Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© ARGE DATEN 2013 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven Hans G. Zeger, ARGE DATEN Wien, NH Danube City, 22. Oktober 2013 ARGE DATEN.

Ähnliche Präsentationen


Präsentation zum Thema: "© ARGE DATEN 2013 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven Hans G. Zeger, ARGE DATEN Wien, NH Danube City, 22. Oktober 2013 ARGE DATEN."—  Präsentation transkript:

1 © ARGE DATEN 2013 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven Hans G. Zeger, ARGE DATEN Wien, NH Danube City, 22. Oktober 2013 ARGE DATEN

2 © ARGE DATEN 2013 Die ARGE DATEN als PRIVACY-Organisation Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: -Web-Service: Besucher/Monat -Newsletter: rund Abonnenten -2012: rund 500 Medienanfragen/-berichte Mitgliederbetreuung Datenschutzfragen -2012: ca. 600 Datenschutz-Anfragen Rechtsschutz, PRIVACY-Services -2012: in ca. 200 Fällen Mitglieder in Verfahren vertreten Zahl der betreuten Mitglieder -aktuell: ca Personen Studien- und Beratungsprojekte A-CERT - Zertifizierungsdienstleister gem. SigG ARGE DATEN

3 © ARGE DATEN 2013 ARGE DATEN Betrieblicher Datenschutzbeauftragter Ausbildungsreihe der ARGE DATEN Modul I:Datenschutz Grundlagen Modul IV:Datenschutz Praxis / international 24. Oktober 2013 / 27. März 2014 Modul II:Datenverwendung im Unternehmen 23. Oktober 2013 / 26. März 2014 Modul III:Datenschutz und IT-Sicherheit 5. November 2013 / 8. April 2014 Modul V:Datenschutzfragen identifizieren 6. November 2013 / 9. April 2014 Die Reihe wird mit einem Zertifikat abgeschlossen

4 © ARGE DATEN 2013 ARGE DATEN Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell- schaft das Grundrecht auf Privatsphäre zu sichern.

5 © ARGE DATEN 2013 ARGE DATEN Grundlagen DSG 2000 / Privatsphäre EU-Neuordnung Datenschutz / Ausblick Videoüberwachung / Spezialregelungen Genehmigung / Registrierung Informationspflichten & Betroffenenrechte Geplanter Seminarablauf Sicherheit / Strafbestimmungen

6 © ARGE DATEN 2013 ARGE DATEN Grundlagen des DSG 2000 Die wichtigsten Begriffe Zustimmung Zulässigkeit der Datenverwendung Rechtmäßige Datenanwendung

7 © ARGE DATEN 2013 ARGE DATEN Entwicklung zum DSG erstes Datenschutzgesetz - DSG (BGBl. Nr. 565/1978) (Geltung ) 1995EG-Datenschutzrichtlinie 95/46/EG 1999Datenschutzgesetz - DSG 2000 (BGBl. I Nr. 165/1999) Wichtige Änderungen zum DSG 2000 (Auswahl) 2001Euro-Umstellung der Verwaltungsstrafen (BGBl. I Nr. 136/2001) 2005"Tsunami"-Bestimmung (BGBl. I Nr. 13/2005) 2008Änderungen in Verfassungsbestimmungen (BGBl. I Nr. 2/2008) 2009DSG Novelle 2010 (BGBl. I Nr. 133/2009) 2012Verwaltungsgerichtsbarkeits-Novelle 2012 (BGBl. I Nr. 51/2012) 2013DSG Novelle 2013 (BGBl. I Nr. 57/2013) 2013DSG Novelle 2014 (BGBl. I Nr. 83/2013) 20?? EU - Neuordnung des Datenschutzes DSG Grundlagen

8 © ARGE DATEN 2013 Umsetzung der EU-Richtlinie "Datenschutz" (1995) soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch innerhalb der EU (Art.1 Abs.2) sichern Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten." Art. 1 Abs. 2 "Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes." EU-RL gilt nur für "natürliche Personen" DSG 2000 auch für "juristische und sonstige Personen" damit vertritt Österreich EU-weit eine exotische Position Bestimmungen betreffen alle Verwendungsformen persönlicher Daten, nicht nur automatisiert verarbeitete Daten DSG Grundlagen ARGE DATEN

9 © ARGE DATEN 2013 DSG Grundrecht DSG 2000 § 1 (Verfassungsbestimmung) : "jede Verwendung persönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Europarechtliche Grundlage (Art. 8 RL 95/46/EG Datenschutz-Richtlinie) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots ist möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen -EU-Vorschlag: auf Basis rechtlicher Befugnisse (Gesetze, Verträge) Einschränkungen des Verbots sind möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen ARGE DATEN

10 © ARGE DATEN 2013 ARGE DATEN DSG 2000 § 4 Z 1 "Daten" ("personenbezogene Daten") "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" DSG 2000 § 4 Z 3 "Betroffener" "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" Datenbegriff sehr allgemein gehalten, umfasst auch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. Stromverbrauchsdaten, IP-Adressen, ),... DSG Grundlagen

11 © ARGE DATEN 2013 ARGE DATEN Personenbezogene Daten Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!) personenbezogene Daten § 4 Z 1 DSG 2000sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG 2000 (kein EU-Begriff) sensible Daten § 4 Z 2 DSG 2000 DSG Grundlagen

12 © ARGE DATEN 2013 ARGE DATEN DSG 2000 § 4 Z 2 ("sensible" Daten) Daten natürlicher Personen über rassische und ethnische Herkunft politische Meinung Gewerkschaftszugehörigkeit religiöse und philosophische Überzeugung Gesundheit Sexualleben Probleme kann die Abgrenzung bereiten, z.B. Hautfarbe, Speisegewohnheiten, "Kopftuch", Sozialberatung DSG Grundlagen

13 © ARGE DATEN 2013 ARGE DATEN DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung) DSG 2000 § 4 Z 5 "Dienstleister" natürliche oder juristische Personen,......, wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung) DSG Grundlagen

14 © ARGE DATEN 2013 ARGE DATEN DSG Grundlagen DSG 2000 § 4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem [personenbezogenen, Anm.] Suchkriterium zugänglich sind" DSG 2000 § 4 Z 7,,Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)" DSG 2000 § 4 Z 8 " Verwenden von Daten" "jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten"

15 © ARGE DATEN 2013 ARGE DATEN Entscheidung OGH 6Ob148/00h "Abgrenzung Akten und Datei" Unter Datei sind daher Übersichts-Karteien und Listen, nicht aber Akteninhalte und Aktenkonvolute zu verstehen. OGH-Spruch: Daten in Akten unterliegen nicht dem Datenschutzgesetz (!) DSK K /005-DSK/2002 ("Personalakte") "Der Personalakt selbst ist ein Konvolut verschiedener Papieraktenstücke und wird zwar wohl nach einem Suchbegriff geordnet aufbewahrt, hat aber keinen fest strukturierten Inhalt." Akten, Aktensammlungen und deren Deckblätter fallen nicht in den Anwendungsbereich des DSG 2000, Unberührt davon bleibt das Recht auf Akteneinsicht, das Auskunftspflichtgesetz, Regelungen des Arbeitsrechts (Personalakte) DSK und OGH-Entscheidungen zu Papierakten werden als Richtlinien- und DSG widrig kritisiert (u.a. Mayer-Schönberger, Datenschutz und Papierakten) DSG Grundlagen

16 © ARGE DATEN 2013 ARGE DATEN DSG 2000 § 4 Z 9 "Verarbeiten von Daten" "das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten" DSG 2000 § 4 Z 12 "Übermitteln von Daten" "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister" Entscheidung DSK K /16-DSK/00 "technisch unabhängig" Übermittlung ist unabhängig von der technischen Methode DSG Grundlagen

17 © ARGE DATEN 2013 ARGE DATEN DSG Grundlagen DSG 2000 § 4 Z 14 "Zustimmung" "die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt" Widerruf der Zustimmung in § 8 bzw. § 9 geregelt Entscheidung OGH 4 Ob 221/06p ("GE...bank") OGH 4 Ob 28/01y ("Creditanstalt") OGH 4 Ob 179/02f ("BA-CA") Damit schließt diese Definition für die Zukunft abgegebene allgemeine Zustimmungserklärungen aus Von der Zustimmung iS DSG 2000 § 4 Z 14 sind andere vertragliche Vereinbarungen zur Nutzung von Daten zu unterscheiden, etwa im Rahmen von Bestellungen, Kundenkarten,...

18 © ARGE DATEN 2013 ARGE DATEN OGH 4 Ob 221/06p ("GE...bank") AK klagt Vielzahl von AGB-Klauseln Datenschutzbestimmungen betreffen: -Entbindung vom Bankgeheimnis (OGH unzulässig in den AGB's, hat jedoch ausdrücklich zu erfolgen) -Zustimmung zur Datenaustausch mit Auskunftsdiensten (OGH Stellen sind ausdrücklich zu benennen, nicht ausreichend in AGB's, Daten sind zu spezifizieren, Zweifel ob im vorliegenden Fall überhaupt berechtigt) - OGH: Aus Pflicht zur Bonitätsprüfung kann keine Datenweitergabe an Auskunftsdienste abgeleitet werden -Zustimmung zu Werbezwecken (OGH Widerrufsmöglichkeit muss in derselben Klausel wie Zustimmung sein, ansonsten Irreführungsmöglichkeit) -Übermittlung an andere Unternehmen zu Werbezwecken (OGH Unternehmen, Daten und Zwecke müssen vollständig angeführt sein) Die geklagten Klauseln werden durchwegs aufgehoben DSG Grundlagen

19 © ARGE DATEN 2013 ARGE DATEN Was ist eine gute Zustimmungserklärung? -grundsätzlich gilt Formfreiheit auch mündlich (Beweisproblem), konkludent oder Teil der AGBs möglich -Willenserklärung Art wird vom Adressaten abhängen, bei Konsumenten höhere Anforderungen als bei Geschäftsleuten Empfehlung: ausdrückliche Unterschrift, getrennt von sonstigen Vereinbarungen -Kenntnis der Sachlage Aufklärung über Umfang der Datenarten, Inhalt der Daten, Zweck der Datenweitergabe, Empfänger der Daten (so detailliert, dass der Betroffene die konkreten Empfänger erkennen kann) - konkreter Fall Pauschalzustimmungen, ohne besonderen Zweck sind unzulässsig - Widerrufshinweis gesetzlich nicht vorgeschrieben, OGH tendiert jedoch dazu DSG Grundlagen

20 © ARGE DATEN 2013 Verwenden von Daten Z 8 ÜbermittelnVerarbeiten Z 9 Z 12 Daten- anwendung Z 7 Auftraggeber Z 4 Dienstleister Z 5 Auftrag Überlassen Z 11 Ermitteln, Auswerten, Sortieren, Speichern, Analysieren, Korrigieren, Ausdrucken, Anzeigen,... DSG Grundlagen Die wichtigsten Begriffe (§ 4 DSG Z...) ARGE DATEN

21 © ARGE DATEN 2013 ARGE DATEN DSG Grundlagen Grundsätze der Verwendung von Daten (§ 6ff) Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1) Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2) Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2) Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3) Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4) /010-DSK/2001 ("gelindester Eingriff") Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren

22 © ARGE DATEN 2013 ARGE DATEN

23 © ARGE DATEN 2013 ARGE DATEN Grundlage einer rechtmäßigen Datenverwendung Dreistufiges Konzept Es muss ein berechtigter Zweck für die Datenanwendung geben sein und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (§ 6, § 7 Abs.1) Es muss eine Rechtsgrundlage für die Verwendung der konkreten Daten eines Betroffenen geben (§§ 7ff) Die Datenanwendung muss den Registrierungserfordernissen entsprechen (§§ 16ff) Beispiele: Warndatei von Risikopatienten in einem Krankenhaus Dürfen im Zuge einer Unternehmensauflösung die Kundendaten verkauft werden? Bank als Veranstaltungsvermittler und "JugendClub"-Betreiber DSG Grundlagen

24 © ARGE DATEN 2013 ARGE DATEN Wie kann die Rechtmäßigkeit einer Datenverarbeitung abgeschätzt werden? (1) Rechtsgrundlage Die Verwendung von personenbezogenen Daten muss für ein legitimes Ziel (Gesetz, Vertrag,...) erforderlich sein. (2) Eignung Die Verwendung von Daten muss geeignet sein um das bestimmte, konkrete Ziel (Zweck) tatsächlich zu erreichen. (3) Erforderlichkeit Es gibt keine alternative (weniger invasive) Lösung zur Erreichung des bestimmten Ziels (Zweckes). (4) Verhältnismäßigkeit Die Verwendung der Daten führt zu keiner Verletzung höherwertiger Schutzrechte (Grundrechte). DSG Grundlagen

25 © ARGE DATEN 2013 ARGE DATEN Entscheidung zu DSG 2000 § 7 DSK K /8-DSK/00 ("Eigenwerbung") Zum Zwecke der "Eigenwerbung" dürfen auch Daten aus anderen Verwendungszwecken des Datenverarbeiters benutzt werden Die DSK geht davon aus, dass kein schutzwürdiges Interesse (Geheimhaltungsinteresse) verletzt wird. Das Vermerken von Spenden in einer Patientendatei wäre jedoch nach Ansicht der DSK unzulässig. Verwendung nicht uneingeschränkt zulässig, muss mit ursprünglichem Zweck grundsätzlich vereinbar sein Grundlage ist § 47 DSG 2000 "Datenverwendung zu Verständigungszwecken" DSG Grundlagen

26 © ARGE DATEN 2013 ARGE DATEN Zwecke und Geschäftsbereiche Auswertung von Girokonten zur Anbahnung von Bausparverträgen (OGH 4 Ob 114/91) Ausgangslage -eine sektorale Bausparkasse hat den ihr zugerechneten Banken vorgeschlagen, die Girokonten nach "Fremdbausparverträgen" bzw. "Nichtbausparern" zu analysieren und diese gezielt bezüglich eines Abschlusses eines Bausparvertrages anzusprechen -eine Datenübermittlung an die Bausparkasse fand nicht statt -die Bausparkasse stellte ein Auswertungstool zur Verfügung Entscheidung des OGH -unzulässige Datenverwendung -die Führung von Girokonten und die Vermittlung von Verträgen (hier: Bausparverträgen) sind als zwei getrennte Geschäftsbereiche anzusehen

27 © ARGE DATEN 2013 ARGE DATEN Zwecke und Geschäftsbereiche Fallbeispiel Bankkonto Welche Daten dürfen Banken bei Girokontoeröffnung erheben? -nach BWG verpflichtet: Identität des Antragstellers (Name, Adresse, Geburtsdatum, Ausweis) -aus Kontaktgründen sinnvoll: Telefonnummer, -Adresse -auf Grund spezifischer Angebote möglich: Dienstgeber Welche weiteren Daten erheben Banken? (Studie bei 19 Instituten) -SV-Nummer (5), Familienstand(13), Zahl der Kinder(6), Beruf/Beschäftigungsart(14), Wohnungsart(3), Bildung(2), PKW- Besitz(2) -nur 4 Institute stellen keine über den Zweck hinausgeehnde Fragen -Maximalvariante: ein Institut verlangte detaillierte Haushaltsrechnung

28 © ARGE DATEN 2013 Geheimhaltungsinteressen bei Datenverwendung (§ 8-nicht-sensible Daten, § 9-sensible Daten) Wann dürfen Daten jedenfalls verwendet werden? (Auszug) -Rechtsgrundlage / gesetzliche Verpflichtungen -Zustimmung des Betroffenen -zur Wahrung lebenswichtiger Interessen -überwiegende Interessen Dritter / Auftraggeber (nicht anwendbar bei sensiblen Daten!) z.B. notwendige Voraussetzung zur Vertragserfüllung, Ausübung von Rechtsansprüchen des Auftraggebers, behördliche Tätigkeit -indirekt personenbezogene Daten (EU-Konformität??) -zulässig veröffentliche Daten: soweit berechtigter Zweck des Verwenders gegeben? soweit mit ursprünglicher Veröffentlichung vereinbar? DSG Grundlagen ARGE DATEN

