Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven

Ähnliche Präsentationen


Präsentation zum Thema: "Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven"—  Präsentation transkript:

1 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven
Hans G. Zeger, ARGE DATEN Wien, Inhouse-Schulung Wiener Sozialdienste, 10. Juni 2015 ARGE DATEN - Österreichische Gesellschaft für Datenschutz A-1160 Wien, Redtenbachergasse 20 Tel.: 0676 / Fax.: 01 / Mail Verein: Mail persönlich: WWW-Verein: Zertifizierung: e-commerce: WWW-DSG2000: DSG-Volltext: ftp://ftp.freenet.at/privacy/ds-at/dsg2000-aktuell.pdf DSG-StMV: ftp://ftp.freenet.at/privacy/ds-at/stmv-2004.pdf diverse Muster: ARGE DATEN

2 Aktivitäten der ARGE DATEN
Die ARGE DATEN als PRIVACY-Organisation Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: - Web-Service: Besucher/Monat - Newsletter: rund Abonnenten - 2014: rund 500 Medienanfragen/-berichte Mitgliederbetreuung Datenschutzfragen - 2014: ca. 600 Datenschutz-Anfragen Rechtsschutz, PRIVACY-Services - 2014: in ca. 200 Fällen Mitglieder in Verfahren vertreten Zahl der betreuten Mitglieder - aktuell: ca Personen Studien- und Beratungsprojekte Diese Datenschutzthemen bewegen die Österreicher: - Finanzdienstleister und Privatversicherungen/ Wirtschaftsauskunftsdienste: 28%  - Beruf: 11%  - Persönliches und Privatleben: 10%  - Behörden und Verwaltung: 10%  - Konsumentendaten/Adressenverlage: 8%  - Gesundheit und Soziales: 7%  - Internet und Telekombetreiber: 7%  - Bildung und Ausbildung: 5%  - sonstige Themen, wie Statistik, Politik, Herkunft, öffentliche und private Sicherheit: 15%  Ausgewertet wurden rund 600 Datenschutzfälle der letzten fünf Jahre ,,,,: Tendenzangaben, Entwicklungen gegenüber Vorjahre (Statistik F-6a, Stand Dezember 2014)‏ ARGE DATEN

3 Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern. - ARGE DATEN

4 Informationspflichten & Betroffenenrechte
Geplanter Ablauf Grundlagen DSG 2000 / Privatsphäre Videoüberwachung / Spezialregelungen Genehmigung / Registrierung Situation bei Wiener Sozialdienste Informationspflichten & Betroffenenrechte - Sicherheit / Strafbestimmungen ARGE DATEN

5 Grundlagen des DSG 2000 ARGE DATEN Die wichtigsten Begriffe Zustimmung
Zulässigkeit der Datenverwendung Rechtmäßige Datenanwendung - ARGE DATEN

6 Entwicklung zum DSG 2000 ARGE DATEN DSG 2000 - Grundlagen
1978 erstes Datenschutzgesetz - DSG (BGBl. Nr. 565/1978) (Geltung ) 1995 EG-Datenschutzrichtlinie 95/46/EG 1999 Datenschutzgesetz - DSG 2000 (BGBl. I Nr. 165/1999) Wichtige Änderungen zum DSG 2000 (Auswahl) 2001 Euro-Umstellung der Verwaltungsstrafen (BGBl. I Nr. 136/2001) 2005 "Tsunami"-Bestimmung (BGBl. I Nr. 13/2005) 2008 Änderungen in Verfassungsbestimmungen (BGBl. I Nr. 2/2008) 2009 DSG Novelle 2010 (BGBl. I Nr. 133/2009) 2012 Verwaltungsgerichtsbarkeits-Novelle 2012 (BGBl. I Nr. 51/2012) 2013 DSG Novelle 2013 (BGBl. I Nr. 57/2013) 2013 DSG Novelle 2014 (BGBl. I Nr. 83/2013) 20?? EU - Neuordnung des Datenschutzes Entwicklung des Datenschutzes in Österreich Eine vollständige Übersicht findet sich unter Änderungen zum DSG 2000 2001 Euro-Umstellung der Verwaltungsstrafen (BGBl. I Nr. 136/2001) 2005 "Tsunami"-Bestimmung (BGBl. I Nr. 13/2005) 2008 Änderungen in Verfassungsbestimmungen (BGBl. I Nr. 2/2008) 2009 DSG Novelle 2010 (BGBl. I Nr. 133/2009) u.a. Regelung der Videoüberwachung 2012 Verwaltungsgerichtsbarkeits-Novelle 2012 (BGBl. I Nr. 51/2012) Abschaffung der Datenschutzkommission, Überführung der Agenden der Kommission in den Bundesverwaltungsgerichtshof 2013 DSG Novelle 2013 (BGBl. I Nr. 57/2013) Anpassung der Datenschutzkommission an die Unabhängigkeitsanforderungne nach dem EUGH-Urteil 2013 DSG Novelle 2014 (BGBl. I Nr. 83/2013) Regelung der Kompetenzen der Datenschutzbehörde (1. Instanz) und der Datenschutzagenden des Bundesverwaltungsgerichtshofs (2. Instanz) 2013 Novelle der Datenschutzangemessenheits-Verordnung (BGBl. II Nr. 150/ DSAV-Novelle 2013) 2013 Datenschutzanpassungs-Verordnung 2013 (BGBl. II Nr. 213/2013) ARGE DATEN

7 Umsetzung der EU-Richtlinie "Datenschutz" (1995)
DSG Grundlagen Umsetzung der EU-Richtlinie "Datenschutz" (1995) soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch innerhalb der EU (Art.1 Abs.2) sichern Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten." Art. 1 Abs. 2 "Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes." EU-RL gilt nur für "natürliche Personen" DSG 2000 auch für "juristische und sonstige Personen" damit vertritt Österreich EU-weit eine exotische Position Bestimmungen betreffen alle Verwendungsformen persönlicher Daten, nicht nur automatisiert verarbeitete Daten "Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" (Datenschutzrichtlinie 95/46/EG)‏ Die Richtlinie soll gleichermaßen den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten den freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten sichern Art. 1 Gegenstand der Richtlinie (1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten. (2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes. Das DSG 2000 wurde am im Bundesgesetzblatt publiziert (BGBl. I Nr. 165/1999), Inkrafttreten am Übergangsfristen (internationaler Datenverkehr, manuelle Datenanwendungen, die der Meldepflilcht unterliegen), (Anpassung der Rechtsgrundlagen besonder Datenanwendungen § 17 Abs. 3 Z 1 bis 3)‏ Es wurden Spezialbestimmungen, wie Informationspflicht, Informationsverbundsysteme und automatisierte Entscheidung geschaffen ARGE DATEN

8 DSG 2000 § 1 (Verfassungsbestimmung):
DSG Grundrecht DSG 2000 § 1 (Verfassungsbestimmung): "jede Verwendung persönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots sind möglich: - mit der Zustimmung des Betroffenen - in Vollziehung von Gesetzen (Behörden, behördliche Tätigkeit) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen/Dritter DSG 2000 § 1 Verfassungsbestimmung "(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind." Einschränkung dieser Rechte nur mit Zustimmung des Betroffenen, zur Wahrung lebenswichtiger Interessen des Betroffenen oder laut Art. 8 Abs. 2 der europäischen Menschenrechtskonvention aufgrund von Gesetzen. Weitere Verarbeitungsbeschränkungen für den öffentlichen Bereich ("Wahrung wichtiger öffentlicher Interessen") bei "besonders schutzwürdigen Daten" ("sensible Daten")‏ Festlegung der subjektiven Rechte: Auskunfts-, Richtigstellungs- und Löschungsrecht Festlegung der Rechtsdurchsetzung / Zivilrechtsweg Geplante - praxisnahe - Änderung in Novelle 2010 wegen Parteienstreit nicht durchgeführt: „(1) Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten.“ ARGE DATEN

9 DSG 2000 § 4 Z 1 "personenbezogene Daten"
DSG Grundlagen DSG 2000 § 4 Z 1 "personenbezogene Daten" "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" DSG 2000 § 4 Z 3 "Betroffener" "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" DSG 2000 § 4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem [personenbezogenen, Anm.] Suchkriterium zugänglich sind" Datenbegriff sehr allgemein gehalten, umfasst auch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. Stromverbrauchsdaten, KFZ-Daten, IP-Adressen, ), ... Datenbegriff sehr allgemein gehalten: in D und LUX spezielle Datenschutz-Regelungen für Bild- und Tondaten (EU-Bericht Umsetzung DS-Richtlinie, 2003)‏, in Ö nunmehr auch zur Videoüberwachung DSG 2000 § 4 Z 1 "Daten" "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; "nur indirekt personenbezogen" sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann." DSK K /16-DSK/00 "Daten betreffend Verwandtschaftsverhältnisse und Wohnungsnutzung gehören zur Privatsphäre des einzelnen. Insbesondere Angaben über Verwandtschaftsverhältnisse gehören schon zu einem sehr intimen und höchstpersönlichen Lebensbereich und bilden wegen möglicher Schlussfolgerungen auf 'rassische und ethnische Herkunft' einer Person geradezu einen Grenzfall zum besonders schutzwürdigen Bereich der sensiblen Daten" (RIS)‏ DSG 2000 § 4 Z 3 "Betroffener" Unter Personengemeinschaft wären unter anderem Familien, Bürgerinitiativen, Betriebsräte, Wohngemeinschaften oder Hausgemeinschaften zu verstehen ARGE DATEN

10 Personenbezogene Daten
DSG Grundlagen Personenbezogene Daten Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!) personenbezogene Daten § 4 Z 1 DSG 2000 sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG (kein EU-Begriff) sensible Daten § 4 Z 2 DSG 2000 (1) direkt personenbezogene Daten sind Daten, die unmittelbar einsichtig mit einer Person verknüpft sind (Daten, die zur Personenidentifikation dienen) Name, Geburtsdatum, Wohnanschrift und dazu in direkter Verbindung: Personalnummer, SV-Nummer, persönliche Merkmale und Eigenschaften, Zugehörigkeiten zu bestimmten Gruppen und Bereichen, bestimmte Qualifikationen und Rechte (2) direkt personenbezogene Daten sind Daten, die mit (1) verknüpft sind Daten, etwa in relationalen Datenbanksystemen, die über eine eindeutige Kennung mit einer Person verbunden werden können (Buchungsinformationen, Produktionsinformationen, Kommunikations- und Konsumdaten, ...)‏ (3) direkt personenbezogene Daten sind Daten, die mit hoher Wahrscheinlichkeit mit (1) verknüpft sind, generierte Daten, Daten, die ein Auftraggeber durch Berücksichtigung von Zusatzinformationen oder eigenen Erhebungen einer bestimmten Person zuordnen kann (4) indirekt personenbezogene Daten sind Daten, die ein Auftraggeber zwar nicht mehr legalerweise einer Person zuordnen kann, jedoch andere Stellen oder Auftraggeber. (5) sensible Daten sind bestimmte abschließend aufgezählte Datenarten (DSG2000 §4 Z2)‏: Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben; (6) besonders schutzwürdige Daten: österreichische Sonderformulierung für sensible Daten + Daten aus der Strafrechtspflege, Informationsverbundsystemen und zur Beurteilung der Kreditwürdigkeit von Personen ARGE DATEN

11 DSG 2000 § 4 Z 2 ("sensible" Daten)
DSG Grundlagen DSG 2000 § 4 Z 2 ("sensible" Daten) Daten natürlicher Personen über rassische und ethnische Herkunft politische Meinung Gewerkschaftszugehörigkeit religiöse und philosophische Überzeugung Gesundheit Sexualleben Probleme kann die Abgrenzung bereiten, z.B. Hautfarbe, Speisegewohnheiten, "Kopftuch", Konfektionsgröße, Sozialberatung DSG 2000 § 4 Z 2 "sensible Daten" ("besonders schutzwürdige Daten"): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben; Der Begriff „sensible Daten“ ist in der EU-Richtlinie definiert und wurde durch Österreich weder eingeengt, noch erweitert (andere Ländr erweiterten den Definitionsumfang). Zusätzliche Sonderregelung in Österreich: "besonders schutzwürdige" Daten enthalten neben den sensiblen Daten Daten im Zusammenhang mit der Strafrechtspflege, der Beurteilung der Kreditwürdigkeit oder die in Form von Informationsverbundsystemen betrieben werden, werden in der EU- Richtlinie nicht als sensible Daten eingestuft, sie werden jedoch im DSG 2000 unter besonderen Schutz gestellt. Sie nehmen damit eine Zwischenstellung zwischen sensiblen und „normalen“ Daten ein. Biometrische Daten (Fingerabdruck, Augenfarbe, ...) werden nur dann als sensible Daten einzustufen sein, wenn sie Rückschlüsse auf den Gesundheitszustand erlauben. Das Problem kann eine Kombination einzelner, für sich allein nicht sensibler biometrischer Daten sein, z.B. die Kombination Körpergewicht/Körpergröße erlaubt sehr wohl Rückschlüsse auf den Gesundheitszustand. Erhebungs"absicht" (Zweck) wesentliche Komponente bei der Bewertung ob sensibles Datum ARGE DATEN

12 Entscheidung OGH 6Ob148/00h "Abgrenzung Akten und Datei"
DSG Grundlagen Entscheidung OGH 6Ob148/00h "Abgrenzung Akten und Datei" Unter Datei sind daher Übersichts-Karteien und Listen, nicht aber Akteninhalte und Aktenkonvolute zu verstehen. OGH-Spruch: Daten in Akten unterliegen nicht dem Datenschutzgesetz (!) DSK K /005-DSK/2002 ("Personalakte")‏ "Der Personalakt selbst ist ein Konvolut verschiedener Papieraktenstücke und wird zwar wohl nach einem Suchbegriff geordnet aufbewahrt, hat aber keinen fest strukturierten Inhalt." Akten, Aktensammlungen und deren Deckblätter fallen nicht in den Anwendungsbereich des DSG 2000, Unberührt davon bleibt das Recht auf Akteneinsicht, das Auskunftspflichtgesetz, Regelungen des Arbeitsrechts (Personalakte) DSK und OGH-Entscheidungen zu Papierakten werden als Richtlinien- und DSG widrig kritisiert (u.a. Mayer-Schönberger, Datenschutz und Papierakten) DSK K /005-DSK/2002 ("Personalakte")‏ "Der Personalakt selbst ist ein Konvolut verschiedener Papieraktenstücke und wird zwar wohl nach einem Suchbegriff geordnet aufbewahrt, hat aber keinen fest strukturierten Inhalt. Ein Gutachten, das darin auf Grund bestimmter individueller Umstände, wie hier einer Stellenbewerbung der im Akt beschriebenen Person, einliegt, enthält wiederum im wesentlichen schriftlich niedergelegte, eigenständige Schlussfolgerungen des Sachverständigen, die definitionsgemäß weder strukturiert noch ihrem (Daten-) Inhalt nach vorhersehbar sein müssen. DSK K /015-DSK/2003 ("Indexdatei der Polizei") "Die Datensammlung bei Namensakten ist nach dem Suchbegriff "Anfangsbuchstabe des Familiennamens" geordnet und weist eine durch die KanzlO-BG vorgegebene innere Struktur in der Form auf, dass innerhalb der Karteikarte Familien- und Vorname, allenfalls Geburtsdatum und Anschrift sowie alle Geschäftszahlen mit Betreffangabe aufgelistet sind, die sich auf ein und denselben Betroffenen beziehen...(RIS)‏ Karteikarte Familien- und Vorname, allenfalls Geburtsdatum und Anschrift sowie alle Geschäftszahlen mit Betreffangabe aufgelistet OGH 6Ob148/00h "Obwohl das Gesetz dies weder im § 1 DSG idgF noch in den Begriffsbestimmungen des § 4 DSG ausdrücklich zum Ausdruck bringt, ist es nach der systematischen und teleologischen Interpretation nicht zweifelhaft, dass das Recht auf Datenschutz gemäß § 1 leg cit nur solche personenbezogenen Daten betreffen kann, die in einer Datei aufscheinen, also nach der gesetzlichen Begriffsdefinition in einer strukturierten Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind." (RIS)‏ ARGE DATEN

13 DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung
DSG Grundlagen DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung) DSG 2000 § 4 Z 5 "Dienstleister" natürliche oder juristische Personen, , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung) DSG 2000 § 4 Z 4 "Auftraggeber" 4. "Auftraggeber": natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z 8), unabhängig davon, ob sie die Daten selbst verwenden (Z 8) oder damit einen Dienstleister (Z 5) beauftragen. Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung eines Werkes beauftragte Dienstleister (Z 5) die Entscheidung trifft, zu diesem Zweck Daten zu verwenden (Z 8), es sei denn dies wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung eigenverantwortlich zu entscheiden;" DSG 2000 § 4 Z 5 "Dienstleister" „5. Dienstleister: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (Z 8);“ DSK K /002-DSK/2001 "..sondern auch Personengemeinschaften, welchen es zwar an einer eigenen Rechtspersönlichkeit mangelt, die aber durch ihre Bezeichnung sowie die gemeinsamen Ziele und Aufgaben der Mitglieder eine hinlänglich unterscheidbare Entität sind." (RIS)‏ ARGE DATEN

14 DSG 2000 § 4 Z 8 "Verwenden von Daten"
DSG Grundlagen DSG 2000 § 4 Z 7 "Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte ... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)" DSG 2000 § 4 Z 8 "Verwenden von Daten" "jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten" DSG 2000 § 4 Z 9 "Verarbeiten von Daten" "das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten" DSG 2000 § 4 Z 12 "Übermitteln von Daten" "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister" DSG 2000 §4 Z 7 "Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung)" ARGE DATEN

15 Entscheidung OGH 4 Ob 221/06p ("GE ...bank")
DSG Grundlagen DSG 2000 § 4 Z 14 "Zustimmung" "die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt" Widerruf der Zustimmung in § 8 bzw. § 9 geregelt Entscheidung OGH 4 Ob 221/06p ("GE ...bank") OGH 4 Ob 28/01y ("Creditanstalt") OGH 4 Ob 179/02f ("BA-CA") Damit schließt diese Definition für die Zukunft abgegebene allgemeine Zustimmungserklärungen aus Von der Zustimmung iS DSG 2000 § 4 Z 14 sind andere vertragliche Vereinbarungen zur Nutzung von Daten zu unterscheiden, etwa im Rahmen von Bestellungen, Kundenkarten, ... OGH 4Ob28/01y ("Creditanstalt"): Relevante Passage: "Der Kontoinhaber ist damit einverstanden, dass die Bank alle im Zusammenhang mit der Eröffnung und Führung des Kontos/Depots stehenden Daten an eine zentrale Evidenzstelle und/oder an Gemeinschaftseinrichtungen von Kreditunternehmungen übermitteln kann." RIS-Kommentar: "Eine wirksame Zustimmung zur Verwendung nichtsensibler Daten liegt nur vor, wenn der Betroffene weiß, welche seiner Daten zu welchem Zweck verwendet werden. Diesem Erfordernis wird eine Vertragsbestimmung nicht gerecht, die als Empfänger "eine zentrale Evidenzstelle und/oder Gemeinschaftseinrichtungen von Kreditunternehmungen" nennt So kann für sich allein durchaus klaren und verständlichen Klauseln die Sinnverständlichkeit fehlen, wenn zusammenhängende Regelungen und ihre nachteiligen Effekte deshalb nicht erkennbar werden, weil die einzelnen Teile an versteckten oder nur schwer miteinander in Zusammenhang zu bringenden Stellen, etwa in verschiedenen Klauseln, geregelt sind." siehe auch: Widerruf ist sofort wirksam: § 8 DSG 2000 Abs. 1 Z 2. der Betroffene der Verwendung seiner Daten zugestimmt hat, wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung der Daten bewirkt (Analog DSG 2000 §9 Z 6 für sensible Daten)‏ ARGE DATEN

16 Was ist eine gute Zustimmungserklärung?
DSG Grundlagen Was ist eine gute Zustimmungserklärung? - grundsätzlich gilt Formfreiheit auch mündlich (Beweisproblem), konkludent oder Teil der AGBs möglich - Willenserklärung Art wird vom Adressaten abhängen, bei Konsumenten höhere Anforderungen als bei Geschäftsleuten Empfehlung: ausdrückliche Unterschrift, getrennt von sonstigen Vereinbarungen - Kenntnis der Sachlage Aufklärung über Umfang der Datenarten, Inhalt der Daten, Zweck der Datenweitergabe, Empfänger der Daten (so detailliert, dass der Betroffene die konkreten Empfänger erkennen kann) - konkreter Fall Pauschalzustimmungen, ohne besonderen Zweck sind unzulässsig - Widerrufshinweis gesetzlich nicht vorgeschrieben, OGH verlangt ihn jedenfalls im Zusammenhang mit Konsumenten - ARGE DATEN

17 Die wichtigsten Begriffe (§ 4 DSG Z ...)
DSG Grundlagen Die wichtigsten Begriffe (§ 4 DSG Z ...) Verwenden von Daten Z 8 Auftraggeber Z 4 Daten- anwendung Z 7 Übermitteln Verarbeiten Z 9 Z 12 Überlassen Z 11 Ermitteln, Auswerten, Sortieren, Speichern, Analysieren, Korrigieren, Ausdrucken, Anzeigen, ... Dienstleister Z 5 Auftrag Novelle 2010: Geänderte Begriffsdefinitionen § 4 DSG 2000 Z 4 Auftraggeber: nunmehr konsequent auf das "Verwenden von Daten" (Z8) abgestimmt Z 5 Dienstleister: Klarstellung, nur solange auftragsgemäße Datenverwendung Z 7 Datenanwendung: Alternativbegriff "Datenverarbeitung" gestrichen. Z 8 Verwenden von Daten: nicht mehr mit Datenanwendung verknüpft Z 9 Verarbeiten von Daten: nicht mehr an Auftraggeber- oder Dienstleistereigenschaft gebunden Z 10 Ermitteln: gestrichen Z 11 Überlassen von Daten: Klarstellung, dass zur Überlassung ein Vertragsverhältnis zwischen Auftraggeber und Dienstleister erforderlich ist Z 12 Übermitteln von Daten: nicht mehr an das Vorhandensein einer Datenanwendung gebunden Ausdehnung der Gültigkeit der Begriffe auf Datenanwendungen und manuelle Dateien (Abs. 2) ARGE DATEN

18 Grundsätze der Verwendung von Daten (§ 6ff)
DSG Grundlagen Grundsätze der Verwendung von Daten (§ 6ff) Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1) Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2) Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2) Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3) Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4) DSK /010-DSK/2001 ("gelindester Eingriff") Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren Umsetzung der Datenschutzkonvention des Europarates Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1)‏ Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2)‏ Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2)‏ Weiterverwendung für wissenschaftliche und statistische Zwecke ist zulässig (§ 6 Abs. 1 Z 2)‏ Daten müssen für den Zweck der Datenanwendung wesentlich sein (§ 6 Abs. 1 Z 3)‏ Verwendung muss im Ergebnis sachlich richtig sein (§ 6 Abs. 1 Z 4) DS-RL Art. 6 lit. d: Verwendung muss "sachlich richtig" sein Daten müssen, wenn nötig auf den neuesten Stand gebracht werden (§ 6 Abs. 1 Z 4)‏ Aufbewahrung für die Erreichung der Zwecke notwendig (Ausnahmen, etwa aus gesetzlichen Gründen, wie Archive möglich) (§ 6 Abs. 1 Z 5)‏ Selbstregulierung: § 6 Abs. 4 "Zur näheren Festlegung dessen, was in einzelnen Bereichen als Verwendung von Daten nach Treu und Glauben anzusehen ist, können für den privaten Bereich die gesetzlichen Interessenvertretungen, sonstige Berufsverbände und vergleichbare Einrichtungen Verhaltensregeln ausarbeiten. Solche Verhaltensregeln dürfen nur veröffentlicht werden, nachdem sie dem Bundeskanzler zur Begutachtung vorgelegt wurden und dieser ihre Übereinstimmung mit den Bestimmungen dieses Bundesgesetzes begutachtet und als gegeben erachtet hat." Bisher wenig genutzt, bekanntes Beispiel: Adressenverlage "Fair-Data" ARGE DATEN

19 DSK K /010-DSK/2001 "Der Beschwerdeführer, der als Sicherheitswachebeamter auch eine Gewerbeberechtigung als Berufsdetektiv anstrebte, rügte die (nicht-strukturierte) Datenermittlung bzw. Datenübermittlung zwischen Gewerbebehörde und verschiedenen Dienststellen im Zuge der gewerberechtlichen Zuverlässigkeitsprüfung. 'Wesentlichkeitsgrundsatz', des DSG 2000 ist jedenfalls zu betonen, dass die Bundespolizeidirektionen nur die unbedingt notwendigen Informationen weitergeben dürfen. Andererseits dürfen die Bundespolizeidirektionen nicht durch eine übertrieben restriktive Handhabung des § 336 a Abs. 2 GewO die Kompetenz der Gewerbebehörden zur selbständigen Beurteilung der 'gewerberechtlichen Zuverlässigkeit' schmälern. Daraus ergibt sich, dass es zwar unzulässig ist, Daten, die in keinem sachlichen Zusammenhang mit dem Kriterium der Zuverlässigkeit im Hinblick auf eine bestimmte angestrebte Gewerbeberechtigung stehen, der Gewerbebehörde zu übermitteln, es aber zum Pflichtenkreis der Sicherheitsbehörde gehört, der Gewerbebehörde auch nicht weiter verfolgte Anzeigen/Verdachtsmomente betreffend 'einschlägige' Delikte zur Kenntnis zu bringen." (RIS)‏ Entscheidungspraxis der DSK/DSB tendiert dazu Übermittlungswünsche zu bejahen sobald ihre Notwendigkeit denkmöglich ist , siehe DSK K /13-DSK/00 "Datenübermittlung von AK an ÖGB": "Die Beschwerdeführerin bringt zwar vor, dass für die gewerkschaftliche Tätigkeit alternative Informationsmöglichkeiten in Frage gekommen wären, legt damit aber den Begriff der ‘erforderlichen Daten’ nach Ansicht der Datenschutzkommission zu eng aus. Sinn und Zweck der Bestimmung ist es, den freiwilligen Berufsvereinigungen, gerade in betriebsbezogenen Konfliktfällen, einen Rückgriff auf die - viel umfassenderen - Mitgliederdatenbestände der Arbeiterkammern zu ermöglichen, insbesondere dadurch direkte Informationen an die Betroffenen richten zu können." (RIS)‏ ARGE DATEN

