Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Informationstechnlogien - Praktische Umsetzung rechtlicher Vorgaben Hans.

Ähnliche Präsentationen


Präsentation zum Thema: "© Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Informationstechnlogien - Praktische Umsetzung rechtlicher Vorgaben Hans."—  Präsentation transkript:

1

2 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Informationstechnlogien - Praktische Umsetzung rechtlicher Vorgaben Hans G. Zeger Wien, TU-Wien SS03

3 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben privacy & security Die Idee vom Datenschutz Betroffenenrechte Aufgaben des Datenverarbeiters Sicherheit als Grundlage von privacy

4 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Die Idee vom Datenschutz privacy ( früher: Datenschutz ) Sicherung der freien Entscheidung, wer welche Informationen über meine Person erhält. Die Menschen werden vor einem Übermaß an Datenerhebungen geschützt. Jede Datenverwendung muß sozial und rechtlich legitimiert sein security/safety ( = Datensicherheit) Die Daten werden vor der (nicht immer freundlichen) Umwelt geschützt.

5 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben 1958 EMRK in Österreich ratifiziert 1978 DSG78 verabschiedet 1980 Inkrafttreten DSG Gleichwertigkeitsverordnung 1981 Europaratsübereinkommen DS 1981 OECD Empfehlung DS 1987 DSG Novelle (Betroffenenrechte) Der Weg zum neuen Datenschutz

6 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben 1988 Europaratsübereinkommen ratifiziert 1995 Verfassungsbestimmung zur DSK 1995 Inkrafttreten EU Richtlinie 1998 Ende Umsetzungsfrist 1999 Beschlußfassung DSG Verlautbarung DSG Inkrafttreten DSG 2000 ???? Regelungen zu Biometrie & Videoüberwachung Der Weg zum neuen Datenschutz

7 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen Umsetzung der EU-Richtlinie "Datenschutz" Nachfolge des "alten" DSG Versuch auf die neuen Herausforderungen vernetzter Informationssysteme zu reagieren soll Privatsphäre und Informationsaustausch sichern

8 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen Ziele neuer Datenschutzregelungen: Datenverarbeitungen sind allgegenwärtig Datenverarbeitungen hat für die Betroffenen transparent zu sein Sowohl öffentlich-rechtliche, als auch privat-rechtliche Datenverarbeitungen können Grundrechte gefährden Wesentlich ist der Schutz der Privatsphäre, nicht die Regulierung der Verarbeitungsform Schwerpunkt liegt in der Schaffung "fairer" Vereinbarungen mit Betroffenen

9 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Umsetzungsstand in den EU Staaten Vollständig umgesetzt Nicht umgesetzt

10 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Welches Datenschutzrecht ist anzuwenden? aus dem DSG2000 §3 (Verfassungsbestimmung) EU-weit gilt die Zuständigkeit jener Gesetzgebung, wo der Auftraggeber ("für die Verarbeitung Verantwortliche") seine Niederlassung hat. DSG2000 gilt nicht für den bloßen Datentransport durch Österreich Geltung des DSG2000 ist nicht von der österreichischen Staatsbürgerschaft abhängig, ebenso nicht vom Aufenthalt des Betroffenen in Österreich Welches Datenschutzrecht ist anzuwenden? aus dem DSG2000 §3 (Verfassungsbestimmung) EU-weit gilt die Zuständigkeit jener Gesetzgebung, wo der Auftraggeber ("für die Verarbeitung Verantwortliche") seine Niederlassung hat. DSG2000 gilt nicht für den bloßen Datentransport durch Österreich Geltung des DSG2000 ist nicht von der österreichischen Staatsbürgerschaft abhängig, ebenso nicht vom Aufenthalt des Betroffenen in Österreich EU-Richtlinie Anwendungsbereich

