Datenschutz & Datensicherheit Hans G. Zeger, ARGE DATEN

Präsentation zum Thema: "Datenschutz & Datensicherheit Hans G. Zeger, ARGE DATEN"—  Präsentation transkript:

1 Datenschutz & Datensicherheit Hans G. Zeger, ARGE DATEN
ZiT, Wien, 19. April 2012 ARGE DATEN - Österreichische Gesellschaft für Datenschutz A-1160 Wien, Redtenbachergasse 20 Tel.: 0676 / Fax.: 01 / Mail Verein: Mail persönlich: WWW-Verein: Zertifizierung: e-commerce: WWW-DSG2000: DSG-Volltext: ftp://ftp.freenet.at/privacy/ds-at/dsg2000-aktuell.pdf DSG-StMV: ftp://ftp.freenet.at/privacy/ds-at/stmv-2004.pdf diverse Muster: ARGE DATEN

2 Aktivitäten der ARGE DATEN
Die ARGE DATEN als PRIVACY-Organisation Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: - Web-Service: Besucher/Monat - Newsletter: rund Abonnenten - 2011: rund 500 Medienanfragen/-berichte Mitgliederbetreuung Datenschutzfragen - 2011: ca. 600 Datenschutz-Anfragen Rechtsschutz, PRIVACY-Services - 2011: in ca. 200 Fällen Mitglieder in Verfahren vertreten Zahl der betreuten Mitglieder - aktuell: ca Personen Studien- und Beratungsprojekte A-CERT - Zertifizierungsdienstleister gem. SigG Diese Datenschutzthemen bewegen die Österreicher: - Finanzdienstleister und Privatversicherungen/ Wirtschaftsauskunftsdienste: 28%  - Beruf: 11%  - Persönliches und Privatleben: 10%  - Behörden und Verwaltung: 10%  - Konsumentendaten/Adressenverlage: 8%  - Gesundheit und Soziales: 7%  - Internet und Telekombetreiber: 7%  - Bildung und Ausbildung: 5%  - sonstige Themen, wie Statistik, Politik, Herkunft, öffentliche und private Sicherheit: 15%  Ausgewertet wurden rund 600 Datenschutzfälle der letzten fünf Jahre ,,,,: Tendenzangaben, Entwicklungen gegenüber Vorjahre (Statistik F-6a, Stand Dezember 2011)‏ ARGE DATEN 2

3 Geplanter Ablauf ARGE DATEN Grundlagen DSG 2000
IT-Sicherheit vs. Datenschutz Strafbestimmungen - ARGE DATEN 3

4 Umsetzung der EU-Richtlinie "Datenschutz" (1995)
DSG Grundlagen Umsetzung der EU-Richtlinie "Datenschutz" (1995) soll Privatsphäre (Art.1 Abs. 1) und Informationsaustausch (Art.1 Abs. 2) sichern Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten." EU-RL gilt nur für "natürliche Personen" DSG 2000 auch für "juristische und sonstige Personen" damit vertritt Österreich EU-weit eine exotische Position "Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" (Datenschutzrichtlinie 95/46/EG)‏ Die Richtlinie soll gleichermaßen den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten den freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten sichern Art. 1 Gegenstand der Richtlinie (1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten. (2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes. Das DSG 2000 StF wurde am im Bundesgesetzblatt publiziert (BGBl. I Nr. 165/1999), Inkrafttreten am Übergangsfristen (internationaler Datenverkehr, manuelle Datenanwendungen, die der Meldepflilcht unterliegen), (Anpassung der Rechtsgrundlagen besonder Datenanwendungen § 17 Abs. 3 Z 1 bis 3)‏ Es wurden Spezialbestimmungen, wie Informationspflicht, Informationsverbundsysteme und automatisierte Entscheidung geschaffen ARGE DATEN

5 DSG 2000 § 1 (Verfassungsbestimmung):
DSG Grundrecht DSG 2000 § 1 (Verfassungsbestimmung): "jede Verwendung persönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots ist möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen DSG2000 §1 Verfassungsbestimmung "(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind." Einschränkung dieser Rechte nur mit Zustimmung des Betroffenen, zur Wahrung lebenswichtiger Interessen des Betroffenen oder laut Art. 8 Abs. 2 der europäischen Menschenrechtskonvention aufgrund von Gesetzen. Weitere Verarbeitungsbeschränkungen für den öffentlichen Bereich ("Wahrung wichtiger öffentlicher Interessen") bei "besonders schutzwürdigen Daten" ("sensible Daten")‏ Festlegung der subjektiven Rechte: Auskunfts-, Richtigstellungs- und Löschungsrecht Festlegung der Rechtsdurchsetzung / Zivilrechtsweg Geplante - praxisnahe - Änderung in Novelle 2010 wegen Parteienstreit nicht durchgeführt: „(1) Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten.“ ARGE DATEN

6 "Daten" ("personenbezogene Daten")
DSG Grundlagen DSG 2000 § 4 Z 1 "Daten" ("personenbezogene Daten") "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" DSG 2000 § 4 Z 3 "Betroffener" "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" Datenbegriff sehr allgemein gehalten, umfasst auch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. Betriebsdaten), ... Datenbegriff sehr allgemein gehalten: in D und LUX spezielle Datenschutz-Regelungen für Bild- und Tondaten (EU-Bericht Umsetzung DS-Richtlinie, 2003)‏, in Ö nunmehr auch zur Videoüberwachung DSG 2000 § 4 Z 1 "Daten" "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; "nur indirekt personenbezogen" sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann." DSK K /16-DSK/00 "Daten betreffend Verwandtschaftsverhältnisse und Wohnungsnutzung gehören zur Privatsphäre des einzelnen. Insbesondere Angaben über Verwandtschaftsverhältnisse gehören schon zu einem sehr intimen und höchstpersönlichen Lebensbereich und bilden wegen möglicher Schlussfolgerungen auf 'rassische und ethnische Herkunft' einer Person geradezu einen Grenzfall zum besonders schutzwürdigen Bereich der sensiblen Daten" (RIS)‏ DSG 2000 § 4 Z 3 "Betroffener" Unter Personengemeinschaft wären unter anderem Familien, Bürgerinitiativen, Betriebsräte, Wohngemeinschaften oder Hausgemeinschaften zu verstehen ARGE DATEN

