Informationstechnlogien - Praktische Umsetzung rechtlicher Vorgaben

Präsentation zum Thema: "Informationstechnlogien - Praktische Umsetzung rechtlicher Vorgaben"—  Präsentation transkript:

1 Informationstechnlogien - Praktische Umsetzung rechtlicher Vorgaben
Hans G. Zeger Wien, TU-Wien SS03 Kontakt: WWW: VO-Literatur: Teil 1 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

2 Die Idee vom Datenschutz
privacy & security Die Idee vom Datenschutz Betroffenenrechte Aufgaben des Datenverarbeiters Sicherheit als Grundlage von privacy Geplanter Ablauf: 29.4/ e-commerce 13.5./20.5. privacy & security 27.5./3.6. Cybercrime & Telekommunikation digital right management & Urheberrecht Als Übung ist geplant ein Diskussionsforum einzurichten, bei dem konkrete Problemstellungen analysiert werden sollen. Die Prüfung findet Online statt und umfaßt die Analyse einer vorgegebenen Website VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

3 privacy ( früher: Datenschutz )
Die Idee vom Datenschutz privacy ( früher: Datenschutz ) Sicherung der freien Entscheidung, wer welche Informationen über meine Person erhält. Die Menschen werden vor einem Übermaß an Datenerhebungen geschützt. Jede Datenverwendung muß sozial und rechtlich legitimiert sein security/safety ( = Datensicherheit) Die Daten werden vor der (nicht immer freundlichen) Umwelt geschützt. privacy ( früher: Datenschutz ) · Schutz vor (unnötigen) Datenermittlungen · Schutz vor (unnötigen) Datenübermittlungen · Schutz vor (unnötigen) Datenverknüpfungen Grundrecht durch die Europäishen Menschenrechtskonvetion gesichert security/safety ( = Datensicherheit) · Vorbeugung vor Katastrophen und Betriebsstörungen, SW- und HW-Ausfällen (safety) · Sicherung der EDV-gerecht gespeicherten Daten vor unberechtigten Verwendungen (security) · Abwehr krimineller Störungen (security) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

4 1958 EMRK in Österreich ratifiziert
Der Weg zum neuen Datenschutz DSG Novelle (Betroffenenrechte) OECD Empfehlung DS Europaratsübereinkommen DS Inkrafttreten der Europäischen Menschenrechtskonvention in Österreich DSG78 wird verabschiedet DSG78 tritt in Kraft Verordnung über gleichwertige Datenschutzgesetzgebungen Verabschiedung des Europaratsübereinkommens OECD-Empfehlung für den Schutz des Persönlichkeitsbereiches und des grenzüberschreitenden Datenverkehrs personenbezogener Daten Artikel 8 der Europäischen Menschenrechtskonvention (1) Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs. (2) Der Eingriff einer öffentlichen Behörde in die Ausübung dieses Rechts ist nur statthaft, insoweit dieser Eingriff gesetzlich vorgesehen ist und eine Maßnahme darstellt, die in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig ist. Gleichwertigkeitsverordnung Inkrafttreten DSG78 DSG78 verabschiedet EMRK in Österreich ratifiziert VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

5 1.1.2000 Inkrafttreten DSG 2000 Der Weg zum neuen Datenschutz
???? Regelungen zu Biometrie & Videoüberwachung Inkrafttreten DSG 2000 Verlautbarung DSG2000 Beschlußfassung DSG2000 Ende Umsetzungsfrist DSG78-Novelle 1986 tritt in Kraft u.a. Verbesserung der Auskunfts- verfahren, internationaler Datenverkehr Österreich ratifiziert Europaratsübereinkommen Datenschutzkommission erhält Verfassungsrang EU-Richtlinie Datenschutz tritt in Kraft, Jahre Übergangsfrist Ende der Frist zur Anpassung des öDSG Nationalrat beschließt DSG2000 DSG2000 wird im Bundesgesetzblatt publiziert DSG2000 tritt in Kraft bis es fehlen noch wesentliche Verordnungen Inkrafttreten EU Richtlinie Verfassungsbestimmung zur DSK Europaratsübereinkommen ratifiziert VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

6 Umsetzung der EU-Richtlinie "Datenschutz" Nachfolge des "alten" DSG
DSG Grundlagen Umsetzung der EU-Richtlinie "Datenschutz" Nachfolge des "alten" DSG Versuch auf die neuen Herausforderungen vernetzter Informationssysteme zu reagieren soll Privatsphäre und Informationsaustausch sichern "Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" (Datenschutzrichtlinie 95/46/EG) Die Richtlinie soll gleichermaßen den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten den freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten sichern Das DSG2000 wurde am im Bundesgesetzblatt publiziert (BGBl. I Nr. 165/1999) Inkrafttreten am , Übergangsfristen , Neue Spezialbestimmungen, wie Informationspflicht, Informationsverbundsysteme und automatisierte Entscheidung Noch nicht umgesetzt (Stand ) - Frankreich - Irland VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

7 Ziele neuer Datenschutzregelungen:
DSG Grundlagen Ziele neuer Datenschutzregelungen: Datenverarbeitungen sind allgegenwärtig Datenverarbeitungen hat für die Betroffenen transparent zu sein Sowohl öffentlich-rechtliche, als auch privat-rechtliche Datenverarbeitungen können Grundrechte gefährden Wesentlich ist der Schutz der Privatsphäre, nicht die Regulierung der Verarbeitungsform Schwerpunkt liegt in der Schaffung "fairer" Vereinbarungen mit Betroffenen Ziele alter Datenschutzregelungen Eindämmen der Datenverarbeitungen Datenverarbeitungen müssen registriert werden Elektronische Datenverarbeitung wird als "gefährlicher" als konventionelle Datensammlungen eingestuft Ein staatlicher "Big Brother" muß verhindert werden Einzelne Verarbeitungsschritte müssen gesondert geregelt werden Wenige Personen haben Zugang zur EDV VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

8 Umsetzungsstand in den EU Staaten
 Vollständig umgesetzt  Nicht umgesetzt vollständig umgesetzt Griechenland ( ) Portugal ( ) Schweden ( ) Italien ( ) Belgien ( ) Finnland ( ) Österreich ( ) Spanien ( ) Vereinigtes Königreich (GB) ( ) Dänemark Luxemburg Deutschland Niederlande nicht umgesetzt  Frankreich  Irland Stand: VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

9 EU-Richtlinie Anwendungsbereich
Welches Datenschutzrecht ist anzuwenden? aus dem DSG2000 §3 (Verfassungsbestimmung) EU-weit gilt die Zuständigkeit jener Gesetzgebung, wo der Auftraggeber ("für die Verarbeitung Verantwortliche") seine Niederlassung hat. DSG2000 gilt nicht für den bloßen Datentransport durch Österreich Geltung des DSG2000 ist nicht von der österreichischen Staatsbürgerschaft abhängig, ebenso nicht vom Aufenthalt des Betroffenen in Österreich §3 Abs. 1 spricht von „Verwendung von personenbezogenen Daten im Inland“ VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

10 Betroffener in Österreich Betroffener nicht in Österreich
EU-Richtlinie Anwendungsbereich Auftrag- geber DV-Anwendung in Österreich Betroffener in Österreich Betroffener nicht in Österreich in Österreich Ja öDSG2000 öDSG2000 Nein, EU EU-xDSG EU-xDSG Nein, nicht EU öDSG2000 öDSG2000 eu-xDSG steht für das länderspezifische DSG des jeweiligen Standort-EU-Landes DV-Anwendung = Niederlassungsprinzip, dort wo Daten anfallen, also in einer Filiale Das Niederlassungsprinzip wird unklar, wenn es sich um Onlineverarbeitungen handelt. Allgemein wird davon ausgegangen, dass es der Firmensitz des anbietetnden Unternehmens ist, sofern dies auf der Onlineseite (z.B. Web-Seite) eindeutig und klar erkennbar ist. Ansonsten wäre der Ort, an dem der Betroffene die Onlineanwendung tätigt und damit Daten bekanntgibt, heranzuziehen. nicht in Österr. aber EU Ja öDSG2000 öDSG2000 Nein EU-xDSG EU-xDSG weder Österr. noch EU Ja öDSG2000 öDSG2000 Nein ??DSG ??DSG VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

11 Geheimhaltungsanspruch Einschränkungen der Geheimhaltung
DSG Grundlagen Grundsätzlich gilt die Geheimhaltung aller persönlicher Daten DSG2000 §1 (Verfassungsbestimmung) Geheimhaltungsanspruch Einschränkungen der Geheimhaltung Subjektive Rechte zweiteilige Rechtsdurchsetzung Umfangreiche Entscheidungspraxis DSG2000 §1 Verfassungsbestimmung "(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht..." Einschränkung dieser Rechte nur mit Zustimmung des Betroffenen, zur Wahrung lebenswichtiger Interessen des Betroffenen oder laut Art. 8 Abs. 2 der europäischen Menschenrechtskonvention aufgrund von Gesetzen. Weitere Verarbeitungsbeschränkungen für den öffentlichen Bereich ("Wahrung wichtiger öffentlicher Interessen") bei "besonders schutzwürdigen Daten" ("sensible Daten") Festlegung der subjektiven Rechte: Auskunfts-, Richtigstellungs- und Löschungsrecht Festlegung der Rechtsdurchsetzung / Zivilrechtsweg VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

