Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven

Ähnliche Präsentationen


Präsentation zum Thema: "Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven"—  Präsentation transkript:

1 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven
Hans G. Zeger, ARGE DATEN Stegersbach, Hotel Allegria, 15. September 2014 und folgende ARGE DATEN - Österreichische Gesellschaft für Datenschutz A-1160 Wien, Redtenbachergasse 20 Tel.: 0676 / Fax.: 01 / Mail Verein: Mail persönlich: WWW-Verein: Zertifizierung: e-commerce: WWW-DSG2000: DSG-Volltext: ftp://ftp.freenet.at/privacy/ds-at/dsg2000-aktuell.pdf DSG-StMV: ftp://ftp.freenet.at/privacy/ds-at/stmv-2004.pdf diverse Muster: ARGE DATEN ARGE DATEN

2 Aktivitäten der ARGE DATEN
Die ARGE DATEN als PRIVACY-Organisation Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: - Web-Service: Besucher/Monat - Newsletter: rund Abonnenten - 2013: rund 500 Medienanfragen/-berichte Mitgliederbetreuung Datenschutzfragen - 2013: ca. 600 Datenschutz-Anfragen Rechtsschutz, PRIVACY-Services - 2013: in ca. 200 Fällen Mitglieder in Verfahren vertreten Zahl der betreuten Mitglieder - aktuell: ca Personen Studien- und Beratungsprojekte A-CERT - Zertifizierungsdienstleister gem. SigG Diese Datenschutzthemen bewegen die Österreicher: - Finanzdienstleister und Privatversicherungen/ Wirtschaftsauskunftsdienste: 28%  - Beruf: 11%  - Persönliches und Privatleben: 10%  - Behörden und Verwaltung: 10%  - Konsumentendaten/Adressenverlage: 8%  - Gesundheit und Soziales: 7%  - Internet und Telekombetreiber: 7%  - Bildung und Ausbildung: 5%  - sonstige Themen, wie Statistik, Politik, Herkunft, öffentliche und private Sicherheit: 15%  Ausgewertet wurden rund 600 Datenschutzfälle der letzten fünf Jahre ,,,,: Tendenzangaben, Entwicklungen gegenüber Vorjahre (Statistik F-6a, Stand Dezember 2013)‏ ARGE DATEN ARGE DATEN

3 Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern. - ARGE DATEN ARGE DATEN

4 Mehr Überwachungstechnik = mehr Sicherheit?
- ... eine Wahrheit, der wir uns unterordnen müssen? ARGE DATEN

5 Warum haben wir überhaupt ein Bedürfnis nach Sicherheit?
Sicherheit ist eine Strategie angstbesetzte Situationen zu vermeiden oder zumindest zu kontrollieren. - Dr. Hans G. Zeger © Hans G. Zeger 2009 ARGE DATEN

6 Aufgezeichnet von einer CCTV-Kamera
[Ausschnitt aus: "faceless, 2008"] Aufgezeichnet von einer CCTV-Kamera Wen bedroht der Mann? Sehen wir mehr, wenn wir genauer hinsehen? - Dr. Hans G. Zeger © Hans G. Zeger 2009 ARGE DATEN

7 5 überwachte Verdächtige ...
... fünftausend überwachte Betroffene Wer gehört zum Netzwerk? Wer ist die Kommandozentrale? Der lang gesuchte „Pate“? Oder nur das Pizzaservice, das alle lieben? Oder ist das Pizzaservice doch die Tarnung für den „Paten“? - Dr. Hans G. Zeger © Hans G. Zeger 2009 ARGE DATEN

8 Wo ist das Ende der Entwicklung?
Wir wissen es nicht, daher brauchen wir ordentliche rechtliche Grundlagen - Dr. Hans G. Zeger © Hans G. Zeger 2009 ARGE DATEN

9 Spuren am Datenhighway
Konsequenzen: - persönliche Datensammlung verschwindet aus dem Wahrnehmungshorizont der Menschen - biometrische Identifikationsverfahren werden an Bedeutung verlieren - Datenmengen steigen exponentiell an und müssen automatisiert "smart" ausgewertet werden - Daten erscheinen als Informationssplitter und müssen erst zusammengesetzt, bewertet und interpretiert werden - Informations-Systeme sind "unverzichtbar", nicht mehr abschaltbar - Informations-Systeme "wissen" mehr über die geheimen Wünsche der Menschen, als die Menschen selbst - Dr. Hans G. Zeger © Hans G. Zeger 2009 ARGE DATEN

10 Wer ist verdächtig? - überqueren der Straße, abseits vom Zebrastreifen - in Öffentlichkeit Dose in der Hand halten - stehen in Hauseingängen - stehen vor Häusern, Bahnhöfen, ... - stehenbleiben vor einem Auto - gehen von einem Auto zum nächsten - längeres Herumstehen allgemein - Laufen - Bewegen mehrerer Menschen aus verschiedenen Richtungen auf einen Punkt zu Aus INDECT, einem EU-Projekt zur Zusammenführung aller erdenklicher (Video-)Daten und deren automatisierter Auswertung siehe: - ARGE DATEN

11 ... verdächtig ist auch ... ... aber auch ... ... und auch ...
- Wer Halal-Speisen im Flugzeug bestellt - Wer immer wieder umbucht - Wer bei auffälligen Reisebüros bucht - Wer Oneway-Tickets bucht - Wer auffällige Namen trägt "Erkenntnisse" des Department of Homeland Security ... aber auch ... - Wer Socken in seiner Tasche transportiert Erkenntnisse lt. Zeitschrift Polizei 10-12/2011 ... und auch ... - Wer Smartphones ohne Ladegerät auf ebay & Co anbietet Erkenntnisse lt. einer Online-Handelsplatform - ARGE DATEN

12 Wanted! Machen technische Fehler uns alle verdächtig?
- © Hans G. Zeger 2009 ARGE DATEN

13 Und manchmal geht etwas schief ...
Prominente Beispiele: Ted Kennedy, Cat Stevens - ARGE DATEN

14 ... oder eine blöde Bemerkung im Pub ...
... das Böse lauert überall ... ... und manche wissen mehr ... - ARGE DATEN

15 Weitere DSG-Bestimmungen
Geplanter Ablauf Grundlagen DSG 2000 Schutz der Privatsphäre Auswahl Bestimmungen DSG 2000 Datenschutz Sicherheitsbehörden Weitere DSG-Bestimmungen - Schlussbemerkung ARGE DATEN ARGE DATEN

16 Grundlagen des DSG 2000 ARGE DATEN ARGE DATEN Die wichtigsten Begriffe
Zustimmung Zulässigkeit der Datenverwendung Rechtmäßige Datenanwendung - ARGE DATEN ARGE DATEN

17 Entwicklung zum DSG 2000 ARGE DATEN ARGE DATEN DSG 2000 - Grundlagen
1978 erstes Datenschutzgesetz - DSG (BGBl. Nr. 565/1978) (Geltung ) 1995 EG-Datenschutzrichtlinie 95/46/EG 1999 Datenschutzgesetz - DSG 2000 (BGBl. I Nr. 165/1999) Wichtige Änderungen zum DSG 2000 (Auswahl) 2001 Euro-Umstellung der Verwaltungsstrafen (BGBl. I Nr. 136/2001) 2005 "Tsunami"-Bestimmung (BGBl. I Nr. 13/2005) 2008 Änderungen in Verfassungsbestimmungen (BGBl. I Nr. 2/2008) 2009 DSG Novelle 2010 (BGBl. I Nr. 133/2009) 2012 Verwaltungsgerichtsbarkeits-Novelle 2012 (BGBl. I Nr. 51/2012) 2013 DSG Novelle 2013 (BGBl. I Nr. 57/2013) 2013 DSG Novelle 2014 (BGBl. I Nr. 83/2013) 20?? EU - Neuordnung des Datenschutzes Entwicklung des Datenschutzes in Österreich Eine vollständige Übersicht findet sich unter Änderungen zum DSG 2000 2001 Euro-Umstellung der Verwaltungsstrafen (BGBl. I Nr. 136/2001) 2005 "Tsunami"-Bestimmung (BGBl. I Nr. 13/2005) 2008 Änderungen in Verfassungsbestimmungen (BGBl. I Nr. 2/2008) 2009 DSG Novelle 2010 (BGBl. I Nr. 133/2009) u.a. Regelung der Videoüberwachung 2012 Verwaltungsgerichtsbarkeits-Novelle 2012 (BGBl. I Nr. 51/2012) Abschaffung der Datenschutzkommission, Überführung der Agenden der Kommission in den Bundesverwaltungsgerichtshof 2013 DSG Novelle 2013 (BGBl. I Nr. 57/2013) Anpassung der Datenschutzkommission an die Unabhängigkeitsanforderungne nach dem EUGH-Urteil 2013 DSG Novelle 2014 (BGBl. I Nr. 83/2013) Regelung der Kompetenzen der Datenschutzbehörde (1. Instanz) und der Datenschutzagenden des Bundesverwaltungsgerichtshofs (2. Instanz) 2013 Novelle der Datenschutzangemessenheits-Verordnung (BGBl. II Nr. 150/ DSAV-Novelle 2013) 2013 Datenschutzanpassungs-Verordnung 2013 (BGBl. II Nr. 213/2013) ARGE DATEN ARGE DATEN

18 Umsetzung der EU-Richtlinie "Datenschutz" (1995)
DSG Grundlagen Umsetzung der EU-Richtlinie "Datenschutz" (1995) soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch innerhalb der EU (Art.1 Abs.2) sichern Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten." Art. 1 Abs. 2 "Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes." EU-RL gilt nur für "natürliche Personen" DSG 2000 auch für "juristische und sonstige Personen" damit vertritt Österreich EU-weit eine exotische Position Bestimmungen betreffen alle Verwendungsformen persönlicher Daten, nicht nur automatisiert verarbeitete Daten "Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" (Datenschutzrichtlinie 95/46/EG)‏ Die Richtlinie soll gleichermaßen den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten den freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten sichern Art. 1 Gegenstand der Richtlinie (1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten. (2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes. Das DSG 2000 wurde am im Bundesgesetzblatt publiziert (BGBl. I Nr. 165/1999), Inkrafttreten am Übergangsfristen (internationaler Datenverkehr, manuelle Datenanwendungen, die der Meldepflilcht unterliegen), (Anpassung der Rechtsgrundlagen besonder Datenanwendungen § 17 Abs. 3 Z 1 bis 3)‏ Es wurden Spezialbestimmungen, wie Informationspflicht, Informationsverbundsysteme und automatisierte Entscheidung geschaffen ARGE DATEN ARGE DATEN

19 DSG 2000 § 1 (Verfassungsbestimmung):
DSG Grundrecht DSG 2000 § 1 (Verfassungsbestimmung): "jede Verwendung persönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots sind möglich: - mit der Zustimmung des Betroffenen - in Vollziehung von Gesetzen (Behörden, behördliche Tätigkeit) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen/Dritter DSG 2000 § 1 Verfassungsbestimmung "(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind." Einschränkung dieser Rechte nur mit Zustimmung des Betroffenen, zur Wahrung lebenswichtiger Interessen des Betroffenen oder laut Art. 8 Abs. 2 der europäischen Menschenrechtskonvention aufgrund von Gesetzen. Weitere Verarbeitungsbeschränkungen für den öffentlichen Bereich ("Wahrung wichtiger öffentlicher Interessen") bei "besonders schutzwürdigen Daten" ("sensible Daten")‏ Festlegung der subjektiven Rechte: Auskunfts-, Richtigstellungs- und Löschungsrecht Festlegung der Rechtsdurchsetzung / Zivilrechtsweg Geplante - praxisnahe - Änderung in Novelle 2010 wegen Parteienstreit nicht durchgeführt: „(1) Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten.“ ARGE DATEN ARGE DATEN

20 DSG 2000 § 1 Abs 2 "behördliche Eingriffe":
DSG Grundrecht DSG 2000 § 1 Abs 2 "behördliche Eingriffe": "(2) [...] Beschränkungen des Anspruchs auf Geheimhaltung [...] bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden." zulässige Gesetze gemäß EMRK (Auszug): - Aufrechterhaltung öffentliche Ruhe und Ordnung - Verteidigung der Ordnung - Verhinderung von strafbaren Handlungen - Schutz der Moral - Schutz der Rechte und Freiheiten anderer DSG 2000 § 1 Abs 2 (Verfassungsbestimmung) "(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden." EMRK BGBl. 210/1958 Artikel 8 - Recht auf Achtung des Privat- und Familienlebens (1) Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs. (2) Der Eingriff einer öffentlichen Behörde in die Ausübung dieses Rechts ist nur statthaft, insoweit dieser Eingriff gesetzlich vorgesehen ist und eine Maßnahme darstellt, die in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig ist. ARGE DATEN ARGE DATEN

21 "Daten" ("personenbezogene Daten")
DSG Grundlagen DSG 2000 § 4 Z 1 "Daten" ("personenbezogene Daten") "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" DSG 2000 § 4 Z 3 "Betroffener" "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" Datenbegriff sehr allgemein gehalten, umfasst auch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. Stromverbrauchsdaten, IP-Adressen, ), Informationen über Sachen Datenbegriff sehr allgemein gehalten: in D und LUX spezielle Datenschutz-Regelungen für Bild- und Tondaten (EU-Bericht Umsetzung DS-Richtlinie, 2003)‏, in Ö nunmehr auch zur Videoüberwachung DSG 2000 § 4 Z 1 "Daten" "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; "nur indirekt personenbezogen" sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann." DSK K /16-DSK/00 "Daten betreffend Verwandtschaftsverhältnisse und Wohnungsnutzung gehören zur Privatsphäre des einzelnen. Insbesondere Angaben über Verwandtschaftsverhältnisse gehören schon zu einem sehr intimen und höchstpersönlichen Lebensbereich und bilden wegen möglicher Schlussfolgerungen auf 'rassische und ethnische Herkunft' einer Person geradezu einen Grenzfall zum besonders schutzwürdigen Bereich der sensiblen Daten" (RIS)‏ DSG 2000 § 4 Z 3 "Betroffener" Unter Personengemeinschaft wären unter anderem Familien, Bürgerinitiativen, Betriebsräte, Wohngemeinschaften oder Hausgemeinschaften zu verstehen ARGE DATEN ARGE DATEN

22 Personenbezogene Daten
DSG Grundlagen Personenbezogene Daten Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!) personenbezogene Daten § 4 Z 1 DSG 2000 sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG (kein EU-Begriff) sensible Daten § 4 Z 2 DSG 2000 (1) direkt personenbezogene Daten sind Daten, die unmittelbar einsichtig mit einer Person verknüpft sind (Daten, die zur Personenidentifikation dienen) Name, Geburtsdatum, Wohnanschrift und dazu in direkter Verbindung: Personalnummer, SV-Nummer, persönliche Merkmale und Eigenschaften, Zugehörigkeiten zu bestimmten Gruppen und Bereichen, bestimmte Qualifikationen und Rechte (2) direkt personenbezogene Daten sind Daten, die mit (1) verknüpft sind Daten, etwa in relationalen Datenbanksystemen, die über eine eindeutige Kennung mit einer Person verbunden werden können (Buchungsinformationen, Produktionsinformationen, Kommunikations- und Konsumdaten, ...)‏ (3) direkt personenbezogene Daten sind Daten, die mit hoher Wahrscheinlichkeit mit (1) verknüpft sind, generierte Daten, Daten, die ein Auftraggeber durch Berücksichtigung von Zusatzinformationen oder eigenen Erhebungen einer bestimmten Person zuordnen kann (4) indirekt personenbezogene Daten sind Daten, die ein Auftraggeber zwar nicht mehr legalerweise einer Person zuordnen kann, jedoch andere Stellen oder Auftraggeber. (5) sensible Daten sind bestimmte abschließend aufgezählte Datenarten (DSG2000 §4 Z2)‏: Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben; (6) besonders schutzwürdige Daten: österreichische Sonderformulierung für sensible Daten + Daten aus der Strafrechtspflege, Informationsverbundsystemen und zur Beurteilung der Kreditwürdigkeit von Personen ARGE DATEN ARGE DATEN 22

23 DSG 2000 § 4 Z 2 ("sensible" Daten)
DSG Grundlagen DSG 2000 § 4 Z 2 ("sensible" Daten) Daten natürlicher Personen über rassische und ethnische Herkunft politische Meinung Gewerkschaftszugehörigkeit religiöse und philosophische Überzeugung Gesundheit Sexualleben Probleme kann die Abgrenzung bereiten, z.B. Hautfarbe, Speisegewohnheiten, "Kopftuch", Sozialberatung DSG 2000 § 4 Z 2 "sensible Daten" ("besonders schutzwürdige Daten"): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben; Der Begriff „sensible Daten“ ist in der EU-Richtlinie definiert und wurde durch Österreich weder eingeengt, noch erweitert (andere Ländr erweiterten den Definitionsumfang). Zusätzliche Sonderregelung in Österreich: "besonders schutzwürdige" Daten enthalten neben den sensiblen Daten Daten im Zusammenhang mit der Strafrechtspflege, der Beurteilung der Kreditwürdigkeit oder die in Form von Informationsverbundsystemen betrieben werden, werden in der EU- Richtlinie nicht als sensible Daten eingestuft, sie werden jedoch im DSG 2000 unter besonderen Schutz gestellt. Sie nehmen damit eine Zwischenstellung zwischen sensiblen und „normalen“ Daten ein. Biometrische Daten (Fingerabdruck, Augenfarbe, ...) werden nur dann als sensible Daten einzustufen sein, wenn sie Rückschlüsse auf den Gesundheitszustand erlauben. Das Problem kann eine Kombination einzelner, für sich allein nicht sensibler biometrischer Daten sein, z.B. die Kombination Körpergewicht/Körpergröße erlaubt sehr wohl Rückschlüsse auf den Gesundheitszustand. ARGE DATEN ARGE DATEN

24 DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung
DSG Grundlagen DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung) DSG 2000 § 4 Z 5 "Dienstleister" natürliche oder juristische Personen, , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung) DSG 2000 § 4 Z 4 "Auftraggeber" 4. "Auftraggeber": natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z 8), unabhängig davon, ob sie die Daten selbst verwenden (Z 8) oder damit einen Dienstleister (Z 5) beauftragen. Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung eines Werkes beauftragte Dienstleister (Z 5) die Entscheidung trifft, zu diesem Zweck Daten zu verwenden (Z 8), es sei denn dies wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung eigenverantwortlich zu entscheiden;" DSG 2000 § 4 Z 5 "Dienstleister" „5. Dienstleister: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (Z 8);“ DSK K /002-DSK/2001 "..sondern auch Personengemeinschaften, welchen es zwar an einer eigenen Rechtspersönlichkeit mangelt, die aber durch ihre Bezeichnung sowie die gemeinsamen Ziele und Aufgaben der Mitglieder eine hinlänglich unterscheidbare Entität sind." (RIS)‏ ARGE DATEN ARGE DATEN

