Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Datenschutzfragen in Internet und eCommerce/eBusiness

Ähnliche Präsentationen


Präsentation zum Thema: "Datenschutzfragen in Internet und eCommerce/eBusiness"—  Präsentation transkript:

1 Datenschutzfragen in Internet und eCommerce/eBusiness
Hans G. Zeger Juridicum Wien, VO Sommersemester 2013 Download: Download Vorlesungsunterlagen: Dr. Hans G. Zeger e-commerce monitoring gmbh A-1010 Wien, Vorlaufstraße 5/6 Tel.: 01 / Mail persönlich: Zertifizierung: e-commerce: DSG2000: diverse Muster: VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

2 Was ist überhaupt "Datenschutz"?
Grundfragen Was ist überhaupt "Datenschutz"? formulierten Warren/Brandeis in der Harvard Law Review ein "right to be let alone" (The Right to Privacy), gilt als Beginn des modernen Privatsphäregedankens - 70er-Jahre europaweit diverse Datenschutzinitiativen als Gegenbewegung zu Entwicklungen in der Computertechnik (inkl. Europarat, OECD) im öDSG Datenschutz als Interpretation des Art. 8 EMRK (Teil des Privat- und Familienlebens), im DSG 2000 beibehalten Datenschutz wird eigenes Grundrecht in EU-Grundrechtecharta deutsches Volkszählungsurteil "informationelles Selbstbestimmungsrecht" (Bundesverfassungsgericht) deutsches Online-Durchsuchungsurteil formuliert "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" (Bundesverfassungsgericht) "Datenschutz" als moderne Ausformung von Grundrechten Quellen: - S. D. Warren, L. D. Brandeis, The Right to Privacy, Harvard Law Review Vol. 4, Nr. 5, S - Datenschutzgesetz [1978] StF: BGBl. Nr. 565/1978 - OECD: RECOMMENDATION OF THE COUNCIL CONCERNING GUIDELINES GOVERNING THE PROTECTION OF PRIVACY AND TRANSBORDER FLOWS OF PERSONAL DATA (23rd September, 1980) - Europarat: CONVENTION FOR THE PROTECTION OF INDIVIDUALS WITH REGARD TO AUTOMATIC PROCESSING OF PERSONAL DATA Strasbourg, 28.I.1981 (ETS 108 – Automatic processing of Personal Data) [BGBl. Nr. 210/1958] - BVerfGE 65,1 Urteil des Ersten Senats vom 15. Dezember 1983 auf die mündliche Verhandlung vom 18. und 19. Oktober BvR 209, 269, 362, 420, 440, 484/83 - Datenschutzgesetz 2000 StF: BGBl. Nr. 165/1999 - BVerG Karlsruhe, Urteil vom 27. Februar BvR 370/07; 1 BvR 595/07 – Vorschriften im Verfassungsschutzgesetz NRW zur Online-Durchsuchung und zur Aufklärung des Internet nichtig - EU-Grundrechtecharta C 83/ "Artikel 8 Schutz personenbezogener Daten (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. ..." VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

3 Was ist das Internet? VO SS2013 - Juridicum Grundfragen
- technische Infrastruktur ("Unternehmensvernetzung", "virtuelle Netzwerke", "Telefonie", ...) - Plattform für wirtschaftliche Tätigkeiten ("eCommerce", "Online-Shops", ...) - Informationsvermittlung ("Agora", "Medium", "Stammtisch", "sozialer Treffpunkt", ...) - Erweiterung der Privatsphäre (" ", "Weblog"/Tagebuch, "Freundeskreis", ...) - politischer Aktionsraum ("Kooperation", "Vernetzung", "Foren", ...) Abgrenzung nicht immer offensichtlich, können zu gegensätzlichen Interessen führen - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

4 Anwendungsfälle Datenschutz
Welche (Internet-)Situationen sind überhaupt datenschutzrelevant? - Vereinbarung mit dem Provider, Tätigkeit der Provider - Bestellungen im Internet ("eCommerce") - Amtswege und öffentliche Verwaltung, Vorschreibungen ("eGovernment") - Nutzung personalisierter und/oder kostenpflichtiger Informationsdienste ("Online-Services", "Apps") - Selbstdarstellung / Meinungsäußerung ("Web2.0", "Social Media") - Veröffentlichung persönlicher Daten durch Dritte - Nutzung als Infrastruktur (virtuelle Unternehmensnetze, Intranet, Extranet) - sonstige Internetnutzungen: ???? - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

5 Anwendbare Bestimmungen
Wo finden sich zum Internet datenschutzrelevante Bestimmungen? - DSG 2000 (Verarbeitungsvoraussetzungen, Schutzbestimmungen) - TKG 2003 (Verarbeitungsvoraussetzungen, Schutzbestimmungen, Auskunftspflichten, Dienstleister) - ABGB Privatsphärebestimmung (Schutzbestimmung) - SPG (Auskunftspflichten) - ECG (Dienstleister, Haftung, Auskunftspflichten) - StPO (Auskunftspflichten) - UrhG (Auskunftspflichten) - Materiegesetze, wie E-Government Gesetz, Gesundheitstelematikgesetz, ...) - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

6 Bestimmungen zum Schutz der Privatsphäre
Schutz der Privatsphäre - Übersicht Bestimmungen zum Schutz der Privatsphäre • EMRK Art 8 (Privatsphäre, Familienleben, Briefverkehr) • StGG (Staatsgrundgesetz) Art 9, 10 (Briefgeheimnis) u. 10a (Fernmeldegeheimnis) • § 1 DSG 2000 (Geheimhaltung Daten) • § 16 ABGB (angeborene Rechte) • StGB z.B. § 118f (Briefgeheimnis), § 119f (Telekommunikationsgeheimnis) und §§ 302ff (Amtsmissbrauch) • TKG 2003 § 93 (Kommunikationsgeheimnis) • MedienG § 7ff (Bloßstellung) • UrhG § 77 (Briefe, Tagebücher, ähnliche vertrauliche Aufzeichnungen), § 78 (Bildnissschutz), § 87 Abs 2 (Entschädigung) • Regelungen für einzelne Berufsgruppen • ABGB § 1328a (Bloßstellung) • StGB § 107a (Anti-Stalking-Bestimmung) Europäische Menschenrechtskonvention Artikel 8 - Recht auf Achtung des Privat- und Familienlebens (1) Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs. (2) Der Eingriff einer öffentlichen Behörde in die Ausübung dieses Rechts ist nur statthaft, insoweit dieser Eingriff gesetzlich vorgesehen ist und eine Maßnahme darstellt, die in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig ist. Staatsgrundgesetz vom 21. Dezember 1867 Artikel 9. Das Hausrecht ist unverletzlich. […] Artikel 10. Das Briefgeheimnis darf nicht verletzt und die Beschlagnahme von Briefen, außer dem Falle einer gesetzlichen Verhaftung oder Haussuchung, nur in Kriegsfällen oder auf Grund eines richterlichen Befehles in Gemäßheit bestehender Gesetze vorgenommen werden. [BGBl. Nr. 8/1974] Artikel 10a. Das Fernmeldegeheimnis darf nicht verletzt werden. Ausnahmen von der Bestimmung des vorstehenden Absatzes sind nur auf Grund eines richterlichen Befehles in Gemäßheit bestehender Gesetze zulässig. Allgemeines Persönlichkeitsrecht im ABGB § 16. Jeder Mensch hat angeborene, schon durch die Vernunft einleuchtende Rechte, und ist daher als eine Person zu betrachten. Sclaverey oder Leibeigenschaft, und die Ausübung einer darauf sich beziehenden Macht, wird in diesen Ländern nicht gestattet. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

7 VO SS2013 - Juridicum Schutz der Privatsphäre - Übersicht
StGB §§118 ff, 302, § 118 Verletzung des Briefgeheimnisses und Unterdrückung von Briefen §118a Widerrechtlicher Zugriff auf ein Computersystem §119 Verletzung des Telekommunikationsgeheimnisses §119a Missbräuchliches Abfangen von Daten §120 Mißbrauch von Tonaufnahme- oder Abhörgeräten §121 Verletzung von Berufsgeheimnissen §122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses §123 Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses §124 Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses zugunsten des Auslands §302 Mißbrauch der Amtsgewalt §310 Verletzung des Amtsgeheimnisses TKG 2003 – Kommunikationsgeheimnis § 93. (1) Dem Kommunikationsgeheimnis unterliegen die Inhaltsdaten, die Verkehrsdaten und die Standortdaten. Das Kommunikationsgeheimnis erstreckt sich auch auf die Daten erfolgloser Verbindungsversuche. (2) Zur Wahrung des Kommunikationsgeheimnisses ist jeder Betreiber und alle Personen, die an der Tätigkeit des Betreibers mitwirken, verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist. (3) Das Mithören, Abhören, Aufzeichnen, Abfangen oder sonstige Überwachen von Nachrichten und der damit verbundenen Verkehrs- und Standortdaten sowie die Weitergabe von Informationen darüber durch andere Personen als einen Benutzer ohne Einwilligung aller beteiligten Benutzer ist unzulässig. Dies gilt nicht für die Aufzeichnung und Rückverfolgung von Telefongesprächen im Rahmen der Entgegennahme von Notrufen und die Fälle der Fangschaltung sowie für eine technische Speicherung, die für die Weiterleitung einer Nachricht erforderlich ist. (4) Werden mittels einer Funkanlage, einer Telekommunikationsendeinrichtung oder mittels einer sonstigen technischen Einrichtung Nachrichten unbeabsichtigt empfangen, die für diese Funkanlage, diese Telekommunikationsendeinrichtung oder den Anwender der sonstigen Einrichtung nicht bestimmt sind, so dürfen der Inhalt der Nachrichten sowie die Tatsache ihres Empfanges weder aufgezeichnet noch Unbefugten mitgeteilt oder für irgendwelche Zwecke verwertet werden. Aufgezeichnete Nachrichten sind zu löschen oder auf andere Art zu vernichten. Mediengesetz § 7. (1) Wird in einem Medium der höchstpersönliche Lebensbereich eines Menschen in einer Weise erörtert oder dargestellt, die geeignet ist, ihn in der Öffentlichkeit bloßzustellen, so hat der Betroffene gegen den Medieninhaber (Verleger) Anspruch auf eine Entschädigung für die erlittene Kränkung. Der Entschädigungsbetrag darf Euro nicht übersteigen; im übrigen ist § 6 Abs. 1 zweiter Satz anzuwenden. […] Urheberrechtsgesetz § 77. (1) Briefe, Tagebücher und ähnliche vertrauliche Aufzeichnungen dürfen weder öffentlich vorgelesen noch auf eine andere Art, wodurch sie der Öffentlichkeit zugänglich gemacht werden, verbreitet werden, wenn dadurch berechtigte Interessen des Verfassers oder, falls er gestorben ist, ohne die Veröffentlichung gestattet oder angeordnet zu haben, eines nahen Angehörigen verletzt würden. […] § 78. (1) Bildnisse von Personen dürfen weder öffentlich ausgestellt noch auf eine andere Art, wodurch sie der Öffentlichkeit zugänglich gemacht werden, verbreitet werden, wenn dadurch berechtigte Interessen des Abgebildeten oder, falls er gestorben ist, ohne die Veröffentlichung gestattet oder angeordnet zu haben, eines nahen Angehörigen verletzt würden. […] § 87. (2) Auch kann der Verletzte in einem solchen Fall eine angemessene Entschädigung für die in keinem Vermögensschaden bestehenden Nachteile verlangen, die er durch die Handlung erlitten hat. […] (inmaterieller Schadenersatz)‏ Ärztegesetz § 54. (1) Der Arzt und seine Hilfspersonen sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Geheimnisse verpflichtet. […] Rechtsanwaltsordnung § 9. […] (2) Der Rechtsanwalt ist zur Verschwiegenheit über die ihm anvertrauten Angelegenheiten und die ihm sonst in seiner beruflichen Eigenschaft bekanntgewordenen Tatsachen, deren Geheimhaltung im Interesse seiner Partei gelegen ist, verpflichtet. Er hat in gerichtlichen und sonstigen behördlichen Verfahren nach Maßgabe der verfahrensrechtlichen Vorschriften das Recht auf diese Verschwiegenheit. […] Beamten-Dienstrechtsgesetz § 46. (1) Der Beamte ist über alle ihm ausschließlich aus seiner amtlichen Tätigkeit bekanntgewordenen Tatsachen, deren Geheimhaltung im Interesse der Aufrechterhaltung der öffentlichen Ruhe, Ordnung und Sicherheit, der umfassenden Landesverteidigung, der auswärtigen Beziehungen, im wirtschaftlichen Interesse einer Körperschaft des öffentlichen Rechts, zur Vorbereitung einer Entscheidung oder im überwiegenden Interesse der Parteien geboten ist, gegenüber jedermann, dem er über solche Tatsachen nicht eine amtliche Mitteilung zu machen hat, zur Verschwiegenheit verpflichtet (Amtsverschwiegenheit). […] VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

8 Grundlagen des DSG 2000 VO SS2013 - Juridicum Die wichtigsten Begriffe
Zustimmung Zulässigkeit der Datenverwendung Rechtmäßige Datenanwendung - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

9 VO SS2013 - Juridicum DSG 2000 - Grundlagen
Entwicklung zum DSG 2000 1978 erstes Datenschutzgesetz - DSG (BGBl. Nr. 565/1978) (Geltung ) 1995 EG-Datenschutzrichtlinie 95/46/EG 1999 Datenschutzgesetz - DSG 2000 (BGBl. I Nr. 165/1999) Änderungen des DSG 2000 2001 Euro-Umstellung der Verwaltungsstrafen (BGBl. I Nr. 136/2001) 2005 "Tsunami"-Bestimmung (BGBl. I Nr. 13/2005) 2008 Änderungen in Verfassungsbestimmungen (BGBl. I Nr. 2/2008) 2009 DSG Novelle 2010 (BGBl. I Nr. 133/2009) 2012 Verwaltungsgerichtsbarkeits-Novelle 2012 (BGBl. I Nr. 51/2012) 2013 "Unabhängigkeit" der DSK (BGBl. I Nr. 57/2013) 2014 Schaffung neue Datenschutzbehörde (BGBl. I Nr. 83/2013) 20?? EU - Neuordnung des Datenschutzes - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum

10 Umsetzung der EU-Richtlinie "Datenschutz" (1995)
DSG Grundlagen Umsetzung der EU-Richtlinie "Datenschutz" (1995) soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch (Art.1 Abs.2) sichern Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten." Art. 1 Abs. 2 "Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes." EU-RL gilt nur für "natürliche Personen" DSG 2000 auch für "juristische und sonstige Personen" damit vertritt Österreich EU-weit eine exotische Position "Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" (Datenschutzrichtlinie 95/46/EG)‏ Die Richtlinie soll gleichermaßen den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten den freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten sichern Art. 1 Gegenstand der Richtlinie (1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten. (2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes. Das DSG2000 wurde am im Bundesgesetzblatt publiziert (BGBl. I Nr. 165/1999), Inkrafttreten am Übergangsfristen (internationaler Datenverkehr, manuelle Datenanwendungen, die der Meldepflilcht unterliegen), (Anpassung der Rechtsgrundlagen besonder Datenanwendungen § 17 Abs. 3 Z 1 bis 3)‏ Es wurden Spezialbestimmungen, wie Informationspflicht, Informationsverbundsysteme und automatisierte Entscheidung geschaffen VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

11 VO SS2013 - Juridicum DSG 2000 - Grundrecht
DSG 2000 § 1 (Verfassungsbestimmung): "jede Verwendung persönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots sind möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen Einschränkungen des Verbots ist möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen - EU-Vorschlag: auf Basis rechtlicher Befugnisse (Gesetze, Verträge) DSG2000 § 1 (Verfassungsbestimmung) "(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind." Einschränkung dieser Rechte nur mit Zustimmung des Betroffenen, zur Wahrung lebenswichtiger Interessen des Betroffenen oder laut Art. 8 Abs. 2 der europäischen Menschenrechtskonvention aufgrund von Gesetzen. Weitere Verarbeitungsbeschränkungen für den öffentlichen Bereich ("Wahrung wichtiger öffentlicher Interessen") bei "besonders schutzwürdigen Daten" ("sensible Daten")‏ Festlegung der subjektiven Rechte: Auskunfts-, Richtigstellungs- und Löschungsrecht Festlegung der Rechtsdurchsetzung / Zivilrechtsweg Geplante - praxisnahe - Änderung in Novelle 2010 wegen Parteienstreit nicht durchgeführt: „(1) Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten.“ VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum

12 "Daten" ("personenbezogene Daten")
DSG Grundlagen DSG 2000 § 4 Z 1 "Daten" ("personenbezogene Daten") "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" DSG 2000 § 4 Z 3 "Betroffener" "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" Datenbegriff sehr allgemein gehalten, umfasst auch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. IP-Adressen, Cookies, Stromverbrauchsdaten, ...) Datenbegriff sehr allgemein gehalten: in D und LUX spezielle Datenschutz-Regelungen für Bild- und Tondaten (EU-Bericht Umsetzung DS-Richtlinie, 2003)‏, in Ö nunmehr auch zur Videoüberwachung DSG2000 § 4 Z 1 "Daten" "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; "nur indirekt personenbezogen" sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann." DSK K /16-DSK/00 "Daten betreffend Verwandtschaftsverhältnisse und Wohnungsnutzung gehören zur Privatsphäre des einzelnen. Insbesondere Angaben über Verwandtschaftsverhältnisse gehören schon zu einem sehr intimen und höchstpersönlichen Lebensbereich und bilden wegen möglicher Schlussfolgerungen auf 'rassische und ethnische Herkunft' einer Person geradezu einen Grenzfall zum besonders schutzwürdigen Bereich der sensiblen Daten" (RIS)‏ DSG2000 § 4 Z 3 "Betroffener" Unter Personengemeinschaft wären unter anderem Familien, Bürgerinitiativen, Betriebsräte, Wohngemeinschaften oder Hausgemeinschaften zu verstehen VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

13 Personenbezogene Daten
DSG Grundlagen Personenbezogene Daten Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!) personenbezogene Daten § 4 Z 1 DSG 2000 sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG (kein EU-Begriff) sensible Daten § 4 Z 2 DSG 2000 (1) direkt personenbezogene Daten sind Daten, die unmittelbar einsichtig mit einer Person verknüpft sind (Daten, die zur Personenidentifikation dienen) Name, Geburtsdatum, Wohnanschrift und dazu in direkter Verbindung: Personalnummer, SV-Nummer, persönliche Merkmale und Eigenschaften, Zugehörigkeiten zu bestimmten Gruppen und Bereichen, bestimmte Qualifikationen und Rechte (2) direkt personenbezogene Daten sind Daten, die mit (1) verknüpft sind Daten, etwa in relationalen Datenbanksystemen, die über eine eindeutige Kennung mit einer Person verbunden werden können (Buchungsinformationen, Produktionsinformationen, Kommunikations- und Konsumdaten, ...)‏ (3) direkt personenbezogene Daten sind Daten, die mit hoher Wahrscheinlichkeit mit (1) verknüpft sind, generierte Daten, Daten, die ein Auftraggeber durch Berücksichtigung von Zusatzinformationen oder eigenen Erhebungen einer bestimmten Person zuordnen kann (4) indirekt personenbezogene Daten sind Daten, die ein Auftraggeber zwar nicht mehr legalerweise einer Person zuordnen kann, jedoch andere Stellen oder Auftraggeber. (5) sensible Daten sind bestimmte abschließend aufgezählte Datenarten (DSG2000 §4 Z2)‏ (6) besonders schutzwürdige Daten: österreichische Sonderformulierung für sensible Daten + Daten aus der Strafrechtspflege, Informationsverbundsystemen und zur Beurteilung der Kreditwürdigkeit von Personen VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

14 DSG 2000 § 4 Z 2 ("sensible" Daten)
DSG Grundlagen DSG 2000 § 4 Z 2 ("sensible" Daten) Daten natürlicher Personen über rassische und ethnische Herkunft politische Meinung Gewerkschaftszugehörigkeit religiöse und philosophische Überzeugung Gesundheit Sexualleben Probleme kann die Abgrenzung bereiten, z.B. Bestellungen von "Gesundheitsprodukten", Nutzung von Sexseiten, ... § 4 Z 2 "sensible Daten" ("besonders schutzwürdige Daten"): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben; Der Begriff „sensible Daten“ wurde in der EU-Richtlinie abschließend definiert und kann durch Österreich weder eingeengt, noch erweitert werden. Zusätzliche Sonderregelung in Österreich: "besonders schutzwürdige" Daten enthalten neben den sensiblen Daten Daten im Zusammenhang mit der Strafrechtspflege, der Beurteilung der Kreditwürdigkeit oder die in Form von Informationsverbundsystemen betrieben werden, werden in der EU- Richtlinie nicht als sensible Daten eingestuft, sie werden jedoch im DSG2000 unter besonderen Schutz gestellt. Sie nehmen damit eine Zwischenstellung zwischen sensiblen und „normalen“ Daten ein. Biometrische Daten (Fingerabdruck, Augenfarbe, ...) werden nur dann als sensible Daten einzustufen sein, wenn sie Rückschlüsse auf den Gesundheitszustand erlauben. Das Problem kann eine Kombination einzelner, für sich allein nicht sensibler biometrischer Daten sein, z.B. die Kombination Körpergewicht/Körpergröße erlaubt sehr wohl Rückschlüsse auf den Gesundheitszustand. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

15 DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung
DSG Grundlagen DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung) DSG 2000 § 4 Z 5 "Dienstleister" natürliche oder juristische Personen, , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung) DSG 2000 § 4 Z 4 "Auftraggeber" 4. "Auftraggeber": natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z 8), unabhängig davon, ob sie die Daten selbst verwenden (Z 8) oder damit einen Dienstleister (Z 5) beauftragen. Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung eines Werkes beauftragte Dienstleister (Z 5) die Entscheidung trifft, zu diesem Zweck Daten zu verwenden (Z 8), es sei denn dies wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung eigenverantwortlich zu entscheiden;" DSG 2000 § 4 Z 5 "Dienstleister" „5. Dienstleister: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (Z 8);“ K /002-DSK/2001 "..sondern auch Personengemeinschaften, welchen es zwar an einer eigenen Rechtspersönlichkeit mangelt, die aber durch ihre Bezeichnung sowie die gemeinsamen Ziele und Aufgaben der Mitglieder eine hinlänglich unterscheidbare Entität sind." (RIS)‏ VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

16 DSG 2000 § 4 Z 9 "Verarbeiten von Daten"
DSG Grundlagen DSG 2000 § 4 Z 7 ,,Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte ... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)" DSG 2000 § 4 Z 9 "Verarbeiten von Daten" "das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten" DSG 2000 § 4 Z 12 "Übermitteln von Daten" "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister" Übermittlung ist unabhängig von der technischen Methode DSG 2000 § 4 Z 9 "Verarbeiten von Daten" "das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z 11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten" DSG 2000 § 4 Z 12 "Übermitteln von Daten" "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen solcher Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers" DSK K /16-DSK/00 "‘Übermittelt’ im Sinne von § 21 Abs 2 AsylG werden Daten dann, wenn Sie von einem österreichischen Staatsorgan jedwedem amtlichen Organ des Herkunftsstaates, insbesondere innerstaatlichen Behörden, diplomatischen, berufskonsularischen oder honorarkonsularischen Vertretungen, in irgendeiner Form personenbezogen mitgeteilt werden." (RIS)‏ VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

17 DSG Grundlagen DSG 2000 § 4 Z 14 "Zustimmung" "die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt" Widerruf in § 8 bzw. § 9 DSG 2000 geregelt Entscheidungen: OGH 4 Ob 221/06p ("GE ...bank") OGH 4 Ob 179/02f ("BA-CA") Von der Zustimmung iS DSG 2000 § 4 Z 14 sind andere vertragliche Vereinbarungen zur Nutzung von Daten zu unterscheiden, etwa im Rahmen von Bestellungen, Kundenkarten, ... - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

18 Was ist eine geeignete Zustimmungserklärung?
DSG Grundlagen Was ist eine geeignete Zustimmungserklärung? - grundsätzlich gilt Formfreiheit auch mündlich (Beweisproblem), konkludent oder Teil der AGBs möglich - Willenserklärung Art wird vom Adressaten abhängen, bei Konsumenten höhere Anforderungen als bei Geschäftsleuten Empfehlung: ausdrückliche Unterschrift, getrennt von sonstigen Vereinbarungen - Kenntnis der Sachlage Aufklärung über Umfang der Datenarten, Inhalt der Daten, Zweck der Datenweitergabe, Empfänger der Daten (so detailliert, dass der Betroffene die konkreten Empfänger erkennen kann) - konkreter Fall Pauschalzustimmungen, ohne besonderen Zweck sind unzulässsig - Widerrufshinweis gesetzlich nicht vorgeschrieben, OGH verlangt sie jedenfalls bei Konsumentengeschäften - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

19 Die wichtigsten Begriffe (§ 4 DSG Z ...)
DSG Grundlagen Die wichtigsten Begriffe (§ 4 DSG Z ...) Verwenden von Daten Z 8 Auftraggeber Z 4 Daten- anwendung Z 7 Übermitteln Verarbeiten Z 9 Z 12 Überlassen Z 11 Ermitteln, Auswerten, Sortieren, Speichern, Analysieren, Korrigieren, Ausdrucken, Anzeigen, ... Dienstleister Z 5 Auftrag Novelle 2010: Geänderte Begriffsdefinitionen § 4 DSG 2000 Z 4 Auftraggeber: nunmehr konsequent auf das "Verwenden von Daten" (Z8) abgestimmt Z 5 Dienstleister: Klarstellung, nur solange auftragsgemäße Datenverwendung [SWIFT?] Z 7 Datenanwendung: Alternativbegriff "Datenverarbeitung" gestrichen. Z 8 Verwenden von Daten: nicht mehr mit Datenanwendung verknüpft [manuelle Dateien, Internet/Soziale Netze?] Z 9 Verarbeiten von Daten: nicht mehr an Auftraggeber- oder Dienstleistereigenschaft gebunden [manuelle Dateien, Internet/Web2.0?] Z 11 Überlassen von Daten: Klarstellung, dass zur Überlassung ein Vertragsverhältnis zwischen Auftraggeber und Dienstleister erforderlich ist Z 12 Übermitteln von Daten: nicht mehr an das Vorhandensein einer Datenanwendung gebunden [manuelle Dateien, Internet/Soziale Netze?] Ausdehnung der Gültigkeit der Begriffe auf Datenanwendungen und manuelle Dateien (Abs. 2) VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

20 Grundsätze der Verwendung von Daten (§ 6ff)
DSG Grundlagen Grundsätze der Verwendung von Daten (§ 6ff) Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1) Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2) Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2) Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3) Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4) [Möglichkeit der Selbstregulierung] K /010-DSK/ ("gelindester Eingriff") Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren Umsetzung der Datenschutzkonvention des Europarates Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1)‏ Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2)‏ Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2)‏ Weiterverwendung für wissenschaftliche und statistische Zwecke ist zulässig (§ 6 Abs. 1 Z 2)‏ Daten müssen für den Zweck der Datenanwendung wesentlich sein (§ 6 Abs. 1 Z 3)‏ Verwendung muss im Ergebnis sachlich richtig sein (§ 6 Abs. 1 Z 4) DS-RL Art. 6 lit. d: Verwendung muss "sachlich richtig" sein Daten müssen, wenn nötig auf den neuesten Stand gebracht werden (§ 6 Abs. 1 Z 4)‏ Aufbewahrung für die Erreichung der Zwecke notwendig (Ausnahmen, etwa aus gesetzlichen Gründen, wie Archive möglich) (§ 6 Abs. 1 Z 5)‏ Selbstregulierung: § 6 Abs. 4 "Zur näheren Festlegung dessen, was in einzelnen Bereichen als Verwendung von Daten nach Treu und Glauben anzusehen ist, können für den privaten Bereich die gesetzlichen Interessenvertretungen, sonstige Berufsverbände und vergleichbare Einrichtungen Verhaltensregeln ausarbeiten. Solche Verhaltensregeln dürfen nur veröffentlicht werden, nachdem sie dem Bundeskanzler zur Begutachtung vorgelegt wurden und dieser ihre Übereinstimmung mit den Bestimmungen dieses Bundesgesetzes begutachtet und als gegeben erachtet hat." Bisher wenig genutzt, einziges bekanntes Beispiel: Adressenverlage "Fair-Data" VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

21 Grundlage einer rechtmäßigen Datenverwendung
DSG Grundlagen Grundlage einer rechtmäßigen Datenverwendung Dreistufiges Konzept Es muss eine Rechtsgrundlage für die Datenanwendung geben sein und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (§ 6, § 7 Abs.1) Die Verwendung der Daten eines bestimmten Betroffenen muss für den konkreten Zweck zulässig sein (§§ 7ff) Die Datenanwendung muss den Genehmigungs- und Registrierungserfordernissen entsprechen (§§ 16ff) Beispiel: Dürfen Personendaten bei eBay versteigert bzw. ersteigert werden? Dreistufiges Konzept (a) Es muss eine Rechtsgrundlage für eine Datenanwendung geben (§ 7 Abs.1): "... von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt ..." Die Zulässigkeit ist gegeben, wenn der Grundrechtseingriff auf das erforderliche Maß beschränkt bleibt, mit den gelindesten Mitteln erfolgt und gemäß der Grundsätze nach §6 erfolgt. Diese Rechtsgrundlage ist nicht durch die Zustimmung des Betroffenen ersetzbar. Die Anforderungen von Treu und Glauben müssen erfüllt sein (§ 6)‏ (b) Es muss eine Rechtsgrundlage für die Verwendung der konkreten Daten geben (§§ 7-9) Eine der zulässigen Rechtsgrundlagen kann die Zustimmung des Betroffenen sein oder auch eine ausdrückliche gesetzliche Ermächtigung zur Datenerhebung (c) Die Datenanwendung mussen den Registrierungsanforderungen entsprechen (§§ 16ff, Ausnahmen beachten)‏ VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

22 DSG Grundlagen Geheimhaltungsinteressen bei Datenverwendung (§ 8-nicht-sensible Daten, § 9-sensible Daten) Wann dürfen Daten jedenfalls verwendet werden? (Auszug) - Rechtsgrundlage / gesetzliche Verpflichtungen - Zustimmung des Betroffenen - zur Wahrung lebenswichtiger Interessen - überwiegende Interessen Dritter / Auftraggeber (nicht anwendbar bei sensiblen Daten!) z.B. notwendige Voraussetzung zur Vertragserfüllung, Ausübung von Rechtsansprüchen des Auftraggebers, behördliche Tätigkeit - indirekt personenbezogene Daten (EU-Konformität??) - zulässig veröffentliche Daten: soweit berechtigter Zweck des Verwenders gegeben? soweit mit ursprünglicher Veröffentlichung vereinbar? Wann dürfen Daten verwendet werden? (sind Geheimhaltungsinteressen nicht verletzt) - ausdrückliche gesetzliche Ermächtigung oder Verpflichtung besteht (§ 8 Abs. 1 Z 1)‏ - ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Wahrung eines wichtigen öffentlichen Interesses besteht (§ 9 Z 3)‏ - Betroffener hat zugestimmt/Widerrufsrecht (§ 8 Abs. 1 Z 2, § 9 Z 6)‏ - lebenswichtige Interessen des Betroffenen (§ 8 Abs. 1 Z 3, § 9 Z 7)‏ - zulässigerweise veröffentlichte Daten (§ 8 Abs. 2, § 9 Z 1) - indirekt personenbezogene Daten (§ 8 Abs. 2, § 9 Z 2) - überwiegende berechtigte Interessen des Aufftraggebers oder Dritter sind zu wahren (§ 8 Abs.1 Z 4, nur bei nichtsensiblen Daten!)‏ - im öffentlichen Bereich: wesentliche Voraussetzung für gesetzlich übertragene Aufgabe (§ 8 Abs.3 Z 1)‏ - im öffentlichen Bereich: in Erfüllung der Amtshilfe (§ 8 Abs.3 Z 2, § 9 Z 4) - im öffentlichen Bereich: ausschließlich die Ausübung einer öffentlichen Funktion durch den Betroffenen zum Gegenstand hat [behördliche Tätigkeit] (§ 8 Abs 3 Z 6) - Wahrung lebenswichtiger Interessen eines Dritten (§ 8 Abs. 3 Z 3, § 9 Z 8)‏ VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