12 Betroffenenrecht - Geheimhaltung (§1ff)
DSG Grundlagen Betroffenenrecht - Geheimhaltung (§1ff) Achtung der Privatsphäre gem. Art. 8 EMRK "(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht..." Einschränkungen möglich aufgrund - der Zustimmung des Betroffenen - lebenswichtiger Interessen des Betroffenen - von Gesetzen (Behörden) - Wahrung überwiegender Interessen Dritter "(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs.2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden." Einschränkung bezieht sich auf Behörden, diese bedürfen für ihr Tätigwerden eine gesetzliche Grundlage: - gesetzliche Verpflichtung - gesetzliche Ermächtigung - notwendige Voraussetzung für gesetzliches Handeln Bei Privaten genügen berechtige Zwecke ihrer Tätigkeit: - Statuten - Gesellschaftsverträge - Gewerbeordnung, ... VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

13 Entscheidungen zu DSG2000 §1 (I) 120.777/003-DSK/2002 ("SV-Auskunft")
DSG Grundlagen Entscheidungen zu DSG2000 §1 (I) /003-DSK/2002 ("SV-Auskunft") Auskunft über Beschäftigung im Rahmen eines Unterhaltsverfahrens /004-DSK/2002 ("Fahrtüchtigkeit") Weitergabe Daten eine an Verkehrsbehörde /32-DSK/00 ("Lehrerliste") Weitergabe einer Lehrerliste an Postbediensteten /22-DSK/00 ("Autowrack") Weitergabe Daten eines Beschuldigten an lokale Zeitung /003-DSK/2002: "..zuerst der Unterhaltspflichtige zu befragen ist und nur dann, wenn dies nicht zum Ziel führt, der Arbeitgeber oder der zuständige Sozialversicherungsträger zur Auskunft heranzuziehen ist. Dies entspricht auch dem datenschutzrechtlichen Grundsatz, wonach stets das gelindeste zum Ziel führende Mittel anzuwenden ist, wenn durch die Ermittlung (oder Übermittlung) von Daten in die schutzwürdigen Geheimhaltungsinteressen einer Person eingegriffen wird. ." /004-DSK/2002: "Im Beschwerdefall steht fest, dass der Amtsarzt Bedenken hinsichtlich der Sehkraft des Beschwerdeführers und damit seiner Tauglichkeit zum Lenken von Kraftfahrzeugen... hatte. Das Lenken von Kraftfahrzeugen stellt eine an sich gefährliche Tätigkeit dar, für die der Gesetzgeber nicht ohne Grund den Nachweis gesundheitlicher Eignung fordert. Durch Teilnahme einer körperlich un- oder mindertauglichen Person am Straßenverkehr als Lenker eines Kraftfahrzeugs wird eine Gefahr hervorgerufen, die das Leben und die körperliche Unversehrtheit des Betroffenen bedroht. Damit war eine Situation gegeben, in der lebenswichtige Interessen des Betroffenen selbst die Übermittlung von Daten an die zuständige Führerscheinbehörde zulässig machten, um den noch nicht völlig klargestellten Sachverhalt zumindest einer Überprüfung unterziehen zu können." (RIS-Leitsatz) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

14 Vergleiche dazu im Gegensatz: Vorarlberger Adressbücher
/32-DSK/00: "Ein Bediensteter der Post ließ sich unter dem Vorwand, diese Daten 'für postalische Zwecke' zu benötigen, eine Liste der an einer Schule tätigen Lehrer schicken, verwendete die Daten aber anschließend dazu, um für einen anderen privaten Auftraggeber Werbesendungen zu adressieren. ... Die Daten der inkriminierten 'Lehrerliste' sind Daten, die lediglich eine Information darüber enthalten, dass durch Namen (einschl. Titel) bezeichnete bestimmte Personen die öffentliche Funktion eines Lehrers an einer bestimmten öffentlichen Schule (mit Schuladresse) ausüben. Es handelt sich hiebei um Daten an welchen iSd § 1 Abs. 1 DSG kein schutzwürdiges Geheimhaltungsinteresse behauptet werden kann, da diese Daten jedermann unschwer zugänglich sind (wie hier Jahrbücher, in sonstigen Fällen auch Amtskalender, Internetpräsentationen, usw.)." (RIS) Vergleiche dazu im Gegensatz: Vorarlberger Adressbücher /22-DSK/00: "Der Beschwerdeführer, ein Exekutivbeamter, befand sich wegen des Abstellens eines Autowracks auf öffentlichem Gut im Streit mit einer Gemeinde. Deren Bürgermeister veranlasste eine Datenübermittlung per Fax betreffend gegen den Beschwerdeführer erstattete Verwaltungsstrafanzeigen unter anderem an die Redaktion einer lokalen Wochenzeitung. ... Zusätzlich musste das belangte Organ erkannt haben, dass schutzwürdige Geheimhaltungsinteressen des Beschwerdeführers durch eine Datenübermittlung an ein Medienunternehmen oder dessen Mitarbeiter (§ 1 Abs 1 Z 6 und 11 MedienG) in besonderem Maße gefährdet wurden." (RIS) IT-Praxis SS03

15 Entscheidungen zu DSG2000 §1 (II)
DSG Grundlagen Entscheidungen zu DSG2000 §1 (II) /3-DSK/00 ("unstrukturierte Datensammlungen") Grundrecht auf Geheimhaltung gilt grundsätzlich allen personenbezogenen Datensammlungen /14-DSK/00 ("Briefaushang") Aushang eines Briefes nicht grundsätzlich ein Geheimhaltungsbruch /8-DSK/00 ("Tratsch&Klatsch") Bloße Kenntnisnahme von geheimhaltungswürdigen Informationen noch kein Geheimnisbruch Wichtig! Abgrenzung zur Datenermittlung! /3-DSK/00: "Liegen die relevanten Daten, die für den Inhalt eines Behördenaktes [hier: aus dem Bereich des Waffenrechts] typischerweise zu erwarten sind, nicht in automationsunterstützt verarbeiteter Form vor, sondern sind sie unstrukturiert auf dem Papier der einzelnen Aktenstücke festgehalten, kommt als verletztes subjektives Recht nur das Grundrecht auf Datenschutz gemäß § 1 Abs. 1 DSG in Frage." (RIS) /14-DSK/00: "Schreiben Privater oder Firmen oder Institutionen, die den Direktor und die Kollegenschaft betreffen, werden, je nach Inhalt und Bedeutung, im Konferenzzimmer oder Sozialraum zur allgemeinen Kenntnisnahme ausgehängt. Auf Grund der allgemein gehaltenen Adressierung scheint die gewählte Vorgangsweise des BRG durch Aushang im Konferenzzimmer, das prinzipiell nur der Lehrerschaft zugänglich ist, als durchaus angemessen." (RIS) /8-DSK/00: "Das belangte Organ kann aber weder für allgemeinen Tratsch noch für Handlungen naher Angehöriger des Beschwerdeführers verantwortlich gemacht werden. Die bloß passive Kenntnisnahme von dem belangten Organ hinterbrachten Angaben, mögen diese auch als personenbezogene Daten zu werten sein, stellt keinen Eingriff in das Grundrecht dar." (RIS) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

16 "Daten" ("personenbezogene Daten") DSG2000 §4 Z1
DSG Grundlagen "Daten" ("personenbezogene Daten") DSG2000 §4 Z1 "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" Entscheidung DSK /16-DSK/00 "Verwandtschaft und Wohnungsnutzung" Daten zu Verwandtschaft und Wohnungsnutzung fallen unter den Datenbegriff und können sogar in den Bereich 'sensible Daten' (Z2) fallen. DSG2000 §4 Z1 ,,Daten" "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; "nur indirekt personenbezogen" sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann." DSK /16-DSK/00: "Daten betreffend Verwandtschaftsverhältnisse und Wohnungsnutzung gehören zur Privatsphäre des einzelnen. Insbesondere Angaben über Verwandtschaftsverhältnisse gehören schon zu einem sehr intimen und höchstpersönlichen Lebensbereich und bilden wegen möglicher Schlussfolgerungen auf 'rassische und ethnische Herkunft' einer Person geradezu einen Grenzfall zum besonders schutzwürdigen Bereich der sensiblen Daten" (RIS) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

17 "sensible" Daten (DSG2000 §4 Z2) Daten natürlicher Personen über
DSG Grundlagen "sensible" Daten (DSG2000 §4 Z2) Daten natürlicher Personen über rassische und ethnische Herkunft politische Meinung Gewerkschaftszugehörigkeit religiöse und philosophische Überzeugung Gesundheit Sexualleben zusätzlich: "besonders schutzwürdige" Daten Der Begriff „sensible Daten“ wurde in der EU-Richtlinie abschliessend definiert und kann durch Österreich weder eingeengt, noch erweitert werden. Sonderregelung Österreich: "besonders schutzwürdige" Daten Daten im Zusammenhang mit der Strafrechtspflege, der Beurteilung der Kreditwürdigkeit oder die in Form von Informationsverbundsystemen betrieben werden, werden in der EU-Richtlinie nicht als sensible Daten eingestuft, sie werden jedoch im DSG2000 unter besonderen Schutz gestellt. Sie nehmen damit eine Zwischenstellung zwischen sensiblen und „normalen“ Daten ein. Biometrische Daten (Fingerabdruck, Augenfarbe, ...) werden nur dann als sensible Daten einzustufen sein, wenn sie Rückschlüsse auf den Gesundheitszustand erlauben. Das Problem kann eine Kombination einzelner, für sich allein nicht sensibler biometrischer Daten sein, z.B. die Kombination Körpergewicht/Körpergröße erlaubt sehr wohl Rückschlüsse auf den Gesundheitszustand. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

