Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© Hans G. Zeger 2013 VO SS2013 - Juridicum Datenschutzfragen in Internet und eCommerce/eBusiness Hans G. Zeger Juridicum Wien, VO Sommersemester 2013 Download:

Ähnliche Präsentationen


Präsentation zum Thema: "© Hans G. Zeger 2013 VO SS2013 - Juridicum Datenschutzfragen in Internet und eCommerce/eBusiness Hans G. Zeger Juridicum Wien, VO Sommersemester 2013 Download:"—  Präsentation transkript:

1 © Hans G. Zeger 2013 VO SS Juridicum Datenschutzfragen in Internet und eCommerce/eBusiness Hans G. Zeger Juridicum Wien, VO Sommersemester 2013 Download:

2 © Hans G. Zeger 2013 VO SS Juridicum Grundfragen Was ist überhaupt "Datenschutz"? formulierten Warren/Brandeis in der Harvard Law Review ein "right to be let alone" (The Right to Privacy), gilt als Beginn des modernen Privatsphäregedankens -70er-Jahre europaweit diverse Datenschutzinitiativen als Gegenbewegung zu Entwicklungen in der Computertechnik (inkl. Europarat, OECD) im öDSG Datenschutz als Interpretation des Art. 8 EMRK (Teil des Privat- und Familienlebens), im DSG 2000 beibehalten Datenschutz wird eigenes Grundrecht in EU-Grundrechtecharta deutsches Volkszählungsurteil "informationelles Selbstbestimmungsrecht" (Bundesverfassungsgericht) deutsches Online-Durchsuchungsurteil formuliert "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" (Bundesverfassungsgericht) "Datenschutz" als moderne Ausformung von Grundrechten

3 © Hans G. Zeger 2013 VO SS Juridicum Grundfragen Was ist das Internet? -technische Infrastruktur ("Unternehmensvernetzung", "virtuelle Netzwerke", "Telefonie",...) -Plattform für wirtschaftliche Tätigkeiten ("eCommerce", "Online-Shops",...) -Informationsvermittlung ("Agora", "Medium", "Stammtisch", "sozialer Treffpunkt",...) -Erweiterung der Privatsphäre (" ", "Weblog"/Tagebuch, "Freundeskreis",...) -politischer Aktionsraum ("Kooperation", "Vernetzung", "Foren",...) Abgrenzung nicht immer offensichtlich, können zu gegensätzlichen Interessen führen

4 © Hans G. Zeger 2013 VO SS Juridicum Anwendungsfälle Datenschutz Welche (Internet-)Situationen sind überhaupt datenschutzrelevant? -Vereinbarung mit dem Provider, Tätigkeit der Provider -Bestellungen im Internet ("eCommerce") -Amtswege und öffentliche Verwaltung, Vorschreibungen ("eGovernment") -Nutzung personalisierter und/oder kostenpflichtiger Informationsdienste ("Online-Services", "Apps") -Selbstdarstellung / Meinungsäußerung ("Web2.0", "Social Media") -Veröffentlichung persönlicher Daten durch Dritte -Nutzung als Infrastruktur (virtuelle Unternehmensnetze, Intranet, Extranet) -sonstige Internetnutzungen: ????

5 © Hans G. Zeger 2013 VO SS Juridicum Anwendbare Bestimmungen Wo finden sich zum Internet datenschutzrelevante Bestimmungen? -DSG 2000 (Verarbeitungsvoraussetzungen, Schutzbestimmungen) -TKG 2003 (Verarbeitungsvoraussetzungen, Schutzbestimmungen, Auskunftspflichten, Dienstleister) -ABGB Privatsphärebestimmung (Schutzbestimmung) -SPG (Auskunftspflichten) -ECG (Dienstleister, Haftung, Auskunftspflichten) -StPO (Auskunftspflichten) -UrhG (Auskunftspflichten) -Materiegesetze, wie E-Government Gesetz, Gesundheitstelematikgesetz,...)

6 © Hans G. Zeger 2013 VO SS Juridicum Bestimmungen zum Schutz der Privatsphäre EMRK Art 8 (Privatsphäre, Familienleben, Briefverkehr) StGG (Staatsgrundgesetz) Art 9, 10 (Briefgeheimnis) u. 10a (Fernmeldegeheimnis) § 1 DSG 2000 (Geheimhaltung Daten) § 16 ABGB (angeborene Rechte) StGB z.B. § 118f (Briefgeheimnis), § 119f (Telekommunikationsgeheimnis) und §§ 302ff (Amtsmissbrauch) TKG 2003 § 93 (Kommunikationsgeheimnis) MedienG § 7ff (Bloßstellung) UrhG § 77 (Briefe, Tagebücher, ähnliche vertrauliche Aufzeichnungen), § 78 (Bildnissschutz), § 87 Abs 2 (Entschädigung) Regelungen für einzelne Berufsgruppen ABGB § 1328a (Bloßstellung) StGB § 107a (Anti-Stalking-Bestimmung) Schutz der Privatsphäre - Übersicht

7 © Hans G. Zeger 2013 VO SS Juridicum Schutz der Privatsphäre - Übersicht

8 © Hans G. Zeger 2013 VO SS Juridicum Grundlagen des DSG 2000 Die wichtigsten Begriffe Zustimmung Zulässigkeit der Datenverwendung Rechtmäßige Datenanwendung

9 © Hans G. Zeger 2013 Entwicklung zum DSG erstes Datenschutzgesetz - DSG (BGBl. Nr. 565/1978) (Geltung ) 1995EG-Datenschutzrichtlinie 95/46/EG 1999Datenschutzgesetz - DSG 2000 (BGBl. I Nr. 165/1999) Änderungen des DSG Euro-Umstellung der Verwaltungsstrafen (BGBl. I Nr. 136/2001) 2005"Tsunami"-Bestimmung (BGBl. I Nr. 13/2005) 2008Änderungen in Verfassungsbestimmungen (BGBl. I Nr. 2/2008) 2009DSG Novelle 2010 (BGBl. I Nr. 133/2009) 2012Verwaltungsgerichtsbarkeits-Novelle 2012 (BGBl. I Nr. 51/2012) 2013"Unabhängigkeit" der DSK (BGBl. I Nr. 57/2013) 2014Schaffung neue Datenschutzbehörde (BGBl. I Nr. 83/2013) 20?? EU - Neuordnung des Datenschutzes DSG Grundlagen VO SS Juridicum

10 © Hans G. Zeger 2013 VO SS Juridicum Umsetzung der EU-Richtlinie "Datenschutz" (1995) soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch (Art.1 Abs.2) sichern Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten." Art. 1 Abs. 2 "Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes." EU-RL gilt nur für "natürliche Personen" DSG 2000 auch für "juristische und sonstige Personen" damit vertritt Österreich EU-weit eine exotische Position DSG Grundlagen

11 © Hans G. Zeger 2013 DSG Grundrecht DSG 2000 § 1 (Verfassungsbestimmung) : "jede Verwendung persönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Europarechtliche Grundlage (Art. 8 RL 95/46/EG Datenschutz-Richtlinie) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots ist möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen -EU-Vorschlag: auf Basis rechtlicher Befugnisse (Gesetze, Verträge) Einschränkungen des Verbots sind möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen VO SS Juridicum

12 © Hans G. Zeger 2013 VO SS Juridicum DSG 2000 § 4 Z 1 "Daten" ("personenbezogene Daten") "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" DSG 2000 § 4 Z 3 "Betroffener" "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" Datenbegriff sehr allgemein gehalten, umfasst auch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. IP-Adressen, Cookies, Stromverbrauchsdaten,...) DSG Grundlagen

13 © Hans G. Zeger 2013 VO SS Juridicum Personenbezogene Daten Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!) personenbezogene Daten § 4 Z 1 DSG 2000sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG 2000 (kein EU-Begriff) sensible Daten § 4 Z 2 DSG 2000 DSG Grundlagen

14 © Hans G. Zeger 2013 VO SS Juridicum DSG 2000 § 4 Z 2 ("sensible" Daten) Daten natürlicher Personen über rassische und ethnische Herkunft politische Meinung Gewerkschaftszugehörigkeit religiöse und philosophische Überzeugung Gesundheit Sexualleben Probleme kann die Abgrenzung bereiten, z.B. Bestellungen von "Gesundheitsprodukten", Nutzung von Sexseiten,... DSG Grundlagen

15 © Hans G. Zeger 2013 VO SS Juridicum DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung) DSG 2000 § 4 Z 5 "Dienstleister" natürliche oder juristische Personen,......, wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung) DSG Grundlagen

16 © Hans G. Zeger 2013 VO SS Juridicum DSG 2000 § 4 Z 7,,Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)" DSG 2000 § 4 Z 9 "Verarbeiten von Daten" "das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten" DSG 2000 § 4 Z 12 "Übermitteln von Daten" "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister" Übermittlung ist unabhängig von der technischen Methode DSG Grundlagen

17 © Hans G. Zeger 2013 VO SS Juridicum DSG 2000 § 4 Z 14 "Zustimmung" "die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt" Widerruf in § 8 bzw. § 9 DSG 2000 geregelt Entscheidungen: OGH 4 Ob 221/06p ("GE...bank") OGH 4 Ob 179/02f ("BA-CA") DSG Grundlagen Von der Zustimmung iS DSG 2000 § 4 Z 14 sind andere vertragliche Vereinbarungen zur Nutzung von Daten zu unterscheiden, etwa im Rahmen von Bestellungen, Kundenkarten,...

18 © Hans G. Zeger 2013 VO SS Juridicum Was ist eine geeignete Zustimmungserklärung? -grundsätzlich gilt Formfreiheit auch mündlich (Beweisproblem), konkludent oder Teil der AGBs möglich -Willenserklärung Art wird vom Adressaten abhängen, bei Konsumenten höhere Anforderungen als bei Geschäftsleuten Empfehlung: ausdrückliche Unterschrift, getrennt von sonstigen Vereinbarungen -Kenntnis der Sachlage Aufklärung über Umfang der Datenarten, Inhalt der Daten, Zweck der Datenweitergabe, Empfänger der Daten (so detailliert, dass der Betroffene die konkreten Empfänger erkennen kann) - konkreter Fall Pauschalzustimmungen, ohne besonderen Zweck sind unzulässsig - Widerrufshinweis gesetzlich nicht vorgeschrieben, OGH verlangt sie jedenfalls bei Konsumentengeschäften DSG Grundlagen

19 © Hans G. Zeger 2013 VO SS Juridicum Verwenden von Daten Z 8 ÜbermittelnVerarbeiten Z 9 Z 12 Daten- anwendung Z 7 Auftraggeber Z 4 Dienstleister Z 5 Auftrag Überlassen Z 11 Ermitteln, Auswerten, Sortieren, Speichern, Analysieren, Korrigieren, Ausdrucken, Anzeigen,... DSG Grundlagen Die wichtigsten Begriffe (§ 4 DSG Z...)

20 © Hans G. Zeger 2013 VO SS Juridicum Grundsätze der Verwendung von Daten (§ 6ff) Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1) Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2) Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2) Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3) Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4) [Möglichkeit der Selbstregulierung] K /010-DSK/ ("gelindester Eingriff") Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren DSG Grundlagen

21 © Hans G. Zeger 2013 VO SS Juridicum Grundlage einer rechtmäßigen Datenverwendung Dreistufiges Konzept Es muss eine Rechtsgrundlage für die Datenanwendung geben sein und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (§ 6, § 7 Abs.1) Die Verwendung der Daten eines bestimmten Betroffenen muss für den konkreten Zweck zulässig sein (§§ 7ff) Die Datenanwendung muss den Genehmigungs- und Registrierungserfordernissen entsprechen (§§ 16ff) Beispiel: Dürfen Personendaten bei eBay versteigert bzw. ersteigert werden? DSG Grundlagen

22 © Hans G. Zeger 2013 VO SS Juridicum Geheimhaltungsinteressen bei Datenverwendung (§ 8-nicht-sensible Daten, § 9-sensible Daten) Wann dürfen Daten jedenfalls verwendet werden? (Auszug) -Rechtsgrundlage / gesetzliche Verpflichtungen -Zustimmung des Betroffenen -zur Wahrung lebenswichtiger Interessen -überwiegende Interessen Dritter / Auftraggeber (nicht anwendbar bei sensiblen Daten!) z.B. notwendige Voraussetzung zur Vertragserfüllung, Ausübung von Rechtsansprüchen des Auftraggebers, behördliche Tätigkeit -indirekt personenbezogene Daten (EU-Konformität??) -zulässig veröffentliche Daten: soweit berechtigter Zweck des Verwenders gegeben? soweit mit ursprünglicher Veröffentlichung vereinbar? DSG Grundlagen

23 © Hans G. Zeger 2013 VO SS Juridicum Einrichtungen / Zuständigkeiten bei DSG-Verletzungen -Datenschutzkommission (formlos) [ab Datenschutzbehörde] - Kontroll- und Registrierungsstelle für alle Datenverarbeiter, - Beschwerdestelle in Auskunftsfällen für alle Datenverarbeiter und - für alle Bereiche bei allen öffentlich-rechtlichen Datenanwendungen (§§ 30f, 35ff DSG 2000) -Zivilgericht (Anwaltspflicht) In allen sonstigen Beschwerdefällen, die durch das DSG 2000 geregelt sind (§ 32 DSG 2000) -Magistrat / Bezirkshauptmannschaft (formlos) Anzeigen gem. § 52 DSG Staatsanwaltschaft / Polizei (formlos) Anzeigen gem. § 51 DSG 2000 DSG Einrichtungen

24 © Hans G. Zeger 2013 VO SS Juridicum Datenschutzkommission (DSK, §§ 35,36) -Oberste Kontrollbehörde (Genehmigungen, Beschwerden und Kontrolle) - als "unabhängige" Instanz eingerichtet (Form eines Tribunals): 6 Mitglieder + 6 Ersatzmitglieder -im Vertragsverletzungsverfahren EU-Kommission gegen Österreich hat EuGH Rs C-614/10 mangelnde Unabhängigkeit der DSK festgestellt -kritisierte Punkte durch DSG-Novelle 2013 saniert: eigenes Budget Berichtspflicht gegenüber Bundeskanzler eigene Personalverantwortung -Bescheide der DSK sind gem VwGH 2011/17/ nichtig -ab 2014: zwei Instanzen Datenschutzbehörde (Verwaltungsbehörde) mit einem Leiter + Bundesverwaltungsgerichtshof als Beschwerdeinstanz DSG Einrichtungen

25 © Hans G. Zeger 2013 VO SS Juridicum Kontrollbefugnisse der DSK I (DSG 2000 § 22a "Überprüfung der Meldepflicht") -DSK kann jederzeit Erfüllung der Meldepflicht prüfen -bei Verdacht einer Verletzung der Meldepflicht ist ein Berichtigungsverfahren durch Datenverarbeitungsregister durchzuführen -DSK kann Verbesserungsaufträge erteilen, wenn nicht entsprochen wird, dann ist Streichung möglich -Streichung kann auch nur Teile einer Datenanwendung/Meldung umfassen -wird der Aufforderung der Nachmeldung nicht entsprochen, dann ist Verarbeitung mit Bescheid zu untersagen und Anzeige bei der zuständigen Behörde zu erstatten DSG DSK-Kontrollbefugnisse

26 © Hans G. Zeger 2013 VO SS Juridicum Kontrollbefugnisse der DSK II (DSG 2000 § 22a "Überprüfung der Meldepflicht" - Fortsetzung) -DSK kann auch bei Fehlen von Sicherheitsmaßnahmen die Streichung einer Datenanwendung verfügen -Berichtigungsverfahren sind im DVR ersichtlich zu machen ("geeignet anzumerken") DSG DSK-Kontrollbefugnisse

27 © Hans G. Zeger 2013 VO SS Juridicum Kontrollbefugnisse der DSK III (DSG 2000 § 30) -Recht auf Prüfung und auf Einschau beim Auftraggeber / Dienstleister -Eingaben erlauben DSK eine Überprüfung der Meldepflicht nach §§ 22 und 22a (Abs. 2a) -Weitergabebefugnisse von Ermittlungsergebnissen der DSK bei bestimmten (Cybercrime-)Strafdaten (Abs. 5) -Erweiterte Befugnisse der DSK zur Durchsetzung von Maßnahmen und Empfehlungen (Abs. 6, 6a) -Möglichkeit Weiterführung einer Datenanwendung per Mandatsbescheid zu untersagen ("Gefahr in Verzug") (Abs. 6a) DSG DSK-Kontrollbefugnisse

28 © Hans G. Zeger 2013 VO SS Juridicum DSG Kontrollbefugnisse Konzept der Vorabkontrolle (DSG2000 § 10, § 18 Abs. 2, § 20, 21, 30, § 10) bestimmte Datenanwendungen unterliegen einer Vorabkontrolle durch DSK -DA's die sensible Daten verwenden -DA's die in Form eines Informationsverbundsystems betrieben werden -registrierungspflichtige Videoüberwachungen -DA's die Daten zur Beurteilung der Kreditwürdigkeit dienen bzw. strafrechtlich relevante Daten verarbeiten Voraussetzungen der Vorabkontrolle: Prüfung auch ohne Verdachtsmomente möglich Auflagen zum Betrieb der Datenanwendung können erteilt werden

29 © Hans G. Zeger 2013 VO SS Juridicum Zeitpunkt der Kontrolle durch DSK (a)vor Aufnahme einer Datenanwendung (Vorabkontrolle, § 18) (b)bei begründetem Verdacht einer Verletzung der Datenschutz-Bestimmungen (§ 30) (c) DSK kann jederzeit Meldepflicht prüfen (DSG Novelle 2010: §22a) [Gesetzgeber hofft laut EB zur DSG-Novelle 2010 nunmehr praktikable Kontrollmöglichkeiten für DSK geschaffen zu haben] Europäische Agentur für Grundrechte (EU) kritisierte 5/2010 mangelnde Durchsetzungsbefugnisse der österreichischen Datenschutzkommission DSG DSK-Kontrollbefugnisse

