Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© ARGE DATEN 2012 ARGE DATEN Datenschutz & Datensicherheit Hans G. Zeger, ARGE DATEN ZiT, Wien, 19. April 2012.

Ähnliche Präsentationen


Präsentation zum Thema: "© ARGE DATEN 2012 ARGE DATEN Datenschutz & Datensicherheit Hans G. Zeger, ARGE DATEN ZiT, Wien, 19. April 2012."—  Präsentation transkript:

1 © ARGE DATEN 2012 ARGE DATEN Datenschutz & Datensicherheit Hans G. Zeger, ARGE DATEN ZiT, Wien, 19. April 2012

2 © ARGE DATEN 2012 Die ARGE DATEN als PRIVACY-Organisation Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: -Web-Service: Besucher/Monat -Newsletter: rund Abonnenten -2011: rund 500 Medienanfragen/-berichte Mitgliederbetreuung Datenschutzfragen -2011: ca. 600 Datenschutz-Anfragen Rechtsschutz, PRIVACY-Services -2011: in ca. 200 Fällen Mitglieder in Verfahren vertreten Zahl der betreuten Mitglieder -aktuell: ca Personen Studien- und Beratungsprojekte A-CERT - Zertifizierungsdienstleister gem. SigG ARGE DATEN

3 © ARGE DATEN 2012 ARGE DATEN Geplanter Ablauf Grundlagen DSG 2000 IT-Sicherheit vs. Datenschutz Strafbestimmungen

4 © ARGE DATEN 2012 ARGE DATEN Umsetzung der EU-Richtlinie "Datenschutz" (1995) soll Privatsphäre (Art.1 Abs. 1) und Informationsaustausch (Art.1 Abs. 2) sichern Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten." EU-RL gilt nur für "natürliche Personen" DSG 2000 auch für "juristische und sonstige Personen" damit vertritt Österreich EU-weit eine exotische Position DSG Grundlagen

5 © ARGE DATEN 2012 ARGE DATEN DSG Grundrecht Einschränkungen des Verbots ist möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen DSG 2000 § 1 (Verfassungsbestimmung) : "jede Verwendung persönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Europarechtliche Grundlage (Art. 8 RL 95/46/EG Datenschutz-Richtlinie) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens")

6 © ARGE DATEN 2012 ARGE DATEN DSG 2000 § 4 Z 1 "Daten" ("personenbezogene Daten") "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" DSG 2000 § 4 Z 3 "Betroffener" "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" Datenbegriff sehr allgemein gehalten, umfasst auch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. Betriebsdaten),... DSG Grundlagen

7 © ARGE DATEN 2012 ARGE DATEN Personenbezogene Daten Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!) personenbezogene Daten § 4 Z 1 DSG 2000sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG 2000 (kein EU-Begriff) sensible Daten § 4 Z 2 DSG 2000 DSG Grundlagen

8 © ARGE DATEN 2012 ARGE DATEN DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung) DSG 2000 § 4 Z 5 "Dienstleister" natürliche oder juristische Personen,......, wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung) DSG Grundlagen

9 © ARGE DATEN 2012 ARGE DATEN DSG Grundlagen DSG 2000 § 4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem [personenbezogenen, Anm.] Suchkriterium zugänglich sind" DSG 2000 § 4 Z 7,,Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)" DSG 2000 § 4 Z 8 " Verwenden von Daten" "jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten"

10 © ARGE DATEN 2012 Verwenden von Daten Z 8 ÜbermittelnVerarbeiten Z 9 Z 12 Daten- anwendung Z 7 Auftraggeber Z 4 Dienstleister Z 5 Auftrag Überlassen Z 11 Ermitteln, Auswerten, Sortieren, Speichern, Analysieren, Korrigieren, Ausdrucken, Anzeigen,... DSG Grundlagen Die wichtigsten Begriffe (§ 4 DSG Z...) ARGE DATEN

11 © ARGE DATEN 2012 ARGE DATEN DSG Grundlagen Grundsätze der Verwendung von Daten (§ 6ff) Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1) Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2) Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2) Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3) Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4) /010-DSK/2001 ("gelindester Eingriff") Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren

12 © ARGE DATEN 2012 ARGE DATEN Grundlage einer rechtmäßigen Datenverwendung Dreistufiges Konzept Es muss eine Rechtsgrundlage für die Datenanwendung geben und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (§ 6, § 7 Abs.1) Es muss eine Rechtsgrundlage für die Verwendung der konkreten Daten eines Betroffenen geben (§§ 7ff) Die Datenanwendung muss den Registrierungserfordernissen entsprechen (§§ 16ff) Beispiel: Dürfen im Zuge einer Unternehmensauflösung die Kundendaten verkauft werden? DSG Grundlagen

