Regulatory

Austria: The Selling of (Personal) Data – How to Avoid the Pitfalls

Personal data are the “Gold of the 21st century”. To increase earnings, more and more businesses of all sectors consider selling personal data in addition to their main activity. Apart from data protection laws and the role of data in civil laws, possible restrictions and obligations stemming from applicable commercial and professional regulations must be observed.

Authorisations for conducting commercial activities

Gen­er­al reg­u­la­to­ry frame­work

The cen­tral source of pub­lic pro­fes­sion­al law is the Trade, Com­merce and Indus­try Reg­u­la­tion Act (Gewer­be­ord­nung; GewO), a fed­er­al law often also referred to in Eng­lish as the “Trade Act” or “Indus­tri­al Code”. In prin­ci­ple, any non-pro­hib­it­ed, self-employed and reg­u­lar­ly per­formed (thus “com­mer­cial” or “pro­fes­sion­al”) activ­i­ty aimed at gain­ing an eco­nom­ic advan­tage by par­tic­i­pat­ing in the gen­er­al exchange of goods and ser­vices is cov­ered by GewO. That law sets out rules for the uptake and con­duct of a busi­ness. How­ev­er, sev­er­al com­mer­cial activ­i­ties are explic­it­ly exempt­ed from GewO and large­ly sub­ject to spe­cif­ic com­mer­cial (pro­fes­sion­al) reg­u­la­tions. Among these activ­i­ties are agri­cul­ture, bank­ing, elec­tron­ic com­mu­ni­ca­tion ser­vices, enter­tain­ment, cer­tain trans­port indus­tries and health pro­fes­sions.

Pro­cess­ing and trans­mit­ting per­son­al data under GewO

Tak­ing up an activ­i­ty under GewO requires the pri­or reg­is­tra­tion of a “trade” and there­by the obtain­ing of a “trade licence” (Gewer­berech­ti­gung). For cer­tain, exhaus­tive­ly list­ed trades, GewO require the sub­mis­sion of a cer­tifi­cate of qual­i­fi­ca­tion or the pre­lim­i­nary appraisal of reli­a­bil­i­ty, or even a pre­lim­i­nary vet­ting dur­ing the reg­is­tra­tion pro­ceed­ings (reg­u­lat­ed trades). Start­ing a busi­ness with­out the required trade licence may lead to admin­is­tra­tive penal­ties and enforce­ment orders by author­i­ties, and enti­tles com­peti­tors to claim injunc­tive relief.

The mere sale of per­son­al data or oth­er pre­vi­ous­ly con­duct­ed pro­cess­ing oper­a­tions are con­sid­ered free trade. When reg­is­ter­ing such a trade, how­ev­er, the envis­aged busi­ness activ­i­ty must be described in a suf­fi­cient­ly pre­cise man­ner. Often the trade is reg­is­tered as “auto­mat­ic data pro­cess­ing and infor­ma­tion tech­nol­o­gy” (Automa­tis­che Daten­ver­ar­beitung und Infor­ma­tion­stech­nik). Oth­er trades that imply the pro­cess­ing of per­son­al data are “direct mar­ket­ing agen­cies” and “address sales com­pa­nies” (Direk­t­mar­ketingun­ternehmen, Adressver­lage), includ­ing list bro­ker­ing activ­i­ties.

As data are gen­er­al­ly con­sid­ered as incor­po­re­al goods, it is con­tro­ver­sial whether the pur­chase and sale of data can be reg­is­tered as “gen­er­al trade” (Han­dels­gewerbe), or if this is only the case if the data are stored on phys­i­cal media.

Reg­u­lar­ly, a busi­ness oper­a­tor already holds one or more trade licences for its main activ­i­ties. In that case it must be assessed whether the pro­cess­ing and sale of per­son­al data can be linked to the gen­er­al­ly recog­nised pro­file of the com­mer­cial activ­i­ty (Berufs­bild) of the reg­is­tered trade. Basi­cal­ly, every hold­er of a trade has under sec 32 GewO the ancil­lary right (Neben­recht) to pur­chase and sell most goods. Again, it is unclear whether only the sale of data on phys­i­cal media is cov­ered by that right. The pro­cess­ing and sale of per­son­al data could in cer­tain cas­es also be jus­ti­fied as sup­ple­ment­ing the oth­er busi­ness activ­i­ties of a trade hold­er in an eco­nom­ic favourable man­ner, anoth­er ancil­lary right under sec 32 GewO. How­ev­er, when­ev­er claim­ing an ancil­lary right, the focus of the busi­ness must rest with the reg­is­tered trade(s).

