Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© ARGE DATEN 2013 ARGE DATEN Datenverwendung im Unternehmen Vereinbarungen, Informationspflichten, Maßnahmen ARGE DATEN Wien, NH Danube City, 23. Oktober.

Ähnliche Präsentationen


Präsentation zum Thema: "© ARGE DATEN 2013 ARGE DATEN Datenverwendung im Unternehmen Vereinbarungen, Informationspflichten, Maßnahmen ARGE DATEN Wien, NH Danube City, 23. Oktober."—  Präsentation transkript:

1 © ARGE DATEN 2013 ARGE DATEN Datenverwendung im Unternehmen Vereinbarungen, Informationspflichten, Maßnahmen ARGE DATEN Wien, NH Danube City, 23. Oktober 2013

2 © ARGE DATEN 2013 Die ARGE DATEN als PRIVACY-Organisation Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: -Web-Service: Besucher/Monat -Newsletter: rund Abonnenten -2012: rund 500 Medienanfragen/-berichte Mitgliederbetreuung Datenschutzfragen -2012: ca. 600 Datenschutz-Anfragen Rechtsschutz, PRIVACY-Services -2012: in ca. 200 Fällen Mitglieder in Verfahren vertreten Zahl der betreuten Mitglieder -aktuell: ca Personen Studien- und Beratungsprojekte A-CERT - Zertifizierungsdienstleister gem. SigG ARGE DATEN

3 © ARGE DATEN 2013 ARGE DATEN Ausbildungsreihe der ARGE DATEN Modul I:Datenschutz Grundlagen 25. März 2014 Modul IV:Datenschutz Praxis / international 24. Oktober 2013 / 27. März 2014 Modul II:Datenverwendung im Unternehmen Modul III:Datenschutz und IT-Sicherheit 5. November 2013 / 8. April 2014 Modul V:Datenschutzfragen identifizieren 6. November 2013 / 9. April 2014 Die Reihe wird mit einem Zertifikat abgeschlossen Betrieblicher Datenschutzbeauftragter

4 © ARGE DATEN 2013 ARGE DATEN Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell- schaft das Grundrecht auf Privatsphäre zu sichern.

5 © ARGE DATEN 2013 ARGE DATEN Betriebliche Datenverwendung Dienste der Informationsgesellschaft Mittagspause Haftung Seminarablauf Cybercrime Telekommunikation

6 © ARGE DATEN 2013 ARGE DATEN betriebliche Datenverwendung zulässige Datenverwendung Betriebsvereinbarung & Privatnutzung Datenschutzerklärung

7 © ARGE DATEN 2013 DSG 2000 § 1 (Verfassungsbestimmung) : "jede Verwendung persönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Europarechtliche Grundlage (Art. 8 RL 95/46/EG Datenschutz-Richtlinie) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots ist möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen -EU-Vorschlag: auf Basis rechtlicher Befugnisse (Gesetze, Verträge) Einschränkungen des Verbots sind möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen ARGE DATEN DSG Grundrecht

8 © ARGE DATEN 2013 ARGE DATEN Personenbezogene Daten DSG Definition Daten Indirekt personenbezogene Daten §4 Z1 DSG 2000, (kein EU-Begriff!) personenbezogene Daten §4 Z1 DSG 2000sonstige besonders schutzwürdige Daten §18 Abs.2 DSG 2000 (kein EU-Begriff) sensible Daten §4 Z2 DSG 2000

9 © ARGE DATEN 2013 ARGE DATEN IT-Abteilung Wer?Zweck?Daten? Geschäftsführung Buchhaltung Aufträge der Geschäftsführung zulässige betriebliche Datenverwendung I Personalverwaltung Datenverwendung Personal Bestellabwicklung Kundenbetreuung Datenverwendung Bestellung Direktwerbung Datenverwendung Kundenbetreuung Datenverwendung Direktwerbung Marketing Support Verkauf Personal- abteilung innerbetriebliche Datenverwendung

10 © ARGE DATEN 2013 ARGE DATEN IT-Abteilung Wer?Zweck?Daten? Geschäftsführung Buchhaltung zulässige betriebliche Datenverwendung II Bestellabwicklung Kundenbetreuung Datenverwendung Bestellung Direktwerbung Datenverwendung Kundenbetreuung Datenverwendung Direktwerbung Marketing Support Verkauf Personal- abteilung Webservice: Supportinfos, Kontaktinfos, Kundenbereich Internet Bestelldaten werden ermittelt Zukauf von Adressmaterial = Ermittlung Datenschutzerklärung informiert über Datenverwendung innerbetriebliche Datenverwendung

11 © ARGE DATEN 2013 ARGE DATEN zulässige betriebliche Datenverwendung III IT-Abteilung Wer?Zweck?Daten? Geschäftsführung Buchhaltung Personalverwaltung Datenverwendung Personal Marketing Support Verkauf Personal- abteilung Webservice: Supportinfos, Kontaktinfos, Kundenbereich Internet Mitarbeiterdaten, Lieferantendaten, Daten Dritter werden übermittelt ? innerbetriebliche Datenverwendung

12 © ARGE DATEN 2013 ARGE DATEN Mitarbeiterdaten, Lieferantendaten, Daten Dritter werden übermittelt Bestelldaten werden ermittelt Zukauf von Adressmaterial = Ermittlung anderer Geschäftsbereich = Übermittlung Bankdienstleistungen zulässige betriebliche Datenverwendung IV IT-Abteilung Wer?Zweck?Daten? Geschäftsführung Buchhaltung Webservice: Supportinfos, Kontaktinfos, Kundenbereich Internet Marketing Support Personal- abteilung Verkauf Personalverwaltung Datenverwendung Personal Bestellabwicklung Kundenbetreuung Datenverwendung Bestellung Direktwerbung Datenverwendung Kundenbetreuung Datenverwendung Direktwerbung innerbetriebliche Datenverwendung

13 © ARGE DATEN 2013 ARGE DATEN IT-Abteilung Wer?Zweck?Daten? Geschäftsführung Buchhaltung Webservice: Supportinfos, Kontaktinfos, Kundenbereich Internet Aufträge der Geschäftsführung zulässige betriebliche Datenverwendung? Bankgeschäfte Mitarbeiterdaten, Lieferantendaten, Daten Dritter werden übermittelt Marketing Support anderer Geschäftsbereich = Übermittlung Bestelldaten werden ermittelt Zukauf von Adressmaterial = Ermittlung ? Personal- abteilung Verkauf Personalverwaltung Datenverwendung Personal Bestellabwicklung Kundenbetreuung Datenverwendung Bestellung Direktwerbung Datenverwendung Kundenbetreuung Datenverwendung Direktwerbung innerbetriebliche Datenverwendung

14 © ARGE DATEN 2013 ARGE DATEN Rollen im Unternehmen bei denen personenbezogene Daten anfallen - Mitarbeiter (Spezialrecht: ArbVG, AVRAG/Arbeitsvertragsrechts-Anpassungsgesetz) -Kunden (KSchG, ECG, ABGB, AGB + individuelle Verträge) -Konsulenten, Berater (z.B. Anwälte, Steuerberater: berufsspezifische Standesregeln) -sonstige Lieferanten (ABGB, AGB + individuelle Verträge) -Eigentümer, sonstige Shareholder (Aktienrecht, Unternehmensrecht,...) -Mitbewerb (UWG, StGB,...) -Spezialgruppen, z.B. Patienten bei Pharmafirmen mit klinischer Forschung,... personenbezogene Daten und Rollen

15 © ARGE DATEN 2013 ARGE DATEN Welche Daten darf ein Unternehmen verwenden? - mit Unternehmenszweck vereinbar -Abgrenzung der Zwecke durch Gewerbeordnung, Konzessionen, Spezialrecht, Gesellschafterverträge, Konzernvorgaben, branchenübliches Verhalten, Arbeitsrecht, in Standardanwendungen definiert -Zweck muss objektiv nachvollziehbar sein ("Drittvergleich") -Verwendung von über den Zweck hinausgehende Daten auch nicht zustimmungsfähig (nur für weitere angemessene Zwecke) -es dürfen Bestelldaten zu Marketingzwecken verwendet werden (§§ 6-7,47 DSG 2000), werden jedoch zusätzliche Daten für Marketing ermittelt, ist dazu eine Zustimmung einzuholen -sensible Daten dürften nur mit Zustimmung des Betroffenen verwendet werden (etwa für Werbung, Studien,...) Zwecke und Geschäftsbereiche

16 © ARGE DATEN 2013 ARGE DATEN Welche Daten dürfen Behörden (öffentlich- rechtliche Einrichtungen) verwenden? -auf Grund ausdrücklicher gesetzlicher Verpflichtungen oder Ermächtigungen -zur Vollziehung eines Gesetzes unbedingt erforderlich -im Rahmen privatwirtschaftlicher Dienste DSK K /9-DSK/96 ("Dekanat") -Dekanat gibt Daten wie Aufnahmedatum, Geburtsdatum, Geburtsort, Staatsbürgerschaft, Art und Datum der Reifeprüfung, alle rigorosalen Teilprüfungen mit Datum und Ergebnis an Prüfer weiter -unzulässige Daten-Weitergabe an Einzelprüfer, weil Gesetz ausdrücklich das Dekanat mit der Führung der Prüfungsevidenz beauftragt hat -Gefahr der Beeinflussung des Prüfers Zwecke und Geschäftsbereiche

17 © ARGE DATEN 2013 ARGE DATEN DSK K (Internet als Datenanwendungen) Ausgangslage -Mitarbeiter ersuchte um Auskunft der über ihn gespeicherten Daten -beauskunftet wurden (nach Beschwerdeverfahren): SAP-HR-Verwaltung, IT-Berechtigungsverwaltung, Zutrittskontrollsystem (teilweise) -verweigert wurde: Internetprotokollierung (sei nur Sicherheitsprotokollierung), -Verwaltung (Groupwise-Lösung, sei nur Dienstleistung für Mitarbeiter) Entscheidung DSK -Auskunft ist zu erteilen -Internetprotokollierung: geht über die Protokollierungspflichten nach § 14 DSG 2000 hinaus, ist daher eigenständige Anwendung - -Verwaltung: es handelt sich um eine Datenanwendung der Organisation, nicht des Mitarbeiters Datenverarbeitungen

18 © ARGE DATEN 2013 ARGE DATEN Fallbeispiel Industriebetrieb Meiste Anwendungen sind Standardanwendungen - SA001 Rechnungswesen und Logistik - SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse - SA007 Verwaltung von Benutzerkennzeichen - SA022 Kundenbetreuung und Marketing für eigene Zwecke Keine Standardanwendungen - Betriebsdatenerfassung inklusive Inventarverwaltung - Kantinenabrechnung - Schulungsdatenbank - Auswertung der Internetnutzung der Mitarbeiter Keine Anwendung des Industriebetriebs - Sportverein für Mitarbeiter DSG Registrierung und Genehmigung

19 © ARGE DATEN 2013 ARGE DATEN Typische Module (Zwecke): -Lohn/Gehaltsverrechnung -Darlehen/Exekutionsverwaltung -Reisekostenadministration -Zeitadministration -Bewerberverwaltung -Religionsbekenntnis -Aus- und Weiterbildungsverwaltung -Meldepflichten (SV, Finanz) -sonstige arbeitsvertragliche Verpflichtungen -Beurteilungsdaten Fallbeispiel Personalverwaltung (SA002) Standard (20, 59-62) Standard (36, nur für Abwesenheitsverwaltung ) ? Standard Standard (47-51) Standard (57-58) Standard (52) Standard seit eigener Betroffenenkreis DSG Registrierung und Genehmigung ? Standard (64?) Abhängig vom Umfang der Personalverwaltung wird es sich entweder um eine registrierungspflichtige oder registrierungsfreie Datenanwendung handeln Datenübermittlung an Konzern"mutter" prüfen ob SA033 kein Standard Standard (33-43)

20 © ARGE DATEN 2013 ARGE DATEN Mitarbeiter- und Bewerberdaten Personaldaten - innerbetriebliche Verwendung -dienstlich erforderliche Daten dürfen ohne Zustimmung unternehmensintern verwendet werden (z.B. Qualifikation, Berufstitel, Kontaktdaten,...) -weitere Datenverwendungen können arbeitsvertraglich geregelt sein (z.B. Akkordabrechnungen, Weitergabe persönlicher Daten an Kunden / Veröffentlichung, etwa bei Verkäufern, Geschäftsführung) -sonstige Daten die zum Zweck der Gehaltsverrechnung / Personaladministration dem Personalbüro bekannt sind, dürfen nicht von anderen Abteilungen verwendet werden, auch nicht für betriebsinterne Zeitungen, Newsletter Zulässig sind weitere Verwendungsmöglichkeiten auf Grund der Zustimmung des Betroffenen In bestimmten Bereichen wird auch eine Verwendung auf Grund überwiegender Interessen denkbar sein: Geschäftsführer, Manager, Außendienstmitarbeiter,...

