSGVO). Für jede Datenverarbeitung bedarf es einer Rechtsgrundlage. Zusätzlich gibt es die Verpflichtung, umfangreich über die Datenverarbeitung zu informieren (welche Daten, für welchen Zweck, wem zur Verfügung gestellt werden; siehe hierzu auch den Online-Ratgeber zu den Informationsverpflichtungen).

Der Zweck von Gewinnspielen ist in den meisten Fällen die Sammlung von Kontaktdaten potentieller Kunden. Ab dem in Krafttreten der DSGVO besteht grundsätzlich ein datenschutzrechtliches Koppelungsverbot (nicht zu verwechseln mit dem früheren wettbewerbsrechtlichen Koppelungsverbot).

Das Koppelungsverbot besagt, dass eine Einwilligung dann nicht "freiwillig" (und daher gültig) erteilt wurde, wenn die Erfüllung eines Vertrages, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung des Vertrages nicht erforderlich ist. Das verursacht im Zusammenhang mit Gewinnspielen natürlich enorme Probleme, da üblicherweise die E-Mailadresse oder Telefonnummer zur Kontaktaufnahme für Werbezwecke erhoben werden soll.

Es gibt denkbare Lösungsansätze für dieses Problem:

  1. Man erhebt und verarbeitet in weiterer Folge tatsächlich nur jene Daten, die für die Vertragserfüllung (Abwicklung des Gewinnspiels) notwendig sind (Name, vermutlich irgendeine Kontaktmöglichkeit, …) und holt sich die Einwilligung für die Anmeldung zum Newsletter oder zur Kontaktaufnahme zu Werbezwecken zusätzlich unabhängig davon. Sprich die Angabe der E-Mailadresse oder Telefonnummer und die Einwilligung ist vom Gewinnspiel komplett unabhängig. Hier wird natürlich die Dropout-Quote relativ hoch sein, allerdings ist das die sicherste Variante.
  2. Um der Koppelung "Gewinnspielteilnahme gegen Daten" entgegenzuwirken, wäre es denkbar, die Einwilligung für den Erhalt von Werbung als festen Bestandteil des Gewinnspielvertrages zu vereinbaren. D.h. die Erfassung der Daten ist notwendige Voraussetzung, um überhaupt ein Gewinnspiel veranstalten zu können. Die Verknüpfung muss klar nach außen kommuniziert werden. Ob diese Rechtsansicht und damit ein Aufrechterhalten der Datensammlung zu Werbezwecken von den Behörden geteilt wird, ist derzeit noch strittig, da hier natürlich mit einem wesentlichen wirtschaftlichen Interesse argumentiert wird, um die von der DSGVO geforderte „Notwendigkeit“ für den Vertrag darzulegen.

Wenn eine datenschutzrechtliche Einwilligung eingeholt wird, muss diese jedenfalls ordentlich ausformuliert werden. Unbedingt und in jedem Fall muss auf das Recht auf Widerruf hingewiesen werden:

"Die Teilnehmer des Gewinnspiels stimmen zu, dass ihre persönlichen Daten, nämlich … (die Datenarten genau aufzählen, z.B. "Name", "Adresse" etc.) zum Zweck der … (genaue Zweckangabe, z.B. "zur Zusendung von Werbematerial über die Produkte der Firma …") bei der Firma XY verarbeitet werden und die Daten … (die Datenarten genau aufzählen, z.B. "Name", "Adresse" etc.) zum Zweck der … (genaue Zweckangabe, z.B. "zur Gewinnübermittlung") an … (genaue Angabe des Übermittlungsempfängers, z.B. Post AG) weitergegeben werden. Diese Einwilligung kann jederzeit bei … (Angabe der entsprechenden Kontaktdaten) widerrufen werden."

