Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Datenverwendung im Unternehmen

Ähnliche Präsentationen


Präsentation zum Thema: "Datenverwendung im Unternehmen"—  Präsentation transkript:

1 Datenverwendung im Unternehmen
Vereinbarungen, Informationspflichten, Maßnahmen ARGE DATEN Wien, NH Danube City, 23. Oktober 2013 ARGE DATEN - Österreichische Gesellschaft für Datenschutz A-1160 Wien, Redtenbachergasse 20 Tel.: 0676 / Fax.: 01 / Mail Verein: Mail persönlich: WWW-Verein: Zertifizierung: e-commerce: WWW-DSG2000: DSG-Volltext: ftp://ftp.freenet.at/privacy/ds-at/dsg2000-aktuell.pdf DSG-StMV: ftp://ftp.freenet.at/privacy/ds-at/stmv-2004.pdf diverse Muster: elektronische Kopie der Veranstaltungsunterlagen: ARGE DATEN

2 Aktivitäten der ARGE DATEN
Die ARGE DATEN als PRIVACY-Organisation Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: - Web-Service: Besucher/Monat - Newsletter: rund Abonnenten - 2012: rund 500 Medienanfragen/-berichte Mitgliederbetreuung Datenschutzfragen - 2012: ca. 600 Datenschutz-Anfragen Rechtsschutz, PRIVACY-Services - 2012: in ca. 200 Fällen Mitglieder in Verfahren vertreten Zahl der betreuten Mitglieder - aktuell: ca Personen Studien- und Beratungsprojekte A-CERT - Zertifizierungsdienstleister gem. SigG Diese Datenschutzthemen bewegen die Österreicher: - Finanzdienstleister und Privatversicherungen/ Wirtschaftsauskunftsdienste: 28%  - Beruf: 11%  - Persönliches und Privatleben: 10%  - Behörden und Verwaltung: 10%  - Konsumentendaten/Adressenverlage: 8%  - Gesundheit und Soziales: 7%  - Internet und Telekombetreiber: 7%  - Bildung und Ausbildung: 5%  - sonstige Themen, wie Statistik, Politik, Herkunft, öffentliche und private Sicherheit: 15%  Ausgewertet wurden rund 600 Datenschutzfälle der letzten fünf Jahre ,,,,: Tendenzangaben, Entwicklungen gegenüber Vorjahre (Statistik F-6a, Stand Dezember 2012)‏ ARGE DATEN

3 Ausbildungsreihe der ARGE DATEN
Betrieblicher Datenschutzbeauftragter Ausbildungsreihe der ARGE DATEN Modul I: Datenschutz Grundlagen März 2014 Modul II: Datenverwendung im Unternehmen Modul III: Datenschutz und IT-Sicherheit 5. November 2013 / 8. April 2014 Modul IV: Datenschutz Praxis / international Oktober 2013 / 27. März 2014 Modul V: Datenschutzfragen identifizieren 6. November 2013 / 9. April 2014 Warum ein "betrieblicher Datenschutzbeauftragter"? Viele Unternehmen, insbesondere ab einer Größe von 50 Mitarbeitern, haben sich dazu entschlossen die Position eines "betrieblichen Datenschutzbeauftragten" zu schaffen. Dies hat sowohl ablauf- als auch aufbauorganisatorische Vorteile. Durch die Schaffung dieser Position ergibt sich für alle Mitarbeiter eine klar dokumentierte Zuständigkeit für Datenschutzfragen, die meist komplexer rechtlicher, technischer oder organisatorischer Art sind und nicht unmittelbar einzelnen Abteilungen, wie der IT- oder der Rechts-Abteilung zugeordnet werden können. Damit kann auch Koordination und Durchsetzung der notwendigen Datenschutzmaßnahmen erleichtert werden. Der Datenschutzbeauftragte kann leichter Fristen und Verpflichtungen, die sich aus dem Datenschutzgesetz ergeben, wie die Registrierungspflichten (§17 DSG 2000), die Maßnahmen zur Datensicherheit (§14 DSG 2000), die Mitarbeiterschulung (§15 DSG 2000) oder den zeitgerechten Abschluss von Dienstleistervereinbarungen (§10 DSG 2000) koordinieren und überwachen. Für Mitarbeiter, Kunden und Lieferanten ergibt sich eine eindeutige Kompetenzstelle für alle Datenschutzprobleme, unabhängig davon welche Geschäftsbereiche diese betreffen. Gerade Datenschutzfragen enthalten potentiellen Konfliktstoff, der durch eine rasche und effiziente Klärung offener Fragen professionell beseitigt werden kann. Ist ein "betrieblicher Datenschutzbeauftragter" verpflichtend vorgeschrieben? Das österreichische Datenschutzgesetz sieht - im Gegensatz zum deutschen Datenschutzrecht - keine Verpflichtung zur Nominierung eines Datenschutzbeauftragten vor. Gleichzeitig wird jedoch die Schaffung betrieblicher Datenschutzstrukturen im Datenschutzgesetz ausdrücklich begrüßt (§16 DSG 2000). Die Reihe wird mit einem Zertifikat abgeschlossen ARGE DATEN

4 Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern. - ARGE DATEN

5 Seminarablauf ARGE DATEN Betriebliche Datenverwendung
Dienste der Informationsgesellschaft Mittagspause Haftung Telekommunikation - Cybercrime ARGE DATEN

6 betriebliche Datenverwendung
zulässige Datenverwendung Betriebsvereinbarung & Privatnutzung Datenschutzerklärung - ARGE DATEN

7 DSG 2000 § 1 (Verfassungsbestimmung):
DSG Grundrecht DSG 2000 § 1 (Verfassungsbestimmung): "jede Verwendung persönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots sind möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen Einschränkungen des Verbots ist möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen - EU-Vorschlag: auf Basis rechtlicher Befugnisse (Gesetze, Verträge) DSG2000 §1 Verfassungsbestimmung "(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind." Einschränkung dieser Rechte nur mit Zustimmung des Betroffenen, zur Wahrung lebenswichtiger Interessen des Betroffenen oder laut Art. 8 Abs. 2 der europäischen Menschenrechtskonvention aufgrund von Gesetzen. Weitere Verarbeitungsbeschränkungen für den öffentlichen Bereich ("Wahrung wichtiger öffentlicher Interessen") bei "besonders schutzwürdigen Daten" ("sensible Daten")‏ Festlegung der subjektiven Rechte: Auskunfts-, Richtigstellungs- und Löschungsrecht Festlegung der Rechtsdurchsetzung / Zivilrechtsweg Geplante - praxisnahe - Änderung in Novelle 2010 wegen Parteienstreit nicht durchgeführt: „(1) Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten.“ ARGE DATEN

8 Personenbezogene Daten
DSG Definition Daten Personenbezogene Daten Indirekt personenbezogene Daten §4 Z1 DSG 2000, (kein EU-Begriff!) personenbezogene Daten §4 Z1 DSG 2000 sonstige besonders schutzwürdige Daten §18 Abs.2 DSG (kein EU-Begriff) sensible Daten §4 Z2 DSG 2000 (1) direkt personenbezogene Daten sind Daten, die unmittelbar einsichtig mit einer Person verknüpft sind (Daten, die zur Personenidentifikation dienen) Name, Geburtsdatum, Wohnanschrift und dazu in direkter Verbindung: Personalnummer, SV-Nummer, persönliche Merkmale und Eigenschaften, Zugehörigkeiten zu bestimmten Gruppen und Bereichen, bestimmte Qualifikationen und Rechte (2) direkt personenbezogene Daten sind Daten, die mit (1) verknüpft sind Daten, etwa in relationalen Datenbanksystemen, die über eine eindeutige Kennung mit einer Person verbunden werden können (Buchungsinformationen, Produktionsinformationen, Kommunikations- und Konsumdaten, ...) (3) direkt personenbezogene Daten sind Daten, die mit hoher Wahrscheinlichkeit mit (1) verknüpft sind, generierte Daten, Daten, die ein Auftraggeber durch Berücksichtigung von Zusatzinformationen oder eigenen Erhebungen einer bestimmten Person zuordnen kann (4) indirekt personenbezogene Daten sind Daten, die ein Auftraggeber zwar nicht mehr legalerweise einer Person zuordnen kann, jedoch andere Stellen oder Auftraggeber. (5) sensible Daten sind bestimmte abschließend aufgezählte Datenarten ( DSG2000 §4 Z2) (6) besonders schutzwürdige Daten: österreichische Sonderformulierung für sensible Daten + Daten aus der Strafrechtspflege, Informationsverbundsystemen und zur Beurteilung der Kreditwürdigkeit von Personen ARGE DATEN

9         Wer? Zweck? Daten? ARGE DATEN
innerbetriebliche Datenverwendung zulässige betriebliche Datenverwendung I Geschäftsführung Buchhaltung Aufträge der Geschäftsführung IT-Abteilung Personal- abteilung Personalverwaltung Datenverwendung Personal Bestellabwicklung Kundenbetreuung Datenverwendung Bestellung Direktwerbung Datenverwendung Kundenbetreuung Datenverwendung Direktwerbung Verkauf Support Marketing - Wer? Zweck? Daten? ARGE DATEN

10     Wer? Zweck? Daten?   ARGE DATEN
innerbetriebliche Datenverwendung IT-Abteilung Wer? Zweck? Daten? Geschäftsführung Buchhaltung zulässige betriebliche Datenverwendung II Bestellabwicklung Kundenbetreuung Datenverwendung Bestellung Direktwerbung Datenverwendung Kundenbetreuung Datenverwendung Direktwerbung Marketing Support Verkauf Personal- abteilung Zukauf von Adressmaterial = Ermittlung  Bestelldaten werden ermittelt Webservice: Supportinfos, Kontaktinfos, Kundenbereich Internet Datenschutzerklärung informiert über Datenverwendung - ARGE DATEN

11   Wer? Zweck? Daten?  ARGE DATEN innerbetriebliche Datenverwendung
IT-Abteilung Wer? Zweck? Daten? Geschäftsführung Buchhaltung Personalverwaltung Datenverwendung Personal Marketing Support Verkauf Personal- abteilung Webservice: Supportinfos, Kontaktinfos, Kundenbereich Internet zulässige betriebliche Datenverwendung III ? Mitarbeiterdaten, Lieferantendaten, Daten Dritter werden übermittelt - ARGE DATEN

12    Wer? Zweck? Daten? ARGE DATEN innerbetriebliche Datenverwendung
zulässige betriebliche Datenverwendung IV IT-Abteilung Wer? Zweck? Daten? Geschäftsführung Buchhaltung Webservice: Supportinfos, Kontaktinfos, Kundenbereich Internet Marketing Support Personal- abteilung Verkauf Personalverwaltung Datenverwendung Personal Bestellabwicklung Kundenbetreuung Datenverwendung Bestellung Direktwerbung Datenverwendung Kundenbetreuung Datenverwendung Direktwerbung Zukauf von Adressmaterial = Ermittlung Bestelldaten werden ermittelt anderer Geschäftsbereich = Übermittlung Bankdienstleistungen Mitarbeiterdaten, Lieferantendaten, Daten Dritter werden übermittelt - ARGE DATEN

13             Wer? Zweck? Daten? ARGE DATEN
innerbetriebliche Datenverwendung zulässige betriebliche Datenverwendung? Geschäftsführung Buchhaltung Aufträge der Geschäftsführung ? Zukauf von Adressmaterial = Ermittlung IT-Abteilung Personal- abteilung  Bestelldaten werden ermittelt Webservice: Supportinfos, Kontaktinfos, Kundenbereich Personalverwaltung Datenverwendung Personal Bestellabwicklung Kundenbetreuung Datenverwendung Bestellung Direktwerbung Datenverwendung Kundenbetreuung Datenverwendung Direktwerbung Internet Verkauf Mitarbeiterdaten, Lieferantendaten, Daten Dritter werden übermittelt Support Marketing Bankgeschäfte anderer Geschäftsbereich = Übermittlung Es kann aus bestimmten Gründen erforderlich sein, dass bestimmte Bereiche sogar für die Geschäftsführung nicht zugänglich sind: Beispiel Herstellung der Sicherheitsreisepässe in der Wiener Staatsdruckerei Innerbetrieblich wird bei ein und demselben Geschäftsbereich nicht von Datenübermittlung zwischen Abteilungen gesprochen werden, sondern nur von zulässiger Datenverwendung. Der Begriff "Geschäftsbereich" wird im DSG 2000 nicht definiert, lässt sich jedoch aus verschiedenen gesetzlichen Bestimmungen (Gewerberecht, Handelsrecht, Vereinsrecht, ...) ableiten. Bei Gewerbebetrieben kann gelten, dass unterschiedliche Gewerbeberechtigungen die Annahme unterschiedlicher Geschäftsbereiche rechtfertigen. Unterschiedliche Geschäftsbereiche sind wie unterschiedliche Unternehmen zu behandeln. In diesem Fall ist jeweils die Zulässigkeit der Datenübermittlung zu prüfen. Innerhalb eines Geschäftsbereichs können die Daten für verschiedene Zwecke verwendet werden. Der Begriff "Zweck" ist im DSG 2000 nicht definiert, Anhaltspunkte können innerorganisatorische Aufteilungen (etwa Abteilungen), unterschiedliche Geschäftsprozesse oder Anweisungen der Geschäftsführung sein. Typischerweise werden Personalverwaltung, Einkauf und Verkauf als unterschiedliche Zwecke verstanden. Kern der zulässigen betrieblichen Datenverwendung sind klare Festlegungen der Zuständigkeiten und Verantwortlichkeiten. Wer? Zweck? Daten? ARGE DATEN

14 Rollen im Unternehmen bei denen personenbezogene Daten anfallen
personenbezogene Daten und Rollen Rollen im Unternehmen bei denen personenbezogene Daten anfallen - Mitarbeiter (Spezialrecht: ArbVG, AVRAG/Arbeitsvertragsrechts-Anpassungsgesetz) - Kunden (KSchG, ECG, ABGB, AGB + individuelle Verträge) - Konsulenten, Berater (z.B. Anwälte, Steuerberater: berufsspezifische Standesregeln) - sonstige Lieferanten (ABGB, AGB + individuelle Verträge) - Eigentümer, sonstige Shareholder (Aktienrecht, Unternehmensrecht, ...) - Mitbewerb (UWG, StGB, ...) - Spezialgruppen, z.B. Patienten bei Pharmafirmen mit klinischer Forschung, ... - ARGE DATEN

15 Welche Daten darf ein Unternehmen verwenden?
Zwecke und Geschäftsbereiche Welche Daten darf ein Unternehmen verwenden? - mit Unternehmenszweck vereinbar - Abgrenzung der Zwecke durch Gewerbeordnung, Konzessionen, Spezialrecht, Gesellschafterverträge, Konzernvorgaben, branchenübliches Verhalten, Arbeitsrecht, in Standardanwendungen definiert - Zweck muss objektiv nachvollziehbar sein ("Drittvergleich") - Verwendung von über den Zweck hinausgehende Daten auch nicht zustimmungsfähig (nur für weitere angemessene Zwecke) - es dürfen Bestelldaten zu Marketingzwecken verwendet werden (§§ 6-7,47 DSG 2000), werden jedoch zusätzliche Daten für Marketing ermittelt, ist dazu eine Zustimmung einzuholen - sensible Daten dürften nur mit Zustimmung des Betroffenen verwendet werden (etwa für Werbung, Studien, ...) Grenzziehung kann im Einzelfall schwierig sein Beispiel: Wirtschaftsauskunftsdienst, der auch Gewerbeberechtigung für Adresshandel hat. Dabei handelt es sich um zwei getrennte Geschäftsbereiche, trotzdem sieht DSK für Daten aus Adresshandel eine aus der GewO §151 abgeleitete Berechtigung diese zur Kreditauskunft zu verwenden. Dies gilt aber nicht für Scoringwerte oder Einkaufsverhalten (DSK K /0001-DSK/2008). Diese Position der DSK ist nicht verbindlich. ARGE DATEN

16 Zwecke und Geschäftsbereiche
Welche Daten dürfen Behörden (öffentlich-rechtliche Einrichtungen) verwenden? - auf Grund ausdrücklicher gesetzlicher Verpflichtungen oder Ermächtigungen - zur Vollziehung eines Gesetzes unbedingt erforderlich - im Rahmen privatwirtschaftlicher Dienste DSK K /9-DSK/96 ("Dekanat") - Dekanat gibt Daten wie Aufnahmedatum, Geburtsdatum, Geburtsort, Staatsbürgerschaft, Art und Datum der Reifeprüfung, alle rigorosalen Teilprüfungen mit Datum und Ergebnis an Prüfer weiter - unzulässige Daten-Weitergabe an Einzelprüfer, weil Gesetz ausdrücklich das Dekanat mit der Führung der Prüfungsevidenz beauftragt hat - Gefahr der Beeinflussung des Prüfers DSK K /9-DSK/96 ("Dekanat") Das Dekanat der medizinischen Fakultät der Universität Y. hat dadurch gegen § 1 DSG verstoßen, daß es folgende Datenarten: Aufnahmedatum, Geburtsdatum, Geburtsort, Staatsbürgerschaft, Art und Datum der Reifeprüfung, alle rigorosalen Teilprüfungen mit Datum und Ergebnis, ferner alle Versuche, eine rigorosale Teilprüfung abzulegen, mit Datum und Ergebnis des X. an den Prüfer des Faches 'Biologie für Mediziner' übermittelt hat, wodurch X. in einem verfassungsgesetzlich gewährleisteten Recht auf Geheimhaltung personenbezogener Daten verletzt wurde. Aufgrund der klaren gesetzlichen Regelung, daß das Führen der Prüfungsevidenz der Universitätsdirektion bzw. dem Dekanat obliegt, ist eine Übermittlung dieser Prüfungsprotokolle an die jeweiligen Einzelprüfer nicht zulässig, zumal durch diese - für die Beurteilung einer Teilprüfung entbehrliche - Zusatzinformation dem Prüfer die Erstellung eines 'Leistungs- bzw. Persönlichkeitsprofiles' über die Prüflinge ermöglicht wird, das geeignet ist, eine objektive Beurteilung der Teilprüfung durch den Prüfer zu gefährden. ARGE DATEN

17 DSK K121.259 (Internet als Datenanwendungen)
Datenverarbeitungen DSK K (Internet als Datenanwendungen) Ausgangslage - Mitarbeiter ersuchte um Auskunft der über ihn gespeicherten Daten - beauskunftet wurden (nach Beschwerdeverfahren): SAP-HR-Verwaltung, IT-Berechtigungsverwaltung, Zutrittskontrollsystem (teilweise) - verweigert wurde: Internetprotokollierung (sei nur Sicherheitsprotokollierung), -Verwaltung (Groupwise-Lösung, sei nur Dienstleistung für Mitarbeiter) Entscheidung DSK - Auskunft ist zu erteilen - Internetprotokollierung: geht über die Protokollierungspflichten nach § 14 DSG 2000 hinaus, ist daher eigenständige Anwendung - -Verwaltung: es handelt sich um eine Datenanwendung der Organisation, nicht des Mitarbeiters - ARGE DATEN

18 Fallbeispiel Industriebetrieb
DSG Registrierung und Genehmigung Fallbeispiel Industriebetrieb Meiste Anwendungen sind Standardanwendungen - SA001 Rechnungswesen und Logistik - SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse - SA007 Verwaltung von Benutzerkennzeichen - SA022 Kundenbetreuung und Marketing für eigene Zwecke Keine Standardanwendungen - Betriebsdatenerfassung inklusive Inventarverwaltung - Kantinenabrechnung - Schulungsdatenbank - Auswertung der Internetnutzung der Mitarbeiter Keine Anwendung des Industriebetriebs - Sportverein für Mitarbeiter Fallbeispiel NGO im Umweltsektor - SA001 Rechnungswesen (Produktverkauf Mitgliederverwaltung) - SA003 Mitgliederverwaltung (inkl. Spender und Funktionäre) - SA002 Personalverwaltung - SA007 Verwaltung von Benutzerkennzeichen - SA022 Kundenbetreuung und Marketing für eigene Zwecke Spezifische Anwendungen - Experten- und Aktivisten-Datenbank - Aktionendatenbank (Verwaltung von Umweltschutzverfahren) - Unterstützerdatenbank (Verwaltung von Unterstützungsunterschriften) Weitere Beispiele mit speziellen Bedürfnissen/Anforderungen: Sozialhilfe / Psychologische Betreuungseinrichtung Telekom-Unternehmen Finanzdienstleister ARGE DATEN

19 Fallbeispiel Personalverwaltung (SA002)
DSG Registrierung und Genehmigung Fallbeispiel Personalverwaltung (SA002) Typische Module (Zwecke): - Lohn/Gehaltsverrechnung - Darlehen/Exekutionsverwaltung - Reisekostenadministration - Zeitadministration - Bewerberverwaltung - Religionsbekenntnis - Aus- und Weiterbildungsverwaltung - Meldepflichten (SV, Finanz) - sonstige arbeitsvertragliche Verpflichtungen - Beurteilungsdaten  Standard (47-51)  Standard (57-58)  Standard (52)  Standard (33-43)  Standard seit eigener Betroffenenkreis  Standard (36, nur für Abwesenheitsverwaltung) ? Standard (64?)  Standard (20, 59-62) ? Standard kein Standard Datenübermittlung an Konzern"mutter" prüfen ob SA033 Zweck der Standardanwendung Personalverwaltung SA002: "Verarbeitung und Übermittlung von Daten für Lohn-, Gehalts-, Entgeltsverrechnung und Einhaltung von Aufzeichnungs-, Auskunfts- und Meldepflichten, soweit dies auf Grund von Gesetzen oder Normen kollektiver Rechtsgestaltung oder arbeitsvertraglicher Verpflichtungen jeweils erforderlich ist, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) in diesen Angelegenheiten. Diese Anwendung kann von jedem Auftraggeber vorgenommen werden, der Arbeitnehmer in privatrechtlichen Dienstverhältnissen beschäftigt, mit Ausnahme der Bediensteten, die unter die speziellen Anwendungen der Dienstgeber des öffentlichen Bereiches fallen." Höchstdauer der zulässigen Datenaufbewahrung: "Bis zur Beendigung der Beziehung mit dem Betroffenen und darüber hinaus solange gesetzliche Aufbewahrungsfristen bestehen oder solange Rechtsansprüche aus dem Arbeitsverhältnis gegenüber dem Arbeitgeber geltend gemacht werden können." Abhängig vom Umfang der Personalverwaltung wird es sich entweder um eine registrierungspflichtige oder registrierungsfreie Datenanwendung handeln ARGE DATEN

20 Personaldaten - innerbetriebliche Verwendung
Mitarbeiter- und Bewerberdaten Personaldaten - innerbetriebliche Verwendung - dienstlich erforderliche Daten dürfen ohne Zustimmung unternehmensintern verwendet werden (z.B. Qualifikation, Berufstitel, Kontaktdaten, ...) - weitere Datenverwendungen können arbeitsvertraglich geregelt sein (z.B. Akkordabrechnungen, Weitergabe persönlicher Daten an Kunden / Veröffentlichung, etwa bei Verkäufern, Geschäftsführung) - sonstige Daten die zum Zweck der Gehaltsverrechnung / Personaladministration dem Personalbüro bekannt sind, dürfen nicht von anderen Abteilungen verwendet werden, auch nicht für betriebsinterne Zeitungen, Newsletter Zulässig sind weitere Verwendungsmöglichkeiten auf Grund der Zustimmung des Betroffenen In bestimmten Bereichen wird auch eine Verwendung auf Grund überwiegender Interessen denkbar sein: Geschäftsführer, Manager, Außendienstmitarbeiter, ... Die Form der Zustimmung wird auch von der Position im Unternehmen abhängen (bei Managern wird man in vielen Fällen konkludente Zustimmung voraussetzen können, bei einfachen Angestellten eine schriftliche vorsehen). ARGE DATEN