20 Grundlage einer rechtmäßigen Datenverwendung
DSG Grundlagen Grundlage einer rechtmäßigen Datenverwendung Dreistufiges Konzept Es muss ein berechtigter Zweck für die Datenanwendung geben sein und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (§ 6, § 7 Abs.1) Es muss eine Rechtsgrundlage für die Verwendung der konkreten Daten eines Betroffenen geben (§§ 7ff) Die Datenanwendung muss den Registrierungserfordernissen entsprechen (§§ 16ff) Beispiele: - Warndatei von Risikopatienten in einem Krankenhaus - Dürfen im Zuge einer Unternehmensauflösung die Kundendaten verkauft werden? Dreistufiges Konzept (a) Es muss eine Rechtsgrundlage für eine Datenanwendung geben (§ 7 Abs.1): "... von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt ..." Die Zulässigkeit ist gegeben, wenn der Grundrechtseingriff auf das erforderliche Maß beschränkt bleibt, mit den gelindesten Mitteln erfolgt und gemäß der Grundsätze nach § 6 erfolgt. Diese Rechtsgrundlage ist nicht durch die Zustimmung des Betroffenen ersetzbar. Die Anforderungen von Treu und Glauben müssen erfüllt sein (§ 6)‏ (b) Es muss eine Rechtsgrundlage für die Verwendung der konkreten Daten geben (§§ 7-9) Eine der zulässigen Rechtsgrundlagen kann die Zustimmung des Betroffenen sein oder auch eine ausdrückliche gesetzliche Ermächtigung zur Datenerhebung (c) Die Datenanwendung muss den Registrierungsanforderungen entsprechen (§§ 16ff, Ausnahmen beachten)‏ Weitere Beispiele bei denen die Voraussetzungen für die Datenverwendung diskussionswürdig sind: - Verwendung von Telefonbuchdaten für Datenhandel - Personendaten in einer Konkursmasse / auf ersteigertem Computer ARGE DATEN

21 Grundlage ist § 47 DSG 2000 "Datenverwendung zu Verständigungszwecken"
DSG Grundlagen Entscheidung zu DSG 2000 § 7 DSK K /8-DSK/00 ("Eigenwerbung") Zum Zwecke der "Eigenwerbung" dürfen auch Daten aus anderen Verwendungszwecken des Datenverarbeiters benutzt werden Die DSK/DSB geht davon aus, dass kein schutzwürdiges Interesse (Geheimhaltungsinteresse) verletzt wird. Das Vermerken von Spenden in einer Patientendatei wäre jedoch nach Ansicht der DSK/DSB unzulässig. Verwendung nicht uneingeschränkt zulässig, muss mit ursprünglichem Zweck grundsätzlich vereinbar sein Grundlage ist § 47 DSG 2000 "Datenverwendung zu Verständigungszwecken" DSK K /8-DSK/00 "Ein ehemaliger Patient einer öffentlichen Krankenanstalt erhob Beschwerde, weil seine, aus dem ADV-Aufnahmebuch der Krankenanstalt stammenden Daten zur Versendung eines Spendenaufrufs an ihn selbst verwendet worden waren. Die Verwendung der Daten 'Name' und 'Adresse' des Patienten zum Zweck eines Spendenaufrufs (für eine Spendenaktion im Rahmen des Krankenhauses, deren Erlös zum Wohl der Patienten verwendet werden soll) erfolgt zu einem - mit dem Zweck der ursprünglichen Ermittlung der Daten kompatiblen - und der ursprünglichen Datenverarbeitung angelagerten Zweck, nämlich der Verwendung im Rahmen einer Art 'Eigenwerbung' der Krankenanstalt." (RIS)‏ ARGE DATEN

22 DSG Grundlagen Geheimhaltungsinteressen bei Datenverwendung (§ 8-nicht-sensible Daten, § 9-sensible Daten) Wann dürfen Daten jedenfalls verwendet werden? (Auszug) - Rechtsgrundlage / gesetzliche Verpflichtungen - Zustimmung des Betroffenen - zur Wahrung lebenswichtiger Interessen - überwiegende Interessen Dritter / Auftraggeber (nicht anwendbar bei sensiblen Daten!) z.B. notwendige Voraussetzung zur Vertragserfüllung, Ausübung von Rechtsansprüchen des Auftraggebers, behördliche Tätigkeit - indirekt personenbezogene Daten (EU-Konformität??) - zulässig veröffentliche Daten: soweit berechtigter Zweck des Verwenders gegeben? soweit mit ursprünglicher Veröffentlichung vereinbar? Wann dürfen Daten verwendet werden? (sind Geheimhaltungsinteressen nicht verletzt) - ausdrückliche gesetzliche Ermächtigung oder Verpflichtung besteht (§ 8 Abs. 1 Z 1)‏ - ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Wahrung eines wichtigen öffentlichen Interesses besteht (§ 9 Z 3)‏ - Betroffener hat zugestimmt/Widerrufsrecht (§ 8 Abs. 1 Z 2, § 9 Z 6)‏ - lebenswichtige Interessen des Betroffenen (§ 8 Abs. 1 Z 3, § 9 Z 7)‏ - zulässigerweise veröffentlichte Daten (§ 8 Abs. 2, §9 Z 1) - indirekt personenbezogene Daten (§ 8 Abs. 2, §9 Z 2) - überwiegende berechtigte Interessen des Aufftraggebers oder Dritter sind zu wahren (§ 8 Abs. 1 Z 4, nur bei nichtsensiblen Daten!)‏ - im öffentlichen Bereich: wesentliche Voraussetzung für gesetzlich übertragene Aufgabe (§ 8 Abs.3 Z1)‏ - im öffentlichen Bereich: in Erfüllung der Amtshilfe (§ 8 Abs. 3 Z 2, § 9 Z 4) - im öffentlichen Bereich: ausschließlich die Ausübung einer öffentlichen Funktion durch den Betroffenen zum Gegenstand hat [behördliche Tätigkeit] (§ 8 Abs. 3 Z 6) - Wahrung lebenswichtiger Interessen eines Dritten (§ 8 Abs. 3 Z 3, § 9 Z 8)‏ ARGE DATEN

23 Was ist eine zulässige Veröffentlichung?
DSG Veröffentlichung Was ist eine zulässige Veröffentlichung? Veröffentlichen von Informationen - ist im DSG 2000 Spezialfall der Datenübermittlung - die Veröffentlichung muss rechtlich zulässig sein Beispiele für bedenkliche Veröffentlichungen: - Altersjubilare in der Gemeindezeitung genannt - Daten von Privathaushalten in einer Tourismusbroschüre angegeben (Kaprun) - öffentliche Ehrentafel aller eingemeindeten Bürger - Teilnehmerlisten von Kongressen/Seminaren - Klassenbilder im Schuljahresbericht - Veröffentlichen von lokalen (Amateur-)Sportergebnissen mit Name, Adresse und Geburtsdatum im Internet - Zusammenstellung persönlicher Daten durch (Personen-)Suchmaschinen DSK/DSB neigt zu einer - unverständlicher Weise - extensiven Interpretation des Begriffs "Veröffentlichung": alles, was kurz öffentlich zugänglich war, etwa eine Aussage vor Gericht oder in einer öffentlichen Gemeinderatssitzung soll für unbestimmte Zeit öffentlich verfügbar sein dürfen und unterliegt keinen schutzwürdigen Interessen des Datenschutzgesetzes Beispiele DSK/DSB-Entscheidungen: DSK K /0017-DSK/2008: Gemeinde hat Bürgerdaten an Zeitung weiter gegeben. Beschwerde abgewiesen, da es sich um ein "öffentliches" Bauverfahren handelt! DSK K /0004-DSK/2008: Gemeinde hat Inhalt einer Gemeinderatssitzung an Zeitung weiter gegeben. Beschwerde abgewiesen, da die Gemeinderatssitzung öffentlich zugänglich gewesen wäre. ARGE DATEN

24 Nutzung von Klientenfotos
Fotos und Persönlichkeitschutz Nutzung von Klientenfotos Ausgangslage - eine Pflegeinrichtung veröffentlicht in der Klientenzeitung (und im Internet) Fotos von Bewohnern Fragestellungen - (datenschutzrechtliche) Zulässigkeit? - wie ist mit Fotos Verstorbener umzugehen? - sonstige Anforderungen? - ARGE DATEN ARGE DATEN

25 Nutzung von Klientenfotos II
Fotos und Persönlichkeitschutz Nutzung von Klientenfotos II DSG-Grundlagen - Fotos, auf denen Personen identifizierbar sind, fallen grundsätzlich unter die Bestimmungen des DSG 2000 - sind auf dem Foto auch gesundheuitliche Beeinträchtigungen zu erkennen, handelt es sich um sensible Daten - Verstorbene sind nicht als Personen iS des DSG 2000 anzusehen Sonstige Persönlichkeitsrechte - bei Fotos sind zusätzlich die Persönlichkeitsrechte gemäß § 78 UrhG zu beachten, diese wirken über Tod hinaus und gehen auf Angehörige über - OGH 4Ob203/13a Angehörige können „Recht am eigenen Bild“ von Verstorbenen geltend machen, ohne eigene Interessen begründen zu müssen ("treuhändige" Inanspruchnahme eines Schutzrechtes) - ARGE DATEN ARGE DATEN

26 Nutzung von Klientenfotos III
Fotos und Persönlichkeitschutz Nutzung von Klientenfotos III Konsequenz - die Nutzung der Fotos bedarf jedenfalls der Zustimmung der Betroffenen - werden durch die Abbildungen sensible Daten erfasst, ist jedenfalls eine ausdrückliche Zustimmung erforderlich - der Veröffentlichung - insbesondere wenn sensible Daten betroffen sind - wird jederzeit widersprochen werden können - im Todesfall wird auf Grund des OGH-Urteils ein Widerspruchsrecht durch die Angehörigen bestehen - im Falle eines zulässigen Widerspruchs müsse verteilte Broschüren nicht zurückgerufen werden, aber die weitere Verbreitung wird unzulässig sein - Wir empfehlen, auch aus Gründen der Pietät im Todesfall entsprechende Bilder nicht weiter zu verbreiten bzw. ausreichend unkenntlich zu machen ARGE DATEN ARGE DATEN

27 Schutz der Privatsphäre
Übersicht Anti-Stalking-Bestimmung § 107a StGB § 1328a ABGB Beispiele Entscheidungen - ARGE DATEN

28 Bestimmungen zum Schutz der Privatsphäre
Schutz der Privatsphäre - Übersicht Bestimmungen zum Schutz der Privatsphäre • EMRK Art 8 (Privatsphäre, Familienleben, Briefverkehr) • StGG (Staatsgrundgesetz) Art. 9, 10 (Briefgeheimnis) u. 10a (Fernmeldegeheimnis) • § 1 DSG 2000 (Geheimhaltung Daten) • § 16 ABGB (angeborene Rechte) • StGB z.B. § 118f (Briefgeheimnis), § 119f (Telekommunikationsgeheimnis) und §§ 302ff (Amtsmissbrauch) • TKG 2003 § 93 (Kommunikationsgeheimnis) • MedienG § 7ff (Bloßstellung) • UrhG § 77 (Briefe, Tagebücher, ähnliche vertrauliche Aufzeichnungen), § 78 (Bildnisschutz), § 87 Abs 2 (Entschädigung) • Regelungen für einzelne Berufsgruppen • ABGB § 1328a (Bloßstellung) • StGB § 107a (Anti-Stalking-Bestimmung) Europäische Menschenrechtskonvention [StF BGBl. Nr. 210/1958, ] Artikel 8 - Recht auf Achtung des Privat- und Familienlebens (1) Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs. (2) Der Eingriff einer öffentlichen Behörde in die Ausübung dieses Rechts ist nur statthaft, insoweit dieser Eingriff gesetzlich vorgesehen ist und eine Maßnahme darstellt, die in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig ist. Staatsgrundgesetz vom 21. Dezember 1867 Artikel 9. Das Hausrecht ist unverletzlich. […] Artikel 10. Das Briefgeheimnis darf nicht verletzt und die Beschlagnahme von Briefen, außer dem Falle einer gesetzlichen Verhaftung oder Haussuchung, nur in Kriegsfällen oder auf Grund eines richterlichen Befehles in Gemäßheit bestehender Gesetze vorgenommen werden. Artikel 10a. Das Fernmeldegeheimnis darf nicht verletzt werden. Ausnahmen von der Bestimmung des vorstehenden Absatzes sind nur auf Grund eines richterlichen Befehles in Gemäßheit bestehender Gesetze zulässig. [Ergänzung des StGG ] [Staatsgrundgesetz vom 21. December 1867, über die allgemeinen Rechte der Staatsbürger für die im Reichsrathe vertretenen Königreiche und Länder. StF: RGBl. Nr. 142/1867, Art. 10a wurde mit Novelle 1974 eingeführt (BGBl. Nr. 8/1974)] Allgemeines Persönlichkeitsrecht im ABGB § 16. Jeder Mensch hat angeborene, schon durch die Vernunft einleuchtende Rechte, und ist daher als eine Person zu betrachten. Sclaverey oder Leibeigenschaft, und die Ausübung einer darauf sich beziehenden Macht, wird in diesen Ländern nicht gestattet. ARGE DATEN

29 ARGE DATEN Schutz der Privatsphäre - Übersicht StGB §§ 118 ff, 302,
§ 118 Verletzung des Briefgeheimnisses und Unterdrückung von Briefen § 118a Widerrechtlicher Zugriff auf ein Computersystem § 119 Verletzung des Telekommunikationsgeheimnisses § 119a Missbräuchliches Abfangen von Daten § 120 Missbrauch von Tonaufnahme- oder Abhörgeräten § 121 Verletzung von Berufsgeheimnissen § 122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses § 123 Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses § 124 Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses zugunsten des Auslands § 302 Missbrauch der Amtsgewalt § 310 Verletzung des Amtsgeheimnisses TKG 2003 – Kommunikationsgeheimnis § 93. (1) Dem Kommunikationsgeheimnis unterliegen die Inhaltsdaten, die Verkehrsdaten und die Standortdaten. Das Kommunikationsgeheimnis erstreckt sich auch auf die Daten erfolgloser Verbindungsversuche. (2) Zur Wahrung des Kommunikationsgeheimnisses ist jeder Betreiber und alle Personen, die an der Tätigkeit des Betreibers mitwirken, verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist. (3) Das Mithören, Abhören, Aufzeichnen, Abfangen oder sonstige Überwachen von Nachrichten und der damit verbundenen Verkehrs- und Standortdaten sowie die Weitergabe von Informationen darüber durch andere Personen als einen Benutzer ohne Einwilligung aller beteiligten Benutzer ist unzulässig. Dies gilt nicht für die Aufzeichnung und Rückverfolgung von Telefongesprächen im Rahmen der Entgegennahme von Notrufen und die Fälle der Fangschaltung sowie für eine technische Speicherung, die für die Weiterleitung einer Nachricht erforderlich ist. (4) Werden mittels einer Funkanlage, einer Telekommunikationsendeinrichtung oder mittels einer sonstigen technischen Einrichtung Nachrichten unbeabsichtigt empfangen, die für diese Funkanlage, diese Telekommunikationsendeinrichtung oder den Anwender der sonstigen Einrichtung nicht bestimmt sind, so dürfen der Inhalt der Nachrichten sowie die Tatsache ihres Empfanges weder aufgezeichnet noch Unbefugten mitgeteilt oder für irgendwelche Zwecke verwertet werden. Aufgezeichnete Nachrichten sind zu löschen oder auf andere Art zu vernichten. Mediengesetz § 7. (1) Wird in einem Medium der höchstpersönliche Lebensbereich eines Menschen in einer Weise erörtert oder dargestellt, die geeignet ist, ihn in der Öffentlichkeit bloßzustellen, so hat der Betroffene gegen den Medieninhaber (Verleger) Anspruch auf eine Entschädigung für die erlittene Kränkung. Der Entschädigungsbetrag darf Euro nicht übersteigen; im übrigen ist § 6 Abs. 1 zweiter Satz anzuwenden. […] Urheberrechtsgesetz § 77. (1) Briefe, Tagebücher und ähnliche vertrauliche Aufzeichnungen dürfen weder öffentlich vorgelesen noch auf eine andere Art, wodurch sie der Öffentlichkeit zugänglich gemacht werden, verbreitet werden, wenn dadurch berechtigte Interessen des Verfassers oder, falls er gestorben ist, ohne die Veröffentlichung gestattet oder angeordnet zu haben, eines nahen Angehörigen verletzt würden. […] § 78. (1) Bildnisse von Personen dürfen weder öffentlich ausgestellt noch auf eine andere Art, wodurch sie der Öffentlichkeit zugänglich gemacht werden, verbreitet werden, wenn dadurch berechtigte Interessen des Abgebildeten oder, falls er gestorben ist, ohne die Veröffentlichung gestattet oder angeordnet zu haben, eines nahen Angehörigen verletzt würden. […] § 87. (2) Auch kann der Verletzte in einem solchen Fall eine angemessene Entschädigung für die in keinem Vermögensschaden bestehenden Nachteile verlangen, die er durch die Handlung erlitten hat. […] (inmaterieller Schadenersatz)‏ Ärztegesetz § 54. (1) Der Arzt und seine Hilfspersonen sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Geheimnisse verpflichtet. […] Rechtsanwaltsordnung § 9. […] (2) Der Rechtsanwalt ist zur Verschwiegenheit über die ihm anvertrauten Angelegenheiten und die ihm sonst in seiner beruflichen Eigenschaft bekanntgewordenen Tatsachen, deren Geheimhaltung im Interesse seiner Partei gelegen ist, verpflichtet. Er hat in gerichtlichen und sonstigen behördlichen Verfahren nach Maßgabe der verfahrensrechtlichen Vorschriften das Recht auf diese Verschwiegenheit. […] Beamten-Dienstrechtsgesetz § 46. (1) Der Beamte ist über alle ihm ausschließlich aus seiner amtlichen Tätigkeit bekanntgewordenen Tatsachen, deren Geheimhaltung im Interesse der Aufrechterhaltung der öffentlichen Ruhe, Ordnung und Sicherheit, der umfassenden Landesverteidigung, der auswärtigen Beziehungen, im wirtschaftlichen Interesse einer Körperschaft des öffentlichen Rechts, zur Vorbereitung einer Entscheidung oder im überwiegenden Interesse der Parteien geboten ist, gegenüber jedermann, dem er über solche Tatsachen nicht eine amtliche Mitteilung zu machen hat, zur Verschwiegenheit verpflichtet (Amtsverschwiegenheit). […] ARGE DATEN

30 Geheimnis- und Verschwiegenheitspflichten (Auswahl)
DSG Verschwiegenheit Geheimnis- und Verschwiegenheitspflichten (Auswahl) - Amtsgeheimnis (StGB § 310) - Bankwesengesetz (§ 38) - Ziviltechnikergesetz (§ 15) - Ärztegesetz (§ 54) - Glückspielgesetz (§ 51) - Hebammengesetz (§ 7) - Psychologengesetz (§ 14) - Tierärztegesetz (§ 23) - Gesundheits- und Krankenpflegegesetz (§ 6) - Sanitätergesetz (§ 6) - Wirtschaftstreuhandberufsgesetz (§ 91) - Detektive (§ 130 Abs. 5 GewO) Grundsätzlich gilt das DSG 2000 subsidiär Welche Geheimhaltungserklärung gilt? Beauftragt ein Auftraggeber (ein für personenbezogene Daten Verantwortlicher), wie eine Bank, ein Spital oder ein Steuerberater für einzelne Datenverarbeitungsschritte einen Dienstleister, dann ist eine Dientsleistungsvereinbarung gemäß § 10 DSG abzuschließen. Wesentlicher Bestandteil dieser Vereinbarung ist die Verpflichtung des Dienstleisters, seinerseits seine Mitarbeiter zur Einhaltung der Verschwiegenheit gem. § 15 DSG zu verpflichten. Grundsätzlich gilt das DSG 2000 subsidiär. Das heisst, es wirkt für jene Bereiche personenbezogener Daten, die nicht von den fachspezifischen oder berufsspezifischen Geheimhaltungsbestimmungen erfasst sind. Sind also die berufsspezifischen Bestimmungen weitreichend genug definiert, könnte im konkreten Dienstleistungsfall auf eine Geheimhaltungsvereinbarung gemäß DSG verzichtet werden. Der umgekehrte Fall ist nicht möglich! ARGE DATEN

31 § 1328a ABGB Privatsphärebestimmung
Schutz der Privatsphäre - §1328a ABGB § 1328a ABGB Privatsphärebestimmung (1) Wer rechtswidrig und schuldhaft in die Privatsphäre eines Menschen eingreift oder Umstände aus der Privatsphäre eines Menschen offenbart oder verwertet, hat ihm den dadurch entstandenen Schaden zu ersetzen. Bei erheblichen Verletzungen der Privatsphäre, etwa wenn Umstände daraus in einer Weise verwertet werden, die geeignet ist, den Menschen in der Öffentlichkeit bloßzustellen, umfasst der Ersatzanspruch auch eine Entschädigung für die erlittene persönliche Beeinträchtigung. Abs.2 definiert Substitutionsklausel - Bestimmung ist nicht anzuwenden, wenn andere Bestimmung gilt, etwa Datenschutz- oder Medienrechtsbestimmungen Privatsphärebestimmung seit § 1328a ABGB Abs. 2: "(2) Abs. 1 ist nicht anzuwenden, sofern eine Verletzung der Privatsphäre nach besonderen Bestimmungen zu beurteilen ist. Die Verantwortung für Verletzungen der Privatsphäre durch Medien richtet sich allein nach den Bestimmungen des Mediengesetzes, BGBl. Nr. 341/1981, in der jeweils geltenden Fassung." Literatur zum § 1328a ABGB - Helmich - „Schadenersatz bei Eingriffen in die Privatspähre“ ecolex , S. 888 - Karner/Koziol - „Der Ersatz ideellen Schadens im österreichischen Recht und seine Reform“ 15. ÖJT Band II/1, Manz 2003, S. 101ff. - Lein - „Das Zivilrechtsänderungsgesetz 2004“ JAP 2003/2004, S. 122 OGH 4Ob150/08z Rechtssatz Der Schutz des § 1328a ABGB kommt auch Personen zu, die in der Öffentlichkeit bekannt sind. Wer seine privaten Lebensumstände „öffentlich gemacht" hat, indem er etwa ein Interview gibt, in dem auch private Aspekte erörtert werden, oder indem er sich „outet", kann sich nicht auf eine Verletzung seiner Privatsphäre berufen, wenn diese Umstände in der Öffentlichkeit weiter erörtert werden. ARGE DATEN

32 Drei Verletzungsarten
Schutz der Privatsphäre - §1328a ABGB Änderungen durch § 1328a Immaterieller Schadenersatz Auffangtatbestand für bisher nicht erfasste Verletzungen Drei Verletzungsarten Eingreifen (Eindringen in die Privatsphäre) Offenbaren an Dritte (nicht nur Öffentlichkeit) Verwerten (wirtschaftlicher Vorteil durch Kenntnisse aus Privatsphäre) Voraussetzungen für Schadenersatz nach § 1328a Rechtswidrigkeit Verschulden (leichte Fahrlässigkeit genügt) Erheblicher Eingriff Der § 1328a ist grundsätzlich als allgemeiner Auffangtatbestand konzipiert, d.h. speziellere Regelungen, z.B. im Mediengesetz und im DSG 2000 gehen dieser Bestimmung vor. Insbesondere die in der Praxis sehr bedeutenden Fälle der Verletzung der Privatsphäre durch Medien sind vom Geltungsbereich des § 1328a explizit ausgenommen. Wenn also nach dem Mediengesetz kein Anspruch auf Entschädigung besteht, kann auch der § 1328a nicht als Anspruchsgrundlage herangezogen werden. Eingreifen: direktes und unmittelbares rechtswidriges Eindringen in die Privatsphäre eines anderen Offenbaren: Weitergabe von privaten Informationen an andere oder die Öffentlichkeit Verwerten: Erlangen eines wirtschaftlichen Vorteils aus privaten Umständen eines anderen Voraussetzung für den Zuspruch einer Entschädigung ist immer die Rechtswidrigkeit des Verhaltens und das Verschulden des Schädigers. Bezüglich der Rechtswidrigkeit ist eine umfassende Interessensabwägung vorzunehmen. Beim Verschulden genügt bereits leichte Fahrlässigkeit. Rechtssatz (OGH 6Ob103/07a): Der höchstpersönliche Lebensbereich stellt den Kernbereich der geschützten Privatsphäre dar und ist daher einer den Eingriff rechtfertigenden Interessenabwägung regelmäßig nicht zugänglich. Dieser höchstpersönliche Kernbereich ist nicht immer eindeutig abgrenzbar, es ist aber davon auszugehen, dass jedenfalls die Gesundheit, das Sexualleben und das Leben in und mit der Familie dazu gehören. ARGE DATEN

33 Beispiele für Eingriffe in die Privatsphäre
Schutz der Privatsphäre - Beispiele Beispiele für Eingriffe in die Privatsphäre private Videoüberwachung, Personenortung, Radarüberwachung Bekanntgabe persönlicher Daten im Internet Illegales Abhören von Telefonaten oder Gesprächen Hacken von privaten Computern Missbrauch von Foto-Handys Weitergeben von privat mitgeteilten Geheimnissen Überwachung des Standortes eines Mobiltelefonnutzers ohne dessen Zustimmung Offenbaren/Verwerten von Gerichtsurteilen Bedrängen durch Kontaktaufnahmeversuche ( , Telefonate, ...) Die oben genannten Beispiele sind teilweise auch in den erläuternden Bemerkungen zum Entwurf angeführt. Es ist dazu allgemein anzumerken, dass sich der § 1328a ABGB auf den Ersatz immaterieller Schäden bezieht und insofern unabhängig von eventuell in anderen Gesetzen vorgesehenen (Verwaltungs-) Strafbestimmungen zu sehen ist. So sind beispielsweise im TKG oder im DSG für verschiedene Tatbestände sowohl strafrechtliche als auch verwaltungsstrafrechtliche Sanktionen vorgesehen. Unabhängig von deren Anwendung könnten Betroffene bei entsprechendem Nachweis den Ersatz immaterieller Schäden verlangen. ARGE DATEN

34 Besondere Bestimmungen
Videoüberwachung Informationsverbundsystem Wissenschaft und Forschung Verständigung / Adressenverlage - ARGE DATEN