21 © ARGE DATEN 2013 ARGE DATEN Datenträger Gehaltszettel Aushändigung? Postfach? Zusendung? Kontoauszug? -Gehaltsdaten sind vertraulich zu behandeln -innerbetrieblich, aber auch gegenüber Dritten -können neben "klassischen" Gehaltsdaten auch sensible Daten enthalten (Kirchenbeitrag, Gewerkschaftszugehörigkeit, Sonderzahlungen geben Hinweise auf Gesundheit) Aushändigung durch Betriebsmitarbeiter -kann aufwändig werden (verteilte Standorte) -Verhinderung der unbemerkten Kenntnisnahme durch Verteiler Hinterlegen im Unternehmen in einem Postfach -kostengünstig, geeigneter Standort notwendig -Verhinderung der unbemerkten Kenntnisnahme anderer Mitarbeiter durch verschlossene Kuverts Zusendung an Privatadresse -relativ teuer -Problem der Kenntnisnahme durch andere Wohnungsangehörige -individuelle Situation berücksichtigen Mitarbeiter- und Bewerberdaten

22 © ARGE DATEN 2013 ARGE DATEN Datenträger Gehaltszettel II Zusendung per -grundsätzlich zulässig, sehr kostengünstig -bei Firmen- s auf Nutzungspolicy achten (Funktionsadressen, Vertreter- und Urlaubsregelung) -bei Privat- s Verfügbarkeit und auch Nutzung der Adresse beachten (Familien-Mailadresse) -Verschlüsselung empfehlenswert Hinterlegen auf Website -grundsätzlich zulässig, sehr kostengünstig -erfordert Passwortschutz/Zugangsverwaltung Zustellung über Girokonto K /0009-DSK/2006 -grundsätzlich zulässig, kostengünstig -Dienstleistervereinbarung mit Bank erforderlich, es gilt das Minimalprinzip -individuelle Situation berücksichtigen Mitarbeiter- und Bewerberdaten Elektronische Zustellformen sind gemäß BMF gleichwertig zur Aushändigung in gedruckter Form

23 © ARGE DATEN 2013 Was ist zulässige Veröffentlichung im Internet? Veröffentlichung im DSG nicht ausdrücklich geregelt, Sonderform der Übermittlung Prüfen Vorliegen eines ausreichenden Zweckes und überwiegender Interessen des Betriebes -Firmenkontaktdaten: Name, Funktion, Telefonnummer, -Adresse -Deutschland zu Lehrerbewertung (Bundesgerichtshof VI ZR 196/08): Freie Meinungsäußerung hat Vorrang Potentiell problematische Veröffentlichungen: -Teilnehmerdaten einer Betriebsfeier, Betriebsveranstaltung -Mitarbeiterfotos (Bildnisschutz § 78 UrhG ist zu beachten Verbot des öffentlich zugänglich machens, wenn "Verletzung berechtigter Interessen" erfolgt, OGH 8ObA136/00h) Datenverwendung in Internet/Intranet ARGE DATEN

24 © ARGE DATEN 2013 ARGE DATEN Videoeinsatz betriebliche Anwendungsbereiche: (1)Überwachung der "Außenhaut" (Grundstücksgrenzen, Einfahrten,...) (2)Überwachung technischer Anlagen (Garagen, Energieversorgung, Fernwartung,...) (3)Überwachung von Lagerstellen (4)Überwachung von Kundenzonen (5)Überwachung von Arbeitsplätzen (6)Überwachung von Sozial- und Hygienebereichen betriebliche Datenverwendung Basis-Anforderungen nach DSG: -grundsätzlich besteht Registrierungspflicht (die allgemeinen Ausnahmebestimmungen nach DSG treffen meist nicht zu) -Voraussetzungen: Aufzeichnung und Erkennbarkeit (Bestimmbarkeit) von Personen Zulässigkeit? / Betriebsvereinbarung? Ja / Nein, wenn keine Rückschlüsse auf MA Ja / wie (1) Ja / in der Regel Ja Ja / wie (1) nur im Sonderfall / Ja Nein / nicht Vereinbarungsfähig

25 © ARGE DATEN 2013 ARGE DATEN Videoeinsatz II OLG Wien Beschluss 7 Ra 3/07y -Betriebsrat begehrte EV auf Unterlassung gegen eine Videoüberwachung in Unternehmen in NÖ, die u.a. auch Arbeitsplätze und Toilettenzugänge überwachte -ablehnender EV-Beschluss des LG St. Pölten aufgehoben und an Erstgericht zurückverwiesen Entscheidungskriterien Gericht definiert erstmals Kriterien für betrieblichen Videoeinsatz -Maßnahme muss geeignet zur Erreichung eines bestimmten Zieles (Zweckes) sein -Maßnahme muss erforderlich sein [fehlende Alternativen] -Maßnahme muss angemessen sein [Interessensabwägung], Eingriffsintensität darf nicht höher als bestimmtes Ziel sein] Anzuwendende Normen: ABGB § 16, EMRK Art. 8, DSG § 1 betriebliche Datenverwendung

26 © ARGE DATEN 2013 DSK K /0009-DSK/2004 ("Protokollierung Zeiterfassung") Zusätzlich wurden die tatsächlichen Eintragungszeiten protokolliert, diese dienten der "Plausibilitätsprüfung" der Eingabe Sowohl die Eintragungsdaten, als auch die Protokolldaten wurden aufgezeichnet und den jeweiligen Abteilungsleitern angezeigt DSK-Entscheidung: Aufzeichnung der Protokolldaten ist zur Erfüllung der Dienstsaufsicht ungeeignet und daher unzulässig Da kein anderer Verwendungszweck angegeben wurde, sind die Daten gem. § 27 Abs. 1 Z 1 DSG 2000 zu löschen. Mitarbeiter einer Behörde haben "zeitnah" Arbeitsbeginn und -ende ein einem Zeiterfassungsprogramm einzutragen DSG Protokollierung ARGE DATEN

27 © ARGE DATEN 2013 ARGE DATEN -geeigneter Betreiber ist zu bestellen -Betreiber ist der DSK zu melden -Betreiber hat Auskunftspflichten DSG Informationsverbundsystem ARGE DATEN

28 © ARGE DATEN 2013 ARGE DATEN Datenverwendung zwischen Unternehmen U1 beauftragt U3 beliefert Kunden Unternehmen 1: Vertriebsfirma Unternehmen 5: HR-Management Unternehmen 6: Versicherung Kunde kauft Ermittlung Überlassung Unternehmen 3: Auslieferung, Logistik Unternehmen 4: IT-Service Unternehmen 2: Produktion Personal- daten- bank U1 beauftragt Übermittlung Übermittlungen Konzern- holding konzernweite Datenverwendung

29 © ARGE DATEN 2013 ARGE DATEN Regeln bei der konzernweiten Verwendung von Mitarbeiterdaten - Beispiel Kontaktverzeichnis -bisher: keine "Konzernerleichterung" -Konzern-Mitarbeiterverzeichnisse waren registrierungspflichtig -gemeinsame Verwendung bedeutete Vorliegen eines genehmigungspflichtigen Informationsverbundes -Übermittlung in Drittstaaten ohne angemessenes Schutzniveau war DSK-genehmigungspflichtig -neu (seit ): Kontaktverzeichnisse sind "Standard", wenn sie SA033 lit. A. entsprechen Konsequenz: -keine Registrierungspflicht -keine Genehmigungspflicht des Informationsverbundes -durch verpflichtende Verwendung der Standardvertragsklauseln keine DSK-genehmigungspflicht bei Übermittlung in Drittstaaten ohne angemessenes Schutzniveau die Standardanwendung SA033 findet sich im Anhang konzernweite Datenverwendung

30 © ARGE DATEN 2013 ARGE DATEN SA033 Datenübermittlung im Konzern im Überblick -Konzerndefinition: Konzernverband liegt vor, wenn ein rechtlich selbständiges Unternehmen auf Grund von Beteiligungen oder sonst unmittelbar oder mittelbar unter dem beherrschenden Einfluss eines anderen Unternehmens steht -vier Detailthemen ("Zwecke") -A. Konzernweite Kontakt- und Termindatenbank -B. Karrieredatenbank -C. Verwaltung von Bonus- und Beteiligungsprogrammen eines Konzerns -D. Technische Unterstützung alle anderen Zwecke eines Konzern-Datenverkehrs oder andere Unternehmensverbindungen (z.B. Joint-Ventures, Projektpartnerschaften usw.) fallen NICHT darunter! StMV-Novelle - konzernweite Datenverwendung

31 © ARGE DATEN 2013 ARGE DATEN A. Konzernweite Kontakt- und Termindatenbank -Zweck: Führung & Übermittlung von Kontaktdaten der Mitarbeiter zu einer gemeinsamen konzernweiten Termindatenbank -Rechtsgrundlage: DSG 2000 §§ 8 Abs. 1 Z 4 und 12 Abs. 3 Z 8 -Speicherdauer: bis drei Jahre nach Beendigung eines Arbeitsverhältnisses (nach Ende: beschränkt auf korrekte Behandlung noch eintreffender Nachrichten) -Betroffene: [breit gefasst] Arbeitnehmer, arbeitnehmerähnliche Gruppen, Leiharbeitnehmer, freie Dienstnehmer (Werkverträge), Lehrlinge, Volontäre, Ferialpraktikanten -Datenarten (Auswahl): Identifikations- und Organisationsdaten, Funktion gegenüber Kunden/Geschäftspartnern, Kontaktdaten, Verfügbarkeit (Urlaube, sonstige Abwesenheiten), Informationen zur Weiterleitung von Nachrichten bei ehemaligen Beschäftigten: reduzierter Datenumfang! -Übermittlungen: andere Konzernunternehmen weltweit StMV-Novelle - konzernweite Datenverwendung

32 © ARGE DATEN 2013 ARGE DATEN A. Konzernweite Kontakt- und Termindatenbank II -Sicherheitsvorgaben: direkter Bezug auf Art. 25 oder ausreichende Garantien in Form von EU-Standardvertragsklauseln Art. 26 Abs. 2 iVm Abs. 4 der Datenschutz-Richtlinie 95/46/EG StMV-Novelle - konzernweite Datenverwendung

