Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© Hans G. Zeger 2015 Datenschutzfragen in Internet und eCommerce/eBusiness Hans G. Zeger Juridicum Wien, VO Sommersemester 2015 Download:

Ähnliche Präsentationen


Präsentation zum Thema: "© Hans G. Zeger 2015 Datenschutzfragen in Internet und eCommerce/eBusiness Hans G. Zeger Juridicum Wien, VO Sommersemester 2015 Download:"—  Präsentation transkript:

1 © Hans G. Zeger 2015 Datenschutzfragen in Internet und eCommerce/eBusiness Hans G. Zeger Juridicum Wien, VO Sommersemester 2015 Download: VO SS Juridicum

2 © Hans G. Zeger 2015 Grundfragen Was ist überhaupt "Datenschutz"? formulierten Warren/Brandeis in der Harvard Law Review ein "right to be let alone" (The Right to Privacy), gilt als Beginn des modernen Privatsphäregedankens -70er-Jahre europaweit diverse Datenschutzinitiativen als Gegenbewegung zu Entwicklungen in der Computertechnik (inkl. Europarat, OECD) im öDSG Datenschutz als Interpretation des Art. 8 EMRK (Teil des Privat- und Familienlebens), im DSG 2000 beibehalten Datenschutz wird eigenes Grundrecht in EU-Grundrechtecharta deutsches Volkszählungsurteil "informationelles Selbstbestimmungsrecht" (Bundesverfassungsgericht) deutsches Online-Durchsuchungsurteil formuliert "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" (Bundesverfassungsgericht) "Datenschutz" als moderne Ausformung von Grundrechten VO SS Juridicum

3 © Hans G. Zeger 2015 Grundfragen Was ist das Internet? -technische Infrastruktur ("Unternehmensvernetzung", "virtual private networks", "IP-Telefonie",...) -Plattform für wirtschaftliche Tätigkeiten ("eCommerce", "Online-Shops", "Musik-Download",...) -Informationsvermittlung ("soziales Medium", "Stammtisch", "sozialer Treffpunkt",...) -Erweiterung der Privatsphäre (" ", "Weblog"/Tagebuch, "Erweiterung des Freundeskreis",...) -politischer Aktionsraum ("Kooperation", "Vernetzung", "Foren",...) Abgrenzung nicht immer offensichtlich, können zu gegensätzlichen Interessen führen VO SS Juridicum

4 © Hans G. Zeger 2015 Anwendungsfälle Datenschutz Welche (Internet-)Situationen sind überhaupt datenschutzrelevant? -Vereinbarung mit dem Provider, Tätigkeit der Provider (z.B Vertraulichkeit des -Verkehrs) -Bestellungen im Internet ("eCommerce") -elektronische Amtswege und öffentliche Verwaltung, Vorschreibungen ("eGovernment") -Nutzung personalisierter und/oder kostenpflichtiger Informationsdienste ("Online-Services", "Apps") -Selbstdarstellung / Meinungsäußerung ("Web2.0", "Social Media") -Veröffentlichung persönlicher Daten durch Dritte -Nutzung als Infrastruktur (virtuelle Unternehmensnetze, Intranet, Extranet) -sonstige Internetnutzungen: ???? VO SS Juridicum

5 © Hans G. Zeger 2015 Anwendbare Bestimmungen Wo finden sich zum Internet datenschutzrelevante Bestimmungen? -DSG 2000 (Verarbeitungsvoraussetzungen, Schutzbestimmungen) -TKG 2003 (Verarbeitungsvoraussetzungen, Schutzbestimmungen, Auskunftspflichten, Dienstleister) -ABGB Privatsphärebestimmung (Schutzbestimmung) -SPG (Auskunftspflichten) -ECG (Dienstleister, Haftung, Auskunftspflichten) -StPO (Auskunftspflichten) -UrhG (Auskunftspflichten) -Materiegesetze, wie E-Government Gesetz, Gesundheitstelematikgesetz,...) VO SS Juridicum

6 © Hans G. Zeger 2015 Bestimmungen zum Schutz der Privatsphäre EMRK Art 8 (Privatsphäre, Familienleben, Briefverkehr) StGG (Staatsgrundgesetz) Art 9, 10 (Briefgeheimnis) u. 10a (Fernmeldegeheimnis) § 1 DSG 2000 (Geheimhaltung Daten) § 16 ABGB (angeborene Rechte) StGB z.B. § 118f (Briefgeheimnis), § 119f (Telekommunikationsgeheimnis) und §§ 302ff (Amtsmissbrauch) TKG 2003 § 93 (Kommunikationsgeheimnis) MedienG § 7ff (Bloßstellung) UrhG § 77 (Briefe, Tagebücher, ähnliche vertrauliche Aufzeichnungen), § 78 (Bildnissschutz), § 87 Abs 2 (Entschädigung) Regelungen für einzelne Berufsgruppen ABGB § 1328a (Bloßstellung) StGB § 107a (Anti-Stalking-Bestimmung) Schutz der Privatsphäre - Übersicht VO SS Juridicum

7 © Hans G. Zeger 2015 Schutz der Privatsphäre - Übersicht VO SS Juridicum

8 © Hans G. Zeger 2015 Grundlagen des DSG 2000 Die wichtigsten Begriffe Zustimmung Zulässigkeit der Datenverwendung Rechtmäßige Datenanwendung VO SS Juridicum

9 © Hans G. Zeger 2015 Entwicklung zum DSG erstes Datenschutzgesetz - DSG (BGBl. Nr. 565/1978) (Geltung ) 1995EG-Datenschutzrichtlinie 95/46/EG 1999Datenschutzgesetz - DSG 2000 (BGBl. I Nr. 165/1999) Wichtige Änderungen zum DSG 2000 (Auswahl) 2001Euro-Umstellung der Verwaltungsstrafen (BGBl. I Nr. 136/2001) 2005"Tsunami"-Bestimmung (BGBl. I Nr. 13/2005) 2008Änderungen in Verfassungsbestimmungen (BGBl. I Nr. 2/2008) 2009DSG Novelle 2010 (BGBl. I Nr. 133/2009) 2012Verwaltungsgerichtsbarkeits-Novelle 2012 (BGBl. I Nr. 51/2012) 2013DSG Novelle 2013 (BGBl. I Nr. 57/2013) 2013DSG Novelle 2014 (BGBl. I Nr. 83/2013) 20?? EU - Neuordnung des Datenschutzes DSG Grundlagen VO SS Juridicum

10 © Hans G. Zeger 2015 Umsetzung der EU-Richtlinie "Datenschutz" (1995) soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch innerhalb der EU (Art.1 Abs.2) sichern Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten." Art. 1 Abs. 2 "Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes." EU-RL gilt nur für "natürliche Personen" DSG 2000 auch für "juristische und sonstige Personen" damit vertritt Österreich EU-weit eine exotische Position Bestimmungen betreffen alle Verwendungsformen persönlicher Daten, nicht nur automatisiert verarbeitete Daten DSG Grundlagen VO SS Juridicum

11 © Hans G. Zeger 2015 DSG Grundrecht DSG 2000 § 1 (Verfassungsbestimmung) : "jede Verwendung persönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots ist möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen VO SS Juridicum

12 © Hans G. Zeger 2015 DSG 2000 § 4 Z 1 "Daten" ("personenbezogene Daten") "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" DSG 2000 § 4 Z 3 "Betroffener" "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" Datenbegriff sehr allgemein gehalten, umfasst auch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. IP-Adressen, Cookies, Stromverbrauchsdaten,...) DSG Grundlagen VO SS Juridicum

13 © Hans G. Zeger 2015 Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!) personenbezogene Daten § 4 Z 1 DSG 2000 DSG Grundlagen Personenbezogene Daten sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG 2000 (kein EU-Begriff) sensible Daten § 4 Z 2 DSG 2000 VO SS Juridicum

14 © Hans G. Zeger 2015 DSG 2000 § 4 Z 2 ("sensible" Daten) Daten natürlicher Personen über rassische und ethnische Herkunft politische Meinung Gewerkschaftszugehörigkeit religiöse und philosophische Überzeugung Gesundheit Sexualleben Probleme kann die Abgrenzung bereiten, z.B. Bestellungen von "Gesundheitsprodukten", Nutzung von Sexseiten,... DSG Grundlagen VO SS Juridicum

15 © Hans G. Zeger 2015 DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung) DSG 2000 § 4 Z 5 "Dienstleister" natürliche oder juristische Personen,......, wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung) DSG Grundlagen VO SS Juridicum

16 © Hans G. Zeger 2015 DSG 2000 § 4 Z 7,,Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)" DSG 2000 § 4 Z 9 "Verarbeiten von Daten" "das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten" DSG 2000 § 4 Z 12 "Übermitteln von Daten" "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister" Übermittlung ist unabhängig von der technischen Methode DSG Grundlagen VO SS Juridicum

17 © Hans G. Zeger 2015 DSG 2000 § 4 Z 14 "Zustimmung" "die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt" Widerruf in § 8 bzw. § 9 DSG 2000 geregelt Entscheidungen: OGH 4 Ob 221/06p ("GE...bank") OGH 4 Ob 179/02f ("BA-CA") DSG Grundlagen Von der Zustimmung iS DSG 2000 § 4 Z 14 sind andere vertragliche Vereinbarungen zur Nutzung von Daten zu unterscheiden, etwa im Rahmen von Bestellungen, Kundenkarten,... VO SS Juridicum

18 © Hans G. Zeger 2015 Was ist eine geeignete Zustimmungserklärung? -grundsätzlich gilt Formfreiheit auch mündlich (Beweisproblem), konkludent oder Teil der AGBs möglich -Willenserklärung Art wird vom Adressaten abhängen, bei Konsumenten höhere Anforderungen als bei Geschäftsleuten Empfehlung: ausdrückliche Unterschrift, getrennt von sonstigen Vereinbarungen -Kenntnis der Sachlage Aufklärung über Umfang der Datenarten, Inhalt der Daten, Zweck der Datenweitergabe, Empfänger der Daten (so detailliert, dass der Betroffene die konkreten Empfänger erkennen kann) - konkreter Fall Pauschalzustimmungen, ohne besonderen Zweck sind unzulässsig - Widerrufshinweis gesetzlich nicht vorgeschrieben, OGH verlangt sie jedenfalls bei Konsumentengeschäften DSG Grundlagen VO SS Juridicum

19 © Hans G. Zeger 2015 Verwenden von Daten Z 8 ÜbermittelnVerarbeiten Z 9 Z 12 Daten- anwendung Z 7 Auftraggeber Z 4 Dienstleister Z 5 Auftrag Überlassen Z 11 Ermitteln, Auswerten, Sortieren, Speichern, Analysieren, Korrigieren, Ausdrucken, Anzeigen,... DSG Grundlagen Die wichtigsten Begriffe (§ 4 DSG Z...) VO SS Juridicum

20 © Hans G. Zeger 2015 Grundsätze der Verwendung von Daten (§ 6ff) Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1) Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2) Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2) Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3) Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4) [Möglichkeit der Selbstregulierung] K /010-DSK/ ("gelindester Eingriff") Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren DSG Grundlagen VO SS Juridicum

21 © Hans G. Zeger 2015 Grundlage einer rechtmäßigen Datenverwendung Dreistufiges Konzept Es muss eine Rechtsgrundlage für die Datenanwendung geben sein und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (§ 6, § 7 Abs.1) Die Verwendung der Daten eines bestimmten Betroffenen muss für den konkreten Zweck zulässig sein (§§ 7ff) Die Datenanwendung muss den Genehmigungs- und Registrierungserfordernissen entsprechen (§§ 16ff) Beispiel: Dürfen Personendaten auf eBay versteigert bzw. ersteigert werden? DSG Grundlagen VO SS Juridicum

22 © Hans G. Zeger 2015 Geheimhaltungsinteressen bei Datenverwendung (§ 8-nicht-sensible Daten, § 9-sensible Daten) Wann dürfen Daten jedenfalls verwendet werden? (Auszug) -Rechtsgrundlage / gesetzliche Verpflichtungen -Zustimmung des Betroffenen -zur Wahrung lebenswichtiger Interessen -überwiegende Interessen Dritter / Auftraggeber (nicht anwendbar bei sensiblen Daten!) z.B. notwendige Voraussetzung zur Vertragserfüllung, Ausübung von Rechtsansprüchen des Auftraggebers, behördliche Tätigkeit -indirekt personenbezogene Daten (EU-Konformität??) -zulässig veröffentliche Daten: soweit berechtigter Zweck des Verwenders gegeben? soweit mit ursprünglicher Veröffentlichung vereinbar? DSG Grundlagen VO SS Juridicum

23 © Hans G. Zeger 2015 Einrichtungen / Zuständigkeiten bei DSG-Verletzungen -Datenschutzbehörde (formlos) [seit ] - Kontroll- und Registrierungsstelle für alle Datenverarbeiter, - Beschwerdestelle in Auskunftsfällen für alle Datenverarbeiter und - für alle Bereiche bei allen öffentlich-rechtlichen Datenanwendungen (§§ 30f, 35ff DSG 2000) -Zivilgericht (Anwaltspflicht) In allen sonstigen Beschwerdefällen, die durch das DSG 2000 geregelt sind (§ 32 DSG 2000) -Magistrat / Bezirkshauptmannschaft (formlos) Anzeigen gem. § 52 DSG Staatsanwaltschaft / Polizei (formlos) Anzeigen gem. § 51 DSG 2000 DSG Einrichtungen VO SS Juridicum

24 © Hans G. Zeger 2015 Organisationsänderungen der Aufsichtsbehörde -Schaffung des Bundesverwaltungsgericht BVwG, Auflösung der Behörden mit "richterlichem" Einschlag (DSG-Novelle ) -Entscheidung des EuGH wegen mangelnder Unabhängigkeit der DSK (EuGH Rs C-614/10, DSG-Novelle ) -Schaffung einer Behörde, die die Aufgaben der DS-Richtlinie 95/46/EG erledigt (DSG-Novelle 2014) Konsequenzen -Mit wird aus bisheriger "Datenschutzkommission" Datenschutzbehörde Entscheidungen als Verwaltungsbehörde -BVwG wird zur Beschwerdeinstanz (bisherige Tätigkeit der DSK), statt Kommission vermutlich Senat -Kommission (bis ) und Behörde (ab ) mit eigenem Budget, Beschränkung der Informationsrechte des Bundeskanzlers und Unvereinbarkeitsregeln für die Mitglieder DSG Aufsicht VO SS Juridicum

25 © Hans G. Zeger 2015 Kontrollbefugnisse der DSB I (DSG 2000 § 22a "Überprüfung der Meldepflicht") -DSB kann jederzeit Erfüllung der Meldepflicht prüfen -bei Verdacht einer Verletzung der Meldepflicht ist ein Berichtigungsverfahren durch Datenverarbeitungsregister durchzuführen -DSB kann Verbesserungsaufträge erteilen, wenn nicht entsprochen wird, dann ist Streichung möglich -Streichung kann auch nur Teile einer Datenanwendung/Meldung umfassen -wird der Aufforderung der Nachmeldung nicht entsprochen, dann ist Verarbeitung mit Bescheid zu untersagen und Anzeige bei der zuständigen Behörde zu erstatten DSG Kontrollbefugnisse VO SS Juridicum

26 © Hans G. Zeger 2015 Kontrollbefugnisse der DSB II (DSG 2000 § 22a "Überprüfung der Meldepflicht" - Fortsetzung) -DSB kann auch bei Fehlen von Sicherheitsmaßnahmen die Streichung einer Datenanwendung verfügen -Berichtigungsverfahren sind im DVR ersichtlich zu machen ("geeignet anzumerken") DSG Kontrollbefugnisse VO SS Juridicum

27 © Hans G. Zeger 2015 DSG Kontrollbefugnisse Konzept der Vorabkontrolle (DSG2000 § 10, § 18 Abs. 2, § 20, 21, 30, § 10) bestimmte Datenanwendungen unterliegen einer Vorabkontrolle durch DSB -DA's die sensible Daten verwenden -DA's die in Form eines Informationsverbundsystems betrieben werden -registrierungspflichtige Videoüberwachungen -DA's die Daten zur Beurteilung der Kreditwürdigkeit dienen bzw. strafrechtlich relevante Daten verarbeiten Voraussetzungen der Vorabkontrolle: Prüfung auch ohne Verdachtsmomente möglich Auflagen zum Betrieb der Datenanwendung können erteilt werden VO SS Juridicum