29 © ARGE DATEN 2013 ARGE DATEN Was ist eine zulässige Veröffentlichung? Veröffentlichen von Informationen -ist im DSG 2000 Spezialfall der Datenübermittlung -die Veröffentlichung muss rechtlich zulässig sein Beispiele für bedenkliche Veröffentlichungen: -Altersjubilare in der Gemeindezeitung genannt -Daten von Privathaushalten in einer Tourismusbroschüre angegeben (Kaprun) -Ehrentafel aller eingemeindeten Bürger -Teilnehmerlisten von Kongressen/Seminaren -Klassenbilder im Schuljahresbericht -Veröffentlichen von lokalen (Amateur-)Sportergebnissen mit Name, Adresse und Geburtsdatum im Internet -Zusammenstellung persönlicher Daten durch Personensuchmaschinen -Verwendung ungesicherter ("erratbarer") URLs bei Postzustellung DSG Veröffentlichung

30 © ARGE DATEN 2013 ARGE DATEN Beispiel Verwendung Mailadresse OGH-Entscheidung 6 Ob 167/06m Ausgangslage -WK-Obmann des Fachverbands Werbung klagt, weil seine auf der Webseite des Verbands veröffentlichte Mailadresse im Zusammenhang mit der "Robinsonliste" genannt wird -Mailadresse diene bloß für Fachverbandsmitglieder, nicht für Beschwerden von Konsumenten Entscheidung -kein Schutzinteresse, da Adresse von Betroffenen selbst mehrfach veröffentlicht wurde und ein sachlicher Zusammenhang zwischen der Robinsonliste, die in den Verantwortungsbereich des Fachverbands fällt und dem Obmann besteht DSG Veröffentlichung

31 © ARGE DATEN 2013 ARGE DATEN DSK K ("Nationalrat, Parlament") Ausgangslage -im Zuge einer parlamentarischen Anfragebeantwortung wurde eine Person (kein Politiker) namentlich genannt -Anfragebeantwortung wurde auf Website des Parlaments nicht anonymisiert veröffentlicht Entscheidung -keine Zuständigkeit der DSK gegeben -DSK nur bei Vollziehung der Gesetze ("öffentlicher Bereich" § 5 DSG 2000) und - teilweise - für private Datenverarbeiter zuständig -Datenschutzverletzung betrifft Gesetzgebung für Gesetzgebung, aber auch Justiz keine Zuständigkeit des DSG 2000, Gerichte haben jedoch vergleichbare Bestimmungen im GOG DSG Abgrenzung Zuständigkeit

32 © ARGE DATEN 2013 ARGE DATEN Videoüberwachung Informationsverbundsystem Verständigung / Adressenverlage automatisierte Einzelentscheidung Besondere Bestimmungen Wissenschaft und Forschung

33 © ARGE DATEN 2013 ARGE DATEN Videoüberwachung - Hintergrund (DSG 2000 § 50a ff) -keine offiziellen Statistiken über Umfang der Videoüberwachung in Österreich (Schätzung: Standorte mit Kameras) -keine Zahlen im staatlichen oder staatsnahen Bereich vorhanden -staatliche Videoüberwachung teilweise in SPG ("Gefahrenabwehr") und StPO ("Lauschangriff") geregelt -sonstige Videoüberwachungen sind personenbezogene Datenaufzeichnung und Teil des DSG 2000 ("bestimmbare" Personen) -spezifisches Problem: es werden vorrangig Personen erfasst, die NICHT unter den Aufzeichnungszweck fallen DSG Novelle Videoüberwachung

34 © ARGE DATEN 2013 ARGE DATEN Videoüberwachung - Definition (DSG 2000 § 50a Abs 1) Videoüberwachung ist definiert durch: -systematische und fortlaufende Feststellung von Ereignissen -betreffen bestimmte/überwachte Objekte oder Personen -Nutzung technischer Bildaufnahme- und Bildübertragungsgeräte Hinweis! Nicht jede Bildaufzeichnung fällt unter die Definition der Videoüberwachung! -einzelne Fotos/kurze Filme mit Digitalkameras oder Handykameras ("Touristenaufnahmen") -Aufnahmen aus fahrenden Autos heraus -Überwachung ohne identifizierende Absicht (technische Überwachungen, "Panoramakameras", "Hirsch-TV") DSG Novelle Videoüberwachung

35 © ARGE DATEN 2013 ARGE DATEN Videoüberwachung - zulässige Zwecke (DSG 2000 § 50a Abs. 2) Auswertung und Übermittlung zulässig, -zum Schutz eines überwachten Objekts oder einer überwachten Person -Erfüllung rechtlicher Sorgfaltspflichten einschließlich der Beweissicherung Einschränkungen -Persönlichkeitsschutz nach § 16 ABGB ist zu beachten -Höchstpersönliche Lebensbereiche dürfen nur bedingt aufgezeichnet werden (Abs. 5) -Mitarbeiterüberwachung ist nur bedingt zulässig (Abs. 5) DSG Novelle Videoüberwachung

36 © ARGE DATEN 2013 ARGE DATEN Videoüberwachung - zulässiger Einsatz I (DSG 2000 § 50a Abs. 3) -im lebenswichtigen Interesse des Betroffenen (Abs. 3 Z 1) [Intensivstation,...??] -Verhalten, das öffentlich wahrgenommen werden will (Abs. 3 Z 2) [öffentlicher Vortrag/Straßensänger, Teilnehmer einer Kundgebung,...??] -Betroffener hat Überwachung selbst ausdrücklich zugestimmt (Abs. 3 Z 3) Video-Einsatz gemäß diesem Absatz sieht keine Beschränkungen vor! DSG Novelle Videoüberwachung

37 © ARGE DATEN 2013 ARGE DATEN Videoüberwachung - zulässiger Einsatz IIa (DSG 2000 § 50a Abs. 4, 5) -berechtigte Annahme Objekt oder Person könnte Ziel oder Ort eines gefährlichen Angriffs werden (Abs. 4 Z 1) [siehe OGH-Judikatur, allgemeine Angst/Vorsorge dürfte nicht reichen, aber Standardanwendungen für Trafikanten, Bankfilialen, Juweliere, Tankstellen, eigene Wohnzwecke genutzte private Grundstücke, internationale Organisationen, Verwaltungsgebäude öffentlicher Rechtsträger, Parkgaragen und - plätze, Rechenzentren, weiterhin Einzelgenehmigung erforderlich: u.a. Supermärkte, sonstige Geschäftslokale, Betriebsstätten] -Rechtsvorschriften oder gerichtliche Entscheidungen auferlegen dem Auftraggeber besondere Sorgfaltspflichten zum Schutz von Personen/Objekten (Abs. 4 Z 2) [Tankstellen, Straßentunnel-Sicherheitsgesetz–STSG, ÖFB/Vereinsstatuten,...] DSG Videoüberwachung

38 © ARGE DATEN 2013 ARGE DATEN Videoüberwachung - zulässiger Einsatz IIb (DSG 2000 § 50a Abs. 4, 5) -bloße Echtzeitüberwachung (keine Aufzeichnung/Speicherung) zum Schutz von Leib/Leben oder Eigentum des Auftraggebers (Abs. 4 Z 3) ["verlängertes Auge": Monitore bei Hauseingängen, Garagen] Absolute Beschränkungen zu den Fällen Abs. 4 Z 1-3: -keine Überwachung höchstpersönlicher Lebensbereiche [kein ToilettenTV, Privatwohnungen, Umkleidekabinen, Umkleideräume??, Krankenbetten??, Gräber??, Betstätten??] -nicht zum Zweck der Mitarbeiterkontrolle [laut EB gemeint: Leistungskontrolle] DSG Novelle Videoüberwachung

39 © ARGE DATEN 2013 ARGE DATEN Videoüberwachung - Beispiel einer Begründung (nach DSG 2000 § 50a Abs. 4) Rechtsgrundlagen: "§§ 344, 353 ff ABGB (Eigentumsschutz), Hausrecht, Verkehrssicherungspflichten und Vertragshaftung, § 80 StPO, Veranstaltungsgesetz des jeweiligen Bundeslandes, Satzungen des ÖFB und der Bundesliga, Lizenzbestimmungen und Sicherheitsbestimmungen der Bundesliga" (aus der Registrierung DVR FK Austria Wien AG / Ausfüllmuster - Videoüberwachung in Stadien) Wesentlich ist das Vorliegen einer "dringenden Gefahr" DSG Novelle Videoüberwachung

40 © ARGE DATEN 2013 ARGE DATEN Videoüberwachung - weitere zulässige Verwendung ("Zufallsfunde") (DSG 2000 § 50a Abs. 6) -an Behörden und Gerichte bei Verdacht einer von Amts wegen gerichtlich bedrohten strafbaren Handlung [keine Privatanklagedelikte, Zivilverfahren, Verwaltungsübertretungen] -an Sicherheitsbehörden nach SPG § 53 Abs. 5 [Behörden entscheiden über Notwendigkeit] -Durchsetzungsbefugnisse zur Herausgabe von Beweismitteln bleiben bestehen [kein Entschlagungsgrund wegen DSG 2000 § 50a] DSG Novelle Videoüberwachung

41 © ARGE DATEN 2013 ARGE DATEN Videoüberwachung - Verwertungsverbote (DSG 2000 § 50a Abs. 7) -Videodaten dürfen nicht automationsunterstützt mit anderen Bilddaten abgeglichen werden [Verbot von Face- Recognition, unklar: Verbot von Bewegungsanalysen, von Abgleich mit Bedrohungsmustern] -kein systematisches Durchsuchen nach sensiblen Auswahlkriterium [etwa: Hautfarbe, Geschlecht,...] DSG Novelle Videoüberwachung

42 © ARGE DATEN 2013 ARGE DATEN Videoüberwachung - Regeln zur Verwendung der Daten (DSG 2000 § 50b) -Jede Datenverwendung ist zu protokollieren (Ausnahme Echtzeitüberwachung) (Abs. 1) [Erweiterung der Protokollpflicht des § 14 DSG 2000] [zur Dauer der Aufbewahrung der Protokolldaten wird keine Aussage gemacht, § 14 geht von drei Jahren aus] -nicht dem ursprünglichen Zweck entsprechende Daten sind nach 72 Stunden zu löschen Längere Aufbewahrungszeiten sind auf begründeten Antrag möglich (Abs. 2) DSG Novelle Videoüberwachung

43 © ARGE DATEN 2013 ARGE DATEN Videoüberwachung - Meldepflicht I (DSG 2000 § 50c) Abgestufte Meldepflicht -keine Meldepflicht bei Echtzeitüberwachung, bei Aufzeichnung auf analogem Speichermedium (Abs. 2) [konvertieren würde aber zu Meldepflicht führen!] -keine Meldepflicht bei den sonstigen Ausnahmen nach § 17 Abs. 2 und 3 DSG 2000, insbesondere bei Standardanwendungen SA032 (Abs. 2) -vereinfachte Meldepflicht bei Verschlüsselung der Videodaten und Hinterlegung des Schlüssels bei der DSK (Abs. 1) DSG Novelle Videoüberwachung

44 © ARGE DATEN 2013 ARGE DATEN Videoüberwachung - Meldepflicht II (DSG 2000 § 50c) -alle anderen Fälle unterliegen der Vorabkontrolle (Abs. 2) Mehrere gleichartige Standorte und Überwachungsgründe können in einer Meldung zusammen gefasst werden (Abs.3) DSG Novelle Videoüberwachung

45 © ARGE DATEN 2013 ARGE DATEN Videoüberwachung - Kennzeichnungspflicht (DSG 2000 § 50d) -jede Videoüberwachung ist zu kennzeichnen (Abs. 1) [umfasst auch nicht registrierungspflichtige] -der Auftraggeber muss aus der Kennzeichnung eindeutig erkennbar sein, es sei denn er ist dem Betroffenen bereits bekannt (Abs. 1) -Kennzeichnung muss so erfolgen, dass potentiell Betroffene der Überwachung ausweichen können (Abs. 1) -keine Kennzeichnungspflicht beim Vollzug hoheitlicher Aufgaben, die unter die Ausnahmen nach § 17 Abs. 3 DSG 2000 fallen (Abs. 2) [Keine sonstige Ausnahme von der Kennzeichnung für Private (etwa zur verdeckten Observation)] DSG Novelle Videoüberwachung

46 © ARGE DATEN 2013 ARGE DATEN Videoüberwachung - Auskunftsrecht (DSG 2000 § 50e Abs. 1) besonderes Auskunftsrecht notwendig, da Videoüberwachung als indirekt personenbezogene Daten vom Auskunftsrecht nach § 26 DSG 2000 ausgenommen wäre Auskunft ist zu erteilen, wenn Antragsteller -Zeitraum und Ort der Überwachung möglichst genau benannt hat -seine Identität geeignet nachgewiesen hat Auskunft ist zu geben (a) Kopie der Aufzeichnung in einem "üblichen technischen Format" (b) alle anderen Daten analog § 26 DSG 2000 DSG Novelle Videoüberwachung

47 © ARGE DATEN 2013 ARGE DATEN DSG Novelle Videoüberwachung Videoüberwachung - Auskunftsrecht II (DSG 2000 § 50e Abs. 2,3) Ausnahmen von der Auskunftspflicht -wenn berechtigte Interessen des Auftraggebers oder Dritter der Ausfolgung einer Kopie entgegenstehen, ist ersatzweise -Beschreibung seines Verhaltens auszufolgen oder -Kopie unter Unkenntlichmachung anderer Personen -bei Echtzeitüberwachung kein Auskunftsanspruch DSK beschränkt das Auskunftsrecht auf ausgewertete Daten (K /0014-DSK/2010) derzeit VwGH-Beschwerdeverfahren gegen DSK- Beschränkung

48 © ARGE DATEN 2013 ARGE DATEN Videoüberwachung - Prüfschema (DSG 2000 §§ 50a ff) -Liegt Videoüberwachung im Sinne des Gesetzes vor? -Besteht zur Datenaufzeichnung ein berechtigter Zweck im Sinne des DSG 2000? (1)Eignung? (wird überhaupt Ziel erreicht?) (2)Erforderlichkeit? (Alternativen?) (3)Verhältnismäßigkeit? (Abwägung der Eingriffstiefe) -Besteht ein zulässiger Verwendungsgrund I - III? -Bestehen Ausnahmen von der Registrierungspflicht? -Handelt es sich um eine vorabkontrollpflichtige Registrierung? -Welche Informationspflichten (bzw. Ausnahmen davon)? -Wie kann ich die Auskunftspflicht organisieren? DSG Novelle Videoüberwachung

49 © ARGE DATEN 2013 ARGE DATEN Was ist ein Informationsverbundsystem (IVS)? (§ 50) gemeinsame Verwendung von Daten in einer DA durch mehrere [österreichische] Auftraggeber geeigneter Betreiber ist zu bestellen Betreiber ist zwecks Eintrag im DVR zu melden Betreiber hat Auskünfte über Auftraggeber zu geben (12 Wochenfrist!) es können weitere Auftraggeberpflichten an den Betreiber abgetreten werden Meldepflichten des Informationsverbundsystems können an Betreiber formlos übertragen werden (Abs. 2) Erleichterungen der Meldung zusätzlicher Teilnehmer an Informationsverbundsystem: es genügt Verweis auf andere Meldung (Abs. 2a) Stand lt. DVR-Online: 103 Anwendungen gemeldet, davon ca. 80% aus dem öffentlich-rechtlichen Bereich, 20% private DSG Spezialregelungen

50 © ARGE DATEN 2013 ARGE DATEN Registrierung von Warndateien bei Banken DSK K /021-DSK/2001 erging ursprünglich an vier Banken "Musterbescheid" Genehmigung mit Auflagen erteilt I Eintragung von Kunden nur zulässig bei -vertragswidrig ausgestellten Schecks -vertragswidrig genutzter Bankomat- oder Kreditkarte -Aufkündigung einer Kontoverbindung + -Fälligstellung eines Kredits + -Einleitung der Rechtsverfolgung + + Forderung übersteigt EUR Informationspflicht des Betroffenen VOR Eintragung Grund der Warneintragung ist Betroffenen bekannt zu geben DSG Spezialregelungen