35 Videoüberwachung - Definition
DSG Videoüberwachung Videoüberwachung - Definition (DSG 2000 § 50a Abs 1) Videoüberwachung ist definiert durch: - systematische und fortlaufende Feststellung von Ereignissen - betreffen bestimmte/überwachte Objekte oder Personen - Nutzung technischer Bildaufnahme- und Bildübertragungsgeräte Hinweis! Nicht jede Bildaufzeichnung fällt unter die Definition der Videoüberwachung! - einzelne Fotos/kurze Filme mit Digitalkameras oder Handykameras ("Touristenaufnahmen") - einzelne Aufnahmen aus fahrenden Autos heraus - Überwachung ohne identifizierende Absicht (technische Überwachungen, "Panoramakameras", "Hirsch-TV") fallen nicht unter die Definition der Videoüberwachung  Empfehlung DSK K /0004-DSK/2013 "Wetter-TV"  DSB-Meldemuster "Baustellenkamera" Neue Bestimmungen (DSG-Novelle 2010) § 50a Abs. 1 (neu): (1) Videoüberwachung im Sinne dieses Abschnittes bezeichnet die systematische, insbesondere fortlaufende Feststellung von Ereignissen, die ein bestimmtes Objekt (überwachtes Objekt) oder eine bestimmte Person (überwachte Person) betreffen, durch technische Bildaufnahme- oder Bildübertragungsgeräte. Für derartige Überwachungen gelten die folgenden Absätze, sofern nicht durch andere Gesetze Besonderes bestimmt ist. Erläuternde Bemerkungen (EB) der Regierungsvorlage (RV) § 50a Abs. 1 enthält zunächst eine Definition der Videoüberwachung. Dass dies mit „systematischer“ Erfassung von Ereignissen umschrieben wurde, soll klarstellen, dass durch eine Summe von Verwendungsschritten (vgl. § 4 Z 7) das Ergebnis „Überwachung“ verwirklicht werden soll. Aufnahmen etwa aus rein touristischen oder künstlerischen Beweggründen aber auch Filmen für ausschließlich familiäre oder persönliche Tätigkeiten (vgl. § 45, zB bei einem Kindergeburtstag) fallen damit nicht darunter, sehr wohl aber auch gezieltes Fotografieren. Überwachtes Objekt oder überwachte Person ist jene Person, Gegenstand oder Ort, auf die sich die systematische Erfassung von Ereignissen intentional richtet. Sofern Videoüberwachungen für ausschließlich persönliche und familiäre Tätigkeiten überhaupt denkbar sind (zB Bildüberwachung von Babys), fallen diese nicht unter die Bestimmungen des § 50a. Entgegen dem Judikat K /0002-DVR/2009 der Datenschutzkommission vom 8. Mai 2009 ist aber davon auszugehen, dass der eng gefasste Wortlaut des § 45 [Datenanwendung für private Zwecke, Anm.] die Überwachung von Einfamilienhäusern und dazu gehörigen Grundstücken nicht umfasst und überdies neben potenziellen Einbrechern auch andere Personen (Besucher, allfällige Hausangestellte wie etwa Reinigungspersonal) davon betroffen sein können. Derartige Datenanwendungen fallen daher unter § 50a. ARGE DATEN

36 Videoüberwachung - zulässige Zwecke
DSG Videoüberwachung Videoüberwachung - zulässige Zwecke (DSG 2000 § 50a Abs. 2) Auswertung und Übermittlung zulässig, - zum Schutz eines überwachten Objekts oder einer überwachten Person - Erfüllung rechtlicher Sorgfaltspflichten einschließlich der Beweissicherung Einschränkungen - Persönlichkeitsschutz nach § 16 ABGB ist zu beachten - Höchstpersönliche Lebensbereiche dürfen nur bedingt aufgezeichnet werden (Abs. 5) - Mitarbeiterüberwachung ist nur bedingt zulässig (Abs. 5) Neue Bestimmungen (DSG-Novelle 2010) § 50a Abs. 2 (neu): (2) Für Videoüberwachung gelten die §§ 6 und 7, insbesondere der Verhältnismäßigkeitsgrundsatz (§ 7 Abs. 3). Rechtmäßige Zwecke einer Videoüberwachung, insbesondere der Auswertung und Übermittlung der dabei ermittelten Daten, sind jedoch vorbehaltlich des Abs. 5 nur der Schutz des überwachten Objekts oder der überwachten Person oder die Erfüllung rechtlicher Sorgfaltspflichten, jeweils einschließlich der Beweissicherung, im Hinblick auf Ereignisse nach Abs. 1. Persönlichkeitsrechte nach § 16 ABGB bleiben unberührt. [zur Information: Allgemeines bürgerliches Gesetzbuch (ABGB) I. Aus dem Charakter der Persönlichkeit - Angeborne Rechte § 16. Jeder Mensch hat angeborne, schon durch die Vernunft einleuchtende Rechte, und ist daher als eine Person zu betrachten. Sclaverey oder Leibeigenschaft, und die Ausübung einer darauf sich beziehenden Macht, wird in diesen Ländern nicht gestattet.] ARGE DATEN

37 Video-Einsatz gemäß diesem Absatz sieht keine Beschränkungen vor!
DSG Videoüberwachung Videoüberwachung - zulässiger Einsatz I (DSG 2000 § 50a Abs. 3) - im lebenswichtigen Interesse des Betroffenen (Abs. 3 Z 1) [Intensivstation, ...??] - Verhalten, das öffentlich wahrgenommen werden will (Abs. 3 Z 2) [öffentlicher Vortrag/Straßensänger, Teilnehmer einer Kundgebung, ...??] - Betroffener hat Überwachung selbst ausdrücklich zugestimmt (Abs. 3 Z 3) Video-Einsatz gemäß diesem Absatz sieht keine Beschränkungen vor! Neue Bestimmungen (DSG-Novelle 2010) § 50a Abs. 3 (neu): (3) Ein Betroffener ist durch eine Videoüberwachung dann nicht in seinen schutzwürdigen Geheimhaltungsinteressen (§ 7 Abs. 2 Z 3) verletzt, wenn 1. diese im lebenswichtigen Interesse einer Person erfolgt, oder 2. Daten über ein Verhalten verarbeitet werden, das ohne jeden Zweifel den Schluss zulässt, dass es darauf gerichtet war, öffentlich wahrgenommen zu werden, oder 3. er der Verwendung seiner Daten im Rahmen der Überwachung ausdrücklich zugestimmt hat. ARGE DATEN

38 Videoüberwachung - zulässiger Einsatz IIa
DSG Videoüberwachung Videoüberwachung - zulässiger Einsatz IIa (DSG 2000 § 50a Abs. 4, 5) - berechtigte Annahme Objekt oder Person könnte Ziel oder Ort eines gefährlichen Angriffs werden (Abs. 4 Z 1) [siehe OGH-Judikatur, allgemeine Angst/Vorsorge dürfte nicht reichen, aber Standardanwendungen für Trafikanten, Bankfilialen, Juweliere, Tankstellen, eigene Wohnzwecke genutzte private Grundstücke, internationale Organisationen, Verwaltungsgebäude öffentlicher Rechtsträger, Parkgaragen und - plätze, Rechenzentren,weiterhin Einzelgenehmigung erforderlich: u.a. Supermärkte, sonstige Geschäftslokale, Betriebsstätten] - Rechtsvorschriften oder gerichtliche Entscheidungen auferlegen dem Auftraggeber besondere Sorgfaltspflichten zum Schutz von Personen/Objekten (Abs. 4 Z 2) [Tankstellen, Straßentunnel-Sicherheitsgesetz–STSG, ÖFB/Vereinsstatuten, ...] Neue Bestimmungen (DSG-Novelle 2010) § 50a Abs. 4,5 (neu): (4) Ein Betroffener ist darüber hinaus durch eine Videoüberwachung ausschließlich dann nicht in seinen schutzwürdigen Geheimhaltungsinteressen (§ 7 Abs. 2 Z 3) verletzt, wenn sie nicht im Rahmen der Vollziehung hoheitlicher Aufgaben erfolgt und 1. bestimmte Tatsachen die Annahme rechtfertigen, das überwachte Objekt oder die überwachte Person könnte das Ziel oder der Ort eines gefährlichen Angriffs werden, oder 2. unmittelbar anwendbare Rechtsvorschriften des Völker- oder des Gemeinschaftsrechts, Gesetze, Verordnungen, Bescheide oder gerichtliche Entscheidungen dem Auftraggeber spezielle Sorgfaltspflichten zum Schutz des überwachten Objekts oder der überwachten Person auferlegen, oder 3. sich die Überwachung in einer bloßen Echtzeitwiedergabe von das überwachte Objekt/die überwachte Person betreffenden Ereignisse erschöpft, diese also weder gespeichert (aufgezeichnet) noch in sonst einer anderen Form weiterverarbeitet werden (Echtzeitüberwachung), und sie zum Zweck des Schutzes von Leib, Leben oder Eigentum des Auftraggebers erfolgt. (5) Mit einer Videoüberwachung nach Abs. 4 dürfen nicht Ereignisse an Orten festgestellt werden, die zum höchstpersönlichen Lebensbereich eines Betroffenen zählen. Weiters ist die Videoüberwachung zum Zweck der Mitarbeiterkontrolle an Arbeitsstätten untersagt. ARGE DATEN

39 Videoüberwachung - zulässiger Einsatz IIb
DSG Videoüberwachung Videoüberwachung - zulässiger Einsatz IIb (DSG 2000 § 50a Abs. 4, 5) - bloße Echtzeitüberwachung (keine Aufzeichnung/Speicherung) zum Schutz von Leib/Leben oder Eigentum des Auftraggebers (Abs. 4 Z 3) ["verlängertes Auge": Monitore bei Hauseingängen, Garagen] Absolute Beschränkungen zu den Fällen Abs. 4 Z 1-3: - keine Überwachung höchstpersönlicher Lebensbereiche [kein ToilettenTV, Privatwohnungen, Umkleidekabinen, Umkleideräume??, Krankenbetten??, Gräber??, Betstätten??] - nicht zum Zweck der Mitarbeiterkontrolle [laut EB gemeint: Leistungskontrolle] Erläuternde Bemerkungen (EB) der Regierungsvorlage (RV) zur (DSG-Novelle 2010): § 50a Abs. 5 verbietet die Durchführung von Überwachungen auf Grundlage des Abs. 4 an Orten, die dem höchstpersönlichen Lebensbereich zuzurechnen sind. Solche Orte sind etwa Privatwohnungen, Umkleide- oder WC-Kabinen. Ausdrücklich verboten ist auch die gezielte Videoüberwachung zur Kontrolle von Mitarbeiterinnen und Mitarbeitern an Arbeitsstätten, da hier davon ausgegangen werden kann, dass hier auf Grund der Eingriffstiefe stets ein gelinderes Mittel zur Kontrolle von Mitarbeiterinnen und Mitarbeitern gefunden werden kann. Dieses Verbot schließt nicht die Überwachung von Objekten an Arbeitsstätten (Überwachung von Kassenräumen, Überwachung gefährlicher Maschinen zum Schutz der Mitarbeiterinnen und Mitarbeiter) aus, da derartige Überwachungen nicht auf die Leistungskontrolle von Arbeitnehmerinnen und Arbeitnehmern gerichtet sind. ARGE DATEN

40 Videoüberwachung - weitere zulässige Verwendung ("Zufallsfunde")
DSG Videoüberwachung Videoüberwachung - weitere zulässige Verwendung ("Zufallsfunde") (DSG 2000 § 50a Abs. 6) - an Behörden und Gerichte bei Verdacht einer von Amts wegen gerichtlich bedrohten strafbaren Handlung [keine Privatanklagedelikte, Zivilverfahren, Verwaltungsübertretungen] - an Sicherheitsbehörden nach SPG § 53 Abs. 5 [Behörden entscheiden über Notwendigkeit] - Durchsetzungsbefugnisse zur Herausgabe von Beweismitteln bleiben bestehen [kein Entschlagungsgrund wegen DSG 2000 § 50a] Neue Bestimmungen (DSG-Novelle 2010) § 50a Abs. 6 (neu): (6) Schutzwürdige Geheimhaltungsinteressen Betroffener sind auch dann nicht verletzt, wenn durch Videoüberwachung aufgezeichnete Daten über eine Verwendung entsprechend den Abs. 2 bis 4 hinaus in folgenden Fällen übermittelt werden: 1. an die zuständige Behörde oder das zuständige Gericht, weil beim Auftraggeber der begründete Verdacht entstanden ist, die Daten könnten eine von Amts wegen zu verfolgende gerichtlich strafbare Handlung dokumentieren, oder 2. an Sicherheitsbehörden zur Ausübung der diesen durch § 53 Abs. 5 des Sicherheitspolizeigesetzes – SPG, BGBl. Nr. 566/1991, eingeräumten Befugnisse, auch wenn sich die Handlung oder der Angriff nicht gegen das überwachte Objekt oder die überwachte Person richtet. Die Befugnisse von Behörden und Gerichten zur Durchsetzung der Herausgabe von Beweismaterial und zur Beweismittelsicherung sowie damit korrespondierende Verpflichtungen des Auftraggebers bleiben unberührt. Erläuternde Bemerkungen (EB) der Regierungsvorlage (RV) zur (DSG-Novelle 2010): § 50a Abs. 6 regelt den Umgang mit so genannten „Zufallstreffern“, wenn also im Rahmen einer Videoüberwachung zufällig relevante Ereignisse aufgezeichnet werden, die außerhalb des Zwecks bzw. der Zulässigkeit nach den Abs. 2 und 3 liegen. Eine Verwertung solcher Aufnahmen aus freier Entscheidung des Auftraggebers ist zum einen nur dann zulässig, wenn bei ihm der begründete (dh durch objektiv nachvollziehbare Tatsachen belegte) Verdacht entstanden ist, die gefilmten Ereignisse könnten im Zusammenhang mit von Amts wegen zu verfolgenden gerichtlich strafbaren Handlungen stehen. Zum anderen ist die Herausgabe von Daten aus einer Videoüberwachung an Sicherheitsbehörden zulässig, wenn diese die Daten gemäß § 53 Abs. 5 SPG verwenden dürfen (zB zur Abwehr eines gefährlichen Angriffs oder zur Personenfahndung). Regelmäßig wird ein derartiger begründeter Verdacht durch einen entsprechenden Hinweis Dritter entstehen. ARGE DATEN

41 Videoüberwachung - Verwertungsverbote
DSG Videoüberwachung Videoüberwachung - Verwertungsverbote (DSG 2000 § 50a Abs. 7) - Videodaten dürfen nicht automationsunterstützt mit anderen Bilddaten abgeglichen werden [Verbot von Face- Recognition, unklar: Verbot von Bewegungsanalysen, von Abgleich mit Bedrohungsmustern] - kein systematisches Durchsuchen nach sensiblen Auswahlkriterium [etwa: Hautfarbe, Geschlecht, ...] Neue Bestimmungen (DSG-Novelle 2010) § 50a Abs. 7 (neu): (7) Mit einer Videoüberwachung gewonnene Daten von Betroffenen dürfen nicht automationsunterstützt mit anderen Bilddaten abgeglichen und nicht nach sensiblen Daten als Auswahlkriterium durchsucht werden. Erläuternde Bemerkungen (EB) der Regierungsvorlage (RV) zur (DSG-Novelle 2010): § 50a Abs. 7 verbietet zunächst einen automationsunterstützten Abgleich der durch Videoüberwachung gewonnenen Daten mit anderen Bilddaten. So wird insbesondere eine automationsunterstützte Suche nach „unerwünschten Personen“ ausgeschlossen, welche die Gefahr einer Diskriminierung in sich birgt. Auch eine Suche innerhalb des Videomaterials nach sensiblen Kriterien im Sinn des § 4 Abs. 1 Z 2 (zB Hautfarbe) ist unzulässig. Verstöße gegen diese Bestimmung können nach § 52 Abs. 2 Z 6 geahndet werden. ARGE DATEN

42 Videoüberwachung - Regeln zur Verwendung der Daten
DSG Videoüberwachung Videoüberwachung - Regeln zur Verwendung der Daten (DSG 2000 § 50b) - Jede Datenverwendung ist zu protokollieren (Ausnahme Echtzeitüberwachung) (Abs. 1) [Erweiterung der Protokollpflicht des § 14 DSG 2000] [zur Dauer der Aufbewahrung der Protokolldaten wird keine Aussage gemacht, § 14 geht von drei Jahren aus] - nicht dem ursprünglichen Zweck entsprechende Daten sind nach 72 Stunden zu löschen Längere Aufbewahrungszeiten sind auf begründeten Antrag möglich (Abs. 2) Neue Bestimmungen (DSG-Novelle 2010) § 50b (neu): Besondere Protokollierungs- und Löschungspflicht § 50b. (1) Jeder Verwendungsvorgang einer Videoüberwachung ist zu protokollieren. Dies gilt nicht für Fälle der Echtzeitüberwachung. (2) Aufgezeichnete Daten sind, sofern sie nicht aus konkretem Anlass für die Verwirklichung der zu Grunde liegenden Schutz- oder Beweissicherungszwecke oder für Zwecke nach § 50a Abs. 6 benötigt werden, spätestens nach 72 Stunden zu löschen. § 33 Abs. 2 AVG gilt. Eine beabsichtigte längere Aufbewahrungsdauer ist in der Meldung anzuführen und zu begründen. In diesem Fall darf die Datenschutzkommission die Videoüberwachung nur registrieren, wenn dies aus besonderen Gründen zur Zweckerreichung regelmäßig erforderlich ist. ARGE DATEN

43 Videoüberwachung - Meldepflicht I
DSG Videoüberwachung Videoüberwachung - Meldepflicht I (DSG 2000 § 50c) Abgestufte Meldepflicht - keine Meldepflicht bei Echtzeitüberwachung, bei Aufzeichnung auf analogem Speichermedium (Abs. 2) [konvertieren würde aber zu Meldepflicht führen!] - keine Meldepflicht bei den sonstigen Ausnahmen nach § 17 Abs. 2 und 3 DSG 2000, insbesondere bei Standardanwendungen SA032 (Abs. 2) - vereinfachte Meldepflicht bei Verschlüsselung der Videodaten und Hinterlegung des Schlüssels bei der DSB (Abs. 1) Neue Bestimmungen (DSG-Novelle 2010) § 50c (neu): Meldepflicht und Registrierungsverfahren § 50c. (1) Videoüberwachungen unterliegen der Meldepflicht gemäß den §§ 17 ff. Sofern der Auftraggeber nicht in der Meldung zusagt, die Videoüberwachungsdaten zu verschlüsseln und unter Hinterlegung des einzigen Schlüssels bei der Datenschutzkommission sicherzustellen, dass eine Auswertung der Videoaufzeichnungen nur im begründeten Anlassfall durch eine bestimmte Stelle stattfindet, unterliegen sie der Vorabkontrolle (§ 18 Abs. 2). Bestimmte Tatsachen im Sinn von § 50a Abs. 4 Z 1 müssen bei Erstattung der Meldung glaubhaft gemacht werden. Soweit gemäß § 96a des Arbeitsverfassungsgesetzes 1974 – ArbVG, BGBl. Nr. 22, Betriebsvereinbarungen abzuschließen sind, sind diese im Registrierungsverfahren vorzulegen. (2) Eine Videoüberwachung ist über § 17 Abs. 2 und 3 hinaus von der Meldepflicht ausgenommen 1. in Fällen der Echtzeitüberwachung oder 2. wenn eine Speicherung (Aufzeichnung) nur auf einem analogen Speichermedium erfolgt. (3) Mehrere überwachte Objekte oder überwachte Personen, für deren Videoüberwachung derselbe Auftraggeber eine gesetzliche Zuständigkeit oder rechtliche Befugnis (§ 7 Abs. 1) hat, können auf Grund ihrer gleichartigen Beschaffenheit oder ihrer räumlichen Verbundenheit in einer Meldung zusammengefasst werden, wenn sich diese auf die gleiche Rechtsgrundlage stützt. ARGE DATEN

44 Videoüberwachung - Meldepflicht II
DSG Videoüberwachung Videoüberwachung - Meldepflicht II (DSG 2000 § 50c) - alle anderen Fälle unterliegen der Vorabkontrolle (Abs. 2) Mehrere gleichartige Standorte und Überwachungsgründe können in einer Meldung zusammen gefasst werden (Abs.3) - ARGE DATEN

45 Videoüberwachung - Kennzeichnungspflicht
DSG Videoüberwachung Videoüberwachung - Kennzeichnungspflicht (DSG 2000 § 50d) - jede Videoüberwachung ist zu kennzeichnen (Abs. 1) [umfasst auch nicht registrierungspflichtige] - der Auftraggeber muss aus der Kennzeichnung eindeutig erkennbar sein, es sei denn er ist dem Betroffenen bereits bekannt (Abs. 1) - Kennzeichnung muss so erfolgen, dass potentiell Betroffene der Überwachung ausweichen können (Abs. 1) - keine Kennzeichnungspflicht beim Vollzug hoheitlicher Aufgaben, die unter die Ausnahmen nach § 17 Abs. 3 DSG 2000 fallen (Abs. 2) [Keine sonstige Ausnahme von der Kennzeichnung für Private (etwa zur verdeckten Observation)] Geänderte Bestimmungen (DSG-Novelle 2010) § 50d (neu): Information durch Kennzeichnung § 50d. (1) Der Auftraggeber einer Videoüberwachung hat diese geeignet zu kennzeichnen. Aus der Kennzeichnung hat jedenfalls der Auftraggeber eindeutig hervorzugehen, es sei denn, dieser ist den Betroffenen nach den Umständen des Falles bereits bekannt. Die Kennzeichnung hat örtlich derart zu erfolgen, dass jeder potentiell Betroffene, der sich einem überwachten Objekt oder einer überwachten Person nähert, tunlichst die Möglichkeit hat, der Videoüberwachung auszuweichen. (2) Keine Kennzeichnungsverpflichtung besteht bei Videoüberwachungen im Rahmen der Vollziehung hoheitlicher Aufgaben, die nach § 17 Abs. 3 von der Meldepflicht ausgenommen sind. ARGE DATEN

46 Videoüberwachung - Auskunftsrecht
DSG Videoüberwachung Videoüberwachung - Auskunftsrecht (DSG 2000 § 50e Abs. 1) besonderes Auskunftsrecht notwendig, da Videoüberwachung als indirekt personenbezogene Daten vom Auskunftsrecht nach § 26 DSG 2000 ausgenommen wäre Auskunft ist zu erteilen, wenn Antragsteller - Zeitraum und Ort der Überwachung möglichst genau benannt hat - seine Identität geeignet nachgewiesen hat Auskunft ist zu geben (a) Kopie der Aufzeichnung in einem "üblichen technischen Format" (b) alle anderen Daten analog § 26 DSG 2000 Geänderte Bestimmungen (DSG-Novelle 2010) § 50e (neu): Auskunftsrecht § 50e. (1) Abweichend von § 26 Abs. 1 ist dem Auskunftswerber, nachdem dieser den Zeitraum, in dem er möglicherweise von der Überwachung betroffen war, und den Ort möglichst genau benannt und seine Identität in geeigneter Form nachgewiesen hat, Auskunft über die zu seiner Person verarbeiteten Daten durch Übersendung einer Kopie der zu seiner Person verarbeiteten Daten in einem üblichen technischen Format zu gewähren. Alternativ kann der Auskunftswerber eine Einsichtnahme auf Lesegeräten des Auftraggebers verlangen, wobei ihm auch in diesem Fall die Ausfolgung einer Kopie zusteht. Die übrigen Bestandteile der Auskunft (verfügbare Informationen über die Herkunft, Empfänger oder Empfängerkreise von Übermittlungen, Zweck, Rechtsgrundlagen sowie allenfalls Dienstleister) sind auch im Fall der Überwachung schriftlich zu erteilen, wenn nicht der Auskunftswerber einer mündlichen Auskunftserteilung zustimmt. (2) § 26 Abs. 2 ist mit der Maßgabe anzuwenden, dass in dem Fall, dass eine Auskunft wegen überwiegender berechtigter Interessen Dritter oder des Auftraggebers nicht in der in Abs. 1 geregelten Form erteilt werden kann, der Auskunftswerber Anspruch auf eine schriftliche Beschreibung seines von der Überwachung verarbeiteten Verhaltens oder auf eine Auskunft unter Unkenntlichmachung der anderen Personen hat. (3) In Fällen der Echtzeitüberwachung ist ein Auskunftsrecht ausgeschlossen.” ARGE DATEN

47 ARGE DATEN DSG 2000 - Informationsverbundsystem U4 U3 U2 U1 Betreiber
- geeigneter Betreiber ist zu bestellen - Betreiber ist der DSK zu melden - Betreiber übernimmt Auskunftspflichten U1 U2 U7 U5 U6 U4 Was ist ein Informationsverbundsystem? (§50) - gemeinsame Verarbeitung [gemeint: Verwendung] von Daten in einer DA durch mehrere Auftraggeber und gemeinsame Nutzung der Daten - geeigneter Betreiber ist zu bestellen - Betreiber ist zwecks Eintrag im DVR zu melden - Betreiber hat Auskünfte gem. DSG2000 zu geben - es können auch weitere Auftraggeberpflichten an den Betreiber abgetreten werden Ein Informationsverbundsystem ist nur dann zulässig, wenn die Datenübermittlung zwischen jedem einzelnen Teilnehmer zulässig wäre! Spezialregelung, die in Hinblick auf folgende Fälle/Beispiele geschaffen wurde: - Kreditschutzevidenzen, gemeinsame Versicherungsevidenzen - Reiseveranstaltungs- und Reservierungssysteme - Gesundheitsverbund - gemeinsame Mitarbeiter- oder Lieferantenverwaltung - Bewerberdatenbank, Besucher U3 ARGE DATEN

