Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© E-Commerce 2014 Expertentreff Datenschutz ARGE DATEN Wien, Austria Trend Parkhotel Schönbrunn, 26. November 2014 ARGE DATEN.

Ähnliche Präsentationen


Präsentation zum Thema: "© E-Commerce 2014 Expertentreff Datenschutz ARGE DATEN Wien, Austria Trend Parkhotel Schönbrunn, 26. November 2014 ARGE DATEN."—  Präsentation transkript:

1 © E-Commerce 2014 Expertentreff Datenschutz ARGE DATEN Wien, Austria Trend Parkhotel Schönbrunn, 26. November 2014 ARGE DATEN

2 © E-Commerce 2014 Teil I - Datenschutzfragen und Lösungen aus der Praxis Teil III - Open Space Teil II - Erfahrungen aus der Beratungspraxis der ARGE DATEN Geplanter Tagesablauf ARGE DATEN

3 © E-Commerce 2014 Datenverarbeitungsregister (DVR)-Online Wien, Hotel Schönbrunn, 26. November 2014 ARGE DATEN

4 © E-Commerce 2014 ARGE DATEN Zweck des DVR Information der Betroffenen (§ 16 DSG 2000 – Art. 18 DatenschutzRL) Information spielt eine zentrale Rolle im Datenschutzrecht – Betroffene haben das Recht zu wissen was mit ihren Daten geschieht! Grundsätzliche Meldepflicht für sämtliche Datenanwendungen (§ 17 DSG 2000) Ausnahmen bei: - veröffentlichten Daten / öffentlich einsehbaren Registern - indirekt personenbezogenen Daten - persönlichen, familiären oder publizistischen Zwecken - Standardanwendungen (Standard- und Muster-Verordnung) DVR – Wozu? und Warum?

5 © E-Commerce 2014 ARGE DATEN DVR-Online - Zugang https://www.usp.gv.at/ Unternehmen / Vereine https://dvr.dsb.gv.at/ DVR-Online Direkteinstieg https://www.help.gv.at/ Bürger Behörden government.gv.at/ Zugang zum DVR-Online

6 © E-Commerce 2014 ARGE DATEN https://www.usp.gv.at/ Unternehmen / Vereine https://dvr.dsb.gv.at/ DVR-Online Steuerpflichtige https://finanzonline.bmf.gv.at Über FinanzOnline ist ein DVR-Online Zugang mittels Benutzername und Passwort möglich. Zugang zu DVR-Online mittels FinanzOnline DVR-Online - Zugang

7 © E-Commerce 2014 ARGE DATEN DVR-Online - Vertretungen DVR-Online Vollmachten Unternehmen & Vereine - Nur im Firmenbuch bzw. im Vereinsregister eingetragene Personen erhalten unmittelbar Zugang zu DVR-Online! - Diese können über das Unternehmensserviceportal bzw. das Stammzahlenregister (http://stammzahlenregister.gv.at) weitere Personen bevollmächtigen. Berufsmäßige Parteienvertreter - Mittels elektronischem Berufsausweis ist die Vertretung jeder natürlichen oder juristischen Person möglich. Natürliche Personen -Können im Stammzahlenregister Vertreter bevollmächtigen.

8 © E-Commerce 2014 Anonymisierung von Daten Vermeidung datenschutzrechtlicher Fallen Hans G. Zeger, ARGE DATEN Wien, Hotel Schönbrunn, 26. November 2014 ARGE DATEN

9 © E-Commerce 2014 ARGE DATEN Typische Fragestellungen zur Datenverwendung -Es ist eine Urlaubsstatistik zu erstellen, bei der je Abteilung dargestellt wird in welchen Monaten wieviel Urlaub verbraucht wurde -Es ist eine Urlaubsstatistik zu erstellen, bei der der Urlaubsverbrauch jedes Mitarbeiters in den letzten 10 Jahren dargestellt wird -Es ist eine Statistik bezüglich der Qualifikationen aller Führungskräfte im Konzern anzufertigen, gegliedert je Tochter / Abteilung / Kostenstelle -Es ist eine Statistik bezüglich des Einkommens aller Führungskräfte im Konzern anzufertigen, gegliedert je Tochter / Abteilung / Kostenstelle -Es ist eine Unfall-/Krankenstatistik gegliedert nach Branchen/Unternehmen anzulegen -Es werden alle Befunddaten von Patienten für eine Langzeitstudie, gespeichert, aber nicht der Name des Patienten Anonymisierung von Daten

10 © E-Commerce 2014 ARGE DATEN Typische Fragestellungen zur Datenverwendung II -Ein Konzern erstellt ein zentrales Mitarbeiterverzeichnis mit Gehalts-, Leistungs- und Organisationsdaten, das jedoch keinen Namen, sondern die Zugangskennung zum IT-System als Schlüssel verwendet Welche datenschutzrechtliche Konsequenzen ergeben sich aus diesen Fragen? Anonymisierung von Daten

11 © E-Commerce 2014 ARGE DATEN Datenschutzrechtliche Einordnung -das DSG 2000 regelt nur die Verwendung personenbezogener Daten von Betroffenen durch Auftraggeber -unter Geheimhaltung fallen alle personenbezogene Daten unabhängig von ihrer Verarbeitungsform (§ 1 DSG 2000) -werden Daten automatisiert oder manuell in Form einer Datei ("strukturiert") verwendet, muss die Verwendung einem eindeutigen Zweck folgen (§ 6 DSG 2000) -werden Daten zur Erreichung eines bestimmten Zweckes verwendet sind zusätzlich Melde- und Genehmigungsbestimmungen zu beachten (u.a. §§ 12f, §§ 16ff DSG 2000) -Verwendung umfasst jede Handhabung personenbezogener Daten, auch deren Ermittlung (und sei es nur zum Zweck der Anonymisierung, § 4 DSG Z ) -Daten sind dann personenbezogen, wenn die faktische Zuordnung zu einer Person möglich ist (u.U. auch mit großem Aufwand oder auf rechtswidrige Weise, § 4 Z 1 DSG 2000) Anonymisierung von Daten

12 © E-Commerce 2014 ARGE DATEN DSG 2000 § 4 Z 1 "personenbezogene Daten" "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" DSG 2000 § 4 Z 3 "Betroffener" "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" DSG 2000 § 4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem [personenbezogenen, Anm.] Suchkriterium zugänglich sind" Anonymisierung von Daten ARGE DATEN

13 © E-Commerce 2014 ARGE DATEN DSG 2000 § 4 Z 7 "Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)" DSG 2000 § 4 Z 8 "Verwenden von Daten" "jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten" DSG 2000 § 4 Z 9 "Verarbeiten von Daten" "das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten" DSG 2000 § 4 Z 12 "Übermitteln von Daten" "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister" Anonymisierung von Daten ARGE DATEN

14 © E-Commerce 2014 ARGE DATEN Personenbezug wird beschränkt DSG 2000 § 4 Z 1 "nur indirekt personenbezogen" "... sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;"  Personenbezug erfordert rechtlich zulässige Identifikationsmittel DSG 2000 § 46 Abs. 1 "keine personenbezogenen Ergebnisse zum Ziel" "Für Zwecke wissenschaftlicher oder statistischer Untersuchungen, die keine personenbezogenen Ergebnisse zum Ziel haben, darf der Auftraggeber der Untersuchung alle Daten verwenden, die..."  Personenbezug erfordert Auswertung mit Identifikation als Ziel Anonymisierung von Daten ARGE DATEN