7 Personenbezogene Daten
DSG Grundlagen Personenbezogene Daten Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!) personenbezogene Daten § 4 Z 1 DSG 2000 sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG (kein EU-Begriff) sensible Daten § 4 Z 2 DSG 2000 (1) direkt personenbezogene Daten sind Daten, die unmittelbar einsichtig mit einer Person verknüpft sind (Daten, die zur Personenidentifikation dienen) Name, Geburtsdatum, Wohnanschrift und dazu in direkter Verbindung: Personalnummer, SV-Nummer, persönliche Merkmale und Eigenschaften, Zugehörigkeiten zu bestimmten Gruppen und Bereichen, bestimmte Qualifikationen und Rechte (2) direkt personenbezogene Daten sind Daten, die mit (1) verknüpft sind Daten, etwa in relationalen Datenbanksystemen, die über eine eindeutige Kennung mit einer Person verbunden werden können (Buchungsinformationen, Produktionsinformationen, Kommunikations- und Konsumdaten, ...)‏ (3) direkt personenbezogene Daten sind Daten, die mit hoher Wahrscheinlichkeit mit (1) verknüpft sind, generierte Daten, Daten, die ein Auftraggeber durch Berücksichtigung von Zusatzinformationen oder eigenen Erhebungen einer bestimmten Person zuordnen kann (4) indirekt personenbezogene Daten sind Daten, die ein Auftraggeber zwar nicht mehr legalerweise einer Person zuordnen kann, jedoch andere Stellen oder Auftraggeber. (5) sensible Daten sind bestimmte abschließend aufgezählte Datenarten (DSG 2000 §4 Z2)‏: Daten natürlicher Personen über rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse und philosophische Überzeugung, Gesundheit, Sexualleben (6) besonders schutzwürdige Daten: österreichische Sonderformulierung für sensible Daten + Daten aus der Strafrechtspflege, Informationsverbundsystemen und zur Beurteilung der Kreditwürdigkeit von Personen ARGE DATEN

8 DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung
DSG Grundlagen DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung) DSG 2000 § 4 Z 5 "Dienstleister" natürliche oder juristische Personen, , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung) DSG 2000 § 4 Z 4 "Auftraggeber" 4. "Auftraggeber": natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z 8), unabhängig davon, ob sie die Daten selbst verwenden (Z 8) oder damit einen Dienstleister (Z 5) beauftragen. Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung eines Werkes beauftragte Dienstleister (Z 5) die Entscheidung trifft, zu diesem Zweck Daten zu verwenden (Z 8), es sei denn dies wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung eigenverantwortlich zu entscheiden;" DSG 2000 §4 Z5 "Dienstleister" „5. Dienstleister: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (Z 8);“ K /002-DSK/2001 "..sondern auch Personengemeinschaften, welchen es zwar an einer eigenen Rechtspersönlichkeit mangelt, die aber durch ihre Bezeichnung sowie die gemeinsamen Ziele und Aufgaben der Mitglieder eine hinlänglich unterscheidbare Entität sind." (RIS)‏ ARGE DATEN

9 DSG 2000 § 4 Z 8 " Verwenden von Daten"
DSG Grundlagen DSG 2000 § 4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem [personenbezogenen, Anm.] Suchkriterium zugänglich sind" DSG 2000 § 4 Z 7 ,,Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte ... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)" DSG 2000 § 4 Z 8 " Verwenden von Daten" "jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten" DSG 2000 §4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind" DSG 2000 §4 Z 7 "Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung)" ARGE DATEN

10 Die wichtigsten Begriffe (§ 4 DSG Z ...)
DSG Grundlagen Die wichtigsten Begriffe (§ 4 DSG Z ...) Verwenden von Daten Z 8 Auftraggeber Z 4 Daten- anwendung Z 7 Übermitteln Verarbeiten Z 9 Z 12 Überlassen Z 11 Ermitteln, Auswerten, Sortieren, Speichern, Analysieren, Korrigieren, Ausdrucken, Anzeigen, ... Dienstleister Z 5 Auftrag Novelle 2010: Geänderte Begriffsdefinitionen § 4 DSG 2000 Z 4 Auftraggeber: nunmehr konsequent auf das "Verwenden von Daten" (Z8) abgestimmt Z 5 Dienstleister: Klarstellung, nur solange auftragsgemäße Datenverwendung [SWIFT?] Z 7 Datenanwendung: Alternativbegriff "Datenverarbeitung" gestrichen. Z 8 Verwenden von Daten: nicht mehr mit Datenanwendung verknüpft [manuelle Dateien, Internet/Soziale Netze?] Z 9 Verarbeiten von Daten: nicht mehr an Auftraggeber- oder Dienstleistereigenschaft gebunden [manuelle Dateien, Internet/Web2.0?] Z 10 Ermitteln: gestrichen Z 11 Überlassen von Daten: Klarstellung, dass zur Überlassung ein Vertragsverhältnis zwischen Auftraggeber und Dienstleister erforderlich ist Z 12 Übermitteln von Daten: nicht mehr an das Vorhandensein einer Datenanwendung gebunden [manuelle Dateien, Internet/Soziale Netze?] Ausdehnung der Gültigkeit der Begriffe auf Datenanwendungen und manuelle Dateien (Abs. 2) ARGE DATEN 10