11 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Betroffener in Österreich Betroffener nicht in Österreich in Österreich DV- Anwendung in Österreich Auftrag- geber öDSG2000 Ja Nein, nicht EU nicht in Österr. aber EU weder Österr. noch EU öDSG2000 EU-xDSG öDSG2000 Ja Nein ??DSG EU-xDSG Nein, EU EU-Richtlinie Anwendungsbereich

12 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen Grundsätzlich gilt die Geheimhaltung aller persönlicher Daten DSG2000 §1 (Verfassungsbestimmung) Geheimhaltungsanspruch Einschränkungen der Geheimhaltung Subjektive Rechte zweiteilige Rechtsdurchsetzung Umfangreiche Entscheidungspraxis

13 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen Betroffenenrecht - Geheimhaltung (§1ff) Achtung der Privatsphäre gem. Art. 8 EMRK "(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht..." Einschränkungen möglich aufgrund - der Zustimmung des Betroffenen - lebenswichtiger Interessen des Betroffenen - von Gesetzen (Behörden) - Wahrung überwiegender Interessen Dritter

14 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen Entscheidungen zu DSG2000 §1 (I) /003-DSK/2002 ("SV-Auskunft") Auskunft über Beschäftigung im Rahmen eines Unterhaltsverfahrens /004-DSK/2002 ("Fahrtüchtigkeit") Weitergabe Daten eine an Verkehrsbehörde /32-DSK/00 ("Lehrerliste") Weitergabe einer Lehrerliste an Postbediensteten /22-DSK/00 ("Autowrack") Weitergabe Daten eines Beschuldigten an lokale Zeitung

15 © Hans G. Zeger 2003

16 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen Entscheidungen zu DSG2000 §1 (II) /3-DSK/00 ("unstrukturierte Datensammlungen") Grundrecht auf Geheimhaltung gilt grundsätzlich allen personenbezogenen Datensammlungen /14-DSK/00 ("Briefaushang") Aushang eines Briefes nicht grundsätzlich ein Geheimhaltungsbruch /8-DSK/00 ("Tratsch&Klatsch") Bloße Kenntnisnahme von geheimhaltungswürdigen Informationen noch kein Geheimnisbruch Wichtig! Abgrenzung zur Datenermittlung!

17 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen "Daten" ("personenbezogene Daten") DSG2000 §4 Z1 "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" Entscheidung DSK /16-DSK/00 "Verwandtschaft und Wohnungsnutzung" Daten zu Verwandtschaft und Wohnungsnutzung fallen unter den Datenbegriff und können sogar in den Bereich 'sensible Daten' (Z2) fallen.

18 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen "sensible" Daten (DSG2000 §4 Z2) Daten natürlicher Personen über rassische und ethnische Herkunft politische Meinung Gewerkschaftszugehörigkeit religiöse und philosophische Überzeugung Gesundheit Sexualleben zusätzlich: "besonders schutzwürdige" Daten

19 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen Personenbezogene Daten Indirekt personen- bezogene Daten personenbezogene Daten besonders schutzwürdige Daten sensible Daten

20 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Regelungen zu den "indirekt" personenbezogenen Daten (DSG2000 §4 Z1, §8, 9, 12, 17, 29, 46) DSG2000 geht generell von "keiner Verletzung von Geheimhaltungspflichten" aus genehmigungsfreie Übermittlung ins Ausland kein Recht auf Auskunft, Löschung, Berichtigung und Widerspruch keine Meldepflicht, Registrierungspflicht Verwertbarkeit für wissenschaftliche Zwecke und Statistik EU-Ansatz geht in entgegengesetzte Richtung Regelungen zu den "indirekt" personenbezogenen Daten (DSG2000 §4 Z1, §8, 9, 12, 17, 29, 46) DSG2000 geht generell von "keiner Verletzung von Geheimhaltungspflichten" aus genehmigungsfreie Übermittlung ins Ausland kein Recht auf Auskunft, Löschung, Berichtigung und Widerspruch keine Meldepflicht, Registrierungspflicht Verwertbarkeit für wissenschaftliche Zwecke und Statistik EU-Ansatz geht in entgegengesetzte Richtung DSG Grundlagen