15 © E-Commerce 2014 Verwendung von Daten für Wissenschaft und Forschung (§ 46) -Verwendung im Sinne dieser Bestimmung liegt vor, wenn Ergebnisse nicht personenbezogen sind -effektive Anonymisierung so bald als möglich notwendig, "Pseudonymisierung/Codierung" nicht ausreichend Folgende Daten dürfen verwendet werden: -öffentlich zugängliche Daten (Abs. 1 Z 1) -Daten, die der Auftraggeber zu anderen Zwecken ermittelt hat (Abs. 1 Z 2) -indirekt personenbezogene Daten (Abs. 1 Z 3) -gemäss gesetzlicher Vorschriften (Abs. 2 Z 1) -mit Zustimmung des Betroffenen (Abs. 2 Z 2) -Weitere Verwendungsmöglichkeit mit Genehmigung der DSB (Abs. 2 Z 3) Anonymisierung von Daten ARGE DATEN

16 © E-Commerce 2014 ARGE DATEN Personenbezug wird beschränkt II DSK K /0014-DSK/2005 "Videoaufzeichnung ohne identifizierende Absicht" "... liegt eine Verwendung von „personenbezogenen Daten“ im Sinne des § 4 Z 1 DSG 2000 bei Bildaufzeichnungen nur dann vor, wenn sie in der Absicht geschieht, die darauf vorhandenen Personen zu identifizieren, wobei es genügt, wenn diese Absicht nur für bestimmte Fälle und nicht durchgängig besteht;..."  Personenbezug erfordert Ermitlung mit der Absicht der Identifikation Auch im Zusammenhang mit Baustellenkameras sieht die DSB die Interessen der Öffentlichkeit, freie Meinungsäußerung und Vorteile der Lieferanten (Wetterbeobachtung) höher als die Schutzinteressen der Betroffenen Anonymisierung von Daten ARGE DATEN

17 © E-Commerce 2014 DSK K /0021-DSK/2013 ("Firmenbezogene Krankenstandsanalyse") Ausgangslage -Sozialversicherungsanstalt analysiert die Krankenstandsverteilung von Unternehmen -Beschränkt Analyse auf Unternehmen mit mehr als 50 MA -Datenquelle sind die Krankenstandsmeldungen der Ärzte -Auswertung erfolgt nach Unternehmen, Geschlecht, Diagnosecode -Rechtsgrundlage: § 116 Abs. 4 ASVG "Erforschung von Krankheits- bzw. Unfallursachen" -anonymisierte Daten werden an "interessierte" Unternehmen weiter gegeben, Übermittlung diene der betrieblichen Gesundheitsförderung ARGE DATEN Anonymisierung von Daten

18 © E-Commerce 2014 DSK K /0021-DSK/2013 ("Firmenbezogene Krankenstandsanalyse") II Konsequenzen -"Erforschung" ist ein anderer Zweck als Abrechnung -Daten werden personenbezogen für neuen Zweck "ermittelt" -Datenanwendung grundsätzlich zulässig, aber meldepflichtig Problemstellung -Diagnosedaten sind zwar bei Sozialversicherung bekannt, nicht beim Unternehmen -DVR-Meldung von 2010 registriert zwar Auswertung ("Anonymisierung") bei Sozialversicherung, nicht aber Übermittlung an Unternehmen -auch bei 50 MA kann durch spezielle Konstellationen das Unternehmen von den statistischen Daten auf bestimmte Mitarbeiter rückschließen ARGE DATEN Anonymisierung von Daten

19 © E-Commerce 2014 DSK K /0021-DSK/2013 ("Firmenbezogene Krankenstandsanalyse") III Empfehlungen der DSK -wirksame Anonymisierung gefordert -nicht alle Kranheitsarten sind sinnvollerweise mit betrieblicher Vorsorge in Verbindung zu bringen, Auswertungen und übermittelte Diagnosearten sind daher an Betriebsart (etwa Bauwesen, Landwirtschaft,...) anzupassen -bei Bedarf sind männlich / weiblich zusammen zu fassen -Zulässigkeit ergibt sich auch aus § 46 DSG Diagnosen dürfen nur dann übermittelt werden, wenn mehr als 5 Mitarbeiter betroffen sind -beruft sich auf VfGH VfSlg /1989: generelle Veröffentlichungspflicht statistischer Erhebungen ist verfassungswidrig Konsequenz -Änderung der DVR-Meldung in den Datenarten -DVR-Meldung enthält nunmehr auch Übermittlung an Unternehmen ARGE DATEN Anonymisierung von Daten

20 © E-Commerce 2014 DVR-Meldung SV-Hauptverband /021 ("Befundblätter der Vorsorgeuntersuchung VU") Ausgangslage -Im Zuge der Vorsorgeuntersuchungen werden Befunddaten personenbezogen an den Hauptverband der Sozialversicherungen übermittelt (manuell/elektronisch) -Rechtsgrundlage sind diverse Bestimmungen des ASVG, GSVG,... + interne Richtlinien des HV -Befunddaten sind sensible Daten im Sinne des DSG VU-Daten werden zur Abrechnung und zur Evaluation der Vorsorgeuntersuchungen verwendet (zwei verschiedene Zwecke) -Bestimmungen sehen jährliche Statistiken vor, § 31 Abs. 4 Z 10 ASVG bestimmt HV als Pseudonymisierungsstelle ("Dienstleister") -eine personenbezogene Speicherung der Befunddaten lässt sich aus den ASVG-Bestimmungen (+ verwandte) nicht ableiten -Qualitätskriterien zur Anonymisierung werden nicht vorgegeben ARGE DATEN Anonymisierung von Daten

21 © E-Commerce 2014 DVR-Meldung SV-Hauptverband /021 ("Befundblätter der Vorsorgeuntersuchung VU") II Probleme -die Verrechnung erfolgt durch die zuständige SV (z.B. WGKK /013 KOSTENABRECHNUNG IM LEISTUNGSWESEN) Daten sind beim HV eigentlich am "falschen" Ort -Verrechnungsdaten werden personenbezogen an SV übermittelt -auch das Ermitteln von Befunddaten zum Zweck der Pseudonymisierung ist eine Datenanwendung iS des DSG HV sieht sich anfänglich bloß als Dienstleister der Ärzte (Durchführen der Pseudonymisierung) und der SV (Aufbereiten der Abrechnungsdaten) -HV sah daher keine Meldeverpflichtung -Meldung wurde "verspätet" 12/2005 eingebracht und 5/2006 mit Auflagen genehmigt ARGE DATEN Anonymisierung von Daten