25 DSG 2000 § 4 Z 8 " Verwenden von Daten"
DSG Grundlagen DSG 2000 § 4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem [personenbezogenen, Anm.] Suchkriterium zugänglich sind" DSG 2000 § 4 Z 7 ,,Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte ... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)" DSG 2000 § 4 Z 8 " Verwenden von Daten" "jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten" DSG 2000 §4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind" DSG 2000 §4 Z 7 "Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung)" ARGE DATEN ARGE DATEN

26 DSG 2000 § 4 Z 9 "Verarbeiten von Daten"
DSG Grundlagen DSG 2000 § 4 Z 9 "Verarbeiten von Daten" "das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten" DSG 2000 § 4 Z 12 "Übermitteln von Daten" "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister" Entscheidung DSK K /16-DSK/00 Übermittlung ist unabhängig von der technischen Methode DSG 2000 § 4 Z 14 "Zustimmung" "die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt" Widerruf der Zustimmung in § 8 bzw. § 9 geregelt DSG 2000 § 4 Z 9 "Verarbeiten von Daten" "das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z 11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten" DSG 2000 § 4 Z 12 "Übermitteln von Daten" "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen solcher Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers" DSK K /16-DSK/00 "‘Übermittelt’ im Sinne von § 21 Abs 2 AsylG werden Daten dann, wenn Sie von einem österreichischen Staatsorgan jedwedem amtlichen Organ des Herkunftsstaates, insbesondere innerstaatlichen Behörden, diplomatischen, berufskonsularischen oder honorarkonsularischen Vertretungen, in irgendeiner Form personenbezogen mitgeteilt werden." (RIS)‏ ARGE DATEN ARGE DATEN

27 Die wichtigsten Begriffe (§ 4 DSG Z ...)
DSG Grundlagen Die wichtigsten Begriffe (§ 4 DSG Z ...) Verwenden von Daten Z 8 Auftraggeber Z 4 Daten- anwendung Z 7 Übermitteln Verarbeiten Z 9 Z 12 Überlassen Z 11 Ermitteln, Auswerten, Sortieren, Speichern, Analysieren, Korrigieren, Ausdrucken, Anzeigen, ... Dienstleister Z 5 Auftrag - ARGE DATEN ARGE DATEN

28 Grundsätze der Verwendung von Daten (§ 6ff)
DSG Grundlagen Grundsätze der Verwendung von Daten (§ 6ff) Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1) Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2) Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2) Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3) DSK /010-DSK/2001 ("gelindester Eingriff") Zuverlässigkeitsprüfung eines Sicherheitsbeamten durch Gewerbbehörde  Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren DSK K /010-DSK/2001 "Der Beschwerdeführer, der als Sicherheitswachebeamter auch eine Gewerbeberechtigung als Berufsdetektiv anstrebte, rügte die (nicht-strukturierte) Datenermittlung bzw. Datenübermittlung zwischen Gewerbebehörde und verschiedenen Dienststellen im Zuge der gewerberechtlichen Zuverlässigkeitsprüfung." 'Wesentlichkeitsgrundsatz', des DSG 2000 ist jedenfalls zu betonen, dass die Bundespolizeidirektionen nur die unbedingt notwendigen Informationen weitergeben dürfen. Andererseits dürfen die Bundespolizeidirektionen nicht durch eine übertrieben restriktive Handhabung des § 336 a Abs. 2 GewO die Kompetenz der Gewerbebehörden zur selbständigen Beurteilung der 'gewerberechtlichen Zuverlässigkeit' schmälern. Daraus ergibt sich, dass es zwar unzulässig ist, Daten, die in keinem sachlichen Zusammenhang mit dem Kriterium der Zuverlässigkeit im Hinblick auf eine bestimmte angestrebte Gewerbeberechtigung stehen, der Gewerbebehörde zu übermitteln, es aber zum Pflichtenkreis der Sicherheitsbehörde gehört, der Gewerbebehörde auch nicht weiter verfolgte Anzeigen/Verdachtsmomente betreffend 'einschlägige' Delikte zur Kenntnis zu bringen." (RIS)‏ ARGE DATEN ARGE DATEN

29 DSG Grundlagen Wie kann die Rechtmäßigkeit einer Datenverarbeitung abgeschätzt werden? (1) Rechtsgrundlage Die Verwendung von personenbezogenen Daten muss für ein legitimes Ziel (Gesetz, Vertrag, ...) erforderlich sein. (2) Eignung Die Verwendung von Daten muss geeignet sein um das bestimmte, konkrete Ziel (Zweck) tatsächlich zu erreichen. (3) Erforderlichkeit Es gibt keine alternative (weniger invasive) Lösung zur Erreichung des bestimmten Ziels (Zweckes). (4) Verhältnismäßigkeit Die Verwendung der Daten führt zu keiner Verletzung höherwertiger Schutzrechte (Grundrechte). - ARGE DATEN ARGE DATEN

30 DSG Grundlagen Geheimhaltungsinteressen bei Datenverwendung (§ 8-nicht-sensible Daten, § 9-sensible Daten) Wann dürfen Daten jedenfalls verwendet werden? (Auszug) - Rechtsgrundlage / gesetzliche Verpflichtungen - Zustimmung des Betroffenen - zur Wahrung lebenswichtiger Interessen - überwiegende Interessen Dritter / Auftraggeber (nicht anwendbar bei sensiblen Daten!) z.B. notwendige Voraussetzung zur Vertragserfüllung, Ausübung von Rechtsansprüchen des Auftraggebers, behördliche Tätigkeit - indirekt personenbezogene Daten - zulässig veröffentliche Daten: soweit berechtigter Zweck des Verwenders gegeben - im öffentlichen Bereich: in Erfüllung der Amtshilfe Wann dürfen Daten verwendet werden? (sind Geheimhaltungsinteressen nicht verletzt) - ausdrückliche gesetzliche Ermächtigung oder Verpflichtung besteht (§ 8 Abs. 1 Z 1)‏ - ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Wahrung eines wichtigen öffentlichen Interesses besteht (§ 9 Z 3)‏ - Betroffener hat zugestimmt/Widerrufsrecht (§ 8 Abs. 1 Z 2, § 9 Z 6)‏ - lebenswichtige Interessen des Betroffenen (§ 8 Abs. 1 Z 3, § 9 Z 7)‏ - zulässigerweise veröffentlichte Daten (§ 8 Abs. 2, §9 Z 1) - indirekt personenbezogene Daten (§ 8 Abs. 2, §9 Z 2) - überwiegende berechtigte Interessen des Aufftraggebers oder Dritter sind zu wahren (§ 8 Abs. 1 Z 4, nur bei nichtsensiblen Daten!)‏ - im öffentlichen Bereich: wesentliche Voraussetzung für gesetzlich übertragene Aufgabe (§ 8 Abs.3 Z1)‏ - im öffentlichen Bereich: ausschließlich die Ausübung einer öffentlichen Funktion durch den Betroffenen zum Gegenstand hat [behördliche Tätigkeit] (§ 8 Abs. 3 Z 6) - Wahrung lebenswichtiger Interessen eines Dritten (§ 8 Abs. 3 Z 3, § 9 Z 8)‏ ARGE DATEN ARGE DATEN

31 Schutz der Privatsphäre
Übersicht § 1328a ABGB Beispiele / Entscheidungen - ARGE DATEN ARGE DATEN

32 Bestimmungen zum Schutz der Privatsphäre
Schutz der Privatsphäre - Übersicht Bestimmungen zum Schutz der Privatsphäre • EMRK Art 8 (Privatsphäre, Familienleben, Briefverkehr) • StGG (Staatsgrundgesetz) Art. 9, 10 (Briefgeheimnis) u. 10a (Fernmeldegeheimnis) • § 1 DSG 2000 (Geheimhaltung Daten) • § 16 ABGB (angeborene Rechte) • StGB z.B. § 118f (Briefgeheimnis), § 119f (Telekommunikationsgeheimnis) und §§ 302ff (Amtsmissbrauch) • TKG 2003 § 93 (Kommunikationsgeheimnis) • MedienG § 7ff (Bloßstellung) • UrhG § 77 (Briefe, Tagebücher, ähnliche vertrauliche Aufzeichnungen), § 78 (Bildnisschutz), § 87 Abs 2 (Entschädigung) • Regelungen für einzelne Berufsgruppen (siehe Anhang) • ABGB § 1328a (Bloßstellung) • StGB § 107a (Anti-Stalking-Bestimmung) Europäische Menschenrechtskonvention [StF BGBl. Nr. 210/1958, ] Artikel 8 - Recht auf Achtung des Privat- und Familienlebens (1) Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs. (2) Der Eingriff einer öffentlichen Behörde in die Ausübung dieses Rechts ist nur statthaft, insoweit dieser Eingriff gesetzlich vorgesehen ist und eine Maßnahme darstellt, die in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig ist. Staatsgrundgesetz vom 21. Dezember 1867 Artikel 9. Das Hausrecht ist unverletzlich. […] Artikel 10. Das Briefgeheimnis darf nicht verletzt und die Beschlagnahme von Briefen, außer dem Falle einer gesetzlichen Verhaftung oder Haussuchung, nur in Kriegsfällen oder auf Grund eines richterlichen Befehles in Gemäßheit bestehender Gesetze vorgenommen werden. Artikel 10a. Das Fernmeldegeheimnis darf nicht verletzt werden. Ausnahmen von der Bestimmung des vorstehenden Absatzes sind nur auf Grund eines richterlichen Befehles in Gemäßheit bestehender Gesetze zulässig. [Ergänzung des StGG ] [Staatsgrundgesetz vom 21. December 1867, über die allgemeinen Rechte der Staatsbürger für die im Reichsrathe vertretenen Königreiche und Länder. StF: RGBl. Nr. 142/1867, Art. 10a wurde mit Novelle 1974 eingeführt (BGBl. Nr. 8/1974)] Allgemeines Persönlichkeitsrecht im ABGB § 16. Jeder Mensch hat angeborene, schon durch die Vernunft einleuchtende Rechte, und ist daher als eine Person zu betrachten. Sclaverey oder Leibeigenschaft, und die Ausübung einer darauf sich beziehenden Macht, wird in diesen Ländern nicht gestattet. ARGE DATEN ARGE DATEN

33 ARGE DATEN ARGE DATEN Schutz der Privatsphäre - Übersicht
StGB §§ 118 ff, 302, § 118 Verletzung des Briefgeheimnisses und Unterdrückung von Briefen § 118a Widerrechtlicher Zugriff auf ein Computersystem § 119 Verletzung des Telekommunikationsgeheimnisses § 119a Missbräuchliches Abfangen von Daten § 120 Missbrauch von Tonaufnahme- oder Abhörgeräten § 121 Verletzung von Berufsgeheimnissen § 122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses § 123 Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses § 124 Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses zugunsten des Auslands § 302 Missbrauch der Amtsgewalt § 310 Verletzung des Amtsgeheimnisses TKG 2003 – Kommunikationsgeheimnis § 93. (1) Dem Kommunikationsgeheimnis unterliegen die Inhaltsdaten, die Verkehrsdaten und die Standortdaten. Das Kommunikationsgeheimnis erstreckt sich auch auf die Daten erfolgloser Verbindungsversuche. (2) Zur Wahrung des Kommunikationsgeheimnisses ist jeder Betreiber und alle Personen, die an der Tätigkeit des Betreibers mitwirken, verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist. (3) Das Mithören, Abhören, Aufzeichnen, Abfangen oder sonstige Überwachen von Nachrichten und der damit verbundenen Verkehrs- und Standortdaten sowie die Weitergabe von Informationen darüber durch andere Personen als einen Benutzer ohne Einwilligung aller beteiligten Benutzer ist unzulässig. Dies gilt nicht für die Aufzeichnung und Rückverfolgung von Telefongesprächen im Rahmen der Entgegennahme von Notrufen und die Fälle der Fangschaltung sowie für eine technische Speicherung, die für die Weiterleitung einer Nachricht erforderlich ist. (4) Werden mittels einer Funkanlage, einer Telekommunikationsendeinrichtung oder mittels einer sonstigen technischen Einrichtung Nachrichten unbeabsichtigt empfangen, die für diese Funkanlage, diese Telekommunikationsendeinrichtung oder den Anwender der sonstigen Einrichtung nicht bestimmt sind, so dürfen der Inhalt der Nachrichten sowie die Tatsache ihres Empfanges weder aufgezeichnet noch Unbefugten mitgeteilt oder für irgendwelche Zwecke verwertet werden. Aufgezeichnete Nachrichten sind zu löschen oder auf andere Art zu vernichten. Mediengesetz § 7. (1) Wird in einem Medium der höchstpersönliche Lebensbereich eines Menschen in einer Weise erörtert oder dargestellt, die geeignet ist, ihn in der Öffentlichkeit bloßzustellen, so hat der Betroffene gegen den Medieninhaber (Verleger) Anspruch auf eine Entschädigung für die erlittene Kränkung. Der Entschädigungsbetrag darf Euro nicht übersteigen; im übrigen ist § 6 Abs. 1 zweiter Satz anzuwenden. […] Urheberrechtsgesetz § 77. (1) Briefe, Tagebücher und ähnliche vertrauliche Aufzeichnungen dürfen weder öffentlich vorgelesen noch auf eine andere Art, wodurch sie der Öffentlichkeit zugänglich gemacht werden, verbreitet werden, wenn dadurch berechtigte Interessen des Verfassers oder, falls er gestorben ist, ohne die Veröffentlichung gestattet oder angeordnet zu haben, eines nahen Angehörigen verletzt würden. […] § 78. (1) Bildnisse von Personen dürfen weder öffentlich ausgestellt noch auf eine andere Art, wodurch sie der Öffentlichkeit zugänglich gemacht werden, verbreitet werden, wenn dadurch berechtigte Interessen des Abgebildeten oder, falls er gestorben ist, ohne die Veröffentlichung gestattet oder angeordnet zu haben, eines nahen Angehörigen verletzt würden. […] § 87. (2) Auch kann der Verletzte in einem solchen Fall eine angemessene Entschädigung für die in keinem Vermögensschaden bestehenden Nachteile verlangen, die er durch die Handlung erlitten hat. […] (inmaterieller Schadenersatz)‏ Ärztegesetz § 54. (1) Der Arzt und seine Hilfspersonen sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Geheimnisse verpflichtet. […] Rechtsanwaltsordnung § 9. […] (2) Der Rechtsanwalt ist zur Verschwiegenheit über die ihm anvertrauten Angelegenheiten und die ihm sonst in seiner beruflichen Eigenschaft bekanntgewordenen Tatsachen, deren Geheimhaltung im Interesse seiner Partei gelegen ist, verpflichtet. Er hat in gerichtlichen und sonstigen behördlichen Verfahren nach Maßgabe der verfahrensrechtlichen Vorschriften das Recht auf diese Verschwiegenheit. […] Beamten-Dienstrechtsgesetz § 46. (1) Der Beamte ist über alle ihm ausschließlich aus seiner amtlichen Tätigkeit bekanntgewordenen Tatsachen, deren Geheimhaltung im Interesse der Aufrechterhaltung der öffentlichen Ruhe, Ordnung und Sicherheit, der umfassenden Landesverteidigung, der auswärtigen Beziehungen, im wirtschaftlichen Interesse einer Körperschaft des öffentlichen Rechts, zur Vorbereitung einer Entscheidung oder im überwiegenden Interesse der Parteien geboten ist, gegenüber jedermann, dem er über solche Tatsachen nicht eine amtliche Mitteilung zu machen hat, zur Verschwiegenheit verpflichtet (Amtsverschwiegenheit). […] ARGE DATEN ARGE DATEN 33

34 § 107a StGB Beharrliche Verfolgung / Stalking
Schutz der Privatsphäre - §107a StGB § 107a StGB Beharrliche Verfolgung / Stalking - Delikt: beharrliche Verfolgung, gegeben wenn - räumliche Nähe gesucht (Abs. 2 Z 1) oder - Kontaktaufnahme mittels Telekommunikation, sonstige Kommunikationsmittel oder über Dritte (Abs. 2 Z 2) oder - Verwendung personenbezogener Daten zur Bestellung von Waren und Diensten (Abs. 2 Z 3) oder - Verwendung personenbezogener Daten um Dritte zur Kontaktaufnahme zu veranlassen (Abs. 2 Z 2) - Strafrahmen bis zu einem Jahr § 107a StGB Beharrliche Verfolgung "(1) Wer eine Person widerrechtlich beharrlich verfolgt (Abs. 2), ist mit Freiheitsstrafe bis zu einem Jahr zu bestrafen. (2) Beharrlich verfolgt eine Person, wer in einer Weise, die geeignet ist, sie in ihrer Lebensführung unzumutbar zu beeinträchtigen, eine längere Zeit hindurch fortgesetzt 1. ihre räumliche Nähe aufsucht, 2. im Wege einer Telekommunikation oder unter Verwendung eines sonstigen Kommunikationsmittels oder über Dritte Kontakt zu ihr herstellt, 3. unter Verwendung ihrer personenbezogenen Daten Waren oder Dienstleistungen für sie bestellt oder 4. unter Verwendung ihrer personenbezogenen Daten Dritte veranlasst, mit ihr Kontakt aufzunehmen." Bisherige Entscheidungen: - oft dient die Bestimmung als Begründung für einen Exekutionsanspruch (z.B. dass jemand sich einer/m bestimmten Person/Ort nicht nähern darf) Jahr Anfall Verurteilungen Freisprüche Diversionen Einstellungen EV ARGE DATEN