33 © ARGE DATEN 2013 ARGE DATEN B. Karrieredatenbank -Zweck: Verwaltung freiwillige Teilnahme an Karriereprogramme -Rechtsgrundlage: DSG 2000 §§ 8 Abs. 1 Z 2 und 12 Abs. 3 Z 5 und/oder Z 8 -Speicherdauer: Ende der Bewerbung (Zurückziehung oder Beschäftigungsende) -Betroffene: [breit gefasst] wie bei A. -Datenarten (Auswahl): Identifikations- und Organisationsdaten, Kontaktdaten, Qualifikationen, Sprachkenntnisse, Leistungsbeurteilung, Karrierewünsche/Gehaltsvorstellungen -Übermittlungen: andere Konzernunternehmen weltweit die neue Mitarbeiter suchen, externe Beratungsunternehmen die in Personalangelegenheiten beraten -Sicherheitsvorgaben: wie A. StMV-Novelle - Standard- und Musterverordnung

34 © ARGE DATEN 2013 Whistleblowing - Grundlagen Whistleblowing - "verpfeifen" - Hinweisgeber "Ein Whistleblower (vom Englischen to blow the whistle; auf Deutsch wörtlich: die Pfeife blasen) ist ein Hinweisgeber oder ein Informant, der Missstände wie illegales Handeln (z.B. Korruption, Insiderhandel und Menschenrechtsverletzungen) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz oder in anderen Zusammenhängen erfährt, wie beispielsweise als Patient bei einer medizinischen Behandlung, an die Öffentlichkeit bringt." (aus Wikipedia.org) Whistleblowing - "verpfeifen" - Hinweisgeber "Ein Whistleblower (vom Englischen to blow the whistle; auf Deutsch wörtlich: die Pfeife blasen) ist ein Hinweisgeber oder ein Informant, der Missstände wie illegales Handeln (z.B. Korruption, Insiderhandel und Menschenrechtsverletzungen) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz oder in anderen Zusammenhängen erfährt, wie beispielsweise als Patient bei einer medizinischen Behandlung, an die Öffentlichkeit bringt." (aus Wikipedia.org) bekannt gibt." "bekannt geben" als Verallgemeinerung ARGE DATEN

35 © ARGE DATEN 2013 Whistleblowing - Grundlagen Whistleblowing - (Rechts-)Grundlagen -internationale Vorgaben, etwa für an US-Börsen notierte Unternehmen (False Claim Act 1986, den US Whistleblower Protection Act 1989, den Sarbanes-Oxley Act 2002 (SOX), gelten auch für deren Non-US-Töchter!) -generelle Sorfaltspflichten eines Unternehmens -Antikorruptionsbestimmungen, in Österreich Anti- Korruptionsstrafrecht -spezifische gesetzliche Bestimmungen, in Österreich derzeit für Behörden bzw. für im öffentlichen Einfluss stehende Betriebe in Diskussion -moralisches Gerechtigkeitsgefühl der Hinweisgeber -??? ARGE DATEN

36 © ARGE DATEN 2013 Whistleblowing - Erscheinungsformen Whistleblowing - Datenschutzrelevanz -Hinweise behandeln im Regelfall allgemein nicht bekannte Tatsachen -es besteht Personenbezug a)es werden konkrete Personen bezichtigt und/oder b)Hinweisgeber kann identifiziert werden und/oder c)Daten beziehen sich auf Unternehmen -es kann eine Datenanwendung im Sinne des DSG 2000 vorliegen -Hinweise können strafrechtlich relevante Sachverhalte betreffen -Betroffene haben subjektive Rechte Anspruch auf Geheimhaltung Registrierungs-, Genehmigungspflichten Auskunfts-, Richtigstellungs- und Löschungsrechte Vorabkontrollpflicht ARGE DATEN

37 © ARGE DATEN 2013 Whistleblowing - Datenschutzverpflichtungen Whistleblowing - Auskunftsrecht § 26 DSG 2000 Jeder Betroffene hat Auskunftsrecht, jedoch mit Einschränkungen. § 26 Auskunftsrecht kann beschränkt werden, wenn a)überwiegende Interessen Dritter gefährdet werden (z.B. Schutzinteressen des Hinweisgebers gegenüber einer bezichtigten Person) b)Interessen des Auftraggebers gefährdet werden (z.B. Aufklärungsinteressen bezüglich der Hinweise) Die sonstigen Beschränkungen des § 26 DSG 2000 bleiben aufrecht! ARGE DATEN

38 © ARGE DATEN 2013 Whistleblowing - Datenschutzverpflichtungen Whistleblowing - Richtigstellungs- und Löschungsrecht § 27 DSG 2000 Jeder Betroffene hat Richtigstellungs- und Löschungsrecht, jedoch mit Einschränkungen. § 27 kann beschränkt werden, wenn a)mit einer Richtigstellung/Löschung der Zweck der Datenanwendung nicht mehr erfüllt werden kann (z.B. Dokumentationszweck), in der Regel ist jedoch ein Bestreitungsvermerk durch Betroffenen anzubringen b)eine Richtigstellung/Aktualisierung für die Datenanwendung unwesentlich ist Die sonstigen Beschränkungen des § 27 DSG 2000 bleiben aufrecht! ARGE DATEN

39 © ARGE DATEN 2013 Web 2.0 und Social Media Hurra! Wir sind auf Facebook!... aber was machen wir da? ARGE DATEN

40 © ARGE DATEN 2013 Web2.0 und Social Media Was ist Web2.0? üblicherweise als Mitmachweb definiert, Benutzer produzieren für andere Benutzer Inhalte Welche Bestimmungen sind anwendbar? -Datenschutzbestimmungen Benutzer ist in Doppelrolle als Betroffener (gegenüber Betreiber), als auch als Auftraggeber gegenüber Dritten -E-Commerce-Bestimmungen Haftung, Auskunftspflichten -sonstige Bestimmungen Medienrecht, Privatsphärebestimmungen nach §1328a, Offenlegungspflichten nach UnternehmensbuchG, Vereinsgesetz,... Hinweis! Web2.0-Regelung haben Ausgleich zwischen mehreren Grundrechten zu sichern: freie Meinungsäußerung, Erwerbsfreiheit und Schutz der Privatsphäre ARGE DATEN

41 © ARGE DATEN 2013 ARGE DATEN Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (1)Rollenkonzept: Benutzer ist bezüglich der veröffentlichten Daten Dritter Auftraggeber, Facebook ist in diesem Fall Dienstleister, Datenanwendung liegt vor! Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber Web2.0, Social Media und Datenschutz

42 © ARGE DATEN 2013 ARGE DATEN Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (2)Schutzinteresse: Bezüglich der Veröffentlichung der Unternehmensdaten gilt, kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat, bezüglich Dritter (Poster + Person über die gepostet wird) hat Unternehmen auf Einhaltung der Datenschutzinteressen zu achten! Es sind zusätzlich zum DSG 2000 die ECG-Bestimmungen insb. § 16 (Haftung!) zu beachten. Facebook darf die Daten nur im Rahmen der ausdrücklich vereinbarten Geschäftsbedingungen verwenden. Web2.0, Social Media und Datenschutz

43 © ARGE DATEN 2013 ARGE DATEN Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (3)Berechtigter Zweck: Keine private Datenanwendung im Sinne des § 45 DSG 2000, in der Regel zulässig (z.B. Unternehmenspräsentation, Erwerbsfreiheit). In Bezug auf Facebook aus Angebot und Geschäftsbedingungen ableitbar. (4)Aufsicht: Für Unternehmen im Regelfall Registrierungs- bzw. Genehmigungspflicht, wenn keine Ausnahmebestimmung trifft zu (Standardanwendung, ausschließliche Verwendung veröffentlichter Daten, rein private Datenverwendung, Medienprivileg/Berichterstattung). Für Facebook gelten die Bestimmungen des Geschäftssitzes Web2.0, Social Media und Datenschutz

44 © ARGE DATEN 2013 ARGE DATEN Was kann/muss ein Unternehmen regeln / tun? +/-Mitarbeitern die Nennung seines Arbeitgebers auf privaten Accounts verbieten +/-Mitarbeitern die Nutzung des privaten Accounts im Unternehmen vollständig verbieten +/-bestimmte Formulierungen bei Aussagen in Social Media über Unternehmen verpflichtend vorgeben +/-Überwachen was Bewerber / Arbeitnehmer in Sozialen Netzwerken tun -sich in keinem Zusammenhang zum Unternehmen zu äußern (z.B. es gibt eine Berichterstattung zu einem Produkt, zu einer Rückrufaktion,...) -verlangen, das sich Mitarbeiter über Unternehmen nur positiv äußern -Generell Mitarbeitern private Web2.0 Accounts verbieten Web2.0 und Social Media

45 © ARGE DATEN 2013 ARGE DATEN betriebliche Datenverwendung zulässige Datenverwendung Betriebsvereinbarung & Privatnutzung Datenschutzerklärung

46 © ARGE DATEN 2013 ARGE DATEN IT-Nutzung im Spiegel der Rechtssprechung -OGH 9ObA75/04a: -Verkehr entspricht gelegentlichen kurzen Telefonaten privaten Inhalts mit Arbeitskollegen. Gelegentliches Weiterleiten von Spaß- s entgegen generellem Verbot stellt zwar Fehlverhalten dar, rechtfertigt nicht Entlassung. -OGH 9ObA151/02z: Surfen in der Arbeitszeit, wenn es nach Ermahnung sofort eingestellt wird, stellt keinen Entlassungsgrund dar. -OGH 9ObA178/05z: unerlaubte private Computernutzung an sich noch kein Schaden für Betrieb, wäre etwa durch Virenbefall wegen Verletzung der Internet- Policy gegeben. Umsatz und Gewinnentgang wegen "unproduktiven Verhaltens" ebenfalls kein Schaden, muss kausal bewiesen werden. Kein Entlassungsgrund (un)zulässiger IT-Einsatz

47 © ARGE DATEN 2013 ARGE DATEN IT-Nutzung im Spiegel der Rechtssprechung II -OGH 9 ObA 11/11z: Installation eines Computerkriegsspiels, eines Programms zum Brennen von CDs - keine Weisung, Richtlinien etc im Betrieb - bei entsprechender Weisung hätte AN rechtswidriges Verhalten unterlassen - kein Nachweis einer konkreten rechtswidrigen Nutzung in der Arbeitszeit - Entlassung nicht gerechtfertigt -LAG München 11 Sa 54/09: unerlaubte -Einsichtnahme durch Administrator rechtfertigt fristlose Kündigung (Ö: Entlassung) -DSK K /0009-DSK/2012: Ein Kurzentrum möchte Video- und Tonaufzeichnungen nicht zur Mitarbeiterüberwachung, sondern zur "Qualitätssicherung installieren, Empfehlung der DSK: derartige Aufzeichnungen sind unzulässig (un)zulässiger IT-Einsatz