Data pro­cess­ing and trans­mis­sion in pro­fes­sion­al activ­i­ties not cov­ered by GewO

If the main activ­i­ty of a busi­ness is exempt­ed from GewO, it must be assessed whether the applic­a­ble com­mer­cial or pro­fes­sion­al reg­u­la­tions cov­er the pro­cess­ing and sale of per­son­al data. Notwith­stand­ing pro­vi­sions in the pro­fes­sion­al laws, the gen­er­al­ly acknowl­edged pro­file of the pro­fes­sion (even if not specif­i­cal­ly reg­u­lat­ed at all) must be con­sid­ered. But pro­fes­sion­al activ­i­ty exemp­tions from GewO must be inter­pret­ed restric­tive­ly. Thus, the trans­mis­sion (and/or pro­cess­ing) of data might require the reg­is­tra­tion of a trade accord­ing to GewO.

Data protection requirements

When pro­cess­ing and trans­mit­ting infor­ma­tion relat­ing to an iden­ti­fied or iden­ti­fi­able nat­ur­al or legal per­son (per­son­al data), the oblig­a­tions of the Data Pro­tec­tion Act 2000 (Daten­schutzge­setz 2000, DPA) must be observed. In Aus­tria those oblig­a­tions also apply to legal per­sons pro­cess­ing per­son­al data. DPA in par­tic­u­lar requires that any pro­cess­ing or trans­mis­sion of per­son­al data may only be done for a clear and law­ful pur­pose (legit­i­mate pur­pose). That legit­i­mate pur­pose must also be cov­ered by an autho­ri­sa­tion to do so as to the pro­vi­sions of the applic­a­ble com­mer­cial or pro­fes­sion­al pro­vi­sions. In oth­er words, the applic­a­ble pro­fes­sion­al and com­mer­cial reg­u­la­tions must allow the con­duct of such activ­i­ties.

Sale of customer databases to direct marketing and address sales companies

Direct mar­ket­ing agen­cies and address sales com­pa­nies process and trans­mit per­son­al data for mar­ket­ing pur­pos­es of oth­ers. To that end, and sub­ject to the data pro­tec­tion rules in sec 151 GewO, they may col­lect such data from pub­licly acces­si­ble infor­ma­tion, inter­views and cus­tomer data­bas­es obtained from oth­ers. If oth­er busi­ness­es trans­mit (sell) their cus­tomer data­bas­es to direct mar­ket­ing agen­cies and address sales com­pa­nies, they must inform (explic­it­ly and in writ­ing) the data sub­jects in advance so that they can pro­hib­it such trans­fer. This pos­si­bil­i­ty to pro­hib­it the trans­fer of data­bas­es could be includ­ed in Gen­er­al Terms and Con­di­tions but com­ply with the require­ments of such claus­es. The trans­mis­sion of such data­bas­es to oth­er per­sons (and thus for oth­er pur­pos­es) will, how­ev­er, usu­al­ly require the explic­it con­sent of the data sub­jects. But with “sen­si­tive data”, such as on sex­u­al ori­en­ta­tion or reli­gious beliefs, stricter rules apply.

The processing and transmitting of personal data by businesses is permitted only for legitimate purposes. Such purposes must be covered by the necessary authorisation under the respective commercial and professional law. And those laws could introduce even more specific data protection rules.

Österreich: Der Verkauf von (personenbezogenen) Daten: Wie man Fallen vermeidet

Personenbezogenen Daten sind das “Gold des 21. Jahrhunderts“. Um Einnahmen zu erhöhen, überlegen sich mehr und mehr Unternehmen aller Sparten neben ihrer Haupttätigkeit auch personenbezogene Daten zu verkaufen. Abgesehen von datenschutzrechtlichen Bestimmungen und der Rolle von Daten im Zivilrecht, müssen etwaige Einschränkungen und Verpflichtungen, die aus geltendem öffentlichen Berufs- und Unternehmensrecht stammen, beachtet werden.