11 Grundsätze der Verwendung von Daten (§ 6ff)
DSG Grundlagen Grundsätze der Verwendung von Daten (§ 6ff) Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1) Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2) Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2) Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3) Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4) /010-DSK/2001 ("gelindester Eingriff") Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren Umsetzung der Datenschutzkonvention des Europarates Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1)‏ Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2)‏ Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2)‏ Weiterverwendung für wissenschaftliche und statistische Zwecke ist zulässig (§ 6 Abs. 1 Z 2)‏ Daten müssen für den Zweck der Datenanwendung wesentlich sein (§ 6 Abs. 1 Z 3)‏ Verwendung muss im Ergebnis sachlich richtig sein (§ 6 Abs. 1 Z 4) DS-RL Art. 6 lit. d: Verwendung muss "sachlich richtig" sein Daten müssen, wenn nötig auf den neuesten Stand gebracht werden (§ 6 Abs. 1 Z 4)‏ Aufbewahrung für die Erreichung der Zwecke notwendig (Ausnahmen, etwa aus gesetzlichen Gründen, wie Archive möglich) (§ 6 Abs. 1 Z 5)‏ Selbstregulierung: § 6 Abs. 4 "Zur näheren Festlegung dessen, was in einzelnen Bereichen als Verwendung von Daten nach Treu und Glauben anzusehen ist, können für den privaten Bereich die gesetzlichen Interessenvertretungen, sonstige Berufsverbände und vergleichbare Einrichtungen Verhaltensregeln ausarbeiten. Solche Verhaltensregeln dürfen nur veröffentlicht werden, nachdem sie dem Bundeskanzler zur Begutachtung vorgelegt wurden und dieser ihre Übereinstimmung mit den Bestimmungen dieses Bundesgesetzes begutachtet und als gegeben erachtet hat." Bisher wenig genutzt, einziges bekanntes Beispiel: Adressenverlage "Fair-Data" ARGE DATEN

12 Grundlage einer rechtmäßigen Datenverwendung
DSG Grundlagen Grundlage einer rechtmäßigen Datenverwendung Dreistufiges Konzept Es muss eine Rechtsgrundlage für die Datenanwendung geben und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (§ 6, § 7 Abs.1) Es muss eine Rechtsgrundlage für die Verwendung der konkreten Daten eines Betroffenen geben (§§ 7ff) Die Datenanwendung muss den Registrierungserfordernissen entsprechen (§§ 16ff) Beispiel: Dürfen im Zuge einer Unternehmensauflösung die Kundendaten verkauft werden? Dreistufiges Konzept (a) Es muss eine Rechtsgrundlage für eine Datenanwendung geben (§ 7 Abs.1): "... von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt ..." Die Zulässigkeit ist gegeben, wenn der Grundrechtseingriff auf das erforderliche Maß beschränkt bleibt, mit den gelindesten Mitteln erfolgt und gemäß der Grundsätze nach §6 erfolgt. Diese Rechtsgrundlage ist nicht durch die Zustimmung des Betroffenen ersetzbar. Die Anforderungen von Treu und Glauben müssen erfüllt sein (§ 6)‏ (b) Es muss eine Rechtsgrundlage für die Verwendung der konkreten Daten geben (§§ 7-9) Eine der zulässigen Rechtsgrundlagen kann die Zustimmung des Betroffenen sein oder auch eine ausdrückliche gesetzliche Ermächtigung zur Datenerhebung (c) Die Datenanwendung mussen den Registrierungsanforderungen entsprechen (§§ 16ff, Ausnahmen beachten)‏ ARGE DATEN

13 Geplanter Ablauf ARGE DATEN Grundlagen DSG 2000
IT-Sicherheit vs. Datenschutz Strafbestimmungen - ARGE DATEN 13

14 ARGE DATEN IT-Sicherheit Was ist IT-Sicherheit?
technische Sicht: - Sicherung der Herkunft (Authentizität, Integrität) - Sicherung der Vertraulichkeit - Sicherung der Verfügbarkeit - allgemeine Betriebssicherheit (OS, Applikationen, Geräte, Netzwerk, Operating, Prozesse, ...) - Katastrophenschutz Deliktschutz: betrifft alle Sicherheitsbereiche - Delikte sind nur ein Auslöser unter vielen - andere sind: etwa Fahrlässigkeiten, Unwissenheit der Mitarbeiter, Fehleinschätzungen der Geschäftsführung, ... Sicherheitsstandards - Common Criteria - ITSEC - ISO 27001:2005 [vormals: BS 7799 / ISO 17799] (IT-Sicherheitsmanagement-System) Information technology - Security techniques - Information security management systems – Requirements" Sicherheitsstellen - Zertifizierungsstellen (BSI, DFN-CERT, A-SIT, CERT,AT, ...) - Europäische Agentur für Netz- und Informationssicherheit (ENISA) (seit , 2007 erfolgt Evaluation, derzeit Weiterführung) Österreichisches Mitglied: Posch/BKA Gütesiegel - Deutschland: mit Schwerpunkt Datenschutz - EU-Projekt EUROPRISE: Datenschutz-Gütesiegel für ganz Europa - Standard (Schweiz) - Österreich: versucht ein freiwilliges Akkreditierungsverfahren für e-government-Anwendungen einzuführen: Schwerpunkt e-GovG-Konformität, Sicherheitskonform, Datenschutz spielt keine Rolle BSI-Sicherheitskategorien - BSI unterscheidet nur Sicherung der Integrität, Vertraulichkeit und Verfügbarkeit Cap Gemini Studie 2005 ortet vorrangig den Trend zur Sicherheitskosmetik: 5% des IT-Budgets für Sicherheit reicht nicht: ... ist das die einzige Sichtweise? ... ARGE DATEN