Wir empfehlen, die Teilnahmebedingungen (Gewinnspielbedingungen) so transparent wie möglich darzustellen und datenschutzrechtliche Informationen (welche Daten, für welchen Zweck; siehe hierzu auch den Online-Ratgeber zu den Informationsverpflichtungen) getrennt von den Teilnahmebedingungen ebenfalls transparent (z.B. mit direktem Link auf die Datenschutzerklärung der Website), ersichtlich und nachvollziehbar zu gestalten. Die allfällige datenschutzrechtliche Einwilligungserklärung sollte dann nochmals separat ausgestaltet sein.

Weitere Informationen und Muster-Datenschutzerklärung.

Ich bin im Urlaub und kann mir aussuchen, ob die Postkarte die ich verschicke durch das ansässige Tourismusbüro gegen Anmeldung zum Newsletter bezahlt wird oder ich bezahle EUR 1,50 für den Versand.

Der Urlauber kann diese beiden Optionen mittels Checkbox anwählen und hat hier die Wahl. Diese Variante entspricht tatsächlich einer echten Wahlmöglichkeit, d.h. er kann sich entscheiden, ob er etwas bezahlt, oder ob er einen Newsletter dafür erhält. Nach der vertretbaren Rechtsansicht des Fachverbandes Werbung stellt das eine "freiwillige Einwilligung" dar und steht nicht im Konflikt mit dem Koppelungsverbot (nach Art. 7 Abs. 4 DSGVO).

Ob die Datenschutzbehörde das dann am 25.5.2018 genauso sieht, ist leider noch offen. Wir haben noch keine Spruchpraxis zu diesem Thema, also besteht noch ein gewisses Restrisiko. 100%ig sicher ist man nur bei einer Entkoppelung: D.h., der Versand der Postkarte müsste komplett von der Newsletter-Anmeldung getrennt sein – er bekommt die Postkarte und kann sich dann freiwillig oder auch nicht zum Newsletter anmelden.

Ja, nach dem österreichischen Glücksspielgesetz ist dies zulässig.

Wenn Sie für ein Unternehmen Daten verarbeiten z.B. den Newsletter-Versand durchführen, sind sie solange Auftragsverarbeiter, wie Sie das mit ihrem Kunden vereinbaren. D.h., wenn ich die Daten nur einmal verarbeite, die weiteren Aktionen aber vom Kunden selbst durchgeführt werden wird im Vertrag definiert sein, dass ich nur für diese einmalige Verarbeitung der Daten Auftragsverarbeiter bin und dann endet.

Die Daten des Kunden, die für diesen Auftrag verarbeitet wurden, müssen sodann gelöscht werden.

Das Datenschutzgesetz (DSG) stellt klar, dass die Daten im Backup nicht sofort gelöscht werden müssen, wenn die technischen Möglichkeiten nicht bestehen. Es wird aber wohl zumindest der Zugriff und Zugang dazu eingeschränkt werden müssen.

Sobald es technisch machbar ist, hier ohne die Integrität des Systems zu gefährden, einzelne Daten aus dem Backup zu löschen, wird das allerdings nötig werden. Unterschiedlichste Software-Anbieter arbeiten bereits daran, entsprechende Löschroutinen in die Systeme einzubauen.

Eine Möglichkeit dafür ist, das E-Mail mit welchem die Löschung beantragt wurde, auszudrucken und einen Löschvermerk auf den Ausdruck anzubringen. Der beste Beleg ist, dass die Daten nicht mehr "da" sind.

Verträge die in der Vergangenheit geschlossen und auch abgeschlossen wurden, finden keine Berücksichtigung mehr. Anders verhält es sich, wenn ich einen Wartungsauftrag habe, dann muss ich als betreuendes Unternehmen die Homepage natürlich auch den aktuellen Erfordernissen anpassen.

Externe Dienstleister, die man zur Datenverarbeitung heranzieht, nennt man Auftragsverarbeiter. Auftragsverarbeiter können z.B. Cloud-Anbieter, IT-Dienstleister, Buchhalter, Lohnverrechner, Steuerberater, Werbeagenturen, Newsletteranbieter etc., sein.