21 Datenträger Gehaltszettel
Mitarbeiter- und Bewerberdaten Datenträger Gehaltszettel Aushändigung? Postfach? Zusendung? Kontoauszug? - Gehaltsdaten sind vertraulich zu behandeln - innerbetrieblich, aber auch gegenüber Dritten - können neben "klassischen" Gehaltsdaten auch sensible Daten enthalten (Kirchenbeitrag, Gewerkschaftszugehörigkeit, Sonderzahlungen geben Hinweise auf Gesundheit) Aushändigung durch Betriebsmitarbeiter - kann aufwändig werden (verteilte Standorte) - Verhinderung der unbemerkten Kenntnisnahme durch Verteiler Hinterlegen im Unternehmen in einem Postfach - kostengünstig, geeigneter Standort notwendig - Verhinderung der unbemerkten Kenntnisnahme anderer Mitarbeiter durch verschlossene Kuverts Zusendung an Privatadresse - relativ teuer - Problem der Kenntnisnahme durch andere Wohnungsangehörige - individuelle Situation berücksichtigen Minimalprinzip beachten Oftmals kann es sich bei Lohndaten auch um sensible Daten handeln, welche einem besonderen Schutz unterliegen: Dazu zählen Angaben über die Mitgliedschaft in Gewerkschaften, religiösen Gemeinschaften aber auch gesundheitsbezogene Daten des Betroffenen, wie etwa die Befreiung von der Rezeptgebühr. Sofern ein Kreditinstitut als Aussteller des Lohnzettels fungiert, für die eigentlich die jeweilige, bezugsauszahlende Stelle zuständig wäre, wird es dabei für diese als Dienstleister im Sinne des § 4 Z 5 DSG tätig. Somit ist einerseits bei der Datenübermittlung durch die bezugsauszahlende Stelle zu beachten, ob diese nicht schon schutzwürdige Geheimhaltungsinteressen des Betroffenen verletzen kann. Auf Seite des jeweiligen Kreditinstitutes sind vor allem die Maßnahmen der Datensicherheit sowie der Schutz des Datengeheimnisses einzuhalten. Vorausgesetzt, dass der Betroffene keine persönliche Einwilligung zur Überlassung seiner Daten an das jeweilige Kreditinstitut gegeben hat, kommt insbesondere bei sensiblen Dateninhalten eine Überlassung nur aufgrund einer ausdrücklichen, gesetzlichen Regelung in Frage, welche wiederum dem Grundrecht auf Datenschutz entsprechen muss. Gerechtfertigt wird dabei die Datenüberlassung an den Dienstleister stets mit § 10 DSG, der ausdrücklich vorsieht, dass sich ein Auftraggeber bei der Wahrnehmung seiner Aufgaben eines Dienstleisters bedienen kann, sofern dieser die Gewähr für eine rechtsmäßige und sichere Datenverwendung bietet. ARGE DATEN

22 Datenträger Gehaltszettel II
Mitarbeiter- und Bewerberdaten Datenträger Gehaltszettel II Zusendung per - grundsätzlich zulässig, sehr kostengünstig - bei Firmen- s auf Nutzungspolicy achten (Funktionsadressen, Vertreter- und Urlaubsregelung) - bei Privat- s Verfügbarkeit und auch Nutzung der Adresse beachten (Familien-Mailadresse) - Verschlüsselung empfehlenswert Hinterlegen auf Website - erfordert Passwortschutz/Zugangsverwaltung Zustellung über Girokonto K /0009-DSK/2006 - grundsätzlich zulässig, kostengünstig - Dienstleistervereinbarung mit Bank erforderlich, es gilt das Minimalprinzip - individuelle Situation berücksichtigen Zustellung Gehaltszettel Eine Vereinbarung mit dem Betriebsrat wird auch bei den elektronischen Zustellformen nicht notwendig sein, da es sich um keine Kontrollmaßnahme handelt, die die Menschenwürde berührt oder um eine zusätzliche Datenverwendung. Gleichwertigkeit der elektronischen Zustellung siehe: RZ 1199 Der Arbeitgeber hat dem Arbeitnehmer mit der Lohnzahlung auch eine Abrechnung für den im Kalendermonat ausbezahlten Arbeitslohn auszuhändigen. In dieser Abrechnung müssen * die gezahlten Bruttobezüge (§ 25 EStG 1988), * die Beitragsgrundlage für die Pflichtbeiträge (Sozialversicherungs-Beiträge), * die Pflichtbeiträge selbst (§ 16 EStG 1988) sowie * die Bemessungsgrundlage für die Lohnsteuer und * die einbehaltene Lohnsteuer enthalten sein. Die elektronische Zurverfügungstellung einer Abrechnung für den im Kalendermonat ausbezahlten Arbeitslohn entspricht einer Aushändigung gemäß § 78 Abs. 5 EStG Suche: https://findok.bmf.gv.at/findok/targetSearch.do GZ: BMF /0142-VI/7/2012 RZ: 1199 Elektronische Zustellformen sind gemäß BMF gleichwertig zur Aushändigung in gedruckter Form ARGE DATEN

23 Was ist zulässige Veröffentlichung im Internet?
Datenverwendung in Internet/Intranet Was ist zulässige Veröffentlichung im Internet? Veröffentlichung im DSG nicht ausdrücklich geregelt, Sonderform der Übermittlung Prüfen Vorliegen eines ausreichenden Zweckes und überwiegender Interessen des Betriebes - Firmenkontaktdaten: Name, Funktion, Telefonnummer, -Adresse - Deutschland zu Lehrerbewertung (Bundesgerichtshof VI ZR 196/08): Freie Meinungsäußerung hat Vorrang Potentiell problematische Veröffentlichungen: - Teilnehmerdaten einer Betriebsfeier, Betriebsveranstaltung - Mitarbeiterfotos (Bildnisschutz § 78 UrhG ist zu beachten Verbot des öffentlich zugänglich machens, wenn "Verletzung berechtigter Interessen" erfolgt, OGH 8ObA136/00h) Veröffentlichen von Informationen - Im DSG 2000 Spezialfall der Datenübermittlung Veröffentlichung Mitarbeiterfoto (OGH 8ObA136/00h): Stellt ein Dienstgeber das Foto eines Arbeitnehmers ohne Rückfrage ins Internet und weigert er sich dieses zu entfernen, bildet dieses Verhalten einen Verstoß gegen den Bildnisschutz (§ 78 UrhG), der nicht mit der Treuepflicht des Dienstnehmers gerechtfertigt werden kann, da daraus eine Duldungspflicht des Arbeitnehmers nicht abgeleitet werden kann. Lehrerbewertung (Bundesgerichtshof Karlsruhe VI ZR 196/08): Die Lehrer-Bewertungen stellten Meinungsäußerungen dar, die die berufliche Tätigkeit der Klägerin betreffen, für die nicht der gleiche Schutz wie in der Privatsphäre gelte. Onlinebeispiele : - Bewertung Dritter in sozialen Netzwerken - Telefonbuch + Luftbildaufnahme: - Personenbewertung: - Anmeldelisten an Schulen, Seminarteilnehmer: - Videokameras: - Warnlisten: - Weblogs: Beispiele siehe - Private Schuldenfahndung, Bewertung von Nachbarn, ...: - Bewertung von Dienstleistungen (Hotels, Ärzte, Restaurants, ...): ARGE DATEN

24 Videoeinsatz ARGE DATEN betriebliche Datenverwendung
betriebliche Anwendungsbereiche: (1) Überwachung der "Außenhaut" (Grundstücksgrenzen, Einfahrten, ...) (2) Überwachung technischer Anlagen (Garagen, Energieversorgung, Fernwartung, ...) (3) Überwachung von Lagerstellen (4) Überwachung von Kundenzonen (5) Überwachung von Arbeitsplätzen (6) Überwachung von Sozial- und Hygienebereichen Zulässigkeit? / Betriebsvereinbarung? Ja / Nein, wenn keine Rückschlüsse auf MA Ja / wie (1) Ja / in der Regel Ja nur im Sonderfall / Ja Nein / nicht Vereinbarungsfähig Basis-Anforderungen nach DSG: - grundsätzlich besteht Registrierungspflicht (die allgemeinen Ausnahmebestimmungen nach DSG treffen meist nicht zu) - Voraussetzungen: Aufzeichnung und Erkennbarkeit (Bestimmbarkeit) von Personen Musterspruch der DSK zur Videoüberwachung bei Wohnhausanlagen (Auszug): ... 2. eine Auswertung des aufgezeichneten Bildmaterials darf nur im konkreten Anlassfall zum Zweck der Beweissicherung im Hinblick auf strafrechtlich relevante Handlungen vorgenommen werden. Als Anlass gelten nur Vorfälle, die die Interessen des Auftraggebers im Hinblick auf Eigenschutz (d.i. Schutz von Eigentum des Auftraggebers und von Eigentum, Leben und Gesundheit der Organwalter des Auftraggebers) oder Verantwortungsschutz (Schutz von Eigentum, Leben und Gesundheit von Personen, zu welchen der Auftraggeber in einer Schutzrechte begründenden Rechtsbeziehung steht) berühren. Auswertungen für Zwecke des Fremdschutzes (betrifft Personen, mit welchen der Auftraggeber in keiner Rechtsbeziehung steht, die ein Recht auf Schutz von Eigentum, Leben oder Sicherheit dieser Person begründet) dürfen nur vorgenommen werden, soweit für die Herausgabe eine gesetzliche Verpflichtung besteht, wie etwa nach §§ 109 ff, insbes. § 111 Abs. 2 der Strafprozessordnung 1975 idF. BGBl I Nr. 19/2004. 3. jede Auswertung ist so zu protokollieren, dass das auslösende Ereignis und allfällige Übermittlungen nachvollzogen werden können; desgleichen ist die Identität der auswertenden Mitarbeiter sowie der anfordernden Stellen und ihrer Organwalter festzuhalten; 4. die ermittelten Bilddaten sind beim Auftraggeber gegen den Zugriff Unbefugter in jeder Phase ihrer Verwendung zu schützen; dies gilt insbesondere auch für die Übertragung der Daten vom Ermittlungsort an den zentralen Server, wo sie gespeichert werden, sowie für die Aufbewahrung und Weiterverwendung von Auswertungsergebnissen; 5. eine wesentliche Änderung des im Antrag beschriebenen technischen Systems ist der Datenschutzkommission umgehend mitzuteilen; 6. aufgezeichnetes Bildmaterial ist nach 72 Stunden automatisch zu löschen, soweit es nicht gemäß Pkt. 2 der Auswertung unterzogen wird; ARGE DATEN

25 Videoeinsatz II ARGE DATEN betriebliche Datenverwendung
OLG Wien Beschluss 7 Ra 3/07y - Betriebsrat begehrte EV auf Unterlassung gegen eine Videoüberwachung in Unternehmen in NÖ, die u.a. auch Arbeitsplätze und Toilettenzugänge überwachte - ablehnender EV-Beschluss des LG St. Pölten aufgehoben und an Erstgericht zurückverwiesen Entscheidungskriterien Gericht definiert erstmals Kriterien für betrieblichen Videoeinsatz - Maßnahme muss geeignet zur Erreichung eines bestimmten Zieles (Zweckes) sein - Maßnahme muss erforderlich sein [fehlende Alternativen] - Maßnahme muss angemessen sein [Interessensabwägung], Eingriffsintensität darf nicht höher als bestimmtes Ziel sein] Anzuwendende Normen: ABGB § 16, EMRK Art. 8, DSG § 1 Betroffene Normen: ABGB § 16, EMRK Art 8, DSG § 1 RIS-Rechtssatz: Zulässigkeit von Videoüberwachungen in Betrieben. Es kommt somit im Arbeitsverhältnis immer wieder zu einer Kollision wichtiger Rechte sowohl der Arbeitnehmer und des Arbeitgebers. Bei dieser Kollision des allgemeinen Persönlichkeitsrechts mit den berechtigten Interessen des Arbeitgebers ist deshalb stets eine Güterabwägung im Einzelfall vorzunehmen. Es ist zu ermitteln, ob das allgemeine Persönlichkeitsrecht den Vorrang verdient, oder ob Eingriffe in das Persönlichkeitsrecht durch die Wahrnehmung überwiegender schutzwürdiger Interessen des Arbeitgebers gerechtfertigt sind. Das zulässige Maß einer Beschränkung des allgemeinen Persönlichkeitsrechtes bestimmt nach dem Grundsatz der Verhältnismäßigkeit. Danach muss eine vom Arbeitgeber zu seinem Schutz im Betrieb getroffene Regelung: - geeignet, - erforderlich und - angemessen sein, um den angestrebten Zweck zu erreichen. Geeignet ist die Regelung dann, wenn mit ihrer Hilfe der erstrebte Erfolg und Schutz gefördert werden kann. Erforderlich ist die Regelung, wenn kein anderes, gleich wirksames, aber das Persönlichkeitsrecht weniger einschränkendes Mittel zur Verfügung steht. Angemessen ist die Regelung, wenn sie verhältnismäßig ist. Hier muss eine Gesamtabwägung zwischen der Intensität und Stärke des Eingriffs einerseits und dem Gewicht der den Eingriff rechtfertigenden Gründe andererseits vorgenommen werden. Die Grenze der Zumutbarkeit darf dabei nicht überschritten werden. ARGE DATEN

26 DSK K120.951/0009-DSK/2004 ("Protokollierung Zeiterfassung")
DSG Protokollierung DSK K /0009-DSK/2004 ("Protokollierung Zeiterfassung") Mitarbeiter einer Behörde haben "zeitnah" Arbeitsbeginn und -ende ein einem Zeiterfassungsprogramm einzutragen Zusätzlich wurden die tatsächlichen Eintragungszeiten protokolliert, diese dienten der "Plausibilitätsprüfung" der Eingabe Sowohl die Eintragungsdaten, als auch die Protokolldaten wurden aufgezeichnet und den jeweiligen Abteilungsleitern angezeigt DSK-Entscheidung: Aufzeichnung der Protokolldaten ist zur Erfüllung der Dienstsaufsicht ungeeignet und daher unzulässig Entscheidungsgrundlagen: DSG 2000 § 1 Geheimhaltung DSG 2000 § 7 Zulässigkeit der Verwendung von Daten DSG 2000 § 14 Datensicherheitsmaßnahmen DSG 2000 § 27 Recht auf Löschung Der Zweck "Plausibilitätskontrolle" rechtfertigt keine Protokollierung Protokollierung auf Basis DSG 2000 § 14 wurde ausgeschlossen, da die Zugriffssicherheit auf einer anderen Ebene stattfindet (Login zur Anwendung) Die Weiterverwendung von Protokolldaten gem § 14 wäre jedoch ebenfalls unzulässig Die für einen Arbeitgeber zulässige Arbeitszeitkontrolle kann mit den Eintragungszeitdaten nicht erfüllt werden: - das IT-System kann zu einem bestimmten Zeitpunkt nicht verfügbar sein - der Mitarbeiter kann aus arbeitsökonomischen Überlegungen die Zeitdaten mehrerer Tage zusammengefasst eintragen - der Mitarbeiter kann bei Arbeitsbeginn die Zeiterfassung vergessen haben Da kein anderer Verwendungszweck angegeben wurde, sind die Daten gem. § 27 Abs. 1 Z 1 DSG 2000 zu löschen. ARGE DATEN

27 ARGE DATEN DSG 2000 - Informationsverbundsystem
- geeigneter Betreiber ist zu bestellen - Betreiber ist der DSK zu melden - Betreiber hat Auskunftspflichten Was ist ein Informationsverbundsystem? (§ 50 DSG 2000) - gemeinsame Verarbeitung von Daten in einer DA durch mehrere Auftraggeber und gemeinsame Nutzung der Daten - geeigneter Betreiber ist zu bestellen - Betreiber ist zwecks Eintrag im DVR zu melden - Betreiber hat Auskünfte über Auftraggeber gem. DSG 2000 zu geben - es können auch weitere Auftraggeberpflichten an den Betreiber abgetreten werden Ein Informationsverbundsystem ist nur dann zulässig, wenn die Datenübermittlung zwischen jedem einzelnen Teilnehmer zulässig wäre! Spezialregelung, die in Hinblick auf folgende Fälle/Beispiele geschaffen wurde: - Kreditschutzevidenzen, gemeinsame Versicherungsevidenzen - Reiseveranstaltungs- und Reservierungssysteme - Gesundheitsverbund - gemeinsame Mitarbeiter- oder Lieferantenverwaltung - Bewerberdatenbank, Besucher ARGE DATEN ARGE DATEN

28 konzernweite Datenverwendung Datenverwendung zwischen Unternehmen
Konzern-holding konzernweite Datenverwendung Datenverwendung zwischen Unternehmen Personal-daten-bank Unternehmen 3: Auslieferung, Logistik Unternehmen 4: IT-Service Unternehmen 2: Produktion Unternehmen 5: HR-Management Unternehmen 6: Versicherung Übermittlungen U1 beauftragt Kunde kauft Ermittlung Unternehmen 1: Vertriebsfirma U1 beauftragt Übermittlung Überlassung Datenübermittlungen innerhalb eines Konzerns: - es gibt keine Konzernerleichterungen, aber bestimmte Bereiche fallen unter die Standardanwendung SA033 - Übermittlungen zwischen Konzernunternehmen sind so zu behandeln wie zwischen fremden Unternehmen - Gemeinsame Datennutzungen, etwa im Bereich einer Personalwirtschaft, stellt einen Informationsverbund dar - die gemeinsame Inanspruchnahme einer IT-Tochter wird in der Regel zu keiner Übermittlung führen, sondern nur zu einer Überlassung Checkliste bei einem konzerninternen Informationsverbund: - worin besteht der berechtigte Zweck? - wer ist der Betreiber? Meldung an das DVR - sind die notwendigen Zustimmungserklärungen vorhanden? - bei Mitarbeitern: sind Vereinbarungen mit dem Betriebsrat zu treffen alternativ - Anpassungsbedarf in Dienstverträgen, Vereinbarung mit den betroffenen Arbeitnehmern U3 beliefert Kunden ARGE DATEN

29 konzernweite Datenverwendung
Regeln bei der konzernweiten Verwendung von Mitarbeiterdaten - Beispiel Kontaktverzeichnis - bisher: keine "Konzernerleichterung" - Konzern-Mitarbeiterverzeichnisse waren registrierungspflichtig - gemeinsame Verwendung bedeutete Vorliegen eines genehmigungspflichtigen Informationsverbundes - Übermittlung in Drittstaaten ohne angemessenes Schutzniveau war DSK-genehmigungspflichtig - neu (seit ): Kontaktverzeichnisse sind "Standard", wenn sie SA033 lit. A. entsprechen  Konsequenz: - keine Registrierungspflicht - keine Genehmigungspflicht des Informationsverbundes - durch verpflichtende Verwendung der Standardvertragsklauseln keine DSK-genehmigungspflicht bei Übermittlung in Drittstaaten ohne angemessenes Schutzniveau  die Standardanwendung SA033 findet sich im Anhang - ARGE DATEN

30 SA033 Datenübermittlung im Konzern im Überblick
StMV-Novelle - konzernweite Datenverwendung SA033 Datenübermittlung im Konzern im Überblick - Konzerndefinition: Konzernverband liegt vor, wenn ein rechtlich selbständiges Unternehmen auf Grund von Beteiligungen oder sonst unmittelbar oder mittelbar unter dem beherrschenden Einfluss eines anderen Unternehmens steht - vier Detailthemen ("Zwecke") - A. Konzernweite Kontakt- und Termindatenbank - B. Karrieredatenbank - C. Verwaltung von Bonus- und Beteiligungsprogrammen eines Konzerns - D. Technische Unterstützung alle anderen Zwecke eines Konzern-Datenverkehrs oder andere Unternehmensverbindungen (z.B. Joint-Ventures, Projektpartnerschaften usw.) fallen NICHT darunter! SA033 Datenübermittlung im Konzern Übermittlung von Daten im Konzernverband. Ein Konzernverband liegt vor, wenn ein rechtlich selbständiges Unternehmen auf Grund von Beteiligungen oder sonst unmittelbar oder mittelbar unter dem beherrschenden Einfluss eines anderen Unternehmens steht. Das herrschende Unternehmen (die „Konzernmutter“) und die von ihr abhängigen Unternehmen (die „Konzerntöchter“) sind die Konzernunternehmen und gelten zusammen als Konzern. Mit der Standardanwendung verbunden ist der Entfall der Genehmigung bei der Übermittlung von Daten an Auftraggeber und Überlassung von Daten an Dienstleister ins Ausland aufgrund des § 12 Abs. 3 Z 5 und/oder Z 8 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999. Voraussetzung für die Anwendbarkeit der Standardanwendung ist die Erfüllung der Vorgaben gemäß Art. 25 der Datenschutz-Richtlinie 95/46/EG oder das Vorhandensein ausreichender Garantien in Form von Standardvertragsklauseln der Europäischen Kommission gemäß Art. 26 Abs. 2 iVm Abs. 4 der Datenschutz-Richtlinie 95/46/EG. Arbeits- und arbeitsverfassungsrechtliche Bestimmungen (insbesondere §§ 96 und 96a Arbeitsverfassungsgesetz – ArbVG, BGBl. Nr. 22/1974) bleiben auch bei Anwendung der Standardanwendung unberührt. ARGE DATEN

31 A. Konzernweite Kontakt- und Termindatenbank
StMV-Novelle - konzernweite Datenverwendung A. Konzernweite Kontakt- und Termindatenbank - Zweck: Führung & Übermittlung von Kontaktdaten der Mitarbeiter zu einer gemeinsamen konzernweiten Termindatenbank - Rechtsgrundlage: DSG 2000 §§ 8 Abs. 1 Z 4 und 12 Abs. 3 Z 8 - Speicherdauer: bis drei Jahre nach Beendigung eines Arbeitsverhältnisses (nach Ende: beschränkt auf korrekte Behandlung noch eintreffender Nachrichten) - Betroffene: [breit gefasst] Arbeitnehmer, arbeitnehmerähnliche Gruppen, Leiharbeitnehmer, freie Dienstnehmer (Werkverträge), Lehrlinge, Volontäre, Ferialpraktikanten - Datenarten (Auswahl): Identifikations- und Organisationsdaten, Funktion gegenüber Kunden/Geschäftspartnern, Kontaktdaten, Verfügbarkeit (Urlaube, sonstige Abwesenheiten), Informationen zur Weiterleitung von Nachrichten bei ehemaligen Beschäftigten: reduzierter Datenumfang! - Übermittlungen: andere Konzernunternehmen weltweit A. Konzernweite Kontakt- und Termindatenbank Zweck der Datenanwendung: Verarbeitung von Daten der Mitarbeiter des Auftraggebers, eines österreichischen Konzernunternehmens, zur Führung einer Kontaktdatenbank, Übermittlung dieser Daten an andere Konzernunternehmen weltweit sowie Führung einer konzernweiten Termindatenbank. Rechtsgrundlagen der Anwendung sind die folgenden Gesetzesbestimmungen (in der geltenden Fassung): §§ 8 Abs. 1 Z 4 und 12 Abs. 3 Z 8 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999. Höchstdauer der zulässigen Datenaufbewahrung: Bis zu drei Jahren nach Beendigung des Arbeitsverhältnisses zur korrekten Behandlung noch eintreffender Nachrichten. § 8 DSG 2000 Schutzwürdige Geheimhaltungsinteressen bei Verwendung nicht-sensibler Daten (1) Schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn .... 4. überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern. ... § 12 DSG 2000 Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland (3) Darüberhinaus ist der Datenverkehr ins Ausland dann genehmigungsfrei, wenn 8. die Übermittlung oder Überlassung in einer Standardverordnung (§ 17 Abs. 2 Z 6) oder Musterverordnung (§ 19 Abs. 2) ausdrücklich angeführt ist oder ARGE DATEN

32 A. Konzernweite Kontakt- und Termindatenbank II
StMV-Novelle - konzernweite Datenverwendung A. Konzernweite Kontakt- und Termindatenbank II - Sicherheitsvorgaben: direkter Bezug auf Art. 25 oder ausreichende Garantien in Form von EU-Standardvertragsklauseln Art. 26 Abs. 2 iVm Abs. 4 der Datenschutz-Richtlinie 95/46/EG ÜBERMITTLUNG PERSONENBEZOGENER DATEN IN DRITTLÄNDER Art. 25 DatenschutzR Grundsätze (1) Die Mitgliedstaaten sehen vor, daß die Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet. (2) Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; insbesondere werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen berücksichtigt. (3) Die Mitgliedstaaten und die Kommission unterrichten einander über die Fälle, in denen ihres Erachtens ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet. (4) Stellt die Kommission nach dem Verfahren des Artikels 31 Absatz 2 fest, daß ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels aufweist, so treffen die Mitgliedstaaten die erforderlichen Maßnahmen, damit keine gleichartige Datenübermittlung in das Drittland erfolgt. (5) Zum geeigneten Zeitpunkt leitet die Kommission Verhandlungen ein, um Abhilfe für die gemäß Absatz 4 festgestellte Lage zu schaffen. (6) Die Kommission kann nach dem Verfahren des Artikels 31 Absatz 2 feststellen, daß ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen, die es insbesondere infolge der Verhandlungen gemäß Absatz 5 eingegangen ist, hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet. Die Mitgliedstaaten treffen die aufgrund der Feststellung der Kommission gebotenen Maßnahmen. ARGE DATEN