48 © ARGE DATEN 2013 ARGE DATEN Betriebsvereinbarung §§ 96, 96a, 97 ArbVG -Mitarbeiterdaten dürfen ohne Zustimmung automationsunterstützt verwendet werden, wenn sie zur Erfüllung von Verpflichtungen aus Gesetzen, Normen der kollektiven Rechtsgestaltung oder aus dem Arbeitsvertrag dienen (etwa Lohnverrechnung) -weitergehende Datenverwendung, insbesondere zur Beurteilung der Leistungsfähigkeit des Mitarbeiters sind ersetzbar zustimmungspflichtig gem § 96a Abs 1 Z 1 ArbVG -Datenverwendung (Kontrollmaßnahmen), die die Menschenwürde berühren bedürfen der Zustimmung gem. § 96 Abs 1 Z 3 ArbVG -(private) Betriebsmittelnutzungen könnte gemäß § 97 Abs 1 Z 6 ArbVG mittels Betriebsvereinbarung geregelt werden Bei Fehlen eines Betriebsrates ist Einzelvereinbarung gemäß § 10 AVRAG (Arbeitsvertragsrechts-Anpassungsgesetz) mit Mitarbeiter abzuschließen Regelung gilt im öffentlich-rechtlichen Bereich analog, u.a. PVG § 9 Abs. 2 lit. f (in § 10 komplizierte Regelung für "Einvernehmen") Gilt nicht bei Werkverträgen oder sonstigen Dritten (Dienstleistern) Grundlage Betriebsvereinbarung

49 © ARGE DATEN 2013 ARGE DATEN Betriebsvereinbarung Grundlage Betriebsvereinbarung

50 © ARGE DATEN 2013 ARGE DATEN Kontrollmaßnahmen im Betrieb Telefondatenaufzeichnung (OGH 8ObA288/01p) -Telefondatenerfassung immer zustimmungspflichtig -Nummernunterdrückung bei Privatgesprächen ist nicht ausreichend (Markierung als "P") -Bei Weigerung eine Betriebsvereinbarung abzuschließen, wird das System ersatzweise zustimmungspflichtig -Problem der Kontrolldichte, automatisierte Kontrolle nicht mit üblicher Aufsichtspflicht vergleichbar -Menschenwürde schon berührt, wenn Mitarbeiter sich subjektiv überwacht fühlt und das System technisch geeignet ist -auch am Arbeitsplatz besteht - wenngleich eingeschränkt - Recht auf Privatsphäre Zeitaufzeichnung (OGH 8ObA97/03b) -bei vorgesehener Verwendung ist immer der Leistungsumfang des konkret eingesetzten Programmpaketes entscheidend

51 © ARGE DATEN 2013 ARGE DATEN Kontrollmaßnahmen im Betrieb Zulässigkeit einer biometrischen Zeiterfassung Ausgangslage: -ein Krankenhaus stellt bestehendes Magnetkartensystem auf Fingerabdrucksystem um -Betriebsvereinbarung wird keine abgeschlossen -alle Fingerabdrucksdaten werden bei einem Biometriebetreiber zentral verwaltet, mit diesem wird Dienstleistervereinbarung abgeschlossen OGH-Entscheidung 9 ObA 109/06d: -OGH betont erneut Recht auf Privatsphäre im Betrieb -biometrische Zeiterfassungssysteme haben höhere Eingriffsintensität als "Stechuhren", daher Zustimmungspflicht gegeben -kritisiert wird der hohe Grundrechtseingriff für ein vergleichsweise triviales Ziel (Zeiterfassung) -auch bei Einweg"verschlüsselung" liegen personenbezogene Daten vor -auf Grund des Fehlens der Betriebsvereinbarung war der vorläufige Abbau auszusprechen (einstweilige Verfügung)

52 © ARGE DATEN 2013 ARGE DATEN Datenschutz und Betriebsrat Datenschutzrechte und Betriebsrat (OGH Entscheidung 6 ObA 1/06z) -ein Flugunternehmen führte ein "Crew Management System" ein, das neben Stammdaten die Einsatzpläne, Qualifikationen usw. verwaltete -Betriebsrat begehrte Löschung der Daten (§ 27 DSG 2000) -Löschung abgelehnt, da Betriebsrat nach dem DSG 2000 keine Parteienstellung hat -Datenschutzrechte sind höchstpersönliche (subjektive) Rechte -Betriebsrat steht in Datenschutzangelegenheiten auch keine Vertretungsbefugnis der Mitarbeiter zu -Mitarbeiter müssen allfällige Löschungsrechte selbst einklagen (auch wenn notwendig in Parallelverfahren) -BR-Rechte im ArbVG geregelt (z.B. § 89 Z 1 ArbVG Recht auf Einsichtnahme in Gehaltsdaten, bedeutet kein Recht auf Datenzugriff (OGH 9ObA3/03m) - eine weitere Grenze ergibt sich bei der privaten Nutzung von Betriebsmitteln, auch hier sieht ArbVG keine Mitbestimmungsrechte des Betriebsrates vor

53 © ARGE DATEN 2013 ARGE DATEN Datenschutz und Betriebsrat Betriebsratsbestimmung im DSG § 9 Z 11 regelt Einsatz sensibler Daten im Betrieb -§ 9 Z 11 betont, dass Betriebsratsrechte durch die Regelung nicht berührt sind Zusammenfassung -Datenanwendungen im Betrieb sind daher sowohl am ArbVG, als auch am DSG 2000 zu messen -Betriebsvereinbarung kann nicht erforderliche Zustimmung der Betroffenen ersetzen -umgekehrt kann Zustimmung der Betroffenen nicht eine notwendige Betriebsvereinbarung ersetzen Datenanwendungen, die die Menschenwürde verletzen, sind weder zustimmungsfähig, noch betriebsvereinbarungsfähig.

54 © ARGE DATEN 2013 ARGE DATEN Betriebsvereinbarungen Informationstechnik und Betriebsvereinbarung I Bereiche in denen Betriebsvereinbarungen sinnvoll sind: -Internet- / -Einsatz -Intranet / Mitarbeiterinfos / Online-Mitarbeitermagazin -Online-Mitarbeiter-Befragungen -elektronische Aktenbearbeitung, elektronische Rechnungsbearbeitung -gemeinsame Nutzung von Kalender- und Projektplanungssoftware -biometrische Zeiterfassung -Videoüberwachung / Zutrittskontrollsysteme jeder Art

55 © ARGE DATEN 2013 Betriebsvereinbarungen Informationstechnik und Betriebsvereinbarung II (Fortsetzung): -Verwendung von Diensthandys -Einsatz von Audit- und Remote-Support-Software -Blackberry/Bluetooth - Einsatz im Verkauf -Bestellautomation / für Kundenlager-Kontrolle -digitale Signatursysteme (z.B. Paketzusteller, Installateur,...) -GPS-Einsatz bei Fuhrpark Bereiche bei denen Betriebsvereinbarung + individuelle Zustimmung nach DSG Bedeutung haben kann: -Konzernweite mitarbeiterbezogene Reporting-Systeme Bereiche, bei denen keine Betriebsvereinbarung vorgesehen ist: -Dienstleistervereinbarungen nach DSG 2000 ARGE DATEN

56 © ARGE DATEN 2013 ARGE DATEN Betriebsvereinbarung [BV] - Übersicht A. Betroffener Personenkreis B. Systembeschreibung C. Gegenstand des Übereinkommens, Zweck der Verarbeitung D. Definition der verwendeten Daten E. Definition der Datennutzung F. Abgrenzung zu anderen Datenverarbeitungen G. Definition von Codes und Wertebereichen H. Maximale Dauer der gespeicherten Daten I. Vorgangsweise bei Änderung des Systems J. Anwendungs- und Auslegungsgrundsatz K. Schlichtungskommission L. Geltung Anhang I: Datenarten (Infotypen) Anhang II: Auswertungen Anhang III: Übermittlungen Anhang IV: Zugriffsberechtigte / Systemadministratoren Intranet - Betriebsvereinbarung

57 © ARGE DATEN 2013 ARGE DATEN Betriebsvereinbarung [BV] - Beispiel Mail A. Betroffener Personenkreis "Alle Mitarbeiter mit -Account." ["Zugang zum Internet"] B. Systembeschreibung Verwendet wird Mailserver xy [bei Provider...] in Version v999 mit folgenden Eigenschaften: -Bereithalten von Mails am Server, -erstellen Mailkopien -Viren- und Wurmscan mittels Software abc -Protokollierung der ein-/ausgehenden Mails gem. Daten Anhang I Wartungs- und Systemverantwortlicher:.... C. Gegenstand des Übereinkommens, Zweck der Verarbeitung Vereinbarung regelt private und dienstliche Mailnutzung, Verhalten bei Attachments, bei Missbrauchsverdacht und Abwehr von Spam/Würmern/Viren Intranet - Betriebsvereinbarung

58 © ARGE DATEN 2013 ARGE DATEN Betriebsvereinbarung [BV] - Beispiel Mail D. Definition der verwendeten Daten Mailinhalt (inkl. Betreff und Attachements), Absender, Empfänger, Ursprungsdaten, Eingangs/Ausgangszeit, Mailgröße,... (Details siehe Anhang I) E. Definition der Datennutzung (Regelungsbeispiele) -Aufbewahrung/Archivierung der Mails -Erzeugen von Mailkopien -Regeln für Leserechte -Auswertung von Mail-Protokolldaten: Speicherdauer, Verwendung beweglicher Speichermedien -Verwendung von Funktions- und Personenmailadressen (z.B. dienstliche Angelegenheiten sind vorrangig (immer) mittels Funktions- Mailadresse zu versenden) -Definition der missbräuchlichen Nutzung -Vorgangsweise bei missbräuchlicher Nutzung Intranet - Betriebsvereinbarung

59 © ARGE DATEN 2013 ARGE DATEN Betriebsvereinbarung [BV] - Beispiel Mail E. Definition der Datennutzung (Fortsetzung) -Filterungen/Scan finden nicht statt, ausgenommen Spam-/Wurm- /Viren-Filter mittels Vorgangsweise bei vorhersehbarer Dienstverhinderung -Vorgangsweise bei Ausscheiden, unvorhergesehener Dienstverhinderung, Todesfall -Informations- und Einschaurechte des Betriebsrates [-Nutzung privater Mails -Obergrenze der privaten Mails xx kByte (z.B. 300 kByte/Mail)] F. Abgrenzung zu anderen Datenverarbeitungen -sonstige Internetnutzung ist von dieser Vereinbarung nicht betroffen G. Definition von Codes und Wertebereichen -im Fall wird keine Vereinbarung notwendig sein Intranet - Betriebsvereinbarung

60 © ARGE DATEN 2013 ARGE DATEN Betriebsvereinbarung [BV] - Beispiel Mail H. Maximale Dauer der gespeicherten Daten -Mailkopien am Server werden max. xxx Tage gespeichert -Protokolldaten bis z.B. Ende des darauffolgenen Monats I. Vorgangsweise bei Änderung des Systems -geplante Systemänderungen werden dem Betriebsrat 2 Monate vorab angekündigt -ausgenommen Sicherheitsupdates aufgrund von Sicherheits- Empfehlungen (Hersteller, cert, dfn-cert,...) -Patches aufgrund von Fehlfunktionen (Hersteller,...) J. Anwendungs- und Auslegungsgrundsatz -BR und GF legen die BV nach den Grundsätzen der Wirtschaftlichkeit aus Intranet - Betriebsvereinbarung

61 © ARGE DATEN 2013 ARGE DATEN Betriebsvereinbarung [BV] - Beispiel Mail K. Schlichtungskommission -Zusammensetzung -bei Nichteinigung wird ein externer Gutachter beigezogen L. Geltung -Vereinbarung gilt ab xx für ein Jahr (alternativ: auf unbestimmte Zeit) Anhang I: Datenarten (Infotypen) Anhang II: Auswertungen Anhang III: Übermittlungen Anhang IV: Zugriffsberechtigte/Systemadministratoren Für Anhang I-III können auch als Basis für die Registrierung beim DVR herangezogen werden. Intranet - Betriebsvereinbarung