51 © ARGE DATEN 2013 ARGE DATEN Registrierung von Warndateien bei Banken Genehmigung mit Auflagen erteilt II Bekanntgabe der Durchsetzung der Betroffenenrechte unverzügliche Eintragung begründeter Bestreitung der Forderung ist vorzusehen vollständige Bezahlung der Forderung ist unverzüglich einzutragen bei unbegründeter Forderung ist unverzügliche Löschung vorzunehmen Löschung nach 3 Jahren nach vollständiger Bezahlung der Schuld, ansonsten nach 7 Jahren nach Tilgung der Schuld Überprüfung der Richtigkeit muss mindestens einmal jährlich erfolgen Analog DSK-Bescheid K /0002-DVR/2007 zur Konsumentenkreditevidenz (KKE) DSG Spezialregelungen

52 © ARGE DATEN 2013 ARGE DATEN Ausgangslage: -Konzern gibt für alle Töchter ein gemeinsames Mitarbeiterverzeichnis heraus -Enthält z.B. Name, Dienstort, berufliche Telefon- und - Adresse -Konzern hat mehrere Töchter (eigenständige Auftraggeber) in Österreich bisher: -es liegt gemeinsame Verwendung von Daten in einer DA vor melde- und vorabkontrollpflichtiger Informationsverbund liegt Datenverarbeitung im Ausland, kann zusätzlich Genehmigung für internationalen Datenverkehr erforderlich sein seit 9/2012: -Standardanwendung SA033 mit mehreren definierten zulässigen Zwecken DSG 2000 StmV Informationsverbund

53 © ARGE DATEN 2013 ARGE DATEN definierte Standard-Anwendungen: -konzernweite Kontakt- und Termindatenbank -Karrieredatenbank (freiwillige Teilnahme erforderlich) -Verwaltung von Bonus- und Beteiligungsprogrammen (z.B. Stock-Options für Mitarbeiter,...) -technische Unterstützung (für Mitarbeiter) Konsequenzen: -keine Melde- und/oder Genehmigungspflicht (auch nicht, wenn Verarbeitung in Land ohne gleichwertigem Datenschutz erfolgt) -Umfang der Datenanwendung darf Standard nicht überschreiten -Datensicherheit muss gewährleistet sein: Entwurf bezieht sich direkt auf Standardvertragsklauseln der EG-Richtlinie DSG 2000 StmV Informationsverbund

54 © ARGE DATEN 2013 ARGE DATEN Verwendung von Daten für Wissenschaft und Forschung (§ 46) -Verwendung im Sinne dieser Bestimmung liegt vor, wenn Ergebnisse nicht personenbezogen sind -effektive Anonymisierung so bald als möglich notwendig, "Pseudonymisierung/Codierung" nicht ausreichend Folgende Daten dürfen verwendet werden: -öffentlich zugängliche Daten (Abs. 1 Z 1) -Daten, die der Auftraggeber zu anderen Zwecken ermittelt hat (Abs. 1 Z 2) -indirekt personenbezogene Daten (Abs. 1 Z 3) -gemäss gesetzlicher Vorschriften (Abs. 2 Z 1) -mit Zustimmung des Betroffenen (Abs. 2 Z 2) -Weitere Verwendungsmöglichkeit mit Genehmigung der DSK/DSBh (Abs. 2 Z 3) DSG Spezialregelungen

55 © ARGE DATEN 2013 ARGE DATEN Verwendung von Daten für Wissenschaft und Forschung (§ 46) II DSK K /002-DSK/2001 ("öffentliches Interesse") von öffentlicher Hand geförderte Forschung liegt immer im öffentlichen Interesse DSK K /003-DSK/2003 ("Leiharbeit und Neue Selbständige") Verwendung von Personendaten (inkl. SV-Nummer) aus SVA, dem HV, den Gebietskrankenkassen und dem BMWA nach Vorlage eines Verwendungskonzepts genehmigt DSK K /006-DSK/2003 ("Suizidforschung") Die Verwendung der Daten Verstorbener fällt nicht in den Genehmigungsbereich der DSK DSG Spezialregelungen

56 © ARGE DATEN 2013 ARGE DATEN Bereitstellung von Adressen zu Verständigungs- /Befragungszwecken [inkl. Werbung] (§ 47) Grundsätzlich gilt: auch die Übermittlung von Adressen ist durch Betroffenen zustimmungspflichtig Ausnahme: Voraussetzung ist das Fehlen der Beeinträchtigung der Geheimhaltungsinteressen UND -Verwendung der Daten desselben Auftraggebers (Z 1) oder -bei Benachrichtigung/Befragung durch Dritte, wenn daran öffentliches Interesse besteht (Z 2 lit. a) oder -der Betroffene nach entsprechender Information keinen Widerspruch eingelegt hat (Z 2 lit. b) Weitere Möglichkeiten mit Genehmigung der DSK/DSBh Verwendungsbeschränkung der Adressen! Löschungspflicht (!) nach Verwendung DSG Spezialregelungen

57 © ARGE DATEN 2013 ARGE DATEN Sonderbestimmungen zu Adressenverlagen / Werbung -§ 151 GewO1994 ("Listenprivileg" der Adressenverlage) -§ 107 TKG 2003 (Werbeverbot Telefon/Fax/ /SMS) GewO-Bestimmung ist Weitergabeermächtigung -Inhaber von Kunden/Interessentenlisten dürfen nur bestimmte Daten ohne Zustimmung des Betroffenen weitergeben -auf Widerspruchsmöglichkeit muss hingewiesen werden -zulässige Datenarten: Namen, Geschlecht, Titel, akademischer Grad, Anschrift, Geburtsdatum, Berufs-, Branchen- oder Geschäftsbezeichnung, Zugehörigkeit zu Kunden-/Interessentendatei -gesetzliche Sperrliste ("Robinsonliste") ist von Adressverlagen zu beachten! -Löschungsanspruch gegenüber gewerblichen Adressenverlagen! DSG Spezialregelungen

58 © ARGE DATEN 2013 ARGE DATEN Automatisierte Einzelentscheidungen (§ 49) "niemand darf einer rechtlichen Folge oder ihn beeinträchtigenden Entscheidung unterworfen werden, die ausschließlich automationsunterstützt erfolgt" Automatisierte Einzelentscheidungen sind zulässig: -wenn gesetzlich vorgesehen -wenn automationsunterstützte Entscheidungen im Sinne des Betroffenen sind -wenn ausreichende Maßnahmen getroffen werden, die die Interessen des Betroffenen berücksichtigen (etwa ein "Einspruchsrecht") Informationsrecht des Betroffenen über logischen Ablauf der Entscheidungsfindung DSG Spezialregelungen

59 © ARGE DATEN 2013 ARGE DATEN Übersicht § 1328a ABGB Beispiele Schutz der Privatsphäre Anti-Stalking-Bestimmung § 107a StGB Entscheidungen

60 © ARGE DATEN 2013 ARGE DATEN Bestimmungen zum Schutz der Privatsphäre EMRK Art 8 (Privatsphäre, Familienleben, Briefverkehr) StGG (Staatsgrundgesetz) Art. 9, 10 (Briefgeheimnis) u. 10a (Fernmeldegeheimnis) § 1 DSG 2000 (Geheimhaltung Daten) § 16 ABGB (angeborene Rechte) StGB z.B. § 118f (Briefgeheimnis), § 119f (Telekommunikationsgeheimnis) und §§ 302ff (Amtsmissbrauch) TKG 2003 § 93 (Kommunikationsgeheimnis) MedienG § 7ff (Bloßstellung) UrhG § 77 (Briefe, Tagebücher, ähnliche vertrauliche Aufzeichnungen), § 78 (Bildnisschutz), § 87 Abs 2 (Entschädigung) Regelungen für einzelne Berufsgruppen (siehe Anhang) ABGB § 1328a (Bloßstellung) StGB § 107a (Anti-Stalking-Bestimmung) Schutz der Privatsphäre - Übersicht

61 © ARGE DATEN 2013 ARGE DATEN Schutz der Privatsphäre - Übersicht

62 © ARGE DATEN 2013 ARGE DATEN § 107a StGB Beharrliche Verfolgung / Stalking -Delikt: beharrliche Verfolgung, gegeben wenn -räumliche Nähe gesucht (Abs. 2 Z 1) oder -Kontaktaufnahme mittels Telekommunikation, sonstige Kommunikationsmittel oder über Dritte (Abs. 2 Z 2) oder -Verwendung personenbezogener Daten zur Bestellung von Waren und Diensten (Abs. 2 Z 3) oder -Verwendung personenbezogener Daten um Dritte zur Kontaktaufnahme zu veranlassen (Abs. 2 Z 2) -Strafrahmen bis zu einem Jahr Schutz der Privatsphäre - §107a StGB

63 © ARGE DATEN 2013 ARGE DATEN § 1328a ABGB Privatsphärebestimmung (1) Wer rechtswidrig und schuldhaft in die Privatsphäre eines Menschen eingreift oder Umstände aus der Privatsphäre eines Menschen offenbart oder verwertet, hat ihm den dadurch entstandenen Schaden zu ersetzen. Bei erheblichen Verletzungen der Privatsphäre, etwa wenn Umstände daraus in einer Weise verwertet werden, die geeignet ist, den Menschen in der Öffentlichkeit bloßzustellen, umfasst der Ersatzanspruch auch eine Entschädigung für die erlittene persönliche Beeinträchtigung. Abs.2 definiert Substitutionsklausel -Bestimmung ist nicht anzuwenden, wenn andere Bestimmung gilt, etwa Datenschutz- oder Medienrechtsbestimmungen Schutz der Privatsphäre - §1328a ABGB

64 © ARGE DATEN 2013 ARGE DATEN Änderungen durch § 1328a Immaterieller Schadenersatz Auffangtatbestand für bisher nicht erfasste Verletzungen Drei Verletzungsarten Eingreifen (Eindringen in die Privatsphäre) Offenbaren an Dritte (nicht nur Öffentlichkeit) Verwerten (wirtschaftlicher Vorteil durch Kenntisse aus Privatsphäre) Voraussetzungen für Schadenersatz nach § 1328a Rechtswidrigkeit Verschulden (leichte Fahrlässigkeit genügt) Erheblicher Eingriff Schutz der Privatsphäre - §1328a ABGB

65 © ARGE DATEN 2013 ARGE DATEN Höhe des Schadenersatzes keine grundsätzliche Beschränkung der Entschädigungshöhe Orientierung am Medienrecht keine Untergrenze wie im ursprünglichen Entwurf vorgesehen Ausnahmen Veröffentlichungen in Medien sind nicht erfasst ( Mediengesetz) Betriebs- und Geschäftsgeheimnisse sind ausgenommen ( §§ StGB) speziellere Regelungen gehen vor (z.B. § 33 DSG 2000) Schutz der Privatsphäre - §1328a ABGB

66 © ARGE DATEN 2013 ARGE DATEN Schutz der Privatsphäre - Beispiele Beispiele für Eingriffe in die Privatsphäre private Videoüberwachung, Personenortung, Radarüberwachung Bekanntgabe persönlicher Daten im Internet Illegales Abhören von Telefonaten oder Gesprächen Hacken von privaten Computern Missbrauch von Foto-Handys Weitergeben von privat mitgeteilten Geheimnissen Überwachung des Standortes eines Mobiltelefonnutzers ohne dessen Zustimmung Offenbaren/Verwerten von Gerichtsurteilen Bedrängen durch Kontaktaufnahmeversuche ( , Telefonate,...)

67 © ARGE DATEN 2013 ARGE DATEN Entscheidungen zur Privatsphäre Entscheidungen zum Schutz der Privatsphäre OGH 6Ob2401/96y Videoüberwachung eines Wohnhauses OGH 7Ob89/97g "Überwachung" durch Kameraattrappen (siehe auch analog OGH 6Ob6/06k) OGH 8Ob108/05y Videoüberwachung eines Konkurrenten OGH 7Ob 248/09k Gelegentliches "über den Zaun schauen" ohne Eingriffsabsicht / ohne techn. Hilfsmittel kein Eingriff in Privatsphäre (Eingriff muss mit Aufzeichnungen nachgewiesen werden) OGH 8ObA136/00h "Arbeitnehmerfoto im Internet" Stellt ein Dienstgeber das Foto eines Arbeitnehmers ohne Rückfrage ins Internet und weigert er sich dieses zu entfernen, bildet dieses Verhalten einen Verstoß gegen den Bildnisschutz (§ 78 UrhG), der nicht mit der Treuepflicht des Dienstnehmers gerechtfertigt werden kann BG Josefstadt 6C188/09p EV gemäß § 382g EO wegen Veröffentlichung privater Daten in einem Blog ("Cyberstalking") (begründet auf § 1328a ABGB)

68 © ARGE DATEN 2013 ARGE DATEN Entscheidungen zur Privatsphäre Videoüberwachung Konkurrent OGH 8Ob108/05y Ausgangslage -für die Zustellung einer Klage war festzustellen, ob sich der Beklagte regelmäßig an einer bestimmten Adresse (Haus der Mutter) aufhielt -vor dem Haus wurde in einem parkenden Auto eine versteckte Kamera installiert, die Hauseingang und Garagenzufahrt filmte (von öffentlichen Flächen einsehbar) OGH-Entscheidung -Anliegen grundsätzlich legitim, Videoüberwachung trotzdem unzulässig -Videoüberwachung jedoch überschießend, gelindere Mittel sind vorzuziehen, auch wenn sie Zusatzkosten verursachen -spricht von "Überwachungsdruck" durch automatisierte Aufzeichnung -Privatsphäre auch im öffentlichen Raum gegeben -Problem der unbeteiligen Dritten -unerheblich, wieviel Personen tatsächlich Einschau in Aufzeichnungen nehmen

69 © ARGE DATEN 2013 ARGE DATEN Besondere Dienstleisterverpflichtungen Registrierung von Datenanwendungen Kontrollbefugnisse DSK Genehmigung / Registrierung Safe Harbour Internationaler Datenverkehr

70 © ARGE DATEN 2013 ARGE DATEN DSG Kontrollbefugnisse Konzept der Vorabkontrolle (DSG 2000 § 10, § 18 Abs. 2, §§ 20, 21, 30, § 10) bestimmte Datenanwendungen unterliegen einer Vorabkontrolle durch DSK/DSBh -DA's die sensible Daten verwenden -DA's die in Form eines Informationsverbundsystems betrieben werden -registrierungspflichtige Videoüberwachungen -DA's die Daten zur Beurteilung der Kreditwürdigkeit dienen bzw. strafrechtlich relevante Daten verarbeiten Voraussetzungen der Vorabkontrolle: Prüfung auch ohne Verdachtsmomente möglich Auflagen zum Betrieb der Datenanwendung können erteilt werden

71 © ARGE DATEN 2013 ARGE DATEN DSG Dienstleister Dienstleister im Sinne des DSG 2000 (§§ 10f) -Dienstleistung liegt vor, wenn ein Verantwortlicher jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben betraut -Geeignete Vereinbarungen sind zu treffen -Vereinbarungen sind zu überprüfen/überwachen ["überzeugen"] wie bei Cloud-Computing umsetzen? -Meldepflicht an DSK/DSBh bei Datenverarbeitungen des öffentlichen Bereichs, die der Vorabkontrolle unterliegen (z.B. bei Verwendung von Gesundheitsdaten), jedoch keine Meldepflicht bei verbundenen Unternehmen -Subdienstleister nur mit Billigung des Auftraggebers Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000)

