Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© ARGE DATEN 2014 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven Hans G. Zeger, ARGE DATEN Stegersbach, Hotel Allegria, 15. September 2014.

Ähnliche Präsentationen


Präsentation zum Thema: "© ARGE DATEN 2014 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven Hans G. Zeger, ARGE DATEN Stegersbach, Hotel Allegria, 15. September 2014."—  Präsentation transkript:

1 © ARGE DATEN 2014 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven Hans G. Zeger, ARGE DATEN Stegersbach, Hotel Allegria, 15. September 2014 und folgende ARGE DATEN

2 © ARGE DATEN 2014 Die ARGE DATEN als PRIVACY-Organisation Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: -Web-Service: Besucher/Monat -Newsletter: rund Abonnenten -2013: rund 500 Medienanfragen/-berichte Mitgliederbetreuung Datenschutzfragen -2013: ca. 600 Datenschutz-Anfragen Rechtsschutz, PRIVACY-Services -2013: in ca. 200 Fällen Mitglieder in Verfahren vertreten Zahl der betreuten Mitglieder -aktuell: ca Personen Studien- und Beratungsprojekte A-CERT - Zertifizierungsdienstleister gem. SigG ARGE DATEN

3 © ARGE DATEN 2014 ARGE DATEN Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell- schaft das Grundrecht auf Privatsphäre zu sichern. ARGE DATEN

4 © ARGE DATEN 2014 ARGE DATEN Mehr Überwachungstechnik = mehr Sicherheit?... eine Wahrheit, der wir uns unterordnen müssen?

5 © ARGE DATEN 2014 ARGE DATEN Dr. Hans G. Zeger © Hans G. Zeger 2009 Warum haben wir überhaupt ein Bedürfnis nach Sicherheit? Sicherheit ist eine Strategie angstbesetzte Situationen zu vermeiden oder zumindest zu kontrollieren.

6 © ARGE DATEN 2014 ARGE DATEN Dr. Hans G. Zeger © Hans G. Zeger 2009 Aufgezeichnet von einer CCTV-Kamera Wen bedroht der Mann? Sehen wir mehr, wenn wir genauer hinsehen? [Ausschnitt aus: "faceless, 2008"]

7 © ARGE DATEN 2014 ARGE DATEN Dr. Hans G. Zeger © Hans G. Zeger überwachte Verdächtige fünftausend überwachte Betroffene Wer gehört zum Netzwerk? Wer ist die Kommandozentrale? Der lang gesuchte „Pate“? Oder nur das Pizzaservice, das alle lieben? Oder ist das Pizzaservice doch die Tarnung für den „Paten“?

8 © ARGE DATEN 2014 ARGE DATEN Dr. Hans G. Zeger © Hans G. Zeger 2009 Wo ist das Ende der Entwicklung? Wir wissen es nicht, daher brauchen wir ordentliche rechtliche Grundlagen

9 © ARGE DATEN 2014 ARGE DATEN Dr. Hans G. Zeger © Hans G. Zeger 2009 Spuren am Datenhighway Konsequenzen: -persönliche Datensammlung verschwindet aus dem Wahrnehmungshorizont der Menschen -biometrische Identifikationsverfahren werden an Bedeutung verlieren -Datenmengen steigen exponentiell an und müssen automatisiert "smart" ausgewertet werden -Daten erscheinen als Informationssplitter und müssen erst zusammengesetzt, bewertet und interpretiert werden -Informations-Systeme sind "unverzichtbar", nicht mehr abschaltbar -Informations-Systeme "wissen" mehr über die geheimen Wünsche der Menschen, als die Menschen selbst

10 © ARGE DATEN 2014 ARGE DATEN Wer ist verdächtig? -überqueren der Straße, abseits vom Zebrastreifen -in Öffentlichkeit Dose in der Hand halten -stehen in Hauseingängen -stehen vor Häusern, Bahnhöfen,... -stehenbleiben vor einem Auto -gehen von einem Auto zum nächsten -längeres Herumstehen allgemein -Laufen -Bewegen mehrerer Menschen aus verschiedenen Richtungen auf einen Punkt zu Aus INDECT, einem EU-Projekt zur Zusammenführung aller erdenklicher (Video-)Daten und deren automatisierter Auswertung

11 © ARGE DATEN 2014 ARGE DATEN... verdächtig ist auch... -Wer Halal-Speisen im Flugzeug bestellt -Wer immer wieder umbucht -Wer bei auffälligen Reisebüros bucht -Wer Oneway-Tickets bucht -Wer auffällige Namen trägt "Erkenntnisse" des Department of Homeland Security... aber auch... -Wer Socken in seiner Tasche transportiert Erkenntnisse lt. Zeitschrift Polizei 10-12/ und auch... -Wer Smartphones ohne Ladegerät auf ebay & Co anbietet Erkenntnisse lt. einer Online-Handelsplatform

12 © ARGE DATEN 2014 ARGE DATEN © Hans G. Zeger 2009 Wanted! Machen technische Fehler uns alle verdächtig?

13 © ARGE DATEN 2014 ARGE DATEN Und manchmal geht etwas schief... Prominente Beispiele: Ted Kennedy, Cat Stevens

14 © ARGE DATEN das Böse lauert überall und manche wissen mehr oder eine blöde Bemerkung im Pub... ARGE DATEN

15 © ARGE DATEN 2014 ARGE DATEN Grundlagen DSG 2000 Schlussbemerkung Schutz der Privatsphäre Auswahl Bestimmungen DSG 2000 Datenschutz Sicherheitsbehörden Geplanter Ablauf Weitere DSG-Bestimmungen ARGE DATEN

16 © ARGE DATEN 2014 ARGE DATEN Grundlagen des DSG 2000 Die wichtigsten Begriffe Zustimmung Zulässigkeit der Datenverwendung Rechtmäßige Datenanwendung ARGE DATEN

17 © ARGE DATEN 2014 ARGE DATEN Entwicklung zum DSG erstes Datenschutzgesetz - DSG (BGBl. Nr. 565/1978) (Geltung ) 1995EG-Datenschutzrichtlinie 95/46/EG 1999Datenschutzgesetz - DSG 2000 (BGBl. I Nr. 165/1999) Wichtige Änderungen zum DSG 2000 (Auswahl) 2001Euro-Umstellung der Verwaltungsstrafen (BGBl. I Nr. 136/2001) 2005"Tsunami"-Bestimmung (BGBl. I Nr. 13/2005) 2008Änderungen in Verfassungsbestimmungen (BGBl. I Nr. 2/2008) 2009DSG Novelle 2010 (BGBl. I Nr. 133/2009) 2012Verwaltungsgerichtsbarkeits-Novelle 2012 (BGBl. I Nr. 51/2012) 2013DSG Novelle 2013 (BGBl. I Nr. 57/2013) 2013DSG Novelle 2014 (BGBl. I Nr. 83/2013) 20?? EU - Neuordnung des Datenschutzes DSG Grundlagen ARGE DATEN

18 © ARGE DATEN 2014 Umsetzung der EU-Richtlinie "Datenschutz" (1995) soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch innerhalb der EU (Art.1 Abs.2) sichern Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten." Art. 1 Abs. 2 "Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes." EU-RL gilt nur für "natürliche Personen" DSG 2000 auch für "juristische und sonstige Personen" damit vertritt Österreich EU-weit eine exotische Position Bestimmungen betreffen alle Verwendungsformen persönlicher Daten, nicht nur automatisiert verarbeitete Daten DSG Grundlagen ARGE DATEN

19 © ARGE DATEN 2014 DSG Grundrecht DSG 2000 § 1 (Verfassungsbestimmung) : "jede Verwendung persönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") ARGE DATEN Einschränkungen des Verbots sind möglich: - mit der Zustimmung des Betroffenen - in Vollziehung von Gesetzen (Behörden, behördliche Tätigkeit) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen/Dritter ARGE DATEN