Die Datenschutzgrundverordnung (DSGVO) definiert eine Reihe von Pflichten des Auftragsverarbeiters – primär muss ein Vertrag geschlossen werden (Muster für die Vereinbarung einer Auftragsverarbeitung nach Art 28 DSGVO).

Weiters treffen den Dienstleister auch andere Pflichten, wie z.B. Sicherheitsmaßnahmen implementieren, Risiken einschätzen, aber auch den Verantwortlichen/Kunden bei seinen Pflichten gegenüber Betroffenen und bei der Datenschutz-Folgeabschätzung zu unterstützen, bzw. für diesen eine "abgespecktere" Version des Verarbeitungsverzeichnisses über die Verarbeitungstätigkeiten für den Verantwortlichen/Kunden zu erstellen. Wie diese Unterstützung konkret aussieht, sollte bestenfalls vertraglich geregelt werden. Ein Muster für diese Form des Verarbeitungsverzeichnisses finden Sie online.

Haben Sie die Zustimmung für die Nutzung eines Fotos ohne Einschränkungen erhalten, gilt diese solange, bis sie widerrufen wird.

Newsletter-Zusendungen bedürfen nach § 174 TKG 2021 der vorherigen, jederzeit widerruflichen Zustimmung des Empfängers. Es gibt Ausnahmen für elektronische Post im aufrechten Kundenverhältnis. Dabei müssen folgende fünf Voraussetzungen vorliegen:

  1. der Absender hat die Kontaktinformation (z.B. E-Mail-Adresse) für die Nachricht im Zusammenhang mit dem Verkauf oder einer Dienstleistung an seine Kunden erhalten und
  2. die Nachricht erfolgt zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen und
  3. der Kunde hat die Möglichkeit erhalten, den Empfang solcher Nachrichten bei der Erhebung und
  4. bei jeder Übertragung kostenfrei und problemlos abzulehnen und
  5. der Kunde hat die Zusendung nicht im Vorhinein abgelehnt ("ECG-Liste" bei RTR).

Das Versendung anonymer elektronischer Post ist verboten.

Vorlagen und Informationen zur Informations- und Offenlegungspflichten sowie Impressumsvorschriften.

Ja, wenn ein Dienst oder ein Dienstleister zum Versand eines Newsletters herangezogen wird und über diesen auch die personenbezogenen Daten (Mailadressen, Namen, etc.) verarbeitet werden (gespeichert, aufbereitet, weitergeleitet, etc.), dann brauchen Unternehmer mit diesen Anbietern auch einen Auftragsverarbeitervertrag (siehe hierzu auch Muster für eine Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO). Allerdings werden diese Vertragsbestimmungen üblicherweise von den großen Anbietern direkt zur Verfügung gestellt.

Solche Vereinbarungen werden immer dann benötigt, wenn Sie eine Datenverarbeitung nicht selbstständig durchführen, sondern sich jemand Externen für diese hinzuholen (Auftragsverarbeiter sind im klassischen Sinne oft IT-Dienstleister, aber auch Werbeagenturen, Adressverlage, etc.).

Dies gilt auch für online-basierende Dienste, auf deren Plattformen die Adressen importiert werden, wenn die Anbieter der Plattform auf die Daten zugreifen können (Wartung, Weiterleitung, o.Ä.).

Ein explizites Double Opt-in gemäß § 174 TKG 2021 ist in Österreich nicht notwendig und es genügt, wenn ein User persönlich (z.B. auf einer Messe), telefonisch oder mittels Checkbox sein Einverständnis für den Erhalt elektronischer Nachrichten zu Werbezwecken erteilt.

Wichtig ist, dass der jeweilige Adressat seine Einwilligung zum Newsletter-Erhalt klar und deutlich zum Ausdruck gebracht hat. Eine solche Einwilligung kann z.B. auch vorliegen, wenn jemand im Rahmen einer Bestellung im Internet das Newsletter-Zustimmungs-Feld angehakt hat, o.Ä. Beim Double Opt-in, wird die Anmeldung durch eine separate E-Mail an den Nutzer nochmals bestätigt, das ist in Österreich nicht vorgeschrieben.