18 Personenbezogene Daten
DSG Grundlagen Personenbezogene Daten Indirekt personen-bezogene Daten personenbezogene Daten besonders schutzwürdige Daten sensible Daten (1) direkt personenbezogene Daten sind Daten, die unmittelbar einsichtig mit einer Person verknüpft sind (Daten, die zur Personenidentifikation dienen) Name, Geburtsdatum, Wohnanschrift und dazu in direkter Verbindung: Personalnummer, SV-Nummer, persönliche Merkmale und Eigenschaften, Zugehörigkeiten zu bestimmten Gruppen und Bereichen, bestimmte Qualifikationen und Rechte (2) direkt personenbezogene Daten sind Daten, die mit (1) verknüpft sind Daten, etwa in relationalen Datenbanksystemen, die über eine eindeutige Kennung mit einer Person verbunden werden können (Buchungsinformationen, Produktionsinformationen, Kommunikations- und Konsumdaten, ...) (3) direkt personenbezogene Daten sind Daten, die mit hoher Wahrscheinlichkeit mit (1) verknüpft sind Daten, die ein Auftraggeber durch Berücksichtigung von Zusatzinformationen oder eigenen Erhebungen einer bestimmten Person zuordnen kann (4) indirekt personenbezogene Daten sind Daten, die ein Auftraggeber zwar nicht mehr legalerweise einer Person zuordnen kann, jedoch andere Stellen oder Auftraggeber. (5) sensible Daten sind bestimmte abschließend aufgezählte Datenarten ( DSG2000 §4 Z2) (6) besonders schutzwürdige Daten: österreichische Sonderformulierung für sensible daten + Daten aus der Strafrechtspflege, Informaitonsverbundsystemen und zur Beurteilung der Kreditwürdigkeit von Personen VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

19 EU-Ansatz geht in entgegengesetzte Richtung
DSG Grundlagen Regelungen zu den "indirekt" personenbezogenen Daten (DSG2000 §4 Z1, §8, 9, 12, 17, 29, 46) DSG2000 geht generell von "keiner Verletzung von Geheimhaltungspflichten" aus genehmigungsfreie Übermittlung ins Ausland kein Recht auf Auskunft, Löschung, Berichtigung und Widerspruch keine Meldepflicht, Registrierungspflicht Verwertbarkeit für wissenschaftliche Zwecke und Statistik EU-Ansatz geht in entgegengesetzte Richtung Verwendung von "indirekt personenbezogenen Daten" verletzt gem. DSG2000 generell keine Geheimhaltungsinteressen (§§8, 9). §8 sieht Widerspruchsrecht vor (in Verbindung mit der Verwendung veröffentlichter Daten), §29 schließt dieses Widerspruchsrecht aus Übermittlung in das Ausland ist genehmigungsfrei, wenn Daten für Empfänger "indirekt personenbezogenen" sind (§12) Die subjektiven Rechte "Auskunft" (§26), "Löschung/Berichtigung" (§27) und "Widerspruch" (§28) finden keine Anwendung (§29) Es besteht keine Meldepflicht (§17) Daten dürfen für wissenschaftliche Zwecke und Statistik erwendet werden (§46) EU-Konzept der „indirekt personenbezogenen Daten“, deren Geheimhaltung zu sichern ist wurde vom österreichischen Gesetzgeber (anscheinend) nicht verstanden: Geheimhaltungsinteressen werden dann nicht verletzt, wenn der Auftraggeber sicherstellt, dass bei der weiteren Verwendung der Daten (inkl. Übermittlung) kein personenbezug hergestellt werden kann. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

20 "Auftraggeber" / Verantwortlicher einer Datenanwendung (DSG2000 §4 Z4)
DSG Grundlagen "Auftraggeber" / Verantwortlicher einer Datenanwendung (DSG2000 §4 Z4) "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft" Entscheidung DSK /002-DSK/2001 "Auftraggeber können auch sonstige Personengemeinschaften sein" DSG2000 §4 Z1 ,,Auftraggeber" "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten für einen bestimmten Zweck zu verarbeiten (Z 9), und zwar unabhängig davon, ob sie die Verarbeitung selbst durchführen oder hiezu einen anderen heranziehen. Als Auftraggeber gelten die genannten Personen, Personengemeinschaften und Einrichtungen auch dann, wenn sie einem anderen Daten zur Herstellung eines von ihnen aufgetragenen Werkes überlassen und der Auftragnehmer die Entscheidung trifft, diese Daten zu verarbeiten. Wurde jedoch dem Auftragnehmer anläßlich der Auftragserteilung die Verarbeitung der überlassenen Daten ausdrücklich untersagt oder hat der Auftragnehmer die Entscheidung über die Art und Weise der Verwendung, insbesondere die Vornahme einer Verarbeitung der überlassenen Daten, auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß § 6 Abs. 4 eigenverantwortlich zu treffen, so gilt der mit der Herstellung des Werkes Betraute als datenschutzrechtlicher Auftraggeber;" /002-DSK/2001: "..sondern auch Personengemeinschaften, welchen es zwar an einer eigenen Rechtspersönlichkeit mangelt, die aber durch ihre Bezeichnung sowie die gemeinsamen Ziele und Aufgaben der Mitglieder eine hinlänglich unterscheidbare Entität sind." (RIS) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

21 Wer ist ein Dienstleister? (DSG2000 §§ 4, 10, 11)
DSG Grundlagen Wer ist ein Dienstleister? (DSG2000 §§ 4, 10, 11) Es ist eine ausdrückliche Vereinbarung zu treffen Gewährleistung eines sicheren Betriebes Informationspflicht an die DSK, bei bestimmten Datenanwendungen nur auftragsgemäße Verwendung der Daten zu Sicherheitsmaßnahmen verpflichtet Subunternehmer nur mit Billigung des Auftraggebers Auskunft, Richtigstellung und Löschung muß möglich sein (Widerspruch wurde vergessen zu erwähnen) Übergabe, Aufbewahrung oder Vernichtung der Daten nach Ende der Dienstleistung Informationspflicht an den Auftraggeber Auftraggeber muß Informationen zur Gewährleistung des sicheren Betriebs einholen Informationspflicht der DSK bei Beiziehung eines Dienstleisters bei Datenanwendungen, die der Vorabkontrolle unterliegen; DSK kann Bedenken äußern Dienstleister darf Daten nur auftragsgemäß verwenden (§11 Abs. 1 Z1) muß Sicherheitsmaßnahmen ergreifen (§11 Abs. 1 Z2) weitere Dienstleister sind nur mit Billigung des Auftraggebers möglich (§11 Abs. 1 Z3) bei Bedarf sind die technisch-organisatorischen Maßnahmen für Auskunftsrecht, Richtigstellung und Löschung zu schaffen (§11 Abs. 1 Z4) Fehlt Hinweis auf Widerspruchsrecht! nach Ende der Dienstleistung sind alle Unterlagen auftragsgemäß zu behandeln (Übergabe / Aufbewahrung / Vernichtung) (§11 Abs. 1 Z5) Dienstleister trifft Informationspflicht, damit Auftraggeber Z1-5 wirksam kontrollieren kann (§11 Abs. 1 Z6) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

22 Entscheidung 6Ob148/00h "Abgrenzung Akten und Datei"
DSG Grundlagen "Datei" (DSG2000 §4 Z6) "strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind" Entscheidung 6Ob148/00h "Abgrenzung Akten und Datei" Unter Datei sind daher Karteien und Listen, nicht aber Akten und Aktenkonvolute zu verstehen. DSG2000 §4 Z6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind" 6Ob148/00h: "Obwohl das Gesetz dies weder im § 1 DSG idgF noch in den Begriffsbestimmungen des § 4 DSG ausdrücklich zum Ausdruck bringt, ist es nach der systematischen und teleologischen Interpretation nicht zweifelhaft, dass das Recht auf Datenschutz gemäß § 1 leg cit nur solche personenbezogenen Daten betreffen kann, die in einer Datei aufscheinen, also nach der gesetzlichen Begriffsdefinition in einer strukturierten Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind." (RIS) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

23 ,,Datenanwendung'' (früher: ,,Datenverarbeitung'') DSG2000 §4 Z7, §58
DSG Grundlagen ,,Datenanwendung'' (früher: ,,Datenverarbeitung'') DSG2000 §4 Z7, §58 "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte" DSG2000 kennt "besondere Datenanwendungen" Entscheidung DSK /7-DSK/00 "Urkunden und Aktensammlungen" Akten, Aktensammlungen und deren Deckblätter fallen nicht in den Anwendungsbereich des DSG 2000 Unberührt davon bleibt das Recht auf Akteneinsicht, das Auskunftspflichtgesetz, Regelungen des Arbeitsrecht (Personalakte) DSG2000 §4 Z7, §58 ,,Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung)" "Besondere" Datenanwendungen: - Verarbeitung sensibler Daten - Datensammlungen zur Beurteilung der Kreditwürdigkeit von Personen - Informationsverbundsysteme - Datensammlungen zur Strafrechtspflege DSK /7-DSK/00: "Der Papierakt, in den das betreffende Gutachten eingeordnet wurde, stellt auch keine manuelle Datei gemäß § 4 Z 6 DSG 2000 dar. Das Gesetz versteht darunter eine strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind...." (RIS) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

24 "Übermitteln von Daten" (DSG2000 §4 Z12)
DSG Grundlagen "Übermitteln von Daten" (DSG2000 §4 Z12) "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister" Entscheidung DSK /16-DSK/00 "technisch unabhängig" Übermittlung ist unabhängig von der technischen Methode Verschiedene Gesetze können unterschiedliche Regelungen enthalten, im DSG 2000 ist Übermittlung an Vorliegen einer 'Datenanwendung' geknüpft. DSG2000 §4 Z12 "Übermitteln von Daten" "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen solcher Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers" /16-DSK/00: "‘Übermittelt’ im Sinne von § 21 Abs 2 AsylG werden Daten dann, wenn Sie von einem österreichischen Staatsorgan jedwedem amtlichen Organ des Herkunftsstaates, insbesondere innerstaatlichen Behörden, diplomatischen, berufskonsularischen oder honorarkonsularischen Vertretungen, in irgendeiner Form personenbezogen mitgeteilt werden." (RIS) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