20 © ARGE DATEN 2014 DSG Grundrecht DSG 2000 § 1 Abs 2 "behördliche Eingriffe" : "(2) [...] Beschränkungen des Anspruchs auf Geheimhaltung [...] bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden." ARGE DATEN zulässige Gesetze gemäß EMRK (Auszug): - Aufrechterhaltung öffentliche Ruhe und Ordnung -Verteidigung der Ordnung -Verhinderung von strafbaren Handlungen -Schutz der Moral -Schutz der Rechte und Freiheiten anderer ARGE DATEN

21 © ARGE DATEN 2014 ARGE DATEN DSG 2000 § 4 Z 1 "Daten" ("personenbezogene Daten") "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" DSG 2000 § 4 Z 3 "Betroffener" "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" Datenbegriff sehr allgemein gehalten, umfasst auch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. Stromverbrauchsdaten, IP-Adressen, ), Informationen über Sachen DSG Grundlagen ARGE DATEN

22 © ARGE DATEN 2014 Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!) personenbezogene Daten § 4 Z 1 DSG 2000 ARGE DATEN DSG Grundlagen Personenbezogene Daten sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG 2000 (kein EU-Begriff) sensible Daten § 4 Z 2 DSG 2000 ARGE DATEN

23 © ARGE DATEN 2014 ARGE DATEN DSG 2000 § 4 Z 2 ("sensible" Daten) Daten natürlicher Personen über rassische und ethnische Herkunft politische Meinung Gewerkschaftszugehörigkeit religiöse und philosophische Überzeugung Gesundheit Sexualleben Probleme kann die Abgrenzung bereiten, z.B. Hautfarbe, Speisegewohnheiten, "Kopftuch", Sozialberatung DSG Grundlagen ARGE DATEN

24 © ARGE DATEN 2014 ARGE DATEN DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung) DSG 2000 § 4 Z 5 "Dienstleister" natürliche oder juristische Personen,......, wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung) DSG Grundlagen ARGE DATEN

25 © ARGE DATEN 2014 ARGE DATEN DSG Grundlagen DSG 2000 § 4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem [personenbezogenen, Anm.] Suchkriterium zugänglich sind" DSG 2000 § 4 Z 7,,Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)" DSG 2000 § 4 Z 8 " Verwenden von Daten" "jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten" ARGE DATEN

26 © ARGE DATEN 2014 ARGE DATEN DSG 2000 § 4 Z 9 "Verarbeiten von Daten" "das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten" DSG 2000 § 4 Z 12 "Übermitteln von Daten" "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister" Entscheidung DSK K /16-DSK/00 Übermittlung ist unabhängig von der technischen Methode DSG 2000 § 4 Z 14 "Zustimmung" "die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt" Widerruf der Zustimmung in § 8 bzw. § 9 geregelt DSG Grundlagen ARGE DATEN

27 © ARGE DATEN 2014 Verwenden von Daten Z 8 ÜbermittelnVerarbeiten Z 9 Z 12 Daten- anwendung Z 7 Auftraggeber Z 4 Dienstleister Z 5 Auftrag Überlassen Z 11 Ermitteln, Auswerten, Sortieren, Speichern, Analysieren, Korrigieren, Ausdrucken, Anzeigen,... DSG Grundlagen Die wichtigsten Begriffe (§ 4 DSG Z...) ARGE DATEN

28 © ARGE DATEN 2014 ARGE DATEN DSG Grundlagen Grundsätze der Verwendung von Daten (§ 6ff) Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1) Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2) Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2) Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3) DSK /010-DSK/2001 ("gelindester Eingriff") Zuverlässigkeitsprüfung eines Sicherheitsbeamten durch Gewerbbehörde  Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren ARGE DATEN

29 © ARGE DATEN 2014 ARGE DATEN Wie kann die Rechtmäßigkeit einer Datenverarbeitung abgeschätzt werden? (1) Rechtsgrundlage Die Verwendung von personenbezogenen Daten muss für ein legitimes Ziel (Gesetz, Vertrag,...) erforderlich sein. (2) Eignung Die Verwendung von Daten muss geeignet sein um das bestimmte, konkrete Ziel (Zweck) tatsächlich zu erreichen. (3) Erforderlichkeit Es gibt keine alternative (weniger invasive) Lösung zur Erreichung des bestimmten Ziels (Zweckes). (4) Verhältnismäßigkeit Die Verwendung der Daten führt zu keiner Verletzung höherwertiger Schutzrechte (Grundrechte). DSG Grundlagen ARGE DATEN

30 © ARGE DATEN 2014 Geheimhaltungsinteressen bei Datenverwendung (§ 8-nicht-sensible Daten, § 9-sensible Daten) Wann dürfen Daten jedenfalls verwendet werden? (Auszug) -Rechtsgrundlage / gesetzliche Verpflichtungen -Zustimmung des Betroffenen -zur Wahrung lebenswichtiger Interessen -überwiegende Interessen Dritter / Auftraggeber (nicht anwendbar bei sensiblen Daten!) z.B. notwendige Voraussetzung zur Vertragserfüllung, Ausübung von Rechtsansprüchen des Auftraggebers, behördliche Tätigkeit -indirekt personenbezogene Daten -zulässig veröffentliche Daten: soweit berechtigter Zweck des Verwenders gegeben -im öffentlichen Bereich: in Erfüllung der Amtshilfe DSG Grundlagen ARGE DATEN

31 © ARGE DATEN 2014 ARGE DATEN Schutz der Privatsphäre § 1328a ABGB Beispiele / Entscheidungen Übersicht ARGE DATEN

32 © ARGE DATEN 2014 ARGE DATEN Bestimmungen zum Schutz der Privatsphäre EMRK Art 8 (Privatsphäre, Familienleben, Briefverkehr) StGG (Staatsgrundgesetz) Art. 9, 10 (Briefgeheimnis) u. 10a (Fernmeldegeheimnis) § 1 DSG 2000 (Geheimhaltung Daten) § 16 ABGB (angeborene Rechte) StGB z.B. § 118f (Briefgeheimnis), § 119f (Telekommunikationsgeheimnis) und §§ 302ff (Amtsmissbrauch) TKG 2003 § 93 (Kommunikationsgeheimnis) MedienG § 7ff (Bloßstellung) UrhG § 77 (Briefe, Tagebücher, ähnliche vertrauliche Aufzeichnungen), § 78 (Bildnisschutz), § 87 Abs 2 (Entschädigung) Regelungen für einzelne Berufsgruppen (siehe Anhang) ABGB § 1328a (Bloßstellung) StGB § 107a (Anti-Stalking-Bestimmung) Schutz der Privatsphäre - Übersicht ARGE DATEN

33 © ARGE DATEN 2014 ARGE DATEN Schutz der Privatsphäre - Übersicht ARGE DATEN

34 © ARGE DATEN 2014 ARGE DATEN § 107a StGB Beharrliche Verfolgung / Stalking -Delikt: beharrliche Verfolgung, gegeben wenn -räumliche Nähe gesucht (Abs. 2 Z 1) oder -Kontaktaufnahme mittels Telekommunikation, sonstige Kommunikationsmittel oder über Dritte (Abs. 2 Z 2) oder -Verwendung personenbezogener Daten zur Bestellung von Waren und Diensten (Abs. 2 Z 3) oder -Verwendung personenbezogener Daten um Dritte zur Kontaktaufnahme zu veranlassen (Abs. 2 Z 2) -Strafrahmen bis zu einem Jahr Schutz der Privatsphäre - §107a StGB

35 © ARGE DATEN 2014 ARGE DATEN § 1328a ABGB Privatsphärebestimmung (1) Wer rechtswidrig und schuldhaft in die Privatsphäre eines Menschen eingreift oder Umstände aus der Privatsphäre eines Menschen offenbart oder verwertet, hat ihm den dadurch entstandenen Schaden zu ersetzen. Bei erheblichen Verletzungen der Privatsphäre, etwa wenn Umstände daraus in einer Weise verwertet werden, die geeignet ist, den Menschen in der Öffentlichkeit bloßzustellen, umfasst der Ersatzanspruch auch eine Entschädigung für die erlittene persönliche Beeinträchtigung. Abs.2 definiert Substitutionsklausel -Bestimmung ist nicht anzuwenden, wenn andere Bestimmung gilt, etwa Datenschutz- oder Medienrechtsbestimmungen Schutz der Privatsphäre - §1328a ABGB ARGE DATEN