23 VO SS2013 - Juridicum DSG 2000 - Einrichtungen
Einrichtungen / Zuständigkeiten bei DSG-Verletzungen - Datenschutzkommission (formlos) [ab Datenschutzbehörde] - Kontroll- und Registrierungsstelle für alle Datenverarbeiter, - Beschwerdestelle in Auskunftsfällen für alle Datenverarbeiter und - für alle Bereiche bei allen öffentlich-rechtlichen Datenanwendungen (§§ 30f, 35ff DSG 2000) - Zivilgericht (Anwaltspflicht) In allen sonstigen Beschwerdefällen, die durch das DSG geregelt sind (§ 32 DSG 2000) - Magistrat / Bezirkshauptmannschaft (formlos) Anzeigen gem. § 52 DSG 2000 - Staatsanwaltschaft / Polizei (formlos) Anzeigen gem. § 51 DSG 2000 Zivilgerichte - 16 Landesgerichte zuständig: LG Eisenstadt, Feldkirch, Zivilrechtssachen Graz, Innsbruck, Klagenfurt, Korneuburg, Krems a/d Donau, Leoben, Linz, Ried/Innkreis, Salzburg, St. Pölten, Steyr, Wels, Zivilrechtssachen Wien, Wr. Neustadt (http://www.bmj.gv.at/_cms_upload/_docs/gerichte_und_behoerden2005.pdf)‏ Strittig: Zuständigkeit des HG Wien, wenn Klagen am Standort des Auftragebers eingebracht werden Entscheidungen der Datenschutzkommission können auch exekutiert werden (gilt nur gegenüber privatrechtlichen Auftraggebern!, gegenüber Behörden hat Datenschutzkommission nur Feststellungskompetenz) Weitere Beschwerdemöglichkeit - sonstige nationale Datenschutzaufsichtsbehörden in der EU die für einen Auftraggeber zuständig ist (Niederlassungsprinzip) VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

24 Datenschutzkommission (DSK, §§ 35,36)
DSG Einrichtungen Datenschutzkommission (DSK, §§ 35,36) - Oberste Kontrollbehörde (Genehmigungen, Beschwerden und Kontrolle) - als "unabhängige" Instanz eingerichtet (Form eines Tribunals): 6 Mitglieder + 6 Ersatzmitglieder - im Vertragsverletzungsverfahren EU-Kommission gegen Österreich hat EuGH Rs C-614/10 mangelnde Unabhängigkeit der DSK festgestellt - kritisierte Punkte durch DSG-Novelle 2013 saniert: eigenes Budget Berichtspflicht gegenüber Bundeskanzler eigene Personalverantwortung - Bescheide der DSK sind gem VwGH 2011/17/ nichtig - ab 2014: zwei Instanzen Datenschutzbehörde (Verwaltungsbehörde) mit einem Leiter + Bundesverwaltungsgerichtshof als Beschwerdeinstanz Zusammensetzung DSK (§ 36 DSG 2000) 1 richterliches Mitglied (Vorsitz, Vorschlag des OGH), 2 Ländervertreter, 1 Bundesvertreter, 1 Vertreter der Wirtschaftskammer, 1 Vertreter der Arbeiterkammer + jeweils einem Ersatzmitglied Personelle Zusammensetzung Stand Mai 2013: * Dr. Anton SPENLING, Vorsitzender (richterliches Mitglied) * Dr. Waltraut KOTSCHY, geschäftsführendes Mitglied (Vertretung Bund) * Mag. Helmut HUTTERER (Vertretung Land) * Dr. Claudia ROSENMAYR-KLEMENZ (Vertretung WKO) * Dr. Ludwig STAUDIGL (Vertretung Land) * Mag. Daniela ZIMMER (Vertretung Arbeiterkammer) Besetzung des Büros der Datenschutzkommission im Europa-Vergleich unterdurchschnittlich (Position 27 von 31 untersuchten Ländern, DSK-Bericht 2007), nicht einmal 50% der durchschnittlichen Planposten wird erreicht (Ö 20 Planposten, EU- Schnitt: 45 Planposten) VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

25 Kontrollbefugnisse der DSK I
DSG DSK-Kontrollbefugnisse Kontrollbefugnisse der DSK I (DSG 2000 § 22a "Überprüfung der Meldepflicht") - DSK kann jederzeit Erfüllung der Meldepflicht prüfen - bei Verdacht einer Verletzung der Meldepflicht ist ein Berichtigungsverfahren durch Datenverarbeitungsregister durchzuführen - DSK kann Verbesserungsaufträge erteilen, wenn nicht entsprochen wird, dann ist Streichung möglich - Streichung kann auch nur Teile einer Datenanwendung/Meldung umfassen - wird der Aufforderung der Nachmeldung nicht entsprochen, dann ist Verarbeitung mit Bescheid zu untersagen und Anzeige bei der zuständigen Behörde zu erstatten Geänderte Bestimmungen (DSG-Novelle 2010) “Verfahren zur Überprüfung der Erfüllung der Meldepflicht § 22a. (1) Die Datenschutzkommission kann jederzeit die Erfüllung der Meldepflicht durch einen Auftraggeber prüfen. Dies gilt sowohl für die Mangelhaftigkeit einer registrierten Meldung im Sinn des § 19 Abs. 4 als auch für die rechtswidrige Unterlassung von Meldungen. (2) Bei Vorliegen des Verdachtes der Nichterfüllung der Meldepflicht infolge Mangelhaftigkeit einer registrierten Meldung (Abs. 1) oder Unterlassung der Meldung, die über die Fälle des § 22 Abs. 2 hinausgeht, ist ein Verfahren zur Berichtigung des Datenverarbeitungsregisters durchzuführen. Das Verfahren wird durch begründete Verfahrensanordnung eingeleitet, die dem meldepflichtigen Auftraggeber mit einem Auftrag zur Verbesserung (§ 20 Abs. 4) oder einer Aufforderung zur Nachmeldung (§ 17 Abs. 1) innerhalb gesetzter Frist zuzustellen ist. (3) Wird einem im Verfahren nach Abs. 2 erteilten Verbesserungsauftrag nicht entsprochen, so ist die Streichung der Meldung mit Bescheid der Datenschutzkommission zu verfügen. Die Streichung kann sich, wenn dies technisch möglich, im Hinblick auf den Zweck der Datenanwendung sinnvoll und zur Herstellung des rechtmäßigen Zustandes ausreichend ist, auch nur auf Teile der Meldung beschränken. (4) Wird einer im Verfahren nach Abs. 2 erteilten Aufforderung zur Nachmeldung nicht entsprochen und die Unterlassung einer Meldung entgegen § 17 Abs. 1 erwiesen, so ist mit Bescheid der Datenschutzkommission der weitere Betrieb der Datenanwendung, soweit er vom Registerstand abweicht, zu untersagen und gleichzeitig Anzeige nach § 52 Abs. 2 Z 1 an die zuständige Behörde zu erstatten. (5) Ergibt das Verfahren nach Abs. 2 alleine die Unangemessenheit oder die Nichteinhaltung von nach § 19 Abs. 1 Z 7 erklärten Datensicherheitsmaßnahmen, so ist dies mit Bescheid festzustellen und gleichzeitig eine angemessene Frist zur Herstellung ausreichender Datensicherheit zu setzen. Der Auftraggeber hat innerhalb dieser Frist der Datenschutzkommission die getroffenen Maßnahmen mitzuteilen. Sind diese nicht ausreichend, so ist die Streichung der Datenanwendung zu verfügen. (6) Die Einleitung und der Stand eines Berichtigungsverfahrens nach Abs. 2 ist bei registrierten Meldungen im Datenverarbeitungsregister bis zur Einstellung oder bis zur Herstellung eines rechtmäßigen Zustandes durch Maßnahmen nach den Abs. 3 bis 6 geeignet anzumerken.” VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

26 Kontrollbefugnisse der DSK II
DSG DSK-Kontrollbefugnisse Kontrollbefugnisse der DSK II (DSG 2000 § 22a "Überprüfung der Meldepflicht" - Fortsetzung) - DSK kann auch bei Fehlen von Sicherheitsmaßnahmen die Streichung einer Datenanwendung verfügen - Berichtigungsverfahren sind im DVR ersichtlich zu machen ("geeignet anzumerken") Erläuternde Bemerkungen (EB) der Rregierungsvorlage (RV) der DSG-Novelle 2010: Zu Art. 2 Z 40 (§ 22a samt Überschrift): Durch diese Bestimmung soll das bisher (im geltenden § 22 Abs. 4) nur wenig geregelte Verfahren zur Überprüfung der Meldepflicht insbesondere im Hinblick auf die Befugnisse der Datenschutzkommission neu geregelt werden. Dies stellt auch einen Ausgleich für den Entfall der Detailprüfung bei nicht vorabkontrollpflichtigen Datenanwendungen dar. Abs. 1 ermöglicht in diesem Sinn eine jederzeitige Überprüfung der Erfüllung der Meldepflicht durch die Datenschutzkommission (vgl. auch die vorgeschlagenen § 30 Abs. 2a, § 31a Abs. 1 sowie § 32 Abs. 7, die „Impulse“ für derartige Überprüfungen setzen sollen). Wenn diese „interne“ Prüfung den Verdacht einer Nichterfüllung der Meldepflicht erhärtet, so ist ein Verfahren zur Berichtigung des Datenverarbeitungsregisters durchzuführen, welches durch begründete Verfahrensanordnung (also nicht durch Bescheid) eingeleitet wird. Freilich können nicht nur Mängel innerhalb registrierter Meldungen (§ 19 Abs. 4), die in der Regel (außer die Mangelhaftigkeit tritt erst nachträglich durch Änderungen der Rechtslage ein; s. dazu die Übergangsbestimmung für Videoüberwachung in § 61 Abs. 6) eigentlich schon im Zuge des Registrierungsverfahrens hätten hervorkommen müssen (in verfahrensrechtlicher Terminologie „nova reperta“), ein solches Berichtigungsverfahren erforderlich machen, sondern auch Fälle, in denen eine Meldung zur Gänze oder teilweise unterlassen wurde, eine Datenanwendung also gar nicht oder in einer nicht (mehr) dem Echtbetrieb entsprechenden Form registriert ist. Je nachdem, welcher der beiden Fälle vorliegt, ist auch das Berichtigungsverfahren zu führen bzw. abzuschließen. Der erste Fall (Mangel nach § 19 Abs. 3), den Abs. 3 regelt, führt, sofern keine auftragsgemäße Verbesserung erfolgt, – analog der Ablehnung nach § 20 Abs. 5 – zur Streichung der Datenanwendung, im zweiten Fall (Abs. 4) wird die Datenanwendung untersagt. Eine solche Untersagung hat freilich – wie grundsätzlich jeder Bescheid (vgl. Walter/Mayer, Verwaltungsverfahrensrecht, [2003] 8. Aufl., Rz. 481 ff) – objektive Grenzen, nämlich den Sachverhalt und die Rechtslage, auf die sie sich bezieht. Wird also zB eine Datenanwendung, die zunächst mangels Meldung untersagt wurde, auf Grund einer nachträglich erstatteten Meldung registriert, so wird die Untersagung gegenstandslos. Die Abs. 5 regelt den Sonderfall, dass sich als Ergebnis des Berichtigungsverfahrens bloß Mängel bei den Datensicherheitsmaßnahmen ergeben. Bei Gefahr im Verzug ist schon während des noch anhängigen Berichtigungsverfahrens eine Bescheiderlassung nach § 30 Abs. 6a möglich. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

27 Kontrollbefugnisse der DSK III
DSG DSK-Kontrollbefugnisse Kontrollbefugnisse der DSK III (DSG 2000 § 30) - Recht auf Prüfung und auf Einschau beim Auftraggeber / Dienstleister - Eingaben erlauben DSK eine Überprüfung der Meldepflicht nach §§ 22 und 22a (Abs. 2a) - Weitergabebefugnisse von Ermittlungsergebnissen der DSK bei bestimmten (Cybercrime-)Strafdaten (Abs. 5) - Erweiterte Befugnisse der DSK zur Durchsetzung von Maßnahmen und Empfehlungen (Abs. 6, 6a) - Möglichkeit Weiterführung einer Datenanwendung per Mandatsbescheid zu untersagen ("Gefahr in Verzug") (Abs. 6a) Geänderte Bestimmungen (DSG-Novelle 2010) § 30 Abs. 2a (neu): “(2a) Sofern sich eine zulässige Eingabe nach Abs. 1 oder ein begründeter Verdacht nach Abs. 2 auf eine meldepflichtige Datenanwendung (Datei) bezieht, kann die Datenschutzkommission die Erfüllung der Meldepflicht überprüfen und erforderlichenfalls nach den §§ 22 und 22a vorgehen.” § 30 Abs. 5 (geändert) : “(5) Informationen, die der Datenschutzkommission oder ihren Beauftragten bei der Kontrolltätigkeit zukommen, dürfen ausschließlich für die Kontrolle im Rahmen der Vollziehung datenschutzrechtlicher Vorschriften verwendet werden. Dazu zählt auch die Verwendung für Zwecke der gerichtlichen Rechtsverfolgung durch den Einschreiter oder die Datenschutzkommission nach § 32. Im Übrigen besteht die Pflicht zur Verschwiegenheit auch gegenüber Gerichten und Verwaltungsbehörden, insbesondere Abgabenbehörden; dies allerdings mit der Maßgabe, dass dann, wenn die Einschau den Verdacht einer strafbaren Handlung nach den §§ 51 oder 52 dieses Bundesgesetzes, einer strafbaren Handlung nach den §§ 118a ["Widerrechtlicher Zugriff auf ein Computersystem", Anm.], 119 ["Verletzung des Telekommunikationsgeheimnisses", Anm.], 119a ["Missbräuchliches Abfangen von Daten", Anm.], 126a bis 126c ["Datenbeschädigung/126a", "Störung der Funktionsfähigkeit eines Computersystems/126b", "Missbrauch von Computerprogrammen oder Zugangsdaten/126c", Anm.], 148a ["Betrügerischer Datenverarbeitungsmißbrauch", Anm.] oder § 278a ["Kriminelle Organisation", Anm.] des Strafgesetzbuches, BGBl. Nr. 60/1974, oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, ergibt, Anzeige zu erstatten ist und hinsichtlich solcher Verbrechen und Vergehen auch Ersuchen nach § 76 der Strafprozessordnung, BGBl. Nr. 631/1975, zu entsprechen ist.” VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

28 DSG 2000 - Kontrollbefugnisse
Konzept der Vorabkontrolle (DSG2000 § 10, § 18 Abs. 2, § 20, 21, 30, § 10) bestimmte Datenanwendungen unterliegen einer Vorabkontrolle durch DSK - DA's die sensible Daten verwenden - DA's die in Form eines Informationsverbundsystems betrieben werden - registrierungspflichtige Videoüberwachungen - DA's die Daten zur Beurteilung der Kreditwürdigkeit dienen bzw. strafrechtlich relevante Daten verarbeiten Voraussetzungen der Vorabkontrolle: Prüfung auch ohne Verdachtsmomente möglich Auflagen zum Betrieb der Datenanwendung können erteilt werden Voraussetzung der Vorabkontrolle (§ 18): Bestimmte Datenanwendungen unterliegen der Vorabkontrolle durch die DSK. Bei diesen Datenanwendung darf dann erst nach ihrer Genehmigung mit der Verarbeitung begonnen werden (§ 20). DA ist meldepflichtig (z.B. keine Standardanwendung) DA ist keine Musteranwendung DA betrifft nicht innere Angelegenheiten anerkannter Kirchen und Religionsgesellschaften + es trifft zumindest eine der Bedingungen zu - DA enthält sensible Daten - DA enthält strafrechtlich relevante Daten - DA dienen der Auskunftserteilung über die Kreditwürdigkeit - DA wird in Form eines Informationsverbundsystems geführt Vorabkontrolle ermöglicht die Prüfung der Datenanwendung ohne Vorliegen von Verdachtsmomenten (§ 30). Die DSK kann Auflagen zum Betrieb der Datenanwendung erteilen (§ 21). Die Heranziehung von Dienstleistern bei vorabkontrollpflichtigen Datenanwendungen öffentlich-rechtlicher Auftraggeber ist der DSK mitzuteilen (§ 10). VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

29 Zeitpunkt der Kontrolle durch DSK
DSG DSK-Kontrollbefugnisse Zeitpunkt der Kontrolle durch DSK (a) vor Aufnahme einer Datenanwendung (Vorabkontrolle, § 18) (b) bei begründetem Verdacht einer Verletzung der Datenschutz-Bestimmungen (§ 30) (c) DSK kann jederzeit Meldepflicht prüfen (DSG Novelle 2010: §22a) [Gesetzgeber hofft laut EB zur DSG-Novelle nunmehr praktikable Kontrollmöglichkeiten für DSK geschaffen zu haben] Europäische Agentur für Grundrechte (EU) kritisierte 5/2010 mangelnde Durchsetzungsbefugnisse der österreichischen Datenschutzkommission - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

30 Internet und Datenschutz
In welchem Umfang ist DSG auf das Internet anwendbar? Dazu sind Vorfragen zu klären: - Ist eine Veröffentlichung auf einer Internetseite eine Datenanwendung? - Ist -Verkehr eine Datenanwendung? - Wann handelt es sich um personenbezogene Daten? Was sind die Mindestangaben, um von Personenbezug sprechen zu können? Name, Adresse, Identifikationsdaten -Adresse IP-Adresse, Matrikelnummer (z.B. e ) Kundennummer/Benutzerkennung Cookies, Computersignatur, ... - Ist ein berechtigter Zweck gegeben? - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

31 Beispiele / Entscheidungen
Webseite als Datenanwendung Bedeutung der IP-Adresse Veröffentlichung von Informationen Web-Zugriffsstatistik Zweck der Datenanwendung - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

32 EuGH-Entscheidung C-101/01 Fall Lindqvist
Beispiele / Entscheidungen EuGH-Entscheidung C-101/01 Fall Lindqvist Frau Lindqvist war/ist Reinigungskraft besuchte einen Web-Programmierkurs ehrenamtlich in der lokalen Kirche tätig Produzierte eine persönliche Webseite enthalten: - Informationen über sich und Ehemann - 16 namentlich genannte Konfirmanten/Kirchenmitarbeiter - "lustige" Beschreibung der Interessen dieser Personen - Information über eine Beinverletzung einer Person und dass sie nicht am Unterricht teilnehmen kann - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

33 EuGH-Entscheidung C-101/01 Lindqvist II
Beispiele / Entscheidungen EuGH-Entscheidung C-101/01 Lindqvist II Frau Lindqvist löscht sofort nach Verlangen - trotzdem Strafverfahren, weil Datenverarbeitung nicht registriert - Strafe von 4000 SEKronen (ca. 430 Euro) Im Zuge des Verfahrens wurde EuGH von schwedischem Gericht mit einer Reihe von Fragen angerufen: - Ist eine Website eine Datenverarbeitung? - Gelten die Ausnahmebestimmungen für private Webseiten? - Handelt es sich um sensitive Daten? - Liegt (genehmigungspflichtiger) internationaler Datenverkehr vor? - Schränkt das EG-Datenschutzrecht unzulässig die Freiheit der Meinungsäußerung ein? - Gibt die Richtlinie 95/46/EG nur einen Mindeststandard vor? JA NEIN JA NEIN Ausnahme des Art. 3 Abs. 2 95/46/EG (Anwendungsbereich): ... (2) Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten, – die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird. NEIN NEIN VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

34       Was passiert bei der Internetkommunikation?
Grundlagen Internet Was passiert bei der Internetkommunikation? Root Nameservice, ca. 123 Rootserver, weltweit verteilt nationales Nameservice, TLD-Server, nic.at Providerwolke B IP-Adresse Benutzer Vienna Internet Exchange IP-Adresse Anbieter / Datenbank Inhaber IP-Adressen und Domainnamen orf.at ? ? ? ? WHOIS Nameservice, meist Provider Providerwolke A Abruf Webseite Webserver Benutzersicht - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

35 Organisation im Internet I
Grundlagen Internet Organisation im Internet I ICANN = Internet Corporation for Assigned Names and Numbers privatrechtliche Non-Profit- Organisation US- amerikanischen Rechts Sitz Marina del Rey (nahe Los Angeles) seit 2009: Übereinkommen mit US-Handelsministerium (DOC), davor Aufsicht durch DOC, Beirat mit Regierungsvertretern: Governmental Advisory Committee (GAC). IANA = Internet Assigned Numbers Authority operative Nummernverwaltung (IP-Adressen, Protokolle und Ports) mit Teilorganisationen ICANN: / IANA: / IP-Adressen: VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

36 Organisation im Internet II
Grundlagen Internet Organisation im Internet II Root-Nameservice (A-M) VeriSign/US/verteilt (A,J), University of Southern California/US (B), Cogent/US/verteilt (C), University of Maryland/US (D), NASA/US (E), ISC[University of California, Berkeley]/US/verteilt (F), USDoD /US (G), USArmy/US (H), nordu/SE/verteilt (I), RIPE/NL/verteilt (K), ICANN/US (L), WIDE Project/JP (M) - 13 Knoten, 123 Server (letzter verfügbarer Stand Ende 2006) - US-Dominanz - Koordinations- und Publikationsinstanz: Verisign (nach Auftrag von ICANN, Genehmigung U.S. Department of Commerce) Bei Ausfall dieses Services ist weltweit kein Internetbetrieb im gewohnten Umfang möglich! - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

37 Grundlagen Internet Wie erfahre ich etwas über Internetkommunikation? - IP-Adress(Range)-Information (http://www.db.ripe.net/) - IP-Lookup-Information (http://www.dnsstuff.com/) - Traceroute (http://www.dnsstuff.com/) - Domain-Name-Service (http://www.dnsstuff.com/) - Standortinformation (http://www.ip-adress.com/) - System-Information zu , Browser, Server (http://www.netcraft.com) - Portscan/Schwachstellenanalyse (http://www.nessus.org/) Beispiele IP-Adressen: [ORF] [Erste Sparinvest] , , [persönliche Adressen] , [Dynamic IP Addresses] - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

38 Grundlagen Internet IP-Datenpaket - Keine Trennung von Adress- und Inhaltsinformation Zahl der Bits Absendeadresse Zieladresse Inhalt - IHL = IP Header Length, TOS = Type of Service, Total Length = Paketgröße (max, Byte), Identification = Kennung des Paketes, Time to Live = Lebensdauer VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

39 Beispiele / Entscheidungen
DSK-Entscheidung zur IP-Adresse (Empfehlung K /0005-DSK/ ) Ausgangslage Tauschbörsenbenutzer konnten ausgeforscht werden, da der ISP die Identität der Internetbenutzer an Hand der zu einem bestimmten Zeitpunkt genutzten IP-Adresse offen legte. Benutzer beschwerte sich, da diese Information gar nicht aufgezeichnet werden dürfte DSK-Empfehlung - IP-Adresse sind gem. TKG Teil der Verkehrsdaten (dynamische ausschließlich, statische sowohl Verkehrsdaten, als auch Stammdaten) - bei Vorliegen einer Flatrate-Vereinbarung sind diese Daten nicht für die Abrechnung erforderlich und dürfen daher nicht aufgezeichnet werden - die Weitergabe nicht rechtmäßig verarbeiteter Daten ist unzulässig - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

40 Was ist eine zulässige Veröffentlichung?
Demobeispiele Veröffentlichung Was ist eine zulässige Veröffentlichung? Veröffentlichen von Informationen - ist im DSG 2000 Spezialfall der Datenübermittlung - die Veröffentlichung muss rechtlich zulässig sein Wertungsunterschiede bieten Konfliktpotential - KFZ-Datenbank der Schweiz (Beispiel: - Sexualstraftäterdatei USA (http://www.nsopr.gov/) - Sexualstraftäterdatei GB (Google-Suche nach "schotte sex fahrrad") Zugang wird laufend modifiziert um "Missbrauch" zu verhindern: meist CAPTCHA Codes verwendet = Completely Automated Public Turing test to tell Computers and Humans Apart - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

41 Was ist eine (un)zulässige Veröffentlichung im Internet?
Demobeispiele Veröffentlichung Was ist eine (un)zulässige Veröffentlichung im Internet? - Veröffentlichen von Hausbesorgerdaten (OLG Innsbruck, Beschlüsse vom , 1 R 143/99 und , 1 R 30/00x) - Private Schuldnerfahndung siehe auch Mandatsbescheid DSK K /002-DSK/ - Veröffentlichen von Mitarbeiter-/Schüler-/Studentenfotos zusätzlich Bildnisschutz § 78 UrhG beachten OGH 8ObA136/00h - Teilnehmerlisten (Sportveranstaltungen, Schulen, Universitätsveranstaltungen, ...) - WHOIS-Daten (technische Internet-Informationen) - Lehrerbewertung: Freie Meinungsäußerung hat Vorrang Bundesgerichtshof VI ZR 196/ Dreistufiges Konzept zur Zulässigkeit ist zu beachten! Weitere Beispiele: - Lehrerbewertung: - Seminarteilnehmer: - Studenten: - Globalisierungskritiker: - Videokameras: - Warnlisten: Bildnisschutz (Recht auf eigenes Bild) UrhG § 78. (1) Bildnisse von Personen dürfen weder öffentlich ausgestellt noch auf eine andere Art, wodurch sie der Öffentlichkeit zugänglich gemacht werden, verbreitet werden, wenn dadurch berechtigte Interessen des Abgebildeten oder, falls er gestorben ist, ohne die Veröffentlichung gestattet oder angeordnet zu haben, eines nahen Angehörigen verletzt würden. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

42 VO SS2013 - Juridicum Demobeispiele Veröffentlichung
Wäre durch Löschung des Familiennamens Luftbild-Veröffent-lichung saniert? Herold verknüpft Telefonbuchsuche mit Luftbild Fragen: Handelt es sich bei Luftbild um personenbezogene Information? Ist Zustimmung erforderlich? Erfüllt Veröffentlichung berechtigten Zweck? - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

43 "offizieller" Diskussionsbeitrag
Demobeispiele Veröffentlichung Diskussionsforum eines Mediendienstes "offizieller" Diskussionsbeitrag Offizielle Version: Kommentar von: anselm am , 22:20 Uhr puma77 Ich muss Dir vollkommen Recht geben , aber wenn Wir gemeinsam dagegen vorgehen wollen , dann genügt es nicht die nächsten Wahlen abzuwarten! WIR MÜSSEN UNS ENDLICH WEHREN! GEGEN UNSERE POLITIKER DIE FÜR DIE ISLAMISIERUNG IN ÖSTERREICH SIND !!!!!ZUM TEUFEL MIT DEN GRÜNROTSCHWARZEN POLITIKERN ! VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

44 "inoffizieller" Diskussionsbeitrag
Demobeispiele Veröffentlichung Diskussionsforum eines Mediendienstes II "inoffizieller" Diskussionsbeitrag -Adresse und IP-Adresse unkenntlich gemacht "Inoffizielle" Version: FÜR KLEIN POLITIK DER WO KEINEN VISION HAT ALTFRAUEN LABER MACHT IN EINEN STAMM KUNDEN TISCH IRGEND EINER DRIT KLASSIGE KNEIPE.....IN DER INTERNATIONALEN EBENE IST DER NUL HIER KANN ER EUREN EGO BEFRIEDIGEN !!!SO IST DAS EBEN </text><title>UND IHR GLAUBT DARAN</title> muss Dir vollkommen Recht geben , aber wenn Wir gemeinsam dagegen vorgehen wollen, dann genügt es <br/>nicht die nächsten Wahlen abzuwarten! WIR MÜSSEN <br/>UNS ENDLICH WEHREN! GEGEN UNSERE POLITIKER DIE <br/>FÜR DIE ISLAMISIERUNG IN ÖSTERREICH SIND !!!!!ZUM <br/>TEUFEL MIT DEN GRÜNROTSCHWARZEN POLITIKERN ! </text><title>puma77</title> <smiley>neutral</smiley><ip> XX.5X</ip><replyid>139</ - Werden personenbezogene Daten veröffentlicht (fehlerhafte/offizielle Version)? - Handelt es sich um eine Datenanwendung im Sinne des DSG? - Besteht eine Rechtsgrundlage für die Veröffentlichung? (berechtigter Zweck, zulässige Datenverwendung, Registrierung) VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

45 Diskussionsforum eines Mediendienstes III
Demobeispiele Veröffentlichung Diskussionsforum eines Mediendienstes III - Werden personenbezogene Daten veröffentlicht (fehlerhafte/offizielle Version)? - Handelt es sich um eine Datenanwendung im Sinne des DSG? - Besteht eine Rechtsgrundlage für die Veröffentlichung? (berechtigter Zweck, zulässige Datenverwendung, Registrierungserfordernis) - Welche Bestimmungen/Regulierungen sind anzuwenden? - Verhalten bei Kenntnisnahme durch Internetbenutzer? - Wer ist für Aufsicht verantwortlich / Welche Zuständigkeit? - Welche Sanktionen sind vorgesehen? - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

46 VO SS2013 - Juridicum Demobeispiele Veröffentlichung
[Website seit 2011 nicht mehr aktiv] - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

47 VO SS2013 - Juridicum Demobeispiele Veröffentlichung
öffentlich zugängliche Besucherstatistik zu sexpunkt.at - Werden personenbezogene Daten veröffentlicht Version)? - Handelt es sich um eine Datenanwendung im Sinne des DSG? - Besteht eine Rechtsgrundlage für die Veröffentlichung? (berechtigter Zweck, zulässige Datenverwendung, Registrierung) VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

48 VO SS2013 - Juridicum Demobeispiele Veröffentlichung
öffentlich zugängliche Besucherstatistik zu "zärtliche Nicole" [Counter 2011 nicht mehr aktiv] - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

49 Veranstaltungsanmeldung http://www.b2bnetwork.at/
Demobeispiel Online-Anmeldung Veranstaltungsanmeldung - Werden personenbezogene Daten veröffentlicht Version)? - Handelt es sich um eine Datenanwendung im Sinne des DSG? - Besteht eine Rechtsgrundlage für die Veröffentlichung? (berechtigter Zweck, zulässige Datenverwendung, Registrierung) VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

50 Googles Street-View Aufzeichnung "öffentlichen" Verhaltens - handelt es sich überhaupt um personenbezogene Datenverarbeitung? - Google sagt zu, Personen vor Veröffentlichung zu "verpixeln" - Was ist zu den Street-View-Funseiten zu sagen? - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

51 Googles Street-View DSK genehmigt 2011 Street-View Anwendung mit drei Empfehlungen (K /0002-DSK/ ) - Aufnahmen von Personen in sensiblen Bereichen sind die Gesamtbilder der Personen unkenntlich zu machen: etwa Eingangsbereiche von Kirchen, Gebetshäusern, Krankenhäusern, Frauenhäusern und Gefängnissen - für Spaziergänger nicht einsehbare Immobilien (umzäunte Privatgärten und -höfe) sind vor Veröffentlichung im Internet unkenntlich zu machen - Schaffung eines einfachen Widerspruchsrechts nach § 28 Abs. 2 DSG 2000 - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

52 Web 2.0 - Datenschutzspezifische Fragestellungen
Web2.0, Social Media und Datenschutz Web Datenschutzspezifische Fragestellungen Vorgaben des DSG 2000: (1) Rollenkonzept: Auftraggeber, Betroffener, Dienstleister (2) Schutzinteressen der persönlichen Daten: allgemein verfügbare Daten, indirekt personenbezogene Daten, vertrauliche Daten, sensible Daten (3) berechtigter Zweck: der persönlichen Nutzung, die Weitergabe an Dritte, Veröffentlichung (4) Aufsicht + Ausnahmen: Registrierungs- bzw. Genehmigungspflicht Datenschutzregeln treffen sowohl Betreiber des Accounts ("Benutzer" [A]), als auch Plattformbetreiber ("Facebook" [B]), - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

53 Web2.0, Social Media und Datenschutz
Variante I: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich (1) Rollenkonzept: [A] Benutzer ist bezüglich der veröffentlichten Daten weder Betroffener, noch Auftraggeber, Facebook ist in diesem Fall auch kein Dienstleister, daher keine Datenanwendung. [B] Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber (2) Schutzinteresse: [A] Kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat. [B] Facebook darf Daten im Rahmen seiner berechtigten Zwecke verwenden. - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

54 Web2.0, Social Media und Datenschutz
Variante I: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich II (3) Berechtigter Zweck: [A] Ist in Bezug auf Benutzer nicht zu prüfen, da keine Datenanwendung im Sinne des DSG 2000 [B] für Facebook aus Angebot und Geschäftsbedingungen ableitbar (4) Aufsicht: [A] Für Benutzer keine Registrierungs- bzw. Genehmigungspflicht [B] für Facebook gelten die Bestimmungen des Geschäftssitzes (für Europa das irische Datenschutzrecht) - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

