Informationstechnlogien - Praktische Umsetzung rechtlicher Vorgaben

Präsentation zum Thema: "Informationstechnlogien - Praktische Umsetzung rechtlicher Vorgaben"—  Präsentation transkript:

1 Informationstechnlogien - Praktische Umsetzung rechtlicher Vorgaben
Hans G. Zeger Wien, TU-Wien SS03 Kontakt: WWW: VO-Literatur: Teil 1 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

2 Wozu dienen [PS]? Privacy Statements [PS]
- zur Klärung individuell vereinbarbarer Teile - zur Erfüllung gesetzlicher Informationspflichten - als Übersicht über eigene Datenverwendung - gegenüber Kunden/Interessenten aus Drittländern Besteht eine Verpflichtung zu Privacy Statements? Nein - es gilt immer das österreichische DSG Besser KEIN Statement, als ein nichtssagendes! Tatsächlich enthalten die gesetzlichen Datenschutz- Bestimmungen eine Reihe unbestimmter Formulierungen. Einige Rechte und Pflichten bedürfen der individuellen Vereinbarung zwischen Datenverarbeiter und Betroffenen und andere kann der Datenverarbeiter nach eigenen Vorstellungen ausgestalten. Laut Gewerbeordnung haben Firmen die Möglichkeit, bestimmte Personendaten an Adressenverlage zu verkaufen. Dieses in der Gewerbeordnung geregelte Recht ist eine Kann-Bestimmung und sagt nichts über das tatsächliche Verhalten eines Unternehmens aus. Ein Unternehmen kann etwa für sich entscheiden, unter keinen Umständen dieses Datenweitergaberecht zu beanspruchen, es wird dann etwa die Formulierung wählen: "Wir geben keine Daten an Dritte weiter". Ein anderes Unternehmen kann die Datenweitergabe an bestimmte Datenarten oder bestimmte Unternehmen binden. Etwa: "Wir geben nur Name und Anschrift an Unternehmen der eigenen Unternehmensgruppe weiter." VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

3 Was enthalten Privacy Statements?
Privacy Statements [PS] Was enthalten Privacy Statements? - Angaben über die Identität des Datenverarbeiters - Zweck der Datenverwendung - Weitergabe von Daten - Rechte des Betroffenen - welche Daten verpflichtend bekannt gegeben werden müssen - Nebennutzungen der Daten - Widerspruchs- und Widerrufsrechte Ergebnis einer EU-weit durchgeführten Umfrage unter 982 Datenschutz-Verantwortlichen von Unternehmen Folgende Angaben werden auf der Web-Seite des Auftraggebers präsentiert: - Angabe des Zwecks der Datenverarbeitung: 321 - physische Identität des Auftraggebers: 285 - zu welchen anderen Einrichtungen Daten übermittelt werden (oder Angabe, das Daten nicht weiter gegeben werden): 223 - Aufklärung über Betroffenenrechte: 219 - Angabe der Person, die direkt als Datenschutzverantwortlicher anzusprechen ist: 203 - Angabe, welche Daten verpflichtend, welche freiwillig bekannt zu geben sind: 181 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

4 Was leisten Privacy Statements?
Privacy Statements [PS] Was leisten Privacy Statements? - Vereinbarung - Information - Übersicht Was leisten Privacy Statements nicht? - Aufhebung gesetzlicher Bestimmungen - Beschwichtigung - Eingriffe in Rechte Dritter [PS] sind durch die rechtlichen Vorgaben begrenzt, sie können keine unabdingbaren gesetzlichen Verpflichtungen außer Kraft setzen, so wären [PS] ungültig, die etwa behaupten "Es wird im beiderseitigen Einverständnis auf die Einhaltung des DSG 2000 verzichtet und es gelten nur die individuell vereinbarten Datenschutzregeln". Ein [PS] kann auch nicht in Informations- und Verschwiegenheitsrechte und -pflichten Dritter eingreifen. Es ist weder zulässig, Datenübermittlungen oder -erfassungen für Dritte zuzustimmen, noch können gesetzliche Übermittlungsverpflichtungen ausgeschlossen werden. So bedeutet eine Erklärung "Keine Daten an Dritte weiter zu geben" nicht, daß etwa die Steuerbehörden nicht die gesetzlich vorgesehen Daten erhalten. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

5 Ist unnötig, diese Dinge sind bloß informationspflichtig.
Privacy Statements [PS] Ein „Standard“ - Statement "Der Kunde stimmt zu, dass die Daten im Rahmen der Bestellung für Zwecke unserer Buchhaltung sowie zu internen Marktforschungs- und Marketingzwecken erhoben, bearbeitet, gespeichert und genutzt werden. Die Daten werden von uns zur Erfüllung von gesetzlichen Vorschriften, zur Abwicklung des Zahlungsverkehrs und zu Werbezwecken verwendet." Ist unnötig, diese Dinge sind bloß informationspflichtig. Mögliches Minimalstatement: Der Kunde wird gemäß österreichischem Datenschutzgesetz darüber informiert, dass seine Daten von dem Unternehmen für Zwecke unserer Buchhaltung sowie zu internen Marktforschungs- und Marketingzwecken erhoben, bearbeitet, gespeichert und genutzt werden. Die Daten werden von uns zur Erfüllung von gesetzlichen Vorschriften, zur Abwicklung des Zahlungsverkehrs und zu Werbezwecken verwendet. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

6 Das Wichtige zuerst! Aufbau eines optimalen Privacy Statements
Privacy Statements[PS] Aufbau eines optimalen Privacy Statements (1) Individuelle Vereinbarungen (2) Informationen zur Datenverwendung (3) Allgemeine rechtliche Informationen (4) Technische Informationen zur Datensicherheit (5) Kontroll-, Beschwerde- und Informationsstelle(n) Das Wichtige zuerst! (1) Individuelle Vereinbarungen enthält alle Teile, die innerhalb der gesetzlichen Bestimmungen jedes Unternehmen individuell selbst regeln kann Hier sind alle Bestimmungen aufzunehmen, bei denen der Betroffene Entscheidungen treffen kann bzw. bei denen die individuelle Zustimmung jedes einzelnen Betroffenen benötigt wird. (2) Informationen zur Datenverwendung gesetzliche und über die gesetzlichen Mindestanforderungen hinausgehende Informationen zur Datenverwendung (4) Technische Informationen zur Datensicherheit Sicherheitsangaben sollten klar von Informationen zu Privatsphäre und Datenschutz getrennt sein! VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

7 (1) Individuelle Vereinbarungen
Privacy Statements [PS] (1) Individuelle Vereinbarungen - Statement zur Datenweitergabe - Statement zu Zustimmung und Widerruf der Zustimmung - Statement zur Datenerhebung - Statement zum Thema Bonitätskontrolle - Statement zur Verwendung der Daten zu Werbezwecken - Statement zur Verwendung der Daten zu sonstigen Zwecken Statement zur Datenweitergabe Werden Daten weitergegeben, an wen werden Daten weitergegeben? Statement zu Zustimmung und Widerruf der Zustimmung Wie kommt eine freiwillige Zustimmung zustande, wie kann sie widerrufen werden, welche Konsequenzen hat der Widerruf? Statement zur Datenerhebung Welche Daten müssen bekannt gegeben werden, bei welchen Daten ist die Bekanntgabe freiwillig, welche Konsequenzen hat das Vorhandensein/Fehlen bestimmter Daten? Statement zum Thema Bonitätskontrolle Zu welchen Bonitätskontrollen ist zuzustimmen, welche Konsequenzen hat die Zustimmung/Verweigerung? Statement zur Verwendung der Daten zu Werbezwecken Welche Werbemaßnahmen, welche Werbemethoden kann der Kunde akzeptieren, bei welchen kann er widersprechen? Statement zur Verwendung der Daten zu sonstigen Zwecken Zu welchen weiteren Verwendungszwecken kann der Betroffene seine Zustimmung geben? VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