21 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen "Auftraggeber" / Verantwortlicher einer Datenanwendung (DSG2000 §4 Z4) "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft" Entscheidung DSK /002-DSK/2001 "Auftraggeber können auch sonstige Personengemeinschaften sein"

22 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Wer ist ein Dienstleister? ( DSG2000 §§ 4, 10, 11) Es ist eine ausdrückliche Vereinbarung zu treffen Gewährleistung eines sicheren Betriebes Informationspflicht an die DSK, bei bestimmten Datenanwendungen nur auftragsgemäße Verwendung der Daten zu Sicherheitsmaßnahmen verpflichtet Subunternehmer nur mit Billigung des Auftraggebers Wer ist ein Dienstleister? ( DSG2000 §§ 4, 10, 11) Es ist eine ausdrückliche Vereinbarung zu treffen Gewährleistung eines sicheren Betriebes Informationspflicht an die DSK, bei bestimmten Datenanwendungen nur auftragsgemäße Verwendung der Daten zu Sicherheitsmaßnahmen verpflichtet Subunternehmer nur mit Billigung des Auftraggebers DSG Grundlagen

23 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen "Datei" (DSG2000 §4 Z6) "strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind" Entscheidung 6Ob148/00h "Abgrenzung Akten und Datei" Unter Datei sind daher Karteien und Listen, nicht aber Akten und Aktenkonvolute zu verstehen.

24 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen,,Datenanwendung'' (früher:,,Datenverarbeitung'') DSG2000 §4 Z7, §58 "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte" DSG2000 kennt "besondere Datenanwendungen" Entscheidung DSK /7-DSK/00 "Urkunden und Aktensammlungen" Akten, Aktensammlungen und deren Deckblätter fallen nicht in den Anwendungsbereich des DSG 2000 Unberührt davon bleibt das Recht auf Akteneinsicht, das Auskunftspflichtgesetz, Regelungen des Arbeitsrecht (Personalakte)

25 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen "Übermitteln von Daten" (DSG2000 §4 Z12) "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister" Entscheidung DSK /16-DSK/00 "technisch unabhängig" Übermittlung ist unabhängig von der technischen Methode Verschiedene Gesetze können unterschiedliche Regelungen enthalten, im DSG 2000 ist Übermittlung an Vorliegen einer 'Datenanwendung' geknüpft.

26 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen "Zustimmung" (DSG 2000 §4 Z14) "die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, daß er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt" Entscheidung OGH 6 Ob 179/02f ("CA-BA") siehe auch: OGH 6 Ob 16/01y ("MOBILKOM") OGH 4Ob28/01y ("Creditanstalt") OGH 7 Ob 170/98w ("Friends-of-Merkur")

27 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen OGH 6 Ob 179/02f ("CA-BA") Die kritisierten Datenschutz-Bestimmungen -AGB's Z26 / Z27 -Weitergabe an Kleinkreditevidenz/Warndateien / KSV1870 -Weitergabe an sonstige Einrichtungen zur Risikobeurteilung (Refinanzierungsgeber, Einlagen- und Anlegerentschädigungseinrichtungen,...) -Entbindung vom Bankgeheimnis Die wichtigsten Punkte der Entscheidung -Hinweis auf Widerruf wesentlicher Teil der Zustimmung -besondere Informationspflicht in der Abgrenzung zustimmungspflichtiger Datenübermittlungen von anderen -Entbindung vom Bankgeheimnis muß auch bei oberflächlicher Kenntnisnahme klar und eindeutig sein -Widerspruch zu Treu und Glauben (§6 DSG 2000)

28 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen Die wichtigsten Begriffe Verwenden von Daten Z8 ÜbermittelnVerarbeiten Z9 Z12 Daten- anwendung Z7 Auftraggeber Z4 ÜberlassenErmitteln Z10 Z11 Dienstleister Z5