72 © ARGE DATEN 2013 ARGE DATEN Registrierung von Datenanwendungen (§§ 16ff) -Grundsätzlich besteht für jede Datenanwendung Registrierungspflicht, aber: es sind nicht alle Datenanwendungen zu registrieren (§ 17) -Jede Registrierung erfolgt für bestimmte Datenanwendung, für bestimmte Datenarten, bestimmte Personengruppen und bestimmte Zwecke (§ 17) -Eine DVR-Nummer wird einem Unternehmen (Organisation) bei erstmaliger Registrierung einer DA zugeteilt (§ 21) -Registrierung ist kostenlos (§ 53) -Registrierung soll Transparenz sichern (§ 16) -Jedermann kann Einsicht in Registrierung nehmen (§ 16) -Vereinfachte Registrierung bei Muster-Datenanwendungen (§ 19) DSG Registrierung und Genehmigung

73 © ARGE DATEN 2013 ARGE DATEN Registrierungsfreiheit (§ 17) -Standardanwendungen -DA enthält ausschließlich (!) veröffentlichte Daten (typischerweise Telefonbuch-CDs u.ä.) -Führung öffentlich einsehbarer, gesetzlich vorgesehener Register -ausschließlich indirekt personenbezogene Daten -persönliche Datenanwendungen -publizistische Datenanwendungen -manuelle Datenanwendungen, die nicht der Vorabkontrolle unterliegen -bestimmte DAs der Republik Österreich -DA für Zwecke der Strafverfolgung DSG Registrierung und Genehmigung

74 © ARGE DATEN 2013 ARGE DATEN Die wichtigsten Standardanwendungen für Unternehmen (gem. StMV 2004, StF BGBl. II Nr. 312/2004) SA001Rechnungswesen und Logistik ("Buchhaltung") SA002Personalverwaltung für privatrechtliche Dienstverhältnisse ("Mitarbeiterverwaltung") + "Bewerberdaten" (NEU seit ) SA007Verwaltung von Benutzerkennzeichen SA022Kundenbetreuung und Marketing für eigene Zwecke SA032Videoüberwachung für bestimmte Branchen SA033Datenübermittlung in Konzernen Die wichtigste Musteranwendung bei Unternehmen MA002Zutrittskontrollsysteme Standardanwendung für Vereine SA003Mitgliederverwaltung DSG Standardanwendungen

75 © ARGE DATEN 2013 ARGE DATEN Registrierungsverfahren (seit ) (DSG 2000 § 17 Abs. 1a) -Meldungen haben über Internetanwendung zu erfolgen - Authentifizierung erfolgt durch Bürgerkarte, Handy- Signatur oder USP - -Meldung und nicht-elektronische Meldung bei manuellen Dateien und bei längerem technischen Ausfall der Internetanwendung möglich -Details sind in der Verordnung des BKA nach § 16 Abs. 3 geregelt (DSG 2000 § 19 Abs. 3a) -Erklärung des Auftraggebers ob es sich um vorabkontrollpflichtige Datenanwendung handelt DSG Registrierung

76 © ARGE DATEN 2013 ARGE DATEN Registrierungsverfahren II (DSG 2000 § 19 Abs. 2) -Möglichkeit der Meldung befristeter oder durch bestimmte Bedingungen/Auflagen beschränkte Datenanwendungen [etwa Testbetrieb] -Auflagen, Bedingungen und Befristungen müssen jedoch ausreichend bestimmt sein Die Prüf- und Verbesserungsbestimmungen §§ DSG 2000 wurden neu formuliert, § 22a (Überprüfungsverfahren) ist völlig neu. DSG Registrierung

77 © ARGE DATEN 2013 ARGE DATEN Registrierungsverfahren III (DSG 2000 § 20 "Prüfungs- und Verbesserungsverfahren") -nicht vorabkontrollpflichtige Datenanwendungen sind nur mehr automationsunterstützt auf Vollständigkeit und Plausibilität zu prüfen (Abs. 1) -bei formalen Fehlern Möglichkeit der Verbesserung, wenn diese nicht erfolgen, gilt Meldung als nicht eingebracht (Abs. 2) -Vorabkontrollpflichtige Datenanwendungen und jene die nicht mittels Internetanwendung eingebracht wurden, sind binnen zwei Monaten auf Mangelhaftigkeit nach § 19 Abs. 4 zu prüfen, allenfalls ist Verbesserungsauftrag zu erteilen (Abs. 3) -Verbesserungsauftrag hemmt Registrierungsverfahren (es gelten die Fristen nach AVG) DSG Registrierung

78 © ARGE DATEN 2013 ARGE DATEN Registrierungsverfahren IV (DSG 2000 § 20 "Prüfungs- und Verbesserungsverfahren" - Fortsetzung) -Wenn Verbesserungsauftrag nicht entsprochen, Mitteilung der Registrierungsablehnung. Es kann Bescheid beantragt werden [bis : bescheidmäßige Ablehnung] -Beginn der Verarbeitung: a) wenn nicht vorabkontrollpflichtig: sofort nach Meldung b) wenn vorabkontrollpflichtig und... -keine Reaktion der DSK/DSBh: nach zwei Monaten -ausdrückliche Genehmigung durch DSK/DSBh innerhalb Frist von zwei Monaten ohne Auflagen: ab Zeitpunkt der Genehmigung -Reaktion der DSK/DSBh dass Prüfung "dauert": sobald DSK/DSBh Prüfung abgeschlossen hat (gilt AVG) -Verbesserungsauftrag der DSK/DSBh: sobald DSK/DSBh Verbesserungsauftrag ausdrücklich genehmigt hat (gilt AVG) DSG Registrierung

79 © ARGE DATEN 2013 ARGE DATEN Registrierungsverfahren V (DSG 2000 § 21 "Registrierung") Eintragung im Datenverarbeitungsregister, wenn -Plausibilitätsprüfung fehlerfrei oder -Prüfung auf Mangelhaftigkeit fehlerfrei oder -nach Einlangen einer auf Mangelhaftigkeit zu prüfenden Meldung zwei Monate vergangen sind oder -aufgetragene Verbesserungen vorgenommen wurden Es können bei vorabkontrollpflichtigen Anwendungen Auflagen, Bedingungen oder Befristungen ausgesprochen werden Auftraggeber ist von Registrierung geeignet zu verständigen [bis : schriftlich] DSG Registrierung

80 © ARGE DATEN 2013 ARGE DATEN Registrierungsverfahren VI (DSG 2000 § 22 "Richtigstellung und Rechtsnachfolge") -Änderungen/Streichungen von Amts wegen oder durch Antrag des Auftraggebers möglich -Änderungen sind sieben Jahre ersichtlich zu machen -Einträge sind zu streichen, wenn Rechtsgrundlage fehlt, Befristungen abgelaufen sind oder eine Datenanwendung nicht mehr benötigt wird -amtswegige Änderungen und Streichungen sind mit Mandatsbescheid zu verfügen [bis : Bescheid] -Rechtsnachfolger kann einzelne oder alle Datenanwendungen übernehmen, kann auch DVR-Nummer übernehmen [Ausgliederungen, Konkursverfahren,...] DSG Registrierung

81 © ARGE DATEN 2013 ARGE DATEN Internationaler Datenverkehr (§§ 12, 13, 55) Genehmigungsfreiheit (EU: "Datenexport") -innergemeinschaftlicher Datenverkehr -gleichwertige Datenschutzgesetzgebung -im Inland zulässigerweise veröffentlichte Daten -notwendige Grundlage zur Vertragserfüllung mit Betroffenen -persönliche oder publizistische DAs -mit Zustimmung des Betroffenen -wenn Datenverkehr in Standard- und Musteranwendungen vorgesehen -bei Akten und Dokumenten (Entscheidung DSK K /13- DSK/00 "gegenseitige Information zu Waffenexporten") -Theoretisch: bei Verwendung der EU-Standardvertragsklauseln (jedoch fehlt Verordnung des Bundeskanzlers!) DSG Internationaler Datenverkehr

82 © ARGE DATEN 2013 ARGE DATEN Genehmigungsfrei (weil gleichwertig) -gleichwertig auf Grund EWR-Verträge Island, Norwegen, Liechtenstein -gleichwertig gem. Kommissionsentscheidung Schweiz ( ), Kanada ( ) Argentinien ( ), Australien ( ) Israel ( ), Uruguay ( ) Neuseeland ( ) Andorra, Färöer Islands, Guernsey, Isle of Man, Jersey -USA (nur bereichs- oder unternehmensbezogen, etwa wenn SafeHarbour-Vereinbarung beigetreten, SWIFT- oder PassengerNameRecord-Abkommen) bei allen anderen Staaten hat sich der Betroffene bzw. der Auftraggeber um den Datenschutz zu kümmern DSG Internationaler Datenverkehr

83 © ARGE DATEN 2013 ARGE DATEN Was bedeutet "Safe Harbour"? In den USA fehlen einheitliche, für Unternehmen verbindliche Datenschutzstandards Entwicklung von Richtlinien, denen freiwillig beigetreten werden kann (SELBSTZERTIFIZIERUNG), nach Beitritt verbindlich FTC (Federal Trade Commission, Bundeshandelskommission) bzw US-Verkehrsministerium (bei Luftfahrtgesellschaften) überwachen Einhaltung Liste mit Teilnehmern veröffentlicht, Stand Oktober 2013: ca Organisationen, inkl. nicht aktueller Einträge Beitritt kann auf bestimmte Datengruppen beschränkt werden: Online- Daten, Offline-Daten, HR-Daten (Personaldaten), manuell verarbeitete Daten, Finanzdaten,... Beratungsfirma Galexia, Australien äußerte 2008 Bedenken an der Funktionsfähigkeit des Systems DSG Internationaler Datenverkehr

84 © ARGE DATEN 2013 ARGE DATEN zentrale Grundsätze des "Safe Harbour" -INFORMATIONSPFLICHT (entspricht: DSG 2000 § 24) -WAHLMÖGLICHKEIT (DSG 2000 § 28 "Widerspruch") -WEITERGABE (DSG 2000 u.a. § 8f "Verwendung") -SICHERHEIT (DSG 2000 § 14) -DATENINTEGRITÄT (DSG 2000 § 6 "Grundsätze") -AUSKUNFTSRECHT (DSG 2000 § 26f) -DURCHSETZUNG (DSG 2000 § 30ff) DSG Internationaler Datenverkehr

85 © ARGE DATEN 2013 ARGE DATEN Schiedsverfahren und Durchsetzung der "Safe Harbour" Verpflichtungen (FAQ11) -Betroffene können sich direkt beschweren -Beschwerden von Selbstregulierungsorganen werden vorrangig behandelt (BBBOnline, TRUSTe,...) -ebenso Beschwerden der EU-Mitgliedsstaaten -Fortgesetzte Missachtungen sind zu veröffentlichen -Sanktionen: öffentliche Bekanntmachung ("Pranger") Löschung betreffender Daten Entschädigung für Personen Streichung von der Liste "safe harbour" sonstige Auflagen DSG Internationaler Datenverkehr

86 © ARGE DATEN 2013 ARGE DATEN Internationaler Datenverkehr II (§§ 12, 13, 55) Genehmigungspflicht in allen anderen Fällen besteht Genehmigungspflicht (§ 13) die Genehmigung hat die DSK/DSBh zu erteilen: -die Feststellungen der Europäischen Kommission sind zu beachten (Abs. 2) -im konkreten Genehmigungsfall besteht ein angemessenes Schutzniveau (Abs. 2 Z 1) [z.B. Verwendung von EU Mustervereinbarungen] -Antragsteller macht den Schutz der Geheimhaltungsinteressen des Betroffenen glaubhaft (Abs. 2 Z 2) -Novelle 2010: Möglichkeit einseitiger verbindlicher Zusagen des Auftraggebers für internationalen Datenverkehr (Abs. 2 Z 2) -seit sind vor erteilte Genehmigungen zu erneuern (sofern weiterhin Genehmigung erforderlich) DSG Internationaler Datenverkehr

87 © ARGE DATEN 2013 ARGE DATEN Datenschutzaufsicht (§§ 35-40) bis : Datenschutzkommission (DSK) -Oberste Kontrollbehörde [jedoch nicht für alle Bereiche] - als "unabhängige" Instanz eingerichtet (Form eines Tribunals) - 6 Mitglieder + 6 Ersatzmitglieder - Geschäftsapparat: 20 Personen, davon 11 A-Beamte (lt. DSK- Bericht 2009), EU-Schnitt: 45 Personen! (Verteilung: 11,5 MA für DVR, 8,5 MA für alles andere) -EuGH hat für Österreich mangelnde Unabhängigkeit der DSK festgestellt, in DSG-Novelle 2013 saniert ab : Datenschutzbehörde (DSBh) -Kontrollbehörde erster Instanz (Verwaltungseinrichtung) -Beschwerde- und Aufsichtsstelle (zweite Instanz): Teil des "Bundesverwaltungsgerichtshofs" DSG Kontrollbestimmungen

88 © ARGE DATEN 2013 ARGE DATEN Organisationsänderungen der DSK -Schaffung des Bundesverwaltungsgerichtshofes BVGH, Auflösung der Behörden mit "richterlichem" Einschlag (DSG-Novelle ) -Entscheidung des EuGH wegen mangelnder Unabhängigkeit der DSK (EuGH Rs C-614/10, DSG-Novelle ) -Schaffung einer Behörde, die die Aufgaben der DS-Richtlinie 95/46/EG erledigt (DSG-Novelle 2014) Konsequenzen -Mit wird aus bisheriger "Datenschutzkommission" Datenschutzbehörde Entscheidungen als Verwaltungsbehörde (+Beirat) -BVGH wird zur Beschwerdeinstanz (bisherige Tätigkeit der DSK), statt Kommission vermutlich Senat -Kommission (bis ) und Behörde (ab ) mit eigenem Budget, Beschränkung der Informationsrechte des Bundeskanzlers und Unvereinbarkeitsregeln für die Mitglieder DSG Aufsicht - Organisationsnovellen

89 © ARGE DATEN 2013 ARGE DATEN Kontrollbefugnisse der DSK/DSBh I (DSG 2000 § 22a "Überprüfung der Meldepflicht") -DSK/DSBh kann jederzeit Erfüllung der Meldepflicht prüfen -bei Verdacht einer Verletzung der Meldepflicht ist ein Berichtigungsverfahren durch Datenverarbeitungsregister durchzuführen -DSK/DSBh kann Verbesserungsaufträge erteilen, wenn nicht entsprochen wird, dann ist Streichung möglich -Streichung kann auch nur Teile einer Datenanwendung/Meldung umfassen -wird der Aufforderung der Nachmeldung nicht entsprochen, dann ist Verarbeitung mit Bescheid zu untersagen und Anzeige bei der zuständigen Behörde zu erstatten DSG Kontrollbefugnisse

90 © ARGE DATEN 2013 ARGE DATEN Kontrollbefugnisse der DSK/DSBh II (DSG 2000 § 22a "Überprüfung der Meldepflicht" - Fortsetzung) -DSK/DSBh kann auch bei Fehlen von Sicherheitsmaßnahmen die Streichung einer Datenanwendung verfügen -Berichtigungsverfahren sind im DVR ersichtlich zu machen ("geeignet anzumerken") DSG Kontrollbefugnisse

91 © ARGE DATEN 2013 ARGE DATEN DSG Kontrollbefugnisse Möglichkeiten der Kontrolle durch DSK/DSBh: (a)vor Aufnahme einer Datenanwendung (Vorabkontrolle, § 18) (b)bei begründetem Verdacht einer Verletzung der Datenschutz-Bestimmungen ("Ombudsverfahren" § 30) [im Wesentlichen wie bisher] (c)Im Zuge von Beschwerdeverfahren Betroffener (§ 31, 31a) (d) DSK/DSBh kann jederzeit Meldepflicht prüfen (DSG Novelle 2010: § 22a) [Gesetzgeber hofft laut EB zu Novelle 2010 nunmehr praktikable Kontrollmöglichkeiten für DSK/DSBh geschaffen zu haben]

92 © ARGE DATEN 2013 ARGE DATEN Informationspflichten & Betroffenenrechte Recht auf Geheimhaltung (§ 1ff) Recht auf Auskunft (§ 26) Recht auf Berichtigung & Löschung (§ 27) Informationsrecht (§ 24) Recht auf Widerspruch (§ 28) Recht auf Widerruf (§ 8, 9)