8 (2) Informationen zur Datenverwendung
Privacy Statements [PS] (2) Informationen zur Datenverwendung - Statement zu Verantwortlichen der Datenverarbeitung - Statement zu Verwendungszwecken - Statement über durchgeführte Auswertungen, Protokollierungen und Aufzeichnungen - Statement, welche Stellen die Daten für die Erfüllung des Zweckes erhalten - Statement, welche Daten verwendet werden - Statement über technischen Datenfluß - Statement zur Speicherdauer - Statement zu besonderen Maßnahmen bei sensiblen Daten Statement zu Verantwortlichen der Datenverarbeitung Welches Unternehmen / Welche Behörde ist für die Datenverarbeitung tatsächlich verantwortlich? Statement zu Verwendungszwecken Abschließende Angabe aller Verwendungszwecke der Kundendaten Statement über durchgeführte Auswertungen, Protokollierungen und Aufzeichnungen Angabe, welche Geschäftsprozesse mit den Daten durchgeführt werden, welche Auswertungen und Analysen erfolgen Statement, welche Stellen die Daten für die Erfüllung welchen Zweckes erhalten Besonders bedeutsam, wenn Bestellungen direkt über Lieferanten abgedeckt werden, Subauftragnehmer herangezogen werden, Logistikpartner beteiligt werden Statement welche Daten verwendet werden Aufgliederung, weche Daten bei den Geschäftsprozessen tatsächlich anfallen (Stammdaten, Geschäftsfall-Daten, sonstige technische Daten) Statement über technischen Datenfluß Angabe, über welche Stellen / Länder tatsächlich die personenbezogenen Daten weitergeleitet werden Statement zur Speicherdauer Angabe, wie lange Daten aufbewahrt werden Statement zu besonderen Maßnahmen bei sensiblen Daten Falls sensible Daten verwendet werden (dies kann bei Versicherungen der Fall sein, bei Gesundheitseinrichtungen, aber auch bei SEX-Shops), Angabe welche zusätzlichen Vorkehrungen zum Schutz der Privatsphäre getroffen werden. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

9 (3) Allgemeine rechtliche Informationen
Privacy Statements [PS] (3) Allgemeine rechtliche Informationen - geltendes Datenschutzgsetz - sonstige datenschutzrelevante anzuwendende Bestimmungen - Hinweise zum Schutz besonderer Personengruppen - Hinweise zu Beteiligungsverhältnissen geltendes Datenschutzgsetz Angabe, welches Datenschutzrecht tatsächlich anzuwenden ist. Formulierungen, wie „es gilt das jeweils gültige Datenschutzgesetz“ oder „wir beachten die strenge EU-Richtlinie Datenschutz“ sind unzureichend. sonstige datenschutzrelevante anzuwendende Bestimmungen Relevante Spezialgesetze, wie Gewerbeordnung, Telekomgesetz, Bankwesengesetz, ... Hinweise zum Schutz besonderer Personengruppen Besondere Schutzbestimmungen und Verhaltensregeln gegenüber Jugendlichen, ... Hinweise zu Beteiligungsverhältnissen Angaben über Beteiligungs- und Kooperationsverhältnisse, die Einfluß auf den Datenfluß haben (haben können). VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

10 (4) Technische Informationen zur Datensicherheit
Privacy Statements [PS] (4) Technische Informationen zur Datensicherheit - Statement, welche Übertragungsmethoden verwendet werden - Statement, welche Überwachungs- und Monitoringmaßnahmen beim System getroffen werden - Statement, welche Techniken zum Betrieb der Online-Seiten eingesetzt werden - Statement zur Individualisierung der Webseiten - Statement zum Zahlungsverkehr - Statement, welche internen Sicherheitsmaßnahmen gesetzt werden - Hinweise zur Verbesserung der persönlichen Datensicherheit Statement, welche Übertragungsmethoden verwendet werden Eingesetzte Verschlüsselungs- und Übertragungstechniken (Standards) Statement, welche Überwachungs- und Monitoringmaßnahmen beim System getroffen werden Was wird unternommen um Angriffe zu erkennen, abzuwehren, zu verfolgen, Abrufmöglichkeiten von Logins und Transaktionen Statement, welche Techniken zum Betrieb der Online-Seiten eingesetzt werden Wie werden Cookies und vergleichbare Techniken eingesetzt? Statement zur Individualisierung der Webseiten Welche sonstigen Methoden werden eingesetzt, um Seitenzugriffe zu individualisieren (Session-ID, PIN/TAN, digitale Signatur, ...)? Statement zum Zahlungsverkehr Bedeutsam bei neuen Payment-Methoden, wie SET usw. Statement, welche internen Sicherheitsmaßnahmen gesetzt werden Wie wird mit den Kundendaten intern umgegangen, welche Backupmaßnahmen werden gesetzt? Hinweise zur Verbesserung der persönlichen Datensicherheit Tipps und Hinweise, welchen Beitrag der Benutzer zur Erhöhung der Datensicherheit leisten kann (Aufbewahrung von Codes, Einstellungen am Browser, erkennen von Mißbrauch, ...) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

11 (5) Kontroll-, Beschwerde- und Informationsstelle(n)
Privacy Statements [PS] (5) Kontroll-, Beschwerde- und Informationsstelle(n) - Angaben zur Registrierung von Datenverarbeitungen - Statement, welche Person/Stelle für die Einhaltung der Privatsphäre / der Datensicherheit verantwortlich ist - Kontaktstelle(n) - Gesetzliche Beschwerdestelle - Freiwillig anerkannte Streitschlichtungsstelle - Freiwillige Schadenersatzregelungen Angaben zur Registrierung von Datenverarbeitungen Falls vorhanden DVR-Nummer und DVR-Adresse, allenfalls auch DVR-Auszug Statement, welche Person/Stelle für die Einhaltung der Privatsphäre / der Datensicherheit verantwortlich ist Hier sollte konkrete Ansprechperson ("Datenschutzbeauftragter") bzw. zuständige Abteilung ("IT-Revision", "Beschwerdestelle", ...) genannt werden. Kontaktstelle(n) Allgemeine Kontaktstelle, besser detaillieren nach: - Zuständigkeit für Informationen über Zweck und Auftraggeber der Datenverarbeitung ist .... - Zuständigkeit für Einbringung eines Widerrufs der Zustimmung zu verwenden/zu übermitteln/zu ermitteln ist .... - Zuständigkeit für Einbringung eines Widerspruchs zur Weitergabe von Daten an Adressenverlage, [...] ist .... - Zuständigkeit für Auskünfte - Zuständigkeit für Beschwerden und vermutete Verletzungen der Privatsphäre ist Gesetzliche Beschwerdestelle Zuständiges Gericht bzw. Datenschutzkommission bzw. verantwortlicher Datenschutzbeauftragter VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

12 (5) Kontroll-, Beschwerde- und Informationsstelle(n) Fortsetzung
Privacy Statements [PS] (5) Kontroll-, Beschwerde- und Informationsstelle(n) Fortsetzung Freiwillig anerkannte Streitschlichtungsstelle Dies können Stellen bei den Kammern, bei Behörden, bei Konsumentenschutzorganisationen oder sonstigenVereinigungen sein. Freiwillige Schadenersatzregelungen Regelungen, die über das gesetzliche materielle Schadenersatzrecht hinausgehen, etwa Entschädigungen für Vertrauensverlust, nicht quantifizierbaren Aufwand durch Fehlbestellungen/Fehllieferungen, bedingt durch fehlerhafte oder mißbräuchliche Datenverwendung. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