48 Was ist ein Informationsverbundsystem (IVS)? (§ 50)
DSG Informationsverbundsystem Was ist ein Informationsverbundsystem (IVS)? (§ 50) gemeinsame Verwendung von Daten in einer DA durch mehrere [österreichische] Auftraggeber geeigneter Betreiber ist zu bestellen Betreiber ist zwecks Eintrag im DVR zu melden Betreiber hat Auskünfte über Auftraggeber zu geben (12 Wochenfrist!) es können weitere Auftraggeberpflichten an den Betreiber abgetreten werden Meldepflichten des Informationsverbundsystems können an Betreiber formlos übertragen werden (Abs. 2) Erleichterungen der Meldung zusätzlicher Teilnehmer an Informationsverbundsystem: es genügt Verweis auf andere Meldung (Abs. 2a) Stand lt. DVR-Online: 133 Anwendungen gemeldet, davon ca. 80% aus dem öffentlich-rechtlichen Bereich, 20% private Suche im Online-DVR: Spezialregelung, die in Hinblick auf folgende Fälle/Beispiele geschaffen wurde: - Kreditschutzevidenzen, gemeinsame Versicherungsevidenzen - Reiseveranstaltungs- und Reservierungssysteme - Gesundheitsverbund - gemeinsame Mitarbeiter- oder Lieferantenverwaltung - Bewerberdatenbank, Besucher - Branchenwünsche: Warndatei der Versandunternehmen, Telekom-Unternehmen öffentlich-rechtliche Beispiele: - Zentrales Waffenregister (BMI)‏ - Europol Informationssystem (Europol)‏ - Vollzugsverwaltung der Justizanstalten (BMJ)‏ - Informationsstelle im Katastrophenfall (MAG Wien)‏ - Missbrauchsopferdatenbank (Land OÖ)‏ - Tiroler Sozialverwaltung (Land Tirol)‏ privat-rechtliche Beispiele: - Kreditschutzverband von 1870 und Dataline Datenverarbeitungs GmbH: Warnliste der österreichischen Kreditinstitute zum Zweck des Gläubigerschutzes - Reed Messe Salzburg GmbH: Ausstellerdatenbank PRISM, Besucherdatenbank - Siemens AG (CP RS ) (Deutschland ): International Development Database ('IDD'), Mr. Ted (Bearbeitung von Bewerbungen)‏ - Verband der Versicherungsunternehmen Österreichs: Kraftfahrzeug- Zulassungsevidenz ARGE DATEN

49 Verwendung von Daten für Wissenschaft und Forschung (§ 46)
DSG Spezialregelungen Verwendung von Daten für Wissenschaft und Forschung (§ 46) - Verwendung im Sinne dieser Bestimmung liegt vor, wenn Ergebnisse nicht personenbezogen sind - effektive Anonymisierung so bald als möglich notwendig, "Pseudonymisierung/Codierung" nicht ausreichend Folgende Daten dürfen verwendet werden: - öffentlich zugängliche Daten (Abs. 1 Z 1) - Daten, die der Auftraggeber zu anderen Zwecken ermittelt hat (Abs. 1 Z 2) - indirekt personenbezogene Daten (Abs. 1 Z 3) - gemäss gesetzlicher Vorschriften (Abs. 2 Z 1) - mit Zustimmung des Betroffenen (Abs. 2 Z 2) - Weitere Verwendungsmöglichkeit mit Genehmigung der DSB (Abs. 2 Z 3) DA's für wissenschaftliche und statistische Zwecke liegen dann vor, wenn die Ergebnisse nicht personenbezogen sind (Abs. 1)‏ Genehmigung durch DSB (Abs. 2 Z 3) , wenn folgende Bestimmungen gemeinsam zutreffen: + Einholung der Zustimmung des Betroffenen unmöglich/unwirtschaftlich und + öffentliches Interesse der Verwendung ist gegeben und + fachliche Eignung des Antragstellers ist gegeben Es dürfen auch sensible Daten verwendet werden (!)‏ - wichtiges öffentliches Interesse der Verwendung ist gegeben und - verwendende Personen unterliegen gesetzlicher Verschwiegenheitspflicht Sonstige rechtliche Verwendungsbeschränkungen, wie etwa urheberrechtliche Beschränkungen können durch eine Genehmigung der DSB nicht aufgehoben werden. Auch bei berechtigter wissenschaftlicher/statistischer Verarbeitung muss der Personenbezug ab dem Zeitpunkt entfernt werden, ab dem dieser nicht mehr für die Verarbeitung notwendig ist. ARGE DATEN

50 Verwendung von Daten für Wissenschaft und Forschung (§ 46) II
DSG Spezialregelungen Verwendung von Daten für Wissenschaft und Forschung (§ 46) II DSK K /002-DSK/2001 ("öffentliches Interesse") von öffentlicher Hand geförderte Forschung liegt immer im öffentlichen Interesse DSK K /003-DSK/2003 ("Leiharbeit und Neue Selbständige") Verwendung von Personendaten (inkl. SV-Nummer) aus SVA, dem HV, den Gebietskrankenkassen und dem BMWA nach Vorlage eines Verwendungskonzepts genehmigt DSK K /006-DSK/2003 ("Suizidforschung") Die Verwendung der Daten Verstorbener fällt nicht in den Genehmigungsbereich der DSK/DSB DSK , K /002-DSK/2001: "Das öffentliche Interesse an der Durchführung eines Forschungsauftrages kann durch die Förderung durch Stellen des Bundes, eines Landes und einer Gemeinde als gegeben angenommen werden." (RIS)‏ DSK , K /003-DSK/2003: "Die Datenschutzkommission erteilt gemäß § 46 Abs 3 Datenschutzgesetz 2000, BGBl I Nr. 165/1999 idF BGBl I 136/2001 (DSG 2000), die Genehmigung zur Verwendung personenbezogener Daten des Hauptverbands der Sozialversicherungsträger der gewerblichen Wirtschaft ( in der Folge: SVA) und der Gebietskrankenkassen für Zwecke der wissenschaftllichen Forschung und Statistik nach Maßgabe der folgenden Bedingungen und Auflagen: 1) Die Verwendung ist nur für Zwecke der Durchführung der sozialwissenschaftlichen Grundlagenstudie mit dem Titel 'Leiharbeit und neue selbständige in Österreich' in Auftrag gegeben vom Bundesministerium für Wirtschaft und Arbeit (in der Folge: BMWA) zulässig..... 5) Die vorliegende Genehmigung zur Datenverwendung umfasst nicht die allfällige Übermittlung einschließlich der Veröffentlichung von Forschungsergebnissen in personenbezogener Form; dies gilt auch für die Übermittlung solcher Daten an den zivilrechtlichen Auftraggeber des gegenständlichen Forschungsprojekts. Eine derartige Verwendung von Daten ist nur zulässig, wenn sie im konkreten Einzelfall den Bestimmungen des 2. Abschnitts des DSG entspricht. Die Übermittlung der verwendeten Daten in personenbezogener Form allein auf der Grundlage einer allfälligen vertraglichen Vereinbarung mit dem zivilrechtlichen Auftragsgeber des Forschungsprojekts ist nicht zulässig.."(RIS)‏ DSK K /3-DSK/00: "Die Durchführung von Forschungen zum Thema der Zwangsarbeit in der NS-Zeit liegt in einem wichtigen öffentlichen Interesse, insbesondere da die Erforschung und objektive Aufarbeitung der NS-Vergangenheit dem Ansehen Österreichs in der Welt nützlich sein wird." (RIS)‏ ARGE DATEN

51 DSG 2000 - Spezialregelungen
Bereitstellung von Adressen zu Verständigungs- /Befragungszwecken [inkl. Werbung] (§ 47) Grundsätzlich gilt: auch die Übermittlung von Adressen ist durch Betroffenen zustimmungspflichtig Ausnahme: Voraussetzung ist das Fehlen der Beeinträchtigung der Geheimhaltungsinteressen UND - Verwendung der Daten desselben Auftraggebers (Z 1) oder - bei Benachrichtigung/Befragung durch Dritte, wenn daran öffentliches Interesse besteht (Z 2 lit. a) oder - der Betroffene nach entsprechender Information keinen Widerspruch eingelegt hat (Z 2 lit. b) Weitere Möglichkeiten mit Genehmigung der DSB Verwendungsbeschränkung der Adressen! Löschungspflicht (!) nach Verwendung Grundsätzlich bedarf auch die Übermittlung der Adressdaten der Zustimmung des Betroffenen Adressdaten sind keine "freien" Daten, es gelten die Verarbeitungsvoraussetzungen des DSG 2000 Grundsätzliche Verwendungs- und Übermittlungsmöglichkeiten: Voraussetzung ist das Fehlen der Beeinträchtigung der Geheimhaltungsinteressen und Verwendung der Daten desselben Auftraggebers (Z 1) oder bei Benachrichtigung/Befragung durch Dritte, wenn daran öffentliches Interesse besteht (Z 2 lit. a) oder der Betroffene nach entsprechender Information keinen Widerspruch eingelegt hat (Z 2 lit. b)‏ Weitere Verwendungsmöglichkeiten mit Genehmigung der DSB (Abs. 3) - Benachrichtigung/Befragung im Interesse des Betroffenen (Z 1) - bei wichtigem öffentlichen Benachrichtigungsinteresse (Z 2) - zu wissenschaftlichen bzw. statistischen Zwecken (Z 3)‏ Verwendungsbeschränkung der Daten: Die Verwendung ist zulässig nur für den Benachrichtigungs/Befragungszweck! ARGE DATEN

52 ARGE DATEN DSG 2000 - Spezialregelungen
Sonderbestimmungen zu Adressenverlagen / Werbung - § 151 GewO1994 ("Listenprivileg" der Adressenverlage) - § 107 TKG 2003 (Werbeverbot Telefon/Fax/ /SMS) GewO-Bestimmung ist Weitergabeermächtigung - Inhaber von Kunden/Interessentenlisten dürfen nur bestimmte Daten ohne Zustimmung des Betroffenen weitergeben - auf Widerspruchsmöglichkeit muss hingewiesen werden - zulässige Datenarten: Namen, Geschlecht, Titel, akademischer Grad, Anschrift, Geburtsdatum, Berufs-, Branchen- oder Geschäftsbezeichnung, Zugehörigkeit zu Kunden-/Interessentendatei - gesetzliche Sperrliste ("Robinsonliste") ist von Adressverlagen zu beachten! - Löschungsanspruch gegenüber gewerblichen Adressenverlagen! Zugehörigkeitsinformation - enthält die eigentlich marketingrelavante Information - es handelt sich um eine unbestimmte Formulierung, die von den Unternehmen großzügig interpretiert wird. - durch geeignete Gliederung können leicht Interessensprofile erstellt werden Beachtung des Widerspruchshinweises: In einer Studie wurden 2004 Datenschutzerklärungen von eCommerce- WebSites untersucht: - 69 (2%) hatten korrekten Hinweis, - 890 (23%) gaben bekannt, keine Daten weiter zu geben (75%!!) brachten keinen Widerspruchshinweis Wie kommen Adressverlage zu den Daten? - Analyse der Warenkörbe (bei Einkäufen mit Kundenkarten): Modeartikel, Kindernahrung, Hygieneartikel, ... - Vergleichsanalyse bestimmter Regionen/Orte, geht bis Häuserblockebene - Reaktion der Betroffenen auf bisherige Direktmail-Zusendungen - Kombination in welchen Geschäften Person einkauft ARGE DATEN

53 Genehmigung / Registrierung
Besondere Dienstleisterverpflichtungen Registrierung von Datenanwendungen Internationaler Datenverkehr Kontrollbefugnisse DSB - ARGE DATEN

54 DSG 2000 - Kontrollbefugnisse
Konzept der Vorabkontrolle (DSG 2000 § 10, § 18 Abs. 2, §§ 20, 21, 30, § 10) bestimmte Datenanwendungen unterliegen einer Vorabkontrolle durch DSB - DA's die sensible Daten verwenden - DA's die in Form eines Informationsverbundsystems betrieben werden - registrierungspflichtige Videoüberwachungen - DA's die Daten zur Beurteilung der Kreditwürdigkeit dienen bzw. strafrechtlich relevante Daten verarbeiten Voraussetzungen der Vorabkontrolle: Prüfung auch ohne Verdachtsmomente möglich Auflagen zum Betrieb der Datenanwendung können erteilt werden Voraussetzung der Vorabkontrolle (§ 18): Bestimmte Datenanwendungen unterliegen der Vorabkontrolle durch die DSB. Bei diesen Datenanwendungen darf dann erst nach ihrer Genehmigung mit der Verarbeitung begonnen werden (§ 20). DA ist meldepflichtig (z.B. keine Standardanwendung) DA ist keine Musteranwendung DA betrifft nicht innere Angelegenheiten anerkannter Kirchen und Religionsgesellschaften + es trifft zumindest eine der Bedingungen zu - DA enthält sensible Daten - DA enthält strafrechtlich relevante Daten - DA dient der Auskunftserteilung über die Kreditwürdigkeit - DA wird in Form eines Informationsverbundsystems geführt Vorabkontrolle ermöglicht die Prüfung der Datenanwendung ohne Vorliegen von Verdachtsmomenten (§ 30). Die DSB kann Auflagen zum Betrieb der Datenanwendung erteilen (§ 21). Die Heranziehung von Dienstleistern bei vorabkontrollpflichtigen Datenanwendungen öffentlich-rechtlicher Auftraggeber ist der DSB mitzuteilen (§ 10). ARGE DATEN

55 Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000)
DSG Dienstleister Dienstleister im Sinne des DSG 2000 (§§ 10f) - Dienstleistung liegt vor, wenn ein Verantwortlicher jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben betraut - Geeignete Vereinbarungen sind zu treffen - Vereinbarungen sind zu überprüfen/überwachen ["überzeugen"]  wie bei Cloud-Computing umsetzen? - Meldepflicht an DSB bei Datenverarbeitungen des öffentlichen Bereichs, die der Vorabkontrolle unterliegen (z.B. bei Verwendung von Gesundheitsdaten), jedoch keine Meldepflicht bei verbundenen Unternehmen - Subdienstleister nur mit Billigung des Auftraggebers Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000) Mustervereinbarung siehe: ftp://ftp.freenet.at/privacy/muster/dsgdl01.html Bereiche, bei denen Dienstleistung vermutet werden kann (sofern extern vergeben)‏ Soft- und Hardwarewartung Operating Call-Center Internet-Provider (Access & Content)‏ Shopping-Mall Betreiber Statistik/Studien Steuerberatung/Unternehmensberater Heranziehung von Gutachtern Notfallsrechenzentren/externe Archivierung Datenerfassung Es wird empfohlen alle bestehenden Lieferantenbeziehungen in Hinblick auf datenschutzrelevante Dienstleistung zu überprüfen! ARGE DATEN

56 Registrierung von Datenanwendungen (§§ 16ff)
DSG Registrierung und Genehmigung Registrierung von Datenanwendungen (§§ 16ff) - Grundsätzlich besteht für jede Datenanwendung Registrierungspflicht, aber: es sind nicht alle Datenanwendungen zu registrieren (§ 17) - Jede Registrierung erfolgt für bestimmte Datenanwendung, für bestimmte Datenarten, bestimmte Personengruppen und bestimmte Zwecke (§ 17) - Eine DVR-Nummer wird einem Unternehmen (Organisation) bei erstmaliger Registrierung einer DA zugeteilt (§ 21) - Registrierung ist kostenlos (§ 53) - Registrierung soll Transparenz sichern (§ 16) - Jedermann kann Einsicht in Registrierung nehmen (§ 16) - Vereinfachte Registrierung bei Muster-Datenanwendungen (§ 19) Dies bedeutet auch, dass bei registrierungsfreien Datenanwendungen KEINE DVR- Nummer geführt werden muss. Dies kann zu Unklarheiten bei Betroffenen über den tatsächlichen Auftraggeber bei Unternehmen führen, die zwar eine DVR-Nummer haben, aber eine Marketingaussendung unter "Berufung" auf die Standardanwendung SA022 "Kundenbetreuung" durchführen. Bisherige Ausnahmen (persönliche und publizistische Verarbeitungen) wurden erheblich ausgeweitet Weiters existieren Musteranwendungen, die die Registrierung zwar nicht ersetzen, jedoch erleichtern sollen. MA001 Personentransport- und Hotelreservierung MA002 Zutrittskontrollsysteme MA003 KFZ-Zulassung durch beliehene Unternehmen MA004 Teilnahme am Informationsverbundsystem MA005 Teilnahme am Informationsverbundsystem FundInfo.at ARGE DATEN

57 Registrierungsfreiheit (§ 17)
DSG Registrierung und Genehmigung Registrierungsfreiheit (§ 17) - Standardanwendungen - DA enthält ausschließlich (!) veröffentlichte Daten (typischerweise Telefonbuch-CDs u.ä.) - Führung öffentlich einsehbarer, gesetzlich vorgesehener Register - ausschließlich indirekt personenbezogene Daten - persönliche Datenanwendungen - publizistische Datenanwendungen - manuelle Datenanwendungen, die nicht der Vorabkontrolle unterliegen - bestimmte DA‘s der Republik Österreich - DA für Zwecke der Strafverfolgung Folgende Datenanwendungen sind nicht zu registrieren (§ 17)‏ - nicht-automatisierte ("manuelle") Datenanwendungen, die nicht der Vorabkontrolle unterliegen - DA enthält ausschließlich (!) schon vorher veröffentlichte Daten (Abs. 2 Z 1)‏ - DA dient zum Führen gesetzlich vorgesehener öffentlich einsehbarer Register (Abs. 2 Z 2)‏ Beispiele: Grundbuch, Firmenbuch, auch Melderegister - DA enthält nur indirekt personenbezogene Daten (Abs. 2 Z 3)‏ - bei persönlichen DA's (Abs. 2 Z 4)‏ - für publizistische Zwecke (Abs. 2 Z 5)‏ - bei Standardanwendungen (Abs. 2 Z 6) Beispiel: SA022 Kundenbetreuung/Marketing, SA001Rechnungswesen/Logistik, SA002 Personalverwaltung - bestimmte Datenanwendungen der Republik Österreich (Abs. 3): Schutz der verfassungsmäßigen Einrichtungen der Republik Österreich (Abs. 3 Z 1) Sicherung der Einsatzbereitschaft des Bundesheeres (Abs. 3 Z 2) Sicherung der Interessen der umfassenden Landesverteidigung (Abs. 3 Z 3) Schutz wichtiger außenpolitischer, wirtschaftlicher oder finanzieller Interessen der Republik Ö oder der EU (Abs. 3 Z 4) Vorbeugung, Verhinderung und Verfolgung von Straftaten (Abs. 3 Z5)‏ Die Ausnahmetatbestände des Abs. 3 stellen keine generellen Ausnahmen für alle DA's bestimmter Behörden dar ARGE DATEN

58 Registrierungsverfahren (seit 1.9.2012)
DSG Registrierung Registrierungsverfahren (seit ) (DSG 2000 § 17 Abs. 1a) - Meldungen haben über Internetanwendung zu erfolgen - Authentifizierung erfolgt durch Bürgerkarte, Handy- Signatur oder USP - -Meldung und nicht-elektronische Meldung bei manuellen Dateien und bei längerem technischen Ausfall der Internetanwendung möglich - Details sind in der Verordnung des BKA nach § 16 Abs. 3 geregelt (DSG 2000 § 19 Abs. 3a) - Erklärung des Auftraggebers ob es sich um vorabkontrollpflichtige Datenanwendung handelt Geänderte Bestimmungen (DSG-Novelle 2010) § 17 Abs. 1a (neu): “(1a) Die Meldung ist in elektronischer Form im Wege der vom Bundeskanzler bereit zu stellenden Internetanwendung einzubringen. Die Identifizierung und Authentifizierung kann insbesondere durch die Bürgerkarte (§ 2 Z 10 des E-Government-Gesetzes, BGBl. I Nr. 10/2004) erfolgen. Nähere Bestimmungen über die Identifizierung und Authentifizierung sind in die gemäß § 16 Abs. 3 zu erlassende Verordnung aufzunehmen. Eine Meldung in Form von oder in nicht-elektronischer Form ist für manuelle Dateien sowie bei einem längeren technischen Ausfall der Internetanwendung zulässig.” § 19 Abs. 1 Z 3a (neu): “3a. die Erklärung, ob die Datenanwendung einen oder mehrere der in § 18 Abs. 2 Z 1 bis 4 oder § 50c Abs. 1 zweiter Satz genannten Tatbestände für die Vorabkontrollpflicht erfüllt, und” ARGE DATEN

59 Registrierungsverfahren II
DSG Registrierung Registrierungsverfahren II (DSG 2000 § 19 Abs. 2) - Möglichkeit der Meldung befristeter oder durch bestimmte Bedingungen/Auflagen beschränkte Datenanwendungen [etwa auch für reinen Testbetrieb] - Auflagen, Bedingungen und Befristungen müssen jedoch ausreichend bestimmt sein Die Prüf- und Verbesserungsbestimmungen §§ DSG wurden neu formuliert, § 22a (Überprüfungsverfahren) ist völlig neu. Geänderte Bestimmungen (DSG-Novelle 2010) Die bisherigen Abs. 2 und 3 des § 19 werden zu Abs. 3 und 4. Abs. 2 wird in § 19 eingefügt (neu): “(2) Der Auftrageber kann bei Einbringung der Meldung oder danach bis zum Abschluss des Registrierungsverfahrens zusagen, dass er sich beim Betrieb der Datenanwendung bestimmten Auflagen oder Bedingungen unterwerfen oder die Datenanwendung nur befristet betreiben wird. Eine derartige Zusage wird für den Auftraggeber mit der Registrierung durch die Datenschutzkommission rechtsverbindlich. Eine Registrierung darf nur erfolgen, wenn die zugesagte Auflage, Bedingung oder Befristung derart bestimmt ist, dass sie auch von der Datenschutzkommission nach § 21 Abs. 2 ausgesprochen werden könnte.” ARGE DATEN

60 Registrierungsverfahren III
DSG Registrierung Registrierungsverfahren III (DSG 2000 § 21 "Registrierung") Eintragung im Datenverarbeitungsregister, wenn - Plausibilitätsprüfung fehlerfrei oder - Prüfung auf Mangelhaftigkeit fehlerfrei oder - nach Einlangen einer auf Mangelhaftigkeit zu prüfenden Meldung zwei Monate vergangen sind oder - aufgetragene Verbesserungen vorgenommen wurden Es können bei vorabkontrollpflichtigen Anwendungen Auflagen, Bedingungen oder Befristungen ausgesprochen werden Auftraggeber ist von Registrierung geeignet zu verständigen Geänderte Bestimmungen (DSG-Novelle 2010) § 21 (geändert): Registrierung § 21. (1) Meldungen gemäß § 19 sind in das Datenverarbeitungsregister einzutragen, wenn 1. das Prüfungsverfahren nach § 20 Abs. 1 keinen Fehler ergeben hat oder 2. das Prüfungsverfahren nach § 20 Abs. 2 und 3 keine Mangelhaftigkeit der Meldung ergeben hat oder 3. nach Einlangen einer auf Mangelhaftigkeit zu prüfenden Meldung bei der Datenschutzkommission zwei Monate verstrichen sind, ohne dass ein Verbesserungsauftrag gemäß § 20 Abs. 4 erteilt wurde oder 4. der Auftraggeber die aufgetragenen Verbesserungen (§ 20 Abs. 2 und 4) vorgenommen hat. Die in der Meldung enthaltenen Angaben über Datensicherheitsmaßnahmen sind im Register nicht ersichtlich zu machen. (2) Bei Datenanwendungen, die gemäß § 18 der Vorabkontrolle unterliegen, können auf Grund der Ergebnisse des Prüfungsverfahrens dem Auftraggeber Auflagen, Bedingungen oder Befristungen für die Vornahme der Datenanwendung durch Bescheid erteilt werden, soweit dies zur Wahrung der durch dieses Bundesgesetz geschützten Interessen der Betroffenen notwendig ist. (3) Der Auftraggeber ist von der Durchführung und vom Inhalt der Registrierung in geeigneter Weise zu verständigen. (4) Jedem Auftraggeber ist bei der erstmaligen Registrierung eine Registernummer zuzuteilen. (5) Hat die automationsunterstützte Prüfung nach § 20 Abs. 1 keine Fehlerhaftigkeit der Meldung ergeben, so ist in die Registrierung ein Vermerk aufzunehmen, dass der Meldungsinhalt nur automationsunterstützt geprüft wurde. ARGE DATEN

61 Registrierungsverfahren IV
DSG Registrierung Registrierungsverfahren IV (DSG 2000 § 22 "Richtigstellung und Rechtsnachfolge") - Änderungen/Streichungen von Amts wegen oder durch Antrag des Auftraggebers möglich - Änderungen sind sieben Jahre ersichtlich zu machen - Einträge sind zu streichen, wenn Rechtsgrundlage fehlt, Befristungen abgelaufen sind oder eine Datenanwendung nicht mehr benötigt wird - amtswegige Änderungen und Streichungen sind mit Mandatsbescheid zu verfügen - Rechtsnachfolger kann einzelne oder alle Datenanwendungen übernehmen, kann auch DVR-Nummer übernehmen [Ausgliederungen, Konkursverfahren, ...] Geänderte Bestimmungen (DSG-Novelle 2010) § 22 (geändert): Richtigstellung des Registers und Rechtsnachfolge § 22. (1) Streichungen aus dem Register und sonstige Änderungen des Registers sind auf Grund einer Änderungsmeldung des registrierten Auftraggebers oder von Amts wegen in den Fällen des Abs. 2, des § 22a Abs. 2 und des § 30 Abs. 6a vorzunehmen. Derartige Änderungen sind für die Dauer von sieben Jahren ersichtlich zu machen. (2) Gelangen der Datenschutzkommission aus amtlichen Verlautbarungen Änderungen in der Bezeichnung oder der Anschrift des Auftraggebers zur Kenntnis, so sind die Eintragungen von Amts wegen zu berichtigen. Ergibt sich aus einer amtlichen Verlautbarung der Wegfall der Rechtsgrundlage des Auftraggebers, ist dieser von Amts wegen aus dem Register zu streichen. Außerdem ist eine registrierte Datenanwendung zu streichen, wenn eine Befristung des Betriebes (§ 19 Abs. 2, § 21 Abs. 2) abgelaufen ist oder der Datenschutzkommission zur Kenntnis gelangt, dass die Datenanwendung dauerhaft nicht mehr betrieben wird. (3) Berichtigungen oder Streichungen nach Abs. 2 sind ohne weiteres Ermittlungsverfahren durch Mandatsbescheid (§ 38) zu verfügen. (4) Der Rechtsnachfolger eines registrierten Auftraggebers kann einzelne oder alle registrierten Meldungen des Rechtsvorgängers übernehmen, wenn er innerhalb von sechs Monaten nach Wirksamkeit der Rechtsnachfolge eine entsprechend glaubhaft gemachte Erklärung gegenüber der Datenschutzkommission abgibt. Dem Rechtsnachfolger kann auf Antrag auch die Registernummer des Rechtsvorgängers übertragen werden, wenn der Rechtsvorgänger jegliche Verarbeitung personenbezogener Daten in Auftraggebereigenschaft eingestellt hat.” ARGE DATEN