28 © Hans G. Zeger 2015 In welchem Umfang ist DSG auf das Internet anwendbar? Dazu sind Vorfragen zu klären: -Ist eine Veröffentlichung auf einer Internetseite eine Datenanwendung? -Ist -Verkehr eine Datenanwendung? -Wann handelt es sich um personenbezogene Daten? Was sind die Mindestangaben, um von Personenbezug sprechen zu können? Name, Adresse, Identifikationsdaten -Adresse IP-Adresse, Matrikelnummer (z.B. e ) Kundennummer/Benutzerkennung Cookies, Computersignatur,... -Ist ein berechtigter Zweck gegeben? Internet und Datenschutz VO SS Juridicum

29 © Hans G. Zeger 2015 Webseite als Datenanwendung Bedeutung der IP-Adresse Veröffentlichung von Informationen Web-Zugriffsstatistik Zweck der Datenanwendung Beispiele / Entscheidungen VO SS Juridicum

30 © Hans G. Zeger 2015 Beispiele / Entscheidungen EuGH-Entscheidung C-101/01 Fall Lindqvist Frau Lindqvist war/ist Reinigungskraft besuchte einen Web-Programmierkurs ehrenamtlich in der lokalen Kirche tätig Produzierte eine persönliche Webseite enthalten: -Informationen über sich und Ehemann -16 namentlich genannte Konfirmanten/Kirchenmitarbeiter -"lustige" Beschreibung der Interessen dieser Personen -Information über eine Beinverletzung einer Person und dass sie nicht am Unterricht teilnehmen kann VO SS Juridicum

31 © Hans G. Zeger 2015 Beispiele / Entscheidungen EuGH-Entscheidung C-101/01 Lindqvist II Frau Lindqvist löscht sofort nach Verlangen -trotzdem Strafverfahren, weil Datenverarbeitung nicht registriert -Strafe von 4000 SEKronen (ca. 430 Euro) Im Zuge des Verfahrens wurde EuGH von schwedischem Gericht mit einer Reihe von Fragen angerufen: -Ist eine Website eine Datenverarbeitung? -Gelten die Ausnahmebestimmungen für private Webseiten? -Handelt es sich um sensitive Daten? -Liegt (genehmigungspflichtiger) internationaler Datenverkehr vor? -Schränkt das EG-Datenschutzrecht unzulässig die Freiheit der Meinungsäußerung ein? -Gibt die Richtlinie 95/46/EG nur einen Mindeststandard vor? JA NEIN VO SS Juridicum

32 © Hans G. Zeger 2015      Root Nameservice, ca. 123 Rootserver, weltweit verteilt nationales Nameservice, TLD- Server, nic.at Grundlagen Internet Was passiert bei der Internetkommunikation? Abruf Webseite    Webserver Benutzersicht Providerwolke B IP-Adresse Benutzer   Vienna Internet Exchange IP-Adresse Anbieter /  Datenbank Inhaber IP- Adressen und Domainnamen orf.at ? ? ? ? WHOIS  Nameservice, meist Provider Providerwolke A VO SS Juridicum

33 © Hans G. Zeger 2015 Grundlagen Internet Wie erfahre ich etwas über Internetkommunikation? -IP-Adress(Range)-Information (http://www.db.ripe.net/) - IP-Lookup-Information (http://www.dnsstuff.com/) -Traceroute (http://www.dnsstuff.com/) -Domain-Name-Service (http://www.dnsstuff.com/) -Standortinformation (http://www.ip-adress.com/) -System-Information zu , Browser, Server (http://www.netcraft.com) -Portscan/Schwachstellenanalyse (http://www.nessus.org/) Beispiele IP-Adressen: [ORF] [Erste Sparinvest] , , [persönliche Adressen] , [Dynamic IP Addresses] VO SS Juridicum

34 © Hans G. Zeger 2015 DSK-Entscheidung zur IP-Adresse (Empfehlung K /0005-DSK/ ) Ausgangslage Tauschbörsenbenutzer konnten ausgeforscht werden, da der ISP die Identität der Internetbenutzer an Hand der zu einem bestimmten Zeitpunkt genutzten IP-Adresse offen legte. Benutzer beschwerte sich, da diese Information gar nicht aufgezeichnet werden dürfte DSK-Empfehlung -IP-Adresse sind gem. TKG Teil der Verkehrsdaten (dynamische ausschließlich, statische sowohl Verkehrsdaten, als auch Stammdaten) -bei Vorliegen einer Flatrate-Vereinbarung sind diese Daten nicht für die Abrechnung erforderlich und dürfen daher nicht aufgezeichnet werden -die Weitergabe nicht rechtmäßig verarbeiteter Daten ist unzulässig Beispiele / Entscheidungen VO SS Juridicum

35 © Hans G. Zeger 2015 Ist IP-Adresse eine personenbezogene Information? (BGH Beschluss VI ZR 135/13 ) Anrufung EuGH zur Frage ob IP-Adresse personenbezogene Information ist Frage 1 (gekürzt): Ist eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt? Frage 2 behandelt den zulässigen Umfang der Daten, die ein Diensteanbieter bei Diensterbringung speichern darf. Beispiele / Entscheidungen VO SS Juridicum

36 © Hans G. Zeger 2015 Wertungsunterschiede international -KFZ-Datenbank der Schweiz (Beispiel: -Sexualstraftäterdatei USA (http://www.nsopr.gov/) -Sexualstraftäterdatei GB (Google-Suche nach "schotte sex fahrrad") Zugang wird laufend modifiziert um "Missbrauch" zu verhindern: meist CAPTCHA Codes verwendet = Completely Automated Public Turing test to tell Computers and Humans Apart Demobeispiele Veröffentlichung Was ist eine zulässige Veröffentlichung? Veröffentlichen von Informationen -ist im DSG 2000 Spezialfall der Datenübermittlung -die Veröffentlichung muss rechtlich zulässig sein VO SS Juridicum

37 © Hans G. Zeger 2015 Was ist eine (un)zulässige Veröffentlichung im Internet? -Veröffentlichen von Hausbesorgerdaten (OLG Innsbruck, Beschlüsse vom , 1 R 143/99 und , 1 R 30/00x) -Private Schuldnerfahndung siehe auch Mandatsbescheid DSK K /002-DSK/ Veröffentlichen von Mitarbeiter-/Schüler-/Studentenfotos zusätzlich Bildnisschutz § 78 UrhG beachten OGH 8ObA136/00h Teilnehmerlisten (Sportveranstaltungen, Schulen, Universitätsveranstaltungen,...) -WHOIS-Daten (technische Internet-Informationen) -Lehrerbewertung: Freie Meinungsäußerung hat Vorrang Bundesgerichtshof VI ZR 196/ Dreistufiges Konzept zur Zulässigkeit ist zu beachten! Demobeispiele Veröffentlichung VO SS Juridicum

38 © Hans G. Zeger 2015 Demobeispiele Veröffentlichung Herold verknüpft Telefonbuchsuche mit Luftbild Fragen: Handelt es sich bei Luftbild um personenbezogene Information? Ist Zustimmung erforderlich? Erfüllt Veröffentlichung berechtigten Zweck? Wäre durch Löschung des Familiennamens Luftbild-Veröffent- lichung saniert? VO SS Juridicum

39 © Hans G. Zeger 2015 Was ist eine personenbezogene Veröffentlichung? VO SS Juridicum

40 © Hans G. Zeger 2015 Was ist eine personenbezogene Veröffentlichung? VO SS Juridicum

41 © Hans G. Zeger 2015 Demobeispiele Veröffentlichung Diskussionsforum eines Mediendienstes "offizieller" Diskussionsbeitrag VO SS Juridicum

42 © Hans G. Zeger 2015 Diskussionsforum eines Mediendienstes II "inoffizieller" Diskussionsbeitrag -Adresse und IP-Adresse unkenntlich gemacht Demobeispiele Veröffentlichung VO SS Juridicum

43 © Hans G. Zeger 2015 Diskussionsforum eines Mediendienstes III -Werden personenbezogene Daten veröffentlicht (fehlerhafte/offizielle Version)? -Handelt es sich um eine Datenanwendung im Sinne des DSG? -Besteht eine Rechtsgrundlage für die Veröffentlichung? (berechtigter Zweck, zulässige Datenverwendung, Registrierungserfordernis) -Welche Bestimmungen/Regulierungen sind anzuwenden? -Verhalten bei Kenntnisnahme durch Internetbenutzer? -Wer ist für Aufsicht verantwortlich / Welche Zuständigkeit? -Welche Sanktionen sind vorgesehen? Demobeispiele Veröffentlichung VO SS Juridicum

44 © Hans G. Zeger 2015 Demobeispiele Veröffentlichung [Website seit 2011 nicht mehr aktiv] VO SS Juridicum

45 © Hans G. Zeger 2015 Demobeispiele Veröffentlichung öffentlich zugängliche Besucherstatistik zu sexpunkt.at VO SS Juridicum

46 © Hans G. Zeger 2015 Demobeispiele Veröffentlichung öffentlich zugängliche Besucherstatistik zu "zärtliche Nicole" [Counter 2011 nicht mehr aktiv] VO SS Juridicum

47 © Hans G. Zeger 2015 Googles Street-View Aufzeichnung "öffentlichen" Verhaltens - handelt es sich überhaupt um personenbezogene Datenverarbeitung? -Google sagt zu, Personen vor Veröffentlichung zu "verpixeln" - Was ist zu den Street-View-Funseiten zu sagen? VO SS Juridicum

48 © Hans G. Zeger 2015 Googles Street-View DSK genehmigt 2011 Street-View Anwendung mit drei Empfehlungen (K /0002-DSK/ ) -Aufnahmen von Personen in sensiblen Bereichen sind die Gesamtbilder der Personen unkenntlich zu machen: etwa Eingangsbereiche von Kirchen, Gebetshäusern, Krankenhäusern, Frauenhäusern und Gefängnissen -für Spaziergänger nicht einsehbare Immobilien (umzäunte Privatgärten und -höfe) sind vor Veröffentlichung im Internet unkenntlich zu machen -Schaffung eines einfachen Widerspruchsrechts nach § 28 Abs. 2 DSG 2000 VO SS Juridicum

49 © Hans G. Zeger 2015 Web Datenschutzspezifische Fragestellungen Vorgaben des DSG 2000: (1)Rollenkonzept: Auftraggeber, Betroffener, Dienstleister (2)Schutzinteressen der persönlichen Daten: allgemein verfügbare Daten, indirekt personenbezogene Daten, vertrauliche Daten, sensible Daten (3)berechtigter Zweck: der persönlichen Nutzung, die Weitergabe an Dritte, Veröffentlichung (4)Aufsicht + Ausnahmen: Registrierungs- bzw. Genehmigungspflicht Datenschutzregeln treffen sowohl Betreiber des Accounts ("Benutzer" [A]), als auch Plattformbetreiber ("Facebook" [B]), Web2.0, Social Media und Datenschutz VO SS Juridicum

50 © Hans G. Zeger 2015 Variante I: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich (1)Rollenkonzept: [A] Benutzer ist bezüglich der veröffentlichten Daten weder Betroffener, noch Auftraggeber, Facebook ist in diesem Fall auch kein Dienstleister, daher keine Datenanwendung. [B] Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber (2)Schutzinteresse: [A] Kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat. [B] Facebook darf Daten im Rahmen seiner berechtigten Zwecke verwenden. Web2.0, Social Media und Datenschutz VO SS Juridicum

51 © Hans G. Zeger 2015 Variante I: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich II (3)Berechtigter Zweck: [A] Ist in Bezug auf Benutzer nicht zu prüfen, da keine Datenanwendung im Sinne des DSG 2000 [B] für Facebook aus Angebot und Geschäftsbedingungen ableitbar (4)Aufsicht: [A] Für Benutzer keine Registrierungs- bzw. Genehmigungspflicht [B] für Facebook gelten die Bestimmungen des Geschäftssitzes (für Europa das irische Datenschutzrecht) Web2.0, Social Media und Datenschutz VO SS Juridicum

52 © Hans G. Zeger 2015 Variante II: Unternehmen ("Benutzer") richtet (Facebook-) Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (1)Rollenkonzept: [A] Benutzer ist bezüglich der veröffentlichten Daten Dritter Auftraggeber, Facebook ist in diesem Fall Dienstleister, Datenanwendung liegt vor! [B] Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber Web2.0, Social Media und Datenschutz VO SS Juridicum

53 © Hans G. Zeger 2015 Variante II: Unternehmen ("Benutzer") richtet (Facebook-) Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (2)Schutzinteresse: [A] Bezüglich der Veröffentlichung der Unternehmensdaten gilt, kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat, bezüglich Dritter (Poster + Person über die gepostet wird) hat Unternehmen auf Einhaltung der Datenschutzinteressen zu achten! Es sind zusätzlich zum DSG 2000 die ECG- Bestimmungen insb. § 16 (Haftung!) zu beachten. [B] Facebook darf die Daten nur im Rahmen der ausdrücklich vereinbarten Geschäftsbedingungen verwenden. Web2.0, Social Media und Datenschutz VO SS Juridicum

54 © Hans G. Zeger 2015 Variante II: Unternehmen ("Benutzer") richtet (Facebook-) Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (3)Berechtigter Zweck: [A] Keine private Datenanwendung im Sinne des § 45 DSG 2000, in der Regel zulässig (z.B. Unternehmenspräsentation, Erwerbsfreiheit). [B] In Bezug auf Facebook aus Angebot und Geschäftsbedingungen ableitbar. (4)Aufsicht: [A] Für Unternehmen dann Registrierungs- bzw. Genehmigungspflicht, wenn keine Ausnahmebestimmung zutrifft (Standardanwendung, ausschließliche Verwendung veröffentlichter Daten, rein private Datenverwendung, Medienprivileg/Berichterstattung). [B] Für Facebook gelten die Bestimmungen des Geschäftssitzes Web2.0, Social Media und Datenschutz VO SS Juridicum

55 © Hans G. Zeger 2015 Facebook / LikeIt Was passiert bei Aufruf einer Website in dem ein Facebook LikeIt Button (ein Social Plugin) eingebaut ist? VO SS Juridicum

56 © Hans G. Zeger 2015 Ist eine Suchmaschine eine Datenverarbeitung im Sinne der EG-Datenschutzrichtlinie? Ausgangslage -Immobilie eines Spaniers in Geldnöten wurde öffentlich zur Versteigerung angeboten -Versteigerung inlokalem Medium öffentlich bekannt gemacht (auch im Internet) -Jahre später findet Spanier diesen Eintrag üebr Suchmaschine Google, verlangt Löschung bei Medium und Google -spanische Datenschutzbehörde erklärt sich sowohl für Google, als auch Medium zuständig -keine Löschung bei Medium (Meinungsfreiheit), jedoch keine Anzeige bei Google -Google klagt, es kommt zum Vorabentscheidungsverfahren bei EuGH Beispiele / Entscheidungen VO SS Juridicum

57 © Hans G. Zeger 2015 Ist eine Suchmaschine eine Datenverarbeitung im Sinne der EG-Datenschutzrichtlinie? II EuGH-Entscheidung C131/12 Costeja González13. Mai Europäisches Recht ist anzuwenden, auch wenn Verarbeitung außerhalb EU erfolgt, lokale (nationale) Werbeaktivitäten für Google-Seite in EU ist ausreichend -Suchindex ist als Datenanwendung iS der EG-Richtlinie zu verstehen -Privatsphäre ist höher zu bewerten als Verwertungsinteresse durch Google -kein absoluter Löschungsanspruch, sondern Abwägung von öffentlichem Interesse und Privatsphäre Anmerkungen -schon bisher unterbindet Google die Anzeige aus zahllosen Gründen (u.a. nationale Gesetze, noindex-Einträge, Vereinbarngen mit Rechteinhabern,...) - unklar sind Grenzen der Abwägung und Umfang des nationalen Google-Engagements Beispiele / Entscheidungen VO SS Juridicum

58 © Hans G. Zeger 2015 Weitere Themen DSK /010-DSK/ (" -Datenanwendung") Auch -Verkehr ist als Datenanwendung iS des DSG 2000 anzusehen und unterliegt der Auskunftspflicht Beispiele / Entscheidungen VO SS Juridicum