35 § 1328a ABGB Privatsphärebestimmung
Schutz der Privatsphäre - §1328a ABGB § 1328a ABGB Privatsphärebestimmung (1) Wer rechtswidrig und schuldhaft in die Privatsphäre eines Menschen eingreift oder Umstände aus der Privatsphäre eines Menschen offenbart oder verwertet, hat ihm den dadurch entstandenen Schaden zu ersetzen. Bei erheblichen Verletzungen der Privatsphäre, etwa wenn Umstände daraus in einer Weise verwertet werden, die geeignet ist, den Menschen in der Öffentlichkeit bloßzustellen, umfasst der Ersatzanspruch auch eine Entschädigung für die erlittene persönliche Beeinträchtigung. Abs.2 definiert Substitutionsklausel - Bestimmung ist nicht anzuwenden, wenn andere Bestimmung gilt, etwa Datenschutz- oder Medienrechtsbestimmungen Privatsphärebestimmung seit § 1328a ABGB Abs. 2: "(2) Abs. 1 ist nicht anzuwenden, sofern eine Verletzung der Privatsphäre nach besonderen Bestimmungen zu beurteilen ist. Die Verantwortung für Verletzungen der Privatsphäre durch Medien richtet sich allein nach den Bestimmungen des Mediengesetzes, BGBl. Nr. 341/1981, in der jeweils geltenden Fassung." Literatur zum § 1328a ABGB - Helmich - „Schadenersatz bei Eingriffen in die Privatspähre“ ecolex , S. 888 - Karner/Koziol - „Der Ersatz ideellen Schadens im österreichischen Recht und seine Reform“ 15. ÖJT Band II/1, Manz 2003, S. 101ff. - Lein - „Das Zivilrechtsänderungsgesetz 2004“ JAP 2003/2004, S. 122 OGH 4Ob150/08z Rechtssatz Der Schutz des § 1328a ABGB kommt auch Personen zu, die in der Öffentlichkeit bekannt sind. Wer seine privaten Lebensumstände „öffentlich gemacht" hat, indem er etwa ein Interview gibt, in dem auch private Aspekte erörtert werden, oder indem er sich „outet", kann sich nicht auf eine Verletzung seiner Privatsphäre berufen, wenn diese Umstände in der Öffentlichkeit weiter erörtert werden. ARGE DATEN ARGE DATEN

36 Drei Verletzungsarten
Schutz der Privatsphäre - §1328a ABGB Änderungen durch § 1328a Immaterieller Schadenersatz Auffangtatbestand für bisher nicht erfasste Verletzungen Drei Verletzungsarten Eingreifen (Eindringen in die Privatsphäre) Offenbaren an Dritte (nicht nur Öffentlichkeit) Verwerten (wirtschaftlicher Vorteil durch Kenntnisse aus Privatsphäre) Voraussetzungen für Schadenersatz nach § 1328a Rechtswidrigkeit Verschulden (leichte Fahrlässigkeit genügt) Erheblicher Eingriff Der § 1328a ist grundsätzlich als allgemeiner Auffangtatbestand konzipiert, d.h. speziellere Regelungen, z.B. im Mediengesetz und im DSG 2000 gehen dieser Bestimmung vor. Insbesondere die in der Praxis sehr bedeutenden Fälle der Verletzung der Privatsphäre durch Medien sind vom Geltungsbereich des § 1328a explizit ausgenommen. Wenn also nach dem Mediengesetz kein Anspruch auf Entschädigung besteht, kann auch der § 1328a nicht als Anspruchsgrundlage herangezogen werden. Eingreifen: direktes und unmittelbares rechtswidriges Eindringen in die Privatsphäre eines anderen Offenbaren: Weitergabe von privaten Informationen an andere oder die Öffentlichkeit Verwerten: Erlangen eines wirtschaftlichen Vorteils aus privaten Umständen eines anderen Voraussetzung für den Zuspruch einer Entschädigung ist immer die Rechtswidrigkeit des Verhaltens und das Verschulden des Schädigers. Bezüglich der Rechtswidrigkeit ist eine umfassende Interessensabwägung vorzunehmen. Beim Verschulden genügt bereits leichte Fahrlässigkeit. Rechtssatz (OGH 6Ob103/07a): Der höchstpersönliche Lebensbereich stellt den Kernbereich der geschützten Privatsphäre dar und ist daher einer den Eingriff rechtfertigenden Interessenabwägung regelmäßig nicht zugänglich. Dieser höchstpersönliche Kernbereich ist nicht immer eindeutig abgrenzbar, es ist aber davon auszugehen, dass jedenfalls die Gesundheit, das Sexualleben und das Leben in und mit der Familie dazu gehören. ARGE DATEN ARGE DATEN

37 Beispiele für Eingriffe in die Privatsphäre
Schutz der Privatsphäre - Beispiele Beispiele für Eingriffe in die Privatsphäre private Videoüberwachung, Personenortung, Radarüberwachung Bekanntgabe persönlicher Daten im Internet Illegales Abhören von Telefonaten oder Gesprächen Hacken von privaten Computern Missbrauch von Foto-Handys Weitergeben von privat mitgeteilten Geheimnissen Überwachung des Standortes eines Mobiltelefonnutzers ohne dessen Zustimmung Offenbaren/Verwerten von Gerichtsurteilen Bedrängen durch Kontaktaufnahmeversuche ( , Telefonate, ...) Die oben genannten Beispiele sind teilweise auch in den erläuternden Bemerkungen zum Entwurf angeführt. Es ist dazu allgemein anzumerken, dass sich der § 1328a ABGB auf den Ersatz immaterieller Schäden bezieht und insofern unabhängig von eventuell in anderen Gesetzen vorgesehenen (Verwaltungs-) Strafbestimmungen zu sehen ist. So sind beispielsweise im TKG oder im DSG für verschiedene Tatbestände sowohl strafrechtliche als auch verwaltungsstrafrechtliche Sanktionen vorgesehen. Unabhängig von deren Anwendung könnten Betroffene bei entsprechendem Nachweis den Ersatz immaterieller Schäden verlangen. ARGE DATEN ARGE DATEN

38 ARGE DATEN ARGE DATEN Entscheidungen zur Privatsphäre
Entscheidungen zum Schutz der Privatsphäre OGH 6Ob 2401/96y Videoüberwachung eines Wohnhauses OGH 7Ob 89/97g "Überwachung" durch Kameraattrappen (siehe auch analog OGH 6Ob6/06k) OGH 8Ob 108/05y Videoüberwachung eines Konkurrenten OGH 6Ob 256/12k Unzulässig ist schon die Herstellung eines Bildes ("private" Aufnahmen von einem Sachverständigen im Zuge einer Amtshandlung) OGH 7Ob 248/09k Gelegentliches "über den Zaun schauen" ohne Eingriffsabsicht / ohne techn. Hilfsmittel kein Eingriff in Privatsphäre (Eingriff muss mit Aufzeichnungen nachgewiesen werden) BG Josefstadt 6C188/09p EV gemäß § 382g EO wegen Veröffentlichung privater Daten in einem Blog ("Cyberstalking") (begründet auf § 1328a ABGB) Rechtssatz zu OGH 6Ob2401/96y Der Schutz der Privatsphäre eines Mieters vor solchen Maßnahmen endet auch nicht an der inneren Wohnungstüre, es ist ihm durchaus ein berechtigtes Interesse daran zuzubilligen, dass das Betreten oder Verlassen der Wohnung durch ihn, seine Mitbewohner oder Gäste nicht lückenlos überwacht und aufgezeichnet wird. Dem Hauseigentümer hingegen ist nicht nur zum Schutz seiner eigenen Person, wenn er selbst eine Wohnung in dem Miethaus bewohnt, sondern auch zum Schutz seines Eigentums und seiner Mieter ein berechtigtes Interesse an größtmöglicher Sicherheit vor unbefugtem Eindringen und vor Sachbeschädigungen zuzubilligen. Rechtssatz zu 6Ob256/12h (ABGB § 16, UrhG § 78) Das Recht am eigenen Bild stellt eine besondere Erscheinungsform des allgemeinen Persönlichkeitsrechts dar. Daher kann bereits die Herstellung eines Bildnisses ohne Einwilligung des Abgebildeten einen unzulässigen Eingriff in dessen allgemeines Persönlichkeitsrecht darstellen. Dabei wird das allgemeine Persönlichkeitsrecht des Betroffenen nicht nur dann verletzt, wenn Abbildungen einer Person in deren privatem Bereich angefertigt werden, um diese der Öffentlichkeit zugänglich zu machen. Vielmehr kann auch die Herstellung von Bildnissen einer Person in der Öffentlichkeit zugänglichen Bereichen und ohne Verbreitungsabsicht einen unzulässigen Eingriff in das Persönlichkeitsrecht des Betroffenen darstellen. Rechtssatz zu OGH 4Ob150/08z Der Schutz des § 1328a ABGB kommt auch Personen zu, die in der Öffentlichkeit bekannt sind. Zur „Privatsphäre" zählen auch private, das Familienleben betreffende Umstände, die nicht für eine weitere Öffentlichkeit bestimmt sind. Wer seine privaten Lebensumstände „öffentlich gemacht" hat, indem er etwa ein Interview gibt, in dem auch private Aspekte erörtert werden, oder indem er sich „outet", kann sich nicht auf eine Verletzung seiner Privatsphäre berufen, wenn diese Umstände in der Öffentlichkeit weiter erörtert werden. OGH 8Ob155/06m Beharrliche Kontaktaufnahme mit Ex-Freundin per , Telefonate, (Unterlassungsanspruch nach § 382g Abs 1 EO, begründet auf § 107a StGB und § 1328a ABGB) ARGE DATEN ARGE DATEN

39 ARGE DATEN ARGE DATEN Auswahl Bestimmungen DSG 2000 Veröffentlichung
Meldepflichten Informationsverbundsystem Kontrollbefugnisse Datenschutzbehörde Informationspflichten - Betroffenenrechte ARGE DATEN ARGE DATEN

40 Was ist eine zulässige Veröffentlichung?
DSG Veröffentlichung Was ist eine zulässige Veröffentlichung? Veröffentlichen von Informationen - ist im DSG 2000 Spezialfall der Datenübermittlung - die Veröffentlichung muss rechtlich zulässig sein DSK/DSB neigt zu einer extensiven Interpretation des Begriffs "Veröffentlichung": alles, was kurz öffentlich zugänglich war, etwa eine Aussage vor Gericht oder in einer öffentlichen Gemeinderatssitzung soll für unbestimmte Zeit öffentlich verfügbar sein dürfen und unterliegt keinen schutzwürdigen Interessen des Datenschutzgesetzes Beispiele DSK/DSB-Entscheidungen: DSK K /0017-DSK/2008: Gemeinde hat Bürgerdaten an Zeitung weiter gegeben. Beschwerde abgewiesen, da es sich um ein "öffentliches" Bauverfahren handelt! DSK K /0004-DSK/2008: Gemeinde hat Inhalt einer Gemeinderatssitzung an Zeitung weiter gegeben. Beschwerde abgewiesen, da die Gemeinderatssitzung öffentlich zugänglich gewesen wäre. ARGE DATEN ARGE DATEN

41 Registrierung von Datenanwendungen (§§ 16ff)
DSG Registrierung und Genehmigung Registrierung von Datenanwendungen (§§ 16ff) - Grundsätzlich besteht für jede Datenanwendung Registrierungspflicht, aber: es sind nicht alle Datenanwendungen zu registrieren (§ 17) - Jede Registrierung erfolgt für bestimmte Datenanwendung, für bestimmte Datenarten, bestimmte Personengruppen und bestimmte Zwecke (§ 17) - Eine DVR-Nummer wird einem Unternehmen (Organisation) bei erstmaliger Registrierung einer DA zugeteilt (§ 21) - Registrierung ist kostenlos (§ 53) - Registrierung soll Transparenz sichern (§ 16) - Jedermann kann Einsicht in Registrierung nehmen (§ 16) - Vereinfachte Registrierung bei Muster-Datenanwendungen (§ 19) Dies bedeutet auch, dass bei registrierungsfreien Datenanwendungen KEINE DVR- Nummer geführt werden muss. Dies kann zu Unklarheiten bei Betroffenen über den tatsächlichen Auftraggeber bei Unternehmen führen, die zwar eine DVR-Nummer haben, aber eine Marketingaussendung unter "Berufung" auf die Standardanwendung SA022 "Kundenbetreuung" durchführen. Bisherige Ausnahmen (persönliche und publizistische Verarbeitungen) wurden erheblich ausgeweitet Weiters existieren Musteranwendungen, die die Registrierung zwar nicht ersetzen, jedoch erleichtern sollen. MA001 Personentransport- und Hotelreservierung MA002 Zutrittskontrollsysteme MA003 KFZ-Zulassung durch beliehene Unternehmen MA004 Teilnahme am Informationsverbundsystem MA005 Teilnahme am Informationsverbundsystem FundInfo.at ARGE DATEN ARGE DATEN

42 Registrierungsfreiheit (§ 17)
DSG Registrierung und Genehmigung Registrierungsfreiheit (§ 17) - Standardanwendungen - DA enthält ausschließlich (!) veröffentlichte Daten (typischerweise Telefonbuch-CDs u.ä.) - Führung öffentlich einsehbarer, gesetzlich vorgesehener Register - ausschließlich indirekt personenbezogene Daten - persönliche Datenanwendungen - publizistische Datenanwendungen - manuelle Datenanwendungen, die nicht der Vorabkontrolle unterliegen - bestimmte DA‘s der Republik Österreich - DA für Zwecke der Strafverfolgung Folgende Datenanwendungen sind nicht zu registrieren (§ 17)‏ - nicht-automatisierte ("manuelle") Datenanwendungen, die nicht der Vorabkontrolle unterliegen - DA enthält ausschließlich (!) schon vorher veröffentlichte Daten (Abs. 2 Z 1)‏ - DA dient zum Führen gesetzlich vorgesehener öffentlich einsehbarer Register (Abs. 2 Z 2)‏ Beispiele: Grundbuch, Firmenbuch, auch Melderegister - DA enthält nur indirekt personenbezogene Daten (Abs. 2 Z 3)‏ - bei persönlichen DA's (Abs. 2 Z 4)‏ - für publizistische Zwecke (Abs. 2 Z 5)‏ - bei Standardanwendungen (Abs. 2 Z 6) Beispiel: SA022 Kundenbetreuung/Marketing, SA001Rechnungswesen/Logistik, SA002 Personalverwaltung - bestimmte Datenanwendungen der Republik Österreich (Abs. 3): Schutz der verfassungsmäßigen Einrichtungen der Republik Österreich (Abs. 3 Z 1) Sicherung der Einsatzbereitschaft des Bundesheeres (Abs. 3 Z 2) Sicherung der Interessen der umfassenden Landesverteidigung (Abs. 3 Z 3) Schutz wichtiger außenpolitischer, wirtschaftlicher oder finanzieller Interessen der Republik Ö oder der EU (Abs. 3 Z 4) Vorbeugung, Verhinderung und Verfolgung von Straftaten (Abs. 3 Z5)‏ Die Ausnahmetatbestände des Abs. 3 stellen keine generellen Ausnahmen für alle DA's bestimmter Behörden dar ARGE DATEN ARGE DATEN

43 Was ist ein Informationsverbundsystem (IVS)? (§ 50)
DSG Spezialregelungen Was ist ein Informationsverbundsystem (IVS)? (§ 50) gemeinsame Verwendung von Daten in einer DA durch mehrere [österreichische] Auftraggeber geeigneter Betreiber ist zu bestellen Betreiber ist zwecks Eintrag im DVR zu melden Betreiber hat Auskünfte über Auftraggeber zu geben (12 Wochenfrist!) es können weitere Auftraggeberpflichten an den Betreiber abgetreten werden Meldepflichten des Informationsverbundsystems können an Betreiber formlos übertragen werden (Abs. 2) Erleichterungen der Meldung zusätzlicher Teilnehmer an Informationsverbundsystem: es genügt Verweis auf andere Meldung (Abs. 2a) Stand lt. DVR-Online: 133 Anwendungen gemeldet, davon ca. 80% aus öffentlich-rechtlichen Bereich, 20% private Suche im Online-DVR: https://dvr.dsk.gv.at/at.gv.bka.dvr.public/IVSRecherche.aspx Spezialregelung, die in Hinblick auf folgende Fälle/Beispiele geschaffen wurde: - Kreditschutzevidenzen, gemeinsame Versicherungsevidenzen - Reiseveranstaltungs- und Reservierungssysteme - Gesundheitsverbund - gemeinsame Mitarbeiter- oder Lieferantenverwaltung - Bewerberdatenbank, Besucher - Branchenwünsche: Warndatei der Versandunternehmen, Telekom-Unternehmen öffentlich-rechtliche Beispiele: - Zentrales Waffenregister (BMI)‏ - Europol Informationssystem (Europol)‏ - Vollzugsverwaltung der Justizanstalten (BMJ)‏ - Informationsstelle im Katastrophenfall (MAG Wien)‏ - Missbrauchsopferdatenbank (Land OÖ)‏ - Tiroler Sozialverwaltung (Land Tirol)‏ privat-rechtliche Beispiele: - Kreditschutzverband von 1870 und Dataline Datenverarbeitungs GmbH: Warnliste der österreichischen Kreditinstitute zum Zweck des Gläubigerschutzes - Reed Messe Salzburg GmbH: Ausstellerdatenbank PRISM, Besucherdatenbank - Siemens AG (CP RS ) (Deutschland ): International Development Database ('IDD'), Mr. Ted (Bearbeitung von Bewerbungen)‏ - Verband der Versicherungsunternehmen Österreichs: Kraftfahrzeug- Zulassungsevidenz ARGE DATEN ARGE DATEN

44 Informationsverbundsysteme des BMI
DSG Spezialregelungen Informationsverbundsysteme des BMI - 16 registrierte Informationsverbundsysteme - weitere per Gesetz eingerichtete Informationsverbundsysteme u.a. zentrales Melderegister Beispiele - Sachenfahndung Zweck: Evidenthaltung der Daten von nummerierten Sachen, die zur Fahndung ausgeschrieben wurden - Einsatz-Protokoll-System (EPS-WEB) Zweck: Leitung, Administration und Koordination von sprengelübergreifenden Einsätzen (insbesondere von sicherheitspolizeilichen Schwerpunktaktionen oder Fahndungen) - Kriminalpolizeilicher Aktenindex (KPA) Zweck: Evidenthaltung Personen, gegen die wegen des Verdachts einer vorsätzlich begangenen, von Amts wegen zu verfolgenden gerichtlich strafbaren Handlung Anzeige erstattet wurde + Komplizen - Sicherheitsmonitor Liste der Informationsverbundsysteme des BMI (Stand ) - Anhaltedatei - Vollzugsverwaltung - Betreuungsinformationssystem über die Gewährleistung der vorübergehenden Grundversorgung für hilfs- und schutzbedürftige Fremde in Österreich (entsprechend der Grundversorgungsvereinbarung gem. Art. 15a B-VG) - Einsatz-Protokoll-System (EPS-WEB) - Evidenthaltung von Daten zu falschen und verfälschten Dokumenten, zum Gebrauch fremder Ausweise sowie zu Dokumenten, die als Beweismittel dienen - Kriminalpolizeilicher Aktenindex (KPA) - Personeninformation - Evidenthaltung von pass- und/oder waffenrechtlichen Informationen und/oder Gefährder-Informationen - Sachenfahndung – Evidenthaltung der Daten von nummerierten Sachen, die zur Fahndung ausgeschrieben wurden - Sicherheitsmonitor - Teilnahme am Informationsverbundsystem: Evidenthaltung von ausgeschriebenen und widerrufenen Personenfahndungen - Teilnahme am Informationsverbundsystem: Zentrales Waffenregister (ZWR) - Zentrale Gewaltschutzdatei - Zentrales Fremdenregister - Zentrales Fremdenregister (ALT) - Zentrales Identitätsdokumentenregister - Zentrales Waffenregister (ZWR) ARGE DATEN ARGE DATEN