62 DSG 2000 - Internationaler Datenverkehr
Internationaler Datenverkehr (§§ 12, 13, 55) Genehmigungsfreiheit (EU: "Datenexport") - innergemeinschaftlicher Datenverkehr - gleichwertige Datenschutzgesetzgebung - im Inland zulässigerweise veröffentlichte Daten - notwendige Grundlage zur Vertragserfüllung mit Betroffenen - persönliche oder publizistische DA‘s - mit Zustimmung des Betroffenen - wenn Datenverkehr in Standard- und Musteranwendungen vorgesehen - bei Akten und Dokumenten (Entscheidung DSK K /13- DSK/00 "gegenseitige Information zu Waffenexporten") - Theoretisch: bei Verwendung der EU-Standardvertragsklauseln (jedoch fehlt Verordnung des Bundeskanzlers!) Genehmigungsfrei im innergemeinschaftlichen Datenverkehr (EU-weit), sofern die Datenverarbeitungen dem Recht der Europäischen Gemeinschaft unterliegen (Abs. 1) (gilt auch für Daten juristischer/sonstiger Personen)‏ in Ländern mit gleichwertigen Datenschutzgesetzgebungen (Abs. 2)‏ im Inland zulässigerweise veröffentlichte Daten (Abs. 3 Z 1)‏ aus persönlichen oder publizistischen Datenanwendungen (Abs. 3 Z 4)‏ aufgrund der Zustimmung des Betroffenen (Abs. 3 Z 5)‏ als notwendige Grundlage zur Erfüllung eines mit dem Betroffenen abgeschlossenen Vertrages (Abs. 3 Z 6)‏ Weitere Gründe für einen genehmigungsfreien Datenverkehr indirekt personenbezogene Daten (Abs. 3 Z 2)‏ innerstaatliche Vorschriften verlangen Datenverkehr (Abs. 3 Z 3)‏ als notwendige Grundlage zur Erfüllung eines im Interesse des Betroffenen abgeschlossenen Vertrages (Abs. 3 Z 6)‏ notwendig zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gegenüber ausländischen Behörden (Abs. 3 Z 7)‏ bei Standard- und Musterverordnungen (Abs. 3 Z 8)‏ Datenverkehr mit österreichischen Dienststellen im Ausland (Abs. 3 Z 9)‏ wenn keine Meldepflicht gem. § 17 Abs. 3 ("öffentliche Sicherheit") besteht (Abs. 3 Z 10)‏ zur Wahrung eines wichtigen öffentlichen Interesses (Abs. 4 Z 1)‏ zur dringlichen Wahrung eines lebenswichtigen Interesses einer Person (Abs. 4 Z 2)‏ ARGE DATEN

63 Genehmigungsfrei (weil gleichwertig)
DSG Internationaler Datenverkehr Genehmigungsfrei (weil gleichwertig) - gleichwertig auf Grund EWR-Verträge Island, Norwegen, Liechtenstein - gleichwertig gem. Kommissionsentscheidung Schweiz ( ), Kanada ( ), Argentinien ( ), Israel ( ), Uruguay ( ), Neuseeland ( ) + Andorra, Färöer Islands, Guernsey, Isle of Man, Jersey - USA (nur bereichs- oder unternehmensbezogen, etwa wenn SafeHarbour-Vereinbarung beigetreten, SWIFT- oder PassengerNameRecord-Abkommen) bei allen anderen Staaten hat sich der Betroffene bzw. der Auftraggeber um den Datenschutz zu kümmern Aktueller Stand der gleichwertigen Länder: transfers/adequacy/index_en.htm (STAND: 3/2015)‏ Suchbegriffe: "Commission decisions adequacy protection personal data third countries" auf EG-Standardvertragsklauseln: Version 1 (2001): ftp://ftp.freenet.at/privacy/ds-eu/eg-standardvertragsklauseln-1.pdf Version 2 (2004): ftp://ftp.freenet.at/privacy/eu-ds/eu-standardvertragsklauseln-2.pdf Wichtige Vertragselemente der Standardvertragsklauseln Auswahlhaftung des Datenexporteurs: muss sich von der Fähigkeit des Importeurs bei der Einhaltung der Datenschutzbestimmungen überzeugen bei Datenschutzverletzungen: zuständig ist das Gericht, in dem Land in dem der Datenexporteur seinen Sitz hat Durchsetzungfrist bei Datenschutzrechten: ein Monat Einsetzbarkeit der Standardvertragsklauseln in Österreich nur beschränkt gegeben: Genehmigung durch DSB trotzdem erforderlich. ARGE DATEN

64 Internationaler Datenverkehr II (§§ 12, 13, 55) Genehmigungspflicht
DSG Internationaler Datenverkehr Internationaler Datenverkehr II (§§ 12, 13, 55) Genehmigungspflicht in allen anderen Fällen besteht Genehmigungspflicht (§ 13) die Genehmigung hat die DSB zu erteilen: - die Feststellungen der Europäischen Kommission sind zu beachten (Abs. 2) - im konkreten Genehmigungsfall besteht ein angemessenes Schutzniveau (Abs. 2 Z 1) [z.B. Verwendung von EU Mustervereinbarungen] - Antragsteller macht den Schutz der Geheimhaltungsinteressen des Betroffenen glaubhaft (Abs. 2 Z 2) - Novelle 2010: Möglichkeit einseitiger verbindlicher Zusagen des Auftraggebers für internationalen Datenverkehr (Abs. 2 Z 2) - seit sind vor erteilte Genehmigungen zu erneuern (sofern weiterhin Genehmigung erforderlich) - ARGE DATEN

65 Datenschutzaufsicht (§§ 35-40)
DSG Kontrollbestimmungen Datenschutzaufsicht (§§ 35-40) bis : Datenschutzkommission (DSK) - Oberste Kontrollbehörde [jedoch nicht für alle Bereiche] - als "unabhängige" Instanz eingerichtet (Form eines Tribunals) - 6 Mitglieder + 6 Ersatzmitglieder - Geschäftsapparat: 20 Personen, davon 11 A-Beamte (lt. DSK-Bericht 2009), EU-Schnitt: 45 Personen! (Verteilung: 11,5 MA für DVR, 8,5 MA für alles andere) - EuGH hat für Österreich mangelnde Unabhängigkeit der DSK festgestellt, in DSG-Novelle 2013 saniert ab : Datenschutzbehörde (DSB) - Kontrollbehörde erster Instanz (Verwaltungseinrichtung) - Beschwerde- und Aufsichtsstelle (zweite Instanz): Teil des "Bundesverwaltungsgericht" Zusammensetzung DSK bis (§ 36 DSG 2000) 1 richterliches Mitglied (Vorsitz, Vorschlag des OGH), 2 Ländervertreter, 1 Bundesvertreter, 1 Vertreter der Wirtschaftskammer, 1 Vertreter der Arbeiterkammer + je ein Ersatzmitglied Personelle Zusammensetzung Mitglieder letzter Stand 12/2013: * Dr. Anton SPENLING, Vorsitzender (richterliches Mitglied) * Dr. Eva SOUHRADA-KIRCHMAYER, geschäftsführendes Mitglied (seit ) * Mag. Helmut HUTTERER (Vertretung Land) * Dr. Claudia ROSENMAYR-KLEMENZ (Vertretung WKO) * Dr. Klaus Heissenberger (Vertretung Land) * Mag. Daniela ZIMMER (Vertretung Arbeiterkammer) Besetzung des Büros der Datenschutzkommission im Europa-Vergleich unterdurchschnittlich (Position 27 von 31 untersuchten Ländern, DSK-Bericht 2007), nicht einmal 50% der durchschnittlichen Planposten wird erreicht (Ö 20 Planposten, EU- Schnitt: 45 Planposten) Seit gibt es keine Datenschutzkommission mehr! ARGE DATEN

66 Möglichkeiten der Kontrolle durch DSB:
DSG Kontrollbefugnisse Möglichkeiten der Kontrolle durch DSB: (a) vor Aufnahme einer Datenanwendung (Vorabkontrolle, § 18) (b) bei begründetem Verdacht einer Verletzung der Datenschutz-Bestimmungen ("Ombudsverfahren" § 30) (c) Im Zuge von Beschwerdeverfahren Betroffener (§ 31, 31a) (d) DSB kann jederzeit Meldepflicht prüfen (DSG Novelle 2010: § 22a) [Gesetzgeber hofft laut EB zu Novelle 2010 nunmehr praktikable Kontrollmöglichkeiten für DSB geschaffen zu haben] - ARGE DATEN

67 Besondere Fragestellungen
Ausgangslage Wiener Sozialdienste Gesundheitsdaten (sensible Daten) Auskunftsersuchen Klientendaten Empfehlungen - ARGE DATEN

68 Organisation Wiener Sozialdienste
Ausgangslage Wiener Sozialdienste Organisation Wiener Sozialdienste Wiener Sozialdienste (Verein) ZVR: DVR: Tätigkeit und Rechtsgrundlage der Datenverwendung durch Statuten geregelt Wiener Sozialdienste Förderung & Begleitung GmbH FN: m DVR: Tätigkeit und Rechtsgrundlage Datenverwendung durch Gewerbeordnung (sonst. Ambulat., Tageskliniken), Gesellschaftervertrag, branchenübliches Verhalten geregelt Wiener Sozialdienste Alten- und Pflegedienste GmbH FN: p DVR: Tätigkeit und Rechtsgrundlage Datenverwendung durch Gewerbeordnung (???), Gesellschafter-vertrag, branchenübliches Verhalten geregelt Drei rechtlich unabhängig zu betrachtende Einrichtungen, es gibt keine "Konzern"- oder "Gruppen"-Erleichterungen Datenanwendungen (Stand 06/2015) Wiener Sozialdienste (Verein) /011 Klientenkartei des Instituts für Ehe- und Familientherapie Registriert /012 ZIVILDIENER VERWALTUNG Registriert /015 Klientenkartei der Ergotherapie Registriert /017 HR360 Elektronisches Personal-, Fortbildungsverwaltungs- und BewerberInnensystem Registriert Wiener Sozialdienste Förderung & Begleitung GmbH /001 Klientendatei der Mobilen Frühförderung Registriert /002 Klientendatei der Basalen Förderklassen Registriert /003 Klientendatei des Zentrum für Entwicklungsförderung Registriert /004 Klientendaten Bereich Wohnen Registriert /005 Klientendatei Bereich HandWerk Registriert Wiener Sozialdienste Alten- und Pflegedienste GmbH /001 MOCCA: Mobile Case und Care Management Registriert /002 UPI Elektronisches Planungssystem für die Planung und Durchführung der mobilen Hauskrankenpflgege und Betreuung bei den mobilen sozialen Diensten Registriert /003 Klientenverwaltung Geriatrisches Tageszentrum Anton Benya Registriert Im Falle gemeinsamer Nutzung von Klienten-, Mitarbeiter- oder Lieferantendaten liegt ein (meldepflichtiger) Informationsverbund vor ARGE DATEN

69 Verwendung von Gesundheitsdaten
Datenschutzkonforme Übermittlung von Patientendaten und/oder Mitarbeiterdaten? (1) Patientendaten / Mitarbeiterdaten sind getrennt zu behandeln (2) Prüfen welche Bestimmungen anzuwenden sind Patientendaten (a) Patientendaten  Gesundheitsdaten  sensible Daten gemäß § 4 Z 2 DSG 2000  Verarbeitungsbeschränkung! (b) liegt überhaupt Übermittlung vor?  weitere Möglichkeiten: "Weitergabe", "Überlassung", "Mitteilung an Betroffenen", ... (c) Welche Rechtsgrundlage hat Übermittlung?  Zustimmung des Betroffenen, medizinischer Notfall, gesetzliche Bestimmungen, (Behandlungs-)Vertrag, ... (d) Wer ist Auftraggeber der Gesundheitsdaten-Anwendung? Wer ist Empfänger der Gesundheitsdaten? Variante 1: Auftraggeber und Empfänger sind GDA's Variante 2: Auftraggeber ist kein GDA - ARGE DATEN

70 Auftraggeber ist GDA ARGE DATEN Verwendung von Gesundheitsdaten
- Wer ist GDA? in GTelG 2012 § 2 Z 2 iV GTelV 2013 sehr weitreichend geregelt: Auftraggeber oder Dienstleister gemäß § 4 DSG 2000, die regelmäßig Gesundheitsdaten in elektronischer Form zu folgenden Zwecken verwenden: a) medizinische Behandlung oder Versorgung oder b) pflegerische Betreuung oder c) Verrechnung von Gesundheitsdienstleistungen oder d) Versicherung von Gesundheitsrisiken oder e) Wahrnehmung von Patient/inn/en/rechten - elektronische Weitergabe unterliegt GTelG 2012 §§ 3-8 Weitergabe, unabhängig ob Übermittlung oder Überlassung! - ARGE DATEN

71 Verwendung von Gesundheitsdaten
Abschnitt 2 GTelG 2012 "Datensicherheit bei der elektronischen Weitergabe von Gesundheitsdaten" - Verwendung muss Rollenkonzept entsprechen (§ 3 Abs. 3) der Auftraggeber muss in einer definierten Rolle tätig sein - Weitergabe muss Grundsätzen entsprechen (§ 3 Abs. 4): 1. Weitergabe zulässig nach § 9 DSG  Identität (§ 4) des Betroffenen muss bestimmt sein 3. Identität (§ 4) der an Weitergabe beteiligten GDAs muss nachgewiesen sein 4. Rollen (§ 5) der an Weitergabe beteiligten GDAs muss nachgewiesen sein 5. Vertraulichkeit (§ 6) der Weitergabe ist gewährleistet 6. Integrität (§ 7) der weitergegebenen Gesundheitsdaten ist gewährleistet Bundesgesetz betreffend Datensicherheitsmaßnahmen bei der Verwendung elektronischer Gesundheitsdaten (Gesundheitstelematikgesetz 2012 – GTelG 2012) StF: BGBl. I Nr. 111/2012 Grundsätze der Datensicherheit § 3. (1) Dieser Abschnitt gilt für alle Formen der elektronischen Weitergabe von Gesundheitsdaten (gerichtete und ungerichtete Kommunikation) durch Gesundheitsdiensteanbieter (§ 2 Z 2). (2) Abs. 4 Z 3 bis 6 sowie die §§ 5 bis 7 sind auf die elektronische Weitergabe von Gesundheitsdaten innerhalb eines Gesundheitsdiensteanbieters nicht anzuwenden, wenn durch effektive und dem Stand der Technik entsprechende Datensicherheits- und Kontrollmaßnahmen unbefugte Dritte vom Zugriff auf Gesundheitsdaten und somit deren Kenntnisnahme ausgeschlossen werden können. (3) Die Zulässigkeit Gesundheitsdaten zu verwenden ist mittels Rollen abzubilden. Gesundheitsdiensteanbieter haben technisch zu gewährleisten, dass es keine Verwendung von Gesundheitsdaten außerhalb der zulässigen Rollen gibt. (4) Gesundheitsdiensteanbieter dürfen Gesundheitsdaten nur dann weitergeben, wenn 1. die Weitergabe zu einem in § 9 DSG 2000 angeführten Zweck zulässig ist und 2. die Identität (§ 4) jener Personen, deren Gesundheitsdaten weitergegeben werden sollen, nachgewiesen ist und 3. die Identität (§ 4) der an der Weitergabe beteiligten Gesundheitsdiensteanbieter nachgewiesen ist und 4. die Rollen (§ 5) der an der Weitergabe beteiligten Gesundheitsdiensteanbieter nachgewiesen sind und 5. die Vertraulichkeit (§ 6) der weitergegebenen Gesundheitsdaten gewährleistet ist sowie 6. die Integrität (§ 7) der weitergegebenen Gesundheitsdaten gewährleistet ist. ARGE DATEN

72 Die Indices und Verzeichnisse sind derzeit im Aufbau!
Verwendung von Gesundheitsdaten Identitätsprüfung (§ 4 GTelG 2012) - Patienten: mittels Patientenindex (enthält u.a. bPK-GH) - GDA: 1. Verwendung elektronischer Signaturen, die auf qualifizierte Zertifikate rückführbar sein müssen, sowie bereichsspezifische Personenkennzeichen (§ 9 E-GovG) oder 2. elektronischer Abgleich mit dem eHealth-Verzeichnisdienst (§ 9) oder 3. elektronischer Abgleich mit dem GDA-Index (§ 19) Die Indices und Verzeichnisse sind derzeit im Aufbau! Identität § 4. (1) Bei der Weitergabe von Gesundheitsdaten ist die Identität (§ 2 Z 1 des E‑Government-Gesetzes [E-GovG], BGBl. I Nr. 10/2004) jener Personen, deren Gesundheitsdaten weitergegeben werden sollen, festzustellen. (2) Bei ungerichteter Kommunikation haben darüber hinaus Nachweis und Prüfung der eindeutigen Identität (§ 2 Z 2 E-GovG) von Personen, deren Gesundheitsdaten weitergegeben werden sollen, zu erfolgen. (3) Der Patientenindex gemäß § 18 kann zur Überprüfung der eindeutigen Identität (§ 2 Z 2 E-GovG) von Personen, deren Gesundheitsdaten weitergegeben werden sollen, auch außerhalb von ELGA (4. Abschnitt) verwendet werden. (4) Nachweis und Prüfung der eindeutigen Identität (§ 2 Z 2 E-GovG) von Gesundheitsdiensteanbietern haben 1. durch Verwendung elektronischer Signaturen, die auf qualifizierte Zertifikate rückführbar sein müssen, sowie bereichsspezifische Personenkennzeichen (§ 9 E-GovG) oder 2. durch elektronischen Abgleich mit dem eHealth-Verzeichnisdienst (§ 9) oder 3. durch elektronischen Abgleich mit dem Gesundheitsdiensteanbieterindex (§ 19) zu erfolgen. (5) Aus Gründen der Patient/inn/en/sicherheit ist die eindeutige Identität 1. von Personen, deren Gesundheitsdaten weitergegeben werden sollen, sowie 2. von Gesundheitsdiensteanbietern, mit Hilfe der eindeutigen elektronischen Kennzeichen gemäß § 8 E-GovG zu speichern. (6) Zur Erleichterung der Identifikation im Tätigkeitsbereich Gesundheit (§ 9 Abs. 1 E-GovG) sind die §§ 14 und 15 E-GovG über die Verwendung der Bürgerkartenfunktion im privaten Bereich nicht anzuwenden. Stattdessen sind die Bestimmungen des E-GovG, die für Auftraggeber des öffentlichen Bereichs gelten, wie insbesondere die §§ 8 bis 13 E-GovG, sinngemäß anzuwenden. Dadurch steht den Gesundheitsdiensteanbietern insbesondere das Recht zu, die Ausstattung ihrer Datenanwendungen mit bPK gemäß § 10 Abs. 2 E-GovG von der Stammzahlenregisterbehörde zu verlangen. ARGE DATEN

73 Ansonsten keine Vorgaben zur Speicherung der Gesundheitsdaten
Verwendung von Gesundheitsdaten Vertraulichkeit (§ 6 GTelG 2012) Abs. 1 Z 1 geschlossene ("gesicherte") Netze: - nach Stand der Technik abgesichert - kryptographische oder bauliche Absicherung - Authentifizierung der Benutzer oder Abs. 1 Z 2 sichere Verschlüsselung: - vollständige Verschlüsselung der Gesundheitsdaten - geeignete kryptographische Algorithmen Cloud-Computing ausdrücklich erlaubt, wenn Speicherung verschlüsselt erfolgt (iS Abs. 1 Z 2) Ansonsten keine Vorgaben zur Speicherung der Gesundheitsdaten Vertraulichkeit § 6. (1) Die Vertraulichkeit bei der elektronischen Weitergabe von Gesundheitsdaten ist dadurch sicherzustellen, dass entweder 1. die elektronische Weitergabe von Gesundheitsdaten über Netzwerke durchgeführt wird, die entsprechend dem Stand der Technik in der Netzwerksicherheit gegenüber unbefugten Zugriffen abgesichert sind, indem sie zumindest a) die Absicherung des Datenverkehrs durch kryptographische oder bauliche Maßnahmen, b) den Netzzugang ausschließlich für eine geschlossene oder abgrenzbare Benutzer/innen/gruppe sowie c) die Authentifizierung der Benutzer/innen vorsehen, oder 2. Protokolle und Verfahren verwendet werden, a) die die vollständige Verschlüsselung der Gesundheitsdaten bewirken und b) deren kryptographische Algorithmen in der Verordnung gemäß § 28 Abs. 1 Z 2 angeführt sind. (2) Bei der elektronischen Weitergabe von Gesundheitsdaten gemäß Abs. 1 Z 2 dürfen die allenfalls von der Verschlüsselung ausgenommenen Informationen weder Hinweise auf die Betroffenen (§ 4 Z 3 DSG 2000), deren Gesundheitsdaten weitergegeben werden, noch auf allfällige Authentifizierungsdaten enthalten. (3) Es ist sicherzustellen, dass die Speicherung von Gesundheitsdaten in Datenspeichern, die einem Auftraggeber bedarfsorientiert von einem Betreiber bereitgestellt werden („Cloud Computing“), nur dann erfolgt, wenn die Gesundheitsdaten mit einem dem aktuellen Stand der Technik entsprechenden Verfahren (Abs. 1 Z 2) verschlüsselt worden sind. ARGE DATEN

74 Datensicherheit (§ 8 GTelG 2012)
Verwendung von Gesundheitsdaten Integrität (§ 7 GTelG 2012) Abs. 1 Signatur erforderlich - Verwendung fortgeschrittener oder qualifizierter elektronischer Signaturen gemäß § 2 Z 3 SigG Jedoch: Keine Anwendung, wenn Austausch über Netze erfolgt, die gemäß § 6 Abs. 1 Z 1 ("gesicherte Netze") abgesichert sind und "geschlossen" sind Datensicherheit (§ 8 GTelG 2012) Abs. 1 Verweis auf § 14 DSG 2000 Jedoch: Rechtsträger der Krankenanstalten, Berufs-Kammern, Hauptverband können für ihre Bereiche Standardverfahren vorgeben Integrität § 7. (1) Nachweis und Prüfung der Integrität elektronischer Gesundheitsdaten haben durch die Verwendung fortgeschrittener oder qualifizierter elektronischer Signaturen gemäß § 2 Z 3 des Signaturgesetzes (SigG), BGBl. I Nr. 190/1999, zu erfolgen. (2) Abs. 1 ist nicht auf die elektronische Weitergabe von Gesundheitsdaten zwischen Gesundheitsdiensteanbietern anzuwenden, wenn hiezu ein entsprechend dem Stand der Technik abgesichertes Netzwerk gemäß § 6 Abs. 1 Z 1 verwendet wird und der Zugang zu diesem Netzwerk ausschließlich für im Vorhinein bekannte Gesundheitsdiensteanbietern möglich ist. IT-Sicherheitskonzept § 8. (1) Gesundheitsdiensteanbieter haben auf Basis eines IT-Sicherheitskonzeptes alle gemäß § 14 DSG 2000 und den Bestimmungen dieses Bundesgesetzes getroffenen Datensicherheitsmaßnahmen zu dokumentieren. Aus dieser Dokumentation muss hervorgehen, dass sowohl der Zugriff als auch die Weitergabe der Daten ordnungsgemäß erfolgt und die Daten Unbefugten nicht zugänglich sind. (2) Die Rechtsträger von Krankenanstalten sowie die Aufsichts- oder Kontrollbehörden von Einrichtungen der Pflege, die Österreichische Ärztekammer, die Österreichische Zahnärztekammer, das Hebammengremium, die Österreichische Apothekerkammer, die Wirtschaftskammer Österreich sowie der Hauptverband können standardisierte Formulare und Ausfüllhilfen für die Dokumentation gemäß Abs. 1 zur Unterstützung für jene Gesundheitsdiensteanbieter zur Verfügung stellen, für die sie als Registrierungsstelle gemäß § 2 Z 4 fungieren. (3) Die Dokumentation gemäß Abs. 1 ist auf Verlangen des Bundesministers für Gesundheit diesem zu übermitteln. ARGE DATEN

75 soweit die Gesetzestheorie
Verwendung von Gesundheitsdaten soweit die Gesetzestheorie tatsächlich (seit 2012!!) umfassende Ausnahme- und Übergangsbestimmungen, deren Ende nicht absehbar sind § 27 Abs. 10 und 12 setzen de facto die Sicherheitsvorgaben dauerhaft außer Kraft Identitätsprüfung kann im "Freistil" erfolgen: Abs. 10 Z 1. persönlichen Kontakt oder Z 2. telefonischen Kontakt oder Z 3. Vertragsbestimmungen oder - Übermittlung von sensiblen Gesundheitsdaten ist auch per Fax erlaubt (Abs. 12) - die als "Ausnahme" formulierte Übermittlungsmöglichkeit ist heute weiterhin die Standardübermittlung gegenüber Behörden und SV-Träger Übergangsbestimmungen §  (10) Sind Nachweis oder Prüfung von Identität, Rollen oder Integrität nach den Bestimmungen des 2. Abschnitts (gerichtete und ungerichtete Kommunikation) insbesondere mangels vorhandener technischer Infrastruktur nicht zumutbar, dürfen Gesundheitsdaten nur weitergegeben werden, wenn zumindest die Identitäten und maßgeblichen Rollen der an der Weitergabe beteiligten Gesundheitsdiensteanbieter gegenseitig durch 1. persönlichen Kontakt oder 2. telefonischen Kontakt oder 3. Vertragsbestimmungen oder 4. Abfrage elektronischer Verzeichnisse a) der Österreichischen Ärztekammer oder b) der Österreichischen Zahnärztekammer oder c) des Österreichischen Hebammengremiums oder d) der Österreichischen Apothekerkammer oder e) des Hauptverbands oder f) des Bundesministeriums für Gesundheit bestätigt sind. ... (12) Die Weitergabe von Gesundheitsdaten darf unter den Voraussetzungen des Abs. 10 Z 1 bis 3 ausnahmsweise auch per Fax erfolgen, wenn 1. die Faxanschlüsse (einschließlich Ausdruckmöglichkeiten zu Faxanschlüssen, die in EDV-Anlagen installiert sind) vor unbefugtem Zugang und Gebrauch geschützt sind, 2. die Rufnummern, insbesondere die verspeicherten Rufnummern, regelmäßig, insbesondere nach Veränderungen der technischen Einrichtung sowie nach der Neuinstallation von Faxgeräten nachweislich auf ihre Aktualität geprüft werden, 3. automatische Weiterleitungen, außer an die jeweiligen Gesundheitsdiensteanbieter selbst, deaktiviert sind, 4. die vom Gerät unterstützten Sicherheitsmechanismen genützt werden und 5. allenfalls verfügbare Fernwartungsfunktionen nur für die vereinbarte Dauer der Fernwartung aktiviert sind. ARGE DATEN