59 © Hans G. Zeger 2015 In welchem Umfang ist DSG auf Internet anwendbar? -Fällt eine Veröffentlichung auf einer Internetseite unter die Bestimmungen der Datenschutzrichtlinie? (ja, siehe EuGH C-101/01 Lindqvist) -Ist -Verkehr eine Datenanwendung? (ja, siehe DSK K /010-DSK/ , DSK K /0013- DSK/ ) -Wann handelt es sich um personenbezogene Daten? Name, Adresse, Identifikationsdaten -Adresse (ja, siehe OLG Bamberg/D 1U143/ ) IP-Adresse (ja, siehe DSK K /0005-DSK/ , ??? EuGH) Kundennummer/Benutzerkennung, Cookies, personalisierte/anonymisierte Webinformationen,... Kriterium ist "bestimmbar" (iS EG-RL 95/46/EG Art. 2) -Ist berechtigter Zweck erforderlich vs. Meinungsfreiheit? (DSK K /002-DSK/ = unzulässiges Onlineangebot zur Kreditwürdigkeit, EuGH C131/12 = Google-Entscheidung) Beispiele / Entscheidungen VO SS Juridicum

60 © Hans G. Zeger 2015 Besondere Dienstleisterverpflichtungen Registrierung von Datenanwendungen DSG-Bestimmungen Anwendbare Datenschutzbestimmung Internationaler Datenverkehr VO SS Juridicum

61 © Hans G. Zeger 2015 DSG Dienstleister Dienstleister im Sinne des DSG 2000 (§§ 10f) -Dienstleistung liegt vor, wenn ein Verantwortlicher jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben betraut -Geeignete Vereinbarungen sind zu treffen -Vereinbarungen sind zu überprüfen/überwachen ["überzeugen"] -Meldepflicht bei DSB bei Datenverarbeitungen des öffentlichen Bereichs, die der Vorabkontrolle unterliegen (z.B. bei Verwendung von Gesundheitsdaten), keine Meldepflicht bei verbundenen Unternehmen -Subdienstleister nur mit Billigung des Auftraggebers Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000) VO SS Juridicum

62 © Hans G. Zeger 2015 Cloud-Computing und DSG 2000 I -verantwortlich für den Einsatz von Daten ist der Auftraggeber (z.B. § 4 Z 4 DSG 2000) -den Auftraggeber trifft die Verpflichtung geeignete Dienstleister auszuwählen (z.B. § 10 Abs. 1 DSG 2000) -der Auftraggeber hat schriftlich geeignete Vereinbarungen abzuschließen (z.B. § 11 Abs. 2 DSG 2000) -der Auftraggeber hat die Tätigkeit der Dienstleister zu überwachen (z.B. § 11 Abs. 1 Z 6 DSG 2000) - der Auftraggeber kann die Beiziehung von Sub- Dienstleistern verbieten (z.B. § 11 Abs. 1 Z 3 DSG 2000) -den Auftraggeber treffen alle formalen Melde- und Registrierungspflichten (z.B. § 10 Abs. 2, §§ DSG 2000) Cloud-Computing VO SS Juridicum

63 © Hans G. Zeger 2015 Cloud-Computing und DSG 2000 II -der Auftaggeber hat für die Umsetzung der richtigen sicherheitstechnischen Maßnahmen zu sorgen (z.B. § 14 DSG 2000) Cloud-Computing VO SS Juridicum

64 © Hans G. Zeger 2015 Registrierung von Datenanwendungen (§§ 16ff) -Datenanwendungen sind grundsätzlich meldepflichtig (§ 17) -Jede Registrierung erfolgt für bestimmte Datenanwendung, für bestimmte Datenarten, bestimmte Personengruppen und bestimmte Zwecke (§ 17) -Eine DVR-Nummer wird einem Unternehmen (Organisation) bei erstmaliger Registrierung einer DA zugeteilt (§ 21) -Registrierung ist kostenlos (§ 53) -Registrierung soll Transparenz sichern, die Registernummer ist in jeder Korrespondenz mit Betroffenen oder Dritten anzugeben (§ 16) -Jedermann kann Einsicht in Registrierung nehmen (§ 16) -Es gibt Ausnahmen von der Registrierungspflicht (§ 17) DSG Registrierung und Genehmigung VO SS Juridicum

65 © Hans G. Zeger 2015 Registrierungsfreiheit (§ 17) -Standardanwendungen -DA enthält ausschließlich (!) veröffentlichte Daten (aus öffentlichen Internetseiten, Telefonbuch- oder Firmen-Suche) -ausschließlich indirekt personenbezogene Daten -persönliche Datenanwendungen (persönliche s, Webseiten mit ausschließlich eigenen Angaben) -publizistische Datenanwendungen (Online-Medien) -manuelle Datenanwendungen, die nicht der Vorabkontrolle unterliegen -Führung öffentlicher, gesetzlich vorgesehener Register -bestimmte DA‘s der Republik Österreich -DA für Zwecke der Strafverfolgung DSG Registrierung und Genehmigung VO SS Juridicum

66 © Hans G. Zeger 2015 Datenverarbeitungsregister (DVR) (§§ 16ff) Zeitpunkt der Registrierungspflicht und wann ist zulässiger Beginn der Verarbeitung? (§ 18) -Beginn der Verarbeitung mit Tag der Registrierungsmeldung (gilt für "normale" DAs) oder -nach Abschluss der Vorabkontrolle, wenn keine Einwände erhoben werden, 2 Monate nach Meldung (gilt für DAs, die der "Vorabkontrolle" unterliegen) -Datenverarbeitungsregister ist Teil der DSB (§ 16) -derzeit etwa registrierte Auftraggeber -Auftraggeber, die keine DVR-Nummer benötigen, müssen die Identität in anderer Weise offen legen (§ 25) -seit 9/2012 erfolgt die Registrierung automationsunterstützt DSG Registrierung und Genehmigung VO SS Juridicum

67 © Hans G. Zeger 2015 Internationaler Datenverkehr (§§ 12, 13, 55) Genehmigungsfreiheit (EU: "Datenexport") -innergemeinschaftlicher Datenverkehr -gleichwertige Datenschutzgesetzgebung -im Inland zulässigerweise veröffentlichte Daten -notwendige Grundlage zur Vertragserfüllung mit Betroffenen -persönliche oder publizistische DA‘s -mit Zustimmung des Betroffenen -wenn Datenverkehr in Standard- und Musteranwendungen vorgesehen -bei Akten und Dokumenten (Entscheidung DSK K /13-DSK/ "gegenseitige Information zu Waffenexporten") -Theoretisch: bei Verwendung der EU-Standardvertragsklauseln (jedoch fehlt dazu eine Verordnung des Bundeskanzlers) DSG Internationaler Datenverkehr VO SS Juridicum

68 © Hans G. Zeger 2015 Genehmigungsfrei (weil gleichwertig) -gleichwertig auf Grund EWR-Verträge Island, Norwegen, Liechtenstein -gleichwertig gem. Kommissionsentscheidung Schweiz ( ), Kanada ( ) Argentinien ( ), Australien ( ) Israel ( ), Uruguay ( ) Neuseeland ( ) Andorra, Faeroe Islands, Guernsey, Isle of Man, Jersey -USA (nur bereichs- oder unternehmensbezogen, etwa wenn SafeHarbour-Vereinbarung beigetreten, SWIFT- oder PassengerNameRecord-Abkommen) bei allen anderen Staaten hat sich der Betroffene bzw. der Auftraggeber selbst um den Datenschutz zu kümmern DSG Internationaler Datenverkehr VO SS Juridicum

69 © Hans G. Zeger 2015 Was bedeutet "Safe Harbour"? In den USA fehlen einheitliche, für Unternehmen verbindliche Datenschutzstandards Entwicklung von Richtlinien, denen freiwillig beigetreten werden kann (SELBSTZERTIFIZIERUNG), nach Beitritt verbindlich, es kann jederzeit wieder ausgetreten werden FTC (Federal Trade Commission, Bundeshandelskommission) bzw US-Verkehrsministerium (bei Luftfahrtgesellschaften) überwachen Einhaltung Liste mit Teilnehmern veröffentlicht, Stand April 2013: ca Organisationen, inkl. nicht aktueller Einträge prominente Nicht-Teilnehmer: eBay, automattic(wordpress) Beitritt kann auf bestimmte Datengruppen beschränkt werden: Online- Daten, Offline-Daten, HR-Daten (Personaldaten), manuell verarbeitete Daten, Finanzdaten,... Beratungsfirma Galexia, Australien äußerte 2008 Bedenken an der Funktionsfähigkeit des Systems DSG Internationaler Datenverkehr VO SS Juridicum

70 © Hans G. Zeger 2015 Schiedsverfahren und Durchsetzung der "Safe Harbour" Verpflichtungen (FAQ11) -Betroffene können sich direkt beschweren -Beschwerden von Selbstregulierungsorganen werden vorrangig behandelt (BBBOnline, TRUSTe,...) -ebenso Beschwerden der EU-Mitgliedsstaaten -Fortgesetzte Missachtungen sind zu veröffentlichen -Sanktionen: öffentliche Bekanntmachung ("Pranger") Löschung betreffender Daten Entschädigung für Personen Streichung von der Liste "safe harbour" sonstige Auflagen DSG Internationaler Datenverkehr VO SS Juridicum

71 © Hans G. Zeger 2015 Internationaler Datenverkehr (§§ 12, 13, 55) Genehmigungspflicht in allen anderen Fällen besteht Genehmigungspflicht (§ 13) die Genehmigung hat die DSB zu erteilen: -dabei die Feststellungen der Europäischen Kommission sind zu beachten (Abs. 2) -im konkreten Genehmigungsfall besteht ein angemessenes Schutzniveau (Abs. 2 Z 1) [Verwendung von Mustervereinbarungen] -Antragsteller macht den Schutz der Geheimhaltungsinteressen des Betroffenen glaubhaft (Abs. 2 Z 2) -seit DSG-Novelle 2010: Möglichkeit einseitiger verbindlicher Zusagen des Auftraggebers für internationalen Datenverkehr (Abs. 2 Z 2) DSG Internationaler Datenverkehr VO SS Juridicum

72 © Hans G. Zeger 2015 DSG Anwendbares Recht 95/46/EG - Ziel ist Vereinheitlichung der Zuständigkeit Art. 4 Abs. 1 a)+b) Niederlassung im Mitgliedstaat "a) Jeder Mitgliedstaat wendet sein Datenschutzrecht auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaates besitzt." b) regelt Spezialfälle, wie etwa Botschaften Niederlassung: definiert in Erwägungsgrund 19: -effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung -Rechtsform der Niederlassung ist nicht maßgeblich -bloße Server (technische Geräte) sind keine Niederlassung VO SS Juridicum

73 © Hans G. Zeger /46/EG - Weiterer Anwendungsfall Art. 4 Abs. 1 c) Verantwortlicher aus Drittstaat nutzt Mittel im Mitgliedstaat ("Durchführungsprinzip") c) Jeder Mitgliedstaat wendet sein Datenschutzrecht auf Verarbeitungen an, wenn der für die Verarbeitung Verantwortliche nicht im Gebiet der EU/EWR niedergelassen ist, aber auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet belegen sind. Diese Bestimmung bringt insbesondere im Zusammenhang mit Internetanwendungen erhebliche Auslegungsschwierigkeiten: -Ist die Installation eines Programms (Javaskript) auf einem lokalen Computer schon ein "zurückgreifen"? -jedenfalls erfasst: Backuprechen- und Notfallsrechenzentren, Dienstleistung durch EU-Unternehmen DSG Anwendbares Recht VO SS Juridicum

74 © Hans G. Zeger /46/EG - Konsequenzen Auswirkungen innerhalb der EU -Es gilt das Recht jenes Staates / jener Staaten, wo der Verantwortliche seine Niederlassung(en) hat Auswirkungen für Unternehmen in Drittstaaten -Sobald sie Mittel in der EU nutzen, gilt das Datenschutzrecht des jeweiligen EU-Staates -Ansonsten gilt das nationale Datenschutzrecht des Drittstaates (sofern überhaupt vorhanden) DSG Anwendbares Recht VO SS Juridicum

75 © Hans G. Zeger 2015 Umsetzung in Österreich (§ 3 DSG 2000) Österreichisches DSG 2000 ist anzuwenden -wenn Daten im Inland verwendet werden, -wenn Daten eines anderen EU/EWR-Staates in einer österreichischen Niederlassung verwendet wird -wenn Daten eines Drittstaates in Österreich (technisch) verwendet werden (österreichischer Verantwortlicher ist zu benennen!) Österreichisches DSG 2000 ist nicht anzuwenden -wenn Daten im Inland, aber für einen Auftraggeber mit Sitz in einem anderen EU/EWR-Staat verwendet werden und der Zweck keiner österreichischen Niederlassung zuzurechnen ist -wenn Daten durch Österreich nur durchgeführt werden DSG Anwendbares Recht VO SS Juridicum

76 © Hans G. Zeger 2015 Betroffenenrechte / Informationspflichten Recht auf Geheimhaltung (§ 1ff) Recht auf Auskunft (§ 26) Recht auf Berichtigung & Löschung (§ 27) Informationspflicht (§ 24) Recht auf Widerspruch (§ 28) Recht auf Widerruf (§§ 8, 9) VO SS Juridicum

77 © Hans G. Zeger 2015 Offenlegungspflicht (§ 25) Offenlegung anlässlich Übermittlung und Mitteilung an Betroffene Identität des Auftraggebers bei registrierungspflichtigen DAs die DVR-Nummer des Auftraggebers DSG Informationspflicht VO SS Juridicum

78 © Hans G. Zeger 2015 Informationspflicht (§ 24 / Art. 10, 11, 14 EU-RL) Informationspflicht anlässlich Ermittlung Zweck Auftraggeber Spätestens zum Zeitpunkt der Übermittlung Entfällt, -bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind oder -bei mangelnder Erreichbarkeit der Betroffenen oder -bei Unwahrscheinlichkeit der Beeinträchtigung der Betroffenenrechte und Höhe der Kosten der Information Bei Kundenbeziehungen leicht zu erfüllen, ein Problem jedoch dort, wo Daten ohne Kundenbeziehungen verwendet werden (z.B. Adressenverlagen / Informationsdiensten) DSG Informationspflicht VO SS Juridicum

79 © Hans G. Zeger 2015 Informationspflicht (seit ) (DSG 2000 § 24 Abs. 2a) Betroffene sind von Datenschutzverletzungen zu informieren - wenn schwerwiegend und systematisch -wenn Betroffenen Schaden droht -Ausnahme: keine Informationspflicht wenn Schaden nur "geringfügig" und Verständigungsaufwand "unverhältnismäßig hoch" Es handelt sich um eine Informationspflicht "light", die gegenüber dem ursprünglichen Entwurf erheblich reduziert wurde. DSG Informationspflicht VO SS Juridicum

80 © Hans G. Zeger 2015 Betroffenenrecht - Auskunft (§ 26) Auskunft ist auf Verlangen bei Nachweis der Identität zu geben (Abs. 1) [Berufung auf DSG nicht erforderlich!] Auskunftsfrist sind 8 Wochen (Abs. 4) Betroffener hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3) ungerechtfertigter Aufwand ist zu vermeiden Auskunftsrecht unabhängig von Registrierungserfordernis [!!] von einem Vertragsverhältnis von tatsächlichem Vorhandensein von Daten von Datenmissbrauch von Datenweitergabe DSG Betroffenenrechte VO SS Juridicum

81 © Hans G. Zeger 2015 Betroffenenrecht - Auskunft (§ 26) II Auftraggeber hat Auskunft zu erteilen über Zweck der Datenanwendung die verwendeten Daten in allgemein verständlicher Form verfügbare Information über ihre Herkunft allfällige Empfänger oder Empfängerkreise von Übermittlungen Name und Adresse des Dienstleisters (muss vom Betroffenen extra verlangt werden) 4 Monate Löschungsverbot nach Einlangen des Auskunftsbegehrens Auskunftsbegehren und Auskunft haben schriftlich zu erfolgen, Abweichung im Einverständnis der Gegenseite möglich DSG Betroffenenrechte VO SS Juridicum

82 © Hans G. Zeger 2015 Betroffenenrecht - Auskunft (§ 26) III begründete Auskunftsverweigerung / Auskunftsbegrenzungen ist möglich, u.a. Schikaneverbot: Betroffener wurden Daten schon mitgeteilt (etwa Kontoauszüge, OGH 6Ob25/ ), nicht zu verwechseln mit Betroffener "kennt eigene" Daten überwiegende Interessen des Auftraggebers oder Dritter aus therapeutischen Gründen (Gesundheitszustand) formale Gründe: fehlender Identitätsnachweis, fehlender Kostenersatz Auskunft ist einmal im Jahr bei aktuellen Daten kostenfrei ansonsten Ersatz der tatsächlichen Kosten oder pauschalierter Ersatz (18,89 Euro) DSG Betroffenenrechte VO SS Juridicum