29 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Verwendung von Daten nach "Treu und Glauben" DSG2000 §6 Umsetzung der Datenschutzkonvention des Europarates Verwendung nach Treu und Glauben (Abs. 1 Z1) Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (Abs. 1 Z2) Weiterverwendungsverbot für unvereinbare Zwecke (Abs. 1 Z2) Weiterverwendung für wissenschaftliche und statistische Zwecke ist zulässig (Abs. 1 Z2) Verwendung von Daten nach "Treu und Glauben" DSG2000 §6 Umsetzung der Datenschutzkonvention des Europarates Verwendung nach Treu und Glauben (Abs. 1 Z1) Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (Abs. 1 Z2) Weiterverwendungsverbot für unvereinbare Zwecke (Abs. 1 Z2) Weiterverwendung für wissenschaftliche und statistische Zwecke ist zulässig (Abs. 1 Z2) DSG Grundsätze

30 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Verwendung von Daten nach "Treu und Glauben" II Daten müssen für den Zweck der Datenanwendung wesentlich sein (Abs. 1 Z3) Verwendung muß im Ergebnis sachlich richtig sein (Abs. 1 Z4) DS-RL Art. 6 lit. d: Verwendung muß "sachlich richtig" sein Daten müssen, wenn nötig auf den neuesten Stand gebracht werden (Abs. 1 Z4) Aufbewahrung für die Erreichung der Zwecke notwendig (Ausnahmen, etwa aus gesetzlichen Gründen, wie Archive möglich) (Abs. 1 Z5) Verwendung von Daten nach "Treu und Glauben" II Daten müssen für den Zweck der Datenanwendung wesentlich sein (Abs. 1 Z3) Verwendung muß im Ergebnis sachlich richtig sein (Abs. 1 Z4) DS-RL Art. 6 lit. d: Verwendung muß "sachlich richtig" sein Daten müssen, wenn nötig auf den neuesten Stand gebracht werden (Abs. 1 Z4) Aufbewahrung für die Erreichung der Zwecke notwendig (Ausnahmen, etwa aus gesetzlichen Gründen, wie Archive möglich) (Abs. 1 Z5) DSG Grundsätze

31 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen Grundlage einer rechtmässigen Datenverwendung (§7ff) Zweistufiges Konzept Es muß eine Rechtsgrundlage für eine Datenanwendung geben (§7 Abs.1) Es muß eine Rechtsgrundlage für die Verwendung der konkreten Daten geben (§§7ff) Musterbeispiele: Auswertung von Girokonten zur Anbahnung von Bausparverträgen (OGH 4 Ob 114/91) Risikodatenbank der Anästhesisten bezüglich von Komplikationen bei der Narkose bei chirurgischen Eingriffen.

32 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen Entscheidungen zu DSG2000 § /4-DSK/00 ("Privatermittlungen") Vorliegen der Übermittlungsvoraussetzung führt nicht zum Recht Daten tatsächlich zu erhalten /8-DSK/00 ("Eigenwerbung") Zum Zwecke der "Eigenwerbung" dürfen auch Daten anderer Zwecke des Datenverarbeiters benutzt werden

33 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen Geheimhaltungsinteressen bei Datenverwendung (§8- nicht-sensible Daten, §9-sensible Daten) Wann dürfen Daten verwendet werden? (Auszug) -Rechtsgrundlage / gesetzliche Verpflichtungen -Zustimmung des Betroffenen -zulässig veröffentliche Daten -notwendige Voraussetzung -überwiegende Interessen Dritter

34 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Grundlagen Entscheidungen zu DSG2000 §8/ /004-DSK/2001 ("Einsichtnahme") Sind Daten auch nur lokal einsehbar, gelten sie als veröffentlicht /001-DSK/2001 ("Geburtsdatum") Zusätzliche Daten dürfen auf Briefstücken nur aus besonderen Gründen angebracht werden

35 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Betroffenenrechte [Recht auf Geheimhaltung (§1ff)] Recht auf Auskunft (§26) Recht auf Berichtigung und Löschung (§27) Informationsrecht (§24) Recht auf Widerspruch (§28) Recht auf Widerruf (§8, 9)

36 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Betroffenenrechte Betroffenenrecht - Informationspflicht (§24) Informationspflicht anläßlich Ermittlung Zweck Auftraggeber Spätestens zum Zeitpunkt der Übermittlung umfaßt auch notwendige weitere Informationspflichten Entfällt unter gewissen Bedingungen Informationspflicht ist "Bringschuld" !