22 © E-Commerce 2014 DVR-Meldung SV-Hauptverband /021 ("Befundblätter der Vorsorgeuntersuchung VU") III Entscheidung DSK -genehmigt Datenanwendung mit Auflagen -Befunddaten zum Zweck der Verrechnung dürfen nur maximal ein Monat nach Einlangen personenbezogen gespeichert werden -Löschung muss nach einem Monat automatisiert erfolgen -die sonstigen Daten der Vorsorgeuntersuchung dürfen nur pseudonymisiert beim HV verwendet werden (etwa für statistische Auswertungen) -es wird sichere Aufbewahrung verlangt ("vor dem Zugriff Unbefugter sicher geschützt") Konsequenzen -Verbot der personenbezogenen Verwendung der Daten macht aus den "pseudonymen" Daten für HV indirekt personenbezogene Daten -HV hat 2013 weitere Pseudonymisierungsverarbeitungen gemeldet -generell gilt: auch pseudonymisierte Datenanwendungen fallen für "Pseudonymisierer" unter die Meldebestimmungen des DSG 2000 ARGE DATEN Anonymisierung von Daten

23 © E-Commerce 2014 ARGE DATEN Antworten zu den Eingangs-Fragestellungen Anonymisierung von Daten Welche datenschutzrechtliche Konsequenzen ergeben sich aus diesen Fragen? [1]liegt personenbezogene Datenanwendung vor? [2]ist die Datenanwendung zulässig? [3]liegt meldepflichtige Datenanwendung vor? [4]liegt Erfordernis der Vorabkontrolle vor? [5] beachten der Sicherheitsmaßnahmen gemäß § 14 DSG Es ist eine Urlaubsstatistik zu erstellen, bei der je Abteilung dargestellt wird, in welchen Monaten wieviel Urlaub verbraucht wurde [1] keine personenbezogene Anwendung, wenn Abteilungen genügend groß ist (5 Mitarbeiter) [2] durch § 46 DSG 2000 privilegiert [3], [4] nicht zutreffend [5] ja beim Erzeugen der Statistik, da Basisdaten personenbezogen

24 © E-Commerce 2014 ARGE DATEN Antworten zu den Eingangs-Fragestellungen II Anonymisierung von Daten -Es ist eine Urlaubsstatistik zu erstellen, bei der der Urlaubsverbrauch jedes Mitarbeiters über die letzten 10 Jahre dargestellt wird [1] "Statistik" irreführend, ist personenbezogene Anwendung [2] muss begründet werden [3] vermutlich ja, da nicht für Personaladministration (SA002) erforderlich [4] nein, [5] ja -Es ist eine Statistik bezüglich der Qualifikationen aller Führungskräfte im Konzern anzufertigen, zusammengefasst je Tochter / Abteilung / Kostenstelle [1] ob personenbezogene Anwendung vorliegt, hängt von der Detailierung ab, in der Regel eher ja [2] muss begründet werden [3] ja, SA002 und SA033 treffen nicht zu, wer meldepflichtig ist hängt davon ab, wo Statistik erstellt wird (Tochter / Zentrale) [4] in der Regel nicht zutreffend, [5] ja

25 © E-Commerce 2014 ARGE DATEN Antworten zu den Eingangs-Fragestellungen III Anonymisierung von Daten -Es ist eine Unfall-/Krankenstatistik gegliedert nach Branchen/Unternehmen anzulegen  siehe DSK-Entscheidung TGKK -Es ist eine Statistik bezüglich des Einkommens aller Führungskräfte im Konzern anzufertigen, zusammengefasst je Tochter / Abteilung / Kostenstelle [1] ob personenbezogene Anwendung vorliegt, hängt von der Detailierung ab, in der Regel eher ja [2] fraglich ob begründbar [3] ja, SA002 und SA033 treffen nicht zu, wer meldepflichtig ist hängt davon ab, wo Statistik erstellt wird (Tochter / Zentrale) [4] in der Regel nicht zutreffend, [5] ja -Es werden alle Befunddaten von Patienten für eine Langzeitstudie, gespeichert, aber nicht der Name des Patienten  siehe DSK-Entscheidung Hauptverband SV

26 © E-Commerce 2014 ARGE DATEN Antworten zu den Eingangs-Fragestellungen IV Anonymisierung von Daten -Ein Konzern erstellt ein zentrales Mitarbeiterverzeichnis mit Gehalts-, Leistungs- und Organisationsdaten, das jedoch keinen Namen, sondern die Zugangskennung zum IT-System als Schlüssel verwendet [1] Zugangskennung kann als Pseudonymisierungsschlüssel angesehen werden [2] muss begründet werden, § 46 DSG 2000 ist jedoch nicht zutreffend [3] für jede Tochter prüfen ob Zweck+Daten durch SA002 abgedeckt oder darüber hinausgehend, für Konzern keine Meldepflicht, da bei geeigneter Vereinbarung "indirekt" personenbezogene Daten [4] bei Tochter in der Regel nicht zutreffend, bei Konzern nicht zutreffend [5] ja, sowohl bei Tochter und Konzern, auch indirekt personenbezogene Daten sind sicherheitstechnisch wie sonstige personenbezogene Daten zu behandeln

27 © E-Commerce 2014 Weitergabe von Kundendaten Übermittlung an Behörden und private Einrichtungen Hans G. Zeger, ARGE DATEN Wien, Hotel Schönbrunn, 26. November 2014 ARGE DATEN

28 © E-Commerce 2014 ARGE DATEN Datenschutzrechtliche Stellung von Kundendaten -Kundenbeziehungen sind im Grundsatz vertraulich, fallen daher unter die Bestimmungen des DSG interne Verwendung von Kundendaten ergibt sich aus der Art der Geschäftsbeziehung (Vertrag), dazu ist keine gesonderte Datenschutzvereinbarung erforderlich, jedoch Informationspflicht zu Auftraggeber und Zweck der Datenverwendung (§ 24 DSG 2000) -Verwendung (inkl. Übermittlung) durch/an Dritte die vertraglich erforderlich ist, ist durch § 8 Abs. 1 Z 4 DSG 2000 geregelt -Veröffentlichung von Kundendaten (auch wenn nur mit Name und Adresse) als Referenz ist ein eigener Zweck (Marketing für eigene Zwecke) und bedarf der Zustimmung des Kunden -sonstige Übermittlungen an Behörden oder Dritte bedürfen - der Zustimmung des Kunden oder - einer vertraglichen Vereinbarung oder - einer gesetzlichen Regelung oder - Daten sind "allgemein verfügbar" Weitergabe von Kundendaten

29 © E-Commerce 2014 ARGE DATEN Datenschutzrechtliche Stellung von Kundendaten II Weitergabe von Kundendaten -selbst wenn Kunde "im Telefonbuch steht", ist die Tatsache Kunde zu sein, in der Regel nicht allgemein verfügbar -auch die Weitergabe von Kundendaten an Gesellschafter ist eine Übermitlung an Dritte und bedarf einer rechtlichen Grundlage Verpflichtung des Auftraggebers bei Auskunftswünschen - Prüfung der Rechtsgrundlage -Prüfung des Anfragenden (des berechtigten Empfängers) -Prinzip der Minimalität der Auskunft -Sichere Übermittlung der Daten Werden diese Verpflichtungen verabsäumt besteht Schadenersatzanspruch durch Kunden, u.a. § 33 DSG 2000

30 © E-Commerce 2014 ARGE DATEN Weitergabe an Behörden -zahlreiche gesetzliche Bestimmungen sehen Weitergabe vor Auswahl - ZPO ("Zivilprozessordnung") - StPO ("Strafprozessordnung") - SPG ("Sicherheitspolizeigesetz") - BAO ("Bundesabgabenordnung") - ECG ("E-Commerce Gesetz") - TKG 2003 ("Telekommunikationsgesetz") - UrhG ("Urheberrechtsgesetz") Weitergabe von Kundendaten