36 © ARGE DATEN 2014 ARGE DATEN Änderungen durch § 1328a Immaterieller Schadenersatz Auffangtatbestand für bisher nicht erfasste Verletzungen Drei Verletzungsarten Eingreifen (Eindringen in die Privatsphäre) Offenbaren an Dritte (nicht nur Öffentlichkeit) Verwerten (wirtschaftlicher Vorteil durch Kenntnisse aus Privatsphäre) Voraussetzungen für Schadenersatz nach § 1328a Rechtswidrigkeit Verschulden (leichte Fahrlässigkeit genügt) Erheblicher Eingriff Schutz der Privatsphäre - §1328a ABGB ARGE DATEN

37 © ARGE DATEN 2014 ARGE DATEN Schutz der Privatsphäre - Beispiele Beispiele für Eingriffe in die Privatsphäre private Videoüberwachung, Personenortung, Radarüberwachung Bekanntgabe persönlicher Daten im Internet Illegales Abhören von Telefonaten oder Gesprächen Hacken von privaten Computern Missbrauch von Foto-Handys Weitergeben von privat mitgeteilten Geheimnissen Überwachung des Standortes eines Mobiltelefonnutzers ohne dessen Zustimmung Offenbaren/Verwerten von Gerichtsurteilen Bedrängen durch Kontaktaufnahmeversuche ( , Telefonate,...) ARGE DATEN

38 © ARGE DATEN 2014 ARGE DATEN Entscheidungen zur Privatsphäre Entscheidungen zum Schutz der Privatsphäre OGH 6Ob 2401/96y Videoüberwachung eines Wohnhauses OGH 7Ob 89/97g "Überwachung" durch Kameraattrappen (siehe auch analog OGH 6Ob6/06k) OGH 8Ob 108/05y Videoüberwachung eines Konkurrenten OGH 6Ob 256/12k Unzulässig ist schon die Herstellung eines Bildes ("private" Aufnahmen von einem Sachverständigen im Zuge einer Amtshandlung) OGH 7Ob 248/09k Gelegentliches "über den Zaun schauen" ohne Eingriffsabsicht / ohne techn. Hilfsmittel kein Eingriff in Privatsphäre (Eingriff muss mit Aufzeichnungen nachgewiesen werden) BG Josefstadt 6C188/09p EV gemäß § 382g EO wegen Veröffentlichung privater Daten in einem Blog ("Cyberstalking") (begründet auf § 1328a ABGB) ARGE DATEN

39 © ARGE DATEN 2014 ARGE DATEN Veröffentlichung Informationsverbundsystem Kontrollbefugnisse Datenschutzbehörde Auswahl Bestimmungen DSG 2000 Meldepflichten Informationspflichten Betroffenenrechte ARGE DATEN

40 © ARGE DATEN 2014 ARGE DATEN Was ist eine zulässige Veröffentlichung? Veröffentlichen von Informationen -ist im DSG 2000 Spezialfall der Datenübermittlung -die Veröffentlichung muss rechtlich zulässig sein DSG Veröffentlichung ARGE DATEN

41 © ARGE DATEN 2014 ARGE DATEN Registrierung von Datenanwendungen (§§ 16ff) -Grundsätzlich besteht für jede Datenanwendung Registrierungspflicht, aber: es sind nicht alle Datenanwendungen zu registrieren (§ 17) -Jede Registrierung erfolgt für bestimmte Datenanwendung, für bestimmte Datenarten, bestimmte Personengruppen und bestimmte Zwecke (§ 17) -Eine DVR-Nummer wird einem Unternehmen (Organisation) bei erstmaliger Registrierung einer DA zugeteilt (§ 21) -Registrierung ist kostenlos (§ 53) -Registrierung soll Transparenz sichern (§ 16) -Jedermann kann Einsicht in Registrierung nehmen (§ 16) -Vereinfachte Registrierung bei Muster-Datenanwendungen (§ 19) DSG Registrierung und Genehmigung ARGE DATEN

42 © ARGE DATEN 2014 ARGE DATEN Registrierungsfreiheit (§ 17) -Standardanwendungen -DA enthält ausschließlich (!) veröffentlichte Daten (typischerweise Telefonbuch-CDs u.ä.) -Führung öffentlich einsehbarer, gesetzlich vorgesehener Register -ausschließlich indirekt personenbezogene Daten -persönliche Datenanwendungen -publizistische Datenanwendungen -manuelle Datenanwendungen, die nicht der Vorabkontrolle unterliegen -bestimmte DA‘s der Republik Österreich -DA für Zwecke der Strafverfolgung DSG Registrierung und Genehmigung ARGE DATEN

43 © ARGE DATEN 2014 ARGE DATEN Was ist ein Informationsverbundsystem (IVS)? (§ 50) gemeinsame Verwendung von Daten in einer DA durch mehrere [österreichische] Auftraggeber geeigneter Betreiber ist zu bestellen Betreiber ist zwecks Eintrag im DVR zu melden Betreiber hat Auskünfte über Auftraggeber zu geben (12 Wochenfrist!) es können weitere Auftraggeberpflichten an den Betreiber abgetreten werden Meldepflichten des Informationsverbundsystems können an Betreiber formlos übertragen werden (Abs. 2) Erleichterungen der Meldung zusätzlicher Teilnehmer an Informationsverbundsystem: es genügt Verweis auf andere Meldung (Abs. 2a) Stand lt. DVR-Online: 133 Anwendungen gemeldet, davon ca. 80% aus öffentlich-rechtlichen Bereich, 20% private DSG Spezialregelungen ARGE DATEN

44 © ARGE DATEN 2014 ARGE DATEN Informationsverbundsysteme des BMI -16 registrierte Informationsverbundsysteme -weitere per Gesetz eingerichtete Informationsverbundsysteme u.a. zentrales Melderegister Beispiele -Sachenfahndung Zweck: Evidenthaltung der Daten von nummerierten Sachen, die zur Fahndung ausgeschrieben wurden -Einsatz-Protokoll-System (EPS-WEB) Zweck: Leitung, Administration und Koordination von sprengelübergreifenden Einsätzen (insbesondere von sicherheitspolizeilichen Schwerpunktaktionen oder Fahndungen) -Kriminalpolizeilicher Aktenindex (KPA) Zweck: Evidenthaltung Personen, gegen die wegen des Verdachts einer vorsätzlich begangenen, von Amts wegen zu verfolgenden gerichtlich strafbaren Handlung Anzeige erstattet wurde + Komplizen -Sicherheitsmonitor DSG Spezialregelungen ARGE DATEN

45 © ARGE DATEN 2014 ARGE DATEN DSG Kontrollbefugnisse Konzept der Vorabkontrolle (DSG 2000 § 10, § 18 Abs. 2, §§ 20, 21, 30, § 10) bestimmte Datenanwendungen unterliegen einer Vorabkontrolle durch DSB -DA's die sensible Daten verwenden -DA's die in Form eines Informationsverbundsystems betrieben werden -registrierungspflichtige Videoüberwachungen -DA's die Daten zur Beurteilung der Kreditwürdigkeit dienen bzw. strafrechtlich relevante Daten verarbeiten Voraussetzungen der Vorabkontrolle: Prüfung auch ohne Verdachtsmomente möglich Auflagen zum Betrieb der Datenanwendung können erteilt werden ARGE DATEN

46 © ARGE DATEN 2014 ARGE DATEN Informationspflicht (§ 24 / Art. 10, 11, 14 EG-RL) Informationspflicht anlässlich Ermittlung Zweck Auftraggeber Spätestens zum Zeitpunkt der Übermittlung Entfällt, -bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind oder -bei mangelnder Erreichbarkeit der Betroffenen oder -bei Unwahrscheinlichkeit der Beeinträchtigung der Betroffenenrechte und Höhe der Kosten der Information Informationspflicht ist "Bringschuld" des Auftraggebers! DSG Informationspflicht ARGE DATEN