Vorteil dieser Methode ist, sich die Identität des Nutzers nochmal bestätigen zu lassen und man kann sicher(er) davon ausgehen, dass sich auch der Richtige auf der Website eingetragen hat bzw. seine Daten herausgegeben hat. Daher ist es zweckmäßig.

Nach Ansicht der Datenschutzbehörde (DSB) kann das Double-Opt-In Verfahren auch Missbrauch der E-Mailadressen verhindern und ist daher als Datensicherheitsmaßnahme (vgl. Artikel 32 DSGVO) zu sehen.

Wie in der Frage "Ist für den Erhalt eines Newsletters ein Double Opt-in notwendig?" ausgeführt – nein, aber es ist zweckmäßig. Man muss das Bestätigungsmail möglichst neutral halten. Es soll lediglich darauf verwiesen werden, dass diese Mail zugeschickt wurde, weil sich der Nutzer zum Newsletter-Service angemeldet hat. Wenn er das bestätigen möchte, dann solle er einen Button oder Link anklicken oder antworten, wenn nicht, dann ignorieren oder löschen.

Wenn ein tatsächliches Opt-in nachgewiesen werden kann, also eine gültige Einwilligung, dann ist das kein Problem. Wenn die Einwilligung nicht nachweisbar ist oder nicht ausreichend war (v.a. nicht auf die jederzeitige Widerrufsmöglichkeit hingewiesen wurde), dann kann das ein Problem darstellen und im schlimmsten Fall Verwaltungsstrafen nach dem Telekommunikationsgesetz bzw. grundsätzlich auch Schadenersatzforderungen der betroffenen Person nach sich ziehen (es müsste allerdings auch ein Schaden entstanden sein).

Einwilligungen nicht nachweisen zu können, ist ein praktisches und juristisches Problem, dem man auch schon vor der Datenschutzgrundverordnung (DSGVO) gegenüberstand.

Natürlich kann die Tatsache, dass über einige Zeit bereits Werbemails verschickt wurden (mit Abbestellmöglichkeit) und nie irgendeine Beschwerde oder tatsächliches Opt-out (Abbestellung) erfolgte, eine Art Anscheinsbeweis dafür sein, dass die Einwilligung erteilt wurde.

Es ist nicht perfekt, aber es ist eine praktikable Argumentationslinie.

Ursprünglich wäre angedacht gewesen, die ePrivacy Verordnung gleichzeitig mit der Datenschutzgrundverordnung (DSGVO) gelten zu lassen, das geht sich allerdings sicher nicht mehr aus.

Die ePrivacy Verordnung würde die geltenden telekommunikationsrechtlichen Bestimmungen ersetzen. Der Verordnungsentwurf wird derzeit auf Brüsseler Ebene verhandelt. Wann mit einem Inkrafttreten gerechnet werden kann, ist noch offen.

Die elektronische Kontaktaufnahme zu Werbezwecken ist bereits seit vielen Jahren nach § 174 Telekommunikationsgesetz 2021 nicht erlaubt.

Dieser Paragraph änderte sich durch die Datenschutz-Grundverordnung auch nicht, das Telekommunikationsgesetz wird als selbstständige und speziellere Regelung weiter gelten.

Nähere Informationen zur Rechtslage bei Werbung per Telefon, Fax oder E-Mail.