25 Entscheidung OGH 6 Ob 179/02f ("CA-BA")
DSG Grundlagen "Zustimmung" (DSG 2000 §4 Z14) "die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, daß er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt" Entscheidung OGH 6 Ob 179/02f ("CA-BA") siehe auch: OGH 6 Ob 16/01y ("MOBILKOM") OGH 4Ob28/01y ("Creditanstalt") OGH 7 Ob 170/98w ("Friends-of-Merkur") OGH 4Ob28/01y ("Creditanstalt"): Relevante Passage: "Der Kontoinhaber ist damit einverstanden, dass die Bank alle im Zusammenhang mit der Eröffnung und Führung des Kontos/Depots stehenden Daten an eine zentrale Evidenzstelle und/oder an Gemeinschaftseinrichtungen von Kreditunternehmungen übermitteln kann." RIS-Kommentar: "Eine wirksame Zustimmung zur Verwendung nichtsensibler Daten liegt nur vor, wenn der Betroffene weiß, welche seiner Daten zu welchem Zweck verwendet werden. Diesem Erfordernis wird eine Vertragsbestimmung nicht gerecht, die als Empfänger "eine zentrale Evidenzstelle und/oder Gemeinschaftseinrichtungen von Kreditunternehmungen" nennt. ... So kann für sich allein durchaus klaren und verständlichen Klauseln die Sinnverständlichkeit fehlen, wenn zusammenhängende Regelungen und ihre nachteiligen Effekte deshalb nicht erkennbar werden, weil die einzelnen Teile an versteckten oder nur schwer miteinander in Zusammenhang zu bringenden Stellen, etwa in verschiedenen Klauseln, geregelt sind." siehe: VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

26 Die kritisierten Datenschutz-Bestimmungen
DSG Grundlagen OGH 6 Ob 179/02f ("CA-BA") Die kritisierten Datenschutz-Bestimmungen - AGB's Z26 / Z27 - Weitergabe an Kleinkreditevidenz/Warndateien / KSV1870 - Weitergabe an sonstige Einrichtungen zur Risikobeurteilung (Refinanzierungsgeber, Einlagen- und Anlegerentschädigungseinrichtungen, ...) - Entbindung vom Bankgeheimnis Die wichtigsten Punkte der Entscheidung - Hinweis auf Widerruf wesentlicher Teil der Zustimmung - besondere Informationspflicht in der Abgrenzung zustimmungspflichtiger Datenübermittlungen von anderen - Entbindung vom Bankgeheimnis muß auch bei oberflächlicher Kenntnisnahme klar und eindeutig sein - Widerspruch zu Treu und Glauben (§6 DSG 2000) OGH 6 Ob 179/02f ("CA-BA"): insgesamt wurden 11 Punkte aufgehoben Relevante Passage: "Z 26 Abs 1: Der Kunde erklärt sich einverstanden, dass das Kreditinstitut nachstehende Daten an die Kleinkreditevidenz und die Warnliste, die derzeit beim Kreditschutzverband von 1870 eingerichtet sind, übermittelt: Name, Anschrift, Geburtsdatum, Höhe der Verbindlichkeit, Rückführungsmodalitäten, Schritte des Kreditinstituts im Zusammenhang mit der Fälligstellung und der Rechtsverfolgung sowie den Missbrauch von Zahlungsverkehrsinstrumenten. Zweck der Übermittlung ist die Verwahrung, Zusammenführung und Weitergabe der vorstehend angeführten Daten durch den Empfänger an andere Kreditinstitute, Leasinggesellschaften und andere Finanzinstitute und Versicherungsunternehmen zur Wahrung ihrer Gläubigerschutzinteressen. Abs 2: Der Kunde erklärt sich auch damit einverstanden, dass den Kunden oder ein mit ihm konzernmäßig verbundenes Unternehmen betreffende Daten, die dem Kreditinstitut im Rahmen der Geschäftsverbindung mit dem Kunden bekannt geworden und zur Beurteilung der aus Geschäften mit der jeweils betroffenen Person oder Gesellschaft entstehenden Risken notwendig oder zweckmäßig sind (insbesondere Bilanzdaten), an - (potentielle) Konsortial-/Risikopartner des Kreditinstituts zur Risikobeurteilung im Rahmen des Konsortialgeschäfts, - Refinanzierungsgeber des Kreditinstituts, denen gegenüber die Forderungen des Kreditinstituts gegen den Kunden als Sicherheit dienen sollen (insbesondere Österreichische Nationalbank, Österreichische Kontrollbank AG, Europäische Zentralbank, Europäische Investitionsbank), zur Beurteilung der bestellten Sicherheiten, - Einlagen- und Anlegerentschädigungseinrichtungen des Fachverbandes, dem das Kreditinstitut angehört, im Rahmen eines Frühwarnsystems zur Beurteilung allfälliger von diesen Einrichtungen abzudeckenden Risken weitergegeben werden. Z 27: In den in Z 26 genannten Fällen entbindet der Kunde das Kreditinstitut ausdrücklich auch vom Bankgeheimnis." VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

27 Die wichtigsten Begriffe
DSG Grundlagen Die wichtigsten Begriffe Verwenden von Daten Z8 Auftraggeber Z4 Daten- anwendung Z7 Übermitteln Verarbeiten Z9 Z12 Überlassen Ermitteln Z10 Z11 Dienstleister Z5 - VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

28 Verwendung von Daten nach "Treu und Glauben" DSG2000 §6
DSG Grundsätze Verwendung von Daten nach "Treu und Glauben" DSG2000 §6 Umsetzung der Datenschutzkonvention des Europarates Verwendung nach Treu und Glauben (Abs. 1 Z1) Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (Abs. 1 Z2) Weiterverwendungsverbot für unvereinbare Zwecke (Abs. 1 Z2) Weiterverwendung für wissenschaftliche und statistische Zwecke ist zulässig (Abs. 1 Z2) DSG 2000 §6 (1) Daten dürfen nur 1. nach Treu und Glauben und auf rechtmäßige Weise verwendet werden; 2. für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden; die Weiterverwendung für wissenschaftliche oder statistische Zwecke ist nach Maßgabe der §§ 46 und 47 zulässig; 3. soweit sie für den Zweck der Datenanwendung wesentlich sind, verwendet werden und über diesen Zweck nicht hinausgehen; 4. so verwendet werden, daß sie im Hinblick auf den Verwendungszweck im Ergebnis sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind; 5. solange in personenbezogener Form aufbewahrt werden, als dies für die Erreichung der Zwecke, für die sie ermittelt wurden, erforderlich ist; eine längere Aufbewahrungsdauer kann sich aus besonderen gesetzlichen, insbesondere archivrechtlichen Vorschriften ergeben. (2) Der Auftraggeber trägt bei jeder seiner Datenanwendungen die Verantwortung für die Einhaltung der in Abs. 1 genannten Grundsätze; dies gilt auch dann, wenn er für die Datenanwendung Dienstleister heranzieht. (3) Der Auftraggeber einer diesem Bundesgesetz unterliegenden Datenanwendung hat, wenn er nicht im Gebiet der Europäischen Union niedergelassen ist, einen in Österreich ansässigen Vertreter zu benennen, der unbeschadet der Möglichkeit eines Vorgehens gegen den Auftraggeber selbst namens des Auftraggebers verantwortlich gemacht werden kann. (4) Zur näheren Festlegung dessen, was in einzelnen Bereichen als Verwendung von Daten nach Treu und Glauben anzusehen ist, können für den privaten Bereich die gesetzlichen Interessenvertretungen, sonstige Berufsverbände und vergleichbare Einrichtungen Verhaltensregeln ausarbeiten. Solche Verhaltensregeln dürfen nur veröffentlicht werden, nachdem sie dem Bundeskanzler zur Begutachtung vorgelegt wurden und dieser ihre Übereinstimmung mit den Bestimmungen dieses Bundesgesetzes begutachtet und als gegeben erachtet hat. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

29 Verwendung von Daten nach "Treu und Glauben" II
DSG Grundsätze Verwendung von Daten nach "Treu und Glauben" II Daten müssen für den Zweck der Datenanwendung wesentlich sein (Abs. 1 Z3) Verwendung muß im Ergebnis sachlich richtig sein (Abs. 1 Z4) DS-RL Art. 6 lit. d: Verwendung muß "sachlich richtig" sein Daten müssen, wenn nötig auf den neuesten Stand gebracht werden (Abs. 1 Z4) Aufbewahrung für die Erreichung der Zwecke notwendig (Ausnahmen, etwa aus gesetzlichen Gründen, wie Archive möglich) (Abs. 1 Z5) - VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

30 Grundlage einer rechtmässigen Datenverwendung (§7ff)
DSG Grundlagen Grundlage einer rechtmässigen Datenverwendung (§7ff) Zweistufiges Konzept Es muß eine Rechtsgrundlage für eine Datenanwendung geben (§7 Abs.1) Es muß eine Rechtsgrundlage für die Verwendung der konkreten Daten geben (§§7ff) Musterbeispiele: Auswertung von Girokonten zur Anbahnung von Bausparverträgen (OGH 4 Ob 114/91) Risikodatenbank der Anästhesisten bezüglich von Komplikationen bei der Narkose bei chirurgischen Eingriffen. Zweistufiges Konzept (a) Es muß eine Rechtsgrundlage für eine Datenanwendung geben (§7 Abs.1): "... von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt ..." Die Zulässigkeit ist gegeben, wenn der Grundrechtseingriff auf das erforderliche Maß beschränkt bleibt, mit den gelindesten Mitteln erfolgt und gemäß der Grundsätze nach §6 erfolgt. Diese Rechtsgrundlage ist nicht durch die Zustimmung des Betroffenen ersetzbar. (b) Es muß eine Rechtsgrundlage für die Verwendung der konkreten Daten geben (§§7ff) Eine der zulässigen Rechtsgrundlagen kann die Zustimmung des Betroffenen sein. Weitere Beispiele: - Veröffentlichung von Lebensläufen durch Schule - Adressenhandel der Post VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