47 © ARGE DATEN 2014 ARGE DATEN Informationspflicht (DSG 2000 § 24 Abs. 2a) Betroffene sind von Datenschutzverletzungen zu informieren - wenn schwerwiegend und systematisch -wenn Betroffenen Schaden droht -Ausnahme: keine Informationspflicht wenn Schaden nur "geringfügig" und Verständigungsaufwand "unverhältnismäßig hoch" Es handelt sich um eine Informationspflicht "light", die gegenüber dem ursprünglichen Entwurf erheblich reduziert wurde. DSG Informationspflicht ARGE DATEN

48 © ARGE DATEN 2014 ARGE DATEN Betroffenenrecht - Auskunft (§ 26) I Auskunft ist auf Verlangen bei Nachweis der Identität zu geben (Abs. 1) [Berufung auf DSG nicht erforderlich!] Auskunftsfrist sind 8 Wochen (Abs. 4) Antragsteller hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3) ungerechtfertigter Aufwand ist zu vermeiden Auskunftsrecht unabhängig von Registrierungserfordernis [!!] von einem Vertragsverhältnis von tatsächlichem Vorhandensein von Daten von sonstigen Voraussetzungen (Verdacht des Datenmissbrauchs, einer Datenweitergabe,...) DSG Betroffenenrechte ARGE DATEN

49 © ARGE DATEN 2014 ARGE DATEN Betroffenenrecht - Auskunft (§ 26) II Auftraggeber hat Auskunft zu erteilen über Zweck der Datenanwendung die verwendeten Daten in allgemein verständlicher Form verfügbare Information über ihre Herkunft allfällige Empfänger oder Empfängerkreise von Übermittlungen Name und Adresse des Dienstleisters (muss vom Betroffenen extra verlangt werden) 4 Monate Löschungsverbot nach Einlangen des Auskunftsbegehrens, aber DSG-Novelle 2010: kein Löschungsverbots in jenen Fällen, bei denen der Auskunftswerber (Betroffene) die Löschung wünscht (Abs. 7) Auskunftsbegehren und Auskunft haben schriftlich zu erfolgen, Abweichung im Einverständnis der Gegenseite möglich DSG Betroffenenrechte ARGE DATEN

50 © ARGE DATEN 2014 ARGE DATEN Betroffenenrecht - Auskunft (§ 26) III begründete Auskunftsverweigerung / Auskunftsbegrenzungen sind möglich, u.a. -Schikaneverbot: Betroffener wurden Daten schon mitgeteilt (etwa Kontoauszüge, OGH 6Ob25/90), trifft nicht zu, dass ein Betroffener bestimmte Daten sowieso "wissen" müsste -überwiegende Interessen des Auftraggebers oder Dritter -aus therapeutischen Gründen (Gesundheitszustand) -formale Gründe: fehlender Identitätsnachweis, fehlender Kostenersatz, fehlende Mitwirkung,... Auskunft ist einmal im Jahr bei aktuellen Daten kostenfrei ansonsten tatsächliche Kosten oder pauschalierter Ersatz Auskunftsrecht ist "Holschuld" des Betroffenen! DSG Betroffenenrechte ARGE DATEN

51 © ARGE DATEN 2014 ARGE DATEN Betroffenenrecht - Löschung/Richtigstellung (§ 27) -grundsätzlich besteht Richtigstellungspflicht des Auftraggebers sobald Daten nicht mehr richtig, nicht (mehr) benötigte oder unzulässig verarbeitete Daten sind zu löschen -Betroffene können Richtigstellungsantrag stellen -Verpflichtung gilt auch für unvollständige Daten, veraltete Daten, irreführende Daten Beweislast der Richtigkeit von Daten, wenn beantragte Änderung verweigert wird, liegt beim Auftraggeber Jedoch! Werden Daten ausschließlich gemäß Betroffenenangaben verarbeitet hat der Betroffene Fehler/Änderung zu belegen DSG Betroffenenrechte ARGE DATEN

52 © ARGE DATEN 2014 ARGE DATEN Beschwerdeverfahren vor DSB (§ 31) -bei allen Auskunftsverfahren nach § 26, zusätzlich bei Auskünften im Zusammenhang mit automatisierten Einzelentscheidungen (§ 49 Abs. 3) und Auskünften von Betreibern von Informationsverbundsystemen (§ 50 Abs. 1) (§ 31 Abs. 1) -Verletzungen des Rechts auf Geheimhaltung (§ 1) oder Löschung und Richtigstellung (§ 27 und § 28) bei Datenanwendungen die in Vollziehung der Gesetze betrieben werden (§ 31Abs. 2) DSG Kontrollbefugnisse ARGE DATEN

53 © ARGE DATEN 2014 ARGE DATEN Beschwerdeverfahren vor Gericht (§ 32) -Gerichtszuständigkeit: gegenüber Rechtsträgern die Datenanwendungen "nicht in Vollziehung der Gesetze" betreiben (Abs. 1) -Klarstellung der Gerichtszuständigkeit bei Einstweiligen Verfügungen (Abs. 4) -Möglichkeit der Nebenintervention der DSB bei Zivilklagen, jetzt "Einschreiter" (Abs. 6) -Gericht kann DSB auf Überprüfung nach DSG 2000 §§ 22 und 22a ersuchen (Abs. 7) DSG Kontrollbefugnisse ARGE DATEN

54 © ARGE DATEN 2014 ARGE DATEN Datenschutz Sicherheitsbehörden Sicherheitspolizeigesetz Strafprozessordnung Sonstige Bestimmungen Entscheidungen DSK/DSB ARGE DATEN

55 © ARGE DATEN 2014 ARGE DATEN Grundprinzipien in der Datenverwendung -jede Tätigkeit erfordert eine gesetzliche Grundlage -jede Verwendung personenbezogener Daten stellt einen Grundrechtseingriff dar -für die Verwendung personenbezogener Daten gelten grundsätzlich zusätzlich die Bestimmungen des DSG 2000, die Verwendung von Daten ist (mit Ausnahmen) bei DVR bzw. DSB melde- oder genehmigungspflichtig -Ausnahmen der Meldepflicht: a) per Gesetz eingerichtete öffentlich zugängliche Datenanwendungen b) Standardanwendungen c) Datenanwendungen die zur Aufrechterhaltung der Sicherheit des Landes erforderlich sind -Beachtung der Verhältnismäßigkeit (u.a. § 29 SPG) -unabhängig von Meldung und gesetzlichen Vorgaben ist das Prinzip des minimalen Eingriffs in Grundrechte und die Zweckbindung zu beachten (EMRK, Verfassungsbestimmung) Datenschutzanforderungen Sicherheitsbehörden ARGE DATEN

56 © ARGE DATEN 2014 ARGE DATEN Datenschutz im Sicherheitspolizeigesetz (SPG) Regelt Tätigkeit als Sicherheitspolizei, Datenerhebung erfolgt im eigenen Ermessen -Regelung der Verarbeitungsvoraussetzungen (§ 53 Abs. 1) -Regelung zu den Ermittlungsstellen (§ 53 Abs ) -Regelung zum Datenabgleich (§ 53 Abs. 2) -allgemeine Regelung zu Datenanwendungen und Umfang der verarbeiteten Daten (§§ 53a, 53b) -Regelung der technischen Datenermittlung (§ 54) -Regelung der Datenübermittlung (§ 56) -Regelung zu bestimmten (zentralen) Datenanwendungen +zentrale Personenevidenz (§§ 57, 58) +Sicherheitsmonitor (§ 58a) + Vollzugsverwaltung (§ 58b) +zentrale Gewaltschutzdatei (§ 58c) +zentrale Analysedatei (§ 58d) +(zentrale) erkennungsdienstliche Evidenz (§§ ) Datenschutzanforderungen Sicherheitsbehörden ARGE DATEN