93 © ARGE DATEN 2013 ARGE DATEN Entscheidungen zu § 1 DSG 2000 DSK K / K ("Geburtsdatum") Geburtsdatum auf Rsa-Schreiben zulässig, auf Infobroschüre des BMLV nicht DSK K /0015-DSK/2012 ("Geburtstagsabfragen") Schon die Abfrage des Geburtsdatums zum Zwecke des Glückwunsches durch den Bürgermeister ist unzulässig, wenn nicht gesetzlich geregelt. OGH 11Os109/01 ("allgemeine Verfügbarkeit") Geheimhaltungsanspruch auch dann gegeben, wenn Information durch Betroffenen selbst an einen beschränkten Kreis weiter gegeben wurde DSG Grundlagen

94 © ARGE DATEN 2013 ARGE DATEN Offenlegung nicht-meldepflichtiger Datenanwendungen (§ 23) -Mitteilung - auf Anfrage - welche Standardanwendungen betrieben werden (Abs. 1) -Offenlegung der Standardanwendungen gegenüber DSK/DSBh bei Prüfungen (Abs. 2) Offenlegungspflicht (§ 25) Offenlegung anlässlich von Übermittlungen und Mitteilungen an Betroffene -Identität des Auftraggebers -bei registrierungspflichtigen DAs die DVR-Nummer des Auftraggebers DSG Informationspflicht

95 © ARGE DATEN 2013 ARGE DATEN Informationspflicht (§ 24 / Art. 10, 11, 14 EG-RL) Informationspflicht anlässlich Ermittlung Zweck Auftraggeber Spätestens zum Zeitpunkt der Übermittlung Entfällt, -bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind oder -bei mangelnder Erreichbarkeit der Betroffenen oder -bei Unwahrscheinlichkeit der Beeinträchtigung der Betroffenenrechte und Höhe der Kosten der Information Informationspflicht ist "Bringschuld" des Auftraggebers! Bei Kundenbeziehungen leicht zu erfüllen, ein Problem jedoch dort, wo Daten ohne Kundenbeziehungen verwendet werden (z.B. Adressenverlagen / Informationsdiensten) DSG Informationspflicht

96 © ARGE DATEN 2013 ARGE DATEN Informationspflicht (DSG 2000 § 24 Abs. 2a) Betroffene sind von Datenschutzverletzungen zu informieren - wenn schwerwiegend und systematisch -wenn Betroffenen Schaden droht -Ausnahme: keine Informationspflicht wenn Schaden nur "geringfügig" und Verständigungsaufwand "unverhältnismäßig hoch" Es handelt sich um eine Informationspflicht "light", die gegenüber dem ursprünglichen Entwurf erheblich reduziert wurde. DSG Informationspflicht

97 © ARGE DATEN 2013 ARGE DATEN Betroffenenrecht - Auskunft (§ 26) I Auskunft ist auf Verlangen bei Nachweis der Identität zu geben (Abs. 1) [Berufung auf DSG nicht erforderlich!] Auskunftsfrist sind 8 Wochen (Abs. 4) Antragsteller hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3) ungerechtfertigter Aufwand ist zu vermeiden Auskunftsrecht unabhängig von Registrierungserfordernis [!!] von einem Vertragsverhältnis von tatsächlichem Vorhandensein von Daten von sonstigen Voraussetzungen (Verdacht des Datenmissbrauchs, einer Datenweitergabe,...) DSG Betroffenenrechte

98 © ARGE DATEN 2013 ARGE DATEN Betroffenenrecht - Auskunft (§ 26) II Auftraggeber hat Auskunft zu erteilen über Zweck der Datenanwendung die verwendeten Daten in allgemein verständlicher Form verfügbare Information über ihre Herkunft allfällige Empfänger oder Empfängerkreise von Übermittlungen Name und Adresse des Dienstleisters (muss vom Betroffenen extra verlangt werden) 4 Monate Löschungsverbot nach Einlangen des Auskunftsbegehrens, aber DSG-Novelle 2010: kein Löschungsverbots in jenen Fällen, bei denen der Auskunftswerber (Betroffene) die Löschung wünscht (Abs. 7) Auskunftsbegehren und Auskunft haben schriftlich zu erfolgen, Abweichung im Einverständnis der Gegenseite möglich DSG Betroffenenrechte

99 © ARGE DATEN 2013 ARGE DATEN Betroffenenrecht - Auskunft (§ 26) III begründete Auskunftsverweigerung / Auskunftsbegrenzungen sind möglich, u.a. -Schikaneverbot: Betroffener wurden Daten schon mitgeteilt (etwa Kontoauszüge, OGH 6Ob25/90), trifft nicht zu, dass ein Betroffener bestimmte Daten sowieso "wissen" müsste -überwiegende Interessen des Auftraggebers oder Dritter -aus therapeutischen Gründen (Gesundheitszustand) -formale Gründe: fehlender Identitätsnachweis, fehlender Kostenersatz, fehlende Mitwirkung,... Auskunft ist einmal im Jahr bei aktuellen Daten kostenfrei ansonsten tatsächliche Kosten oder pauschalierter Ersatz Auskunftsrecht ist "Holschuld" des Betroffenen! DSG Betroffenenrechte

100 © ARGE DATEN 2013 ARGE DATEN Auskunftspflicht - Änderungen DSG-Novelle 2010 (DSG 2000 § 26) -Dienstleister müssen bei Auskunftsbegehren binnen zwei Wochen den tatsächlichen Auftraggeber bekannt geben Auskunftsfrist für Auftraggeber bleibt bei 8 Wochen ab Einlangen beim Dienstleister! (Abs. 10) -Verbesserung bei den Auskunftsrechten gesetzlich einsehbarer Datenanwendungen (z.B. Grundbuch,...) Auskunftsrecht unterliegt grundsätzlich dem Materiengesetz, für davon nicht erfasste Teile gilt jedoch das DSG 2000 (Abs. 8) DSG Betroffenenrechte

101 © ARGE DATEN 2013 ARGE DATEN DSK K /0009-DSK/2005 ("Prüfungsdaten") Ausgangslage -Betroffener nahm an (Berufsqualifikations-)Prüfung teil -hatte umfangreiche Angaben zur Person zu machen -Test wurde negativ beurteilt -Einsicht in Beurteilung brachte schwere Mängel -Auskunft gem. DSG wurde verweigert, da diese nur "persönliche Daten", aber nicht Leistungsdaten erfasse DSK-Entscheidung -Auskunftsrecht wurde verletzt -Auskunft über Prüfungsdaten, die als Excel-Sheet vorliegen ist zu erteilen -ausschließlich auf Papier angefertigte Fallbeispiele unterliegen nicht der Auskunftspflicht -die persönlichen Daten des Prüfers sind nicht zu beauskunften DSG Auskunftsrechte

102 © ARGE DATEN 2013 ARGE DATEN Betroffenenrecht - Löschung/Richtigstellung (§ 27) -grundsätzlich besteht Richtigstellungspflicht des Auftraggebers sobald Daten nicht mehr richtig, nicht (mehr) benötigte oder unzulässig verarbeitete Daten sind zu löschen -Betroffene können Richtigstellungsantrag stellen -Verpflichtung gilt auch für unvollständige Daten, veraltete Daten, irreführende Daten Beweislast der Richtigkeit von Daten, wenn beantragte Änderung verweigert wird, liegt beim Auftraggeber Jedoch! Werden Daten ausschließlich gemäß Betroffenenangaben verarbeitet hat der Betroffene Fehler/Änderung zu belegen Wachsende Bedeutung der Bestimmung, da immer öfter nur kurzfristig erforderliche Daten anfallen (Verkehrsdaten von ISP & Telekomunternehmen, Location-Based-Services, Smartphone-Daten) DSG Betroffenenrechte

103 © ARGE DATEN 2013 ARGE DATEN Entscheidungen zu DSG 2000 § 27 DSK K /0008-DSK/2005 ("Verständigung") -Antragsteller ist über Ergebnis des Löschungsbegehrens auch dann zu verständigen, wenn die Löschung verweigert wird VfGH B 1590/03-10 ("Polizei-Daten") -bei Wegfall der Rechtsgrundlage einer Anzeige (hier § 209 StGB, "gleichgeschlechtliche Unzucht") sind die Daten zu Löschen und nicht zu ergänzen -Aufhebung der DSK-Entscheidung K /0007-DSK/2003 -VfGH rügt auch mangelhafte Interessensabwägung durch die DSK DSK K /0008 -DSK/2007 ("Krankengeschichte") -kein Löschungsanspruch falscher Diagnosen, da Datenanwendung nicht Fakten, sondern die medizinische Experten-Meinung dokumentiert, daher auch kein Anspruch auf Bestreitungsvermerk (!) DSG Betroffenenrechte

104 © ARGE DATEN 2013 ARGE DATEN Betroffenenrecht - Widerruf / Widerspruch freiwillige Zustimmung zur Verwendung von Daten kann jederzeit, ohne Angabe von Gründen widerrufen werden (§§ 8, 9) Widerspruch (§ 28) nur bei nicht gesetzlich vorgeschriebenen Datenanwendungen möglich -Widerspruchsrecht besteht auch bei gegebener Zustimmung! -in internen DA's: Widerspruch bei überwiegenden, schutzwürdigen Gründen -Widerspruch bei öffentlich zugänglichen Dateien ohne Begründung vom Widerspruch betroffene Daten sind zu löschen Hinweis! eine Gewerbeberechtigung ist keine gesetzliche Anordnung im Sinne des DSG DSG Betroffenenrechte

105 © ARGE DATEN 2013 ARGE DATEN Widerspruchsrecht (§ 28) -Widerspruchsrecht bezieht sich auf "öffentlich zugängliche Datenanwendungen" (Abs. 2) -Übernahme der Löschungsregeln aus § 27: Vorgangsweise bei Löschung (siehe § 27 Abs. 4) wenn wirtschaftlich geboten ist auch eine vorläufige Sperre und spätere Löschung möglich (siehe § 27 Abs. 6) Kein Widerspruchsrecht (Beispiel): -§ 7 Abs. 5 Verbraucherkreditgesetz (VKrG) schließt Widerspruchsrecht bei Informationsverbundsystemen der Banken aus [gemeint sind KKE und Warndatei der Banken] "unsaubere" Lösung: Dateien sind gesetzlich nicht angeordnet, trotzdem kein Widerspruchsrecht DSG Betroffenenrechte

106 © ARGE DATEN 2013 ARGE DATEN Entscheidungen Widerspruch OGH 6Ob195/08g -Löschung nach § 28 Abs. 2 DSG 2000 voraussetzungslos und unbegründet bei öffentlich zugänglichen Dateien möglich -Wirtschaftsauskunftsdienste betreiben öffentliche Dateien -Öffentlichkeitsbegriff: "größerer, durch geringe Zahl und indivduelle Merkmale nicht eingeschränkter Personenkreis", Kostenpflicht kein Kriterium für (Nicht-)Öffentlichkeit, ebenso kein Kriterium ist (Nicht-)Abrufbarkeit über Internet siehe auch DSK K /0011-DSK/2005 -Widerspruch anwendbar im Zusammenhang mit Wirtschaftsauskunftsdiensten -Widerspruch bedeutet auch das Verbot der Bekanntgabe, dass der Datenverwendung widersprochen wurde DSG Betroffenenrechte

107 © ARGE DATEN 2013 ARGE DATEN Beschwerdeverfahren vor DSK/DSBh (§ 31) -bei allen Auskunftsverfahren nach § 26, zusätzlich bei Auskünften im Zusammenhang mit automatisierten Einzelentscheidungen (§ 49 Abs. 3) und Auskünften von Betreibern von Informationsverbundsystemen (§ 50 Abs. 1) (§ 31 Abs. 1) -Verletzungen des Rechts auf Geheimhaltung (§ 1) oder Löschung und Richtigstellung (§ 27 und § 28) bei Datenanwendungen die in Vollziehung der Gesetze betrieben werden (§ 31Abs. 2) DSG Kontrollbefugnisse

108 © ARGE DATEN 2013 ARGE DATEN Beschwerdeverfahren vor Gericht (§ 32) -Gerichtszuständigkeit: gegenüber Rechtsträgern die Datenanwendungen "nicht in Vollziehung der Gesetze" betreiben (Abs. 1) -Klarstellung der Gerichtszuständigkeit bei Einstweiligen Verfügungen (Abs. 4) -Möglichkeit der Nebenintervention der DSK/DSBh bei Zivilklagen, jetzt "Einschreiter" (Abs. 6) -Gericht kann DSK/DSBh auf Überprüfung nach DSG 2000 §§ 22 und 22a ersuchen (Abs. 7) DSG Kontrollbefugnisse

109 © ARGE DATEN 2013 ARGE DATEN Weitere Bestimmungen Sicherheit Schadenersatz Strafbestimmungen DSG 2000

110 © ARGE DATEN 2013 ARGE DATEN DSG Sicherheit Sicherheitsbestimmungen (§ 14) Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden: Stand der Technik entsprechend wirtschaftlich vertretbar angemessenes Schutzniveau muss erreicht werden rechtlich-organisatorische Sicherheitsmaßnahmen -ausdrückliche Aufgabenverteilung - ausschließlich auftragsgemäße Datenverwendung - Belehrungspflicht der Mitarbeiter - Regelung der Zugriffs- und Zutrittsberechtigungen - Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten - Protokollierungspflicht

111 © ARGE DATEN 2013 ARGE DATEN DSG Verschwiegenheit Verpflichtung zum Datengeheimnis (§ 15) Mitarbeiter sind - soweit nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden. Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln. Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren. Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung kein Nachteil erwachsen. Bereitstellungspflicht der Datensicherheits- maßnahmen für Mitarbeiter (§ 14 Abs. 6)

112 © ARGE DATEN 2013 ARGE DATEN Schadenersatz (§ 33) schuldhaftes Verhalten notwendig bei Verletzung von Bestimmungen des DSG 2000 ist tatsächlich erlittener materieller Schaden zu ersetzen bei Verletzungen der Geheimhaltung, die geeignet sind den Betroffenen bloßzustellen, gebührt Entschädigung Entschädigungsanspruch ist nicht beziffert, aber vergleichbar dem Mediengesetz geregelt [MedienG § 7: bis Euro] bei Veröffentlichungen in einem Medium gilt Mediengesetz Entschädigungsanspruch ist gegenüber dem Auftraggeber geltend zu machen DSG Kontroll- & Strafbestimmungen

113 © ARGE DATEN 2013 ARGE DATEN DSG Schadenersatz LG Innsbruck 12 Cg 72/10h ("Mehrkosten") Ausgangslage -Diverse Firmen (Mobilunternehmen, Möbelhaus, Versandhändler) lehnen Geschäftsbeziehung wegen Exekutionsdaten ab LG-Entscheidung -Verwendete Daten stammen aus Exekutionsdatenbank der Justiz -abgelehnte Geschäfte führen zu einem Schaden (Mehrkosten: 56,- bei Möbelhaus, 2.274,35 höhere Mobilfunkgebühren,...) ,- Euro immaterieller Schadenersatz wegen Kreditschädigung -mehrfacher Rechtsbruch: Informationspflicht nicht erfüllt, Widerspruch nicht nachgekommen, keine Löschung der Daten, seit 2006 keine Exekutionsverfahren anhängig, alle Exekutionsverfahren eingestellt -Kläger wurde Unterlassungsanspruch und Schadenersatz zugesprochen (Euro 3.330,35)

114 © ARGE DATEN 2013 ARGE DATEN DSG Schadenersatz OGH 6 Ob 247/08d ("Bonitätsinformationen") Ausgangslage -Betroffener wurde bei angeblich unzulässiger Mülldeponierung gefilmt -privater Wachdienst forderte 100,- Euro "Entschädigung", Forderung wurde Inkassodienst übergeben -nach Weigerung der Zahlung wurde Zahlungsanstand an Wirtschaftsauskunftsdienst gemeldet -Betroffener erfuhr davon im Rahmen eines Telekom-Geschäfts OGH-Entscheidung -Eintrag ohne vorherige Verständigung ist rechtswidrig -Eintragung geeignet die Kreditwürdigkeit zu beschädigen -auch wenn kein unmittelbarer Schaden nachweisbar, besteht Anspruch gem. § 33 DSG Betrag von 750,- Euro in Hinblick auf geringe Zahl der Datenübermittlungen angemessen