13 Rechtmäßiges Verhalten beim Einsatz ... im elektronischen Datenverkehr
DSG Internet Rechtmäßiges Verhalten beim Einsatz ... im elektronischen Datenverkehr ¿? Firewall (ja/nein) ¿? VPN-Lösung (ja/nein) ¿? Verschlüsselung (erlaubt/verboten) ¿? Virenfilter (ja/nein) ¿? Spamfilter (ja/nein) ¿? Webfilter (ja/nein) ¿? versenden Intranetdaten über Internet (ja/nein) Es gibt keinerlei Verpflichtungen spezifische technische Maßnahmen durchzuführen! Detaillierte technische Empfehlungen müssen im Rahmen einer security policy erstellt werden. Im Kern sind drei Bereiche abzudecken: Sicherung der Vertraulichkeit Sicherung der Authentizität/Integrität Sicherung der Verfügbarkeit Die Festlegung eines Sicherheitskonzepts kann niemand einem Unternehmen abnehmen. Wedsentlich bei jeder "security policy" sind die tatsächlich gegebenen Verarbeitungs- und Verwendungsanweisungen. Typische Überwachungswünsche aus der ISP-Praxis: - "Meine Mitarbeiter surfen/mailen zu viel, ich brauche Aufzeichnungen." - "Ich glaube, daß Betriebshgeheimnisse an Fremde g t werden, teilt uns mit, wer wem Nachrichten verschickt." - "Ich erhalte Viren, pornographisches Material, unerwünschte Werbezusendungen per mail, diese Mails gehören unterbunden." - "Mein Mailserver wird zum spamen mißbraucht, der Absend server gehört gesperrt." - "Mein Webserver wird von bestimmten Adressen unerwünscht oft frequentiert, ich möchte bestimmte IP-Adressen sperren." VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

14 Themenkreis Datenschutz & Internet
DSG Internet Themenkreis Datenschutz & Internet Verwendung von Daten - Zuständigkeit und Verantwortlichkeit - Umfang der zulässig verwendeten Daten - Identifikation von Benutzern - "Traking" von Benutzern - Nutzung von Advertising-Servern Anwendungsfall Online-Authentifizierungssysteme - lokale, dezentrale, zentrale Authentisierungen - Beispiele: Passport/Microsoft, Liberty Alliance Spezifische Online-Probleme: - Benutzer müssen darauf vertrauen können, zu wissen, wer Daten über sie registriert - gilt umgekehrt für Betreiber: muß wissen wer sein Gegenüber ist - Benutzer muß wissen welche Daten gesammelt werden, wie sie verwendet werden und an wen sie weiter gegeben werden (Informationspflicht / Transparenzgebot) - Datenfluß geht in vielen Fällen in Nicht-EU-Staaten (USA) Grundsätzlich ist in jedem Einzelfall eine Abwägung zu treffen Betriebsinhaber / Unternehmensführung müssen widerstreitende Interessen des ArbVG, DSG2000 (Mitarbeiter/Kunden) und der kaufmännischen Verpflichtungen (Sorgfaltspflichten) treffen VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

15 Datenschutzbeauftragte Hohe Bedeutung in der EU-Richtlinie
DSG weitere Themen Datenschutzbeauftragte Hohe Bedeutung in der EU-Richtlinie Idee ist die Vermeidung unnötigen bürokratischen Aufwands (ErwG. 49ff) Aufgabe des DS-Beauftragten (Art. 18): Überwachung der Anwendung der EU-RL (Art. 18) Führung eines Verzeichnisses der Datenanwendungen (Art. 18) Durchführung der Vorabkontrolle (Art. 20) im DSG 2000 nicht vorgesehen stattdessen Möglichkeit branchenspezifischer "Verhaltensregeln" zu definieren Im DSG2000 fehlt jede Klarstellung, was unter den branchenspezifischen Verhaltensregeln tatsächlich zu verstehen ist. Es wurden daher auch keinerlei Regeln geschaffen. Mögliche Einsatzgebiete wäre: - Direktmarketing - Gesundheitseinrichtungen - Finanzdienstleister Im Rahmen von Privacy Policies können branchen- und unternehmensspezifische Datenschutzrichtlinien als Qualitätsmerkmal in der Kundenbeziehung genutzt werden. Erwägungsgründe der EU-RL: (49) Um unangemessene Verwaltungsformalitäten zu vermeiden, können die Mitgliedstaaten bei Verarbeitungen, bei denen eine Beeinträchtigung der Rechte und Freiheiten der Betroffenen nicht zu erwarten ist, von der Meldepflicht absehen oder sie vereinfachen, vorausgesetzt, daß diese Verarbeitungen den Bestimmungen entsprechen, mit denen der Mitgliedstaat die Grenzen solcher Verarbeitungen festgelegt hat. Eine Befreiung oder eine Vereinfachung kann ebenso vorgesehen werden, wenn ein vom für die Verarbeitung Verantwortlichen benannter Datenschutzbeauftragter sicherstellt, daß eine Beeinträchtigung der Rechte und Freiheiten der Betroffenen durch die Verarbeitung nicht zu erwarten ist. Ein solcher Beauftragter, ob Angestellter des für die Verarbeitung Verantwortlichen oder externer Beauftragter, muß seine Aufgaben in vollständiger Unabhängigkeit ausüben können. (50) Die Befreiung oder Vereinfachung kann vorgesehen werden für Verarbeitungen, deren einziger Zweck das Führen eines Registers ist, das gemäß einzelstaatlichem Recht zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

16 ............ VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben
(54) Bei allen in der Gesellschaft durchgeführten Verarbeitungen sollte die Zahl der Verarbeitungen mit solchen besonderen Risiken sehr beschränkt sein. Die Mitgliedstaaten müssen für diese Verarbeitungen vorsehen, daß vor ihrer Durchführung eine Vorabprüfung durch die Kontrollstelle oder in Zusammenarbeit mit ihr durch den Datenschutzbeauftragten vorgenommen wird. Als Ergebnis dieser Vorabprüfung kann die Kontrollstelle gemäß einzelstaatlichem Recht eine Stellungnahme abgeben oder die Verarbeitung genehmigen. Diese Prüfung kann auch bei der Ausarbeitung einer gesetzgeberischen Maßnahme des nationalen Parlaments oder einer auf eine solche gesetzgeberische Maßnahme gestützten Maßnahme erfolgen, die die Art der Verarbeitung und geeignete Garantien festlegt. DSG 2000 §6 (Grundsätze) Abs.4: (4) Zur näheren Festlegung dessen, was in einzelnen Bereichen als Verwendung von Daten nach Treu und Glauben anzusehen ist, können für den privaten Bereich die gesetzlichen Interessenvertretungen, sonstige Berufsverbände und vergleichbare Einrichtungen Verhaltensregeln ausarbeiten. Solche Verhaltensregeln dürfen nur veröffentlicht werden, nachdem sie dem Bundeskanzler zur Begutachtung vorgelegt wurden und dieser ihre Übereinstimmung mit den Bestimmungen dieses Bundesgesetzes begutachtet und als gegeben erachtet hat. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

17 Unterscheidet zwischen Signatur und "sicherer" Signatur
Gesetz zur digitalen Signatur Unterscheidet zwischen Signatur und "sicherer" Signatur Signaturen dürfen grundsätzlich frei eingesetzt werden "sichere" Signaturen sind an sehr detaillierte Sicherheitsbestimmungen gebunden SigG ist bisher die einzige gesetzliche Bestimmung die technische IT-Sicherheitsanforderungen vorsieht Detailinformationen zur SigG und Verordnung: VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

18 Genehmigung / Registrierung
Internationaler Datenverkehr Safe Harbour Registrierung von Datenanwendungen - VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