30 © Hans G. Zeger 2013 VO SS Juridicum In welchem Umfang ist DSG auf das Internet anwendbar? Dazu sind Vorfragen zu klären: -Ist eine Veröffentlichung auf einer Internetseite eine Datenanwendung? -Ist -Verkehr eine Datenanwendung? -Wann handelt es sich um personenbezogene Daten? Was sind die Mindestangaben, um von Personenbezug sprechen zu können? Name, Adresse, Identifikationsdaten -Adresse IP-Adresse, Matrikelnummer (z.B. e ) Kundennummer/Benutzerkennung Cookies, Computersignatur,... -Ist ein berechtigter Zweck gegeben? Internet und Datenschutz

31 © Hans G. Zeger 2013 VO SS Juridicum Webseite als Datenanwendung Bedeutung der IP-Adresse Veröffentlichung von Informationen Web-Zugriffsstatistik Zweck der Datenanwendung Beispiele / Entscheidungen

32 © Hans G. Zeger 2013 VO SS Juridicum Beispiele / Entscheidungen EuGH-Entscheidung C-101/01 Fall Lindqvist Frau Lindqvist war/ist Reinigungskraft besuchte einen Web-Programmierkurs ehrenamtlich in der lokalen Kirche tätig Produzierte eine persönliche Webseite enthalten: -Informationen über sich und Ehemann -16 namentlich genannte Konfirmanten/Kirchenmitarbeiter -"lustige" Beschreibung der Interessen dieser Personen -Information über eine Beinverletzung einer Person und dass sie nicht am Unterricht teilnehmen kann

33 © Hans G. Zeger 2013 VO SS Juridicum Beispiele / Entscheidungen EuGH-Entscheidung C-101/01 Lindqvist II Frau Lindqvist löscht sofort nach Verlangen -trotzdem Strafverfahren, weil Datenverarbeitung nicht registriert -Strafe von 4000 SEKronen (ca. 430 Euro) Im Zuge des Verfahrens wurde EuGH von schwedischem Gericht mit einer Reihe von Fragen angerufen: -Ist eine Website eine Datenverarbeitung? -Gelten die Ausnahmebestimmungen für private Webseiten? -Handelt es sich um sensitive Daten? -Liegt (genehmigungspflichtiger) internationaler Datenverkehr vor? -Schränkt das EG-Datenschutzrecht unzulässig die Freiheit der Meinungsäußerung ein? -Gibt die Richtlinie 95/46/EG nur einen Mindeststandard vor? JA NEIN

34 © Hans G. Zeger 2013 VO SS Juridicum Root Nameservice, ca. 123 Rootserver, weltweit verteilt nationales Nameservice, TLD- Server, nic.at Grundlagen Internet Was passiert bei der Internetkommunikation? Abruf Webseite Webserver Benutzersicht Providerwolke B IP-Adresse Benutzer Vienna Internet Exchange IP-Adresse Anbieter / Datenbank Inhaber IP- Adressen und Domainnamen orf.at ? ? ? ? WHOIS Nameservice, meist Provider Providerwolke A

35 © Hans G. Zeger 2013 VO SS Juridicum Grundlagen Internet Sitz Marina del Rey (nahe Los Angeles) seit 2009: Übereinkommen mit US-Handelsministerium (DOC), davor Aufsicht durch DOC, Beirat mit Regierungsvertretern: Governmental Advisory Committee (GAC). IANA = Internet Assigned Numbers Authority operative Nummernverwaltung (IP-Adressen, Protokolle und Ports) mit Teilorganisationen Organisation im Internet I ICANN = Internet Corporation for Assigned Names and Numbers privatrechtliche Non-Profit- Organisation US- amerikanischen Rechts

36 © Hans G. Zeger 2013 VO SS Juridicum Grundlagen Internet Organisation im Internet II Root-Nameservice (A-M) VeriSign/US/verteilt (A,J), University of Southern California/US (B), Cogent/US/verteilt (C), University of Maryland/US (D), NASA/US (E), ISC[University of California, Berkeley]/US/verteilt (F), USDoD /US (G), USArmy/US (H), nordu/SE/verteilt (I), RIPE/NL/verteilt (K), ICANN/US (L), WIDE Project/JP (M) -13 Knoten, 123 Server (letzter verfügbarer Stand Ende 2006) -US-Dominanz -Koordinations- und Publikationsinstanz: Verisign (nach Auftrag von ICANN, Genehmigung U.S. Department of Commerce) Bei Ausfall dieses Services ist weltweit kein Internetbetrieb im gewohnten Umfang möglich!

37 © Hans G. Zeger 2013 VO SS Juridicum Grundlagen Internet Wie erfahre ich etwas über Internetkommunikation? -IP-Adress(Range)-Information (http://www.db.ripe.net/) - IP-Lookup-Information (http://www.dnsstuff.com/) -Traceroute (http://www.dnsstuff.com/) -Domain-Name-Service (http://www.dnsstuff.com/) -Standortinformation (http://www.ip-adress.com/) -System-Information zu , Browser, Server (http://www.netcraft.com) -Portscan/Schwachstellenanalyse (http://www.nessus.org/) Beispiele IP-Adressen: [ORF] [Erste Sparinvest] , , [persönliche Adressen] , [Dynamic IP Addresses]

38 © Hans G. Zeger 2013 VO SS Juridicum Grundlagen Internet IHL = IP Header Length, TOS = Type of Service, Total Length = Paketgröße (max, Byte), Identification = Kennung des Paketes, Time to Live = Lebensdauer IP-Datenpaket - Keine Trennung von Adress- und Inhaltsinformation Zahl der Bits Zieladresse Absendeadresse Inhalt

39 © Hans G. Zeger 2013 VO SS Juridicum DSK-Entscheidung zur IP-Adresse (Empfehlung K /0005-DSK/ ) Ausgangslage Tauschbörsenbenutzer konnten ausgeforscht werden, da der ISP die Identität der Internetbenutzer an Hand der zu einem bestimmten Zeitpunkt genutzten IP-Adresse offen legte. Benutzer beschwerte sich, da diese Information gar nicht aufgezeichnet werden dürfte DSK-Empfehlung -IP-Adresse sind gem. TKG Teil der Verkehrsdaten (dynamische ausschließlich, statische sowohl Verkehrsdaten, als auch Stammdaten) -bei Vorliegen einer Flatrate-Vereinbarung sind diese Daten nicht für die Abrechnung erforderlich und dürfen daher nicht aufgezeichnet werden -die Weitergabe nicht rechtmäßig verarbeiteter Daten ist unzulässig Beispiele / Entscheidungen

40 © Hans G. Zeger 2013 VO SS Juridicum Wertungsunterschiede bieten Konfliktpotential -KFZ-Datenbank der Schweiz (Beispiel: -Sexualstraftäterdatei USA (http://www.nsopr.gov/) -Sexualstraftäterdatei GB (Google-Suche nach "schotte sex fahrrad") Zugang wird laufend modifiziert um "Missbrauch" zu verhindern: meist CAPTCHA Codes verwendet = Completely Automated Public Turing test to tell Computers and Humans Apart Demobeispiele Veröffentlichung Was ist eine zulässige Veröffentlichung? Veröffentlichen von Informationen -ist im DSG 2000 Spezialfall der Datenübermittlung -die Veröffentlichung muss rechtlich zulässig sein

41 © Hans G. Zeger 2013 VO SS Juridicum Was ist eine (un)zulässige Veröffentlichung im Internet? -Veröffentlichen von Hausbesorgerdaten (OLG Innsbruck, Beschlüsse vom , 1 R 143/99 und , 1 R 30/00x) -Private Schuldnerfahndung siehe auch Mandatsbescheid DSK K /002-DSK/ Veröffentlichen von Mitarbeiter-/Schüler-/Studentenfotos zusätzlich Bildnisschutz § 78 UrhG beachten OGH 8ObA136/00h Teilnehmerlisten (Sportveranstaltungen, Schulen, Universitätsveranstaltungen,...) -WHOIS-Daten (technische Internet-Informationen) -Lehrerbewertung: Freie Meinungsäußerung hat Vorrang Bundesgerichtshof VI ZR 196/ Dreistufiges Konzept zur Zulässigkeit ist zu beachten! Demobeispiele Veröffentlichung

42 © Hans G. Zeger 2013 VO SS Juridicum Demobeispiele Veröffentlichung Herold verknüpft Telefonbuchsuche mit Luftbild Fragen: Handelt es sich bei Luftbild um personenbezogene Information? Ist Zustimmung erforderlich? Erfüllt Veröffentlichung berechtigten Zweck? Wäre durch Löschung des Familiennamens Luftbild-Veröffent- lichung saniert?

43 © Hans G. Zeger 2013 VO SS Juridicum Demobeispiele Veröffentlichung Diskussionsforum eines Mediendienstes "offizieller" Diskussionsbeitrag

44 © Hans G. Zeger 2013 VO SS Juridicum Diskussionsforum eines Mediendienstes II "inoffizieller" Diskussionsbeitrag -Adresse und IP-Adresse unkenntlich gemacht Demobeispiele Veröffentlichung

45 © Hans G. Zeger 2013 VO SS Juridicum Diskussionsforum eines Mediendienstes III -Werden personenbezogene Daten veröffentlicht (fehlerhafte/offizielle Version)? -Handelt es sich um eine Datenanwendung im Sinne des DSG? -Besteht eine Rechtsgrundlage für die Veröffentlichung? (berechtigter Zweck, zulässige Datenverwendung, Registrierungserfordernis) -Welche Bestimmungen/Regulierungen sind anzuwenden? -Verhalten bei Kenntnisnahme durch Internetbenutzer? -Wer ist für Aufsicht verantwortlich / Welche Zuständigkeit? -Welche Sanktionen sind vorgesehen? Demobeispiele Veröffentlichung

46 © Hans G. Zeger 2013 VO SS Juridicum Demobeispiele Veröffentlichung [Website seit 2011 nicht mehr aktiv]

47 © Hans G. Zeger 2013 VO SS Juridicum Demobeispiele Veröffentlichung öffentlich zugängliche Besucherstatistik zu sexpunkt.at

48 © Hans G. Zeger 2013 VO SS Juridicum Demobeispiele Veröffentlichung öffentlich zugängliche Besucherstatistik zu "zärtliche Nicole" [Counter 2011 nicht mehr aktiv]

49 © Hans G. Zeger 2013 VO SS Juridicum Veranstaltungsanmeldung Demobeispiel Online-Anmeldung

50 © Hans G. Zeger 2013 VO SS Juridicum Googles Street-View Aufzeichnung "öffentlichen" Verhaltens - handelt es sich überhaupt um personenbezogene Datenverarbeitung? -Google sagt zu, Personen vor Veröffentlichung zu "verpixeln" - Was ist zu den Street-View-Funseiten zu sagen?

51 © Hans G. Zeger 2013 VO SS Juridicum Googles Street-View DSK genehmigt 2011 Street-View Anwendung mit drei Empfehlungen (K /0002-DSK/ ) -Aufnahmen von Personen in sensiblen Bereichen sind die Gesamtbilder der Personen unkenntlich zu machen: etwa Eingangsbereiche von Kirchen, Gebetshäusern, Krankenhäusern, Frauenhäusern und Gefängnissen -für Spaziergänger nicht einsehbare Immobilien (umzäunte Privatgärten und -höfe) sind vor Veröffentlichung im Internet unkenntlich zu machen -Schaffung eines einfachen Widerspruchsrechts nach § 28 Abs. 2 DSG 2000

52 © Hans G. Zeger 2013 VO SS Juridicum Web Datenschutzspezifische Fragestellungen Vorgaben des DSG 2000: (1)Rollenkonzept: Auftraggeber, Betroffener, Dienstleister (2)Schutzinteressen der persönlichen Daten: allgemein verfügbare Daten, indirekt personenbezogene Daten, vertrauliche Daten, sensible Daten (3)berechtigter Zweck: der persönlichen Nutzung, die Weitergabe an Dritte, Veröffentlichung (4)Aufsicht + Ausnahmen: Registrierungs- bzw. Genehmigungspflicht Datenschutzregeln treffen sowohl Betreiber des Accounts ("Benutzer" [A]), als auch Plattformbetreiber ("Facebook" [B]), Web2.0, Social Media und Datenschutz

53 © Hans G. Zeger 2013 VO SS Juridicum Variante I: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich (1)Rollenkonzept: [A] Benutzer ist bezüglich der veröffentlichten Daten weder Betroffener, noch Auftraggeber, Facebook ist in diesem Fall auch kein Dienstleister, daher keine Datenanwendung. [B] Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber (2)Schutzinteresse: [A] Kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat. [B] Facebook darf Daten im Rahmen seiner berechtigten Zwecke verwenden. Web2.0, Social Media und Datenschutz

54 © Hans G. Zeger 2013 VO SS Juridicum Variante I: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich II (3)Berechtigter Zweck: [A] Ist in Bezug auf Benutzer nicht zu prüfen, da keine Datenanwendung im Sinne des DSG 2000 [B] für Facebook aus Angebot und Geschäftsbedingungen ableitbar (4)Aufsicht: [A] Für Benutzer keine Registrierungs- bzw. Genehmigungspflicht [B] für Facebook gelten die Bestimmungen des Geschäftssitzes (für Europa das irische Datenschutzrecht) Web2.0, Social Media und Datenschutz

55 © Hans G. Zeger 2013 Variante II: Unternehmen ("Benutzer") richtet (Facebook-) Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (1)Rollenkonzept: [A] Benutzer ist bezüglich der veröffentlichten Daten Dritter Auftraggeber, Facebook ist in diesem Fall Dienstleister, Datenanwendung liegt vor! [B] Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber Web2.0, Social Media und Datenschutz VO SS Juridicum

56 © Hans G. Zeger 2013 Variante II: Unternehmen ("Benutzer") richtet (Facebook-) Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (2)Schutzinteresse: [A] Bezüglich der Veröffentlichung der Unternehmensdaten gilt, kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat, bezüglich Dritter (Poster + Person über die gepostet wird) hat Unternehmen auf Einhaltung der Datenschutzinteressen zu achten! Es sind zusätzlich zum DSG 2000 die ECG- Bestimmungen insb. § 16 (Haftung!) zu beachten. [B] Facebook darf die Daten nur im Rahmen der ausdrücklich vereinbarten Geschäftsbedingungen verwenden. Web2.0, Social Media und Datenschutz VO SS Juridicum

57 © Hans G. Zeger 2013 Variante II: Unternehmen ("Benutzer") richtet (Facebook-) Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (3)Berechtigter Zweck: [A] Keine private Datenanwendung im Sinne des § 45 DSG 2000, in der Regel zulässig (z.B. Unternehmenspräsentation, Erwerbsfreiheit). [B] In Bezug auf Facebook aus Angebot und Geschäftsbedingungen ableitbar. (4)Aufsicht: [A] Für Unternehmen dann Registrierungs- bzw. Genehmigungspflicht, wenn keine Ausnahmebestimmung zutrifft (Standardanwendung, ausschließliche Verwendung veröffentlichter Daten, rein private Datenverwendung, Medienprivileg/Berichterstattung). [B] Für Facebook gelten die Bestimmungen des Geschäftssitzes Web2.0, Social Media und Datenschutz VO SS Juridicum

58 © Hans G. Zeger 2013 VO SS Juridicum Facebook / LikeIt Was passiert bei Aufruf einer Website in dem ein Facebook LikeIt Button (ein Social Plugin) eingebaut ist?