31 © E-Commerce 2014 ARGE DATEN ZPO ("Zivilprozessordnung") -Aussageverpflichtungen in Verfahren Dritter im wesentlichen in §§ 320ff ZPO geregelt -Aussagepflicht besteht nur als Zeuge (Einvernahme bei Gericht), jedoch keine Pflicht zur Urkundenvorlage -berufliche Verschwiegenheitsrechte haben Vorrang -Geheimhaltungsbestimmungen des DSG 2000 jedoch keine Grundlage zur Aussageverweigerung -Aussageverweigerung zur Wahrung von Betriebs- oder Geschäftsgeheimnissen des Auftraggebers möglich, muss im Einzelfall begründet werden -Ladung muss genau den Einvernahmegegenstand beschreiben, Vorbereitung auf Einvernahme durch Einsicht in Kundendaten geboten und zulässig (ansonsten Neueinvernahme möglich) -Unzulässig wäre das vorbeugende Mitnehmen/Vorlegen eines Kundenakts, die vorbeugende Erhebung oder Auswertung von Kundendaten, Auskünfte über den Ladungsgegenstand hinaus Weitergabe von Kundendaten

32 © E-Commerce 2014 ARGE DATEN StPO ("Strafprozessordnung") -Anfrageberechtigt sind Staatsanwaltschaft oder Sicherheitsbehörden -unterschiedliche Ermittlungsformen (§ 151 StPO) - informelle Erkundungen (freiwillige Auskunft) - formelle Vernehmungen (verpflichtend) -in allen Fällen ist auf amtliche Stellung hinzuweisen -berufliche oder sonstige Entschlagungsrechte bleiben unberührt -im Falle der formellen Vernehmung kann eine Auskunft dann verweigert werden, wenn es zu einem Eingriff in den höchstpersönlichen Lebensbereich des Kunden kommt (§ 158 Abs 1 Z 3 StPO) -ansonsten sind auch sensible Daten zu beauskunften -im Falle informeller Erkundigungen sollte Auskunft über vertrauliche Kundendaten generell verweigert werden (zulässig wäre sie höchstens bei nichtsensiblen Daten im überwiegenden Interesse des Auftraggebers/Dritter) Weitergabe von Kundendaten

33 © E-Commerce 2014 ARGE DATEN StPO ("Strafprozessordnung") II -zulässig wäre auch die Sicherstellung von Beweisstücken, bei IT Erstellung einer Kopie (§ 110 StPO) -gegen Sicherstellung ist Einspruch möglich, jedoch ohne aufschiebende Wirkung (§ 106 StPO) -Sicherstellung bedarf Anordnung der Staatsanwaltschaft -Unterlagen müssen beweisrelevant sein oder müssen beweisrelevante Spuren enthalten -Bedeutung für die konkrete Untersuchung muss nachvollziehbar sein -umfassende Sonderreglungen für die Bekanntgabe von Internet- und Telekomdaten (§ 135 StPO) -Möglichkeit eines Datenabgleichs nach § 141 StPO -Datenabgleich bedarf gerichtliche Genehmigung und entsprechenden Beschluss (§ 142 StPO) -Datenabgleich derzeit nicht von praktischer Bedeutung Weitergabe von Kundendaten

34 © E-Commerce 2014 ARGE DATEN SPG ("Sicherheitspolizeigesetz") -Anfrageberechtigt sind Sicherheitsbehörden -unterschiedliche Ermittlungsformen - „formlose“ Auskunftsverlangen (freiwillig, § 34 SPG) - Erhebung personenbezogener Daten (verpflichtend, § 53 SPG) Verarbeitungsvoraussetzungen -Ermittlung von sachdienlichen Hinweisen im Rahmen der "ersten allgemeinen Hilfeleistungspflicht" (§§ 19, 34, 53 Abs. 1 Z 1) Beschränkungen: u.a. Auskunft kann nicht durch Ausübung von Zwangsgewalt durchgesetzt werden, Gefährdeter lehnt Hilfe ab -§ 53 listet zulässige Verarbeitungen auf, u.a. Abwehr krimineller Verbindungen iS § 16 Abs. 1 Z 2 Abwehr gefährlicher Angriffe iS § 16 Abs. 2 Zwecke der Fahnung iS § 24 Aufrechterhaltung der öffentlichen Ordnung bei einem bestimmten Ereignis Beschränkungen: Datenabgleich "Rasterfahndung" iS StPO § 141 ist unzulässig Weitergabe von Kundendaten

35 © E-Commerce 2014 SPG - Regelung Ermittlungsstellen § 53 -"Generalermächtigung": alle verfügbaren Quellen durch Einsatz geeigneter Mittel, insbesondere Zugriff auf allgemein zugängliche Daten (§ 53 Abs. 4) -Auskunftsverpflichtung von Gebietskörperschaften / Körperschaften öffentlichen Rechts (§ 53 Abs. 3) Anwendungsfall: Abwehr krimineller Verbindungen (  § 53 Abs. 1 Z 2), erweiterte Gefahrenerforschung (  § 53 Abs. 1 Z 2a) und Abwehr gefährlicher Angriffe (  § 53 Abs. 1 Z 3) Beschränkungen: Auskunftsverweigerung nur bei überwiegenden öffentlichen Interessen, Amtsverschwiegenheit allein kein Verweigerungsgrund -Auskunftsverpflichtung von Behörden des Bundes, Landes, Gemeinden im Zusammenhang mit gefährliche Umweltangriffe (§ 53 Abs. 3d) keine Auskunftsverweigerung vorgesehen Weitergabe von Kundendaten ARGE DATEN

36 © E-Commerce 2014 SPG - Regelung Ermittlungsstellen § 53 II -Verwendung von Bild- und Tondaten von öffentlichen und privaten Rechtsträgern (§ 53 Abs. 5) Anwendungsfall: schwere Gefahr der öffentlichen Sicherheit (  ??), erweiterte Gefahrenerforschung (  Abs. 1 Z 2a) und Fahndung iS § 24 (  Abs. 1 Z 5) Beschränkungen: Aufzeichnungen zu nichtöffentlichem Verhalten dürfen nicht verwendet werden, Daten müssen rechtmäßig ermittelt worden sein (dazu kann auch die Genehmigung einer Videoüberwachung durch die DSB gehören) -detaillierte Sonderregelung für Telekommunikationsdienste (Telefon & Internet) (§ 53 Abs. 3a, 3b, 3c) Weitergabe von Kundendaten ARGE DATEN