19 Internationaler Datenverkehr (§12, 13, 55) Genehmigungsfreiheit
DSG Internationaler Datenverkehr Internationaler Datenverkehr (§12, 13, 55) Genehmigungsfreiheit innergemeinschaftlicher Datenverkehr gleichwertige Datenschutzgesetzgebung im Inland zulässigerweise veröffentlichte Daten notwendige Grundlage zur Vertragserfüllung mit Betroffenen persönliche oder publizistische DA‘s Zustimmung des Betroffenen wenn in Standard- und Musteranwendungen vorgesehen bei Akten und Dokumenten (Entscheidung DSK /13-DSK/00) im innergemeinschaftlichen Datenverkehr (EU-weit), sofern die Datenverarbeitungen dem Recht der Europäischen Gemeinschaft unterliegen (Abs. 1): gilt auch für Daten juristischer/sonstiger Personen in Ländern mit gleichwertigen Datenschutzgesetzgebungen (Abs. 2), derzeit: Schweiz, Ungarn im Inland zulässigerweise veröffentlichte Daten (Abs. 3 Z1) aus persönlichen oder publizistischen Datenanwendungen (Abs. 3 Z4) aufgrund der Zustimmung des Betroffenen (Abs. 3 Z5) als notwendige Grundlage zur Erfüllung eines mit dem Betroffenen abgeschlossenen Vertrages (Abs. 3 Z6) Weitere Gründe für einen genehmigungsfreien Datenverkehr indirekt personenbezogene Daten (Abs. 3 Z2) innerstaatliche Vorschriften verlangen Datenverkehr (Abs. 3 Z3) als notwendige Grundlage zur Erfüllung eines im Interesse des Betroffenen abgeschlossenen Vertrages (Abs. 3 Z6) notwendig zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gegenüber ausländischen Behörden (Abs. 3 Z7) bei Standard- und Musterverordnungen (Abs. 3 Z8) Datenverkehr mit österreichischen Dienststellen im Ausland (Abs. 3 Z9) wenn keine Meldepflicht gem. §17 Abs. 3 ("öffentliche Sicherheit") besteht (Abs. 3 Z10) zur Wahrung eines wichtigen öffentlichen Interesses (Abs. 4 Z1) zur dringlichen Wahrung eines lebenswichtigen Interesses einer Person (Abs. 4 Z2) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

20 DSG 2000 - Internationaler Datenverkehr
Datenverkehr international (genehmigungsfrei zusätzlich zum EU-Binnen-Verkehr) - Island, Norwegen, Liechtenstein (gleichwertig auf Grund EWR-Verträge) - Schweiz und Ungarn (gleichwertig gem. Kommissionsentscheidung ) - Kanada (gleichwertig gem. Kommissionsentscheidung ) - USA (nur unternehmensbezogen, wenn SafeHarbour-Vereinbarung beigetreten) - bei allen anderen Staaten hat sich der Betroffene bzw. der Auftraggeber selbst um den Datenschutz zu kümmern STAND: Aktuelle Informationen unter: VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

21 Internationaler Datenverkehr (§12, 13, 55) Genehmigungspflicht
DSG Internationaler Datenverkehr Internationaler Datenverkehr (§12, 13, 55) Genehmigungspflicht in allen anderen Fällen besteht Genehmigungspflicht (§13) die Genehmigung ist zu erteilen: die Feststellungen der Europäischen Kommission sind zu beachten (Abs. 2) im konkreten Genehmigungsfall besteht ein angemessenes Schutzniveau (Abs. 2 Z1) Antragsteller macht den Schutz der Geheimhaltungsinteressen des Betroffenen glaubhaft (Abs. 2 Z2) - VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

22 Was bedeutet "Safe Harbour"?
DSG Internationaler Datenverkehr Was bedeutet "Safe Harbour"? In den USA fehlen einheitliche, für Unternehmen verbindliche Datenschutzstandards Entwicklung von Richtlinien, denen freiwillig beigetreten werden kann (SELBSTZERTIFIZIERUNG) Nach Beitritt verbindlich FTC (Federal Trade Commission) bzw US-Verkehrsministerium (bei Luftfahrtgesellschaften) überwachen Einhaltung Liste mit Teilnehmern veröffentlicht (Stand : 335 Organisationen) Online-Unternehmen sind unterrepräsentiert! Unterlagen zur EU-Entscheidung "über die Angemessenheit des Datenschutzes in den USA" Liste der Unternehmen, die den "Safe Harbour" - Richtlinien beigetreten sind: Auszug aus der Liste der Unternehmen, die sich zu "Safe Harbour" verpflichtet haben: - Amazon.com Inc - Agilent Technologies - Baxter International Inc. - Compaq Computer Corporation - Eastman Kodak Company - Hewlett Packard - Microsoft Corporation - Marriott International, Inc. - Oracle Corporation - Procter & Gamble Company - Dun & Bradstreet Corporation Branchenstatistik (Beispiele): Biotechnologie (13), EDV-Ausstattung (14), Telekommunikation-Dienstleister (14), Informationsdienste (30) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

23 Registrierung von Datenanwendungen (§§16ff)
DSG Registrierung und Genehmigung Registrierung von Datenanwendungen (§§16ff) Datenverarbeitungsregister wird DSK unterstellt (§16) Bisher: nachgeordnete Dienststelle des öSTAT Es sind nicht alle Datenanwendungen zu registrieren (§17) Bisherige Ausnahmen (persönliche und publizistische Verarbeitungen) wurden erheblich ausgeweitet Vereinfachte Registrierung bei bestimmten Datenanwendungen (§19) Registrierung ist kostenlos Dies bedeutet auch, das bei registrierungsfreien Datenanwendungen KEINE DVR-Nummer geführt werden muß. Dies kann zu Unklarheiten bei Betroffenen über den tatsächlichen Auftraggeber bei Unternehmen führen, die zwar eine DVR-Nummer haben, aber eine Marketingaussendung unter "Berufung" auf die Standardanwendung SA022 "Kundenbetreuung" durchführen. Beispiel ONE/NEWS-Werbeaktion VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

24 Registrierungsfreiheit (§17)
DSG Registrierung und Genehmigung Registrierungsfreiheit (§17) - manuelle Datenanwendungen, die nicht der Vorabkontrolle unterliegen - DA enthält ausschließlich (!) veröffentlichte Daten - Führung öffentlicher, gesetzlich vorgesehener Register - ausschließlich indirekt personenbezogene Daten - persönliche Datenanwendungen - publizistische Datenanwendungen - Standardanwendungen - bestimmte DA‘s der Republik Österreich - DA für Zwecke der Strafverfolgung Folgende Datenanwendungen sind nicht zu registrieren (§17) - manuelle Datenanwendungen die nicht der Vorabkontrolle unterliegen - DA enthält ausschließlich (!) schon vorher veröffentlichte Daten (Abs. 2 Z1) - DA dient zum Führen gesetzlich vorgesehener öffentlich einsehbarer Register (Abs. 2 Z2) Beispiele: Grundbuch, Firmenbuch, auch Melderegister - DA enthält nur indirekt personenbezogene Daten (Abs. 2 Z3) - bei persönlichen DA's (Abs. 2 Z4) - für publizistische Zwecke (Abs. 2 Z5) - bei Standardanwendungen (Abs. 2 Z6) Beispiel: SA022 Kundenbetreuung/Marketing, SA001Rechnungswesen/Logistik, SA002 Personalverwaltung bestimmte Datenanwendungen der Republik Österreich: Schutz der verfassungsmäßigen Einrichtungen der Republik Österreich (Abs. 3 Z1) Sicherung der Einsatzbereitschaft des Bundesheeres (Abs. 3 Z2) Sicherung der Interessen der umfassenden Landesverteidigung (Abs. 3 Z3) Schutz wichtiger außenpolitischer, wirtschaftlicher oder finanzieller Interessen der Republik Ö oder der EU (Abs. 3 Z4) Vorbeugung, Verhinderung und Verfolgung von Straftaten (Abs. 3 Z5) Die Ausnahmetatbestände des Abs. 3 stellen keine generellen Ausnahmen für alle DA's bestimmter Behörden dar VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