59 © Hans G. Zeger 2013 VO SS Juridicum Weitere Themen DSK /010-DSK/ (" -Datenanwendung") Auch -Verkehr ist als Datenanwendung iS des DSG 2000 anzusehen und unterliegt der Auskunftspflicht Beispiele / Entscheidungen

60 © Hans G. Zeger 2013 VO SS Juridicum In welchem Umfang ist DSG auf Internet anwendbar? -Ist eine Veröffentlichung auf einer Internetseite eine Datenanwendung? (ja, siehe EuGH C-101/01 Lindqvist) -Ist -Verkehr eine Datenanwendung? (ja, siehe DSK K /010-DSK/ , DSK K /0013- DSK/ ) -Wann handelt es sich um personenbezogene Daten? Name, Adresse, Identifikationsdaten -Adresse (ja, siehe OLG Bamberg/D 1U143/ ) IP-Adresse (ja, siehe DSK K /0005-DSK/ ) Kundennummer/Benutzerkennung Cookies, personalisierte Webinformationen,... Kriterium ist "bestimmbar" (iS EG-RL 95/46/EG Art. 2) -Ist berechtigter Zweck gegeben? (DSK K /002-DSK/ ) [unzulässiges Onlineangebot zur Kreditwürdigkeit] Beispiele / Entscheidungen

61 © Hans G. Zeger 2013 VO SS Juridicum Eurobarometerumfrage 2011 Was wird überhaupt als (schutzwürdige) personenbezogene Information gesehen? (EU27 / AT / max / min) -Finanzdaten: 75% EU27 / 73% AT / 91% DK / 44% PL -Gesundheitsdaten: 74% EU27 / 75% AT / 93% IE / 46% PL -Identitätsdaten( Passnummer,...): 73% EU27 / 67% AT / 92% BG / 53% MT -Lebenslauf (beruflich): 30% EU27 / 43% AT / 50% DE / 11% BG,RO -mit wem befreundet: 30% EU27 / 40% AT / 52% DE / 7% BG -private Interessen/Hobbies: 25% EU27 / 40% AT / 46% DE / 8% CY -besuchte Webseiten: 25% EU27 / 33% AT / 44% SE / 5% RO Länder mit höchsten Datenschutzbewusstsein: Deutschland, Niederlande, Großbritannien, Österreich

62 © Hans G. Zeger 2013 VO SS Juridicum Besondere Dienstleisterverpflichtungen Registrierung von Datenanwendungen Informationsverbundsystem DSG-Bestimmungen Anwendbare Datenschutzbestimmung Internationaler Datenverkehr

63 © Hans G. Zeger 2013 VO SS Juridicum DSG Dienstleister Dienstleister im Sinne des DSG 2000 (§§ 10f) -Dienstleistung liegt vor, wenn ein Verantwortlicher jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben betraut -Geeignete Vereinbarungen sind zu treffen -Vereinbarungen sind zu überprüfen/überwachen ["überzeugen"] -Meldepflicht bei DSK bei Datenverarbeitungen des öffentlichen Bereichs, die der Vorabkontrolle unterliegen (z.B. bei Verwendung von Gesundheitsdaten), keine Meldepflicht bei verbundenen Unternehmen -Subdienstleister nur mit Billigung des Auftraggebers Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000)

64 © Hans G. Zeger 2013 VO SS Juridicum Registrierung von Datenanwendungen (§§ 16ff) -Datenanwendungen sind grundsätzlich meldepflichtig (§ 17) -Jede Registrierung erfolgt für bestimmte Datenanwendung, für bestimmte Datenarten, bestimmte Personengruppen und bestimmte Zwecke (§ 17) -Eine DVR-Nummer wird einem Unternehmen (Organisation) bei erstmaliger Registrierung einer DA zugeteilt (§ 21) -Registrierung ist kostenlos (§ 53) -Registrierung soll Transparenz sichern, die Registernummer ist in jeder Korrespondenz mit Betroffenen oder Dritten anzugeben (§ 16) -Jedermann kann Einsicht in Registrierung nehmen (§ 16) -Es gibt Ausnahmen von der Registrierungspflicht (§ 17) DSG Registrierung und Genehmigung

65 © Hans G. Zeger 2013 VO SS Juridicum Registrierungsfreiheit (§ 17) -Standardanwendungen -DA enthält ausschließlich (!) veröffentlichte Daten (aus öffentlichen Internetseiten, Telefonbuch- oder Firmen-Suche) -ausschließlich indirekt personenbezogene Daten -persönliche Datenanwendungen (persönliche s, Webseiten mit ausschließlich eigenen Angaben) -publizistische Datenanwendungen (Online-Medien) -manuelle Datenanwendungen, die nicht der Vorabkontrolle unterliegen -Führung öffentlicher, gesetzlich vorgesehener Register -bestimmte DAs der Republik Österreich -DA für Zwecke der Strafverfolgung DSG Registrierung und Genehmigung

66 © Hans G. Zeger 2013 VO SS Juridicum Datenverarbeitungsregister (DVR) (§§ 16ff) Zeitpunkt der Registrierungspflicht und wann ist zulässiger Beginn der Verarbeitung? (§ 18) -Beginn der Verarbeitung mit Tag der Registrierungsmeldung (gilt für "normale" DAs) oder -nach Abschluss der Vorabkontrolle, wenn keine Einwände erhoben werden, 2 Monate nach Meldung (gilt für DAs, die der "Vorabkontrolle" unterliegen) -Datenverarbeitungsregister ist Teil der DSK (§ 16) -derzeit etwa registrierte Auftraggeber -Auftraggeber, die keine DVR-Nummer benötigen, müssen die Identität in anderer Weise offen legen (§ 25) -ab 9/2012 erfolgt die Registrierung automationsunterstützt DSG Registrierung und Genehmigung

67 © Hans G. Zeger 2013 Internationaler Datenverkehr (§§ 12, 13, 55) Genehmigungsfreiheit (EU: "Datenexport") -innergemeinschaftlicher Datenverkehr -gleichwertige Datenschutzgesetzgebung -im Inland zulässigerweise veröffentlichte Daten -notwendige Grundlage zur Vertragserfüllung mit Betroffenen -persönliche oder publizistische DAs -mit Zustimmung des Betroffenen -wenn Datenverkehr in Standard- und Musteranwendungen vorgesehen -bei Akten und Dokumenten (Entscheidung DSK K /13-DSK/ "gegenseitige Information zu Waffenexporten") -Theoretisch: bei Verwendung der EU-Standardvertragsklauseln (jedoch fehlt dazu eine Verordnung des Bundeskanzlers) DSG Internationaler Datenverkehr VO SS Juridicum

68 © Hans G. Zeger 2013 Genehmigungsfrei (weil gleichwertig) -gleichwertig auf Grund EWR-Verträge Island, Norwegen, Liechtenstein -gleichwertig gem. Kommissionsentscheidung Schweiz ( ), Kanada ( ) Argentinien ( ), Australien ( ) Israel ( ), Uruguay ( ) Neuseeland ( ) Andorra, Faeroe Islands, Guernsey, Isle of Man, Jersey -USA (nur bereichs- oder unternehmensbezogen, etwa wenn SafeHarbour-Vereinbarung beigetreten, SWIFT- oder PassengerNameRecord-Abkommen) bei allen anderen Staaten hat sich der Betroffene bzw. der Auftraggeber selbst um den Datenschutz zu kümmern DSG Internationaler Datenverkehr VO SS Juridicum

69 © Hans G. Zeger 2013 VO SS Juridicum Was bedeutet "Safe Harbour"? In den USA fehlen einheitliche, für Unternehmen verbindliche Datenschutzstandards Entwicklung von Richtlinien, denen freiwillig beigetreten werden kann (SELBSTZERTIFIZIERUNG), nach Beitritt verbindlich, es kann jederzeit wieder ausgetreten werden FTC (Federal Trade Commission, Bundeshandelskommission) bzw US-Verkehrsministerium (bei Luftfahrtgesellschaften) überwachen Einhaltung Liste mit Teilnehmern veröffentlicht, Stand April 2013: ca Organisationen, inkl. nicht aktueller Einträge prominente Nicht-Teilnehmer: eBay, automattic(wordpress) Beitritt kann auf bestimmte Datengruppen beschränkt werden: Online- Daten, Offline-Daten, HR-Daten (Personaldaten), manuell verarbeitete Daten, Finanzdaten,... Beratungsfirma Galexia, Australien äußerte 2008 Bedenken an der Funktionsfähigkeit des Systems DSG Internationaler Datenverkehr

70 © Hans G. Zeger 2013 VO SS Juridicum zentrale Grundsätze des "Safe Harbour" -INFORMATIONSPFLICHT (entspricht: DSG 2000 § 24) -WAHLMÖGLICHKEIT (DSG 2000 § 28 "Widerspruch") -WEITERGABE (DSG 2000 u.a. § 8f "Verwendung") -SICHERHEIT (DSG 2000 § 14) -DATENINTEGRITÄT (DSG 2000 § 6 "Grundsätze") -AUSKUNFTSRECHT (DSG 2000 § 26f) -DURCHSETZUNG (DSG 2000 § 30ff) DSG Internationaler Datenverkehr

71 © Hans G. Zeger 2013 VO SS Juridicum Schiedsverfahren und Durchsetzung der "Safe Harbour" Verpflichtungen (FAQ11) -Betroffene können sich direkt beschweren -Beschwerden von Selbstregulierungsorganen werden vorrangig behandelt (BBBOnline, TRUSTe,...) -ebenso Beschwerden der EU-Mitgliedsstaaten -Fortgesetzte Missachtungen sind zu veröffentlichen -Sanktionen: öffentliche Bekanntmachung ("Pranger") Löschung betreffender Daten Entschädigung für Personen Streichung von der Liste "safe harbour" sonstige Auflagen DSG Internationaler Datenverkehr

72 © Hans G. Zeger 2013 VO SS Juridicum Internationaler Datenverkehr (§§ 12, 13, 55) Genehmigungspflicht in allen anderen Fällen besteht Genehmigungspflicht (§ 13) die Genehmigung hat die DSK zu erteilen: -dabei die Feststellungen der Europäischen Kommission sind zu beachten (Abs. 2) -im konkreten Genehmigungsfall besteht ein angemessenes Schutzniveau (Abs. 2 Z 1) [Verwendung von Mustervereinbarungen] -Antragsteller macht den Schutz der Geheimhaltungsinteressen des Betroffenen glaubhaft (Abs. 2 Z 2) -seit DSG-Novelle 2010: Möglichkeit einseitiger verbindlicher Zusagen des Auftraggebers für internationalen Datenverkehr (Abs. 2 Z 2) DSG Internationaler Datenverkehr

73 © Hans G. Zeger 2013 VO SS Juridicum DSG Anwendbares Recht 95/46/EG - Ziel ist Vereinheitlichung der Zuständigkeit Art. 4 Abs. 1 a)+b) Niederlassung im Mitgliedstaat "a) Jeder Mitgliedstaat wendet sein Datenschutzrecht auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaates besitzt." b) regelt Spezialfälle, wie etwa Botschaften Niederlassung: definiert in Erwägungsgrund 19: -effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung -Rechtsform der Niederlassung ist nicht maßgeblich -bloße Server (technische Geräte) sind keine Niederlassung

74 © Hans G. Zeger 2013 VO SS Juridicum 95/46/EG - Weiterer Anwendungsfall Art. 4 Abs. 1 c) Verantwortlicher aus Drittstaat nutzt Mittel im Mitgliedstaat ("Durchführungsprinzip") c) Jeder Mitgliedstaat wendet sein Datenschutzrecht auf Verarbeitungen an, wenn der für die Verarbeitung Verantwortliche nicht im Gebiet der EU/EWR niedergelassen ist, aber auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet belegen sind. Diese Bestimmung bringt insbesondere im Zusammenhang mit Internetanwendungen erhebliche Auslegungsschwierigkeiten: -Ist die Installation eines Programms (Javaskript) auf einem lokalen Computer schon ein "zurückgreifen"? -jedenfalls erfasst: Backuprechen- und Notfallsrechenzentren, Dienstleistung durch EU-Unternehmen DSG Anwendbares Recht

75 © Hans G. Zeger 2013 VO SS Juridicum 95/46/EG - Konsequenzen Auswirkungen innerhalb der EU -Es gilt das Recht jenes Staates / jener Staaten, wo der Verantwortliche seine Niederlassung(en) hat Auswirkungen für Unternehmen in Drittstaaten -Sobald sie Mittel in der EU nutzen, gilt das Datenschutzrecht des jeweiligen EU-Staates -Ansonsten gilt das nationale Datenschutzrecht des Drittstaates (sofern überhaupt vorhanden) DSG Anwendbares Recht

76 © Hans G. Zeger 2013 VO SS Juridicum Umsetzung in Österreich (§ 3 DSG 2000) Österreichisches DSG 2000 ist anzuwenden -wenn Daten im Inland verwendet werden, -wenn Daten eines anderen EU/EWR-Staates in einer österreichischen Niederlassung verwendet wird -wenn Daten eines Drittstaates in Österreich (technisch) verwendet werden (österreichischer Verantwortlicher ist zu benennen!) Österreichisches DSG 2000 ist nicht anzuwenden -wenn Daten im Inland, aber für einen Auftraggeber mit Sitz in einem anderen EU/EWR-Staat verwendet werden und der Zweck keiner österreichischen Niederlassung zuzurechnen ist -wenn Daten durch Österreich nur durchgeführt werden DSG Anwendbares Recht

77 © Hans G. Zeger 2013 VO SS Juridicum Was ist ein Informationsverbundsystem? (§ 50) gemeinsame Verwendung von Daten in einer DA durch mehrere [österreichische] Auftraggeber geeigneter Betreiber ist zu bestellen Betreiber ist zwecks Eintrag im DVR zu melden Betreiber hat Auskünfte über Auftraggeber zu geben (12 Wochenfrist!) es können weitere Auftraggeberpflichten an den Betreiber abgetreten werden Meldepflichten des Informationsverbundsystems können an Betreiber formlos übertragen werden (Abs. 2) Erleichterungen der Meldung zusätzlicher Teilnehmer an Informationsverbundsystem: es genügt Verweis auf andere Meldung (Abs. 2a) Stand lt. DVR-Online: ca. 92 Anwendungen gemeldet, davon ca. 80% aus dem öffentlich-rechtlichen Bereich, 20% private DSG Spezialregelungen

78 © Hans G. Zeger 2013 VO SS Juridicum Betroffenenrechte / Informationspflichten Recht auf Geheimhaltung (§ 1ff) Recht auf Auskunft (§ 26) Recht auf Berichtigung & Löschung (§ 27) Informationspflicht (§ 24) Recht auf Widerspruch (§ 28) Recht auf Widerruf (§§ 8, 9)

79 © Hans G. Zeger 2013 VO SS Juridicum Offenlegungspflicht (§ 25) Offenlegung anlässlich Übermittlung und Mitteilung an Betroffene Identität des Auftraggebers bei registrierungspflichtigen DAs die DVR-Nummer des Auftraggebers DSG Informationspflicht

80 © Hans G. Zeger 2013 VO SS Juridicum Informationspflicht (§ 24 / Art. 10, 11, 14 EU-RL) Informationspflicht anlässlich Ermittlung Zweck Auftraggeber Spätestens zum Zeitpunkt der Übermittlung Entfällt, -bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind oder -bei mangelnder Erreichbarkeit der Betroffenen oder -bei Unwahrscheinlichkeit der Beeinträchtigung der Betroffenenrechte und Höhe der Kosten der Information Bei Kundenbeziehungen leicht zu erfüllen, ein Problem jedoch dort, wo Daten ohne Kundenbeziehungen verwendet werden (z.B. Adressenverlagen / Informationsdiensten) DSG Informationspflicht

81 © Hans G. Zeger 2013 VO SS Juridicum Informationspflicht (seit ) (DSG 2000 § 24 Abs. 2a) Betroffene sind von Datenschutzverletzungen zu informieren - wenn schwerwiegend und systematisch -wenn Betroffenen Schaden droht -Ausnahme: keine Informationspflicht wenn Schaden nur "geringfügig" und Verständigungsaufwand "unverhältnismäßig hoch" Es handelt sich um eine Informationspflicht "light", die gegenüber dem ursprünglichen Entwurf erheblich reduziert wurde. DSG Informationspflicht

82 © Hans G. Zeger 2013 VO SS Juridicum Betroffenenrecht - Auskunft (§ 26) Auskunft ist auf Verlangen bei Nachweis der Identität zu geben (Abs. 1) [Berufung auf DSG nicht erforderlich!] Auskunftsfrist sind 8 Wochen (Abs. 4) Betroffener hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3) ungerechtfertigter Aufwand ist zu vermeiden Auskunftsrecht unabhängig von Registrierungserfordernis [!!] von einem Vertragsverhältnis von tatsächlichem Vorhandensein von Daten von Datenmissbrauch von Datenweitergabe DSG Betroffenenrechte

83 © Hans G. Zeger 2013 VO SS Juridicum Betroffenenrecht - Auskunft (§ 26) II Auftraggeber hat Auskunft zu erteilen über Zweck der Datenanwendung die verwendeten Daten in allgemein verständlicher Form verfügbare Information über ihre Herkunft allfällige Empfänger oder Empfängerkreise von Übermittlungen Name und Adresse des Dienstleisters (muss vom Betroffenen extra verlangt werden) 4 Monate Löschungsverbot nach Einlangen des Auskunftsbegehrens Auskunftsbegehren und Auskunft haben schriftlich zu erfolgen, Abweichung im Einverständnis der Gegenseite möglich DSG Betroffenenrechte

84 © Hans G. Zeger 2013 VO SS Juridicum Betroffenenrecht - Auskunft (§ 26) III begründete Auskunftsverweigerung / Auskunftsbegrenzungen ist möglich, u.a. Schikaneverbot: Betroffener wurden Daten schon mitgeteilt (etwa Kontoauszüge, OGH 6Ob25/ ), nicht zu verwechseln mit Betroffener "kennt eigene" Daten überwiegende Interessen des Auftraggebers oder Dritter aus therapeutischen Gründen (Gesundheitszustand) formale Gründe: fehlender Identitätsnachweis, fehlender Kostenersatz Auskunft ist einmal im Jahr bei aktuellen Daten kostenfrei ansonsten Ersatz der tatsächlichen Kosten oder pauschalierter Ersatz (18,89 Euro) DSG Betroffenenrechte

85 © Hans G. Zeger 2013 VO SS Juridicum DSG Betroffenenrechte Betroffenenrecht - Löschung/Richtigstellung (§ 27) Richtigstellungspflicht des Auftraggebers Frist von 8 Wochen bei Richtigstellungsantrag eines Betroffenen betrifft auch unvollständige Daten, veraltete Daten, irreführende Daten nicht (mehr) benötigte oder unzulässig verarbeitete Daten sind zu löschen Beweislast der Richtigkeit von Daten, wenn Löschung verweigert wird, liegt beim Auftraggeber (Ausnahmen: Verarbeitung erfolgt ausschließlich gem. Betroffenenangaben oder gesetzliche anders angeordnet) Wachsende Bedeutung der Bestimmung, da immer öfter nur kurzfristig erforderliche Daten anfallen (Verkehrsdaten von ISP & Telekomunternehmen, Location-Based-Services, Smartphone-Daten)

86 © Hans G. Zeger 2013 VO SS Juridicum Betroffenenrecht - Widerruf / Widerspruch freiwillige Zustimmung zur Verwendung von Daten kann jederzeit, ohne Angabe von Gründen widerrufen werden (§§ 8, 9) Widerspruch (§ 28) nur bei nicht gesetzlich vorgeschriebenen Datenanwendungen möglich -Widerspruch bei öffentlich zugänglichen Dateien ohne Begründung (typischer Internet-Anwendungsfall, etwa bei Google-Street-View) -das Recht Daten zu verarbeiten (etwa Gewerbeberechtigung) ist keine gesetzliche Anordnung im Sinne des DSG -Widerspruchsrecht besteht auch bei gegebener Zustimmung! Daten sind bei gültigem Widerspruch zu löschen DSG Betroffenenrechte

87 © Hans G. Zeger 2013 VO SS Juridicum Entscheidungen Widerspruch -bei gesetzlich angeordneten Datenverarbeitungen ist Widerspruch nicht anwendbar OGH 6Ob195/08g Löschung nach §28 (2) DSG 2000 voraussetzungslos und unbegründet bei öffentlichen Dateien möglich -Wirtschaftsauskunftsdienste betreiben öffentliche Dateien siehe auch DSK K /0011-DSK/ Widerspruch anwendbar im Zusammenhang mit Wirtschaftsauskunftdiensten -Widerspruch bedeutet auch das Verbot der Bekanntgabe, dass der Datenverwendung widersprochen wurde DSG Betroffenenrechte

