Regulatory

Austria: The Selling of (Personal) Data – How to Avoid the Pitfalls

Personal data are the “Gold of the 21st century”. To increase earnings, more and more businesses of all sectors consider selling personal data in addition to their main activity. Apart from data protection laws and the role of data in civil laws, possible restrictions and obligations stemming from applicable commercial and professional regulations must be observed.

Authorisations for conducting commercial activities

General regulatory framework

The central source of public professional law is the Trade, Commerce and Industry Regulation Act (Gewerbeordnung; GewO), a federal law often also referred to in English as the “Trade Act” or “Industrial Code”. In principle, any non-prohibited, self-employed and regularly performed (thus “commercial” or “professional”) activity aimed at gaining an economic advantage by participating in the general exchange of goods and services is covered by GewO. That law sets out rules for the uptake and conduct of a business. However, several commercial activities are explicitly exempted from GewO and largely subject to specific commercial (professional) regulations. Among these activities are agriculture, banking, electronic communication services, entertainment, certain transport industries and health professions.

Processing and transmitting personal data under GewO

Taking up an activity under GewO requires the prior registration of a “trade” and thereby the obtaining of a “trade licence” (Gewerberechtigung). For certain, exhaustively listed trades, GewO require the submission of a certificate of qualification or the preliminary appraisal of reliability, or even a preliminary vetting during the registration proceedings (regulated trades). Starting a business without the required trade licence may lead to administrative penalties and enforcement orders by authorities, and entitles competitors to claim injunctive relief.

The mere sale of personal data or other previously conducted processing operations are considered free trade. When registering such a trade, however, the envisaged business activity must be described in a sufficiently precise manner. Often the trade is registered as “automatic data processing and information technology” (Automatische Datenverarbeitung und Informationstechnik). Other trades that imply the processing of personal data are “direct marketing agencies” and “address sales companies” (Direktmarketingunternehmen, Adressverlage), including list brokering activities.

As data are generally considered as incorporeal goods, it is controversial whether the purchase and sale of data can be registered as “general trade” (Handelsgewerbe), or if this is only the case if the data are stored on physical media.

Regularly, a business operator already holds one or more trade licences for its main activities. In that case it must be assessed whether the processing and sale of personal data can be linked to the generally recognised profile of the commercial activity (Berufsbild) of the registered trade. Basically, every holder of a trade has under sec 32 GewO the ancillary right (Nebenrecht) to purchase and sell most goods. Again, it is unclear whether only the sale of data on physical media is covered by that right. The processing and sale of personal data could in certain cases also be justified as supplementing the other business activities of a trade holder in an economic favourable manner, another ancillary right under sec 32 GewO. However, whenever claiming an ancillary right, the focus of the business must rest with the registered trade(s).

Data processing and transmission in professional activities not covered by GewO

If the main activity of a business is exempted from GewO, it must be assessed whether the applicable commercial or professional regulations cover the processing and sale of personal data. Notwithstanding provisions in the professional laws, the generally acknowledged profile of the profession (even if not specifically regulated at all) must be considered. But professional activity exemptions from GewO must be interpreted restrictively. Thus, the transmission (and/or processing) of data might require the registration of a trade according to GewO.

Data protection requirements

When processing and transmitting information relating to an identified or identifiable natural or legal person (personal data), the obligations of the Data Protection Act 2000 (Datenschutzgesetz 2000, DPA) must be observed. In Austria those obligations also apply to legal persons processing personal data. DPA in particular requires that any processing or transmission of personal data may only be done for a clear and lawful purpose (legitimate purpose). That legitimate purpose must also be covered by an authorisation to do so as to the provisions of the applicable commercial or professional provisions. In other words, the applicable professional and commercial regulations must allow the conduct of such activities.

Sale of customer databases to direct marketing and address sales companies

Direct marketing agencies and address sales companies process and transmit personal data for marketing purposes of others. To that end, and subject to the data protection rules in sec 151 GewO, they may collect such data from publicly accessible information, interviews and customer databases obtained from others. If other businesses transmit (sell) their customer databases to direct marketing agencies and address sales companies, they must inform (explicitly and in writing) the data subjects in advance so that they can prohibit such transfer. This possibility to prohibit the transfer of databases could be included in General Terms and Conditions but comply with the requirements of such clauses. The transmission of such databases to other persons (and thus for other purposes) will, however, usually require the explicit consent of the data subjects. But with “sensitive data”, such as on sexual orientation or religious beliefs, stricter rules apply.