55 Web2.0, Social Media und Datenschutz
Variante II: Unternehmen ("Benutzer") richtet (Facebook-) Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (1) Rollenkonzept: [A] Benutzer ist bezüglich der veröffentlichten Daten Dritter Auftraggeber, Facebook ist in diesem Fall Dienstleister, Datenanwendung liegt vor! [B] Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum

56 Web2.0, Social Media und Datenschutz
Variante II: Unternehmen ("Benutzer") richtet (Facebook-) Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (2) Schutzinteresse: [A] Bezüglich der Veröffentlichung der Unternehmensdaten gilt, kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat, bezüglich Dritter (Poster + Person über die gepostet wird) hat Unternehmen auf Einhaltung der Datenschutzinteressen zu achten! Es sind zusätzlich zum DSG 2000 die ECG-Bestimmungen insb. § 16 (Haftung!) zu beachten. [B] Facebook darf die Daten nur im Rahmen der ausdrücklich vereinbarten Geschäftsbedingungen verwenden. - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum

57 Web2.0, Social Media und Datenschutz
Variante II: Unternehmen ("Benutzer") richtet (Facebook-) Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (3) Berechtigter Zweck: [A] Keine private Datenanwendung im Sinne des § 45 DSG 2000, in der Regel zulässig (z.B. Unternehmenspräsentation, Erwerbsfreiheit). [B] In Bezug auf Facebook aus Angebot und Geschäftsbedingungen ableitbar. (4) Aufsicht: [A] Für Unternehmen dann Registrierungs- bzw. Genehmigungspflicht, wenn keine Ausnahmebestimmung zutrifft (Standardanwendung, ausschließliche Verwendung veröffentlichter Daten, rein private Datenverwendung, Medienprivileg/Berichterstattung). [B] Für Facebook gelten die Bestimmungen des Geschäftssitzes - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum

58 VO SS2013 - Juridicum Facebook / LikeIt Was passiert bei Aufruf einer
Website in dem ein Facebook LikeIt Button (ein Social Plugin) eingebaut ist? - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

59 Weitere Themen VO SS2013 - Juridicum Beispiele / Entscheidungen
DSK /010-DSK/ (" -Datenanwendung") Auch -Verkehr ist als Datenanwendung iS des DSG anzusehen und unterliegt der Auskunftspflicht - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

60 In welchem Umfang ist DSG auf Internet anwendbar?
Beispiele / Entscheidungen In welchem Umfang ist DSG auf Internet anwendbar? - Ist eine Veröffentlichung auf einer Internetseite eine Datenanwendung? (ja, siehe EuGH C-101/01 Lindqvist) - Ist -Verkehr eine Datenanwendung? (ja, siehe DSK K /010-DSK/ , DSK K /0013- DSK/ ) - Wann handelt es sich um personenbezogene Daten? Name, Adresse, Identifikationsdaten -Adresse (ja, siehe OLG Bamberg/D 1U143/ ) IP-Adresse (ja, siehe DSK K /0005-DSK/ ) Kundennummer/Benutzerkennung Cookies, personalisierte Webinformationen, ... Kriterium ist "bestimmbar" (iS EG-RL 95/46/EG Art. 2) - Ist berechtigter Zweck gegeben? (DSK K /002-DSK/ ) [unzulässiges Onlineangebot zur Kreditwürdigkeit] - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

61 VO SS2013 - Juridicum Eurobarometerumfrage 2011
Was wird überhaupt als (schutzwürdige) personenbezogene Information gesehen? (EU27 / AT / max / min) - Finanzdaten: 75% EU27 / 73% AT / 91% DK / 44% PL - Gesundheitsdaten: 74% EU27 / 75% AT / 93% IE / 46% PL - Identitätsdaten( Passnummer, ...): 73% EU27 / 67% AT / 92% BG / 53% MT - Lebenslauf (beruflich): 30% EU27 / 43% AT / 50% DE / 11% BG,RO - mit wem befreundet: 30% EU27 / 40% AT / 52% DE / 7% BG - private Interessen/Hobbies: 25% EU27 / 40% AT / 46% DE / 8% CY - besuchte Webseiten: 25% EU27 / 33% AT / 44% SE / 5% RO Länder mit höchsten Datenschutzbewusstsein: Deutschland, Niederlande, Großbritannien, Österreich Link zur Eurobarometer-Umfrage: Was wird als personenbezogene Information gesehen? Originalformulierung: QB2 Which of the following types of information and data that are related to you do you consider as personal? EU27 European Union – 27 Member States BE Belgium LU Luxembourg BG Bulgaria HU Hungary CZ Czech Republic MT Malta DK Denmark NL The Netherlands DE Germany AT Austria EE Estonia PL Poland EL Greece PT Portugal ES Spain RO Romania FR France SI Slovenia IE Ireland SK Slovakia IT Italy FI Finland CY Republic of Cyprus SE Sweden LT Lithuania UK United Kingdom LV Latvia VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

62 DSG-Bestimmungen VO SS2013 - Juridicum
Besondere Dienstleisterverpflichtungen Registrierung von Datenanwendungen Internationaler Datenverkehr Anwendbare Datenschutzbestimmung Informationsverbundsystem - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

63 Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000)
DSG Dienstleister Dienstleister im Sinne des DSG 2000 (§§ 10f) - Dienstleistung liegt vor, wenn ein Verantwortlicher jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben betraut - Geeignete Vereinbarungen sind zu treffen - Vereinbarungen sind zu überprüfen/überwachen ["überzeugen"] - Meldepflicht bei DSK bei Datenverarbeitungen des öffentlichen Bereichs, die der Vorabkontrolle unterliegen (z.B. bei Verwendung von Gesundheitsdaten), keine Meldepflicht bei verbundenen Unternehmen - Subdienstleister nur mit Billigung des Auftraggebers Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000) Mustervereinbarung siehe: ftp://ftp.freenet.at/privacy/muster/dsgdl01.html Bereiche, bei denen Dienstleistung vermutet werden kann (sofern extern vergeben)‏ Soft- und Hardwarewartung Operating Call-Center Internet-Provider (Access & Content)‏ Shopping-Mall Betreiber Statistik/Studien Steuerberatung/Unternehmensberater Heranziehung von Gutachtern Notfallsrechenzentren/externe Archivierung Datenerfassung Es wird empfohlen alle bestehenden Lieferantenbeziehungen in Hinblick auf datenschutzrelevante Dienstleistung zu überprüfen! VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

64 Registrierung von Datenanwendungen (§§ 16ff)
DSG Registrierung und Genehmigung Registrierung von Datenanwendungen (§§ 16ff) - Datenanwendungen sind grundsätzlich meldepflichtig (§ 17) - Jede Registrierung erfolgt für bestimmte Datenanwendung, für bestimmte Datenarten, bestimmte Personengruppen und bestimmte Zwecke (§ 17) - Eine DVR-Nummer wird einem Unternehmen (Organisation) bei erstmaliger Registrierung einer DA zugeteilt (§ 21) - Registrierung ist kostenlos (§ 53) - Registrierung soll Transparenz sichern, die Registernummer ist in jeder Korrespondenz mit Betroffenen oder Dritten anzugeben (§ 16) - Jedermann kann Einsicht in Registrierung nehmen (§ 16) - Es gibt Ausnahmen von der Registrierungspflicht (§ 17) Dies bedeutet auch, dass bei registrierungsfreien Datenanwendungen KEINE DVR- Nummer geführt werden muss. Dies kann zu Unklarheiten bei Betroffenen über den tatsächlichen Auftraggeber bei Unternehmen führen, die zwar eine DVR-Nummer haben, aber eine Marketingaussendung unter "Berufung" auf die Standardanwendung SA022 "Kundenbetreuung" durchführen. Bisherige Ausnahmen von der Registrierungspflicht (persönliche und publizistische Verarbeitungen) wurden erheblich ausgeweitet VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

65 Registrierungsfreiheit (§ 17)
DSG Registrierung und Genehmigung Registrierungsfreiheit (§ 17) - Standardanwendungen - DA enthält ausschließlich (!) veröffentlichte Daten (aus öffentlichen Internetseiten, Telefonbuch- oder Firmen-Suche) - ausschließlich indirekt personenbezogene Daten - persönliche Datenanwendungen (persönliche s, Webseiten mit ausschließlich eigenen Angaben) - publizistische Datenanwendungen (Online-Medien) - manuelle Datenanwendungen, die nicht der Vorabkontrolle unterliegen - Führung öffentlicher, gesetzlich vorgesehener Register - bestimmte DA‘s der Republik Österreich - DA für Zwecke der Strafverfolgung Folgende Datenanwendungen sind nicht zu registrieren (§ 17)‏ - manuelle Datenanwendungen die nicht der Vorabkontrolle unterliegen - DA enthält ausschließlich (!) schon vorher veröffentlichte Daten (Abs. 2 Z 1)‏ - DA dient zum Führen gesetzlich vorgesehener öffentlich einsehbarer Register (Abs. 2 Z 2)‏ Beispiele: Grundbuch, Firmenbuch, auch Melderegister - DA enthält nur indirekt personenbezogene Daten (Abs. 2 Z 3)‏ - bei persönlichen DA's (Abs. 2 Z 4)‏ - für publizistische Zwecke (Abs. 2 Z 5)‏ - bei Standardanwendungen (Abs. 2 Z 6) Beispiel: SA022 Kundenbetreuung/Marketing, SA001Rechnungswesen/Logistik, SA002 Personalverwaltung - bestimmte Datenanwendungen der Republik Österreich (Abs. 3): Schutz der verfassungsmäßigen Einrichtungen der Republik Österreich (Abs. 3 Z 1) Sicherung der Einsatzbereitschaft des Bundesheeres (Abs. 3 Z 2) Sicherung der Interessen der umfassenden Landesverteidigung (Abs. 3 Z 3) Schutz wichtiger außenpolitischer, wirtschaftlicher oder finanzieller Interessen der Republik Ö oder der EU (Abs. 3 Z 4) Vorbeugung, Verhinderung und Verfolgung von Straftaten (Abs. 3 Z 5)‏ Die Ausnahmetatbestände des Abs. 3 stellen keine generellen Ausnahmen für alle DA's bestimmter Behörden dar VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

66 Datenverarbeitungsregister (DVR) (§§ 16ff)
DSG Registrierung und Genehmigung Datenverarbeitungsregister (DVR) (§§ 16ff) Zeitpunkt der Registrierungspflicht und wann ist zulässiger Beginn der Verarbeitung? (§ 18) - Beginn der Verarbeitung mit Tag der Registrierungsmeldung (gilt für "normale" DAs) oder - nach Abschluss der Vorabkontrolle, wenn keine Einwände erhoben werden, 2 Monate nach Meldung (gilt für DAs, die der "Vorabkontrolle" unterliegen) - Datenverarbeitungsregister ist Teil der DSK (§ 16) - derzeit etwa registrierte Auftraggeber - Auftraggeber, die keine DVR-Nummer benötigen, müssen die Identität in anderer Weise offen legen (§ 25) - ab 9/2012 erfolgt die Registrierung automationsunterstützt aus dem DSG2000 §§ 16ff, besonders § 18 Grundsätzlich gilt: Beginn der Verarbeitung ab Abgabe der Meldung Ausnahme: Verarbeitungsbeginn erst nach Abschluss der Vorabkontrolle: DA's, die sensible Daten enthalten DA enthält strafrechtlich relevante Daten (gerichtlich und verwaltungsrechtlich)‏ DA hat Zweck der Auskunftserteilung über Kreditwürdigkeit DA in einem Informationsverbundsystem geführt Prüfungsfrist sind zwei Monate (§ 20 Abs. 1)‏ Wird ein Verbesserungsauftrag erteilt, ist eine angemessene Nachfrist zu setzen (§ 20 Abs. 1)‏ bei wesentlicher Gefährung von Geheimhaltungsinteressen kann eine DA vorläufig untersagt werden (§ 20 Abs. 2)‏ Bei DA's, die der Vorabkontrolle unterliegen, ist bei Verbesserungsaufträgen gleichzeitig mitzuteilen, ob Verarbeitung aufgenommen werden darf (§ 20 Abs. 3)‏ wird Verbesserungsauftrag nicht fristgerecht entsprochen, dann hat die DSK den Antrag abzulehnen (§ 20 Abs. 4) VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

67 DSG 2000 - Internationaler Datenverkehr
Internationaler Datenverkehr (§§ 12, 13, 55) Genehmigungsfreiheit (EU: "Datenexport") - innergemeinschaftlicher Datenverkehr - gleichwertige Datenschutzgesetzgebung - im Inland zulässigerweise veröffentlichte Daten - notwendige Grundlage zur Vertragserfüllung mit Betroffenen - persönliche oder publizistische DA‘s - mit Zustimmung des Betroffenen - wenn Datenverkehr in Standard- und Musteranwendungen vorgesehen - bei Akten und Dokumenten (Entscheidung DSK K /13-DSK/ "gegenseitige Information zu Waffenexporten") - Theoretisch: bei Verwendung der EU-Standardvertragsklauseln (jedoch fehlt dazu eine Verordnung des Bundeskanzlers) Genehmigungsfrei im innergemeinschaftlichen Datenverkehr (EU-weit), sofern die Datenverarbeitungen dem Recht der Europäischen Gemeinschaft unterliegen (Abs. 1) (gilt auch für Daten juristischer/sonstiger Personen)‏ in Ländern mit gleichwertigen Datenschutzgesetzgebungen (Abs. 2)‏ im Inland zulässigerweise veröffentlichte Daten (Abs. 3 Z1)‏ aus persönlichen oder publizistischen Datenanwendungen (Abs. 3 Z4)‏ aufgrund der Zustimmung des Betroffenen (Abs. 3 Z5)‏ als notwendige Grundlage zur Erfüllung eines mit dem Betroffenen abgeschlossenen Vertrages (Abs. 3 Z6)‏ Weitere Gründe für einen genehmigungsfreien Datenverkehr indirekt personenbezogene Daten (Abs. 3 Z2)‏ innerstaatliche Vorschriften verlangen Datenverkehr (Abs. 3 Z3)‏ als notwendige Grundlage zur Erfüllung eines im Interesse des Betroffenen abgeschlossenen Vertrages (Abs. 3 Z6)‏ notwendig zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gegenüber ausländischen Behörden (Abs. 3 Z7)‏ bei Standard- und Musterverordnungen (Abs. 3 Z8)‏ Datenverkehr mit österreichischen Dienststellen im Ausland (Abs. 3 Z9)‏ wenn keine Meldepflicht gem. §17 Abs. 3 ("öffentliche Sicherheit") besteht (Abs. 3 Z10)‏ zur Wahrung eines wichtigen öffentlichen Interesses (Abs. 4 Z1)‏ zur dringlichen Wahrung eines lebenswichtigen Interesses einer Person (Abs. 4 Z2)‏ VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

68 VO SS2013 - Juridicum DSG 2000 - Internationaler Datenverkehr
Genehmigungsfrei (weil gleichwertig) - gleichwertig auf Grund EWR-Verträge Island, Norwegen, Liechtenstein - gleichwertig gem. Kommissionsentscheidung Schweiz ( ), Kanada ( ) Argentinien ( ), Australien ( ) Israel ( ), Uruguay ( ) Neuseeland ( ) Andorra, Faeroe Islands, Guernsey, Isle of Man, Jersey - USA (nur bereichs- oder unternehmensbezogen, etwa wenn SafeHarbour-Vereinbarung beigetreten, SWIFT- oder PassengerNameRecord-Abkommen) bei allen anderen Staaten hat sich der Betroffene bzw. der Auftraggeber selbst um den Datenschutz zu kümmern Aktueller Stand der gleichwertigen Länder: transfers/adequacy/index_en.htm (STAND: 2/2013)‏ Suchbegriffe: "Commission decisions adequacy protection personal data third countries" auf EG-Standardvertragsklauseln: Version 1 (2001): ftp://ftp.freenet.at/privacy/ds-eu/eg-standardvertragsklauseln-1.pdf Version 2 (2004): ftp://ftp.freenet.at/privacy/eu-ds/eu-standardvertragsklauseln-2.pdf Wichtige Vertragselemente der Standardvertragsklauseln Auswahlhaftung des Datenexporteurs: muss sich von der Fähigkeit des Importeurs bei der Einhaltung der Datenschutzbestimmungen überzeugen bei Datenschutzverletzungen: zuständig ist das Gericht, in dem Land in dem der Datenexporteur seinen Sitz hat Durchsetzungfrist bei Datenschutzrechten: ein Monat Einsetzbarkeit der Standardvertragsklauseln in Österreich nur beschränkt gegeben: Genehmigung durch DSK trotzdem erforderlich. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum

69 Was bedeutet "Safe Harbour"?
DSG Internationaler Datenverkehr Was bedeutet "Safe Harbour"? In den USA fehlen einheitliche, für Unternehmen verbindliche Datenschutzstandards Entwicklung von Richtlinien, denen freiwillig beigetreten werden kann (SELBSTZERTIFIZIERUNG), nach Beitritt verbindlich, es kann jederzeit wieder ausgetreten werden FTC (Federal Trade Commission, Bundeshandelskommission) bzw US-Verkehrsministerium (bei Luftfahrtgesellschaften) überwachen Einhaltung Liste mit Teilnehmern veröffentlicht, Stand April 2013: ca Organisationen, inkl. nicht aktueller Einträge prominente Nicht-Teilnehmer: eBay, automattic(wordpress) Beitritt kann auf bestimmte Datengruppen beschränkt werden: Online- Daten, Offline-Daten, HR-Daten (Personaldaten), manuell verarbeitete Daten, Finanzdaten, ... Beratungsfirma Galexia, Australien äußerte 2008 Bedenken an der Funktionsfähigkeit des Systems Unterlagen zur EU-Entscheidung "über die Angemessenheit des Datenschutzes in den USA": lex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexapi!prod!CELEXnumdoc&lg=de&n umdoc=32000D0520&model=guichett Liste der Unternehmen, die den "Safe Harbour" - Richtlinien beigetreten sind: https://www.export.gov/safehrbr/list.aspx (30 Unternehmen je Seite) Auszug aus der Liste der Unternehmen, die sich zu "Safe Harbour" verpflichtet haben: - Amazon.com Inc, google, facebook, Yahoo - Novartis Pharmaceuticals Corporation, Baxter International Inc. - Hewlett Packard, Microsoft Corporation, Oracle Corporation - Marriott International, Inc. - Procter & Gamble Company - Dun & Bradstreet Corporation Bekannte Internetanbieter, die nicht dem Abkommen beigetreten sind: - ebay, automattic(wordpress) Branchenstatistik (Beispiele, Stand 11/2011): Biotechnologie (ca. 95), EDV-Ausstattung/Computer & Peripherals (ca. 60), Informationsdienste/Information Services (ca. 730)‏, Telekommunikation- Dienstleister/Telekommunication Services (ca. 180) Link zum kritischen Galexia-Bericht (2008): _harbor_fact_or_fiction.pdf VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

70 zentrale Grundsätze des "Safe Harbour"
DSG Internationaler Datenverkehr zentrale Grundsätze des "Safe Harbour" - INFORMATIONSPFLICHT (entspricht: DSG 2000 § 24) - WAHLMÖGLICHKEIT (DSG 2000 § 28 "Widerspruch") - WEITERGABE (DSG 2000 u.a. § 8f "Verwendung") - SICHERHEIT (DSG 2000 § 14) - DATENINTEGRITÄT (DSG 2000 § 6 "Grundsätze") - AUSKUNFTSRECHT (DSG 2000 § 26f) - DURCHSETZUNG (DSG 2000 § 30ff) Sonstige Bestimmungen zu "Safe Harbour" (formuliert in den Frequently Asked Questions) - Sensible Daten (FAQ1) - Ausnahmen für Journalisten (FAQ2) - ISP-Haftung bei Weiterleitung (FAQ3) - Investmentbanken und Wirtschaftsprüfer (FAQ4) - Funktionsweise der Selbstzertifizierung (FAQ6) + Selbstkontrolle (FAQ7) - Durchführung der Auskunft (FAQ8) (orientiert sich an OECD-Empfehlung 1980) - Verwendung von Personaldaten (FAQ9) - Schiedsverfahren und Durchsetzung (FAQ11) - Verwendung von Reisedaten (FAQ12) VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

71 DSG 2000 - Internationaler Datenverkehr
Schiedsverfahren und Durchsetzung der "Safe Harbour" Verpflichtungen (FAQ11) - Betroffene können sich direkt beschweren - Beschwerden von Selbstregulierungsorganen werden vorrangig behandelt (BBBOnline, TRUSTe, ...) - ebenso Beschwerden der EU-Mitgliedsstaaten - Fortgesetzte Missachtungen sind zu veröffentlichen - Sanktionen: öffentliche Bekanntmachung ("Pranger") Löschung betreffender Daten Entschädigung für Personen Streichung von der Liste "safe harbour" sonstige Auflagen - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

72 Internationaler Datenverkehr (§§ 12, 13, 55) Genehmigungspflicht
DSG Internationaler Datenverkehr Internationaler Datenverkehr (§§ 12, 13, 55) Genehmigungspflicht in allen anderen Fällen besteht Genehmigungspflicht (§ 13) die Genehmigung hat die DSK zu erteilen: - dabei die Feststellungen der Europäischen Kommission sind zu beachten (Abs. 2) - im konkreten Genehmigungsfall besteht ein angemessenes Schutzniveau (Abs. 2 Z 1) [Verwendung von Mustervereinbarungen] - Antragsteller macht den Schutz der Geheimhaltungsinteressen des Betroffenen glaubhaft (Abs. 2 Z 2) - seit DSG-Novelle 2010: Möglichkeit einseitiger verbindlicher Zusagen des Auftraggebers für internationalen Datenverkehr (Abs. 2 Z 2) - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

73 95/46/EG - Ziel ist Vereinheitlichung der Zuständigkeit
DSG Anwendbares Recht 95/46/EG - Ziel ist Vereinheitlichung der Zuständigkeit Art. 4 Abs. 1 a)+b) Niederlassung im Mitgliedstaat "a) Jeder Mitgliedstaat wendet sein Datenschutzrecht auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaates besitzt." b) regelt Spezialfälle, wie etwa Botschaften Niederlassung: definiert in Erwägungsgrund 19: - effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung - Rechtsform der Niederlassung ist nicht maßgeblich - bloße Server (technische Geräte) sind keine Niederlassung Artikel 4 - Anwendbares einzelstaatliches Recht (1) Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erläßt, auf alle Verarbeitungen personenbezogener Daten an, a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält; b) die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht in seinem Hoheitsgebiet, aber an einem Ort niedergelassen ist, an dem das einzelstaatliche Recht dieses Mitgliedstaats gemäß dem internationalen öffentlichen Recht Anwendung findet; ... VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

74 95/46/EG - Weiterer Anwendungsfall
DSG Anwendbares Recht 95/46/EG - Weiterer Anwendungsfall Art. 4 Abs. 1 c) Verantwortlicher aus Drittstaat nutzt Mittel im Mitgliedstaat ("Durchführungsprinzip") c) Jeder Mitgliedstaat wendet sein Datenschutzrecht auf Verarbeitungen an, wenn der für die Verarbeitung Verantwortliche nicht im Gebiet der EU/EWR niedergelassen ist, aber auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet belegen sind. Diese Bestimmung bringt insbesondere im Zusammenhang mit Internetanwendungen erhebliche Auslegungsschwierigkeiten: - Ist die Installation eines Programms (Javaskript) auf einem lokalen Computer schon ein "zurückgreifen"? - jedenfalls erfasst: Backuprechen- und Notfallsrechenzentren, Dienstleistung durch EU-Unternehmen Artikel 4 - Anwendbares einzelstaatliches Recht [Fortsetzung] (1) Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erläßt, auf alle Verarbeitungen personenbezogener Daten an, ... c) die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht im Gebiet der Gemeinschaft niedergelassen ist und zum Zwecke der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind, es sei denn, daß diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der Europäischen Gemeinschaft verwendet werden. (2) In dem in Absatz 1 Buchstabe c) genannten Fall hat der für die Verarbeitung Verantwortliche einen im Hoheitsgebiet des genannten Mitgliedstaats ansässigen Vertreter zu benennen, unbeschadet der Möglichkeit eines Vorgehens gegen den für die Verarbeitung Verantwortlichen selbst.“ VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

75 95/46/EG - Konsequenzen VO SS2013 - Juridicum
DSG Anwendbares Recht 95/46/EG - Konsequenzen Auswirkungen innerhalb der EU - Es gilt das Recht jenes Staates / jener Staaten, wo der Verantwortliche seine Niederlassung(en) hat Auswirkungen für Unternehmen in Drittstaaten - Sobald sie Mittel in der EU nutzen, gilt das Datenschutzrecht des jeweiligen EU-Staates - Ansonsten gilt das nationale Datenschutzrecht des Drittstaates (sofern überhaupt vorhanden) Praktische Beispiele: Eine belgische Firma nutzt Server in Frankreich und Portugal, hat aber dort keine Niederlassung: es gilt ausschließlich belgisches Recht Eine Firma aus den USA nutzt Server in Frankreich und Portugal: es gilt (amerikanisches), französisches und portugiesisches Recht, die Firma muss in Frankreich und Portugal niedergelassene Verantwortliche benennen. Aber: Wenn die Server in Frankreich und Portugal nur zur Durchfuhr durch das Gebiet der EU verwendet werden, gilt wiederum nur amerikanisches Recht. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

76 Umsetzung in Österreich (§ 3 DSG 2000)
DSG Anwendbares Recht Umsetzung in Österreich (§ 3 DSG 2000) Österreichisches DSG 2000 ist anzuwenden - wenn Daten im Inland verwendet werden, - wenn Daten eines anderen EU/EWR-Staates in einer österreichischen Niederlassung verwendet wird - wenn Daten eines Drittstaates in Österreich (technisch) verwendet werden (österreichischer Verantwortlicher ist zu benennen!) Österreichisches DSG 2000 ist nicht anzuwenden - wenn Daten im Inland, aber für einen Auftraggeber mit Sitz in einem anderen EU/EWR-Staat verwendet werden und der Zweck keiner österreichischen Niederlassung zuzurechnen ist - wenn Daten durch Österreich nur durchgeführt werden Räumlicher Anwendungsbereich § 3. (1) Die Bestimmungen dieses Bundesgesetzes sind auf die Verwendung von personenbezogenen Daten im Inland anzuwenden. Darüber hinaus ist dieses Bundesgesetz auf die Verwendung von Daten im Ausland anzuwenden, soweit diese Verwendung in anderen Mitgliedstaaten der Europäischen Union für Zwecke einer in Österreich gelegenen Haupt- oder Zweigniederlassung (§ 4 Z 15) eines Auftraggebers (§ 4 Z 4) geschieht. (2) Abweichend von Abs. 1 ist das Recht des Sitzstaates des Auftraggebers auf eine Datenverarbeitung im Inland anzuwenden, wenn ein Auftraggeber des privaten Bereichs (§ 5 Abs. 3) mit Sitz in einem anderen Mitgliedstaat der Europäischen Union personenbezogene Daten in Österreich zu einem Zweck verwendet, der keiner in Österreich gelegenen Niederlassung dieses Auftraggebers zuzurechnen ist. (3) Weiters ist dieses Bundesgesetz nicht anzuwenden, soweit personenbezogene Daten durch das Inland nur durchgeführt werden. (4) Von den Abs. 1 bis 3 abweichende gesetzliche Regelungen sind nur in Angelegenheiten zulässig, die nicht dem Recht der Europäischen Gemeinschaften unterliegen. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

77 Was ist ein Informationsverbundsystem? (§ 50)
DSG Spezialregelungen Was ist ein Informationsverbundsystem? (§ 50) gemeinsame Verwendung von Daten in einer DA durch mehrere [österreichische] Auftraggeber geeigneter Betreiber ist zu bestellen Betreiber ist zwecks Eintrag im DVR zu melden Betreiber hat Auskünfte über Auftraggeber zu geben (12 Wochenfrist!) es können weitere Auftraggeberpflichten an den Betreiber abgetreten werden Meldepflichten des Informationsverbundsystems können an Betreiber formlos übertragen werden (Abs. 2) Erleichterungen der Meldung zusätzlicher Teilnehmer an Informationsverbundsystem: es genügt Verweis auf andere Meldung (Abs. 2a) Stand lt. DVR-Online: ca. 92 Anwendungen gemeldet, davon ca. 80% aus dem öffentlich-rechtlichen Bereich, 20% private Spezialregelung, die in Hinblick auf folgende Fälle/Beispiele geschaffen wurde: - Kreditschutzevidenzen, gemeinsame Versicherungsevidenzen - Reiseveranstaltungs- und Reservierungssysteme - Gesundheitsverbund - gemeinsame Mitarbeiter- oder Lieferantenverwaltung - Bewerberdatenbank, Besucher - Branchenwünsche: Warndatei der Versandunternehmen, Telekom-Unternehmen öffentlich-rechtliche Beispiele: - Zentrales Waffenregister (BMI)‏ - Europol Informationssystem (Europol)‏ - Vollzugsverwaltung der Justizanstalten (BMJ)‏ - Informationsstelle im Katastrophenfall (MAG Wien)‏ - Missbrauchsopferdatenbank (Land OÖ)‏ - Tiroler Sozialverwaltung (Land Tirol)‏ privat-rechtliche Beispiele: - Ericsson Process & Application Consulting AB, ERP Solutions/SAP Center (Schweden): Computergestützte Personalverwaltung - Kreditschutzverband von 1870 und Dataline Datenverarbeitungs GmbH: Warnliste der österreichischen Kreditinstitute zum Zweck des Gläubigerschutzes - Lubrizol Corporation (USA): Global Human Resources Information System - Reed Messe Salzburg GmbH: Ausstellerdatenbank PRISM, Besucherdatenbank - Siemens AG (CP RS ) (Deutschland ): International Development Database ('IDD'), Mr. Ted (Bearbeitung von Bewerbungen)‏ - Verband der Versicherungsunternehmen Österreichs: Kraftfahrzeug-Zulassungsevidenz - American Express (Betreiber BrassRing LLC (USA))‏: Global Track Bewerberdatenbank VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

78 Betroffenenrechte / Informationspflichten
Recht auf Geheimhaltung (§ 1ff) Informationspflicht (§ 24) Recht auf Auskunft (§ 26) Recht auf Berichtigung & Löschung (§ 27) Recht auf Widerspruch (§ 28) - Recht auf Widerruf (§§ 8, 9) VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

79 Offenlegungspflicht (§ 25)
DSG Informationspflicht Offenlegungspflicht (§ 25) Offenlegung anlässlich Übermittlung und Mitteilung an Betroffene Identität des Auftraggebers bei registrierungspflichtigen DAs die DVR-Nummer des Auftraggebers § 25 DSG 2000 Pflicht zur Offenlegung der Identität des Auftraggebers (1) Bei Übermittlungen und bei Mitteilungen an Betroffene hat der Auftraggeber seine Identität in geeigneter Weise offenzulegen, sodaß den Betroffenen die Verfolgung ihrer Rechte möglich ist. Bei meldepflichtigen Datenanwendungen ist in Mitteilungen an Betroffene die Registernummer des Auftraggebers anzuführen. (2) Werden Daten aus einer Datenanwendung für Zwecke einer vom Auftraggeber verschiedenen Person verwendet, ohne daß diese ihrerseits ein Verfügungsrecht über die verwendeten Daten und damit die Eigenschaft eines Auftraggebers in Bezug auf die Daten erlangt, dann ist bei Mitteilungen an den Betroffenen neben der Identität der Person, für deren Zwecke die Daten verwendet werden, auch die Identität des Auftraggebers anzugeben, aus dessen Datenanwendung die Daten stammen. Handelt es sich hiebei um eine meldepflichtige Datenanwendung, ist die Registernummer des Auftraggebers beizufügen. Diese Pflicht trifft sowohl den Auftraggeber als auch denjenigen, in dessen Namen die Mitteilung an den Betroffenen erfolgt. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