33 B. Karrieredatenbank ARGE DATEN
StMV-Novelle - Standard- und Musterverordnung B. Karrieredatenbank - Zweck: Verwaltung freiwillige Teilnahme an Karriereprogramme - Rechtsgrundlage: DSG 2000 §§ 8 Abs. 1 Z 2 und 12 Abs. 3 Z 5 und/oder Z 8 - Speicherdauer: Ende der Bewerbung (Zurückziehung oder Beschäftigungsende) - Betroffene: [breit gefasst] wie bei A. - Datenarten (Auswahl): Identifikations- und Organisationsdaten, Kontaktdaten, Qualifikationen, Sprachkenntnisse, Leistungsbeurteilung, Karrierewünsche/Gehaltsvorstellungen - Übermittlungen: andere Konzernunternehmen weltweit die neue Mitarbeiter suchen, externe Beratungsunternehmen die in Personalangelegenheiten beraten - Sicherheitsvorgaben: wie A. B. Karrieredatenbank Zweck der Datenanwendung: Verwaltung der freiwilligen Teilnahme (Zustimmung) der Mitarbeiter an Karriereprogrammen von nationalen und internationalen Konzernen, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie zB Korrespondenz) in diesen Angelegenheiten. Umfasst ist die Datenanwendung eines österreichischen Konzernunternehmens, das in Österreich meldepflichtig wäre und aus dem Daten an andere Konzernunternehmen übermittelt werden oder an Dienstleister überlassen werden. Die Betroffenen, die bereits Mitarbeiter eines Konzernunternehmens in Österreich (Auftraggeber) sein müssen, können sich um Stellen bei anderen Konzernunternehmen bewerben. Die Bewerbung erfolgt durch eigene Initiative, insbesondere durch Eintragung in die Karrieredatenbank. Rechtsgrundlagen der Anwendung sind die folgenden Gesetzesbestimmungen (in der geltenden Fassung): §§ 8 Abs. 1 Z 2 und 12 Abs. 3 Z 5 und/oder Z 8 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999. Höchstdauer der zulässigen Datenaufbewahrung: Bis zum Ende der Bewerbung (zB durch Zurückziehung der Bewerbung oder Ende des Beschäftigungsverhältnisses zu einem der Unternehmen des Konzerns). ARGE DATEN

34 "bekannt geben" als Verallgemeinerung
Whistleblowing - Grundlagen Whistleblowing - "verpfeifen" - Hinweisgeber "Ein Whistleblower (vom Englischen to blow the whistle; auf Deutsch wörtlich: „die Pfeife blasen“) ist ein Hinweisgeber oder ein Informant, der Missstände wie illegales Handeln (z.B. Korruption, Insiderhandel und Menschenrechtsverletzungen) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz oder in anderen Zusammenhängen erfährt, wie beispielsweise als Patient bei einer medizinischen Behandlung, an die Öffentlichkeit bringt." (aus Wikipedia.org) Whistleblowing - "verpfeifen" - Hinweisgeber "Ein Whistleblower (vom Englischen to blow the whistle; auf Deutsch wörtlich: „die Pfeife blasen“) ist ein Hinweisgeber oder ein Informant, der Missstände wie illegales Handeln (z.B. Korruption, Insiderhandel und Menschenrechtsverletzungen) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz oder in anderen Zusammenhängen erfährt, wie beispielsweise als Patient bei einer medizinischen Behandlung, an die Öffentlichkeit bringt." (aus Wikipedia.org) bekannt gibt." "bekannt geben" als Verallgemeinerung - ARGE DATEN

35 Whistleblowing - (Rechts-)Grundlagen
Whistleblowing - Grundlagen Whistleblowing - (Rechts-)Grundlagen - internationale Vorgaben, etwa für an US-Börsen notierte Unternehmen („False Claim Act 1986“, den „US Whistleblower Protection Act 1989“, den „Sarbanes-Oxley Act 2002“ (SOX), gelten auch für deren Non-US-Töchter!) - generelle Sorfaltspflichten eines Unternehmens - Antikorruptionsbestimmungen, in Österreich Anti- Korruptionsstrafrecht - spezifische gesetzliche Bestimmungen, in Österreich derzeit für Behörden bzw. für im öffentlichen Einfluss stehende Betriebe in Diskussion - moralisches Gerechtigkeitsgefühl der Hinweisgeber - ??? https://www.bkms-system.net/ Organisieren Wistleblowing-Webseiten für zahlreiche Unternehmen und Behörden (Landeskriminalamt Niedersachsen, Marokkanische Anti-Korruptionsbehörde, Kenianische Anti-Korruptionsbehörde, Bertelsmann Gruppe, Commerzbank AG, Deutsche Telekom AG, Fraport AG, MAN Gruppe, Reisebank AG, Kaufmännische Krankenkasse - KKH), aber auch für das österreichische Justizministerium und die österreichische Anti-Korruptionsstaatsanwaltschaft Private Organisation zur Förderung des Whistleblowing in Österreich ARGE DATEN

36 Whistleblowing - Datenschutzrelevanz
Whistleblowing - Erscheinungsformen Whistleblowing - Datenschutzrelevanz - Hinweise behandeln im Regelfall allgemein nicht bekannte Tatsachen - es besteht Personenbezug a) es werden konkrete Personen bezichtigt und/oder b) Hinweisgeber kann identifiziert werden und/oder c) Daten beziehen sich auf Unternehmen - es kann eine Datenanwendung im Sinne des DSG vorliegen - Hinweise können strafrechtlich relevante Sachverhalte betreffen - Betroffene haben subjektive Rechte  Anspruch auf Geheimhaltung  Registrierungs-, Genehmigungspflichten  Vorabkontrollpflicht DSK-Entscheidungen zu Whistlblowing K /0010-DSK/  Auskunfts-, Richtigstellungs- und Löschungsrechte ARGE DATEN

37 Die sonstigen Beschränkungen des § 26 DSG 2000 bleiben aufrecht!
Whistleblowing - Datenschutzverpflichtungen Whistleblowing - Auskunftsrecht § 26 DSG 2000 Jeder Betroffene hat Auskunftsrecht, jedoch mit Einschränkungen. § 26 Auskunftsrecht kann beschränkt werden, wenn a) überwiegende Interessen Dritter gefährdet werden (z.B. Schutzinteressen des Hinweisgebers gegenüber einer bezichtigten Person) b) Interessen des Auftraggebers gefährdet werden (z.B. Aufklärungsinteressen bezüglich der Hinweise) Die sonstigen Beschränkungen des § 26 DSG bleiben aufrecht! - ARGE DATEN

38 Die sonstigen Beschränkungen des § 27 DSG 2000 bleiben aufrecht!
Whistleblowing - Datenschutzverpflichtungen Whistleblowing - Richtigstellungs- und Löschungsrecht § 27 DSG 2000 Jeder Betroffene hat Richtigstellungs- und Löschungsrecht, jedoch mit Einschränkungen. § 27 kann beschränkt werden, wenn a) mit einer Richtigstellung/Löschung der Zweck der Datenanwendung nicht mehr erfüllt werden kann (z.B. Dokumentationszweck), in der Regel ist jedoch ein Bestreitungsvermerk durch Betroffenen anzubringen b) eine Richtigstellung/Aktualisierung für die Datenanwendung unwesentlich ist Die sonstigen Beschränkungen des § 27 DSG bleiben aufrecht! - ARGE DATEN

39 Hurra! Wir sind auf Facebook!
Web 2.0 und Social Media Hurra! Wir sind auf Facebook! ... aber was machen wir da? - ARGE DATEN

40 Welche Bestimmungen sind anwendbar?
Web2.0 und Social Media Was ist Web2.0? üblicherweise als Mitmachweb definiert, Benutzer produzieren für andere Benutzer Inhalte Welche Bestimmungen sind anwendbar? - Datenschutzbestimmungen Benutzer ist in Doppelrolle als Betroffener (gegenüber Betreiber), als auch als Auftraggeber gegenüber Dritten - E-Commerce-Bestimmungen Haftung, Auskunftspflichten - sonstige Bestimmungen Medienrecht, Privatsphärebestimmungen nach §1328a, Offenlegungspflichten nach UnternehmensbuchG, Vereinsgesetz, ... - Hinweis! Web2.0-Regelung haben Ausgleich zwischen mehreren Grundrechten zu sichern: freie Meinungsäußerung, Erwerbsfreiheit und Schutz der Privatsphäre ARGE DATEN

41 Web2.0, Social Media und Datenschutz
Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (1) Rollenkonzept: Benutzer ist bezüglich der veröffentlichten Daten Dritter Auftraggeber, Facebook ist in diesem Fall Dienstleister, Datenanwendung liegt vor! Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber - ARGE DATEN

42 Web2.0, Social Media und Datenschutz
Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (2) Schutzinteresse: Bezüglich der Veröffentlichung der Unternehmensdaten gilt, kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat, bezüglich Dritter (Poster + Person über die gepostet wird) hat Unternehmen auf Einhaltung der Datenschutzinteressen zu achten! Es sind zusätzlich zum DSG 2000 die ECG-Bestimmungen insb. § 16 (Haftung!) zu beachten. Facebook darf die Daten nur im Rahmen der ausdrücklich vereinbarten Geschäftsbedingungen verwenden. - ARGE DATEN

43 Web2.0, Social Media und Datenschutz
Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (3) Berechtigter Zweck: Keine private Datenanwendung im Sinne des § 45 DSG 2000, in der Regel zulässig (z.B. Unternehmenspräsentation, Erwerbsfreiheit). In Bezug auf Facebook aus Angebot und Geschäftsbedingungen ableitbar. (4) Aufsicht: Für Unternehmen im Regelfall Registrierungs- bzw. Genehmigungspflicht, wenn keine Ausnahmebestimmung trifft zu (Standardanwendung, ausschließliche Verwendung veröffentlichter Daten, rein private Datenverwendung, Medienprivileg/Berichterstattung). Für Facebook gelten die Bestimmungen des Geschäftssitzes - ARGE DATEN

44 Was kann/muss ein Unternehmen regeln / tun?
Web2.0 und Social Media Was kann/muss ein Unternehmen regeln / tun? +/- Mitarbeitern die Nennung seines Arbeitgebers auf privaten Accounts verbieten +/- Mitarbeitern die Nutzung des privaten Accounts im Unternehmen vollständig verbieten +/- bestimmte Formulierungen bei Aussagen in Social Media über Unternehmen verpflichtend vorgeben +/- Überwachen was Bewerber / Arbeitnehmer in Sozialen Netzwerken tun - sich in keinem Zusammenhang zum Unternehmen zu äußern (z.B. es gibt eine Berichterstattung zu einem Produkt, zu einer Rückrufaktion, ...) - verlangen, das sich Mitarbeiter über Unternehmen nur positiv äußern - Generell Mitarbeitern private Web2.0 Accounts verbieten - ARGE DATEN

45 betriebliche Datenverwendung
zulässige Datenverwendung Betriebsvereinbarung & Privatnutzung Datenschutzerklärung - ARGE DATEN

46 ARGE DATEN (un)zulässiger IT-Einsatz
IT-Nutzung im Spiegel der Rechtssprechung - OGH 9ObA75/04a: -Verkehr entspricht gelegentlichen kurzen Telefonaten privaten Inhalts mit Arbeitskollegen. Gelegentliches Weiterleiten von Spaß- s entgegen generellem Verbot stellt zwar Fehlverhalten dar, rechtfertigt nicht Entlassung. - OGH 9ObA151/02z: Surfen in der Arbeitszeit, wenn es nach Ermahnung sofort eingestellt wird, stellt keinen Entlassungsgrund dar. - OGH 9ObA178/05z: unerlaubte private Computernutzung an sich noch kein Schaden für Betrieb, wäre etwa durch Virenbefall wegen Verletzung der Internet-Policy gegeben. Umsatz und Gewinnentgang wegen "unproduktiven Verhaltens" ebenfalls kein Schaden, muss kausal bewiesen werden. Kein Entlassungsgrund aus der OGH-Entscheidung 9ObA75/04a "1. Entgegen der Ansicht des Revisionswerbers liegt eine erhebliche Rechtsfrage nicht bereits deshalb vor, weil höchstgerichtliche Judikatur zur Frage des privaten -Verkehrs während der Dienstzeit nicht vorliegt. Der vom Berufungsgericht beurteilte Sachverhalt liegt im Hinblick auf die Beeinträchtigung der Interessen des Dienstgebers nicht anders als gelegentliche (kurze) Telefonate privaten Inhalts mit Arbeitskollegen. ... 3. Das Fehlverhalten der Klägerin lag darin, entgegen einem generellen Verbot und einer Ermahnung durch einen Vorgesetzten gelegentlich auf ihrem Arbeitsplatz einlangende "Spaß- s" an Arbeitskollegen weitergeleitet zu haben; nach den Feststellungen der Vorinstanzen kam eine Weiterleitung derartiger s an Kollegen bzw an den privaten Internetzugang der Klägerin ein- bis zweimal pro Woche vor. Soweit das Berufungsgericht unter diesen Umständen unter Berücksichtigung der sonst unbeanstandeten 20-jährigen Arbeitsleistung der Klägerin die Auffassung vertreten hat, das Verhalten der Klägerin stelle - ungeachtet einer vorangegangenen (informellen) Ermahnung - keinen Entlassungsgrund dar, so kann dies nicht als bedenkliche Fehlbeurteilung angesehen werden." ARGE DATEN

47 ARGE DATEN (un)zulässiger IT-Einsatz
IT-Nutzung im Spiegel der Rechtssprechung II - OGH 9 ObA 11/11z: Installation eines Computerkriegsspiels, eines Programms zum Brennen von CDs - keine Weisung, Richtlinien etc im Betrieb - bei entsprechender Weisung hätte AN rechtswidriges Verhalten unterlassen - kein Nachweis einer konkreten rechtswidrigen Nutzung in der Arbeitszeit - Entlassung nicht gerechtfertigt - LAG München 11 Sa 54/09: unerlaubte -Einsichtnahme durch Administrator rechtfertigt fristlose Kündigung (Ö: Entlassung) - DSK K /0009-DSK/2012: Ein Kurzentrum möchte Video- und Tonaufzeichnungen nicht zur Mitarbeiterüberwachung, sondern zur "Qualitätssicherung installieren, Empfehlung der DSK: derartige Aufzeichnungen sind unzulässig DSK K /0009-DSK/2012: Aus Anlass einer anonymen Eingabe vom 29. April 2012 (ha. eingelangt am 30. April 2012), betreffend Video- und Audioaufnahmen im Kurzentrum X***, ergeht gemäß § 30 Abs. 6 DSG 2000 zur Herstellung des rechtmäßigen Zustands die folgende Empfehlung an dessen Betreiber, die X*** GmbH: - Die X*** GmbH möge für Zwecke der Überprüfung der Qualität der von ihr angebotenen Dienstleistungen sowie des Services weder Bild- noch Tonaufzeichnungen erstellen bzw. weiterverarbeiten. - Für die Umsetzung dieser Empfehlung wird eine Frist von zwei Wochen gesetzt. A. Vorbringen der Beteiligten und Verfahrensgang ... 3. In ihrer Stellungnahme vom 6. Juni 2012 gab die X*** GmbH, rechtsanwaltlich vertreten, an, die Agentur C*** sei mit der Durchführung von Qualitätschecks in regelmäßigen Abständen von ca. zwei Jahren beauftragt worden. Dabei würden sich anonyme Personen für kurze Zeit im Kurzentrum aufhalten, um den Geschäftsablauf, die Abwicklung der Angebote sowie sonstiger Serviceleistungen durch die Mitarbeiter ua. auch durch Videoaufnahmen zu dokumentieren. Der darüber erstattete Bericht werde zur Optimierung der Geschäftsabläufe im Kurzentrum verwendet. Zweck des Qualitätschecks sei nicht die Kontrolle oder gar Überwachung der Mitarbeiter/des Personals, sondern vielmehr zu gewährleisten, dass sich die Qualität der angebotenen Dienstleistungen sowie das Service stets auf höchstem Niveau bewegen. Sämtliche Mitarbeiter hätten ihr schriftliches Einverständnis zur Durchführung regelmäßiger Qualitätschecks in der gehandhabten Form, welche auch Videoaufnahmen umfasse, gegeben. Fremde Personen oder Gäste würden nicht gefilmt. Die Bildaufnahmen würden bis zum nächsten Qualitätscheck, daher ca. zwei Jahre lang aufbewahrt. Die Kameras seien nicht gekennzeichnet, weil sonst der Zweck eines unabhängigen und objektiven Qualitätschecks nicht gewährleistet wäre. Die Kameras seien nicht fix installiert, sondern an der Kleidung von anonymen Personen angebracht. Die Kameras seien auch nicht gekennzeichnet, weil dies den Zweck der Durchführung eines unabhängigen und objektiven Qualitätschecks vereiteln würde. Die Mitarbeiter würden vor Antritt des Dienstverhältnisses sowie Unterfertigung der Zustimmungserklärungen ausdrücklich informiert und belehrt, dass an ihrer Arbeitsstätte in regelmäßigen Abständen von ca. zwei Jahren Qualitätschecks in der aufgezeigten Art und Weise durchgeführt würden. Der Stellungnahme angeschlossen waren eine Unterschriftsliste von Mitarbeitern zur Abgabe einer „Freiwillige Zustimmungserklärung zu Videoaufnahmen im Zuge eines Qualitätschecks der „X*** GmbH“ sowie eine DVD mit beispielhaften Ton- und Bildaufnahmen (offensichtlich das Ergebnis der Auswertungen). ARGE DATEN

48 Betriebsvereinbarung §§ 96, 96a, 97 ArbVG
Grundlage Betriebsvereinbarung Betriebsvereinbarung §§ 96, 96a, 97 ArbVG - Mitarbeiterdaten dürfen ohne Zustimmung automationsunterstützt verwendet werden, wenn sie zur Erfüllung von Verpflichtungen aus Gesetzen, Normen der kollektiven Rechtsgestaltung oder aus dem Arbeitsvertrag dienen (etwa Lohnverrechnung) - weitergehende Datenverwendung, insbesondere zur Beurteilung der Leistungsfähigkeit des Mitarbeiters sind ersetzbar zustimmungspflichtig gem § 96a Abs 1 Z 1 ArbVG - Datenverwendung (Kontrollmaßnahmen), die die Menschenwürde berühren bedürfen der Zustimmung gem. § 96 Abs 1 Z 3 ArbVG - (private) Betriebsmittelnutzungen könnte gemäß § 97 Abs 1 Z 6 ArbVG mittels Betriebsvereinbarung geregelt werden Bei Fehlen eines Betriebsrates ist Einzelvereinbarung gemäß § 10 AVRAG (Arbeitsvertragsrechts-Anpassungsgesetz) mit Mitarbeiter abzuschließen Zustimmungspflichtige Maßnahmen ArbVG § 96. (1) Folgende Maßnahmen des Betriebsinhabers bedürfen zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrates: 1. Die Einführung einer betrieblichen Disziplinarordnung; 2. die Einführung von Personalfragebögen, sofern in diesen nicht bloß die allgemeinen Angaben zur Person und Angaben über die fachlichen Voraussetzungen für die beabsichtigte Verwendung des Arbeitnehmers enthalten sind; 3. die Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer, sofern diese Maßnahmen (Systeme) die Menschenwürde berühren; 4. insoweit eine Regelung durch Kollektivvertrag oder Satzung nicht besteht, die Einführung und die Regelung von Akkord-, Stück- und Gedinglöhnen, akkordähnlichen und sonstigen leistungsbezogenen Prämien und Entgelten - mit Ausnahme der Heimarbeitsentgelte -, die auf Arbeits(Persönlichkeits)bewertungsverfahren, statistischen Verfahren, Datenerfassungsverfahren, Kleinstzeitverfahren oder ähnlichen Entgeltfindungsmethoden beruhen, sowie der maßgeblichen Grundsätze (Systeme und Methoden) für die Ermittlung und Berechnung dieser Löhne bzw. Entgelte. (2) Betriebsvereinbarungen in den Angelegenheiten des Abs. 1 können, soweit sie keine Vorschriften über ihre Geltungsdauer enthalten, von jedem der Vertragspartner jederzeit ohne Einhaltung einer Frist schriftlich gekündigt werden. § 32 Abs. 3 zweiter Satz ist nicht anzuwenden. Regelung gilt im öffentlich-rechtlichen Bereich analog, u.a. PVG § 9 Abs. 2 lit. f (in § 10 komplizierte Regelung für "Einvernehmen") Gilt nicht bei Werkverträgen oder sonstigen Dritten (Dienstleistern) ARGE DATEN

49 Betriebsvereinbarung
Grundlage Betriebsvereinbarung Betriebsvereinbarung Ersetzbare Zustimmung ArbVG § 96a. (1) Folgende Maßnahmen des Betriebsinhabers bedürfen zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrates: 1. Die Einführung von Systemen zur automationsunterstützten Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten des Arbeitnehmers, die über die Ermittlung von allgemeinen Angaben zur Person und fachlichen Voraussetzungen hinausgehen. Eine Zustimmung ist nicht erforderlich, soweit die tatsächliche oder vorgesehene Verwendung dieser Daten über die Erfüllung von Verpflichtungen nicht hinausgeht, die sich aus Gesetz, Normen der kollektiven Rechtsgestaltung oder Arbeitsvertrag ergeben; 2. die Einführung von Systemen zur Beurteilung von Arbeitnehmern des Betriebes, sofern mit diesen Daten erhoben werden, die nicht durch die betriebliche Verwendung gerechtfertigt sind. (2) Die Zustimmung des Betriebsrates gemäß Abs. 1 kann durch Entscheidung der Schlichtungsstelle ersetzt werden. Im übrigen gelten §§ 32 und 97 Abs. 2 sinngemäß. (3) Durch die Abs. 1 und 2 werden die sich aus § 96 ergebenden Zustimmungsrechte des Betriebsrates nicht berührt. ArbVG § 97. (1) Betriebsvereinbarungen im Sinne des § 29 können in folgenden Angelegenheiten abgeschlossen werden: 1. Allgemeine Ordnungsvorschriften, die das Verhalten der Arbeitnehmer im Betrieb regeln; ... 6. Maßnahmen zur zweckentsprechenden Benützung von Betriebseinrichtungen und Betriebsmitteln; Bundes-Personalvertretungsgesetz §9 Abs 2 lit f (2) Mit dem Dienststellenausschuß ist im Sinne des § 10 das Einvernehmen herzustellen: ..... f) bei der Einführung von Systemen zur automationsunterstützten Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten der Bediensteten, die über die Ermittlung von allgemeinen Angaben zur Person oder über die Ermittlung von fachlichen Voraussetzungen hinausgehen; Arbeitsvertragsrechts-Anpassungsgesetz - AVRAG - StF: BGBl. Nr. 459/ RIS-Version Stand Kontrollmaßnahmen § 10. (1) Die Einführung und Verwendung von Kontrollmaßnahmen und technischen Systemen, welche die Menschenwürde berühren, ist unzulässig, es sei denn, diese Maßnahmen werden durch eine Betriebsvereinbarung im Sinne des § 96 Abs. 1 Z 3 ArbVG geregelt oder erfolgen in Betrieben, in denen kein Betriebsrat eingerichtet ist, mit Zustimmung des Arbeitnehmers. (2) Die Zustimmung des Arbeitnehmers kann, sofern keine schriftliche Vereinbarung mit dem Arbeitgeber über deren Dauer vorliegt, jederzeit ohne Einhaltung einer Frist schriftlich gekündigt werden. ARGE DATEN