The processing and transmitting of personal data by businesses is permitted only for legitimate purposes. Such purposes must be covered by the necessary authorisation under the respective commercial and professional law. And those laws could introduce even more specific data protection rules.

Österreich: Der Verkauf von (personenbezogenen) Daten: Wie man Fallen vermeidet

Personenbezogenen Daten sind das “Gold des 21. Jahrhunderts“. Um Einnahmen zu erhöhen, überlegen sich mehr und mehr Unternehmen aller Sparten neben ihrer Haupttätigkeit auch personenbezogene Daten zu verkaufen. Abgesehen von datenschutzrechtlichen Bestimmungen und der Rolle von Daten im Zivilrecht, müssen etwaige Einschränkungen und Verpflichtungen, die aus geltendem öffentlichen Berufs- und Unternehmensrecht stammen, beachtet werden.

Bewilligungen für die Aufnahme einer Gewerbetätigkeit

Rechtliche Rahmenbedingungen

Die zentrale Quelle des öffentlichen Berufsrechts ist die Gewerbeordnung; in der englischem Sprache oft auch als “Trade Act” oder “Industrial Code” bezeichnet. Im Prinzip ist jede Tätigkeit, die nicht untersagt ist, selbständig und regelmäßig ausgeübt wird (demnach “gewerblich”) und in der Absicht betrieben wird, einen wirtschaftlichen Vorteil durch Teilnahme am Austausch von Waren und Dienstleistungen zu erzielen, von der Gewerbeordnung umfasst. Dieses Gesetz stellt die Regeln für die Aufnahme und Betreibung eines Unternehmens auf. Etliche unternehmerische Tätigkeiten sind jedoch explizit von der Gewerbeordnung ausgenommen und weitgehend besonderen gewerberechtlichen (berufsrechtlichen) Bestimmungen unterworfen. Zu diesen Aktivitäten zählen Landwirtschaft, Bankwesen, elektronische Kommunikationsdienste, Unterhaltungsdienstleistungen, gewisse Verkehrsgewerbe und Gesundheitsberufe.

Datenverarbeitung und –übertragung gemäß der GewO

Die Aufnahme eines Gewerbes nach der GewO erfordert die vorherige Anmeldung eines “Gewerbes” und damit den Erhalt einer Gewerbeberechtigung. Für manche abschließend aufgelistete Gewerbe verlangt die Gewerbeordnung die Einreichung eines Befähigungsnachweises oder eine vorläufige Überprüfung der Zuverlässigkeit oder sogar eine Sicherheitsüberprüfung während des Anmeldeprozesses (regulierte Gewerbe). Die Aufnahme eines Gewerbes ohne die erforderliche Gewerbeberechtigung kann zu Verwaltungsstrafen und sonstigen Zwangsmaßnahmen von Behörden führen und berechtigt Wettbewerber, Unterlassungsansprüche geltend zu machen.

Der bloße Verkauf von personenbezogenen Daten oder vorausgegangene verarbeitende Tätigkeiten werden als freie Gewebe angesehen. Wenn man jedoch ein solches Gewebe registrieren lässt, muss die ins Auge gefasste Tätigkeit ausreichend genau beschrieben werden. Oftmals wird das Gewerbe als „Automatische Datenverarbeitung und Informationstechnik“ angemeldet. Andere Gewerbe welche die Verarbeitung personenbezogener Daten einschließen bzw dazu berechtigen sind Direktmarketingunternehmen und Adressverlage, einschließlich des Listbrokings.

Da Daten generell als unkörperliche Sachen gesehen werden ist es umstritten, ob der Kauf und Verkauf von Daten als (allgemeines) Handelsgewerbe eingetragen werden kann, oder ob das nur der Fall ist wenn die Daten auf physischen Datenträgern gespeichert sind.