83 © Hans G. Zeger 2015 DSG Betroffenenrechte Betroffenenrecht - Löschung/Richtigstellung (§ 27) Richtigstellungspflicht des Auftraggebers Frist von 8 Wochen bei Richtigstellungsantrag eines Betroffenen betrifft auch unvollständige Daten, veraltete Daten, irreführende Daten nicht (mehr) benötigte oder unzulässig verarbeitete Daten sind zu löschen Beweislast der Richtigkeit von Daten, wenn Löschung verweigert wird, liegt beim Auftraggeber (Ausnahmen: Verarbeitung erfolgt ausschließlich gem. Betroffenenangaben oder gesetzliche anders angeordnet) Wachsende Bedeutung der Bestimmung, da immer öfter nur kurzfristig erforderliche Daten anfallen (Verkehrsdaten von ISP & Telekomunternehmen, Location-Based-Services, Smartphone-Daten) VO SS Juridicum

84 © Hans G. Zeger 2015 Betroffenenrecht - Widerruf / Widerspruch freiwillige Zustimmung zur Verwendung von Daten kann jederzeit, ohne Angabe von Gründen widerrufen werden (§§ 8, 9) Widerspruch (§ 28) nur bei nicht gesetzlich vorgeschriebenen Datenanwendungen möglich -Widerspruch bei öffentlich zugänglichen Dateien ohne Begründung (typischer Internet-Anwendungsfall, etwa bei Google-Street-View) -das Recht Daten zu verarbeiten (etwa Gewerbeberechtigung) ist keine gesetzliche Anordnung im Sinne des DSG -Widerspruchsrecht besteht auch bei gegebener Zustimmung! Daten sind bei gültigem Widerspruch zu löschen DSG Betroffenenrechte VO SS Juridicum

85 © Hans G. Zeger 2015 Entscheidungen Widerspruch -bei gesetzlich angeordneten Datenverarbeitungen ist Widerspruch nicht anwendbar OGH 6Ob195/08g Löschung nach § 28 (2) DSG 2000 voraussetzungslos und unbegründet bei öffentlichen Dateien möglich -Wirtschaftsauskunftsdienste betreiben öffentliche Dateien siehe auch DSK K /0011-DSK/ Widerspruch anwendbar im Zusammenhang mit Wirtschaftsauskunftdiensten -Widerspruch bedeutet auch das Verbot der Bekanntgabe, dass der Datenverwendung widersprochen wurde DSG Betroffenenrechte VO SS Juridicum

86 © Hans G. Zeger 2015 Weitere DSG-Bestimmungen Sicherheitsverpflichtung Schadenersatz Strafbestimmungen DSG 2000 VO SS Juridicum

87 © Hans G. Zeger 2015 Sicherheitsbestimmungen (§ 14) Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden: Stand der Technik entsprechend wirtschaftlich vertretbar angemessenes Schutzniveau muss erreicht werden Es gibt jedoch Sicherheitsverpflichtungen in Spezialgesetzen DSG Sicherheitsbestimmungen Es gibt im DSG 2000 keine rechtlich verbindlichen (zwingenden) technischen Sicherheitsvorschriften! Passiert etwas, wird die Geschäftsführung nachweisen müssen, die Anforderungen angemessen erfüllt zu haben VO SS Juridicum

88 © Hans G. Zeger 2015 spezifische Sicherheitsbestimmungen Bestehende Sicherheitsanforderungen in Ö -Verschlüsselung bei Webapplikationen / in der Datenübertragung Grundlage: ePrivacy-RL 2002/58/EG -Besondere Sicherheitsmaßnahmen bei Gesundheitsdaten Grundlage: GTelG (inklusive ELGA-Gesetz) + GTelVO -Sicherheit in der elektronischen Rechnungslegung Grundlage: EU-RL 2010/45/EU, BMF-Verordnung BGBl 516/2012 -Sicherheitsbestimmungen + Genehmigungsverfahren bei Digitaler Signatur Grundlage: EG-RL 1999/93/EG, SigG, SigV VO SS Juridicum

89 © Hans G. Zeger 2015 spezifische Sicherheitsbestimmungen Bestehende Sicherheitsanforderungen in Ö II -Einsatz der Bürgerkarte in Behördenverfahren Grundlage: E-GovG -Medikamentenabrechnung der Apotheken, Videoüberwachung - Verschlüsselung Grundlage: StMV 2004 des Bundeskanzleramtes -Webapplikationen der Behörden Grundlage: Portalverbundprotokoll pvp 2.0, eine privatrechtliche Vereinbarung -Bankomatkassen Grundlage: privatrechtliche Vorgaben des Betreibers -e-card/GINA-Box + Peering-Point der Ärzte Grundlage: privatrechtliche Vereinbarungen VO SS Juridicum

90 © Hans G. Zeger 2015 DSG Sicherheitsbestimmungen rechtlich-organisatorische Sicherheitsmaßnahmen -ausdrückliche Aufgabenverteilung - ausschließlich auftragsgemäße Datenverwendung - Belehrungspflicht der Mitarbeiter - Regelung der Zugriffs- und Zutrittsberechtigungen - Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten - Dokumentationspflicht zur Kontrolle und Beweissicherung = Protokollierungspflicht VO SS Juridicum

91 © Hans G. Zeger 2015 Protokollierungsanforderungen (§ 14) -Protokollierungspflicht hinsichtlich jeder Datenverwendung (Abs. 2 Z 7) -Protokolldaten dürfen nur eingeschränkt verwendet werden (zur Kontrolle der Zulässigkeit der Verwendung) -unzulässig wäre die Überwachung der Betroffenen oder von Mitarbeitern -zulässig ist die Verwendung zur Aufklärung von Straftaten, die mit mehr als fünfjähriger Freiheitsstrafe bedroht sind -Aufbewahrungsdauer ist drei Jahre, sofern gesetzliche Bestimmungen nichts anderes vorsehen -Frühere Löschung zulässig, wenn betroffene Datenanwendung ebenfalls gelöscht ist DSG Sicherheitsbestimmungen VO SS Juridicum

92 © Hans G. Zeger 2015 Der Sicherheits-Vorfall -Betreiber von Webseiten verwenden zur vertraulichen Kommunikation Verschlüsselung (Übertragung von Passwörtern, vertrauliche Kundendaten, VPN-Datenverkehr,...) -Verschlüsselungstechnik ist Transport Layer Security (TLS, auch als SSL bekannt) -verwendete, weit verbreitete OpenSource Software openssl weist bei bestimmten Versionen (1.0.1*) eine Sicherheitslücke auf, die es Angreifern erlaubt, abgefangenen Datenverkehr zu entschlüsseln -der Angriff kann erfolgen, ohne Spuren zu hinterlassen -die Lücke existiert seit etwa zwei Jahren und wird erst jetzt bekannt Datenleck Heartbleed VO SS Juridicum

93 © Hans G. Zeger 2015 Verpflichtungen aus Sicht der Datensicherheit -gemäß § 14 DSG 2000 sind Betreiber von Webseiten verpflichtet vertrauliche personenbezogene Daten angemessen zu sichern: "... je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen,... daß die Daten Unbefugten nicht zugänglich sind." (Abs 1) -DSG 2000 gibt keine Hinweise, welche Maßnahmen konkret zu setzen sind, GTelG verlangt jedoch bei Gesundheitsdaten ausdrücklich Verschlüsselung -Verschlüsselung TLS entspricht - richtig konfiguriert - "Stand der Technik" und kann als geeignete Maßnahme zum Schutz gegen Zugriff Unbefugter angesehen werden -Einsatz von openssl nach DSG 2000 zulässig und sinnvoll, Datenleck kann Betreiber nicht angelastet werden  nach bekannt werden ist unverzügliches Handeln erforderlich! Datenleck Heartbleed VO SS Juridicum

94 © Hans G. Zeger 2015 Verpflichtungen aus Sicht der Datensicherheit -Prüfpflicht, ob betroffene Software installiert ist (trifft im Prinzip alle potentiell Betroffenen) -wenn betroffen, unverzüglich Handeln:  Patch vorhanden: Installieren des Patches innerhalb weniger Stunden  kein Patch vorhanden: alternatives Produkt installieren oder Dienst vom Netz nehmen -Informationspflicht der Betroffenen gemäß § 24 Abs 2a DSG Hinweise welche persönliche Schutzmaßnahmen diese treffen können bzw. müssen, z.B. Passwortänderung -wenn von Lücke nicht betroffen: Prüfpflicht ob eingesetzte Software vergleichbare Lücken aufweisen könnte. Diese Prüfpflicht kann auch an eigenen Softwarelieferant delegiert werden. Datenleck Heartbleed VO SS Juridicum

95 © Hans G. Zeger 2015 Konsequenzen aus Missachtung der Verpflichtungen -Verwaltungsübertretung I: Lücke nicht zu schließen wäre ein "gröbliches" außer Acht lassen von Sicherheitsmaßnahmen (  § 52 Abs 2 Z 5 DSG 2000, max ,- Euro) -Verwaltungsübertretung II: Betroffene nicht zu verständigen wäre Verletzung der Informationspflicht (  § 52 Abs 2 Z 4 DSG 2000, max ,- Euro, könnte pro Fall geahndet werden) -Schadenersatz I: Tatsächliche Schäden nach Bekanntwerden der Lücke und nicht unverzüglichem Handeln sind in voller Höhe zu ersetzen (  § 33 DSG 2000) -Schadenersatz II: Führt die Lücke zur bloßstellenden Offenlegung persönlicher Daten ist "Kränkungsschaden" zu ersetzen (  § 33 DSG 2000 bis ,- Euro pro Person) -UWG: Mitbewerber, die die Lücke rasch und mit entsprechendem Aufwand schließen können das Nicht-Schließen als rechtswidrigen Wettbewerbsvorteil (ersparte Kosten) sehen und UWG-Klage einbringen Datenleck Heartbleed VO SS Juridicum

96 © Hans G. Zeger 2015 Haftung bei Datenmissbrauch OGH Entscheidung (9 Ob 126/12s) Ausgangslage Ein Redakteur der Tageszeitung A versuchte durch "erraten" von Benutzerkennung/Passwort im Zuge der BUWOG-Causa in das interne System des Unternehmens P zu gelangen. Der Versuch misslang, auf Grund der IP-Adresse konnte der Standort des Täters ermittelt werden. Die Aktion führte zur fristlosen Entlassung des Mitarbeiters. Unternehmen P verlangt Unterlassungsklage Unternehmen P verlangt weiters von TZ A eine Unterlassungserklärung. Diese wird verweigert, da Redakteur nicht im Auftrag gehandelt habe, sich die TZ A von diesen Aktivitäten distanziere und daher der Redakteur nicht als Besorgungsgehilfe anzusehen ist. Sicherheitsmaßnahmen - Haftung VO SS Juridicum

97 © Hans G. Zeger 2015 Sicherheitsmaßnahmen - Haftung Haftung bei Datenmissbrauch II OGH Entscheidung (9 Ob 126/12s) Entscheidung HG gibt Klage statt, Vorinstanz (OLG) weist Klage ab, OGH gibt Klage statt, Eingriff ist nach Besitzstörung und nicht nach Schadenersatz zu beurteilen. Eingriff in IT-System ist Besitzstörung Eingriff war im Interesse der TZ A Arbeitgeber hat Weisungs- und Kontrollrechte, kann sich Mitarbeiter aussuchen und Tätigkeitsbereich festlegen Zur Verfügung stellen von Computer und Internetanschluss reicht schon für Verantwortung der TZ A Unternehmen hat Besitzstörung - auch ohne ausdrückliche Anordnung - zu verantworten VO SS Juridicum

98 © Hans G. Zeger 2015 Welche Rechtsmittel / Sanktionen sind bei Verletzungen des DSG möglich? -Unterlassungsanspruch -bei öffentlich-rechtlich tätigen Auftraggebern (Behörden,...): vor der Datenschutzbehörde (Entscheidungen jedoch nicht direkt durchsetzbar) -bei privat-rechtlich tätigen Auftraggebern (Unternehmen,...): Auskunftsfragen des Betroffenen (vor DSB, exekutierbar) alle anderen Fragen: vor den Zivilgerichten (LG) -Schadenersatz -Ersatz materieller und "immaterieller" Schäden, Zivilgerichte (LG) -strafrechtliche Verfolgung -Verwaltungsübertretung -BG gegen den unlauteren Wettbewerb (UWG) DSG Kontroll- & Strafbestimmungen VO SS Juridicum

99 © Hans G. Zeger 2015 Schadenersatz (§ 33) schuldhaftes Verhalten notwendig Verletzung von Bestimmungen des DSG 2000, tatsächlich erlittener materieller Schaden ist zu ersetzen bei Verletzungen der Geheimhaltung, die geeignet sind den Betroffenen bloßzustellen, gebührt Entschädigung. Entschädigungsanspruch ist nicht beziffert, es wird aber auf das Mediengesetz Bezug genommen [MedienG § 7: bis Euro] Bei Veröffentlichungen in einem Medium gilt wie bisher das Mediengesetz Entschädigungsanspruch ist gegenüber dem Auftraggeber geltend zu machen (es muss eine Datenanwendung vorliegen!) DSG Kontroll- & Strafbestimmungen Webseiten, Newsletter  Medienrecht , sonstige Informationsdienste, Infrastruktur  DSG 2000 wenn jedoch ISP (Internet Service Provider)  TKG DSG 2000 VO SS Juridicum

100 © Hans G. Zeger 2015 DSG - Schadenersatz OGH 6 Ob 275/05t ("Verdienstentgang") Ausgangslage -Anwalt gelangte wegen Verzug der Rückzahlung eines Bürgschaftskredits auf UKV-Liste der Banken -Geschäft mit einer Kammer kam auf Grund dieses Eintrags nicht zustande (Umfang ,- EUR) -Anwalt forderte von Bank Schadenersatz in Höhe von EUR OGH-Entscheidung -Eintrag ohne vorherige Verständigung unzulässig -OGH beruft sich ausdrücklich auf DSK-Bescheid -Schadenersatz besteht daher zu Recht (zugesprochen EUR) -Erstgericht wird Aufteilung zwischen materiellen/immateriellen Schaden entscheiden müssen VO SS Juridicum

101 © Hans G. Zeger 2015 DSG Schadenersatz OGH 6 Ob 247/08d ("Bonitätsinformationen") Ausgangslage -Betroffener wurde bei angeblich unzulässiger Mülldeponierung gefilmt -privater Wachdienst forderte 100 Euro "Entschädigung", Forderung wurde Inkassodienst übergeben -nach Weigerung der Zahlung wurde Zahlungsanstand an Wirtschaftsauskunftsdienst gemeldet -Betroffener erfuhr davon im Rahmen eines Telekom-Geschäfts Entscheidung (rechtskräftig) -Eintrag ohne vorherige Verständigung ist rechtswidrig -Eintragung geeignet die Kreditwürdigkeit zu beschädigen -auch wenn kein unmittelbarer Schaden nachweisbar, besteht Anspruch gem. § 33 DSG -Betrag von 750,- Euro in Hinblick auf geringe Zahl der Datenübermittlungen angemessen VO SS Juridicum

102 © Hans G. Zeger 2015 Gewinn- oder Schädigungsabsicht (DSG 2000 § 51) -Klarstellung der Deliktvoraussetzungen: Vorsatz der Bereicherung von sich oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer Delikt begeht, wer... -widerrechtlich ihm zugängliche Daten benutzt oder -Daten widerrechtlich beschafft oder -anderen widerrechtlich zugänglich macht oder -widerrechtlich öffentlich macht Strafausmaß: bis ein Jahr Delikt ist Offizialdelikt [bis : Privatanklagedelikt] Strafbestimmung gilt subsidiär betrifft berufsmäßig mit Daten Beschäftigte und andere DSG Strafbestimmungen VO SS Juridicum

103 © Hans G. Zeger 2015 Strafbestimmungen bei öffentlich-rechtlichen Organen Missbrauch der Amtsgewalt (§ 302 StGB) Strafrahmen: bis 5 Jahre Verletzung des Amtsgeheimnisses (§ 310 StGB) Strafrahmen: bis 3 Jahre denkbar auch: Falsche Beurkundung und Beglaubigung im Amt (§ 311 StGB) Strafrahmen: bis 3 Jahre Hier ist Vorsatz Voraussetzung für die Tatverfolgung DSG Kontroll- & Strafbestimmungen VO SS Juridicum