15 Sorgen sicherheitsbewußter IT-Manager
IT-Sicherheit Sorgen sicherheitsbewußter IT-Manager 2007 2006 aus CapGemini, Studie IT-Trends 2007, IT ermöglicht neue Freiheitsgrade (Februar 2007) Umfrage erfolgte bei IT-Verantwortlichen im deutschsprachigen Raum Fragestellung: Als wie bedrohlich schätzen Sie die folgenden Aspekte im Bezug auf die Sicherheit Ihres Unternehmen ein? Befragt wurden 50 IT-Verantwortliche, bei denen Sicherheit eines der drei wichtigsten IT-Themen war. Bedrohung: 1 = hoch, 6 = nicht gegeben (CapGemini 2007) ARGE DATEN

16 ARGE DATEN Eurobarometerumfrage 2011
Was wird überhaupt als personenbezogene Information gesehen? (EU27 / AT / max / min) - Finanzdaten: 75% EU27 / 73% AT / 91% DK / 44% PL - Gesundheitsdaten: 74% EU27 / 75% AT / 93% IE / 46% PL - Identitätsdaten( Passnummer, ...): 73% EU27 / 67% AT / 92% BG / 53% MT - Lebenslauf (beruflich): 30% EU27 / 43% AT / 50% DE / 11% BG,RO - mit wem befreundet: 30% EU27 / 40% AT / 52% DE / 7% BG - private Interessen/Hobbies: 25% EU27 / 40% AT / 46% DE / 8% CY - besuchte Webseiten: 25% EU27 / 33% AT / 44% SE / 5% RO Länder mit höchsten Datenschutzbewusstsein: Deutschland, Niederlande, Großbritannien, Österreich Link zur Eurobarometer-Umfrage: Was wird als personenbezogene Information gesehen? Originalformulierung: QB2 Which of the following types of information and data that are related to you do you consider as personal? EU27 European Union – 27 Member States BE Belgium LU Luxembourg BG Bulgaria HU Hungary CZ Czech Republic MT Malta DK Denmark NL The Netherlands DE Germany AT Austria EE Estonia PL Poland EL Greece PT Portugal ES Spain RO Romania FR France SI Slovenia IE Ireland SK Slovakia IT Italy FI Finland CY Republic of Cyprus SE Sweden LT Lithuania UK United Kingdom LV Latvia ARGE DATEN

17 ARGE DATEN Eurobarometerumfrage 2011
Datensicherheit und Internet (EU27 / AT / max / min) - 66% der Befragten verwenden Internet - Schutz vor Spam: 42% EU27 / 46% AT / 72% DK / 19% PT - achten auf sichere Datenübertragung: 40% EU27 / 35% AT / 57% IE / 13% BG - Löschen Cookies: 35% EU27 / 39% AT / 53% LU,NL / 10% RO - suchen eigene Daten mittels Suchmaschinen: 14% EU27 / 15% AT / 24% EE / 8% RO - verwenden "dummy" Mailaccount: 12% EU27 / 25% AT / 25% AT / 6% MT - keine Sicherheitsaktivitäten: 15% EU27 / 12% AT / 7% DK,NL / 34% LT Länder mit höchsten Datenschutzbewusstsein: Deutschland, Niederlande, Schweden, Österreich Link zur Eurobarometer-Umfrage: Schutz der Identität im Internet? Originalformulierung: And, specifically on the Internet, what do you do to protect your identity? Please indicate all that apply in the following list EU27 European Union – 27 Member States BE Belgium LU Luxembourg BG Bulgaria HU Hungary CZ Czech Republic MT Malta DK Denmark NL The Netherlands DE Germany AT Austria EE Estonia PL Poland EL Greece PT Portugal ES Spain RO Romania FR France SI Slovenia IE Ireland SK Slovakia IT Italy FI Finland CY Republic of Cyprus SE Sweden LT Lithuania UK United Kingdom LV Latvia ARGE DATEN

18 ARGE DATEN IT-Sicherheit
Verhältnis von Datensicherheit (IT-Sicherheit) und Datenschutz (Privacy) IT-Sicherheit Datenschutz Zugriffsschutz, Protokollierung, Rechteverwaltung, Ausspähen von Daten, Datenbeschädigung, Passwörter Sicherheitsmaßnahmen ohne direkte Datenschutzrelevanz: Katastrophenschutz, wie Blitz-, Feuer-, Erdbebenschutz Grundrechtliche Fragen ohne direkten IT-Bezug: Zweckbindung, Melde- und Offenlegungspflichten, Beobachtungsschutz, infomationelle Selbstbestimmung - IT-Sicherheit behandelt vorrangig technische Fragen Was ist machbar? Was ist möglich? Im Zentrum stehen Abwehrszenarien Datenschutz behandelt vorrangig (grund)rechtliche Fragen Was ist erwünscht? Im Zentrum stehen Gestaltungsszenarien - ARGE DATEN