57 © ARGE DATEN 2014 ARGE DATEN SPG - Verarbeitungsvoraussetzungen Unter welchen Bedingungen dürfen personenbezogene Daten verwendet werden? -Dokumentation von Amtshandlungen (§§ 13, 13a) -Ermittlung von sachdienlichen Hinweisen im Rahmen der "ersten allgemeinen Hilfeleistungspflicht" (§§ 19, 34, 53 Abs. 1 Z 1) Beschränkungen: u.a. Auskunft kann nicht durch Ausübung von Zwangsgewalt durchgesetzt werden, Gefährdeter lehnt Hilfe ab -§ 53 listet zulässige Verarbeitungen auf, u.a. Abwehr krimineller Verbindungen iS § 16 Abs. 1 Z 2 (§ 53 Abs. 1 Z 1) Abwehr gefährlicher Angriffe iS § 16 Abs. 2 (§ 53 Abs. 1 Z 3) Zwecke der Fahnung iS § 24 (§ 53 Abs. 1 Z 5) Aufrechterhaltung der öffentlichen Ordnung bei einem bestimmten Ereignis (§ 53 Abs. 1 Z 6) Beschränkungen: Datenabgleich "Rasterfahndung" iS StPO § 141 ist unzulässig (§ 53 Abs. 2) Datenschutzanforderungen Sicherheitsbehörden ARGE DATEN

58 © ARGE DATEN 2014 ARGE DATEN Datenschutzanforderungen Sicherheitsbehörden SPG - Verarbeitungsvoraussetzungen II -Verarbeitungsermächtigungen im Zusammenhang mit wahrscheinlichen Straftaten: Vorbeugung wahrscheinlicher gefährlicher Angriffe (§ 53 Abs. 1 Z 4) Analyse und Bewertung der Wahrscheinlichkeit der Gefährdung verfassungsmäßiger Einrichtungen (§ 53 Abs. 1 Z 7) -Verarbeitungsermächtigung auch zur "erweiterten Gefahrenerforschung" iS § 21 Abs. iVm § 53 Abs. 1 Z 2a und § 91 Abs 3 ("Rechtsschutzbeauftragter") diese Verarbeitungermächtigungen werden regelmäßig kritisiert, da ihre Abgrenzung zur permanenten Überwachung legitimer persönlicher Lebensführung inkl. Meinungsfreiheit ungenau ist ARGE DATEN

59 © ARGE DATEN 2014 ARGE DATEN SPG - Regelung Ermittlungsstellen § 53 -"Generalermächtigung": alle verfügbaren Quellen durch Einsatz geeigneter Mittel, insbsondere Zugriff auf allgemein zugängliche Daten (§ 53 Abs. 4) -Auskunftsverpflichtung von Gebietskörperschaften / Körperschaften öffentlichen Rechts (§ 53 Abs. 3) Anwendungsfall: Abwehr krimineller Verbindungen (  § 53 Abs. 1 Z 2), erweiterte Gefahrenerforschung (  § 53 Abs. 1 Z 2a) und Abwehr gefährlicher Angriffe (  § 53 Abs. 1 Z 3) Beschränkungen: Auskunftsverweigerung nur bei überwiegenden öffentlichen Interessen, Amtsverschwiegenheit allein kein Verweigerungsgrund -Auskunftsverpflichtung von Behörden des Bundes, Landes, Gemeinden im Zusammenhang mit gefährliche Umweltangriffe (§ 53 Abs. 3d) keine Auskunftsverweigerung vorgesehen Datenschutzanforderungen Sicherheitsbehörden ARGE DATEN

60 © ARGE DATEN 2014 ARGE DATEN SPG - Regelung Ermittlungsstellen § 53 II -Verwendung von Bild- und Tondaten von öffentlichen und privaten Rechtsträgern (§ 53 Abs. 5) Anwendungsfall: schwere Gefahr der öffentlichen Sicherheit (  ??), erweiterte Gefahrenerforschung (  Abs. 1 Z 2a) und Fahndung iS § 24 (  Abs. 1 Z 5) Beschränkungen: Aufzeichnungen zu nichtöffentlichem Verhalten dürfen nicht verwendet werden, Daten müssen rechtmäßig ermittelt worden sein (dazu kann auch die Genehmigung einer Videoüberwachung durch die DSB gehören) Datenschutzanforderungen Sicherheitsbehörden ARGE DATEN

61 © ARGE DATEN 2014 ARGE DATEN SPG - Regelung Ermittlungsstellen § 53 III detaillierte Sonderregelung für Telekommunikationsdienste (Telefon & Internet) (§ 53 Abs. 3a, 3b, 3c) -Name, Anschrift, Teilnehmernummer: zu einem Anschluss, generell wenn SPG anwendbar ( § 53 Abs. 3a Z 1) -Internetprotokolladresse (IP-Adresse), Übermittlungszeitpunkt: zu einer Nachricht ( § 53 Abs. 3a Z 2) +Name, Anschrift: zu einer IP-Adresse ( § 53 Abs. 3a Z 3) im Rahmen der ersten Hilfeleistungspflicht (lit a) gefährlicher Angriff (lit b) kriminelle Verbindung (lit c) -Name, Anschrift, Teilnehmernummer: unter Bezugnahme auf ein Gespräch ( § 53 Abs. 3a Z 4) im Rahmen der ersten Hilfeleistungspflicht oder gefährlicher Angriff -Standortdaten, IMSI-Nummer: bei gegenwärtiger Gefahr (§ 53 Abs. 3b) Datenschutzanforderungen Sicherheitsbehörden ARGE DATEN

62 © ARGE DATEN 2014 ARGE DATEN Posting Internet-Ermittlung gemäß SPG Ermittlungsschritt 2: Whois-Abfrage (öffentlich zur IP-Adresse (SPG § 53 Abs. 4) Ergebnis: IP-Net-Block wird von Provider (z.B. A1 Telekom) verwaltet Ermittlungsschritt 3: Auskunft bei Provider zu Anschlussinhaber von IP-Adresse zum angegebenen Zeitpunkt (SPG § 53 Abs. 3a Z 3) Ergebnis: Name, Anschrift des Posters Ermittlungsschritt 1: Auskunft über IP-Adresse und Zeitpunkt des Postings von Forumsbetreiber Standard (SPG § 53 Abs. 3a Z 2) Ergebnis: IP: Zeitpunkt: :19 ARGE DATEN

63 © ARGE DATEN 2014 ARGE DATEN Internet-Ermittlung gemäß SPG Probleme in der Ermittlung bei Ermittlungsschritt 1: -es besteht keine Verpflichtung der Redaktion IP-Adresse zu ermitteln und/oder aufzubewahren bei Ermittlungsschritt 2: -Datenbank muss nicht aktuell sein, kann auf falsche Stelle/Person verweisen (trifft besonders auf "statische" IP-Adressen zu) -bei ausländischen IP-Adressen greifen die SPG-Bestimmungen nicht (Tor-Netzwerk, externe Proxy,...) bei Ermittlungsschritt 3: -es besteht keine Verpflichtung des Providers Telekom-Daten länger als für seine Zwecke nötig aufzubewahren (keine Vorratsdatenhaltung) -Auskunft bezieht sich nur auf Anschlussinhaber (Vertragspartner), nicht jedoch auf tatsächlichen Benutzer -Anschlussinhaber ist nicht verpflichtet besondere Aufzeichnungen über Nutzer zu machen (z.B. Internet-Cafes, freie LANs,...) ARGE DATEN Möglicherweise sind die "Mitläufer" ergiebiger