25 Registrierung von Datenanwendungen (§§16ff)
DSG Registrierung und Genehmigung Registrierung von Datenanwendungen (§§16ff) Jedermann kann Einsicht nehmen (§16) Eine DVR-Nummer wird bei erstmaliger Registrierung einer DA zugeteilt (§21) Es kann Auftraggeber geben, die keine DVR-Nummer haben die Pflicht, die Identität in anderer Weise offen zu legen (§25) Möglichkeit der Vorabkontrolle bestimmter Datenanwendungen (§18) Unterschiedlicher Beginn der Verarbeitung (§18) Grundsätzlich gilt: Beginn der Verarbeitung ab Abgabe der Meldung (Ausnahme: besondere Datenanwendungen) aus dem DSG2000 §§16ff, besonders §18 Grundsätzlich gilt: Beginn der Verarbeitung ab Abgabe der Meldung Ausnahme: Verarbeitungsbeginn erst nach Vorabkontrolle: DA's, die sensible Daten enthalten DA enthält strafrechtlich relevante Daten (gerichtlich und verwaltungsrechtlich) DA hat Zweck der Auskunftserteilung über Kreditwürdigkeit DA in einem Informationsverbundsystem geführt Prüfungsfrist sind zwei Monate (§20 Abs. 1) Wird ein Verbesserungsauftrag erteilt, ist eine angemessene Nachfrist zu setzen (§20 Abs. 1) bei wesentlicher Gefährung von Geheimhaltungsinteressen kann eine DA vorläufig untersagt werden (§20 Abs. 2) Bei DA's, die der Vorabkontrolle unterliegen, ist bei Verbesserungsaufträgen gleichzeitig mitzuteilen, ob Verarbeitung aufgenommen werden darf (§20 Abs. 3) wird Verbesserungsauftrag nicht fristgerecht entsprochen, dann hat die DSK den Antrag abzulehnen (§20 Abs. 4)- VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

26 Inhalt der Registrierung (DSG2000 §§16ff, besonders §19)
DSG Registrierung und Genehmigung Inhalt der Registrierung (DSG2000 §§16ff, besonders §19) Name und Anschrift des Auftraggebers Befugnisnachweis Zweck der Datenanwendung Datenarten, Betroffenenkreise, Übermittlungen eventuelle Genehmigungen durch die DSK Angaben über Sicherheitsmaßnahmen Notwendiger Inhalt der Meldungen Analog zu DSG78 §§8, 23 Namen/Bezeichnung + Anschrift des Auftraggebers bzw. eines allfälligen Vertreters (§19 Abs. 1 Z1) Nachweis der gesetzlichen Zuständigkeit oder sonstigen rechtlichen Befugnis (§19 Abs. 1 Z2) Zweck der Datenanwendung (§19 Abs. 1 Z3) Datenarten und Betroffenenkreise (§19 Abs. 1 Z4) Arten der beabsichtigten Übermittlungen (§19 Abs. 1 Z5) bei notwendigen Genehmigungen der DSK deren Geschäftszahl (§19 Abs. 1 Z6) Allgemeine Angaben über Sicherheitsmaßnahmen (§19 Abs. 1 Z7) DS-RL spricht von "allgemeiner Beschreibung" (Art. 19 Abs. 1 lit. f) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

27 Konzept der Vorabkontrolle (DSG2000 §18 Abs. 2, §20, 21, 30, §10)
DSG Registrierung und Genehmigung Konzept der Vorabkontrolle (DSG2000 §18 Abs. 2, §20, 21, 30, §10) besondere Datenanwendungen unterliegen einer Vorabkontrolle durch DSK Voraussetzungen der Vorabkontrolle durch Art der verwendeten Daten und Betriebsform festgelegt Prüfung auch ohne Verdachtsmomente Auflagen sind möglich Dienstleister sind zu melden Neuregelung Bestimmte Datenanwendungen unterliegen der Vorabkontrolle durch die DSK. Datenanwendung darf erst nach Genehmigung mit Verarbeitung beginnen (§20). Voraussetzung der Vorabkontrolle (§18): DA ist meldepflichtig (z.B. keine Standardanwendung) DA ist keine Musteranwendung DA betrifft nicht innere Angelegenheiten anerkannter Kirchen und Religionsgesellschaften es trifft zumindest eine der Bedingungen zu DA enthält sensible Daten DA enthält strafrechtlich relevante Daten DA dienen der Auskunftserteilung über die Kreditwürdigkeit DA wird in Form eines Informationsverbundsystems geführt Vorabkontrolle ermöglicht die Prüfung der Datenanwendung auch ohne Vorliegen von Verdachtsmomenten (§30). Die DSK kann Auflagen zum Betrieb der Datenanwendung erteilen (§21). Die Heranziehung von Dienstleistern bei diesen Datenanwendungen ist der DSK mitzuteilen (§10). VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

28 Konzept der Standardanwendung (DSG2000 §17 Abs. 2 Z6)
DSG Registrierung und Genehmigung Konzept der Standardanwendung (DSG2000 §17 Abs. 2 Z6) Verordnung des Bundeskanzlers große Zahl von Auftraggebern keine Gefährdung schutzwürdiger Interessen Definition des Umfanges der Standardanwendung Datenarten Betroffenen- und Empfängerkreise Höchstdauer der Datenaufbewahrung Übermittlungsmöglichkeiten weitreichende Ausnahmebestimmungen nicht möglich bei sensiblen Daten Neuregelung werden vom Bundeskanzler per Verordnung festgelegt enthalten DA's, die von einer großen Zahl von Auftraggebern gleichartig verwendet werden Gefährdung schutzwürdiger Geheimhaltungsinteressen ist nicht zu erwarten Standardanwendung enthält Angaben über: zulässige Datenarten Betroffenen- und Empfängerkreise (inkl. Übermittlungsmöglichkeiten in das Ausland) Höchstdauer der zulässigen Datenaufbewahrung Führt zu weitreichenden Ausnahmebestimmungen: Entfall der Meldepflicht bei allen Datenanwendungen (§17) genehmigungsfreier internationaler Datenverkehr (§12) keine Protokllierungspflicht von Übermittlungen (§14) keine Vorabkontrolle (§18) Datenanwendungen, die sensible Daten enthalten, können keine Standardanwendung werden! VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

29 Konzept der Musteranwendung (DSG2000 §19 Abs. 2)
DSG Registrierung und Genehmigung Konzept der Musteranwendung (DSG2000 §19 Abs. 2) werden ebenfalls durch Verordnung des Bundeskanzlers festgelegt größere Anzahl von Auftraggebern, aber keine Standardanwendung weitreichende Ausnahmebestimmungen möglich bei sensiblen Daten Neuregelung werden vom Bundeskanzler per Verordnung festgelegt Wenn eine "... größere Anzahl von Auftraggebern gleichartige Datenanwendungen vorzunehmen hat und die Voraussetzungen für die Erklärung zur Standardanwendung nicht vorliegen, kann der Bundeskanzler durch Verordnung Musteranwendungen festlegen" Führt zu weitreichenden Ausnahmebestimmungen: Entfall der Meldepflicht bei manuellen Datenanwendungen (§58) Vereinfachung der Meldepflicht bei automationsunterstützten Datenanwendungen (§19) Genehmigungsfreier internationaler Datenverkehr (§12) Keine Protokollierungspflicht von Übermittlungen (§14) Keine Vorabkontrolle (§18) Datenanwendungen, die sensible Daten enthalten, können nur Musteranwendung werden! VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

30 Mangelhafte Meldungen (DSG2000 §19 Abs. 3) fehlende Angaben
DSG Registrierung und Genehmigung Mangelhafte Meldungen (DSG2000 §19 Abs. 3) fehlende Angaben offensichtlich unrichtige oder widersprüchliche Angaben unzureichende Angaben, die es Einsichtnehmern unmöglich machen, zu erkennen, ob ihre Geheimhaltungsinteressen verletzt sein könnten - VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