37 © E-Commerce 2014 ARGE DATEN BAO ("Bundesabgabenordnung") -Anfrageberechtigt sind Finanzbehörden -Möglichkeit des Auskunftsverlangens (§ 143 BAO) sowie der förmlichen Zeugenladung (§ 91 BAO) -auch Nachschau ist möglich (§ 144 BAO) -umfasst Angaben zur Abgabeverpflichtung (steuerrelevante Daten) -betrifft nicht nur eigene Abgabenverpflichtung, sondern auch Abgabenverpflichtung Dritter (etwa der Kunden) -Auskunftspflicht besteht auch ohne „formelle Zeugeneinvernahme“ (strenger als StPO) -Auskunft und Nachschau kann durch die Behörde gem. § 111 BAO durch Zwangsstrafen erzwungen werden -berufsmäßige Verschwiegenheitspflicht sehen die Gesetzesbestimmungen nicht vor, Verweigerungsrecht jedoch bei Gefahr der Verletzung von Geschäftsgeheimnissen des Kunden oder des Auftraggebers Weitergabe von Kundendaten

38 © E-Commerce 2014 Auskunfts- und Mitwirkungspflicht aller Diensteanbieter gegenüber Gerichten (§ 18 ECG Abs. 2) Hosting-Provider (§ 16) müssen auf Verlangen Name und Adresse eines Nutzers offen legen, gegenüber -Behörden, sofern die Kenntnis dieser Informationen eine wesentliche Voraussetzung der Wahrnehmung der der Behörde übertragenen Aufgaben bildet (es muss kein Delikt behauptet werden!) (Abs. 3) -dritten Personen, bei ein überwiegenden rechtlichen Interesse an der Feststellung der Identität eines Nutzers und eines rechtswidrigen Sachverhalts, Informationen muss wesentliche Voraussetzung für die Rechtsverfolgung sein (Abs. 4) Auskunft umfasst jedoch nur Namen und die Adresse des Nutzers, mit dem Hostingvereinbarung abgeschlossen wurde Gilt auch bei unentgeltlichen Diensten! ARGE DATEN ECG ("E-Commerce Gesetz") Weitergabe von Kundendaten

39 © E-Commerce 2014 Auskunft gegenüber Verwaltungsbehörden (§ 90 Abs. 6 TKG 2003) -Name, akademischer Grad, Wohnadresse, Teilnehmernummer, Vertragsinformationen, nicht Bonitätsdaten(!) (Stammdaten gem. § 92 Abs. 3 Z 3 lit. a bis e) -Voraussetzung: Verdacht einer Verwaltungsübertretung mittels öffentlichem Telekommunikationsnetz begangen -schriftlich, begründet und nur insoweit ohne Auswertung von Verkehrsdaten möglich ARGE DATEN Weitergabe von Kundendaten TKG 2003 ("Telekommunikationsgesetz")

40 © E-Commerce 2014 Auskunft an Notrufträger (§ 98 TKG 2003) -Name, akademischer Grad, Wohnadresse, Teilnehmernummer (Stammdaten gem. § 92 Abs. 3 Z 3 lit. a bis d) + Standortdaten (gem. § 92 Abs. 3 Z 6) -Standortdaten sind schon bei Rufaufbau bekannt zu geben -wenn aktuelle Standortdaten nicht feststellbar, dann auch Auskunft über letzte bekannte Cell-ID -Auskunftserfordernis ist durch Notrufträger zu dokumentieren und unverzüglich, spätestens innerhalb von 24 Stunden dem Betreiber vorzulegen ARGE DATEN Weitergabe von Kundendaten TKG 2003 ("Telekommunikationsgesetz") II

41 © E-Commerce 2014 Auskunftspflicht eines Vermittlers gemäß § 87b UrhG Abs. 3 Wer in seinem Urheberrecht verletzt wurde, kann vom „Vermittler“ Auskunft zur Identität des Verletzers verlangen Unklar ob "Access-Provider" Vermittler ist, insbesondere in Hinblick auf den Ausschluss der Verantwortlichkeit nach ECG für die Durchleitung von Informationen (§13 ECG) Strittig, ob Kopierindustrie/Verwertungsgesellschaften überhaupt IP- Adressen sammeln dürfen (Interessenabwägung nach Datenschutzrecht) 2 Fragen des OGH an EuGH ( Antwort EuGH LSG/Tele2, C-557/07, ): -Ist mit „Vermittler“ auch ein reiner Access-Provider gemeint? -Wenn ja: Ist Auskunft an private Dritte zulässig oder steht dem die EU-Datenschutzrichtlinie entgegen? JA JA | NEIN | gesetzliche Regelung zulässig ARGE DATEN Weitergabe von Kundendaten

42 © E-Commerce 2014 ARGE DATEN Weitergabe an sonstige Dritte -Weitergabe an Dritte ohne "öffentliches Interesse" wird in der Regel unzulässig sein, wenige Ausnahmen im ECG und UrhG (siehe oben) -keine Auskunftsverpflichtungen gegenüber Anwälte, Inkassobüros, Wirtschaftsauskunftsdienste,... -im Gegenteil! Auskünfte an diese Einrichtungen können zu Datenschutzverletzung + Schadenersatzpflicht führen -aber! Verurteilungen die auf Grund eines rechtswidrigen Verhaltens des Kunden und auf Basis von rechtswidriger Auskünfte des Auftraggebers erfolgen, führen zu keinem Schadenersatzanspruch! -zulässige Sonderfälle für Übermittlung möglich - Übermittlung von Kundendaten zu Zwecken der Forschung oder von Erhebungen im öffentlichen Interesse (§§ 46, 47 DSG 2000, Genehmigung der DSB erforderlich, Übermittlung freiwillig) -Übermittlung pseudonymisierter Daten (sind für Empfänger indirekt personenbezogene Daten, Übermittlung freiwillig) Weitergabe von Kundendaten

43 © E-Commerce 2014 ARGE DATEN Weitergabe an Vertreter des Kunden -Weitergabe an Vertreter des Kunden ist nicht als Übermittlung zu klassifizieren -Umfang ident den Auskunftsansprüchen des Kunden -rechtlich einfach, jedoch ist beim Nachweis der Vertretereigenschaft ausreichende Sorgfalt anzuwenden -Berufung auf Vertretung reicht nicht, auch nicht bei Rechtsanwälten oder Notaren, schriftliche Dokumentation der Vertretungseigenschaft empfohlen -Vorbeugende Auskunftsregeln schaffen, etwa: - nur schriftliche Auskünfte - Auskunft in Form von Rückmeldung nur an intern dokumentierte Kontatadressen (Post, Telefon, Fax, ,...) - Verwendung von vertraulichen Kennungen als Nachweis des Auskunftsanspruchs Weitergabe von Kundendaten

44 © E-Commerce 2014 ARGE DATEN Empfehlungen an Mitarbeiter -Grundsätzlich kann jeder Mitarbeiter (nicht nur Support, Hotline,...) von einem Auskunftswunsch "überrascht" werden -Sensibilisierung von besonderen Mitarbeitergruppen, wie Telefonzentrale, Verkauf, Posteingangsstellen,... wichtig -Sensibilisierung, dass auch "einfache" Anfragen zu einer Datenschutzverletzung führen können ("Ist XY Kunde bei Ihnen?") -Klare Zuständigkeiten schaffen und laufend kommunizieren -für Standardfälle einfache Regeln schaffen, nicht "alles" auf Rechtsabteilungen oder Geschäftsführungen delegieren -Mitarbeiter trainieren Auskunftswünsche strukturiert zu erfassen, WWWW-PRINZIP: Wer möchte Welche Daten über Welche Person Warum wissen? -Nur tatsächlich angefragtes (sofern berechtigt) beauskunften -Auskunft nur über sichere Übertragungswege -Jeden Auskunftswunsch (auch unberechtigte) dokumentieren Weitergabe von Kundendaten