Ja, ich darf, wenn folgende fünf Voraussetzungen vorliegen: 

  1. der Absender hat die Kontaktinformation (z.B. E-Mail-Adresse) für die Nachricht im Zusammenhang mit dem Verkauf oder einer Dienstleistung an seine Kunden erhalten und 
  2. die Nachricht erfolgt zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen und 
  3. der Kunde hat die Möglichkeit erhalten, den Empfang solcher Nachrichten bei der Erhebung und 
  4. bei jeder Übertragung kostenfrei und problemlos abzulehnen und 
  5. der Kunde hat die Zusendung nicht im Vorhinein abgelehnt. Insbesondere ist hierbei auf die sog "ECG-Liste" zu achten. Diese Liste wird bei der Regulierungsbehörde für Telekommunikation und Rundfunk (RTR-GmbH) geführt und ist vom Absender jedenfalls zu beachten. Daher darf auch bei Vorliegen der oben unter 1. – 4. genannten Voraussetzungen an eine in der ECG-Liste enthaltene E-Mail-Adresse keine elektronische Post gesendet werden.

Die folgende Ausnahme gilt nur für elektronische Post (zB E-Mails und SMS), nicht aber für Telefonate und Faxe. Für diese gilt das Zustimmungsgebot uneingeschränkt.

Der Geltungsbereich der Datenschutzgrundverordnung (DSGVO) umfasst Unternehmen mit Sitz auch außerhalb der EU, wenn personenbezogene Daten von Betroffenen in der EU verarbeitet werden. Das gilt auch für die Schweiz als Drittland.

Traditionell setzt die Schweiz den EU-Rechtsbestand nachträglich um. Es ist damit zu rechnen, dass die Schweiz mittelfristig ihr nationales Recht an die DSGVO anpasst.

Nach der geltenden EU-Rechtslage, die in Österreich mit § 165 TKG 2021 umgesetzt wurde, ist das Abspeichern von Cookies auf dem Endgerät des Kunden, um Daten mit dem Computer des Kunden zu verknüpfen, zulässig, wenn die Einwilligung des Users eingeholt wurde und der User entsprechend informiert wurde.

Die Datenschutzbehörden verlangen jedoch ein aktives Verhalten für diese Einwilligungserklärung (= sog. "Cookie-Banner"). Im Sinne der Rechtssicherheit und auch um den Informationsverpflichtungen nachzukommen, wird die Verwendung eines Cookie-Banners mit der aktiven Einholung einer Einwilligung ("Akzeptieren" und "Ablehnen"-Button") dringend empfohlen.

Weitere Detailinformationen zum Thema Datenverarbeitung im Webshop und auf der Website.

Cookies

Cookies sind Informationen, die vom Informationsanbieter mit Hilfe des Browsers auf der Festplatte des PC des Kunden bzw. am Endgerät abgespeichert werden, um Daten mit dem Computer des Kunden zu verknüpfen.

Es besteht auch bei den Cookies eine Informationsverpflichtung über

  • welche personenbezogenen Daten ermittelt, verarbeitet oder an Dritte übermittelt werden
  • auf welcher Rechtsgrundlage basieren diese (z.B. Vertrag, spezielles Gesetz)
  • über die Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen
  • für welche Zwecke diese erfolgt und
  • wie lange die Daten gespeichert werden. 

Werden auch personenbezogene Daten via Cookies verarbeitet (wovon üblicherweise auszugehen ist), müssen auch die Informationspflichten nach der DSGVO erfüllt werden. Vgl auch https://www.wko.at/service/wirtschaftsrecht-gewerberecht/datenschutzerklaerung-checkliste-infopflichten-dsgvo-tkg-we.html.

Werden z.B. Cookies auf Websites implementiert, muss hierüber aufgeklärt und eine Einwilligung eingeholt werden. Eine Ausnahme von der Einholung einer Einwilligung iZm Cookies besteht ausschließlich in folgenden Fällen (§ 165 TKG 2021):

  • Cookies dienen allein der technischen Speicherung oder dem technischen Zugang
  • Der alleinige Zweck der Cookies ist die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz
  • Cookies sind unbedingt erforderlich, damit der Dienst, der vom Benutzer ausdrücklich gewünscht wurde, zur Verfügung gestellt werden kann

Weitere Detailinformationen zu diesem Thema und Checkliste für Cookies und Web-Analyse.