50 Telefondatenaufzeichnung (OGH 8ObA288/01p)
Kontrollmaßnahmen im Betrieb Telefondatenaufzeichnung (OGH 8ObA288/01p) - Telefondatenerfassung immer zustimmungspflichtig - Nummernunterdrückung bei Privatgesprächen ist nicht ausreichend (Markierung als "P") - Bei Weigerung eine Betriebsvereinbarung abzuschließen, wird das System ersatzweise zustimmungspflichtig - Problem der Kontrolldichte, automatisierte Kontrolle nicht mit üblicher Aufsichtspflicht vergleichbar - Menschenwürde schon berührt, wenn Mitarbeiter sich subjektiv überwacht fühlt und das System technisch geeignet ist - auch am Arbeitsplatz besteht - wenngleich eingeschränkt - Recht auf Privatsphäre Zeitaufzeichnung (OGH 8ObA97/03b) - bei vorgesehener Verwendung ist immer der Leistungsumfang des konkret eingesetzten Programmpaketes entscheidend Rufnummernunterdrückung bei Privatgesprächen nicht ausreichend "Häufigkeit und Dauer privater Telefonate - insbesondere im längeren Vergleich - könnten Rückschlüsse oder nicht weniger problematische Spekulationen über persönliche oder familiäre Schwierigkeiten des Arbeitnehmers ermöglichen. Die alleinige Möglichkeit, die Registrierung angewählter Nummern zu unterbinden, bewahre den Arbeitnehmer nicht vor eventuellen Spekulationen. Die Missbrauchsgefahr bei diesem erhöhten Informations- und Kontrollpotential müsse bei der Beurteilung des Persönlichkeitsschutzes des Arbeitnehmers berücksichtigt werden." Technische Dauerüberwachung nur bei Überwiegen von Arbeitgeberinteressen zulässig "Technische Dauerüberwachung sei grundsätzlich unzulässig, solange der Arbeitgeber nicht ein stärkeres rechtlich geschütztes Interesse beweise. Technisch und organisatorisch seien aber durchaus andere Mittel möglich, die den Interessen des Arbeitgebers in einem rechtlich zulässigen Ausmaß Rechnung tragen, wie etwa über längere Zeiträume zusammengefasste Gebührenermittlung für Privatgespräche oder Teilnummernregistrierung bei Dienstgesprächen. Eine Beurteilung der Menschenwürde und ihrer Integrität könne begrifflicherweis an der Sicht des betroffenen Menschen nicht vorbeigehen. Der subjektive Eindruck der Betroffenen von einem Kontrollsystem sei daher sehr wohl eines der Kriterien zur Beurteilung der Zustimmungspflichtigkeit." Telefondatenerfassung ist immer zustimmungspflichtig "Die Einrichtung einer automationsunterstützten Telefonregistrieranlage im Betrieb bedarf, soweit sie personenbezogene Daten erfasst, immer der Zustimmung des Betriebsrates; sie ist - je nach Intensität des Eingriffs - absolut oder ersetzbar zustimmungsabhängig. Die Einführung eines elektronischen Telefonkontrollsystems durch den Dienstgeber, das die Nummern der angerufenen Teilnehmer systematisch und vollständig, den jeweiligen Nebenstellen zugeordnet, erfasst, berührt selbst dann die Menschenwürde im Sinn des § 96 Abs 1 Z 3 ArbVG, wenn durch Betätigen einer Taste am Telefonapparat hinsichtlich der dann besonders gekennzeichneten Gespräche die Endziffern der Rufnummer im System unterdrückt werden. Bietet der Dienstgeber hinsichtlich eines derartigen Telefonkontrollsystems den Abschluss einer die Persönlichkeitsrechte der Dienstnehmer ausreichend wahrenden Betriebsvereinbarung an, kann er - verweigert der Betriebsrat die Zustimmung - mit dem Vorbringen, die Einführung der Kontrollmaßnahme berühre dann nicht mehr die Menschenwürde, gemäß § 96a Abs 2 ArbVG die Schlichtungsstelle anrufen." ARGE DATEN

51 Zulässigkeit einer biometrischen Zeiterfassung
Kontrollmaßnahmen im Betrieb Zulässigkeit einer biometrischen Zeiterfassung Ausgangslage: - ein Krankenhaus stellt bestehendes Magnetkartensystem auf Fingerabdrucksystem um - Betriebsvereinbarung wird keine abgeschlossen - alle Fingerabdrucksdaten werden bei einem Biometriebetreiber zentral verwaltet, mit diesem wird Dienstleistervereinbarung abgeschlossen OGH-Entscheidung 9 ObA 109/06d: - OGH betont erneut Recht auf Privatsphäre im Betrieb - biometrische Zeiterfassungssysteme haben höhere Eingriffsintensität als "Stechuhren", daher Zustimmungspflicht gegeben - kritisiert wird der hohe Grundrechtseingriff für ein vergleichsweise triviales Ziel (Zeiterfassung) - auch bei Einweg"verschlüsselung" liegen personenbezogene Daten vor - auf Grund des Fehlens der Betriebsvereinbarung war der vorläufige Abbau auszusprechen (einstweilige Verfügung) aus der OGH-Entscheidung 9 ObA 109/06d "Jeder Mensch auch während der Zeit, in der er zur Arbeitsleistung in einem Arbeitsverhältnis verpflichtet ist, ua das Recht auf Unversehrtheit der Intimsphäre, auf Freiheit vor unbefugter Abbildung und auf Achtung seines Wertes als menschliches Wesen [hat]." Auch wenn der Arbeitgeber grundsätzlich Kontrollrechte hat, kann "auch die Kontrolle rein dienstlichen Verhaltens zustimmungspflichtig sein." "Auf Grund der beträchtlichen Eingriffs- und Kontrollintensität der Abnahme und Verwaltung von Fingerabdrücken und darauf beruhender Templates wird - selbst wenn man die vom Beklagten vorgebrachten Sicherheitsmerkmale einschließlich der mangelnden Rückführbarkeit des Templates zum Original-Fingerabdruck zu seinen Gunsten berücksichtigt, womit sich auch die Vernehmung weiterer Zeugen erübrigte, - die Menschenwürde der Arbeitnehmer berührt. Der Beklagte verletzte daher durch die einseitige konsenslose Einführung und Anwendung eines Zeiterfassungssystems, das auf einem biometrischen Fingerscanning der Arbeitnehmer beruht, die Mitwirkunsgrechte des Betriebsrates nach § 96 Abs 1 Z3 ArbVG. Die Kontrolleinrichtung ist daher rechtswidrig und unzulässig." ARGE DATEN

52 Datenschutzrechte und Betriebsrat (OGH Entscheidung 6 ObA 1/06z)
Datenschutz und Betriebsrat Datenschutzrechte und Betriebsrat (OGH Entscheidung 6 ObA 1/06z) - ein Flugunternehmen führte ein "Crew Management System" ein, das neben Stammdaten die Einsatzpläne, Qualifikationen usw. verwaltete - Betriebsrat begehrte Löschung der Daten (§ 27 DSG 2000) - Löschung abgelehnt, da Betriebsrat nach dem DSG 2000 keine Parteienstellung hat - Datenschutzrechte sind höchstpersönliche (subjektive) Rechte - Betriebsrat steht in Datenschutzangelegenheiten auch keine Vertretungsbefugnis der Mitarbeiter zu - Mitarbeiter müssen allfällige Löschungsrechte selbst einklagen (auch wenn notwendig in Parallelverfahren) - BR-Rechte im ArbVG geregelt (z.B. § 89 Z 1 ArbVG Recht auf Einsichtnahme in Gehaltsdaten, bedeutet kein Recht auf Datenzugriff (OGH 9ObA3/03m) - eine weitere Grenze ergibt sich bei der privaten Nutzung von Betriebsmitteln, auch hier sieht ArbVG keine Mitbestimmungsrechte des Betriebsrates vor Aus der OGH-Entscheidung 6 ObA 1/06z "Ziel des Datenschutzrechts ist es, den Rechtsschutz der natürlichen oder juristischen Person oder Personengemeinschaft zu gewährleisten, deren Daten verwendet werden. Das Datenschutzgesetz ist allein auf den Schutz des Betroffenen ausgerichtet." (RIS-Rechtssatz) "Mitbestimmungsunterworfen ist nicht der Einzelfall, sondern die generelle, die gesamte Belegschaft oder einzelne Teile davon erfassende Maßnahme. Liegt keine zustimmungsfreie Personaldatenverarbeitung vor, so ist eine vom Betriebsinhaber ohne Zustimmung des Betriebsrates oder entsprechende Entscheidung der Schlichtungsstelle gesetzte Maßnahme im Sinn der Z 1 des § 96a Abs 1 ArbVG rechtsunwirksam und rechtswidrig. Der Betriebsrat kann als Organ der Belegschaft auf Unterlassung bzw Beseitigung des unzulässig eingeführten Systems (gemäß § 50 Abs 2 ASGG vor dem Arbeits- und Sozialgericht) klagen. Der Unterlassungs- und der Beseitigungsanspruch des Betriebsrats sind in der Verletzung des betriebsverfassungsrechtlichen Mitbestimmungsrechts begründet, also ein materieller betriebsverfassungsrechtlicher Anspruch, der sich nur auf die Verletzung der betriebsverfassungsrechtlichen Befugnisse, nicht aber auf das Datenschutzgesetz stützen kann." (RIS-Rechtssatz) ARGE DATEN

53 Betriebsratsbestimmung im DSG 2000
Datenschutz und Betriebsrat Betriebsratsbestimmung im DSG 2000 - § 9 Z 11 regelt Einsatz sensibler Daten im Betrieb - § 9 Z 11 betont, dass Betriebsratsrechte durch die Regelung nicht berührt sind Zusammenfassung - Datenanwendungen im Betrieb sind daher sowohl am ArbVG, als auch am DSG 2000 zu messen - Betriebsvereinbarung kann nicht erforderliche Zustimmung der Betroffenen ersetzen - umgekehrt kann Zustimmung der Betroffenen nicht eine notwendige Betriebsvereinbarung ersetzen Datenanwendungen, die die Menschenwürde verletzen, sind weder zustimmungsfähig, noch betriebsvereinbarungsfähig. § 9 DSG 2000 Schutzwürdige Geheimhaltungsinteressen bei Verwendung sensibler Daten "Schutzwürdige Geheimhaltungsinteressen werden bei der Verwendung sensibler Daten ausschließlich dann nicht verletzt, wenn ... 11. die Verwendung erforderlich ist, um den Rechten und Pflichten des Auftraggebers auf dem Gebiet des Arbeits- oder Dienstrechts Rechnung zu tragen, und sie nach besonderen Rechtsvorschriften zulässig ist, wobei die dem Betriebsrat nach dem Arbeitsverfassungsgesetz zustehenden Befugnisse im Hinblick auf die Datenverwendung unberührt bleiben ..." ARGE DATEN

54 Informationstechnik und Betriebsvereinbarung I
Betriebsvereinbarungen Informationstechnik und Betriebsvereinbarung I Bereiche in denen Betriebsvereinbarungen sinnvoll sind: - Internet- / -Einsatz - Intranet / Mitarbeiterinfos / Online-Mitarbeitermagazin - Online-Mitarbeiter-Befragungen - elektronische Aktenbearbeitung, elektronische Rechnungsbearbeitung - gemeinsame Nutzung von Kalender- und Projektplanungssoftware - biometrische Zeiterfassung - Videoüberwachung / Zutrittskontrollsysteme jeder Art aus der OGH-Entscheidung 9 ObA 109/06d "Jeder Mensch auch während der Zeit, in der er zur Arbeitsleistung in einem Arbeitsverhältnis verpflichtet ist, ua das Recht auf Unversehrtheit der Intimsphäre, auf Freiheit vor unbefugter Abbildung und auf Achtung seines Wertes als menschliches Wesen [hat]." Auch wenn der Arbeitgeber grundsätzlich Kontrollrechte hat, kann "auch die Kontrolle rein dienstlichen Verhaltens zustimmungspflichtig sein." "Auf Grund der beträchtlichen Eingriffs- und Kontrollintensität der Abnahme und Verwaltung von Fingerabdrücken und darauf beruhender Templates wird - selbst wenn man die vom Beklagten vorgebrachten Sicherheitsmerkmale einschließlich der mangelnden Rückführbarkeit des Templates zum Original-Fingerabdruck zu seinen Gunsten berücksichtigt, womit sich auch die Vernehmung weiterer Zeugen erübrigte, - die Menschenwürde der Arbeitnehmer berührt. Der Beklagte verletzte daher durch die einseitige konsenslose Einführung und Anwendung eines Zeiterfassungssystems, das auf einem biometrischen Fingerscanning der Arbeitnehmer beruht, die Mitwirkunsgrechte des Betriebsrates nach § 96 Abs 1 Z3 ArbVG. Die Kontrolleinrichtung ist daher rechtswidrig und unzulässig." ARGE DATEN

55 Informationstechnik und Betriebsvereinbarung II
Betriebsvereinbarungen Informationstechnik und Betriebsvereinbarung II (Fortsetzung): - Verwendung von Diensthandys - Einsatz von Audit- und Remote-Support-Software - Blackberry/Bluetooth - Einsatz im Verkauf - Bestellautomation / für Kundenlager-Kontrolle - digitale Signatursysteme (z.B. Paketzusteller, Installateur, ...) - GPS-Einsatz bei Fuhrpark Bereiche bei denen Betriebsvereinbarung + individuelle Zustimmung nach DSG Bedeutung haben kann: - Konzernweite mitarbeiterbezogene Reporting-Systeme Bereiche, bei denen keine Betriebsvereinbarung vorgesehen ist: - Dienstleistervereinbarungen nach DSG 2000 - ARGE DATEN

56 Betriebsvereinbarung [BV] - Übersicht
Intranet - Betriebsvereinbarung Betriebsvereinbarung [BV] - Übersicht A. Betroffener Personenkreis B. Systembeschreibung C. Gegenstand des Übereinkommens, Zweck der Verarbeitung D. Definition der verwendeten Daten E. Definition der Datennutzung F. Abgrenzung zu anderen Datenverarbeitungen G. Definition von Codes und Wertebereichen H. Maximale Dauer der gespeicherten Daten I. Vorgangsweise bei Änderung des Systems J. Anwendungs- und Auslegungsgrundsatz K. Schlichtungskommission L. Geltung Anhang I: Datenarten (Infotypen) Anhang II: Auswertungen Anhang III: Übermittlungen Anhang IV: Zugriffsberechtigte / Systemadministratoren Allgemeines Musterdokument zu den Betriebsvereinbarungen Online: ftp://ftp.freenet.at/privacy/muster/musbrv01.html Im Anhang: Mustervereinbarung der Österreichischen Akademie der Wissenschaften (ÖAW) ARGE DATEN

57 Betriebsvereinbarung [BV] - Beispiel Mail
Intranet - Betriebsvereinbarung Betriebsvereinbarung [BV] - Beispiel Mail A. Betroffener Personenkreis "Alle Mitarbeiter mit -Account." ["Zugang zum Internet"] B. Systembeschreibung Verwendet wird Mailserver xy [bei Provider ...] in Version v999 mit folgenden Eigenschaften: - Bereithalten von Mails am Server, - erstellen Mailkopien - Viren- und Wurmscan mittels Software abc - Protokollierung der ein-/ausgehenden Mails gem. Daten Anhang I Wartungs- und Systemverantwortlicher: .... C. Gegenstand des Übereinkommens, Zweck der Verarbeitung Vereinbarung regelt private und dienstliche Mailnutzung, Verhalten bei Attachments, bei Missbrauchsverdacht und Abwehr von Spam/Würmern/Viren - ARGE DATEN

58 Betriebsvereinbarung [BV] - Beispiel Mail
Intranet - Betriebsvereinbarung Betriebsvereinbarung [BV] - Beispiel Mail D. Definition der verwendeten Daten Mailinhalt (inkl. Betreff und Attachements), Absender, Empfänger, Ursprungsdaten, Eingangs/Ausgangszeit, Mailgröße, ... (Details siehe Anhang I) E. Definition der Datennutzung (Regelungsbeispiele) - Aufbewahrung/Archivierung der Mails - Erzeugen von Mailkopien - Regeln für Leserechte - Auswertung von Mail-Protokolldaten: Speicherdauer, Verwendung beweglicher Speichermedien - Verwendung von Funktions- und Personenmailadressen (z.B. dienstliche Angelegenheiten sind vorrangig (immer) mittels Funktions-Mailadresse zu versenden) - Definition der missbräuchlichen Nutzung - Vorgangsweise bei missbräuchlicher Nutzung Definition der Datennutzung (Regelungsvarianten) Aufbewahrung - alle Mails werden nach Abruf vom Server gelöscht [alternativ: bleiben gespeichert] - Verwendet werden Funktions- und Personenmailadressen Erzeugen von Mailkopien - bei Funktions-Mailadressen erhalten alle zuständigen Referenten (bzw. Vorgesetzten) eine Kopie - bei persönlichen Mailadressen wird keine Kopie angefertigt, Vertretungen müssen zeitgerecht vom Inhaber organisiert werden Definition von Missbrauch - Attacken gegen Computer, Netze und Services - Attacken gegen Daten von Einzelpersonen und Personengruppen - Behinderung der Arbeit Dritter - Vergehen gegen Lizenzvereinbarungen oder andere Verträge oder gesetzliche Regelungen Kein Mißbrauch: irrtümliche Verwendung des Internets, versehentlicher Zugriff auf falsche Seite Vorgangsweise bei Missbrauch - Rechtfertigungsmöglichkeit des Arbeitnehmers - Einschau in Protokolldaten im Beisein des Dienststellenleiters, des Arbeitnehmers, des Leiters der Rechtsabteilung, des Leiters der Personalabteilung und des Betriebsrates ARGE DATEN

59 Betriebsvereinbarung [BV] - Beispiel Mail
Intranet - Betriebsvereinbarung Betriebsvereinbarung [BV] - Beispiel Mail E. Definition der Datennutzung (Fortsetzung) - Filterungen/Scan finden nicht statt, ausgenommen Spam-/Wurm-/Viren-Filter mittels - Vorgangsweise bei vorhersehbarer Dienstverhinderung - Vorgangsweise bei Ausscheiden, unvorhergesehener Dienstverhinderung, Todesfall - Informations- und Einschaurechte des Betriebsrates [- Nutzung privater Mails - Obergrenze der privaten Mails xx kByte (z.B. 300 kByte/Mail)] F. Abgrenzung zu anderen Datenverarbeitungen - sonstige Internetnutzung ist von dieser Vereinbarung nicht betroffen G. Definition von Codes und Wertebereichen - im Fall wird keine Vereinbarung notwendig sein Definition der Datennutzung (Fortsetzung) - bei vorhersehbarer Verhinderung wird bei persönlichen Mailadressen der Absender über Grund der Verhinderung + alternative Kontaktmöglichkeit informiert - private Mails sind zur Besorgung persönlicher Angelegenheiten erlaubt, dürfen jedoch nur mittels persönlicher Mailadresse verschickt werden, betriebliches Geschehen darf nicht beeinträchtigt werden - Obergrenze der privaten Mails xx kByte (z.B. 300 kByte/Mail) - Mail-Protokolldaten werden tages-/abteilungs-/(personen)bezogen in Hinblick auf die Datenmenge ausgewertet, die Auswertung dient zur Auslastungsplanung und optimierung technischer Komponenten - Filterungen/Scan finden nicht statt, ausgenommen Spam-/Wurm-/Viren-Filter mittels - bei Ausscheiden, unvorhergesehener vorübergehender Dienstverhinderung, Todesfall, ... ist Zugriff durch Arbeitgeber möglich (Betriebsrat & Betroffene/Angehörige sind zu verständigen / sind anwesend, sobald der private Charakter eines Mails erkennbar ist, wird es nicht weiter zur Kenntnis genommen und gelöscht/als privat gesichert/...) ARGE DATEN

60 Betriebsvereinbarung [BV] - Beispiel Mail
Intranet - Betriebsvereinbarung Betriebsvereinbarung [BV] - Beispiel Mail H. Maximale Dauer der gespeicherten Daten - Mailkopien am Server werden max. xxx Tage gespeichert - Protokolldaten bis z.B. Ende des darauffolgenen Monats I. Vorgangsweise bei Änderung des Systems - geplante Systemänderungen werden dem Betriebsrat 2 Monate vorab angekündigt - ausgenommen Sicherheitsupdates aufgrund von Sicherheits-Empfehlungen (Hersteller, cert, dfn-cert, ...) - Patches aufgrund von Fehlfunktionen (Hersteller, ...) J. Anwendungs- und Auslegungsgrundsatz - BR und GF legen die BV nach den Grundsätzen der Wirtschaftlichkeit aus - ARGE DATEN

61 Betriebsvereinbarung [BV] - Beispiel Mail
Intranet - Betriebsvereinbarung Betriebsvereinbarung [BV] - Beispiel Mail K. Schlichtungskommission - Zusammensetzung - bei Nichteinigung wird ein externer Gutachter beigezogen L. Geltung - Vereinbarung gilt ab xx für ein Jahr (alternativ: auf unbestimmte Zeit) Anhang I: Datenarten (Infotypen) Anhang II: Auswertungen Anhang III: Übermittlungen Anhang IV: Zugriffsberechtigte/Systemadministratoren Für Anhang I-III können auch als Basis für die Registrierung beim DVR herangezogen werden. J. Anwendungs- und Auslegungsgrundsatz Betriebsrat und Betriebsführung verpflichten sich, bei der Auslegung und Anwendung dieser Betriebsvereinbarung von dem Grundsatz der Wirtschaftlichkeit auszugehen. Eine Anwendung der Betriebsvereinbarung in der Art, dass für das Unternehmen ein gegenüber dem Schutzzweck der Betriebsvereinbarung nicht gerechtfertigter Kostenaufwand oder eine eklatante Arbeitsbehinderung entsteht, ist ausgeschlossen. K. Schlichtungskommission Für alle mit dieser Betriebsvereinbarung zusammenhängenden Fragen ist die Schlichtungskommission im Sinne der Rahmenbetriebsvereinbarung zuständig. Anrufung und Wirken werden in dieser Rahmenbetriebsvereinbarung geregelt. L. Geltung Die Betriebsvereinbarung gilt ab x.x.20xx auf unbestimmte Zeit. Anhang I: Datenarten (Infotypen) je Detailzweck: Datenart, Erläuterung, Betroffene, Maximale Speicherdauer Anhang II: Auswertungen Auswertungen die jeweils einen Mitarbeiter betreffen: · Erstellung von Arztbriefen und Befunden Auswertungen die jeweils mehrere Mitarbeiter betreffen (Listen): · Ausgabe von Ergebnislisten im Rahmen der gesetzlich vorgeschriebenen Untersuchungen Anhang III: Übermittlungen An wen werden personenbezogene Daten übermittelt? Zweck der Übermittlung / Anlassfall, Häufigkeit, Datenarten Empfänger/Datenverarbeitung Anhang IV: Zugriffsberechtigte / Systemadministratoren Liste jener Personen, die (abgesehen vom Mailnutzer) Zugang zum Mailsystem haben. ARGE DATEN

62 IKT-Nutzungsverordnung – IKT-NV (BGBl. II Nr. 281/2009)
private IKT-Nutzung IKT-Nutzungsverordnung – IKT-NV (BGBl. II Nr. 281/2009) Regelt private IKT-Nutzung für Bedienstete des Bundes Grundprinzip (§ 3): Eingeschränkte private Nutzung ohne - Beeinträchtigung des Dienstbetriebs - keine Schädigung des Ansehens des öffentlichen Dienstes - keine Gefährdung der Sicherheit des IKT-Betriebs - keine missbräuchliche Verwendung rein private Geschäfte sind erlaubt (§ 4 Abs. 2) private -Nutzung (§ 5) - kein Hinweis auf dienstliche Stellung oder dienstliche Postadresse - keine Verwendung dienstlicher -Signaturen - private s dürfen nach Schadprogrammen und Spam gescannt werden Hinweis! Verordnungstext im Anhang ARGE DATEN

63 keine missbräuchliche Nutzung, wenn irrtümlicher Zugriff! (§ 4 Abs. 5)
private IKT-Nutzung IKT-Nutzungsverordnung – IKT-NV II (BGBl. II Nr. 281/2009) Festlegung der missbräuchlichen Verwendung (§ 4 Abs. 4) - Zugriff auf strafrechtlich verbotene oder rechtswidrige Seiten - Benutzung oder die zur Verfügung stellen von strafrechtlich relevanten Tatbeständen - Zugriff auf pornographische Inhalte - Zugriff auf Seiten, die Zahlungsverpflichtungen des Dienstgebers zur Folge haben - herunterladen "schadware-verdächtiger" Dateitypen keine missbräuchliche Nutzung, wenn irrtümlicher Zugriff! (§ 4 Abs. 5) - ARGE DATEN

64 betriebliche Datenverwendung
zulässige Datenverwendung Betriebsvereinbarung & Privatnutzung Datenschutzerklärung - ARGE DATEN