45 DSG 2000 - Kontrollbefugnisse
Konzept der Vorabkontrolle (DSG 2000 § 10, § 18 Abs. 2, §§ 20, 21, 30, § 10) bestimmte Datenanwendungen unterliegen einer Vorabkontrolle durch DSB - DA's die sensible Daten verwenden - DA's die in Form eines Informationsverbundsystems betrieben werden - registrierungspflichtige Videoüberwachungen - DA's die Daten zur Beurteilung der Kreditwürdigkeit dienen bzw. strafrechtlich relevante Daten verarbeiten Voraussetzungen der Vorabkontrolle: Prüfung auch ohne Verdachtsmomente möglich Auflagen zum Betrieb der Datenanwendung können erteilt werden Voraussetzung der Vorabkontrolle (§ 18): Bestimmte Datenanwendungen unterliegen der Vorabkontrolle durch die DSB. Bei diesen Datenanwendungen darf dann erst nach ihrer Genehmigung mit der Verarbeitung begonnen werden (§ 20). DA ist meldepflichtig (z.B. keine Standardanwendung) DA ist keine Musteranwendung DA betrifft nicht innere Angelegenheiten anerkannter Kirchen und Religionsgesellschaften + es trifft zumindest eine der Bedingungen zu - DA enthält sensible Daten - DA enthält strafrechtlich relevante Daten - DA dient der Auskunftserteilung über die Kreditwürdigkeit - DA wird in Form eines Informationsverbundsystems geführt Vorabkontrolle ermöglicht die Prüfung der Datenanwendung ohne Vorliegen von Verdachtsmomenten (§ 30). Die DSB kann Auflagen zum Betrieb der Datenanwendung erteilen (§ 21). Die Heranziehung von Dienstleistern bei vorabkontrollpflichtigen Datenanwendungen öffentlich-rechtlicher Auftraggeber ist der DSB mitzuteilen (§ 10). ARGE DATEN ARGE DATEN

46 Informationspflicht (§ 24 / Art. 10, 11, 14 EG-RL)
DSG Informationspflicht Informationspflicht (§ 24 / Art. 10, 11, 14 EG-RL) Informationspflicht anlässlich Ermittlung Zweck Auftraggeber Spätestens zum Zeitpunkt der Übermittlung Entfällt, - bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind oder - bei mangelnder Erreichbarkeit der Betroffenen oder - bei Unwahrscheinlichkeit der Beeinträchtigung der Betroffenenrechte und Höhe der Kosten der Information Informationspflicht ist "Bringschuld" des Auftraggebers! Betroffene sind aus Anlass der Ermittlung zu informieren über Zweck der DA Namen/Adresse des Auftraggebers Notwendige weitere Informationen sind in geeigneter Weise zu geben: Widerspruchsrechte gegen Übermittlungen rechtliche Verpflichtung zur Beantwortung von Fragen Verarbeitung in einem Informationsverbundsystem, ohne gesetzlichen Auftrag Werden Daten nicht direkt beim Betroffenen ermittelt, entfällt die Informationspflicht: bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind oder bei mangelnder Erreichbarkeit der Betroffenen oder bei Unwahrscheinlichkeit der Beeinträchtigung der Betroffenenrechte und Höhe der Kosten der Information Keine Informationspflicht besteht bei jenen Datenanwendungen, die gemäß § 17 Abs. 2 und 3 nicht meldepflichtig sind [persönliche DA, publizistische DA, indirekt pesonenbezogene Daten, DA zum Schutz der Verfassung/Einsatzbereitschaft/Landesverteidigung/Strafverfolgung] ARGE DATEN ARGE DATEN

47 Informationspflicht ARGE DATEN ARGE DATEN
DSG Informationspflicht Informationspflicht (DSG 2000 § 24 Abs. 2a) Betroffene sind von Datenschutzverletzungen zu informieren - wenn schwerwiegend und systematisch - wenn Betroffenen Schaden droht - Ausnahme: keine Informationspflicht wenn Schaden nur "geringfügig" und Verständigungsaufwand "unverhältnismäßig hoch" Es handelt sich um eine Informationspflicht "light", die gegenüber dem ursprünglichen Entwurf erheblich reduziert wurde. § 24 Abs. 2a : “(2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Diese Verpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert.” [Ursprüngliche Version des Beamtenentwurfs (2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden, hat er darüber unverzüglich die Betroffenen zu informieren.] ARGE DATEN ARGE DATEN

48 Betroffenenrecht - Auskunft (§ 26) I
DSG Betroffenenrechte Betroffenenrecht - Auskunft (§ 26) I Auskunft ist auf Verlangen bei Nachweis der Identität zu geben (Abs. 1) [Berufung auf DSG nicht erforderlich!] Auskunftsfrist sind 8 Wochen (Abs. 4) Antragsteller hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3) ungerechtfertigter Aufwand ist zu vermeiden Auskunftsrecht unabhängig von Registrierungserfordernis [!!] von einem Vertragsverhältnis von tatsächlichem Vorhandensein von Daten von sonstigen Voraussetzungen (Verdacht des Datenmissbrauchs, einer Datenweitergabe, ...) Auskunftsbegehren kann mit Zustimmung des Auftraggebers mündlich gestellt werden (Abs. 1)‏ Auskunft kann mit Zustimmung des Betroffenen mündlich erteilt werden (Abs. 1)‏ Hinweis! Auskunftspflicht trifft auch auf nicht registrierte Verarbeitungen zu! umfasst also auch Standardanwendungen, persönliche Datenanwendungen oder DAs für publizistische Tätigkeit Typische geeignete Identitätsnachweise: bei Kundenbeziehungen: Stammdatenvergleich, Unterschriftenvergleich ohne Kundenbeziehung: Antwort eingeschrieben bzw. eingeschrieben/eigenhändig zusenden Ausweisdokument vorlegen (Kopie)‏ ARGE DATEN ARGE DATEN

49 Betroffenenrecht - Auskunft (§ 26) II
DSG Betroffenenrechte Betroffenenrecht - Auskunft (§ 26) II Auftraggeber hat Auskunft zu erteilen über Zweck der Datenanwendung die verwendeten Daten in allgemein verständlicher Form verfügbare Information über ihre Herkunft allfällige Empfänger oder Empfängerkreise von Übermittlungen Name und Adresse des Dienstleisters (muss vom Betroffenen extra verlangt werden) 4 Monate Löschungsverbot nach Einlangen des Auskunftsbegehrens, aber DSG-Novelle 2010: kein Löschungsverbots in jenen Fällen, bei denen der Auskunftswerber (Betroffene) die Löschung wünscht (Abs. 7) Auskunftsbegehren und Auskunft haben schriftlich zu erfolgen, Abweichung im Einverständnis der Gegenseite möglich Kostenlose Auskunft ist jedenfalls zu erteilen (Abs. 6), wenn: Auskunft aktuellen Datenbestand betrifft und im laufenden Jahr noch keine Auskunft zum selben Aufgabengebiet des Auftraggebers erfolgte In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden (Abs. 6)‏ bei höheren tatsächlichen Kosten kann davon abgewichen werden Führt die Auskunft zu einer Löschung oder Richtigstellung, sind die Kosten auf jeden Fall zu ersetzen. Ergänzungen begründen noch keine Kostenforderung Löschungsverbot von 4 Monaten nach Einlangen der Auskunft (Abs. 7)‏ Bei Beschwerde vor der DSB Löschungsverbot bis zum Abschluss des rechtskräftigen Verfahrens ARGE DATEN ARGE DATEN

50 Auskunftsrecht ist "Holschuld" des Betroffenen!
DSG Betroffenenrechte Betroffenenrecht - Auskunft (§ 26) III begründete Auskunftsverweigerung / Auskunftsbegrenzungen sind möglich, u.a. - Schikaneverbot: Betroffener wurden Daten schon mitgeteilt (etwa Kontoauszüge, OGH 6Ob25/90), trifft nicht zu, dass ein Betroffener bestimmte Daten sowieso "wissen" müsste - überwiegende Interessen des Auftraggebers oder Dritter - aus therapeutischen Gründen (Gesundheitszustand) - formale Gründe: fehlender Identitätsnachweis, fehlender Kostenersatz, fehlende Mitwirkung, ... Auskunft ist einmal im Jahr bei aktuellen Daten kostenfrei ansonsten tatsächliche Kosten oder pauschalierter Ersatz Auskunftsrecht ist "Holschuld" des Betroffenen! Gründe für Auskunftsverweigerung wenn Daten dem Betroffenen aus anderen Quellen bekannt sind (Kontoauszug, Online abrufbar, ...) überwiegende berechtigte Interessen des Auftraggebers überwiegende berechtigte Interessen eines Dritten überwiegende öffentliche Interessen wenn Betroffener nicht mitwirkt , insbesondere Kosten nicht bezahlt werden oder kein geeigneter Identitäsnachweis möglich ist wenn ein erforderlicher Kostenersatz nicht geleistet wird zum Schutz des Betroffenen ("Therapeutisches Privileg")‏ Auskunftsrecht steht in Verfassungsrang und kann daher nicht ohne weiters gesetzlich eingeschränkt werden. ARGE DATEN ARGE DATEN

51 Betroffenenrecht - Löschung/Richtigstellung (§ 27)
DSG Betroffenenrechte Betroffenenrecht - Löschung/Richtigstellung (§ 27) - grundsätzlich besteht Richtigstellungspflicht des Auftraggebers sobald Daten nicht mehr richtig, nicht (mehr) benötigte oder unzulässig verarbeitete Daten sind zu löschen - Betroffene können Richtigstellungsantrag stellen - Verpflichtung gilt auch für unvollständige Daten, veraltete Daten, irreführende Daten Beweislast der Richtigkeit von Daten, wenn beantragte Änderung verweigert wird, liegt beim Auftraggeber Jedoch! Werden Daten ausschließlich gemäß Betroffenenangaben verarbeitet hat der Betroffene Fehler/Änderung zu belegen Richtigstellungspflicht des Auftraggebers (Abs. 1)‏ Aus eigenem, sobald ihm die Unrichtigkeit der Daten bzw. Unzulässigkeit der Verarbeitung bekannt wurden (Z1)‏ auf begründeten Antrag des Betroffenen (Z2)‏ Frist zur Löschung/Richtigstellung: 8 Wochen (Abs. 4)‏ unvollständige Daten sind zu berichtigen, soweit es zum Zweck der Datenanwendung notwendig ist (Abs. 1)‏ nicht benötigte Daten entsprechen unzulässig verarbeiteten Daten und sind zu löschen (Abs. 1)‏ Ausnahme: die Archivierung der Daten ist rechtlich zulässig und der Zugang besonders geschützt Beweis der Richtigkeit liegt beim Auftraggeber (Abs. 2) Ausnahmen: gesetzlich anders angeordnet (!) Daten stammen ausschließlich vom Betroffenen ARGE DATEN ARGE DATEN

52 Beschwerdeverfahren vor DSB (§ 31)
DSG Kontrollbefugnisse Beschwerdeverfahren vor DSB (§ 31) - bei allen Auskunftsverfahren nach § 26, zusätzlich bei Auskünften im Zusammenhang mit automatisierten Einzelentscheidungen (§ 49 Abs. 3) und Auskünften von Betreibern von Informationsverbundsystemen (§ 50 Abs. 1) (§ 31 Abs. 1) - Verletzungen des Rechts auf Geheimhaltung (§ 1) oder Löschung und Richtigstellung (§ 27 und § 28) bei Datenanwendungen die in Vollziehung der Gesetze betrieben werden (§ 31Abs. 2) § 31. (1) Die Datenschutzkommission erkennt über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft nach § 26 oder nach § 50 Abs. 1 dritter Satz oder in ihrem Recht auf Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs. 3 verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht. (2) Die Datenschutzkommission erkennt weiters über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Geheimhaltung (§ 1 Abs. 1) oder in ihrem Recht auf Richtigstellung oder auf Löschung (§§ 27 und 28) verletzt zu sein, sofern der Anspruch nicht nach § 32 Abs. 1 vor einem Gericht geltend zu machen ist oder sich gegen ein Organ im Dienste der Gesetzgebung oder der Gerichtsbarkeit richtet. (3) Die Beschwerde hat zu enthalten: 1. die Bezeichnung des als verletzt erachteten Rechts, 2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner), 3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird, 4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt, 5. das Begehren, die behauptete Rechtsverletzung festzustellen und 6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist. (4) Einer Beschwerde nach Abs. 1 sind außerdem das zu Grunde liegende Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) und eine allfällige Antwort des Beschwerdegegners anzuschließen. Einer Beschwerde nach Abs. 2 sind außerdem der zu Grunde liegende Antrag auf Richtigstellung oder Löschung und eine allfällige Antwort des Beschwerdegegners anzuschließen. (5) Die der Datenschutzkommission durch § 30 Abs. 2 bis 4 eingeräumten Kontrollbefugnisse kommen ihr auch in Beschwerdeverfahren nach Abs. 1 und 2 gegenüber dem Beschwerdegegner zu. Ebenso besteht auch hinsichtlich dieser Verfahren die Verschwiegenheitspflicht nach § 30 Abs. 5. ARGE DATEN ARGE DATEN

53 Beschwerdeverfahren vor Gericht (§ 32)
DSG Kontrollbefugnisse Beschwerdeverfahren vor Gericht (§ 32) - Gerichtszuständigkeit: gegenüber Rechtsträgern die Datenanwendungen "nicht in Vollziehung der Gesetze" betreiben (Abs. 1) - Klarstellung der Gerichtszuständigkeit bei Einstweiligen Verfügungen (Abs. 4) - Möglichkeit der Nebenintervention der DSB bei Zivilklagen, jetzt "Einschreiter" (Abs. 6) - Gericht kann DSB auf Überprüfung nach DSG 2000 §§ 22 und 22a ersuchen (Abs. 7) Zivilgerichte: zuständige 16 Landesgerichte: LG Eisenstadt, Feldkirch, Zivilrechtssachen Graz, Innsbruck, Klagenfurt, Korneuburg, Krems a/d Donau, Leoben, Linz, Ried/Innkreis, Salzburg, St. Pölten, Steyr, Wels, Zivilrechtssachen Wien, Wr. Neustadt (http://www.bmj.gv.at/_cms_upload/_docs/gerichte_und_behoerden2005.pdf)‏ § 32 Abs. 1: “(1) Ansprüche wegen Verletzung der Rechte einer Person oder Personengemeinschaft auf Geheimhaltung, auf Richtigstellung oder auf Löschung gegen natürliche Personen, Personengemeinschaften oder Rechtsträger, die in Formen des Privatrechts eingerichtet sind, sind, soweit diese Rechtsträger bei der behaupteten Verletzung nicht in Vollziehung der Gesetze tätig geworden sind, auf dem Zivilrechtsweg geltend zu machen.” § 32 Abs. 4): “(4) Für Klagen und Anträge auf Erlassung einer einstweiligen Verfügung nach diesem Bundesgesetz ist in erster Instanz das mit der Ausübung der Gerichtsbarkeit in bürgerlichen Rechtssachen betraute Landesgericht zuständig, in dessen Sprengel der Kläger (Antragsteller) seinen gewöhnlichen Aufenthalt oder Sitz hat. Klagen (Anträge) können aber auch bei dem Landesgericht erhoben werden, in dessen Sprengel der Beklagte seinen gewöhnlichen Aufenthalt oder Sitz oder eine Niederlassung hat.” § 32 Abs. 6: “(6) Die Datenschutzkommission hat, wenn ein Einschreiter (§ 30 Abs. 1) es verlangt und es zur Wahrung der nach diesem Bundesgesetz geschützten Interessen einer größeren Zahl von natürlichen Personen geboten ist, einem Rechtsstreit auf Seiten des Einschreiters als Nebenintervenient (§§ 17 ff ZPO) beizutreten.” § 32 Abs. 7): “(7) Anlässlich einer zulässigen Klage nach Abs. 1, die sich auf eine nach Ansicht des Gerichts meldepflichtige Datenanwendung bezieht, kann das Gericht die Datenschutzkommission um Überprüfung nach den §§ 22 und 22a ersuchen. Die Datenschutzkommission hat das Gericht vom Ergebnis der Überprüfung zu verständigen. Dieses ist sodann vom Gericht auch den Parteien bekannt zu geben, sofern das Verfahren noch nicht rechtskräftig beendet ist.” ARGE DATEN ARGE DATEN

54 ARGE DATEN ARGE DATEN Datenschutz Sicherheitsbehörden
Sicherheitspolizeigesetz Strafprozessordnung Sonstige Bestimmungen Entscheidungen DSK/DSB - ARGE DATEN ARGE DATEN

55 Grundprinzipien in der Datenverwendung
Datenschutzanforderungen Sicherheitsbehörden Grundprinzipien in der Datenverwendung - jede Tätigkeit erfordert eine gesetzliche Grundlage - jede Verwendung personenbezogener Daten stellt einen Grundrechtseingriff dar - für die Verwendung personenbezogener Daten gelten grundsätzlich zusätzlich die Bestimmungen des DSG 2000, die Verwendung von Daten ist (mit Ausnahmen) bei DVR bzw. DSB melde- oder genehmigungspflichtig - Ausnahmen der Meldepflicht: a) per Gesetz eingerichtete öffentlich zugängliche Datenanwendungen b) Standardanwendungen c) Datenanwendungen die zur Aufrechterhaltung der Sicherheit des Landes erforderlich sind - Beachtung der Verhältnismäßigkeit (u.a. § 29 SPG) - unabhängig von Meldung und gesetzlichen Vorgaben ist das Prinzip des minimalen Eingriffs in Grundrechte und die Zweckbindung zu beachten (EMRK, Verfassungsbestimmung) - ARGE DATEN ARGE DATEN