31 Entscheidungen zu DSG2000 §7
DSG Grundlagen Entscheidungen zu DSG2000 §7 /4-DSK/00 ("Privatermittlungen") Vorliegen der Übermittlungsvoraussetzung führt nicht zum Recht Daten tatsächlich zu erhalten /8-DSK/00 ("Eigenwerbung") Zum Zwecke der "Eigenwerbung" dürfen auch Daten anderer Zwecke des Datenverarbeiters benutzt werden /4-DSK/00: "§ 7 Abs. 2 DSG 2000 regelt lediglich die Voraussetzungen, unter denen ein Auftraggeber Daten aus einer unter seiner Verantwortung geführten Datenanwendung übermitteln darf. Die Bestimmung verleiht aber kein subjektives Recht darauf, Daten übermittelt zu erhalten." (RIS) /8-DSK/00: "Ein ehemaliger Patient einer öffentlichen Krankenanstalt erhob Beschwerde , weil seine, aus dem ADV-Aufnahmebuch der Krankenanstalt stammenden Daten zur Versendung eines Spendenaufrufs an ihn selbst verwendet worden waren. Die Verwendung der Daten 'Name' und 'Adresse' des Patienten zum Zweck eines Spendenaufrufs (für eine Spendenaktion im Rahmen des Krankenhauses, deren Erlös zum Wohl der Patienten verwendet werden soll) erfolgt zu einem - mit dem Zweck der ursprünglichen Ermittlung der Daten kompatiblen - und der ursprünglichen Datenverarbeitung angelagerten Zweck, nämlich der Verwendung im Rahmen einer Art 'Eigenwerbung' der Krankenanstalt." (RIS) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

32 Wann dürfen Daten verwendet werden?
DSG Grundlagen Geheimhaltungsinteressen bei Datenverwendung (§8-nicht-sensible Daten, §9-sensible Daten) Wann dürfen Daten verwendet werden? (Auszug) - Rechtsgrundlage / gesetzliche Verpflichtungen - Zustimmung des Betroffenen - zulässig veröffentliche Daten - notwendige Voraussetzung - überwiegende Interessen Dritter Wann dürfen Daten verwendet werden? (Auszug) - ausdrückliche gesetzliche Ermächtigung oder Verpflichtung besteht (§8 Abs. 1 Z1) - ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Wahrung eines wichtigen öffentlichen Interesses besteht (§9 Z3) - Betroffener hat zugestimmt/Widerrufsrecht (§8 Abs. 1 Z2, §9 Z6) - lebenswichtige Interessen des Betroffenen (§8 Abs. 1 Z3, §9Z7) - zulässigerweise veröffentlichte Daten (§8 Abs. 2, §9 Z1) - indirekt personenbezogene Daten (§8 Abs. 2, §9 Z2) - überwiegende berechtigte Interessen des Aufftraggebers oder Dritter sind zu wahren (§8 Abs.1 Z4) - im öffentlichen Bereich: wesentliche Voraussetzung für gesetzlich übertragene Aufgabe (§8 Abs.3 Z1) - im öffentlichen Bereich: in Erfüllung der Amtshilfe (§8 Abs.3 Z2, §9 Z4) Wahrung lebenswichtiger Interessen eines Dritten (§8 Abs.3 Z3, §9 Z8) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

33 Entscheidungen zu DSG2000 §8/9
DSG Grundlagen Entscheidungen zu DSG2000 §8/9 /004-DSK/2001 ("Einsichtnahme") Sind Daten auch nur lokal einsehbar, gelten sie als veröffentlicht /001-DSK/2001 ("Geburtsdatum") Zusätzliche Daten dürfen auf Briefstücken nur aus besonderen Gründen angebracht werden /004-DSK/2001: "Bei den Daten des Wählerevidenzregisters, das nur eine Kompilation sämtlicher automationsunterstützter Wählerevidenzen der österreichischen Gemeinden darstellt, handelt es sich um Daten aus öffentlichen Registern, die jedermann auf Gemeindeebene einsehen kann. Damit handelt es sich um veröffentlichte Daten gemäß § 8 Abs 2 DSG 2000." (RIS) /001-DSK/2001: "Der Beschwerdeführer, ein Stellungspflichtiger, erhob Beschwerde wegen des Aufdrucks seines Geburtsdatums auf der Versandbanderole einer Broschüre. ...Gerade im vorliegenden Fall des offenen Versandes einer bloßen Informationsbroschüre kommt der Heranziehung des Geburtsdatums zu Adressierungszwecken daher nicht die Funktion der Gewährleistung der Geheimhaltung irgendwelcher 'sensibleren' Daten als dem Geburtsdatum des Empfängers zu." (RIS) Problembereich öffentlich zugängliche Daten - Wann ist Öffentlichkeit gegeben? (Beispiel: lokale Sportveranstaltungen) - Dürfen flüchtige öfffentlich zugängliche Informationen auf Dauer gespeichert werden? (Beispiel: Videokameras) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

34 Betroffenenrechte [Recht auf Geheimhaltung (§1ff)]
Informationsrecht (§24) Recht auf Auskunft (§26) Recht auf Berichtigung und Löschung (§27) Recht auf Widerspruch (§28) - Recht auf Widerruf (§8, 9) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

35 Betroffenenrecht - Informationspflicht (§24)
DSG Betroffenenrechte Betroffenenrecht - Informationspflicht (§24) Informationspflicht anläßlich Ermittlung Zweck Auftraggeber Spätestens zum Zeitpunkt der Übermittlung umfaßt auch notwendige weitere Informationspflichten Entfällt unter gewissen Bedingungen Informationspflicht ist "Bringschuld" ! Neuregelung Betroffene sind aus Anlaß der Ermittlung zu informieren Zweck der DA Namen/Adresse des Auftraggebers Notwendige weitere Informationen sind in geeigneter Weise zu geben: Widerspruchsrechte gegen Übermittlungen rechtliche Verpflichtung zur Beantwortung von Fragen Verarbeitung in einem Informationsverbundsystem, ohne gesetzlichen Auftrag Werden Daten nicht direkt beim Betroffenen ermittelt, entfällt die Informationspflicht: bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind bei mangelnder Erreichbarkeit der Betroffenen bei Unwahrscheinlichkeit der Beeinträchtigung der Betroffenenrechte / Höhe der Kosten der Information VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

36 Betroffenenrecht - Auskunft I (§26)
DSG Betroffenenrechte Betroffenenrecht - Auskunft I (§26) Auskunft ist auf Verlangen zu geben (Abs. 1) Auskunftsfrist sind 8 Wochen (Abs. 4) Betroffener hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3) ungerechtfertigter Aufwand ist zu vermeiden begründete Auskunftsverweigerung ist möglich Auskunftsrecht ist "Holschuld" ! Auskunftsbegehren kann mit Zustimmung des Auftraggebers mündlich gestellt werden (Abs. 1) Auskunft kann mit Zustimmung des Betroffenen mündlich erteilt werden (Abs. 1) Gründe für Auskunftsverweigerung zum Schutz des Betroffenen ("Therapeutisches Privileg") überwiegende berechtigte Interessen des Auftraggebers überwiegende berechtigte Interessen eines Dritten überwiegende öffentliche Interessen wenn Betroffener nicht mitwirkt wenn Kostenersatz nicht geleistet wird VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

37 Betroffenenrecht - Auskunft II (§26)
DSG Betroffenenrechte Betroffenenrecht - Auskunft II (§26) Auftraggeber hat Auskunft zu erteilen über die verwendeten Daten in allgemein verständlicher Form verfügbare Information über ihre Herkunft allfällige Empfänger oder Empfängerkreise von Übermittlungen Name und Adresse des Dienstleisters (muß vom Betroffenen extra verlangt werden) Kostenlose Auskunft ist zu erteilen (Abs. 6): Auskunft betrifft aktuellen Datenbestand und es erfolgte im laufenden Jahr noch keine Auskunft zum selben Aufgabengebiet des Auftraggebers In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden (Abs. 6) bei höheren tatsächlichen Kosten kann davon abgewichen werden Führt die Auskunft zu einer Löschung oder Richtigstellung, sind die Kosten auf jeden Fall zu ersetzen. Löschungsverbot von 4 Monaten (Abs. 7) Bei Beschwerde vor der DSK bis zum Abschluß des rechtskräftigen Verfahrens Bei per Gesetz eingerichteten öffentlich einsehbaren DA's ist das Auskunftsrecht auf den Umfang des Einsichtsrechts beschränkt (Abs. 8) Auskunftsrecht steht in Verfassungsrang und kann daher nicht ohne weiters gesetzlich eingeschränkt werden (siehe SPG) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