19 Sicherheitsbestimmungen (§ 14)
DSG Sicherheitsbestimmungen Sicherheitsbestimmungen (§ 14) Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden: Stand der Technik entsprechend wirtschaftlich vertretbar angemessenes Schutzniveau muss erreicht werden In Österreich gibt es seit 2003 ein "offizielles" IT-Sicherheitshandbuch, das 2007 in Version 2.3 vom Ministerrat empfohlen wurde 11/2010 wurde Version 3.1 vorgestellt es gibt jedoch keine Verpflichtung das Handbuch anzuwenden MASSNAHMEN zur SICHERHEIT DSG 2000: „§ 14. (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind.“ Sicherheitsvorschriften müssen für die Mitarbeiter jederzeit einschaubar sein (Abs. 6) Umsetzung sollte nach anerkannten Verfahren oder Leitlinien erfolgen Technische Maßnahmen ohne security policy sind ineffektiv! Wesentlicher Bestandteil jeder "security policy" sind die tatsächlich erteilten Verarbeitungs- und Verwendungsanweisungen Beispiele: BSI-Grundschutz, Sicherheitshandbücher, ... Informationen zum österreichischen IT-Sichereheitshandbuch: Verwendung von Sicherheitskonzepten entlasten in der individuellen Haftung, können aber zu unerwünschter Delegation von Verantwortung führen WKO hat Sichereheitshandbuch mit eher volksbildnerischen Charakter herausgebracht: ARGE DATEN

20 ARGE DATEN DSG 2000 - Sicherheitsbestimmungen
rechtlich-organisatorische Sicherheitsmaßnahmen - ausdrückliche Aufgabenverteilung - ausschließlich auftragsgemäße Datenverwendung - Belehrungspflicht der Mitarbeiter - Regelung der Zugriffs- und Zutrittsberechtigungen - Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten - Dokumentationspflicht zur Kontrolle und Beweissicherung - Protokollierungspflicht Insgesamt können die Maßnahmen als Verpflichtung zu einer Security-Policy verstanden werden! z.B. gemäß BSI M Erstellung einer IT-Sicherheitsleitlinie oder ISO Informationssicherheitsleitlinie Beachtung technischer Maßnahmen laufende Beobachtung diverser Mailinglisten (CERT), Publikationen der Art. 29 Datenschutzgruppe der EU, Anlehnung an bestehende Konzepte und Empfehlungen BSI-Handbuch, IT-Sicherheitshandbücher, Datenschutzgütesiegel Befassung externer Berater (Wirtschaftstreuhänder, Sicherheitsberater, ...), Outsourcing einzelner IT-Sicherheitsaspekte an ISP, Dienstleister SPAM- und Viren/Wurm-Kontrolle, Firewall, ... Arbeitspapiere der Art.29 Gruppe Auswahl: - Arbeitspapier über genetische Daten - unerbetenen Werbenachrichten - Verarbeitung personenbezogener Daten aus der Videoüberwachung - vertrauenswürdige Rechnerplattformen ARGE DATEN

21 Protokollierungsanforderungen I (§ 14)
DSG Sicherheitsbestimmungen Protokollierungsanforderungen I (§ 14) Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z7) betrifft auch Abfragen müssen "im Hinblick auf die Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können" Protokollierungspflicht nicht registrierter Übermittlungen (Abs. 3) betrifft nur auskunftspflichtige Datenanwendungen Übermittlungen gemäß Standard- oder Musterverordnung sind nicht zu protokollieren § 14 DSG 2000 Datensicherheitsmaßnahmen (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich sind. (2) Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz erforderlich ist, 1. die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festzulegen, 2. die Verwendung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden, 3. jeder Mitarbeiter über seine nach diesem Bundesgesetz und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten zu belehren, 4. die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder Dienstleisters zu regeln, 5. die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte zu regeln, 6. die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festzulegen und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abzusichern, 7. Protokoll zu führen, damit tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können, ARGE DATEN

22 Protokollierungsanforderungen II (§ 14)
DSG Sicherheitsbestimmungen Protokollierungsanforderungen II (§ 14) - Protokolldaten dürfen nur eingeschränkt verwendet werden (zur Kontrolle der Zulässigkeit der Verwendung) - unzulässig wäre die Kontrolle der Betroffenen oder der Mitarbeiter (z.B. durch Auswertung von Internet-Zugriffen!!) - zulässig ist die Verwendung zur Aufklärung von Straftaten, die mit mehr als fünfjähriger Freiheitsstrafe bedroht sind - Aufbewahrungsdauer ist drei Jahre, sofern gesetzliche Bestimmungen nichts anderes vorsehen - Frühere Löschung zulässig, wenn betroffener Datenbestand ebenfalls gelöscht ist § 14 DSG 2000 (Fortsetzung) 8. eine Dokumentation über die nach Z 1 bis 7 getroffenen Maßnahmen zu führen, um die Kontrolle und Beweissicherung zu erleichtern. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei der Durchführung erwachsenden Kosten ein Schutzniveau gewährleisten, das den von der Verwendung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist. (3) Nicht registrierte Übermittlungen aus Datenanwendungen, die einer Verpflichtung zur Auskunftserteilung gemäß § 26 unterliegen, sind so zu protokollieren, daß dem Betroffenen Auskunft gemäß § 26 gegeben werden kann. In der Standardverordnung (§ 17 Abs. 2 Z 6) oder in der Musterverordnung (§ 19 Abs. 2) vorgesehene Übermittlungen bedürfen keiner Protokollierung. (4) Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden, die mit ihrem Ermittlungszweck – das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes – unvereinbar sind. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck der Kontrolle jener Personen, die auf den protokollierten Datenbestand zugegriffen haben, aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, handelt. (5) Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist, sind Protokoll- und Dokumentationsdaten drei Jahre lang aufzubewahren. Davon darf in jenem Ausmaß abgewichen werden, als der von der Protokollierung oder Dokumentation betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird. (6) Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung zu halten, daß sich die Mitarbeiter über die für sie geltenden Regelungen jederzeit informieren können. ARGE DATEN