56 Datenschutz im Sicherheitspolizeigesetz (SPG)
Datenschutzanforderungen Sicherheitsbehörden Datenschutz im Sicherheitspolizeigesetz (SPG) Regelt Tätigkeit als Sicherheitspolizei, Datenerhebung erfolgt im eigenen Ermessen - Regelung der Verarbeitungsvoraussetzungen (§ 53 Abs. 1) - Regelung zu den Ermittlungsstellen (§ 53 Abs ) - Regelung zum Datenabgleich (§ 53 Abs. 2) - allgemeine Regelung zu Datenanwendungen und Umfang der verarbeiteten Daten (§§ 53a, 53b) - Regelung der technischen Datenermittlung (§ 54) - Regelung der Datenübermittlung (§ 56) - Regelung zu bestimmten (zentralen) Datenanwendungen + zentrale Personenevidenz (§§ 57, 58) + Sicherheitsmonitor (§ 58a) + Vollzugsverwaltung (§ 58b) + zentrale Gewaltschutzdatei (§ 58c) + zentrale Analysedatei (§ 58d) + (zentrale) erkennungsdienstliche Evidenz (§§ ) - ARGE DATEN ARGE DATEN

57 Datenschutzanforderungen Sicherheitsbehörden
SPG - Verarbeitungsvoraussetzungen Unter welchen Bedingungen dürfen personenbezogene Daten verwendet werden? - Dokumentation von Amtshandlungen (§§ 13, 13a) - Ermittlung von sachdienlichen Hinweisen im Rahmen der "ersten allgemeinen Hilfeleistungspflicht" (§§ 19, 34, 53 Abs. 1 Z 1) Beschränkungen: u.a. Auskunft kann nicht durch Ausübung von Zwangsgewalt durchgesetzt werden, Gefährdeter lehnt Hilfe ab - § 53 listet zulässige Verarbeitungen auf, u.a. Abwehr krimineller Verbindungen iS § 16 Abs. 1 Z 2 (§ 53 Abs. 1 Z 1) Abwehr gefährlicher Angriffe iS § 16 Abs. 2 (§ 53 Abs. 1 Z 3) Zwecke der Fahnung iS § 24 (§ 53 Abs. 1 Z 5) Aufrechterhaltung der öffentlichen Ordnung bei einem bestimmten Ereignis (§ 53 Abs. 1 Z 6) Beschränkungen: Datenabgleich "Rasterfahndung" iS StPO § 141 ist unzulässig (§ 53 Abs. 2) SPG § 53 Zulässigkeit der Verarbeitung (1) Die Sicherheitsbehörden dürfen personenbezogene Daten ermitteln und weiterverarbeiten 1. für die Erfüllung der ersten allgemeinen Hilfeleistungspflicht (§ 19); 2. für die Abwehr krimineller Verbindungen (§§ 16 Abs. 1 Z 2 und 21); 2a. für die erweiterte Gefahrenerforschung (§ 21 Abs. 3) unter den Voraussetzungen des § 91c Abs. 3; 3. für die Abwehr gefährlicher Angriffe (§§ 16 Abs. 2 und 3 sowie 21 Abs. 2); einschließlich der im Rahmen der Gefahrenabwehr notwendigen Gefahrenerforschung (§ 16 Abs. 4 und § 28a); 4. für die Vorbeugung wahrscheinlicher gefährlicher Angriffe gegen Leben, Gesundheit, Sittlichkeit, Freiheit, Vermögen oder Umwelt (§ 22 Abs. 2 und 3) oder für die Vorbeugung gefährlicher Angriffe mittels Kriminalitätsanalyse, wenn nach der Art des Angriffes eine wiederholte Begehung wahrscheinlich ist; 5. für Zwecke der Fahndung (§ 24); 6. um bei einem bestimmten Ereignis die öffentliche Ordnung aufrechterhalten zu können; 7. für die Analyse und Bewertung der Wahrscheinlichkeit einer Gefährdung der verfassungsmäßigen Einrichtungen und ihrer Handlungsfähigkeit durch die Verwirklichung eines Tatbestandes nach dem Vierzehnten und Fünfzehnten Abschnitt des Strafgesetzbuches. (2) Die Sicherheitsbehörden dürfen Daten, die sie in Vollziehung von Bundes- oder Landesgesetzen verarbeitet haben, für die Zwecke und unter den Voraussetzungen nach Abs. 1 ermitteln und weiterverarbeiten; ein automationsunterstützter Datenabgleich im Sinne des § 141 StPO ist ihnen jedoch untersagt. Bestehende Übermittlungsverbote bleiben unberührt. (3) Die Sicherheitsbehörden sind berechtigt, von den Dienststellen der Gebietskörperschaften, den anderen Körperschaften des öffentlichen Rechtes und den von diesen betriebenen Anstalten Auskünfte zu verlangen, die sie für die Abwehr gefährlicher Angriffe, für die erweiterte Gefahrenerforschung unter den Voraussetzungen nach Abs. 1 oder für die Abwehr krimineller Verbindungen benötigen. Eine Verweigerung der Auskunft ist nur zulässig, soweit andere öffentliche Interessen die Abwehrinteressen überwiegen oder eine über die Amtsverschwiegenheit (Art. 20 Abs. 3 B-VG) hinausgehende sonstige gesetzliche Verpflichtung zur Verschwiegenheit besteht. ARGE DATEN ARGE DATEN

58 SPG - Verarbeitungsvoraussetzungen II
Datenschutzanforderungen Sicherheitsbehörden SPG - Verarbeitungsvoraussetzungen II - Verarbeitungsermächtigungen im Zusammenhang mit wahrscheinlichen Straftaten: Vorbeugung wahrscheinlicher gefährlicher Angriffe (§ 53 Abs. 1 Z 4) Analyse und Bewertung der Wahrscheinlichkeit der Gefährdung verfassungsmäßiger Einrichtungen (§ 53 Abs. 1 Z 7) - Verarbeitungsermächtigung auch zur "erweiterten Gefahrenerforschung" iS § 21 Abs. iVm § 53 Abs. 1 Z 2a und § 91 Abs 3 ("Rechtsschutzbeauftragter") diese Verarbeitungermächtigungen werden regelmäßig kritisiert, da ihre Abgrenzung zur permanenten Überwachung legitimer persönlicher Lebensführung inkl. Meinungsfreiheit ungenau ist SPG § 53 Zulässigkeit der Verarbeitung (Fortsetzung) - ARGE DATEN ARGE DATEN

59 SPG - Regelung Ermittlungsstellen § 53
Datenschutzanforderungen Sicherheitsbehörden SPG - Regelung Ermittlungsstellen § 53 - "Generalermächtigung": alle verfügbaren Quellen durch Einsatz geeigneter Mittel, insbsondere Zugriff auf allgemein zugängliche Daten (§ 53 Abs. 4) - Auskunftsverpflichtung von Gebietskörperschaften / Körperschaften öffentlichen Rechts (§ 53 Abs. 3) Anwendungsfall: Abwehr krimineller Verbindungen ( § 53 Abs. 1 Z 2), erweiterte Gefahrenerforschung ( § 53 Abs. 1 Z 2a) und Abwehr gefährlicher Angriffe ( § 53 Abs. 1 Z 3) Beschränkungen: Auskunftsverweigerung nur bei überwiegenden öffentlichen Interessen, Amtsverschwiegenheit allein kein Verweigerungsgrund - Auskunftsverpflichtung von Behörden des Bundes, Landes, Gemeinden im Zusammenhang mit gefährliche Umweltangriffe (§ 53 Abs. 3d) keine Auskunftsverweigerung vorgesehen SPG § 53 Zulässigkeit der Verarbeitung (Fortsetzung) (3d) Die Sicherheitsbehörden sind zur Vorbeugung und Abwehr gefährlicher Angriffe gegen die Umwelt berechtigt, von Behörden des Bundes, der Länder und Gemeinden Auskünfte über von diesen genehmigte Anlagen und Einrichtungen zu verlangen, bei denen wegen der Verwendung von Maschinen oder Geräten, der Lagerung, Verwendung oder Produktion von Stoffen, der Betriebsweise, der Ausstattung oder aus anderen Gründen besonders zu befürchten ist, dass im Falle einer Abweichung der Anlage oder Einrichtung von dem der Rechtsordnung entsprechenden Zustand eine Gefahr für das Leben, die Gesundheit mehrerer Menschen oder in großem Ausmaß eine Gefahr für Eigentum oder Umwelt entsteht. Die ersuchte Behörde ist verpflichtet, die Auskunft zu erteilen. (4) Abgesehen von den Fällen der Abs. 2 bis 3b und 3d sind die Sicherheitsbehörden für Zwecke des Abs. 1 berechtigt, personenbezogene Daten aus allen anderen verfügbaren Quellen durch Einsatz geeigneter Mittel, insbesondere durch Zugriff auf allgemein zugängliche Daten, zu ermitteln und weiterzuverarbeiten. ARGE DATEN ARGE DATEN

60 SPG - Regelung Ermittlungsstellen § 53 II
Datenschutzanforderungen Sicherheitsbehörden SPG - Regelung Ermittlungsstellen § 53 II - Verwendung von Bild- und Tondaten von öffentlichen und privaten Rechtsträgern (§ 53 Abs. 5) Anwendungsfall: schwere Gefahr der öffentlichen Sicherheit ( ??), erweiterte Gefahrenerforschung ( Abs. 1 Z 2a) und Fahndung iS § 24 ( Abs. 1 Z 5) Beschränkungen: Aufzeichnungen zu nichtöffentlichem Verhalten dürfen nicht verwendet werden, Daten müssen rechtmäßig ermittelt worden sein (dazu kann auch die Genehmigung einer Videoüberwachung durch die DSB gehören) SPG § 53 Zulässigkeit der Verarbeitung (Fortsetzung) (5) Die Sicherheitsbehörden sind im Einzelfall und unter den Voraussetzungen des § 54 Abs. 3 ermächtigt, für die Abwehr gefährlicher Angriffe und krimineller Verbindungen, wenn bestimmte Tatsachen auf eine schwere Gefahr für die öffentliche Sicherheit schließen lassen, für die erweiterte Gefahrenerforschung (§ 21 Abs. 3) und zur Fahndung (§ 24) personenbezogene Bilddaten zu verwenden, die Rechtsträger des öffentlichen oder privaten Bereichs mittels Einsatz von Bild- und Tonaufzeichnungsgeräten rechtmäßig ermittelt und den Sicherheitsbehörden übermittelt haben. Dabei ist besonders darauf zu achten, dass Eingriffe in die Privatsphäre der Betroffenen die Verhältnismäßigkeit (§ 29) zum Anlass wahren. Nicht zulässig ist die Verwendung von Daten über nichtöffentliches Verhalten. ARGE DATEN ARGE DATEN

61 SPG - Regelung Ermittlungsstellen § 53 III
Datenschutzanforderungen Sicherheitsbehörden SPG - Regelung Ermittlungsstellen § 53 III detaillierte Sonderregelung für Telekommunikationsdienste (Telefon & Internet) (§ 53 Abs. 3a, 3b, 3c) - Name, Anschrift, Teilnehmernummer: zu einem Anschluss, generell wenn SPG anwendbar (§ 53 Abs. 3a Z 1) - Internetprotokolladresse (IP-Adresse), Übermittlungszeitpunkt: zu einer Nachricht (§ 53 Abs. 3a Z 2) + Name, Anschrift: zu einer IP-Adresse (§ 53 Abs. 3a Z 3) im Rahmen der ersten Hilfeleistungspflicht (lit a) gefährlicher Angriff (lit b) kriminelle Verbindung (lit c) - Name, Anschrift, Teilnehmernummer: unter Bezugnahme auf ein Gespräch (§ 53 Abs. 3a Z 4) im Rahmen der ersten Hilfeleistungspflicht oder gefährlicher Angriff - Standortdaten, IMSI-Nummer: bei gegenwärtiger Gefahr (§ 53 Abs. 3b) SPG § 53 Zulässigkeit der Verarbeitung (Fortsetzung) (3a) Die Sicherheitsbehörden sind berechtigt, von Betreibern öffentlicher Telekommunikationsdienste (§ 92 Abs. 3 Z 1 Telekommunikationsgesetz TKG 2003, BGBl. I Nr. 70) und sonstigen Diensteanbietern (§ 3 Z 2 E-Commerce-Gesetz - ECG, BGBl. I Nr. 152/2001) Auskünfte zu verlangen: 1. über Namen, Anschrift und Teilnehmernummer eines bestimmten Anschlusses wenn dies zur Erfüllung der ihnen nach diesem Bundesgesetz übertragenen Aufgaben erforderlich ist, 2. über die Internetprotokolladresse (IP-Adresse) zu einer bestimmten Nachricht und den Zeitpunkt ihrer Übermittlung, wenn sie diese Daten als wesentliche Voraussetzung zur Abwehr a) einer konkreten Gefahr für das Leben, die Gesundheit oder die Freiheit eines Menschen im Rahmen der ersten allgemeinen Hilfeleistungspflicht (§ 19), b) eines gefährlichen Angriffs (§ 16 Abs. 1 Z 1) oder c) einer kriminellen Verbindung (§ 16 Abs.1 Z 2) benötigen, 3. über Namen und Anschrift eines Benutzers, dem eine IP-Adresse zu einem bestimmten Zeitpunkt zugewiesen war, wenn sie diese Daten als wesentliche Voraussetzung zur Abwehr a) einer konkreten Gefahr für das Leben, die Gesundheit oder die Freiheit eines Menschen im Rahmen der ersten allgemeinen Hilfeleistungspflicht (§19), c) einer kriminellen Verbindung (§ 16 Abs. 1 Z 2) benötigen, 4. über Namen, Anschrift und Teilnehmernummer eines bestimmten Anschlusses durch Bezugnahme auf ein von diesem Anschluss geführtes Gespräch durch Bezeichnung eines möglichst genauen Zeitraumes und der passiven Teilnehmernummer, wenn dies zur Erfüllung der ersten allgemeinen Hilfeleistungspflicht oder zur Abwehr gefährlicher Angriffe erforderlich ist. (3b) Ist auf Grund bestimmter Tatsachen anzunehmen, dass eine gegenwärtige Gefahr für das Leben, die Gesundheit oder die Freiheit eines Menschen besteht, sind die Sicherheitsbehörden zur Hilfeleistung oder Abwehr dieser Gefahr berechtigt, von Betreibern öffentlicher Telekommunikationsdienste Auskunft über Standortdaten und die internationale Mobilteilnehmerkennung (IMSI) der von dem gefährdeten oder diesen begleitenden Menschen mitgeführten Endeinrichtung zu verlangen sowie technische Mittel zur Lokalisierung der Endeinrichtung zum Einsatz zu bringen. (3c) In den Fällen der Abs. 3a und 3b trifft die Sicherheitsbehörde die Verantwortung für die rechtliche Zulässigkeit des Auskunftsbegehrens. Die ersuchte Stelle ist verpflichtet, die Auskünfte unverzüglich und im Fall des Abs. 3b gegen Ersatz der Kosten nach der Überwachungskostenverordnung – ÜKVO, BGBl. II Nr. 322/2004, zu erteilen. Im Falle des Abs. 3b hat die Sicherheitsbehörde dem Betreiber überdies unverzüglich, spätestens innerhalb von 24 Stunden eine schriftliche Dokumentation nachzureichen. In den Fällen des Abs. 3a Z 3 sowie Abs. 3b ist die Sicherheitsbehörde verpflichtet, den  Betroffenen darüber zu informieren, dass eine Auskunft zur Zuordnung seines Namens oder seiner Anschrift zu einer bestimmten IP-Adresse (§ 53 Abs. 3a Z 3)  oder zur Standortbeauskunftung (§ 53 Abs. 3b) eingeholt wurde, sofern hiefür die Verwendung von Vorratsdaten gemäß § 99 Abs. 5 Z 3 oder 4 iVm § 102a TKG 2003 erforderlich war. Dabei sind dem Betroffenen nachweislich und ehestmöglich die Rechtsgrundlage sowie das Datum und die Uhrzeit der Anfrage bekannt zu geben. Die Information Betroffener kann aufgeschoben werden, solange durch sie der Ermittlungszweck gefährdet wäre, und kann unterbleiben, wenn der Betroffene bereits nachweislich Kenntnis erlangt hat oder die Information des Betroffenen unmöglich ist. ARGE DATEN ARGE DATEN

62 ARGE DATEN ARGE DATEN Internet-Ermittlung gemäß SPG
Posting Ermittlungsschritt 1: Auskunft über IP-Adresse und Zeitpunkt des Postings von Forumsbetreiber Standard (SPG § 53 Abs. 3a Z 2) Ergebnis: IP: Zeitpunkt: :19 Ermittlungsschritt 2: Whois-Abfrage (öffentlich zur IP-Adresse (SPG § 53 Abs. 4) Ergebnis: IP-Net-Block wird von Provider (z.B. A1 Telekom) verwaltet Ermittlungsschritt 3: Auskunft bei Provider zu Anschlussinhaber von IP-Adresse zum angegebenen Zeitpunkt (SPG § 53 Abs. 3a Z 3) Ergebnis: Name, Anschrift des Posters - ARGE DATEN ARGE DATEN

63 Möglicherweise sind die "Mitläufer" ergiebiger
Internet-Ermittlung gemäß SPG Probleme in der Ermittlung bei Ermittlungsschritt 1: - es besteht keine Verpflichtung der Redaktion IP-Adresse zu ermitteln und/oder aufzubewahren bei Ermittlungsschritt 2: - Datenbank muss nicht aktuell sein, kann auf falsche Stelle/Person verweisen (trifft besonders auf "statische" IP-Adressen zu) - bei ausländischen IP-Adressen greifen die SPG-Bestimmungen nicht (Tor-Netzwerk, externe Proxy, ...) bei Ermittlungsschritt 3: - es besteht keine Verpflichtung des Providers Telekom-Daten länger als für seine Zwecke nötig aufzubewahren (keine Vorratsdatenhaltung) - Auskunft bezieht sich nur auf Anschlussinhaber (Vertragspartner), nicht jedoch auf tatsächlichen Benutzer - Anschlussinhaber ist nicht verpflichtet besondere Aufzeichnungen über Nutzer zu machen (z.B. Internet-Cafes, freie LANs, ...) - Möglicherweise sind die "Mitläufer" ergiebiger ARGE DATEN ARGE DATEN