Regelmäßig hält ein Geschäftstreibender bereits eine oder mehrere Gewerbeberechtigungen für seine (sonstigen) ausgeübten Hauptaktivitäten. In diesem Fall muss beurteilt werden, ob Verarbeitung und Verkauf personenbezogener Daten mit dem Berufsbild des eingetragenen Gewerbes vereinbar sind. Grundsätzlich hat jeder Gewebetreibende gemäß § 32 GewO das “Nebenrecht”, die meisten Waren zu erwerben und zu verkaufen. Auch hier ist unklar, ob nur der Verkauf von Daten auf physischen Datenträgern von diesem Recht erfasst ist. Die Verarbeitung und der Verkauf von personenbezogenen Daten könnten in gewissen Fällen auch als wirtschaftlich günstige, die sonstigen Tätigkeit ergänzende Tätigkeit eines Gewerbetreibenden gerechtfertigt sein; ein weiteres Nebenrecht gemäß § 32 GewO.
Wann immer der Gewerbetreibende sich jedoch auf ein solches Nebenrecht beruft muss der Schwerpunkt der Tätigkeit beim angemeldeten Gewerbe (Hauptaktivität) liegen.

Datenverarbeitung und –übertragung in nicht von der GewO erfassten beruflichen Tätigkeiten

Wenn die Hauptaktivität eines Gewerbes von der Gewerbeordnung ausgenommen ist muss beurteilt werden, ob die maßgeblichen unternehmens- oder berufsrechtlichen Regelungen die Verarbeitung und den Verkauf von personenbezogenen Daten umfassen. Ungeachtet berufsrechtlicher Bestimmungen muss das generell anerkannte Berufsbild (sogar wenn es überhaupt nicht ausdrücklich geregelt ist) berücksichtigt werden. Ausnahmen von der GewO für Berufstätigkeiten müssen aber restriktiv ausgelegt werden. So kann es sein, dass die Übertragung (und/oder Verarbeitung) von Daten die Eintragung eines Gewerbes nach der GewO erfordert.

Datenschutzanforderungen

When processing and transmitting information relating to an Bei der Informationsübertragung und –verarbeitung im Zusammenhang mit genau bezeichneten oder identifizierbaren natürlichen oder juristischen Personen (personenbezogene Daten) müssen die Verpflichtungen des Datenschutzgesetzes 2000 (DSG 2000) eingehalten werden. In Österreich sind diese Verpflichtungen auch auf personenbezogene Daten verarbeitende juristische Personen anzuwenden. Dieser legitime Zweck muss auch von einer entsprechenden Genehmigung gedeckt sein, sowie den unternehmens- und berufsrechtlichen Bestimmungen genügen. Anders ausgedrückt müssen die unternehmens- und berufsrechtlichen Bestimmungen die Durchführung solcher Tätigkeiten erlauben.

Verkauf von Kundendatenbanken an Direktmarketingunternehmen und Adressverlage

Direktmarketingunternehmen und Adressverlage verarbeiten und übertragen personenbezogene Daten für Marketingzwecke anderer. Dafür, und gemäß den Datenschutzregeln des § 151 GewO, können sie entsprechende Daten aus öffentlich zugänglicher Information, Interviews und von anderen erlangten Kundendatenbanken sammeln. Wenn andere Unternehmen ihre Kundendatenbanken an Direktmarketingunternehmen und Adressverlage übertragen (verkaufen), müssen diese die Betroffenen (explizit und schriftlich) im Vorhinein darüber informieren, sodass sie einem solchen Transfer widersprechen können. Diese Möglichkeit, dem Transfer von Datenbanken zu widersprechen könnte in Allgemeine Geschäftsbedingungen eingefügt werden, aber so, dass es den Anforderungen an solche Klauseln entspricht. Die Übertragung solcher Datenbanken an Dritte (und damit zu anderen Zwecken) wird jedoch für gewöhnlich die explizite Zustimmung der Betroffenen erfordern. Bei „sensiblen Daten“ wie zB über die sexuelle Orientierung oder den Glauben sind strengere Regeln anzuwenden.

Die Verarbeitung und Übertragung von personenbezogenen Daten durch Unternehmen ist nur zu legitimen Zwecken erlaubt. Solche Zwecke müssen durch eine notwendige Bewilligung gemäß den einschlägigen Bestimmungen des öffentlichen Unternehmens- und Berufsrechts gedeckt sein. Diese Gesetze könnten unter Umständen selbst noch speziellere Datenschutzbestimmungen einführen.