13 © ARGE DATEN 2012 ARGE DATEN Geplanter Ablauf Grundlagen DSG 2000 IT-Sicherheit vs. Datenschutz Strafbestimmungen

14 © ARGE DATEN 2012 IT-Sicherheit Was ist IT-Sicherheit? technische Sicht: -Sicherung der Herkunft (Authentizität, Integrität) -Sicherung der Vertraulichkeit -Sicherung der Verfügbarkeit -allgemeine Betriebssicherheit (OS, Applikationen, Geräte, Netzwerk, Operating, Prozesse,...) -Katastrophenschutz Deliktschutz: betrifft alle Sicherheitsbereiche -Delikte sind nur ein Auslöser unter vielen -andere sind: etwa Fahrlässigkeiten, Unwissenheit der Mitarbeiter, Fehleinschätzungen der Geschäftsführung, ist das die einzige Sichtweise?... ARGE DATEN

15 © ARGE DATEN 2012 IT-Sicherheit Sorgen sicherheitsbewußter IT-Manager ( CapGemini 2007) Bedrohung: 1 = hoch, 6 = nicht gegeben ARGE DATEN

16 © ARGE DATEN 2012 Eurobarometerumfrage 2011 Was wird überhaupt als personenbezogene Information gesehen? (EU27 / AT / max / min) -Finanzdaten: 75% EU27 / 73% AT / 91% DK / 44% PL -Gesundheitsdaten: 74% EU27 / 75% AT / 93% IE / 46% PL -Identitätsdaten( Passnummer,...): 73% EU27 / 67% AT / 92% BG / 53% MT -Lebenslauf (beruflich): 30% EU27 / 43% AT / 50% DE / 11% BG,RO -mit wem befreundet: 30% EU27 / 40% AT / 52% DE / 7% BG -private Interessen/Hobbies: 25% EU27 / 40% AT / 46% DE / 8% CY -besuchte Webseiten: 25% EU27 / 33% AT / 44% SE / 5% RO Länder mit höchsten Datenschutzbewusstsein: Deutschland, Niederlande, Großbritannien, Österreich ARGE DATEN

17 © ARGE DATEN 2012 Eurobarometerumfrage 2011 Datensicherheit und Internet (EU27 / AT / max / min) -66% der Befragten verwenden Internet -Schutz vor Spam: 42% EU27 / 46% AT / 72% DK / 19% PT -achten auf sichere Datenübertragung: 40% EU27 / 35% AT / 57% IE / 13% BG -Löschen Cookies: 35% EU27 / 39% AT / 53% LU,NL / 10% RO -suchen eigene Daten mittels Suchmaschinen: 14% EU27 / 15% AT / 24% EE / 8% RO -verwenden "dummy" Mailaccount: 12% EU27 / 25% AT / 25% AT / 6% MT -keine Sicherheitsaktivitäten: 15% EU27 / 12% AT / 7% DK,NL / 34% LT Länder mit höchsten Datenschutzbewusstsein: Deutschland, Niederlande, Schweden, Österreich ARGE DATEN

18 © ARGE DATEN 2012 IT-Sicherheit Verhältnis von Datensicherheit (IT-Sicherheit) und Datenschutz (Privacy) IT-Sicherheit behandelt vorrangig technische Fragen Was ist machbar? Was ist möglich? Im Zentrum stehen Abwehrszenarien Datenschutz behandelt vorrangig (grund)rechtliche Fragen Was ist erwünscht? Im Zentrum stehen Gestaltungsszenarien Sicherheitsmaßnahmen ohne direkte Datenschutzrelevanz: Katastrophenschutz, wie Blitz-, Feuer-, Erdbebenschutz Datenschutz Zugriffsschutz, Protokollierung, Rechteverwaltung, Ausspähen von Daten, Datenbeschädigung, Passwörter IT-Sicherheit Grundrechtliche Fragen ohne direkten IT-Bezug: Zweckbindung, Melde- und Offenlegungspflichten, Beobachtungsschutz, infomationelle Selbstbestimmung ARGE DATEN