64 Datenschutz in der Strafprozessordnung (StPO)
Datenschutzanforderungen Sicherheitsbehörden Datenschutz in der Strafprozessordnung (StPO) Regelt Tätigkeit als Kriminalpolizei (StPO § 18), Anordnungsbefugnis von Staatsanwaltschaft und Gericht - Organisation der Kriminalpolizei gemäß SPG geregelt (SPG § 5) - Regelung des Ermittlungszweckes (StPO §§ 3, 91) Beischaffung von Entscheidungsgrundlagen zu Anklage, Rücktritt von der Verfolgung oder Einstellung des Verfahrens ("Objektivitätsgebot") - Grundsatz der Verhältnismäßigkeit bei der Ermittlung (StPO § 74) - Regelung der Ermittlungsvoraussetzungen (StPO § 99, 100, 103, 169) Kriminalpolizei ermittelt von Amts wegen oder auf Grund einer Anzeige, bei Gefahr in Verzug können Genehmigungen nachträglich (unverzüglich) eingeholt werden Beschränkung: bei entsprechenden Anordnungen ist die Ermittlung einzustellen, Sachenfahndung jedoch auch ohne Anordnung möglich (StPO § 169 Abs. 2) - ARGE DATEN ARGE DATEN

65 Datenschutz in der Strafprozessordnung (StPO) II
Datenschutzanforderungen Sicherheitsbehörden Datenschutz in der Strafprozessordnung (StPO) II - Regelung bestimmter Maßnahmen, z. B. Beschlagnahme von Briefen (StPO § 135) sind an bestimmte Straftaten gebunden - detaillierte Regeln zur optischen, akustischen und Telekom-Überwachung (StPO §§ ) - Regelung zur Datenermittlung ("Erkundigung") inkl. Verwertungsverbote (StPO §§ 152ff) Zeugen zur vollständigen Auskunft verpflichtet Beschränkungen: Verweigerungs- und Entschlagungsrechte, Beweisverbote - ARGE DATEN ARGE DATEN

66 Überwachung gemäß StPO (§§ 134–140)
Datenschutzanforderungen Sicherheitsbehörden Überwachung gemäß StPO (§§ 134–140) - Überwachung kann nur für zukünftigen Zeitraum angeordnet werden (StPO § 137 Abs. 3) - Von der Staatsanwaltschaft mit gerichtlicher Bewilligung anzuordnen (StPO § 137 Abs. 1) - Mitwirkungs- und Auskunftspflicht für Betreiber nach TKG 2003 und Diensteanbieter nach E-Commerce-Gesetz (StPO § 138 Abs. 2) Sprachtelefoniebetreiber mit eigenen physikalischen Anschlüssen müssen spezielle technische Einrichtungen zur Überwachung bereitstellen - Beweisverwertungbeschränkung, Nichtigkeit bei rechtswidriger Überwachung (StPO § 140) aber: Verwertung von "Zufallsfunden" zulässig, wenn Überwachungsvoraussetzungen gegeben gewesen wäre Anzuwenden auf Telekommunikationsdienste (gem. TKG 2003) oder Dienste der Informationsgesellschaft (gem. Notifikationsgesetz) Beispiele: Telekomunternehmen (inkl. Mobilfunk), Access-Provider, Mailservice-Anbieter, Forumsbetreiber, "Skype" (VoIP), ... Notifikationsgesetz 1999 § 1 Z 2. ,,Dienst'': eine Dienstleistung der Informationsgesellschaft, das ist jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung, wobei im Sinne dieser Definition bedeuten: a) ,,im Fernabsatz erbrachte Dienstleistung'': eine Dienstleistung, die ohne gleichzeitige physische Anwesenheit der Parteien erbracht wird, b) ,,elektronisch erbrachte Dienstleistung'': eine Dienstleistung, die mittels Geräten für die elektronische Verarbeitung, einschließlich digitaler Kompression, und Speicherung von Daten am Ausgangspunkt gesendet und am Endpunkt empfangen und vollständig über Draht, über Funk, auf optischem oder anderem elektromagnetischen Weg gesendet, weitergeleitet und empfangen wird, und c) ,,auf individuellen Abruf eines Empfängers erbrachte Dienstleistung'': eine Dienstleistung, die durch die Übertragung von Daten auf individuelle Anforderung erbracht wird; Anlage 1 enthält eine nicht abschließende Liste jener Dienstleistungen, die nicht unter diese Definition fallen; ARGE DATEN VO Datenschutz & Internet SS2014 Juridicum

67 Auswahl sonstiger Bestimmungen
Datenschutzanforderungen Sicherheitsbehörden Auswahl sonstiger Bestimmungen sonstige Bestimmungen, die die Tätigkeit der Sicherheitsbehörden regeln - Passgesetz - Waffengesetz - Polizeikooperationsgesetz - Asylgesetz - Finanzstrafgesetz - Eisenbahngesetz - Straßenverkehrsordnung - Vereinsgesetz - Meldegesetz - ... - ARGE DATEN ARGE DATEN

68 Sicherheitsbehörden - Zusammenfassung
Datenschutzanforderungen Sicherheitsbehörden Sicherheitsbehörden - Zusammenfassung - SPG sieht zahlreiche Aufgaben vor teilweise zur unmittelbaren Gefahrenabwehr, teilweise darüber hinaus gehend - weitere Bestimmungen sehen unterschiedlichste (Verwaltungs-)aufgaben vor - Aufgaben unterliegen den Anforderungen des DSG 2000  zahllose Datenanwendungen  sobald personenbezogene Daten automationsunterstützt verarbeitet werden oder der Vorabkontrolle unterliegen besteht Melde- bzw. Genehmigungspflicht  Aufsichtsbehörde ist die DSB -  davon abweichend: Tätigkeit als Kriminalpolizei ist durch StPO geregelt und unterliegt nicht der DSB-Aufsicht, sondern der Aufsicht durch Gerichte ARGE DATEN ARGE DATEN

69 Betrifft immer Daten von bestimmten Personengruppen!
Datenschutzanforderungen Sicherheitsbehörden DA Informationsverbund Sachenfahndung Betreiber: BMI Teilnehmer: BMI, Magistrat Stadt Wien, Bundespolizeidirektionen Zweck: Evidenthaltung der Daten von nummerierten Sachen, die zur Fahndung ausgeschrieben wurden Rechtsgrundlage(n): § 24 Abs. 2 iVm § 57 SPG, § 22b Passgeesetz, § 55 Waffengesetz, §§ 74, 76, 167 bis 169 StPO Zulassungsvoraussetzung: Datenverarbeitung unterliegt der Vorabkontrolle, da - strafrechtlich relevante Daten verwendet werden - Informationsverbundsystem vorliegt Übermittlungsempfänger, Datenarten und Rechtsgrundlagen: u.a. andere Passbehörden, Finanzstrafbehörden, Gerichte, Asylbehörden Betrifft immer Daten von bestimmten Personengruppen! - ARGE DATEN ARGE DATEN

70 DA Informationsverbund Sachenfahndung II
Datenschutzanforderungen Sicherheitsbehörden DA Informationsverbund Sachenfahndung II Betroffene Personengruppen (Auswahl): Personen denen folgender Gegenstand entfremdet wurde / verloren haben bzw. denen der betreffende Gegenstand gehört: - Dienstpass - sonstiges Identitätsdokument (Führerschein, waffenrechtliche Urkunde, Dienstausweis) - Kraftfahrzeug-Zulassungsschein - Feuerwaffe - Zahlungsmittel, Banknote oder Wertpapier - sonstige Sache (Radio/Fernsehgeräte, Fahrräder, Uhren/Schmuck, Foto/Filmgeräte, PCs/Zubehör, Sportartikel, Industriemaschine, Flugzeug, Boot/Schiff, Bootsmotor, Container, sonstige Gegenstände / Maschinen Verwaltet werden die Personen deren Sachen entfremdet wurden, verloren gingen bzw. deren Sachen sichergestellt wurden, nicht die Gegenstände selbst! Betroffene Personengruppen (Langfassung gemäß Einlagebogen)- a) Österreichische Staatsbürger, deren Dienstpass verloren oder entfremdet gemeldet worden ist, oder denen ein Dienstpass gehört, welcher sicherzustellen oder zu beschlagnahmen ist; b) Personen, deren ausländischer Reisepass oder Passersatz als verloren oder entfremdet gemeldet worden ist, oder denen ein ausländischer Reisepass oder Passersatz gehört, welches sicherzustellen oder zu beschlagnahmen ist; c) Personen, denen ein Fremden- oder Konventionsreisepass gehört, welcher sicherzustellen oder zu beschlagnahmen ist; d) Personen, deren sonstiges Identitätsdokument (Führerschein, waffenrechtliche Urkunde, Dienstausweis) bzw. Visum oder Dienstabzeichen als verloren oder entfremdet gemeldet worden ist, oder denen ein sonstiges Identitätsdokument bzw. Visum oder Dienstabzeichen gehört, welches sicherzustellen oder zu beschlagnahmen ist; e) Zulassungsbesitzer / Bewilligungsinhaber / Mieter eines Kraftfahrzeuges, deren Zulassungsschein als verloren oder entfremdet gemeldet worden ist, oder denen ein Zulassungsschein gehört, der sicherzustellen oder zu beschlagnahmen ist; f) Personen, denen ein sonstiges Dokument (zB Fischereiausweis, e-card, Mitgliedsausweis, etc.) entfremdet worden ist, oder denen ein sonstiges Dokument gehört, welches sicherzustellen oder zu beschlagnahmen ist; g) Zulassungsbesitzer / Bewilligungsinhaber / Mieter eines Kraftfahrzeuges, deren Kraftfahrzeug entfremdet worden oder sonst abhanden gekommen ist, oder denen ein Kraftfahrzeug gehört, welches sicherzustellen oder zu beschlagnahmen ist; h) Zulassungsbesitzer / Bewilligungsinhaber / Mieter eines Kraftfahrzeuges, deren Kennzeichen als verloren oder entfremdet gemeldet worden ist, oder denen ein Kennzeichen gehört, welches sicherzustellen oder zu beschlagnahmen ist; i) Personen, deren Feuerwaffe als verloren oder entfremdet gemeldet worden ist, oder denen eine Feuerwaffe gehört, die sicherzustellen oder zu beschlagnahmen ist; j) Personen, denen ein(e) Zahlungsmittel, Banknote oder Wertpapier entfremdet worden ist, oder denen ein(e) Zahlungsmittel, Banknote oder Wertpapier gehört, welche(s) sicherzustellen oder zu beschlagnahmen ist; k) Personen, denen eine sonstige Sache (Radio/Fernsehgeräte, Fahrräder, Uhren/Schmuck, Foto/Filmgeräte, PCs/Zubehör, Sportartikel, Industriemaschine, Flugzeug, Boot/Schiff, Bootsmotor, Container, sonstige Gegenstände / Maschinen sowie sonstige Waffen, die keine Feuerwaffen sind) entfremdet worden ist, oder denen eine sonstige oa. Sache gehört, die sicherzustellen oder zu beschlagnahmen ist; ARGE DATEN ARGE DATEN

71 Was ist eine zulässige Veröffentlichung? II
DSG Veröffentlichung Was ist eine zulässige Veröffentlichung? II Veröffentlichungen im Sicherheitsumfeld: - Sicherheitsbehörde warnt Schulen davor, dass ein entlassener Sexualtäters in der "Umgebung" (ganze Stadt) eine Wohnung nimmt - Veröffentlichung von Fotos abgängiger / zur Fahnung ausgeschriebener Personen auf Infowerbetafeln in Bahnhöfen - SMS-Warnung an Gewerbetreibende (Händler) einer Einkaufsstraße über "verdächtige" Personen - "eigenmächtiger" Aushang des Fotos einer des Diebstahls verdächtigen Person im Verkaufsraum durch Ladenbesitzer - weitere Veröffentlichung eines Fahndungsfotos im Internet obwohl Person schon gefasst ist - Falschparker, Alkolenker, Personen mit Lokalverbot werden in der Gemeindezeitung genannt - Daten zu (Verwaltungs-)Strafverfahren eines Asylwerbers werden an Journalisten weiter gegeben - ARGE DATEN ARGE DATEN

72 Unfall mit Fahrerflucht
Ermittlungsbeispiel Verkehrsunfallkommando Unfall mit Fahrerflucht Ausgangslage: Fußgängerin wird am Praterstern angefahren, Fahrer flüchtet, zurück bleibt Blutlache und ein Plastiksplitter - Plastiksplitter enthält eine Seriennummer (kein Personenbezug) - wird als Teil eines rechten Rückspiegels eines Chrysler Voyager identifiziert (kein Personenbezug) - laut Produzenten werden täglich fünf gleichartige Stück des Fahrzeugs produziert (kein Personenbezug) - die Zahl der zugelassenen Fahrzeuge in Ö ist überschaubar (kein Personenbezug) - ARGE DATEN ARGE DATEN

73 Nächster Ermittlungsschritt?
Ermittlungsbeispiel Verkehrsunfallkommando Nächster Ermittlungsschritt? Variante 1: a) der Produzent wird aufgefordert alle Fahrzeugtypen bekannt zu geben, für die dieser Rückspiegel in Frage kommt (kein Personenbezug) b) mit Hilfe der Typenbezeichnungen erfolgt eine Abfrage in der KFZ-Zulassung (Personenbezug!) c) die Zulassungsbesitzer werden zum Aufenthalt zum fraglichen Unfallzeitpunkt befragt + die PKWs werden auf entsprechende Beschädigungen inspiziert (Personenbezug + Grundrechtseingriff!) Variante 2: a) es werden die Inhaber der Mobiltelefonnummern der Funkzelle zum fraglichen Unfallzeitpunkt ermittelt (Personenbezug!) b) die solcherart identifizierten Personen werden zum Aufenthalt zum fraglichen Unfallzeitpunkt befragt und ob (welchen) PKW sie nutzten (Personenbezug + Grundrechtseingriff!) - ARGE DATEN ARGE DATEN

74 Nächster Ermittlungsschritt? II
Ermittlungsbeispiel Verkehrsunfallkommando Nächster Ermittlungsschritt? II Variante 3: a) +b) ident zu Variante 1 c) zu den Zulassungsbesitzern werden Mobiltelefonanschlüsse beschafft und geprüft, wer davon in der Nähe des Unfallortes ein Gespräch führte (Personenbezug!) d) die solcherart identifizierten Personen werden zum Aufenthalt zum fraglichen Unfallzeitpunkt befragt + die PKWs werden auf entsprechende Beschädigungen inspiziert (Personenbezug + Grundrechtseingriff!) Variante 4: a) mit dem Generalimporteur wird vereinbart, dass unverzüglich informiert wird, wenn ein "passender" rechter Rückspiegel bestellt wird (Personenbezug!) b) drei Tage später erfolgt Bestellung, Besteller wird befragt, es handelt sich um den Fahrflüchtigen (Personenbezug + Grundrechtseingriff!) Beispiel entnommen aus "Der Polizist", Organ der Landespolizeidirektion Wien, September 2014 Artikel "VUK Positiv ..." ARGE DATEN ARGE DATEN

75 DSK K121.894/0003-DSK/2013 ("ZMR-Abfrage")
Entscheidung der DSK/DSB DSK K /0003-DSK/2013 ("ZMR-Abfrage") Ausgangslage - Betroffener hat Konvolut zu Handen eines Vereinspräsidenten bei Portier abgegeben, sollte nur persönlich an Präsidenten übergeben werden - Paket enthält Absendeadresse des Betroffenen - Verein schaltet Polizei wegen "verdächtigem" Paket ein - Polizei klassifiziert Paket als harmlos, es enthält weder Sprengstoff, noch Drohungen oder bedenkliche Gegenstände - zum Betroffenen erfolgt trotzdem eine EKIS-Abfrage (Gefahrenerforschung iS § 28a Abs. 1 SPG) - Polizei macht zusätzlich ZMR-Abfrage bezüglich Hauptwohnsitz des Betroffenen ("zur Verifizierung der Zustelladresse") - Paket wird "zerfleddert" in Polizeikommisariat ausgefolgt - Betroffener fühlt sich wegen ZMR- und EKIS-Abfrage in seinen Grundrechten verletzt DSK K /0003-DSK/2013 Die Beschwerde hat sich als teilweise berechtigt erwiesen. 2.1. Auf dem vom Beschwerdeführer abgegebenen Paket war unstrittig die Adresse des Beschwerdeführers vermerkt. Dieselbe Adresse geht auch aus dem im Paket mitgesendeten Lebenslauf des Beschwerdeführers hervor. Beides befand sich zum Zeitpunkt der ZMR-Abfrage im Besitz der Beschwerdegegnerin. Sie konnte somit davon auszugehen, dass der Beschwerdeführer unter dieser Adresse postalisch erreichbar sein wollte. Wenn die Beschwerdegegnerin vorbringt, dass im Zuge der Ermittlungsarbeiten eine weitere Adresse des Beschwerdeführers im PAD ausfindig gemacht werden konnte und deshalb, um eine Zustelladresse zu ermitteln, eine Abfrage im ZMR gemäß § 16a Abs. 9 MeldeG erforderlich gewesen sei, so ist diesem Vorbringen entgegenzuhalten, dass § 16a Abs. 9 MeldeG explizit darauf abstellt, dass für den der Abfrage zugrunde liegenden Gesetzesvollzug der Hauptwohnsitz eines Menschen maßgeblich ist. Da es der Beschwerdegegnerin vorliegend jedoch nur darauf ankam, eine Zustelladresse (vgl. dazu die Legaldefinition des § 2 Z 3 und 4 ZustG, die eben nicht auf das Erfordernis des Hauptwohnsitzes abstellt) zu ermitteln und diese sich eindeutig einerseits aus dem Absendevermerk auf dem Kuvert und andererseits aus dem Lebenslauf des Beschwerdeführers ergab, erwies sich die Abfrage im ZMR als nicht von § 16a Abs. 9 MeldeG gedeckt und somit als unrechtmäßige Beschränkung des Anspruchs auf Geheimhaltung durch eine Behörde gemäß § 1 Abs. 2 DSG Selbst wenn man von der Zulässigkeit einer Abfrage im ZMR ausgehen wollte, so erwies sich diese vorliegend – aufgrund des oben Ausgeführten – als nicht notwendig und somit im Sinne des § 1 Abs. 2 in Verbindung mit § 7 Abs. 3 DSG 2000 als nicht gelindestes Mittel. Selbst im Falle einer zulässigen ZMR-Abfrage hätte mit einer einfachen Abfrage gemäß § 16 Abs. 1 MeldeG betreffend den aktuellen (Haupt‑)Wohnsitz des Beschwerdeführers das Auslangen gefunden werden können (vgl. dazu den Bescheid der Datenschutzkommission vom 7. Juni 2005, GZ K /0007- DSK/2005). Der Beschwerde war daher in diesem Punkt stattzugeben. 2.2. Die Beschwerde erweist sich jedoch als unbegründet, soweit sie die Abfrage im EKIS betrifft. Gemäß §§ 16, 28a und 53 Abs. 1 Z 3 SPG sind die Sicherheitsbehörden zur Gefahrenerforschung und zur Gefahrenabwehr (u.a. auch zur Abwehr gefährlicher Angriffe) verpflichtet und dürfen zu diesem Zweck personenbezogene Daten ermitteln und weiterverarbeiten. ARGE DATEN ARGE DATEN