Datenschutzerklärung

(Muster unter: https://dsgvo-informationsverpflichtungen.wkoratgeber.at/)

Impressum

Informationen und Mustervorlagen zu den Impressumsvorschriften für Websites und E-Mails nach Rechtsform

AGB

(nicht zwingend gesetzlich vorgeschrieben)

  • Preisauszeichnung
  • Erkennbarkeit von Werbung
  • Urheberrechtsverweise
  • Webshop?

Informationen und Mustervorlagen zum Vertragsrecht im Internet und den Besonderheiten von Verträgen im Online-Handel.

Datenschutzerklärungen sollten nicht in AGB versteckt werden, Einwilligungserklärungen ebenfalls nicht. AGB müssen zudem immer vereinbart werden, d.h. es muss zumindest darauf verwiesen werden und der Zugang zu diesen möglich sein.

Die Muster-AGB finden Sie unter "Muster-Verträge".

Ja, Social Media Marketing ist kein Spezialfall. Die generellen Datenschutzbestimmungen gelten daher auch für Facebook.

Entsprechende Werbung auf Facebook bzw. Unternehmensseiten auf Facebook unterliegen dem selben Rechtsregime wie Websites. Daher ist auch auf Facebook den Vorschriften wie Cookies, Datenschutzerklärung, Impressum und Erkennbarkeit von Werbung nachzukommen.

Ja, wenn ich keine Einwilligung für den Versand von elektronischer Post habe. Eine vorherige Zustimmung für elektronische Post ist ausnahmsweise nicht notwendig, wenn die folgenden fünf Voraussetzungen vorliegen: 

  1. der Absender hat die Kontaktinformation (z.B. E-Mail-Adresse) für die Nachricht im Zusammenhang mit dem Verkauf oder einer Dienstleistung an seine Kunden erhalten und
  2. die Nachricht erfolgt zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen und
  3. der Kunde hat die Möglichkeit erhalten, den Empfang solcher Nachrichten bei der Erhebung und 
  4. bei jeder Übertragung kostenfrei und problemlos abzulehnen und 
  5. der Kunde hat die Zusendung nicht im Vorhinein abgelehnt. Insbesondere ist hierbei auf die sog "ECG-Liste" zu achten. Diese Liste wird bei der Regulierungsbehörde für Telekommunikation und Rundfunk (RTR-GmbH) geführt und ist vom Absender jedenfalls zu beachten. Daher darf auch bei Vorliegen der oben unter 1. – 4. genannten Voraussetzungen an eine in der ECG-Liste enthaltene E-Mail-Adresse keine elektronische Post gesendet werden. 

Die Eintragung erfolgt per E-Mail an eintragen@ecg.rtr.at, wobei die einzutragende E-Mail-Adresse als Absender aufscheinen muss. In die Liste können nur einzelne E-Mail-Adressen eingetragen werden. Für postalische Zusendungen gilt die RTR-Liste nicht.

Habe ich nach dem Kauf des letzten Fahrzeuges durch den Kunden seit 5 Jahren keinen Kontakt mehr mit diesem, dann kann dies wohl nicht als "aufrechtes" Kundenverhältnis gewertet werden. Kommt der Kunde jedoch regelmäßig zwecks Service oder zum Reifenwechsel, wird es ein aufrechtes Kundenverhältnis sein.

Google Analytics bildet ebenfalls keine Ausnahme. Grundsätzlich gilt, dass die Social Media Nutzung und alle darin bestehenden Marketing-Tools den gleichen Regelungen unterliegen, wie außerhalb der jeweiligen Netzwerke.

Voraussichtlich ja, da ursprünglich die IP-Adresse nicht verschlüsselt erhoben wurde und somit auf den User geschlossen werden konnte. Fraglich ist letztendlich auch, ob es sich hierbei um eine Pseudonymisierungsmaßnahme oder eine Anonymisierungsmaßnahme handelt. Kann die IP-Adresse letztendlich doch wieder hergestellt werden, ist ohnehin nach wie vor die DSGVO anwendbar.