19 © ARGE DATEN 2012 DSG Sicherheitsbestimmungen Sicherheitsbestimmungen (§ 14) Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden: Stand der Technik entsprechend wirtschaftlich vertretbar angemessenes Schutzniveau muss erreicht werden In Österreich gibt es seit 2003 ein "offizielles" IT-Sicherheitshandbuch, das 2007 in Version 2.3 vom Ministerrat empfohlen wurde 11/2010 wurde Version 3.1 vorgestellt es gibt jedoch keine Verpflichtung das Handbuch anzuwenden ARGE DATEN

20 © ARGE DATEN 2012 DSG Sicherheitsbestimmungen rechtlich-organisatorische Sicherheitsmaßnahmen -ausdrückliche Aufgabenverteilung - ausschließlich auftragsgemäße Datenverwendung - Belehrungspflicht der Mitarbeiter - Regelung der Zugriffs- und Zutrittsberechtigungen - Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten - Dokumentationspflicht zur Kontrolle und Beweissicherung - Protokollierungspflicht Insgesamt können die Maßnahmen als Verpflichtung zu einer Security-Policy verstanden werden! z.B. gemäß BSI M Erstellung einer IT-Sicherheitsleitlinie oder ISO Informationssicherheitsleitlinie ARGE DATEN

21 © ARGE DATEN 2012 Protokollierungsanforderungen I (§ 14) Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z7) Protokollierungspflicht nicht registrierter Übermittlungen (Abs. 3) betrifft auch Abfragen müssen "im Hinblick auf die Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können" betrifft nur auskunftspflichtige Datenanwendungen Übermittlungen gemäß Standard- oder Musterverordnung sind nicht zu protokollieren DSG Sicherheitsbestimmungen ARGE DATEN

22 © ARGE DATEN 2012 Protokollierungsanforderungen II (§ 14) -Protokolldaten dürfen nur eingeschränkt verwendet werden (zur Kontrolle der Zulässigkeit der Verwendung) -unzulässig wäre die Kontrolle der Betroffenen oder der Mitarbeiter (z.B. durch Auswertung von Internet-Zugriffen!!) -zulässig ist die Verwendung zur Aufklärung von Straftaten, die mit mehr als fünfjähriger Freiheitsstrafe bedroht sind -Aufbewahrungsdauer ist drei Jahre, sofern gesetzliche Bestimmungen nichts anderes vorsehen -Frühere Löschung zulässig, wenn betroffener Datenbestand ebenfalls gelöscht ist DSG Sicherheitsbestimmungen ARGE DATEN

23 © ARGE DATEN 2012 DSG Verschwiegenheitsverpflichtung Verpflichtung zum Datengeheimnis (§ 15) Mitarbeiter sind - sofern nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden. Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln. Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren. Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung kein Nachteil erwachsen. Bereitstellungspflicht der Datensicherheitsmaßnahmen (§ 14 Abs. 6) ARGE DATEN

24 © ARGE DATEN 2012 ARGE DATEN Haftung bei fehlenden Datensicherheitsmaßnahmen OGH Entscheidung (9 Ob A 182/90) Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden. Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren. Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen". Die Festlegung eines Sicherheitskonzepts ist Kernaufgabe einer Geschäftsführung! Sicherheitsmaßnahmen - Haftung

25 © ARGE DATEN 2012 spezifische Sicherheitsbestimmungen Bestehende Sicherheitsanforderungen in Ö -Verschlüsselung bei Webapplikationen / in der Datenübertragung Grundlage: ePrivacy-RL 2002/58/EG -Besondere Sicherheitsmaßnahmen bei Gesundheitsdaten Grundlage: GTelG + GTelVO -Sicherheit in der elektronischen Rechnungslegung Grundlage: EG-RL 2001/115/EG, BMF-Verordnung BGBl 583/2003 -Sicherheitsbestimmungen + Genehmigungsverfahren bei Digitaler Signatur Grundlage: EG-RL 1999/93/EG, SigG, SigV -Einsatz der Bürgerkarte in Behördenverfahren Grundlage: E-GovG ARGE DATEN

26 © ARGE DATEN 2012 spezifische Sicherheitsbestimmungen Bestehende Sicherheitsanforderungen in Ö II -Medikamentenabrechnung der Apotheken, Videoüberwachung - Verschlüsselung Grundlage: StMV 2004 des Bundeskanzleramtes -Webapplikationen der Behörden Grundlage: Portalverbundprotokoll pvp 1.8.9, eine privatrechtliche Vereinbarung -Bankomatkassen Grundlage: privatrechtliche Vorgaben des Betreibers -e-card/GINA-Box + Peering-Point der Ärzte Grundlage: privatrechtliche Vereinbarungen ARGE DATEN