104 © Hans G. Zeger 2015 DSG Strafbestimmungen Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln] -widerrechtliches Verschaffen eines Zugangs zu einer DA -widerrechtliches Weiterbenutzen eines Zugangs zu einer DA -Übermittlung unter Verletzung des Datengeheimnisses -Weiterverwendung von Daten entgegen eines rechtskräftigen Urteils/Bescheids -widerrechtliches Löschen von Daten (§ 26 Abs. 7) Strafrahmen: bis ,- Euro zuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSB Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk) Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten! VO SS Juridicum

105 © Hans G. Zeger 2015 Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 1. nicht Erfüllen Meldepflicht gemäß den §§ 17 oder 50c oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt 2. Daten ins Ausland übermittelt oder überlässt, ohne Genehmigung gemäß § 13 Abs Verstoß gegen Zusagen an oder Auflagen der DSB (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) 4. Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d verletzt 5. § 14 Sicherheitsmaßnahmen gröblich außer Acht lässt DSG Strafbestimmungen VO SS Juridicum

106 © Hans G. Zeger 2015 DSG Strafbestimmungen Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht. Strafrahmen: bis ,- Euro VO SS Juridicum

107 © Hans G. Zeger 2015 DSG Strafbestimmungen Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a) [=Gefährdung von Betroffenenrechten] neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a) Strafrahmen: bis 500,- Euro Verfallbestimmungen § 52 Abs. 4 Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden VO SS Juridicum

108 © Hans G. Zeger 2015 mögliche Anwendbarkeit auf unsere Beispiele -Private Schuldnerfahndung ("seastar"): rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch) verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung) verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung) Bloßstellen des Betroffenen ? (Medienrecht) widerrechtlich veröffentlicht § 1/§ 8 ? (§ 51 Strafbestimmung) -Telefonbuchdaten mit Luftbild verknüpft: fehlender berechtigter Zweck § 6 ? (Unterlassungsanspruch) verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung) -Diskussionsforum wird fehlerhaft veröffentlicht: nicht Beachten von Sicherheitsmaßnahmen § 14 ? (§ 52 (2) Verwaltungsübertretung) -Verwertung der US-Straftäterdatei in Österreich: fehlender berechtigter Zweck § 6 ? (Unterlassungsanspruch) verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung) DSG Kontroll- & Strafbestimmungen VO SS Juridicum

109 © Hans G. Zeger 2015 Anwendbarkeit auf unsere Beispiele II -Einbindung des LikeIt-Buttons ohne Zustimmung des Benutzers: rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch) verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung) verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung) Bloßstellen des Betroffenen ? (Medienrecht) -Veröffentlichung von Webzugriffen (Webstatistiken): rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch) verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung) verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung) Bloßstellen des Betroffenen ? (Medienrecht) -Veröffentlichung von Veranstaltungsanmeldungen: rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch) verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung) DSG Kontroll- & Strafbestimmungen VO SS Juridicum

110 © Hans G. Zeger 2015 Privatsphäre-Bestimmung E-CommerceG sonstige Bestimmungen Weitere Bestimmungen TelekommunikationsG 2003 Weitere Entscheidungen/Beispiele VO SS Juridicum

111 © Hans G. Zeger 2015 § 1328a ABGB Privatsphärebestimmung (1) Wer rechtswidrig und schuldhaft in die Privatsphäre eines Menschen eingreift oder Umstände aus der Privatsphäre eines Menschen offenbart oder verwertet, hat ihm den dadurch entstandenen Schaden zu ersetzen. Bei erheblichen Verletzungen der Privatsphäre, etwa wenn Umstände daraus in einer Weise verwertet werden, die geeignet ist, den Menschen in der Öffentlichkeit bloßzustellen, umfasst der Ersatzanspruch auch eine Entschädigung für die erlittene persönliche Beeinträchtigung. Abs.2 definiert Substitutionsklausel -Bestimmung ist nicht anzuwenden, wenn andere Bestimmung gilt, etwa Datenschutz- oder Medienrechtsbestimmungen Schutz der Privatsphäre - §1328a ABGB VO SS Juridicum

112 © Hans G. Zeger 2015 Änderungen durch § 1328a Auffangtatbestand für bisher nicht erfasste Verletzungen Schadenersatz für "immaterielle" Schäden Drei Verletzungsarten Eingreifen (Eindringen in die Privatsphäre) Offenbaren an Dritte (nicht nur Öffentlichkeit) Verwerten (wirtschaftlicher Vorteils durch Kenntisse aus Privatsphäre) Voraussetzungen für Schadenersatz nach § 1328a Rechtswidrigkeit Verschulden (leichte Fahrlässigkeit genügt) Erheblicher Eingriff Schutz der Privatsphäre - § 1328a ABGB VO SS Juridicum

113 © Hans G. Zeger 2015 Höhe des Schadenersatzes keine grundsätzliche Beschränkung der Entschädigungshöhe Orientierung am Medienrecht keine Untergrenze wie im ursprünglichen Entwurf vorgesehen Ausnahmen Veröffentlichungen in Medien sind nicht erfasst (  Mediengesetz) Betriebs- und Geschäftsgeheimnisse sind ausgenommen (  §§ StGB) speziellere Regelungen gehen vor (z.B. § 33 DSG 2000) Schutz der Privatsphäre - § 1328a ABGB VO SS Juridicum

114 © Hans G. Zeger 2015 Schutz der Privatsphäre - Beispiele Beispiele für Eingriffe in die Privatsphäre private Videoüberwachung, Personenortung, Radarüberwachung Bekanntgabe persönlicher Daten im Internet Illegales Abhören von Telefonaten oder Gesprächen Hacken von privaten Computern Missbrauch von Foto-Handys Überwachung des Standortes eines Mobiltelefonnutzers ohne dessen Zustimmung Offenbaren/Verwerten von Urteilen BG Josefstadt 6C188/09p EV gemäß § 382g EO wegen Veröffentlichung privater Daten in einem Blog (begründet auf § 1328a ABGB "Cyberstalking") VO SS Juridicum

115 © Hans G. Zeger 2015 Kommunikations-Rechtsrahmen der EU verabschiedet, geändert (2009/136/EG) -in Ö durch TKG 2003 (BGBl I 70/2003) umgesetzt, Änderungen in (BGBl I 102/2011) umgesetzt -wir beschränken uns auf 2002/58/EG und 2002/22/EG (Kommunikations-Datenschutz-RL & Universaldienst-RL) bzw. 12. Abschnitt des TKG 2003 Ziel der K-DS-RL war Regelung spezifischer Kommunikations- Datenschutzanforderungen und -situationen durch Vorratsdatenspeicherungsrichtlinie (2006/24/EG) ergänzt (in Ö 5/2011 umgesetzt, BGBl I 27+33/2011) -wichtigste Änderungen vom /EG / /TKG - Verständigungspflicht der Provider bei Datenverlust ( 2002/58/EG) -Ausschlußmöglichkeit von Urheberrechtsverletzern nach "unabhängigen" und "fairen" Verfahren ( 2002/22/EG) -Zustimmungspflicht bei "Cookie"-Einsatz ( 2002/58/EG) elektronische Kommunikation und Datenschutz VO SS Juridicum

116 © Hans G. Zeger 2015 Wer/Was fällt unter das TKG 2003? (§ 3 TKG 2003) Betreiber(Bereitsteller/Anbieter) von Kommunikationsnetzen und/oder Kommunikationsdiensten Kommunikationsnetz = Infrastruktur zur Übertragung von Signalen Kommunikationsdienst = gewerbliche Dienstleistung mittels Übertragung von Signalen über Kommunikationsnetze elektronische Kommunikation und Datenschutz Betriebe, die auch Telefonvermittlungsanlagen betreiben oder Datenleitungen zur Vernetzung ihrer Standorte nutzen, fallen nicht darunter! Einzelne Regeln betreffen alle Nutzer elektronischer Dienste z.B elektronische Werbung (§ 107), Löschungs-verpflichtung fehlerhaft zugestellter Nachrichten (§ 93 Abs. 4) TKG 2003 regelt Datenschutzrechte der Benutzer (Nutzer/ Teilnehmer) gegenüber Betreibern (Bereitstellern/Anbietern)! Neu mit Novelle 102/2011: Dienste der Informationsgesellschaft sind von Datenschutzregeln betroffen (§ 96 Abs. 3) VO SS Juridicum

117 © Hans G. Zeger 2015 DSG 2000 RL 95/46/EG alle personen- bezogenen Daten alle Auftraggeber / Betroffene subsidiär anwendbar TKG 2003 RL 2002/58/EG Stammdaten, Verkehrsdaten, Inhaltsdaten, Standortdaten Betreiber iS TKG / Teilnehmer/Nutzer(Benutzer) Datensschutz-Bestimmungen §§ § 108 (Strafbestimmung) Vergleich TKG / DSG elektronische Kommunikation und Datenschutz VO SS Juridicum

118 © Hans G. Zeger 2015 Geschützte Datenarten (§ 92 TKG 2003) Stammdaten Name, akademischer Grad, Anschrift, Teilnehmernummer, Konaktdaten, Vertragsdaten, Bonität, "öffentliche IP-Adresse" wenn Teilnehmer fix zugeordnet Verkehrsdaten z. B. Rufnummern, Datum, Zeit, Dauer, leistungsabhängige Entgelte, Funkzelle, inkl. "Zugangsdaten" Inhaltsdaten z. B. das geführte Telefonat, Fax, SMS, -Inhalt, Webinhalte,... Standortdaten genaue Position einer Kommunikationsendeinrichtung (kann bis auf wenige Meter genau bestimmt werden), im TKG nur für Kommunikationsnetze und -dienste definiert, nicht für Dienste der Informationsgesellschaft TKG Datenschutzbestimmungen VO SS Juridicum

119 © Hans G. Zeger 2015 Stammdaten (§ 97 TKG 2003) Name, akademischer Grad, Anschrift, Teilnehmernummer, Information über Art des Vertrags, Bonität, "öffentliche IP- Adresse" (unter bestimmten Umständen) Verwendungszweck: Handhabung des Vertrages mit dem Teilnehmer Erstellung von Teilnehmerverzeichnissen Erteilung von Auskünften an Notrufträger Löschungspflicht nach Beendigung der Rechtsbeziehungen! [Weitreichender als bei sonstigen Auftraggebern] Ausnahmen: Entgeltverrechnung, laufende Beschwerden oder gesetzliche Verpflichtungen TKG Datenschutzbestimmungen VO SS Juridicum

120 © Hans G. Zeger 2015 Verkehrsdaten (§ 99 TKG 2003) besonders schutzwürdig -„Daten, die zum Zwecke der Weiterleitung einer Nachricht an ein Kommunikationsnetz oder zum Zwecke der Fakturierung dieses Vorgangs verarbeitet werden“ grundsätzlich keine Speicherung, Ausnahmen: -Verrechnung -Entscheidung in Streitfällen – Übermittlung an die Schlichtungsstelle -seit Vorrats-Speicherpflicht für Überwachung bis 6 Monate ansonsten: keine starre Frist für die Speicherung Auswertungsverbot -aber: kann durch Zustimmung des Teilnehmers für Marketingzwecke und Dienste mit Zusatznutzen erfolgen TKG Datenschutzbestimmungen VO SS Juridicum

121 © Hans G. Zeger 2015 Inhaltsdaten (§ 101 TKG 2003) Inhalte übertragener Nachrichten keine Speicherung zulässig, außer wenn die Speicherung Dienstmerkmal ist (z. B. Mailbox) unverzüglich nach Diensterbringung zu löschen TKG Datenschutzbestimmungen VO SS Juridicum

122 © Hans G. Zeger 2015 Standortdaten (§ 102 TKG 2003) Komplizierte Regelung „andere Standortdaten als Verkehrsdaten“ -Information über Funkzelle: Verkehrsdaten -genauere Ortsangaben sind: „andere Standortdaten“ Verarbeitung nur -anonymisiert (etwa zur Ressourcenplanung) oder -mit jederzeit widerrufbarer Zustimmung des Betroffenen ("location based services") muss auch zeitweise deaktivierbar sein Datenart im Zusammenhang mit Anbietern von Kommunikationsdiensten im Sinne des TKG 2003 schwindende Bedeutung, da "location based services" meist über Drittanbieter ("Apps") erbracht werden TKG Datenschutzbestimmungen VO SS Juridicum

123 © Hans G. Zeger 2015 Kommunikationsdaten - Beispiel Was ist ein Weblink / eine URL ? -http://www.orf.at -https://eservices.wuestenrot.at/eService/screen/ anmeldung_ks210?_view=KS210_input_Komm&KS210_input_Komm_auswei s_art=RP&KS210_input_Komm_ausw_nr=4711&KS210_input_Komm_ausw_b ehoerde=BPD+Gossing&KS210_input_Komm_auswdat_tag=01&KS210_inpu t_Komm_auswdat_monat=01&KS210_input_Komm_auswdat_jahr=33&KS21 0_input_Komm_handy= &KS210_input_Komm_ =camp us%40gmx.at&KS210_input_Komm_kennwort=MANADA&KS210_input_Kom m_vertragsnr=&KS210_input_Komm_newsletter=0&checkAGB=true&KS210_ input_Komm_agb=on&KS210_input_Komm_KS210_input_Komm_forward= Weiter&_submit=true - Google-URL: - Newsletter-URL: VO SS Juridicum

124 © Hans G. Zeger 2015 Kommunikationsgeheimnis (§ 93 TKG 2003) schützt Inhaltsdaten, Verkehrsdaten und Standortdaten, inklusive erfolgloser Verbindungsversuche [Stammdaten im Rahmen des DSG 2000 geschützt] Verpflichtet Betreiber und deren Personal zur Geheimhaltung: gerichtliche Strafandrohung (§ 108 TKG 2003) Mithören, Abfangen, Aufzeichnung oder sonstige Überwachen von Nachrichten durch andere als die Benutzer ist unzulässig (Zustimmung aller Beteiligten erforderlich), zufällig aufgenommene Nachrichten müssen gelöscht werden, gilt für alle "Anwender" (Abs. 4) Ausnahmen (Abs. 3): -Rückverfolgung von Notrufen -Aufzeichnungen im Rahmen einer Fangschaltung -Überwachung, Auskunftserteilung bei Nachrichtenübermittlung (inkl. Vorratsdaten) -wenn technisch für Diensterbringung erforderlich (z.B. Mailbox) TKG Datenschutzbestimmungen VO SS Juridicum

125 © Hans G. Zeger 2015 Datenschutz-Grundsätze (§ 96 TKG 2003) Verwendung der Daten nur für Zwecke der Besorgung eines Kommunikationsdienstes (Abs. 1) Übermittlung (Abs. 2) nur, wenn -notwendig für Diensterbringung oder -mit Zustimmung des Betroffenen für Vermarktungszwecke oder Dienste mit Zusatznutzen (jederzeit widerrufbar) Löschung (Abs. 2) der Daten sobald wie möglich z. B.: Verkehrsdaten sind zu löschen, wenn für Dienst oder Abrechnung nicht mehr erforderlich [Ausnahmen der Vorratsspeicherung sind zu beachten §§ 99, 102a] nähere Regelung der Datenverwendung in AGB möglich TKG Datenschutzbestimmungen VO SS Juridicum

126 © Hans G. Zeger 2015 Datenschutz-Grundsätze (§ 96 TKG 2003) II Erweiterte Informations- und Zustimmungsverpflichtungen bei Diensterbringung (gelten für Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellscht (siehe ECG) (Abs. 3) Informationspflichten: -welche personenbezogene Daten Betreiber/Anbieter ermittelt, verarbeitet und übermittelt (betrifft auch Standort- /Geo-Daten) -Rechtsgrundlage und Zweck der Datenverwendung -Speicherdauer der Daten Information ist in geeigneter Form, insbesondere mittels AGBs, spätestens bei Beginn einer Rechtsbeziehung zu erfolgen [z.B. vor Setzen oder übermitteln von Cookies,..] TKG Datenschutzbestimmungen VO SS Juridicum

127 © Hans G. Zeger 2015 Datenschutz-Grundsätze (§ 96 TKG 2003) III Abs. 3 - Fortsetzung Ermittlung von Daten nur, wenn -Teilnehmer oder Nutzer Einwilligung erteilt hat oder -der alleinige Zweck die Übertragung einer Nachricht im Kommunikationsnetz ist oder -wenn dies unbedingt erforderlich ist, damit ein Dienst der Informationsgesellschaft, den der Teilnehmer oder Benutzer ausdrücklich gewünscht hat erbracht werden kann [z.B. Session-Cookie für Online-Shop, GPS-Daten für location based services,...] TKG Datenschutzbestimmungen VO SS Juridicum