65 ARGE DATEN Datenschutzerklärung / Privacy Statements [PS]
Wozu dienen Privacy Statements [PS]? - zur Klärung individuell vereinbarer Teile - zur Erfüllung gesetzlicher Informationspflichten - vorteilhaft gegenüber Kunden/Interessenten aus Drittländern oder im Rahmen besonderer Verpflichtungen, wie Corporate Social Responsibility (siehe Anhang) Datenschutzrechtliche Einordnung - Privacy Statements sind detaillierte Ausformungen, was als "Verwendung der Daten nach Treu und Glauben" anzusehen ist (§ 6 DSG 2000) - § 6 Abs. 4 spricht weiters die Möglichkeit an, gemeinsame Verhaltensregeln einzelner Bereiche (Branchen) auszuarbeiten [Selbstregulierung] Typische Einsatzgebiete: bei komplexen und langdauernden Onlinediensten, etwa bei Onlinebanking, -Webservice, Auktionsdiensten, Wettdiensten, Gesundheitsportalen, Datenbankdiensten, ... Datenschutzrechtliche Einordnung Tatsächlich enthalten die gesetzlichen Datenschutz- Bestimmungen eine Reihe unbestimmter Formulierungen. Einige Rechte und Pflichten bedürfen der individuellen Vereinbarung zwischen Datenverarbeiter und Betroffenen, andere kann der Datenverarbeiter nach eigenen Vorstellungen ausgestalten. Laut Gewerbeordnung (§ 151 GewO) haben Firmen die Möglichkeit, bestimmte Personendaten an Adressenverlage zu verkaufen. Dieses in der Gewerbeordnung geregelte Recht ist eine Kann-Bestimmung und sagt nichts über das tatsächliche Verhalten eines Unternehmens aus. Ein Unternehmen kann etwa für sich entscheiden, unter keinen Umständen dieses Datenweitergaberecht zu beanspruchen, es wird dann etwa die Formulierung wählen: "Wir geben keine Daten an Dritte weiter". Ein anderes Unternehmen kann die Datenweitergabe an bestimmte Datenarten oder bestimmte Unternehmen binden. Etwa: "Wir geben nur Name und Anschrift an Unternehmen der eigenen Unternehmensgruppe weiter." Es besteht keine Verpflichtung zu Privacy Statements es gilt (immer) das österreichische DSG (bei Datenverarbeitern mit Niederlassung in Österreich) ARGE DATEN

66 Was leisten Privacy Statements nicht?
Privacy Statements [PS] Was leisten Privacy Statements nicht? - Aufhebung gesetzlicher Datenschutz-, TKG- oder e-commerce-Bestimmungen, sonstiger verpflichtender gesetzlicher Bestimmungen - bloße Beschwichtigung: "uns ist Datenschutz wichtig" - Eingriffe in Rechte Dritter (Verfügung über die Daten von Lebenspartnern, "Freundschaftswerbung") negatives, unzulässiges Beispiel: "Vertragspartner verzichten auf das Auskunftsrecht gem. DSG 2000" gesetzliche Datenschutzrechte können nicht ausgeschlossen werden [PS] sind durch die rechtlichen Vorgaben begrenzt, sie können keine unabdingbaren gesetzlichen Verpflichtungen außer Kraft setzen, so wären [PS] ungültig, die etwa behaupten "Es wird in beiderseitigem Einverständnis auf die Einhaltung des DSG verzichtet und es gelten nur die individuell vereinbarten Datenschutzregeln" (ungültig!) Ein [PS] kann auch nicht in Informations- und Verschwiegenheitsrechte und -pflichten Dritter eingreifen. Es ist weder zulässig, Datenübermittlungen oder -erfassungen für Dritte zuzustimmen, noch können gesetzliche Übermittlungsverpflichtungen ausgeschlossen werden. So bedeutet eine Erklärung "Keine Daten an Dritte weiter zu geben" nicht, dass etwa die Steuerbehörden nicht die gesetzlich vorgesehen Daten erhalten. Ergebnis einer EU-weit durchgeführten Umfrage unter 982 Datenschutz-Verantwortlichen von Unternehmen Folgende Angaben werden auf der Web-Seite des Auftraggebers präsentiert: - Angabe des Zwecks der Datenverarbeitung: 321 [Antworten] - physische Identität des Auftraggebers: 285 - zu welchen anderen Einrichtungen Daten übermittelt werden (oder Angabe, dass Daten nicht weiter gegeben werden): 223 - Aufklärung über Betroffenenrechte: 219 - Angabe der Person, die direkt als Datenschutzverantwortlicher anzusprechen ist: 203 - Angabe, welche Daten verpflichtend, welche freiwillig bekannt zu geben sind: 181 ARGE DATEN

67 Ein „Standard“ - Statement
Privacy Statements [PS] Ein „Standard“ - Statement "Der Kunde stimmt zu, dass die Daten im Rahmen der Bestellung für Zwecke unserer Buchhaltung sowie zu internen Marktforschungs- und Marketingzwecken erhoben, bearbeitet, gespeichert und genutzt werden. Die Daten werden von uns zur Erfüllung von gesetzlichen Vorschriften, zur Abwicklung des Zahlungsverkehrs und zu Werbezwecken verwendet." Ist in dieser Form nicht nötig, diese Dinge sind bloß informationspflichtig Ein einfaches „Standard“ - Statement "Der Kunde wird gemäß österreichischem Datenschutzgesetz darüber informiert, dass die Daten von dem Unternehmen XY-Enterprise zur Abwicklung der Bestellung, für Zwecke der Buchhaltung, zur Erfüllung von gesetzlichen Vorschriften, zur Abwicklung des Zahlungsverkehrs sowie zu internen Marktforschungs- und Marketingzwecken erhoben, bearbeitet, gespeichert und genutzt werden. Folgende zusätzliche Daten werden zu internen Marktforschungs- und Marketingzwecken verwendet, die Bekanntgabe ist freiwillig und nicht an die Bestellung gebunden: ... Die Verwendung dieser Daten kann gemäß DSG 2000 jederzeit, ohne Angabe von Gründen widerrufen werden und hat keinen Einfluss auf die sonstigen vertraglichen Verpflichtungen." Ein im Internet gefundenes „Standard“ - Statement: "Der Kunde stimmt zu, dass die Daten im Rahmen der Bestellung für Zwecke unserer Buchhaltung sowie zu internen Marktforschungs- und Marketingzwecken erhoben, bearbeitet, gespeichert und genutzt werden. Die Daten werden von uns zur Erfüllung von gesetzlichen Vorschriften, zur Abwicklung des Zahlungsverkehrs und zu Werbezwecken verwendet." Ist in dieser Form nicht nötig, diese Dinge sind bloß informationspflichtig ARGE DATEN

68 Aufbau eines optimalen Privacy Statements
Privacy Statements [PS] Aufbau eines optimalen Privacy Statements (1) Individuelle Vereinbarungen (2) Informationen zur Datenverwendung (3) Allgemeine rechtliche Informationen (4) Technische Informationen zur Datensicherheit (5) Kontroll-, Beschwerde- und Informationsstelle(n) (1) Individuelle Vereinbarungen enthält alle Teile, die innerhalb der gesetzlichen Bestimmungen jedes Unternehmen individuell selbst regeln kann Hier sind alle Bestimmungen aufzunehmen, bei denen der Betroffene Entscheidungen treffen kann bzw. bei denen die individuelle Zustimmung jedes einzelnen Betroffenen benötigt wird. (2) Informationen zur Datenverwendung gesetzliche und über die gesetzlichen Mindestanforderungen hinausgehende Informationen zur Datenverwendung (3) Allgemeine rechtliche Informationen Zusammenfassung der, der Vertragsbeziehung zugrundeliegenden Rechtsverhältnisse (KSchG, ECG, DSG 2000, TKG, ....) (4) Technische Informationen zur Datensicherheit Technische Sicherheitsangaben sollten klar von Informationen zu Privatsphäre und Datenschutz getrennt sein! (5) Kontroll-, Beschwerde- und Informationsstelle(n) Kontaktdaten für Beschwerden, Angaben zu Aufsichtsstellen ARGE DATEN

69 ARGE DATEN Dienste der Informationsgesellschaft
e-Commerce Bestimmungen Medienrechtsbestimmungen Unternehmensgesetzbuch Vereinsgesetz - ARGE DATEN

70 Grundlagen Österreich
Dienste der Informationsgesellschaft Grundlagen Österreich - E-Commerce-Gesetz – ECG, BGBl I 152/2001 - Fernabsatzgesetz, BGBl I 185/1999 (geregelt im KSchG) - Mediengesetz, BGBl I 49/2005, 151/2005 - Handelsrechts-Änderungsgesetz – HaRÄG, BGBl I 120/2005 (geregelt im Unternehmensgesetzbuch) Grundlagen EU - EG-Richtlinie 2000/31/EG "Richtlinie über den elektronischen Geschäftsverkehr" Regelungsbereich - regeln diverse Informations- und Auskunftspflichten bei Onlinediensten gem NotifG 1999 § 1 Abs 1 Z 2 Anwendungsbereich Die EU-Richtlinien gelten nur für den Binnenmarkt, österreichische Konsumentenschutzbestimmungen könnten auch gegenüber Nicht-EU-Anbietern angewandt werden (sofern sich das Angebot ausdrücklich an österreichische Konsumenten wendet). BGBl. I Nr. 183/1999 (StF) - Notifikationsgesetz NotifG 1999 § 1. (1) Im Sinne dieses Bundesgesetzes bedeuten: ... 2. „Dienst”: eine Dienstleistung der Informationsgesellschaft, das ist jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung, wobei im Sinne dieser Definition bedeuten: a) „im Fernabsatz erbrachte Dienstleistung”: eine Dienstleistung, die ohne gleichzeitige physische Anwesenheit der Parteien erbracht wird, b) „elektronisch erbrachte Dienstleistung”: eine Dienstleistung, die mittels Geräten für die elektronische Verarbeitung, einschließlich digitaler Kompression, und Speicherung von Daten am Ausgangspunkt gesendet und am Endpunkt empfangen und vollständig über Draht, über Funk, auf optischem oder anderem elektromagnetischen Weg gesendet, weitergeleitet und empfangen wird, und c) „auf individuellen Abruf eines Empfängers erbrachte Dienstleistung”: eine Dienstleistung, die durch die Übertragung von Daten auf individuelle Anforderung erbracht wird; Anlage 1 enthält eine nicht abschließende Liste jener Dienstleistungen, die nicht unter diese Definition fallen; ARGE DATEN

71 Geltungsbereich §§ 1ff ECG
Bestimmungen e-commerce Geltungsbereich §§ 1ff ECG - geregelt wird elektronischer Geschäfts- und Rechtsverkehr - Zulassung von Diensteanbietern, Informationspflichten, Abschluss von Verträgen, Verantwortlichkeit von Diensteanbietern (§1) - von den Bestimmungen unberührt bleiben Belange des Abgabenwesens, des Datenschutzes und des Kartellrechts (§2) -Dienst der Informationsgesellschaft (§ 3 Z 1): elektronisch im Fernabsatz auf individuellen Abruf des Empfängers (in der Regel) gegen Entgelt bereitgestellter Dienst, insbesondere - Online-Vertrieb von Waren und Dienstleistungen, - Online-Informationsangebote, - Online-Werbung, - elektronische Suchmaschinen, - Datenabfragemöglichkeiten, - Dienste, die Informationen über ein elektronisches Netz übermitteln, die den Zugang zu einem solchen vermitteln oder die Informationen eines Nutzers speichern (Access-, -Dienste) § 1 ECG (1) Dieses Bundesgesetz regelt einen rechtlichen Rahmen für bestimmte Aspekte des elektronischen Geschäfts- und Rechtsverkehrs. Es behandelt die Zulassung von Diensteanbietern, deren Informationspflichten, den Abschluss von Verträgen, die Verantwortlichkeit von Diensteanbietern, das Herkunftslandprinzip und die Zusammenarbeit mit anderen Mitgliedstaaten im elektronischen Geschäfts und Rechtsverkehr. (2) Die Bestimmungen dieses Bundesgesetzes über das Herkunftslandprinzip (§§ 20 bis 23) und die Zusammenarbeit mit anderen Mitgliedstaaten (§ 25) sind nur auf den Verkehr von Diensten der Informationsgesellschaft innerhalb des Europäischen Wirtschaftsraums anzuwenden. § 2. Dieses Bundesgesetz lässt Belange des Abgabenwesens, des Datenschutzes und des Kartellrechts unberührt. § 3. Im Sinne dieses Bundesgesetzes bedeuten: 1. Dienst der Informationsgesellschaft: ein in der Regel gegen Entgelt elektronisch im Fernabsatz auf individuellen Abruf des Empfängers bereitgestellter Dienst (§ 1 Abs. 1 Z 2 Notifikationsgesetz 1999), insbesondere der Online-Vertrieb von Waren und Dienstleistungen, Online-Informationsangebote, die Online-Werbung, elektronische Suchmaschinen und Datenabfragemöglichkeiten sowie Dienste, die Informationen über ein elektronisches Netz übermitteln, die den Zugang zu einem solchen vermitteln oder die Informationen eines Nutzers speichern; ARGE DATEN

72 Geltungsbereich §§ 1ff ECG II
Bestimmungen e-commerce Geltungsbereich §§ 1ff ECG II - Diensteanbieter (§ 3 Z 2): eine natürliche oder juristische Person oder sonstige rechtsfähige Einrichtung, die einen Dienst der Informationsgesellschaft bereitstellt - Nutzer (§ 3 Z 3): nimmt Dienst in Anspruch - Verbraucher (§ 3 Z 4): natürliche Person, die zu Zwecken handelt, die nicht zu ihren gewerblichen, geschäftlichen oder beruflichen Tätigkeiten gehören ECG §3 2. Diensteanbieter: eine natürliche oder juristische Person oder sonstige rechtsfähige Einrichtung, die einen Dienst der Informationsgesellschaft bereitstellt; 3. niedergelassener Diensteanbieter: ein Diensteanbieter, der eine Wirtschaftstätigkeit mittels einer festen Einrichtung auf unbestimmte Zeit tatsächlich ausübt, wobei das Vorhandensein und die Nutzung von technischen Mitteln und Technologien, die zur Bereitstellung des Dienstes erforderlich sind, für sich allein noch keine Niederlassung des Diensteanbieters begründen; 4. Nutzer: eine natürliche oder juristische Person oder sonstige rechtsfähige Einrichtung, die zu beruflichen oder sonstigen Zwecken einen Dienst der Informationsgesellschaft in Anspruch nimmt, insbesondere um Informationen zu erlangen oder Informationen zugänglich zu machen; 5. Verbraucher: eine natürliche Person, die zu Zwecken handelt, die nicht zu ihren gewerblichen, geschäftlichen oder beruflichen Tätigkeiten gehören; 6. kommerzielle Kommunikation: Werbung und andere Formen der Kommunikation, die der unmittelbaren oder mittelbaren Förderung des Absatzes von Waren und Dienstleistungen oder des Erscheinungsbildes eines Unternehmens dienen, ausgenommen a) Angaben, die einen direkten Zugang zur Tätigkeit des Unternehmens ermöglichen, etwa ein Domain-Name oder eine elektronische Postadresse, sowie b) unabhängig und insbesondere ohne finanzielle Gegenleistung gemachte Angaben über Waren, Dienstleistungen oder das Erscheinungsbild eines Unternehmens; 7. Mitgliedstaat: ein Mitgliedstaat der Europäischen Gemeinschaft oder des Abkommens über den Europäischen Wirtschaftsraum; ARGE DATEN

73 Allgemeine Informationspflichten § 5 ECG
Bestimmungen e-commerce Allgemeine Informationspflichten § 5 ECG leicht verständliche und eindeutige Information zu: - Personenname oder Firmen-/Organisationsname - geographische (ladungsfähige) Anschrift - Kontaktdaten (inkl. -Adresse) - evtl. zuständige Aufsichtsbehörde - evtl. FN-Nummer und Firmenbuchgericht - evtl. berufsrechtliche Vorschriften und Zugang - evtl. UID-Nummer - klare Preisauszeichnung! - Sonstige Informationspflichten bleiben unberührt! Verstoß: - Verwaltungsstrafe § 26 ECG (bis 3.000,- Euro) - Wettbewerbsverletzung § 1 UWG Bestimmung ist bei jedem Web-Angebot anzuwenden (nicht bloß Online-Shop) Informationspflichten Allgemeine Informationen § 5. (1) Ein Diensteanbieter hat den Nutzern ständig zumindest folgende Informationen leicht und unmittelbar zugänglich zur Verfügung zu stellen: 1. seinen Namen oder seine Firma; 2. die geografische Anschrift, unter der er niedergelassen ist; 3. Angaben, auf Grund deren die Nutzer mit ihm rasch und unmittelbar in Verbindung treten können, einschließlich seiner elektronischen Postadresse; 4. sofern vorhanden, die Firmenbuchnummer und das Firmenbuchgericht; 5. soweit die Tätigkeit einer behördlichen Aufsicht unterliegt, die für ihn zuständige Aufsichtsbehörde; 6. bei einem Diensteanbieter, der gewerbe- oder berufsrechtlichen Vorschriften unterliegt, die Kammer, den Berufsverband oder eine ähnliche Einrichtung, der er angehört, die Berufsbezeichnung und den Mitgliedstaat, in dem diese verliehen worden ist, sowie einen Hinweis auf die anwendbaren gewerbe- oder berufsrechtlichen Vorschriften und den Zugang zu diesen; 7. sofern vorhanden, die Umsatzsteuer-Identifikationsnummer. (2) Sofern in Diensten der Informationsgesellschaft Preise angeführt werden, sind diese so auszuzeichnen, dass sie ein durchschnittlich aufmerksamer Betrachter leicht lesen und zuordnen kann. Es muss eindeutig erkennbar sein, ob die Preise einschließlich der Umsatzsteuer sowie aller sonstigen Abgaben und Zuschläge ausgezeichnet sind (Bruttopreise) oder nicht. Darüber hinaus ist auch anzugeben, ob Versandkosten enthalten sind. (3) Sonstige Informationspflichten bleiben unberührt. ARGE DATEN

74 Anzuwenden bei Onlinediensten (Shops, ...) im engeren Sinn
Bestimmungen e-commerce Besondere Informationspflichten § 9 ECG Klare, verständliche und eindeutige Informationen vor Abgabe der Vertragserklärung über - technisch erforderliche Schritte zum Vertragsabschluss - eventuelle Speicherung des Vertragstextes und Zugang dazu - technische Mittel zur Erkennung und Berichtigung von Eingabefehlern - Sprachen in denen Vertrag abgeschlossen werden kann - freiwillige Verhaltenskodizes, Schiedsstellen usw. Verbraucher kann nicht rechtswirksam darauf verzichten Sonstige Informationspflichten bleiben unberührt! Verstoß - Verwaltungsstrafe § 26 ECG (bis 3.000,- Euro) - UWG - evtl. Schadenersatz - evtl. irrtumsrechtliche Anfechtung Anzuwenden bei Onlinediensten (Shops, ...) im engeren Sinn Abschluss von Verträgen - Informationen für Vertragsabschlüsse § 9. (1) Ein Diensteanbieter hat einen Nutzer vor Abgabe seiner Vertragserklärung (Vertragsanbot oder -annahme) über folgende Belange klar, verständlich und eindeutig zu informieren: 1. die einzelnen technischen Schritte, die zu seiner Vertragserklärung und zum Vertragsabschluss führen; 2. den Umstand, ob der Vertragstext nach Vertragsabschluss vom Diensteanbieter gespeichert wird sowie gegebenenfalls den Zugang zu einem solchen Vertragstext; 3. die technischen Mittel zur Erkennung und Berichtigung von Eingabefehlern vor Abgabe der Vertragserklärung sowie 4. die Sprachen, in denen der Vertrag abgeschlossen werden kann. (2) Ein Diensteanbieter hat die freiwilligen Verhaltenskodizes, denen er sich unterwirft, und den elektronischen Zugang zu diesen Kodizes anzugeben. (3) Die Informationspflichten nach den Abs. 1 und 2 können nicht zum Nachteil von Verbrauchern abbedungen werden. Sie gelten nicht für Verträge, die ausschließlich im Weg der elektronischen Post oder eines damit vergleichbaren individuellen Kommunikationsmittels abgeschlossen werden. (4) Sonstige Informationspflichten des Diensteanbieters bleiben nberührt. ARGE DATEN

75 erweiterte Informationspflicht gem. § 5c KSchG
Bestimmungen e-commerce erweiterte Informationspflicht gem. § 5c KSchG - Name des Anbieters oder der Firma - wesentliche Eigenschaften der Leistung - Preis und Lieferkosten - Einzelheiten Zahlung, Lieferung oder Erfüllung - Rücktrittsrecht - Angabe der Telefonkosten/Onlinegebühren für Informationen (sofern nicht ortsüblich) - Gültigkeitsdauer des Angebotes oder Preises - Mindestlaufzeit des Vertrages Bestimmungen gelten für Geschäfte mit Verbrauchern (Konsumenten), Ausnahmen vorgesehen § 5c. (1) Der Verbraucher muß rechtzeitig vor Abgabe seiner Vertragserklärung über folgende Informationen verfügen: 1. Name (Firma) und ladungsfähige Anschrift des Unternehmers, 2. die wesentlichen Eigenschaften der Ware oder Dienstleistung, 3. den Preis der Ware oder Dienstleistung einschließlich aller Steuern, 4. allfällige Lieferkosten, 5. die Einzelheiten der Zahlung und der Lieferung oder Erfüllung, 6. das Bestehen eines Rücktrittsrechts, außer in den Fällen des § 5f, 7. die Kosten für den Einsatz des Fernkommunikationsmittels, sofern sie nicht nach dem Grundtarif berechnet werden, 8. die Gültigkeitsdauer des Angebots oder des Preises sowie 9. die Mindestlaufzeit des Vertrages, wenn dieser eine dauernde oder wiederkehrende Leistung zum Inhalt hat. (2) Die in Abs. 1 genannten Informationen müssen dem Verbraucher klar und verständlich in einer dem verwendeten Fernkommunikationsmittel angepaßten Art und Weise erteilt werden. Ihr geschäftlicher Zweck muß unzweideutig erkennbar sein. ARGE DATEN

76 Zugang elektronischer Erklärungen (§ 12 ECG)
Bestimmungen e-commerce Zugang elektronischer Erklärungen (§ 12 ECG) - gilt als zugegangen, wenn mit dessen Kenntnisnahme („Abruf“) unter gewöhnlichen Umständen gerechnet werden kann (unterschiedlich bei Unternehmen und Privatpersonen) Aber: Risiko der Übermittlung und des vollständigen Zugangs einer beim Empfänger trägt der Absender - Eventuell Prüf- und Sorgfaltspflichten des Empfängers regelmäßige Nachschau in box, Sicherstellung des Betriebs (Providerhaftung!) - Gegenwärtige -Systeme kennen keine zuverlässigen Identifikations- und Authentifikationsmechanismen - Funktionieren beruht auf Good-Will aller Beteiligter - Zustelldienste mit elektronischer Signatur und personalisierten URLs sollen Abhilfe schaffen (siehe E-Government-Gesetz) z.B. Zugang elektronischer Erklärungen ECG § 12. Elektronische Vertragserklärungen, andere rechtlich erhebliche elektronische Erklärungen und elektronische Empfangsbestätigungen gelten als zugegangen, wenn sie die Partei, für die sie bestimmt sind, unter gewöhnlichen Umständen abrufen kann. Diese Regelung kann nicht zum Nachteil von Verbrauchern abbedungen werden. ARGE DATEN

77 Ist Website ein Medium? ARGE DATEN Medienrecht
Website oder elektronischer Newsletter (mind. viermal jährlich, vergleichbare Gestaltung sind "periodische elekronische Medien (§1 Z 5a MedienG, seit ) - elektronischer Newsletter wird als "wiederkehrendes elektronisches Medium" bezeichnet - keine Medienwerke (§1 Z 3) oder periodische Medienwerke (§ 1 Z 5) - permanente Offenlegungspflicht (§ 25), nicht Impressumspflicht (§ 24) - bei Website ständig und leicht auffindbar bereitzustellen (§ 25) - bei Newsletter als Teil des Newsletters (jedes Mal) oder als Link auf Website (§ 25) - Missachtung ist Verwaltungsübertretung, seit bis EUR Strafe (früher 2.180,- EUR) - Offenlegungspflicht trifft Medieninhaber MedienG § 1 Z 5a „periodisches elektronisches Medium“: ein Medium, das auf elektronischem Wege a) ausgestrahlt wird (Rundfunkprogramm) oder b) abrufbar ist (Website) oder c) wenigstens vier Mal im Kalenderjahr in vergleichbarer Gestaltung verbreitet wird (wiederkehrendes elektronisches Medium); ARGE DATEN