80 Informationspflicht (§ 24 / Art. 10, 11, 14 EU-RL)
DSG Informationspflicht Informationspflicht (§ 24 / Art. 10, 11, 14 EU-RL) Informationspflicht anlässlich Ermittlung Zweck Auftraggeber Spätestens zum Zeitpunkt der Übermittlung Entfällt, - bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind oder - bei mangelnder Erreichbarkeit der Betroffenen oder - bei Unwahrscheinlichkeit der Beeinträchtigung der Betroffenenrechte und Höhe der Kosten der Information Bei Kundenbeziehungen leicht zu erfüllen, ein Problem jedoch dort, wo Daten ohne Kundenbeziehungen verwendet werden (z.B. Adressenverlagen / Informationsdiensten) Betroffene sind aus Anlass der Ermittlung zu informieren über Zweck der DA Namen/Adresse des Auftraggebers Notwendige weitere Informationen sind in geeigneter Weise zu geben: Widerspruchsrechte gegen Übermittlungen rechtliche Verpflichtung zur Beantwortung von Fragen Verarbeitung in einem Informationsverbundsystem, ohne gesetzlichen Auftrag Werden Daten nicht direkt beim Betroffenen ermittelt, entfällt die Informationspflicht: bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind oder bei mangelnder Erreichbarkeit der Betroffenen oder bei Unwahrscheinlichkeit der Beeinträchtigung der Betroffenenrechte und Höhe der Kosten der Information Keine Informationspflicht besteht bei jenen Datenanwendungen, die gemäß § 17 Abs. 2 und 3 nicht meldepflichtig sind [persönliche DA, publizisitsche DA, indirekt pesonenbezogene Daten, DA zum Schutz der Verfassung/Einsatzbereitschaft/Landesverteidigung/Strafverfolgung] VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

81 Informationspflicht (seit 1.1.2010)
DSG Informationspflicht Informationspflicht (seit ) (DSG 2000 § 24 Abs. 2a) Betroffene sind von Datenschutzverletzungen zu informieren - wenn schwerwiegend und systematisch - wenn Betroffenen Schaden droht - Ausnahme: keine Informationspflicht wenn Schaden nur "geringfügig" und Verständigungsaufwand "unverhältnismäßig hoch" Es handelt sich um eine Informationspflicht "light", die gegenüber dem ursprünglichen Entwurf erheblich reduziert wurde. Geänderte Bestimmungen (DSG-Novelle 2010) § 24 Abs. 2a (neu): “(2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Diese Verpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert.” [Ursprüngliche Version des Beamtenentwurfs (2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden, hat er darüber unverzüglich die Betroffenen zu informieren.] VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

82 Betroffenenrecht - Auskunft (§ 26)
DSG Betroffenenrechte Betroffenenrecht - Auskunft (§ 26) Auskunft ist auf Verlangen bei Nachweis der Identität zu geben (Abs. 1) [Berufung auf DSG nicht erforderlich!] Auskunftsfrist sind 8 Wochen (Abs. 4) Betroffener hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3) ungerechtfertigter Aufwand ist zu vermeiden Auskunftsrecht unabhängig von Registrierungserfordernis [!!] von einem Vertragsverhältnis von tatsächlichem Vorhandensein von Daten von Datenmissbrauch von Datenweitergabe Auskunftsbegehren kann mit Zustimmung des Auftraggebers mündlich gestellt werden (Abs. 1)‏ Auskunft kann mit Zustimmung des Betroffenen mündlich erteilt werden (Abs. 1)‏ Hinweis! Auskunftspflicht trifft auch auf nicht registrierte Verarbeitungen zu! umfasst also auch Standardanwendungen, persönliche Datenanwendungen oder DAs für publizistische Tätigkeit Typische geeignete Identitätsnachweise: bei Kundenbeziehungen: Stammdatenvergleich, Unterschriftenvergleich ohne Kundenbeziehung: Antwort eingeschrieben bzw. eingeschrieben/eigenhändig zusenden Ausweisdokument vorlegen (Kopie)‏ VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

83 Betroffenenrecht - Auskunft (§ 26) II
DSG Betroffenenrechte Betroffenenrecht - Auskunft (§ 26) II Auftraggeber hat Auskunft zu erteilen über Zweck der Datenanwendung die verwendeten Daten in allgemein verständlicher Form verfügbare Information über ihre Herkunft allfällige Empfänger oder Empfängerkreise von Übermittlungen Name und Adresse des Dienstleisters (muss vom Betroffenen extra verlangt werden) 4 Monate Löschungsverbot nach Einlangen des Auskunftsbegehrens Auskunftsbegehren und Auskunft haben schriftlich zu erfolgen, Abweichung im Einverständnis der Gegenseite möglich Kostenlose Auskunft ist jedenfalls zu erteilen (Abs. 6), wenn: Auskunft betrifft aktuellen Datenbestand und es erfolgte im laufenden Jahr noch keine Auskunft zum selben Aufgabengebiet des Auftraggebers In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden (Abs. 6)‏ bei höheren tatsächlichen Kosten kann davon abgewichen werden Führt die Auskunft zu einer Löschung oder Richtigstellung, sind die Kosten auf jeden Fall zu ersetzen. Ergänzungen begründen noch keine Kostenforderung Löschungsverbot von 4 Monaten nach Einlangen der Auskunft (Abs. 7)‏ Bei Beschwerde vor der DSK Löschungsverbot bis zum Abschluss des rechtskräftigen Verfahrens VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

84 Betroffenenrecht - Auskunft (§ 26) III
DSG Betroffenenrechte Betroffenenrecht - Auskunft (§ 26) III begründete Auskunftsverweigerung / Auskunftsbegrenzungen ist möglich, u.a. Schikaneverbot: Betroffener wurden Daten schon mitgeteilt (etwa Kontoauszüge, OGH 6Ob25/ ), nicht zu verwechseln mit Betroffener "kennt eigene" Daten überwiegende Interessen des Auftraggebers oder Dritter aus therapeutischen Gründen (Gesundheitszustand) formale Gründe: fehlender Identitätsnachweis, fehlender Kostenersatz Auskunft ist einmal im Jahr bei aktuellen Daten kostenfrei ansonsten Ersatz der tatsächlichen Kosten oder pauschalierter Ersatz (18,89 Euro) Gründe für Auskunftsverweigerung wenn Daten dem Betroffenen aus anderen Quellen bekannt sind (Kontoauszug, Online abrufbar, ...) überwiegende berechtigte Interessen des Auftraggebers überwiegende berechtigte Interessen eines Dritten überwiegende öffentliche Interessen wenn Betroffener nicht mitwirkt , insbesondere Kosten nicht bezahlt werden oder kein geeigneter Identitäsnachweis möglich ist wenn ein erforderlicher Kostenersatz nicht geleistet wird zum Schutz des Betroffenen ("Therapeutisches Privileg")‏ Auskunftsrecht steht in Verfassungsrang und kann daher nicht ohne weiters gesetzlich eingeschränkt werden. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

85 Betroffenenrecht - Löschung/Richtigstellung (§ 27)
DSG Betroffenenrechte Betroffenenrecht - Löschung/Richtigstellung (§ 27) Richtigstellungspflicht des Auftraggebers Frist von 8 Wochen bei Richtigstellungsantrag eines Betroffenen betrifft auch unvollständige Daten, veraltete Daten, irreführende Daten nicht (mehr) benötigte oder unzulässig verarbeitete Daten sind zu löschen Beweislast der Richtigkeit von Daten, wenn Löschung verweigert wird, liegt beim Auftraggeber (Ausnahmen: Verarbeitung erfolgt ausschließlich gem. Betroffenenangaben oder gesetzliche anders angeordnet) Wachsende Bedeutung der Bestimmung, da immer öfter nur kurzfristig erforderliche Daten anfallen (Verkehrsdaten von ISP & Telekomunternehmen, Location-Based-Services, Smartphone-Daten) Wachsende Bedeutung der Bestimmung - Logistik (Postzustellung, Paketzustellung)‏ - Verkehrsüberwachung (Maut, Sektion-Controll)‏ Richtigstellungspflicht des Auftraggebers (Abs. 1)‏ Aus eigenem, sobald ihm die Unrichtigkeit der Daten bzw. Unzulässigkeit der Verarbeitung bekannt wurden (Z 1)‏ auf begründeten Antrag des Betroffenen (Z 2)‏ Frist zur Löschung/Richtigstellung: 8 Wochen (Abs. 4)‏ unvollständige Daten sind zu berichtigen, soweit es zum Zweck der Datenanwendung notwendig ist (Abs. 1)‏ nicht benötigte Daten entsprechen unzulässig verarbeiteten Daten und sind zu löschen (Abs. 1)‏ Ausnahme: die Archivierung der Daten ist rechtlich zulässig und der Zugang besonders geschützt Beweis der Richtigkeit liegt beim Auftraggeber (Abs. 2) Ausnahmen: gesetzlich anders angeordnet (!) Daten stammen ausschließlich vom Betroffenen VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

86 Betroffenenrecht - Widerruf / Widerspruch
DSG Betroffenenrechte Betroffenenrecht - Widerruf / Widerspruch freiwillige Zustimmung zur Verwendung von Daten kann jederzeit, ohne Angabe von Gründen widerrufen werden (§§ 8, 9) Widerspruch (§ 28) nur bei nicht gesetzlich vorgeschriebenen Datenanwendungen möglich - Widerspruch bei öffentlich zugänglichen Dateien ohne Begründung (typischer Internet-Anwendungsfall, etwa bei Google-Street-View) - das Recht Daten zu verarbeiten (etwa Gewerbeberechtigung) ist keine gesetzliche Anordnung im Sinne des DSG - Widerspruchsrecht besteht auch bei gegebener Zustimmung! Daten sind bei gültigem Widerspruch zu löschen Bei Widerruf wurden keine Fristen festgelegt, hier ist von sofortiger Wirksamkeit auszugehen. Widerruf kann erhoben werden, wenn der Betroffene selbst einer Verwendung zugestimmt hat. (DSG 2000 § 8 Abs.1 Z 2): Bewirkt die Unzulässigkeit der weiteren Verwendung der Daten. Widerspruch: Löschung/Nichtverwendung innerhalb von 8 Wochen nicht bei indirekt personenbezogenen Daten Widerspruch kann eingelegt werden, wenn eine Datenanwendung nicht gesetzlich vorgesehen ist und die Geheimhaltungsinteressen in einer besonderen Situation überwiegen (DSG 2000 § 28 Abs. 1). Das Widerspruchsrecht bezieht sich nicht auf indirekt personenbezogene Daten (§ 29)‏ Ziel der DS-RL war es, dann Widerspruch zu ermöglichen, wenn eine Datenanwendung nicht gesetzlich vorgesehen ist und nicht im Interesse des Betroffenen ist. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

87 Entscheidungen Widerspruch
DSG Betroffenenrechte Entscheidungen Widerspruch - bei gesetzlich angeordneten Datenverarbeitungen ist Widerspruch nicht anwendbar OGH 6Ob195/08g - Löschung nach §28 (2) DSG 2000 voraussetzungslos und unbegründet bei öffentlichen Dateien möglich - Wirtschaftsauskunftsdienste betreiben öffentliche Dateien siehe auch DSK K /0011-DSK/ - Widerspruch anwendbar im Zusammenhang mit Wirtschaftsauskunftdiensten - Widerspruch bedeutet auch das Verbot der Bekanntgabe, dass der Datenverwendung widersprochen wurde Rechtssatz zu OGH 6Ob195/08g: Rechtssatz: "Das Widerspruchsrecht des § 28 Abs 2 DSG ist nicht darauf eingeschränkt, dass sich der Widersprechende gegen seine Aufnahme als Person in die Datei wenden muss. Es stehe ihm auch frei, den Widerspruch nur gegen die Aufnahme bestimmter Datensätze zu erheben und als bloßes Minus die Löschung bloß eines Teils der Eintragung zu begehren." Beisatz: Schutzwürdige Interessen des Beklagten werden dadurch nicht beeinträchtigt, trifft diesen doch keine Pflicht, die um den vom Löschungsbegehren betroffenen Datensatz reduzierte Eintragung in seiner Datei zu belassen. Rechtssatz: § 28 Abs 1 DSG 2000 stellt auf den Sonderfall ab, dass die Datenanwendung zwar zulässig ist, eine aus der spezifischen Situation des Betroffenen heraus vorgenommene Interessenabwägung aber zu Gunsten des Betroffenen ausfällt. Der Rechtsweg des Betroffenen bei Nichtbeachtung des Widerspruchs führt im Fall eines Auftraggebers des öffentlichen Bereichs über die Datenschutzkommission zu den Gerichtshöfen des öffentlichen Rechts; im privaten Bereich sind für die Durchsetzung des Widerspruchsrechts die ordentlichen Gerichte berufen. Ein Widerspruch steht nur bei Verletzung überwiegender schutzwürdiger Geheimhaltungsinteressen zu, die sich aus einer besonderen Situation ergeben müssen. Nach § 28 Abs 2 DSG kann der Betroffene gegen eine nicht gesetzlich angeordnete Aufnahme in eine öffentlich zugängliche Datei jederzeit auch ohne Begründung seines Begehrens Widerspruch erheben. Rechtssatz: Ziel des Datenschutzrechts ist es, den Rechtsschutz der natürlichen oder juristischen Person oder Personengemeinschaft zu gewährleisten, deren Daten verwendet werden. Das Datenschutzgesetz ist allein auf den Schutz des Betroffenen ausgerichtet. Beisatz: Der Gesetzgeber stellt das Löschungsrecht ausschließlich in das Belieben des Betroffenen. Auf eine Dartuung eines besonderen Geheimhaltungsinteresses oder objektiv schutzwürdiger Interessen kommt es nicht an. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

88 Weitere DSG-Bestimmungen
Sicherheitsverpflichtung Schadenersatz Strafbestimmungen DSG 2000 - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

89 Sicherheitsbestimmungen (§ 14)
DSG Sicherheitsbestimmungen Sicherheitsbestimmungen (§ 14) Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden: Stand der Technik entsprechend wirtschaftlich vertretbar angemessenes Schutzniveau muss erreicht werden In Österreich gibt es seit 2003 ein "offizielles" IT-Sicherheitshandbuch, das 2007 in Version 2.3 vom Ministerrat empfohlen wurde seit 11/2010 gilt Version 3.1 als Informations-Sicherheitshandbuch Es gibt im DSG 2000 jedoch keine rechtlich verbindlichen (zwingenden) Sicherheitsvorschriften! MASSNAHMEN zur SICHERHEIT DSG 2000: „§ 14. (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind.“ Sicherheitsvorschriften müssen für die Mitarbeiter jederzeit einschaubar sein (Abs. 6) Umsetzung sollte nach anerkannten Verfahren oder Leitlinien erfolgen Technische Maßnahmen ohne security policy sind ineffektiv! Wesentlicher Bestandteil jeder "security policy" sind die tatsächlich erteilten Verarbeitungs- und Verwendungsanweisungen Beispiele: BSI-Grundschutz, Sicherheitshandbücher, ... Informationen zum österreichischen IT-Sicherheitshandbuch: Verwendung von Sicherheitskonzepten entlasten in der individuellen Haftung, können aber zu unerwünschter Delegation von Verantwortung führen WKO hat Sicherheitshandbuch mit eher volksbildnerischen Charakter herausgebracht: VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

90 VO SS2013 - Juridicum DSG 2000 - Sicherheitsbestimmungen
rechtlich-organisatorische Sicherheitsmaßnahmen - ausdrückliche Aufgabenverteilung - ausschließlich auftragsgemäße Datenverwendung - Belehrungspflicht der Mitarbeiter - Regelung der Zugriffs- und Zutrittsberechtigungen - Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten - Dokumentationspflicht zur Kontrolle und Beweissicherung - Protokollierungspflicht Beachtung technischer Maßnahmen laufende Beobachtung diverser Mailinglisten (CERT), Publikationen der Art. 29 Datenschutzgruppe der EU, Anlehnung an bestehende Konzepte und Empfehlungen BSI-Handbuch, IT-Sicherheitshandbücher, Datenschutzgütesiegel Befassung externer Berater (Wirtschaftstreuhänder, Sicherheitsberater, ...), Outsourcing einzelner IT-Sicherheitsaspekte an ISP, Dienstleister SPAM- und Viren/Wurm-Kontrolle, Firewall, ... Arbeitspapiere der Art. 29 Gruppe Auswahl: - Arbeitspapier über genetische Daten - unerbetenen Werbenachrichten - Verarbeitung personenbezogener Daten aus der Videoüberwachung - vertrauenswürdige Rechnerplattformen VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

91 Protokollierungsanforderungen I (§ 14)
DSG Sicherheitsbestimmungen Protokollierungsanforderungen I (§ 14) Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z 7) betrifft auch Abfragen müssen "im Hinblick auf die Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können" Protokollierungspflicht nicht registrierter Übermittlungen (Abs. 3) betrifft nur auskunftspflichtige Datenanwendungen Übermittlungen gemäß Standard- oder Musterverordnung sind nicht zu protokollieren § 14 DSG 2000 Datensicherheitsmaßnahmen (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich sind. (2) Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz erforderlich ist, 1. die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festzulegen, 2. die Verwendung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden, 3. jeder Mitarbeiter über seine nach diesem Bundesgesetz und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten zu belehren, 4. die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder Dienstleisters zu regeln, 5. die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte zu regeln, 6. die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festzulegen und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abzusichern, 7. Protokoll zu führen, damit tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können, VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

92 Protokollierungsanforderungen II (§ 14)
DSG Sicherheitsbestimmungen Protokollierungsanforderungen II (§ 14) - Protokolldaten dürfen nur eingeschränkt verwendet werden (zur Kontrolle der Zulässigkeit der Verwendung) - unzulässig wäre die Kontrolle der Betroffenen oder der Mitarbeiter - zulässig ist die Verwendung zur Aufklärung von Straftaten, die mit mehr als fünfjähriger Freiheitsstrafe bedroht sind - Aufbewahrungsdauer ist drei Jahre, sofern gesetzliche Bestimmungen nichts anderes vorsehen - Frühere Löschung zulässig, wenn betroffene Datenanwendung ebenfalls gelöscht ist § 14 DSG 2000 (Fortsetzung) 8. eine Dokumentation über die nach Z 1 bis 7 getroffenen Maßnahmen zu führen, um die Kontrolle und Beweissicherung zu erleichtern. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei der Durchführung erwachsenden Kosten ein Schutzniveau gewährleisten, das den von der Verwendung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist. (3) Nicht registrierte Übermittlungen aus Datenanwendungen, die einer Verpflichtung zur Auskunftserteilung gemäß § 26 unterliegen, sind so zu protokollieren, daß dem Betroffenen Auskunft gemäß § 26 gegeben werden kann. In der Standardverordnung (§ 17 Abs. 2 Z 6) oder in der Musterverordnung (§ 19 Abs. 2) vorgesehene Übermittlungen bedürfen keiner Protokollierung. (4) Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden, die mit ihrem Ermittlungszweck – das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes – unvereinbar sind. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck der Kontrolle jener Personen, die auf den protokollierten Datenbestand zugegriffen haben, aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, handelt. (5) Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist, sind Protokoll- und Dokumentationsdaten drei Jahre lang aufzubewahren. Davon darf in jenem Ausmaß abgewichen werden, als der von der Protokollierung oder Dokumentation betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird. (6) Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung zu halten, daß sich die Mitarbeiter über die für sie geltenden Regelungen jederzeit informieren können. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

93 VO SS2013 - Juridicum Sicherheitsmaßnahmen - Haftung
Haftung bei bei Datenmissbrauch OGH Entscheidung (9 Ob 126/12s ) Ausgangslage Ein Redakteur der Tageszeitung A versuchte durch "erraten" von Benutzerkennung/Passwort in das interne Redaktionssystem von TZ B zu gelangen. Der Versuch misslang, auf Grund der IP-Adresse konnte der Standort des Täters ermittelt werden. Die Aktion führte zur fristlosen Entlassung des Mitarbeiters. TZ B verlangt Unterlassungsklage TZ B verlangt jedoch von TZ A eine Unterlassungserklärung. Diese wird verweigert, da Redakteur nicht im Auftrag gehandelt habe, sich die TZ A von diesen Aktivitäten distanziere und daher der Redakteur nicht als Besorgungsgehilfe anzusehen ist. OGH verschärft Haftung der Betriebe bei Datenmissbrauch 6 Ob 126/12s siehe OGH: Abhilfemöglichkeit des Arbeitgebers reicht für Verantwortung aus Handle der unmittelbare Störer im Interesse oder im Verantwortungsbereich eines Dritten, so wäre dem Gestörten mit einem Anspruch bloß gegen den jederzeit austauschbaren unmittelbaren Störer wenig geholfen. Diese Überlegungen ließen sich auf den vorliegenden Fall übertragen. Die Beklagte habe den Computer mit der entsprechenden IP-Adresse zur Verfügung gestellt. Damit habe die Beklagte aber schon aufgrund dieses Umstands Einfluss auf Art und Weise der Benutzung dieses Anschlusses. Im Übrigen habe die Beklagte nach ihrem eigenen Vorbringen offenbar sogar direkte Durchgriffsrechte, hätte doch der Geschäftsführer der Beklagten den betreffenden Redakteur direkt suspendieren können. Resumee - Haftung der Unternehmen auch ohne Schaden Was auf den ersten Blick eher als skurriles Detail im Streit zwischen zwei Boulevardzeitungen anmutet, ist im Endeffekt ein wegweisendes Urteil. Die Haftung von Arbeitgebern für „Eigenaktionen“ einzelner Mitarbeiter wird damit wesentlich ausgeweitet. Fehlende interne Sicherheits- und Kontrollmaßnahmen können bei Betrieben rasch zu hohen zivil- und strafrechtlichen Verpflichtungen führen. Schon der Umstand, dass der Arbeitgeber sich seine Mitarbeiter aussuchen kann, ihnen die Arbeitsressourcen übergibt, ein Weisungs- und Kontrollrecht hat und die Mitarbeiter letztlich in seinem Interesse tätig werden, führt zu dessen Verantwortlichkeit für rechtswidrige Eingriffe. Dies ist auch zu begrüßen - ein Unterlassungsanspruch nur gegen den unmittelbaren Täter wäre hier so gut wie wirkungslos. Abhilfe schafft in solchen Fällen nur ein wirksames internes Sicherheitssystem, dass derartige Fälle verhindert. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum

94 VO SS2013 - Juridicum Sicherheitsmaßnahmen - Haftung
Haftung bei bei Datenmissbrauch II OGH Entscheidung (9 Ob 126/12s ) Entscheidung HG gibt Klage statt, Vorinstanz (OLG) weist Klage ab, OGH gibt Klage statt, Eingriff ist nach Besitzstörung und nicht nach Schadenersatz zu beurteilen. Eingriff in IT-System ist Besitzstörung Eingriff war im Interesse der TZ A Arbeitgeber hat Weisungs- und Kontrollrechte, kann sich Mitarbeiter aussuchen und Tätigkeitsbereich festlegen Zur Verfügung stellen von Computer und Internetanschluss reicht schon für Verantwortung der TZ A - Unternehmen hat Besitzstörung - auch ohne ausdrückliche Anordnung - zu verantworten VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum

95 VO SS2013 - Juridicum Sicherheitsmaßnahmen - Haftung
Haftung bei fehlendem Zugriffsschutz II OGH Entscheidung 6 Ob 25/13i Sachverhalt: Ein Arzt ließ seinen PC bei Verlassen seines Dienstzimmers ungesichert eingeschalten und ermöglichte das Abrufen der Krankenakte durch andere im Zimmer aufhältige Personen. Entscheidung: Der unauthorisierte Zugriff auf die Patientenakte wird als Störhandlung qualifiziert, die nicht nur der unmittelbare Störer, sondern auch der Arzt, der diese Handlung ermöglichte zu verantworten hat. OGH verweist ausdrücklich auf 9 Ob 126/12s (Redaktionsentscheidung) RS zu OGH Ob 25/13i : Passivlegitimation des Beklagten, der einer anderen Person das Einsehen von Daten ermöglichte, indem er in deren Anwesenheit den Zugang zu einem EDV-System durch Eingabe des Passworts am PC öffnete und sodann das Zimmer verließ, bejaht. aus der OGH-Entscheidung: ... Im vorliegenden Fall ging die Handlung der Ehegattin des Klägers insofern auf den Beklagten zurück, als dieser seinen PC einschaltete, den Password-gesicherten Zugang zu den Krankenakten öffnete und dann das Zimmer verließ, in welchem sich noch die Ehegattin des Klägers aufhielt, die der Beklagte dort allein ließ. Der Beklagte hätte somit die Handlung der Ehegattin des Klägers verhindern können, weshalb an seiner Passivlegitimation kein Zweifel besteht. ... VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum

96 DSG 2000 - Kontroll- & Strafbestimmungen
Welche Rechtsmittel / Sanktionen sind bei Verletzungen des DSG möglich? - Unterlassungsanspruch - bei öffentlich-rechtlich tätigen Auftraggebern (Behörden, ...): vor der Datenschutzkommission (Entscheidungen jedoch nicht direkt durchsetzbar) - bei privat-rechtlich tätigen Auftraggebern (Unternehmen, ...): Auskunftsfragen des Betroffenen (vor DSK, exekutierbar) alle anderen Fragen: vor den Zivilgerichten (LG) - Schadenersatz - Ersatz materieller und "immaterieller" Schäden, Zivilgerichte (LG) - strafrechtliche Verfolgung - Verwaltungsübertretung - BG gegen den unlauteren Wettbewerb (UWG) - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

97 Schadenersatz (§ 33) VO SS2013 - Juridicum
DSG Kontroll- & Strafbestimmungen Schadenersatz (§ 33) schuldhaftes Verhalten notwendig Verletzung von Bestimmungen des DSG 2000, tatsächlich erlittener materieller Schaden ist zu ersetzen bei Verletzungen der Geheimhaltung, die geeignet sind den Betroffenen bloßzustellen, gebührt Entschädigung. Entschädigungsanspruch ist nicht beziffert, es wird aber auf das Mediengesetz Bezug genommen [MedienG § 7: bis Euro] Bei Veröffentlichungen in einem Medium gilt wie bisher das Mediengesetz Entschädigungsanspruch ist gegenüber dem Auftraggeber geltend zu machen (es muss eine Datenanwendung vorliegen!) Webseiten, Newsletter  Medienrecht Schuldhaftes Handeln = Vorsatz oder fahrlässiges Handeln DSG 2000: „§ 33. (1) Ein Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen den Bestimmungen dieses Bundesgesetzes verwendet, hat dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Werden durch die öffentlich zugängliche Verwendung der in § 18 Abs. 2 Z 1 bis 3 genannten Datenarten schutzwürdige Geheimhaltungsinteressen eines Betroffenen in einer Weise verletzt, die einer Eignung zur Bloßstellung gemäß § 7 Abs. 1 des Mediengesetzes, BGBl. Nr. 314/1981, gleichkommt, so gilt diese Bestimmung auch in Fällen, in welchen die öffentlich zugängliche Verwendung nicht in Form der Veröffentlichung in einem Medium geschieht. Der Anspruch auf angemessene Entschädigung für die erlittene Kränkung ist gegen den Auftraggeber der Datenverwendung geltend zu machen.“ Mögliche Beispiele bloßstellender Datenschutzverletzungen: rechtswidriger Eintrag in Negativliste (OGH 6 Ob 275/05t )‏ Aushang der Hausverwaltung von Zahlungsrückständen im Hausflur öffentliche Bekanntgabe des Kirchenaustritts durch Pfarrer Übermittlung persönlicher Daten an Arbeitgeber (z.B. Bezug von Pornos, Ergebnisse von Beschwerde- und Verwaltungsverfahren) , sonstige Informationsdienste, Infrastruktur  DSG 2000 wenn jedoch ISP (Internet Service Provider)  TKG DSG 2000 VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

98 OGH 6 Ob 275/05t 5.12.2005 ("Verdienstentgang")
DSG - Schadenersatz OGH 6 Ob 275/05t ("Verdienstentgang") Ausgangslage - Anwalt gelangte wegen Verzug der Rückzahlung eines Bürgschaftskredits auf UKV-Liste der Banken - Geschäft mit einer Kammer kam auf Grund dieses Eintrags nicht zustande (Umfang ,- EUR) - Anwalt forderte von Bank Schadenersatz in Höhe von EUR OGH-Entscheidung - Eintrag ohne vorherige Verständigung unzulässig - OGH beruft sich ausdrücklich auf DSK-Bescheid - Schadenersatz besteht daher zu Recht (zugesprochen EUR) - Erstgericht wird Aufteilung zwischen materiellen/immateriellen Schaden entscheiden müssen OGH 6 Ob 275/05t Verständigungspflicht der Bank vor Eintragung in die Warnliste: Die sogenannte "Warnliste der österreichischen Kreditinstitute zum Zweck des Gläubigerschutzes und der Risikominimierung durch Hinweis auf vertragswidriges Kundenverhalten" (in dieser Entscheidung Warnliste) dient - worauf schon ihre Bezeichnung hinweist - dem Gläubigerschutz. Ihr Zweck liegt in der Auskunftserteilung über die Kreditwürdigkeit eines Bankkunden oder seines Bürgen. Als Informationsverbundsystem im Sinn der §§ 4 Z 13 und 50 DSG wie auch aufgrund ihres Zwecks (§ 18 Abs 2 Z 3 DSG) unterliegt sie der Vorabkontrolle durch die Datenschutzkommission (§ 18 Abs 2 DSG). Im Rahmen dieser Vorabkontrolle erteilte die Datenschutzkommission Auflagen nach §21 Abs 2 DSG (konsolidierte Fassung der Bescheide K /016-DSK/2001 und K /021-DSK/2001). Danach muss vor der Eintragung eines Schuldners oder dessen Bürgen in die Warnliste der Auftraggeber (die Bank) den betreffenden Kunden und seinen Bürgen im Fälligstellungsschreiben oder im Kontoaufkündigungsschreiben ausdrücklich darauf hinweisen, dass er die Warnliste eingetragen wird, sollte innerhalb der gesetzlichen Zahlungsfrist keine vollständige Zahlung erfolgen oder keine andere Vereinbarung getroffen werden Dass die Veranlassung der Aufnahmen in die Warnliste ohne vorhergehende Information dem im § 6 Abs 1 Z 1 DSG verankerten Grundsatz von Treu und Glauben widerspricht, wurde bereits ausgeführt. Der Beklagte zeigt in seiner Rekursbeantwortung zutreffend auf, dass die gesetzwidrige Aufnahme in die Warnliste im vorliegenden Fall geeignet ist, ihn in der Öffentlichkeit bloßzustellen. Jemanden bloßzustellen bedeutet, Tatsachen aus seinem höchstpersönlichen Lebensbereich (wozu auch die Daten nach § 18 Abs 2 Z 1 bis 3 DSG gehören, siehe Dohr/Pollirer/Weiss, Datenschutzrecht § 33 Seite 227) zu enthüllen, die ihn aus der Sicht Dritter herabsetzen und sein Ansehen untergraben. Dies ist bei einer gegen das Datenschutzgesetz verstoßenden Aufnahme eines Rechtsanwalts in die Warnliste der Banken der Fall. Die dadurch verbreitete Annahme, der Betroffene sei als Rechtsanwalt kreditunwürdig, untergräbt sein Ansehen bei Klienten und unter Kollegen und ist geeignet, seinen Ruf nachhaltig zu schädigen und sogar seine wirtschaftliche Existenz zu gefährden. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

99 OGH 6 Ob 247/08d 17.12.2009 ("Bonitätsinformationen")
DSG Schadenersatz OGH 6 Ob 247/08d ("Bonitätsinformationen") Ausgangslage - Betroffener wurde bei angeblich unzulässiger Mülldeponierung gefilmt - privater Wachdienst forderte 100 Euro "Entschädigung", Forderung wurde Inkassodienst übergeben - nach Weigerung der Zahlung wurde Zahlungsanstand an Wirtschaftsauskunftsdienst gemeldet - Betroffener erfuhr davon im Rahmen eines Telekom-Geschäfts Entscheidung (rechtskräftig) - Eintrag ohne vorherige Verständigung ist rechtswidrig - Eintragung geeignet die Kreditwürdigkeit zu beschädigen - auch wenn kein unmittelbarer Schaden nachweisbar, besteht Anspruch gem. § 33 DSG - Betrag von 750,- Euro in Hinblick auf geringe Zahl der Datenübermittlungen angemessen ZRS Wien 53Cg106/07h (von OGH bestätigt) "Gemäß § 33 Abs. 1 DSG hat der Auftraggeber, der Daten schuldhaft entgegen den Bestimmungen des DSG verwendet, dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Werden durch die öffentlich zugängliche Verwendung der in §18 abs. 2 Z1 bis 3 genannten Datenarten schutzwürdige Geheimhaltungsinteressen eines betroffenen in einer Weise evrletzt, die einer Eignung zur Bloßstellung gemäß §7 Abs. 1 Mediengesetz gleichkommt, so gilt diese Bestimmung auch in Fällen, in welchen die öffentlich zugängliche Verwendung nicht in Form der Veröffentlichung in einem Medium geschieht. ... Im §6 Abs. 1 Z 1 DSG ist der Grundsatz verankert, dass Daten nur nach Treu und Glauben verwendet werdendürfen. Dieser Grundsatz erfordert eine entsprechende Benachrichtigung des Betroffenen, um ihm die Möglichkeit zu geben, sich gegen eine seiner Meinung nach nicht gerechtfertigte Datenverwendung zur Wehr zu setzen. Eine derartige Verständigung ist im vorliegenden Fall nicht erfolgt. Die Aufnahme der hier in Rede stehenden Eintragung in die Datenbank der Beklagten ist somit rechtswidrig erfolgt (6 Ob 275/05t). ... Die hier in Rede stehenden Daten wurden nur in geringem Umfang verwendet. ... Eine solche Eintragung ist geeignet, das berufliche Fortkommen zu gefährden oder zu beeinträchtigen, weil potenzielle Geschäftspartner mit Sicherheit Personen, deren Kreditwüdigkeit in Frage steht, meiden. Unter Berücksichtigung dieser Umstände erscheint die vom Kläger begehrte Schadenersatzleistung [750,- Euro, Anm.] für die mit der gesetzwidrigen Eintragung in die Zahlungsverhaltensdatenbank verbundene Bloßstellung als angemessen." VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