76 Patienten werden in Ambulatorien aufgerufen
Verwendung von Gesundheitsdaten Patienten werden in Ambulatorien aufgerufen - Handelt es sich um Verwenden von Daten? Information, dass jemand in Behandlung ist, ist grundsätzlich schutzwürdige Information iS § 1 DSG 2000 "Verwenden" iS § 4 Z 8 DSG 2000 unterscheidet nicht zwischen technischen Verarbeitungsformen - Ist die Vorgangsweise zulässig? es besteht Geheimhaltungsanspruch nach § 1 DSG 2000 ebenso wie: Aushang der Krankengeschichte an Bett, Aushang Prüfungsergebnisse auf Uni, ... - (praktikable) Lösungsmöglichkeiten? Hinweis auf Aufruf mit Namen und Möglichkeit Nummer / Pseudonym zu verlangen - ARGE DATEN

77 Haftung bei fehlendem Zugriffsschutz
Sicherheitsmaßnahmen - Haftung Haftung bei fehlendem Zugriffsschutz EGMR Entscheidung I. gegen Finnland (20511/03) Sachverhalt: Eine finnische Krankenschwester lässt sich im Spital in dem sie arbeitet wegen einer HIV-Infektion behandeln. Kurz darauf wird sie "gemobbt". Der Beweis, dass Personalführung rechtswidrig auf die Patientendaten zugegriffen hat misslingt. Entscheidung des EGMR: Es liegt trotzdem eine Verletzung des Grundrechts auf Privatsphäre vor (Art. 8 EMRK), da unzureichendes Sicherheitsmaßnahmen gesetzt waren. Konsequenz: Aus der Schutzverpflichtung erwächst die positive Pflicht, Personendaten effektiv und praktisch vor der Möglichkeit eines unautorisierten Zugriffs zu schützen; es reicht nicht aus, wenn dem Betroffenen eine Beschwerdemöglichkeit bei Datenmissbrauch gewährt wird CASE OF I v. FINLAND (Application no /03): JUDGMENT STRASBOURG 17 July 2008 ... 37. The Court observes that it has not been contended before it that there was any deliberate unauthorised disclosure of the applicant’s medical data such as to constitute an interference with her right to respect for her private life. Nor has the applicant challenged the fact of compilation and storage of her medical data. She complains rather that there was a failure on the part of the hospital to guarantee the security of her data against unauthorised access, or, in Convention terms, a breach of the State’s positive obligation to secure respect for her private life by means of a system of data protection rules and safeguards. The Court will examine the case on that basis, having regard in particular to the fact that in the domestic proceedings the onus was on the applicant to prove the truth of her assertion. 38. The protection of personal data, in particular medical data, is of fundamental importance to a person’s enjoyment of his or her right to respect for private and family life as guaranteed by Article 8 of the Convention. Respecting the confidentiality of health data is a vital principle in the legal systems of all the Contracting Parties to the Convention. It is crucial not only to respect the sense of privacy of a patient but also to preserve his or her confidence in the medical profession and in the health services in general. The above considerations are especially valid as regards protection of the confidentiality of information about a person’s HIV infection, given the sensitive issues surrounding this disease. The domestic law must afford appropriate safeguards to prevent any such communication or disclosure of personal health data as may be inconsistent with the guarantees in Article 8 of the Convention (see Z v. Finland, judgment of 25 February 1997, Reports of Judgments and Decisions 1997‑I, §§ 95-96). ARGE DATEN

78 OGH verweist ausdrücklich auf 9 Ob 126/12s (Redaktionsentscheidung)
Sicherheitsmaßnahmen - Haftung Haftung bei fehlendem Zugriffsschutz II OGH Entscheidung 6 Ob 25/13i Sachverhalt: Ein Arzt ließ seinen PC bei Verlassen seines Dienstzimmers ungesichert eingeschalten und ermöglichte das Abrufen der Krankenakte durch andere im Zimmer aufhältige Personen. Entscheidung: Der unauthorisierte Zugriff auf die Patientenakte wird als Störhandlung qualifiziert, die nicht nur der unmittelbare Störer, sondern auch der Arzt, der diese Handlung ermöglichte zu verantworten hat. OGH verweist ausdrücklich auf 9 Ob 126/12s (Redaktionsentscheidung) RS zu OGH Ob 25/13i : Passivlegitimation des Beklagten, der einer anderen Person das Einsehen von Daten ermöglichte, indem er in deren Anwesenheit den Zugang zu einem EDV-System durch Eingabe des Passworts am PC öffnete und sodann das Zimmer verließ, bejaht. aus der OGH-Entscheidung: ... Im vorliegenden Fall ging die Handlung der Ehegattin des Klägers insofern auf den Beklagten zurück, als dieser seinen PC einschaltete, den Password-gesicherten Zugang zu den Krankenakten öffnete und dann das Zimmer verließ, in welchem sich noch die Ehegattin des Klägers aufhielt, die der Beklagte dort allein ließ. Der Beklagte hätte somit die Handlung der Ehegattin des Klägers verhindern können, weshalb an seiner Passivlegitimation kein Zweifel besteht. ... ARGE DATEN ARGE DATEN

79 Datenschutzrechtliche Stellung von Klientendaten
Auskunftsersuchen Klientendaten Datenschutzrechtliche Stellung von Klientendaten - Klientenbeziehungen sind im Grundsatz vertraulich, fallen daher unter die Bestimmungen des DSG 2000 - interne Verwendung von Klientendaten ergibt sich aus der Art der Geschäftsbeziehung (Vertrag), dazu ist keine gesonderte Datenschutzvereinbarung erforderlich, jedoch Informationspflicht zu Auftraggeber und Zweck der Datenverwendung (§ 24 DSG 2000) - Verwendung (inkl. Übermittlung) durch/an Dritte die vertraglich erforderlich ist, ist durch § 8 Abs. 1 Z 4 DSG 2000 geregelt - Veröffentlichung von Klientendaten (auch wenn nur mit Name und Adresse) als Referenz ist ein eigener Zweck (Marketing für eigene Zwecke) und bedarf der Zustimmung des Klienten - sonstige Übermittlungen an Behörden oder Dritte bedürfen - der Zustimmung des Klienten oder - einer vertraglichen Vereinbarung oder - einer gesetzlichen Regelung oder - Daten sind "allgemein verfügbar" - ARGE DATEN ARGE DATEN

80 Datenschutzrechtliche Stellung von Klientendaten II
Auskunftsersuchen Klientendaten Datenschutzrechtliche Stellung von Klientendaten II - selbst wenn Klient "im Telefonbuch steht", ist die Tatsache Klient zu sein, in der Regel nicht allgemein verfügbar - auch die Weitergabe von Klientendaten an Gesellschafter ist eine Übermitlung an Dritte und bedarf einer rechtlichen Grundlage Verpflichtung des Auftraggebers bei Auskunftswünschen - Prüfung der Rechtsgrundlage - Prüfung des Anfragenden (des berechtigten Empfängers) - Prinzip der Minimalität der Auskunft - Sichere Übermittlung der Daten - Werden diese Verpflichtungen verabsäumt besteht Schadenersatzanspruch durch Klienten u.a. § 33 DSG 2000 ARGE DATEN ARGE DATEN

81 Weitergabe an Behörden
Auskunftsersuchen Klientendaten Weitergabe an Behörden - zahlreiche gesetzliche Bestimmungen sehen Weitergabe vor Auswahl allgemeine Auskunftspflichten - ZPO ("Zivilprozessordnung") - StPO ("Strafprozessordnung") - SPG ("Sicherheitspolizeigesetz") - BAO ("Bundesabgabenordnung") - ECG ("E-Commerce Gesetz") - TKG 2003 ("Telekommunikationsgesetz") - UrhG ("Urheberrechtsgesetz") Auswahl gesundheitsbezogene Meldepflichten - Ärztegesetz (§ 54) - Epidemiegesetz 1950 (§ 1) - Geschlechtskrankheitengesetz (§ 4) - Gesundheits- und Krankenpflegegesetz (§ 8) - Suchtmittelgesetz (§ 24a) - ARGE DATEN ARGE DATEN

82 Datenschutz im Sicherheitspolizeigesetz (SPG)
Auskunftsersuchen Klientendaten Datenschutz im Sicherheitspolizeigesetz (SPG) Regelt Tätigkeit als Sicherheitspolizei, Datenerhebung erfolgt im eigenen Ermessen - Regelung der Verarbeitungsvoraussetzungen (§ 53 Abs. 1) - Regelung zu den Ermittlungsstellen (§ 53 Abs ) - Regelung zum Datenabgleich (§ 53 Abs. 2) - allgemeine Regelung zu Datenanwendungen und Umfang der verarbeiteten Daten (§§ 53a, 53b) - Regelung der technischen Datenermittlung (§ 54) - Regelung der Datenübermittlung (§ 56) - Regelung zu bestimmten (zentralen) Datenanwendungen + zentrale Personenevidenz (§§ 57, 58) + Sicherheitsmonitor (§ 58a) + Vollzugsverwaltung (§ 58b) + zentrale Gewaltschutzdatei (§ 58c) + zentrale Analysedatei (§ 58d) + (zentrale) erkennungsdienstliche Evidenz (§§ ) - ARGE DATEN ARGE DATEN

83 Auskunftsersuchen Klientendaten
SPG - Verarbeitungsvoraussetzungen Unter welchen Bedingungen dürfen personenbezogene Daten verwendet werden? - Dokumentation von Amtshandlungen (§§ 13, 13a) - Ermittlung von sachdienlichen Hinweisen im Rahmen der "ersten allgemeinen Hilfeleistungspflicht" (§§ 19, 34, 53 Abs. 1 Z 1) Beschränkungen: u.a. Auskunft kann nicht durch Ausübung von Zwangsgewalt durchgesetzt werden, Gefährdeter lehnt Hilfe ab - § 53 listet zulässige Verarbeitungen auf, u.a. Abwehr krimineller Verbindungen iS § 16 Abs. 1 Z 2 (§ 53 Abs. 1 Z 1) Abwehr gefährlicher Angriffe iS § 16 Abs. 2 (§ 53 Abs. 1 Z 3) Zwecke der Fahnung iS § 24 (§ 53 Abs. 1 Z 5) Aufrechterhaltung der öffentlichen Ordnung bei einem bestimmten Ereignis (§ 53 Abs. 1 Z 6) Beschränkungen: Datenabgleich "Rasterfahndung" iS StPO § 141 ist unzulässig (§ 53 Abs. 2) SPG § 53 Zulässigkeit der Verarbeitung (1) Die Sicherheitsbehörden dürfen personenbezogene Daten ermitteln und weiterverarbeiten 1. für die Erfüllung der ersten allgemeinen Hilfeleistungspflicht (§ 19); 2. für die Abwehr krimineller Verbindungen (§§ 16 Abs. 1 Z 2 und 21); 2a. für die erweiterte Gefahrenerforschung (§ 21 Abs. 3) unter den Voraussetzungen des § 91c Abs. 3; 3. für die Abwehr gefährlicher Angriffe (§§ 16 Abs. 2 und 3 sowie 21 Abs. 2); einschließlich der im Rahmen der Gefahrenabwehr notwendigen Gefahrenerforschung (§ 16 Abs. 4 und § 28a); 4. für die Vorbeugung wahrscheinlicher gefährlicher Angriffe gegen Leben, Gesundheit, Sittlichkeit, Freiheit, Vermögen oder Umwelt (§ 22 Abs. 2 und 3) oder für die Vorbeugung gefährlicher Angriffe mittels Kriminalitätsanalyse, wenn nach der Art des Angriffes eine wiederholte Begehung wahrscheinlich ist; 5. für Zwecke der Fahndung (§ 24); 6. um bei einem bestimmten Ereignis die öffentliche Ordnung aufrechterhalten zu können; 7. für die Analyse und Bewertung der Wahrscheinlichkeit einer Gefährdung der verfassungsmäßigen Einrichtungen und ihrer Handlungsfähigkeit durch die Verwirklichung eines Tatbestandes nach dem Vierzehnten und Fünfzehnten Abschnitt des Strafgesetzbuches. (2) Die Sicherheitsbehörden dürfen Daten, die sie in Vollziehung von Bundes- oder Landesgesetzen verarbeitet haben, für die Zwecke und unter den Voraussetzungen nach Abs. 1 ermitteln und weiterverarbeiten; ein automationsunterstützter Datenabgleich im Sinne des § 141 StPO ist ihnen jedoch untersagt. Bestehende Übermittlungsverbote bleiben unberührt. (3) Die Sicherheitsbehörden sind berechtigt, von den Dienststellen der Gebietskörperschaften, den anderen Körperschaften des öffentlichen Rechtes und den von diesen betriebenen Anstalten Auskünfte zu verlangen, die sie für die Abwehr gefährlicher Angriffe, für die erweiterte Gefahrenerforschung unter den Voraussetzungen nach Abs. 1 oder für die Abwehr krimineller Verbindungen benötigen. Eine Verweigerung der Auskunft ist nur zulässig, soweit andere öffentliche Interessen die Abwehrinteressen überwiegen oder eine über die Amtsverschwiegenheit (Art. 20 Abs. 3 B-VG) hinausgehende sonstige gesetzliche Verpflichtung zur Verschwiegenheit besteht. ARGE DATEN ARGE DATEN

84 SPG - Verarbeitungsvoraussetzungen II
Auskunftsersuchen Klientendaten SPG - Verarbeitungsvoraussetzungen II - Verarbeitungsermächtigungen im Zusammenhang mit wahrscheinlichen Straftaten: Vorbeugung wahrscheinlicher gefährlicher Angriffe (§ 53 Abs. 1 Z 4) Analyse und Bewertung der Wahrscheinlichkeit der Gefährdung verfassungsmäßiger Einrichtungen (§ 53 Abs. 1 Z 7) - Verarbeitungsermächtigung auch zur "erweiterten Gefahrenerforschung" iS § 21 Abs. iVm § 53 Abs. 1 Z 2a und § 91 Abs 3 ("Rechtsschutzbeauftragter") diese Verarbeitungermächtigungen werden regelmäßig kritisiert, da ihre Abgrenzung zur permanenten Überwachung legitimer persönlicher Lebensführung inkl. Meinungsfreiheit ungenau ist SPG § 53 Zulässigkeit der Verarbeitung (Fortsetzung) - ARGE DATEN ARGE DATEN

85 SPG - Regelung Ermittlungsstellen § 53
Auskunftsersuchen Klientendaten SPG - Regelung Ermittlungsstellen § 53 - "Generalermächtigung": alle verfügbaren Quellen durch Einsatz geeigneter Mittel, insbsondere Zugriff auf allgemein zugängliche Daten (§ 53 Abs. 4) - Auskunftsverpflichtung von Gebietskörperschaften / Körperschaften öffentlichen Rechts (§ 53 Abs. 3) Anwendungsfall: Abwehr krimineller Verbindungen ( § 53 Abs. 1 Z 2), erweiterte Gefahrenerforschung ( § 53 Abs. 1 Z 2a) und Abwehr gefährlicher Angriffe ( § 53 Abs. 1 Z 3) Beschränkungen: Auskunftsverweigerung nur bei überwiegenden öffentlichen Interessen, Amtsverschwiegenheit allein kein Verweigerungsgrund - Auskunftsverpflichtung von Behörden des Bundes, Landes, Gemeinden im Zusammenhang mit gefährliche Umweltangriffe (§ 53 Abs. 3d) keine Auskunftsverweigerung vorgesehen SPG § 53 Zulässigkeit der Verarbeitung (Fortsetzung) (3d) Die Sicherheitsbehörden sind zur Vorbeugung und Abwehr gefährlicher Angriffe gegen die Umwelt berechtigt, von Behörden des Bundes, der Länder und Gemeinden Auskünfte über von diesen genehmigte Anlagen und Einrichtungen zu verlangen, bei denen wegen der Verwendung von Maschinen oder Geräten, der Lagerung, Verwendung oder Produktion von Stoffen, der Betriebsweise, der Ausstattung oder aus anderen Gründen besonders zu befürchten ist, dass im Falle einer Abweichung der Anlage oder Einrichtung von dem der Rechtsordnung entsprechenden Zustand eine Gefahr für das Leben, die Gesundheit mehrerer Menschen oder in großem Ausmaß eine Gefahr für Eigentum oder Umwelt entsteht. Die ersuchte Behörde ist verpflichtet, die Auskunft zu erteilen. (4) Abgesehen von den Fällen der Abs. 2 bis 3b und 3d sind die Sicherheitsbehörden für Zwecke des Abs. 1 berechtigt, personenbezogene Daten aus allen anderen verfügbaren Quellen durch Einsatz geeigneter Mittel, insbesondere durch Zugriff auf allgemein zugängliche Daten, zu ermitteln und weiterzuverarbeiten. ARGE DATEN ARGE DATEN

86 SPG - Regelung Ermittlungsstellen § 53 II
Auskunftsersuchen Klientendaten SPG - Regelung Ermittlungsstellen § 53 II - Verwendung von Bild- und Tondaten von öffentlichen und privaten Rechtsträgern (§ 53 Abs. 5) Anwendungsfall: schwere Gefahr der öffentlichen Sicherheit ( ??), erweiterte Gefahrenerforschung ( Abs. 1 Z 2a) und Fahndung iS § 24 ( Abs. 1 Z 5) Beschränkungen: Aufzeichnungen zu nichtöffentlichem Verhalten dürfen nicht verwendet werden, Daten müssen rechtmäßig ermittelt worden sein (dazu kann auch die Genehmigung einer Videoüberwachung durch die DSB gehören) SPG § 53 Zulässigkeit der Verarbeitung (Fortsetzung) (5) Die Sicherheitsbehörden sind im Einzelfall und unter den Voraussetzungen des § 54 Abs. 3 ermächtigt, für die Abwehr gefährlicher Angriffe und krimineller Verbindungen, wenn bestimmte Tatsachen auf eine schwere Gefahr für die öffentliche Sicherheit schließen lassen, für die erweiterte Gefahrenerforschung (§ 21 Abs. 3) und zur Fahndung (§ 24) personenbezogene Bilddaten zu verwenden, die Rechtsträger des öffentlichen oder privaten Bereichs mittels Einsatz von Bild- und Tonaufzeichnungsgeräten rechtmäßig ermittelt und den Sicherheitsbehörden übermittelt haben. Dabei ist besonders darauf zu achten, dass Eingriffe in die Privatsphäre der Betroffenen die Verhältnismäßigkeit (§ 29) zum Anlass wahren. Nicht zulässig ist die Verwendung von Daten über nichtöffentliches Verhalten. ARGE DATEN ARGE DATEN

87 SPG - Regelung Ermittlungsstellen § 53 III
Auskunftsersuchen Klientendaten SPG - Regelung Ermittlungsstellen § 53 III detaillierte Sonderregelung für Telekommunikationsdienste (Telefon & Internet) (§ 53 Abs. 3a, 3b, 3c) - Name, Anschrift, Teilnehmernummer: zu einem Anschluss, generell wenn SPG anwendbar (§ 53 Abs. 3a Z 1) - Internetprotokolladresse (IP-Adresse), Übermittlungszeitpunkt: zu einer Nachricht (§ 53 Abs. 3a Z 2) + Name, Anschrift: zu einer IP-Adresse (§ 53 Abs. 3a Z 3) im Rahmen der ersten Hilfeleistungspflicht (lit a) gefährlicher Angriff (lit b) kriminelle Verbindung (lit c) - Name, Anschrift, Teilnehmernummer: unter Bezugnahme auf ein Gespräch (§ 53 Abs. 3a Z 4) im Rahmen der ersten Hilfeleistungspflicht oder gefährlicher Angriff - Standortdaten, IMSI-Nummer: bei gegenwärtiger Gefahr (§ 53 Abs. 3b) SPG § 53 Zulässigkeit der Verarbeitung (Fortsetzung) (3a) Die Sicherheitsbehörden sind berechtigt, von Betreibern öffentlicher Telekommunikationsdienste (§ 92 Abs. 3 Z 1 Telekommunikationsgesetz TKG 2003, BGBl. I Nr. 70) und sonstigen Diensteanbietern (§ 3 Z 2 E-Commerce-Gesetz - ECG, BGBl. I Nr. 152/2001) Auskünfte zu verlangen: 1. über Namen, Anschrift und Teilnehmernummer eines bestimmten Anschlusses wenn dies zur Erfüllung der ihnen nach diesem Bundesgesetz übertragenen Aufgaben erforderlich ist, 2. über die Internetprotokolladresse (IP-Adresse) zu einer bestimmten Nachricht und den Zeitpunkt ihrer Übermittlung, wenn sie diese Daten als wesentliche Voraussetzung zur Abwehr a) einer konkreten Gefahr für das Leben, die Gesundheit oder die Freiheit eines Menschen im Rahmen der ersten allgemeinen Hilfeleistungspflicht (§ 19), b) eines gefährlichen Angriffs (§ 16 Abs. 1 Z 1) oder c) einer kriminellen Verbindung (§ 16 Abs.1 Z 2) benötigen, 3. über Namen und Anschrift eines Benutzers, dem eine IP-Adresse zu einem bestimmten Zeitpunkt zugewiesen war, wenn sie diese Daten als wesentliche Voraussetzung zur Abwehr a) einer konkreten Gefahr für das Leben, die Gesundheit oder die Freiheit eines Menschen im Rahmen der ersten allgemeinen Hilfeleistungspflicht (§19), c) einer kriminellen Verbindung (§ 16 Abs. 1 Z 2) benötigen, 4. über Namen, Anschrift und Teilnehmernummer eines bestimmten Anschlusses durch Bezugnahme auf ein von diesem Anschluss geführtes Gespräch durch Bezeichnung eines möglichst genauen Zeitraumes und der passiven Teilnehmernummer, wenn dies zur Erfüllung der ersten allgemeinen Hilfeleistungspflicht oder zur Abwehr gefährlicher Angriffe erforderlich ist. (3b) Ist auf Grund bestimmter Tatsachen anzunehmen, dass eine gegenwärtige Gefahr für das Leben, die Gesundheit oder die Freiheit eines Menschen besteht, sind die Sicherheitsbehörden zur Hilfeleistung oder Abwehr dieser Gefahr berechtigt, von Betreibern öffentlicher Telekommunikationsdienste Auskunft über Standortdaten und die internationale Mobilteilnehmerkennung (IMSI) der von dem gefährdeten oder diesen begleitenden Menschen mitgeführten Endeinrichtung zu verlangen sowie technische Mittel zur Lokalisierung der Endeinrichtung zum Einsatz zu bringen. (3c) In den Fällen der Abs. 3a und 3b trifft die Sicherheitsbehörde die Verantwortung für die rechtliche Zulässigkeit des Auskunftsbegehrens. Die ersuchte Stelle ist verpflichtet, die Auskünfte unverzüglich und im Fall des Abs. 3b gegen Ersatz der Kosten nach der Überwachungskostenverordnung – ÜKVO, BGBl. II Nr. 322/2004, zu erteilen. Im Falle des Abs. 3b hat die Sicherheitsbehörde dem Betreiber überdies unverzüglich, spätestens innerhalb von 24 Stunden eine schriftliche Dokumentation nachzureichen. In den Fällen des Abs. 3a Z 3 sowie Abs. 3b ist die Sicherheitsbehörde verpflichtet, den  Betroffenen darüber zu informieren, dass eine Auskunft zur Zuordnung seines Namens oder seiner Anschrift zu einer bestimmten IP-Adresse (§ 53 Abs. 3a Z 3)  oder zur Standortbeauskunftung (§ 53 Abs. 3b) eingeholt wurde, sofern hiefür die Verwendung von Vorratsdaten gemäß § 99 Abs. 5 Z 3 oder 4 iVm § 102a TKG 2003 erforderlich war. Dabei sind dem Betroffenen nachweislich und ehestmöglich die Rechtsgrundlage sowie das Datum und die Uhrzeit der Anfrage bekannt zu geben. Die Information Betroffener kann aufgeschoben werden, solange durch sie der Ermittlungszweck gefährdet wäre, und kann unterbleiben, wenn der Betroffene bereits nachweislich Kenntnis erlangt hat oder die Information des Betroffenen unmöglich ist. ARGE DATEN ARGE DATEN

88 ZPO ("Zivilprozessordnung")
Auskunftsersuchen Klientendaten ZPO ("Zivilprozessordnung") - Aussageverpflichtungen in Verfahren Dritter im wesentlichen in §§ 320ff ZPO geregelt - Aussagepflicht besteht nur als Zeuge (Einvernahme bei Gericht), jedoch keine Pflicht zur Urkundenvorlage - berufliche Verschwiegenheitsrechte haben Vorrang - Geheimhaltungsbestimmungen des DSG 2000 jedoch keine Grundlage zur Aussageverweigerung - Aussageverweigerung zur Wahrung von Betriebs- oder Geschäftsgeheimnissen des Auftraggebers möglich, muss im Einzelfall begründet werden - Ladung muss genau den Einvernahmegegenstand beschreiben, Vorbereitung auf Einvernahme durch Einsicht in Kundendaten geboten und zulässig (ansonsten Neueinvernahme möglich) - Unzulässig wäre das vorbeugende Mitnehmen/Vorlegen eines Kundenakts, die vorbeugende Erhebung oder Auswertung von Kundendaten, Auskünfte über den Ladungsgegenstand hinaus - ARGE DATEN ARGE DATEN

89 StPO ("Strafprozessordnung")
Auskunftsersuchen Klientendaten StPO ("Strafprozessordnung") - Anfrageberechtigt sind Staatsanwaltschaft oder Sicherheitsbehörden - unterschiedliche Ermittlungsformen (§ 151 StPO) - informelle Erkundungen (freiwillige Auskunft) - formelle Vernehmungen (verpflichtend) - in allen Fällen ist auf amtliche Stellung hinzuweisen - berufliche oder sonstige Entschlagungsrechte bleiben unberührt - im Falle der formellen Vernehmung kann eine Auskunft dann verweigert werden, wenn es zu einem Eingriff in den höchstpersönlichen Lebensbereich des Kunden kommt (§ 158 Abs 1 Z 3 StPO) - ansonsten sind auch sensible Daten zu beauskunften - im Falle informeller Erkundigungen sollte Auskunft über vertrauliche Kundendaten generell verweigert werden (zulässig wäre sie höchstens bei nichtsensiblen Daten im überwiegenden Interesse des Auftraggebers/Dritter) - ARGE DATEN ARGE DATEN