38 Entscheidungen zu DSG2000 §26
DSG Betroffenenrechte Entscheidungen zu DSG2000 §26 /010-DSK/2002 ("Mitwirkung") Mitwirkungspflicht inkludiert keine Beweislast /016-DSK/2002 ("Datengeheimnis") Daten- und Bankgeheimnis sind keine ernsthaften Auskunftsverweigerungsgründe, gemeinsame Auskunftsbegehren sind möglich. /016-DSK/2002 ("Beschwerdefrist") Beschwerde bei mangelhafter Auskunft kann nach Erteilung der Auskunft, noch vor Ablauf der 8-Wochenfrist eingebracht werden /010-DSK/2002: "Steht die Datenanwendung, über die Auskunft gegeben werden soll fest, und ist auch der zeitliche Rahmen des Auskunftsbegehrens in zumutbarer Weise abgegrenzt, dann bedarf es keiner weiteren Klarstellungen des Betroffenen. Die Mitwirkungsverpflichtung des Betroffenen nach § 26 Abs. 3 DSG 2000 darf insbesondere nicht dahingehend missverstanden werden, dass den Betroffenen die Beweislast dafür trifft, dass Übermittlungen tatsächlich stattgefunden haben." (RIS) /016-DSK/2002: "Die belangte Partei wendete unter anderem ein, die Auskunft hätte nicht vollständig erteilt werden dürfen, da keine Entbindung vom Daten- und Bankgeheimnis gegenüber den einschreitenden Rechtsanwälten der Beschwerdeführer und zwischen den Beschwerdeführern, einem Ehepaar, erfolgt sei. Entgegen den Argumenten der belangten Partei bewirkt die Erhebung einer Beschwerde wegen Verletzung des Auskunftsrechts vor Ablauf der achtwöchigen Frist gemäß § 26 Abs 4 DSG 2000 nicht die Unzulässigkeit der Beschwerde. Die Frist gemäß § 26 Abs 4 DSG 2000 ist eine materiellrechtliche Frist. Die belangte Partei hätte daher bis zum Ablauf dieser Frist Zeit gehabt, Auskunft zu erteilen oder eine Begründung zu geben, warum dies nicht geschehen kann. " (RIS) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

39 Betroffenenrecht - Löschung/Richtigstellung (§27)
DSG Betroffenenrechte Betroffenenrecht - Löschung/Richtigstellung (§27) Richtigstellungspflicht des Auftraggebers Frist ist 8 Wochen betrifft auch unvollständige Daten nicht benötigte und unzulässig verarbeitete Daten sind zu löschen Beweislast beim Auftraggeber (mit Ausnahmen) /003-DSK/2002 ("KPA-Löschung") Daten, die den angestrebten Zweck nicht erfüllen, sind zu löschen Richtigstellungspflicht des Auftraggebers (Abs. 1) Aus eigenem, sobald ihm die Unrichtigkeit der Daten bzw. Unzulässigkeit der Verarbeitung bekannt wurden (Z1) Auf begründeten Antrag des Betroffenen (Z2) Frist zur Löschung/Richtigstellung: 8 Wochen (Abs. 4) unvollständige Daten sind zu berichtigen, soweit es zum Zweck der Datenanwendung notwendig ist (Abs. 1) nicht benötigte Daten entsprechen unzulässig verarbeiteten Daten und sind zu löschen (Abs. 1) Ausnahme: die Archivierung der Daten ist rechtlich zulässig und der Zugang besonders geschützt Beweis der Richtigkeit liegt beim Auftraggeber (Abs. 2) Ausnahmen: gesetzlich anders angeordnet (!) Daten stammen ausschließlich vom Betroffenen /003-DSK/2002: "Können die verwendeten Daten aber den angesprochenen Zweck gar nicht erfüllen, so gibt es auch keine Notwendigkeit, sie nach Beendigung des Strafverfahrens weiter zu speichern." (RIS) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

40 Betroffenenrecht - Widerspruch / Widerruf
DSG Betroffenenrechte Betroffenenrecht - Widerspruch / Widerruf Zustimmung zur Verwendung von Daten kann widerrufen werden (§8) Widerspruch (§28) nur bei nicht gesetzlich vorgeschriebenen Datenanwendungen möglich Widerspruch bei überwiegenden, schutzwürdigen Gründen Widerspruch bei öffentlich zugänglichen Dateien Bei Widerruf wurden keine Fristen festgelegt, hier ist von sofortiger Wirksamkeit auszugehen. Widerruf kann erhoben werden, wenn der Betroffene selbst einer Verwendung zugestimmt hat. (DSG2000 §8 Abs.1 Z2): Bewirkt die Unzulässigkeit der weiteren Verwendung der Daten. Widerspruch: Löschungsfrist von 8 Wochen nicht bei indirekt personenbezogenen Daten Widerspruch kann eingelegt werden, wenn eine Datenanwendung nicht gesetzlich vorgesehen ist und die Geheimhaltungsinteressen in einer besonderen Situation überwiegen (DSG2000 §28 Abs.1). Das Widerspruchsrecht bezieht sich nicht auf indirekt personenbezogene Daten (§29) Ziel der DS-RL war es, dann Widerspruch zu ermöglichen, wenn eine Datenanwendung nicht gesetzlich vorgesehen ist und nicht im Interesse des Betroffenen ist. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

41 - Datenschutzkommission
DSG Betroffenenrechte Beschwerdestellen - Datenschutzkommission In allen Auskunftsfällen und für alle Bereiche bei allen öffentlich-rechtlichen Datenanwendungen - Zivilgericht In allen sonstigen Fällen, die durch das DSG 2000 geregelt sind - Europäische Kommission Für alle Bereiche der EU-Richtlinie Datenschutz, die nicht von nationalen Gesetzen und Behörden abgedeckt sind Die Datenschutzkommission hat den Sitz im Bundeskanzleramt. Zuständige 15 Landesgerichte: LG Eisenstadt, Feldkirch, Zivilrechtssachen Graz, Innsbruck, Klagenfurt, Korneuburg, Krems a/d Donau, Leoben, Linz, Ried/Innkreis, Salzburg, St. Pölten, Steyr, Wels, Zivilrechtssachen Wien VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

42 Sicherheit / Internet Cybercrime-Bestimmungen
Sicherheitsbestimmungen (DSG 2000 §14) Verschwiegenheitspflichten Spezifische Internetfragen Weitere Bestimmungen: - allgemeine Sorgfaltspflichten (z.B. GewO, ...) - Mitarbeiterbestimmungen (ArbVG §§96, 96a, BDG §79c) - Briefgeheimnis (StGG Art. 10, StGB §118) sicherheitstechnische Spezialregelungen: - Signaturgesetz + Verordnung - [in Vorbereitung] Gesundheitstelematik-Gesetz VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

43 "alte" Strafbestimmungen u.a.
DSG Sicherheit "alte" Strafbestimmungen u.a. - §126a StGB Datenbeschädigung - §148a StGB Betrügerischer Datenverarbeitungsmißbrauch - §118 Verletzung des Briefgeheimnisses und Unterdrückung von Briefen - §119 Verletzung des Telekommunikationsgeheimnisses - §122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses "Amts"-Bestimmungen - Schutz des Behörden"geheimnis" (StGB §§301, 302, 310) §126a StGB Datenbeschädigung Schädigung durch Verändern, Löschen oder sonst Unbrauchbarmachen von Daten Strafrahmen: 6 Monate, bei Schaden über = 2 Jahre, bei Schaden über = 6 Monate bis 5 Jahre §148a StGB Betrügerischer Datenverarbeitungsmißbrauch Eingriffe in die Ergebnisse einer Datenverarbeitung Strafrahmen: 6 Monate, bei gewerbsmäßiger Durchführung oder bei Schaden über = 3 Jahre, bei Schaden über = 1 bis 10 Jahre "Amts"-Bestimmungen - Verbotene Veröffentlichung §301 StGB - Mißbrauch der Amtsgewalt §302 StGB - Verletzung des Amtsgeheimnisses §310 StGB VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

44 DSG Sicherheit Bedeutung der bisherigen Computerbestimmungen Zahl der Verurteilungen Jahr Datenbeschädigung §126a Computerbetrug §148a Angezeigte Delikte: VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

45 Neue "cybercrime"-Bestimmungen (seit 1.10.2002)
DSG Sicherheit Neue "cybercrime"-Bestimmungen (seit ) - §118a Widerrechtlicher Zugriff auf ein Computersystem ["Hacken"] - §119a Missbräuchliches Abfangen von Daten - §126b Störung der Funktionsfähigkeit eines Computersystems [DOS-Attacken] - §126c Missbrauch von Computerprogrammen oder Zugangsdaten ["Cracken"] - §225a Datenfälschung In Planung (??.??.????) - Aufbewahrungspflicht für Telekom- und Internetdaten Anmerkungen zu den neuen Bestimmungen Grundsätzlich ist zu beachten, dass bei Strafbestimmungen ganz allgemein immer Vorsatz und Gewinn/Schädigungsabsicht gegeben sein müssen - Widerrechtlicher Zugriff auf ein Computersystem (§118a) Soll den Bereich "HACKEN" regeln, wobei bisher "akademisches" Hacken, ohne Verletzung einer der "alten" Delikte nicht strafbar war PROBLEMPUNKT: "spezifische Sicherheitseinrichtungen" - Missbräuchliches Abfangen von Daten (§119a) Analog zu den Bestimmungen des Briefgeheimnisses und des Telekommunikationsgeheimnisses sollen Eingriffe in den Datenverkehr ganz alkgemein erfaßt werden - Störung der Funktionsfähigkeit eines Computersystems (§126b) Soll "Denial-of-Service"-Attacken regeln - Missbrauch von Computerprogrammen oder Zugangsdaten (§126c) Soll "Cracker"-Programme und ähnliche Tools unter Strafe stellen PROBLEMPUNKT: Praktisch alle Cracker- und Hacker-Tools werden auch für Audit- und Monitoring-Maßnahmen eingesetzt - Datenfälschung (§225a) Soll Urkundenfälschung im Datenverkehr abdecken VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