100 LG Innsbruck 12 Cg 72/10h 4.1.2011 ("Mehrkosten")
DSG Schadenersatz LG Innsbruck 12 Cg 72/10h ("Mehrkosten") Ausgangslage - Diverse Firmen (Mobilunternehmen, Möbelhaus, Versandhändler) lehnen Geschäftsbeziehung wegen Exekutionsdaten ab LG-Entscheidung - Verwendete Daten stammen aus Exekutionsdatenbank der Justiz - abgelehnte Geschäfte führen zu einem Schaden (Mehrkosten: 56,- bei Möbelhaus, 2.274,35 höhere Mobilfunkgebühren, ...) ,- Euro immaterieller Schadenersatz wegen Kreditschädigung - mehrfacher Rechtsbruch: Informationspflicht nicht erfüllt, Widerspruch nicht nachgekommen, keine Löschung der Daten, seit 2006 keine Exekutionsverfahren anhängig, alle Exekutionsverfahren eingestellt - Kläger wurde Unterlassungsanspruch und Schadenersatz zugesprochen (Euro 3.330,35) LG Innsbruck 12 Cg 72/10h Die beklagte Partei ist schuldig, dem Kläger binnen 14 Tagen zu Handen der Klagsvertreterin einen Betrag von EUR 3.330,35 samt 4 % Zinsen aus EUR 3.331,40 vom bis sowie 4 % Zinsen aus EUR 3.330,35 ab dem zu bezahlen und die mit EUR 1.448,80 (darin enthalten EUR 316,-- Barauslagen und EUR 188,80 USt) bestimmten Verfahrenskosten zu ersetzen. ... Durch die rechtswidrige und schuldhafte Verwendung der Bonitätsdaten des Klägers sei diesem ein Schaden durch erhöhte Mobilfunkgebühren bis Mai 2009 in Höhe von EUR 2.274,35 entstanden, weiters ein Schaden durch Mehrkosten, weil er einen Kinderwagen nicht online bei der Firma Eduscho sondern in der Folge bei der Firma Kika im August 2008 kaufen habe müssen in Höhe von EUR 56,-- und weiters habe der Kläger Strafporto in Höhe von EUR 1,05 bezahlen müssen, da der Beklagte einen an den Kläger adressierten Brief wegen Auskunft nach dem Datenschutzgesetz nicht frankiert habe, obwohl er hiezu nach dem Datenschutzgesetz verpflichtet gewesen wäre. Weiters begehrte der Kläger eine angemessene Entschädigung in Höhe von EUR 1.000,-- für die erlittene Kränkung, weil durch die öffentliche zugängliche rechtswidrige Verwendung der über den Kläger gespeicherten Datensätze und Übermittlung derselben an verschiedene Personen schutzwürdige Geheimhaltungsinteressen des Klägers vom Beklagten verletzt worden seien und der Kläger gegenüber mehreren Firmen bloßgestellt worden sei. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

101 Gewinn- oder Schädigungsabsicht (DSG 2000 § 51)
DSG Strafbestimmungen Gewinn- oder Schädigungsabsicht (DSG 2000 § 51) - Klarstellung der Deliktvoraussetzungen: Vorsatz der Bereicherung von sich oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer Delikt begeht, wer ... - widerrechtlich ihm zugängliche Daten benutzt oder - Daten widerrechtlich beschafft oder - anderen widerrechtlich zugänglich macht oder - widerrechtlich öffentlich macht Strafausmaß: bis ein Jahr Delikt ist Offizialdelikt [bis : Privatanklagedelikt] Strafbestimmung gilt subsidiär betrifft berufsmäßig mit Daten Beschäftigte und andere Geänderte Bestimmungen (DSG-Novelle 2010) § 51 Abs. 1 entfällt die Absatzbezeichnung “(1)”. Die Wortfolge “in der Absicht, sich einen Vermögensvorteil zu verschaffen oder einem anderen einen Nachteil zuzufügen” wird durch die Wortfolge “mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen” ersetzt. Neue Bestimmung: § 51 Datenverwendung in Gewinn- oder Schädigungsabsicht Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr zu bestrafen. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

102 DSG-Strafbestimmung als totes Recht?
DSG Strafbestimmungen DSG-Strafbestimmung als totes Recht? Anzeigen Gerichtsverfahren Urteile BAZ 20 ST 11 BG 13 LG 0 BAZ+ST BAZ 5 ST Quelle: Auskünfte des BMJ auf parlamentarische Anfragen BAZ = Bezirksstaatsanwaltschaft, ST = Staatsanwaltschaft bei Landesgericht, BG = Bezirksgericht, LG = Landesgericht, Zahlen umfassen die jeweils anhängigen Verfahren eines Jahres, können auch aus Vorjahren stammen bzw. ins nachfolgende Jahr "mitgenommen" werden Verurteilungen nach dem DSG 2003 LG Linz Freiheitsstrafe über 1 bis 3 Monate 2004 LG Feldkirch teilbedingte Verurteilung 2009 LG für Strafsachen Wien Geldstrafe über 60 bis 120 Tagessätze BAZ - ST - BG - LG 1 Urteile BG 10 LG 1 VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

103 Hier ist Vorsatz Voraussetzung für die Tatverfolgung
DSG Kontroll- & Strafbestimmungen Strafbestimmungen bei öffentlich-rechtlichen Organen Missbrauch der Amtsgewalt (§ 302 StGB) Strafrahmen: bis 5 Jahre Verletzung des Amtsgeheimnisses (§ 310 StGB) Strafrahmen: bis 3 Jahre denkbar auch: Falsche Beurkundung und Beglaubigung im Amt (§ 311 StGB) Hier ist Vorsatz Voraussetzung für die Tatverfolgung Mißbrauch der Amtsgewalt § 302. (1) Ein Beamter, der mit dem Vorsatz, dadurch einen anderen an seinen Rechten zu schädigen, seine Befugnis, im Namen des Bundes, eines Landes, eines Gemeindeverbandes, einer Gemeinde oder einer anderen Person des öffentlichen Rechtes als deren Organ in Vollziehung der Gesetze Amtsgeschäfte vorzunehmen, wissentlich mißbraucht, ist mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen. (2) Wer die Tat bei der Führung eines Amtsgeschäfts mit einer fremden Macht oder einer über- oder zwischenstaatlichen Einrichtung begeht, ist mit Freiheitsstrafe von einem bis zu zehn Jahren zu bestrafen. Ebenso ist zu bestrafen, wer durch die Tat einen Euro übersteigenden Schaden herbeiführt. Verletzung des Amtsgeheimnisses § 310. (1) Ein Beamter oder ehemaliger Beamter, der ein ihm ausschließlich kraft seines Amtes anvertrautes oder zugänglich gewordenes Geheimnis offenbart oder verwertet, dessen Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, mit Freiheitsstrafe bis zu drei Jahren zu bestrafen. (2) Ebenso ist zu bestrafen, wer als Mitglied eines Ausschusses gemäß Art. 53 B-VG bzw. eines nach Art. 52a B-VG eingesetzten ständigen Unterausschusses oder als zur Anwesenheit bei deren Verhandlungen Berechtigter ein ihm in vertraulicher Sitzung zugänglich gewordenes Geheimnis offenbart oder verwertet, dessen Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen. (2a) Ebenso ist zu bestrafen, wer - sei es auch nach seinem Ausscheiden aus dem Amt oder Dienstverhältnis - als Organwalter oder Bediensteter des Europäischen Polizeiamtes (Europol), als Verbindungsbeamter oder als zur Geheimhaltung besonders Verpflichteter (Art. 32 Abs. 2 des Europol-Übereinkommens, BGBl. III Nr. 123/1998) eine Tatsache oder Angelegenheit offenbart oder verwertet, die ihm ausschließlich kraft seines Amtes oder seiner Tätigkeit zugänglich geworden ist und deren Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen. (3) Offenbart der Täter ein Amtsgeheimnis, das verfassungsgefährdende Tatsachen (§ 252 Abs. 3) betrifft, so ist er nur zu bestrafen, wenn er in der Absicht handelt, private Interessen zu verletzen oder der Republik Österreich einen Nachteil zuzufügen. Die irrtümliche Annahme verfassungsgefährdender Tatsachen befreit den Täter nicht von Strafe. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

104 Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln]
DSG Strafbestimmungen Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln] - widerrechtliches Verschaffen eines Zugangs zu einer DA - widerrechtliches Weiterbenutzen eines Zugangs zu einer DA - Übermittlung unter Verletzung des Datengeheimnisses - Weiterverwendung von Daten entgegen eines rechtskräftigen Urteils/Bescheids - widerrechtliches Löschen von Daten (§ 26 Abs. 7) Strafrahmen: bis ,- Euro zuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSK Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk) Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten! Zuständig für Anzeigen ist jene Bezirksverwaltungsbehörde in deren Sprengel der Datenverarbeiter seinen Aufenthalt oder Sitz hat Das sind die Bezirkshauptmannschaften bzw. in den Städten mit eigenem Statut das Magistrat Berufungsinstanz ist der Unabhängige Verwaltungssenat (UVS)‏ Verantwortlichkeit des Auftraggebers ist u.a im VstG § 9 geregelt Vor 2000 gab es rund 30 Verfahren/Jahr bei den Landeshauptleuten, die Regierungsvorlage rechnet in Zukunft mit 10fachem Anfall an Anzeigen/Verfahren. Bisher war als Berufungsinstanz die DSK zuständig, dies führte in der Vergangenheit zu Interessenskonflikten. Aktuelle Zahlen werden nicht publiziert. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

105 DSG 2000 - Strafbestimmungen
Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 1. nicht Erfüllen Meldepflicht gemäß den §§ 17 oder 50c oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt 2. Daten ins Ausland übermittelt oder überlässt, ohne Genehmigung gemäß § 13 Abs. 1 3. Verstoß gegen Zusagen an oder Auflagen der DSK (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) 4. Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d verletzt 5. § 14 Sicherheitsmaßnahmen gröblich außer Acht lässt Geänderte Bestimmungen (DSG-Novelle 2010) § 52 DSG 2000 Verwaltungsstrafbestimmung (1) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu Euro zu ahnden ist, wer 1. sich vorsätzlich widerrechtlichen Zugang zu einer Datenanwendung verschafft oder einen erkennbar widerrechtlichen Zugang vorsätzlich aufrechterhält oder 2. Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 15) übermittelt, insbesondere Daten, die ihm gemäß §§ 46 oder 47 anvertraut wurden, vorsätzlich für andere Zwecke verwendet oder 3. Daten entgegen einem rechtskräftigen Urteil oder Bescheid verwendet, nicht beauskunftet, nicht richtigstellt oder nicht löscht oder 4. Daten vorsätzlich entgegen § 26 Abs. 7 löscht. (2) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu Euro zu ahnden ist, wer 1. Daten ermittelt, verarbeitet oder übermittelt, ohne seine Meldepflicht gemäß den §§ 17 oder 50c erfüllt zu haben oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt oder 2. Daten ins Ausland übermittelt oder überlässt, ohne die erforderliche Genehmigung der Datenschutzkommission gemäß § 13 Abs. 1 eingeholt zu haben oder 3. gegen gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1 abgegebene Zusagen oder von der Datenschutzkommission gemäß § 13 Abs. 1 oder § 21 Abs. 2 erteilte Auflagen verstößt oder 4. seine Offenlegungs- oder Informationspflichten gemäß den §§ 23, 24, 25 oder 50d verletzt oder 5. die gemäß § 14 erforderlichen Sicherheitsmaßnahmen gröblich außer Acht lässt oder VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

106 DSG 2000 - Strafbestimmungen
Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht. Strafrahmen: bis ,- Euro § 52 DSG 2000 Verwaltungsstrafbestimmung (Fortsetzung) 6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt oder 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Löschungsfrist nicht löscht. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

107 Verfallbestimmungen § 52 Abs. 4
DSG Strafbestimmungen Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a) [=Gefährdung von Betroffenenrechten] neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a) Strafrahmen: bis 500,- Euro Verfallbestimmungen § 52 Abs. 4 Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden § 52 DSG 2000 Verwaltungsstrafbestimmung (Fortsetzung) (2a) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit einer Strafe bis zu 500 Euro zu ahnden ist, wer Daten entgegen den §§ 26, 27 oder 28 nicht fristgerecht beauskunftet, richtigstellt oder löscht. (3) Der Versuch ist strafbar. (4) Die Strafe des Verfalls von Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten kann ausgesprochen werden (§§ 10, 17 und 18 VStG), wenn diese Gegenstände mit einer Verwaltungsübertretung nach Abs. 1 oder 2 in Zusammenhang stehen. (5) Zuständig für Entscheidungen nach Abs. 1 bis 4 ist die Bezirksverwaltungsbehörde, in deren Sprengel der Auftraggeber (Dienstleister) seinen gewöhnlichen Aufenthalt oder Sitz hat. Falls ein solcher im Inland nicht gegeben ist, ist die am Sitz der Datenschutzkommission eingerichtete Bezirksverwaltungsbehörde zuständig. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

108 mögliche Anwendbarkeit auf unsere Beispiele
DSG Kontroll- & Strafbestimmungen mögliche Anwendbarkeit auf unsere Beispiele - Private Schuldnerfahndung ("seastar"): rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch) verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung) verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung) Bloßstellen des Betroffenen ? (Medienrecht) widerrechtlich veröffentlicht § 1/§ 8 ? (§ 51 Strafbestimmung) - Telefonbuchdaten mit Luftbild verknüpft: fehlender berechtigter Zweck § 6 ? (Unterlassungsanspruch) verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung) - Diskussionsforum wird fehlerhaft veröffentlicht: nicht Beachten von Sicherheitsmaßnahmen § 14 ? (§ 52 (2) Verwaltungsübertretung) - Verwertung der US-Straftäterdatei in Österreich: fehlender berechtigter Zweck § 6 ? (Unterlassungsanspruch) verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung) - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

109 Anwendbarkeit auf unsere Beispiele II
DSG Kontroll- & Strafbestimmungen Anwendbarkeit auf unsere Beispiele II - Einbindung des LikeIt-Buttons ohne Zustimmung des Benutzers: rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch) verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung) verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung) Bloßstellen des Betroffenen ? (Medienrecht) - Veröffentlichung von Webzugriffen (Webstatistiken): rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch) verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung) verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung) Bloßstellen des Betroffenen ? (Medienrecht) - Veröffentlichung von Veranstaltungsanmeldungen: rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch) verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung) - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

110 (3) Verhältnismäßigkeit
DSG Grundlagen Wie kann die Rechtmäßigkeit einer Datenverarbeitung abgeschätzt werden? (1) Eignung Die Verwendung von Daten muss geeignet sein um ein bestimmtes, konkretes Ziel (Zweck) zu erreichen. (2) Erforderlichkeit Es gibt keine weniger invasive Lösung zur Erreichung des bestimmten Ziels (Zweckes). (3) Verhältnismäßigkeit Die Verwendung der Daten führt zu keiner Verletzung höherwertiger Schutzrechte (Grundrechte). - ARGE DATEN VO Datenschutz & Internet SS2013 Juridicum

111 Weitere Bestimmungen VO SS2013 - Juridicum Privatsphäre-Bestimmung
TelekommunikationsG 2003 E-CommerceG sonstige Bestimmungen Weitere Entscheidungen/Beispiele - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

112 § 1328a ABGB Privatsphärebestimmung
Schutz der Privatsphäre - §1328a ABGB § 1328a ABGB Privatsphärebestimmung (1) Wer rechtswidrig und schuldhaft in die Privatsphäre eines Menschen eingreift oder Umstände aus der Privatsphäre eines Menschen offenbart oder verwertet, hat ihm den dadurch entstandenen Schaden zu ersetzen. Bei erheblichen Verletzungen der Privatsphäre, etwa wenn Umstände daraus in einer Weise verwertet werden, die geeignet ist, den Menschen in der Öffentlichkeit bloßzustellen, umfasst der Ersatzanspruch auch eine Entschädigung für die erlittene persönliche Beeinträchtigung. Abs.2 definiert Substitutionsklausel - Bestimmung ist nicht anzuwenden, wenn andere Bestimmung gilt, etwa Datenschutz- oder Medienrechtsbestimmungen § 1328a Abs. 2 ABGB: "(2) Abs. 1 ist nicht anzuwenden, sofern eine Verletzung der Privatsphäre nach besonderen Bestimmungen zu beurteilen ist. Die Verantwortung für Verletzungen der Privatsphäre durch Medien richtet sich allein nach den Bestimmungen des Mediengesetzes, BGBl. Nr. 341/1981, in der jeweils geltenden Fassung." VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

113 Drei Verletzungsarten
Schutz der Privatsphäre - § 1328a ABGB Änderungen durch § 1328a Auffangtatbestand für bisher nicht erfasste Verletzungen Schadenersatz für "immaterielle" Schäden Drei Verletzungsarten Eingreifen (Eindringen in die Privatsphäre) Offenbaren an Dritte (nicht nur Öffentlichkeit) Verwerten (wirtschaftlicher Vorteils durch Kenntisse aus Privatsphäre) Voraussetzungen für Schadenersatz nach § 1328a Rechtswidrigkeit Verschulden (leichte Fahrlässigkeit genügt) Erheblicher Eingriff Der § 1328a ist grundsätzlich als allgemeiner Auffangtatbestand konzipiert, d.h. speziellere Regelungen, z.B. im Mediengesetz und im DSG gehen dieser Bestimmung vor. Insbesondere die in der Praxis sehr bedeutenden Fälle der Verletzung der Privatsphäre durch Medien ist vom Geltungsbereich des §1328a explizit ausgenommen. Wenn also nach dem Mediengesetz kein Anspruch auf Entschädigung besteht, kann auch der §1328a nicht als Anspruchsgrundlage herangezogen werden. Eingreifen: direktes und unmittelbares rechtswidriges Eindringen in die Privatsphäre eines anderen Offenbaren: Weitergabe von privaten Informationen an andere oder die Öffentlichkeit Verwerten: Erlangen eines wirtschaftlichen Vorteils aus privaten Umständen eines anderen Voraussetzung für den Zuspruch einer Entschädigung ist immer die Rechtswidrigkeit des Verhaltens und das Verschulden des Schädigers. Bezüglich der Rechtswidrigkeit ist eine umfassende Interessensabwägung vorzunehmen. Beim Verschulden genügt bereits leichte Fahrlässigkeit. Beispiel: Offenbaren/Verwerten von Urteilen VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

114 VO SS2013 - Juridicum Schutz der Privatsphäre - § 1328a ABGB
Höhe des Schadenersatzes keine grundsätzliche Beschränkung der Entschädigungshöhe Orientierung am Medienrecht keine Untergrenze wie im ursprünglichen Entwurf vorgesehen Ausnahmen Veröffentlichungen in Medien sind nicht erfasst ( Mediengesetz) Betriebs- und Geschäftsgeheimnisse sind ausgenommen ( §§ StGB) speziellere Regelungen gehen vor (z.B. § 33 DSG) Im Internet wird die Bestimmung dann Anwendung finden, wenn keine Datenanwendung vorliegt Die Höhe der Entschädigung, die grundsätzlich zugesprochen werden kann ist nicht beschränkt, allerdings wird in den erläuternden Bemerkungen zum ursprünglichen Entwurf auf den §7 Abs. 1 Mediengesetz verwiesen, nach dem die Entschädigung einen Betrag von EUR nicht übersteigen darf. Da oft gerade Verletzungen der Privatsphäre durch Massenmedien besonders gravierend sind, ist anzunehmen, dass Entschädigungen nach dem §1328a kaum über dieser Grenze liegen werden. Im ursprünglichen Entwurf war eine Untergrenze für die Entschädigung von EUR vorgesehen. Diese wurde in die endgültige Fassung nicht übernommen. Die Untergrenze war im Vorfeld von einigen Experten kritisiert worden, weil dadurch u.U. die Situation entstehen hätte können, dass die Entschädigung höher als der tatsächliche Schaden ausfällt. Andererseits muss angemerkt werden, dass eine solche Untergrenze insbesondere in Fällen, in denen viele Personen gleichzeitig von einem Eingriff betroffen wären, zu einer besonders abschreckenden Wirkung geführt hätte, die solche Eingriffe bereits im Vorfeld verhindern hätte können. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

115 Beispiele für Eingriffe in die Privatsphäre
Schutz der Privatsphäre - Beispiele Beispiele für Eingriffe in die Privatsphäre private Videoüberwachung, Personenortung, Radarüberwachung Bekanntgabe persönlicher Daten im Internet Illegales Abhören von Telefonaten oder Gesprächen Hacken von privaten Computern Missbrauch von Foto-Handys Überwachung des Standortes eines Mobiltelefonnutzers ohne dessen Zustimmung Offenbaren/Verwerten von Urteilen BG Josefstadt 6C188/09p EV gemäß § 382g EO wegen Veröffentlichung privater Daten in einem Blog (begründet auf § 1328a ABGB "Cyberstalking") Die oben genannten Beispiele sind teilweise auch in den erläuternden Bemerkungen zum Entwurf angeführt. Es ist dazu allgemein anzumerken, dass sich der § 1328a ABGB auf den Ersatz immaterieller Schäden bezieht und insofern unabhängig von eventuell in anderen Gesetzen vorgesehenen (Verwaltungs-) Strafbestimmungen zu sehen ist. So sind beispielsweise im TKG oder im DSG für verschiedene Tatbestände sowohl strafrechtliche als auch verwaltungsstrafrechtliche Sanktionen vorgesehen. Unabhängig von deren Anwendung könnten Betroffene bei entsprechendem Nachweis den Ersatz immaterieller Schäden verlangen. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

116 VO SS2013 - Juridicum Eurobarometerumfrage 2011
Datensicherheit und Internet (EU27 / AT / max / min) - 66% der Befragten verwenden Internet - Schutz vor Spam: 42% EU27 / 46% AT / 72% DK / 19% PT - achten auf sichere Datenübertragung: 40% EU27 / 35% AT / 57% IE / 13% BG - Löschen Cookies: 35% EU27 / 39% AT / 53% LU,NL / 10% RO - suchen eigene Daten mittels Suchmaschinen: 14% EU27 / 15% AT / 24% EE / 8% RO - verwenden "dummy" Mailaccount: 12% EU27 / 25% AT / 25% AT / 6% MT - keine Sicherheitsaktivitäten: 15% EU27 / 12% AT / 7% DK,NL / 34% LT Länder mit höchsten Internet-Datenschutzbewusstsein: Deutschland, Niederlande, Schweden, Österreich Link zur Eurobarometer-Umfrage: Schutz der Identität im Internet? Originalformulierung: And, specifically on the Internet, what do you do to protect your identity? Please indicate all that apply in the following list EU27 European Union – 27 Member States BE Belgium LU Luxembourg BG Bulgaria HU Hungary CZ Czech Republic MT Malta DK Denmark NL The Netherlands DE Germany AT Austria EE Estonia PL Poland EL Greece PT Portugal ES Spain RO Romania FR France SI Slovenia IE Ireland SK Slovakia IT Italy FI Finland CY Republic of Cyprus SE Sweden LT Lithuania UK United Kingdom LV Latvia VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

117 Kommunikations-Rechtsrahmen der EU
elektronische Kommunikation und Datenschutz Kommunikations-Rechtsrahmen der EU verabschiedet, geändert (2009/136/EG) - in Ö durch TKG 2003 (BGBl I 70/2003) umgesetzt, Änderungen in (BGBl I 102/2011) umgesetzt - wir beschränken uns auf 2002/58/EG und 2002/22/EG (Kommunikations-Datenschutz-RL & Universaldienst-RL) bzw. 12. Abschnitt des TKG 2003 Ziel der K-DS-RL war Regelung spezifischer Kommunikations-Datenschutzanforderungen und -situationen durch Vorratsdatenspeicherungsrichtlinie (2006/24/EG) ergänzt (in Ö 5/2011 umgesetzt, BGBl I 27+33/2011) - wichtigste Änderungen vom /EG / /TKG - Verständigungspflicht der Provider bei Datenverlust (2002/58/EG) - Ausschlußmöglichkeit von Urheberrechtsverletzern nach "unabhängigen" und "fairen" Verfahren (2002/22/EG) - Zustimmungspflicht bei "Cookie"-Einsatz (2002/58/EG) Kommunikations-Rechtsrahmen der EU von 2002: 5 Richtlinien lösten alten Rechtsrahmen ab: - Rahmenrichtlinie (2002/21/EG) - Zugangsrichtlinie (Märkte, Marktbeherrschung, Trennung Infrastruktur/Geräte/Content) (2002/19/EG), - Universaldienstrichtlinie (2003/22/EG) - Genehmigungsrichtlinie (2002/20/EG) - Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) Telekommunikationsgesetz 2003 Stammfassung BGBl. I Nr. 70/2003 (seit ), Novelle zur Vorratsdatenspeicehrung war im Mai 2007 in Begutachtung Fernmeldegeheimnis (Art. 10a StGG) seit als Gegenstück zum Briefgeheimnis (Art. 10 StGG) VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

118 Wer/Was fällt unter das TKG 2003? (§ 3 TKG 2003)
elektronische Kommunikation und Datenschutz Wer/Was fällt unter das TKG 2003? (§ 3 TKG 2003) Betreiber(Bereitsteller/Anbieter) von Kommunikationsnetzen und/oder Kommunikationsdiensten Kommunikationsnetz = Infrastruktur zur Übertragung von Signalen Kommunikationsdienst = gewerbliche Dienstleistung mittels Übertragung von Signalen über Kommunikationsnetze Betriebe, die auch Telefonvermittlungsanlagen betreiben oder Datenleitungen zur Vernetzung ihrer Standorte nutzen, fallen nicht darunter! Einzelne Regeln betreffen alle Nutzer elektronischer Dienste z.B elektronische Werbung (§ 107), Löschungs-verpflichtung fehlerhaft zugestellter Nachrichten (§ 93 Abs. 4) TKG 2003 regelt Datenschutzrechte der Benutzer (Nutzer/ Teilnehmer) gegenüber Betreibern (Bereitstellern/Anbietern)! § 3 ausgewählte Begriffe Z1. "Betreiber" ein Unternehmen, das ein öffentliches Kommunikationsnetz oder eine zugehörige Einrichtung bereitstellt, oder zur Bereitstellung hiervon befugt ist; Z2. "Bereitstellung eines Kommunikationsnetzes" die Errichtung,den Betrieb, die Kontrolle oder das Zurverfügungstellen eines derartigen Netzes; Z9. "Kommunikationsdienst" eine gewerbliche Dienstleistung, die ganz oder überwiegend in der Übertragung von Signalen über Kommunikationsnetze besteht, einschließlich Telekommunikations- und Übertragungsdienste in Rundfunknetzen, jedoch ausgenommen Dienste, die Inhalte über Kommunikationsnetze und -dienste anbieten oder eine redaktionelle Kontrolle über sie ausüben. Ausgenommen davon sind Dienste der Informationsgesellschaft im Sinne von § 1 Abs. 1 Z 2 des Notifikationsgesetzes, BGBl. I Nr. 183/1999, die nicht ganz oder überwiegend in der Übertragung von Signalen über Kommunikationsnetze bestehen; Z11. "Kommunikationsnetz" Übertragungssysteme und gegebenenfalls Vermittlungs- und Leitwegeinrichtungen sowie anderweitige Ressourcen, die die elektronische Übertragung von Signalen über Kabel, Funk, optische oder andere elektromagnetische Einrichtungen ermöglichen, einschließlich Satellitennetze, feste (leitungs- und paketvermittelte, einschließlich Internet) und mobile terrestrische Netze, Stromleitungssysteme, soweit sie zur Signalübertragung genutzt werden, Netze für Hörfunk und Fernsehen sowie Kabelrundfunknetze (Rundfunknetze), unabhängig von der Art der übertragenen Informationen; Z14. "Nutzer" eine natürliche oder juristische Person, die einen öffentlich zugänglichen Kommunikationsdienst in Anspruch nimmt oder beantragt; Z19. "Teilnehmer" eine natürliche oder juristische Person, die mit einem Betreiber einen Vertrag über die Bereitstellung dieser Dienste geschlossen hat; § 92. Abs 3 Definitionen zum Abschnitt "Kommunikationsgeheimnis, Datenschutz" (§§ ) Z1. "Anbieter" Betreiber von öffentlichen Kommunikationsdiensten; Z2. "Benutzer" eine natürliche Person, die einen öffentlichen Kommunikationsdienst für private oder geschäftliche Zwecke nutzt, ohne diesen Dienst zwangsläufig abonniert zu haben; Neu mit Novelle 102/2011: Dienste der Informationsgesellschaft sind von Datenschutzregeln betroffen (§ 96 Abs. 3) VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

119 Vergleich TKG / DSG VO SS2013 - Juridicum
elektronische Kommunikation und Datenschutz Vergleich TKG / DSG TKG 2003 RL 2002/58/EG Stammdaten, Verkehrsdaten, Inhaltsdaten, Standortdaten Betreiber iS TKG / Teilnehmer/Nutzer(Benutzer) Datensschutz-Bestimmungen §§ § 108 (Strafbestimmung) DSG 2000 RL 95/46/EG alle personen- bezogenen Daten alle Auftraggeber / Betroffene subsidiär anwendbar - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

120 Geschützte Datenarten (§ 92 TKG 2003)
TKG Datenschutzbestimmungen Geschützte Datenarten (§ 92 TKG 2003) Stammdaten Name, akademischer Grad, Anschrift, Teilnehmernummer, Konaktdaten, Vertragsdaten, Bonität, "öffentliche IP-Adresse" wenn Teilnehmer fix zugeordnet Verkehrsdaten z. B. Rufnummern, Datum, Zeit, Dauer, leistungsabhängige Entgelte, Funkzelle, inkl. "Zugangsdaten" Inhaltsdaten z. B. das geführte Telefonat, Fax, SMS, -Inhalt, Webinhalte, ... Standortdaten genaue Position einer Kommunikationsendeinrichtung (kann bis auf wenige Meter genau bestimmt werden), im TKG nur für Kommunikationsnetze und -dienste definiert, nicht für Dienste der Informationsgesellschaft TKG 2003 § 92 Abs 3 ... 3. „Stammdaten“ alle personenbezogenen Daten, die für die Begründung, die Abwicklung, Änderung oder Beendigung der Rechtsbeziehungen zwischen dem Benutzer und dem Anbieter oder zur Erstellung und Herausgabe von Teilnehmerverzeichnissen erforderlich sind; dies sind: a) Name (Familienname und Vorname bei natürlichen Personen, Name bzw. Bezeichnung bei juristischen Personen), b) akademischer Grad bei natürlichen Personen, c) Anschrift (Wohnadresse bei natürlichen Personen, Sitz bzw. Rechnungsadresse bei juristischen Personen), d) Teilnehmernummer und sonstige Kontaktinformation für die Nachricht, e) Information über Art und Inhalt des Vertragsverhältnisses, f) Bonität; 4. “Verkehrsdaten” Daten, die zum Zwecke der Weiterleitung einer Nachricht an ein Kommunikationsnetz oder zum Zwecke der Fakturierung dieses Vorgangs verarbeitet werden; 4a. “Zugangsdaten” jene Verkehrsdaten, die beim Zugang eines Teilnehmers zu einem öffentlichen Kommunikationsnetz beim Betreiber entstehen und für die Zuordnung der zu einem bestimmten Zeitpunkt für eine Kommunikation verwendeten Netzwerkadressierungen zum Teilnehmer notwendig sind; 5. “Inhaltsdaten” die Inhalte übertragener Nachrichten (Z 7); 6.“Standortdaten” Daten, die in einem Kommunikationsnetz oder von einem Kommunikationsdienst verarbeitet werden und die den geografischen Standort der Telekommunikationsendeinrichtung eines Nutzers eines öffentlichen Kommunikationsdienstes angeben, im Fall von festen Telekommunikationsendeinrichtungen sind Standortdaten die Adresse der Einrichtung; ... [die "öffentliche IP-Adresse ist indirekt als Stammdatum definiert:] 16.„öffentliche IP-Adresse“ eine einmalige numerische Adresse aus einem Adressblock, der durch die Internet Assigned Numbers Authority (IANA) oder durch eine regionale Vergabestelle (Regional Internet Registries) einem Anbieter eines Internet-Zugangsdienstes zur Zuteilung von Adressen an seine Kunden zugewiesen wurde, die einen Rechner im Internet eindeutig identifiziert und im Internet geroutet werden kann. Öffentliche IP-Adressen sind Zugangsdaten im Sinne des § 92 Abs. 3 Z 4a. Wenn eine konkrete öffentliche IP-Adresse einem Teilnehmer für die Dauer des Vertrages zur ausschließlichen Nutzung zugewiesen ist, handelt es sich zugleich um ein Stammdatum im Sinne des § 92 Abs. 3 Z 3; VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