115 © ARGE DATEN 2013 ARGE DATEN Gewinn- oder Schädigungsabsicht (§ 51) -Klarstellung der Deliktvoraussetzungen: Vorsatz der eigenen Bereicherung oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer Delikt begeht, wer... -widerrechtlich ihm zugängliche Daten benutzt oder -Daten widerrechtlich beschafft oder -anderen widerrechtlich zugänglich macht oder -widerrechtlich öffentlich macht Strafausmaß: bis ein Jahr Delikt wird zum Offizialdelikt [bis : Privatanklagedelikt] Strafbestimmung gilt subsidiär DSG Strafbestimmungen

116 © ARGE DATEN 2013 ARGE DATEN DSG-Strafbestimmung als totes Recht? AnzeigenGerichtsverfahrenUrteile BAZ20 ST11 BG13 LG BAZ+ST BAZ 5 ST Quelle: Auskünfte des BMJ auf parlamentarische Anfragen BAZ = Bezirksstaatsanwaltschaft, ST = Staatsanwaltschaft bei Landesgericht, BG = Bezirksgericht, LG = Landesgericht, Zahlen umfassen die jeweils anhängigen Verfahren eines Jahres, können auch aus Vorjahren stammen bzw. ins nachfolgende Jahr "mitgenommen" werden DSG Strafbestimmungen

117 © ARGE DATEN 2013 ARGE DATEN Strafbestimmungen bei öffentlich-rechtlichen Organen Missbrauch der Amtsgewalt (§ 302 StGB) Strafrahmen: bis 5 Jahre Laufend Verurteilungen, siehe etwa OGH 14 Os 105/10p (rechtswidriger Abruf von KFZ-Zulassungsdaten) Verletzung des Amtsgeheimnisses (§ 310 StGB) Strafrahmen: bis 3 Jahre denkbar auch: Falsche Beurkundung und Beglaubigung im Amt (§ 311 StGB) Strafrahmen: bis 3 Jahre Hier ist Vorsatz Voraussetzung für die Tatverfolgung DSG Strafbestimmungen

118 © ARGE DATEN 2013 ARGE DATEN Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln] -widerrechtliches Verschaffen eines Zugangs zu einer DA -widerrechtliches Weiterbenutzen eines Zugangs zu einer DA -Übermittlung unter Verletzung des Datengeheimnisses -Weiterverwendung von Daten entgegen eines rechtskräftigen Urteils/Bescheids -widerrechtliches Löschen von Daten (§ 26 Abs. 7) Strafrahmen: bis ,- Euro zuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSK/DSBh Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk) Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten! DSG Strafbestimmungen

119 © ARGE DATEN 2013 ARGE DATEN Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 1. nicht Erfüllen der Meldepflicht gemäß den §§ 17 oder 50c oder Betreiben eine Datenanwendung auf eine von der Meldung abweichende Weise oder 2. Übermitteln oder überlassen von Daten ins Ausland, ohne Genehmigung gemäß § 13 Abs. 1 oder 3. Verstoß gegen Zusagen an oder Auflagen der DSK/DSBh (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) oder 4. Verletzen von Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d oder 5. § 14 gröbliches außer Acht lassen von Sicherheitsmaßnahmen oder DSG Strafbestimmungen

120 © ARGE DATEN 2013 ARGE DATEN Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 6. wer gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderliche Sicherheitsmaßnahmen außer Acht lässt oder 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht. Strafrahmen: bis ,- Euro DSG Strafbestimmungen

121 © ARGE DATEN 2013 ARGE DATEN Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a) [=Gefährdung von Betroffenenrechten] neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a) Strafrahmen: bis 500,- Euro [neu seit 2010] Verfallbestimmungen § 52 Abs. 4 Datenträger und Programme sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden DSG Strafbestimmungen EU-Vorschlag: erhebliche Erhöhung der Strafen, bis 1 Mio Euro bzw. 1-2% eines Konzernumsatzes

122 © ARGE DATEN 2013 ARGE DATEN Aufgaben des DSB EU-Neuordnung Datenschutz

123 © ARGE DATEN 2013 ARGE DATEN Warum Datenschutzbeauftragter (DSB) ? -derzeit gesetzlich nicht verpflichtend vorgesehen -freiwillig kann ein Datenschutzbeauftragter von Organisationen immer eingerichtet werden -Verantwortung bleibt bei der Geschäftsführung, im Schadensfall wird aber die Haftung reduziert sein -EU-weit geht Trend zum Datenschutzbeauftragten -DSG-Novelle 2012 plant(e?) freiwilligen DSB, bei Entfall von Registrierungspflichten Datenschutzbeauftragter

124 © ARGE DATEN 2013 ARGE DATEN Datenschutzbeauftragter (§ 17a Entwurf) -kann freiwillig eingesetzt werden, bei Einsetzung Entfall der Meldepflichten -muss natürliche Person sein, Mindestbestelldauer von 3 Jahre, Wiederbestellung möglich -Auftraggeber hat notwendige Mittel bereit zu stellen, im ersten Jahr sind mindestens 40 Stunden der Arbeitszeit für Ausbildung bereit zu stellen, danach 20 Stunden pro Jahr -muss Datenschutzkommission gemeldet werden, ist weisungsfrei -kann nicht gekündigt werden, Enthebung nur möglich, wenn Pflichten nicht erfüllt werden können -Fachkunde erforderlich, obliegt Dokumentationspflichten und Überwachung der Einhaltung der DSG-Vorschriften -Datenschutzverletzungen sind vom DSB zu beheben, wo das nicht geht, ist der Auftraggeber zu informieren aus dem Entwurf einer DSG Novelle aus 2012

125 © ARGE DATEN 2013 ARGE DATEN Typische Aufgaben des Datenschutzbeauftragten (heute) -Durchführen der Registrierung von Datenanwendung, Überwachen deren Aktualität -Einholen von Genehmigungen für den internationalen Datenverkehr -Abschluss der Dienstleistervereinbarungen und Überwachen deren Einhaltung -Kontrolle von Zustimmungserklärungen auf DSG - Konformität -Beratung bei Abschluss von Dienststellen- /Betriebsvereinbarungen -Internes und externes "Lobbying" (Entwicklung von Konzernpositionen, Kontaktpflege zu Aufsichtsbehörden) Datenschutzbeauftragter

126 © ARGE DATEN 2013 ARGE DATEN Typische Aufgaben des Datenschutzbeauftragten II -Beratung/Information von Betriebs-/Dienststellenleitung, Mitarbeiter und Betriebsrat/Personalvertretung -Entwicklung einer organisationsweiten Privacy-Policy -laufende Schulung in Datenschutzmaßnahmen und Verbesserung der Awareness zum Datenschutz -Erarbeitung von Vorschlägen zur Verbesserungen gem. § 14 DSG 2000 (Sicherheitsmaßnahmen) -Überwachung der Einhaltung der Informationspflichten -effiziente Umsetzung der subjektiven Betroffenen-Rechte: - Recht auf Auskunft - Recht auf Löschung und Aktualisierung - Recht auf Widerspruch Datenschutzbeauftragter

127 © ARGE DATEN 2013 ARGE DATEN Organisatorische und fachliche Einordnung des Datenschutzbeauftragten +rechtliches und informationstechnisches Fachwissen +direkte Berichtspflicht an Geschäftsführung +als eigene Stabstelle eingerichtet +in die Entwicklung von Geschäftsprozessen und Projekten systematisch eingebunden (nicht nur "Spaßverderber") + eigenes Budget -Einordnung in einem langen Hierarchieweg -IT-Leiter ist gleichzeitig Datenschutzbeauftragter -Sicherheitsverantwortlicher ist gleichzeitig Datenschutzbeauftragter -ausschließlich technisches oder rechtliches Fachwissen Datenschutzbeauftragter

128 © ARGE DATEN 2013 ARGE DATEN Organisatorische und fachliche Einordnung des Datenschutzbeauftragten II +/-Einbindung des DSB in Revisions- oder Rechtsabteilung +/- Auslagerung der Datenschutzagenden an externe Berater +/-betrieblicher Datenschutzbeauftragter als Teilzeittätigkeit Datenschutzbeauftragter Wo der Datenschutzbeauftragte fehlt, hat die Geschäftsführung diese Aufgaben zu übernehmen

129 © ARGE DATEN 2013 EU-Neuregelung des Datenschutzes Fahrplan zu einem neuen EU-Datenschutzrecht Kommissionsmitteilung Konzept Datenschutzrecht -bis europaweites Konsultationsverfahren Entwurf einer EU-Verordnung Datenschutz -bis Ende 2012 Konsultationsverfahren in Europäischem Parlament und im Rat Abstimmung im LIBE-Ausschuß des EU-Parlaments (mehrfach verschoben) -bis Beginn 2014 (??) abstimmungsfähiger Endentwurf -Eckpfeiler der Neuregelung -verpflichtender Datenschutzbeauftragter für alle öffentlichen Einrichtungen und für Unternehmen mit Unternehmensgegenstand personenbezogene Datenverarbeitung (in Diskussion: Unternehmen ab 250 MA) ARGE DATEN

130 © ARGE DATEN 2013 EU-Neuregelung des Datenschutzes Fahrplan zu einem neuen EU-Datenschutzrecht II -Eckpfeiler der Neuregelung (Fortsetzung) -Entfall von Meldepflichten, weitreichende interne Dokumentations- und Folgeabschätzungspflichten -"doppeltes" One-Stop-Shop-System: a) je Auftraggeber ist nur eine Aufsichtsstelle zuständig (Hauptsitz des Auftraggebers, statt bisher für jede Niederlassung die jeweilige nationale Behörde) b) jeder Betroffene kann sich für alle EU-Auftraggeber an seine nationale Aufsichtsbehörde wenden -Einführung neuer "Prinzipien": a) Prinzip der Datensparsamkeit (inkl. "Recht auf Vergessen werden") b) Förderung technischer Datenschutzmaßnahmen ("Privacy by Design") c) Privatsphäreeinstellungen sollen Standard werden ("Privacy by Default") ARGE DATEN

131 © ARGE DATEN 2013 EU-Neuregelung des Datenschutzes Fahrplan zu einem neuen EU-Datenschutzrecht III -Eckpfeiler der Neuregelung (Fortsetzung) -Schaffung von Datenportabilität -neue Kategorien sensibler Daten (z.B. "Gendaten") -Klagsbefugnis für Verbände -Vereinfachungen im internationalen Datentransfer ARGE DATEN

132 © ARGE DATEN 2013 ARGE DATEN Ich danke für Ihre Aufmerksamkeit

133 © ARGE DATEN 2013 ARGE DATEN Onlineinformation

134 © ARGE DATEN 2013 ARGE DATEN Anhang Verschwiegenheitspflichten Cybercrime DVR-Meldung (Online-Verfahren) Standard- und Musteranwendungen Kommentar zu Entwurf DSG-Novelle 2012

135 © ARGE DATEN 2013 ARGE DATEN DSG Verschwiegenheit Geheimnis- und Verschwiegenheitspflichten (Auswahl) - Amtsgeheimnis (StGB § 310) - Bankwesengesetz (§ 38) - Ziviltechnikergesetz (§ 15) - Ärztegesetz (§ 54) - Glückspielgesetz (§ 51) - Hebammengesetz (§ 7) - Psychologengesetz (§ 14) - Tierärztegesetz (§ 23) - Gesundheits- und Krankenpflegegesetz (§ 6) - Sanitätergesetz (§ 6) - Wirtschaftstreuhandberufsgesetz (§ 91) - Detektive (§ 130 Abs. 5 GewO) Grundsätzlich gilt das DSG 2000 subsidiär

136 © ARGE DATEN 2013 ARGE DATEN "alte" Strafbestimmungen zum Geheimnisbruch -§ 126a StGB Datenbeschädigung -§ 148a StGB Betrügerischer Datenverarbeitungsmissbrauch -§ 118 Verletzung des Briefgeheimnisses und Unterdrückung von Briefen -§ 119 Verletzung des Telekommunikationsgeheimnisses -§ 120 Mißbrauch von Tonaufnahme- oder Abhörgeräten -§ 121 Verletzung von Berufsgeheimnissen -§ 122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses -§ 123 Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses -§ 124 Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses zugunsten des Auslands "Amts"-Bestimmungen -Schutz des Behörden"geheimnisses" (StGB §§ 302, 310), nur bedingt anwendbar: § 301 "Verbotene Veröffentlichung" - geringerer Strafrahmen Cybercrime - Übersicht

137 © ARGE DATEN 2013 ARGE DATEN Cybercrime - Übersicht

138 © ARGE DATEN 2013 ARGE DATEN Cybercrime - Übersicht

139 © ARGE DATEN 2013 ARGE DATEN Neue "cybercrime"-Bestimmungen (seit ) -§ 118a Widerrechtlicher Zugriff auf ein Computersystem ["Hacken"] -§ 119a Missbräuchliches Abfangen von Daten -§ 126b Störung der Funktionsfähigkeit eines Computersystems [DOS-Attacken] -§ 126c Missbrauch von Computerprogrammen oder Zugangsdaten ["Cracken"] -§ 225a Datenfälschung von EU beschlossen (2006) -Aufbewahrungspflicht für Telekom- und Internetdaten -in Österreich nicht fristgerecht umgesetzt (Stand: ) Europarat - Convention on Cybercrime ( ) -bisher erst 4 Ratifizierungen (5 sind für Inkrafttreten erforderlich) -von Österreich unterfertigt, aber nicht ratifiziert, jedoch defacto umgesetzt (Stand: 10/2012) Cybercrime - Übersicht

140 © ARGE DATEN 2013 ARGE DATEN Cybercrime - Übersicht

141 © ARGE DATEN 2013 ARGE DATEN Weitere nicht verwendete Seiten

142 © ARGE DATEN 2013 ARGE DATEN DSK K /0002-DSK/2005 ("Auskunftsumfang") DSK-Entscheidung: Auskunftsinteresse höher zu bewerten als Geheimhaltungsinteresse Dritter (Informanten, Empfänger) und des Datenverarbeiters VwGH 2005/06/0111 hat Entscheidung bestätigt Auskunft wurde über gespeicherte Daten gegeben, nicht jedoch über Herkunft und Datenweitergabe. Argumentiert wurde mit Schutz des Betriebsgeheimnisses des KSV von 1870 und Geheimhaltungsinteressen Dritter Der Betroffene ersuchte beim KSV von 1870 um Auskunft gem. § 26 DSG 2000 Einem Interessenten wurde von Telering ein Vertragshandy unter Hinweis auf "Bonitätsinformationen" verweigert. DSG Auskunftsrechte

143 © ARGE DATEN 2013 ARGE DATEN Entscheidungen Widerspruch II OGH Ob41/09m (KSV-Entscheidung) -Öffentlichkeitsbegriff: auf Grund der Prüfung im Einzelfall ob ein Auskunftsanspruch vorliegt, liegt keine öffentliche Datei vor -im konkreten Fall keine öffentliche Datei, daher keine Anwendung des § 28 Abs. 2 DSG 2000 OGH Ob41/10p (KSV-Entscheidung) -Löschung: Im Falle der Löschungspflicht nach § 28 Abs. 2 dürfen auch keine internen Kopien gemacht werden DSG Betroffenenrechte

144 © ARGE DATEN 2013 ARGE DATEN DSG Novelle Anmerkungen Was wurde nicht geregelt? (Auszug) -betrieblicher Datenschutzbeauftragter [war im ersten Novellen-Entwurf enthalten] -Schaffung verbesserter Schutz veröffentlichter Daten [war in Regierungsvorlage als Änderung des § 8 Abs. 2 enthalten] -Sicherung der Unabhängigkeit der DSK (derzeit läuft EU-Vertragsverletzungsverfahren) -kollektive Interventionsrechte bei massenhaften Datenmissbrauch vorsehen (z.B. Verletzung der Informationspflicht) -Auditing datenschutzkonformer Datenanwendung

145 © ARGE DATEN 2013 ARGE DATEN Übergangsbestimmungen / todo - Novelle 2010 (DSG 2000 § 61) -vor unbefristet registrierte Videoüberwachungen bleiben rechtmäßig (Abs. 6) -vor befristet registrierte Videoüberwachungen bleiben rechtmäßig bis Fristablauf, längstens jedoch bis (Abs. 6) -Verordnung des Bundeskanzlers zur Führung des DVR (§16 Abs. 3 DSG 2000) hat bis zu erfolgen (inkl. Anpassung der Meldeformulare + Online Registrierungsmöglichkeit) (Abs. 8) DSG Novelle Übergangsbestimmung Ende Dezember wurde Frist auf 1. September 2012 verlängert!