31 Registrierung von Warndateien bei Banken
DSG Besondere Bestimmungen Registrierung von Warndateien bei Banken DSK-Bescheid /021-DSK/2001 - erging an vier Banken Genehmigung mit Auflagen erteilt Eintragung von Kunden nur zulässig bei - vertragswidrig ausgestellten Schecks - vertragswidrig genutzter Bankomat- oder Kreditkarte - Aufkündigung einer Kontoverbindung - Fälligstellung eines Kredits - Einleitung der Rechtsverfolgung Informationspflicht VOR Eintragung Zweck der Warneintragung ist bekannt zu geben Bekanntgabe der Durchsetzung der Betroffenenrechte unverzügliche Eintragung begründeter Bestreitung der Forderung ist vorzusehen - VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

32 Registrierung von Warndateien bei Banken
DSG Besondere Bestimmungen Registrierung von Warndateien bei Banken Genehmigung mit Auflagen erteilt II vollständige Bezahlung der Forderung ist unverzüglich einzutragen bei unbegründeter Forderung ist unverzügliche Löshcung vorzunehmen Löschung nach 3 Jahren nach vollständiger Bezahlung der Schuld, ansonsten nach 7 Jahren nach Tilgung der Schuld Überprüfung der Richtigkeit muß mindesten einmal jährlich erfolgen - VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

33 Prüfungs- und Verbesserungsverfahren (DSG2000 §20)
DSG Registrierung und Genehmigung Prüfungs- und Verbesserungsverfahren (DSG2000 §20) Prüfungsfrist sind zwei Monate (§20 Abs. 1) Wird ein Verbesserungsauftrag erteilt, ist eine angemessene Nachfrist zu setzen (§20 Abs. 1) bei wesentlicher Gefährung von Geheimhaltungsinteressen kann eine DA vorläufig untersagt werden (§20 Abs. 2) Bei DA's, die der Vorabkontrolle unterliegen, ist bei Verbesserungsaufträgen gleichzeitig mitzuteilen, ob Verarbeitung aufgenommen werden darf (§20 Abs. 3) wird Verbesserungsauftrag nicht fristgerecht entsprochen, hat die DSK den Antrag abzulehnen (§20 Abs. 4) Erfüllung der Meldepflicht (§20 Abs. 5) Erfolgt innerhalb von zwei Monaten kein Verbesserungsauftrag, dann gilt die Meldepflicht als erfüllt. Bisherige Erfahrungen mit mangelhaften Registrierungen: Mehrzahl der Mängel betraf Fehler bei der Registrierungsgebühr mangelhafte Eingaben, die der DSK vorgelegt wurden (DVR-Bericht 95/97, 164 Fälle): 96 Meldungen bezüglich amtlicher Berichtigungen/Streichungen 49 Meldungen wegen inhaltlicher Mängel zur Ablehnung der Registrierung und Untersagung der Weiterführung 10 Meldungen fehlte Nachweis zur Registrierungsgebühr 9 Meldungen enthielten inhaltliche Mängel + keinen Nachweis der Registrierungsgebühr DIe Untersagung erfolgt in Form eines Mandatsbescheides (ohne weiteres Ermittlungsverfahren) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

34 Besondere Bestimmungen
Informationsverbundsystem Verständigungszwecke Wissenschaft und Forschung Strafbestimmungen - VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

35 Was ist ein Informationsverbundsystem? (§50)
DSG Besondere Bestimmungen Was ist ein Informationsverbundsystem? (§50) gemeinsame Verarbeitung [gemeint: Verwendung] von Daten in einer DA durch mehrere Auftraggeber und gemeinsame Nutzung der Daten geeigneter Betreiber ist zu bestellen Betreiber ist zwecks Eintrag im DVR zu melden Betreiber hat Auskünfte gem. DSG2000 zu geben es können auch weitere Auftraggeberpflichten an den Betreiber abgetreten werden Es handelt sich hier um eine typische Spezialregelung, die in Hinblick auf folgende Fälle/Beispiele geschaffen wurde: Kreditschutzevidenzen gemeinsame Versicherungsevidenzen Reiseveranstaltungs- und Reservierungssysteme Gesundheitsverbunde gemeinsame "schwarze" Listen einzelner Branchen Beispiele für Informationsverbundsysteme: - Zentrales Waffenregister (BMI) - Vollzugsverwaltung der Justizanstalten (BMJ) - Informationsstelle im Katastrophenfall (MAG Wien) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

36 Bereitstellung von Adressen zu Verständigungszwecken (§47)
DSG Besondere Bestimmungen Bereitstellung von Adressen zu Verständigungszwecken (§47) Grundsätzlich gilt: Übermittlung von Adressen ist zustimmungspflichtig zusätzliche Verwendungs- und Übermittlungsmöglichkeiten Weitere Möglichkeiten mit Genehmigung der DSK Verwendungsbeschränkung (nur zur Benachrichtigung bzw. Befragung) Löschungspflicht nach Verwendung Zur Diskussion: Vorarlberger Adressbücher (Fall Lustenau) Grundsätzlich bedarf auch die Übermittlung der Adressdaten die Zustimmung der Betroffenen Adressdaten sind keine "freien" Daten es gelten die Verarbeitungsvoraussetzungen des DSG2000 Zusätzliche Verwendungs- und Übermittlungsmöglichkeiten: Voraussetzung ist das Fehlen der Beeinträchtigung der Geheimhaltungsinteressen und Verwendung der Daten desselben Auftraggebers (Z1) oder bei Benachrichtigung/Befragung durch Dritte, wenn daran öffentliches Interesse besteht (Z2 lit. a) oder der Betroffene nach entsprechender Information keinen Widerspruch eingelegt hat (Z2 lit. b) Weitere Verwendungsmöglichkeiten mit Genehmigung der DSK (Abs. 3) Benachrichtigung/Befragung im Interesse des Betroffenen (Z1) bei wichtigem öffentlichen Benachrichtigungsinteresse (Z2) zu wissenschaftlichen bzw. statistischen Zwecken (Z3) Verwendungsbeschränkung der Daten (zulässig nur für den Benachrichtigungs/Befragungszweck) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

37 Verwendung von Daten für Wissenschaft und Forschung (§46)
DSG Besondere Bestimmungen Verwendung von Daten für Wissenschaft und Forschung (§46) liegt vor, wenn Ergebnisse nicht personenbezogen Folgende Daten dürfen verwendet werden: öffentlich zugängliche Daten (Abs. 1 Z1) Daten, die der Auftraggeber zu anderen Zwecken ermittelt hat (Abs. 1 Z2) indirekt personenbezogene Daten (Abs. 1 Z3) gemäß gesetzlicher Vorschriften (Abs. 2 Z1) mit Zustimmung des Betroffenen (Abs. 2 Z2) mit Genehmigung der DSK (Abs. 2 Z3) DA's für wissenschaftliche und statistische Zwecke liegen dann vor, wenn die Ergebnisse nicht personenbezogen sind (Abs. 1) Genehmigung durch DSK, wenn folgende Bestimmungen gemeinsam zutreffen: + Einholung der Zustimmung des Betroffenen unmöglich/unwirtschaftlich und + öffentliches Interesse der Verwendung ist gegeben und + fachliche Eignung des Antragstellers ist gegeben Es dürfen auch sensible Daten verwendet werden (!) - wichtiges öffentliches Interesse der Verwendung ist gegeben und - verwendende Personen unterliegen gesetzlicher Verschwiegenheitspflicht Sonstige rechtliche Verwendungsbeschränkungen, wie etwa urheberrechtlich Beschränkungen können durch eine Genehmigung der DSK nicht aufgehoben werden. Auch bei berechtigter wissenschaftlicher/statistischer Verarbeitung muß der Personenbezug ab dem Zeitpunkt entfernt werden, ab dem dieser nicht mehr für die Verarbeitung notwendig ist. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