62 © ARGE DATEN 2013 ARGE DATEN private IKT-Nutzung IKT-Nutzungsverordnung – IKT-NV (BGBl. II Nr. 281/2009) Regelt private IKT-Nutzung für Bedienstete des Bundes Grundprinzip (§ 3): Eingeschränkte private Nutzung ohne -Beeinträchtigung des Dienstbetriebs -keine Schädigung des Ansehens des öffentlichen Dienstes -keine Gefährdung der Sicherheit des IKT-Betriebs -keine missbräuchliche Verwendung rein private Geschäfte sind erlaubt (§ 4 Abs. 2) private -Nutzung (§ 5) -kein Hinweis auf dienstliche Stellung oder dienstliche Postadresse -keine Verwendung dienstlicher -Signaturen -private s dürfen nach Schadprogrammen und Spam gescannt werden

63 © ARGE DATEN 2013 ARGE DATEN private IKT-Nutzung IKT-Nutzungsverordnung – IKT-NV II (BGBl. II Nr. 281/2009) Festlegung der missbräuchlichen Verwendung (§ 4 Abs. 4) -Zugriff auf strafrechtlich verbotene oder rechtswidrige Seiten -Benutzung oder die zur Verfügung stellen von strafrechtlich relevanten Tatbeständen -Zugriff auf pornographische Inhalte -Zugriff auf Seiten, die Zahlungsverpflichtungen des Dienstgebers zur Folge haben -herunterladen "schadware-verdächtiger" Dateitypen keine missbräuchliche Nutzung, wenn irrtümlicher Zugriff! (§ 4 Abs. 5)

64 © ARGE DATEN 2013 ARGE DATEN betriebliche Datenverwendung zulässige Datenverwendung Betriebsvereinbarung & Privatnutzung Datenschutzerklärung

65 © ARGE DATEN 2013 ARGE DATEN Wozu dienen Privacy Statements [PS]? -zur Klärung individuell vereinbarer Teile -zur Erfüllung gesetzlicher Informationspflichten -vorteilhaft gegenüber Kunden/Interessenten aus Drittländern oder im Rahmen besonderer Verpflichtungen, wie Corporate Social Responsibility (siehe Anhang) Es besteht keine Verpflichtung zu Privacy Statements es gilt (immer) das österreichische DSG (bei Datenverarbeitern mit Niederlassung in Österreich) Datenschutzrechtliche Einordnung -Privacy Statements sind detaillierte Ausformungen, was als "Verwendung der Daten nach Treu und Glauben" anzusehen ist (§ 6 DSG 2000) -§ 6 Abs. 4 spricht weiters die Möglichkeit an, gemeinsame Verhaltensregeln einzelner Bereiche (Branchen) auszuarbeiten [Selbstregulierung] Datenschutzerklärung / Privacy Statements [PS]

66 © ARGE DATEN 2013 ARGE DATEN Was leisten Privacy Statements nicht? -Aufhebung gesetzlicher Datenschutz-, TKG- oder e-commerce- Bestimmungen, sonstiger verpflichtender gesetzlicher Bestimmungen -bloße Beschwichtigung: "uns ist Datenschutz wichtig" -Eingriffe in Rechte Dritter (Verfügung über die Daten von Lebenspartnern, "Freundschaftswerbung") negatives, unzulässiges Beispiel: "Vertragspartner verzichten auf das Auskunftsrecht gem. DSG 2000" Privacy Statements [PS]

67 © ARGE DATEN 2013 ARGE DATEN Ein Standard - Statement "Der Kunde stimmt zu, dass die Daten im Rahmen der Bestellung für Zwecke unserer Buchhaltung sowie zu internen Marktforschungs- und Marketingzwecken erhoben, bearbeitet, gespeichert und genutzt werden. Die Daten werden von uns zur Erfüllung von gesetzlichen Vorschriften, zur Abwicklung des Zahlungsverkehrs und zu Werbezwecken verwendet." Ist in dieser Form nicht nötig, diese Dinge sind bloß informationspflichtig Ein einfaches Standard - Statement "Der Kunde wird gemäß österreichischem Datenschutzgesetz darüber informiert, dass die Daten..... von dem Unternehmen XY-Enterprise zur Abwicklung der Bestellung, für Zwecke der Buchhaltung, zur Erfüllung von gesetzlichen Vorschriften, zur Abwicklung des Zahlungsverkehrs sowie zu internen Marktforschungs- und Marketingzwecken erhoben, bearbeitet, gespeichert und genutzt werden. Folgende zusätzliche Daten werden zu internen Marktforschungs- und Marketingzwecken verwendet, die Bekanntgabe ist freiwillig und nicht an die Bestellung gebunden:... Die Verwendung dieser Daten kann gemäß DSG 2000 jederzeit, ohne Angabe von Gründen widerrufen werden und hat keinen Einfluss auf die sonstigen vertraglichen Verpflichtungen." Privacy Statements [PS]

68 © ARGE DATEN 2013 ARGE DATEN Aufbau eines optimalen Privacy Statements (1)Individuelle Vereinbarungen (2)Informationen zur Datenverwendung (3)Allgemeine rechtliche Informationen (4)Technische Informationen zur Datensicherheit (5)Kontroll-, Beschwerde- und Informationsstelle(n) Privacy Statements [PS]

69 © ARGE DATEN 2013 ARGE DATEN Dienste der Informationsgesellschaft e-Commerce Bestimmungen Medienrechtsbestimmungen Unternehmensgesetzbuch Vereinsgesetz

70 © ARGE DATEN 2013 Grundlagen Österreich -E-Commerce-Gesetz – ECG, BGBl I 152/2001 -Fernabsatzgesetz, BGBl I 185/1999 (geregelt im KSchG) -Mediengesetz, BGBl I 49/2005, 151/ Handelsrechts-Änderungsgesetz – HaRÄG, BGBl I 120/2005 (geregelt im Unternehmensgesetzbuch) Grundlagen EU -EG-Richtlinie 2000/31/EG "Richtlinie über den elektronischen Geschäftsverkehr" Regelungsbereich -regeln diverse Informations- und Auskunftspflichten bei Onlinediensten gem NotifG 1999 § 1 Abs 1 Z 2 Dienste der Informationsgesellschaft ARGE DATEN

71 © ARGE DATEN 2013 ARGE DATEN Geltungsbereich §§ 1ff ECG -geregelt wird elektronischer Geschäfts- und Rechtsverkehr -Zulassung von Diensteanbietern, Informationspflichten, Abschluss von Verträgen, Verantwortlichkeit von Diensteanbietern (§1) -von den Bestimmungen unberührt bleiben Belange des Abgabenwesens, des Datenschutzes und des Kartellrechts (§2) -Dienst der Informationsgesellschaft (§ 3 Z 1): elektronisch im Fernabsatz auf individuellen Abruf des Empfängers (in der Regel) gegen Entgelt bereitgestellter Dienst, insbesondere - Online-Vertrieb von Waren und Dienstleistungen, -Online-Informationsangebote, -Online-Werbung, -elektronische Suchmaschinen, -Datenabfragemöglichkeiten, -Dienste, die Informationen über ein elektronisches Netz übermitteln, die den Zugang zu einem solchen vermitteln oder die Informationen eines Nutzers speichern (Access-, -Dienste) Bestimmungen e-commerce

72 © ARGE DATEN 2013 Geltungsbereich §§ 1ff ECG II -Diensteanbieter (§ 3 Z 2): eine natürliche oder juristische Person oder sonstige rechtsfähige Einrichtung, die einen Dienst der Informationsgesellschaft bereitstellt -Nutzer (§ 3 Z 3): nimmt Dienst in Anspruch -Verbraucher (§ 3 Z 4): natürliche Person, die zu Zwecken handelt, die nicht zu ihren gewerblichen, geschäftlichen oder beruflichen Tätigkeiten gehören ARGE DATEN Bestimmungen e-commerce

73 © ARGE DATEN 2013 ARGE DATEN Allgemeine Informationspflichten § 5 ECG leicht verständliche und eindeutige Information zu: -Personenname oder Firmen-/Organisationsname -geographische (ladungsfähige) Anschrift -Kontaktdaten (inkl. -Adresse) -evtl. zuständige Aufsichtsbehörde -evtl. FN-Nummer und Firmenbuchgericht -evtl. berufsrechtliche Vorschriften und Zugang -evtl. UID-Nummer -klare Preisauszeichnung! -Sonstige Informationspflichten bleiben unberührt! Verstoß: -Verwaltungsstrafe § 26 ECG (bis 3.000,- Euro) -Wettbewerbsverletzung § 1 UWG Bestimmung ist bei jedem Web-Angebot anzuwenden (nicht bloß Online-Shop) Bestimmungen e-commerce

74 © ARGE DATEN 2013 ARGE DATEN Besondere Informationspflichten § 9 ECG Klare, verständliche und eindeutige Informationen vor Abgabe der Vertragserklärung über -technisch erforderliche Schritte zum Vertragsabschluss -eventuelle Speicherung des Vertragstextes und Zugang dazu -technische Mittel zur Erkennung und Berichtigung von Eingabefehlern -Sprachen in denen Vertrag abgeschlossen werden kann -freiwillige Verhaltenskodizes, Schiedsstellen usw. Verbraucher kann nicht rechtswirksam darauf verzichten Sonstige Informationspflichten bleiben unberührt! Verstoß -Verwaltungsstrafe § 26 ECG (bis 3.000,- Euro) -UWG -evtl. Schadenersatz -evtl. irrtumsrechtliche Anfechtung Anzuwenden bei Onlinediensten (Shops,...) im engeren Sinn Bestimmungen e-commerce

75 © ARGE DATEN 2013 ARGE DATEN erweiterte Informationspflicht gem. § 5c KSchG -Name des Anbieters oder der Firma -wesentliche Eigenschaften der Leistung -Preis und Lieferkosten -Einzelheiten Zahlung, Lieferung oder Erfüllung -Rücktrittsrecht -Angabe der Telefonkosten/Onlinegebühren für Informationen (sofern nicht ortsüblich) -Gültigkeitsdauer des Angebotes oder Preises -Mindestlaufzeit des Vertrages Bestimmungen gelten für Geschäfte mit Verbrauchern (Konsumenten), Ausnahmen vorgesehen Bestimmungen e-commerce

76 © ARGE DATEN 2013 ARGE DATEN Zugang elektronischer Erklärungen (§ 12 ECG) - gilt als zugegangen, wenn mit dessen Kenntnisnahme (Abruf) unter gewöhnlichen Umständen gerechnet werden kann (unterschiedlich bei Unternehmen und Privatpersonen) Aber: Risiko der Übermittlung und des vollständigen Zugangs einer beim Empfänger trägt der Absender -Eventuell Prüf- und Sorgfaltspflichten des Empfängers regelmäßige Nachschau in box, Sicherstellung des Betriebs (Providerhaftung!) -Gegenwärtige -Systeme kennen keine zuverlässigen Identifikations- und Authentifikationsmechanismen -Funktionieren beruht auf Good-Will aller Beteiligter -Zustelldienste mit elektronischer Signatur und personalisierten URLs sollen Abhilfe schaffen (siehe E-Government-Gesetz) z.B. Bestimmungen e-commerce