121 Welche Datenart sind einzelne IP-Pakete oder Weblinks?
TKG Datenschutzbestimmungen Weitere Dienste- und Datenarten definiert (§ 92 TKG 2003) Im Zuge der Regelung der Vorratsspeicherung wurden zahlreiche weitere Begriffe eingeführt - Teilnehmerkennung (Abs. 3 Z 2a) - Adresse (Abs. 3 Z 2b) - erfolgloser Anrufsversuch (Abs. 3 Z 8a) - elektronisches Postfach (Abs. 3 Z 11) - Internet Telefondienst (Abs. 3 Z 13) - Internet Zugangsdienst (Abs. 3 Z 14) - elektronische Post [jede Form elektronisch versandte Nachrichten] (Abs. 3 Z 10) - , -Dienst [auf Simple Mail Transfer Protocol, SMTP beschränkte elektronisch versandte Nachrichten] (Abs. 3 Z 12,15) TKG 2003 § 92 Abs 3 ... 2a. „Teilnehmerkennung“ jene Kennung, welche die eindeutige Zuordnung eines Kommunikationsvorgangs zu einem Teilnehmer ermöglicht; 2b. „ -Adresse“ die eindeutige Kennung, die einem elektronischen Postfach von einem Internet- -Anbieter zugewiesen wird; ... 8a. „erfolgloser Anrufversuch“ einen Telefonanruf, bei dem die Verbindung erfolgreich aufgebaut wurde, der aber unbeantwortet bleibt oder bei dem das Netzwerkmanagement eingegriffen hat; 10. “elektronische Post” jede über ein öffentliches Kommunikationsnetz verschickte Text-, Sprach-, Ton- oder Bildnachricht, die im Netz oder im Endgerät des Empfängers gespeichert werden kann, bis sie von diesem abgerufen wird; 11. „elektronisches Postfach“ ein elektronisches Ablagesystem, das einem Teilnehmer eines -Dienstes zugeordnet ist; 12. „ “ elektronische Post, die über das Internet auf Basis des „Simple Mail Transfer Protocol“ (SMTP) versendet wird; 13. „Internet-Telefondienst“ einen öffentlichen Telefondienst im Sinne des § 3 Z 16, der auf paketvermittelter Nachrichtenübertragung über das Internet-Protokoll basiert; 14. „Internet-Zugangsdienst“ einen Kommunikationsdienst im Sinne von § 3 Z 9, der in der Bereitstellung von Einrichtungen oder Diensten zur Erbringung von Zugangsleistungen zum Internet besteht; 15. „ -Dienst“ einen Kommunikationsdienst im Sinne von § 3 Z 9, welcher den Versand und die Zustellung von s auf Basis des „Simple Mail Transfer Protocol“ (SMTP) umfasst; Welche Datenart sind einzelne IP-Pakete oder Weblinks? VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

122 Was ist ein Weblink / eine URL ?
Kommunikationsdaten - Beispiel Was ist ein Weblink / eine URL ? - - https://eservices.wuestenrot.at/eService/screen/ anmeldung_ks210?_view=KS210_input_Komm&KS210_input_Komm_ausweis_art=RP&KS210_input_Komm_ausw_nr=4711&KS210_input_Komm_ausw_behoerde=BPD+Gossing&KS210_input_Komm_auswdat_tag=01&KS210_input_Komm_auswdat_monat=01&KS210_input_Komm_auswdat_jahr=33&KS210_input_Komm_handy= &KS210_input_Komm_ =campus%40gmx.at&KS210_input_Komm_kennwort=MANADA&KS210_input_Komm_vertragsnr=&KS210_input_Komm_newsletter=0&checkAGB=true&KS210_input_Komm_agb=on&KS210_input_Komm_KS210_input_Komm_forward=Weiter&_submit=true - Google-URL: - Newsletter-URL: - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

123 VO SS2013 - Juridicum TKG 2003 - Datenschutzbestimmungen
Kommunikationsgeheimnis (§ 93 TKG 2003) schützt Inhaltsdaten, Verkehrsdaten und Standortdaten, inklusive erfolgloser Verbindungsversuche [Stammdaten im Rahmen des DSG 2000 geschützt] Verpflichtet Betreiber und deren Personal zur Geheimhaltung: gerichtliche Strafandrohung (§ 108 TKG 2003) Mithören, Abfangen, Aufzeichnung oder sonstige Überwachen von Nachrichten durch andere als die Benutzer ist unzulässig (Zustimmung aller Beteiligten erforderlich), zufällig aufgenommene Nachrichten müssen gelöscht werden, gilt für alle "Anwender" (Abs. 4) Ausnahmen (Abs. 3): - Rückverfolgung von Notrufen - Aufzeichnungen im Rahmen einer Fangschaltung - Überwachung, Auskunftserteilung bei Nachrichtenübermittlung (inkl. Vorratsdaten) - wenn technisch für Diensterbringung erforderlich (z.B. Mailbox) § 93. (1) Dem Kommunikationsgeheimnis unterliegen die Inhaltsdaten, die Verkehrsdaten und die Standortdaten. Das Kommunikationsgeheimnis erstreckt sich auch auf die Daten erfolgloser Verbindungsversuche. (2) Zur Wahrung des Kommunikationsgeheimnisses ist jeder Betreiber eines öffentlichen Kommunikationsnetzes oder –dienstes und alle Personen, die an der Tätigkeit des Betreibers mitwirken, verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist. (3) Das Mithören, Abhören, Aufzeichnen, Abfangen oder sonstige Überwachen von Nachrichten und der damit verbundenen Verkehrs- und Standortdaten sowie die Weitergabe von Informationen darüber durch andere Personen als einen Benutzer ohne Einwilligung aller beteiligten Benutzer ist unzulässig. Dies gilt nicht für die Aufzeichnung und Rückverfolgung von Telefongesprächen im Rahmen der Entgegennahme von Notrufen und die Fälle der Fangschaltung, der Überwachung von Nachrichten und der Auskunft über Daten einer Nachrichtenübermittlung einschließlich Vorratsdaten sowie für eine technische Speicherung, die für die Weiterleitung einer Nachricht erforderlich ist. (4) Werden mittels einer Funkanlage, einer Telekommunikationsendeinrichtung oder mittels einer sonstigen technischen Einrichtung Nachrichten unbeabsichtigt empfangen, die für diese Funkanlage, diese Telekommunikationsendeinrichtung oder den Anwender der sonstigen Einrichtung nicht bestimmt sind, so dürfen der Inhalt der Nachrichten sowie die Tatsache ihres Empfanges weder aufgezeichnet noch Unbefugten mitgeteilt oder für irgendwelche Zwecke verwertet werden. Aufgezeichnete Nachrichten sind zu löschen oder auf andere Art zu vernichten. (5) Das Redaktionsgeheimnis (§ 31 Mediengesetz) sowie sonstige, in anderen Bundesgesetzen normierte Geheimhaltungsverpflichtungen sind nach Maßgabe des Schutzes der geistlichen Amtsverschwiegenheit und von Berufsgeheimnissen sowie das Verbot deren Umgehung gemäß §§ 144 und 157 Abs. 2 StPO zu beachten. Den Anbieter trifft keine entsprechende Prüfpflicht. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

124 Datenschutz-Grundsätze (§ 96 TKG 2003)
TKG Datenschutzbestimmungen Datenschutz-Grundsätze (§ 96 TKG 2003) Verwendung der Daten nur für Zwecke der Besorgung eines Kommunikationsdienstes (Abs. 1) Übermittlung (Abs. 2) nur, wenn - notwendig für Diensterbringung oder - mit Zustimmung des Betroffenen für Vermarktungszwecke oder Dienste mit Zusatznutzen (jederzeit widerrufbar) Löschung (Abs. 2) der Daten sobald wie möglich z. B.: Verkehrsdaten sind zu löschen, wenn für Dienst oder Abrechnung nicht mehr erforderlich [Ausnahmen der Vorratsspeicherung sind zu beachten §§ 99, 102a] nähere Regelung der Datenverwendung in AGB möglich § 96. (1) Stammdaten, Verkehrsdaten, Standortdaten und Inhaltsdaten dürfen nur für Zwecke der Besorgung eines Kommunikationsdienstes ermittelt oder verarbeitet werden. (2) Die Übermittlung von im Abs. 1 genannten Daten darf nur erfolgen, soweit das für die Erbringung jenes Kommunikationsdienstes, für den diese Daten ermittelt und verarbeitet worden sind, durch den Betreiber eines öffentlichen Kommunikationsdienstes erforderlich ist. Die Verwendung der Daten zum Zweck der Vermarktung von Kommunikationsdiensten oder der Bereitstellung von Diensten mit Zusatznutzen sowie sonstige Übermittlungen dürfen nur auf Grund einer jederzeit widerrufbaren Zustimmung der Betroffenen erfolgen. Diese Verwendung ist auf das erforderliche Maß und den zur Vermarktung erforderlichen Zeitraum zu beschränken. Betreiber öffentlicher Kommunikationsdienste dürfen die Bereitstellung ihrer Dienste nicht von einer solchen Zustimmung abhängig machen. (3) Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Der Teilnehmer ist auch über die Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen zu informieren. Diese Information hat in geeigneter Form, insbesondere im Rahmen Allgemeiner Geschäftsbedingungen und spätestens bei Beginn der Rechtsbeziehungen zu erfolgen. Das Auskunftsrecht nach dem Datenschutzgesetz bleibt unberührt. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

125 Datenschutz-Grundsätze (§ 96 TKG 2003) II
TKG Datenschutzbestimmungen Datenschutz-Grundsätze (§ 96 TKG 2003) II Erweiterte Informations- und Zustimmungsverpflichtungen bei Diensterbringung (gelten für Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellscht (siehe ECG) (Abs. 3) Informationspflichten: - welche personenbezogene Daten Betreiber/Anbieter ermittelt, verarbeitet und übermittelt (betrifft auch Standort-/Geo-Daten) - Rechtsgrundlage und Zweck der Datenverwendung - Speicherdauer der Daten Information ist in geeigneter Form, insbesondere mittels AGBs, spätestens bei Beginn einer Rechtsbeziehung zu erfolgen [z.B. vor Setzen oder übermitteln von Cookies, ..] - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

126 Datenschutz-Grundsätze (§ 96 TKG 2003) III
TKG Datenschutzbestimmungen Datenschutz-Grundsätze (§ 96 TKG 2003) III Abs. 3 - Fortsetzung Ermittlung von Daten nur, wenn - Teilnehmer oder Nutzer Einwilligung erteilt hat oder - der alleinige Zweck die Übertragung einer Nachricht im Kommunikationsnetz ist oder - wenn dies unbedingt erforderlich ist, damit ein Dienst der Informationsgesellschaft, den der Teilnehmer oder Benutzer ausdrücklich gewünscht hat erbracht werden kann [z.B. Session-Cookie für Online-Shop, GPS-Daten für location based services, ...] - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

127 Technische Betrachtung – Facebook Like
Aufruf von Websites mit Facebook Like Plugin nachdem die Facebook-Website aufgerufen wurde aber keine Registrierung erfolgte (kein Klick auf das Plugin): Websites mit Facebook Like Plugin: ID: dTrGTwDiSl75GjJ73KORYiR1 Facebook.com Websiteaufrufe automatische Mitaufrufe – einzigartige ID wird jedesmal übermittelt in Computer des Nutzers gespeichert: ID: dTrGTwDiSl75GjJ73KORYiR1 xxxx.xxxx.xx Schwangerschaftsnetz.tld Glaubensgemeinschaft.tld Graphik: Michael Löffler, e-commerce monitoring Gmbh PolitischePartei.tld VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

128 Datenschutzfragen Internettechniken
Einsatz von Tracking-Techniken - Tracking: Instrumente um Benutzer(verhalten) zu identifizieren, zu verfolgen und zu analysieren - verschiedenste Namen/Techniken: individualisierte Links, Cookies, Web-Beacons, Web-Bugs, Spyware, ... Typische Tracking-Informationen - Wie lang, wann wurde welche Seite, in welcher Reihenfolge angesehen ("Surfverhalten")? - Welche Waren/Artikel wurden in welcher Kombination bestellt? - Was interessiert den Benutzer (Themen)? Technik: - Web-Beacons: unsichtbare Elemente (meist 1x1-Pixel-Images) zum User-Tracking - Web-Bugs: unsichtbare Elemente zum Dokumenten-Tracking (analog Web-Beacons) Tracking von Benutzern: Auch Tracking ist eine Datenanwendung und an den Verwendungszweck der Daten gebunden. Ob dieser Zweck im Einzelfall zulässig ist, muss geprüft werden. Meist handelt es sich um den Zweck "Marketing/Marktanalyse". Es besteht jedenfalls Informationspflicht. Im Zusammenhang mit einem unternehmensübergreifenden Tracking (etwa Bannerwerbung, gemeinsame Advertising-Aktivitäten) handelt es sich um Datenübermittlungen (allenfalls um ein Informationsverbundsystem) und es wird eine spezifische Zustimmung erforderlich sein. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

129 Datenschutzfragen Internettechniken
Tracking II Probleme - Umfang der erhobenen Daten (inkl. sensibler Daten) - meist bestimmbare personenbezogene Daten - Genauigkeit der Zuordnung zu bestimmten Personen (Benutzer oder nur Teilnehmer) - Durchschaubarkeit (wird sich auch an Kenntnis des Zielpublikums orientieren müssen) - Zustimmung zu den Tracking-Maßnahmen (ausdrückliche / konkludente Zustimmung) - webübergreifendes / unternehmensübergreifendes Tracking - Vermeidung der nachträglichen Benutzeridentifikation - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

130 Was passiert bei Aufruf einer Website?
Demobeispiel Onlinetracking Was passiert bei Aufruf einer Website? Beispiel: Was wurde tatsächlich aufgerufen? m1.webstats.motigo.com, vote4me.de, Betreiber dieser Server wurden vom Benutzer-Interesse an informiert, kann vom Benutzer nicht beeinflusst werden Zusatzinformation zu Folgende Server setzen Cookies: (Auswahl, Stand 2009/06/04) - 1way2sex.net - activehitz.com cyonix.to - - eas.apm.emediate.eu funpic.de - .hurra.com - m1.webstats.motigo.com - members.lycos.nl - .overture.com vote4me.de - .webstats4u.com In Summe mehr als 20 Server/Organisationen VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

131 Datenschutzfragen Internettechniken
Cookie-Verwendung Privacy-Gefährdungspotentiale - gemeinsame Nutzung des Computers durch mehrere Personen (etwa wenn Passwörter oder persönliche Angaben in Coockies hinterlegt werden) - Ausspähen von Interessensprofilen - Einsatz von Cookie-Servern / Cookies in Werbebannern - Verwendung über Servergrenzen hinweg 2002/58/EG (Kommunikations-Datenschutzrichtlinie) - Cookies sind grundsätzlich zulässig (EG 25) - dürfen nicht überrumpelnd eingesetzt werden - Bei Übergang auf Seiten mit Cookies ist das anzuzeigen - Verwendung von Cookies schon auf der "Homepage" wäre unzulässig Allgemeine Sicherheitsinfos zu Browsern: Die Seite erlaubt es die jeweils aktuellen Sicherheitslücken gängiger Browser am eigenen Gerät zu testen. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

132 Stammdaten (§ 97 TKG 2003) VO SS2013 - Juridicum
TKG Datenschutzbestimmungen Stammdaten (§ 97 TKG 2003) Name, akademischer Grad, Anschrift, Teilnehmernummer, Information über Art des Vertrags, Bonität, "öffentliche IP-Adresse" (unter bestimmten Umständen) Verwendungszweck: Handhabung des Vertrages mit dem Teilnehmer Erstellung von Teilnehmerverzeichnissen Erteilung von Auskünften an Notrufträger Löschungspflicht nach Beendigung der Rechtsbeziehungen! [Weitreichender als bei sonstigen Auftraggebern] Ausnahmen: Entgeltverrechnung, laufende Beschwerden oder gesetzliche Verpflichtungen § 97. (1) Stammdaten dürfen unbeschadet der §§ 90 Abs. 6 und 7 sowie 96 Abs. 1 und 2 von Anbietern nur für folgende Zwecke ermittelt und verwendet werden: 1. Abschluss, Durchführung, Änderung oder Beendigung des Vertrages mit dem Teilnehmer; 2. Verrechnung der Entgelte; 3. Erstellung von Teilnehmerverzeichnissen, gemäß § 18 und 4. Erteilung von Auskünften an Notrufträger. (2) Stammdaten sind spätestens nach Beendigung der vertraglichen Beziehungen mit dem Teilnehmer vom Betreiber zu löschen. Ausnahmen sind nur soweit zulässig, als diese Daten noch benötigt werden, um Entgelte zu verrechnen oder einzubringen, Beschwerden zu bearbeiten oder sonstige gesetzliche Verpflichtungen zu erfüllen. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

133 Verkehrsdaten (§ 99 TKG 2003) VO SS2013 - Juridicum
TKG Datenschutzbestimmungen Verkehrsdaten (§ 99 TKG 2003) besonders schutzwürdig - „Daten, die zum Zwecke der Weiterleitung einer Nachricht an ein Kommunikationsnetz oder zum Zwecke der Fakturierung dieses Vorgangs verarbeitet werden“ grundsätzlich keine Speicherung, Ausnahmen: - Verrechnung - Entscheidung in Streitfällen – Übermittlung an die Schlichtungsstelle - seit Vorrats-Speicherpflicht für Überwachung bis 6 Monate ansonsten: keine starre Frist für die Speicherung Auswertungsverbot - aber: kann durch Zustimmung des Teilnehmers für Marketingzwecke und Dienste mit Zusatznutzen erfolgen § 99. (1) Verkehrsdaten dürfen außer in den in diesem Gesetz geregelten Fällen nicht gespeichert oder übermittelt werden und sind vom Anbieter nach Beendigung der Verbindung unverzüglich zu löschen oder zu anonymisieren. Die Zulässigkeit der weiteren Verwendung von Verkehrsdaten, die nach Abs. 5 übermittelt werden, richtet sich nach den Vorschriften der StPO sowie des SPG. ... (4) Dem Anbieter ist es außer in den in diesem Gesetz besonders geregelten Fällen untersagt, einen Teilnehmeranschluss über die Zwecke der Verrechnung hinaus nach den von diesem Anschluss aus angerufenen Teilnehmernummern auszuwerten. Mit Zustimmung des Teilnehmers darf der Anbieter die Daten zur Vermarktung für Zwecke der eigenen Telekommunikationsdienste oder für die Bereitstellung von Diensten mit Zusatznutzen verwenden. (5) Eine Verarbeitung von Verkehrsdaten zu Auskunftszwecken ist zulässig zur Auskunft über 1. Daten einer Nachrichtenübermittlung gemäß § 134 Z 2 StPO; 2. Zugangsdaten, auch wenn diese als Vorratsdaten gemäß § 102a Abs. 2 Z 1, Abs. 3 Z 6 lit. a und b oder § 102a Abs. 4 Z 1, 2, 3 und 5 längstens sechs Monate vor der Anfrage gespeichert wurden, an Gerichte und Staatsanwaltschaften nach Maßgabe des § 76a Abs. 2 StPO. 3. Verkehrsdaten und Stammdaten, wenn hiefür die Verarbeitung von Verkehrsdaten erforderlich ist, sowie zur Auskunft über Standortdaten an nach dem SPG zuständige Sicherheitsbehörden nach Maßgabe des § 53 Abs. 3a und 3b SPG. Ist eine aktuelle Standortfeststellung nicht möglich, darf die Standortkennung (Cell-ID) zum letzten Kommunikationsvorgang der Endeinrichtung verarbeitet werden, auch wenn hiefür ein Zugriff auf gemäß § 102a Abs. 3 Z 6 lit. d gespeicherte Vorratsdaten erforderlich ist; 4. Zugangsdaten, auch wenn diese als Vorratsdaten gemäß § 102a Abs. 2 Z 1 oder § 102a Abs. 4 Z 1, 2,3 und 5 längstens drei Monate vor der Anfrage gespeichert wurden, an nach dem SPG zuständige Sicherheitsbehörden nach Maßgabe des § 53 Abs. 3a Z 3 SPG. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

134 Inhaltsdaten (§ 101 TKG 2003) VO SS2013 - Juridicum
TKG Datenschutzbestimmungen Inhaltsdaten (§ 101 TKG 2003) Inhalte übertragener Nachrichten keine Speicherung zulässig, außer wenn die Speicherung Dienstmerkmal ist (z. B. Mailbox) unverzüglich nach Diensterbringung zu löschen § 101. (1) Inhaltsdaten dürfen - sofern die Speicherung nicht einen wesentlichen Bestandteil des Kommunikationsdienstes darstellt - grundsätzlich nicht gespeichert werden. Sofern aus technischen Gründen eine kurzfristige Speicherung erforderlich ist, hat der Anbieter nach Wegfall dieser Gründe die gespeicherten Daten unverzüglich zu löschen. (2) Der Anbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass Inhaltsdaten nicht oder nur in dem aus technischen Gründen erforderlichen Mindestausmaß gespeichert werden. Sofern die Speicherung des Inhaltes Dienstmerkmal ist, sind die Daten unmittelbar nach der Erbringung des Dienstes zu löschen. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

135 Standortdaten (§ 102 TKG 2003) VO SS2013 - Juridicum
TKG Datenschutzbestimmungen Standortdaten (§ 102 TKG 2003) Komplizierte Regelung „andere Standortdaten als Verkehrsdaten“ - Information über Funkzelle: Verkehrsdaten - genauere Ortsangaben sind: „andere Standortdaten“ Verarbeitung nur - anonymisiert (etwa zur Ressourcenplanung) oder - mit jederzeit widerrufbarer Zustimmung des Betroffenen ("location based services") muss auch zeitweise deaktivierbar sein Datenart im Zusammenhang mit Anbietern von Kommunikationsdiensten im Sinne des TKG 2003 schwindende Bedeutung, da "location based services" meist über Drittanbieter ("Apps") erbracht werden § 102. (1) Andere Standortdaten als Verkehrsdaten dürfen unbeschadet des § 98 nur verarbeitet werden, wenn sie 1. anonymisiert werden oder 2. die Benutzer oder Teilnehmer eine jederzeit widerrufbare Einwilligung gegeben haben. (2) Selbst im Falle einer Einwilligung zur Verarbeitung von Daten gemäß Abs. 1 müssen die Benutzer oder Teilnehmer die Möglichkeit haben, diese Verarbeitung von Daten für jede Übertragung einfach und kostenlos zeitweise zu untersagen. (3) Die Verarbeitung anderer Standortdaten als Verkehrsdaten gemäß Abs. 1 und 2 muss auf das für die Bereitstellung des Dienstes mit Zusatznutzen erforderliche Maß sowie auf Personen beschränkt werden, die im Auftrag des Betreibers oder des Dritten, der den Dienst mit Zusatznutzen anbietet, handeln. Unbeschadet des § 93 Abs. 3 ist die Ermittlung und Verwendung von Standortdaten, die nicht im Zusammenhang mit einem Kommunikationsvorgang stehen, zu Auskunftszwecken unzulässig. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

136 SPAM-Problem VO SS2013 - Juridicum TKG 2003 - Datenschutzbestimmungen
Was ist Spam? - unerbetene elektronische Nachricht: unerwünschte Werbung (EU, RL Art. 13), in Österreich zusätzlich Massennachricht Umfang von Spam - heute: 70-80% aller Mails Spam (2010: 90+%, 2004: 75%, 2001: 7%) - Relation 2001: auf 14 erwünschte Mails kam ein Spam-Mail heute: auf ein erwünschtes Mail kommen 3 Spam-Mails - Response von 1:1, reicht für "erfolgreiche" Aussendung 7% der Mailnutzer reagieren zumindest einmal im Jahr auf Spam Gefährdungspotentiale - Belästigung mit unerwünschen Inhalten - Fehler bei Annahme/Ablehnung von Mails - Beschränkung der Kommunikation aus Angst vor Spam - Kosten (Übertragung, Beseitigung, Filterkonfiguation, Zeitverlust) Quelle Umfang Spam: MITTEILUNG DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT, DEN RAT, DEN EUROPÄISCHEN WIRTSCHAFTS- UND SOZIALAUSSCHUSS UND DEN AUSSCHUSS DER REGIONEN über unerbetene Werbenachrichten (Spam) (KOM(2004) 28, ) VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

137 SPAM-Problem - Ausmaß VO SS2013 - Juridicum
TKG Datenschutzbestimmungen SPAM-Problem - Ausmaß - Quelle: Symantec VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

138 Unerbetene Nachrichten
TKG Datenschutzbestimmungen Unerbetene Nachrichten Kommunikations-Datenschutzrichtlinie 2002/58/EG Art.13 - RL sieht Opt-In bei Werbung vor - umfasst automatische Anrufsysteme ohne menschlichen Eingriff (automatische Anrufmaschinen), Faxgeräte, elektronische Post - Ausnahme bei Kunden zur Bewerbung ähnlicher Produkte - trifft keine Aussage zu -Massensendungen oder "normalen" Telefonanrufen Komplexe Regelung in TKG 2003 § 107 - sieht ebenfalls Opt-In für Werbung vor - umfasst alle Telefonanrufe, Faxgeräte, elektronische Post inkl. SMS - Ausnahme bei Kunden zur Bewerbung ähnlicher Produkte, jedoch ist Sperrliste (gem. § 7 Abs. 2 ECG) zu beachten - bei elektronischer Post & SMS zusätzlich jede Massensendungen verboten - zulässig unerbetene Anrufe/Fax zu anderen Zwecken, etwa Meinungsbefragung Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) - Artikel 13 Unerbetene Nachrichten (1) Die Verwendung von automatischen Anrufsystemen ohne menschlichen Eingriff (automatische Anrufmaschinen), Faxgeräten oder elektronischer Post für die Zwecke der Direktwerbung darf nur bei vorheriger Einwilligung der Teilnehmer gestattet werden. (2) Ungeachtet des Absatzes 1 kann eine natürliche oder juristische Person, wenn sie von ihren Kunden im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung gemäß der Richtlinie 95/46/EG deren elektronische Kontaktinformationen für elektronische Post erhalten hat, diese zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen verwenden, sofern die Kunden klar und deutlich die Möglichkeit erhalten, eine solche Nutzung ihrer elektronischen Kontaktinformationen bei deren Erhebung und bei jeder Übertragung gebührenfrei und problemlos abzulehnen, wenn der Kunde diese Nutzung nicht von vornherein abgelehnt hat. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

139 Regelung gilt für alle, nicht nur Betreiber!
TKG Datenschutzbestimmungen Unerbetene Nachrichten II Regelung in TKG 2003 § 107 - Identität des Absenders muss offen gelegt werden - Möglichkeit zur Einstellung der Zusendungen muss angeboten werden - bei erlaubten Werbeanrufen, darf Anrufnummer weder unterdrückt, noch verfälscht sein, ECG-Bestimmungen nicht verletzt werden, nicht zum Besuch ECG-widriger Webseiten aufgefordert werden - Anzeigemöglichkeit bei unerbetenen Nachrichten bei Fernmeldebüros (Verwaltungsstrafe bis Euro bei Spam, bei Anrufen), (2011) 344 Anzeigen, 59 (35) Strafverfahren, Strafe Schnitt 196 (71) Euro - Ort der "Tatbegehung" ist bei inländischen "Tätern" Sitz des Täters, bei anderen, der Ort an dem die Nachricht den Teilnehmer erreicht Sonstige Maßnahmen gegen Spam - anwaltliche Abmahnungen: Unterlassungsanspruch - Spamfilter, Blocking-Listen und andere technische Maßnahmen: jedoch! Gefahr des Eingriffs in Kommunikation § 107. (1) Anrufe - einschließlich das Senden von Fernkopien - zu Werbezwecken ohne vorherige Einwilligung des Teilnehmers sind unzulässig. Der Einwilligung des Teilnehmers steht die Einwilligung einer Person, die vom Teilnehmer zur Benützung seines Anschlusses ermächtigt wurde, gleich. Die erteilte Einwilligung kann jederzeit widerrufen werden; der Widerruf der Einwilligung hat auf ein Vertragsverhältnis mit dem Adressaten der Einwilligung keinen Einfluss. (1a) Bei Telefonanrufen zu Werbezwecken darf die Rufnummernanzeige durch den Anrufer nicht unterdrückt oder verfälscht werden und der Diensteanbieter nicht veranlasst werden, diese zu unterdrücken oder zu verfälschen. (2) Die Zusendung einer elektronischen Post – einschließlich SMS – ist ohne vorherige Einwilligung des Empfängers unzulässig, wenn 1. die Zusendung zu Zwecken der Direktwerbung erfolgt oder 2. an mehr als 50 Empfänger gerichtet ist. (3) Eine vorherige Zustimmung für die Zusendung elektronischer Post gemäß Abs. 2 ist dann nicht notwendig, wenn 1. der Absender die Kontaktinformation für die Nachricht im Zusammenhang mit dem Verkauf oder einer Dienstleistung an seine Kunden erhalten hat und 2. diese Nachricht zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen erfolgt und 3. der Empfänger klar und deutlich die Möglichkeit erhalten hat, eine solche Nutzung der elektronischen Kontaktinformation bei deren Erhebung und zusätzlich bei jeder Übertragung kostenfrei und problemlos abzulehnen und 4. der Empfänger die Zusendung nicht von vornherein, insbesondere nicht durch Eintragung in die in § 7 Abs. 2 E-Commerce-Gesetz genannte Liste, abgelehnt hat. (4) (Anm.: aufgehoben durch BGBl. I Nr. 133/2005) (5) Die Zusendung elektronischer Post zu Zwecken der Direktwerbung ist jedenfalls unzulässig, wenn 1. die Identität des Absenders, in dessen Auftrag die Nachricht übermittelt wird, verschleiert oder verheimlicht wird, oder 2. die Bestimmungen des § 6 Abs. 1 E-Commerce-Gesetz verletzt werden, oder 3. der Empfänger aufgefordert wird, Websites zu besuchen, die gegen die genannte Bestimmung verstoßen oder 4. keine authentische Adresse vorhanden ist, an die der Empfänger eine Aufforderung zur Einstellung solcher Nachrichten richten kann. (6) Wurden Verwaltungsübertretungen nach Absatz 1, 2 oder 5 nicht im Inland begangen, gelten sie als an jenem Ort begangen, an dem die unerbetene Nachricht den Anschluss des Teilnehmers erreicht. Regelung gilt für alle, nicht nur Betreiber! VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

140 Sonstige Datenschutzbestimmungen im TKG
TKG Datenschutzbestimmungen Sonstige Datenschutzbestimmungen im TKG - Einrichtung und Betrieb technischer Überwachungsvorrichtungen (§ 94) - Einzelentgeltnachweis (§ 100) kostenloser, elektronischer Einzelentgeltnachweis, auf Verlangen entgeltfrei in Papierform - Telefonverzeichnis (§ 103) taxative Aufzählung der Datenarten, Verbot der Auswertung der Teilnehmerdaten (für den Anbieter) - Anzeige der Rufnummer (§ 104) - Unterdrückung des Versendens einer Rufnummer (§ 104) - Anrufweiterleitung (§ 105) - Fangschaltung (§ 106) - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