76 DSK K121.894/0003-DSK/2013 ("ZMR-Abfrage") II
Entscheidung der DSK/DSB DSK K /0003-DSK/2013 ("ZMR-Abfrage") II DSK-Entscheidung - Beschwerde ist teilweise berechtigt - ZMR-Abfrage ist rechtswidrig, da für die Zustellung nicht erforderlich - EKIS-Abfrage ist zulässig, da zum Gesetzesauftrag der Gefahrenabwehr auch implizit Gefahrenerforschung umfasst ist und Art des Paketes legitimierte Abfrage DSK K /0003-DSK/2013 (Fortsetzung) ...  Wenn beispielsweise per Internet vage Drohungen gegen einen ausländischen Staatsbesuch ausgestoßen werden, haben die Sicherheitsbehörden im Wege der Datenermittlung die Gefährdungssituation einzuschätzen. Ähnlich verhält es sich, wenn etwa ein Fan eine im öffentlichen Leben stehenden Persönlichkeit durch das Schreiben von Briefen und Versuche der Kontaktaufnahme belästigt, und andeutet, bei der nächsten sich bietenden Gelegenheit (etwa anlässlich einer Autogrammstunde) eine „Handlung setzen zu wollen, die Aufmerksamkeit erregt“, so obliegt es der Exekutive, durch das Sammeln von Informationen über diese Person herauszufinden, ob ein gefährlicher Angriff gegen die Person des öffentlichen Lebens droht und allenfalls durch adäquate Maßnahmen vorzukehren. Es erfolgt daher in § 53 Abs. 1 in Z 3 eine Klarstellung dahingehend, dass die Verwendung von personenbezogenen Daten in einer Datenanwendung auch für die Gefahrenerforschung gemäß § 28a Abs. 1 zulässig ist.“ Der Beschwerdegegnerin kann aufgrund der auf dem Kuvert sichtbaren Vermerke, der Eigenart des Konvoluts sowie der im Paket bzw. Kuvert befindlichen Dokumente, die – was der Beschwerdeführer nicht bestritten hat – nicht zusammenhängende, teilweise unverständliche Aussagen enthielten, nicht entgegengetreten werden, wenn sie aufgrund dessen zum Zweck der – prioritär durchzuführenden – Gefahrenerforschung eine Abfrage in der Zentralen Informationssammlung gemäß § 57 SPG zur Person des Beschwerdeführers durchführte, um allenfalls adäquate Vorkehrungsmaßnahmen zur Gefahrenabwehr zu treffen. Für die Verwendung personenbezogener Daten des Beschwerdeführers bestand in diesem Fall eine gesetzliche Ermächtigung, weshalb sich die behördliche Beschränkung des Rechts auf Geheimhaltung als rechtmäßig gemäß §§ 1 Abs. 2, 7 Abs. 1 und 8 Abs. 1 Z 1 DSG 2000 einerseits aber auch gemäß §§ 28a Abs. 3 und 53 Abs. 1 Z 3 SPG erwies. Die Beschwerde war daher in diesem Punkt als unbegründet abzuweisen. ARGE DATEN ARGE DATEN

77 DSK K121.956/0009-DSK/2013 ("Lichtbild")
Entscheidung der DSK/DSB DSK K /0009-DSK/2013 ("Lichtbild") Ausgangslage - Betroffener wird im Zuge einer Befragung aufgefordert sich einer erkennungsdienstlichen Behandlung zu unterziehen - Betroffener lehnt das ab - Polizeiinspektion fordert BH (als Sicherheitsbehörde) auf, die erkennungsdienstliche Behandlung gemäß § 77 Abs. 2 SPG bescheidmäßig auszusprechen - Bescheid wird nicht abgewartet, stattdessen wird formlos ein Lichtbild angefertigt, um es Tatzeugen vorlegen zu können DSK-Entscheidung - Beschwerde ist berechtigt - Anfertigen des Fotos ist als Bruch des Rechts auf Geheimhaltung ohne ausreichende rechtliche Grundlage zu qualifizieren DSK K /0009-DSK/2013 Gemäß der Verfassungsbestimmung des § 1 Abs. 2 DSG 2000 sind behördliche Beschränkungen des Anspruchs auf Geheimhaltung nur aufgrund einer gesetzlichen Ermächtigung zulässig. Das Anfertigen eines Lichtbildes einer Person stellt unzweifelhaft eine erkennungsdienstliche Maßnahme dar, wie sich aus § 64 Abs. 2 SPG ergibt. § 65 Abs. 1 SPG ermächtigt die Sicherheitsbehörden auch, einen Verdächtigen einer erkennungsdienstlichen Behandlung zu unterziehen. Folglich bestimmt § 65 Abs. 4 SPG, dass der, der erkennungsdienstlich zu behandeln ist, an den erforderlichen Handlungen mitzuwirken hat. § 65 Abs. 5 SPG wiederum legt den Sicherheitsbehörden bestimmte Informationspflichten gegenüber jedem, der erkennungsdienstlich behandelt wird, auf. Weigert sich ein Mensch, sich einer erkennungsdienstlichen Behandlung trotz Aufforderung zu unterziehen, so kann die Sicherheitsbehörde ihm diese Verpflichtung gemäß § 77 Abs. 2 SPG bescheidmäßig auferlegen. Daten, die in Übereinstimmung mit § 65 Abs. 1 SPG ermittelt wurden, können auch an Tatzeugen übermittelt werden, sofern anzunehmen ist, sie würden anhand der Daten zur Identifikation des Täters beitragen (§ 71 Abs. 3 Z 3 SPG). Im vorliegenden Fall wurde der Beschwerdeführer formlos aufgefordert, sich einer erkennungsdienstlichen Behandlung zu unterziehen, was dieser verweigerte. Folglich wurde die Beschwerdegegnerin von der Polizeiinspektion X*** ersucht, dem Beschwerdeführer die Verpflichtung zur Durchführung einer erkennungsdienstlichen Behandlung gemäß § 77 Abs. 2 SPG bescheidmäßig aufzuerlegen. Statt die bescheidmäßige Anordnung abzuwarten, wurde jedoch von dem die Vernehmung durchführenden Beamten ein Lichtbild des Beschwerdeführers angefertigt, mit der Absicht, dieses Tatzeugen, die nach Ausweis der Akten teilweise ebenfalls am 16. Februar 2013 einvernommen wurden, zu zeigen, um so die Identifikation des Beschwerdeführers sicherzustellen. Da der handelnde Beamte im Vollzugsbereich des SPG tätig wurde, ist dessen Verhalten der Beschwerdegegnerin zuzurechnen. Dadurch, dass der die Vernehmung durchführende Beamte den Beschwerdeführer somit trotz dessen Weigerung einer erkennungsdienstlichen Behandlung unterzog, obwohl die hiefür normierten gesetzlichen Voraussetzungen nicht vorlagen, hat die Beschwerdegegnerin den Beschwerdeführer in seinem Recht auf Geheimhaltung der ihn betreffenden personenbezogenen Daten verletzt. ARGE DATEN ARGE DATEN

78 DSK K121.947/0015-DSK/2013 ("Disziplinarverfahren")
Entscheidung der DSK/DSB DSK K /0015-DSK/2013 ("Disziplinarverfahren") Ausgangslage - Im Zuge eines Disziplinarverfahrens (unzulässige Nebenbeschäftigung) erfolgt eine Direkt-Abfrage der Sozialversicherungsdaten der Betroffenen (Polizistin) durch Dienstvorgesetzten - Die Abfrage erfolgt zu Beginn des Verfahrens bei einem Anfangsverdacht eines dienstrechtlichen (nicht strafrechtlichen) Vergehens - Begründet wird die Abfrage (nachträglich) mit dem strafrechtlich relevanten Verdacht der Urkundenfälschung DSK-Entscheidung - Beschwerde ist berechtigt - Abfrage bei Sozialversicherungsanstalt nur bei Vorliegen eines strafrechtlichen Verdachts zulässig - zum Zeitpunkt der Abfrage lag kein kriminalpolizeiliches Ermittlungsverfahren vor, daher war die Abfrage unzulässig - da die Abfrage automationsunterstützt erfolgte, konnte sie auch von der Sozialversicherung nicht verhindert werden DSK K /0015-DSK/2013 Zunächst ist festzuhalten, dass das Ermittlungsverfahren ergeben hat, dass die Abfrage der Sozialversicherungsdaten der Beschwerdeführerin ganz am Anfang (25. bis 29. März 2012) der gegen die Beschwerdeführerin geführten disziplinar- und später auch strafrechtlichen Ermittlungen steht. Zu diesem Zeitpunkt bestand der Anfangsverdacht von dienstrechtlichen und mit den Mitteln des Disziplinarrechts zu ahndenden Vergehen der Beschwerdeführerin. Oberst U*** führte als Dienstvorgesetzter der Beschwerdeführerin Erhebungen gemäß § 109 Abs. 1 BDG 1979. Ein kriminalpolizeiliches Ermittlungsverfahren nach den Bestimmungen der StPO war zu diesem Zeitpunkt noch nicht anhängig, eine dahingehende Behauptung werde von der Beschwerdegegnerin auch gar nicht aufgestellt. Aus dem Anlass-Bericht vom 5. Oktober 2012 an die Staatsanwaltschaft N*** geht klar hervor, dass a) der Verdacht von Betrugshandlungen erst durch im Zuge der disziplinarrechtlichen Ermittlungen vorgenommene Vergleiche von Zeitaufzeichnungen entstanden ist und b) sich der Verdacht in Bezug auf das Delikt der Bestimmung zur Urkundenfälschung überhaupt erst auf eine Urkunde bezieht, die für den Zweck der Vorlage im Disziplinarverfahren angefertigt worden ist. Daraus ergibt sich die Schlussfolgerung, dass die Datenermittlung vom 29. März 2012 nicht für Zwecke der Kriminalpolizei oder der Strafrechtspflege sondern in einem disziplinarrechtlichen, das heißt „quasi-zivilrechtlichen“ Ermittlungsverfahren gemäß §§ 37 ff AVG iVm § 105 BDG 1979 erfolgte. Dieses Verwaltungshandeln ist der Landespolizeidirektion als Rechtsnachfolgerin des Landespolizeikommandos in seiner Funktion als Dienstbehörde (§ 96 Z 1, § 97 Z 1 BDG 1979) auftraggeberisch zuzurechnen. b) gesetzliche Ermächtigungen zum Eingriff in das Grundrecht auf Datenschutz Gemäß § 1 Abs. 2 DSG 2000 bedarf ein Eingriff in das Grundrecht auf Geheimhaltung schutzwürdiger personenbezogener Daten bei Eingriffen einer staatlichen Behörde einer gesetzlichen Ermächtigung. Die hier vorgenommene direkte, automationsunterstützte Abfrage von Sozialversicherungsdaten durch die Sicherheitsbehörden und ihnen unterstehende Dienststellen der Bundespolizei ist gemäß § 1 Abs. 1 und 2 AHSV-StrafrechtspflG nur für „Aufgaben im Dienste der Strafrechtspflege“ zulässig. ARGE DATEN ARGE DATEN

79 DSK K121.909/0010-DSK/2013 ("Ermittlungsverfahren")
Entscheidung der DSK/DSB DSK K /0010-DSK/2013 ("Ermittlungsverfahren") Ausgangslage - bei Betroffenen erfolgt Hausdurchsuchung nach dem SMG - Mutter (Frau E.) ist mit Zustimmung des Betroffenen bei Durchsuchung anwesend - Frau E. erfährt im Zuge der Durchsuchung vom Verdacht des Verkaufs und vom Vorhandensein von Cannabispflanzen - weiters bestätigt sich der Verdacht bezüglich LSD nach Sicherstellung und Untersuchung von Löschblättern - Frau E. wird in weiterer Folge das Durchsuchungs- und Sicherstellungsprotokoll ausgehändigt (offen, nicht in einem verschlossenen Kuvert - Betroffener beschwert sich wegen Bruch der Geheimhaltung durch Weitergabe von kriminalpolizeilichen Feststellungen an Dritte DSK K /0010-DSK/2013 b a) Vornahme der Durchsuchung Hinsichtlich des gegen den Beschwerdeführer bestehenden Verdachts, Cannabisprodukte besessen bzw. die Cannabispflanze angebaut zu haben, ergibt sich das entsprechende Wissen der Mutter des Beschwerdeführers schon daraus, dass diese mit Zustimmung des Beschwerdeführers bei der Durchsuchung seines Zimmers anwesend war und dadurch vom Anlass und Grund der Durchsuchung (Verdacht des Verkaufs von Cannabiskraut, Entdeckung einer Cannabispflanze, Wahrnehmung von Cannabisblättern im Zimmer des Beschwerdeführers durch die Beamten) und den gefundenen Beweisgegenständen Kenntnis erlangte. Ein gelinderes Mittel gemäß § 7 Abs. 3 DSG 2000 wurde vom Beschwerdeführer nicht aufgezeigt und hätte wohl nur darin bestehen können, Theresia E*** entweder während der Durchsuchung überhaupt oder doch vor jeder mündlichen Äußerung der Beamten zur bestehenden Verdachtslage aus dem Raum zu weisen, was wiederum im Widerspruch zur Zustimmung des Beschwerdeführers zur Anwesenheit seiner Mutter gestanden hätte und damit ein Handeln gegen dessen eigene Willensäußerung bedeutet hätte. Theresia E*** durfte daher vom Bestehen eines kriminalpolizeilichen Verdachts hinsichtlich des Besitzes von Cannabisprodukten bzw. des Anbaus der Cannabispflanze erfahren. b b) Ausfolgung des Durchsuchungs- und Sicherstellungsprotokolls Hinsichtlich des durch den Fund der Löschblätter entstandenen oder verstärkten Verdachts betreffend LSD hat die Sachverhaltsfeststellung ergeben, dass dieser Verdacht Theresia E*** erst aus der Bestätigung über die vorgenommene Durchsuchung und Sicherstellung (gemäß §§ 111 Abs. 4 und 122 Abs. 3 StPO) bekannt wurde. In diesem Zusammenhang ist zu bemängeln, dass hier ein für den Beschwerdeführer als Adressaten (Betroffener gemäß §§ 111 Abs. 4 und 122 Abs. 3 StPO) bestimmtes Dokument übermittelt wurde, ohne den Inhalt gegen Kenntnisnahme durch Unbefugte während des Vorgangs zu sichern. Für den Fall einer behördlichen Zustellung nach den Bestimmungen des ZustG setzt dieses implizit voraus, dass physische Zustellstücke während des Beförderungsvorgangs verschlossen (in einem Kuvert) aufbewahrt werden, und erst der gemäß § 2 Z 1 ZustG bezeichnete Empfänger oder ein gesetzlich zulässiger Ersatzempfänger nach Vornahme der Zustellung die Entscheidung treffen kann, ob er das Zustellstück (in der Regel wohl ein Kuvert) öffnet bzw. öffnen darf. ARGE DATEN ARGE DATEN

80 DSK K121.909/0010-DSK/2013 ("Ermittlungsverfahren") II
Entscheidung der DSK/DSB DSK K /0010-DSK/2013 ("Ermittlungsverfahren") II DSK-Entscheidung - Beschwerde ist berechtigt - Schutz der Geheimhaltung besteht auch bei nicht- automationsgestützter (manueller) Verwendung von Daten - Schutz der Geheimhaltung betrifft auch behördeninterne Übermittlungen (Weitergaben) in ein anderes Aufgabengebiet - Durchsuchungs- und Sicherstellungsprotokoll wurde dem Betroffenen nicht gesichert (verschlossen) übermittelt - eine offene Ausfolgung wäre nur direkt an den Betroffenen zulässig DSK K /0010-DSK/2013 Die Datenschutzkommission übersieht nicht, dass die Gestaltung der entsprechenden im Behördengebrauch der Bundespolizei offenbar üblichen Vorlage hier eine offene „Ausfolgung“ vorsieht, wobei das Gesetz (wiederum §§ 111 Abs. 4 und 122 Abs. 3 StPO) dies offenkundig als Alternative zur Zustellung betrachtet (arg „auszufolgen oder zuzustellen“). Die Gestaltung eines Formulars kann jedoch keinesfalls über die Vornahme eines Grundrechtseingriffs entscheiden. Die Datenschutzkommission geht in verfassungskonformer Auslegung der Bestimmungen der StPO davon aus, dass hier auf Grund der Regel, stets das gelindere Mittel heranzuziehen (§ 1 Abs. 2 letzter Satz, § 7 Abs. 3 DSG 2000), die Zustellung im Kuvert das zwingend gebotene Mittel der Wahl gewesen wäre. Eine unverschlossene Ausfolgung hätte nur im Fall einer direkten Übergabe an den Beschwerdeführer als Betroffenen erfolgen dürfen. Die Zustellung kann dabei mit Hilfe der für die nachweisliche Zustellung behördlicher Dokumente vorgesehenen Mittel (Zustellnachweisen) dokumentiert werden. Die weiteren Vorgänge (Nachfrage der Theresia E***, Information betreffend die Bedeutung des Begriffs „LSD“ im Kontext des Durchsuchungs- und Sicherstellungsprotokolls) waren keine neue Datenübermittlung sondern nur eine unvermeidliche Folge der ersten, unzulässigen Datenübermittlung durch Ausfolgung des Dokuments. Der Beschwerde war daher laut Spruchpunkt 1. Folge zu geben, und es waren die spruchgemäßen Feststellungen zu treffen. Darüber hinaus war die Beschwerde abzuweisen. ARGE DATEN ARGE DATEN