77 © ARGE DATEN 2013 ARGE DATEN Medienrecht Ist Website ein Medium? Website oder elektronischer Newsletter (mind. viermal jährlich, vergleichbare Gestaltung sind "periodische elekronische Medien (§1 Z 5a MedienG, seit ) -elektronischer Newsletter wird als "wiederkehrendes elektronisches Medium" bezeichnet -keine Medienwerke (§1 Z 3) oder periodische Medienwerke (§ 1 Z 5) -permanente Offenlegungspflicht (§ 25), nicht Impressumspflicht (§ 24) -bei Website ständig und leicht auffindbar bereitzustellen (§ 25) -bei Newsletter als Teil des Newsletters (jedes Mal) oder als Link auf Website (§ 25) -Missachtung ist Verwaltungsübertretung, seit bis EUR Strafe (früher 2.180,- EUR) -Offenlegungspflicht trifft Medieninhaber

78 © ARGE DATEN 2013 ARGE DATEN Medienrecht Offenlegungspflichten (§ 25 MedienG) -Name des Betreibers (z.B. bei privaten Seiten, Einzelpersonen) oder Organisationsbezeichnung (Firma, Verein) (I) -Wohnort oder Sitz der Gesellschaft, Niederlassung (II) -Angabe des Unternehmensgegenstandes (III) -sofern zutreffend: Name der Geschäftsführer, Mitglieder des Vorstandes und Aufsichtsrates und der Gesellschafter mit einer Einlage von mehr als 25% -gilt auch für mittelbar beteiligte Gesellschafter -Erklärung über die grundlegende Richtung des Mediums Erleichterung bei Websites (und nur bei diesen!) die keine Beeinflussung der öffentlichen Meinungsbildung anstreben: -in diesem Fall sind nur Name, Sitz (Ort) und Unternehmensgegenstand anzugeben (I) - (III)

79 © ARGE DATEN 2013 ARGE DATEN Medienrecht Auswirkungen der Aufnahme von Websites als Medium -schon bisher ist die Rechtssprechung davon ausgegangen, dass Websites Medien sind -viele Bestimmungen trafen jedoch definitorisch nicht zu und bereiteten daher Umsetzungsschwierigkeiten (etwa Beschlagnahme) -nun ausdrücklich für Websites geregelt: u.a. Üble Nachrede, Beschimpfung, Verspottung und Verleumdung (§ 6), Verletzung des höchstpersönlichen Lebensbereiches (§ 7), Identitätsschutz (§ 7a), Unschuldsvermutung (§ 7b), -Gestaltung, Durchsetzbarkeit von Gegendarstellungen (§ 13) Geldbuße bis EUR für jeden versäumten Tag (§ 20) -Beschlagnahme von Websites (= Löschung des entsprechenden Inhalts) (§ 36)

80 © ARGE DATEN 2013 ARGE DATEN Unternehmensgesetzbuch Impressumspflicht nach dem Unternehmensgesetzbuch (§ 14) -gilt seit für Kapitalgesellschaften (AGs, GmbHs), für alle anderen eingetragenen Unternehmen ab Unternehmensgesetzbuch ersetzt bisheriges Handelsgesetzbuch -betrifft alle Geschäftspapiere und Bestellscheine (aber auch alle Websites und alle s) -gilt für alle im Firmenbuch eingetragenen Unternehmen -verpflichtende Angaben: Firmenname, Firmenbuchnummer, Firmenbuchgericht Firmensitz (Sitz laut Firmenbucheintragung) Rechtsform (z.B. GmbH, AG, OG, KG, eingetragenes Einzelunternehmen/e.U.) + weitere für spezifische Unternehmensformen zutreffende Hinweise

81 © ARGE DATEN 2013 ARGE DATEN Vereinsgesetz Informationspflicht nach dem Vereinsgesetz (§ 18) -ZVR-Zahl ist von den Vereinen im Rechtsverkehr nach außen zu führen (§ 18 Abs. 3) -Strafbestimmung § 31: Geldstrafe bis zu 218 Euro, im Wiederholungsfall mit Geldstrafe bis zu 726 Euro zu bestrafen

82 © ARGE DATEN 2013 ARGE DATEN Onlineinformation

83 © ARGE DATEN 2013 ARGE DATEN Ich danke für Ihre Aufmerksamkeit

84 © ARGE DATEN 2013 ARGE DATEN StMV - mitarbeiterbezogene SA Betriebsvereinbarung /Internet CSR - Datenschutz-Regeln SPG § 53 - Auskunftspflichten Polizei Anhang Cookie Stellungnahme Art. 29-Gruppe IKT-Nutzungsverordnung Bundesdienst

85 © ARGE DATEN 2013 ARGE DATEN Sonstige Seiten

86 © ARGE DATEN 2013 Whistleblowing - Erscheinungsformen Whistleblowing - Formen I "bekannt geben" kann bedeuten: -innerbetrieblich melden -im Auftrag des Betriebs an eine neutrale Ombudsstelle melden -an den Gesellschafter (z.B. Konzernzentrale,...) melden -an Strafverfolgungsbehörden melden ("Anzeige") -an die Öffentlichkeit bringen Jede dieser Formen ist datenschutzrechtlich unterschiedlich zu behandeln! ARGE DATEN

87 © ARGE DATEN 2013 Whistleblowing - Erscheinungsformen Whistleblowing - Formen II "Meldung / Melder": -Meldung erfolgt anonym: meist nur Einmalhinweis möglich -Meldung erfolgt pseudonymisiert: erlaubt Rückfragen, Rückmeldungen -Meldung erfolgt personenbezogen Jede dieser Formen ist datenschutzrechtlich unterschiedlich zu behandeln! ARGE DATEN

88 © ARGE DATEN 2013 Whistleblowing - Erscheinungsformen Whistleblowing - Formen III Methode wie Hinweise gegeben werden können: -Angabe einer Postadresse -Angabe einer Telefonnummer / Hotline -Online-Service (Webformular) Jede dieser Formen ist datenschutzrechtlich unterschiedlich zu behandeln! ARGE DATEN

89 © ARGE DATEN 2013 ARGE DATEN Weitere Verpflichtungen (§ 10 ECG) -Verfügbarkeit angemessener, wirksamer und zugänglicher technischer Mittel zur Erkennung und Berichtigung von Eingabefehlern -Unverzügliche elektronische Empfangsbestätigung des Zugangs einer Vertragserklärung (außer Online-Dienstleistungen) Ergänzungen: -Verbraucher kann nicht rechtswirksam darauf verzichten -nicht anwendbar bei ausschließlicher Verwendung der elektronischen Post -Vorsicht! eine Empfangsbestätigung darf nicht mit einer Auftragsbestätigung verwechselt werden! Informationen müssen einfach auffindbar sein! Bestimmungen e-commerce

90 © ARGE DATEN 2013 ARGE DATEN Rücktrittsrecht I (§ 5e KSchG) -Rücktritt ist das rückgängig Machen eines Vertrages nicht zu verwechseln mit Umtausch, Reklamation, Gewährleistung, Vertragswandlung, Irrtum usw. -Es sind keine Gründe für den Rücktritt anzugeben -Rücktritt wird Zug-um-Zug abgewickelt Auslagenrückerstattung für Verbraucher Wertminderungs/Benützungsentgelt für Anbieter -Rücktritt gilt automatisch auch für Drittfinanzierungsvereinbarungen -Ziel der Bestimmung ist das Verhindern der Überrumpelung Bestimmungen e-commerce

91 © ARGE DATEN 2013 ARGE DATEN Rücktrittsrecht II (§§ 5e, 5g KSchG) Rücktrittsfrist: 7 Werktage (ohne Samstag) ab Vertragsabschluss (typisch bei Dienstleistungen) oder ab Zustellung der Ware (falls kein Vertrag abgeschlossen wurde) Voraussetzung ist eine korrekte Aufklärung über den Rücktritt ansonsten 3 Monate Rücktrittsrecht Rücksendekosten hat Anbieter zu tragen es kann jedoch die Übernahme der Rücksendekosten durch den Verbaucher vereinbart werden Verzicht auf Rücktritt kann nicht wirksam vereinbart werden "Faustregel": rücktrittswürdig sind alle Leistungen die rückgabefähig sind Ausnahmen vorgesehen Bestimmungen e-commerce

92 © ARGE DATEN 2013 ARGE DATEN Ausnahmebestimmungen "Rücktritt" -Leistungen, deren Preis kursabhängig ist -verderbliche Waren -kundenspezifisch angefertigte Waren -Dienstleistungen, mit deren Ausführung vereinbarungsgemäß binnen 7 Werktagen begonnen wurde (inkl. Onlinedienste) -entsiegelte Audio- oder Videoaufzeichnungen und Software -Zeitungen, Zeitschriften oder Illustrierte -Wett- und Lotteriedienstleistungen -"Haushaltslieferungen" und "Freizeitdienstleistungen (siehe Ausnahmebestimmungen II) Hinweis! Rücktrittsrecht gilt auch bei Bestellung im Internet und Selbstabholung im Ladengeschäft (OGH 7Ob54/08d) Bestimmungen e-commerce

93 © ARGE DATEN 2013 ARGE DATEN sonstige Ausnahmebestimmungen II (§ 5c Abs. 4) für Hauslieferungen Güter des täglichen Bedarfs + Zustellung an Aufenthaltsort, Wohnort oder Arbeitsstätte) Achtung! Trifft nicht automatisch auf jeden Lebensmittelversand zu! (Direktvertrieb von Bioprodukten, Weinversand,...) Freizeitdienstleistungen Leistungen im Bereich Speise+Getränke, Unterbringung, Beförderung und Freizeitgestaltung + Vereinbarung der Leistungserbringung zu einem genau definierten Zeitpunkt Ausnahmen von Informationspflichten (§ 5c KSchG) Rücktritt (§ 5e KSchG) Erfüllung/Mitteilungspflicht (§§ 5d, 5i KSchG) Bestimmungen e-commerce

94 © ARGE DATEN 2013 ARGE DATEN elektronische Kommunikation im Betrieb (betriebliche) - / Internetnutzung im Spiegel der Rechtssprechung -OGH 9ObA75/04a: -Verkehr entspricht gelegentlichen kurzen Telefonaten privaten Inhalts mit Arbeitskollegen. Gelegentliches Weiterleiten von Spaß- s entgegen generellem Verbot stellt zwar Fehlverhalten dar, rechtfertigt nicht Entlassung. -OGH 9ObA98/06m: Per verbreitete beleidigende Äußerung rechtfertigt Entlassung. -OGH 9ObA151/02z: Surfen in der Arbeitszeit, wenn es nach Ermahnung sofort eingestellt wird, stellt keinen Entlassungsgrund dar. -OGH 9ObA178/05z: unerlaubte private Computernutzung an sich noch kein Schaden für Betrieb, wäre etwa durch Virenbefall wegen Verletzung der Internet- Policy gegeben. Umsatz und Gewinnentgang wegen "unproduktiven Verhaltens" ebenfalls kein Schaden, muss kausal bewiesen werden. Kein Entlassungsgrund

95 © ARGE DATEN 2013 ARGE DATEN elektronische Kommunikation im Betrieb (betriebliche) - / Internetnutzung im Spiegel der Rechtssprechung II -OGH 9 ObA 11/11z: Installation eines Computerkriegsspiels, eines Programms zum Brennen von CDs - keine Weisung, Richtlinien etc im Betrieb - bei entsprechender Weisung hätte AN rechtswidriges Verhalten unterlassen - kein Nachweis einer konkreten rechtswidrigen Nutzung in der Arbeitszeit - Entlassung nicht gerechtfertigt -OGH 8 ObA 52/11x: tägliches privates Surfen im Internet, Download umfangreicher Film- und Musikdateien - keine Schädigungsabsicht, kein konkreter Schaden nachweisbar - Umfang rechtfertigt Entlassung.