45 © E-Commerce 2014 ARGE DATEN Empfehlungen an Auftraggeber -haben das Minimalitätsgebot nach § 6 DSG 2000 bei der Verwendung von Kundendaten zu beachten -"überflüssige" Kundendaten sind nach § 27 DSG 2000 zu löschen -Auskunftsverpflichtungen (StPO, SPG, BAO) beziehen sich auf die vorhandene Daten, unabhängig davon ob sie rechtmäßig (iS DSG 2000) verwendet werden -"Rechtswidrigkeit" der Daten für sich genommen, begründet noch keinen Verweigerungsgrund, sind jedoch Daten nicht vorhanden, können sie nicht beauskunftet werden -sich auf Auskunftswünsche vorbereiten, teilweise zeitkritisch -sich um sichere Übertragungswege kümmern Weitergabe von Kundendaten

46 © E-Commerce 2014 DSK-Entscheidung zur IP-Adresse (Empfehlung K /0005-DSK/ ) Ausgangslage Tauschbörsenbenutzer konnten ausgeforscht werden, da der ISP die Identität der Internetbenutzer an Hand der zu einem bestimmten Zeitpunkt genutzten IP-Adresse offen legte. Benutzer beschwerte sich, da diese Information gar nicht aufgezeichnet werden dürfte DSK-Empfehlung -IP-Adresse sind gem. TKG Teil der Verkehrsdaten (dynamische ausschließlich, statische sowohl Verkehrsdaten, als auch Stammdaten) -bei Vorliegen einer Flatrate-Vereinbarung sind diese Daten nicht für die Abrechnung erforderlich und dürfen daher nicht aufgezeichnet werden -die Weitergabe nicht rechtmäßig verarbeiteter Daten ist unzulässig ARGE DATEN Weitergabe von Kundendaten

47 © E-Commerce 2014 Aufbewahrungsdauer bei FlatRate-Daten Stellungnahme Art. 29-Gruppe WP werden Verkehrsdaten nicht zur Abrechnung genutzt, dann dürfen sie nicht gespeichert werden -auch bei Abrechnung dürfen nur die notwendigen Daten gespeichert werden (bis Begleichung der Rechnung und/oder Beilegung von Streitfällen) -einzelne Gebühreneinsprüche rechtfertigen nicht die Speicherung der Daten aller Teilnehmer -für steuerliche Zwecke dürfen nur kumulierte Rechnungsdaten aufbewahrt werden, nicht die Verkehrsdaten einzelner Teilnehmer Maßnahmen zur Harmonisierung des "begrenzten Zeitraums" notwendig ARGE DATEN Weitergabe von Kundendaten

48 © E-Commerce 2014 Software und Datenschutz datenschutzrechtliche Verpflichtung bei Softwareprodukten Hans G. Zeger, ARGE DATEN Wien, Hotel Schönbrunn, 26. November 2014 ARGE DATEN

49 © E-Commerce 2014 ARGE DATEN Software und Datenschutz Was ist Software im Lichte des Datenschutzes? -DSG 2000 ist technikneutral formuliert, umfasst sowohl automatisierte Datenverarbeitung, als auch manuelle Dateien -Software wird im DSG 2000 nicht ausdrücklich erwähnt, entscheidend für eine zulässige Datenverarbeitung ist das Bestehen eines berechtigten Zweckes Fragen -Darf Software eingesetzt werden die offensichtlich datenschutzwidrige Datenfelder enthält / Auswertungen erlaubt? Beispiele: HR-Software mit Feldern zu detaillierten Gesundheitsangaben der Mitarbeiter, Spähsoftware mit Key- Loggerfunktion,... -Wer ist für eine rechtskonforme Funktionalität verantwortlich?

50 © E-Commerce 2014 ARGE DATEN Software und Datenschutz Voraussetzungen zum Software-Einsatz -Software muss "sicher" sein, d.h. sie muss geeignet sein die Bestimmungen des § 14 DSG 2000 zu erfüllen: - Protokollierungsmöglichkeit - Zugriffsschutz - Aufgabentrennung -Sichehreits-Maßnahmen müssen nicht zwangsläufig technisch realisiert werden -es kann weiterreichende zusätzliche einzelgesetzliche Bestimmungen geben, etwa: Verschlüsselungsverpflichtung bei Videoaufzeichnung (SA032), verschlüsselte Datenübertragung bei Gesundheitsdaten durch GDA (GTelG), Auflagen der DSB,... -Software, denen diese Funktionalität fehlt, darf nicht verwendet werden -Software darf nicht StGB-Bestimmungen widersprechen: Missbrauch von Computerprogrammen oder Zugangsdaten (§ 126c StGB) ‏  Cracker-Tools

51 © E-Commerce 2014 ARGE DATEN Software und Datenschutz DS-Empfehlungen zu Software -für Funktionalität ist immer Auftraggeber verantwortlich, ebenso für die Erfüllung der Sicherheitsmaßnahmen -Software, die nicht DSG-konform verwendet werden kann, darf nicht eingesetzt werden -Software, die sowohl DSG-konform, als auch Nicht-DSG-konform verwendet werden kann, ist so einzusetzen, dass die nicht konformen Teile deaktiviert sind (kann technisch oder organisatorisch erfolgen) -im Zusammenhang mit Betriebsvereinbarungen ist immer die tatsächlich technisch installierte Software zu betrachten, nicht die theoretisch mögliche Funktionalität (OGH 8ObA97/03b)

52 © E-Commerce 2014 ARGE DATEN Software und Datenschutz Konsequenzen für Software-Anbieter -es kann eine Entscheidungshilfe darstellen, wenn der Anbieter Informationen zu Meldepflichten und Einsatzbedingungen gibt, verpflichtet ist er dazu nicht -es ist irreführend damit zu werben, eine Software an sich sei "datenschutzkonform" -eine Datensschutzprüfung ("Gütesiegel", "Audit") von Software ist möglich und sinnvoll, muss aber immer die konkrete Einsatzsituation inklusive der zulässigen Zwecke beschreiben -derzeit gibt es (noch) keine verbindlichen Datenschutz- Auditverfahren für Software

53 © E-Commerce 2014 Verwendung persönlicher Merkmale Darf der Arbeitgeber den Einsatz persönlicher Merkmale verlangen? Hans G. Zeger, ARGE DATEN Wien, Hotel Schönbrunn, 26. November 2014 ARGE DATEN

54 © E-Commerce 2014 ARGE DATEN Verwendung persönlicher Merkmale Was sind persönliche Merkmale? -jedenfalls biometrische Daten, wie Fingerabdruck, Iris, Handvenen, DNA, persönliche Unterschrift,... -sonstige Angaben, die zu ausschließlich privaten Zwecken zugeordnet werden, etwa Zugangskennung zum privaten Bankkonto, privater Finanz-Online-Zugang,... -sonstige Hilfsmittel, die zur privaten Verwendung vorgesehen sind: Bürgerkarte auf E-Card, private Bankomatkarte,... -alle diese Merkmale fallen unter DSG 2000 und können (etwa bei DNA oder Iris-Daten) sogar sensible Daten umfassen Problemstellung -in der betrieblichen Praxis kann es erforderlich sein, persönliche Merkmale zur Steuerung von (IT-)Systemen zu verwenden -Beispiele: Zutritt zu Bio-Labors mittels Iris-Scan, Venenscan bei Piloten, Anmeldung mit Bürgerkarte bei USP, DVR-Online,... -Kann ein Mitarbeiter verpflichtet werden persönliche Merkmale aus betriebsinternen Gründen bereit zu stellen?