46 DSG Sicherheit Neue Straf-Bestimmungen (Fortsetzung) Widerrechtlicher Zugriff auf ein Computersystem § 118a (1) Wer sich in der Absicht, sich oder einem anderen Unbefugten von in einem Computersystem gespeicherten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, zu einem Computersystem, über das er nicht oder nicht allein verfügen darf, oder zu einem Teil eines solchen Zugang verschafft, indem er spezifische Sicherheitsvorkehrungen im Computersystem verletzt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen. Missbräuchliches Abfangen von Daten § 119a (1) Wer in der Absicht, sich oder einem anderen Unbefugten von im Wege eines Computersystems übermittelten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, eine Vorrichtung, die an dem Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt oder die elektromagnetische Abstrahlung eines Computersystems auffängt, ist, wenn die Tat nicht nach § 119 mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. Störung der Funktionsfähigkeit eines Computersystems § 126b Wer die Funktionsfähigkeit eines Computersystems, über das er nicht oder nicht allein verfügen darf, dadurch schwer stört, dass er Daten eingibt oder übermittelt, ist, wenn die Tat nicht nach § 126a mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. Missbrauch von Computerprogrammen oder Zugangsdaten § (1) Wer 1. ein Computerprogramm, das nach seiner besonderen Beschaffenheit ersichtlich zur Begehung eines widerrechtlichen Zugriffs auf ein Computersystem (§ 118a), einer Verletzung des Telekommunikationsgeheimnisses (§ 119), eines missbräuchlichen Abfangens von Daten (§ 119a), einer Datenbeschädigung (§ 126a) oder einer Störung der Funktionsfähigkeit eines Computersystems (§ 126b) geschaffen oder adaptiert worden ist, oder eine vergleichbare solche Vorrichtung oder 2. ein Computerpasswort, einen Zugangscode oder vergleichbare Daten, die den Zugriff auf ein Computersystem oder einen Teil davon ermöglichen, mit dem Vorsatz herstellt, einführt, vertreibt, veräußert oder sonst zugänglich macht, dass sie zur Begehung einer der in Z 1 genannten strafbaren Handlungen gebraucht werden, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Nach Abs. 1 ist nicht zu bestrafen, wer freiwillig verhindert, dass das in Abs. 1 genannte Computerprogramm oder die damit vergleichbare Vorrichtung oder das Passwort, der Zugangscode oder die damit vergleichbaren Daten in der in den §§ 118a, 119, 119a, 126a oder 126b bezeichneten Weise gebraucht werden. Besteht die Gefahr eines solchen Gebrauches nicht oder ist sie ohne Zutun des Täters beseitigt worden, so ist er nicht zu bestrafen, wenn er sich in Unkenntnis dessen freiwillig und ernstlich bemüht, sie zu beseitigen. Datenfälschung § 225a Wer durch Eingabe, Veränderung, Löschung oder Unterdrückung von Daten falsche Daten mit dem Vorsatz herstellt oder echte Daten mit dem Vorsatz verfälscht, dass sie im Rechtsverkehr zum Beweis eines Rechtes, eines Rechtsverhältnisses oder einer Tatsache gebraucht werden, ist mit Freiheitsstrafe bis zu einem Jahr zu bestrafen. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

47 Sicherheitsbestimmungen (§14)
DSG Sicherheit Sicherheitsbestimmungen (§14) eher allgemein Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden: Stand der Technik entsprechend wirtschaftlich vertretbar angemessenes Schutzniveau muß erreicht werden Auffällig ist das FEHLEN konkreter Sicherheitshinweise keine Empfehlungen, keine Definitionen zum Stand der Technik, keine vorgeschriebenen Standards, kein freiwilliges Akkreditierungsverfahren MASSNAHMEN zur SICHERHEIT DSG 2000: „§ 14. (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich sind.“ - ausdrückliche Aufgabenverteilung - ausschließlich auftragsgemäße Datenverwendung - Belehrungspflicht der Mitarbeiter - Regelung der Zugriffs- und Zutrittsberechtigungen - Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten - Protokollierungspflicht - Dokumentationspflicht zur Kontrolle und Beweissicherung VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

48 Maßnahmen zur Sicherheit
DSG Sicherheit Maßnahmen zur Sicherheit ausdrückliche Aufgabenverteilung ausschließlich auftragsgemäße Datenverwendung Belehrungspflicht der Mitarbeiter Regelung der Zugriffs- und Zutrittsberechtigungen Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten Protokollierungspflicht Dokumentationspflicht zur Kontrolle und Beweissicherung - VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

49 Haftung bei fehlenden Datensicherheitsmaßnahmen
DSG Sicherheit Haftung bei fehlenden Datensicherheitsmaßnahmen OGH Entscheidung (9 Ob A 182/90) Sachverhalt: Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden. Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren. Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen". Weiter Informationen im ARGEDATEN - Archiv: Unter 9 Ob A 182/90 entschied am der OGH, daß bei fehlenden Datensicherungsmaßnahmen auf jeden Fall eine Haftung des Arbeitnehmers ausgeschlossen ist. Die Begründung im einzelnen: UUU war bis bei XXX beschäftigt. Er hatte dort Programmierarbeiten durchzuführen. Das Angestelltenverhältnis wurde durch vorzeitigen Austritt des Klägers beendet. Dieser hatte eine Entgeltforderung in der Höhe von S ,24. Diese Forderung wurde von XXX nicht bestritten, jedoch mit einem "Schaden" von S , der durch das Verschwinden und aufgrund einer fehlenden Dokumentation nicht mehr rekonstruierbaren Computerprogrammes entstand, gegengerechnet. Der Arbeitnehmer UUU klagte daher und erhielt in letzter Instanz recht. Bei Fehlen eines geeigneten Datensicherungs- bzw. Kennwortsystems und bei Fehlen entsprechender Arbeitgeberweisungen kann der Arbeitnehmer grundsätzlich nicht für den Verlust von EDV-Daten (Software) haftbar gemacht werden. Notwendig sind genaue Richtlinien unter anderem auch für die Vorgangsweise bei der Programmerstellung und das richtige und vollständige Dokumentieren. Bleiben die Weisungen unter diesen Gesichtspunkten unvollständig, so trägt der Arbeitgeber allein das Risiko, die entwickelte Software nur unvollständig oder überhaupt nicht nutzen zu können. Entscheidend kann für den Arbeitnehmer nur sein, ob er die vorgegebenen Weisungen eingehalten hat. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

50 Protokollierungsanforderungen (§14)
DSG Sicherheit Protokollierungsanforderungen (§14) Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z7) Protokollierungspflicht nicht registrierter Übermittlungen (Abs. 3) Verwendungsbeschränkung der Protokolldaten (Abs. 4, 5) Sicherheitsvorschriften müssen für Mitarbeiter jederzeit einschaubar sein (Abs. 6) Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z7) dies betrifft auch Abfragen müssen "im Hinblick auf die Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können" Protokollierungspflicht nicht registrierter Übermittlungen (Abs. 3) dies betrifft nur auskunftspflichtige Datenanwendungen Übermittlungen gemäß Standard- oder Musterverordnung sind nicht zu protokollieren Verwendungsbeschränkung der Protokolldaten (Abs. 4, 5) Protokolldaten dürfen nur eingeschränkt verwendet werden (Kontrolle der Zulässigkeit der Verwendung) unzulässig wäre die Kontrolle der Betroffenen oder der Mitarbeiter ( WWW-Log-Files!!) zulässig ist die Verwendung zur Aufklärung von Straftaten, die mit mehr als fünfjähriger Freiheitsstrafe bedroht sind Aufbewahrungsdauer ist drei Jahre, sofern gesetzliche Bestimmungen nichts anderes vorsehen Frühere Löschung zulässig, wenn betroffener Datenbestand ebenfalls gelöscht ist VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

51 Arbeitsrechtliche Bestimmungen
Mitarbeiterdaten ArbVG kennt spezifische Informations-, Zustimmungs- und "ersetzbare" Zustimmungspflichten Eingriffe in Arbeitsautonomie als "berühren" der Menschenwürde zustimmungspflichtig "Überwachung" als verletzen der Menschenwürde verboten Beispiele Telefondatenaufzeichnung Inhaltskontrolle von Mails Video-Aufzeichnung Kantinenabrechnung Analoge Bestimmungen existeiren auch im Beamtendienstrecht Allgemeine Information ArbVG § 91. (1) Der Betriebsinhaber ist verpflichtet, dem Betriebsrat über alle Angelegenheiten, welche die wirtschaftlichen, sozialen, gesundheitlichen oder kulturellen Interessen der Arbeitnehmer des Betriebes berühren, Auskunft zu erteilen. (2) Der Betriebsinhaber hat dem Betriebsrat Mitteilung zu machen, welche Arten von personenbezogenen Arbeitnehmerdaten er automationsunterstützt aufzeichnet und welche Verarbeitungen und Übermittlungen er vorsieht. Dem Betriebsrat ist auf Verlangen die Überprüfung der Grundlagen für die Verarbeitung und Übermittlung zu ermöglichen. Sofern sich nicht aus § 89 oder anderen Rechtsvorschriften ein unbeschränktes Einsichtsrecht des Betriebsrates ergibt, ist zur Einsicht in die Daten einzelner Arbeitnehmer deren Zustimmung erforderlich. (3) Wurde eine Betriebsvereinbarung gemäß § 97 Abs. 1 Z 18a abgeschlossen, so hat der Betriebsinhaber dem Betriebsrat den Prüfbericht oder dessen Kurzfassung (§ 21 Abs. 6 Pensionskassengesetz) und den Rechenschaftsbericht (§ 30 Abs. 5 Pensionskassengesetz) unverzüglich nach Einlagen von der Pensionskasse zu übermitteln. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