96 © ARGE DATEN 2013 ARGE DATEN elektronische Kommunikation im Betrieb (betriebliche) - / Internetnutzung im Spiegel der Rechtssprechung III -OGH 9 ObA 16/08f: Sach-Mitteilungen per (hier: Dienstfrei-Stellung) sind zulässig -OLG Graz 7Ra17/07k: Geltendmachung von Lohnansprüchen per entspricht Schriftform-Gebot in kollektivvertraglichen Verfallsklauseln ("modernes Kommunikationsmittel"). Es ist jedoch die Zustellung und Kenntnisnahme sicher zu stellen. -OGH 9 ObA 96/07v: Keine wirksame Kündigung des Lehrverhältnisses per SMS. Kündigungen bedürfen der einfachen Schriftlichkeit. -OGH 5 Ob 133/10k: Bei Schriftformgebot nach dem Mietrecht ist einfache nicht ausreichend, erfordert qualifizierte Signatur (Sicherung des Übereilungsschutzes) Anmerkung(en): LAG München (11 Sa 54/09): unerlaubte -Einsichtnahme durch Administrator rechtfertigt fristlose Kündigung (Ö: Entlassung)

97 © ARGE DATEN 2013 ARGE DATEN Werbung und e-commerce -Grundsätzlich gelten die ECG-Bestimmungen auch für kommerzielle elektronische-Angebote, bei denen nicht direkt bestellt werden kann -Allgemeine Werberegeln gelten auch im Internet (UWG, vergleichende Werbung, sittenwidrige Werbung, Verbote von Gewinnversprechen,...) -Zusätzlich wichtig ist die Kennzeichnung (§ 6 ECG) -Klare und eindeutige Erkennbarkeit der kommerziellen Kommunikation (Kennzeichnung als "Werbung", "PR" udgl.) -wer Auftraggeber ist -bei Angeboten zur Absatzförderung zusätzlich: Zugang zu Bedingungen für die Inanspruchnahme -bei Gewinnspielen und Preisausschreiben zusätzlich: Zugang zu Teilnahmebedingungen e-commerce - Marketing

98 © ARGE DATEN 2013 ARGE DATEN Internetspezifische Werbeformen -Domainnamen -Keyword Advertising -Meta Tagging -Word Stuffing -Hyperlinks / InFrames -Powershopping Neben wirtschaftlichen Apekten (UWG, ECG) sind in den meisten Fällen auch urheberrechtliche, namensrechtliche und marken-/ musterschutzrechtliche Aspekte zu beachten keine dieser Werbemethoden ist grundsätzlich verboten! Gepflogenheiten, insbesondere Rechtssprechung sollte beachtet werden e-commerce - Marketing

99 © ARGE DATEN 2013 ARGE DATEN OGH 4 Ob 194/05s ("Google Adwords") Ausgangslage -Bei Eingabe der Marke "GLUCOCHONDRIN" bei Google erschien Werbung der Konkurrenz -Markeninhaberin klagte Google auf Unterlassung gem. § 18 ECG -Nach Einleitung der Klage wurde Link entfernt Entscheidung -Google stellt nur Werbeplatz zur Verfügung, nimmt aber keinen bewußten Einfluss auf Inhalt -Prüfpflicht und Gehilfenhaftung nur bei groben und offensichtlichen Rechtsverstößen gegeben -Haftung vergleichbar einem Telekom-Anbieter der Mehrwertnummern oder Domainnamen bereitstellt, aber nicht auf Inhalt Einfluss nimmt -Klage war abzuweisen e-commerce - Diensteanbieter

100 © ARGE DATEN 2013 ARGE DATEN Regelung Bewerberdaten -Bewerber sind keine Mitarbeiter, daher keine Standardanwendung Registrierungspflicht -Datenumfang bei Bewerbung unterschiedlich zu Mitarbeiterdaten (z.B. SV-Nummer, steuerrechtliche Angaben) Hinweis auf Erhebung zur rascheren Bearbeitung (überwiegende Interessen des Auftraggebers?) -Bewerbungen betreffen im Regelfall immer nur eine konkrete Stelle in einem konkreten Unternehmen Löschpflicht nach Ende der Bewerbung, Rücksendung der Unterlagen -Weitere Evidenzhaltung im selben Unternehmen oder in der gesamten Unternehmensgruppe erfordert die ausdrückliche Zustimmung des Betroffenen (bloße Information reicht nicht) Mitarbeiter- und Bewerberdaten

101 © ARGE DATEN 2013 ARGE DATEN Videoeinsatz III Üblicherweise genehmigt die DSK Videoüberwachungen nur mit typischen Auflagen wie: -Sicherung der Aufzeichnungen -Beschränkung der Zugriffsberechtigten -Löschungsverpflichtung -eingeschränkte Auswerteberechtigung -Protokollierung der Datenverwendung -sofern Mitarbeiter erfasst werden und ein Betriebsrat existiert wird Betriebsvereinbarung verlangt betriebliche Datenverwendung

102 © ARGE DATEN 2013 ARGE DATEN Verwendung medizinischer Daten Ausgangslage: -ein Luftfahrunternehmen möchte die Impfdaten Ihres Flugpersonals weltweit verfügbar machen -eine gesetzliche Verpflichtung zur zentralen Speicherung besteht nicht -zur Umsetzung des Projekts wird ein Dienstleister herangezogen -das Projekt ist als Weblösung geplant datenschutzrechtliche Bewertung: -es handelt sich um sensible Daten, der Dienstleister muss daher besondere Eignung aufweisen -bei weltweiter Abrufbarkeit durch Dritte muss jeder Betroffene seine Zustimmung nach §4 DSG geben oder eine Genehmigung bei der DSK für den internationalen Datenverkehr einzuholen sein -als zusätzliche Datenerfassung ist das System vom Betriebsrat zustimmungspflichtig Mitarbeiter- und Bewerberdaten

103 © ARGE DATEN 2013 ARGE DATEN Geldwäschebestimmungen GewO §§ 365m bis 365z -Vielzahl von Geschäftsfällen betroffen: Handelsunternehmen (ab Euro Barzahlung), Immobilienmakler, Unternehmensberater, Versicherungsvermittler -Umfangreiche Erhebungspflichten für Unternehmen Identitätsnachweis der Kunden, Eigentums- und Kontrollstruktur des Kunden, "wirtschaftlicher" Eigentümer, Begünstigter -Zwang zur Verwendung privat betriebener Datenbanken außerhalb der EU "World-Check"-Datenbank nicht gesetzlich, aber de facto erforderlich -Unternehmen laufen Gefahr in Rechtskonflikte zu kommen umfassende Meldepflichten, auch bei bestehenden Geschäftsverbindungen, müssen Geschäftstätigkeiten beurteilen Hohes Konfliktpotential zu Datenschutzinteressen! Besondere Bestimmung in GewO

104 © ARGE DATEN 2013 ARGE DATEN Verantwortung spezifischer Diensteanbieter (§§13-17 ECG) -Durchleitung von Informationen (§13) ("AccessProvider") umfasst auch kurzfristiges Zwischenspeichern, etwa -Suchmaschinen (§14) Keine Verantwortung unter bestimmten Umständen: 1.die Übermittlung/Abfrage nicht veranlasst, 2.den Empfänger der übermittelten/abgefragten Informationen nicht auswählt und 3.die übermittelten/abgefragten Informationen weder auswählt noch verändert. Auskunftspflicht im Fall §13 gegenüber Gerichten zur Verhütung, Ermittlung, Aufklärung oder Verfolgung gerichtlich strafbarer Handlungen e-commerce - Diensteanbieter

105 © ARGE DATEN 2013 ARGE DATEN Verantwortung spezifischer Diensteanbieter II (§§13-17 ECG) -Zwischenspeicherung (Caching) von Informationen (§15) Keine Verantwortung unter bestimmten Umständen: 1.Keine Änderung der Information, 2.Bedingungen zum Informationszugang werden beachtet [z.B. kein allgemein zugänglich machen gesperrter Information], 3.Aktualisierung gemäß "Industriestandard" (?!), 4.Technologien zum Sammeln von Informationen lt. "Industriestandard" dürfen nicht beeinträchtigt werden (??) und 5.Unverzügliches entfernen der Information, wenn am Ursprungsort nicht vorhanden oder Gericht/Verwaltungsbehörde Sperre/Entfernung angeordnet hat e-commerce - Diensteanbieter

106 © ARGE DATEN 2013 ARGE DATEN Verantwortung spezifischer Diensteanbieter III (§§13-17 ECG) -Hosting / Housing von Diensten (§16) -Links auf fremde Dienste (§17) Keine Verantwortung unter bestimmten Umständen: 1.Keine Kenntnis des rechtswidrigen Inhalts und auch keine Umstände bekannt, aus denen der rechtswidrige Inhalt oder Tätigkeit offensichtlich ist oder 2.bei Kenntnis der rechtswidrigen Tatsache unverzügliches Tätigwerden zum Entfernen des Hinweises/der Inhalte Erweiterte Auskunftspflichten bei Hosting -gegenüber allen Verwaltungsbehörden -gegenüber beliebigen Dritten, sofern ein überwiegendes rechtliches Interesse besteht und eine wesentliche Voraussetzung für die Rechtsverfolgung gegeben ist Auskunft umfasst jedoch nur Namen und die Adresse des Nutzers, mit dem Hostingvereinbarung abgeschlossen wurde e-commerce - Diensteanbieter

107 © ARGE DATEN 2013 ARGE DATEN OGH 6 Ob 218/03g ("Online-Archiv") Ausgangslage -In einem Online-Archiv findet (falsch) über ein Konkursverfahren -Betreiber hat Artikel nur übernommen, ist nicht als Content- Provider anzusehen -Betreiber erfährt erst in der Klage vom Fehler und löscht daraufhin den Beitrag Entscheidung -Umfang der Verletzung nicht nach ECG zu prüfen, sondern nach materiellrechtlichen Normen (ABGB, UrhG, UWG,...) -im Archiv finden sich auch Entgegnungen und Gegendarstellungen -Klage abgewiesen, da keine aktive Prüfpflicht des Archivbetreibers -Interesse der Öffentlichkeit höher zu bewerten als Interesse des Verletzten e-commerce - Diensteanbieter

108 © ARGE DATEN 2013 ARGE DATEN Pflichten der (TK)-Diensteanbieter (§18 ECG) -Keine generelle Überwachungspflicht (betrifft Dienste §§13-17) es müssen keine aktiven Maßnahmen zur Identifikation rechtswidriger Inhalte gesetzt werden inkludiert auch das Fehlen genereller Aufzeichnungspflichten -Auskunftspflicht gegenüber Gerichten zur Bestimmung von Dienstnutzern mit denen Verträge abgeschlossen wurden umfasst Verhütung, Ermittlung, Aufklärung oder Verfolgung gerichtlich strafbarer Handlungen -Sonstige Auskunftspflichten bleiben unberührt DSG Bestimmungen (Auskunftsrecht, Kontrollrecht DSK) Besondere Ermittlungsmaßnahmen (StPO) e-commerce - Diensteanbieter