88 © Hans G. Zeger 2013 VO SS Juridicum Weitere DSG-Bestimmungen Sicherheitsverpflichtung Schadenersatz Strafbestimmungen DSG 2000

89 © Hans G. Zeger 2013 VO SS Juridicum Sicherheitsbestimmungen (§ 14) Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden: Stand der Technik entsprechend wirtschaftlich vertretbar angemessenes Schutzniveau muss erreicht werden In Österreich gibt es seit 2003 ein "offizielles" IT-Sicherheitshandbuch, das 2007 in Version 2.3 vom Ministerrat empfohlen wurde seit 11/2010 gilt Version 3.1 als Informations-Sicherheitshandbuch Es gibt im DSG 2000 jedoch keine rechtlich verbindlichen (zwingenden) Sicherheitsvorschriften! DSG Sicherheitsbestimmungen

90 © Hans G. Zeger 2013 VO SS Juridicum DSG Sicherheitsbestimmungen rechtlich-organisatorische Sicherheitsmaßnahmen -ausdrückliche Aufgabenverteilung - ausschließlich auftragsgemäße Datenverwendung - Belehrungspflicht der Mitarbeiter - Regelung der Zugriffs- und Zutrittsberechtigungen - Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten - Dokumentationspflicht zur Kontrolle und Beweissicherung - Protokollierungspflicht

91 © Hans G. Zeger 2013 VO SS Juridicum Protokollierungsanforderungen I (§ 14) Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z 7) Protokollierungspflicht nicht registrierter Übermittlungen (Abs. 3) betrifft auch Abfragen müssen "im Hinblick auf die Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können" betrifft nur auskunftspflichtige Datenanwendungen Übermittlungen gemäß Standard- oder Musterverordnung sind nicht zu protokollieren DSG Sicherheitsbestimmungen

92 © Hans G. Zeger 2013 Protokollierungsanforderungen II (§ 14) -Protokolldaten dürfen nur eingeschränkt verwendet werden (zur Kontrolle der Zulässigkeit der Verwendung) -unzulässig wäre die Kontrolle der Betroffenen oder der Mitarbeiter -zulässig ist die Verwendung zur Aufklärung von Straftaten, die mit mehr als fünfjähriger Freiheitsstrafe bedroht sind -Aufbewahrungsdauer ist drei Jahre, sofern gesetzliche Bestimmungen nichts anderes vorsehen -Frühere Löschung zulässig, wenn betroffene Datenanwendung ebenfalls gelöscht ist DSG Sicherheitsbestimmungen VO SS Juridicum

93 © Hans G. Zeger 2013 Haftung bei bei Datenmissbrauch OGH Entscheidung (9 Ob 126/12s ) Ausgangslage Ein Redakteur der Tageszeitung A versuchte durch "erraten" von Benutzerkennung/Passwort in das interne Redaktionssystem von TZ B zu gelangen. Der Versuch misslang, auf Grund der IP-Adresse konnte der Standort des Täters ermittelt werden. Die Aktion führte zur fristlosen Entlassung des Mitarbeiters. TZ B verlangt Unterlassungsklage TZ B verlangt jedoch von TZ A eine Unterlassungserklärung. Diese wird verweigert, da Redakteur nicht im Auftrag gehandelt habe, sich die TZ A von diesen Aktivitäten distanziere und daher der Redakteur nicht als Besorgungsgehilfe anzusehen ist. Sicherheitsmaßnahmen - Haftung VO SS Juridicum

94 © Hans G. Zeger 2013 Sicherheitsmaßnahmen - Haftung Haftung bei bei Datenmissbrauch II OGH Entscheidung (9 Ob 126/12s ) Entscheidung HG gibt Klage statt, Vorinstanz (OLG) weist Klage ab, OGH gibt Klage statt, Eingriff ist nach Besitzstörung und nicht nach Schadenersatz zu beurteilen. Eingriff in IT-System ist Besitzstörung Eingriff war im Interesse der TZ A Arbeitgeber hat Weisungs- und Kontrollrechte, kann sich Mitarbeiter aussuchen und Tätigkeitsbereich festlegen Zur Verfügung stellen von Computer und Internetanschluss reicht schon für Verantwortung der TZ A Unternehmen hat Besitzstörung - auch ohne ausdrückliche Anordnung - zu verantworten VO SS Juridicum

95 © Hans G. Zeger 2013 Haftung bei fehlendem Zugriffsschutz II OGH Entscheidung 6 Ob 25/13i Sachverhalt: Ein Arzt ließ seinen PC bei Verlassen seines Dienstzimmers ungesichert eingeschalten und ermöglichte das Abrufen der Krankenakte durch andere im Zimmer aufhältige Personen. Entscheidung: Der unauthorisierte Zugriff auf die Patientenakte wird als Störhandlung qualifiziert, die nicht nur der unmittelbare Störer, sondern auch der Arzt, der diese Handlung ermöglichte zu verantworten hat. OGH verweist ausdrücklich auf 9 Ob 126/12s (Redaktionsentscheidung) VO SS Juridicum Sicherheitsmaßnahmen - Haftung

96 © Hans G. Zeger 2013 VO SS Juridicum Welche Rechtsmittel / Sanktionen sind bei Verletzungen des DSG möglich? -Unterlassungsanspruch -bei öffentlich-rechtlich tätigen Auftraggebern (Behörden,...): vor der Datenschutzkommission (Entscheidungen jedoch nicht direkt durchsetzbar) -bei privat-rechtlich tätigen Auftraggebern (Unternehmen,...): Auskunftsfragen des Betroffenen (vor DSK, exekutierbar) alle anderen Fragen: vor den Zivilgerichten (LG) -Schadenersatz -Ersatz materieller und "immaterieller" Schäden, Zivilgerichte (LG) -strafrechtliche Verfolgung -Verwaltungsübertretung -BG gegen den unlauteren Wettbewerb (UWG) DSG Kontroll- & Strafbestimmungen

97 © Hans G. Zeger 2013 VO SS Juridicum Schadenersatz (§ 33) schuldhaftes Verhalten notwendig Verletzung von Bestimmungen des DSG 2000, tatsächlich erlittener materieller Schaden ist zu ersetzen bei Verletzungen der Geheimhaltung, die geeignet sind den Betroffenen bloßzustellen, gebührt Entschädigung. Entschädigungsanspruch ist nicht beziffert, es wird aber auf das Mediengesetz Bezug genommen [MedienG § 7: bis Euro] Bei Veröffentlichungen in einem Medium gilt wie bisher das Mediengesetz Entschädigungsanspruch ist gegenüber dem Auftraggeber geltend zu machen (es muss eine Datenanwendung vorliegen!) DSG Kontroll- & Strafbestimmungen Webseiten, Newsletter Medienrecht , sonstige Informationsdienste, Infrastruktur DSG 2000 wenn jedoch ISP (Internet Service Provider) TKG DSG 2000

98 © Hans G. Zeger 2013 VO SS Juridicum DSG - Schadenersatz OGH 6 Ob 275/05t ("Verdienstentgang") Ausgangslage -Anwalt gelangte wegen Verzug der Rückzahlung eines Bürgschaftskredits auf UKV-Liste der Banken -Geschäft mit einer Kammer kam auf Grund dieses Eintrags nicht zustande (Umfang ,- EUR) -Anwalt forderte von Bank Schadenersatz in Höhe von EUR OGH-Entscheidung -Eintrag ohne vorherige Verständigung unzulässig -OGH beruft sich ausdrücklich auf DSK-Bescheid -Schadenersatz besteht daher zu Recht (zugesprochen EUR) -Erstgericht wird Aufteilung zwischen materiellen/immateriellen Schaden entscheiden müssen

99 © Hans G. Zeger 2013 VO SS Juridicum DSG Schadenersatz OGH 6 Ob 247/08d ("Bonitätsinformationen") Ausgangslage -Betroffener wurde bei angeblich unzulässiger Mülldeponierung gefilmt -privater Wachdienst forderte 100 Euro "Entschädigung", Forderung wurde Inkassodienst übergeben -nach Weigerung der Zahlung wurde Zahlungsanstand an Wirtschaftsauskunftsdienst gemeldet -Betroffener erfuhr davon im Rahmen eines Telekom-Geschäfts Entscheidung (rechtskräftig) -Eintrag ohne vorherige Verständigung ist rechtswidrig -Eintragung geeignet die Kreditwürdigkeit zu beschädigen -auch wenn kein unmittelbarer Schaden nachweisbar, besteht Anspruch gem. § 33 DSG -Betrag von 750,- Euro in Hinblick auf geringe Zahl der Datenübermittlungen angemessen

100 © Hans G. Zeger 2013 VO SS Juridicum DSG Schadenersatz LG Innsbruck 12 Cg 72/10h ("Mehrkosten") Ausgangslage -Diverse Firmen (Mobilunternehmen, Möbelhaus, Versandhändler) lehnen Geschäftsbeziehung wegen Exekutionsdaten ab LG-Entscheidung -Verwendete Daten stammen aus Exekutionsdatenbank der Justiz -abgelehnte Geschäfte führen zu einem Schaden (Mehrkosten: 56,- bei Möbelhaus, 2.274,35 höhere Mobilfunkgebühren,...) ,- Euro immaterieller Schadenersatz wegen Kreditschädigung -mehrfacher Rechtsbruch: Informationspflicht nicht erfüllt, Widerspruch nicht nachgekommen, keine Löschung der Daten, seit 2006 keine Exekutionsverfahren anhängig, alle Exekutionsverfahren eingestellt -Kläger wurde Unterlassungsanspruch und Schadenersatz zugesprochen (Euro 3.330,35)

101 © Hans G. Zeger 2013 VO SS Juridicum Gewinn- oder Schädigungsabsicht (DSG 2000 § 51) -Klarstellung der Deliktvoraussetzungen: Vorsatz der Bereicherung von sich oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer Delikt begeht, wer... -widerrechtlich ihm zugängliche Daten benutzt oder -Daten widerrechtlich beschafft oder -anderen widerrechtlich zugänglich macht oder -widerrechtlich öffentlich macht Strafausmaß: bis ein Jahr Delikt ist Offizialdelikt [bis : Privatanklagedelikt] Strafbestimmung gilt subsidiär betrifft berufsmäßig mit Daten Beschäftigte und andere DSG Strafbestimmungen

102 © Hans G. Zeger 2013 VO SS Juridicum DSG-Strafbestimmung als totes Recht? AnzeigenGerichtsverfahrenUrteile BAZ20 ST11 BG13 LG BAZ+ST BAZ 5 ST Quelle: Auskünfte des BMJ auf parlamentarische Anfragen BAZ = Bezirksstaatsanwaltschaft, ST = Staatsanwaltschaft bei Landesgericht, BG = Bezirksgericht, LG = Landesgericht, Zahlen umfassen die jeweils anhängigen Verfahren eines Jahres, können auch aus Vorjahren stammen bzw. ins nachfolgende Jahr "mitgenommen" werden DSG Strafbestimmungen

103 © Hans G. Zeger 2013 VO SS Juridicum Strafbestimmungen bei öffentlich-rechtlichen Organen Missbrauch der Amtsgewalt (§ 302 StGB) Strafrahmen: bis 5 Jahre Verletzung des Amtsgeheimnisses (§ 310 StGB) Strafrahmen: bis 3 Jahre denkbar auch: Falsche Beurkundung und Beglaubigung im Amt (§ 311 StGB) Strafrahmen: bis 3 Jahre Hier ist Vorsatz Voraussetzung für die Tatverfolgung DSG Kontroll- & Strafbestimmungen

104 © Hans G. Zeger 2013 VO SS Juridicum DSG Strafbestimmungen Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln] -widerrechtliches Verschaffen eines Zugangs zu einer DA -widerrechtliches Weiterbenutzen eines Zugangs zu einer DA -Übermittlung unter Verletzung des Datengeheimnisses -Weiterverwendung von Daten entgegen eines rechtskräftigen Urteils/Bescheids -widerrechtliches Löschen von Daten (§ 26 Abs. 7) Strafrahmen: bis ,- Euro zuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSK Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk) Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten!

105 © Hans G. Zeger 2013 VO SS Juridicum Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 1. nicht Erfüllen Meldepflicht gemäß den §§ 17 oder 50c oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt 2. Daten ins Ausland übermittelt oder überlässt, ohne Genehmigung gemäß § 13 Abs Verstoß gegen Zusagen an oder Auflagen der DSK (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) 4. Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d verletzt 5. § 14 Sicherheitsmaßnahmen gröblich außer Acht lässt DSG Strafbestimmungen

106 © Hans G. Zeger 2013 VO SS Juridicum DSG Strafbestimmungen Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht. Strafrahmen: bis ,- Euro

107 © Hans G. Zeger 2013 VO SS Juridicum DSG Strafbestimmungen Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a) [=Gefährdung von Betroffenenrechten] neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a) Strafrahmen: bis 500,- Euro Verfallbestimmungen § 52 Abs. 4 Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden

108 © Hans G. Zeger 2013 VO SS Juridicum mögliche Anwendbarkeit auf unsere Beispiele -Private Schuldnerfahndung ("seastar"): rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch) verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung) verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung) Bloßstellen des Betroffenen ? (Medienrecht) widerrechtlich veröffentlicht § 1/§ 8 ? (§ 51 Strafbestimmung) -Telefonbuchdaten mit Luftbild verknüpft: fehlender berechtigter Zweck § 6 ? (Unterlassungsanspruch) verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung) -Diskussionsforum wird fehlerhaft veröffentlicht: nicht Beachten von Sicherheitsmaßnahmen § 14 ? (§ 52 (2) Verwaltungsübertretung) -Verwertung der US-Straftäterdatei in Österreich: fehlender berechtigter Zweck § 6 ? (Unterlassungsanspruch) verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung) DSG Kontroll- & Strafbestimmungen

109 © Hans G. Zeger 2013 VO SS Juridicum Anwendbarkeit auf unsere Beispiele II -Einbindung des LikeIt-Buttons ohne Zustimmung des Benutzers: rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch) verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung) verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung) Bloßstellen des Betroffenen ? (Medienrecht) -Veröffentlichung von Webzugriffen (Webstatistiken): rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch) verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung) verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung) Bloßstellen des Betroffenen ? (Medienrecht) -Veröffentlichung von Veranstaltungsanmeldungen: rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch) verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung) DSG Kontroll- & Strafbestimmungen

110 © Hans G. Zeger 2013 ARGE DATEN Wie kann die Rechtmäßigkeit einer Datenverarbeitung abgeschätzt werden? (1) Eignung Die Verwendung von Daten muss geeignet sein um ein bestimmtes, konkretes Ziel (Zweck) zu erreichen. (2) Erforderlichkeit Es gibt keine weniger invasive Lösung zur Erreichung des bestimmten Ziels (Zweckes). (3) Verhältnismäßigkeit Die Verwendung der Daten führt zu keiner Verletzung höherwertiger Schutzrechte (Grundrechte). DSG Grundlagen

111 © Hans G. Zeger 2013 VO SS Juridicum Privatsphäre-Bestimmung E-CommerceG sonstige Bestimmungen Weitere Bestimmungen TelekommunikationsG 2003 Weitere Entscheidungen/Beispiele

112 © Hans G. Zeger 2013 VO SS Juridicum § 1328a ABGB Privatsphärebestimmung (1) Wer rechtswidrig und schuldhaft in die Privatsphäre eines Menschen eingreift oder Umstände aus der Privatsphäre eines Menschen offenbart oder verwertet, hat ihm den dadurch entstandenen Schaden zu ersetzen. Bei erheblichen Verletzungen der Privatsphäre, etwa wenn Umstände daraus in einer Weise verwertet werden, die geeignet ist, den Menschen in der Öffentlichkeit bloßzustellen, umfasst der Ersatzanspruch auch eine Entschädigung für die erlittene persönliche Beeinträchtigung. Abs.2 definiert Substitutionsklausel -Bestimmung ist nicht anzuwenden, wenn andere Bestimmung gilt, etwa Datenschutz- oder Medienrechtsbestimmungen Schutz der Privatsphäre - §1328a ABGB

113 © Hans G. Zeger 2013 VO SS Juridicum Änderungen durch § 1328a Auffangtatbestand für bisher nicht erfasste Verletzungen Schadenersatz für "immaterielle" Schäden Drei Verletzungsarten Eingreifen (Eindringen in die Privatsphäre) Offenbaren an Dritte (nicht nur Öffentlichkeit) Verwerten (wirtschaftlicher Vorteils durch Kenntisse aus Privatsphäre) Voraussetzungen für Schadenersatz nach § 1328a Rechtswidrigkeit Verschulden (leichte Fahrlässigkeit genügt) Erheblicher Eingriff Schutz der Privatsphäre - § 1328a ABGB

114 © Hans G. Zeger 2013 VO SS Juridicum Höhe des Schadenersatzes keine grundsätzliche Beschränkung der Entschädigungshöhe Orientierung am Medienrecht keine Untergrenze wie im ursprünglichen Entwurf vorgesehen Ausnahmen Veröffentlichungen in Medien sind nicht erfasst ( Mediengesetz) Betriebs- und Geschäftsgeheimnisse sind ausgenommen ( §§ StGB) speziellere Regelungen gehen vor (z.B. § 33 DSG) Im Internet wird die Bestimmung dann Anwendung finden, wenn keine Datenanwendung vorliegt Schutz der Privatsphäre - § 1328a ABGB