78 Offenlegungspflichten (§ 25 MedienG)
Medienrecht Offenlegungspflichten (§ 25 MedienG) - Name des Betreibers (z.B. bei privaten Seiten, Einzelpersonen) oder Organisationsbezeichnung (Firma, Verein) (I) - Wohnort oder Sitz der Gesellschaft, Niederlassung (II) - Angabe des Unternehmensgegenstandes (III) - sofern zutreffend: Name der Geschäftsführer, Mitglieder des Vorstandes und Aufsichtsrates und der Gesellschafter mit einer Einlage von mehr als 25% - gilt auch für mittelbar beteiligte Gesellschafter - Erklärung über die grundlegende Richtung des Mediums Erleichterung bei Websites (und nur bei diesen!) die keine Beeinflussung der öffentlichen Meinungsbildung anstreben: - in diesem Fall sind nur Name, Sitz (Ort) und Unternehmensgegenstand anzugeben (I) - (III) § 25. (1) Der Medieninhaber jedes periodischen Mediums hat alljährlich die in den Abs. 2 bis 4 bezeichneten Angaben zu veröffentlichen. Diese Veröffentlichung ist bei periodischen Medienwerken in der ersten Nummer und jährlich innerhalb des Monats Jänner, falls aber in diesem Monat keine Nummer erscheint, in jeder ersten Nummer nach Beginn eines Kalenderjahres im Anschluss an das Impressum vorzunehmen. Bei Rundfunkprogrammen sind alle diese Angaben entweder ständig auf einer leicht auffindbaren Teletextseite zur Verfügung zu stellen oder im Amtsblatt zur „Wiener Zeitung“ binnen eines Monats nach Beginn der Ausstrahlung und im ersten Monat jedes Kalenderjahres zu verlautbaren. Auf einer Website sind diese Angaben ständig leicht und unmittelbar auffindbar zur Verfügung zu stellen. Bei wiederkehrenden elektronischen Medien ist entweder anzugeben, unter welcher Web- Adresse diese Angaben ständig leicht und unmittelbar auffindbar sind, oder es sind diese Angaben jeweils dem Medium anzufügen. Handelt es sich bei dem Medieninhaber um einen Diensteanbieter im Sinne des § 3 Z 2 ECG, BGBl. I Nr. 152/2001, so können die Angaben zur Offenlegung gemeinsam mit den Angaben zu § 5 ECG zur Verfügung gestellt werden. ARGE DATEN

79 Auswirkungen der Aufnahme von Websites als Medium
Medienrecht Auswirkungen der Aufnahme von Websites als Medium - schon bisher ist die Rechtssprechung davon ausgegangen, dass Websites Medien sind - viele Bestimmungen trafen jedoch definitorisch nicht zu und bereiteten daher Umsetzungsschwierigkeiten (etwa Beschlagnahme) - nun ausdrücklich für Websites geregelt: u.a. Üble Nachrede, Beschimpfung, Verspottung und Verleumdung (§ 6), Verletzung des höchstpersönlichen Lebensbereiches (§ 7), Identitätsschutz (§ 7a), Unschuldsvermutung (§ 7b), - Gestaltung, Durchsetzbarkeit von Gegendarstellungen (§ 13) Geldbuße bis EUR für jeden versäumten Tag (§ 20) - Beschlagnahme von Websites (= Löschung des entsprechenden Inhalts) (§ 36) - ARGE DATEN

80 Impressumspflicht nach dem Unternehmensgesetzbuch (§ 14)
- gilt seit für Kapitalgesellschaften (AGs, GmbHs), für alle anderen eingetragenen Unternehmen ab - Unternehmensgesetzbuch ersetzt bisheriges Handelsgesetzbuch - betrifft alle Geschäftspapiere und Bestellscheine (aber auch alle Websites und alle s) - gilt für alle im Firmenbuch eingetragenen Unternehmen - verpflichtende Angaben: Firmenname, Firmenbuchnummer, Firmenbuchgericht Firmensitz (Sitz laut Firmenbucheintragung) Rechtsform (z.B. GmbH, AG, OG, KG, eingetragenes Einzelunternehmen/e.U.) + weitere für spezifische Unternehmensformen zutreffende Hinweise Geschäftspapiere und Bestellscheine § 14. (1) In das Firmenbuch eingetragene Unternehmer haben auf allen Geschäftsbriefen und Bestellscheinen, die auf Papier oder in sonstiger Weise an einen bestimmten Empfänger gerichtet sind, sowie auf ihren Webseiten die Firma, die Rechtsform, den Sitz und die Firmenbuchnummer des Unternehmers, gegebenenfalls den Hinweis, dass sich der Unternehmer in Liquidation befindet, sowie das Firmenbuchgericht anzugeben. Bei einer offenen Gesellschaft oder Kommanditgesellschaft, bei der kein unbeschränkt haftender Gesellschafter eine natürliche Person ist, sind diese Angaben auf den Geschäftsbriefen, Bestellscheinen und Webseiten der Gesellschaft auch über die unbeschränkt haftenden Gesellschafter zu machen. Einzelunternehmer haben auch ihren Namen anzugeben, wenn er sich von der Firma unterscheidet. Genossenschaften haben auch die Art ihrer Haftung anzugeben. (2) Werden bei einer Kapitalgesellschaft auf Geschäftsbriefen, Bestellscheinen und Webseiten Angaben über das Kapital der Gesellschaft gemacht, so müssen in jedem Fall das Grund- und Stammkapital sowie bei der Aktiengesellschaft, wenn auf die Aktien der Ausgabebetrag nicht vollständig, bei der Gesellschaft mit beschränkter Haftung, wenn nicht alle in Geld zu leistenden Einlagen eingezahlt sind, der Gesamtbetrag der ausstehenden Einlagen angegeben werden. (3) Auf Geschäftsbriefen, Bestellscheinen und Webseiten, die von einer inländischen Zweigniederlassung eines Unternehmers mit ausländischer Hauptniederlassung oder mit ausländischem Sitz benützt werden, sind außer den Angaben nach Abs. 1 und 2 die Firma, die Firmenbuchnummer der Zweigniederlassung und das Firmenbuchgericht anzugeben. (4) Der Angaben nach Abs. 1 und 2 bedarf es nicht bei Mitteilungen oder Berichten, die im Rahmen einer bestehenden Geschäftsverbindung ergehen und für die üblicherweise Vordrucke verwendet werden, in denen lediglich die im Einzelfall erforderlichen besonderen Angaben eingefügt zu werden brauchen. Diese Regelung gilt nicht für Bestellscheine. .... ARGE DATEN

81 Informationspflicht nach dem Vereinsgesetz (§ 18)
- ZVR-Zahl ist von den Vereinen im Rechtsverkehr nach außen zu führen (§ 18 Abs. 3) - Strafbestimmung § 31: Geldstrafe bis zu 218 Euro, im Wiederholungsfall mit Geldstrafe bis zu 726 Euro zu bestrafen Zentrales Vereinsregister -Führen der ZVR-Zahl § 18. (1) Der Bundesminister für Inneres hat ein automationsunterstütztes Zentrales Vereinsregister (ZVR) als Informationsverbundsystem im Sinne des § 4 Z 13 DSG 2000 zu führen, wobei der Bundesminister für Inneres sowohl die Funktion des Betreibers gemäß § 50 DSG 2000 als auch die eines Dienstleisters im Sinne des § 4 Z 5 DSG 2000 für diese Datenanwendung ausübt. Datenschutzrechtliche Auftraggeber des ZVR sind die Vereinsbehörden erster Instanz. (2) Die Vereinsbehörden erster Instanz haben dem Bundesminister für Inneres für die Zwecke des ZVR ihre Vereinsdaten gemäß § 16 Abs. 1 Z 1 bis 17 im Weg der Datenfernübertragung zu überlassen; Näheres über die Vorgangsweise bei der Überlassung der Daten nach dem ersten Halbsatz und den Zeitpunkt, ab dem die jeweils zuständigen Behörden diese Überlassungen vorzunehmen haben, hat der Bundesminister für Inneres durch Verordnung festzulegen. (3) Der Bundesminister für Inneres hat zur Sicherung der Unverwechselbarkeit der erfassten Vereine bei Führung des ZVR für die Vereinsbehörden jedem Verein eine fortlaufende Vereinsregisterzahl (ZVR-Zahl) beizugeben, die keine Informationen über den Betroffenen enthält. Die ZVR-Zahl ist der zuständigen Vereinsbehörde erster Instanz rückzumelden. Die ZVR-Zahl ist von den Vereinen im Rechtsverkehr nach außen zu führen. (4) § 17 Abs. 1 gilt für das ZVR sinngemäß. ARGE DATEN

82 Onlineinformation ARGE DATEN http://www.interesse.at/
Weitere Datenschutzeinrichtungen - Weitere Rechtsinformationen - - Entscheidungen finden sich im RIS: - (Datenschutzkommission) - (OGH-Entscheidungen) Technische Informationen - DFN-CERT - CERT - Online-Sicherheitsstatus - Security-Server - Informationstechnik-Koordination (Buneskanzleramt) ARGE DATEN

83 Ich danke für Ihre Aufmerksamkeit
- ARGE DATEN

84 Anhang ARGE DATEN StMV - mitarbeiterbezogene SA
Betriebsvereinbarung /Internet IKT-Nutzungsverordnung Bundesdienst CSR - Datenschutz-Regeln SPG § 53 - Auskunftspflichten Polizei - Cookie Stellungnahme Art. 29-Gruppe ARGE DATEN

85 Sonstige Seiten - ARGE DATEN

86 Whistleblowing - Formen I
Whistleblowing - Erscheinungsformen Whistleblowing - Formen I "bekannt geben" kann bedeuten: - innerbetrieblich melden - im Auftrag des Betriebs an eine neutrale Ombudsstelle melden - an den Gesellschafter (z.B. Konzernzentrale, ...) melden - an Strafverfolgungsbehörden melden ("Anzeige") - an die Öffentlichkeit bringen Jede dieser Formen ist datenschutzrechtlich unterschiedlich zu behandeln! - ARGE DATEN

87 Whistleblowing - Formen II
Whistleblowing - Erscheinungsformen Whistleblowing - Formen II "Meldung / Melder": - Meldung erfolgt anonym: meist nur Einmalhinweis möglich - Meldung erfolgt pseudonymisiert: erlaubt Rückfragen, Rückmeldungen - Meldung erfolgt personenbezogen Jede dieser Formen ist datenschutzrechtlich unterschiedlich zu behandeln! - ARGE DATEN

88 Whistleblowing - Formen III
Whistleblowing - Erscheinungsformen Whistleblowing - Formen III Methode wie Hinweise gegeben werden können: - Angabe einer Postadresse - Angabe einer Telefonnummer / Hotline - Online-Service (Webformular) Jede dieser Formen ist datenschutzrechtlich unterschiedlich zu behandeln! - ARGE DATEN

89 Informationen müssen einfach auffindbar sein!
Bestimmungen e-commerce Weitere Verpflichtungen (§ 10 ECG) - Verfügbarkeit angemessener, wirksamer und zugänglicher technischer Mittel zur Erkennung und Berichtigung von Eingabefehlern - Unverzügliche elektronische Empfangsbestätigung des Zugangs einer Vertragserklärung (außer Online-Dienstleistungen) Ergänzungen: - Verbraucher kann nicht rechtswirksam darauf verzichten - nicht anwendbar bei ausschließlicher Verwendung der elektronischen Post - Vorsicht! eine Empfangsbestätigung darf nicht mit einer Auftragsbestätigung verwechselt werden! Informationen müssen einfach auffindbar sein! Abgabe einer Vertragserklärung § 10. (1) Ein Diensteanbieter hat dem Nutzer angemessene, wirksame und zugängliche technische Mittel zur Verfügung zu stellen, mit denen dieser Eingabefehler vor der Abgabe seiner Vertragserklärung erkennen und berichtigen kann. (2) Ein Diensteanbieter hat dem Nutzer den Zugang einer elektronischen Vertragserklärung unverzüglich elektronisch zu bestätigen. (3) Die Verpflichtungen des Diensteanbieters nach den Abs. 1 und 2 können nicht zum Nachteil von Verbrauchern abbedungen werden. Sie gelten nicht für Verträge, die ausschließlich im Weg der elektronischen Post oder eines damit vergleichbaren individuellen elektronischen Kommunikationsmittels abgeschlossen werden. Empfangsbestätigung vs. Auftragsbestätigung Die Empfangsbestätigung bestätigt dem Nutzer lediglich, dass sein (bindendes) Angebot eingegangen ist und dient als Rückmeldung für den Nutzer. Es beginnen verschiedene Fristen zu laufen und wirksam zu werden. Eine Auftragsbestätigung bindet auch den e-commerce-Betreiber. Es ist dabei unerheblich, ob eine derartige Bestätigung automatisch oder durch einen Sachbearbeiter verschickt wird. Dies kann unangenehme rechtliche Folgen haben, wenn etwa eine Ware nicht (mehr) lieferbar ist oder es einen Irrtum in der Preiskalkulation gab. AMAZON-Beispiel Bedeutung der Kennzeichnung/Information Die Kennzeichnung hat so zu erfolgen, dass die Zielgruppe die gewünschten Daten relativ sicher finden kann. Ein Link in der 4./5. Menuebene oder unter einer irreführenden/nichtssagenden Bezeichnung ist unzulässig ARGE DATEN

90 Rücktrittsrecht I (§ 5e KSchG)
Bestimmungen e-commerce Rücktrittsrecht I (§ 5e KSchG) - Rücktritt ist das rückgängig Machen eines Vertrages nicht zu verwechseln mit Umtausch, Reklamation, Gewährleistung, Vertragswandlung, Irrtum usw. - Es sind keine Gründe für den Rücktritt anzugeben - Rücktritt wird Zug-um-Zug abgewickelt Auslagenrückerstattung für Verbraucher Wertminderungs/Benützungsentgelt für Anbieter - Rücktritt gilt automatisch auch für Drittfinanzierungsvereinbarungen - Ziel der Bestimmung ist das Verhindern der Überrumpelung § 5e. (1) Der Verbraucher kann von einem im Fernabsatz geschlossenen Vertrag oder einer im Fernabsatz abgegebenen Vertragserklärung bis zum Ablauf der in Abs. 2 und 3 genannten Fristen zurücktreten. Es genügt, wenn die Rücktrittserklärung innerhalb der Frist abgesendet wird. (2) Die Rücktrittsfrist beträgt sieben Werktage, wobei der Samstag nicht als Werktag zählt. Sie beginnt bei Verträgen über die Lieferung von Waren mit dem Tag ihres Eingangs beim Verbraucher, bei Verträgen über die Erbringung von Dienstleistungen mit dem Tag des Vertragsabschlusses. (3) Ist der Unternehmer seinen Informationspflichten nach § 5d Abs. 1 und 2 nicht nachgekommen, so beträgt die Rücktrittsfrist drei Monate ab den in Abs. 2 genannten Zeitpunkten. Kommt der Unternehmer seinen Informationspflichten innerhalb dieser Frist nach, so beginnt mit dem Zeitpunkt der Übermittlung der Informationen durch den Unternehmer die in Abs. 2 genannte Frist zur Ausübung des Rücktrittsrechts. ARGE DATEN

91 Rücktrittsrecht II (§§ 5e, 5g KSchG)
Bestimmungen e-commerce Rücktrittsrecht II (§§ 5e, 5g KSchG) Rücktrittsfrist: 7 Werktage (ohne Samstag) ab Vertragsabschluss (typisch bei Dienstleistungen) oder ab Zustellung der Ware (falls kein Vertrag abgeschlossen wurde) Voraussetzung ist eine korrekte Aufklärung über den Rücktritt ansonsten 3 Monate Rücktrittsrecht Rücksendekosten hat Anbieter zu tragen es kann jedoch die Übernahme der Rücksendekosten durch den Verbaucher vereinbart werden Verzicht auf Rücktritt kann nicht wirksam vereinbart werden "Faustregel": rücktrittswürdig sind alle Leistungen die rückgabefähig sind § 5g. (1) Tritt der Verbraucher nach § 5e vom Vertrag zurück, so hat Zug um Zug 1. der Unternehmer die vom Verbraucher geleisteten Zahlungen zu erstatten und den vom Verbraucher auf die Sache gemachten notwendigen und nützlichen Aufwand zu ersetzen sowie 2. der Verbraucher die empfangenen Leistungen zurückzustellen und dem Unternehmer ein angemessenes Entgelt für die Benützung, einschließlich einer Entschädigung für eine damit verbundene Minderung des gemeinen Wertes der Leistung, zu zahlen; die Übernahme der Leistungen in die Gewahrsame des Verbrauchers ist für sich allein nicht als Wertminderung anzusehen. (2) An Kosten dürfen dem Verbraucher nur die unmittelbaren Kosten der Rücksendung auferlegt werden, sofern die Parteien dies vereinbart haben. (3) § 4 Abs. 2 und 3 ist anzuwenden. Rücktrittsrecht muss zur wirksamen Aufklärung leicht auffindbar sein und darf nicht in Geschäftsbedingungen oder Subseiten versteckt sein. Rücktrittsrecht bei Abschluss von Finanzdienstleistungen: 14 Tage Ausnahmen vorgesehen ARGE DATEN

92 Ausnahmebestimmungen "Rücktritt"
Bestimmungen e-commerce Ausnahmebestimmungen "Rücktritt" - Leistungen, deren Preis kursabhängig ist - verderbliche Waren - kundenspezifisch angefertigte Waren - Dienstleistungen, mit deren Ausführung vereinbarungsgemäß binnen 7 Werktagen begonnen wurde (inkl. Onlinedienste) - entsiegelte Audio- oder Videoaufzeichnungen und Software - Zeitungen, Zeitschriften oder Illustrierte - Wett- und Lotteriedienstleistungen - "Haushaltslieferungen" und "Freizeitdienstleistungen (siehe Ausnahmebestimmungen II) Hinweis! Rücktrittsrecht gilt auch bei Bestellung im Internet und Selbstabholung im Ladengeschäft (OGH 7Ob54/08d) § 5f Ausnahmebestimmung "Rücktritt" Der Verbraucher hat kein Rücktrittsrecht bei Verträgen über 1. Dienstleistungen, mit deren Ausführung dem Verbraucher gegenüber vereinbarungsgemäß innerhalb von sieben Werktagen (§ 5e Abs. 2 erster Satz) ab Vertragsabschluß begonnen wird, 2. Waren oder Dienstleistungen, deren Preis von der Entwicklung der Sätze auf den Finanzmärkten, auf die der Unternehmer keinen Einfluß hat, abhängt, 3. Waren, die nach Kundenspezifikationen angefertigt werden, die eindeutig auf die persönlichen Bedürfnisse zugeschnitten sind, die auf Grund ihrer Beschaffenheit nicht für eine Rücksendung geeignet sind, die schnell verderben können oder deren Verfallsdatum überschritten würde, 4. Audio- oder Videoaufzeichnungen oder Software, sofern die gelieferten Sachen vom Verbraucher entsiegelt worden sind, 5. Zeitungen, Zeitschriften und Illustrierte mit Ausnahme von Verträgen über periodische Druckschriften (§ 26 Abs. 1 Z 1), 6. Wett- und Lotterie-Dienstleistungen sowie 7. Hauslieferungen oder Freizeit-Dienstleistungen (§ 5c Abs. 4 Z 1 und 2). Beispiele: - Rücktritt bei Büchern, bei versigeltenr Software: JA - Rücktritt bei Wurst und Brot: NEIN - Rücktritt bei Käse und Wein: JEIN RIS Rechtssatz zu OGH 7Ob54/08d: Richtlinienkonforme Auslgegung des § 5g KSchG: Das Rücktrittsrecht soll dem Verbraucher die Möglichkeit geben, bei Erhalt des Erzeugnisses und dessen Überprüfung vom Vertrag zurücktreten zu können; es dient als Korrektiv für unüberlegte Bestellungen, zu denen der Verbraucher mittels entsprechender Werbe-und Marketingmaßnahmen verleitet wurde. Der Verbraucher im Fernabsatz soll einem Käufer, der die Ware vor Vertragsabschluss begutachten und überprüfen kann, im Ergebnis gleichgestellt werden. Nur der Widerruf ermöglicht dem Verbraucher, die Vorteile des Distanzvertriebs zu nutzen und sich dennoch in einer vergleichbaren Position zu sehen wie jemand, der den Vertragsgegenstand vor Vertragsschluss intensiv untersuchen kann. ARGE DATEN

93 sonstige Ausnahmebestimmungen II (§ 5c Abs. 4) für
Bestimmungen e-commerce sonstige Ausnahmebestimmungen II (§ 5c Abs. 4) für „Hauslieferungen“ Güter des täglichen Bedarfs + Zustellung an Aufenthaltsort, Wohnort oder Arbeitsstätte) Achtung! Trifft nicht automatisch auf jeden Lebensmittelversand zu! (Direktvertrieb von Bioprodukten, Weinversand, ...) „Freizeitdienstleistungen“ Leistungen im Bereich Speise+Getränke, Unterbringung, Beförderung und Freizeitgestaltung + Vereinbarung der Leistungserbringung zu einem genau definierten Zeitpunkt Ausnahmen von Informationspflichten (§ 5c KSchG) Rücktritt (§ 5e KSchG) Erfüllung/Mitteilungspflicht (§§ 5d, 5i KSchG) § 5c Abs. 4 Ausnahmebestimmung "Hauslieferung" und "Freizeitdienstleistung" Die Abs. 1 und 2 sind nicht anzuwenden auf Verträge 1. über die Lieferung von Lebensmitteln, Getränken oder sonstigen Haushaltsgegenständen des täglichen Bedarfs, die am Wohnsitz, am Aufenthaltsort oder am Arbeitsplatz des Verbrauchers von Unternehmern im Rahmen häufiger und regelmäßiger Fahrten geliefert werden (Hauslieferungen), sowie 2. über Dienstleistungen in den Bereichen Unterbringung, Beförderung, Lieferung von Speisen und Getränken sowie Freizeitgestaltung, wenn sich der Unternehmer bei Vertragsabschluß verpflichtet, die Dienstleistungen zu einem bestimmten Zeitpunkt oder innerhalb eines genau angegebenen Zeitraums zu erbringen (Freizeit-Dienstleistungen). ARGE DATEN

94 ARGE DATEN elektronische Kommunikation im Betrieb
(betriebliche) - / Internetnutzung im Spiegel der Rechtssprechung - OGH 9ObA75/04a: -Verkehr entspricht gelegentlichen kurzen Telefonaten privaten Inhalts mit Arbeitskollegen. Gelegentliches Weiterleiten von Spaß- s entgegen generellem Verbot stellt zwar Fehlverhalten dar, rechtfertigt nicht Entlassung. - OGH 9ObA98/06m: Per verbreitete beleidigende Äußerung rechtfertigt Entlassung. - OGH 9ObA151/02z: Surfen in der Arbeitszeit, wenn es nach Ermahnung sofort eingestellt wird, stellt keinen Entlassungsgrund dar. - OGH 9ObA178/05z: unerlaubte private Computernutzung an sich noch kein Schaden für Betrieb, wäre etwa durch Virenbefall wegen Verletzung der Internet-Policy gegeben. Umsatz und Gewinnentgang wegen "unproduktiven Verhaltens" ebenfalls kein Schaden, muss kausal bewiesen werden. Kein Entlassungsgrund aus der OGH-Entscheidung 9ObA75/04a "1. Entgegen der Ansicht des Revisionswerbers liegt eine erhebliche Rechtsfrage nicht bereits deshalb vor, weil höchstgerichtliche Judikatur zur Frage des privaten -Verkehrs während der Dienstzeit nicht vorliegt. Der vom Berufungsgericht beurteilte Sachverhalt liegt im Hinblick auf die Beeinträchtigung der Interessen des Dienstgebers nicht anders als gelegentliche (kurze) Telefonate privaten Inhalts mit Arbeitskollegen. ... 3. Das Fehlverhalten der Klägerin lag darin, entgegen einem generellen Verbot und einer Ermahnung durch einen Vorgesetzten gelegentlich auf ihrem Arbeitsplatz einlangende "Spaß- s" an Arbeitskollegen weitergeleitet zu haben; nach den Feststellungen der Vorinstanzen kam eine Weiterleitung derartiger s an Kollegen bzw an den privaten Internetzugang der Klägerin ein- bis zweimal pro Woche vor. Soweit das Berufungsgericht unter diesen Umständen unter Berücksichtigung der sonst unbeanstandeten 20-jährigen Arbeitsleistung der Klägerin die Auffassung vertreten hat, das Verhalten der Klägerin stelle - ungeachtet einer vorangegangenen (informellen) Ermahnung - keinen Entlassungsgrund dar, so kann dies nicht als bedenkliche Fehlbeurteilung angesehen werden." ARGE DATEN