109 © ARGE DATEN 2013 ARGE DATEN Informationsfreiheit Wiener Erklärung zur Informationsfreiheit Verfasser: Univ.-Prof. Dr. Nikolaus Forgó Motivation: Recht auf Information, Urheberrechtsinteressen und Datenschutz sind miteinander zu verknüpfen 10 Thesen, einige auszugsweise: -Digitalisierung und Vernetzung erlauben einzigartige Informationszugänge -Freie Werknutzungen dienen gesellschaftlichen und wissenschaftlichen Fortschritt -staatliche Einrichtungen haben Zugang zu öffentlichen Informationen technisch und rechtlich bestmöglich zu erleichtern -staatliche Sicherung des Zugangs zu Informationen

110 © ARGE DATEN 2013 ARGE DATEN betriebliche Datenverwendung Verwendung "weicher" Personendaten -etwa Antworten aus psychologischen Tests

111 © ARGE DATEN 2013 ARGE DATEN Aufbewahrungsdauer bei FlatRate-Daten Stellungnahme Art. 29-Gruppe WP werden Verkehrsdaten nicht zur Abrechnung genutzt, dann dürfen sie nicht gespeichert werden -auch bei Abrechnung dürfen nur die notwendigen Daten gespeichert werden (bis Begleichung der Rechnung und/oder Beilegung von Streitfällen) -einzelne Gebühreneinsprüche rechtfertigen nicht die Speicherung der Daten aller Teilnehmer -für steuerliche Zwecke dürfen nur kumulierte Rechnungsdaten aufbewahrt werden, nicht die Verkehrsdaten einzelner Teilnehmer Maßnahmen zur Harmonisierung des "begrenzten Zeitraums" notwendig Datenschutzfragen Kommunikation

112 © ARGE DATEN 2013 ARGE DATEN Speicherung Kommunikationsdaten Zulässigkeit / Verbot -Inhaltsdaten dürfen nicht gespeichert werden, sofern es nicht der Dienst erfordert Privacy-Gefährdungspotentiale -Einblick in persönliche Kommunikation -Ausspähen von Interessensprofilen Handhabung -strafrechtliche Sanktionen (§93/§108 TKG 2003, §119 StGB) -privatrechtliche (§1328a AGBG) Datenschutzfragen Kommunikation

113 © ARGE DATEN 2013 ARGE DATEN Speicherung/Verwendung Verkehrsdaten (Art 6) Zulässigkeit / Verbot -für Diensterbringung -für Gebührenabrechnung -für Kundenanfragen/Support -zur Ermittlung strafrechtlich relevanter Vorgänge (STPO) -zur Vermarktung der angebotenen Kommunikationsdienste -alle anderen Verwendungen bedürfen Zustimmung ("Dienst mit Zusatznutzen") oder sind verboten Privacy-Gefährdungspotentiale -Einblick in Kommunikationsbeziehungen, Ausspähen von Interessensprofilen wird auch auf Protokolldaten von Content-Providern anzuwenden sein Datenschutzfragen Kommunikation

114 © ARGE DATEN 2013 ARGE DATEN Datenschutzfragen Internettechniken SPAM-Problem Umfang von Spam -2004: 75% aller Mails Spam (2001: 7%) -Response von 1:1, reicht für "erfolgreiche" Aussendung -7% der Mailnutzer reagieren zumindest einmal im Jahr auf Spam Gefährdungspotentiale -Belästigung mit unerwünschen Inhalten -Fehler in Annahme/Ablehnung von Mails -Beschränkung der Kommunikation aus Angst vor Spam -Kosten (Übertragung, Beseitigung, Filterkonfiguation, Zeitverlust) 2002/58/EG (TK-Datenschutzrichtlinie) / TKG EU-RL sieht Opt-In bei Werbung vor, komplizierte TKG-Richtlinie -Sperrliste ist zu beachten -Anzeigemöglichkeit bei unerwünschter Zusendung

115 © ARGE DATEN 2013 ARGE DATEN Datenschutzfragen Internettechniken SPAM-Problem

116 © ARGE DATEN 2013 ARGE DATEN Intranet - sonstiges Bedeutung von (Anti-)Spyware/Monitoring -Definition "Was ist Spyware?" (Beispiele: Keylogger) -Spywarefunktionalität oft auch bei Audit-Software, Monitoring-Software, Remotecontrol-Software,... gegeben -Schutzmaßnahmen gegen Spyware zulässig/verpflichtend -Verpflichtungen des Arbeitgebers / Arbeitnehmers "Spyware", die die Kommunikationsinhalte der Mitarbeiter kontrolliert wird nicht zustimmungsfähig sein, sondern als unzulässiger Grundrechtseingriff verboten sein Spyware, die bloß "Verkehrsdaten" aufzeichnet wird an der OGH-Entscheidung zu messen sein

117 © ARGE DATEN 2013 ARGE DATEN DSK Empfehlung K ("polizeiliche Information") Ausgangslage -Berufskraftfahrer wird bei privater Autofahrt Führerschein abgenommen -Mitarbeiter hat sich am nächsten Tag krank gemeldet -Polizeidienststelle gibt Arbeitgeber "Wink" -Dienstgeber spricht Entlassung aus Entscheidung -Datenweitergabe durch Polizei war unzulässig -bedeutet nicht automatisch Geheimhaltungsrecht des Arbeitnehmers Arbeitsrechtliche Konsequenzen von verschiedenen Faktoren abhängig DSG Datenverwendung

118 © ARGE DATEN 2013 ARGE DATEN gemeinsame Verwendung eines Terminkalenders Ausgangslage: -Die Kalendersoftware erlaubt Einsicht in die Termine der Kollegen, eventuell auch Einträge oder Korrekturen datenschutzrechtliche Bewertung: -betriebsintern keine Übermittlung, sondern "bloß" gemeinsame Verwendung von Daten -zulässig, wenn für bestimmte Zwecke (Arbeitsorganisation) notwendig, prüfen ob Betriebsvereinbarung notwendig -bei Einsatz zu Aufsichtszwecken durch Betriebsrat zustimmungspflichtig -nicht zulässig, wenn Einsicht bloß aus technischen Gründen erfolgt (keine Berechtigungsverwaltung,...) -Regelung für private Einträge erforderlich betriebliche Datenverwendung

119 © ARGE DATEN 2013 ARGE DATEN (1) Individuelle Vereinbarungen -Statement zur Datenweitergabe: an wen wird warum weiter gegeben? -Statement zur Zustimmung und zum Widerruf der Zustimmung: welche Zustimmungen sind erforderlich, welche Konsequenzen hat ein Widerruf? -Statement zur Datenerhebung: Offenlegen von Datenquellen, etwa Adressverlage, welche Daten sind verpflichtend bekannt zu geben, welche nicht -Statement zum Thema Bonitätskontrolle: bei wem werden Kreditinformationen eingeholt? -Statement zur Verwendung der Daten zu Werbezwecken -Statement zur Verwendung der Daten zu sonstigen Zwecken Privacy Statements [PS]

120 © ARGE DATEN 2013 ARGE DATEN (2) Informationen zur Datenverwendung -Statement zu Verantwortlichen der Datenverarbeitung -Statement zu Verwendungszwecken -Statement über durchgeführte Auswertungen, Protokollierungen und Aufzeichnungen -Statement, welche innerbetrieblichen Stellen die Daten für die Erfüllung des Zweckes erhalten -Statement, welche Daten verwendet werden -Statement über technischen Datenfluss: technische Methoden, Verschlüsselung, Archivierung,... -Statement zur Speicherdauer -Statement zu besonderen Sicherheitsmaßnahmen bei Verwendung von sensiblen Daten Privacy Statements [PS]

121 © ARGE DATEN 2013 ARGE DATEN (3) Allgemeine rechtliche Informationen -Hinweis auf geltendes Datenschutzgesetz -sonstige datenschutzrelevante anzuwendende Bestimmungen: spezifische gesetzliche Bestimmungen, bestehender "Code of Conduct" -Hinweise zum Schutz besonderer Personengruppen: Maßnahmen zum Schutz von Jugendlichen -Hinweise zu Beteiligungsverhältnisse und daraus resultierende Datenverknüpfungen Privacy Statements [PS]

122 © ARGE DATEN 2013 ARGE DATEN (4) Technische Informationen zur Datensicherheit -Statement, welche Übertragungsmethoden verwendet werden -Statement, welche Überwachungs- und Monitoringmaßnahmen beim System getroffen werden -Statement, welche Techniken zum Betrieb der Online-Seiten eingesetzt werden: Plug-Ins, Browsereinstellungen,... -Statement zur Individualisierung der Webseiten: Einsatz von Cookies,... -Statement zum Zahlungsverkehr: etwa Zahlungsdienstleister -Statement, welche internen Sicherheitsmaßnahmen gesetzt werden -Hinweise zur Verbesserung der persönlichen Datensicherheit Privacy Statements [PS]

123 © ARGE DATEN 2013 ARGE DATEN (5) Kontroll-, Beschwerde- & Informationsstelle(n) -Angaben zur Registrierung von Datenverarbeitungen -Statement, welche Person/Stelle für die Einhaltung der Privatsphäre / der Datensicherheit unternehmensintern verantwortlich ist -Kontaktstelle(n) für Fragen, Beschwerden -Gesetzliche Beschwerdestelle -Freiwillig anerkannte Streitschlichtungsstelle -Freiwillige Schadenersatzregelungen Privacy Statements [PS]

124 © ARGE DATEN 2013 ARGE DATEN Privacy-Initiativen Was ist P3P? (Platform for Privacy Preferences, derzeit P3Pv1.0) -Privacy-Empfehlungen des W3-Consortiums (W3C) -Sicherung der Privatsphäre im Internet auf standardisierter Basis (einheitliches Datenschutzvokabular) -Privacy-Erklärungen werden programmtechnisch gegen Benutzereinstellungen geprüft -Konzept vergleichbar den Access-Control-Listen bei Routern -u.a. Definition von "sicheren Web-Zonen" (safe zone), Ablaufdatum, Gültigkeitsdatum, Validierung von Cookies (Name, Domain, Wert) -Definition von Tags, wie "Verwendungszweck" ( ), "Empfänger" ( ),... -Definition weiterer Tags, wie Ansprechstelle, Beschwerdestelle,... OECD bietet PRIVACY STATEMENT GENERATOR

125 © ARGE DATEN 2013 ARGE DATEN Allgemeine Geschäftsbedingungen (AGB's) § 11 ECG Nutzer muß AGB's ausdrucken und abspeichern können AGB's unterliegen Geltungskontrolle § 864a ABGB (überraschende Vertragsklauseln) Inhaltskontrolle § 879 Abs. 3 ABGB und § 6 KSchG dürfen keine "überraschenden Vertragsklauseln" enthalten für Konsumenten: Transparenzgebot § 6 Abs. 3 KSchG Verbraucher kann nicht rechtswirksam darauf verzichten Bestimmungen e-commerce Sonderbestimmungen für Verbraucher -Erweiterte Konsumentenrechte, weitergehend als das ECG (vergleichbar dem Haustürgeschäft) (§ 5* KSchG) -§ 5a KSchG: regelt Vertragsabschlüsse im Fernabsatz keine gleichzeitige körperliche Anwesenheit der Vertragspartner -§ 5c KSchG sieht erweiterte Informationspflichten vor


Herunterladen ppt "© ARGE DATEN 2013 ARGE DATEN Datenverwendung im Unternehmen Vereinbarungen, Informationspflichten, Maßnahmen ARGE DATEN Wien, NH Danube City, 23. Oktober."

Ähnliche Präsentationen


Google-Anzeigen