23 Verpflichtung zum Datengeheimnis (§ 15)
DSG Verschwiegenheitsverpflichtung Verpflichtung zum Datengeheimnis (§ 15) Mitarbeiter sind - sofern nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden. Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln. Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren. Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung kein Nachteil erwachsen. Bereitstellungspflicht der Datensicherheitsmaßnahmen (§ 14 Abs. 6) § 15 DSG 2000 Datengeheimnis (1) Auftraggeber, Dienstleister und ihre Mitarbeiter – das sind Arbeitnehmer (Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben Daten aus Datenanwendungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht (Datengeheimnis). (2) Mitarbeiter dürfen Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln. Auftraggeber und Dienstleister haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, daß sie Daten aus Datenanwendungen nur auf Grund von Anordnungen übermitteln und das Datengeheimnis auch nach Beendigung des Arbeits(Dienst)verhältnisses zum Auftraggeber oder Dienstleister einhalten werden. (3) Auftraggeber und Dienstleister dürfen Anordnungen zur Übermittlung von Daten nur erteilen, wenn dies nach den Bestimmungen dieses Bundesgesetzes zulässig ist. Sie haben die von der Anordnung betroffenen Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zu belehren. (4) Unbeschadet des verfassungsrechtlichen Weisungsrechts darf einem Mitarbeiter aus der Verweigerung der Befolgung einer Anordnung zur Datenübermittlung wegen Verstoßes gegen die Bestimmungen dieses Bundesgesetzes kein Nachteil erwachsen. ARGE DATEN

24 Haftung bei fehlenden Datensicherheitsmaßnahmen
Sicherheitsmaßnahmen - Haftung Haftung bei fehlenden Datensicherheitsmaßnahmen OGH Entscheidung (9 Ob A 182/90) Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden. Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren. Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen". Die Festlegung eines Sicherheitskonzepts ist Kernaufgabe einer Geschäftsführung! Weitere Informationen im ARGE DATEN - Archiv: Unter 9 Ob A 182/90 entschied am der OGH, dass bei fehlenden Datensicherungsmaßnahmen auf jeden Fall eine Haftung des Arbeitnehmers ausgeschlossen ist. Die Begründung im einzelnen: UUU war bis bei XXX beschäftigt. Er hatte dort Programmierarbeiten durchzuführen. Das Angestelltenverhältnis wurde durch vorzeitigen Austritt des Klägers beendet. Dieser hatte eine Entgeltforderung in der Höhe von S ,24. Diese Forderung wurde von XXX nicht bestritten, jedoch mit einem "Schaden" von S , der durch das Verschwinden und aufgrund einer fehlenden Dokumentation nicht mehr rekonstruierbaren Computerprogrammes entstand, gegengerechnet. Der Arbeitnehmer UUU klagte daher und erhielt in letzter Instanz recht. Bei Fehlen eines geeigneten Datensicherungs- bzw. Kennwortsystems und bei Fehlen entsprechender Arbeitgeberweisungen kann der Arbeitnehmer grundsätzlich nicht für den Verlust von EDV-Daten (Software) haftbar gemacht werden. Notwendig sind genaue Richtlinien unter anderem auch für die Vorgangsweise bei der Programmerstellung und das richtige und vollständige Dokumentieren. Bleiben die Weisungen unter diesen Gesichtspunkten unvollständig, so trägt der Arbeitgeber allein das Risiko, die entwickelte Software nur unvollständig oder überhaupt nicht nutzen zu können. Entscheidend kann für den Arbeitnehmer nur sein, ob er die vorgegebenen Weisungen eingehalten hat. ARGE DATEN

25 Bestehende Sicherheitsanforderungen in Ö
spezifische Sicherheitsbestimmungen Bestehende Sicherheitsanforderungen in Ö - Verschlüsselung bei Webapplikationen / in der Datenübertragung Grundlage: ePrivacy-RL 2002/58/EG - Besondere Sicherheitsmaßnahmen bei Gesundheitsdaten Grundlage: GTelG + GTelVO - Sicherheit in der elektronischen Rechnungslegung Grundlage: EG-RL 2001/115/EG, BMF-Verordnung BGBl 583/2003 - Sicherheitsbestimmungen + Genehmigungsverfahren bei Digitaler Signatur Grundlage: EG-RL 1999/93/EG, SigG, SigV - Einsatz der Bürgerkarte in Behördenverfahren Grundlage: E-GovG - ARGE DATEN

26 Bestehende Sicherheitsanforderungen in Ö II
spezifische Sicherheitsbestimmungen Bestehende Sicherheitsanforderungen in Ö II - Medikamentenabrechnung der Apotheken, Videoüberwachung - Verschlüsselung Grundlage: StMV 2004 des Bundeskanzleramtes - Webapplikationen der Behörden Grundlage: Portalverbundprotokoll pvp 1.8.9, eine privatrechtliche Vereinbarung - Bankomatkassen Grundlage: privatrechtliche Vorgaben des Betreibers - e-card/GINA-Box + Peering-Point der Ärzte Grundlage: privatrechtliche Vereinbarungen - ARGE DATEN