95 ARGE DATEN elektronische Kommunikation im Betrieb
(betriebliche) - / Internetnutzung im Spiegel der Rechtssprechung II - OGH 9 ObA 11/11z: Installation eines Computerkriegsspiels, eines Programms zum Brennen von CDs - keine Weisung, Richtlinien etc im Betrieb - bei entsprechender Weisung hätte AN rechtswidriges Verhalten unterlassen - kein Nachweis einer konkreten rechtswidrigen Nutzung in der Arbeitszeit - Entlassung nicht gerechtfertigt - OGH 8 ObA 52/11x: tägliches privates Surfen im Internet, Download umfangreicher Film-und Musikdateien - keine Schädigungsabsicht, kein konkreter Schaden nachweisbar - Umfang rechtfertigt Entlassung. - ARGE DATEN

96 ARGE DATEN elektronische Kommunikation im Betrieb
(betriebliche) - / Internetnutzung im Spiegel der Rechtssprechung III - OGH 9 ObA 16/08f: Sach-Mitteilungen per (hier: Dienstfrei-Stellung) sind zulässig - OLG Graz 7Ra17/07k: Geltendmachung von Lohnansprüchen per entspricht Schriftform-Gebot in kollektivvertraglichen Verfallsklauseln ("modernes Kommunikationsmittel"). Es ist jedoch die Zustellung und Kenntnisnahme sicher zu stellen. - OGH 9 ObA 96/07v: Keine wirksame Kündigung des Lehrverhältnisses per SMS. Kündigungen bedürfen der einfachen Schriftlichkeit. - OGH 5 Ob 133/10k: Bei Schriftformgebot nach dem Mietrecht ist einfache nicht ausreichend, erfordert qualifizierte Signatur (Sicherung des Übereilungsschutzes) Anmerkung(en): LAG München (11 Sa 54/09): unerlaubte -Einsichtnahme durch Administrator rechtfertigt fristlose Kündigung (Ö: Entlassung) aus der OGH-Entscheidung 9ObA178/05z "Nun stellt aber die vom Beklagten geltend gemachte "Unproduktivität" des Klägers, weil er während der Arbeitszeit zu privaten Zwecken im Internet surfte, s bearbeitete, CDs brannte etc, nicht schon per se einen Schaden des Beklagten dar. Ein Schaden durch seine unerlaubten Tätigkeiten wäre denkbar (zB Virenbefall durch Verletzung einer allfälligen betrieblichen Internet-Policy etc), wurde jedoch vom Beklagten nicht geltend gemacht. ... Komme er der Arbeit nicht nach, obwohl genug Arbeit vorhanden sei, entstehe dem Unternehmen ein Umsatzentgang, aus dem sich ein Gewinnentgang von 10 % errechne. Nun wurde zwar vom Erstgericht eine bestimmte Anzahl von Stunden ermittelt, die vom Kläger mit dienstfremder Tätigkeit verbracht wurde; ein damit zusammenhängender Gewinnentgang des Beklagten steht jedoch nicht eindeutig fest." aus der OLG Graz - Entscheidung 7Ra17/07k "... Andererseits ist nach Auffassung des Berufungsgerichts auch der ständig zunehmenden Bedeutung moderner Kommunikationsmittel insbesonders im geschäftlichen Verkehr Rechnung zu tragen, weshalb die kollektivvertragliche Formvorschrift grundsätzlich bei der Geltendmachung von Lohnansprüchen per als erfüllt angesehen werden kann (in diesem Sinne wohl auch 8 ObS14/06a)." GB wurde gerichtliche Verfügung an einen Twitter-Account zugestellt (Standard 3./ ) ARGE DATEN

97 Werbung und e-commerce
e-commerce - Marketing Werbung und e-commerce - Grundsätzlich gelten die ECG-Bestimmungen auch für kommerzielle elektronische-Angebote, bei denen nicht direkt bestellt werden kann - Allgemeine Werberegeln gelten auch im Internet (UWG, vergleichende Werbung, sittenwidrige Werbung, Verbote von Gewinnversprechen, ...) - Zusätzlich wichtig ist die Kennzeichnung (§ 6 ECG) - Klare und eindeutige Erkennbarkeit der kommerziellen Kommunikation (Kennzeichnung als "Werbung", "PR" udgl.) - wer Auftraggeber ist - bei Angeboten zur Absatzförderung zusätzlich: Zugang zu Bedingungen für die Inanspruchnahme - bei Gewinnspielen und Preisausschreiben zusätzlich: Zugang zu Teilnahmebedingungen Informationen über kommerzielle Kommunikation § 6. (1) Ein Diensteanbieter hat dafür zu sorgen, dass eine kommerzielle Kommunikation, die Bestandteil eines Dienstes der Informationsgesellschaft ist oder einen solchen Dienst darstellt, klar und eindeutig 1. als solche erkennbar ist, 2. die natürliche oder juristische Person, die die kommerzielle Kommunikation in Auftrag gegeben hat, erkennen lässt, 3. Angebote zur Absatzförderung wie etwa Zugaben und Geschenke als solche erkennen lässt und einen einfachen Zugang zu den Bedingungen für ihre Inanspruchnahme enthält sowie 4. Preisausschreiben und Gewinnspiele als solche erkennen lässt und einen einfachen Zugang zu den Teilnahmebedingungen enthält. (2) Sonstige Informationspflichten für kommerzielle Kommunikation sowie Rechtsvorschriften über die Zulässigkeit von Angeboten zur Absatzförderung und von Preisausschreiben und Gewinnspielen bleiben unberührt. Umfang der Werbebestimmungen - gilt für alle elektronisch vermittelten Angebote, egal ob per , Web, Fax usw. zugestellt - in Österreich existiert ein SPAM-Verbot (opt-in', §107 TKG), dies ist nicht in allen EU-Ländern so, die EU-Richtlinie e-commerce lässt grundsätzlich -Werbung zu ('opt-out'), überlässt deren Regelung aber den Nationalstaaten ARGE DATEN

98 Internetspezifische Werbeformen
e-commerce - Marketing Internetspezifische Werbeformen - Domainnamen - Keyword Advertising - Meta Tagging - Word Stuffing - Hyperlinks / InFrames - Powershopping Neben wirtschaftlichen Apekten (UWG, ECG) sind in den meisten Fällen auch urheberrechtliche, namensrechtliche und marken-/ musterschutzrechtliche Aspekte zu beachten keine dieser Werbemethoden ist grundsätzlich verboten! Gepflogenheiten, insbesondere Rechtssprechung sollte beachtet werden Technik und Zielsetzung: Domainanmen: durch Verwendung bekannter (generischer) Begriffe oder bekannter Marken- und Ortsnamen soll Internetverkehr auf eine bestimmte Seite umgeleitet werden (Untervariante: durch registrieren und nicht verwenden, soll Nutzung durch Dritte unterbunden werden) Keyword Advertising: die eigene Webseite wird mit bekannten Markennamen und Begriffen in Suchmaschinen und Online-Portalen eingetragen Meta Tagging: beliebte Suchbegriffe, aber auch fremde Markennamen werden in den Metatags der eigenen Website eingetragen und damit von Suchmaschinen ausgewertet (viele Suchmaschinen haben daher die Auswertung dieser Tags abgeschalten) Word Stuffing: verstecken von Werbetext in gleicher Farbe wie der Hintergrund auf einer Webseite zur Auswertung von Suchmaschinen Hyperlinks: Übernahme fremden Web-Contents in den eigenen Seiten (verschiedene technische Übernahmeformen, wie Link, In-Frame-Link, Deep-Link, Link eines Teilframes, ...) Powershopping: Prinzip der Nachfragebündelung und Anlocken durch sinkende Preise bei vielen Käufern. Wettlauf und Countdown-Charakter ARGE DATEN

99 OGH 4 Ob 194/05s ("Google Adwords")
e-commerce - Diensteanbieter OGH 4 Ob 194/05s ("Google Adwords") Ausgangslage - Bei Eingabe der Marke "GLUCOCHONDRIN" bei Google erschien Werbung der Konkurrenz - Markeninhaberin klagte Google auf Unterlassung gem. § 18 ECG - Nach Einleitung der Klage wurde Link entfernt Entscheidung - Google stellt nur Werbeplatz zur Verfügung, nimmt aber keinen bewußten Einfluss auf Inhalt - Prüfpflicht und Gehilfenhaftung nur bei groben und offensichtlichen Rechtsverstößen gegeben - Haftung vergleichbar einem Telekom-Anbieter der Mehrwertnummern oder Domainnamen bereitstellt, aber nicht auf Inhalt Einfluss nimmt - Klage war abzuweisen - ARGE DATEN

100 Regelung Bewerberdaten
Mitarbeiter- und Bewerberdaten Regelung Bewerberdaten - Bewerber sind keine Mitarbeiter, daher keine Standardanwendung Registrierungspflicht - Datenumfang bei Bewerbung unterschiedlich zu Mitarbeiterdaten (z.B. SV-Nummer, steuerrechtliche Angaben)  Hinweis auf Erhebung zur rascheren Bearbeitung (überwiegende Interessen des Auftraggebers?) - Bewerbungen betreffen im Regelfall immer nur eine konkrete Stelle in einem konkreten Unternehmen  Löschpflicht nach Ende der Bewerbung, Rücksendung der Unterlagen - Weitere Evidenzhaltung im selben Unternehmen oder in der gesamten Unternehmensgruppe  erfordert die ausdrückliche Zustimmung des Betroffenen (bloße Information reicht nicht) Löschungspflicht: zu prüfen wäre auch, ob durch Gleichbehandlungsbestimmungen eine Dokumentationsopflicht von Bewerbungen / Anstellungen vorsieht, auch wie lange dafür Unterlagen aufzubewahren sind. ARGE DATEN

101 betriebliche Datenverwendung
Videoeinsatz III Üblicherweise genehmigt die DSK Videoüberwachungen nur mit typischen Auflagen wie: - Sicherung der Aufzeichnungen - Beschränkung der Zugriffsberechtigten - Löschungsverpflichtung - eingeschränkte Auswerteberechtigung - Protokollierung der Datenverwendung - sofern Mitarbeiter erfasst werden und ein Betriebsrat existiert wird Betriebsvereinbarung verlangt - ARGE DATEN

102 Verwendung medizinischer Daten
Mitarbeiter- und Bewerberdaten Verwendung medizinischer Daten Ausgangslage: - ein Luftfahrunternehmen möchte die Impfdaten Ihres Flugpersonals weltweit verfügbar machen - eine gesetzliche Verpflichtung zur zentralen Speicherung besteht nicht - zur Umsetzung des Projekts wird ein Dienstleister herangezogen - das Projekt ist als Weblösung geplant datenschutzrechtliche Bewertung: - es handelt sich um sensible Daten, der Dienstleister muss daher besondere Eignung aufweisen - bei weltweiter Abrufbarkeit durch Dritte muss jeder Betroffene seine Zustimmung nach §4 DSG geben oder eine Genehmigung bei der DSK für den internationalen Datenverkehr einzuholen sein - als zusätzliche Datenerfassung ist das System vom Betriebsrat zustimmungspflichtig - ARGE DATEN

103 Hohes Konfliktpotential zu Datenschutzinteressen!
Besondere Bestimmung in GewO Geldwäschebestimmungen GewO §§ 365m bis 365z - Vielzahl von Geschäftsfällen betroffen: Handelsunternehmen (ab Euro Barzahlung), Immobilienmakler, Unternehmensberater, Versicherungsvermittler - Umfangreiche Erhebungspflichten für Unternehmen Identitätsnachweis der Kunden, Eigentums- und Kontrollstruktur des Kunden, "wirtschaftlicher" Eigentümer, Begünstigter - Zwang zur Verwendung privat betriebener Datenbanken außerhalb der EU "World-Check"-Datenbank nicht gesetzlich, aber de facto erforderlich - Unternehmen laufen Gefahr in Rechtskonflikte zu kommen umfassende Meldepflichten, auch bei bestehenden Geschäftsverbindungen, müssen Geschäftstätigkeiten beurteilen Hohes Konfliktpotential zu Datenschutzinteressen! - ARGE DATEN

104 strafbarer Handlungen
e-commerce - Diensteanbieter Verantwortung spezifischer Diensteanbieter (§§13-17 ECG) - Durchleitung von Informationen (§13) ("AccessProvider") umfasst auch kurzfristiges Zwischenspeichern, etwa - Suchmaschinen (§14) Keine Verantwortung unter bestimmten Umständen: 1. die Übermittlung/Abfrage nicht veranlasst, 2. den Empfänger der übermittelten/abgefragten Informationen nicht auswählt und 3. die übermittelten/abgefragten Informationen weder auswählt noch verändert. Auskunftspflicht im Fall §13 gegenüber Gerichten zur Verhütung, Ermittlung, Aufklärung oder Verfolgung gerichtlich strafbarer Handlungen Ausschluss der Verantwortlichkeit bei Durchleitung § 13. (1) Ein Diensteanbieter, der von einem Nutzer eingegebene Informationen in einem Kommunikationsnetz übermittelt oder den Zugang zu einem Kommunikationsnetz vermittelt, ist für die übermittelten Informationen nicht verantwortlich, sofern er 1. die Übermittlung nicht veranlasst, 2. den Empfänger der übermittelten Informationen nicht auswählt und 3. die übermittelten Informationen weder auswählt noch verändert. (2) Die Übermittlung von Informationen und die Vermittlung des Zugangs im Sinn des Abs. 1 umfassen auch die automatische kurzzeitige Zwischenspeicherung der übermittelten Informationen, soweit diese Zwischenspeicherung nur der Durchführung der Übermittlung im Kommunikationsnetz dient und die Information nicht länger gespeichert wird, als es für die Übermittlung üblicherweise erforderlich ist. Ausschluss der Verantwortlichkeit bei Suchmaschinen § 14. (1) Ein Diensteanbieter, der Nutzern eine Suchmaschine oder andere elektronische Hilfsmittel zur Suche nach fremden Informationen bereitstellt, ist für die abgefragten Informationen nicht verantwortlich, sofern er 1. die Übermittlung der abgefragten Informationen nicht veranlasst, 2. den Empfänger der abgefragten Informationen nicht auswählt und 3. die abgefragten Informationen weder auswählt noch verändert. (2) Abs. 1 ist nicht anzuwenden, wenn die Person, von der die abgefragten Informationen stammen, dem Diensteanbieter untersteht oder von ihm beaufsichtigt wird ARGE DATEN

105 Verantwortung spezifischer Diensteanbieter II
e-commerce - Diensteanbieter Verantwortung spezifischer Diensteanbieter II (§§13-17 ECG) - Zwischenspeicherung (Caching) von Informationen (§15) Keine Verantwortung unter bestimmten Umständen: 1. Keine Änderung der Information, 2. Bedingungen zum Informationszugang werden beachtet [z.B. kein allgemein zugänglich machen gesperrter Information], 3. Aktualisierung gemäß "Industriestandard" (?!), 4. Technologien zum Sammeln von Informationen lt. "Industriestandard" dürfen nicht beeinträchtigt werden (??) und 5. Unverzügliches entfernen der Information, wenn am Ursprungsort nicht vorhanden oder Gericht/Verwaltungsbehörde Sperre/Entfernung angeordnet hat Ausschluss der Verantwortlichkeit bei Zwischenspeicherungen (Caching) § 15. Ein Diensteanbieter, der von einem Nutzer eingegebene Informationen in einem Kommunikationsnetz übermittelt, ist für eine automatische, zeitlich begrenzte Zwischenspeicherung, die nur der effizienteren Gestaltung der auf Abruf anderer Nutzer erfolgenden Informationsübermittlung dient, nicht verantwortlich, sofern er 1. die Information nicht verändert, 2. die Bedingungen für den Zugang zur Information beachtet, 3. die Regeln für die Aktualisierung der Information, die in allgemein anerkannten und verwendeten Industriestandards festgelegt sind, beachtet, 4. die zulässige Anwendung von Technologien zur Sammlung von Daten über die Nutzung der Information, die in allgemein anerkannten und verwendeten Industriestandards festgelegt sind, nicht beeinträchtigt und 5. unverzüglich eine von ihm gespeicherte Information entfernt oder den Zugang zu ihr sperrt, sobald er tatsächliche Kenntnis davon erhalten hat, dass die Information am ursprünglichen Ausgangsort der Übertragung aus dem Netz entfernt oder der Zugang zu ihr gesperrt wurde oder dass ein Gericht oder eine Verwaltungsbehörde die Entfernung oder Sperre angeordnet hat. ARGE DATEN

106 Verantwortung spezifischer Diensteanbieter III
e-commerce - Diensteanbieter Verantwortung spezifischer Diensteanbieter III (§§13-17 ECG) - Hosting / Housing von Diensten (§16) - Links auf fremde Dienste (§17) Keine Verantwortung unter bestimmten Umständen: 1. Keine Kenntnis des rechtswidrigen Inhalts und auch keine Umstände bekannt, aus denen der rechtswidrige Inhalt oder Tätigkeit offensichtlich ist oder 2. bei Kenntnis der rechtswidrigen Tatsache unverzügliches Tätigwerden zum Entfernen des Hinweises/der Inhalte Erweiterte Auskunftspflichten bei Hosting - gegenüber allen Verwaltungsbehörden - gegenüber beliebigen Dritten, sofern ein überwiegendes rechtliches Interesse besteht und eine wesentliche Voraussetzung für die Rechtsverfolgung gegeben ist Auskunft umfasst jedoch nur Namen und die Adresse des Nutzers, mit dem Hostingvereinbarung abgeschlossen wurde Ausschluss der Verantwortlichkeit bei Speicherung fremder Inhalte (Hosting) § 16. (1) Ein Diensteanbieter, der von einem Nutzer eingegebene Informationen speichert, ist für die im Auftrag eines Nutzers gespeicherten Informationen nicht verantwortlich, sofern er 1. von einer rechtswidrigen Tätigkeit oder Information keine tatsächliche Kenntnis hat und sich in Bezug auf Schadenersatzansprüche auch keiner Tatsachen oder Umstände bewusst ist, aus denen eine rechtswidrige Tätigkeit oder Information offensichtlich wird, oder, 2. sobald er diese Kenntnis oder dieses Bewusstsein erhalten hat, unverzüglich tätig wird, um die Information zu entfernen oder den Zugang zu ihr zu sperren. (2) Abs. 1 ist nicht anzuwenden, wenn der Nutzer dem Diensteanbieter untersteht oder von ihm beaufsichtigt wird. Ausschluss der Verantwortlichkeit bei Links § 17. (1) Ein Diensteanbieter, der mittels eines elektronischen Verweises einen Zugang zu fremden Informationen eröffnet, ist für diese Informationen nicht verantwortlich, 1. sofern er von einer rechtswidrigen Tätigkeit oder Information keine tatsächliche Kenntnis hat und sich in Bezug auf Schadenersatzansprüche auch keiner Tatsachen oder Umstände bewusst ist, aus denen eine rechtswidrige Tätigkeit oder Information offensichtlich wird, oder, 2. sobald er diese Kenntnis oder dieses Bewusstsein erlangt hat, unverzüglich tätig wird, um den elektronischen Verweis zu entfernen. (2) Abs. 1 ist nicht anzuwenden, wenn die Person, von der die Informationen stammen, dem Diensteanbieter untersteht oder von ihm beaufsichtigt wird oder der Diensteanbieter die fremden Informationen als seine eigenen darstellt. Dienstleister muss bei offensichtlichem Rechtsbruch von sich aus tätig werden, Beispiele: Newsgruppen, Tauschbörsen, Web-Angebote, Praxisbeispiel: eingescannte Landkarten ARGE DATEN

107 OGH 6 Ob 218/03g ("Online-Archiv")
e-commerce - Diensteanbieter OGH 6 Ob 218/03g ("Online-Archiv") Ausgangslage - In einem Online-Archiv findet (falsch) über ein Konkursverfahren - Betreiber hat Artikel nur übernommen, ist nicht als Content-Provider anzusehen - Betreiber erfährt erst in der Klage vom Fehler und löscht daraufhin den Beitrag Entscheidung - Umfang der Verletzung nicht nach ECG zu prüfen, sondern nach materiellrechtlichen Normen (ABGB, UrhG, UWG, ...) - im Archiv finden sich auch Entgegnungen und Gegendarstellungen - Klage abgewiesen, da keine aktive Prüfpflicht des Archivbetreibers - Interesse der Öffentlichkeit höher zu bewerten als Interesse des Verletzten - ARGE DATEN

108 Pflichten der (TK)-Diensteanbieter (§18 ECG)
e-commerce - Diensteanbieter Pflichten der (TK)-Diensteanbieter (§18 ECG) - Keine generelle Überwachungspflicht (betrifft Dienste §§13-17) es müssen keine aktiven Maßnahmen zur Identifikation rechtswidriger Inhalte gesetzt werden inkludiert auch das Fehlen genereller Aufzeichnungspflichten - Auskunftspflicht gegenüber Gerichten zur Bestimmung von Dienstnutzern mit denen Verträge abgeschlossen wurden umfasst Verhütung, Ermittlung, Aufklärung oder Verfolgung gerichtlich strafbarer Handlungen - Sonstige Auskunftspflichten bleiben unberührt DSG Bestimmungen (Auskunftsrecht, Kontrollrecht DSK) Besondere Ermittlungsmaßnahmen (StPO) Umfang der Pflichten der Diensteanbieter § 18. (1) Die in den §§ 13 bis 17 genannten Diensteanbieter sind nicht verpflichtet, die von ihnen gespeicherten, übermittelten oder zugänglich gemachten Informationen allgemein zu überwachen oder von sich aus nach Umständen zu forschen, die auf rechtswidrige Tätigkeiten hinweisen. (2) Die in den §§ 13 und 16 genannten Diensteanbieter haben auf Grund der Anordnung eines dazu gesetzlich befugten inländischen Gerichtes diesem alle Informationen zu übermitteln, an Hand deren die Nutzer ihres Dienstes, mit denen sie Vereinbarungen über die Übermittlung oder Speicherung von Informationen abgeschlossen haben, zur Verhütung, Ermittlung, Aufklärung oder Verfolgung gerichtlich strafbarer Handlungen ermittelt werden können. (3) Die in § 16 genannten Diensteanbieter haben auf Grund der Anordnung einer Verwaltungsbehörde dieser den Namen und die Adressen der Nutzer ihres Dienstes, mit denen sie Vereinbarungen über die Speicherung von Informationen abgeschlossen haben, zu übermitteln, sofern die Kenntnis dieser Informationen eine wesentliche Voraussetzung der Wahrnehmung der der Behörde übertragenen Aufgaben bildet. (4) Die in § 16 genannten Diensteanbieter haben den Namen und die Adresse eines Nutzers ihres Dienstes, mit dem sie Vereinbarungen über die Speicherung von Informationen abgeschlossen haben, auf Verlangen dritten Personen zu übermitteln, sofern diese ein überwiegendes rechtliches Interesse an der Feststellung der Identität eines Nutzers und eines bestimmten rechtswidrigen Sachverhalts sowie überdies glaubhaft machen, dass die Kenntnis dieser Informationen eine wesentliche Voraussetzung für die Rechtsverfolgung bildet. (5) Sonstige Auskunfts- und Mitwirkungspflichten der Diensteanbieter gegenüber Behörden oder Gerichten bleiben unberührt. ARGE DATEN

109 Wiener Erklärung zur Informationsfreiheit
Verfasser: Univ.-Prof. Dr. Nikolaus Forgó Motivation: Recht auf Information, Urheberrechtsinteressen und Datenschutz sind miteinander zu verknüpfen 10 Thesen, einige auszugsweise: - Digitalisierung und Vernetzung erlauben einzigartige Informationszugänge - Freie Werknutzungen dienen gesellschaftlichen und wissenschaftlichen Fortschritt - staatliche Einrichtungen haben Zugang zu öffentlichen Informationen technisch und rechtlich bestmöglich zu erleichtern - staatliche Sicherung des Zugangs zu Informationen - ARGE DATEN

110 Verwendung "weicher" Personendaten
betriebliche Datenverwendung Verwendung "weicher" Personendaten - etwa Antworten aus psychologischen Tests - ARGE DATEN

111 Maßnahmen zur Harmonisierung des "begrenzten Zeitraums" notwendig
Datenschutzfragen Kommunikation Aufbewahrungsdauer bei FlatRate-Daten Stellungnahme Art. 29-Gruppe WP - werden Verkehrsdaten nicht zur Abrechnung genutzt, dann dürfen sie nicht gespeichert werden - auch bei Abrechnung dürfen nur die notwendigen Daten gespeichert werden (bis Begleichung der Rechnung und/oder Beilegung von Streitfällen) - einzelne Gebühreneinsprüche rechtfertigen nicht die Speicherung der Daten aller Teilnehmer - für steuerliche Zwecke dürfen nur kumulierte Rechnungsdaten aufbewahrt werden, nicht die Verkehrsdaten einzelner Teilnehmer Maßnahmen zur Harmonisierung des "begrenzten Zeitraums" notwendig - ARGE DATEN