81 DSK K121.806/0008-DSK/2012 ("Erkennungsdienstliche Behandlung")
Entscheidung der DSK/DSB DSK K /0008-DSK/2012 ("Erkennungsdienstliche Behandlung") Ausgangslage - Betroffene wird im Zusammenhang mit SMG erkennungsdienstlich behandelt - Ermittlungsbericht belastet Betroffene jedoch "nur" gemäß § 27 Abs. 2 SMG ("Begehung ausschließlich zum persönlichen Gebrauch") - Betroffene zwar einer strafbaren Tat, aber keines gefährlichenAngriffs nach § 16 Abs. 2 Z 4 SPG verdächtig - Betroffene beschwert sich wegen erkennungsdienstlicher Behandlung DSK-Entscheidung - Beschwerde berechtigt - Erkennungsdienstliche Behandlung zwar aus präventiven Gründen grundsätzlich zulässig, aber nur wenn "weitere" gefährliche Angriffe zu erwarten sind - im konkreten Fall trifft das aber bei Besitz von Cannabis zum Eigengebrauch nicht zu, daher kein Präventionsbedarf - erkennungsdienstliche Behandlung war unzulässig DSK K /0008-DSK/2012 Bei richtiger Würdigung der im Zeitpunkt der erkennungsdienstlichen Behandlung vorliegenden Ergebnisse des Ermittlungsverfahrens gegen die Beschwerdeführerin hätte die Beschwerdegegnerin als Sicherheitsbehörde bzw. hätten die in Vollziehung des SPG als ihre Organe handelnden Beamten der Bundespolizei jedoch nicht davon ausgehen dürfen, dass die Beschwerdeführerin eines gefährlichen Angriffs im sicherheitspolizeilichen Sinne verdächtig war. Die Angaben der Beschwerdeführerin sowie alle im Abschlussbericht an die Staatsanwaltschaft zusammengefassten Ergebnisse des Ermittlungsverfahrens belasteten die Beschwerdeführerin lediglich mit Erwerb und Konsum von Cannabiskraut in der Gesamtquantität eines – „mitgerauchten“ – Cannabisjoints unbekannter Qualität und damit ausdrücklich nur des Vergehens nach § 27 Abs. 2 SMG (Begehung „ausschließlich zum persönlichen Gebrauch“). Damit kam der Beschwerdeführerin die Ausnahmebestimmung des § 16 Abs. 2 letzter Halbsatz SPG zugute. Die Beschwerdeführerin war damit bei richtiger Würdigung der Ermittlungsergebnisse zwar einer strafbaren, vorsätzlichen Handlung aber keines gefährlichen Angriffs nach § 16 Abs. 2 Z 4 SPG verdächtig. Auf dieser Grundlage war eine Prognoseentscheidung, die Beschwerdeführerin müsse durch die Ermittlung erkennungsdienstlicher Daten von weiteren gefährlichen Angriffen abgehalten werden, nicht zu treffen. Der Wortlaut der im Zeitgriff der Eingriffshandlung geltenden Fassung von § 65 Abs. 1 SPG lässt als Anlassfall zwar den Verdacht, „eine mit Strafe bedrohte Handlung begangen zu haben“, genügen, aus dem logisch-systematischen Zusammenhang (arg „weiterer“) ist jedoch zu folgern, dass damit nicht jede gerichtlich strafbare Handlung (und schon gar nicht eine Verwaltungsübertretung, die dem Wortlaut nach ebenfalls eine „mit Strafe bedrohte Handlung“ wäre) gemeint sein kann, sondern nur die in § 16 Abs. 2 SPG als „gefährliche Angriffe“ qualifizierten gerichtlich strafbaren Vorsatztaten. Daraus folgt, dass aus dem Verdacht des Besitzes eines Suchtgiftes für den Eigengebrauch kein Präventionsbedarf hinsichtlich weiterer gefährlicher Angriffe abgeleitet werden kann, da dieses Delikt kraft gesetzlicher Definition schon rein begrifflich kein gefährlicher Angriff sein kann, dem weitere folgen könnten (Bescheid der Datenschutzkommission vom 14. November 2008, GZ: K /0015-DSK/2008, RIS). Die Ermittlung erkennungsdienstlicher Daten war somit unzulässig, und die Beschwerdeführerin wurde durch sie spruchgemäß in ihrem Grundrecht auf Geheimhaltung personenbezogener Daten verletzt. ARGE DATEN ARGE DATEN

82 Weitere DSG-Bestimmungen
Sicherheit Schadenersatz Strafbestimmungen DSG 2000 - ARGE DATEN ARGE DATEN

83 - ARGE DATEN ARGE DATEN

84 Sicherheitsbestimmungen (§ 14)
DSG Sicherheit Sicherheitsbestimmungen (§ 14) Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden: Stand der Technik entsprechend wirtschaftlich vertretbar angemessenes Schutzniveau muss erreicht werden rechtlich-organisatorische Sicherheitsmaßnahmen - ausdrückliche Aufgabenverteilung - ausschließlich auftragsgemäße Datenverwendung - Belehrungspflicht der Mitarbeiter - Regelung der Zugriffs- und Zutrittsberechtigungen - Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten - Protokollierungspflicht MASSNAHMEN zur SICHERHEIT DSG 2000: „§ 14. (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind.“ ARGE DATEN ARGE DATEN

85 Verpflichtung zum Datengeheimnis (§ 15)
DSG Verschwiegenheit Verpflichtung zum Datengeheimnis (§ 15) Mitarbeiter sind - soweit nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden. Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln. Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren. Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung kein Nachteil erwachsen. Bereitstellungspflicht der Datensicherheits-maßnahmen für Mitarbeiter (§ 14 Abs. 6) - ARGE DATEN ARGE DATEN

86 Schadenersatz (§ 33) ARGE DATEN ARGE DATEN
DSG Kontroll- & Strafbestimmungen Schadenersatz (§ 33) schuldhaftes Verhalten notwendig bei Verletzung von Bestimmungen des DSG 2000 ist tatsächlich erlittener materieller Schaden zu ersetzen bei Verletzungen der Geheimhaltung, die geeignet sind den Betroffenen bloßzustellen, gebührt Entschädigung Entschädigungsanspruch ist nicht beziffert, aber vergleichbar dem Mediengesetz geregelt [MedienG § 7: bis Euro] bei Veröffentlichungen in einem Medium gilt Mediengesetz Entschädigungsanspruch ist gegenüber dem Auftraggeber geltend zu machen Schuldhaftes Handeln = Vorsatz oder fahrlässiges Handeln DSG 2000: „§ 33. (1) Ein Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen den Bestimmungen dieses Bundesgesetzes verwendet, hat dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Werden durch die öffentlich zugängliche Verwendung der in § 18 Abs. 2 Z 1 bis 3 genannten Datenarten schutzwürdige Geheimhaltungsinteressen eines Betroffenen in einer Weise verletzt, die einer Eignung zur Bloßstellung gemäß § 7 Abs. 1 des Mediengesetzes, BGBl. Nr. 314/1981, gleichkommt, so gilt diese Bestimmung auch in Fällen, in welchen die öffentlich zugängliche Verwendung nicht in Form der Veröffentlichung in einem Medium geschieht. Der Anspruch auf angemessene Entschädigung für die erlittene Kränkung ist gegen den Auftraggeber der Datenverwendung geltend zu machen.“ Mögliche Beispiele: rechtswidriger Eintrag in Negativliste (OGH 6 Ob 275/05t )‏ Aushang der Hausverwaltung von Zahlungsrückständen im Hausflur öffentliche Bekanntgabe des Kirchenaustritts durch Pfarrer deponierte Personalakten mit abschätzigen Bemerkungen auf einem Parkplatz Übermittlung persönlicher Daten an Arbeitgeber (z.B. Bezug von Pornos, Ergebnisse von Beschwerde- und Verwaltungsverfahren) ARGE DATEN ARGE DATEN

87 Gewinn- oder Schädigungsabsicht (§ 51)
DSG Strafbestimmungen Gewinn- oder Schädigungsabsicht (§ 51) - Klarstellung der Deliktvoraussetzungen: Vorsatz der eigenen Bereicherung oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer Delikt begeht, wer ... - widerrechtlich ihm zugängliche Daten benutzt oder - Daten widerrechtlich beschafft oder - anderen widerrechtlich zugänglich macht oder - widerrechtlich öffentlich macht Strafausmaß: bis ein Jahr Delikt wird zum Offizialdelikt [bis : Privatanklagedelikt] Strafbestimmung gilt subsidiär § 51 Datenverwendung in Gewinn- oder Schädigungsabsicht Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr zu bestrafen. ARGE DATEN ARGE DATEN

88 Hier ist Vorsatz Voraussetzung für die Tatverfolgung
DSG Strafbestimmungen Strafbestimmungen bei öffentlich-rechtlichen Organen Missbrauch der Amtsgewalt (§ 302 StGB) Strafrahmen: bis 5 Jahre Laufend Verurteilungen, siehe etwa OGH 14 Os 105/10p (rechtswidriger Abruf von KFZ-Zulassungsdaten) Verletzung des Amtsgeheimnisses (§ 310 StGB) Strafrahmen: bis 3 Jahre denkbar auch: Falsche Beurkundung und Beglaubigung im Amt (§ 311 StGB) Hier ist Vorsatz Voraussetzung für die Tatverfolgung Missbrauch der Amtsgewalt StGB § 302. (1) Ein Beamter, der mit dem Vorsatz, dadurch einen anderen an seinen Rechten zu schädigen, seine Befugnis, im Namen des Bundes, eines Landes, eines Gemeindeverbandes, einer Gemeinde oder einer anderen Person des öffentlichen Rechtes als deren Organ in Vollziehung der Gesetze Amtsgeschäfte vorzunehmen, wissentlich mißbraucht, ist mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen. (2) Wer die Tat bei der Führung eines Amtsgeschäfts mit einer fremden Macht oder einer über- oder zwischenstaatlichen Einrichtung begeht, ist mit Freiheitsstrafe von einem bis zu zehn Jahren zu bestrafen. Ebenso ist zu bestrafen, wer durch die Tat einen Euro übersteigenden Schaden herbeiführt. Verletzung des Amtsgeheimnisses StGB § 310. (1) Ein Beamter oder ehemaliger Beamter, der ein ihm ausschließlich kraft seines Amtes anvertrautes oder zugänglich gewordenes Geheimnis offenbart oder verwertet, dessen Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, mit Freiheitsstrafe bis zu drei Jahren zu bestrafen. (2) Ebenso ist zu bestrafen, wer als Mitglied eines Ausschusses gemäß Art. 53 B-VG bzw. eines nach Art. 52a B-VG eingesetzten ständigen Unterausschusses oder als zur Anwesenheit bei deren Verhandlungen Berechtigter ein ihm in vertraulicher Sitzung zugänglich gewordenes Geheimnis offenbart oder verwertet, dessen Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen. (2a) Ebenso ist zu bestrafen, wer - sei es auch nach seinem Ausscheiden aus dem Amt oder Dienstverhältnis - als Organwalter oder Bediensteter des Europäischen Polizeiamtes (Europol), als Verbindungsbeamter oder als zur Geheimhaltung besonders Verpflichteter (Art. 32 Abs. 2 des Europol-Übereinkommens, BGBl. III Nr. 123/1998) eine Tatsache oder Angelegenheit offenbart oder verwertet, die ihm ausschließlich kraft seines Amtes oder seiner Tätigkeit zugänglich geworden ist und deren Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen. (3) Offenbart der Täter ein Amtsgeheimnis, das verfassungsgefährdende Tatsachen (§ 252 Abs. 3) betrifft, so ist er nur zu bestrafen, wenn er in der Absicht handelt, private Interessen zu verletzen oder der Republik Österreich einen Nachteil zuzufügen. Die irrtümliche Annahme verfassungsgefährdender Tatsachen befreit den Täter nicht von Strafe. ARGE DATEN ARGE DATEN

89 Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln]
DSG Strafbestimmungen Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln] - widerrechtliches Verschaffen eines Zugangs zu einer DA - widerrechtliches Weiterbenutzen eines Zugangs zu einer DA - Übermittlung unter Verletzung des Datengeheimnisses - Weiterverwendung von Daten entgegen eines rechtskräftigen Urteils/Bescheids - widerrechtliches Löschen von Daten (§ 26 Abs. 7) Strafrahmen: bis ,- Euro zuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSB Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk) Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten! Zuständig für Anzeigen ist jene Bezirksverwaltungsbehörde in deren Sprengel der Datenverarbeiter seinen Aufenthalt oder Sitz hat Das sind die Bezirkshauptmannschaften bzw. in den Städten mit eigenem Statut die Magistrate Berufungsinstanz ist der Unabhängige Verwaltungssenat (UVS)‏ Verantwortlichkeit des Auftraggebers ist u.a im VstG § 9 geregelt Vor 2000 gab es rund 30 Verfahren/Jahr bei den Landeshauptleuten, die Regierungsvorlage 2000 rechnete in Zukunft mit 10fachem Anfall an Anzeigen/Verfahren, tatsächlich dürfte die jährliche Zahl an Strafverfahren zurück gegangen sein. Aktuelle Zahlen werden von der DSB nicht publiziert. ARGE DATEN ARGE DATEN

90 DSG 2000 - Strafbestimmungen
Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 1. nicht Erfüllen der Meldepflicht gemäß den §§ 17 oder 50c oder Betreiben eine Datenanwendung auf eine von der Meldung abweichende Weise oder 2. Übermitteln oder überlassen von Daten ins Ausland, ohne Genehmigung gemäß § 13 Abs. 1 oder 3. Verstoß gegen Zusagen an oder Auflagen der DSB (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) oder 4. Verletzen von Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d oder 5. § 14 gröbliches außer Acht lassen von Sicherheitsmaßnahmen oder § 52 DSG 2000 Verwaltungsstrafbestimmung (1) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu Euro zu ahnden ist, wer 1. sich vorsätzlich widerrechtlichen Zugang zu einer Datenanwendung verschafft oder einen erkennbar widerrechtlichen Zugang vorsätzlich aufrechterhält oder 2. Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 15) übermittelt, insbesondere Daten, die ihm gemäß §§ 46 oder 47 anvertraut wurden, vorsätzlich für andere Zwecke verwendet oder 3. Daten entgegen einem rechtskräftigen Urteil oder Bescheid verwendet, nicht beauskunftet, nicht richtigstellt oder nicht löscht oder 4. Daten vorsätzlich entgegen § 26 Abs. 7 löscht. (2) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu Euro zu ahnden ist, wer 1. Daten ermittelt, verarbeitet oder übermittelt, ohne seine Meldepflicht gemäß den §§ 17 oder 50c erfüllt zu haben oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt oder 2. Daten ins Ausland übermittelt oder überlässt, ohne die erforderliche Genehmigung der Datenschutzkommission gemäß § 13 Abs. 1 eingeholt zu haben oder 3. gegen gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1 abgegebene Zusagen oder von der Datenschutzkommission gemäß § 13 Abs. 1 oder § 21 Abs. 2 erteilte Auflagen verstößt oder 4. seine Offenlegungs- oder Informationspflichten gemäß den §§ 23, 24, 25 oder 50d verletzt oder 5. die gemäß § 14 erforderlichen Sicherheitsmaßnahmen gröblich außer Acht lässt oder ARGE DATEN ARGE DATEN

91 DSG 2000 - Strafbestimmungen
Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 6. wer gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderliche Sicherheitsmaßnahmen außer Acht lässt oder 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht. Strafrahmen: bis ,- Euro § 52 DSG 2000 Verwaltungsstrafbestimmung (Fortsetzung) 6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt oder 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Löschungsfrist nicht löscht. ARGE DATEN ARGE DATEN

92 Verfallbestimmungen § 52 Abs. 4
DSG Strafbestimmungen Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a) [=Gefährdung von Betroffenenrechten] neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a) Strafrahmen: bis 500,- Euro [neu seit 2010] Verfallbestimmungen § 52 Abs. 4 Datenträger und Programme sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden § 52 DSG 2000 Verwaltungsstrafbestimmung (Fortsetzung) (2a) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit einer Strafe bis zu 500 Euro zu ahnden ist, wer Daten entgegen den §§ 26, 27 oder 28 nicht fristgerecht beauskunftet, richtigstellt oder löscht. (3) Der Versuch ist strafbar. (4) Die Strafe des Verfalls von Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten kann ausgesprochen werden (§§ 10, 17 und 18 VStG), wenn diese Gegenstände mit einer Verwaltungsübertretung nach Abs. 1 oder 2 in Zusammenhang stehen. (5) Zuständig für Entscheidungen nach Abs. 1 bis 4 ist die Bezirksverwaltungsbehörde, in deren Sprengel der Auftraggeber (Dienstleister) seinen gewöhnlichen Aufenthalt oder Sitz hat. Falls ein solcher im Inland nicht gegeben ist, ist die am Sitz der Datenschutzkommission eingerichtete Bezirksverwaltungsbehörde zuständig. ARGE DATEN ARGE DATEN

93 Schlussbemerkung - ARGE DATEN ARGE DATEN

94 "Videoüberwachung war ein Fiasko"
Mike Neville, Chef der CCTV-Einheit bei Scotland Yard, 2008 Trotzdem: "Wir brauchen mehr Kameras, mehr Personal, bessere Software, ..." derselbe, 2008 - "Wir können beliebig viele Postkutschen aneinander reihen, niemals wird daraus eine Eisenbahn" Joseph Schumpeter, Nationalökonom, 1911 Dr. Hans G. Zeger © Hans G. Zeger 2009 ARGE DATEN

95 Quelle: Heute - ARGE DATEN ARGE DATEN

96 ... in diesem Sinn benötigen wir
Umdenken ist gefragt ... ... in diesem Sinn benötigen wir - ein klares Bekenntnis zu Grundrechten, zur Freiheit und Würde der Menschen - die Erkenntnis, dass wir totale Sicherheit wohl erst im Grab haben werden - den Verzicht auf präventive Überwachung ohne Anlass - den Willen, Sicherheitsbehörden so zu organisieren, dass sie im Anlassfall ausreichende technische und personelle Mittel haben und rasch reagieren können - ARGE DATEN

97 "Die Polizei hat einerseits für die Sicherung des Bestehenden zu sorgen, ist andererseits aber auch den Menschenrechten und dem Schutz abweichender Auffassungen verpflichtet. Jahrhundertelang konnte sie sich auf ihren traditionellen Auftrag zur Sicherheitsvorsorge berufen, was vieles rechtfertigte. Aber autoritäre Auffassungen werden in immer höherem Ausmaß fragwürdig." Prof. Bernd-Christian Funk, Verfassungsjurist Standard Interview 9./10. August 2014 - ARGE DATEN

98 Ich danke für Ihre Aufmerksamkeit
- ARGE DATEN ARGE DATEN

99 Onlineinformation ARGE DATEN ARGE DATEN http://www.argedaten.at/
Weitere Datenschutzeinrichtungen - Weitere Rechtsinformationen - Entscheidungen finden sich im RIS: - (Datenschutzkommission)‏ - (OGH-Entscheidungen)‏ Technische Informationen - Bundesamt fuer Sicherheit in der Informationstechnik (BSI) - CERT - Online-Sicherheitsstatus - DFN Cert - Security-Server - Informationstechnik-Koordination (BKA Wien) ARGE DATEN ARGE DATEN


Herunterladen ppt "Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven"

Ähnliche Präsentationen


Google-Anzeigen