90 StPO ("Strafprozessordnung") II
Auskunftsersuchen Klientendaten StPO ("Strafprozessordnung") II - zulässig wäre auch die Sicherstellung von Beweisstücken, bei IT Erstellung einer Kopie (§ 110 StPO) - gegen Sicherstellung ist Einspruch möglich, jedoch ohne aufschiebende Wirkung (§ 106 StPO) - Sicherstellung bedarf Anordnung der Staatsanwaltschaft - Unterlagen müssen beweisrelevant sein oder müssen beweisrelevante Spuren enthalten - Bedeutung für die konkrete Untersuchung muss nachvollziehbar sein - umfassende Sonderreglungen für die Bekanntgabe von Internet- und Telekomdaten (§ 135 StPO) - Möglichkeit eines Datenabgleichs nach § 141 StPO - Datenabgleich bedarf gerichtliche Genehmigung und entsprechenden Beschluss (§ 142 StPO) - Datenabgleich derzeit nicht von praktischer Bedeutung - ARGE DATEN ARGE DATEN

91 BAO ("Bundesabgabenordnung")
Auskunftsersuchen Klientendaten BAO ("Bundesabgabenordnung") - Anfrageberechtigt sind Finanzbehörden - Möglichkeit des Auskunftsverlangens (§ 143 BAO) sowie der förmlichen Zeugenladung (§ 91 BAO) - auch Nachschau ist möglich (§ 144 BAO) - umfasst Angaben zur Abgabeverpflichtung (steuerrelevante Daten) - betrifft nicht nur eigene Abgabenverpflichtung, sondern auch Abgabenverpflichtung Dritter (etwa der Kunden) - Auskunftspflicht besteht auch ohne „formelle Zeugeneinvernahme“ (strenger als StPO) - Auskunft und Nachschau kann durch die Behörde gem. § 111 BAO durch Zwangsstrafen erzwungen werden - berufsmäßige Verschwiegenheitspflicht sehen die Gesetzesbestimmungen nicht vor, Verweigerungsrecht jedoch bei Gefahr der Verletzung von Geschäftsgeheimnissen des Kunden oder des Auftraggebers - ARGE DATEN ARGE DATEN

92 ECG ("E-Commerce Gesetz")
Auskunftsersuchen Klientendaten ECG ("E-Commerce Gesetz") Auskunfts- und Mitwirkungspflicht aller Diensteanbieter gegenüber Gerichten (§ 18 ECG Abs. 2) Hosting-Provider (§ 16) müssen auf Verlangen Name und Adresse eines Nutzers offen legen, gegenüber - Behörden, sofern die Kenntnis dieser Informationen eine wesentliche Voraussetzung der Wahrnehmung der der Behörde übertragenen Aufgaben bildet (es muss kein Delikt behauptet werden!) (Abs. 3) - dritten Personen, bei ein überwiegenden rechtlichen Interesse an der Feststellung der Identität eines Nutzers und eines rechtswidrigen Sachverhalts, Informationen muss wesentliche Voraussetzung für die Rechtsverfolgung sein (Abs. 4) Auskunft umfasst jedoch nur Namen und die Adresse des Nutzers, mit dem Hostingvereinbarung abgeschlossen wurde Gilt auch bei unentgeltlichen Diensten! Umfang der Pflichten der Diensteanbieter § 18. (1) Die in den §§ 13 bis 17 genannten Diensteanbieter sind nicht verpflichtet, die von ihnen gespeicherten, übermittelten oder zugänglich gemachten Informationen allgemein zu überwachen oder von sich aus nach Umständen zu forschen, die auf rechtswidrige Tätigkeiten hinweisen. (2) Die in den §§ 13 und 16 genannten Diensteanbieter haben auf Grund der Anordnung eines dazu gesetzlich befugten inländischen Gerichtes diesem alle Informationen zu übermitteln, an Hand deren die Nutzer ihres Dienstes, mit denen sie Vereinbarungen über die Übermittlung oder Speicherung von Informationen abgeschlossen haben, zur Verhütung, Ermittlung, Aufklärung oder Verfolgung gerichtlich strafbarer Handlungen ermittelt werden können. (3) Die in § 16 genannten Diensteanbieter haben auf Grund der Anordnung einer Verwaltungsbehörde dieser den Namen und die Adressen der Nutzer ihres Dienstes, mit denen sie Vereinbarungen über die Speicherung von Informationen abgeschlossen haben, zu übermitteln, sofern die Kenntnis dieser Informationen eine wesentliche Voraussetzung der Wahrnehmung der der Behörde übertragenen Aufgaben bildet. (4) Die in § 16 genannten Diensteanbieter haben den Namen und die Adresse eines Nutzers ihres Dienstes, mit dem sie Vereinbarungen über die Speicherung von Informationen abgeschlossen haben, auf Verlangen dritten Personen zu übermitteln, sofern diese ein überwiegendes rechtliches Interesse an der Feststellung der Identität eines Nutzers und eines bestimmten rechtswidrigen Sachverhalts sowie überdies glaubhaft machen, dass die Kenntnis dieser Informationen eine wesentliche Voraussetzung für die Rechtsverfolgung bildet. (5) Sonstige Auskunfts- und Mitwirkungspflichten der Diensteanbieter gegenüber Behörden oder Gerichten bleiben unberührt. ARGE DATEN

93 TKG 2003 ("Telekommunikationsgesetz")
Auskunftsersuchen Klientendaten TKG 2003 ("Telekommunikationsgesetz") Auskunft gegenüber Verwaltungsbehörden (§ 90 Abs. 6 TKG 2003) - Name, akademischer Grad, Wohnadresse, Teilnehmernummer, Vertragsinformationen, nicht Bonitätsdaten(!) (Stammdaten gem. § 92 Abs. 3 Z 3 lit. a bis e) - Voraussetzung: Verdacht einer Verwaltungsübertretung mittels öffentlichem Telekommunikationsnetz begangen - schriftlich, begründet und nur insoweit ohne Auswertung von Verkehrsdaten möglich § 90 Abs. 6 TKG 2003 Anbieter von Kommunikationsdiensten sind verpflichtet, Verwaltungsbehörden auf deren schriftliches und begründetes Verlangen Auskunft über Stammdaten im Sinne von § 92 Abs. 3 Z 3 lit. a bis e von Teilnehmern zu geben, die in Verdacht stehen, durch eine über ein öffentliches Telekommunikationsnetz gesetzte Handlung eine Verwaltungsübertretung begangen zu haben, soweit dies ohne Verarbeitung von Verkehrsdaten möglich ist. Auskünfte an Betreiber von Notrufdiensten § 98 TKG 2003 § 98. (1) Betreiber eines Kommunikationsnetzes oder –dienstes haben Betreibern von Notrufdiensten auf deren Verlangen Auskünfte über Stammdaten im Sinne von § 92 Abs. 3 Z 3 lit. a bis d sowie über Standortdaten im Sinne des § 92 Abs. 3 Z 6 zu erteilen. In beiden Fällen ist Voraussetzung für die Zulässigkeit der Übermittlung ein Notfall, der nur durch Bekanntgabe dieser Informationen abgewehrt werden kann. Die Notwendigkeit der Informationsübermittlung ist vom Betreiber des Notrufdienstes zu dokumentieren und dem Betreiber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nachzureichen. Der Betreiber darf die Übermittlung nicht von der vorherigen Darlegung der Notwendigkeit abhängig machen. Den Betreiber des Notrufdienstes trifft die Verantwortung für die rechtliche Zulässigkeit des Auskunftsbegehrens. (2) Ist eine aktuelle Standortfeststellung nicht möglich, darf die Standortkennung (Cell-ID) zum letzten Kommunikationsvorgang der Endeinrichtung des gefährdeten Menschen verarbeitet werden, auch wenn hierfür ein Zugriff auf gemäß § 102a Abs. 3 Z 6 lit. d gespeicherte Vorratsdaten erforderlich ist. Der Anbieter hat den betroffenen Teilnehmer über eine Auskunft über Standortdaten nach dieser Ziffer frühestens nach 48 Stunden, jedoch spätestens nach 30 Tagen grundsätzlich durch Versand einer Kurzmitteilung (SMS), wenn dies nicht möglich ist schriftlich, zu informieren. Diese Information hat zu enthalten: a) die Rechtsgrundlage, b) die betroffene Daten, c) das Datum und die Uhrzeit der Abfrage, d) Angabe der Stelle, von der die Standortfeststellung in Auftrag gegeben wurde, sowie eine entsprechende Kontaktinformation. ... ARGE DATEN

94 TKG 2003 ("Telekommunikationsgesetz") II
Auskunftsersuchen Klientendaten TKG 2003 ("Telekommunikationsgesetz") II Auskunft an Notrufträger (§ 98 TKG 2003) - Name, akademischer Grad, Wohnadresse, Teilnehmernummer (Stammdaten gem. § 92 Abs. 3 Z 3 lit. a bis d) + Standortdaten (gem. § 92 Abs. 3 Z 6) - Standortdaten sind schon bei Rufaufbau bekannt zu geben - wenn aktuelle Standortdaten nicht feststellbar, dann auch Auskunft über letzte bekannte Cell-ID - Auskunftserfordernis ist durch Notrufträger zu dokumentieren und unverzüglich, spätestens innerhalb von 24 Stunden dem Betreiber vorzulegen - ARGE DATEN

95 Auskunftspflicht eines Vermittlers gemäß § 87b UrhG Abs. 3
Auskunftsersuchen Klientendaten Auskunftspflicht eines Vermittlers gemäß § 87b UrhG Abs. 3 Wer in seinem Urheberrecht verletzt wurde, kann vom „Vermittler“ Auskunft zur Identität des Verletzers verlangen Unklar ob "Access-Provider" Vermittler ist, insbesondere in Hinblick auf den Ausschluss der Verantwortlichkeit nach ECG für die Durchleitung von Informationen (§13 ECG) Strittig, ob Kopierindustrie/Verwertungsgesellschaften überhaupt IP-Adressen sammeln dürfen (Interessenabwägung nach Datenschutzrecht) 2 Fragen des OGH an EuGH ( Antwort EuGH LSG/Tele2, C-557/07, ): - Ist mit „Vermittler“ auch ein reiner Access-Provider gemeint? - Wenn ja: Ist Auskunft an private Dritte zulässig oder steht dem die EU-Datenschutzrichtlinie entgegen? JA Ein Mitgliedstaat kann eine Auskunftspflicht des Providers an private Dritte vorsehen, muss dabei aber die Richtlinien 2000/31, 2001/29, 2002/58, 2004/48 sowie die Grundrechte und die allgemeinen Grundsätze des Gemeinschaftsrechts, wie den Verhältnismäßigkeitsgrundsatz, abwägen. EuGH C-557/ : "Nach alledem ist auf die erste Frage zu antworten, dass ein Access-Provider, der den Nutzern nur den Zugang zum Internet verschafft, ohne weitere Dienste wie insbesondere , FTP oder File-Sharing anzubieten oder eine rechtliche oder faktische Kontrolle über den genutzten Dienst auszuüben, „Vermittler“ im Sinne des Art. 8 Abs. 3 der Richtlinie 2001/29 ist. ... dass das Gemeinschaftsrecht, insbesondere Art. 8 Abs. 3 der Richtlinie 2004/48 in Verbindung mit Art. 15 Abs. 1 der Richtlinie 2002/58, die Mitgliedstaaten nicht daran hindert, eine Verpflichtung zur Weitergabe personenbezogener Verkehrsdaten an private Dritte zum Zweck der zivilgerichtlichen Verfolgung von Urheberrechtsverstößen aufzustellen. Die Mitgliedstaaten sind aber gemeinschaftsrechtlich verpflichtet, darauf zu achten, dass ihrer Umsetzung der Richtlinien 2000/31, 2001/29, 2002/58 und 2004/48 eine Auslegung derselben zugrunde liegt, die es erlaubt, die verschiedenen beteiligten Grundrechte miteinander zum Ausgleich zu bringen. Außerdem müssen die Behörden und Gerichte der Mitgliedstaaten bei der Durchführung der Maßnahmen zur Umsetzung dieser Richtlinien nicht nur ihr nationales Recht im Einklang mit Letzteren auslegen, sondern auch darauf achten, dass sie sich nicht auf eine Auslegung dieser Richtlinien stützen, die mit den Grundrechten oder den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts wie etwa dem Grundsatz der Verhältnismäßigkeit kollidiert." JA | NEIN | gesetzliche Regelung zulässig ARGE DATEN

96 Weitergabe an sonstige Dritte
Auskunftsersuchen Klientendaten Weitergabe an sonstige Dritte - Weitergabe an Dritte ohne "öffentliches Interesse" wird in der Regel unzulässig sein, wenige Ausnahmen im ECG und UrhG (siehe oben) - keine Auskunftsverpflichtungen gegenüber Anwälte, Inkassobüros, Wirtschaftsauskunftsdienste, ... - im Gegenteil! Auskünfte an diese Einrichtungen können zu Datenschutzverletzung + Schadenersatzpflicht führen - aber! Verurteilungen die auf Grund eines rechtswidrigen Verhaltens des Kunden und auf Basis von rechtswidriger Auskünfte des Auftraggebers erfolgen, führen zu keinem Schadenersatzanspruch! - zulässige Sonderfälle für Übermittlung möglich - Übermittlung von Kundendaten zu Zwecken der Forschung oder von Erhebungen im öffentlichen Interesse (§§ 46, 47 DSG 2000, Genehmigung der DSB erforderlich, Übermittlung freiwillig) - Übermittlung pseudonymisierter Daten (sind für Empfänger indirekt personenbezogene Daten, Übermittlung freiwillig) - ARGE DATEN ARGE DATEN

97 Weitergabe an Vertreter des Klienten
Auskunftsersuchen Klientendaten Weitergabe an Vertreter des Klienten - Weitergabe an Vertreter des Klienten ist nicht als Übermittlung zu klassifizieren - Umfang ident den Auskunftsansprüchen des Klienten - rechtlich einfach, jedoch ist beim Nachweis der Vertretereigenschaft ausreichende Sorgfalt anzuwenden - Berufung auf Vertretung reicht nicht, auch nicht bei Rechtsanwälten oder Notaren, schriftliche Dokumentation der Vertretungseigenschaft empfohlen - Vorbeugende Auskunftsregeln schaffen, etwa: - nur schriftliche Auskünfte - Auskunft in Form von Rückmeldung nur an intern dokumentierte Kontaktadressen (Post, Telefon, Fax, , ...) - Verwendung von vertraulichen Kennungen als Nachweis des Auskunftsanspruchs - ARGE DATEN ARGE DATEN

98 Empfehlungen an Mitarbeiter
Auskunftsersuchen Klientendaten Empfehlungen an Mitarbeiter - Grundsätzlich kann jeder Mitarbeiter (nicht nur Support, Hotline, ...) von einem Auskunftswunsch "überrascht" werden - Sensibilisierung von besonderen Mitarbeitergruppen, wie Telefonzentrale, Verkauf, Posteingangsstellen, ... wichtig - Sensibilisierung, dass auch "einfache" Anfragen zu einer Datenschutzverletzung führen können ("Ist XY Kunde bei Ihnen?") - Klare Zuständigkeiten schaffen und laufend kommunizieren - für Standardfälle einfache Regeln schaffen, nicht "alles" auf Rechtsabteilungen oder Geschäftsführungen delegieren - Mitarbeiter trainieren Auskunftswünsche strukturiert zu erfassen, WWWW-PRINZIP: Wer möchte Welche Daten über Welche Person Warum wissen? - Nur tatsächlich angefragtes (sofern berechtigt) beauskunften - Auskunft nur über sichere Übertragungswege - Jeden Auskunftswunsch (auch unberechtigte) dokumentieren - ARGE DATEN ARGE DATEN

99 Empfehlungen an Auftraggeber
Auskunftsersuchen Klientendaten Empfehlungen an Auftraggeber - haben das Minimalitätsgebot nach § 6 DSG 2000 bei der Verwendung von Kundendaten zu beachten - "überflüssige" Kundendaten sind nach § 27 DSG 2000 zu löschen - Auskunftsverpflichtungen (StPO, SPG, BAO) beziehen sich auf die vorhandene Daten, unabhängig davon ob sie rechtmäßig (iS DSG 2000) verwendet werden - "Rechtswidrigkeit" der Daten für sich genommen, begründet noch keinen Verweigerungsgrund, sind jedoch Daten nicht vorhanden, können sie nicht beauskunftet werden - sich auf Auskunftswünsche vorbereiten, teilweise zeitkritisch - sich um sichere Übertragungswege kümmern - ARGE DATEN ARGE DATEN

100 Informationspflichten & Betroffenenrechte
Recht auf Geheimhaltung (§ 1ff) Informationspflicht (§ 24) Recht auf Auskunft (§ 26) Recht auf Berichtigung & Löschung (§ 27) Recht auf Widerspruch (§ 28) - Recht auf Widerruf (§ 8, 9) ARGE DATEN

101 Entscheidungen zu § 1 DSG 2000
DSG Grundlagen Entscheidungen zu § 1 DSG 2000 DSK K / K ("Geburtsdatum") Geburtsdatum auf Rsa-Schreiben zulässig, auf Infobroschüre des BMLV nicht DSK K /0015-DSK/2012 ("Geburtstagsabfragen") Schon die Abfrage des Geburtsdatums zum Zwecke des Glückwunsches durch den Bürgermeister ist unzulässig, wenn nicht gesetzlich geregelt. OGH 11Os109/01 ("allgemeine Verfügbarkeit") Geheimhaltungsanspruch auch dann gegeben, wenn Information durch Betroffenen selbst an einen beschränkten Kreis weiter gegeben wurde DSK K /002-DSK/2003: "Das belangte Organ hat den Beschwerdeführer dadurch, dass es über ihn in der Rubrik 'Stellung im Haushalt' die Eintragung 'Haushaltsvorstand' gespeichert hat, in seinem Recht auf Geheimhaltung gemäß § 1 Abs. 1 DSG in Verbindung mit § 6 DSG verletzt." (RIS)‏ DSK K /14-DSK/00: "Schreiben Privater oder Firmen oder Institutionen, die den Direktor und die Kollegenschaft betreffen, werden, je nach Inhalt und Bedeutung, im Konferenzzimmer oder Sozialraum zur allgemeinen Kenntnisnahme ausgehängt. Auf Grund der allgemein gehaltenen Adressierung scheint die gewählte Vorgangsweise des BRG durch Aushang im Konferenzzimmer, das prinzipiell nur der Lehrerschaft zugänglich ist, als durchaus angemessen." (RIS)‏ DSK K /003-DSK/2002: ("SV-Auskunft") Auskunft über Beschäftigung im Rahmen eines Unterhaltsverfahrens ist unzulässig, wenn nicht vorher Betroffener befragt wurde ("gelindeste Mittel") "..zuerst der Unterhaltspflichtige zu befragen ist und nur dann, wenn dies nicht zum Ziel führt, der Arbeitgeber oder der zuständige Sozialversicherungsträger zur Auskunft heranzuziehen ist. Dies entspricht auch dem datenschutzrechtlichen Grundsatz, wonach stets das gelindeste zum Ziel führende Mittel anzuwenden ist, wenn durch die Ermittlung (oder Übermittlung) von Daten in die schutzwürdigen Geheimhaltungsinteressen einer Person eingegriffen wird. " ARGE DATEN

102 Offenlegung nicht-meldepflichtiger Datenanwendungen (§ 23)
DSG Informationspflicht Offenlegung nicht-meldepflichtiger Datenanwendungen (§ 23) - Mitteilung - auf Anfrage - welche Standardanwendungen betrieben werden (Abs. 1) - Offenlegung der Standardanwendungen gegenüber DSB bei Prüfungen (Abs. 2) Offenlegungspflicht (§ 25) Offenlegung anlässlich von Übermittlungen und Mitteilungen an Betroffene - Identität des Auftraggebers - bei registrierungspflichtigen DAs die DVR-Nummer des Auftraggebers - ARGE DATEN

103 Informationspflicht (§ 24 / Art. 10, 11, 14 EG-RL)
DSG Informationspflicht Informationspflicht (§ 24 / Art. 10, 11, 14 EG-RL) Informationspflicht anlässlich Ermittlung Zweck Auftraggeber Spätestens zum Zeitpunkt der Übermittlung Entfällt, - bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind oder - bei mangelnder Erreichbarkeit der Betroffenen oder - bei Unwahrscheinlichkeit der Beeinträchtigung der Betroffenenrechte und Höhe der Kosten der Information Informationspflicht ist "Bringschuld" des Auftraggebers! Bei Kundenbeziehungen leicht zu erfüllen, ein Problem jedoch dort, wo Daten ohne Kundenbeziehungen verwendet werden (z.B. Adressenverlagen / Informationsdiensten) Betroffene sind aus Anlass der Ermittlung zu informieren über Zweck der DA Namen/Adresse des Auftraggebers Notwendige weitere Informationen sind in geeigneter Weise zu geben: Widerspruchsrechte gegen Übermittlungen rechtliche Verpflichtung zur Beantwortung von Fragen Verarbeitung in einem Informationsverbundsystem, ohne gesetzlichen Auftrag Werden Daten nicht direkt beim Betroffenen ermittelt, entfällt die Informationspflicht: bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind oder bei mangelnder Erreichbarkeit der Betroffenen oder bei Unwahrscheinlichkeit der Beeinträchtigung der Betroffenenrechte und Höhe der Kosten der Information Keine Informationspflicht besteht bei jenen Datenanwendungen, die gemäß § 17 Abs. 2 und 3 nicht meldepflichtig sind [persönliche DA, publizistische DA, indirekt pesonenbezogene Daten, DA zum Schutz der Verfassung/Einsatzbereitschaft/Landesverteidigung/Strafverfolgung] ARGE DATEN

104 Informationspflicht ARGE DATEN DSG 2000 - Informationspflicht
(DSG 2000 § 24 Abs. 2a) Betroffene sind von Datenschutzverletzungen zu informieren - wenn schwerwiegend und systematisch - wenn Betroffenen Schaden droht - Ausnahme: keine Informationspflicht wenn Schaden nur "geringfügig" und Verständigungsaufwand "unverhältnismäßig hoch" Es handelt sich um eine Informationspflicht "light", die gegenüber dem ursprünglichen Entwurf erheblich reduziert wurde. Geänderte Bestimmungen (DSG-Novelle 2010) § 24 Abs. 2a (neu): “(2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Diese Verpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert.” [Ursprüngliche Version des Beamtenentwurfs (2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden, hat er darüber unverzüglich die Betroffenen zu informieren.] ARGE DATEN

105 Betroffenenrecht - Auskunft (§ 26) I
DSG Betroffenenrechte Betroffenenrecht - Auskunft (§ 26) I Auskunft ist auf Verlangen bei Nachweis der Identität zu geben (Abs. 1) [Berufung auf DSG nicht erforderlich!] Auskunftsfrist sind 8 Wochen (Abs. 4) Antragsteller hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3) ungerechtfertigter Aufwand ist zu vermeiden Auskunftsrecht unabhängig von Registrierungserfordernis [!!] von einem Vertragsverhältnis von tatsächlichem Vorhandensein von Daten von sonstigen Voraussetzungen (Verdacht des Datenmissbrauchs, einer Datenweitergabe, ...) Auskunftsbegehren kann mit Zustimmung des Auftraggebers mündlich gestellt werden (Abs. 1)‏ Auskunft kann mit Zustimmung des Betroffenen mündlich erteilt werden (Abs. 1)‏ Hinweis! Auskunftspflicht trifft auch auf nicht registrierte Verarbeitungen zu! umfasst also auch Standardanwendungen, persönliche Datenanwendungen oder DAs für publizistische Tätigkeit Typische geeignete Identitätsnachweise: bei Kundenbeziehungen: Stammdatenvergleich, Unterschriftenvergleich ohne Kundenbeziehung: Antwort eingeschrieben bzw. eingeschrieben/eigenhändig zusenden Ausweisdokument vorlegen (Kopie)‏ ARGE DATEN

106 Betroffenenrecht - Auskunft (§ 26) II
DSG Betroffenenrechte Betroffenenrecht - Auskunft (§ 26) II Auftraggeber hat Auskunft zu erteilen über Zweck der Datenanwendung die verwendeten Daten in allgemein verständlicher Form verfügbare Information über ihre Herkunft allfällige Empfänger oder Empfängerkreise von Übermittlungen Name und Adresse des Dienstleisters (muss vom Betroffenen extra verlangt werden) 4 Monate Löschungsverbot nach Einlangen des Auskunftsbegehrens, aber DSG-Novelle 2010: kein Löschungsverbots in jenen Fällen, bei denen der Auskunftswerber (Betroffene) die Löschung wünscht (Abs. 7) Auskunftsbegehren und Auskunft haben schriftlich zu erfolgen, Abweichung im Einverständnis der Gegenseite möglich  DSK K /0008-DSK/2009 Fax & erfüllen Schriftform Kostenlose Auskunft ist jedenfalls zu erteilen (Abs. 6), wenn: Auskunft aktuellen Datenbestand betrifft und im laufenden Jahr noch keine Auskunft zum selben Aufgabengebiet des Auftraggebers erfolgte In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden (Abs. 6)‏ bei höheren tatsächlichen Kosten kann davon abgewichen werden Führt die Auskunft zu einer Löschung oder Richtigstellung, sind die Kosten auf jeden Fall zu ersetzen. Ergänzungen begründen noch keine Kostenforderung Löschungsverbot von 4 Monaten nach Einlangen der Auskunft (Abs. 7)‏ Bei Beschwerde vor der DSB Löschungsverbot bis zum Abschluss des rechtskräftigen Verfahrens ARGE DATEN

107 Auskunftsrecht ist "Holschuld" des Betroffenen!
DSG Betroffenenrechte Betroffenenrecht - Auskunft (§ 26) III begründete Auskunftsverweigerung / Auskunftsbegrenzungen sind möglich, u.a. - Schikaneverbot: Betroffener wurden Daten schon mitgeteilt (etwa Kontoauszüge, OGH 6Ob25/90), trifft nicht zu, dass ein Betroffener bestimmte Daten sowieso "wissen" müsste - überwiegende Interessen des Auftraggebers oder Dritter - aus therapeutischen Gründen (Gesundheitszustand) - formale Gründe: fehlender Identitätsnachweis, fehlender Kostenersatz, fehlende Mitwirkung, ... Auskunft ist einmal im Jahr bei aktuellen Daten kostenfrei ansonsten tatsächliche Kosten oder pauschalierter Ersatz Auskunftsrecht ist "Holschuld" des Betroffenen! Gründe für Auskunftsverweigerung wenn Daten dem Betroffenen aus anderen Quellen bekannt sind (Kontoauszug, Online abrufbar, ...) überwiegende berechtigte Interessen des Auftraggebers überwiegende berechtigte Interessen eines Dritten überwiegende öffentliche Interessen wenn Betroffener nicht mitwirkt , insbesondere Kosten nicht bezahlt werden oder kein geeigneter Identitäsnachweis möglich ist wenn ein erforderlicher Kostenersatz nicht geleistet wird zum Schutz des Betroffenen ("Therapeutisches Privileg")‏ Auskunftsrecht steht in Verfassungsrang und kann daher nicht ohne weiters gesetzlich eingeschränkt werden. ARGE DATEN