112 Speicherung Kommunikationsdaten
Datenschutzfragen Kommunikation Speicherung Kommunikationsdaten Zulässigkeit / Verbot - Inhaltsdaten dürfen nicht gespeichert werden, sofern es nicht der Dienst erfordert Privacy-Gefährdungspotentiale - Einblick in persönliche Kommunikation - Ausspähen von Interessensprofilen Handhabung - strafrechtliche Sanktionen (§93/§108 TKG 2003, §119 StGB) - privatrechtliche (§1328a AGBG) - ARGE DATEN

113 wird auch auf Protokolldaten von Content-Providern anzuwenden sein
Datenschutzfragen Kommunikation Speicherung/Verwendung Verkehrsdaten (Art 6) Zulässigkeit / Verbot - für Diensterbringung - für Gebührenabrechnung - für Kundenanfragen/Support - zur Ermittlung strafrechtlich relevanter Vorgänge (STPO) - zur Vermarktung der angebotenen Kommunikationsdienste - alle anderen Verwendungen bedürfen Zustimmung ("Dienst mit Zusatznutzen") oder sind verboten Privacy-Gefährdungspotentiale - Einblick in Kommunikationsbeziehungen, Ausspähen von Interessensprofilen wird auch auf Protokolldaten von Content-Providern anzuwenden sein - ARGE DATEN

114 SPAM-Problem ARGE DATEN Datenschutzfragen Internettechniken
Umfang von Spam - 2004: 75% aller Mails Spam (2001: 7%) - Response von 1:1, reicht für "erfolgreiche" Aussendung - 7% der Mailnutzer reagieren zumindest einmal im Jahr auf Spam Gefährdungspotentiale - Belästigung mit unerwünschen Inhalten - Fehler in Annahme/Ablehnung von Mails - Beschränkung der Kommunikation aus Angst vor Spam - Kosten (Übertragung, Beseitigung, Filterkonfiguation, Zeitverlust) 2002/58/EG (TK-Datenschutzrichtlinie) / TKG 2003 - EU-RL sieht Opt-In bei Werbung vor, komplizierte TKG-Richtlinie - Sperrliste ist zu beachten - Anzeigemöglichkeit bei unerwünschter Zusendung § 107 TKG 2003 Unerbetene Nachrichten (1) Anrufe - einschließlich das Senden von Fernkopien - zu Werbezwecken ohne vorherige Einwilligung des Teilnehmers sind unzulässig. Der Einwilligung des Teilnehmers steht die Einwilligung einer Person, die vom Teilnehmer zur Benützung seines Anschlusses ermächtigt wurde, gleich. Die erteilte Einwilligung kann jederzeit widerrufen werden; der Widerruf der Einwilligung hat auf ein Vertragsverhältnis mit dem Adressaten der Einwilligung keinen Einfluss. (2) Die Zusendung einer elektronischen Post - einschließlich SMS - an Verbraucher im Sinne des § 1 Abs. 1 Z 2 Konsumentenschutzgesetz ohne vorherige Einwilligung des Empfängers ist unzulässig, wenn 1. die Zusendung zu Zwecken der Direktwerbung erfolgt oder 2. an mehr als 50 Empfänger gerichtet ist. (3) Eine vorherige Zustimmung für elektronische Post gemäß Abs. 2 ist dann nicht notwendig, wenn 1. der Absender die Kontaktinformation für die Nachricht im Zusammenhang mit dem Verkauf oder einer Dienstleistung an seine Kunden erhalten hat und 2. diese Nachricht zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen erfolgt und 3. der Kunde klar und deutlich die Möglichkeit erhalten hat, eine solche Nutzung der elektronischen Kontaktinformation von vornherein bei deren Erhebung und zusätzlich bei jeder Übertragung kostenfrei und problemlos abzulehnen. (4) Die Zusendung einer elektronischen Post - einschließlich SMS - an andere als die in Abs. 2 genannten Empfänger ist ohne vorherige Einwilligung des Empfängers zulässig, wenn der Versender dem Empfänger in der elektronischen Post oder in der SMS ausdrücklich die Möglichkeit einräumt, den Empfang weiterer Nachrichten abzulehnen. (5) Die Zusendung elektronischer Nachrichten zu Zwecken der Direktwerbung ist auch bei Vorliegen der Voraussetzungen der Abs. 2, 3 und 4 unzulässig, wenn die Identität des Absenders, in dessen Auftrag die Nachricht übermittelt wird, verschleiert oder verheimlicht wird oder bei der keine authentische Adresse vorhanden ist, an die der Empfänger eine Aufforderung zur Einstellung solcher Nachrichten richten kann. (6) Wurden Verwaltungsübertretungen nach Abs. 1 nicht im Inland begangen, gelten sie als an jenem Ort begangen, an dem der Anruf den Anschluss des Teilnehmers erreicht. ARGE DATEN

115 SPAM-Problem ARGE DATEN Datenschutzfragen Internettechniken
Datenschutzrichtlinie für elektronische Kommunikation )RICHTLINIE 2002/58/EG) Artikel 13 Unerbetene Nachrichten (1) Die Verwendung von automatischen Anrufsystemen ohne menschlichen Eingriff (automatische Anrufmaschinen), Faxgeräten oder elektronischer Post für die Zwecke der Direktwerbung darf nur bei vorheriger Einwilligung der Teilnehmer gestattet werden. (2) Ungeachtet des Absatzes 1 kann eine natürliche oder juristische Person, wenn sie von ihren Kunden im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung gemäß der Richtlinie 95/46/EG deren elektronische Kontaktinformationen für elektronische Post erhalten hat, diese zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen verwenden, sofern die Kunden klar und deutlich die Möglichkeit erhalten, eine solche Nutzung ihrer elektronischen Kontaktinformationen bei deren Erhebung und bei jeder Übertragung gebührenfrei und problemlos abzulehnen, wenn der Kunde diese Nutzung nicht von vornherein abgelehnt hat. ARGE DATEN

116 Bedeutung von (Anti-)Spyware/Monitoring
Intranet - sonstiges Bedeutung von (Anti-)Spyware/Monitoring - Definition "Was ist Spyware?" (Beispiele: Keylogger) - Spywarefunktionalität oft auch bei Audit-Software, Monitoring-Software, Remotecontrol-Software, ... gegeben - Schutzmaßnahmen gegen Spyware zulässig/verpflichtend - Verpflichtungen des Arbeitgebers / Arbeitnehmers "Spyware", die die Kommunikationsinhalte der Mitarbeiter kontrolliert wird nicht zustimmungsfähig sein, sondern als unzulässiger Grundrechtseingriff verboten sein Spyware, die bloß "Verkehrsdaten" aufzeichnet wird an der OGH-Entscheidung zu messen sein Spyware - Definition - Programme, die es erlauben, das Benutzerverhalten und -interaktionen auszuspähen - Hersteller verwenden sehr unterschiedliche Definitionen (beginnt bei permanenten Cookies und endet bei Tastaturloggern) - Interne oder integrierte Spyware ist Teil einer Applikation und protokolliert Benutzerverhalten (Abgrenzung zur gesetzlich erforderlichen Protokollierung) - Externe Spyware macht als zusätzlicher (Hintergrund)Prozess applikationsunabhängig Aufzeichnungen zum Benutzerverhalten Spyware - technischer Aspekt - interner Test von 5 Programmen ergab, kein Programm fand "alle" Spyware-Elemente, bei einem von vier Testrechnern wurde solange entfernt, bis Neuinstallation des Betriebssystems notwendig war - Spyware-Anbieter: - "Anti"-Spyware-Produkte: - allgmeine Übersicht über Filter- und Remove-Produkte: ARGE DATEN

117 Arbeitsrechtliche Konsequenzen von verschiedenen Faktoren abhängig
DSG Datenverwendung DSK Empfehlung K ("polizeiliche Information") Ausgangslage - Berufskraftfahrer wird bei privater Autofahrt Führerschein abgenommen - Mitarbeiter hat sich am nächsten Tag krank gemeldet - Polizeidienststelle gibt Arbeitgeber "Wink" - Dienstgeber spricht Entlassung aus Entscheidung - Datenweitergabe durch Polizei war unzulässig - bedeutet nicht automatisch Geheimhaltungsrecht des Arbeitnehmers Arbeitsrechtliche Konsequenzen von verschiedenen Faktoren abhängig Empfehlung der DSK: Auf Grund der Eingabe des Herrn Felix L*** (Einschreiter) aus N*** vom 1. August 2006 betreffend Datenschutzverletzung durch Polizeibeamte im Gefolge einer Amtshandlung im Amtssprengel der Bezirkshauptmannschaft T***, nämlich telefonische Übermittlung von Daten betreffend die am 17. Februar 2006 erfolgte Führerscheinabnahme an seinen Arbeitgeber, ergeht gemäß § 30 Abs 6 des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999 idF BGBl I Nr. 13/2005, iVm § 1 Abs 1 und 2, und 8 Abs 4 DSG 2000, § 13 Abs 2 des Sicherheitspolizeigesetzes (SPG), BGBl. Nr.566/1991 idF BGBl. I Nr 151/2004, und §§ 29 Abs 2 Z 2 und 35 des Führerscheingesetzes (FSG), BGBl. I Nr 120/1997 idF BGBl. I Nr 152/2005, folgende Empfehlung an das Landespolizeikommando für Oberösterreich als datenschutzrechtlichen Auftraggeber der zu DVR: registrierten Datenanwendung mit der Bezeichnung „Übermittlung von Verwaltungsstrafanzeigen an die Bezirksverwaltungsbehörden“: 1. § 29 Abs 2 Z 2 FSG bietet keine gesetzliche Grundlage dafür, dem Arbeitgeber des Betroffenen Daten zu übermitteln, die für den Zweck von Verwaltungsstrafanzeigen im Gefolge einer vorläufigen Abnahme eines Führerscheins (§ 39 FSG) ermittelt worden sind. Die Mitteilung gemäß § 29 Abs 2 Z 2 FSG ist jener Behörde vorbehalten, die die Entziehung der Lenkberechtigung bescheidmäßig ausspricht. Das Landespolizeikommando für Oberösterreich möge dieser Rechtslage in Zukunft Rechnung tragen. 2. Für Schritte zur Umsetzung dieser Empfehlung (wie etwa einer entsprechenden Information nachgeordneter Dienststellen) wird eine Frist von sechs Wochen gesetzt. ARGE DATEN

118 gemeinsame Verwendung eines Terminkalenders
betriebliche Datenverwendung gemeinsame Verwendung eines Terminkalenders Ausgangslage: - Die Kalendersoftware erlaubt Einsicht in die Termine der Kollegen, eventuell auch Einträge oder Korrekturen datenschutzrechtliche Bewertung: - betriebsintern keine Übermittlung, sondern "bloß" gemeinsame Verwendung von Daten - zulässig, wenn für bestimmte Zwecke (Arbeitsorganisation) notwendig, prüfen ob Betriebsvereinbarung notwendig - bei Einsatz zu Aufsichtszwecken durch Betriebsrat zustimmungspflichtig - nicht zulässig, wenn Einsicht bloß aus technischen Gründen erfolgt (keine Berechtigungsverwaltung, ...) - Regelung für private Einträge erforderlich Ist aus wirtschaftlichen Gründen eine Berechtigungsverwaltung unzumutbar oder aus technischen Gründen nicht möglich, dann ist die Geheimhaltung durch andere Maßnahmen, wie Dienstanweisungen, zu gewährleisten. ARGE DATEN

119 (1) Individuelle Vereinbarungen
Privacy Statements [PS] (1) Individuelle Vereinbarungen - Statement zur Datenweitergabe: an wen wird warum weiter gegeben? - Statement zur Zustimmung und zum Widerruf der Zustimmung: welche Zustimmungen sind erforderlich, welche Konsequenzen hat ein Widerruf? - Statement zur Datenerhebung: Offenlegen von Datenquellen, etwa Adressverlage, welche Daten sind verpflichtend bekannt zu geben, welche nicht - Statement zum Thema Bonitätskontrolle: bei wem werden Kreditinformationen eingeholt? - Statement zur Verwendung der Daten zu Werbezwecken - Statement zur Verwendung der Daten zu sonstigen Zwecken Statement zur Datenweitergabe Werden Daten weitergegeben: An wen werden Daten weitergegeben? Statement zur Zustimmung und zum Widerruf der Zustimmung Wie kommt eine freiwillige Zustimmung zustande, wie kann sie widerrufen werden, welche Konsequenzen hat der Widerruf? Statement zur Datenerhebung Welche Daten müssen bekannt gegeben werden, bei welchen Daten ist die Bekanntgabe freiwillig, welche Konsequenzen hat das Vorhandensein/Fehlen bestimmter Daten? Statement zum Thema Bonitätskontrolle Zu welchen Bonitätskontrollen ist zuzustimmen, welche Konsequenzen hat die Zustimmung/Verweigerung? Statement zur Verwendung der Daten zu Werbezwecken Welche Werbemaßnahmen, welche Werbemethoden kann der Kunde akzeptieren, bei welchen kann er widersprechen? Statement zur Verwendung der Daten zu sonstigen Zwecken Zu welchen weiteren Verwendungszwecken kann der Betroffene seine Zustimmung geben? ARGE DATEN

120 (2) Informationen zur Datenverwendung
Privacy Statements [PS] (2) Informationen zur Datenverwendung - Statement zu Verantwortlichen der Datenverarbeitung - Statement zu Verwendungszwecken - Statement über durchgeführte Auswertungen, Protokollierungen und Aufzeichnungen - Statement, welche innerbetrieblichen Stellen die Daten für die Erfüllung des Zweckes erhalten - Statement, welche Daten verwendet werden - Statement über technischen Datenfluss: technische Methoden, Verschlüsselung, Archivierung, ... - Statement zur Speicherdauer - Statement zu besonderen Sicherheitsmaßnahmen bei Verwendung von sensiblen Daten Statement zu Verantwortlichen der Datenverarbeitung Welches Unternehmen / Welche Behörde ist für die Datenverarbeitung tatsächlich verantwortlich? Statement zu Verwendungszwecken Abschließende Angabe aller Verwendungszwecke der Kundendaten Statement über durchgeführte Auswertungen, Protokollierungen und Aufzeichnungen Angabe, welche Geschäftsprozesse mit den Daten durchgeführt werden, welche Auswertungen und Analysen erfolgen Statement, welche Stellen die Daten für die Erfüllung welchen Zweckes erhalten Besonders bedeutsam, wenn Bestellungen direkt über Lieferanten abgedeckt werden, Subauftragnehmer herangezogen werden, Logistikpartner beteiligt werden Statement welche Daten verwendet werden Aufgliederung, welche Daten bei den Geschäftsprozessen tatsächlich anfallen (Stammdaten, Geschäftsfall-Daten, sonstige technische Daten) Statement über technischen Datenfluss Angabe, über welche Stellen / Länder tatsächlich die personenbezogenen Daten weitergeleitet werden Statement zur Speicherdauer Angabe, wie lange Daten aufbewahrt werden Statement zu besonderen Maßnahmen bei sensiblen Daten Falls sensible Daten verwendet werden (dies kann bei Versicherungen der Fall sein, bei Gesundheitseinrichtungen, aber auch bei Sex-Shops), Angabe welche zusätzlichen Vorkehrungen zum Schutz der Privatsphäre getroffen werden. ARGE DATEN

121 (3) Allgemeine rechtliche Informationen
Privacy Statements [PS] (3) Allgemeine rechtliche Informationen - Hinweis auf geltendes Datenschutzgesetz - sonstige datenschutzrelevante anzuwendende Bestimmungen: spezifische gesetzliche Bestimmungen, bestehender "Code of Conduct" - Hinweise zum Schutz besonderer Personengruppen: Maßnahmen zum Schutz von Jugendlichen - Hinweise zu Beteiligungsverhältnisse und daraus resultierende Datenverknüpfungen geltendes Datenschutzgsetz Angabe, welches Datenschutzrecht tatsächlich anzuwenden ist. Formulierungen, wie „es gilt das jeweils gültige Datenschutzgesetz“ oder „wir beachten die strenge EU-Richtlinie Datenschutz“ sind unzureichend. sonstige datenschutzrelevante anzuwendende Bestimmungen Relevante Spezialgesetze, wie Gewerbeordnung, Telekomgesetz, Bankwesengesetz, ... Hinweise zum Schutz besonderer Personengruppen Besondere Schutzbestimmungen und Verhaltensregeln gegenüber Jugendlichen, ... Hinweise zu Beteiligungsverhältnissen Angaben über Beteiligungs- und Kooperationsverhältnisse, die Einfluss auf den Datenfluss haben (haben können). ARGE DATEN

122 (4) Technische Informationen zur Datensicherheit
Privacy Statements [PS] (4) Technische Informationen zur Datensicherheit - Statement, welche Übertragungsmethoden verwendet werden - Statement, welche Überwachungs- und Monitoringmaßnahmen beim System getroffen werden - Statement, welche Techniken zum Betrieb der Online-Seiten eingesetzt werden: Plug-Ins, Browsereinstellungen, ... - Statement zur Individualisierung der Webseiten: Einsatz von Cookies, ... - Statement zum Zahlungsverkehr: etwa Zahlungsdienstleister - Statement, welche internen Sicherheitsmaßnahmen gesetzt werden - Hinweise zur Verbesserung der persönlichen Datensicherheit Statement, welche Übertragungsmethoden verwendet werden Eingesetzte Verschlüsselungs- und Übertragungstechniken (Standards) Statement, welche Überwachungs- und Monitoringmaßnahmen beim System getroffen werden Was wird unternommen um Angriffe zu erkennen, abzuwehren, zu verfolgen, Abrufmöglichkeiten von Logins und Transaktionen Statement, welche Techniken zum Betrieb der Online-Seiten eingesetzt werden Wie werden Cookies und vergleichbare Techniken eingesetzt? Statement zur Individualisierung der Webseiten Welche sonstigen Methoden werden eingesetzt, um Seitenzugriffe zu individualisieren (Session-ID, PIN/TAN, digitale Signatur, ...)? Statement zum Zahlungsverkehr Bedeutsam bei neuen Payment-Methoden Statement, welche internen Sicherheitsmaßnahmen gesetzt werden Wie wird mit den Kundendaten intern umgegangen, welche Backupmaßnahmen werden gesetzt? Hinweise zur Verbesserung der persönlichen Datensicherheit Tipps und Hinweise, welchen Beitrag der Benutzer zur Erhöhung der Datensicherheit leisten kann (Aufbewahrung von Codes, Einstellungen am Browser, erkennen von Missbrauch, ...) ARGE DATEN

123 (5) Kontroll-, Beschwerde- & Informationsstelle(n)
Privacy Statements [PS] (5) Kontroll-, Beschwerde- & Informationsstelle(n) - Angaben zur Registrierung von Datenverarbeitungen - Statement, welche Person/Stelle für die Einhaltung der Privatsphäre / der Datensicherheit unternehmensintern verantwortlich ist - Kontaktstelle(n) für Fragen, Beschwerden - Gesetzliche Beschwerdestelle - Freiwillig anerkannte Streitschlichtungsstelle - Freiwillige Schadenersatzregelungen Angaben zur Registrierung von Datenverarbeitungen Falls vorhanden DVR-Nummer und DVR-Adresse, allenfalls auch DVR-Auszug Statement, welche Person/Stelle für die Einhaltung der Privatsphäre / der Datensicherheit verantwortlich ist Hier sollte konkrete Ansprechperson ("Datenschutzbeauftragter") bzw. zuständige Abteilung ("IT-Revision", "Beschwerdestelle", ...) genannt werden. Kontaktstelle(n) Allgemeine Kontaktstelle, besser detaillieren nach: - Zuständigkeit für Informationen über Zweck und Auftraggeber der Datenverarbeitung ist .... - Zuständigkeit für Einbringung eines Widerrufs der Zustimmung zu verwenden/zu übermitteln/zu ermitteln ist .... - Zuständigkeit für Einbringung eines Widerspruchs zur Weitergabe von Daten an Adressenverlage, [...] ist .... - Zuständigkeit für Auskünfte - Zuständigkeit für Beschwerden und vermutete Verletzungen der Privatsphäre Gesetzliche Beschwerdestelle Zuständiges Gericht bzw. Datenschutzkommission bzw. verantwortlicher Datenschutzbeauftragter Freiwillig anerkannte Streitschlichtungsstelle Dies können Stellen bei den Kammern, bei Behörden, bei Konsumentenschutzorganisationen oder sonstigen Vereinigungen sein. Freiwillige Schadenersatzregelungen Regelungen, die über das gesetzliche materielle Schadenersatzrecht hinausgehen, etwa Entschädigungen für Vertrauensverlust, nicht quantifizierbaren Aufwand durch fehlerhafte oder missbräuchliche Datenverwendung bedingte Fehlbestellungen/Fehllieferungen. ARGE DATEN

124 OECD bietet PRIVACY STATEMENT GENERATOR
Privacy-Initiativen Was ist P3P? (Platform for Privacy Preferences, derzeit P3Pv1.0) - Privacy-Empfehlungen des W3-Consortiums (W3C) - Sicherung der Privatsphäre im Internet auf standardisierter Basis (einheitliches Datenschutzvokabular) - Privacy-Erklärungen werden programmtechnisch gegen Benutzereinstellungen geprüft - Konzept vergleichbar den Access-Control-Listen bei Routern - u.a. Definition von "sicheren Web-Zonen" (safe zone), Ablaufdatum, Gültigkeitsdatum, Validierung von Cookies (Name, Domain, Wert) - Definition von Tags, wie "Verwendungszweck" (<PURPOSE>), "Empfänger" (<recipient>), ... - Definition weiterer Tags, wie Ansprechstelle, Beschwerdestelle, ... Quellenhinweis P3P: OECD bietet PRIVACY STATEMENT GENERATOR an OECD bietet PRIVACY STATEMENT GENERATOR ARGE DATEN

125 Allgemeine Geschäftsbedingungen (AGB's) § 11 ECG
Bestimmungen e-commerce Allgemeine Geschäftsbedingungen (AGB's) § 11 ECG Nutzer muß AGB's ausdrucken und abspeichern können AGB's unterliegen Geltungskontrolle § 864a ABGB (überraschende Vertragsklauseln) Inhaltskontrolle § 879 Abs. 3 ABGB und § 6 KSchG dürfen keine "überraschenden Vertragsklauseln" enthalten für Konsumenten: Transparenzgebot § 6 Abs. 3 KSchG Verbraucher kann nicht rechtswirksam darauf verzichten Sonderbestimmungen für Verbraucher - Erweiterte Konsumentenrechte, weitergehend als das ECG (vergleichbar dem Haustürgeschäft) (§ 5* KSchG) - § 5a KSchG: regelt Vertragsabschlüsse im Fernabsatz keine gleichzeitige körperliche Anwesenheit der Vertragspartner - § 5c KSchG sieht erweiterte Informationspflichten vor § 5a KSchG bedeutet Vertragsabschluss ohne gleichzeitige körperliche Anwesenheit § 5a. (1) Die §§ 5c bis 5i gelten für Verträge, die unter ausschließlicher Verwendung eines oder mehrerer Fernkommunikationsmittel geschlossen werden, sofern sich der Unternehmer eines für den Fernabsatz organisierten Vertriebs- oder Dienstleistungssystems bedient. (2) Fernkommunikationsmittel im Sinn des Abs. 1 sind Kommunikationsmittel, die zum Abschluß eines Vertrages ohne gleichzeitige körperliche Anwesenheit der Parteien verwendet werden können, insbesondere Drucksachen mit oder ohne Anschrift, Kataloge, Pressewerbungen mit Bestellschein, vorgefertigte Standardbriefe, Ferngespräche mit Personen oder Automaten als Gesprächspartnern, Hörfunk, Bildtelefon, Telekopie, Teleshopping sowie öffentlich zugängliche elektronische Medien, die eine individuelle Kommunikation ermöglichen, wie etwa die elektronische Post. Ausnahmebestimmungen I (§ 5b KSchG) Verträge über Finanzdienstleistungen Bestimmte Immobilienverträge Bestimmte Automaten "Zigarettenautomat" Versteigerungen ARGE DATEN


Herunterladen ppt "Datenverwendung im Unternehmen"

Ähnliche Präsentationen


Google-Anzeigen