27 © ARGE DATEN 2012 ARGE DATEN Geplanter Ablauf Grundlagen DSG 2000 IT-Sicherheit vs. Datenschutz Strafbestimmungen

28 © ARGE DATEN 2012 ARGE DATEN Schadenersatz (§ 33) schuldhaftes Verhalten notwendig bei Verletzung von Bestimmungen des DSG 2000 ist tatsächlich erlittener materieller Schaden zu ersetzen bei Verletzungen der Geheimhaltung, die geeignet sind den Betroffenen bloßzustellen, gebührt Entschädigung Entschädigungsanspruch ist nicht beziffert, aber vergleichbar dem Mediengesetz geregelt [MedienG § 7: bis Euro] bei Veröffentlichungen in einem Medium gilt Mediengesetz Entschädigungsanspruch ist gegenüber dem Auftraggeber geltend zu machen DSG Kontroll- & Strafbestimmungen

29 © ARGE DATEN 2012 ARGE DATEN Gewinn- oder Schädigungsabsicht (DSG 2000 § 51) -Klarstellung der Deliktvoraussetzungen: Vorsatz der Bereicherung von sich oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer Delikt begeht, wer... -widerrechtlich ihm zugängliche Daten benutzt oder -Daten widerrechtlich beschafft oder -anderen widerrechtlich zugänglich macht oder -widerrechtlich öffentlich macht Strafausmaß: bis ein Jahr Delikt wird zum Offizialdelikt [bis : Privatanklagedelikt] Strafbestimmung gilt subsidiär DSG Strafbestimmungen

30 © ARGE DATEN 2012 ARGE DATEN Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln] -widerrechtliches Verschaffen eines Zugangs zu einer DA -widerrechtliches Weiterbenutzen eines Zugangs zu einer DA -Übermittlung unter Verletzung des Datengeheimnisses -Weiterverwendung von Daten entgegen eines rechtskräftigen Urteils/Bescheids -widerrechtliches Löschen von Daten (§ 26 Abs. 7) Strafrahmen: bis ,- Euro [bis : ,-] zuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSK Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk) Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten! DSG Strafbestimmungen

31 © ARGE DATEN 2012 ARGE DATEN Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 1. nicht Erfüllen Meldepflicht gemäß den §§ 17 oder 50c oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt 2. Daten ins Ausland übermittelt oder überlässt, ohne Genehmigung gemäß § 13 Abs Verstoß gegen Zusagen an oder Auflagen der DSK (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) 4. Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d verletzt 5. § 14 Sicherheitsmaßnahmen gröblich außer Acht lässt DSG Strafbestimmungen

32 © ARGE DATEN 2012 ARGE DATEN Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht. Strafrahmen: bis ,- Euro [bisher: 9.445,-] DSG Strafbestimmungen

33 © ARGE DATEN 2012 ARGE DATEN Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a) [=Gefährdung von Betroffenenrechten] neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a) Strafrahmen: bis 500,- Euro [neu] Verfallbestimmungen § 52 Abs. 4 Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden DSG Strafbestimmungen

34 © ARGE DATEN 2012 ARGE DATEN Umsetzung Sicherheitsanforderungen Konsequenzen mangelhafter IT-Sicherheit -Verwaltungsstrafe: nach DSG § 52 Abs. 2 Verwaltungsübertretung mit Strafe bis Euro -Zivilrechtliche Haftung: Unternehmen bzw. Dienstnehmer könnten für Folgeschäden haften, auch Gehilfenhaftung -UWG-Verfahren: Mitbewerber könnten fehlende Sicherheitsmaßnahmen als Versuch eines unlauteren Wettbewerbsvorteils einklagen -immaterieller Schadenersatz: bei prangerartigen oder bloßstellenden Folgen § 33 DSG, § 1328a ABGB, Medienrecht -Strafrecht: bei vorsätzlichen Handlungen (es genügt Schaden wird bewusst in Kauf genommen), z.B. § 51 DSG 2000, §§ 302/310 StGB, §§ 119/a StGB -Imageschaden: Vertrauensverlust von Kunden und Öffentlichkeit

35 © ARGE DATEN 2012 ARGE DATEN Ich danke für Ihre Aufmerksamkeit

36 © ARGE DATEN 2012 ARGE DATEN Onlineinformation


Herunterladen ppt "© ARGE DATEN 2012 ARGE DATEN Datenschutz & Datensicherheit Hans G. Zeger, ARGE DATEN ZiT, Wien, 19. April 2012."

Ähnliche Präsentationen


Google-Anzeigen