27 Geplanter Ablauf ARGE DATEN Grundlagen DSG 2000
IT-Sicherheit vs. Datenschutz Strafbestimmungen - ARGE DATEN 27

28 Schadenersatz (§ 33) ARGE DATEN
DSG Kontroll- & Strafbestimmungen Schadenersatz (§ 33) schuldhaftes Verhalten notwendig bei Verletzung von Bestimmungen des DSG 2000 ist tatsächlich erlittener materieller Schaden zu ersetzen bei Verletzungen der Geheimhaltung, die geeignet sind den Betroffenen bloßzustellen, gebührt Entschädigung Entschädigungsanspruch ist nicht beziffert, aber vergleichbar dem Mediengesetz geregelt [MedienG § 7: bis Euro] bei Veröffentlichungen in einem Medium gilt Mediengesetz Entschädigungsanspruch ist gegenüber dem Auftraggeber geltend zu machen Schuldhaftes Handeln = Vorsatz oder fahrlässiges Handeln DSG 2000: „§ 33. (1) Ein Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen den Bestimmungen dieses Bundesgesetzes verwendet, hat dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Werden durch die öffentlich zugängliche Verwendung der in § 18 Abs. 2 Z 1 bis 3 genannten Datenarten schutzwürdige Geheimhaltungsinteressen eines Betroffenen in einer Weise verletzt, die einer Eignung zur Bloßstellung gemäß § 7 Abs. 1 des Mediengesetzes, BGBl. Nr. 314/1981, gleichkommt, so gilt diese Bestimmung auch in Fällen, in welchen die öffentlich zugängliche Verwendung nicht in Form der Veröffentlichung in einem Medium geschieht. Der Anspruch auf angemessene Entschädigung für die erlittene Kränkung ist gegen den Auftraggeber der Datenverwendung geltend zu machen.“ Mögliche Beispiele: rechtswidriger Eintrag in Negativliste (OGH 6 Ob 275/05t )‏ Aushang der Hausverwaltung von Zahlungsrückständen im Hausflur öffentliche Bekanntgabe des Kirchenaustritts durch Pfarrer deponierte Personalakten mit abschätzigen Bemerkungen auf einem Parkplatz Übermittlung persönlicher Daten an Arbeitgeber (z.B. Bezug von Pornos, Ergebnisse von Beschwerde- und Verwaltungsverfahren) ARGE DATEN

29 Gewinn- oder Schädigungsabsicht (DSG 2000 § 51)
DSG Strafbestimmungen Gewinn- oder Schädigungsabsicht (DSG 2000 § 51) - Klarstellung der Deliktvoraussetzungen: Vorsatz der Bereicherung von sich oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer Delikt begeht, wer ... - widerrechtlich ihm zugängliche Daten benutzt oder - Daten widerrechtlich beschafft oder - anderen widerrechtlich zugänglich macht oder - widerrechtlich öffentlich macht Strafausmaß: bis ein Jahr Delikt wird zum Offizialdelikt [bis : Privatanklagedelikt] Strafbestimmung gilt subsidiär Geänderte Bestimmungen (DSG-Novelle 2010) § 51 Abs. 1 entfällt die Absatzbezeichnung “(1)”. Die Wortfolge “in der Absicht, sich einen Vermögensvorteil zu verschaffen oder einem anderen einen Nachteil zuzufügen” wird durch die Wortfolge “mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen” ersetzt. Neue Bestimmung: § 51 Datenverwendung in Gewinn- oder Schädigungsabsicht Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr zu bestrafen. ARGE DATEN

30 Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln]
DSG Strafbestimmungen Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln] - widerrechtliches Verschaffen eines Zugangs zu einer DA - widerrechtliches Weiterbenutzen eines Zugangs zu einer DA - Übermittlung unter Verletzung des Datengeheimnisses - Weiterverwendung von Daten entgegen eines rechtskräftigen Urteils/Bescheids - widerrechtliches Löschen von Daten (§ 26 Abs. 7) Strafrahmen: bis ,- Euro [bis : ,-] zuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSK Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk) Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten! Zuständig für Anzeigen ist jene Bezirksverwaltungsbehörde in deren Sprengel der Datenverarbeiter seinen Aufenthalt oder Sitz hat Das sind die Bezirkshauptmannschaften bzw. in den Städten mit eigenem Statut das Magistrat Berufungsinstanz ist der Unabhängige Verwaltungssenat (UVS)‏ Verantwortlichkeit des Auftraggebers ist u.a im VstG §9 geregelt Vor 2000 gab es rund 30 Verfahren/Jahr bei den Landeshauptleuten, die Regierungsvorlage 2000 rechnete in Zukunft mit 10fachem Anfall an Anzeigen/Verfahren, tatsächlich dürfte die jährliche Zahl an Strafverfahren zurück gegangen sein. Bisher war als Berufungsinstanz die DSK zuständig, dies führte in der Vergangenheit zu Interessenskonflikten. Aktuelle Zahlen werden von der DSK nicht publiziert. ARGE DATEN