55 © E-Commerce 2014 ARGE DATEN Verwendung persönlicher Merkmale Verwendung nicht grundsätzlich ausgeschlossen -manche Verwendungen durch Gesetzgeber privilegiert bzw. sogar vorausgesetzt: etwa die eigenhändige Unterschrift unter den Arbeitsvertrag -in sonstigen Fällen ist nach Erforderlichkeit, Verhältnismäßigkeit und Zumutbarkeit vorzugehen -Entscheidung OGH 9 ObA 109/06d ("Fingerabdruck zur Zeiterfassung") setzt sich ausführlich mit dieser Abschätzung auseinander -Entscheidung erwähnt ausdrücklich die Zulässigkeit des "Fingerabdrucks" im Zusammenhang mit Hochsicherheitsbereichen -Entscheidung lehnt "Fingerabdruck" bei Zeiterfassung ab, weil nicht erforderlich und gleichwertige Alternativen existieren

56 © E-Commerce 2014 ARGE DATEN Verwendung persönlicher Merkmale Konsequenz -es kann vom Mitarbeiter nicht durchsetzbar verlangt werden, seine persönliche "Bürgerkarte" oder seinen persönlichen Finanz-Online- Zugang für betriebliche Zwecke zu nutzen, es gibt dazu für die Unternehmen Alternativen -möglich ist jedoch eine freiwillige Zustimmung iS § 4 Z 14 DSG 2000 oder eine arbeitsvertragliche Vereinbarung -in Betrieben mit Betriebsrat/Personalvertretung wird zusätzlich eine BV zum Umfang der Datenverwendung erforderlich sein -Mehrkosten wegen der Beschaffung von zusätzlichen Berechtigungen (etwa Firmen-Bürgerkarten) sind kein Argument um den Einsatz persönlicher Merkmale zu erzwingen Ergebnis -der Einsatz persönlicher Merkmale sollte auf wenige tatsächliche Hochsicherheitsbereiche beschränkt werden -betriebliche Abläufe ausschließlich an persönliche Merkmale bestimmter Mitarbeiter zu binden kann zu Problemen führen

57 © E-Commerce 2014 ARGE DATEN Verwendung persönlicher Merkmale Fallbeispiel: Fingerprint von Kunden Sachverhalt -Ein Unternehmen (Glücksspiel) möchte Kunden mittels Fingerprint (statt Magnetkarte) identifizieren. Analyse -grundsätzlich zulässig (Vertragsfreiheit), Fingerabdruck ist zwar invasiver Eingriff, aber wohl noch zulässig -Glücksspielgesetz (GSpG) gibt strenge Identifikationsauflagen vor (inkl. Sperrmöglichkeit von Spielern) -Unternehmen ist gemäß GSpG verpflichtet sicherzustellen, dass Identifikation nicht missbraucht oder umgangen wird -Fingerprintscan zulässig, es ist jedoch zu bedenken, dass Fingerprints relativ unzuverlässig sind (FAR und FRR beachten) -Scan muss so gestaltet werden, dass Daten nicht für andere Zwecke genutzt werden können -beste Lösung zur Sicherung der Privatsphäre und den Sicherheitsvorgaben des GSpG ist Kombination mit Karte

58 © E-Commerce 2014 Expertentreff - Open Space Hans G. Zeger, ARGE DATEN Wien, Hotel Schönbrunn, 26. November 2014 ARGE DATEN

59 © E-Commerce 2014 Shared Services Archivierung, Akten-/Datenvernichtung Big Data Analysen Zusendung vom Seniorenbund Themen Open Space ARGE DATEN

60 © E-Commerce 2014 Was ist Shared-Service? -technisch/organisatorisch: Nutzung fremder Infrastruktur -im Lichte des DSG 2000: nur relevant, wenn Daten Dritter ("Betroffener") verarbeitet werden, Dienstleistung im Sinne DSG 2000 §§10,11 mit Verpflichtung Sicherheitsmaßnahmen einzuhalten Shared-Service ARGE DATEN

61 © E-Commerce 2014 ARGE DATEN Meldepflichten bei Shared-Service Ausgangslage -Unternehmen möchte einzelne Datenverarbeitungsschritte (Archivierung, HR, Auftragsabwicklung,...) in einem Shared-Service auslagern -Mehrere österreichische Unternehmen verwenden dieselbe Infrastruktur -Mehrere österreichische Unternehmen nutzen dieselben Daten Fragestellungen -Welche Meldepflichten ergeben sich? -Ist eine Betriebsvereinbarung abzuschließen? -Welche "Erleichterungen" ergeben sich für die österreichischen Unternehmen? Shared-Service

62 © E-Commerce 2014 ARGE DATEN Meldepflichten bei Shared-Service II Konsequenzen internationaler Datenverkehr -garantiert das Shared-Service die Verarbeitung der Daten ausschließlich innerhalb der EU, dann ergeben sich keine Meldepflichten -bietet das Shared-Service seine Dienste weltweit gemäß EU- Standardvertragsklauseln an, dann ist der Einsatz (internationaler Datenverkehr) bei der DSB genehmigungspflichtig - ist der Vertrag von der Liste der Verarbeiter unterfertigt, ist die Genehmigung kein Problem -kann das Shared-Service keine verbindlichen vertraglichen Zusagen machen, wo er die personenbezogenen Daten tatsächlich verarbeitet, wird die DSB keine Genehmigung erteilen Shared-Service

63 © E-Commerce 2014 ARGE DATEN Meldepflichten bei Shared-Service III Konsequenzen gemeinsame Infrastruktur -verwenden mehrere Konzernunternehmen zwar dieselbe IT- Plattform, jedes Unternehmen kann aber nur auf die eigenen Daten zugreifen, ergeben sich keine weiteren Genehmigungsverpflichtungen -verwenden mehrere österreichische Konzernunternehmen dieselben Daten (z.B. Mitarbeiterdaten, Bewerberdaten), dann liegt ein Informationsverbundsystem vor: werden mehr Daten als in der Standardanwendung SA 033 verarbeitet ist der Betreiber (Shared-Service) der DSB zu melden die Datenanwendung selbst (inkl. Übermittlung an Konzernunternehmen) ist von jedem österreichischen Unternehmen als Informationsverbundsystem genehmigen zu lassen -verwenden ein österreichisches und mehrere ausländische Konzernunternehmen dieselben Daten, dann liegt kein Informationsverbundsystem vor, es ist nur die Übermittlung der Daten an Drittunternehmen bei der DSB (DVR) zu melden Shared-Service