115 © Hans G. Zeger 2013 VO SS Juridicum Schutz der Privatsphäre - Beispiele Beispiele für Eingriffe in die Privatsphäre private Videoüberwachung, Personenortung, Radarüberwachung Bekanntgabe persönlicher Daten im Internet Illegales Abhören von Telefonaten oder Gesprächen Hacken von privaten Computern Missbrauch von Foto-Handys Überwachung des Standortes eines Mobiltelefonnutzers ohne dessen Zustimmung Offenbaren/Verwerten von Urteilen BG Josefstadt 6C188/09p EV gemäß § 382g EO wegen Veröffentlichung privater Daten in einem Blog (begründet auf § 1328a ABGB "Cyberstalking")

116 © Hans G. Zeger 2013 VO SS Juridicum Eurobarometerumfrage 2011 Datensicherheit und Internet (EU27 / AT / max / min) -66% der Befragten verwenden Internet -Schutz vor Spam: 42% EU27 / 46% AT / 72% DK / 19% PT -achten auf sichere Datenübertragung: 40% EU27 / 35% AT / 57% IE / 13% BG -Löschen Cookies: 35% EU27 / 39% AT / 53% LU,NL / 10% RO -suchen eigene Daten mittels Suchmaschinen: 14% EU27 / 15% AT / 24% EE / 8% RO -verwenden "dummy" Mailaccount: 12% EU27 / 25% AT / 25% AT / 6% MT -keine Sicherheitsaktivitäten: 15% EU27 / 12% AT / 7% DK,NL / 34% LT Länder mit höchsten Internet-Datenschutzbewusstsein: Deutschland, Niederlande, Schweden, Österreich

117 © Hans G. Zeger 2013 VO SS Juridicum Kommunikations-Rechtsrahmen der EU verabschiedet, geändert (2009/136/EG) -in Ö durch TKG 2003 (BGBl I 70/2003) umgesetzt, Änderungen in (BGBl I 102/2011) umgesetzt -wir beschränken uns auf 2002/58/EG und 2002/22/EG (Kommunikations-Datenschutz-RL & Universaldienst-RL) bzw. 12. Abschnitt des TKG 2003 Ziel der K-DS-RL war Regelung spezifischer Kommunikations- Datenschutzanforderungen und -situationen durch Vorratsdatenspeicherungsrichtlinie (2006/24/EG) ergänzt (in Ö 5/2011 umgesetzt, BGBl I 27+33/2011) -wichtigste Änderungen vom /EG / /TKG - Verständigungspflicht der Provider bei Datenverlust ( 2002/58/EG) -Ausschlußmöglichkeit von Urheberrechtsverletzern nach "unabhängigen" und "fairen" Verfahren ( 2002/22/EG) -Zustimmungspflicht bei "Cookie"-Einsatz ( 2002/58/EG) elektronische Kommunikation und Datenschutz

118 © Hans G. Zeger 2013 VO SS Juridicum Wer/Was fällt unter das TKG 2003? (§ 3 TKG 2003) Betreiber(Bereitsteller/Anbieter) von Kommunikationsnetzen und/oder Kommunikationsdiensten Kommunikationsnetz = Infrastruktur zur Übertragung von Signalen Kommunikationsdienst = gewerbliche Dienstleistung mittels Übertragung von Signalen über Kommunikationsnetze elektronische Kommunikation und Datenschutz Betriebe, die auch Telefonvermittlungsanlagen betreiben oder Datenleitungen zur Vernetzung ihrer Standorte nutzen, fallen nicht darunter! Einzelne Regeln betreffen alle Nutzer elektronischer Dienste z.B elektronische Werbung (§ 107), Löschungs-verpflichtung fehlerhaft zugestellter Nachrichten (§ 93 Abs. 4) TKG 2003 regelt Datenschutzrechte der Benutzer (Nutzer/ Teilnehmer) gegenüber Betreibern (Bereitstellern/Anbietern)! Neu mit Novelle 102/2011: Dienste der Informationsgesellschaft sind von Datenschutzregeln betroffen (§ 96 Abs. 3)

119 © Hans G. Zeger 2013 VO SS Juridicum DSG 2000 RL 95/46/EG alle personen- bezogenen Daten alle Auftraggeber / Betroffene subsidiär anwendbar TKG 2003 RL 2002/58/EG Stammdaten, Verkehrsdaten, Inhaltsdaten, Standortdaten Betreiber iS TKG / Teilnehmer/Nutzer(Benutzer) Datensschutz-Bestimmungen §§ § 108 (Strafbestimmung) Vergleich TKG / DSG elektronische Kommunikation und Datenschutz

120 © Hans G. Zeger 2013 VO SS Juridicum Geschützte Datenarten (§ 92 TKG 2003) Stammdaten Name, akademischer Grad, Anschrift, Teilnehmernummer, Konaktdaten, Vertragsdaten, Bonität, "öffentliche IP-Adresse" wenn Teilnehmer fix zugeordnet Verkehrsdaten z. B. Rufnummern, Datum, Zeit, Dauer, leistungsabhängige Entgelte, Funkzelle, inkl. "Zugangsdaten" Inhaltsdaten z. B. das geführte Telefonat, Fax, SMS, -Inhalt, Webinhalte,... Standortdaten genaue Position einer Kommunikationsendeinrichtung (kann bis auf wenige Meter genau bestimmt werden), im TKG nur für Kommunikationsnetze und -dienste definiert, nicht für Dienste der Informationsgesellschaft TKG Datenschutzbestimmungen

121 © Hans G. Zeger 2013 VO SS Juridicum Weitere Dienste- und Datenarten definiert (§ 92 TKG 2003) Im Zuge der Regelung der Vorratsspeicherung wurden zahlreiche weitere Begriffe eingeführt -Teilnehmerkennung (Abs. 3 Z 2a) - Adresse (Abs. 3 Z 2b) -erfolgloser Anrufsversuch (Abs. 3 Z 8a) -elektronisches Postfach (Abs. 3 Z 11) -Internet Telefondienst (Abs. 3 Z 13) -Internet Zugangsdienst (Abs. 3 Z 14) -elektronische Post [jede Form elektronisch versandte Nachrichten] (Abs. 3 Z 10) - , -Dienst [auf Simple Mail Transfer Protocol, SMTP beschränkte elektronisch versandte Nachrichten] (Abs. 3 Z 12,15) TKG Datenschutzbestimmungen Welche Datenart sind einzelne IP-Pakete oder Weblinks?

122 © Hans G. Zeger 2013 VO SS Juridicum Kommunikationsdaten - Beispiel Was ist ein Weblink / eine URL ? -http://www.orf.at -https://eservices.wuestenrot.at/eService/screen/ anmeldung_ks210?_view=KS210_input_Komm&KS210_input_Komm_auswei s_art=RP&KS210_input_Komm_ausw_nr=4711&KS210_input_Komm_ausw_b ehoerde=BPD+Gossing&KS210_input_Komm_auswdat_tag=01&KS210_inpu t_Komm_auswdat_monat=01&KS210_input_Komm_auswdat_jahr=33&KS21 0_input_Komm_handy= &KS210_input_Komm_ =camp us%40gmx.at&KS210_input_Komm_kennwort=MANADA&KS210_input_Kom m_vertragsnr=&KS210_input_Komm_newsletter=0&checkAGB=true&KS210_ input_Komm_agb=on&KS210_input_Komm_KS210_input_Komm_forward= Weiter&_submit=true - Google-URL: - Newsletter-URL:

123 © Hans G. Zeger 2013 VO SS Juridicum Kommunikationsgeheimnis (§ 93 TKG 2003) schützt Inhaltsdaten, Verkehrsdaten und Standortdaten, inklusive erfolgloser Verbindungsversuche [Stammdaten im Rahmen des DSG 2000 geschützt] Verpflichtet Betreiber und deren Personal zur Geheimhaltung: gerichtliche Strafandrohung (§ 108 TKG 2003) Mithören, Abfangen, Aufzeichnung oder sonstige Überwachen von Nachrichten durch andere als die Benutzer ist unzulässig (Zustimmung aller Beteiligten erforderlich), zufällig aufgenommene Nachrichten müssen gelöscht werden, gilt für alle "Anwender" (Abs. 4) Ausnahmen (Abs. 3): -Rückverfolgung von Notrufen -Aufzeichnungen im Rahmen einer Fangschaltung -Überwachung, Auskunftserteilung bei Nachrichtenübermittlung (inkl. Vorratsdaten) -wenn technisch für Diensterbringung erforderlich (z.B. Mailbox) TKG Datenschutzbestimmungen

124 © Hans G. Zeger 2013 VO SS Juridicum Datenschutz-Grundsätze (§ 96 TKG 2003) Verwendung der Daten nur für Zwecke der Besorgung eines Kommunikationsdienstes (Abs. 1) Übermittlung (Abs. 2) nur, wenn -notwendig für Diensterbringung oder -mit Zustimmung des Betroffenen für Vermarktungszwecke oder Dienste mit Zusatznutzen (jederzeit widerrufbar) Löschung (Abs. 2) der Daten sobald wie möglich z. B.: Verkehrsdaten sind zu löschen, wenn für Dienst oder Abrechnung nicht mehr erforderlich [Ausnahmen der Vorratsspeicherung sind zu beachten §§ 99, 102a] nähere Regelung der Datenverwendung in AGB möglich TKG Datenschutzbestimmungen

125 © Hans G. Zeger 2013 VO SS Juridicum Datenschutz-Grundsätze (§ 96 TKG 2003) II Erweiterte Informations- und Zustimmungsverpflichtungen bei Diensterbringung (gelten für Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellscht (siehe ECG) (Abs. 3) Informationspflichten: -welche personenbezogene Daten Betreiber/Anbieter ermittelt, verarbeitet und übermittelt (betrifft auch Standort- /Geo-Daten) -Rechtsgrundlage und Zweck der Datenverwendung -Speicherdauer der Daten Information ist in geeigneter Form, insbesondere mittels AGBs, spätestens bei Beginn einer Rechtsbeziehung zu erfolgen [z.B. vor Setzen oder übermitteln von Cookies,..] TKG Datenschutzbestimmungen

126 © Hans G. Zeger 2013 Datenschutz-Grundsätze (§ 96 TKG 2003) III Abs. 3 - Fortsetzung Ermittlung von Daten nur, wenn -Teilnehmer oder Nutzer Einwilligung erteilt hat oder -der alleinige Zweck die Übertragung einer Nachricht im Kommunikationsnetz ist oder -wenn dies unbedingt erforderlich ist, damit ein Dienst der Informationsgesellschaft, den der Teilnehmer oder Benutzer ausdrücklich gewünscht hat erbracht werden kann [z.B. Session-Cookie für Online-Shop, GPS-Daten für location based services,...] TKG Datenschutzbestimmungen VO SS Juridicum

127 © Hans G. Zeger 2013 Aufruf von Websites mit Facebook Like Plugin nachdem die Facebook- Website aufgerufen wurde aber keine Registrierung erfolgte (kein Klick auf das Plugin): xxxx.xxxx.xx Schwangerschaftsnetz.tld Technische Betrachtung – Facebook Like Websites mit Facebook Like Plugin: Glaubensgemeinschaft.tld PolitischePartei.tld ID: dTrGTwDiSl75GjJ73KORYiR1 Facebook.com Websiteaufrufe automatische Mitaufrufe – einzigartige ID wird jedesmal übermittelt in Computer des Nutzers gespeichert: ID: dTrGTwDiSl75GjJ73KORYiR1 VO SS Juridicum

128 © Hans G. Zeger 2013 VO SS Juridicum Datenschutzfragen Internettechniken Einsatz von Tracking-Techniken -Tracking: Instrumente um Benutzer(verhalten) zu identifizieren, zu verfolgen und zu analysieren -verschiedenste Namen/Techniken: individualisierte Links, Cookies, Web-Beacons, Web-Bugs, Spyware,... Typische Tracking-Informationen -Wie lang, wann wurde welche Seite, in welcher Reihenfolge angesehen ("Surfverhalten")? -Welche Waren/Artikel wurden in welcher Kombination bestellt? -Was interessiert den Benutzer (Themen)?

129 © Hans G. Zeger 2013 VO SS Juridicum Datenschutzfragen Internettechniken Tracking II Probleme -Umfang der erhobenen Daten (inkl. sensibler Daten) - meist bestimmbare personenbezogene Daten -Genauigkeit der Zuordnung zu bestimmten Personen (Benutzer oder nur Teilnehmer) -Durchschaubarkeit (wird sich auch an Kenntnis des Zielpublikums orientieren müssen) -Zustimmung zu den Tracking-Maßnahmen (ausdrückliche / konkludente Zustimmung) -webübergreifendes / unternehmensübergreifendes Tracking -Vermeidung der nachträglichen Benutzeridentifikation

130 © Hans G. Zeger 2013 VO SS Juridicum Demobeispiel Onlinetracking Was passiert bei Aufruf einer Website? Beispiel: Was wurde tatsächlich aufgerufen? m1.webstats.motigo.com, vote4me.de, Betreiber dieser Server wurden vom Benutzer-Interesse an informiert, kann vom Benutzer nicht beeinflusst werden

131 © Hans G. Zeger 2013 VO SS Juridicum Datenschutzfragen Internettechniken Cookie-Verwendung Privacy-Gefährdungspotentiale -gemeinsame Nutzung des Computers durch mehrere Personen (etwa wenn Passwörter oder persönliche Angaben in Coockies hinterlegt werden) -Ausspähen von Interessensprofilen -Einsatz von Cookie-Servern / Cookies in Werbebannern -Verwendung über Servergrenzen hinweg 2002/58/EG (Kommunikations-Datenschutzrichtlinie) -Cookies sind grundsätzlich zulässig (EG 25) -dürfen nicht überrumpelnd eingesetzt werden -Bei Übergang auf Seiten mit Cookies ist das anzuzeigen -Verwendung von Cookies schon auf der "Homepage" wäre unzulässig

132 © Hans G. Zeger 2013 VO SS Juridicum Stammdaten (§ 97 TKG 2003) Name, akademischer Grad, Anschrift, Teilnehmernummer, Information über Art des Vertrags, Bonität, "öffentliche IP- Adresse" (unter bestimmten Umständen) Verwendungszweck: Handhabung des Vertrages mit dem Teilnehmer Erstellung von Teilnehmerverzeichnissen Erteilung von Auskünften an Notrufträger Löschungspflicht nach Beendigung der Rechtsbeziehungen! [Weitreichender als bei sonstigen Auftraggebern] Ausnahmen: Entgeltverrechnung, laufende Beschwerden oder gesetzliche Verpflichtungen TKG Datenschutzbestimmungen

133 © Hans G. Zeger 2013 VO SS Juridicum Verkehrsdaten (§ 99 TKG 2003) besonders schutzwürdig -Daten, die zum Zwecke der Weiterleitung einer Nachricht an ein Kommunikationsnetz oder zum Zwecke der Fakturierung dieses Vorgangs verarbeitet werden grundsätzlich keine Speicherung, Ausnahmen: -Verrechnung -Entscheidung in Streitfällen – Übermittlung an die Schlichtungsstelle -seit Vorrats-Speicherpflicht für Überwachung bis 6 Monate ansonsten: keine starre Frist für die Speicherung Auswertungsverbot -aber: kann durch Zustimmung des Teilnehmers für Marketingzwecke und Dienste mit Zusatznutzen erfolgen TKG Datenschutzbestimmungen

134 © Hans G. Zeger 2013 VO SS Juridicum Inhaltsdaten (§ 101 TKG 2003) Inhalte übertragener Nachrichten keine Speicherung zulässig, außer wenn die Speicherung Dienstmerkmal ist (z. B. Mailbox) unverzüglich nach Diensterbringung zu löschen TKG Datenschutzbestimmungen

135 © Hans G. Zeger 2013 VO SS Juridicum Standortdaten (§ 102 TKG 2003) Komplizierte Regelung andere Standortdaten als Verkehrsdaten -Information über Funkzelle: Verkehrsdaten -genauere Ortsangaben sind: andere Standortdaten Verarbeitung nur -anonymisiert (etwa zur Ressourcenplanung) oder -mit jederzeit widerrufbarer Zustimmung des Betroffenen ("location based services") muss auch zeitweise deaktivierbar sein Datenart im Zusammenhang mit Anbietern von Kommunikationsdiensten im Sinne des TKG 2003 schwindende Bedeutung, da "location based services" meist über Drittanbieter ("Apps") erbracht werden TKG Datenschutzbestimmungen

136 © Hans G. Zeger 2013 VO SS Juridicum SPAM-Problem Was ist Spam? -unerbetene elektronische Nachricht: unerwünschte Werbung (EU, RL Art. 13), in Österreich zusätzlich Massennachricht Umfang von Spam -heute: 70-80% aller Mails Spam (2010: 90+%, 2004: 75%, 2001: 7%) -Relation 2001: auf 14 erwünschte Mails kam ein Spam-Mail heute: auf ein erwünschtes Mail kommen 3 Spam-Mails -Response von 1:1, reicht für "erfolgreiche" Aussendung 7% der Mailnutzer reagieren zumindest einmal im Jahr auf Spam Gefährdungspotentiale -Belästigung mit unerwünschen Inhalten -Fehler bei Annahme/Ablehnung von Mails -Beschränkung der Kommunikation aus Angst vor Spam -Kosten (Übertragung, Beseitigung, Filterkonfiguation, Zeitverlust) TKG Datenschutzbestimmungen

137 © Hans G. Zeger 2013 VO SS Juridicum TKG Datenschutzbestimmungen SPAM-Problem - Ausmaß Quelle: Symantec

138 © Hans G. Zeger 2013 VO SS Juridicum Unerbetene Nachrichten Kommunikations-Datenschutzrichtlinie 2002/58/EG Art.13 -RL sieht Opt-In bei Werbung vor -umfasst automatische Anrufsysteme ohne menschlichen Eingriff (automatische Anrufmaschinen), Faxgeräte, elektronische Post -Ausnahme bei Kunden zur Bewerbung ähnlicher Produkte -trifft keine Aussage zu -Massensendungen oder "normalen" Telefonanrufen Komplexe Regelung in TKG 2003 § 107 -sieht ebenfalls Opt-In für Werbung vor -umfasst alle Telefonanrufe, Faxgeräte, elektronische Post inkl. SMS -Ausnahme bei Kunden zur Bewerbung ähnlicher Produkte, jedoch ist Sperrliste (gem. § 7 Abs. 2 ECG) zu beachten -bei elektronischer Post & SMS zusätzlich jede Massensendungen verboten -zulässig unerbetene Anrufe/Fax zu anderen Zwecken, etwa Meinungsbefragung TKG Datenschutzbestimmungen

139 © Hans G. Zeger 2013 VO SS Juridicum TKG Datenschutzbestimmungen Unerbetene Nachrichten II Regelung in TKG 2003 § 107 -Identität des Absenders muss offen gelegt werden -Möglichkeit zur Einstellung der Zusendungen muss angeboten werden -bei erlaubten Werbeanrufen, darf Anrufnummer weder unterdrückt, noch verfälscht sein, ECG-Bestimmungen nicht verletzt werden, nicht zum Besuch ECG-widriger Webseiten aufgefordert werden -Anzeigemöglichkeit bei unerbetenen Nachrichten bei Fernmeldebüros (Verwaltungsstrafe bis Euro bei Spam, bei Anrufen), 2012 (2011) 344 Anzeigen, 59 (35) Strafverfahren, Strafe Schnitt 196 (71) Euro -Ort der "Tatbegehung" ist bei inländischen "Tätern" Sitz des Täters, bei anderen, der Ort an dem die Nachricht den Teilnehmer erreicht Sonstige Maßnahmen gegen Spam -anwaltliche Abmahnungen: Unterlassungsanspruch -Spamfilter, Blocking-Listen und andere technische Maßnahmen: jedoch! Gefahr des Eingriffs in Kommunikation Regelung gilt für alle, nicht nur Betreiber!