37 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Betroffenenrechte Betroffenenrecht - Auskunft I (§26) Auskunft ist auf Verlangen zu geben (Abs. 1) Auskunftsfrist sind 8 Wochen (Abs. 4) Betroffener hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3) ungerechtfertigter Aufwand ist zu vermeiden begründete Auskunftsverweigerung ist möglich Auskunftsrecht ist "Holschuld" !

38 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Betroffenenrechte Betroffenenrecht - Auskunft II (§26) Auftraggeber hat Auskunft zu erteilen über die verwendeten Daten in allgemein verständlicher Form verfügbare Information über ihre Herkunft allfällige Empfänger oder Empfängerkreise von Übermittlungen Name und Adresse des Dienstleisters (muß vom Betroffenen extra verlangt werden)

39 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Betroffenenrechte Entscheidungen zu DSG2000 § /010-DSK/2002 ("Mitwirkung") Mitwirkungspflicht inkludiert keine Beweislast /016-DSK/2002 ("Datengeheimnis") Daten- und Bankgeheimnis sind keine ernsthaften Auskunftsverweigerungsgründe, gemeinsame Auskunftsbegehren sind möglich /016-DSK/2002 ("Beschwerdefrist") Beschwerde bei mangelhafter Auskunft kann nach Erteilung der Auskunft, noch vor Ablauf der 8-Wochenfrist eingebracht werden

40 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Betroffenenrechte Betroffenenrecht - Löschung/Richtigstellung (§27) Richtigstellungspflicht des Auftraggebers Frist ist 8 Wochen betrifft auch unvollständige Daten nicht benötigte und unzulässig verarbeitete Daten sind zu löschen Beweislast beim Auftraggeber (mit Ausnahmen) /003-DSK/2002 ("KPA-Löschung") Daten, die den angestrebten Zweck nicht erfüllen, sind zu löschen

41 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Betroffenenrechte Betroffenenrecht - Widerspruch / Widerruf Zustimmung zur Verwendung von Daten kann widerrufen werden (§8) Widerspruch (§28) nur bei nicht gesetzlich vorgeschriebenen Datenanwendungen möglich Widerspruch bei überwiegenden, schutzwürdigen Gründen Widerspruch bei öffentlich zugänglichen Dateien

42 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Betroffenenrechte Beschwerdestellen -Datenschutzkommission In allen Auskunftsfällen und für alle Bereiche bei allen öffentlich-rechtlichen Datenanwendungen -Zivilgericht In allen sonstigen Fällen, die durch das DSG 2000 geregelt sind -Europäische Kommission Für alle Bereiche der EU-Richtlinie Datenschutz, die nicht von nationalen Gesetzen und Behörden abgedeckt sind

43 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Sicherheit / Internet Cybercrime-Bestimmungen Spezifische Internetfragen Sicherheitsbestimmungen (DSG 2000 §14) Verschwiegenheitspflichten

44 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Sicherheit "alte" Strafbestimmungen u.a. -§126a StGB Datenbeschädigung -§148a StGB Betrügerischer Datenverarbeitungsmißbrauch -§118 Verletzung des Briefgeheimnisses und Unterdrückung von Briefen -§119 Verletzung des Telekommunikationsgeheimnisses -§122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses "Amts"-Bestimmungen -Schutz des Behörden"geheimnis" (StGB §§301, 302, 310)