64 © E-Commerce 2014 ARGE DATEN Meldepflichten bei Shared-Service IV sonstige Konsequenzen -aus dem Einsatz von Shared-Service alleine ergibt sich keine Verpflichtung eine BV (Betriebsvereinbarung) abzuschließen -es kann jedoch die Shared-Service - Dienstleistung über bestehende Datenverarbeitungen hinausgehen, dann könnte es erforderlich sein eine BV abzuschließen -abgesehen von den "Konzernerleichterungen" die sich aus SA 033 ergeben, gibt es keine Konzernerleichterungen bei Shared-Services Auftraggeber bleibt verantwortlich, egal wie Shared-Service organisiert ist, auch bei Heranziehung von Sub- und Sub-Sub-Dienstleistern Shared-Service

65 © E-Commerce 2014 ARGE DATEN DSG 2000 regelt jede Verwendung personenbezogener Daten Unternehmen A als Auftraggeber Verwendung für berechtigten Zweck, z.B. speichern, ändern, sortieren, auswerten, ausdrucken, lesen,... (1) Unternehmen A ist Auftraggeber eines anderen berechtigten Zweckes berechtigter Zweck fällt weg (2) Unternehmen A hat keinen weiteren berechtigten Zweck, aber Archivierungspflichten weitere Verwendung Archivierung ist Datenverwendung iS DSG 2000 (3) Unternehmen A hat weder weiteren berechtigten Zweck, noch Archivierungspflichten Löschung aller Daten, ist Datenverwendung iS DSG 2000 Ermittlung von Daten für berechtigten Zweck Übermittlung Unternehmen B ist Auftraggeber für eigene Zwecke (2) und (3) sind Verpflichtungen des Unternehmens A, er kann sich aber eines Dienstleisters bedienen Überlassen ist Datenverwendung iS DSG 2000 Archivierung, Akten-/Datenvernichtung

66 © E-Commerce 2014 ARGE DATEN Archivierung, Akten-/Datenvernichtung Dienstleister im Sinne des DSG 2000 (§§ 10f) -Dienstleistung liegt vor, wenn ein Verantwortlicher jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben betraut -Geeignete Vereinbarungen sind zu treffen: Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000) -Vereinbarungen sind zu überprüfen/überwachen ["überzeugen"] -Subdienstleister nur mit Billigung des Auftraggebers Archivierung, Datenvernichtung bzw. -löschung ist eine derartige Dienstleistung

67 © E-Commerce 2014 ARGE DATEN Pflichten des Dienstleisters (§ 11) (A) Vertragliche Verpflichtungen -werden in der Regel die zulässigen Verwendungen der Daten beschreiben, z.B. Mindestkriterien bei der Datenträgerzerstörung, Beschreibung der Vernichtungsabläufe, Mindestkriterien zum Datenträgertransport, Deponierung usw. (B) gesetzliche Verpflichtungen -nur auftragsgemäße Datenverwendung -treffen ausreichender Sicherheitsmaßnahmen nach § 14 DSG Mitarbeiter zur Datenverschiegenheit verpflichten (siehe § 15) -Subdienstleister nur mit Billigung des Auftraggbers heranziehen (Achtung! Schon ein Spediteur, der Datenträger abholt wäre ein derartiger Subdienstleister) Archivierung, Akten-/Datenvernichtung

68 © E-Commerce 2014 ARGE DATEN Pflichten des Dienstleisters II (§ 11 + § 26) (B) gesetzliche Verpflichtungen (Fortsetzung) -Maßnahmen zur Erfüllung der Auskunfts-, Richtigstellungs- und Löschungspflicht des Auftraggebers setzen (im Vernichtungsbereich eher zweitrangig, bei Archivierung wichtig) -nach Ende der Dienstleistung Unterlagen, die Daten enthalten an Auftraggeber zu übergeben (wird bei Vernichtung nicht zutreffend, da keine Daten mehr vorhanden) -Auftraggeber jene Informationen bereit stellen, die er zur Kontrolle der Einhaltung der Vereinbarung benötigt -Erhält der Dienstleister irrtümlich ein Auskunftsbegehren, muss er unverzüglich den Auftraggeber verständigen, Frist von acht Wochen beginnt mit Einlangen des Begehrens beim Dienstleister! Archivierung, Akten-/Datenvernichtung

69 © E-Commerce 2014 ARGE DATEN Expertentreff - Open Space Big Data Analysen Ausgangslage -Mehrere (Tourismus-)betriebe einer Region geben ihre Kundendatenbank zur gemeinsamen Analyse frei -aus den gemeinsamen Kundendaten erstellt das Unternehmen X Kundenprofile für künftige Werbemaßnahmen Fragestellungen -Ist ein derartiges System datenschutzkonform? -Gibt es Vorgaben zu Anonymisierung / Pseudonymisierung? Bewertung -Gemeinsame Verarbeitung der Kundendaten ist ein neuer Zweck -personenbezogene Übermittlung nicht aus ursprünglichen Zwecken ableitbar, erfordert Zustimmung der Kunden -fraglich ob Profilerstellung die erforderliche Zuordnungsgenauigkeit hat, Kunden müssten gemeinsame Kennung, etwa über eine Tourismuscard verwenden

70 © E-Commerce 2014 ARGE DATEN Expertentreff - Open Space Big Data Analysen II Lösungsansatz -Kundendaten werden pseudonymisiert an Unternehmen X zu Zwecken der Marktforschung übermittelt (durch § 46 DSG 2000 privilegiert) -für Unternehmen X handelt es sich um "indirekt" personenbezogene Daten, Verwendung nach § 8 Abs. 2 DSG 2000 zulässig, keine Meldepflichten -Betrieb erhält Kundenprofilinformation mit Pseudonym verknüpft, kann diese zusätzliche Marketinginformation zu Person zuordnen (ist Teil der SA 022) -auch in diesem Fall ist die Qualität des Kundenschlüssels das Problem, fehlerhafte Zuordnungen würden zu einem falschen Kundentyp führen

71 © E-Commerce 2014 ARGE DATEN Expertentreff - Open Space Zusendung vom Seniorenbund Ausgangslage -Person erhält anläßlich seines 58. Geburtstages (!) Zusendung vom Seniorenbund -Anfrage wie er zu seinem "Glück" komme bringt nur die Auskunft es sei alles OK Fragestellungen -Ist die Zusendung ohne Zustimmung des Betroffenen zulässig? -Woher stammen die Daten? Ergebnis -Postzusendungen sind auch ohne Zustimmung erlaubt, nur Adressverlage müssen Sperrliste der WKO beachten -elektronische Kontaktformen erfordern vorherige Zustimmung -Seniorenbund ist Teilorganisation der ÖVP und somit bezüglich Wählerevidenzdaten zu Wahlwerbezwecken privilegiert

72 © E-Commerce 2014 ARGE DATEN Kontakt Dr. Hans G. Zeger ARGE DATEN A-1160 Wien, Redtenbachergasse 20 Tel.: / Fax.:+43 1 / Mail Verein:http://www.argedaten.at Web2.0:http://web2.0.freenet.at Personal Page:http://www.zeger.at

73 © E-Commerce 2014 ARGE DATEN Ich danke für Ihre Aufmerksamkeit


Herunterladen ppt "© E-Commerce 2014 Expertentreff Datenschutz ARGE DATEN Wien, Austria Trend Parkhotel Schönbrunn, 26. November 2014 ARGE DATEN."

Ähnliche Präsentationen


Google-Anzeigen