38 Entscheidungen zu DSG2000 §46
DSG Besondere Bestimmungen Entscheidungen zu DSG2000 §46 /002-DSK/2001 ("öffentliches Interesse") von öffentlicher Hand geförderte Forschung liegt immer im öffentlichen Interesse /3-DSK/00 ("NS-Forschung") NS-Forschung liegt im öffentlichen Interesse /002-DSK/2001: "Das öffentliche Interesse an der Durchführung eines Forschungsauftrages kann durch die Förderung durch Stellen des Bundes, eines Landes und einer Gemeinde als gegeben angenommen werden." (RIS) /3-DSK/00: "Die Durchführung von Forschungen zum Thema der Zwangsarbeit in der NS-Zeit liegt in einem wichtigen öffentlichen Interesse, insbesondere da die Erforschung und objektive Aufarbeitung der NS-Vergangenheit dem Ansehen Österreichs in der Welt nützlich sein wird." (RIS) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

39 Schadenersatz (§33) DSG 2000 - Kontroll- & Strafbestimmungen
schuldhaftes Verhalten notwendig Verletzung von Bestimmungen des DSG2000 tatsächlich erlittener materieller Schaden ist zu ersetzen bei Verletzungen der Geheimhaltung, die geeignet sind den Betroffenen bloßzustellen, gebührt Entschädigung. Entschädigungsanspruch ist vergleichbar dem Mediengesetz geregelt [MedienG §7: bis Euro] Bei Veröffentlichungen in einem Medium gilt wie bisher das Mediengesetz Entschädigungsanspruch ist gegenüber dem Auftraggeber geltend zu machen Schuldhaftes Handeln = Vorsatz oder fahrlässiges Handeln DSG 2000: „§ 33. (1) Ein Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen den Bestimmungen dieses Bundesgesetzes verwendet, hat dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Werden durch die öffentlich zugängliche Verwendung der in § 18 Abs. 2 Z 1 bis 3 genannten Datenarten schutzwürdige Geheimhaltungsinteressen eines Betroffenen in einer Weise verletzt, die einer Eignung zur Bloßstellung gemäß § 7 Abs. 1 des Mediengesetzes, BGBl. Nr. 314/1981, gleichkommt, so gilt diese Bestimmung auch in Fällen, in welchen die öffentlich zugängliche Verwendung nicht in Form der Veröffentlichung in einem Medium geschieht. Der Anspruch auf angemessene Entschädigung für die erlittene Kränkung ist gegen den Auftraggeber der Datenverwendung geltend zu machen.“ Mögliche Beispiele: Aushang der Hausverwaltung von Zahlungsrückständen im Hausflur öffentliche Bekanntgabe des Kirchenaustritts durch Pfarrer Übermittlung an Arbeitgeber (z.B. Bezug von Pornos, Ergebnisse von Beschwerde- und Verwaltungsverfahren) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

40 Strafbestimmungen (§51)
DSG Kontroll- & Strafbestimmungen Strafbestimmungen (§51) nur mehr eine Strafbestimmung Delikt: widerrechtlich ihm zugängliche Daten benutzt, Daten widerrechtlich beschafft, anderen widerrechtlich zugänglich macht oder widerrechtlich öffentlich macht. Bisher: Geheimnisbruch (DSG78 §48) Unbefugte Eingriffe in den Datenverkehr (DSG78 §49) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

41 Strafbestimmungen Anwendungsbereich (§51)
DSG Kontroll- & Strafbestimmungen Strafbestimmungen Anwendungsbereich (§51) Vorsatz + Schaden bzw Vermögensvorteil notwendig + schutzwürdige Geheimhaltungsinteressen müssen verletzt sein Strafbestimmung gilt subsidär Antragsdelikt: Verfolgung bedarf Ermächtigung durch Verletzten Freiheitsstrafe bis 1 Jahr DSG 2000: „Datenverwendung in Gewinn- oder Schädigungsabsicht § 51. (1) Wer in der Absicht, sich einen Vermögensvorteil zu verschaffen oder einem anderen einen Nachteil zuzufügen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr zu bestrafen. (2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.“ VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

42 Verwaltungsstrafen Tatbestände I (§52 Abs. 1)
DSG Kontroll- & Strafbestimmungen Verwaltungsstrafen Tatbestände I (§52 Abs. 1) [=deliktisches Handeln] widerrechtliches Verschaffen eines Zugangs zu einer DA widerrechtliches Weiterbenutzen eines Zugangs zu einer DA Übermittlung unter Verletzung des Datengeheimnisses Weiterverwendung von Daten entgegen einem rechtskräftigen Urteils/Bescheids widerrechtliches Löschen von Daten Strafrahmen: EUR Zuständig für Anzeigen ist die Datenschutzkommission Berufungsinstanz ist der UVS Verantwortlichkeit des Auftraggebers ist u.a im VstG §9 geregelt Bisher gab es 30 Verfahren/Jahr bei den Landeshauptleuten, die Regierungsvorlage rechnet in Zukunft mit 10fachen Anfall an Anzeigen/Verfahren Bisher war als Berufunsginstanz die DSK zuständig, dies führte in der Vergangenheit zu Interessenskonflikten. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

43 Verwaltungsstrafen Tatbestände II (§52 Abs. 2)
DSG Kontroll- & Strafbestimmungen Verwaltungsstrafen Tatbestände II (§52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] nicht Erfüllen der Registrierungspflicht Übermittlung in das Ausland ohne Genehmigung verletzen der Offenlegungs- und Informationspflichten nicht Beachten von Sicherheitsmaßnahmen Strafrahmen: bis EUR 9.445,- - VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

44 Kontrollbefugnisse der DSK (§30)
DSG Datenschutzkommission (DSK) Kontrollbefugnisse der DSK (§30) - Recht auf Prüfung und auf Einschau beim Auftraggeber / Dienstleister - Unterstützung von Seiten des Auftraggebers - Recht auf Zutritt - Schonung der Rechte des Auftraggebers/Dritter - Verwertung nur im Zusammenhang mit Verletzung von Datenschutzbestimmungen ansonsten: Beweisverwertungsverbot und Verschwiegenheit gegenüber Gerichten und Verwaltungsbehörden DSK kann bei begründetem Verdacht einer Rechtsverletzung die Datenanwendung prüfen (Abs. 2) DSK kann dazu Einschau begehren und Unterlagen verlangen (Abs. 2) Auftraggeber/Dienstleister haben die notwendige Unterstützung (Einschau/Unterlagen) zu leisten (Abs. 4) DSK ist Zutritt zu den Datenverarbeitungen zu gewähren (Verständigung des Inhabers notwendig) (Abs. 4) Prüfung hat unter möglichster Schonung der Rechte des Auftraggebers/Dienstleisters und Dritter zu erfolgen (Abs. 5) Beweisverwertungsverbot Es dürfen die bekanntgewordenen Informationen ausschließlich zur Kontrolle datenschutzrechtlicher Vorschriften verwendet werden. Pflicht zur Verschwiegenheit gegenüber Gerichten und Verwaltungsbehörden, Abgabebehörden werden ausdrücklich erwähnt (!) Es bestehen jedoch Ausnahmen bei folgenden Verdachtsmomenten: strafbare Handlungen gem. §51f des DSG2000 Verbrechen gem. §278a StGB (kriminelle Organisation) Verbrechen mit Freiheitsstrafe im Höchstausmaß von mehr als 5 Jahren VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

45 Handlungsmöglichkeiten der DSK
DSG Datenschutzkommission (DSK) Handlungsmöglichkeiten der DSK Verfahren zur Überprüfung der Registrierung Erstattung einer Strafanzeige gem. §§51 oder 52 bei schwerwiegenden Verstößen durch private Datenverarbeiter Klage bei Gericht bei Verstößen von Auftraggebern der Gebiets-körperschaften Befassung deren oberster Organe Der Gesetzgeber hat keine spezifischen Sanktionen bei Verweigerung des Zutritts erlassen - VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