141 Sicherheit im Netzbetrieb (§ 95 TKG 2003)
TKG Datenschutzbestimmungen Sicherheit im Netzbetrieb (§ 95 TKG 2003) 2002/58/EG (Kommunikations-Datenschutz-RL, EG20, Art. 4) - grundsätzliche Anforderung ähnlich der allg. DS-Richtlinie: angemessen, Stand der Technik, wirtschaftlich vertretbar - in TKG § 95 Verweis auf DSG § 14 zusätzlich: - Informationspflicht des Nutzers/Teilnehmers über besondere Sicherheitsrisken und deren Vermeidung - Information über Sicherheitsrisken hat kostenfrei zu erfolgen (abgesehen von Empfangskosten) Was ist Stand der Technik im Internet? - im Zusammenhang mit Internet sind SSL128 (TSL, "https://") und VPN (Virtual Private Network) sind "Stand der Technik" Sicherheit des Netzbetriebes § 95. (1) Die Pflicht zur Erlassung von Datensicherheitsmaßnahmen im Sinne des § 14 des Datenschutzgesetzes 2000 im Zusammenhang mit der Erbringung eines öffentlichen Kommunikationsdienstes obliegt jedem Betreiber eines öffentlichen Kommunikationsdienstes jeweils für jeden von ihm erbrachten Dienst. (2) Unbeschadet des Abs. 1 hat der Betreiber eines öffentlichen Kommunikationsdienstes in jenen Fällen, in denen ein besonderes Risiko der Verletzung der Vertraulichkeit besteht, die Teilnehmer über dieses Risiko und - wenn das Risiko außerhalb des Anwendungsbereichs der vom Betreiber zu treffenden Maßnahmen liegt - über mögliche Abhilfen einschließlich deren Kosten zu unterrichten. (3) Betreiber eines öffentlichen Kommunikationsdienstes haben – unbeschadet der Bestimmungen des DSG 2000 – durch Datensicherheitsmaßnahmen jedenfalls Folgendes zu gewährleisten: 1. die Sicherstellung, dass nur ermächtigte Personen für rechtlich zulässige Zwecke Zugang zu personenbezogenen Daten erhalten; 2. den Schutz gespeicherter oder übermittelter personenbezogener Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust oder unbeabsichtigter Veränderung und unbefugter oder unrechtmäßiger Speicherung oder Verarbeitung, unbefugtem oder unberechtigtem Zugang oder unbefugter oder unrechtmäßiger Weitergabe; 3. die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten. Die Regulierungsbehörde kann die von den Betreibern öffentlicher Kommunikationsdienste getroffenen Maßnahmen prüfen und Empfehlungen zum zu erreichenden Sicherheitsniveau abgeben. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

142 Strafbestimmung TKG 2003 § 108 Verletzung von Rechten der Benützer
TKG Datenschutzbestimmungen Strafbestimmung TKG 2003 § 108 Verletzung von Rechten der Benützer Strafandrohung für: - Information an Unberufene über Tatsache und Inhalt eines Telekommunikationsverkehrs weitergibt (bzw. dazu Gelegenheit gibt, selbst wahrzunehmen) - Nachricht fälscht, unrichtig wiedergibt, verändert, unterdrückt, unrichtig vermittelt oder unbefugt dem Empfangsberechtigten vorenthält - Strafrahmen: Freiheitsstrafe bis zu drei Monaten oder mit Geldstrafe bis zu 180 Tagessätzen - Täter ist nur auf Antrag des Verletzten zu verfolgen. - betrifft Betreiber und sein Pesonal (§ 93 Abs. 2) - Strafdrohungen für sonstige Nutzer von Kommunikationsdiensten in einem umfassenden Cybercrimepaket definiert (u.a. § 119 StGB) TKG § 108 Verletzung von Rechten der Benützer (1) Eine im § 93 Abs. 2 bezeichnete Person, die 1. unbefugt über die Tatsache oder den Inhalt des Telekommunikationsverkehrs bestimmter Personen einem Unberufenen Mitteilung macht oder ihm Gelegenheit gibt, Tatsachen, auf die sich die Pflicht zur Geheimhaltung erstreckt, selbst wahrzunehmen, 2. eine Nachricht fälscht, unrichtig wiedergibt, verändert, unterdrückt, unrichtig vermittelt oder unbefugt dem Empfangsberechtigten vorenthält, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu drei Monaten oder mit Geldstrafe bis zu 180 Tagessätzen zu bestrafen. (2) Der Täter ist nur auf Antrag des Verletzten zu verfolgen. § 93 Abs. 2: "Zur Wahrung des Kommunikationsgeheimnisses ist jeder Betreiber und alle Personen, die an der Tätigkeit des Betreibers mitwirken, verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist." Cybercrime-Paket - Auszug StGB § 118a Widerrechtlicher Zugriff auf ein Computersystem StGB § 119 Verletzung des Telekommunikationsgeheimnisses (1) Wer in der Absicht, sich oder einem anderen Unbefugten vom Inhalt einer im Wege einer Telekommunikation oder eines Computersystems übermittelten und nicht für ihn bestimmten Nachricht Kenntnis zu verschaffen, eine Vorrichtung, die an der Telekommunikationsanlage oder an dem Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen. StGB § 119a Missbräuchliches Abfangen von Daten StGB § 120 Mißbrauch von Tonaufnahme- oder Abhörgeräten VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

143 eCommerce - Datenschutzbestimmungen
Wo lagen die Probleme der TKG-Bestimmungen vor 11/2011? - strenge Datenschutzbestimmungen, aber eng definierter Anwendungsbereich (Betreiber von Kommunikationsnetzen und/oder Kommunikationsdiensten) - reine Internet- und Smartphone-Dienste (etwa Geo-Apps, Communities/Netzwerke, Web2.0, Blog-Betreiber, "Portale", Online-Shops, Auktionsplattformen, Online-Datenbanken, ...) sind nicht erfasst - für diese Dienste wurde zwar das E-Commerce-Gesetz geschaffen (Grundlage Richtlinie 2000/31/EG), hier finden sich aber keine Datenschutz-Bestimmungen - für diese Dienste gilt somit das DSG unter Berücksichtigung - sofern anwendbar - die Kommunikations-Datenschutz-RL 2002/58/EG mit TKG-Novelle 102/2011 weitgehend saniert, teilweise strenger als EG-Richtlinie 2002/58/EG idF 2009/136/EG ECG - Datenschutzhinweis § 2. Dieses Bundesgesetz lässt Belange des Abgabenwesens, des Datenschutzes und des Kartellrechts unberührt, seit 2011 RDatenschutz-egelungen des TKG 2003 auch auf Dienste der Informationsgesellschaft ausgedehnt Geltungsbereich ECG (§§ 1ff) - geregelt wird elektronischer Geschäfts- und Rechtsverkehr - Zulassung von Diensteanbietern, Informationspflichten, Abschluss von Verträgen, Verantwortlichkeit von Diensteanbietern (§ 1) § 3. Im Sinne dieses Bundesgesetzes bedeuten: 1. Dienst der Informationsgesellschaft: ein in der Regel gegen Entgelt elektronisch im Fernabsatz auf individuellen Abruf des Empfängers bereitgestellter Dienst (§ 1 Abs. 1 Z 2 Notifikationsgesetz 1999), insbesondere der Online-Vertrieb von Waren und Dienstleistungen, Online-Informationsangebote, die Online-Werbung, elektronische Suchmaschinen und Datenabfragemöglichkeiten sowie Dienste, die Informationen über ein elektronisches Netz übermitteln, die den Zugang zu einem solchen vermitteln oder die Informationen eines Nutzers speichern; VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

144 Grundlagen Österreich
Dienste der Informationsgesellschaft Grundlagen Österreich - E-Commerce-Gesetz – ECG, BGBl I 152/2001 - Fernabsatzgesetz, BGBl I 185/1999 (geregelt im KSchG) - Mediengesetz, BGBl I 49/2005, 151/2005 - Handelsrechts-Änderungsgesetz – HaRÄG, BGBl I 120/2005 (geregelt im Unternehmensgesetzbuch) Grundlagen EU - EG-Richtlinie 2000/31/EG "Richtlinie über den elektronischen Geschäftsverkehr" Regelung - regeln diverse Informations- und Auskunftspflichten bei Onlinediensten gem NotifG 1999 § 1 Abs 1 Z 2 Anwendungsbereich Die EU-Richtlinien gelten nur für den Binnenmarkt, österreichische Konsumentenschutzbestimmungen könnten auch gegenüber Nicht-EU-Anbieter angewandt werden (sofern sich das Angebot ausdrücklich an österreichische Konsumenten wendet). BGBl. I Nr. 183/1999 (StF) - Notifikationsgesetz NotifG 1999 § 1. (1) Im Sinne dieses Bundesgesetzes bedeuten: ... 2. „Dienst”: eine Dienstleistung der Informationsgesellschaft, das ist jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung, wobei im Sinne dieser Definition bedeuten: a) „im Fernabsatz erbrachte Dienstleistung”: eine Dienstleistung, die ohne gleichzeitige physische Anwesenheit der Parteien erbracht wird, b) „elektronisch erbrachte Dienstleistung”: eine Dienstleistung, die mittels Geräten für die elektronische Verarbeitung, einschließlich digitaler Kompression, und Speicherung von Daten am Ausgangspunkt gesendet und am Endpunkt empfangen und vollständig über Draht, über Funk, auf optischem oder anderem elektromagnetischen Weg gesendet, weitergeleitet und empfangen wird, und c) „auf individuellen Abruf eines Empfängers erbrachte Dienstleistung”: eine Dienstleistung, die durch die Übertragung von Daten auf individuelle Anforderung erbracht wird; Anlage 1 enthält eine nicht abschließende Liste jener Dienstleistungen, die nicht unter diese Definition fallen; VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

145 Geltungsbereich §§ 1ff ECG
E-Commerce-Gesetz Geltungsbereich §§ 1ff ECG - geregelt wird elektronischer Geschäfts- und Rechtsverkehr - Zulassung von Diensteanbietern, Informationspflichten, Abschluss von Verträgen, Verantwortlichkeit von Diensteanbietern (§ 1) - von den Bestimmungen unberührt bleiben Belange des Abgabenwesens, des Datenschutzes und des Kartellrechts (§ 2) -Dienst der Informationsgesellschaft (§ 3 Z 1): elektronisch im Fernabsatz auf individuellen Abruf des Empfängers (in der Regel) gegen Entgelt bereitgestellter Dienst, insbesondere - Online-Vertrieb von Waren und Dienstleistungen, - Online-Informationsangebote, - Online-Werbung, - elektronische Suchmaschinen, - Datenabfragemöglichkeiten, - Dienste, die Informationen über ein elektronisches Netz übermitteln, die den Zugang zu einem solchen vermitteln oder die Informationen eines Nutzers speichern (Access-, -Dienste) § 1 ECG (1) Dieses Bundesgesetz regelt einen rechtlichen Rahmen für bestimmte Aspekte des elektronischen Geschäfts- und Rechtsverkehrs. Es behandelt die Zulassung von Diensteanbietern, deren Informationspflichten, den Abschluss von Verträgen, die Verantwortlichkeit von Diensteanbietern, das Herkunftslandprinzip und die Zusammenarbeit mit anderen Mitgliedstaaten im elektronischen Geschäfts und Rechtsverkehr. (2) Die Bestimmungen dieses Bundesgesetzes über das Herkunftslandprinzip (§§ 20 bis 23) und die Zusammenarbeit mit anderen Mitgliedstaaten (§ 25) sind nur auf den Verkehr von Diensten der Informationsgesellschaft innerhalb des Europäischen Wirtschaftsraums anzuwenden. § 2. Dieses Bundesgesetz lässt Belange des Abgabenwesens, des Datenschutzes und des Kartellrechts unberührt. § 3. Im Sinne dieses Bundesgesetzes bedeuten: 1. Dienst der Informationsgesellschaft: ein in der Regel gegen Entgelt elektronisch im Fernabsatz auf individuellen Abruf des Empfängers bereitgestellter Dienst (§ 1 Abs. 1 Z 2 Notifikationsgesetz 1999), insbesondere der Online-Vertrieb von Waren und Dienstleistungen, Online-Informationsangebote, die Online-Werbung, elektronische Suchmaschinen und Datenabfragemöglichkeiten sowie Dienste, die Informationen über ein elektronisches Netz übermitteln, die den Zugang zu einem solchen vermitteln oder die Informationen eines Nutzers speichern; VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

146 Geltungsbereich §§ 1ff ECG II
E-Commerce-Gesetz Geltungsbereich §§ 1ff ECG II - Diensteanbieter (§ 3 Z 2): eine natürliche oder juristische Person oder sonstige rechtsfähige Einrichtung, die einen Dienst der Informationsgesellschaft bereitstellt - Nutzer (§ 3 Z 3): nimmt Dienst in Anspruch - Verbraucher (§ 3 Z 4): natürliche Person, die zu Zwecken handelt, die nicht zu ihren gewerblichen, geschäftlichen oder beruflichen Tätigkeiten gehören OGH 4Ob219/03i ("Online-Sexdienste") - Angeboten wurde Dialerzugang zu Porno-Webcams, geklagt wurde mangelnde Auszeichnung gem. ECG Entscheidung - Dienst im Sinne § 3 Z 1 ECG liegt bei Datenübertragung im Weg einer bidirektionalen Punkt-zu-Punkt-Verbindung vor - Nutzer kann Dienst interaktiv nach seinen Bedürfnissen (zB betreffend Zeit und Ort der Nutzung sowie Art des abgerufenen Inhalts) steuern - trifft auf Live-Cam-Darbietungen zu § 3 ECG ... 2. Diensteanbieter: eine natürliche oder juristische Person oder sonstige rechtsfähige Einrichtung, die einen Dienst der Informationsgesellschaft bereitstellt; 3. niedergelassener Diensteanbieter: ein Diensteanbieter, der eine Wirtschaftstätigkeit mittels einer festen Einrichtung auf unbestimmte Zeit tatsächlich ausübt, wobei das Vorhandensein und die Nutzung von technischen Mitteln und Technologien, die zur Bereitstellung des Dienstes erforderlich sind, für sich allein noch keine Niederlassung des Diensteanbieters begründen; 4. Nutzer: eine natürliche oder juristische Person oder sonstige rechtsfähige Einrichtung, die zu beruflichen oder sonstigen Zwecken einen Dienst der Informationsgesellschaft in Anspruch nimmt, insbesondere um Informationen zu erlangen oder Informationen zugänglich zu machen; 5. Verbraucher: eine natürliche Person, die zu Zwecken handelt, die nicht zu ihren gewerblichen, geschäftlichen oder beruflichen Tätigkeiten gehören; 6. kommerzielle Kommunikation: Werbung und andere Formen der Kommunikation, die der unmittelbaren oder mittelbaren Förderung des Absatzes von Waren und Dienstleistungen oder des Erscheinungsbildes eines Unternehmens dienen, ausgenommen a) Angaben, die einen direkten Zugang zur Tätigkeit des Unternehmens ermöglichen, etwa ein Domain-Name oder eine elektronische Postadresse, sowie b) unabhängig und insbesondere ohne finanzielle Gegenleistung gemachte Angaben über Waren, Dienstleistungen oder das Erscheinungsbild eines Unternehmens; 7. Mitgliedstaat: ein Mitgliedstaat der Europäischen Gemeinschaft oder des Abkommens über den Europäischen Wirtschaftsraum; VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

147 Allgemeine Informationspflichten § 5 ECG
E-Commerce-Gesetz Allgemeine Informationspflichten § 5 ECG leicht verständliche und eindeutige Information zu: - Personenname oder Firmen-/Organisationsname - geographische (ladungsfähige) Anschrift - Kontaktdaten (inkl. -Adresse) - evtl. zuständige Aufsichtsbehörde - evtl. FN-Nummer und Firmenbuchgericht - evtl. berufsrechtliche Vorschriften und Zugang - evtl. UID-Nummer - klare Preisauszeichnung! - Sonstige Informationspflichten bleiben unberührt! Verstoß: - Verwaltungsstrafe § 26 ECG (bis 3.000,- Euro) - Wettbewerbsverletzung § 1 UWG Bestimmung ist bei jedem Web-Angebot anzuwenden (nicht bloß Online-Shop) Informationspflichten Allgemeine Informationen § 5. (1) Ein Diensteanbieter hat den Nutzern ständig zumindest folgende Informationen leicht und unmittelbar zugänglich zur Verfügung zu stellen: 1. seinen Namen oder seine Firma; 2. die geografische Anschrift, unter der er niedergelassen ist; 3. Angaben, auf Grund deren die Nutzer mit ihm rasch und unmittelbar in Verbindung treten können, einschließlich seiner elektronischen Postadresse; 4. sofern vorhanden, die Firmenbuchnummer und das Firmenbuchgericht; 5. soweit die Tätigkeit einer behördlichen Aufsicht unterliegt, die für ihn zuständige Aufsichtsbehörde; 6. bei einem Diensteanbieter, der gewerbe- oder berufsrechtlichen Vorschriften unterliegt, die Kammer, den Berufsverband oder eine ähnliche Einrichtung, der er angehört, die Berufsbezeichnung und den Mitgliedstaat, in dem diese verliehen worden ist, sowie einen Hinweis auf die anwendbaren gewerbe- oder berufsrechtlichen Vorschriften und den Zugang zu diesen; 7. sofern vorhanden, die Umsatzsteuer-Identifikationsnummer. (2) Sofern in Diensten der Informationsgesellschaft Preise angeführt werden, sind diese so auszuzeichnen, dass sie ein durchschnittlich aufmerksamer Betrachter leicht lesen und zuordnen kann. Es muss eindeutig erkennbar sein, ob die Preise einschließlich der Umsatzsteuer sowie aller sonstigen Abgaben und Zuschläge ausgezeichnet sind (Bruttopreise) oder nicht. Darüber hinaus ist auch anzugeben, ob Versandkosten enthalten sind. (3) Sonstige Informationspflichten bleiben unberührt. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

148 Zugang elektronischer Erklärungen (§ 12 ECG)
E-Commerce-Gesetz Zugang elektronischer Erklärungen (§ 12 ECG) gilt als zugegangen, wenn mit dessen Kenntnisnahme („Abruf“) unter gewöhnlichen Umständen gerechnet werden kann - kann unterschiedlich bei Unternehmen und Privatpersonen sein - Aber: Risiko der Übermittlung und des vollständigen Zugangs einer beim Empfänger trägt der Absender - Eventuell Prüf- und Sorgfaltspflichten des Empfängers regelmäßige Nachschau in box, Sicherstellung des Betriebs (Providerhaftung!) Gegenwärtige -Systeme kennen keine zuverlässigen Identifikations- und Authentifikationsmechanismen - Zustelldienste mit elektronischer Signatur und personalisierten URLs sollen Abhilfe schaffen (siehe E-Government-Gesetz) z.B. Zugang elektronischer Erklärungen ECG § 12. Elektronische Vertragserklärungen, andere rechtlich erhebliche elektronische Erklärungen und elektronische Empfangsbestätigungen gelten als zugegangen, wenn sie die Partei, für die sie bestimmt sind, unter gewöhnlichen Umständen abrufen kann. Diese Regelung kann nicht zum Nachteil von Verbrauchern abbedungen werden. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

149 sonstige spezifische Diensteanbieter
E-Commerce-Gesetz sonstige spezifische Diensteanbieter (§§ ECG) - Durchleitung von Informationen (§ 13) ("AccessProvider") umfasst auch kurzfristiges Zwischenspeichern, etwa für die Dauer der Diensterbringung - Suchmaschinenbetreiber (§ 14) - Caching- und Proxy-Dienste (§ 15) - Hosting-Dienste (§ 16) ("Hosting-Provider") umfasst Bereitstellung von Speicherplatz für Webseiten, Blogs, aber auch nicht-öffentliche Datenbestände - Link-Dienste (§ 17) Bereitstellen eines Informationszugangs durch Links - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

150 strafbarer Handlungen
e-commerce - Diensteanbieter Verantwortung spezifischer Diensteanbieter (§§ ECG) - Durchleitung von Informationen (§ 13) ("AccessProvider") umfasst auch technisch erforderliches Zwischenspeichern, etwa - Suchmaschinen (§ 14) Keine Verantwortung unter bestimmten Umständen: 1. die Übermittlung/Abfrage nicht veranlasst, 2. den Empfänger der übermittelten/abgefragten Informationen nicht auswählt und 3. die übermittelten/abgefragten Informationen weder auswählt noch verändert. Auskunftspflicht im Fall § 13 gegenüber Gerichten zur Verhütung, Ermittlung, Aufklärung oder Verfolgung gerichtlich strafbarer Handlungen Ausschluss der Verantwortlichkeit bei Durchleitung § 13. (1) Ein Diensteanbieter, der von einem Nutzer eingegebene Informationen in einem Kommunikationsnetz übermittelt oder den Zugang zu einem Kommunikationsnetz vermittelt, ist für die übermittelten Informationen nicht verantwortlich, sofern er 1. die Übermittlung nicht veranlasst, 2. den Empfänger der übermittelten Informationen nicht auswählt und 3. die übermittelten Informationen weder auswählt noch verändert. (2) Die Übermittlung von Informationen und die Vermittlung des Zugangs im Sinn des Abs. 1 umfassen auch die automatische kurzzeitige Zwischenspeicherung der übermittelten Informationen, soweit diese Zwischenspeicherung nur der Durchführung der Übermittlung im Kommunikationsnetz dient und die Information nicht länger gespeichert wird, als es für die Übermittlung üblicherweise erforderlich ist. Ausschluss der Verantwortlichkeit bei Suchmaschinen § 14. (1) Ein Diensteanbieter, der Nutzern eine Suchmaschine oder andere elektronische Hilfsmittel zur Suche nach fremden Informationen bereitstellt, ist für die abgefragten Informationen nicht verantwortlich, sofern er 1. die Übermittlung der abgefragten Informationen nicht veranlasst, 2. den Empfänger der abgefragten Informationen nicht auswählt und 3. die abgefragten Informationen weder auswählt noch verändert. (2) Abs. 1 ist nicht anzuwenden, wenn die Person, von der die abgefragten Informationen stammen, dem Diensteanbieter untersteht oder von ihm beaufsichtigt wird VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

151 Verantwortung spezifischer Diensteanbieter II
e-commerce - Diensteanbieter Verantwortung spezifischer Diensteanbieter II (§ 15 ECG) - Zwischenspeicherung (Caching) von Informationen (§ 15) Keine Verantwortung unter bestimmten Umständen: 1. Keine Änderung der Information, 2. Bedingungen zum Informationszugang werden beachtet [z.B. kein allgemein zugänglich machen gesperrter Information], 3. Aktualisierung gemäß "Industriestandard" (?!), 4. Technologien zum Sammeln von Informationen lt. "Industriestandard" dürfen nicht beeinträchtigt werden (??) und 5. Unverzügliches entfernen der Information, wenn am Ursprungsort nicht vorhanden oder Gericht/Verwaltungsbehörde Sperre/Entfernung angeordnet hat Ausschluss der Verantwortlichkeit bei Zwischenspeicherungen (Caching) § 15. Ein Diensteanbieter, der von einem Nutzer eingegebene Informationen in einem Kommunikationsnetz übermittelt, ist für eine automatische, zeitlich begrenzte Zwischenspeicherung, die nur der effizienteren Gestaltung der auf Abruf anderer Nutzer erfolgenden Informationsübermittlung dient, nicht verantwortlich, sofern er 1. die Information nicht verändert, 2. die Bedingungen für den Zugang zur Information beachtet, 3. die Regeln für die Aktualisierung der Information, die in allgemein anerkannten und verwendeten Industriestandards festgelegt sind, beachtet, 4. die zulässige Anwendung von Technologien zur Sammlung von Daten über die Nutzung der Information, die in allgemein anerkannten und verwendeten Industriestandards festgelegt sind, nicht beeinträchtigt und 5. unverzüglich eine von ihm gespeicherte Information entfernt oder den Zugang zu ihr sperrt, sobald er tatsächliche Kenntnis davon erhalten hat, dass die Information am ursprünglichen Ausgangsort der Übertragung aus dem Netz entfernt oder der Zugang zu ihr gesperrt wurde oder dass ein Gericht oder eine Verwaltungsbehörde die Entfernung oder Sperre angeordnet hat. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

152 Verantwortung spezifischer Diensteanbieter III
e-commerce - Diensteanbieter Verantwortung spezifischer Diensteanbieter III (§§ ECG) - Hosting / Housing von Diensten (§ 16) Dienstleister speichert vom Nutzer eingegebene Daten - Unternehmenswebsite wird auf Server eines ISP verwaltet - Online-Händler mietet sich auf Webshop-Plattform ein - Leser gibt Kommentar in Onlineforum einer Zeitung ab - Benutzer bewertet Hotel, Gasthaus, ... auf einer Bewertungsplattform, trägt sich in einem Gästebuch ein - Benutzer verwendet Online-Office-Services oder -Fotobearbeitungsdienste oder ... - Benutzer hat Social-Account (auf Facebook, ...) und berichtet - Benutzer "zwitschert" über "Gott und die Welt" auf Twitter - Benutzer beteiligen sich an einem Themenforum - Unternehmen verlagern ihre Dienste in eine "Cloud" - Links auf fremde Dienste (§ 17) - Website verlinkt auf andere (fremde) Websites Ausschluss der Verantwortlichkeit bei Speicherung fremder Inhalte (Hosting) § 16. (1) Ein Diensteanbieter, der von einem Nutzer eingegebene Informationen speichert, ist für die im Auftrag eines Nutzers gespeicherten Informationen nicht verantwortlich, sofern er 1. von einer rechtswidrigen Tätigkeit oder Information keine tatsächliche Kenntnis hat und sich in Bezug auf Schadenersatzansprüche auch keiner Tatsachen oder Umstände bewusst ist, aus denen eine rechtswidrige Tätigkeit oder Information offensichtlich wird, oder, 2. sobald er diese Kenntnis oder dieses Bewusstsein erhalten hat, unverzüglich tätig wird, um die Information zu entfernen oder den Zugang zu ihr zu sperren. (2) Abs. 1 ist nicht anzuwenden, wenn der Nutzer dem Diensteanbieter untersteht oder von ihm beaufsichtigt wird. Ausschluss der Verantwortlichkeit bei Links § 17. (1) Ein Diensteanbieter, der mittels eines elektronischen Verweises einen Zugang zu fremden Informationen eröffnet, ist für diese Informationen nicht verantwortlich, 1. sofern er von einer rechtswidrigen Tätigkeit oder Information keine tatsächliche Kenntnis hat und sich in Bezug auf Schadenersatzansprüche auch keiner Tatsachen oder Umstände bewusst ist, aus denen eine rechtswidrige Tätigkeit oder Information offensichtlich wird, oder, 2. sobald er diese Kenntnis oder dieses Bewusstsein erlangt hat, unverzüglich tätig wird, um den elektronischen Verweis zu entfernen. (2) Abs. 1 ist nicht anzuwenden, wenn die Person, von der die Informationen stammen, dem Diensteanbieter untersteht oder von ihm beaufsichtigt wird oder der Diensteanbieter die fremden Informationen als seine eigenen darstellt. Dienstleister muss bei offensichtlichem Rechtsbruch von sich aus tätig werden, Beispiele: Newsgruppen, Tauschbörsen, Web-Angebote, Praxisbeispiel: eingescannte Landkarten VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

153 Verantwortung spezifischer Diensteanbieter IV
e-commerce - Diensteanbieter Verantwortung spezifischer Diensteanbieter IV (§ 18 für §§ ECG) Keine Verantwortung unter bestimmten Umständen: 1. sofern keine Kenntnis des rechtswidrigen Inhalts und auch keine Umstände bekannt, aus denen der rechtswidrige Inhalt oder Tätigkeit offensichtlich ist oder 2. bei Kenntnis der rechtswidrigen Tatsache unverzügliches tätig werden zum Entfernen des Hinweises/der Inhalte Erweiterte Auskunftspflichten bei Hosting  siehe Abschnitt Auskunftspflichten Aber: - keine generelle Überwachungspflicht, es müssen keine aktiven Maßnahmen zur Identifikation rechtswidriger Inhalte gesetzt werden - keine vorbeugenden Aufzeichnungspflichten (es erfolgte auch keine Regelung im Rahmen der Vorratsspeicherung) Umfang der Pflichten der Diensteanbieter § 18. (1) Die in den §§ 13 bis 17 genannten Diensteanbieter sind nicht verpflichtet, die von ihnen gespeicherten, übermittelten oder zugänglich gemachten Informationen allgemein zu überwachen oder von sich aus nach Umständen zu forschen, die auf rechtswidrige Tätigkeiten hinweisen. (2) Die in den §§ 13 und 16 genannten Diensteanbieter haben auf Grund der Anordnung eines dazu gesetzlich befugten inländischen Gerichtes diesem alle Informationen zu übermitteln, an Hand deren die Nutzer ihres Dienstes, mit denen sie Vereinbarungen über die Übermittlung oder Speicherung von Informationen abgeschlossen haben, zur Verhütung, Ermittlung, Aufklärung oder Verfolgung gerichtlich strafbarer Handlungen ermittelt werden können. (3) Die in § 16 genannten Diensteanbieter haben auf Grund der Anordnung einer Verwaltungsbehörde dieser den Namen und die Adressen der Nutzer ihres Dienstes, mit denen sie Vereinbarungen über die Speicherung von Informationen abgeschlossen haben, zu übermitteln, sofern die Kenntnis dieser Informationen eine wesentliche Voraussetzung der Wahrnehmung der der Behörde übertragenen Aufgaben bildet. (4) Die in § 16 genannten Diensteanbieter haben den Namen und die Adresse eines Nutzers ihres Dienstes, mit dem sie Vereinbarungen über die Speicherung von Informationen abgeschlossen haben, auf Verlangen dritten Personen zu übermitteln, sofern diese ein überwiegendes rechtliches Interesse an der Feststellung der Identität eines Nutzers und eines bestimmten rechtswidrigen Sachverhalts sowie überdies glaubhaft machen, dass die Kenntnis dieser Informationen eine wesentliche Voraussetzung für die Rechtsverfolgung bildet. (5) Sonstige Auskunfts- und Mitwirkungspflichten der Diensteanbieter gegenüber Behörden oder Gerichten bleiben unberührt. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

154 Datenschutzbestimmungen in Einzelgesetzen
sonstige Datenschutzbestimmungen Datenschutzbestimmungen in Einzelgesetzen e-Government-Gesetz (E-GovG) - schreibt bestimmte technische Verfahren in der Behördenkommunikation vor (Verschlüsselung, digitale Signatur) - ausführliche Angaben zur Datensicherheit Gesundheitstelematikgesetz (GTelG) - schreibt bestimmte technische Verfahren in der Kommunikation der Gesundheitsdienstleister vor - 2012: Regelung der Zugriffe auf Patientenakte [ELGA] elektronische Rechnungslegung (eBilling) - verlangt digitale Signatur bei elektronischen Rechnungen - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

155 Weitere Beispiele zu Datenschutzproblemen
weitere Demobeispiele Weitere Beispiele zu Datenschutzproblemen - -Verkehr - Versenden von Zusatzinformationen oder personalisierten Links - News- & Diskussionbeiträge - "System" vergisst nie (Zweck?) - Personensuchmaschinen - Qualität der verknüpften Informationen - Fotodaten (Exif) - Versenden von Zusatzinformationen (Zustimmung?) - Phishing - Diebstahl der (reduzierten) Benutzeridentität unter Vorspiegelung einer falschen Anbieteridentität Exif = Exchangeable Image File Format - Info-Beispiel: Hersteller: OLYMPUS IMAGING CORP., Modell: SP510UZ Beschreibung: OLYMPUS DIGITAL CAMERA Änderungsdatum: Montag, 30. April :02:10 Orientierung: Top / left side, X-Auflösung: 72/1, Y-Auflösung: 72/1 Auflösungseinheit: Inch Firmware Version: Version 1.1, YCbCr-Positionierung: 2, Kommentar: Aufnahmedatum: Montag, 30. April :02:10 Digitalisierungsdatum: Montag, 30. April :02:10 Belichtungszeit [s]: 1/640 Belichtungsprogramm: Creative (slow program) Belichtung: Auto, Exposure Bias [EV]: 0,0, F-Nummer: F3,7, Brennweite [mm]: 63 ISO-Wert: 68, Max. Blende: F2,8, Digitalzoom: Off Blitz: Not fired, compulsory flash mode, return light not detected Messmethode: Multi-segment, Gain-Kontrolle: Low up Lichtquelle: Unknown, Weissabgleich: Auto Kontrast: Normal, Sättigung: Normal, Schärfe: Normal, Farbraum: sRGB Dateiquelle: DSC, Andere Berechnung: Normal, Szenentyp: Aufnahmetyp: Standard, Bildbreite: 3072, Bildhöhe: 2304, Komponentenkonf.: YCbCr Durchschn. Kompression: 2/1, EXIF-Version: 0221, FlashPix Version: 0100 Herstellerinfos: 4F 4C ** ** A ** Kamera-ID: 4F 4C ** ** C D FF FF FF FF FF FF FF FF FF .... VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