64 © ARGE DATEN 2014 ARGE DATEN Datenschutz in der Strafprozessordnung (StPO) Regelt Tätigkeit als Kriminalpolizei (StPO § 18), Anordnungsbefugnis von Staatsanwaltschaft und Gericht -Organisation der Kriminalpolizei gemäß SPG geregelt (SPG § 5) -Regelung des Ermittlungszweckes (StPO §§ 3, 91) Beischaffung von Entscheidungsgrundlagen zu Anklage, Rücktritt von der Verfolgung oder Einstellung des Verfahrens ("Objektivitätsgebot") -Grundsatz der Verhältnismäßigkeit bei der Ermittlung (StPO § 74) -Regelung der Ermittlungsvoraussetzungen (StPO § 99, 100, 103, 169) Kriminalpolizei ermittelt von Amts wegen oder auf Grund einer Anzeige, bei Gefahr in Verzug können Genehmigungen nachträglich (unverzüglich) eingeholt werden Beschränkung: bei entsprechenden Anordnungen ist die Ermittlung einzustellen, Sachenfahndung jedoch auch ohne Anordnung möglich (StPO § 169 Abs. 2) Datenschutzanforderungen Sicherheitsbehörden ARGE DATEN

65 © ARGE DATEN 2014 ARGE DATEN Datenschutz in der Strafprozessordnung (StPO) II -Regelung bestimmter Maßnahmen, z. B. Beschlagnahme von Briefen (StPO § 135) sind an bestimmte Straftaten gebunden -detaillierte Regeln zur optischen, akustischen und Telekom-Überwachung (StPO §§ ) -Regelung zur Datenermittlung ("Erkundigung") inkl. Verwertungsverbote (StPO §§ 152ff) Zeugen zur vollständigen Auskunft verpflichtet Beschränkungen: Verweigerungs- und Entschlagungsrechte, Beweisverbote Datenschutzanforderungen Sicherheitsbehörden ARGE DATEN

66 © ARGE DATEN 2014 Überwachung gemäß StPO (§§ 134–140) -Überwachung kann nur für zukünftigen Zeitraum angeordnet werden (StPO § 137 Abs. 3) -Von der Staatsanwaltschaft mit gerichtlicher Bewilligung anzuordnen (StPO § 137 Abs. 1) -Mitwirkungs- und Auskunftspflicht für Betreiber nach TKG 2003 und Diensteanbieter nach E-Commerce-Gesetz (StPO § 138 Abs. 2) Sprachtelefoniebetreiber mit eigenen physikalischen Anschlüssen müssen spezielle technische Einrichtungen zur Überwachung bereitstellen -Beweisverwertungbeschränkung, Nichtigkeit bei rechtswidriger Überwachung (StPO § 140) aber: Verwertung von "Zufallsfunden" zulässig, wenn Überwachungsvoraussetzungen gegeben gewesen wäre Anzuwenden auf Telekommunikationsdienste (gem. TKG 2003) oder Dienste der Informationsgesellschaft (gem. Notifikationsgesetz) Beispiele: Telekomunternehmen (inkl. Mobilfunk), Access-Provider, Mailservice-Anbieter, Forumsbetreiber, "Skype" (VoIP),... Datenschutzanforderungen Sicherheitsbehörden ARGE DATEN

67 © ARGE DATEN 2014 ARGE DATEN Auswahl sonstiger Bestimmungen sonstige Bestimmungen, die die Tätigkeit der Sicherheitsbehörden regeln -Passgesetz -Waffengesetz -Polizeikooperationsgesetz -Asylgesetz -Finanzstrafgesetz -Eisenbahngesetz -Straßenverkehrsordnung -Vereinsgesetz - Meldegesetz -... Datenschutzanforderungen Sicherheitsbehörden ARGE DATEN

68 © ARGE DATEN 2014 ARGE DATEN Datenschutzanforderungen Sicherheitsbehörden  davon abweichend: Tätigkeit als Kriminalpolizei ist durch StPO geregelt und unterliegt nicht der DSB-Aufsicht, sondern der Aufsicht durch Gerichte ARGE DATEN Sicherheitsbehörden - Zusammenfassung -SPG sieht zahlreiche Aufgaben vor teilweise zur unmittelbaren Gefahrenabwehr, teilweise darüber hinaus gehend -weitere Bestimmungen sehen unterschiedlichste (Verwaltungs-)aufgaben vor -Aufgaben unterliegen den Anforderungen des DSG 2000  zahllose Datenanwendungen  sobald personenbezogene Daten automationsunterstützt verarbeitet werden oder der Vorabkontrolle unterliegen besteht Melde- bzw. Genehmigungspflicht  Aufsichtsbehörde ist die DSB

69 © ARGE DATEN 2014 ARGE DATEN DA Informationsverbund Sachenfahndung Betreiber:BMI Teilnehmer: BMI, Magistrat Stadt Wien, Bundespolizeidirektionen Zweck:Evidenthaltung der Daten von nummerierten Sachen, die zur Fahndung ausgeschrieben wurden Rechtsgrundlage(n): § 24 Abs. 2 iVm § 57 SPG, § 22b Passgeesetz, § 55 Waffengesetz, §§ 74, 76, 167 bis 169 StPO Zulassungsvoraussetzung: Datenverarbeitung unterliegt der Vorabkontrolle, da -strafrechtlich relevante Daten verwendet werden -Informationsverbundsystem vorliegt Übermittlungsempfänger, Datenarten und Rechtsgrundlagen: u.a. andere Passbehörden, Finanzstrafbehörden, Gerichte, Asylbehörden Betrifft immer Daten von bestimmten Personengruppen! Datenschutzanforderungen Sicherheitsbehörden ARGE DATEN

70 © ARGE DATEN 2014 ARGE DATEN DA Informationsverbund Sachenfahndung II Betroffene Personengruppen (Auswahl): Personen denen folgender Gegenstand entfremdet wurde / verloren haben bzw. denen der betreffende Gegenstand gehört: -Dienstpass -sonstiges Identitätsdokument (Führerschein, waffenrechtliche Urkunde, Dienstausweis) -Kraftfahrzeug-Zulassungsschein -Feuerwaffe -Zahlungsmittel, Banknote oder Wertpapier -sonstige Sache (Radio/Fernsehgeräte, Fahrräder, Uhren/Schmuck, Foto/Filmgeräte, PCs/Zubehör, Sportartikel, Industriemaschine, Flugzeug, Boot/Schiff, Bootsmotor, Container, sonstige Gegenstände / Maschinen Verwaltet werden die Personen deren Sachen entfremdet wurden, verloren gingen bzw. deren Sachen sichergestellt wurden, nicht die Gegenstände selbst! Datenschutzanforderungen Sicherheitsbehörden ARGE DATEN

71 © ARGE DATEN 2014 ARGE DATEN Was ist eine zulässige Veröffentlichung? II Veröffentlichungen im Sicherheitsumfeld: -Sicherheitsbehörde warnt Schulen davor, dass ein entlassener Sexualtäters in der "Umgebung" (ganze Stadt) eine Wohnung nimmt -Veröffentlichung von Fotos abgängiger / zur Fahnung ausgeschriebener Personen auf Infowerbetafeln in Bahnhöfen -SMS-Warnung an Gewerbetreibende (Händler) einer Einkaufsstraße über "verdächtige" Personen -"eigenmächtiger" Aushang des Fotos einer des Diebstahls verdächtigen Person im Verkaufsraum durch Ladenbesitzer -weitere Veröffentlichung eines Fahndungsfotos im Internet obwohl Person schon gefasst ist -Falschparker, Alkolenker, Personen mit Lokalverbot werden in der Gemeindezeitung genannt -Daten zu (Verwaltungs-)Strafverfahren eines Asylwerbers werden an Journalisten weiter gegeben DSG Veröffentlichung ARGE DATEN

72 © ARGE DATEN 2014 ARGE DATEN Ermittlungsbeispiel Verkehrsunfallkommando Unfall mit Fahrerflucht Ausgangslage: Fußgängerin wird am Praterstern angefahren, Fahrer flüchtet, zurück bleibt Blutlache und ein Plastiksplitter -Plastiksplitter enthält eine Seriennummer (kein Personenbezug) -wird als Teil eines rechten Rückspiegels eines Chrysler Voyager identifiziert (kein Personenbezug) -laut Produzenten werden täglich fünf gleichartige Stück des Fahrzeugs produziert (kein Personenbezug) -die Zahl der zugelassenen Fahrzeuge in Ö ist überschaubar (kein Personenbezug) ARGE DATEN