108 Betroffenenrecht - Löschung/Richtigstellung (§ 27)
DSG Betroffenenrechte Betroffenenrecht - Löschung/Richtigstellung (§ 27) - grundsätzlich besteht Richtigstellungspflicht des Auftraggebers sobald Daten nicht mehr richtig, nicht (mehr) benötigte oder unzulässig verarbeitete Daten sind zu löschen - Betroffene können Richtigstellungsantrag stellen - Verpflichtung gilt auch für unvollständige Daten, veraltete Daten, irreführende Daten Beweislast der Richtigkeit von Daten, wenn beantragte Änderung verweigert wird, liegt beim Auftraggeber Jedoch! Werden Daten ausschließlich gemäß Betroffenenangaben verarbeitet hat der Betroffene Fehler/Änderung zu belegen Wachsende Bedeutung der Bestimmung, da immer öfter nur kurzfristig erforderliche Daten anfallen (Verkehrsdaten von ISP & Telekomunternehmen, Location-Based-Services, Smartphone-App-Daten) Wachsende Bedeutung der Bestimmung - Telekomdienste, Internet Service Provider - Logistik (Postzustellung, Paketzustellung)‏ - Verkehrsüberwachung (Maut, Section-Control)‏ Richtigstellungspflicht des Auftraggebers (Abs. 1)‏ Aus eigenem, sobald ihm die Unrichtigkeit der Daten bzw. Unzulässigkeit der Verarbeitung bekannt wurden (Z1)‏ auf begründeten Antrag des Betroffenen (Z2)‏ Frist zur Löschung/Richtigstellung: 8 Wochen (Abs. 4)‏ unvollständige Daten sind zu berichtigen, soweit es zum Zweck der Datenanwendung notwendig ist (Abs. 1)‏ nicht benötigte Daten entsprechen unzulässig verarbeiteten Daten und sind zu löschen (Abs. 1)‏ Ausnahme: die Archivierung der Daten ist rechtlich zulässig und der Zugang besonders geschützt Beweis der Richtigkeit liegt beim Auftraggeber (Abs. 2) Ausnahmen: gesetzlich anders angeordnet (!) Daten stammen ausschließlich vom Betroffenen ARGE DATEN

109 Widerspruchsrecht (§ 28)
DSG Betroffenenrechte Widerspruchsrecht (§ 28) - Widerspruchsrecht bezieht sich auf "öffentlich zugängliche Datenanwendungen" (Abs. 2) - Übernahme der Löschungsregeln aus § 27: Vorgangsweise bei Löschung (siehe § 27 Abs. 4) wenn wirtschaftlich geboten ist auch eine vorläufige Sperre und spätere Löschung möglich (siehe § 27 Abs. 6) Kein Widerspruchsrecht (Beispiel): - § 7 Abs. 5 Verbraucherkreditgesetz (VKrG) schließt Widerspruchsrecht bei Informationsverbundsystemen der Banken aus [gemeint sind KKE und Warndatei der Banken] "unsaubere" Lösung: Dateien sind gesetzlich nicht angeordnet, trotzdem kein Widerspruchsrecht Geänderte Bestimmungen (DSG-Novelle 2010) § 28 Abs. 3 (neu): “(3) § 27 Abs. 4 bis 6 gelten auch in den Fällen der Abs. 1 und 2.” [Anm: Die zitierten Bestimmungen aus § 27 Abs. 4 bis 6: (4) Innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung oder Löschung ist dem Antrag zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird. (5) In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in § 26 Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Geheimhaltung erfordern, mit einem Richtigstellungs- oder Löschungsantrag folgendermaßen zu verfahren: Die Richtigstellung oder Löschung ist vorzunehmen, wenn das Begehren des Betroffenen nach Auffassung des Auftraggebers berechtigt ist. Die gemäß Abs. 4 erforderliche Mitteilung an den Betroffenen hat in allen Fällen dahingehend zu lauten, daß die Überprüfung der Datenbestände des Auftraggebers im Hinblick auf das Richtigstellungs- oder Löschungsbegehren durchgeführt wurde. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission nach § 31 Abs. 4. (6) Wenn die Löschung oder Richtigstellung von Daten auf ausschließlich automationsunterstützt lesbaren Datenträgern aus Gründen der Wirtschaftlichkeit nur zu bestimmten Zeitpunkten vorgenommen werden kann, sind bis dahin die zu löschenden Daten für den Zugriff zu sperren und die zu berichtigenden Daten mit einer berichtigenden Anmerkung zu versehen.] ARGE DATEN

110 Weitere Bestimmungen ARGE DATEN Sicherheit Schadenersatz
Strafbestimmungen DSG 2000 - ARGE DATEN

111 Sicherheitsbestimmungen (§ 14)
DSG Sicherheit Sicherheitsbestimmungen (§ 14) Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden: Stand der Technik entsprechend wirtschaftlich vertretbar angemessenes Schutzniveau muss erreicht werden rechtlich-organisatorische Sicherheitsmaßnahmen - ausdrückliche Aufgabenverteilung - ausschließlich auftragsgemäße Datenverwendung - Belehrungspflicht der Mitarbeiter - Regelung der Zugriffs- und Zutrittsberechtigungen - Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten - Protokollierungspflicht MASSNAHMEN zur SICHERHEIT DSG 2000: „§ 14. (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind.“ ARGE DATEN

112 Verpflichtung zum Datengeheimnis (§ 15)
DSG Verschwiegenheit Verpflichtung zum Datengeheimnis (§ 15) Mitarbeiter sind - soweit nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden. Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln. Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren. Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung kein Nachteil erwachsen. Bereitstellungspflicht der Datensicherheits-maßnahmen für Mitarbeiter (§ 14 Abs. 6) Liste sonstige Verschwiegenheitspflichten siehe Anhang (Auswahl) ARGE DATEN

113 Bestehende Sicherheitsanforderungen in Ö
spezifische Sicherheitsbestimmungen Bestehende Sicherheitsanforderungen in Ö - Verschlüsselung bei Webapplikationen / in der Datenübertragung Grundlage: ePrivacy-RL 2002/58/EG - Besondere Sicherheitsmaßnahmen bei Gesundheitsdaten Grundlage: GTelG (inklusive ELGA-Gesetz) + GTelVO - Sicherheit in der elektronischen Rechnungslegung Grundlage: EU-RL 2010/45/EU, BMF-Verordnung BGBl 516/2012 - Sicherheitsbestimmungen + Genehmigungsverfahren bei Digitaler Signatur Grundlage: EG-RL 1999/93/EG, SigG, SigV - ARGE DATEN ARGE DATEN

114 Bestehende Sicherheitsanforderungen in Ö II
spezifische Sicherheitsbestimmungen Bestehende Sicherheitsanforderungen in Ö II - Einsatz der Bürgerkarte in Behördenverfahren Grundlage: E-GovG - Medikamentenabrechnung der Apotheken, Videoüberwachung - Verschlüsselung Grundlage: StMV 2004 des Bundeskanzleramtes - Webapplikationen der Behörden Grundlage: Portalverbundprotokoll pvp 2.0, eine privatrechtliche Vereinbarung - Bankomatkassen Grundlage: privatrechtliche Vorgaben des Betreibers - e-card/GINA-Box + Peering-Point der Ärzte Grundlage: privatrechtliche Vereinbarungen - ARGE DATEN ARGE DATEN

115 Besondere Sicherheitsmaßnahmen bei Gesundheitsdaten
spezifische Sicherheitsbestimmungen Besondere Sicherheitsmaßnahmen bei Gesundheitsdaten - Regelung im GTelG-Gesetz (Gesundheitstelematikgesetz, neu seit 2012 inkl. "ELGA-Gesetz") - Umfasst Gesundheitsdaten inkl. Abrechnungsdaten und soziale Daten - Datenaustausch durch Serverzertifikate abgesichert - Identitätsnachweis durch Zertifikate oder Zugangsberechtigung - Datenübertragung im Internet muss verschlüsselt erfolgen - Dateien sind zu signieren (Integritätsnachweis) - ARGE DATEN ARGE DATEN

116 Schadenersatz (§ 33) ARGE DATEN
DSG Kontroll- & Strafbestimmungen Schadenersatz (§ 33) schuldhaftes Verhalten notwendig bei Verletzung von Bestimmungen des DSG 2000 ist tatsächlich erlittener materieller Schaden zu ersetzen bei Verletzungen der Geheimhaltung, die geeignet sind den Betroffenen bloßzustellen, gebührt Entschädigung Entschädigungsanspruch ist nicht beziffert, aber vergleichbar dem Mediengesetz geregelt [MedienG § 7: bis Euro] bei Veröffentlichungen in einem Medium gilt Mediengesetz Entschädigungsanspruch ist gegenüber dem Auftraggeber geltend zu machen Schuldhaftes Handeln = Vorsatz oder fahrlässiges Handeln DSG 2000: „§ 33. (1) Ein Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen den Bestimmungen dieses Bundesgesetzes verwendet, hat dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Werden durch die öffentlich zugängliche Verwendung der in § 18 Abs. 2 Z 1 bis 3 genannten Datenarten schutzwürdige Geheimhaltungsinteressen eines Betroffenen in einer Weise verletzt, die einer Eignung zur Bloßstellung gemäß § 7 Abs. 1 des Mediengesetzes, BGBl. Nr. 314/1981, gleichkommt, so gilt diese Bestimmung auch in Fällen, in welchen die öffentlich zugängliche Verwendung nicht in Form der Veröffentlichung in einem Medium geschieht. Der Anspruch auf angemessene Entschädigung für die erlittene Kränkung ist gegen den Auftraggeber der Datenverwendung geltend zu machen.“ Mögliche Beispiele: rechtswidriger Eintrag in Negativliste (OGH 6 Ob 275/05t )‏ Aushang der Hausverwaltung von Zahlungsrückständen im Hausflur öffentliche Bekanntgabe des Kirchenaustritts durch Pfarrer deponierte Personalakten mit abschätzigen Bemerkungen auf einem Parkplatz Übermittlung persönlicher Daten an Arbeitgeber (z.B. Bezug von Pornos, Ergebnisse von Beschwerde- und Verwaltungsverfahren) ARGE DATEN

117 OGH 6 Ob 247/08d ("Bonitätsinformationen")
DSG Schadenersatz OGH 6 Ob 247/08d ("Bonitätsinformationen") Ausgangslage - Betroffener wurde bei angeblich unzulässiger Mülldeponierung gefilmt - privater Wachdienst forderte 100,- Euro "Entschädigung", Forderung wurde Inkassodienst übergeben - nach Weigerung der Zahlung wurde Zahlungsanstand an Wirtschaftsauskunftsdienst gemeldet - Betroffener erfuhr davon im Rahmen eines Telekom-Geschäfts OGH-Entscheidung - Eintrag ohne vorherige Verständigung ist rechtswidrig - Eintragung geeignet die Kreditwürdigkeit zu beschädigen - auch wenn kein unmittelbarer Schaden nachweisbar, besteht Anspruch gem. § 33 DSG 2000 - Betrag von 750,- Euro in Hinblick auf geringe Zahl der Datenübermittlungen angemessen ZRS Wien 53Cg106/07h (Entscheidung vom OGH bestätigt) "Gemäß §33 Abs. 1 DSG hat der Auftraggeber, der Daten schuldhaft entgegen den Bestimmungen des DSG verwendet, dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Werden durch die öffentlich zugängliche Verwendung der in §18 abs. 2 Z1 bis 3 genannten Datenarten schutzwürdige Geheimhaltungsinteressen eines betroffenen in einer Weise evrletzt, die einer Eignung zur Bloßstellung gemäß §7 Abs. 1 Mediengesetz gleichkommt, so gilt diese Bestimmung auch in Fällen, in welchen die öffentlich zugängliche Verwendung nicht in Form der Veröffentlichung in einem Medium geschieht. ... Im §6 Abs. 1 Z 1 DSG ist der Grundsatz verankert, dass Daten nur nach Treu und Glauben verwendet werdendürfen. Dieser Grundsatz erfordert eine entsprechende Benachrichtigung des Betroffenen, um ihm die Möglichkeit zu geben, sich gegen eine seiner Meinung nach nicht gerechtfertigte Datenverwendung zur Wehr zu setzen. Eine derartige Verständigung ist im vorliegenden Fall nicht erfolgt. Die Aufnahme der hier in Rede stehenden Eintragung in die Datenbank der Beklagten ist somit rechtswidrig erfolgt (6 Ob 275/05t). ... Die hier in Rede stehenden Daten wurden nur in geringem Umfang verwendet. ... Eine solche Eintragung ist geeignet, das berufliche Fortkommen zu gefährden oder zu beeinträchtigen, weil potenzielle Geschäftspartner mit Sicherheit Personen, deren Kreditwüdigkeit in Frage steht, meiden. Unter Berücksichtigung dieser Umstände erscheint die vom Kläger begehrte Schadenersatzleistung [750,- Euro, Anm.] für die mit der gesetzwidrigen Eintragung in die Zahlungsverhaltensdatenbank verbundene Bloßstellung als angemessen." ARGE DATEN

118 Gewinn- oder Schädigungsabsicht (§ 51)
DSG Strafbestimmungen Gewinn- oder Schädigungsabsicht (§ 51) - Klarstellung der Deliktvoraussetzungen: Vorsatz der eigenen Bereicherung oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer Delikt begeht, wer ... - widerrechtlich ihm zugängliche Daten benutzt oder - Daten widerrechtlich beschafft oder - anderen widerrechtlich zugänglich macht oder - widerrechtlich öffentlich macht Strafausmaß: bis ein Jahr Delikt wird zum Offizialdelikt [bis : Privatanklagedelikt] Strafbestimmung gilt subsidiär Geänderte Bestimmungen (DSG-Novelle 2010) § 51 Abs. 1 entfällt die Absatzbezeichnung “(1)”. Die Wortfolge “in der Absicht, sich einen Vermögensvorteil zu verschaffen oder einem anderen einen Nachteil zuzufügen” wird durch die Wortfolge “mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen” ersetzt. Neue Bestimmung: § 51 Datenverwendung in Gewinn- oder Schädigungsabsicht Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr zu bestrafen. ARGE DATEN

119 Hier ist Vorsatz Voraussetzung für die Tatverfolgung
DSG Strafbestimmungen Strafbestimmungen bei öffentlich-rechtlichen Organen Missbrauch der Amtsgewalt (§ 302 StGB) Strafrahmen: bis 5 Jahre Laufend Verurteilungen, siehe etwa OGH 14 Os 105/10p (rechtswidriger Abruf von KFZ-Zulassungsdaten) Verletzung des Amtsgeheimnisses (§ 310 StGB) Strafrahmen: bis 3 Jahre denkbar auch: Falsche Beurkundung und Beglaubigung im Amt (§ 311 StGB) Hier ist Vorsatz Voraussetzung für die Tatverfolgung Missbrauch der Amtsgewalt StGB § 302. (1) Ein Beamter, der mit dem Vorsatz, dadurch einen anderen an seinen Rechten zu schädigen, seine Befugnis, im Namen des Bundes, eines Landes, eines Gemeindeverbandes, einer Gemeinde oder einer anderen Person des öffentlichen Rechtes als deren Organ in Vollziehung der Gesetze Amtsgeschäfte vorzunehmen, wissentlich mißbraucht, ist mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen. (2) Wer die Tat bei der Führung eines Amtsgeschäfts mit einer fremden Macht oder einer über- oder zwischenstaatlichen Einrichtung begeht, ist mit Freiheitsstrafe von einem bis zu zehn Jahren zu bestrafen. Ebenso ist zu bestrafen, wer durch die Tat einen Euro übersteigenden Schaden herbeiführt. Verletzung des Amtsgeheimnisses StGB § 310. (1) Ein Beamter oder ehemaliger Beamter, der ein ihm ausschließlich kraft seines Amtes anvertrautes oder zugänglich gewordenes Geheimnis offenbart oder verwertet, dessen Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, mit Freiheitsstrafe bis zu drei Jahren zu bestrafen. (2) Ebenso ist zu bestrafen, wer als Mitglied eines Ausschusses gemäß Art. 53 B-VG bzw. eines nach Art. 52a B-VG eingesetzten ständigen Unterausschusses oder als zur Anwesenheit bei deren Verhandlungen Berechtigter ein ihm in vertraulicher Sitzung zugänglich gewordenes Geheimnis offenbart oder verwertet, dessen Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen. (2a) Ebenso ist zu bestrafen, wer - sei es auch nach seinem Ausscheiden aus dem Amt oder Dienstverhältnis - als Organwalter oder Bediensteter des Europäischen Polizeiamtes (Europol), als Verbindungsbeamter oder als zur Geheimhaltung besonders Verpflichteter (Art. 32 Abs. 2 des Europol-Übereinkommens, BGBl. III Nr. 123/1998) eine Tatsache oder Angelegenheit offenbart oder verwertet, die ihm ausschließlich kraft seines Amtes oder seiner Tätigkeit zugänglich geworden ist und deren Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen. (3) Offenbart der Täter ein Amtsgeheimnis, das verfassungsgefährdende Tatsachen (§ 252 Abs. 3) betrifft, so ist er nur zu bestrafen, wenn er in der Absicht handelt, private Interessen zu verletzen oder der Republik Österreich einen Nachteil zuzufügen. Die irrtümliche Annahme verfassungsgefährdender Tatsachen befreit den Täter nicht von Strafe. ARGE DATEN

120 Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln]
DSG Strafbestimmungen Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln] - widerrechtliches Verschaffen eines Zugangs zu einer DA - widerrechtliches Weiterbenutzen eines Zugangs zu einer DA - Übermittlung unter Verletzung des Datengeheimnisses - Weiterverwendung von Daten entgegen eines rechtskräftigen Urteils/Bescheids - widerrechtliches Löschen von Daten (§ 26 Abs. 7) Strafrahmen: bis ,- Euro zuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSB Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk) Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten! Zuständig für Anzeigen ist jene Bezirksverwaltungsbehörde in deren Sprengel der Datenverarbeiter seinen Aufenthalt oder Sitz hat Das sind die Bezirkshauptmannschaften bzw. in den Städten mit eigenem Statut die Magistrate Berufungsinstanz ist der Unabhängige Verwaltungssenat (UVS)‏ Verantwortlichkeit des Auftraggebers ist u.a im VstG § 9 geregelt Vor 2000 gab es rund 30 Verfahren/Jahr bei den Landeshauptleuten, die Regierungsvorlage 2000 rechnete in Zukunft mit 10fachem Anfall an Anzeigen/Verfahren, tatsächlich dürfte die jährliche Zahl an Strafverfahren zurück gegangen sein. Aktuelle Zahlen werden von der DSB nicht publiziert. ARGE DATEN

121 DSG 2000 - Strafbestimmungen
Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 1. nicht Erfüllen der Meldepflicht gemäß den §§ 17 oder 50c oder Betreiben eine Datenanwendung auf eine von der Meldung abweichende Weise oder 2. Übermitteln oder überlassen von Daten ins Ausland, ohne Genehmigung gemäß § 13 Abs. 1 oder 3. Verstoß gegen Zusagen an oder Auflagen der DSB (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) oder 4. Verletzen von Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d oder 5. § 14 gröbliches außer Acht lassen von Sicherheitsmaßnahmen oder Geänderte Bestimmungen (DSG-Novelle 2010) § 52 DSG 2000 Verwaltungsstrafbestimmung (1) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu Euro zu ahnden ist, wer 1. sich vorsätzlich widerrechtlichen Zugang zu einer Datenanwendung verschafft oder einen erkennbar widerrechtlichen Zugang vorsätzlich aufrechterhält oder 2. Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 15) übermittelt, insbesondere Daten, die ihm gemäß §§ 46 oder 47 anvertraut wurden, vorsätzlich für andere Zwecke verwendet oder 3. Daten entgegen einem rechtskräftigen Urteil oder Bescheid verwendet, nicht beauskunftet, nicht richtigstellt oder nicht löscht oder 4. Daten vorsätzlich entgegen § 26 Abs. 7 löscht. (2) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu Euro zu ahnden ist, wer 1. Daten ermittelt, verarbeitet oder übermittelt, ohne seine Meldepflicht gemäß den §§ 17 oder 50c erfüllt zu haben oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt oder 2. Daten ins Ausland übermittelt oder überlässt, ohne die erforderliche Genehmigung der Datenschutzkommission gemäß § 13 Abs. 1 eingeholt zu haben oder 3. gegen gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1 abgegebene Zusagen oder von der Datenschutzkommission gemäß § 13 Abs. 1 oder § 21 Abs. 2 erteilte Auflagen verstößt oder 4. seine Offenlegungs- oder Informationspflichten gemäß den §§ 23, 24, 25 oder 50d verletzt oder 5. die gemäß § 14 erforderlichen Sicherheitsmaßnahmen gröblich außer Acht lässt oder ARGE DATEN

122 DSG 2000 - Strafbestimmungen
Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 6. wer gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderliche Sicherheitsmaßnahmen außer Acht lässt oder 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht. Strafrahmen: bis ,- Euro § 52 DSG 2000 Verwaltungsstrafbestimmung (Fortsetzung) 6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt oder 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Löschungsfrist nicht löscht. ARGE DATEN

123 Verfallbestimmungen § 52 Abs. 4
DSG Strafbestimmungen Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a) [=Gefährdung von Betroffenenrechten] neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a) Strafrahmen: bis 500,- Euro [neu seit 2010] Verfallbestimmungen § 52 Abs. 4 Datenträger und Programme sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden § 52 DSG 2000 Verwaltungsstrafbestimmung (Fortsetzung) (2a) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit einer Strafe bis zu 500 Euro zu ahnden ist, wer Daten entgegen den §§ 26, 27 oder 28 nicht fristgerecht beauskunftet, richtigstellt oder löscht. (3) Der Versuch ist strafbar. (4) Die Strafe des Verfalls von Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten kann ausgesprochen werden (§§ 10, 17 und 18 VStG), wenn diese Gegenstände mit einer Verwaltungsübertretung nach Abs. 1 oder 2 in Zusammenhang stehen. (5) Zuständig für Entscheidungen nach Abs. 1 bis 4 ist die Bezirksverwaltungsbehörde, in deren Sprengel der Auftraggeber (Dienstleister) seinen gewöhnlichen Aufenthalt oder Sitz hat. Falls ein solcher im Inland nicht gegeben ist, ist die am Sitz der Datenschutzkommission eingerichtete Bezirksverwaltungsbehörde zuständig. ARGE DATEN

124 EU-Neuordnung Datenschutz
ARGE DATEN

125 Fahrplan zu einem neuen EU-Datenschutzrecht
EU-Neuregelung des Datenschutzes Fahrplan zu einem neuen EU-Datenschutzrecht Kommissionsmitteilung Konzept für neues Datenschutzrecht zu entwickeln - bis europaweites Konsultationsverfahren Entwurf einer EU-Verordnung Datenschutz - geplant war bis Ende 2013 Konsultationsverfahren in Europäischem Parlament und im Rat - Oktober 2013 Abstimmung im LIBE-Ausschuß des EU- Parlaments (Verhandlungsmandat des Parlaments) - Stand März 2015 Rats-Arbeitsgruppe verhandelt noch an gemeinsamer Position ("Bremser": GB, DE) - Sommer/Herbst 2015 (??) Start Trialog - Ende 2015 (??) abstimmungsfähiger Endentwurf Informationen zur weiteren Entwicklung der EU-Verordnung: ARGE DATEN

126 Eckpfeiler der neuen EU-Datenschutz VO
EU-Neuregelung des Datenschutzes Eckpfeiler der neuen EU-Datenschutz VO - verpflichtender Datenschutzbeauftragter für alle öffentlichen Einrichtungen und für Unternehmen mit Unternehmensgegenstand personenbezogene Datenverarbeitung + Variante Kommission: Unternehmen ab 250 MA Variante EU-Parlament: Unternehmen ab PersonenDS - drastisch höhere Strafbstimmungen (an Kartellrecht angelehnt) Variante Kommission: bis zu 2% des Konzernumsatzes bzw. bis zu 1 Mio Euro Variante EU-Parlament: bis zu 5% des Konzernumsatzes - Entfall von Meldepflichten, weitreichende interne Dokumentations- und Folgeabschätzungspflichten - "doppeltes" One-Stop-Shop-System: a) je Auftraggeber ist nur eine Aufsichtsstelle zuständig (Hauptsitz des Auftraggebers, statt bisher für jede Niederlassung die jeweilige nationale Behörde) b) jeder Betroffene kann sich für alle EU-Auftraggeber an seine nationale Aufsichtsbehörde wenden - ARGE DATEN

127 Eckpfeiler der neuen EU-Datenschutz VO II
EU-Neuregelung des Datenschutzes Eckpfeiler der neuen EU-Datenschutz VO II - Einführung neuer "Prinzipien": a) Prinzip der Datensparsamkeit (inkl. "Recht auf Vergessen werden") b) Förderung technischer Datenschutzmaßnahmen ("Privacy by Design") c) Privatsphäreeinstellungen sollen Standard werden ("Privacy by Default") - neue Kategorien sensibler Daten (z.B. "Gendaten") - Klagsbefugnis für Verbände - Vereinfachungen im internationalen Datentransfer Geplante Maßnahmen, die schon wieder weg sind - Schaffung von Datenportabilität - ARGE DATEN

128 Ich danke für Ihre Aufmerksamkeit
- ARGE DATEN

129 Onlineinformation ARGE DATEN http://www.argedaten.at/
Weitere Datenschutzeinrichtungen - Weitere Rechtsinformationen - Entscheidungen finden sich im RIS: - (Datenschutzkommission)‏ - (OGH-Entscheidungen)‏ Technische Informationen - Bundesamt fuer Sicherheit in der Informationstechnik (BSI) - CERT - Online-Sicherheitsstatus - DFN Cert - Security-Server - Informationstechnik-Koordination (BKA Wien) ARGE DATEN


Herunterladen ppt "Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven"

Ähnliche Präsentationen


Google-Anzeigen