128 © Hans G. Zeger 2015 Demobeispiel Onlinetracking Was passiert bei Aufruf einer Website? Beispiel: Was wurde tatsächlich aufgerufen? m1.webstats.motigo.com, vote4me.de, Betreiber dieser Server wurden vom Benutzer-Interesse an informiert, kann vom Benutzer nicht beeinflusst werden VO SS Juridicum

129 © Hans G. Zeger 2015 Aufruf von Websites mit Facebook Like Plugin nachdem die Facebook- Website aufgerufen wurde aber keine Registrierung erfolgte (kein Klick auf das Plugin): xxxx.xxxx.xx Schwangerschaftsnetz.tld Technische Betrachtung – Facebook Like Websites mit Facebook Like Plugin: Glaubensgemeinschaft.tld  PolitischePartei.tld  ID: dTrGTwDiSl75GjJ73KORYiR1 Facebook.com Websiteaufrufe automatische Mitaufrufe – einzigartige ID wird jedesmal übermittelt in Computer des Nutzers gespeichert: ID: dTrGTwDiSl75GjJ73KORYiR1 VO SS Juridicum

130 © Hans G. Zeger 2015 Internet-Tracking in Österreich Was ist eigentlich Tracking? Der Begriff Tracking umfasst alle Bearbeitungsschritte, die der gleichzeitigen Verfolgung von (bewegten) Objekten dienen.... Ziel dieser Verfolgung ist meist das Abbilden der beobachteten tatsächlichen Bewegung zur technischen Verwendung. Solche Verwendung kann das Zusammenführen des getrackten Objektes mit einem nachfolgenden Objekt sein. Solche Verwendung kann aber auch schlichter die jeweilige Kenntnis des momentanen Ortes des getrackten Objektes sein. (wikipedia, ) statt "Objekt" setzen wir "Person" ein der tatsächlichen Identität des getrackten Objektes sein. bekannten Informationen sein. Solche Verhalten s des Verwertung. Verwertung Identifizieren - Kombinieren - Verwerten sind offensichtlich die Ziele von Tracking Personen der getrackten Person sein. der getrackten Person VO SS Juridicum

131 © Hans G. Zeger 2015 Welche Internet-Tracking-Formen kennen wir? Cookies bekannt, leicht zu unterbinden, schwach IP-Adresse bekannt, oft irreführend (z.B. Internet-Cafes) MAC-Adressen weniger bekannt, leicht zu manipulieren gut verwertbar Zählpixel bekannt, vom Benutzer kaum abwehrbar, gut verwertbar Skripts, Plugins bekannt, theoretisch leicht zu unterbinden, in der Praxis funktioniert dann "nichts" mehr, sehr effektiv persönliche Anmeldung bewährt, erfordert jedoch schon Vertrags- oder zumindest Vertrauensbeziehung, sehr effektiv, letzte Stufe des Tracking Browser Toolbar bewährt, erfordert Aktion des Benutzers, kann meist unauffällig installiert werden, extrem effektiv, wird nicht manipuliert Internet-Tracking in Österreich VO SS Juridicum

132 © Hans G. Zeger 2015 Welche Internet-Tracking-Formen kennen wir? II Geräte- Signatur bekannt, faktisch nicht manipulierbar, gut verwertbar und sehr effektiv Browserfont weniger bekannt, nicht manipulierbar, sehr gut verwertbar und sehr effektiv Der perfekte Tracker wird immer eine Kombination aller Techniken einsetzen! Internet-Tracking in Österreich VO SS Juridicum

133 © Hans G. Zeger 2015 Internet-Tracking in Österreich VO SS Juridicum

134 © Hans G. Zeger 2015 Internet-Tracking in Österreich VO SS Juridicum

135 © Hans G. Zeger 2015 Rechtlicher Rahmen? Verwendet Tracking personenbezogene Daten? DSG 2000 § 4 Z 1 "Daten" ("personenbezogene Daten") "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" Wer sind Betroffener? DSG 2000 § 4 Z 3 "Betroffener" "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" Datenbegriff sehr allgemein gehalten, umfasst auch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. IP-Adressen, Cookies, jede Art von Tracking-Daten,...) Wunsch oder Möglichkeit der Identifizierung einer Person reicht Internet-Tracking in Österreich VO SS Juridicum

136 © Hans G. Zeger 2015 Unerbetene Nachrichten Kommunikations-Datenschutzrichtlinie 2002/58/EG Art.13 -RL sieht Opt-In bei Werbung vor -umfasst automatische Anrufsysteme ohne menschlichen Eingriff (automatische Anrufmaschinen), Faxgeräte, elektronische Post -Ausnahme bei Kunden zur Bewerbung ähnlicher Produkte -trifft keine Aussage zu -Massensendungen oder "normalen" Telefonanrufen Komplexe Regelung in TKG 2003 § 107 -sieht ebenfalls Opt-In für Werbung vor -umfasst alle Telefonanrufe, Faxgeräte, elektronische Post inkl. SMS -Ausnahme bei Kunden zur Bewerbung ähnlicher Produkte, jedoch ist Sperrliste (gem. § 7 Abs. 2 ECG) zu beachten -bei elektronischer Post & SMS zusätzlich jede Massensendungen verboten -zulässig unerbetene Anrufe/Fax zu anderen Zwecken, etwa Meinungsbefragung TKG Datenschutzbestimmungen VO SS Juridicum

137 © Hans G. Zeger 2015 TKG Datenschutzbestimmungen Unerbetene Nachrichten II Regelung in TKG 2003 § 107 -Identität des Absenders muss offen gelegt werden -Möglichkeit zur Einstellung der Zusendungen muss angeboten werden -bei erlaubten Werbeanrufen, darf Anrufnummer weder unterdrückt, noch verfälscht sein, ECG-Bestimmungen nicht verletzt werden, nicht zum Besuch ECG-widriger Webseiten aufgefordert werden -Anzeigemöglichkeit bei unerbetenen Nachrichten bei Fernmeldebüros (Verwaltungsstrafe bis Euro bei Spam, bei Anrufen), 2012 (2011) 344 Anzeigen, 59 (35) Strafverfahren, Strafe Schnitt 196 (71) Euro -Ort der "Tatbegehung" ist bei inländischen "Tätern" Sitz des Täters, bei anderen, der Ort an dem die Nachricht den Teilnehmer erreicht Sonstige Maßnahmen gegen Spam -anwaltliche Abmahnungen: Unterlassungsanspruch -Spamfilter, Blocking-Listen und andere technische Maßnahmen: jedoch! Gefahr des Eingriffs in Kommunikation Regelung gilt für alle, nicht nur Betreiber! VO SS Juridicum

138 © Hans G. Zeger 2015 Sonstige Datenschutzbestimmungen im TKG -Einrichtung und Betrieb technischer Überwachungsvorrichtungen (§ 94) -Einzelentgeltnachweis (§ 100) kostenloser, elektronischer Einzelentgeltnachweis, auf Verlangen entgeltfrei in Papierform -Telefonverzeichnis (§ 103) taxative Aufzählung der Datenarten, Verbot der Auswertung der Teilnehmerdaten (für den Anbieter) -Anzeige der Rufnummer (§ 104) -Unterdrückung des Versendens einer Rufnummer (§ 104) -Anrufweiterleitung (§ 105) -Fangschaltung (§ 106) TKG Datenschutzbestimmungen VO SS Juridicum

139 © Hans G. Zeger 2015 Sicherheit im Netzbetrieb (§ 95 TKG 2003) 2002/58/EG (Kommunikations-Datenschutz-RL, EG20, Art. 4) -grundsätzliche Anforderung ähnlich der allg. DS-Richtlinie: angemessen, Stand der Technik, wirtschaftlich vertretbar -in TKG § 95 Verweis auf DSG § 14 zusätzlich: -Informationspflicht des Nutzers/Teilnehmers über besondere Sicherheitsrisken und deren Vermeidung -Information über Sicherheitsrisken hat kostenfrei zu erfolgen (abgesehen von Empfangskosten) Was ist Stand der Technik im Internet? -im Zusammenhang mit Internet sind SSL128 (TSL, "https://") und VPN (Virtual Private Network) sind "Stand der Technik" TKG Datenschutzbestimmungen VO SS Juridicum

140 © Hans G. Zeger 2015 Strafbestimmung TKG 2003 § 108 Verletzung von Rechten der Benützer Strafandrohung für: -Information an Unberufene über Tatsache und Inhalt eines Telekommunikationsverkehrs weitergibt (bzw. dazu Gelegenheit gibt, selbst wahrzunehmen) -Nachricht fälscht, unrichtig wiedergibt, verändert, unterdrückt, unrichtig vermittelt oder unbefugt dem Empfangsberechtigten vorenthält -Strafrahmen: Freiheitsstrafe bis zu drei Monaten oder mit Geldstrafe bis zu 180 Tagessätzen -Täter ist nur auf Antrag des Verletzten zu verfolgen. -betrifft Betreiber und sein Pesonal (§ 93 Abs. 2) -Strafdrohungen für sonstige Nutzer von Kommunikationsdiensten in einem umfassenden Cybercrimepaket definiert (u.a. § 119 StGB) TKG Datenschutzbestimmungen VO SS Juridicum

141 © Hans G. Zeger 2015 Grundlagen Österreich -E-Commerce-Gesetz – ECG, BGBl I 152/2001 -Fernabsatzgesetz, BGBl I 185/1999 (geregelt im KSchG) ab 13. Juni 2014 Verbraucherrechte-Richtlinie- Umsetzungsgesetz – VRUG, BGBl I 33/2014 -Mediengesetz, BGBl I 49/2005, 151/ Handelsrechts-Änderungsgesetz – HaRÄG, BGBl I 120/2005 (geregelt im Unternehmensgesetzbuch) Grundlagen EU -EG-Richtlinie 2000/31/EG "Richtlinie über den elektronischen Geschäftsverkehr" Regelung -regeln diverse Informations- und Auskunftspflichten bei Onlinediensten gem NotifG 1999 § 1 Abs 1 Z 2 Dienste der Informationsgesellschaft VO SS Juridicum

142 © Hans G. Zeger 2015 Geltungsbereich §§ 1ff ECG -geregelt wird elektronischer Geschäfts- und Rechtsverkehr -Zulassung von Diensteanbietern, Informationspflichten, Abschluss von Verträgen, Verantwortlichkeit von Diensteanbietern (§ 1) -von den Bestimmungen unberührt bleiben Belange des Abgabenwesens, des Datenschutzes und des Kartellrechts (§ 2) -Dienst der Informationsgesellschaft (§ 3 Z 1): elektronisch im Fernabsatz auf individuellen Abruf des Empfängers (in der Regel) gegen Entgelt bereitgestellter Dienst, insbesondere - Online-Vertrieb von Waren und Dienstleistungen, -Online-Informationsangebote, -Online-Werbung, -elektronische Suchmaschinen, -Datenabfragemöglichkeiten, -Dienste, die Informationen über ein elektronisches Netz übermitteln, die den Zugang zu einem solchen vermitteln oder die Informationen eines Nutzers speichern (Access-, -Dienste) E-Commerce-Gesetz VO SS Juridicum

143 © Hans G. Zeger 2015 Geltungsbereich §§ 1ff ECG II -Diensteanbieter (§ 3 Z 2): eine natürliche oder juristische Person oder sonstige rechtsfähige Einrichtung, die einen Dienst der Informationsgesellschaft bereitstellt -Nutzer (§ 3 Z 3): nimmt Dienst in Anspruch -Verbraucher (§ 3 Z 4): natürliche Person, die zu Zwecken handelt, die nicht zu ihren gewerblichen, geschäftlichen oder beruflichen Tätigkeiten gehören OGH 4Ob219/03i ("Online-Sexdienste") -Angeboten wurde Dialerzugang zu Porno-Webcams, geklagt wurde mangelnde Auszeichnung gem. ECG Entscheidung -Dienst im Sinne § 3 Z 1 ECG liegt bei Datenübertragung im Weg einer bidirektionalen Punkt-zu-Punkt-Verbindung vor -Nutzer kann Dienst interaktiv nach seinen Bedürfnissen (zB betreffend Zeit und Ort der Nutzung sowie Art des abgerufenen Inhalts) steuern -trifft auf Live-Cam-Darbietungen zu E-Commerce-Gesetz VO SS Juridicum

144 © Hans G. Zeger 2015 Allgemeine Informationspflichten § 5 ECG leicht verständliche und eindeutige Information zu: -Personenname oder Firmen-/Organisationsname -geographische (ladungsfähige) Anschrift -Kontaktdaten (inkl. -Adresse) -evtl. zuständige Aufsichtsbehörde -evtl. FN-Nummer und Firmenbuchgericht -evtl. berufsrechtliche Vorschriften und Zugang -evtl. UID-Nummer -klare Preisauszeichnung! -Sonstige Informationspflichten bleiben unberührt! Verstoß: -Verwaltungsstrafe § 26 ECG (bis 3.000,- Euro) -Wettbewerbsverletzung § 1 UWG Bestimmung ist bei jedem Web-Angebot anzuwenden (nicht bloß Online-Shop) E-Commerce-Gesetz VO SS Juridicum

145 © Hans G. Zeger 2015 Zugang elektronischer Erklärungen (§ 12 ECG) gilt als zugegangen, wenn mit dessen Kenntnisnahme („Abruf“) unter gewöhnlichen Umständen gerechnet werden kann -kann unterschiedlich bei Unternehmen und Privatpersonen sein -Aber: Risiko der Übermittlung und des vollständigen Zugangs einer beim Empfänger trägt der Absender -Eventuell Prüf- und Sorgfaltspflichten des Empfängers regelmäßige Nachschau in box, Sicherstellung des Betriebs (Providerhaftung!) E-Commerce-Gesetz VO SS Juridicum

146 © Hans G. Zeger 2015 Elektronische Erklärungen OGH 9 Ob 56/13 w AGBs Kreditkartenunternnehmen Geschäftsbedingungen enthielten folgende Klauseln 1.Antwortschreiben auf die s des Kreditkartenunternehmens werden nicht beachtet (noreply-Adresse) 2.die Änderung der adresse hat der Karteninhaber unverzüglich, schriftlich und unterfertigt mitzuteilen (Brief oder Fax) 3.In den AGB einer Kreditkartenfirma wird festgelegt, dass Kunden die Kartendaten nur in verschlüsselten Netzen verwenden dürfen, die auf der Website des Unternehmens bekannt gegeben werden, ansonsten Mithaftung des Kunden E-Commerce-Gesetz  zulässsig  Klausel unzulässig, da zu einschränkend und intransparent formuliert  unzulässsig VO SS Juridicum

147 © Hans G. Zeger 2015 sonstige spezifische Diensteanbieter (§§ ECG) -Durchleitung von Informationen (§ 13) ("AccessProvider") umfasst auch kurzfristiges Zwischenspeichern, etwa für die Dauer der Diensterbringung -Suchmaschinenbetreiber (§ 14) -Caching- und Proxy-Dienste (§ 15) -Hosting-Dienste (§ 16) ("Hosting-Provider") umfasst Bereitstellung von Speicherplatz für Webseiten, Blogs, Gästebücher, Diskussionsforen, Social Media Plattformen (z.B. Facebook), aber auch nicht-öffentliche Datenbestände -Link-Dienste (§ 17) Bereitstellen eines Informationszugangs durch Links E-Commerce-Gesetz VO SS Juridicum

148 © Hans G. Zeger 2015 Verantwortung spezifischer Diensteanbieter (§§ ECG) -Durchleitung von Informationen (§ 13) ("AccessProvider") Definition umfasst auch technisch erforderliches Zwischenspeichern, etwa -Suchmaschinen (§ 14) Keine Verantwortung unter bestimmten Umständen: 1.die Übermittlung/Abfrage nicht veranlasst, 2.den Empfänger der übermittelten/abgefragten Informationen nicht auswählt und 3.die übermittelten/abgefragten Informationen weder auswählt noch verändert. Auskunftspflicht im Fall § 13 gegenüber Gerichten zur Verhütung, Ermittlung, Aufklärung oder Verfolgung gerichtlich strafbarer Handlungen e-commerce - Diensteanbieter VO SS Juridicum