31 DSG 2000 - Strafbestimmungen
Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 1. nicht Erfüllen Meldepflicht gemäß den §§ 17 oder 50c oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt 2. Daten ins Ausland übermittelt oder überlässt, ohne Genehmigung gemäß § 13 Abs. 1 3. Verstoß gegen Zusagen an oder Auflagen der DSK (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) 4. Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d verletzt 5. § 14 Sicherheitsmaßnahmen gröblich außer Acht lässt Geänderte Bestimmungen (DSG-Novelle 2010) § 52 DSG 2000 Verwaltungsstrafbestimmung (1) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu Euro zu ahnden ist, wer 1. sich vorsätzlich widerrechtlichen Zugang zu einer Datenanwendung verschafft oder einen erkennbar widerrechtlichen Zugang vorsätzlich aufrechterhält oder 2. Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 15) übermittelt, insbesondere Daten, die ihm gemäß §§ 46 oder 47 anvertraut wurden, vorsätzlich für andere Zwecke verwendet oder 3. Daten entgegen einem rechtskräftigen Urteil oder Bescheid verwendet, nicht beauskunftet, nicht richtigstellt oder nicht löscht oder 4. Daten vorsätzlich entgegen § 26 Abs. 7 löscht. (2) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu Euro zu ahnden ist, wer 1. Daten ermittelt, verarbeitet oder übermittelt, ohne seine Meldepflicht gemäß den §§ 17 oder 50c erfüllt zu haben oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt oder 2. Daten ins Ausland übermittelt oder überlässt, ohne die erforderliche Genehmigung der Datenschutzkommission gemäß § 13 Abs. 1 eingeholt zu haben oder 3. gegen gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1 abgegebene Zusagen oder von der Datenschutzkommission gemäß § 13 Abs. 1 oder § 21 Abs. 2 erteilte Auflagen verstößt oder 4. seine Offenlegungs- oder Informationspflichten gemäß den §§ 23, 24, 25 oder 50d verletzt oder 5. die gemäß § 14 erforderlichen Sicherheitsmaßnahmen gröblich außer Acht lässt oder ARGE DATEN

32 DSG 2000 - Strafbestimmungen
Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht. Strafrahmen: bis ,- Euro [bisher: 9.445,-] § 52 DSG 2000 Verwaltungsstrafbestimmung (Fortsetzung) 6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt oder 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Löschungsfrist nicht löscht. ARGE DATEN

33 Verfallbestimmungen § 52 Abs. 4
DSG Strafbestimmungen Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a) [=Gefährdung von Betroffenenrechten] neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a) Strafrahmen: bis 500,- Euro [neu] Verfallbestimmungen § 52 Abs. 4 Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden § 52 DSG 2000 Verwaltungsstrafbestimmung (Fortsetzung) (2a) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit einer Strafe bis zu 500 Euro zu ahnden ist, wer Daten entgegen den §§ 26, 27 oder 28 nicht fristgerecht beauskunftet, richtigstellt oder löscht. (3) Der Versuch ist strafbar. (4) Die Strafe des Verfalls von Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten kann ausgesprochen werden (§§ 10, 17 und 18 VStG), wenn diese Gegenstände mit einer Verwaltungsübertretung nach Abs. 1 oder 2 in Zusammenhang stehen. (5) Zuständig für Entscheidungen nach Abs. 1 bis 4 ist die Bezirksverwaltungsbehörde, in deren Sprengel der Auftraggeber (Dienstleister) seinen gewöhnlichen Aufenthalt oder Sitz hat. Falls ein solcher im Inland nicht gegeben ist, ist die am Sitz der Datenschutzkommission eingerichtete Bezirksverwaltungsbehörde zuständig. ARGE DATEN

34 Konsequenzen mangelhafter IT-Sicherheit
Umsetzung Sicherheitsanforderungen Konsequenzen mangelhafter IT-Sicherheit - Verwaltungsstrafe: nach DSG § 52 Abs. 2 Verwaltungsübertretung mit Strafe bis Euro - Zivilrechtliche Haftung: Unternehmen bzw. Dienstnehmer könnten für Folgeschäden haften, auch Gehilfenhaftung - UWG-Verfahren: Mitbewerber könnten fehlende Sicherheitsmaßnahmen als Versuch eines unlauteren Wettbewerbsvorteils einklagen - immaterieller Schadenersatz: bei prangerartigen oder bloßstellenden Folgen § 33 DSG, § 1328a ABGB, Medienrecht - Strafrecht: bei vorsätzlichen Handlungen (es genügt Schaden wird bewusst in Kauf genommen), z.B. § 51 DSG 2000, §§ 302/310 StGB, §§ 119/a StGB - Imageschaden: Vertrauensverlust von Kunden und Öffentlichkeit Die wichtigsten rechtlichen Bestimmungen (Auswahl) Spezifische Datenschutzbestimmung - DSG § 52 Verwaltungsübertretung Immaterielle Schadenersatzbestimmungen - Medienrecht bloßstellende Veröffentlichung - ABGB § 1328a Eingriffe in Privatsphäre - DSG §33 Schadenersatz / immaterieller Schadenersatz Wirtschaftsrechtliche Bestimmungen - ABGB zivilrechtliche Haftung - § 84 AktG: Haftung des Vorstand - § 25 GmbHG: Geschäftsführerhaftung - UWG Erringung eines unlauteren Wettbewerbsvorteils - Dienstnehmerhaftpflichtgesetz - Verbandverantwortlichkeitsgesetz Strafbestimmungen - DSG § 51 Strafrecht / Datenschutzverletzung - StGB § 302 Missbrauch der Amtsgewalt - StGB § 310 Verletzung des Amtsgeheimnisses - StGB §§ 119/119a Verletzung des Telekommunikationsgeheimnisses - StGB § 122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses ARGE DATEN 34

35 Ich danke für Ihre Aufmerksamkeit
- ARGE DATEN

36 Onlineinformation ARGE DATEN http://www.argedaten.at/
Weitere Datenschutzeinrichtungen - Weitere Rechtsinformationen - Entscheidungen finden sich im RIS: - (Datenschutzkommission)‏ - (OGH-Entscheidungen)‏ Technische Informationen - Bundesamt fuer Sicherheit in der Informationstechnik (BSI) - CERT - Online-Sicherheitsstatus - DFN Cert - Security-Server - Informationstechnik-Koordination (BKA Wien) ARGE DATEN