140 © Hans G. Zeger 2013 VO SS Juridicum Sonstige Datenschutzbestimmungen im TKG -Einrichtung und Betrieb technischer Überwachungsvorrichtungen (§ 94) -Einzelentgeltnachweis (§ 100) kostenloser, elektronischer Einzelentgeltnachweis, auf Verlangen entgeltfrei in Papierform -Telefonverzeichnis (§ 103) taxative Aufzählung der Datenarten, Verbot der Auswertung der Teilnehmerdaten (für den Anbieter) -Anzeige der Rufnummer (§ 104) -Unterdrückung des Versendens einer Rufnummer (§ 104) -Anrufweiterleitung (§ 105) -Fangschaltung (§ 106) TKG Datenschutzbestimmungen

141 © Hans G. Zeger 2013 VO SS Juridicum Sicherheit im Netzbetrieb (§ 95 TKG 2003) 2002/58/EG (Kommunikations-Datenschutz-RL, EG20, Art. 4) -grundsätzliche Anforderung ähnlich der allg. DS-Richtlinie: angemessen, Stand der Technik, wirtschaftlich vertretbar -in TKG § 95 Verweis auf DSG § 14 zusätzlich: -Informationspflicht des Nutzers/Teilnehmers über besondere Sicherheitsrisken und deren Vermeidung -Information über Sicherheitsrisken hat kostenfrei zu erfolgen (abgesehen von Empfangskosten) Was ist Stand der Technik im Internet? -im Zusammenhang mit Internet sind SSL128 (TSL, "https://") und VPN (Virtual Private Network) sind "Stand der Technik" TKG Datenschutzbestimmungen

142 © Hans G. Zeger 2013 VO SS Juridicum Strafbestimmung TKG 2003 § 108 Verletzung von Rechten der Benützer Strafandrohung für: -Information an Unberufene über Tatsache und Inhalt eines Telekommunikationsverkehrs weitergibt (bzw. dazu Gelegenheit gibt, selbst wahrzunehmen) -Nachricht fälscht, unrichtig wiedergibt, verändert, unterdrückt, unrichtig vermittelt oder unbefugt dem Empfangsberechtigten vorenthält -Strafrahmen: Freiheitsstrafe bis zu drei Monaten oder mit Geldstrafe bis zu 180 Tagessätzen -Täter ist nur auf Antrag des Verletzten zu verfolgen. -betrifft Betreiber und sein Pesonal (§ 93 Abs. 2) -Strafdrohungen für sonstige Nutzer von Kommunikationsdiensten in einem umfassenden Cybercrimepaket definiert (u.a. § 119 StGB) TKG Datenschutzbestimmungen

143 © Hans G. Zeger 2013 VO SS Juridicum Wo lagen die Probleme der TKG-Bestimmungen vor 11/2011? -strenge Datenschutzbestimmungen, aber eng definierter Anwendungsbereich (Betreiber von Kommunikationsnetzen und/oder Kommunikationsdiensten) -reine Internet- und Smartphone-Dienste (etwa Geo-Apps, Communities/Netzwerke, Web2.0, Blog-Betreiber, "Portale", Online-Shops, Auktionsplattformen, Online-Datenbanken,...) sind nicht erfasst -für diese Dienste wurde zwar das E-Commerce-Gesetz geschaffen (Grundlage Richtlinie 2000/31/EG), hier finden sich aber keine Datenschutz-Bestimmungen -für diese Dienste gilt somit das DSG unter Berücksichtigung - sofern anwendbar - die Kommunikations-Datenschutz-RL 2002/58/EG eCommerce - Datenschutzbestimmungen mit TKG-Novelle 102/2011 weitgehend saniert, teilweise strenger als EG-Richtlinie 2002/58/EG idF 2009/136/EG

144 © Hans G. Zeger 2013 VO SS Juridicum Grundlagen Österreich -E-Commerce-Gesetz – ECG, BGBl I 152/2001 -Fernabsatzgesetz, BGBl I 185/1999 (geregelt im KSchG) -Mediengesetz, BGBl I 49/2005, 151/ Handelsrechts-Änderungsgesetz – HaRÄG, BGBl I 120/2005 (geregelt im Unternehmensgesetzbuch) Grundlagen EU -EG-Richtlinie 2000/31/EG "Richtlinie über den elektronischen Geschäftsverkehr" Regelung -regeln diverse Informations- und Auskunftspflichten bei Onlinediensten gem NotifG 1999 § 1 Abs 1 Z 2 Dienste der Informationsgesellschaft

145 © Hans G. Zeger 2013 VO SS Juridicum Geltungsbereich §§ 1ff ECG -geregelt wird elektronischer Geschäfts- und Rechtsverkehr -Zulassung von Diensteanbietern, Informationspflichten, Abschluss von Verträgen, Verantwortlichkeit von Diensteanbietern (§ 1) -von den Bestimmungen unberührt bleiben Belange des Abgabenwesens, des Datenschutzes und des Kartellrechts (§ 2) -Dienst der Informationsgesellschaft (§ 3 Z 1): elektronisch im Fernabsatz auf individuellen Abruf des Empfängers (in der Regel) gegen Entgelt bereitgestellter Dienst, insbesondere - Online-Vertrieb von Waren und Dienstleistungen, -Online-Informationsangebote, -Online-Werbung, -elektronische Suchmaschinen, -Datenabfragemöglichkeiten, -Dienste, die Informationen über ein elektronisches Netz übermitteln, die den Zugang zu einem solchen vermitteln oder die Informationen eines Nutzers speichern (Access-, -Dienste) E-Commerce-Gesetz

146 © Hans G. Zeger 2013 VO SS Juridicum Geltungsbereich §§ 1ff ECG II -Diensteanbieter (§ 3 Z 2): eine natürliche oder juristische Person oder sonstige rechtsfähige Einrichtung, die einen Dienst der Informationsgesellschaft bereitstellt -Nutzer (§ 3 Z 3): nimmt Dienst in Anspruch -Verbraucher (§ 3 Z 4): natürliche Person, die zu Zwecken handelt, die nicht zu ihren gewerblichen, geschäftlichen oder beruflichen Tätigkeiten gehören OGH 4Ob219/03i ("Online-Sexdienste") -Angeboten wurde Dialerzugang zu Porno-Webcams, geklagt wurde mangelnde Auszeichnung gem. ECG Entscheidung -Dienst im Sinne § 3 Z 1 ECG liegt bei Datenübertragung im Weg einer bidirektionalen Punkt-zu-Punkt-Verbindung vor -Nutzer kann Dienst interaktiv nach seinen Bedürfnissen (zB betreffend Zeit und Ort der Nutzung sowie Art des abgerufenen Inhalts) steuern -trifft auf Live-Cam-Darbietungen zu E-Commerce-Gesetz

147 © Hans G. Zeger 2013 VO SS Juridicum Allgemeine Informationspflichten § 5 ECG leicht verständliche und eindeutige Information zu: -Personenname oder Firmen-/Organisationsname -geographische (ladungsfähige) Anschrift -Kontaktdaten (inkl. -Adresse) -evtl. zuständige Aufsichtsbehörde -evtl. FN-Nummer und Firmenbuchgericht -evtl. berufsrechtliche Vorschriften und Zugang -evtl. UID-Nummer -klare Preisauszeichnung! -Sonstige Informationspflichten bleiben unberührt! Verstoß: -Verwaltungsstrafe § 26 ECG (bis 3.000,- Euro) -Wettbewerbsverletzung § 1 UWG Bestimmung ist bei jedem Web-Angebot anzuwenden (nicht bloß Online-Shop) E-Commerce-Gesetz

148 © Hans G. Zeger 2013 VO SS Juridicum Zugang elektronischer Erklärungen (§ 12 ECG) gilt als zugegangen, wenn mit dessen Kenntnisnahme (Abruf) unter gewöhnlichen Umständen gerechnet werden kann -kann unterschiedlich bei Unternehmen und Privatpersonen sein -Aber: Risiko der Übermittlung und des vollständigen Zugangs einer beim Empfänger trägt der Absender -Eventuell Prüf- und Sorgfaltspflichten des Empfängers regelmäßige Nachschau in box, Sicherstellung des Betriebs (Providerhaftung!) Gegenwärtige -Systeme kennen keine zuverlässigen Identifikations- und Authentifikationsmechanismen -Zustelldienste mit elektronischer Signatur und personalisierten URLs sollen Abhilfe schaffen (siehe E-Government-Gesetz) z.B. E-Commerce-Gesetz

149 © Hans G. Zeger 2013 VO SS Juridicum sonstige spezifische Diensteanbieter (§§ ECG) -Durchleitung von Informationen (§ 13) ("AccessProvider") umfasst auch kurzfristiges Zwischenspeichern, etwa für die Dauer der Diensterbringung -Suchmaschinenbetreiber (§ 14) -Caching- und Proxy-Dienste (§ 15) -Hosting-Dienste (§ 16) ("Hosting-Provider") umfasst Bereitstellung von Speicherplatz für Webseiten, Blogs, aber auch nicht-öffentliche Datenbestände -Link-Dienste (§ 17) Bereitstellen eines Informationszugangs durch Links E-Commerce-Gesetz

150 © Hans G. Zeger 2013 VO SS Juridicum Verantwortung spezifischer Diensteanbieter (§§ ECG) -Durchleitung von Informationen (§ 13) ("AccessProvider") umfasst auch technisch erforderliches Zwischenspeichern, etwa -Suchmaschinen (§ 14) Keine Verantwortung unter bestimmten Umständen: 1.die Übermittlung/Abfrage nicht veranlasst, 2.den Empfänger der übermittelten/abgefragten Informationen nicht auswählt und 3.die übermittelten/abgefragten Informationen weder auswählt noch verändert. Auskunftspflicht im Fall § 13 gegenüber Gerichten zur Verhütung, Ermittlung, Aufklärung oder Verfolgung gerichtlich strafbarer Handlungen e-commerce - Diensteanbieter

151 © Hans G. Zeger 2013 VO SS Juridicum Verantwortung spezifischer Diensteanbieter II (§ 15 ECG) -Zwischenspeicherung (Caching) von Informationen (§ 15) Keine Verantwortung unter bestimmten Umständen: 1.Keine Änderung der Information, 2.Bedingungen zum Informationszugang werden beachtet [z.B. kein allgemein zugänglich machen gesperrter Information], 3.Aktualisierung gemäß "Industriestandard" (?!), 4.Technologien zum Sammeln von Informationen lt. "Industriestandard" dürfen nicht beeinträchtigt werden (??) und 5.Unverzügliches entfernen der Information, wenn am Ursprungsort nicht vorhanden oder Gericht/Verwaltungsbehörde Sperre/Entfernung angeordnet hat e-commerce - Diensteanbieter

152 © Hans G. Zeger 2013 VO SS Juridicum Verantwortung spezifischer Diensteanbieter III (§§ ECG) -Hosting / Housing von Diensten (§ 16) Dienstleister speichert vom Nutzer eingegebene Daten -Unternehmenswebsite wird auf Server eines ISP verwaltet -Online-Händler mietet sich auf Webshop-Plattform ein -Leser gibt Kommentar in Onlineforum einer Zeitung ab -Benutzer bewertet Hotel, Gasthaus,... auf einer Bewertungsplattform, trägt sich in einem Gästebuch ein -Benutzer verwendet Online-Office-Services oder - Fotobearbeitungsdienste oder... -Benutzer hat Social-Account (auf Facebook,...) und berichtet -Benutzer "zwitschert" über "Gott und die Welt" auf Twitter -Benutzer beteiligen sich an einem Themenforum -Unternehmen verlagern ihre Dienste in eine "Cloud" -Links auf fremde Dienste (§ 17) -Website verlinkt auf andere (fremde) Websites e-commerce - Diensteanbieter

153 © Hans G. Zeger 2013 VO SS Juridicum Verantwortung spezifischer Diensteanbieter IV (§ 18 für §§ ECG) Keine Verantwortung unter bestimmten Umständen: 1.sofern keine Kenntnis des rechtswidrigen Inhalts und auch keine Umstände bekannt, aus denen der rechtswidrige Inhalt oder Tätigkeit offensichtlich ist oder 2.bei Kenntnis der rechtswidrigen Tatsache unverzügliches tätig werden zum Entfernen des Hinweises/der Inhalte Erweiterte Auskunftspflichten bei Hosting siehe Abschnitt Auskunftspflichten e-commerce - Diensteanbieter Aber: -keine generelle Überwachungspflicht, es müssen keine aktiven Maßnahmen zur Identifikation rechtswidriger Inhalte gesetzt werden -keine vorbeugenden Aufzeichnungspflichten (es erfolgte auch keine Regelung im Rahmen der Vorratsspeicherung)

154 © Hans G. Zeger 2013 VO SS Juridicum sonstige Datenschutzbestimmungen Datenschutzbestimmungen in Einzelgesetzen e-Government-Gesetz (E-GovG) -schreibt bestimmte technische Verfahren in der Behördenkommunikation vor (Verschlüsselung, digitale Signatur) -ausführliche Angaben zur Datensicherheit Gesundheitstelematikgesetz (GTelG) -schreibt bestimmte technische Verfahren in der Kommunikation der Gesundheitsdienstleister vor -2012: Regelung der Zugriffe auf Patientenakte [ELGA] elektronische Rechnungslegung (eBilling) -verlangt digitale Signatur bei elektronischen Rechnungen

155 © Hans G. Zeger 2013 VO SS Juridicum Weitere Beispiele zu Datenschutzproblemen - -Verkehr - Versenden von Zusatzinformationen oder personalisierten Links -News- & Diskussionbeiträge - "System" vergisst nie (Zweck?) -Personensuchmaschinen - Qualität der verknüpften Informationen -Fotodaten (Exif) - Versenden von Zusatzinformationen (Zustimmung?) -Phishing - Diebstahl der (reduzierten) Benutzeridentität unter Vorspiegelung einer falschen Anbieteridentität weitere Demobeispiele

156 © Hans G. Zeger 2013 VO SS Juridicum TelekommunikationsG 2003 Sicherheitspolizeigesetz StPO UrheberrechtsG E-CommerceG Vorratsdatenspeicherung Auskunftspflichten/Überwachung

157 © Hans G. Zeger 2013 VO SS Juridicum Vorratsdatenspeicherung (in Ö seit ) Richtlinie 2006/24/EG verpflichtet Mitgliedstaaten, Vorratsdatenspeicherung einzuführen -Verkehrsdaten, inklusive Standortdaten betroffen sind auch nicht angenommene Kontaktversuche und Anrufe -Aufzeichnungsverbot der Inhaltsdaten (sehr allgemein gefasst) "keinerlei Daten, die Aufschluss über den Inhalt einer Kommunikation geben" (Art. 5 Abs. 2) -Speicherdauer von den Mitgliedsstaaten festzulegen: 6 bis 24 Monate -Umsetzungsfrist Telefonie: bis für Internetaufzeichnungen konnte ein Umsetzungsvorbehalt abgegeben werden, dann verlängerte sich die Umsetzungsfrist bis Delikte, wegen denen auf Daten zugegriffen werden darf: -schwere Straftaten, national definiert (Art. 1) -ebenso bei unzulässigem TK-Gebrauch (ohne Untergrenze, EG 4) Aufzeichnungspflichten

158 © Hans G. Zeger 2013 VO SS Juridicum Vorratsdatenspeicherung II aufzuzeichnende Telefondaten -Namen und Adressen, Datum, Uhrzeit, Dauer einer Verbindung, Telefonnummern (inkl. IMSI- und IMEI-Nummer), auch zu abgebrochenen/erfolglosen Verbindungsversuchen -bei Wertkartengeräten: zusätzlich Datum, Uhrzeit, Ort der ersten Aktivierung aufzuzeichnende Internetdaten -Wer hatte wann welche IP-Adresse genutzt? -Verbindungen zu - und Telefoniediensten -zum größten Teil Informationen, die bisher nicht erhoben/gespeichert werden Österreich hatte zu den Internetdaten einen Umsetzungsvorbehalt abgegeben Aufzeichnungspflichten