146 © ARGE DATEN 2013 ARGE DATEN DSK-Entscheidung Videoüberwachung ("Gemeindebau-Überwachung") Ausgangslage -Wiener Wohnen beantragte Videoüberwachung in Stiegenhäusern, Eingangsbereichen, Aufzügen, Müllplätzen und Garagen DSK-Entscheidung (nach alten Bestimmungen) -Videoüberwachung fällt unter personenbezogene Datenverarbeitung ("bestimmbare" Personen) -Teilstattgebung: Aufzüge, Müllplätze, Garagen -Stiegenhäuser und Eingangsbereiche abgelehnt, weil zu weitgehender Eingriff in Privatsphäre und keine schwerwiegende Vorfälle gegeben -Auftrag zur Evaluierung: Vergleich mit nicht überwachten, ähnlichen Anlagen -1. Befristung bis , Genehmigung 2009 unbefristet verlängert DSG Videoüberwachung Novelle 2010 sollte keine Änderung bringen

147 © ARGE DATEN 2013 ARGE DATEN DSK K /0003-DVR/2005 ("Video") Ausgangslage -Villach beantragt Videoüberwachung an Orten mit besonderer Kriminalitätsgefährdung DSK-Entscheidung -Videoüberwachung ist als Verwendung personenbezogener Daten anzusehen -Stadtverwaltung ist berechtigt, erkennbare Straftaten anzuzeigen (ebenso wie andere Personen oder Organe) -Recht zur Anzeige bedeutet keine Verpflichtung zur Überwachung -die Stadtverwaltung hat zur Videoüberwachung keine ausreichende Rechtsgrundlage -Genehmigung war daher zu versagen DSG Videoüberwachung Novelle 2010 sollte keine Änderung bringen

148 © ARGE DATEN 2013 ARGE DATEN Informationsverbundsystem (NEU) (DSG 2000 § 50) -Klarstellung, das Auskunftsbegehren abgesehen von Frist (12 Wochen) wie sonstige Auskunft nach § 26 DSG 2000 zu behandeln ist (Abs. 1) [bisher: entspricht Entscheidungspraxis der DSK/DSBh] -Meldepflichten des Informationsverbundsystems können an Betreiber formlos übertragen werden (Abs. 2) -Erleichterungen der Meldung zusätzlicher Teilnehmer an Informationsverbundsystem: es genügt Verweis auf andere Meldung (Abs. 2a) DSG Novelle Spezialregelungen

149 © ARGE DATEN 2013 ARGE DATEN Neue Probleme und Unklarheiten der Novelle -Missglückte Definition der "Videoüberwachung" (§ 50a Abs. 1) -nicht definierter Begriff der "gewonnenen Daten" bei Videoaufzeichnung (§ 50a Abs. 7) -Beschwerdestelle zum Video-Auskunftsrecht nicht geregelt, Auskunftsrecht in Summe inpraktikabel (§ 50e) -keine Definition des Datenformates für Videoauskunft (§ 50e Abs. 1) [wäre Sache einer Verordnung] -Einführung und unzureichende Definition neuer Rollen: "Verfügungsbefugter" und "Auftraggeber der Untersuchung" (§ 46 "Wissenschaft und Forschung") DSG Novelle Anmerkungen

150 © ARGE DATEN 2013 ARGE DATEN Beschwerdeverfahren vor DSK/DSBh (DSG 2000 § 31) Korrektur/Präzisierung der Zuständigkeiten der DSK/DSBh -bei allen Auskunftsverfahren nach § 26, zusätzlich bei Auskünften im Zusammenhang mit automatisierten Einzelentscheidungen (DSG2000 § 49 Abs. 3) und Auskünften von Betreibern von Informationsverbundsystemen (DSG2000 § 50 Abs. 1) (Abs. 1) [bisher: nur Auskunftsbegehren nach § 26] -Verletzungen des Rechts auf Geheimhaltung (§ 1) oder Löschung und Richtigstellung (§ 27 und § 28) bei Datenanwendungen die in Vollziehung der Gesetze betrieben werden (Abs. 2) [bisher: allgemein "Beschwerden gegen Auftraggeber des öffentlichen Rechts"] DSG Novelle Kontrollbefugnisse

151 © ARGE DATEN 2013 ARGE DATEN Beschwerdeverfahren vor DSK/DSBh II (DSG 2000 § 31 - Fortsetzung) -sehr detaillierte Bestimmungen über Beschwerdeinhalt (Abs. 3), vorzulegende Dokumente (Abs. 3,4), Verfahrensverlauf (Abs. 7,8) [bisher: entspricht bisheriger - problematischer - Verfahrenspraxis der DSK/DSBh] [Anmerkung: DSK/DSBh erhält eine Art AVG "light"] -Kontrollbefugnisse nach § 30 im Rahmen eines Beschwerdeverfahrens ausdrücklich festgehalten (Abs. 5,6) [entspricht bisheriger Verfahrenspraxis der DSK/DSBh] -Recht auf Feststellungsbescheid wird ausdrücklich ausgeschlossen (Abs. 8) [entspricht bisheriger - problematischer - Verfahrenspraxis der DSK/DSBh] Insgesamt wurde das Beschwerdeverfahren für Laien komplizierter und bürokratischer DSG Novelle Kontrollbefugnisse

152 © ARGE DATEN 2013 ARGE DATEN Beschwerdeverfahren vor DSK/DSBh III (NEU) (DSG 2000 § 31a "Begleitende Maßnahmen") -Klarstellung: Recht der DSK/DSBh auf Überprüfung der Registrierung (Abs. 1) -Möglichkeit bei Beschwerden die Weiterführung einer Datenanwendung nach § 30 Abs. 6a zu untersagen ("Gefahr in Verzug") (Abs. 2) -Ist die Richtigkeit von Daten strittig, ist für die Dauer des Verfahrens ein Bestreitungsvermerk anzubringen (Abs. 3) -DSK/DSBh hat Bestreitungsvermerk auf Antrag des Beschwerdeführers mit Mandatsbescheid anzuordnen (Abs. 3) -Klarstellung: Regelung der Offenlegung bei Beschwerde- verfahren zu Daten, die der besonderen Geheimhaltung aus öffentlichen Interessen unterliegen (Abs. 4) DSG Novelle Kontrollbefugnisse

153 © ARGE DATEN 2013 ARGE DATEN Kontrollbefugnisse der DSK/DSBh III (DSG 2000 § 30) -Eingaben erlauben DSK/DSBh eine Überprüfung der Meldepflicht nach §§ 22 und 22a (Abs. 2a) [bisher: nur allgemein "Überprüfung der Datenanwendung"] -Ausweitung der Weitergabebefugnisse von Ermittlungsergebnissen der DSK/DSBh bei bestimmten (Cybercrime-)Strafdaten (Abs. 5) -Erweiterte Befugnisse der DSK/DSBh zur Durchsetzung von Maßnahmen und Empfehlungen (Abs. 6, 6a) -Möglichkeit Weiterführung einer Datenanwendung per Mandatsbescheid zu untersagen ("Gefahr in Verzug") (Abs. 6a) [kann als "Datenschutzpolizei" interpretiert werden, bisher: nur Anzeige- und Klagsbefugnisse??, Wirtschaftsauskunftsdienste??] DSG Novelle Kontrollbefugnisse

154 © ARGE DATEN 2013 ARGE DATEN DSG Novelle Kontrollbefugnisse

155 © ARGE DATEN 2013 ARGE DATEN Bestimmungen zur DSK/DSBh -Berichtspflicht der DSK/DSBh gegenüber Bundeskanzler (DSG 2000 § 38 Abs. 2) -Vorsitzender fertigt Beschlüsse der DSK/DSBh aus (DSG 2000 § 39 Abs. 5) -Klarstellung welche Bescheide das geschäftsführende DSK/DSBh-Mitglied ausfertigen darf (DSG 2000 § 40 Abs. 1) -Klarstellung der Beschwerdemöglichkeiten gegen Bescheide der DSK/DSBh (DSG 2000 § 40 Abs. 1,2) DSG Kontrollbefugnisse

156 © ARGE DATEN 2013 ARGE DATEN Bereitstellung von Adressen zu Verständigungszwecken -Klarstellung, wer Antrag zur zusätzlichen Datennutzung an DSK/DSBh stellen darf: Auftraggeber, der Adressendaten verarbeitet (DSG 2000 § 47 Abs. 4) [entspricht bisheriger Entscheidungspraxis der DSK/DSBh] Automatisierte Einzelentscheidungen -Klarstellung, das Auskunft über "logischen Ablauf der automatisierten Entscheidungsfindung" wie sonstige Auskunft nach § 26 DSG 2000 zu behandeln ist (DSG 2000 § 49 Abs. 3) [entspricht bisheriger Entscheidungspraxis der DSK/DSBh] DSG Novelle Spezialregelungen

157 © ARGE DATEN 2013 ARGE DATEN Sonstige Änderungen in der Registrierung -Führung des Datenverarbeitungsregisters dient nur mehr der Information der Betroffenen (DSG 2000 §16 Abs. 1) [bisher: auch Prüfung der Rechtmäßigkeit] -Meldepflicht für manuelle Dateien integriert (DSG 2000 §17 Abs. 1) [wie bisher: nur für vorabkontrollpflichtige Anwendungen] DSG Novelle Registrierung

158 © ARGE DATEN 2013 ARGE DATEN Wissenschaftliche Forschung und Statistik (DSG 2000 §46) -Klarstellung: Verwendung auch öffentlich zugänglicher Daten zulässig (Abs. 2) [bisher: "nicht öffentlich zugänglich"] -Änderungen im Ablauf der Datenweitergabe: statt "übermitteln" sensibler Daten, werden sie nun "ermittelt", statt "Empfänger" wird der - nicht definierte - Begriff "Auftraggeber der Untersuchung" eingeführt (Abs. 3) [Anmerkung: die Lösung scheint missglückt] -Klarstellung: Antrag an DSK/DSBh erfordert Erklärung des Verfügungsberechtigten über die Daten, dass Daten bereit gestellt werden oder die Vorlage eines entsprechenden Exekutionstitels (Abs. 3a) [bisher: konnte die Situation entstehen, dass DSK/DSBh zwar Nutzung der Daten genehmigt, aber diese trotzdem nicht bereit gestellt wurden] DSG Novelle Spezialregelungen

159 © ARGE DATEN 2013 ARGE DATEN DSG Veröffentlichung Zugriffsstatistik zu Veröffentlichung im Internet Website SexQueen Diane

160 © ARGE DATEN 2013 ARGE DATEN DSG Veröffentlichung Veröffentlichung im Internet II Website Zugriffsstatistik zu

161 © ARGE DATEN 2013 ARGE DATEN Diverse Änderungen -vereinfachter Zugang des Nationalrates, Bundesrates, Landesparlamente zu sensiblen Daten [§9] -automatisierte Registrierung mit Bürgerkartesoll möglich werden (nur mehr Plausibilitätskontrollen) [§§17,20] -Erweiterungen der Prüfrechte der DSK/DSBh bei fehlerhaften Registrierungen [§22a] -Beschwerden der Betroffenen werden stärker formalisiert [§31] -Tätigkeit bei DSK/DSBh wird ausdrücklich als Nebenjob verankert [§36] geplante Novelle DSG 20??

162 © ARGE DATEN 2013 ARGE DATEN Entwicklungsperspektiven Datenschutz Neudefinition des Begriffs "veröffentlichte" Daten notwendig Grenzen der Nutzungsmöglichkeiten veröffentlichter Daten Entwicklung von Datenschutzstandards / Selbstregulierung ÖNORM/Verbraucherrat hat bei ARGE DATEN Datenschutzleitlinie in Auftrag gegeben Schleswig-Holstein hat mit Datenschutzsiegel Anfang gemacht, ISO arbeitet an Datenschutzstandards, ebenso W3C-Konsortium Privacy Enhancing Technologies (PET) Techniken, die die Überwachung und Einhaltung von Datenschutz erleichtern: Anonymisierungstechniken, Blocktechniken (Cookies, PopUp,...) Zukunftsperspektive Datenflusskontrolle? Leichtere Nachvollziehbarkeit von Datenweitergaben (SMS-Verständigung, Webportal,...) Besonders in Diskussion bei elektronischer Krankenakte Ausblick Datenschutz

163 © ARGE DATEN 2013 ARGE DATEN Entwicklungsperspektiven Datenschutz II Datenschutzdiskussion in Deutschland Ergebnis diverser Datenschutzskandale sind eine Reihe von Gesetzesänderungen zum BDSG -künftig nur mehr OptIn bei Listbroking und Adressenhandel (statt heutiger Widerspruchslösung) -Erhöhung der Strafgelder -Gewinnabschöpfungsmöglichkeiten bei Datenmissbrauch (insbesondere bei den "Abzockseiten" im Internet) -Informationspflicht der Betroffenen bei Datenpannen -genaue Regeln zur Zulässigkeit des Scorings -Beschränkungen bei Übermittlungen an Auskunfteien -Schutz vor heimlicher Ortung (soll Teil eines Telekommunikationsdatenschutzgesetzes werden) Ausblick Datenschutz

164 © ARGE DATEN 2013 ARGE DATEN Entscheidungen zu DSG2000 § 26 DSK K /0007-DSK/2004 ("Empfängerkreise") bei fehlender Protokollierungspflicht (Empfängerkreise bei der DVR- Registrierung angegeben) besteht lt. DSK kein Anspruch auf Auskunft der tatsächlichen Empfänger: Entscheidung vom VfGH aufgehoben DSK K /00005-DSK/2004 ("Identitätsnachweis") Bei Zweifel an der Identität des Auskunftssuchenden muss eine Kopie eines Personaldokuments vorgelegt werden DSK K /010-DSK/2003 (" -Daten") Auch -Verkehr ist als Datenanwendung iS des DSG 2000 anzusehen und unterliegt der Auskunftspflicht DSK K /0002-DSK/2008 ("Umfang") Auskunft ist über alle Daten zu geben, mit denen ein Antragsteller identifiziert werden kann (Name, Geburtsdatum), die Anschrift zählt nicht zu den Idenitätsdaten, da sie sich jederzeit ändern kann DSG Betroffenenrechte

165 © ARGE DATEN 2013 ARGE DATEN DSK K /0008-DSK/2005 ("Weitergabe an Medien") Ausgangslage -berufliche Daten des Betroffenen werden in Medien veröffentlicht (Ärztefunktionär, Anwesenheit, Entlohnung) -Arzt in einer öffentlich-rechtlichen Einrichtung tätig, Zuständigkeit der DSK gegeben -Beschwerde gegen Dienstgeber Entscheidung -Datenschutzverletzung liegt vor -Beschwerde abgewiesen, da der Betroffene nicht bewiesen konnte, dass einer der Beschwerdegegner die Daten weitergegeben hat! DSG Rechtsdurchsetzung