52 Arbeitsrechtliche Bestimmungen
Zustimmungspflichtige Maßnahmen ArbVG § 96. (1) Folgende Maßnahmen des Betriebsinhabers bedürfen zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrates: 1. Die Einführung einer betrieblichen Disziplinarordnung; 2. die Einführung von Personalfragebögen, sofern in diesen nicht bloß die allgemeinen Angaben zur Person und Angaben über die fachlichen Voraussetzungen für die beabsichtigte Verwendung des Arbeitnehmers enthalten sind; 3. die Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer, sofern diese Maßnahmen (Systeme) die Menschenwürde berühren; 4. insoweit eine Regelung durch Kollektivvertrag oder Satzung nicht besteht, die Einführung und die Regelung von Akkord-, Stück- und Gedinglöhnen, akkordähnlichen und sonstigen leistungsbezogenen Prämien und Entgelten - mit Ausnahme der Heimarbeitsentgelte -, die auf Arbeits(Persönlichkeits)bewertungsverfahren, statistischen Verfahren, Datenerfassungsverfahren, Kleinstzeitverfahren oder ähnlichen Entgeltfindungsmethoden beruhen, sowie der maßgeblichen Grundsätze (Systeme und Methoden) für die Ermittlung und Berechnung dieser Löhne bzw. Entgelte. (2) Betriebsvereinbarungen in den Angelegenheiten des Abs. 1 können, soweit sie keine Vorschriften über ihre Geltungsdauer enthalten, von jedem der Vertragspartner jederzeit ohne Einhaltung einer Frist schriftlich gekündigt werden. § 32 Abs. 3 zweiter Satz ist nicht anzuwenden. Ersetzbare Zustimmung ArbVG § 96a. (1) Folgende Maßnahmen des Betriebsinhabers bedürfen zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrates: 1. Die Einführung von Systemen zur automationsunterstützten Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten des Arbeitnehmers, die über die Ermittlung von allgemeinen Angaben zur Person und fachlichen Voraussetzungen hinausgehen. Eine Zustimmung ist nicht erforderlich, soweit die tatsächliche oder vorgesehene Verwendung dieser Daten über die Erfüllung von Verpflichtungen nicht hinausgeht, die sich aus Gesetz, Normen der kollektiven Rechtsgestaltung oder Arbeitsvertrag ergeben; 2. die Einführung von Systemen zur Beurteilung von Arbeitnehmern des Betriebes, sofern mit diesen Daten erhoben werden, die nicht durch die betriebliche Verwendung gerechtfertigt sind. (2) Die Zustimmung des Betriebsrates gemäß Abs. 1 kann durch Entscheidung der Schlichtungsstelle ersetzt werden. Im übrigen gelten §§ 32 und 97 Abs. 2 sinngemäß. (3) Durch die Abs. 1 und 2 werden die sich aus § 96 ergebenden Zustimmungsrechte des Betriebsrates nicht berührt. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

53 Inhalt einer Betriebsvereinbarung
Arbeitsrechtliche Bestimmungen Inhalt einer Betriebsvereinbarung Betroffener Personenkreis Systembeschreibung Gegenstand des Übereinkommens, Zweck der Verarbeitung Definition der verwendeten Daten Definition der Datennutzung Abgrenzung zu anderen Datenverarbeitungen Definition von Codes und Wertebereichen Maximale Dauer der gespeicherten Daten Vorgangsweise bei Änderung des Systems Anwendungs- und Auslegungsgrundsatz Schlichtungskommission Geltungszeitraum A. Betroffener Personenkreis Alle Bediensten B. Systembeschreibung Die Vereinbarung regelt die Verarbeitung auf dem EDV-System, bestehend aus folgenden Modulen: Die Erweiterung um zusätzliche Module bedarf Ergänzungen dieser oder der Verabschiedung eigener Betriebsvereinbarungen. C. Gegenstand des Übereinkommens, Zweck der Verarbeitung Die Datenverarbeitung dient (Angabe des Zwecks), Die Verwendung des Systems für Zwecke der Personalbeurteilung ist unzulässig, es sei denn es wird diesbezüglich eine eigene Betriebsvereinbarung abgeschlossen. D. Definition der verwendeten Daten Im Zusammenhang mit dem Datenverabreitungssystem sind die im Anhang I genannten Daten (Datenarten, Infotypen) zulässigerweise zu verarbeiten. Die Liste der taxativ angeführten Datenarten (Anhang I) bildet einen integralen Bestandteil dieser Betriebsvereinbarung. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

54 Arbeitsrechtliche Bestimmungen
E. Definition der Datennutzung Grundsätzlich hat die Nutzung der Daten in anonymisierter Form zu erfolgen. Personalisierte Nutzungen sind im unmittelbaren Zusammenhang mit dem oben genannten Zweck zulässig. Als anonymisierte Nutzung sind alle Verfahren anzusehen, die die Rückführbarkeit der Daten zu bestimmten Personen, auch unter Berücksichtigung betriebsinterner Informationen (Insider-Informationen) nicht mehr ermöglichen. Zu folgenden personenbezogenen Auswertungen wurde Übereinkunft zur Nutzung erzielt (Anhang II). Diese Liste ist integraler Bestandteil der Betriebsvereinbarung. Änderungen dieser Auswertungen bedürfen der Zustimmung des Betriebsrates. Ausgenommen davon sind Änderungen aufgrund geänderter gesetzlicher Anforderungen oder programmtechnisch bedingte Änderungen (Behebung von Auswertungs- und Berechnungsfehlern, Änderungen im stilistischen Erscheinungsbild der Auswertungen). F. Abgrenzung zu anderen Datenverarbeitungen Zu folgenden Datenverarbeitungen/Stellen dürfen Daten zulässigerweise übermittelt werden (Anhang III, integraler Bestandteil der Vereinbarung). Alle anderen Übermittlungen bedürfen der Zustimmung des Betriebsrates. Ausgenommen sind Übermittlungen aufgrund geänderter rechtlicher Voraussetzungen oder wenn der Betroffene die Übermittlung selbst wünscht bzw. veranlaßt. G. Definition von Codes und Wertebereichen Aufgrund der Sensibilität einzelner Datenfelder und zur Erhöhung der Transparenz der Datennutzung für die Mitarbeiter werden zu folgenden Datenarten die zulässigen Wertemengen abschließend definiert: H. Maximale Dauer der gespeicherten Daten Die maximale zulässige Speicherdauer der einzelnen Daten ist im Anhang I geregelt. Davon unberührt bleiben gesetzliche Aufbewahrungspflichten. I. Vorgangsweise bei Änderung des Systems Geplante Änderungen des DV-Systems, Ergänzungen der Datenarten, Auswertungen, Datencodes und Datenübermittlungen sind dem Betriebsrat so zeitgerecht mitzuteilen und zu begründen, daß ausreichende Verhandlungen über eine Änderung dieser Betriebsvereinbarung möglich sind. J. Anwendungs- und Auslegungsgrundsatz Betriebsrat und Betriebsführung verpflichten sich, bei der Auslegung und Anwendung dieser Betriebsvereinbarung von dem Grundsatz der Wirtschaftlichkeit auszugehen. Eine Anwendung der Betriebsvereinbarung in der Art, daß für das Unternehmen ein gegenüber dem Schutzzweck der Betriebsvereinbarung nicht gerechtfertigter Kostenaufwand oder eine eklatante Arbeitsbehinderung entsteht, ist ausgeschlossen. K. Schlichtungskommission Für alle mit dieser Betriebsvereinbarung zusammenhängende Fragen ist die Schlichtungskommission im Sinne der Rahmenbetriebsvereinbarung zuständig. Anrufung und Wirken werden in dieser Rahmenbetriebsvereinbarung geregelt. L. Geltung Die Betriebsvereinbarung gilt ab auf unbestimmte Zeit. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

55 Protokollierung vs. Mitarbeiterüberwachung
DSG Sicherheit Protokollierung vs. Mitarbeiterüberwachung Scheinbarer Widerspruch zwischen §96 ArbVG und §14 DSG 2000 Verschiedene Protokollierungszwecke bedeuten verschiedene Datenanwendungen (auch bei denselben Daten) Mitarbeiteranweisungen sind wesentlich! Vereinbarungen mit Betriebsrat/Personalvertretung sind zu beachten Maßnahmen zur Aufdeckung eines konkreten Mißbrauchs, sind immer zulässig! ArbVG § 96. (1) Folgende Maßnahmen des Betriebsinhabers bedürfen zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrates: ...... 3. die Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer, sofern diese Maßnahmen (Systeme) die Menschenwürde berühren; 4. insoweit eine Regelung durch Kollektivvertrag oder Satzung nicht besteht, die Einführung und die Regelung von Akkord-, Stück- und Gedinglöhnen, akkordähnlichen und sonstigen leistungsbezogenen Prämien und Entgelten - mit Ausnahme der Heimarbeitsentgelte -, die auf Arbeits(Persönlichkeits)bewertungsverfahren, statistischen Verfahren, Datenerfassungsverfahren, Kleinstzeitverfahren oder ähnlichen Entgeltfindungsmethoden beruhen, sowie der maßgeblichen Grundsätze (Systeme und Methoden) für die Ermittlung und Berechnung dieser Löhne bzw. Entgelte. (2) Betriebsvereinbarungen in den Angelegenheiten des Abs. 1 können, soweit sie keine Vorschriften über ihre Geltungsdauer enthalten, von jedem der Vertragspartner jederzeit ohne Einhaltung einer Frist schriftlich gekündigt werden. § 32 Abs. 3 zweiter Satz ist nicht anzuwenden. siehe auch ArbVG §96a VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

56 Verpflichtung zum Datengeheimnis (§15)
DSG Verschwiegenheit Verpflichtung zum Datengeheimnis (§15) Mitarbeiter sind - sofern nicht berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden. Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln. Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren. Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung (!) kein Nachteil erwachsen. - VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03