73 © ARGE DATEN 2014 ARGE DATEN Ermittlungsbeispiel Verkehrsunfallkommando Nächster Ermittlungsschritt? Variante 1: a)der Produzent wird aufgefordert alle Fahrzeugtypen bekannt zu geben, für die dieser Rückspiegel in Frage kommt (kein Personenbezug) b)mit Hilfe der Typenbezeichnungen erfolgt eine Abfrage in der KFZ-Zulassung (Personenbezug!) c)die Zulassungsbesitzer werden zum Aufenthalt zum fraglichen Unfallzeitpunkt befragt + die PKWs werden auf entsprechende Beschädigungen inspiziert (Personenbezug + Grundrechtseingriff!) Variante 2: a)es werden die Inhaber der Mobiltelefonnummern der Funkzelle zum fraglichen Unfallzeitpunkt ermittelt (Personenbezug!) b)die solcherart identifizierten Personen werden zum Aufenthalt zum fraglichen Unfallzeitpunkt befragt und ob (welchen) PKW sie nutzten (Personenbezug + Grundrechtseingriff!) ARGE DATEN

74 © ARGE DATEN 2014 ARGE DATEN Ermittlungsbeispiel Verkehrsunfallkommando Nächster Ermittlungsschritt? II Variante 3: a) +b) ident zu Variante 1 c)zu den Zulassungsbesitzern werden Mobiltelefonanschlüsse beschafft und geprüft, wer davon in der Nähe des Unfallortes ein Gespräch führte (Personenbezug!) d)die solcherart identifizierten Personen werden zum Aufenthalt zum fraglichen Unfallzeitpunkt befragt + die PKWs werden auf entsprechende Beschädigungen inspiziert (Personenbezug + Grundrechtseingriff!) Variante 4: a)mit dem Generalimporteur wird vereinbart, dass unverzüglich informiert wird, wenn ein "passender" rechter Rückspiegel bestellt wird (Personenbezug!) b)drei Tage später erfolgt Bestellung, Besteller wird befragt, es handelt sich um den Fahrflüchtigen (Personenbezug + Grundrechtseingriff!) ARGE DATEN

75 © ARGE DATEN 2014 ARGE DATEN DSK K /0003-DSK/2013 ("ZMR-Abfrage") Ausgangslage -Betroffener hat Konvolut zu Handen eines Vereinspräsidenten bei Portier abgegeben, sollte nur persönlich an Präsidenten übergeben werden -Paket enthält Absendeadresse des Betroffenen -Verein schaltet Polizei wegen "verdächtigem" Paket ein -Polizei klassifiziert Paket als harmlos, es enthält weder Sprengstoff, noch Drohungen oder bedenkliche Gegenstände -zum Betroffenen erfolgt trotzdem eine EKIS-Abfrage (Gefahrenerforschung iS § 28a Abs. 1 SPG) -Polizei macht zusätzlich ZMR-Abfrage bezüglich Hauptwohnsitz des Betroffenen ("zur Verifizierung der Zustelladresse") -Paket wird "zerfleddert" in Polizeikommisariat ausgefolgt -Betroffener fühlt sich wegen ZMR- und EKIS-Abfrage in seinen Grundrechten verletzt Entscheidung der DSK/DSB ARGE DATEN

76 © ARGE DATEN 2014 ARGE DATEN DSK K /0003-DSK/2013 ("ZMR-Abfrage") II DSK-Entscheidung -Beschwerde ist teilweise berechtigt -ZMR-Abfrage ist rechtswidrig, da für die Zustellung nicht erforderlich -EKIS-Abfrage ist zulässig, da zum Gesetzesauftrag der Gefahrenabwehr auch implizit Gefahrenerforschung umfasst ist und Art des Paketes legitimierte Abfrage Entscheidung der DSK/DSB ARGE DATEN

77 © ARGE DATEN 2014 ARGE DATEN DSK K /0009-DSK/2013 ("Lichtbild") Ausgangslage -Betroffener wird im Zuge einer Befragung aufgefordert sich einer erkennungsdienstlichen Behandlung zu unterziehen -Betroffener lehnt das ab -Polizeiinspektion fordert BH (als Sicherheitsbehörde) auf, die erkennungsdienstliche Behandlung gemäß § 77 Abs. 2 SPG bescheidmäßig auszusprechen -Bescheid wird nicht abgewartet, stattdessen wird formlos ein Lichtbild angefertigt, um es Tatzeugen vorlegen zu können DSK-Entscheidung -Beschwerde ist berechtigt -Anfertigen des Fotos ist als Bruch des Rechts auf Geheimhaltung ohne ausreichende rechtliche Grundlage zu qualifizieren Entscheidung der DSK/DSB ARGE DATEN

78 © ARGE DATEN 2014 ARGE DATEN DSK K /0015-DSK/2013 ("Disziplinarverfahren") Ausgangslage -Im Zuge eines Disziplinarverfahrens (unzulässige Nebenbeschäftigung) erfolgt eine Direkt-Abfrage der Sozialversicherungsdaten der Betroffenen (Polizistin) durch Dienstvorgesetzten -Die Abfrage erfolgt zu Beginn des Verfahrens bei einem Anfangsverdacht eines dienstrechtlichen (nicht strafrechtlichen) Vergehens -Begründet wird die Abfrage (nachträglich) mit dem strafrechtlich relevanten Verdacht der Urkundenfälschung DSK-Entscheidung -Beschwerde ist berechtigt -Abfrage bei Sozialversicherungsanstalt nur bei Vorliegen eines strafrechtlichen Verdachts zulässig -zum Zeitpunkt der Abfrage lag kein kriminalpolizeiliches Ermittlungsverfahren vor, daher war die Abfrage unzulässig -da die Abfrage automationsunterstützt erfolgte, konnte sie auch von der Sozialversicherung nicht verhindert werden Entscheidung der DSK/DSB ARGE DATEN

79 © ARGE DATEN 2014 ARGE DATEN DSK K /0010-DSK/2013 ("Ermittlungsverfahren") Ausgangslage -bei Betroffenen erfolgt Hausdurchsuchung nach dem SMG -Mutter (Frau E.) ist mit Zustimmung des Betroffenen bei Durchsuchung anwesend -Frau E. erfährt im Zuge der Durchsuchung vom Verdacht des Verkaufs und vom Vorhandensein von Cannabispflanzen -weiters bestätigt sich der Verdacht bezüglich LSD nach Sicherstellung und Untersuchung von Löschblättern -Frau E. wird in weiterer Folge das Durchsuchungs- und Sicherstellungsprotokoll ausgehändigt (offen, nicht in einem verschlossenen Kuvert -Betroffener beschwert sich wegen Bruch der Geheimhaltung durch Weitergabe von kriminalpolizeilichen Feststellungen an Dritte Entscheidung der DSK/DSB ARGE DATEN

80 © ARGE DATEN 2014 ARGE DATEN DSK K /0010-DSK/2013 ("Ermittlungsverfahren") II DSK-Entscheidung -Beschwerde ist berechtigt -Schutz der Geheimhaltung besteht auch bei nicht- automationsgestützter (manueller) Verwendung von Daten -Schutz der Geheimhaltung betrifft auch behördeninterne Übermittlungen (Weitergaben) in ein anderes Aufgabengebiet -Durchsuchungs- und Sicherstellungsprotokoll wurde dem Betroffenen nicht gesichert (verschlossen) übermittelt -eine offene Ausfolgung wäre nur direkt an den Betroffenen zulässig Entscheidung der DSK/DSB ARGE DATEN