159 © Hans G. Zeger 2013 VO SS Juridicum Aufzeichnungspflichten Vorratsdatenspeicherung III Umsetzung Österreich -Novelle des TKG 2003 Mai 2011, in Kraft seit Speicherdauer 6 Monate (BMI & Kopierindustrie wollten längere Speicherdauer) -Speicherung soll bei den Betreibern erfolgen, spezifische Sicherheitsanforderungen (§ 102c TKG 2003) -beschränkter Zugang ("Vier-Augen-Prinzip") -Protokollierungspflicht bei Datenverwendung -Berichtspflicht bezüglich der Protokolldaten an Datenschutzkommission und Nationalrat -Umsetzung in Österreich erst nach erster Verurteilung durch EuGH -Juni 2012 VfGH-Beschwerde gegen Vorratsdatenspeicherung -November 2012 knapp 200 Anfragen zu Vorratsdaten Vereinbarkeit Vorratsdatenspeicherung mit EU-Grundrechtecharta -Dezember 2012 VfGH: Vorabentscheidungsverfahren vor EuGH -Jänner 2013 DSK: Vorabentscheidungsverfahren vor EuGH

160 © Hans G. Zeger 2013 VO SS Juridicum Aufzeichnungspflichten Vorratsdatenspeicherung IV Delikte, wegen denen Vorratsdaten beauskunftet werden dürfen (in StPO § 135 Abs. 2a geregelt Abs. 2 Z 2 bis 4): -bei Straftaten mit Freiheitsstrafe von mehr als einem Jahr (Z 3,4) -mit Zustimmung des Inhabers einer technischen Einrichtung bei Straftaten mit Freiheitsstrafe von mehr als einem halben Jahr (Z 2) Ausnahmen von der Speicherpflicht: -keine Speicherpflicht für "kleine" Provider § 102 a Abs. 6 TKG 2003 (Umsatzgrenze ca Euro) -keine Speicherpflicht wenn Dienst nur "nebengewerblich" erbracht wird (Hotels, Cafe mit Internet,...) -keine Speicherpflicht, wenn Dienst nicht gewerblich betrieben wird (z.B. alle Unternehmen mit eigenen Mailsystemen, trifft auf etwa 80% der größeren Unternehmen (>50 MA) zu)

161 © Hans G. Zeger 2013 VO SS Juridicum Aufzeichnungspflichten Vorratsdatenspeicherung V Umfang der Aufzeichnung (§ 102a TKG 2003), Auswahl II: -bei Internet-Zugangsdiensten (Abs 2): Teilnehmerdaten, Datum und Uhrzeit der Zuteilung und des Entzugs einer öffentlichen IP-Adresse, Anschlusskennung -bei Telefon- und Internet-Telefondiensten: Teilnehmerdaten, Anschlusskennung, Dienstart (z.B. Gespräch, SMS, MMS,...), Beginn- Datum, -Uhrzeit und Dauer des Dienstes -bei Mobilfunkdiensten zusätzlich: IMSI (Teilnehmerkennung) und IMEI (Gerätekennung), bei Prepaid-Diensten Daten der ersten Aktivierung, Standortkennung (Cell-ID) -bei -Diensten: Teilnehmerdaten, Teilnehmerkennung, Adressen von Absender und Empfänger, Ab- und Anmeldedaten zu Maildienst inkl. öffentliche IP-Adresse, bei Versenden öffentliche IP-Adresse des Absenders, bei Empfang öffentliche IP-Adresse der "letztübermittelnden Kommunikationsnetzeinrichtung" -auch erfolglose Anrufversuche sind aufzuzeichnen, wenn Betreiber diese Daten erhebt

162 © Hans G. Zeger 2013 VO SS Juridicum Aufzeichnungspflichten Was wird bei einer aufgezeichnet? Sind das die relevanten Informationen?

163 © Hans G. Zeger 2013 VO SS Juridicum Aufzeichnungspflichten Was wird bei einer aufgezeichnet? II weitere nützliche Informationen wir betätigen uns als Cyber-Cop

164 © Hans G. Zeger 2013 VO SS Juridicum Aufzeichnungspflichten Was wird bei einer aufgezeichnet? III Rechtshilfeverfahren mit Azerbaijan?

165 © Hans G. Zeger 2013 VO SS Juridicum Aufzeichnungspflichten Was wird bei einer aufgezeichnet? IV Rechtshilfeverfahren mit USA?

166 © Hans G. Zeger 2013 VO SS Juridicum Auskunftspflichten / Überwachung StPO Überwachung gemäß StPO (§§ 134–140) Drei Formen der Eingriffs -Fall 1: "Auskunft über Daten einer Nachrichtenübermittlung" § 134 Abs. 2 - auch "äußere Rufdatenerfassung" umfasst: "aktuelle" Verkehrs-, Zugangs- und Standortdaten -Fall 2: "Auskunft über Vorratsdaten" § 134 Abs. 2a - umfasst: historische Verkehrs-, Zugangs- und Standortdaten (bis sechs Monate alt) -Fall 3: "Überwachung von Nachrichten" § 134 Abs. 3 - "[innere] Rufdatenerfassung" umfasst: Inhalt von Nachrichten Anzuwenden auf Telekommunikationsdienste (gem. TKG) oder Dienste der Informationsgesellschaft (gem. Notifikationsgesetz) Beispiele: Telekomunternehmen (inkl. Mobilfunk), Access-Provider, Mailservice-Anbieter, Forumsbetreiber, "Skype" (VoIP),...

167 © Hans G. Zeger 2013 VO SS Juridicum Auskunftspflichten / Überwachung StPO Überwachung gemäß StPO (§§ 134–140) Voraussetzungen für Fall 1 (§ 135 Abs. 2) : -Z 1: Entführungsfall (Verdacht) -Z 2: vorsätzlich begangene Straftat, Freiheitsstrafe von mehr als sechs Monaten mit Zustimmung des Inhabers der Einrichtung (Aufklärung) -Z 3,4: vorsätzlich begangene Straftat, Freiheitsstrafe von mehr als ein Jahr (Aufklärung, Fahndung) -Auskunftszeitraum kann sowohl Zukunft, als auch Vergangenheit umfassen, Verlängerung möglich (§ 137 Abs. 3) Voraussetzungen für Fall 2 (§ 135 Abs. 2a) : analog Fall 1, jedoch nur Z 2 bis 4 (nicht "Entführungsfall")

168 © Hans G. Zeger 2013 VO SS Juridicum Auskunftspflichten / Überwachung StPO Überwachung gemäß StPO (§§ 134–140) Voraussetzungen für Fall 3 (§ 135 Abs. 3) : -wie Fall 1 Z 1, 2 und Z 4: -Z 3 jedoch erweitert: bei vorsätzlich begangener Straftat, Freiheitsstrafe von mehr als ein Jahr erforderlich oder Verhinderung oder Aufklärung im Rahmen einer kriminellen oder terroristischen Vereinigung oder einer kriminellen Organisation (§§ 278 bis 278b StGB) begangenen oder geplanten strafbaren Handlungen ansonsten wesentlich erschwert wäre und a. Inhaber der technischen Einrichtung dringend verdächtig oder b. verdächtige Person benutzt die technische Einrichtung oder stellt Verbindung dazu her -Überwachung kann nur für zukünftigen Zeitraum angeordnet werden (§ 137 Abs. 3)

169 © Hans G. Zeger 2013 VO SS Juridicum Überwachung gemäß StPO (§§ 134–140) -Von der Staatsanwaltschaft mit gerichtlicher Bewilligung anzuordnen (§ 137 Abs. 1 StPO) -Mitwirkungs- und Auskunftspflicht für Betreiber nach TKG 2003 und Diensteanbieter nach E-Commerce-Gesetz (§ 138 Abs. 2 StPO) Verpflichtung geregelt in der Überwachungsverordnung (§ 94 TKG 2003), Sprachtelefoniebetreiber mit eigenen physikalischen Anschlüssen müssen spezielle technische Einrichtungen zur Überwachung bereitstellen, ab % Kostenersatz im Zusammenhang mit Vorratsspeicherung, bei allen Unternehmen -Anspruch auf Kostenersatz (geregelt in der Überwachungskostenverordnung, ÜKVO) aber: gilt nur für Telekom-Anbieter, für Diensteanbieter nach ECG weder spezifische Regelungen, noch Kostenersatz vorgesehen Auskunftspflichten / Überwachung StPO

170 © Hans G. Zeger 2013 VO SS Juridicum Überwachung gemäß StPO (§§ 134–140) -Verständigungspflicht des Beschuldigen (§ 138 Abs 5 StPO) aber: kann aufgeschoben werden, wenn dieses oder anderes Verfahren gefährdet ist -Einsichtsrecht des Beschuldigten in alle für das Verfahren bedeutsamen Ergebnisse (§ 139 Abs. 1 StPO) -Einsichtsrecht der sonstigen Betroffenen insoweit sie davon betroffen sind, die Betroffenen sind von diesem Recht zu informieren (§ 139 Abs. 2 StPO) aber: nur insoweit ihre Identität bekannt oder ohne besonderen Verfahrensaufwand feststellbar ist -Beweisverwertungbeschränkung, Nichtigkeit bei rechtswidriger Überwachung (§ 140 StPO) aber: Verwertung von "Zufallsfunden" zulässig, wenn Überwachungsvoraussetzungen gegeben gewesen wäre Auskunftspflichten / Überwachung StPO

171 © Hans G. Zeger 2013 VO SS Juridicum Auskunftspflichten / Überwachung StPO Seit Änderung der StPO: StA ordnet mit richterlicher Bewilligung an. Bis 2007 Telefon-Überwachung, seit 2008 Überwachung von Nachrichten (Telefon und Internet). Quelle: Sicherheitsberichte des BMJ.

172 © Hans G. Zeger 2013 VO SS Juridicum Thema "Online-Trojaner" (in Planung?) Was ist das? -Technisches Instrument, dass es erlaubt Computerinhalte und - prozesse von der Ferne (Remote) ohne Wissen des Benutzers zu überwachen -Installation kann vor Ort oder über Datenleitung (Internet) erfolgen, erfordert jedoch immer Manipulation des Computers -Technik: Key-Logger, Screen-Shots, Dateitransfer, Suchprogramme Rechtsgrundlage / Diskussionspunkte -Rechtsgrundlage wird vom überwachten Gegenstand abhängen: Datenverkehr mit der Außenwelt (Kommunikation) oder private Dateien, Notizen, die nicht für Dritte bestimmt sind -ist das elektronische Aufzeichnen von Tastatureingaben oder Bildschirmanzeigen durch "großen Lauschangriff" (optisches und akustisches nicht-öffentliches Verhalten) abgedeckt? Auskunftspflichten / Überwachung

173 © Hans G. Zeger 2013 VO SS Juridicum Auskunftspflichten nach dem TKG 2003 Auskunft gegenüber Verwaltungsbehörden (§ 90 Abs. 6 TKG 2003) -Name, akademischer Grad, Wohnadresse, Teilnehmernummer, Vertragsinformationen, nicht Bonitätsdaten(!) (Stammdaten gem. § 92 Abs. 3 Z 3 lit. a bis e) -Voraussetzung: Verdacht einer Verwaltungsübertretung mittels öffentlichem Telekommunikationsnetz begangen -schriftlich, begründet und nur insoweit ohne Auswertung von Verkehrsdaten möglich Auskunftspflichten TKG 2003

174 © Hans G. Zeger 2013 VO SS Juridicum Auskunftspflichten nach dem TKG 2003 II Auskunft an Notrufträger (§ 98 TKG 2003) -Name, akademischer Grad, Wohnadresse, Teilnehmernummer (Stammdaten gem. § 92 Abs. 3 Z 3 lit. a bis d) + Standortdaten (gem. § 92 Abs. 3 Z 6) -Standortdaten sind schon bei Rufaufbau bekannt zu geben -wenn aktuelle Standortdaten nicht feststellbar, dann auch Auskunft über letzte bekannte Cell-ID, auch wenn dazu Vorratsdaten erforderlich (gem. § 102a Abs. 3 Z 6 lit. d gespeicherte Vorratsdaten) -Auskunftserfordernis ist durch Notrufträger zu dokumentieren und unverzüglich, spätestens innerhalb von 24 Stunden dem Betreiber vorzulegen -nur im Fall der Verwendung von Vorratsdaten: Anbieter hat "frühestens nach 48 Stunden, jedoch spätestens nach 30 Tagen grundsätzlich durch Versand einer Kurzmitteilung (SMS), wenn dies nicht möglich ist schriftlich, zu informieren" Auskunftspflichten TKG 2003

175 © Hans G. Zeger 2013 VO SS Juridicum Auskunftspflichten SPG komplexe Auskunftspflichten nach dem SPG § 53 Abs. 1 regelt generell Verwendung personenbezogener Daten bei Sicherheitsbehörden, u.a. -Abwehr krimineller Verbindungen [iS § 16 Abs. 1 Z 2: drei oder mehr Menschen mit dem Vorsatz fortgesetzt gerichtlich strafbare Handlungen zu begehen] (Z 2) -erweiterte Gefahrenerforschung (Z 2a) [z.B. iS § 21 Abs. 3 Z 1 eine einzelne Person, die sich mittels Telekommunikationseinrichtungen für Gewalt ausspricht oder nach Massenvernichtungsmittel recherchiert und bei dem mit Gewalttaten "zu rechnen" ist] -Abwehr gefährlicher Angriffe [iS § 16 Abs. 3, jedes Offizialdelikt, Anm.] einschließlich notwendige Gefahrenerforschung (Z 3) -Analyse und Bewertung der Wahrscheinlichkeit einer Gefährdung verfassungsmäßiger Einrichtungen (Z 7)

176 © Hans G. Zeger 2013 VO SS Juridicum Auskunftspflichten SPG komplexe Auskunftspflichten nach dem SPG II § 53 Abs. 3a besondere Verpflichtungen zur Auskunft für Telekombetreiber (TKG) und sonstige Diensteanbieter (ECG) -Teilnehmerdaten zu einem Anschluss für alle SPG-Aufgaben (Z 1) -IP-Adresse zu einer bestimmten Nachricht (Z 2) [z.B. , Posting in einem Forum,...] -Benutzerdaten zu einer einem bestimmten Zeitpunkt zugeordneten IP-Adresse inkl. Verwendung von Vorratsdaten (Z 3) Voraussetzungen für Z 2 und 3: bei konkreten Gefahren (lit a), gefährlichen Angriff (lit b) oder bei kriminellen Verbindungen [drei oder mehr Personen mit dem Vorsatz fortgesetzt gerichtlich strafbare Handlungen zu setzen] (lit c) -kein Kostenersatz für Betreiber & Diensteanbieter (§ 53 Abs. 3c)

177 © Hans G. Zeger 2013 VO SS Juridicum Auskunftspflichten SPG komplexe Auskunftspflichten nach dem SPG III § 53 Abs. 3b besondere Verpflichtungen zur Auskunft für Telekombetreiber (TKG) -bei gegenwärtiger Gefahr für Leben oder Gesundheit ("Lawinen- und Selbstmörderbestimmung") Auskunftsumfang -Auskunft über Standortdaten und die internationale Mobilteilnehmerkennung (IMSI) der von dem gefährdeten Menschen mitgeführten Endeinrichtung -Sicherheitsbehörde darf technische Mittel zur Lokalisierung der Endeinrichtung einsetzen ("IMSI-Catcher") -falls erforderlich sind Vorratsdaten heranzuziehen -Kostenersatz für Diensteanbieter gem. ÜKVO (§ 53 Abs. 3c)

178 © Hans G. Zeger 2013 VO SS Juridicum Auskunftspflichten SPG komplexe Auskunftspflichten nach dem SPG IV § 53 Abs. 3c, gemeinsame Verpflichtungen zu Abs. 3a, 3b -Auskunft ist unverzüglich zu erteilen -Sicherheitsbehörden handeln in eigener Verantwortung -Keine gerichtliche Bewilligung erforderlich bloße Informationspflicht des BMI-internen Rechtsschutzbeauftragten -Kein Rechtsmittel für Betroffene -bei Verwendung von Vorratsdaten sind Betroffene von Sicherheitsbehörden nachweislich und ehestmöglich zu verständigen SPG erlaubt keine Beauskunftung der Vorratsdaten, verpflichtet aber Dienstbetreiber zur Auskunft unter Verwendung der Vorratsdaten

179 © Hans G. Zeger 2013 VO SS Juridicum Pflichten von Diensteanbietern (§ 18 ECG) Auskunfts- und Mitwirkungspflicht aller Diensteanbieter gegenüber Gerichten (Abs. 2) Hosting-Provider (§ 16) müssen auf Verlangen Name und Adresse eines Nutzers offen legen, gegenüber -Behörden, sofern die Kenntnis dieser Informationen eine wesentliche Voraussetzung der Wahrnehmung der der Behörde übertragenen Aufgaben bildet (es muss kein Delikt behauptet werden!) (Abs. 3) -dritten Personen, bei ein überwiegenden rechtlichen Interesse an der Feststellung der Identität eines Nutzers und eines rechtswidrigen Sachverhalts, Informationen muss wesentliche Voraussetzung für die Rechtsverfolgung sein (Abs. 4) Auskunft umfasst jedoch nur Namen und die Adresse des Nutzers, mit dem Hostingvereinbarung abgeschlossen wurde Gilt auch bei unentgeltlichen Diensten! Auskunftspflichten ECG

180 © Hans G. Zeger 2013 VO SS Juridicum Auskunftspflicht eines Vermittlers gemäß § 87b UrhG Abs. 3 Wer in seinem Urheberrecht verletzt wurde, kann vom Vermittler Auskunft zur Identität des Verletzers verlangen Unklar ob "Access-Provider" Vermittler ist, insbesondere in Hinblick auf den Ausschluss der Verantwortlichkeit nach ECG für die Durchleitung von Informationen (§13 ECG) Strittig, ob Kopierindustrie/Verwertungsgesellschaften überhaupt IP-Adressen sammeln dürfen (Interessenabwägung nach Datenschutzrecht) 2 Fragen des OGH an EuGH ( Antwort EuGH LSG/Tele2, C-557/07, ): -Ist mit Vermittler auch ein reiner Access-Provider gemeint? -Wenn ja: Ist Auskunft an private Dritte zulässig oder steht dem die EU- Datenschutzrichtlinie entgegen? Auskunftspflichten UrhG JA JA | NEIN | gesetzliche Regelung zulässig