45 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Sicherheit

46 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Sicherheit Neue "cybercrime"-Bestimmungen (seit ) -§118a Widerrechtlicher Zugriff auf ein Computersystem ["Hacken"] -§119a Missbräuchliches Abfangen von Daten -§126b Störung der Funktionsfähigkeit eines Computersystems [DOS-Attacken] -§126c Missbrauch von Computerprogrammen oder Zugangsdaten ["Cracken"] -§225a Datenfälschung In Planung (??.??.????) -Aufbewahrungspflicht für Telekom- und Internetdaten

47 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Sicherheit

48 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Sicherheit Sicherheitsbestimmungen (§14) eher allgemein Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden: Stand der Technik entsprechend wirtschaftlich vertretbar angemessenes Schutzniveau muß erreicht werden Auffällig ist das FEHLEN konkreter Sicherheitshinweise keine Empfehlungen, keine Definitionen zum Stand der Technik, keine vorgeschriebenen Standards, kein freiwilliges Akkreditierungsverfahren

49 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Sicherheit Maßnahmen zur Sicherheit ausdrückliche Aufgabenverteilung ausschließlich auftragsgemäße Datenverwendung Belehrungspflicht der Mitarbeiter Regelung der Zugriffs- und Zutrittsberechtigungen Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten Protokollierungspflicht Dokumentationspflicht zur Kontrolle und Beweissicherung

50 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Haftung bei fehlenden Datensicherheitsmaßnahmen OGH Entscheidung (9 Ob A 182/90) Sachverhalt: Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden. Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren. Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen". DSG Sicherheit

51 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Sicherheit Protokollierungsanforderungen (§14) Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z7) Protokollierungspflicht nicht registrierter Übermittlungen (Abs. 3) Verwendungsbeschränkung der Protokolldaten (Abs. 4, 5) Sicherheitsvorschriften müssen für Mitarbeiter jederzeit einschaubar sein (Abs. 6)

52 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Arbeitsrechtliche Bestimmungen Mitarbeiterdaten ArbVG kennt spezifische Informations-, Zustimmungs- und "ersetzbare" Zustimmungspflichten Eingriffe in Arbeitsautonomie als "berühren" der Menschenwürde zustimmungspflichtig "Überwachung" als verletzen der Menschenwürde verboten Beispiele Telefondatenaufzeichnung Inhaltskontrolle von Mails Video-Aufzeichnung Kantinenabrechnung

53 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Arbeitsrechtliche Bestimmungen

54 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Arbeitsrechtliche Bestimmungen Inhalt einer Betriebsvereinbarung Betroffener Personenkreis Systembeschreibung Gegenstand des Übereinkommens, Zweck der Verarbeitung Definition der verwendeten Daten Definition der Datennutzung Abgrenzung zu anderen Datenverarbeitungen Definition von Codes und Wertebereichen Maximale Dauer der gespeicherten Daten Vorgangsweise bei Änderung des Systems Anwendungs- und Auslegungsgrundsatz Schlichtungskommission Geltungszeitraum

55 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Arbeitsrechtliche Bestimmungen

56 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Sicherheit Protokollierung vs. Mitarbeiterüberwachung Scheinbarer Widerspruch zwischen §96 ArbVG und §14 DSG 2000 Verschiedene Protokollierungszwecke bedeuten verschiedene Datenanwendungen (auch bei denselben Daten) Mitarbeiteranweisungen sind wesentlich! Vereinbarungen mit Betriebsrat/Personalvertretung sind zu beachten Maßnahmen zur Aufdeckung eines konkreten Mißbrauchs, sind immer zulässig!

57 © Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben DSG Verschwiegenheit Verpflichtung zum Datengeheimnis (§15) Mitarbeiter sind - sofern nicht berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden. Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln. Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren. Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung (!) kein Nachteil erwachsen.


Herunterladen ppt "© Hans G. Zeger 2003 VO SS03 - IT - Praktische Umsetzung rechtlicher Vorgaben Informationstechnlogien - Praktische Umsetzung rechtlicher Vorgaben Hans."

Ähnliche Präsentationen


Google-Anzeigen