46 Probleme im Onlineverkehr
EU-RL - Online Datenverkehr Probleme im Onlineverkehr EU-RL-Bestimmung Art. 4 EU-RL 95/46/EG - Niederlassungsprinzip, - Hoheitsprinzip und - Durchführungsprinzip Probleme bereitet das Durchführungsprinzip! Die vergleichbare Bestimmung findet sich unter §3 DSG 2000 Niederlassungsprinzip Es gilt das Datenschutzrecht jenes Landes, in dem der Verantwortliche für die Datenverwendung seine Niederlasung hat, bei mehreren Niederlassungen sind die jeweiligen nationalen Regelungen zu anzuwenden. Es ist dabei zu beachten, dass nicht auf die Rechtsform der Niederlassung (sei dies eine Tochter, eine Filiale oder bloß eine ausgelagerte Dienststelle) abgezielt wird. Bedeutsam ist dies etwa bei Fluggesellschaften, die als Unternehmen nur in einem Land protokolliert sind, aber auf den Flughäfen der verschiedensten EU-Staaten Schalter betreiben. In diesem Fall gilt für jedes Land, in dem ein derartiger Schalter betrieben wird, das jeweilige nationale Datenschutzrecht. Hoheitsprinzip Über das nationale Territorium hinaus gelten die nationalen Regelungen dort wo sie im Rahmen internationalen öffentlichen Rechts anwendbar sind, etwa bei Auslandsvertretungen. Durchführungsprinzip Es sind auch alle Datenverwendungen dem jeweiligen nationalen Datenschutzrecht unterworfen, bei denen der Verantwortliche keine Niederlassung im EU-Staat hat, sondern die Datenverwendung dort bloß technisch durchführt. In diesem Fall ist für die technische Durchführung der Datenverwendung ein im Staat niedergelassener Verantwortlicher zu nennen. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

47 Modellfall A: Technische Datenübermittlung
EU-RL - Online Datenverkehr Modellfall A: Technische Datenübermittlung - aus technischen Gründen werden Daten ganz oder teilweise von Drittstaaten in der EU verarbeitet - aus technischen Gründen werden Daten ganz oder teilweise von EU-Staaten in Drittstaaten verarbeitet Problemkreise: - geeignete Vereinbarungen treffen - geeignete Sichheitsmaßnahmen treffen - Drittstaatenwirkung Szenario (a): Im Rahmen des elektronischen mail-Verkehrs werden die Daten auf einem ausländischen Mailserver zwischengespeichert. Szenario (b): Im Rahmen eines "virtual private networks" oder eines Intranets werden Daten zwischen zwei Standorten (Filialen) innerhalb eines Landes über ein Drittland übertragen. Szenario (c): Im Rahmen eines Supportfalls wird der nationale Support-Anruf mit einem Supportcenter in einem Drittland verbunden. Szenario (d): Die Durchführung der Buchhaltung oder die Datenerfassung von Bestellungen findet in einem Drittland statt. Szenario (e): Aus wirtschaftlichen, aus technischen Gründen, aus strategischen Überlegungen oder aus anderen unternehmensinternen Gründen werden Teile der Datenverarbeitung in einem Drittland durchgeführt (Erfassung, Backup, Auslagerung, Auswertungen, Zwischenspeicherung, ...) VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

48 Modellfall A: Technische Datenübermittlung
EU-RL - Online Datenverkehr Modellfall A: Technische Datenübermittlung (Fortsetzung) Wesentliches gemeinsames Merkmal dieser Beispiele ist, dass das Verfügungsrecht über die Daten (die Verantwortlichkeit) beim ursprünglichen Auftraggeber bleibt und er nur verschiedene "Erfüllungsgehilfen" (Telekom- und Internet-Provider, fremde Rechenzentren, freiberufliche Programmierer und Datenerfasser) zur Erfüllung seiner Aufgaben heranzieht. Wendet man den Art. 4(1)c der EU-RL an, dann genießen auch Datenverwendungen, die bloß aus technischen Gründen von einem Drittland im Bereich eines EU-Staates durchgeführt werden, den vollen Schutz der EU-Richtlinie. Dies hat auch für Personen aus diesen Staaten unmittelbare Konsequenzen. Sie könnten sowohl die in der EU-RL festgelegten und national geregelten Betroffenenrechte gegenüber Verantwortlichen aus Drittländern geltend machen, als auch bei Datenmißbrauch gegen einen Betreiber eines Drittlandes vor dem zuständigen Gericht des entsprechenden EU-Staates vorgehen. Die - auch in der EU-Konferenz Datenschutz im Oktober 2002 ausführlich diskutierte Drittwirkung ist jedoch weitgehend unverstanden und umstritten. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

49 Modellfall B: Vernetzte (verteilte) Datenverwendung
EU-RL - Online Datenverkehr Modellfall B: Vernetzte (verteilte) Datenverwendung - im Rahmen eines Onlineservices kommt es zu einem interaktiven Datenverkehr zwischen Anbieter (Drittland) und Konsument (EU) Problemkreise: - unterschiedliche Schutzniveaus bei verschiedenen verwendeten Techniken - Ort der Datenverarbeitung - anwendbares Recht - wer ist Auftraggeber? Szenario (a): Im Rahmen einer Onlineverarbeitung werden zwischen Lieferanten und Kunden interaktiv Daten ausgetauscht. Szenario (b): Ein Konsument nimmt an einer interaktiven Onlineumfrage teil. Szenario (c): Ein Konsument nutzt Telebanking oder Online- Shopping. Positionen: - eigentlich ist Kunde Auftraggeber und Anbieter Dienstleister (MR Kotschy) - Kunde, der einen US-Online-Shop benutzt ist vergleichbar mit einem Kunden, der in die USA reist (US-Anwalt) - Online-Shops sind am ehesten mit Haustürgeschäften zu vergleichen, bei denen gewisse Einrichtungen des Kunden/Interessenten genutzt werden (Daten)Schutzniveau ist von technischer Website-Realisierung abhängig Tatsächlich hängen die anwendbaren Regelungen der EU-Richtlinie und das daraus resultierende Schutzniveau von einer Unzahl technischer Details ab, die jedoch im Regelfall für den Konsumenten weder durchschaubar, noch beeinflußbar sind. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03

50 Modellfall B: Vernetzte (verteilte) Datenverwendung
EU-RL - Online Datenverkehr Modellfall B: Vernetzte (verteilte) Datenverwendung (Fortsetzung) (Fortsetzung) Wird bei einer Onlineumfrage nur eine statische Webseite zur Verfügung gestellt, die der Benutzer ausfüllen und dann absenden kann, dann kann zur Beurteilung der Datenübermittlungsvorgänge, ein klassisches Papierformular als Analogie herangezogen werden. Die Übermittlung erfolgt durch das Absenden des ausgefüllten Formulars, analog dem Versenden des Papierformulars, mit Zustimmung des Betroffenen. Wird jedoch das Onlineformular als "Inframe" einer österreichischen Web-Site präsentiert, tatsächlich aber von einem US-Server abgerufen und dorthin geschickt, dann wird man nicht mehr von einer Zustimmung im Sinne der EU-Richtlinie sprechen können. Noch schwieriger wird die Situation, wenn nicht bloß ein statisches Formular ausgefüllt wird, sondern das Formular durch ein spezielles Programm, ein Java-Skrip oder ein PlugIn präsentiert wird. Diese Programme müssen auf den Computer des Konsumenten geladen, installiert und aufgerufen werden. In diesem Fall wird plötzlich der Konsument bzw. dessen Computersystem zum Erfüllungsgehilfen ("Dienstleister") für den Betreiber des Onlineformulars. Wenn dieser Vorgang innerhalb der EU stattfindet, wird der Web-Site-Betreiber gem. §4 EU-RL dem nationalen Datenschutzrecht jenes Landes unterworfen, in dem der Konsument sitzt.. Abstrakt formuliert würden die jetztigen Regelungen dazu führen, dass bei serverbasierten Online-Anwendungen das Datenschutzrecht des "Homeland" des Servers gilt, bei clientbasierten Anwendungen des Datenschutzrecht des Standorts des Konsumenten-PC's. VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben IT-Praxis SS03