181 © Hans G. Zeger 2013 VO SS Juridicum Auskunftspflicht eines Vermittlers II Entscheidung OGH , 4 Ob 41/09x auf Basis der EuGH- Feststellungen: -Grundsätzlich sind Access-Provider zur Auskunft verpflichtet -Keine Auskunftspflicht über dynamische IP-Adressen, da gar nicht gespeichert werden darf (siehe Verkehrsdaten), wem die Adresse zu welcher Zeit zugeteilt wurde Auskunftspflichten UrhG Grundsätzlich gilt: -keine generelle Überwachungspflicht, es müssen keine aktiven Maßnahmen zur Identifikation rechtswidriger Inhalte gesetzt werden -ab auch vorbeugende Aufzeichnungspflichten (Vorratsdatenaufzeichnung), TKG 2003 § 99 Abs 4 schränkt jedoch Auskunft auf ausdrückliche gesetzliche Ermächtigungen ein

182 © Hans G. Zeger 2013 VO SS Juridicum Auskunftspflichten Abschluss Zusammenfassung zu den Auskunftspflichten Keine der genannten Auskunfts- und Überwachungspflichten verpflichtet dazu, Daten auf Vorrat zu erheben oder zu speichern Im Gegenteil: -Nach DSG sind Daten zu löschen, wenn sie nicht mehr für den ursprünglichen Zweck benötigt werden -Konkreter: Nach TKG sind Verkehrsdaten zu löschen, wenn sie nicht mehr für die Verrechnung benötigt werden -Empfehlung der DSK vom : Unzulässigkeit der Speicherung von dynamischen IP-Adressen bei Flatrate (K /0005-DSK/2006) Grundrecht auf Datenschutz ("Geheimhaltung der persönlichen Lebensführung") wird als höherwertig angesehen als die Schaffung von Instrumenten der präventiven Rechtsverfolgung seit gilt: Möglichkeit Ermittlungserfolge zu verbessern ist höherwertig als Grundrechte auf Freiheit und Privatsphäre

183 © Hans G. Zeger 2013 VO SS Juridicum Auskunftspflichten Abschluss Zusammenfassung zu den Auskunftspflichten II Sachverhalt -Betroffener wird nach Posting in "Sex-Chatroom" über WHOIS- Abfrage der Chatroom-Website, Nickname und vom Betroffenen zum Zeitpunkt des Postings benutzte IP-Adresse (Internet-Provider) ausgeforscht -Gegen die Ausforschung nach SPG § 53 Abs. 3a ohne richterlicher Ermächtigung wurde Beschwerde bei der DSK eingebracht Entscheidung VfGH , B1031/11: -keine Bedenken des VfGH gegen die Bestimmungen des SPG -kein Eingriff in Fernmeldegeheimnis, da "öffentliche" Kommunikation und Verkehrsdaten nicht vom Art. 10a StGG erfasst -staatliche Überwachungsmaßnahmen im Sinne Art 8 EMRK erfordern nicht zwangsläufig richterliche Genehmigung -Auskunftsgrund ("Anbahnung sexueller Kontakte mit Minderjährigen") als "bestimmte Nachricht" ausreichend begründet

184 © Hans G. Zeger 2013 VO SS Juridicum Datenschutzfragen in Internet/eCommerce I Vorfrage: Handelt es sich um personenbezogene Daten? Bestimmbarkeit reicht jedoch aus! (1) Welche Bestimmung ist anwendbar? a)Telekommunikationsgesetz (setzt bestimmte Technik voraus) b)andere Spezialbestimmungen (E-Government-Gesetz, Gesundheitsdatentelematikgesetz,...) c)Datenschutzgesetz (setzt Datenanwendung voraus) a) + b) verweisen in Teilen meist auf c) d)Privatsphärebestimmung (Auffangbestimmung) (2) Prüfung der Rechtmäßigkeit verwendeter Daten a)prüfen ob Datenanwendung iS DSG 2000 b)wenn Datenanwendung, drei Schritte: berechtigter Zweck der Datenanwendung, Erlaubnis zur Verwendung bestimmter Daten, Registrierungsanforderung Überblick / Zusammenfassung

185 © Hans G. Zeger 2013 VO SS Juridicum Datenschutzfragen in Internet/eCommerce II (2) Prüfung der Rechtmäßigkeit verwendeter Daten... c)mögliche Rechtsverletzungen nach DSG 2000, TKG 2003, Medienrecht, StGB, Privatsphärebestimmungen, UWG,... (3) bestehen berechtigte Auskunftspflichten? a) gemäß StPO, TKG, SPG, ECG, UrhG?,... b)gegenüber Gerichten, Sicherheits-, Verwaltungsbehörden, Dritten (Privaten) c)Umfang der Auskunftspflicht: -bestimmte Daten / Datenarten, -Mitwirkungspflicht, -in bestimmten Fällen Bereitstellung von technischen Einrichtungen erforderlich, -umfasst bestehende Daten, seit auch Vorratsspeicherung Überblick / Zusammenfassung

186 © Hans G. Zeger 2013 VO SS Juridicum Dr. Hans G. Zeger e-commerce monitoring gmbh A-1010 Wien, Vorlaufstraße 5/6 Tel.:01 / Fax.:01 / Mail Zertifizierung:http://www.a-cert.at e-commerce:http://www.e-rating.at DSG2000:http://www.argedaten.at/dsg2000 diverse Muster:http://www.argedaten.at/muster/ Kontaktinformationen

187 © Hans G. Zeger 2013 VO SS Juridicum Onlineinformation Datenschutz

188 © Hans G. Zeger 2013 VO SS Juridicum Ich danke für Ihre Aufmerksamkeit

189 © Hans G. Zeger 2013 VO SS Juridicum Ende Teil I

190 © Hans G. Zeger 2013 VO SS Juridicum Datenschutzfragen in Internet und eCommerce Hans G. Zeger Wien Juridicum, VO Sommersemester 2011 Teil II

191 © Hans G. Zeger 2013 VO SS Juridicum Wiederholung - Grundfragen Was ist das Internet? -technische Infrastruktur ("Unternehmensvernetzung", "virtuelle Netzwerke", "Telefonie",...) -Plattform für wirtschaftliche Tätigkeiten ("eCommerce", "Online-Shops",...) -Informationsvermittlung ("Agora", "Medium", "Stammtisch", "sozialer Treffpunkt",...) -Erweiterung der Privatsphäre (" ", "Weblog"/Tagebuch, "Partnersuche",...) -politischer Aktionsraum ("Kooperation", "Vernetzung", "Foren",...) Abgrenzung nicht immer offensichtlich

192 © Hans G. Zeger 2013 VO SS Juridicum Wiederholung - DSG Grundrecht Einschränkungen des Verbots möglich aufgrund: - der Zustimmung des Betroffenen - von Gesetzen (Behörden) - Wahrung überwiegender Interessen Dritter/Auftraggeber - "allgemeiner" Verfügbarkeit von Daten - lebenswichtiger Interessen des Betroffenen DSG 2000 § 1 (Verfassungsbestimmung) : "jede Verwendung perönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens")

193 © Hans G. Zeger 2013 VO SS Juridicum Wiederholung - DSG Grundlagen Grundsätze der Verwendung von Daten (§ 6ff) Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1) Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2) Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2) Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3) Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4) [Möglichkeit der Selbstregulierung] /010-DSK/2001 ("gelindester Eingriff") Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren

194 © Hans G. Zeger 2013 VO SS Juridicum Wiederholung - DSG Grundlagen Grundlage einer rechtmäßigen Datenverwendung Dreistufiges Konzept Es muss eine Rechtsgrundlage für die Datenanwendung geben sein und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (§ 6, § 7 Abs.1) Die Verwendung der Daten eines bestimmten Betroffenen muss für den konkreten Zweck zulässig sein (§§ 7ff) Die Datenanwendung muss den Genehmigungs- und Registrierungserfordernissen entsprechen (§§ 16ff) Beispiel: Dürfen Personendaten bei eBay versteigert bzw. ersteigert werden?

195 © Hans G. Zeger 2013 VO SS Juridicum Wiederholung - Beispiele / Entscheidungen In welchem Umfang ist DSG auf Internet anwendbar? -Ist eine Veröffentlichung auf einer Internetseite eine Datenanwendung? (ja, siehe EuGH C-101/01 Lindqvist) -Ist -Verkehr eine Datenanwendung? (ja, siehe DSK /010-DSK/2003, DSK K ) -Wann handelt es sich um personenbezogene Daten? Name, Adresse, Identifikationsdaten -Adresse (ja, siehe OLG Bamberg/D 1U143/04) IP-Adresse (ja, siehe DSK /0005-DSK/2006) Kundennummer/Benutzerkennung Cookies Voraussetzung ist "bestimmbar" (iS EG-RL 95/46/EG Art. 2) -Ist berechtigter Zweck gegeben? (DSK /002-DSK/2004) [unzulässiges Onlineangebot zur Kreditwürdigkeit]

196 © Hans G. Zeger 2013 VO SS Juridicum Sonstige nicht vorgetragene Seiten

197 © Hans G. Zeger 2013 VO SS Juridicum Auskunftspflichten nach dem SPG - Umsetzung -Heftige Reaktionen aus den betroffenen Unternehmen -Unterstützung durch Wirtschaftskammer (UBIT) -Wildwuchs von Anfragen zu Jahresbeginn -Rechtsunsicherheit, wer überhaupt Anfrageberechtigt ist nach Verhandlungen mit Innenministerium dürfen nur 13 Dienststellen anfragen (LKAs, BPD Wien, BKA, BVT, BIA) -Art des Formulars per Erlass geregelt enthält keine Angaben zur Begründung einer Anfrage -Wenn eine Anfrage einlangt: UBIT bietet kostenlose Rechtsauskunft binnen eines Werktages -Empfehlung von UBIT: Kunden über die Anfrage informieren -Telekom-Betreiber strengten mehrere VfGH-Verfahren an -VfGH G 31/08 u.a.: Zurückweisung aus formalen Gründen: Bekämpfung der Auskunftspflicht durch Beschwerde bei UVS zumutbar Auskunftspflichten SPG

198 © Hans G. Zeger 2013 VO SS Juridicum "alte" Cybercrime-Strafbestimmungen u.a. -§126a StGB Datenbeschädigung -§148a StGB Betrügerischer Datenverarbeitungsmissbrauch -§118 Verletzung des Briefgeheimnisses und Unterdrückung von Briefen -§119 Verletzung des Telekommunikationsgeheimnisses -§122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses "Amts"-Bestimmungen -Schutz des Behörden"geheimnisses" (StGB §§ 302, 310), nur bedingt anwendbar: §301 "Verbotene Veröffentlichung" - geringer Strafrahmen Cybercrime - Übersicht

199 © Hans G. Zeger 2013 VO SS Juridicum Cybercrime - Übersicht

200 © Hans G. Zeger 2013 VO SS Juridicum Neue "cybercrime"-Bestimmungen (seit ) -§118a Widerrechtlicher Zugriff auf ein Computersystem ["Hacken"] -§119a Missbräuchliches Abfangen von Daten -§126b Störung der Funktionsfähigkeit eines Computersystems [DOS-Attacken] -§126c Missbrauch von Computerprogrammen oder Zugangsdaten ["Cracken"] -§225a Datenfälschung von EU beschlossen (2006) -Aufbewahrungspflicht für Telekom- und Internetdaten -in Österreich nicht fristgerecht umgesetzt (Stand: ) Europarat - Convention on Cybercrime ( ) -seit in Kraft -in Österreich nicht ratifiziert (Stand: ) Cybercrime - Übersicht

201 © Hans G. Zeger 2013 VO SS Juridicum Cybercrime - Übersicht

202 © Hans G. Zeger 2013 VO SS Juridicum Auskunftspflicht eines Vermittlers § 87b UrhG Abs. 3 Privatanklage durch Musikindustrie im Strafverfahren seit der neuen StPO ( ) Warum?? schwieriger -Auskunftspflicht vorher heftig umstritten und widersprüchliche Gerichtsentscheidungen IP-Adressen von Filesharern

203 © Hans G. Zeger 2013 VO SS Juridicum Grenzen des DSG Grundkonzepte des DSG Geheimhaltungskonzept "grundsätzlich sind alle persönlichen Daten geheim" -Rollenkonzept "Betroffener", "Auftrageber", "Dienstleister" -Datenkonzept das DSG sieht die Daten als Träger der Information steht im Widerspruch zu "Informationsgesellschaft" bei Telekommunikation und Internet verschwimmen diese Begriffe: persönliche Webseiten, Anschlussinhaber/-nutzer, Angerufener, Rolle des ISP,... tatsächlich bestimmt oft erst die Auswertung den Informationsgehalt ("data-mining", Surf-Verhalten)

204 © Hans G. Zeger 2013 VO SS Juridicum DSK K121.59/K ("Parlament") Ausgangslage -im Zuge einer parlamantarischen Anfragebeantwortung wurde eine Person (kein Politiker) namentlich genannt -Anfragebeantwortung wurde auf Website des Parlaments nicht anonymisiert veröffentlicht Entscheidung -keine Zuständigkeit der DSK gegeben (nur für Verwaltung/Exekutive zuständig) -betrifft Gesetzgebung für Gesetzgebung, aber auch Justiz fehlen Datenschutzaufsichtsstellen DSG Veröffentlichung

205 © Hans G. Zeger 2013 VO SS Juridicum Beispiel - wozu wird zugestimmt? "Ich willige ein, dass 1. die eBay Europe S.à r.l., 15 rue Notre Dame L-2240 Luxembourg, Luxemburg und die eBay International AG, Helvetiastrasse , CH-3005 Bern, Schweiz, meine personenbezogenen Daten erheben und an die eBay Inc., 2145 Hamilton Avenue, San Jose 95125, USA, übermitteln...." Fraglich ob ausreichend bezüglich: -Datenumfang (nur beispielhaft aufgezählt) -Datenempfänger (nur beispielhaft aufgezählt) -Zweck ("gespeicherten Daten, soweit dies erforderlich ist", was bedeutet erforderlich?) Vorhanden: -Widerrufshinweis DSG Grundlagen

206 © Hans G. Zeger 2013 VO SS Juridicum DSK /002-DSK/2004 ("Mandatsbescheid") Ausgangslage -Unternehmen kündigt an eine Liste von zahlungsunwilligen Konsumenten zu betreiben -Liste kann über das Internet gegen Bezahlung abgerufen werden -Firmen werden aufgefordert zahlungsunwillige Personen zu melden DSK-Entscheidung -System zur Beurteilung der Bonität geeignet, daher besonders schutzwürdig -Auftrag Betrieb und Ankündigung mit sofortiger Wirkung zu unterlassen (Mandatsbescheid gem. § 57 AVG) -wenn zugesichert wird, dass Betrieb erst nach Registrierung erfolgt, ist Mandatsbescheid aufzuheben Beispiele / Entscheidungen

207 © Hans G. Zeger 2013 VO SS Juridicum - Welches Datenschutzrecht gilt? DSG Anwendbares Recht

208 © Hans G. Zeger 2013 VO SS Juridicum Vertragspartner ist eBay-Luxembourg, nicht die AT-Niederlassung (mittlerweile wieder aufgelöst) weiters findet sich folgende Anmerkung: "8. Soweit die Übermittlung meiner Daten an Dritte nicht aufgrund eines Gesetzes, insbesondere nach dem BDSG [deutsches DSG, Anm.], erlaubt ist, willige ich ein, dass eBay,..." DSG Anwendbares Recht

209 © Hans G. Zeger 2013 VO SS Juridicum SPAM-Problem - Aufwand der Benutzer TKG Datenschutzbestimmungen

210 © Hans G. Zeger 2013 VO SS Juridicum TKG Datenschutzbestimmungen Quelle: Symantec SPAM-Problem - Herkunft Quelle: Symantec Lateinamerika Nordamerika Europa/Nahost/Afrika Asien/Pazifik

211 © Hans G. Zeger 2013 VO SS Juridicum Was passiert bei Aufruf einer Website? Cookie-Beispiel google.at, google.com User-Code: YXJnZSBkYXRlbg Funktionen, z.B. Verfolgen des Users, auch wenn IP-Adresse wechselt, Webserver gewechselt wird, identifizieren, wenn er personalisierten Dienst verwendet Demobeispiel Cookie-Beispiel

212 © Hans G. Zeger 2013 VO SS Juridicum Aufzeichnungspflichten Vorratsdatenspeicherung (Entwicklung) -EuGH weist eine formale Beschwerde Irlands ab (Zuständigkeit der Kommission und des Parlaments ist gegeben) -UK wendet ohne besonderes Gesetz an, plant eine zentrale staatliche Datenbank -Staaten ohne Umsetzung (inkl. Österreich) wurden mit EU- Vertragsverletzungsverfahren konfrontiert -Verfassungsgerichtshöfe Bulgarien, Rumänien und Deutschland heben nationale Umsetzungen auf -in Deutschland "nur" als zu weitgegehende Umsetzung und nicht aus prinzipiellen Gründen (BVGH , 1 BvR 256/08) -weitere Aufhebung in Tschechien (2011) -Evaluation der Richtlinie erbrachte: hohe Uneinheitlichkeit der Umsetzung, keine nachhaltigen Erfolge in der Strafverfolgung, aber man möchte trotzdem daran festhalten -derzeit EuGH-Verfahren wegen Widerspruch zu Grundrechtecharta nach dem "Lissabon-Vertrag" (Irland) -20?? Anpassungen der Richtlinie, etwa in Richtung "Quick Freeze"?


Herunterladen ppt "© Hans G. Zeger 2013 VO SS2013 - Juridicum Datenschutzfragen in Internet und eCommerce/eBusiness Hans G. Zeger Juridicum Wien, VO Sommersemester 2013 Download:"

Ähnliche Präsentationen


Google-Anzeigen