166 © ARGE DATEN 2013 ARGE DATEN DSK K /0011-DSK/2005 ("Empfehlung") Ausgangslage -Betroffener untersagt Wirtschaftsauskunftsdienst Weitergabe ihn betreffender Daten -Wirtschaftsauskunftsdienst gibt weiter, dass eine Beauskunftung untersagt wurde DSK-Entscheidung -der Betroffene hat Widerspruchsrecht gem § 28 DSG auch die Auskunft, dass Datenweitergabe untersagt wird, ist unzulässig und hat in Zukunft zu unterbleiben -da Wirtschaftsauskunftsdienste gesetzlich nicht angeordnet sind, ist eine Datenweitergabe nur mit Zustimmung des Betroffenen zulässig -die Schutzinteressen der Betroffenen sind höher als die Informationsinteressen Dritter zu bewerten DSG Kontrollbestimmungen

167 © ARGE DATEN 2013 ARGE DATEN Kontrollbefugnisse der DSK/DSBh (§ 30) -Recht auf Prüfung und auf Einschau beim Auftraggeber / Dienstleister - Auftraggeber hat Prüfung zu unterstützen - Recht auf Zutritt zu Datenverarbeitungsanlagen - Schonung der Rechte des Auftraggebers/Dritter - Verwertung im Zusammenhang mit Verletzung von Datenschutzbestimmungen ansonsten: Beweisverwertungsverbot und Verschwiegenheit gegenüber Gerichten und Verwaltungsbehörden jedoch: Ausnahmen vom Beweisverwertungsgebot Reaktionsmöglichkeiten der DSK/DSBh: - Empfehlungen an Auftraggeber, bei Nichteinhaltung: Überprüfung der Registrierung - Anzeige gem. §51 / 52 DSG im privaten Bereich Klage beim zuständigen Gericht DSG Kontrollbestimmungen

168 © ARGE DATEN 2013 ARGE DATEN DSK K /002-DSK/2004 ("Mandatsbescheid") Ausgangslage -Unternehmen kündigt an eine Liste von zahlungsunwilligen Konsumenten zu betreiben -kann über das Internet gegen Bezahlung abgerufen werden -Firmen werden aufgefordert zahlungsunwillige Personen zu melden DSK-Entscheidung -System zur Beurteilung der Bonität geeignet, daher besonders schutzwürdig -Auftrag Betrieb und Ankündigung mit sofortiger Wirkung zu unterlassen (Mandatsbescheid gem. § 57 AVG) -wenn zugesichert wird, dass Betrieb erst nach Registrierung erfolgt, ist Mandatsbescheid aufzuheben DSG Kontrollbestimmungen

169 © ARGE DATEN 2013 ARGE DATEN SA022Kundenbetreuung und Marketing eigene Zwecke Betroffenenkreis I: eigene Kunden / Interessenten, die selbst an Auftraggeber herangetreten sind -relativ umfassend und großzügig, u.a. Kaufverhalten, Betreuungsdaten, Kaufkraftklassifizierung, elektronische Kommunikations-/Kontaktdaten Betroffenenkreis II: zugekaufte Interessentendaten, eigene Ermittlungen -beschränkter Datenumfang: Name/Anschrift, öffentlich zugängliche werberelevante Daten, Zugehörigkeit zu Interessentenklasse, Antwortverhalten auf Werbeaktivitäten -nicht enthalten: elektronische Kommunikations-/Kontaktdaten, Kaufkraftklassifizierung und ähnliches individuelle Registrierung erforderlich! DSG SA022 - Abgrenzung

170 © ARGE DATEN 2013 ARGE DATEN Datenverarbeitungsregister (DVR) (§§ 16ff) Zeitpunkt der Registrierungspflicht / wann ist zulässiger Beginn der Verarbeitung? (§ 18) -Beginn der Verarbeitung mit Tag der Registrierungsmeldung (gilt für "normale" DAs) oder -nach Abschluss der Vorabkontrolle, wenn keine Einwände erhoben werden, 2 Monate nach Meldung (gilt für DAs, die der "Vorabkontrolle" unterliegen) -Datenverarbeitungsregister ist Teil der DSK/DSBh (§ 16) -lt. DSK-Bericht 2007 gibt es keine Möglichkeit die Zahl der Auftraggeber festzustellen -Auftraggeber, die keine DVR-Nummer benötigen, müssen die Identität in anderer Weise offen legen (§ 25) DSG Registrierung und Genehmigung

171 © ARGE DATEN 2013 ARGE DATEN Registrierungspflicht besteht bei Videoüberwachung -jedenfalls bei Aufzeichnung, -jedenfalls bei Absicht der Personenidentifikation -nicht bei "privaten" Überwachungen (DSK-Position) VwGH 2007/05/ (DSK K /0004-DSK/2007) private "Verkehrsüberwachung" -Anrainer hatte Radaranlage installiert und Schnellfahrer gefilmt und zur Anzeige gebracht -wollte von DSK Bescheid über die Notwendigkeit einer Registrierung, fürchtete "Vergeltung" durch angezeigte Autofahrer -DSK lehnte ab, VwGH bestätigte, verwies auf Registrierungsverfahren DSG Registrierung und Genehmigung

172 © ARGE DATEN 2013 ARGE DATEN Thema Video Videodaten kein Teil des Bankgeheimnisses Ausgangslage -In einer Bankfiliale wird einer Kundin das Handy gestohlen. Dieb wird gefilmt, Bankangestellter lässt durchblicken, das es sich vermutlich um einen Bankkunden handelt. -Bezirksgericht fordert Bank auf Name und Adresse bekannt zu geben und Videoaufzeichnung herauszugeben OGH-Entscheidung 13Os89/07y -Bekanntgabe von Namen und Adresse unzulässig (schützt Bankgeheimnis) -Herausgabe der Videoaufzeichnungen zulässig Prüfschema Videoüberwachung -Schritt I: Kann das Ziel durch andere Maßnahmen erreicht werden? -Schritt II: Abwägung der Schwere des Persönlichkeitseingriffs gegenüber dem angestrebten Schutz -Nebenprobleme: Aufzeichnung/keine Aufzeichnung, digital/nicht digital, identifizierende Absicht/nicht identifzierende Absicht

173 © ARGE DATEN 2013 ARGE DATEN Ziele neuer Datenschutzregelungen: Datenverarbeitungen sind allgegenwärtig Datenverarbeitungen haben für die Betroffenen transparent zu sein Sowohl öffentlich-rechtliche, als auch privat-rechtliche Datenverarbeitungen können in Grundrechte eingreifen Wesentlich ist der Schutz der Privatsphäre, nicht die Regulierung der Verarbeitungsform Ziel ist die Schaffung "fairer" Vereinbarungen mit Betroffenen DSG Grundlagen

174 © ARGE DATEN 2013 ARGE DATEN EU-Richtlinie Umsetzungsstand 1. EU-Bericht zur Umsetzung (5/03) -freier Datenverkehr ist gewährleistet -Widerspruch zwischen hohem rechtlichen Schutzniveau und Wahrnehmung durch Bevölkerung -derzeitige Harmonisierung für international tätige Unternehmen ungeeignet -fehlerhafte Umsetzung in einer Fülle von Punkten (Zulässigkeit der Verarbeitung, Information der Betroffenen, sensible Daten) -generell lückenhafte Befolgung durch Datenverarbeiter keine Inititativen zur Änderung der Richtlinie empfohlen

175 © ARGE DATEN 2013 ARGE DATEN Die Grenzen des aktuellen Datenschutzes technische Entwicklung -Internet-Problemstellungen derzeit nur unzureichend abgedeckt -Spam- und Wurmverbreitung ( -Verkehr) -social engineering und social hacking (z.B. "phishing") -User-Tracking erlaubt eine Permanentkontrolle des Benutzerverhaltens -Grenzen zwischen den Rollen "Betroffener", "Auftraggeber" und "Dienstleister" verschwimmen grundrechtlich -leere Staatskassen und Terrorangst führen dazu, dass die erforderliche Interessensabwägung immer seltener gemacht werden -im Sozial- und Gesundheitsbereich (Effizienzsteigerung,...) -bei öffentlicher Sicherheit (Videoüberwachung, Vorratsdatenspeicherung, Biometrie, RFID-Reisepässe, DNA-Massenscreening,...) Ausblick Datenschutz

176 © ARGE DATEN 2013 ARGE DATEN TSUNAMI-Bestimmung Sonderbestimmungen zur Datenweitergabe im Katastrophenfall (seit ) -neu geschaffener §48a DSG Ermächtigung öffentlich-rechtlicher Auftraggeber Daten zur Hilfeleistung im Katastrophenfall zu verwenden -dürfen in Form eines Informationsverbundes verwendet werden -Weitergabe an Hilfsorganisationen und nahe Angehörige zulässig -Übermittlung der Daten Angehöriger nur in "pseudonymisierter" Form -Übermittlung ins Ausland zulässig -Übermittlung erkennungsdienstlicher Daten nur bei vermutlich verstorbenen Personen Bisher unterlagen Übermittlungen im Notfall der Interessensabwägung Die Bestimmung stellt einen rechtssystematischen Systembruch dar, von dem fraglich ist, ob sie EU-konform ist

177 © ARGE DATEN 2013 ARGE DATEN TSUNAMI-Bestimmung

178 © ARGE DATEN 2013 ARGE DATEN Vereinbarung "Safe Harbour" ist eine Dokumentensammlung, bestehend aus: -Annex I: allgemeinen Grundsätzen der FTC -Annex II: FAQ-Liste (die eigentlichen "Grundsätze") -Annex III: Erklärung über Durchsetzungsmechanismen -Annex IV: Memorandum bezüglich Entschädigungen -Annex V: Schreiben der FTC -Annex VI: Schreiben des US-Verkehrsministeriums -Annex VII: Liste der befugten Organisationen Das zentrale Dokument ist die FAQ-Liste! DSG Internationaler Datenverkehr

179 © ARGE DATEN 2013 ARGE DATEN zentrale Grundsätze des "Safe Harbour" -INFORMATIONSPFLICHT (entspricht: DSG 2000 §24) -WAHLMÖGLICHKEIT (DSG 2000 §28 "Widerspruch") -WEITERGABE (DSG 2000 u.a. §8f "Verwendung") -SICHERHEIT (DSG 2000 §14) -DATENINTEGRITÄT (DSG 2000 §6 "Grundsätze") -AUSKUNFTSRECHT (DSG 2000 §26f) -DURCHSETZUNG (DSG 2000 §30ff) Umfang der Regelung: -Online- und Offline-Daten, manuelle Daten, Personaldaten (Human Ressource Daten) DSG Internationaler Datenverkehr

180 © ARGE DATEN 2013 ARGE DATEN Sonstige Bestimmungen zu "Safe Harbour" (formuliert in den Frequently Asked Questions) -Sensible Daten (FAQ1) -Ausnahmen für Journalisten (FAQ2) -ISP-Haftung bei Weiterleitung (FAQ3) -Investmentbanken und Wirtschaftsprüfer (FAQ4) -Funktionsweise der Selbstzertifizierung (FAQ6) + Selbstkontrolle (FAQ7) -Durchführung der Auskunft (FAQ8) (orientiert sich an OECD-Empfehlung 1980) -Verwendung von Personaldaten (FAQ9) -Schiedsverfahren und Durchsetzung (FAQ11) -Verwendung von Reisedaten (FAQ12) DSG Internationaler Datenverkehr

181 © ARGE DATEN 2013 ARGE DATEN Schiedsverfahren und Durchsetzung der "Safe Harbour" Verpflichtungen (FAQ11) -Betroffene können sich direkt beschweren -Beschwerden von Selbstregulierungsorganen werden vorrangig behandelt (BBBOnline, TRUSTe,...) -ebenso Beschwerden der EU-Mitgliedsstaaten -Fortgesetzte Missachtungen sind zu veröffentlichen -Sanktionen: öffentliche Bekanntmachung Löschung betreffender Daten Entschädigung für Personen Streichung von der Liste "safe harbour" sonstige Auflagen DSG Internationaler Datenverkehr

182 © ARGE DATEN 2013 ARGE DATEN Entscheidungen zu DSG2000 DSK K /009-DSK/2003 ("falsche DVR-Nummer") Die Verwendung einer falschen DVR-Nummer verletzt keine subjektiven Rechte, sondern ist nur eine Verwaltungsübertretung [steht im Gegensatz zu den EU-Bemühungen nach Transparenz für die Bürger] DSG Registrierung und Genehmigung

183 © ARGE DATEN 2013 ARGE DATEN Entscheidungen zu DSG2000 §1(Geheimhaltung) OGH 11Os109/01 ("allgemeine Verfügbarkeit") Geheimhaltungsanspruch auch dann gegeben, wenn Information durch Betroffenen selbst an einen beschränkten Kreis weiter gegeben wurde DSK K / K ("Geburtsdatum") Geburtsdatum auf Rsa-Schreiben zulässig, auf Infobroschüre des BMLV nicht DSK K /32-DSK/00 ("Lehrerliste") Weitergabe einer Lehrerliste an Postbediensteten ist zulässig, da Dienststelle der Lehrer veröffentlicht wird DSG Grundlagen

184 © ARGE DATEN 2013 ARGE DATEN

185 © ARGE DATEN 2013 ARGE DATEN OGH 4 Ob 179/02f ("BA-CA") Die kritisierten Datenschutz-Bestimmungen -AGB's Z26 / Z27 -Weitergabe an Kleinkreditevidenz/Warndateien / KSV1870 -Weitergabe an sonstige Einrichtungen zur Risikobeurteilung (Refinanzierungsgeber, Einlagen- und Anlegerentschädigungseinrichtungen,...) -Entbindung vom Bankgeheimnis Die wichtigsten Punkte der Entscheidung -Hinweis auf Widerruf wesentlicher Teil der Zustimmung -besondere Informationspflicht in der Abgrenzung zustimmungspflichtiger Datenübermittlungen von anderen -Entbindung vom Bankgeheimnis muss auch bei oberflächlicher Kenntnisnahme klar und eindeutig sein -Widerspruch zu Treu und Glauben (§ 6 DSG 2000) DSG Grundlagen

186 © ARGE DATEN 2013 ARGE DATEN weitere Zuständigkeiten (für Betroffene) -Magistrat / Bezirkshauptmannschaft (formlos) Anzeigen gem. § 52 DSG 2000 (jedoch keine Parteienstellung) - EU-Kommission (formlos) Beschwerde wegen EU-Vertragsverletzung: bei Verdacht der nicht EU-konformen Umsetzung der Datenschutz-Richtlinie durch den Gesetzgeber -US/FTC bzw. Luftfahrtbehörde (formlos) Bei allen Verstößen gegen die "safe harbour" Vereinbarung DSG Einrichtungen

187 © ARGE DATEN 2013 ARGE DATEN DSG Schadenersatz OGH 6 Ob 275/05t ("Verdienstentgang") Ausgangslage -Anwalt gelangte wegen Verzug der Rückzahlung eines Bürgschaftskredits auf UKV-Liste der Banken -Geschäft mit einer Kammer kam auf Grund dieses Eintrags nicht zustande (Umfang ,- EUR) -Anwalt forderte von Bank Schadenersatz in Höhe von EUR OGH-Entscheidung -Eintrag ohne vorherige Verständigung unzulässig -OGH beruft sich ausdrücklich auf DSK-Bescheid K /021- DSK/2001 -Schadenersatz besteht daher zu Recht (zugesprochen EUR) -Erstgericht wird Aufteilung zwischen materiellen/immateriellen Schaden entscheiden müssen

188 © ARGE DATEN 2013 ARGE DATEN DSG Novelle Anmerkungen Was wurde nicht geregelt? II Auditing datenschutzkonformer Datenanwendung Fehlende Regelungen auf Grund neuer technologischer und sozialer Entwicklungen [z.B. neue Rollendefinitionen erforderlich]: -Web2.0/Soziale Netze -RFID (Radio Frequency IDentification) -biometrische Daten -Cloud Computing -Online Services, wie Patientendatenverwaltung -Scoringmethoden -Ubiquitous Computing ("Web der Dinge") -Personenortung -...??... aber es gilt, nach der Novelle ist vor der Novelle...


Herunterladen ppt "© ARGE DATEN 2013 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven Hans G. Zeger, ARGE DATEN Wien, NH Danube City, 22. Oktober 2013 ARGE DATEN."

Ähnliche Präsentationen


Google-Anzeigen