Daten sind durch geeignete technische und organisatorische Maßnahmen zum Schutz vor Zerstörung, Verlust, Zugang durch Unbefugte nach der Art, dem Umfang, der Umstände, dem Zweck der Verarbeitung sowie nach dem Stand der technischen Möglichkeiten und den Implementierungskosten, der Eintrittswahrscheinlichkeit, der Schwere der Risiken zu sichern.

Verschlüsselung und Pseudonymisierung kann eine angemessene Datenschutzmaßnahme sein. In manchen Fällen (besonders sensible Daten, sehr heikle Daten, …) können aber auch zusätzliche andere Maßnahmen notwendig sein (Näheres zum Thema unter www.it-safe.at).

Social Media und Apps sind kein rechtsfreier Raum. Die Datenschutzgrundverordnung (DSGVO) kommt auch in diesem Bereich zur Anwendung.

Nein, ist Österreich wird nicht zwischen Konsumenten und Business-Kunden unterschieden.

Ja, auch Vereine sind davon nicht ausgenommen. Jeder, der Daten nicht nur zu privaten Zwecken verarbeitet, ist davon erfasst.

Nein, der Zugang zu den Zivilgerichten ist in Österreich im Vergleich zu Deutschland erschwert. Grundsätzlich sind auch die Standesregeln der österreichischen Rechtsanwälte als streng zu beurteilen.

Es ist keine Datenbank in der Datenbank zu erstellen. Es sind alle datenschutzrechtlichen Verarbeitungen zu "clustern" und in einem allgemeinen Protokoll zusammenzufassen.

Informationen für das Vorgaben für das Verarbeitungsverzeichnis.

Bei Veranstaltungen sollte darauf hingewiesen werden, dass Fotos angefertigt und diese auf der Website oder in anderen Medien veröffentlicht werden. Folgende Musterformulierung wäre möglich:

"Es wird darauf hingewiesen, dass am Veranstaltungsort Fotos angefertigt werden und zu Zwecken der Dokumentation der Veranstaltung unter … veröffentlicht werden können."

Diese könnte bereits auf der Einladung berücksichtigt werden oder im Bestätigungsmail zur Anmeldung der Veranstaltung enthalten sein. Es sollte auch die Datenschutzerklärung in der Einladung, auf der Veranstaltung selbst und auf der Website eingebunden werden.

Derjenige der die Urheberrechtsverletzung begeht, haftet direkt gegenüber dem Urheber. Es gibt nach österreichischem Recht keinen gutgläubigen Erwerb an einem Urheberrecht.

Grundsätzlich ist natürlich auch eine telefonische Einwilligung möglich. Wichtig ist die Nachweisbarkeit der Zusage. Dies wäre z.B. durch ein Memo über das Telefonat möglich. Auf der sicheren Seite ist man aber nach wie vor, wenn nachfolgend eine schriftliche Bestätigung erfolgt.

Nein, die Veröffentlichung der E-Mail-Adresse im Impressum stellt keine Einwilligung zur Kontaktaufnahme dar.

Das ist davon abhängig, ob ich die Gewerbeberechtigung als Adressverlag oder Direktmarketing habe oder nicht.

Bin ich keines der genannten Unternehmen, kann ich potentielle Kunden Postalisch solange anschreiben, bis diese mir die Zusendung untersagen. Bin ich ein Adressverlag oder 

Direktmarketingunternehmen, muss ich vorab überprüfen, ob sich die Personen in die Robinsonliste haben eintragen lassen. Liegt keine Eintragung vor, darf die postalische Zusendung durchgeführt werden.

Elektronische Zusendungen zu Werbezwecken dürfen nach § 107 Telekommunikationsgesetz nur mit Einwilligung und bei gewissen Ausnahmen durchgeführt werden (siehe auch die Informationen zu E-Mail-, Fax- und Telefonwerbung nach dem Telekommunikationsgesetz).


Stand: 19.11.2021