Bewilligungen für die Aufnahme einer Gewerbetätigkeit

Rechtliche Rah­menbe­din­gun­gen

Die zen­trale Quelle des öffentlichen Beruf­s­rechts ist die Gewer­be­ord­nung; in der englis­chem Sprache oft auch als “Trade Act” oder “Indus­tri­al Code” beze­ich­net. Im Prinzip ist jede Tätigkeit, die nicht unter­sagt ist, selb­ständig und regelmäßig aus­geübt wird (dem­nach “gewerblich”) und in der Absicht betrieben wird, einen wirtschaftlichen Vorteil durch Teil­nahme am Aus­tausch von Waren und Dien­stleis­tun­gen zu erzie­len, von der Gewer­be­ord­nung umfasst. Dieses Gesetz stellt die Regeln für die Auf­nahme und Betrei­bung eines Unternehmens auf. Etliche unternehmerische Tätigkeit­en sind jedoch expliz­it von der Gewer­be­ord­nung ausgenom­men und weit­ge­hend beson­deren gewer­berechtlichen (beruf­s­rechtlichen) Bes­tim­mungen unter­wor­fen. Zu diesen Aktiv­itäten zählen Land­wirtschaft, Bankwe­sen, elek­tro­n­is­che Kom­mu­nika­tions­di­en­ste, Unter­hal­tungs­di­en­stleis­tun­gen, gewisse Verkehrs­gewerbe und Gesund­heits­berufe.

Daten­ver­ar­beitung und –über­tra­gung gemäß der GewO

Die Auf­nahme eines Gewerbes nach der GewO erfordert die vorherige Anmel­dung eines “Gewerbes” und damit den Erhalt ein­er Gewer­be­berech­ti­gung. Für manche abschließend aufge­lis­tete Gewerbe ver­langt die Gewer­be­ord­nung die Ein­re­ichung eines Befähi­gungsnach­weis­es oder eine vor­läu­fige Über­prü­fung der Zuver­läs­sigkeit oder sog­ar eine Sicher­heit­süber­prü­fung während des Anmelde­prozess­es (reg­ulierte Gewerbe). Die Auf­nahme eines Gewerbes ohne die erforder­liche Gewer­be­berech­ti­gung kann zu Ver­wal­tungsstrafen und son­sti­gen Zwangs­maß­nah­men von Behör­den führen und berechtigt Wet­tbe­wer­ber, Unter­las­sungsansprüche gel­tend zu machen.

Der bloße Verkauf von per­so­n­en­be­zo­ge­nen Dat­en oder voraus­ge­gan­gene ver­ar­bei­t­ende Tätigkeit­en wer­den als freie Gewebe ange­se­hen. Wenn man jedoch ein solch­es Gewebe reg­istri­eren lässt, muss die ins Auge gefasste Tätigkeit aus­re­ichend genau beschrieben wer­den. Oft­mals wird das Gewerbe als „Automa­tis­che Daten­ver­ar­beitung und Infor­ma­tion­stech­nik“ angemeldet. Andere Gewerbe welche die Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en ein­schließen bzw dazu berechti­gen sind Direk­t­mar­ketingun­ternehmen und Adressver­lage, ein­schließlich des List­brokings.

Da Dat­en generell als unkör­per­liche Sachen gese­hen wer­den ist es umstrit­ten, ob der Kauf und Verkauf von Dat­en als (all­ge­meines) Han­dels­gewerbe einge­tra­gen wer­den kann, oder ob das nur der Fall ist wenn die Dat­en auf physis­chen Daten­trägern gespe­ichert sind.

Regelmäßig hält ein Geschäft­streiben­der bere­its eine oder mehrere Gewer­be­berech­ti­gun­gen für seine (son­sti­gen) aus­geübten Haup­tak­tiv­itäten. In diesem Fall muss beurteilt wer­den, ob Ver­ar­beitung und Verkauf per­so­n­en­be­zo­gen­er Dat­en mit dem Berufs­bild des einge­tra­ge­nen Gewerbes vere­in­bar sind. Grund­sät­zlich hat jed­er Gewe­be­treibende gemäß § 32 GewO das “Neben­recht”, die meis­ten Waren zu erwer­ben und zu verkaufen. Auch hier ist unklar, ob nur der Verkauf von Dat­en auf physis­chen Daten­trägern von diesem Recht erfasst ist. Die Ver­ar­beitung und der Verkauf von per­so­n­en­be­zo­ge­nen Dat­en kön­nten in gewis­sen Fällen auch als wirtschaftlich gün­stige, die son­sti­gen Tätigkeit ergänzende Tätigkeit eines Gewer­be­treiben­den gerecht­fer­tigt sein; ein weit­eres Neben­recht gemäß § 32 GewO.
Wann immer der Gewer­be­treibende sich jedoch auf ein solch­es Neben­recht beruft muss der Schw­er­punkt der Tätigkeit beim angemelde­ten Gewerbe (Haup­tak­tiv­ität) liegen.