81 © ARGE DATEN 2014 ARGE DATEN DSK K /0008-DSK/2012 ("Erkennungsdienstliche Behandlung") Ausgangslage -Betroffene wird im Zusammenhang mit SMG erkennungsdienstlich behandelt -Ermittlungsbericht belastet Betroffene jedoch "nur" gemäß § 27 Abs. 2 SMG ("Begehung ausschließlich zum persönlichen Gebrauch") -Betroffene zwar einer strafbaren Tat, aber keines gefährlichenAngriffs nach § 16 Abs. 2 Z 4 SPG verdächtig -Betroffene beschwert sich wegen erkennungsdienstlicher Behandlung DSK-Entscheidung -Beschwerde berechtigt -Erkennungsdienstliche Behandlung zwar aus präventiven Gründen grundsätzlich zulässig, aber nur wenn "weitere" gefährliche Angriffe zu erwarten sind -im konkreten Fall trifft das aber bei Besitz von Cannabis zum Eigengebrauch nicht zu, daher kein Präventionsbedarf -erkennungsdienstliche Behandlung war unzulässig Entscheidung der DSK/DSB ARGE DATEN

82 © ARGE DATEN 2014 ARGE DATEN Weitere DSG-Bestimmungen Sicherheit Schadenersatz Strafbestimmungen DSG 2000 ARGE DATEN

83 © ARGE DATEN 2014 ARGE DATEN

84 © ARGE DATEN 2014 ARGE DATEN DSG Sicherheit Sicherheitsbestimmungen (§ 14) Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden: Stand der Technik entsprechend wirtschaftlich vertretbar angemessenes Schutzniveau muss erreicht werden rechtlich-organisatorische Sicherheitsmaßnahmen -ausdrückliche Aufgabenverteilung - ausschließlich auftragsgemäße Datenverwendung - Belehrungspflicht der Mitarbeiter - Regelung der Zugriffs- und Zutrittsberechtigungen - Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten - Protokollierungspflicht ARGE DATEN

85 © ARGE DATEN 2014 ARGE DATEN DSG Verschwiegenheit Verpflichtung zum Datengeheimnis (§ 15) Mitarbeiter sind - soweit nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden. Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln. Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren. Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung kein Nachteil erwachsen. Bereitstellungspflicht der Datensicherheits- maßnahmen für Mitarbeiter (§ 14 Abs. 6) ARGE DATEN

86 © ARGE DATEN 2014 ARGE DATEN Schadenersatz (§ 33) schuldhaftes Verhalten notwendig bei Verletzung von Bestimmungen des DSG 2000 ist tatsächlich erlittener materieller Schaden zu ersetzen bei Verletzungen der Geheimhaltung, die geeignet sind den Betroffenen bloßzustellen, gebührt Entschädigung Entschädigungsanspruch ist nicht beziffert, aber vergleichbar dem Mediengesetz geregelt [MedienG § 7: bis Euro] bei Veröffentlichungen in einem Medium gilt Mediengesetz Entschädigungsanspruch ist gegenüber dem Auftraggeber geltend zu machen DSG Kontroll- & Strafbestimmungen ARGE DATEN

87 © ARGE DATEN 2014 ARGE DATEN Gewinn- oder Schädigungsabsicht (§ 51) -Klarstellung der Deliktvoraussetzungen: Vorsatz der eigenen Bereicherung oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer Delikt begeht, wer... -widerrechtlich ihm zugängliche Daten benutzt oder -Daten widerrechtlich beschafft oder -anderen widerrechtlich zugänglich macht oder -widerrechtlich öffentlich macht Strafausmaß: bis ein Jahr Delikt wird zum Offizialdelikt [bis : Privatanklagedelikt] Strafbestimmung gilt subsidiär DSG Strafbestimmungen ARGE DATEN

88 © ARGE DATEN 2014 ARGE DATEN Strafbestimmungen bei öffentlich-rechtlichen Organen Missbrauch der Amtsgewalt (§ 302 StGB) Strafrahmen: bis 5 Jahre Laufend Verurteilungen, siehe etwa OGH 14 Os 105/10p (rechtswidriger Abruf von KFZ-Zulassungsdaten) Verletzung des Amtsgeheimnisses (§ 310 StGB) Strafrahmen: bis 3 Jahre denkbar auch: Falsche Beurkundung und Beglaubigung im Amt (§ 311 StGB) Strafrahmen: bis 3 Jahre Hier ist Vorsatz Voraussetzung für die Tatverfolgung DSG Strafbestimmungen ARGE DATEN

89 © ARGE DATEN 2014 ARGE DATEN Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln] -widerrechtliches Verschaffen eines Zugangs zu einer DA -widerrechtliches Weiterbenutzen eines Zugangs zu einer DA -Übermittlung unter Verletzung des Datengeheimnisses -Weiterverwendung von Daten entgegen eines rechtskräftigen Urteils/Bescheids -widerrechtliches Löschen von Daten (§ 26 Abs. 7) Strafrahmen: bis ,- Euro zuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSB Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk) Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten! DSG Strafbestimmungen ARGE DATEN

90 © ARGE DATEN 2014 ARGE DATEN Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 1. nicht Erfüllen der Meldepflicht gemäß den §§ 17 oder 50c oder Betreiben eine Datenanwendung auf eine von der Meldung abweichende Weise oder 2. Übermitteln oder überlassen von Daten ins Ausland, ohne Genehmigung gemäß § 13 Abs. 1 oder 3. Verstoß gegen Zusagen an oder Auflagen der DSB (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) oder 4. Verletzen von Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d oder 5. § 14 gröbliches außer Acht lassen von Sicherheitsmaßnahmen oder DSG Strafbestimmungen ARGE DATEN

91 © ARGE DATEN 2014 ARGE DATEN Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 6. wer gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderliche Sicherheitsmaßnahmen außer Acht lässt oder 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht. Strafrahmen: bis ,- Euro DSG Strafbestimmungen ARGE DATEN

92 © ARGE DATEN 2014 ARGE DATEN Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a) [=Gefährdung von Betroffenenrechten] neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a) Strafrahmen: bis 500,- Euro [neu seit 2010] Verfallbestimmungen § 52 Abs. 4 Datenträger und Programme sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden DSG Strafbestimmungen ARGE DATEN

93 © ARGE DATEN 2014 ARGE DATEN Schlussbemerkung ARGE DATEN

94 © ARGE DATEN 2014 ARGE DATEN Dr. Hans G. Zeger © Hans G. Zeger 2009 "Videoüberwachung war ein Fiasko" Mike Neville, Chef der CCTV-Einheit bei Scotland Yard, 2008 Trotzdem: "Wir brauchen mehr Kameras, mehr Personal, bessere Software,..." derselbe, 2008 "Wir können beliebig viele Postkutschen aneinander reihen, niemals wird daraus eine Eisenbahn" Joseph Schumpeter, Nationalökonom, 1911

95 © ARGE DATEN 2014 ARGE DATEN Quelle: Heute

96 © ARGE DATEN 2014 ARGE DATEN Umdenken ist gefragt in diesem Sinn benötigen wir -ein klares Bekenntnis zu Grundrechten, zur Freiheit und Würde der Menschen -die Erkenntnis, dass wir totale Sicherheit wohl erst im Grab haben werden -den Verzicht auf präventive Überwachung ohne Anlass -den Willen, Sicherheitsbehörden so zu organisieren, dass sie im Anlassfall ausreichende technische und personelle Mittel haben und rasch reagieren können

97 © ARGE DATEN 2014 ARGE DATEN "Die Polizei hat einerseits für die Sicherung des Bestehenden zu sorgen, ist andererseits aber auch den Menschenrechten und dem Schutz abweichender Auffassungen verpflichtet. Jahrhundertelang konnte sie sich auf ihren traditionellen Auftrag zur Sicherheitsvorsorge berufen, was vieles rechtfertigte. Aber autoritäre Auffassungen werden in immer höherem Ausmaß fragwürdig." Prof. Bernd-Christian Funk, Verfassungsjurist Standard Interview 9./10. August 2014

98 © ARGE DATEN 2014 ARGE DATEN Ich danke für Ihre Aufmerksamkeit

99 © ARGE DATEN 2014 ARGE DATEN Onlineinformation ARGE DATEN


Herunterladen ppt "© ARGE DATEN 2014 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven Hans G. Zeger, ARGE DATEN Stegersbach, Hotel Allegria, 15. September 2014."

Ähnliche Präsentationen


Google-Anzeigen