149 © Hans G. Zeger 2015 Verantwortung spezifischer Diensteanbieter II (§ 15 ECG) -Zwischenspeicherung (Caching) von Informationen (§ 15) Keine Verantwortung unter bestimmten Umständen: 1.Keine Änderung der Information, 2.Bedingungen zum Informationszugang werden beachtet [z.B. kein allgemein zugänglich machen gesperrter Information], 3.Aktualisierung gemäß "Industriestandard" (?!), 4.Technologien zum Sammeln von Informationen lt. "Industriestandard" dürfen nicht beeinträchtigt werden (??) und 5.Unverzügliches entfernen der Information, wenn am Ursprungsort nicht vorhanden oder Gericht/Verwaltungsbehörde Sperre/Entfernung angeordnet hat e-commerce - Diensteanbieter VO SS Juridicum

150 © Hans G. Zeger 2015 Verantwortung spezifischer Diensteanbieter III (§§ ECG) -Hosting / Housing von Diensten (§ 16) Dienstleister speichert vom Nutzer eingegebene Daten -Unternehmenswebsite wird auf Server eines ISP verwaltet -Online-Händler mietet sich auf Webshop-Plattform ein -Leser gibt Kommentar in Onlineforum einer Zeitung ab -Benutzer bewertet Hotel, Gasthaus,... auf einer Bewertungsplattform, trägt sich in einem Gästebuch ein -Benutzer verwendet Online-Office-Services oder - Fotobearbeitungsdienste oder... -Benutzer hat Social-Account (auf Facebook,...) und berichtet -Benutzer "zwitschert" über "Gott und die Welt" auf Twitter -Benutzer beteiligen sich an einem Themenforum -Unternehmen verlagern ihre Dienste in eine "Cloud" -Links auf fremde Dienste (§ 17) -Website verlinkt auf andere (fremde) Websites e-commerce - Diensteanbieter VO SS Juridicum

151 © Hans G. Zeger 2015 Verantwortung spezifischer Diensteanbieter IV (§ 18 für §§ ECG) Keine Verantwortung unter bestimmten Umständen: 1.sofern keine Kenntnis des rechtswidrigen Inhalts und auch keine Umstände bekannt, aus denen der rechtswidrige Inhalt oder Tätigkeit offensichtlich ist oder 2.bei Kenntnis der rechtswidrigen Tatsache unverzügliches tätig werden zum Entfernen des Hinweises/der Inhalte Erweiterte Auskunftspflichten bei Hosting  siehe Abschnitt Auskunftspflichten e-commerce - Diensteanbieter Aber: -keine generelle Überwachungspflicht, es müssen keine aktiven Maßnahmen zur Identifikation rechtswidriger Inhalte gesetzt werden -keine vorbeugenden Aufzeichnungspflichten (es erfolgte auch keine Regelung im Rahmen der Vorratsspeicherung) VO SS Juridicum

152 © Hans G. Zeger 2015 sonstige Datenschutzbestimmungen Datenschutzbestimmungen in Einzelgesetzen e-Government-Gesetz (E-GovG) -schreibt bestimmte technische Verfahren in der Behördenkommunikation vor (Verschlüsselung, digitale Signatur) -ausführliche Angaben zur Datensicherheit Gesundheitstelematikgesetz (GTelG) -schreibt bestimmte technische Verfahren in der Kommunikation der Gesundheitsdienstleister vor -2012: Regelung der Zugriffe auf Patientenakte [ELGA] elektronische Rechnungslegung (eBilling) -verlangt digitale Signatur bei elektronischen Rechnungen VO SS Juridicum

153 © Hans G. Zeger 2015 TelekommunikationsG 2003 Sicherheitspolizeigesetz StPO UrheberrechtsG E-CommerceG Vorratsdatenspeicherung Auskunftspflichten/Überwachung VO SS Juridicum

154 © Hans G. Zeger 2015 Vorratsdatenspeicherung (in Ö seit ) Richtlinie 2006/24/EG verpflichtet Mitgliedstaaten, Vorratsdatenspeicherung einzuführen -Verkehrsdaten, inklusive Standortdaten betroffen sind auch nicht angenommene Kontaktversuche und Anrufe -Aufzeichnungsverbot der Inhaltsdaten (sehr allgemein gefasst) "keinerlei Daten, die Aufschluss über den Inhalt einer Kommunikation geben" (Art. 5 Abs. 2) -Speicherdauer von den Mitgliedsstaaten festzulegen: 6 bis 24 Monate -Umsetzungsfrist Telefonie: bis für Internetaufzeichnungen konnte ein Umsetzungsvorbehalt abgegeben werden, dann verlängerte sich die Umsetzungsfrist bis Delikte, wegen denen auf Daten zugegriffen werden darf: -„schwere“ Straftaten, national definiert (Art. 1) -ebenso unzulässiger TK-Gebrauch (ohne Untergrenze, EG 4) EG-Richtline durch EUGH aufgehoben Österreichische Umsetzung durch VfGH aufgehoben Vorratsdatenspeicherung VO SS Juridicum

155 © Hans G. Zeger 2015 Vorratsdatenspeicherung II : Vorratsdatenspeicherung trat in Österreich in Kraft : Gerichtshof der Europäischen Union hebt die Richtlinie auf (C-293/12, C-594/12) : Verfassungsgerichtshof hebt die österreichischen Bestimmungen auf (G 47/2012) -Beide Gerichte schließen Vorratsdatenspeicherung nicht völlig aus, sehen aber einen schwerwiegenden und unverhältnismäßigen Eingriff in die Privatsphäre -Die Bestimmungen wurden ohne Reparaturfrist aufgehoben: weitere Speicherung unzulässig, Daten müssen gelöscht werden -EU-Kommission will keine neue Richtlinie Vorratsdatenspeicherung VO SS Juridicum

156 © Hans G. Zeger 2015 Vorratsdatenspeicherung II -DE: BVerfG hat das deutsche Gesetz schon 2010 aufgehoben, nun neue Diskussion -AT, PL, RO, SI, SK: Verfassungsgerichte haben die Gesetze 2014 aufgehoben -DK, FI: haben ihre Gesetze etwas abgeschwächt -UK: hat ein Notstandsgesetz beschlossen, um die Vorratsdatenspeicherung rechtlich zu bestätigen -BE, PT, SE: sehen keinen Änderungsbedarf -Die Mehrheit der Mitgliedstaaten haben noch nicht evaluiert, ob ihre Gesetze den Kriterien des EuGH genügen Vorratsdatenspeicherung VO SS Juridicum

157 © Hans G. Zeger 2015 Auskunftspflichten / Überwachung StPO Überwachung gemäß StPO (§§ 134–140) Drei Formen der Eingriffs -Fall 1: "Auskunft über Daten einer Nachrichtenübermittlung" § 134 Abs. 2 - auch "äußere Rufdatenerfassung" umfasst: "aktuelle" Verkehrs-, Zugangs- und Standortdaten -Fall 2: "Auskunft über Vorratsdaten" § 134 Abs. 2a - umfasst: historische Verkehrs-, Zugangs- und Standortdaten (bis sechs Monate alt) -Fall 3: "Überwachung von Nachrichten" § 134 Abs. 3 - "[innere] Rufdatenerfassung" umfasst: Inhalt von Nachrichten Anzuwenden auf Telekommunikationsdienste (gem. TKG) oder Dienste der Informationsgesellschaft (gem. Notifikationsgesetz) Beispiele: Telekomunternehmen (inkl. Mobilfunk), Access-Provider, Mailservice-Anbieter, Forumsbetreiber, "Skype" (VoIP),... VO SS Juridicum

158 © Hans G. Zeger 2015 Auskunftspflichten / Überwachung StPO Überwachung gemäß StPO (§§ 134–140) Voraussetzungen für Fall 1 (§ 135 Abs. 2) : -Z 1: Entführungsfall (Verdacht) -Z 2: vorsätzlich begangene Straftat, Freiheitsstrafe von mehr als sechs Monaten mit Zustimmung des Inhabers der Einrichtung (Aufklärung) -Z 3,4: vorsätzlich begangene Straftat, Freiheitsstrafe von mehr als ein Jahr (Aufklärung, Fahndung) -Auskunftszeitraum kann sowohl Zukunft, als auch Vergangenheit umfassen, Verlängerung möglich (§ 137 Abs. 3) Voraussetzungen für Fall 2 (§ 135 Abs. 2a) : analog Fall 1, jedoch nur Z 2 bis 4 (nicht "Entführungsfall") VO SS Juridicum

159 © Hans G. Zeger 2015 Auskunftspflichten / Überwachung StPO Überwachung gemäß StPO (§§ 134–140) Voraussetzungen für Fall 3 (§ 135 Abs. 3) : -wie Fall 1 Z 1, 2 und Z 4: -Z 3 jedoch erweitert: bei vorsätzlich begangener Straftat, Freiheitsstrafe von mehr als ein Jahr erforderlich oder Verhinderung oder Aufklärung im Rahmen einer kriminellen oder terroristischen Vereinigung oder einer kriminellen Organisation (§§ 278 bis 278b StGB) begangenen oder geplanten strafbaren Handlungen ansonsten wesentlich erschwert wäre und a. Inhaber der technischen Einrichtung dringend verdächtig oder b. verdächtige Person benutzt die technische Einrichtung oder stellt Verbindung dazu her -Überwachung kann nur für zukünftigen Zeitraum angeordnet werden (§ 137 Abs. 3) VO SS Juridicum

160 © Hans G. Zeger 2015 Überwachung gemäß StPO (§§ 134–140) -Von der Staatsanwaltschaft mit gerichtlicher Bewilligung anzuordnen (§ 137 Abs. 1 StPO) -Mitwirkungs- und Auskunftspflicht für Betreiber nach TKG 2003 und Diensteanbieter nach E-Commerce-Gesetz (§ 138 Abs. 2 StPO) Verpflichtung geregelt in der Überwachungsverordnung (§ 94 TKG 2003), Sprachtelefoniebetreiber mit eigenen physikalischen Anschlüssen müssen spezielle technische Einrichtungen zur Überwachung bereitstellen, ab % Kostenersatz im Zusammenhang mit Vorratsspeicherung, bei allen Unternehmen -Anspruch auf Kostenersatz (geregelt in der Überwachungskostenverordnung, ÜKVO) aber: gilt nur für Telekom-Anbieter, für Diensteanbieter nach ECG weder spezifische Regelungen, noch Kostenersatz vorgesehen Auskunftspflichten / Überwachung StPO VO SS Juridicum

161 © Hans G. Zeger 2015 Überwachung gemäß StPO (§§ 134–140) -Verständigungspflicht des Beschuldigen (§ 138 Abs 5 StPO) aber: kann aufgeschoben werden, wenn dieses oder anderes Verfahren gefährdet ist -Einsichtsrecht des Beschuldigten in alle für das Verfahren bedeutsamen Ergebnisse (§ 139 Abs. 1 StPO) -Einsichtsrecht der sonstigen Betroffenen insoweit sie davon betroffen sind, die Betroffenen sind von diesem Recht zu informieren (§ 139 Abs. 2 StPO) aber: nur insoweit ihre Identität bekannt oder ohne besonderen Verfahrensaufwand feststellbar ist -Beweisverwertungbeschränkung, Nichtigkeit bei rechtswidriger Überwachung (§ 140 StPO) aber: Verwertung von "Zufallsfunden" zulässig, wenn Überwachungsvoraussetzungen gegeben gewesen wäre Auskunftspflichten / Überwachung StPO VO SS Juridicum

162 © Hans G. Zeger 2015 Entscheidung zum Auskunftsumfang OGH Entscheidung 12Os93/14i Auskunftsvoraussetzung -Auskünfte sind über Kommunikationseinrichtungen zu erteilen -Unklarheiten in der Interpretation von "technische Einrichtung und das Endgerät " (§ 138 Abs 1 Z 3 StPO) Entscheidung -gemeint sind nicht bloß Endeinrichtungen in der Verfügungsgewalt der Benutzer, sondern auch Infrastruktureinrichtungen (Funkeinrichtungen einer Zelle) -davor unterschiedliche Entscheidungen OLG Linz 9Bs108/13s / OLG Innsbruck 11Bs150/13s, Wien -„Funkzellenauswertung“ gemäß § 135 Abs 2 StPO zulässig Auskunftspflichten / Überwachung StPO VO SS Juridicum

163 © Hans G. Zeger 2015 Auskunftspflichten / Überwachung StPO Seit Änderung der StPO: StA ordnet mit richterlicher Bewilligung an. Bis 2007 Telefon-Überwachung, seit 2008 Überwachung von „Nachrichten“ (Telefon und Internet). Quelle: Sicherheitsberichte des BMJ, Graphik Dieter Kronegger VO SS Juridicum

164 © Hans G. Zeger 2015 Auskunftspflichten nach dem TKG 2003 Auskunft gegenüber Verwaltungsbehörden (§ 90 Abs. 6 TKG 2003) -Name, akademischer Grad, Wohnadresse, Teilnehmernummer, Vertragsinformationen, nicht Bonitätsdaten(!) (Stammdaten gem. § 92 Abs. 3 Z 3 lit. a bis e) -Voraussetzung: Verdacht einer Verwaltungsübertretung mittels öffentlichem Telekommunikationsnetz begangen -schriftlich, begründet und nur insoweit ohne Auswertung von Verkehrsdaten möglich Auskunftspflichten TKG 2003 VO SS Juridicum

165 © Hans G. Zeger 2015 Auskunftspflichten nach dem TKG 2003 II Auskunft an Notrufträger (§ 98 TKG 2003) -Name, akademischer Grad, Wohnadresse, Teilnehmernummer (Stammdaten gem. § 92 Abs. 3 Z 3 lit. a bis d) + Standortdaten (gem. § 92 Abs. 3 Z 6) -Standortdaten sind schon bei Rufaufbau bekannt zu geben -wenn aktuelle Standortdaten nicht feststellbar, dann auch Auskunft über letzte bekannte Cell-ID -Auskunftserfordernis ist durch Notrufträger zu dokumentieren und unverzüglich, spätestens innerhalb von 24 Stunden dem Betreiber vorzulegen Auskunftspflichten TKG 2003 VO SS Juridicum

166 © Hans G. Zeger 2015 Auskunftspflichten SPG komplexe Auskunftspflichten nach dem SPG § 53 Abs. 1 regelt generell Verwendung personenbezogener Daten bei Sicherheitsbehörden, u.a. -Abwehr krimineller Verbindungen [iS § 16 Abs. 1 Z 2: drei oder mehr Menschen mit dem Vorsatz fortgesetzt gerichtlich strafbare Handlungen zu begehen] (Z 2) -erweiterte Gefahrenerforschung (Z 2a) [z.B. iS § 21 Abs. 3 Z 1 eine einzelne Person, die sich mittels Telekommunikationseinrichtungen für Gewalt ausspricht oder nach Massenvernichtungsmittel recherchiert und bei dem mit Gewalttaten "zu rechnen" ist] -Abwehr gefährlicher Angriffe [iS § 16 Abs. 3, jedes Offizialdelikt, Anm.] einschließlich notwendige Gefahrenerforschung (Z 3) -Analyse und Bewertung der Wahrscheinlichkeit einer Gefährdung verfassungsmäßiger Einrichtungen (Z 7) VO SS Juridicum

167 © Hans G. Zeger 2015 Auskunftspflichten SPG komplexe Auskunftspflichten nach dem SPG II § 53 Abs. 3a besondere Verpflichtungen zur Auskunft für Telekombetreiber (TKG) und sonstige Diensteanbieter (ECG) -Teilnehmerdaten zu einem Anschluss für alle SPG-Aufgaben (Z 1) -IP-Adresse zu einer bestimmten Nachricht (Z 2) [z.B. , Posting in einem Forum,...] -Benutzerdaten zu einer einem bestimmten Zeitpunkt zugeordneten IP-Adresse inkl. Verwendung von Vorratsdaten (Z 3) Voraussetzungen für Z 2 und 3: bei konkreten Gefahren (lit a), gefährlichen Angriff (lit b) oder bei kriminellen Verbindungen [drei oder mehr Personen mit dem Vorsatz fortgesetzt gerichtlich strafbare Handlungen zu setzen] (lit c) -kein Kostenersatz für Betreiber & Diensteanbieter (§ 53 Abs. 3c) VO SS Juridicum

168 © Hans G. Zeger 2015 Auskunftspflichten SPG komplexe Auskunftspflichten nach dem SPG III § 53 Abs. 3b besondere Verpflichtungen zur Auskunft für Telekombetreiber (TKG) -bei gegenwärtiger Gefahr für Leben oder Gesundheit ("Lawinen- und Selbstmörderbestimmung") Auskunftsumfang -Auskunft über Standortdaten und die internationale Mobilteilnehmerkennung (IMSI) der von dem gefährdeten Menschen mitgeführten Endeinrichtung -Sicherheitsbehörde darf technische Mittel zur Lokalisierung der Endeinrichtung einsetzen ("IMSI-Catcher") -Kostenersatz für Diensteanbieter gem. ÜKVO (§ 53 Abs. 3c) VO SS Juridicum