Daten­ver­ar­beitung und –über­tra­gung in nicht von der GewO erfassten beru­flichen Tätigkeit­en

Wenn die Haup­tak­tiv­ität eines Gewerbes von der Gewer­be­ord­nung ausgenom­men ist muss beurteilt wer­den, ob die maßge­blichen unternehmens- oder beruf­s­rechtlichen Regelun­gen die Ver­ar­beitung und den Verkauf von per­so­n­en­be­zo­ge­nen Dat­en umfassen. Ungeachtet beruf­s­rechtlich­er Bes­tim­mungen muss das generell anerkan­nte Berufs­bild (sog­ar wenn es über­haupt nicht aus­drück­lich geregelt ist) berück­sichtigt wer­den. Aus­nah­men von der GewO für Beruf­stätigkeit­en müssen aber restrik­tiv aus­gelegt wer­den. So kann es sein, dass die Über­tra­gung (und/oder Ver­ar­beitung) von Dat­en die Ein­tra­gung eines Gewerbes nach der GewO erfordert.

Datenschutzanforderungen

When pro­cess­ing and trans­mit­ting infor­ma­tion relat­ing to an Bei der Infor­ma­tion­süber­tra­gung und –ver­ar­beitung im Zusam­men­hang mit genau beze­ich­neten oder iden­ti­fizier­baren natür­lichen oder juris­tis­chen Per­so­n­en (per­so­n­en­be­zo­gene Dat­en) müssen die Verpflich­tun­gen des Daten­schutzge­set­zes 2000 (DSG 2000) einge­hal­ten wer­den. In Öster­re­ich sind diese Verpflich­tun­gen auch auf per­so­n­en­be­zo­gene Dat­en ver­ar­bei­t­ende juris­tis­che Per­so­n­en anzuwen­den. Dieser legit­ime Zweck muss auch von ein­er entsprechen­den Genehmi­gung gedeckt sein, sowie den unternehmens- und beruf­s­rechtlichen Bes­tim­mungen genü­gen. Anders aus­ge­drückt müssen die unternehmens- und beruf­s­rechtlichen Bes­tim­mungen die Durch­führung solch­er Tätigkeit­en erlauben.

Verkauf von Kundendatenbanken an Direktmarketingunternehmen und Adressverlage

Direk­t­mar­ketingun­ternehmen und Adressver­lage ver­ar­beit­en und über­tra­gen per­so­n­en­be­zo­gene Dat­en für Mar­ket­ingzwecke ander­er. Dafür, und gemäß den Daten­schutzregeln des § 151 GewO, kön­nen sie entsprechende Dat­en aus öffentlich zugänglich­er Infor­ma­tion, Inter­views und von anderen erlangten Kun­den­daten­banken sam­meln. Wenn andere Unternehmen ihre Kun­den­daten­banken an Direk­t­mar­ketingun­ternehmen und Adressver­lage über­tra­gen (verkaufen), müssen diese die Betrof­fe­nen (expliz­it und schriftlich) im Vorhinein darüber informieren, sodass sie einem solchen Trans­fer wider­sprechen kön­nen. Diese Möglichkeit, dem Trans­fer von Daten­banken zu wider­sprechen kön­nte in All­ge­meine Geschäfts­be­din­gun­gen einge­fügt wer­den, aber so, dass es den Anforderun­gen an solche Klauseln entspricht. Die Über­tra­gung solch­er Daten­banken an Dritte (und damit zu anderen Zweck­en) wird jedoch für gewöhn­lich die explizite Zus­tim­mung der Betrof­fe­nen erfordern. Bei „sen­si­blen Dat­en“ wie zB über die sex­uelle Ori­en­tierung oder den Glauben sind stren­gere Regeln anzuwen­den.

Die Verarbeitung und Übertragung von personenbezogenen Daten durch Unternehmen ist nur zu legitimen Zwecken erlaubt. Solche Zwecke müssen durch eine notwendige Bewilligung gemäß den einschlägigen Bestimmungen des öffentlichen Unternehmens- und Berufsrechts gedeckt sein. Diese Gesetze könnten unter Umständen selbst noch speziellere Datenschutzbestimmungen einführen.