169 © Hans G. Zeger 2015 Auskunftspflichten SPG komplexe Auskunftspflichten nach dem SPG IV § 53 Abs. 3c, gemeinsame Verpflichtungen zu Abs. 3a, 3b -Auskunft ist unverzüglich zu erteilen -Sicherheitsbehörden handeln in eigener Verantwortung -Keine gerichtliche Bewilligung erforderlich bloße Informationspflicht des BMI-internen Rechtsschutzbeauftragten -Kein Rechtsmittel für Betroffene VO SS Juridicum

170 © Hans G. Zeger 2015 komplexe Auskunftspflichten nach dem SPG V Sachverhalt -Betroffener wird nach Posting in "Sex-Chatroom" über WHOIS-Abfrage der Chatroom-Website, Nickname und vom Betroffenen zum Zeitpunkt des Postings benutzte IP-Adresse (Internet-Provider) ausgeforscht -Gegen die Ausforschung nach SPG § 53 Abs. 3a ohne richterlicher Ermächtigung wurde Beschwerde bei der DSK eingebracht -DSK weist Beschwerde ab Entscheidung VfGH , B1031/11: -keine Bedenken des VfGH gegen die Bestimmungen des SPG -kein Eingriff in Fernmeldegeheimnis, da "öffentliche" Kommunikation und Verkehrsdaten nicht vom Art. 10a StGG erfasst -staatliche Überwachungsmaßnahmen im Sinne Art 8 EMRK erfordern nicht zwangsläufig richterliche Genehmigung -Auskunftsgrund ("Anbahnung sexueller Kontakte mit Minderjährigen") als "bestimmte Nachricht" ausreichend begründet Auskunftspflichten SPG VO SS Juridicum

171 © Hans G. Zeger 2015 Pflichten von Diensteanbietern (§ 18 ECG) Auskunfts- und Mitwirkungspflicht aller Diensteanbieter gegenüber Gerichten (Abs. 2) Hosting-Provider (§ 16) müssen auf Verlangen Name und Adresse eines Nutzers offen legen, gegenüber -Behörden, sofern die Kenntnis dieser Informationen eine wesentliche Voraussetzung der Wahrnehmung der der Behörde übertragenen Aufgaben bildet (es muss kein Delikt behauptet werden!) (Abs. 3) -dritten Personen, bei ein überwiegenden rechtlichen Interesse an der Feststellung der Identität eines Nutzers und eines rechtswidrigen Sachverhalts, Informationen muss wesentliche Voraussetzung für die Rechtsverfolgung sein (Abs. 4) Auskunft umfasst jedoch nur Namen und die Adresse des Nutzers, mit dem Hostingvereinbarung abgeschlossen wurde Gilt auch bei unentgeltlichen Diensten! Auskunftspflichten ECG VO SS Juridicum

172 © Hans G. Zeger 2015 Entscheidungen zur Auskunftspflicht gemäß § 18 ECG OGH 6 Ob 104/11d die Identität (= Vorname, Zuname, Postanschrift, auch -Adresse sind bekannt zu geben -nur insoweit vorhanden, keine Verpflichtung vorbeugend (für zukünftige Auskunftspflichten) diese Daten zu erheben bzw. vorrätig zu halten OGH 6 Ob 119/11k wenn Provider nur die dynamische IP-Adresse kennt, sonst nichts, muss er nichts offen legen OGH 6 Ob 133/13x , OGH 6 Ob 58/14v, Auskunftspflicht im Spannungsfeld zu Redaktionsgeheimnis -nicht moderierte Foren und Postings von Online-Benutzern fallen nicht unter Redaktionsgeheimnis, weil Postings “völlig ohne journalistische Kontrolle und Bearbeitung und aus eigenen Antrieb des Nutzers veröffentlicht werden” -Userdaten sind daher bekannt zu geben Auskunftspflichten ECG VO SS Juridicum

173 © Hans G. Zeger 2015 Entscheidungen zur Auskunftspflicht II OGH 6 Ob 188/14m, Auch wenn Postings von einem Computerprogramm vor Veröffentlichung geprüft werden, reicht das nicht aus, den erforderlichen Zusammenhang mit einer journalistischen Tätigkeit herzustellen  Redaktionen reagieren unterschiedlich darauf, Standard hat - schrittweise - eine immer stärkere Moderation eingeführt (inkl. Zensurvorwurf einiger Poster) Auskunftspflichten ECG VO SS Juridicum

174 © Hans G. Zeger 2015 Auskunftspflicht eines Vermittlers gemäß § 87b UrhG Abs. 3 Wer in seinem Urheberrecht verletzt wurde, kann vom „Vermittler“ Auskunft zur Identität des Verletzers verlangen Unklar ob "Access-Provider" Vermittler ist, insbesondere in Hinblick auf den Ausschluss der Verantwortlichkeit nach ECG für die Durchleitung von Informationen (§ 13 ECG) Strittig, ob Kopierindustrie/Verwertungsgesellschaften überhaupt IP-Adressen sammeln dürfen (Interessenabwägung nach Datenschutzrecht) 2 Fragen des OGH an EuGH ( Antwort EuGH LSG/Tele2, C-557/07, ): -Ist mit „Vermittler“ auch ein reiner Access-Provider gemeint? -Wenn ja: Ist Auskunft an private Dritte zulässig oder steht dem die EU-Datenschutzrichtlinie entgegen? EuGH Bonnier Audio, C-461/ : -Auskunftsanspruch ist im Einzelfall zu prüfen Auskunftspflichten UrhG JA JA | NEIN | gesetzliche Regelung zulässig VO SS Juridicum

175 © Hans G. Zeger 2015 Auskunftspflicht eines Vermittlers II Entscheidung OGH , 4 Ob 41/09x auf Basis der EuGH- Feststellungen: -Grundsätzlich sind Access-Provider zur Auskunft verpflichtet -Keine Auskunftspflicht über dynamische IP-Adressen, da gar nicht gespeichert werden darf (siehe Verkehrsdaten), wem die Adresse zu welcher Zeit zugeteilt wurde Auskunftspflichten UrhG Grundsätzlich gilt: -keine generelle Überwachungspflicht, es müssen keine aktiven Maßnahmen zur Identifikation rechtswidriger Inhalte gesetzt werden VO SS Juridicum

176 © Hans G. Zeger 2015 Auskunftspflichten Abschluss Zusammenfassung zu den Auskunftspflichten Keine der genannten Auskunfts- und Überwachungspflichten verpflichtet dazu, Daten auf Vorrat zu erheben oder zu speichern Im Gegenteil: -Nach DSG sind Daten zu löschen, wenn sie nicht mehr für den ursprünglichen Zweck benötigt werden -Konkreter: Nach TKG sind Verkehrsdaten zu löschen, wenn sie nicht mehr für die Verrechnung benötigt werden -Empfehlung der DSK vom : Unzulässigkeit der Speicherung von dynamischen IP-Adressen bei Flatrate (K /0005-DSK/2006) Grundrecht auf Datenschutz ("Geheimhaltung der persönlichen Lebensführung") wird als höherwertig angesehen als die Schaffung von Instrumenten der präventiven Rechtsverfolgung VO SS Juridicum

177 © Hans G. Zeger 2015 Datenschutzfragen in Internet/eCommerce I Vorfrage: Handelt es sich um personenbezogene Daten? Bestimmbarkeit reicht jedoch aus! (1) Welche Bestimmung ist anwendbar? a)Telekommunikationsgesetz (setzt bestimmte Technik voraus) b)andere Spezialbestimmungen (E-Government-Gesetz, Gesundheitsdatentelematikgesetz,...) c)Datenschutzgesetz (setzt Datenanwendung voraus) a) + b) verweisen in Teilen meist auf c) d)Privatsphärebestimmung (Auffangbestimmung) (2) Prüfung der Rechtmäßigkeit verwendeter Daten a)prüfen ob Datenanwendung iS DSG 2000 b)wenn Datenanwendung, drei Schritte: berechtigter Zweck der Datenanwendung, Erlaubnis zur Verwendung bestimmter Daten, Registrierungsanforderung Überblick / Zusammenfassung VO SS Juridicum

178 © Hans G. Zeger 2015 Datenschutzfragen in Internet/eCommerce II (2) Prüfung der Rechtmäßigkeit verwendeter Daten... c)mögliche Rechtsverletzungen nach DSG 2000, TKG 2003, Medienrecht, StGB, Privatsphärebestimmungen, UWG,... (3) bestehen berechtigte Auskunftspflichten? a) gemäß StPO, TKG, SPG, ECG, UrhG?,... b)gegenüber Gerichten, Sicherheits-, Verwaltungsbehörden, Dritten (Privaten) c)Umfang der Auskunftspflicht: -bestimmte Daten / Datenarten, -Mitwirkungspflicht, -in bestimmten Fällen Bereitstellung von technischen Einrichtungen erforderlich, -umfasst bestehende Daten Überblick / Zusammenfassung VO SS Juridicum

179 © Hans G. Zeger 2015 Dr. Hans G. Zeger e-commerce monitoring gmbh A-1010 Wien, Vorlaufstraße 5/6 Tel.:01 / Fax.:01 / Mail Zertifizierung:http://www.globaltrust.eu e-commerce:http://www.e-monitoring.at DSG2000:http://www.argedaten.at/dsg2000 diverse Muster:http://www.argedaten.at/muster/ Kontaktinformationen VO SS Juridicum

180 © Hans G. Zeger Onlineinformation Datenschutz VO SS Juridicum

181 © Hans G. Zeger 2015 Ich danke für Ihre Aufmerksamkeit VO SS Juridicum

182 © Hans G. Zeger 2015 Ende Teil I VO SS Juridicum

183 © Hans G. Zeger 2015 Datenschutzfragen in Internet und eCommerce Hans G. Zeger Wien Juridicum, VO Sommersemester 2011 Teil II VO SS Juridicum

184 © Hans G. Zeger 2015 Sonstige nicht vorgetragene Seiten VO SS Juridicum

185 © Hans G. Zeger 2015 "alte" Cybercrime-Strafbestimmungen u.a. -§126a StGB Datenbeschädigung -§148a StGB Betrügerischer Datenverarbeitungsmissbrauch -§118 Verletzung des Briefgeheimnisses und Unterdrückung von Briefen -§119 Verletzung des Telekommunikationsgeheimnisses -§122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses "Amts"-Bestimmungen -Schutz des Behörden"geheimnisses" (StGB §§ 302, 310), nur bedingt anwendbar: §301 "Verbotene Veröffentlichung" - geringer Strafrahmen Cybercrime - Übersicht VO SS Juridicum

186 © Hans G. Zeger 2015 Cybercrime - Übersicht VO SS Juridicum

187 © Hans G. Zeger 2015 Neue "cybercrime"-Bestimmungen (seit ) -§118a Widerrechtlicher Zugriff auf ein Computersystem ["Hacken"] -§119a Missbräuchliches Abfangen von Daten -§126b Störung der Funktionsfähigkeit eines Computersystems [DOS-Attacken] -§126c Missbrauch von Computerprogrammen oder Zugangsdaten ["Cracken"] -§225a Datenfälschung von EU beschlossen (2006) -Aufbewahrungspflicht für Telekom- und Internetdaten -in Österreich nicht fristgerecht umgesetzt (Stand: ) Europarat - Convention on Cybercrime ( ) -seit in Kraft -in Österreich nicht ratifiziert (Stand: ) Cybercrime - Übersicht VO SS Juridicum

188 © Hans G. Zeger 2015 Cybercrime - Übersicht VO SS Juridicum

189 © Hans G. Zeger 2015 Auskunftspflicht eines Vermittlers § 87b UrhG Abs. 3 Privatanklage durch Musikindustrie im Strafverfahren seit der neuen StPO ( ) Warum?? schwieriger -Auskunftspflicht vorher heftig umstritten und widersprüchliche Gerichtsentscheidungen IP-Adressen von Filesharern VO SS Juridicum

190 © Hans G. Zeger 2015 Grenzen des DSG Grundkonzepte des DSG Geheimhaltungskonzept "grundsätzlich sind alle persönlichen Daten geheim" -Rollenkonzept "Betroffener", "Auftrageber", "Dienstleister" -Datenkonzept das DSG sieht die Daten als Träger der Information steht im Widerspruch zu "Informationsgesellschaft" bei Telekommunikation und Internet verschwimmen diese Begriffe: persönliche Webseiten, Anschlussinhaber/-nutzer, Angerufener, Rolle des ISP,... tatsächlich bestimmt oft erst die Auswertung den Informationsgehalt ("data-mining", Surf-Verhalten) VO SS Juridicum

191 © Hans G. Zeger 2015 DSK K121.59/K ("Parlament") Ausgangslage -im Zuge einer parlamantarischen Anfragebeantwortung wurde eine Person (kein Politiker) namentlich genannt -Anfragebeantwortung wurde auf Website des Parlaments nicht anonymisiert veröffentlicht Entscheidung -keine Zuständigkeit der DSK gegeben (nur für Verwaltung/Exekutive zuständig) -betrifft Gesetzgebung für Gesetzgebung, aber auch Justiz fehlen Datenschutzaufsichtsstellen DSG Veröffentlichung VO SS Juridicum

192 © Hans G. Zeger 2015 Beispiel - wozu wird zugestimmt? "Ich willige ein, dass 1. die eBay Europe S.à r.l., 15 rue Notre Dame L-2240 Luxembourg, Luxemburg und die eBay International AG, Helvetiastrasse , CH-3005 Bern, Schweiz, meine personenbezogenen Daten erheben und an die eBay Inc., 2145 Hamilton Avenue, San Jose 95125, USA, übermitteln...." Fraglich ob ausreichend bezüglich: -Datenumfang (nur beispielhaft aufgezählt) -Datenempfänger (nur beispielhaft aufgezählt) -Zweck ("gespeicherten Daten, soweit dies erforderlich ist", was bedeutet erforderlich?) Vorhanden: -Widerrufshinweis DSG Grundlagen VO SS Juridicum

193 © Hans G. Zeger 2015 DSK /002-DSK/2004 ("Mandatsbescheid") Ausgangslage -Unternehmen kündigt an eine Liste von zahlungsunwilligen Konsumenten zu betreiben -Liste kann über das Internet gegen Bezahlung abgerufen werden -Firmen werden aufgefordert zahlungsunwillige Personen zu melden DSK-Entscheidung -System zur Beurteilung der Bonität geeignet, daher besonders schutzwürdig -Auftrag Betrieb und Ankündigung mit sofortiger Wirkung zu unterlassen (Mandatsbescheid gem. § 57 AVG) -wenn zugesichert wird, dass Betrieb erst nach Registrierung erfolgt, ist Mandatsbescheid aufzuheben Beispiele / Entscheidungen VO SS Juridicum

194 © Hans G. Zeger Welches Datenschutzrecht gilt? DSG Anwendbares Recht VO SS Juridicum

195 © Hans G. Zeger Vertragspartner ist eBay-Luxembourg, nicht die AT-Niederlassung (mittlerweile wieder aufgelöst) weiters findet sich folgende Anmerkung: "8. Soweit die Übermittlung meiner Daten an Dritte nicht aufgrund eines Gesetzes, insbesondere nach dem BDSG [deutsches DSG, Anm.], erlaubt ist, willige ich ein, dass eBay,..." DSG Anwendbares Recht VO SS Juridicum

196 © Hans G. Zeger 2015 SPAM-Problem - Aufwand der Benutzer TKG Datenschutzbestimmungen VO SS Juridicum

197 © Hans G. Zeger 2015 TKG Datenschutzbestimmungen Quelle: Symantec SPAM-Problem - Herkunft Quelle: Symantec Lateinamerika Nordamerika Europa/Nahost/Afrika Asien/Pazifik VO SS Juridicum

198 © Hans G. Zeger 2015 Was passiert bei Aufruf einer Website? Cookie-Beispiel google.at, google.com User-Code: YXJnZSBkYXRlbg Funktionen, z.B. Verfolgen des Users, auch wenn IP-Adresse wechselt, Webserver gewechselt wird, identifizieren, wenn er personalisierten Dienst verwendet Demobeispiel Cookie-Beispiel VO SS Juridicum


Herunterladen ppt "© Hans G. Zeger 2015 Datenschutzfragen in Internet und eCommerce/eBusiness Hans G. Zeger Juridicum Wien, VO Sommersemester 2015 Download:"

Ähnliche Präsentationen


Google-Anzeigen