156 Auskunftspflichten/Überwachung
Vorratsdatenspeicherung StPO TelekommunikationsG 2003 Sicherheitspolizeigesetz E-CommerceG - UrheberrechtsG VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

157 Vorratsdatenspeicherung (in Ö seit 1.4.2012)
Aufzeichnungspflichten Vorratsdatenspeicherung (in Ö seit ) Richtlinie 2006/24/EG verpflichtet Mitgliedstaaten, Vorratsdatenspeicherung einzuführen - Verkehrsdaten, inklusive Standortdaten betroffen sind auch nicht angenommene Kontaktversuche und Anrufe - Aufzeichnungsverbot der Inhaltsdaten (sehr allgemein gefasst) "keinerlei Daten, die Aufschluss über den Inhalt einer Kommunikation geben" (Art. 5 Abs. 2) - Speicherdauer von den Mitgliedsstaaten festzulegen: 6 bis 24 Monate - Umsetzungsfrist Telefonie: bis für Internetaufzeichnungen konnte ein Umsetzungsvorbehalt abgegeben werden, dann verlängerte sich die Umsetzungsfrist bis Delikte, wegen denen auf Daten zugegriffen werden darf: - „schwere“ Straftaten, national definiert (Art. 1) - ebenso bei unzulässigem TK-Gebrauch (ohne Untergrenze, EG 4) RICHTLINIE 2006/24/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG EG (4) In Artikel 15 Absatz 1 der Richtlinie 2002/58/EG ist festgelegt, unter welchen Bedingungen die Mitgliedstaaten die Rechte und Pflichten gemäß Artikel 5, Artikel 6, Artikel 8 Absätze 1, 2, 3 und 4 sowie Artikel 9 der genannten Richtlinie beschränken dürfen. Etwaige Beschränkungen müssen zu besonderen Zwecken der Aufrechterhaltung der öffentlichen Ordnung, d. h. für die nationale Sicherheit (d. h. die Sicherheit des Staates), die Landesverteidigung, die öffentliche Sicherheit oder die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen, in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig sein. Artikel 1 - Gegenstand und Anwendungsbereich (1) Mit dieser Richtlinie sollen die Vorschriften der Mitgliedstaaten über die Pflichten von Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste oder Betreibern eines öffentlichen Kommunikationsnetzes im Zusammenhang mit der Vorratsspeicherung bestimmter Daten, die von ihnen erzeugt oder verarbeitet werden, harmonisiert werden, um sicherzustellen, dass die Daten zum Zwecke der Ermittlung, Feststellung und Verfolgung von schweren Straftaten, wie sie von jedem Mitgliedstaat in seinem nationalen Recht bestimmt werden, zur Verfügung stehen. Artikel 5 - Kategorien von auf Vorrat zu speichernden Daten ... (2) Nach dieser Richtlinie dürfen keinerlei Daten, die Aufschluss über den Inhalt einer Kommunikation geben, auf Vorrat gespeichert werden. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

158 Vorratsdatenspeicherung II
Aufzeichnungspflichten Vorratsdatenspeicherung II aufzuzeichnende Telefondaten - Namen und Adressen, Datum, Uhrzeit, Dauer einer Verbindung, Telefonnummern (inkl. IMSI- und IMEI-Nummer), auch zu abgebrochenen/erfolglosen Verbindungsversuchen - bei Wertkartengeräten: zusätzlich Datum, Uhrzeit, Ort der ersten Aktivierung aufzuzeichnende Internetdaten - Wer hatte wann welche IP-Adresse genutzt? - Verbindungen zu - und Telefoniediensten - zum größten Teil Informationen, die bisher nicht erhoben/gespeichert werden Österreich hatte zu den Internetdaten einen Umsetzungsvorbehalt abgegeben - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

159 Vorratsdatenspeicherung III
Aufzeichnungspflichten Vorratsdatenspeicherung III Umsetzung Österreich - Novelle des TKG 2003 Mai 2011, in Kraft seit - Speicherdauer 6 Monate (BMI & Kopierindustrie wollten längere Speicherdauer) - Speicherung soll bei den Betreibern erfolgen, spezifische Sicherheitsanforderungen (§ 102c TKG 2003) - beschränkter Zugang ("Vier-Augen-Prinzip") - Protokollierungspflicht bei Datenverwendung - Berichtspflicht bezüglich der Protokolldaten an Datenschutzkommission und Nationalrat - Umsetzung in Österreich erst nach erster Verurteilung durch EuGH - Juni 2012 VfGH-Beschwerde gegen Vorratsdatenspeicherung - November 2012 knapp 200 Anfragen zu Vorratsdaten Vereinbarkeit Vorratsdatenspeicherung mit EU-Grundrechtecharta - Dezember 2012 VfGH: Vorabentscheidungsverfahren vor EuGH - Jänner 2013 DSK: Vorabentscheidungsverfahren vor EuGH - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

160 Vorratsdatenspeicherung IV
Aufzeichnungspflichten Vorratsdatenspeicherung IV Delikte, wegen denen Vorratsdaten beauskunftet werden dürfen (in StPO § 135 Abs. 2a geregelt  Abs. 2 Z 2 bis 4): - bei Straftaten mit Freiheitsstrafe von mehr als einem Jahr (Z 3,4) - mit Zustimmung des Inhabers einer technischen Einrichtung bei Straftaten mit Freiheitsstrafe von mehr als einem halben Jahr (Z 2) Ausnahmen von der Speicherpflicht: - keine Speicherpflicht für "kleine" Provider § 102 a Abs. 6 TKG 2003 (Umsatzgrenze ca Euro) - keine Speicherpflicht wenn Dienst nur "nebengewerblich" erbracht wird (Hotels, Cafe mit Internet, ...) - keine Speicherpflicht, wenn Dienst nicht gewerblich betrieben wird (z.B. alle Unternehmen mit eigenen Mailsystemen, trifft auf etwa 80% der größeren Unternehmen (>50 MA) zu) § 102a. (1) Über die Berechtigung zur Speicherung oder Verarbeitung gemäß den §§ 96, 97, 99, 101 und 102 hinaus haben Anbieter von öffentlichen Kommunikationsdiensten nach Maßgabe der Abs. 2 bis 4 Daten ab dem Zeitpunkt der Erzeugung oder Verarbeitung bis sechs Monate nach Beendigung der Kommunikation zu speichern. Die Speicherung erfolgt ausschließlich zur Ermittlung, Feststellung und Verfolgung von Straftaten, deren Schwere eine Anordnung nach § 135 Abs 2a StPO rechtfertigt. (2) Anbietern von Internet-Zugangsdiensten obliegt die Speicherung folgender Daten: 1. Name, Anschrift und Teilnehmerkennung des Teilnehmers, dem eine öffentliche IP-Adresse zu einem bestimmten Zeitpunkt unter Angabe der zugrunde liegenden Zeitzone zugewiesen war; 2. Datum und Uhrzeit der Zuteilung und des Entzugs einer öffentlichen IP-Adresse bei einem Internet-Zugangsdienst unter Angabe der zugrundeliegenden Zeitzone; 3. die Rufnummer des anrufenden Anschlusses für den Zugang über Wählanschluss; 4. die eindeutige Kennung des Anschlusses, über den der Internet-Zugang erfolgt ist. (3) Anbietern öffentlicher Telefondienste einschließlich Internet-Telefondiensten obliegt die Speicherung folgender Daten: 1. Teilnehmernummer oder andere Kennung des anrufenden und des angerufenen Anschlusses; 2. bei Zusatzdiensten wie Rufweiterleitung oder Rufumleitung die Teilnehmernummer, an die der Anruf geleitet wird; 3. Name und Anschrift des anrufenden und des angerufenen Teilnehmers; 4. Datum, Uhrzeit des Beginns und Dauer eines Kommunikationsvorganges unter Angabe der zugrundeliegenden Zeitzone; 5. die Art des in Anspruch genommenen Dienstes (Anrufe, Zusatzdienste und Mitteilungs- und Multimediadienste). 6. Bei Mobilfunknetzen zudem a) der internationalen Mobilteilnehmerkennung (IMSI) des anrufenden und des angerufenen Anschlusses; b) der internationalen Mobilfunkgerätekennung (IMEI) des anrufenden und des angerufenen Anschlusses; c) Datum und Uhrzeit der ersten Aktivierung des Dienstes und die Standortkennung (Cell-ID), an dem der Dienst aktiviert wurde, wenn es sich um vorbezahlte anonyme Dienste handelt; d) der Standortkennung (Cell-ID) bei Beginn einer Verbindung. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

161 Vorratsdatenspeicherung V
Aufzeichnungspflichten Vorratsdatenspeicherung V Umfang der Aufzeichnung (§ 102a TKG 2003), Auswahl II: - bei Internet-Zugangsdiensten (Abs 2): Teilnehmerdaten, Datum und Uhrzeit der Zuteilung und des Entzugs einer öffentlichen IP-Adresse, Anschlusskennung - bei Telefon- und Internet-Telefondiensten: Teilnehmerdaten, Anschlusskennung, Dienstart (z.B. Gespräch, SMS, MMS, ...), Beginn-Datum, -Uhrzeit und Dauer des Dienstes - bei Mobilfunkdiensten zusätzlich: IMSI (Teilnehmerkennung) und IMEI (Gerätekennung), bei Prepaid-Diensten Daten der ersten Aktivierung, Standortkennung (Cell-ID) - bei -Diensten: Teilnehmerdaten, Teilnehmerkennung, Adressen von Absender und Empfänger, Ab- und Anmeldedaten zu Maildienst inkl. öffentliche IP-Adresse, bei Versenden öffentliche IP-Adresse des Absenders, bei Empfang öffentliche IP-Adresse der "letztübermittelnden Kommunikationsnetzeinrichtung" - auch erfolglose Anrufversuche sind aufzuzeichnen, wenn Betreiber diese Daten erhebt § 102a. ... (4) Anbietern von -Diensten obliegt die Speicherung folgender Daten: 1. die einem Teilnehmer zugewiesene Teilnehmerkennung; 2. Name und Anschrift des Teilnehmers, dem eine -Adresse zu einem bestimmten Zeitpunkt zugewiesen war; 3. bei Versenden einer die -Adresse und die öffentliche IP-Adresse des Absenders sowie die -Adresse jedes Empfängers der ; 4. beim Empfang einer und deren Zustellung in ein elektronisches Postfach die -Adresse des Absenders und des Empfängers der Nachricht sowie die öffentliche IP-Adresse der letztübermittelnden Kommunikationsnetzeinrichtung; 5. bei An- und Abmeldung beim -Dienst Datum, Uhrzeit, Teilnehmerkennung und öffentliche IP-Adresse des Teilnehmers unter Angabe der zugrunde liegenden Zeitzone. (5) Die Speicherpflicht nach Abs. 1 besteht nur für jene Daten gemäß Abs. 2 bis 4, die im Zuge der Bereitstellung der betreffenden Kommunikationsdienste erzeugt oder verarbeitet werden. Im Zusammenhang mit erfolglosen Anrufversuchen besteht die Speicherpflicht nach Abs. 1 nur, soweit diese Daten im Zuge der Bereitstellung des betreffenden Kommunikationsdienstes erzeugt oder verarbeitet und gespeichert oder protokolliert werden. (6) Die Speicherpflicht nach Abs. 1 besteht nicht für solche Anbieter, deren Unternehmen nicht der Verpflichtung zur Entrichtung des Finanzierungsbeitrages gemäß § 34 KommAustriaG unterliegen. (7) Der Inhalt der Kommunikation und insbesondere Daten über im Internet aufgerufene Adressen dürfen auf Grund dieser Vorschrift nicht gespeichert werden. (8) Die nach Abs. 1 zu speichernden Daten sind nach Ablauf der Speicherfrist unbeschadet des § 99 Abs. 2 unverzüglich, spätestens jedoch einen Monat nach Ablauf der Speicherfrist, zu löschen. Die Erteilung einer Auskunft nach Ablauf der Speicherfrist ist unzulässig. (9) Im Hinblick auf Vorratsdaten, die gemäß § 102b übermittelt werden, richten sich die Ansprüche auf Information oder Auskunft über diese Datenverwendung ausschließlich nach den Bestimmungen der StPO. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

162 Sind das die relevanten Informationen?
Aufzeichnungspflichten Was wird bei einer aufgezeichnet? Sind das die relevanten Informationen? - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

163 Was wird bei einer E-Mail aufgezeichnet? II
Aufzeichnungspflichten Was wird bei einer aufgezeichnet? II weitere nützliche Informationen wir betätigen uns als Cyber-Cop - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

164 Rechtshilfeverfahren mit Azerbaijan?
Aufzeichnungspflichten Was wird bei einer aufgezeichnet? III Rechtshilfeverfahren mit Azerbaijan? - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

165 Was wird bei einer E-Mail aufgezeichnet? IV
Aufzeichnungspflichten Was wird bei einer aufgezeichnet? IV Rechtshilfeverfahren mit USA? - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

166 Überwachung gemäß StPO (§§ 134–140)
Auskunftspflichten / Überwachung StPO Überwachung gemäß StPO (§§ 134–140) Drei Formen der Eingriffs - Fall 1: "Auskunft über Daten einer Nachrichtenübermittlung" § 134 Abs. 2 - auch "äußere Rufdatenerfassung" umfasst: "aktuelle" Verkehrs-, Zugangs- und Standortdaten - Fall 2: "Auskunft über Vorratsdaten" § 134 Abs. 2a - umfasst: historische Verkehrs-, Zugangs- und Standortdaten (bis sechs Monate alt) - Fall 3: "Überwachung von Nachrichten" § 134 Abs. 3 - "[innere] Rufdatenerfassung" umfasst: Inhalt von Nachrichten Anzuwenden auf Telekommunikationsdienste (gem. TKG) oder Dienste der Informationsgesellschaft (gem. Notifikationsgesetz) Beispiele: Telekomunternehmen (inkl. Mobilfunk), Access-Provider, Mailservice-Anbieter, Forumsbetreiber, "Skype" (VoIP), ... Notifikationsgesetz 1999 § 1 Z 2. ,,Dienst'': eine Dienstleistung der Informationsgesellschaft, das ist jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung, wobei im Sinne dieser Definition bedeuten: a) ,,im Fernabsatz erbrachte Dienstleistung'': eine Dienstleistung, die ohne gleichzeitige physische Anwesenheit der Parteien erbracht wird, b) ,,elektronisch erbrachte Dienstleistung'': eine Dienstleistung, die mittels Geräten für die elektronische Verarbeitung, einschließlich digitaler Kompression, und Speicherung von Daten am Ausgangspunkt gesendet und am Endpunkt empfangen und vollständig über Draht, über Funk, auf optischem oder anderem elektromagnetischen Weg gesendet, weitergeleitet und empfangen wird, und c) ,,auf individuellen Abruf eines Empfängers erbrachte Dienstleistung'': eine Dienstleistung, die durch die Übertragung von Daten auf individuelle Anforderung erbracht wird; Anlage 1 enthält eine nicht abschließende Liste jener Dienstleistungen, die nicht unter diese Definition fallen; VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

167 Überwachung gemäß StPO (§§ 134–140)
Auskunftspflichten / Überwachung StPO Überwachung gemäß StPO (§§ 134–140) Voraussetzungen für Fall 1 (§ 135 Abs. 2) : - Z 1: Entführungsfall (Verdacht) - Z 2: vorsätzlich begangene Straftat, Freiheitsstrafe von mehr als sechs Monaten mit Zustimmung des Inhabers der Einrichtung (Aufklärung) - Z 3,4: vorsätzlich begangene Straftat, Freiheitsstrafe von mehr als ein Jahr (Aufklärung, Fahndung) - Auskunftszeitraum kann sowohl Zukunft, als auch Vergangenheit umfassen, Verlängerung möglich (§ 137 Abs. 3) Voraussetzungen für Fall 2 (§ 135 Abs. 2a) : analog Fall 1, jedoch nur Z 2 bis 4 (nicht "Entführungsfall") StPO § (2) Auskunft über Daten einer Nachrichtenübermittlung ist zulässig, 1. wenn und solange der dringende Verdacht besteht, dass eine von der Auskunft betroffene Person eine andere entführt oder sich sonst ihrer bemächtigt hat, und sich die Auskunft auf Daten einer solchen Nachricht beschränkt, von der anzunehmen ist, dass sie zur Zeit der Freiheitsentziehung vom Beschuldigten übermittelt, empfangen oder gesendet wird, 2. wenn zu erwarten ist, dass dadurch die Aufklärung einer vorsätzlich begangenen Straftat, die mit einer Freiheitsstrafe von mehr als sechs Monaten bedroht ist, gefördert werden kann und der Inhaber der technischen Einrichtung, die Ursprung oder Ziel einer Übertragung von Nachrichten war oder sein wird, der Auskunft ausdrücklich zustimmt, oder 3. wenn zu erwarten ist, dass dadurch die Aufklärung einer vorsätzlich begangenen Straftat, die mit Freiheitsstrafe von mehr als einem Jahr bedroht ist, gefördert werden kann und auf Grund bestimmter Tatsachen anzunehmen ist, dass dadurch Daten des Beschuldigten ermittelt werden können. 4. wenn auf Grund bestimmter Tatsachen zu erwarten ist, dass dadurch der Aufenthalt eines flüchtigen oder abwesenden Beschuldigten, der einer vorsätzlich begangenen, mit mehr als einjähriger Freiheitsstrafe bedrohten strafbaren Handlung dringend verdächtig ist, ermittelt werden kann. (2a) Auskunft über Vorratsdaten (§§ 102a und 102b TKG) ist in den Fällen des Abs. 2 Z 2 bis 4 zulässig. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

168 Überwachung gemäß StPO (§§ 134–140)
Auskunftspflichten / Überwachung StPO Überwachung gemäß StPO (§§ 134–140) Voraussetzungen für Fall 3 (§ 135 Abs. 3) : - wie Fall 1 Z 1, 2 und Z 4: - Z 3 jedoch erweitert: bei vorsätzlich begangener Straftat, Freiheitsstrafe von mehr als ein Jahr erforderlich oder Verhinderung oder Aufklärung im Rahmen einer kriminellen oder terroristischen Vereinigung oder einer kriminellen Organisation (§§ 278 bis 278b StGB) begangenen oder geplanten strafbaren Handlungen ansonsten wesentlich erschwert wäre und a. Inhaber der technischen Einrichtung dringend verdächtig oder b. verdächtige Person benutzt die technische Einrichtung oder stellt Verbindung dazu her - Überwachung kann nur für zukünftigen Zeitraum angeordnet werden (§ 137 Abs. 3) StPO § (3) Überwachung von Nachrichten ist zulässig, 1. in den Fällen des Abs. 2 Z 1, 2. in den Fällen des Abs. 2 Z 2, sofern der Inhaber der technischen Einrichtung, die Ursprung oder Ziel einer Übertragung von Nachrichten war oder sein wird, der Überwachung zustimmt, 3. wenn dies zur Aufklärung einer vorsätzlich begangenen Straftat, die mit Freiheitsstrafe von mehr als einem Jahr bedroht ist, erforderlich erscheint oder die Aufklärung oder Verhinderung von im Rahmen einer kriminellen oder terroristischen Vereinigung oder einer kriminellen Organisation (§§ 278 bis 278b StGB) begangenen oder geplanten strafbaren Handlungen ansonsten wesentlich erschwert wäre und a. der Inhaber der technischen Einrichtung, die Ursprung oder Ziel einer Übertragung von Nachrichten war oder sein wird, der vorsätzlich begangenen Straftat, die mit Freiheitsstrafe von mehr als einem Jahr bedroht ist, oder einer Straftat gemäß §§ 278 bis 278b StGB dringend verdächtig ist, oder b. auf Grund bestimmter Tatsachen anzunehmen ist, dass eine der Tat (lit. a) dringend verdächtige Person die technische Einrichtung benützen oder mit ihr eine Verbindung herstellen werde; 4. in den Fällen des Abs. 2 Z 4. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

169 Überwachung gemäß StPO (§§ 134–140)
Auskunftspflichten / Überwachung StPO Überwachung gemäß StPO (§§ 134–140) - Von der Staatsanwaltschaft mit gerichtlicher Bewilligung anzuordnen (§ 137 Abs. 1 StPO) - Mitwirkungs- und Auskunftspflicht für Betreiber nach TKG und Diensteanbieter nach E-Commerce-Gesetz (§ 138 Abs. 2 StPO) Verpflichtung geregelt in der Überwachungsverordnung (§ 94 TKG 2003), Sprachtelefoniebetreiber mit eigenen physikalischen Anschlüssen müssen spezielle technische Einrichtungen zur Überwachung bereitstellen, ab % Kostenersatz im Zusammenhang mit Vorratsspeicherung, bei allen Unternehmen - Anspruch auf Kostenersatz (geregelt in der Überwachungskostenverordnung, ÜKVO) aber: gilt nur für Telekom-Anbieter, für Diensteanbieter nach ECG weder spezifische Regelungen, noch Kostenersatz vorgesehen Verordnung der Bundesministerin für Verkehr, Innovation und Technologie über die Überwachung des Fernmeldeverkehrs (Überwachungsverordnung - ÜVO) StF: BGBl. II Nr. 418/2001 Verordnung der Bundesministerin für Justiz über den Ersatz der Kosten der Betreiber für die Mitwirkung an der Überwachung einer Telekommunikation (Überwachungskostenverordnung - ÜKVO) StF: BGBl. II Nr. 322/2004 Verpflichtete E-Commerce-Anbieter: §13 ECG: "Access-Provider", "ISP" Diensteanbieter, der von einem Nutzer eingegebene Informationen in einem Kommunikationsnetz übermitteln oder den Zugang zu einem Kommunikationsnetz vermitteln. §16 ECG: "Hosting-Provider" Diensteanbieter, der von einem Nutzer eingegebene Informationen speichert. umfasst etwa Anbieter von Webspace, Webhosts, Serverhousing, Mailservice, Blogservice, Forumsbetreiber, Social Media - Anbieter, ... Nicht betroffen: Suchmaschinenbetreiber, Caching- oder Proxy-Services VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

170 Überwachung gemäß StPO (§§ 134–140)
Auskunftspflichten / Überwachung StPO Überwachung gemäß StPO (§§ 134–140) - Verständigungspflicht des Beschuldigen (§ 138 Abs 5 StPO) aber: kann aufgeschoben werden, wenn dieses oder anderes Verfahren gefährdet ist - Einsichtsrecht des Beschuldigten in alle für das Verfahren bedeutsamen Ergebnisse (§ 139 Abs. 1 StPO) - Einsichtsrecht der sonstigen Betroffenen insoweit sie davon betroffen sind, die Betroffenen sind von diesem Recht zu informieren (§ 139 Abs. 2 StPO) aber: nur insoweit ihre Identität bekannt oder ohne besonderen Verfahrensaufwand feststellbar ist - Beweisverwertungbeschränkung, Nichtigkeit bei rechtswidriger Überwachung (§ 140 StPO) aber: Verwertung von "Zufallsfunden" zulässig, wenn Überwachungsvoraussetzungen gegeben gewesen wäre - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

171 VO SS2013 - Juridicum Auskunftspflichten / Überwachung StPO
Telefonüber- äußere Rufdaten Inhaltsüber- Anträge wachung bewilligt wachung Ö Ö Ö Ö Ö Ö Ö Ö Ö Ö Ö Ö 2012 im Juni 2013 noch nicht verfügbar Graphik: Dieter Kronegger Daten: Sicherheitsberichte des BMI und BMJ Seit Änderung der StPO: StA ordnet mit richterlicher Bewilligung an. Bis 2007 Telefon-Überwachung, seit Überwachung von „Nachrichten“ (Telefon und Internet). Quelle: Sicherheitsberichte des BMJ. VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

172 Thema "Online-Trojaner" (in Planung?)
Auskunftspflichten / Überwachung Thema "Online-Trojaner" (in Planung?) Was ist das? - Technisches Instrument, dass es erlaubt Computerinhalte und -prozesse von der Ferne (Remote) ohne Wissen des Benutzers zu überwachen - Installation kann vor Ort oder über Datenleitung (Internet) erfolgen, erfordert jedoch immer Manipulation des Computers - Technik: Key-Logger, Screen-Shots, Dateitransfer, Suchprogramme Rechtsgrundlage / Diskussionspunkte - Rechtsgrundlage wird vom überwachten Gegenstand abhängen: Datenverkehr mit der Außenwelt (Kommunikation) oder private Dateien, Notizen, die nicht für Dritte bestimmt sind - ist das elektronische Aufzeichnen von Tastatureingaben oder Bildschirmanzeigen durch "großen Lauschangriff" (optisches und akustisches nicht-öffentliches Verhalten) abgedeckt? - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

173 Auskunftspflichten nach dem TKG 2003
Auskunftspflichten TKG 2003 Auskunftspflichten nach dem TKG 2003 Auskunft gegenüber Verwaltungsbehörden (§ 90 Abs. 6 TKG 2003) - Name, akademischer Grad, Wohnadresse, Teilnehmernummer, Vertragsinformationen, nicht Bonitätsdaten(!) (Stammdaten gem. § 92 Abs. 3 Z 3 lit. a bis e) - Voraussetzung: Verdacht einer Verwaltungsübertretung mittels öffentlichem Telekommunikationsnetz begangen - schriftlich, begründet und nur insoweit ohne Auswertung von Verkehrsdaten möglich § 90 Abs. 6 TKG 2003 Anbieter von Kommunikationsdiensten sind verpflichtet, Verwaltungsbehörden auf deren schriftliches und begründetes Verlangen Auskunft über Stammdaten im Sinne von § 92 Abs. 3 Z 3 lit. a bis e von Teilnehmern zu geben, die in Verdacht stehen, durch eine über ein öffentliches Telekommunikationsnetz gesetzte Handlung eine Verwaltungsübertretung begangen zu haben, soweit dies ohne Verarbeitung von Verkehrsdaten möglich ist. Auskünfte an Betreiber von Notrufdiensten § 98 TKG 2003 § 98. (1) Betreiber eines Kommunikationsnetzes oder –dienstes haben Betreibern von Notrufdiensten auf deren Verlangen Auskünfte über Stammdaten im Sinne von § 92 Abs. 3 Z 3 lit. a bis d sowie über Standortdaten im Sinne des § 92 Abs. 3 Z 6 zu erteilen. In beiden Fällen ist Voraussetzung für die Zulässigkeit der Übermittlung ein Notfall, der nur durch Bekanntgabe dieser Informationen abgewehrt werden kann. Die Notwendigkeit der Informationsübermittlung ist vom Betreiber des Notrufdienstes zu dokumentieren und dem Betreiber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nachzureichen. Der Betreiber darf die Übermittlung nicht von der vorherigen Darlegung der Notwendigkeit abhängig machen. Den Betreiber des Notrufdienstes trifft die Verantwortung für die rechtliche Zulässigkeit des Auskunftsbegehrens. (2) Ist eine aktuelle Standortfeststellung nicht möglich, darf die Standortkennung (Cell-ID) zum letzten Kommunikationsvorgang der Endeinrichtung des gefährdeten Menschen verarbeitet werden, auch wenn hierfür ein Zugriff auf gemäß § 102a Abs. 3 Z 6 lit. d gespeicherte Vorratsdaten erforderlich ist. Der Anbieter hat den betroffenen Teilnehmer über eine Auskunft über Standortdaten nach dieser Ziffer frühestens nach 48 Stunden, jedoch spätestens nach 30 Tagen grundsätzlich durch Versand einer Kurzmitteilung (SMS), wenn dies nicht möglich ist schriftlich, zu informieren. Diese Information hat zu enthalten: a) die Rechtsgrundlage, b) die betroffene Daten, c) das Datum und die Uhrzeit der Abfrage, d) Angabe der Stelle, von der die Standortfeststellung in Auftrag gegeben wurde, sowie eine entsprechende Kontaktinformation. ... VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

174 Auskunftspflichten nach dem TKG 2003 II
Auskunftspflichten TKG 2003 Auskunftspflichten nach dem TKG 2003 II Auskunft an Notrufträger (§ 98 TKG 2003) - Name, akademischer Grad, Wohnadresse, Teilnehmernummer (Stammdaten gem. § 92 Abs. 3 Z 3 lit. a bis d) + Standortdaten (gem. § 92 Abs. 3 Z 6) - Standortdaten sind schon bei Rufaufbau bekannt zu geben - wenn aktuelle Standortdaten nicht feststellbar, dann auch Auskunft über letzte bekannte Cell-ID, auch wenn dazu Vorratsdaten erforderlich (gem. § 102a Abs. 3 Z 6 lit. d gespeicherte Vorratsdaten) - Auskunftserfordernis ist durch Notrufträger zu dokumentieren und unverzüglich, spätestens innerhalb von 24 Stunden dem Betreiber vorzulegen - nur im Fall der Verwendung von Vorratsdaten: Anbieter hat "frühestens nach 48 Stunden, jedoch spätestens nach 30 Tagen grundsätzlich durch Versand einer Kurzmitteilung (SMS), wenn dies nicht möglich ist schriftlich, zu informieren" - VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

175 komplexe Auskunftspflichten nach dem SPG
Auskunftspflichten SPG komplexe Auskunftspflichten nach dem SPG § 53 Abs. 1 regelt generell Verwendung personenbezogener Daten bei Sicherheitsbehörden, u.a. - Abwehr krimineller Verbindungen [iS § 16 Abs. 1 Z 2: drei oder mehr Menschen mit dem Vorsatz fortgesetzt gerichtlich strafbare Handlungen zu begehen] (Z 2) - erweiterte Gefahrenerforschung (Z 2a) [z.B. iS § 21 Abs. 3 Z 1 eine einzelne Person, die sich mittels Telekommunikationseinrichtungen für Gewalt ausspricht oder nach Massenvernichtungsmittel recherchiert und bei dem mit Gewalttaten "zu rechnen" ist] - Abwehr gefährlicher Angriffe [iS § 16 Abs. 3, jedes Offizialdelikt, Anm.] einschließlich notwendige Gefahrenerforschung (Z 3) - Analyse und Bewertung der Wahrscheinlichkeit einer Gefährdung verfassungsmäßiger Einrichtungen (Z 7) § 53. (1) Die Sicherheitsbehörden dürfen personenbezogene Daten ermitteln und weiterverarbeiten 1. für die Erfüllung der ersten allgemeinen Hilfeleistungspflicht (§ 19); 2. für die Abwehr krimineller Verbindungen (§§ 16 Abs. 1 Z 2 und 21); 2a für die erweiterte Gefahrenerforschung (§ 21 Abs. 3) unter den Voraussetzungen des § 91c Abs. 3; 3. für die Abwehr gefährlicher Angriffe (§§ 16 Abs. 2 und 3 sowie 21 Abs. 2); einschließlich der im Rahmen der Gefahrenabwehr notwendigen Gefahrenerforschung (§ 16 Abs. 4 und § 28a); 4. für die Vorbeugung wahrscheinlicher gefährlicher Angriffe gegen Leben, Gesundheit, Sittlichkeit, Freiheit, Vermögen oder Umwelt (§ 22 Abs. 2 und 3) oder für die Vorbeugung gefährlicher Angriffe mittels Kriminalitätsanalyse, wenn nach der Art des Angriffes eine wiederholte Begehung wahrscheinlich ist; 5. für Zwecke der Fahndung (§ 24); 6. um bei einem bestimmten Ereignis die öffentliche Ordnung aufrechterhalten zu können; 7. für die Analyse und Bewertung der Wahrscheinlichkeit einer Gefährdung der verfassungsmäßigen Einrichtungen und ihrer Handlungsfähigkeit durch die Verwirklichung eines Tatbestandes nach dem Vierzehnten und Fünfzehnten Abschnitt des Strafgesetzbuches. Von 1.Jänner bis 30. September 2008 wurden insgesamt 6707 Personen ohne richterlichen Beschluss ausgeforscht. Davon: 4665 Telefonanschlüsse, 1308 Nutzer von IP-Adressen, 695 Handyortungen und 39 -Absender. (Quelle: Die Presse, ) VO SS Juridicum VO Datenschutz & Internet SS2013 Juridicum VO Datenschutz & Internet SS2013 Juridicum

176 komplexe Auskunftspflichten nach dem SPG II
Auskunftspflichten SPG komplexe Auskunftspflichten nach dem SPG II § 53 Abs. 3a besondere Verpflichtungen zur Auskunft für Telekombetreiber (TKG) und sonstige Diensteanbieter (ECG) - Teilnehmerdaten zu einem Anschluss für alle SPG-Aufgaben (Z 1) - IP-Adresse zu einer bestimmten Nachricht (Z 2) [z.B. , Posting in einem Forum, ...] - Benutzerdaten zu einer einem bestimmten Zeitpunkt zugeordneten IP-Adresse inkl. Verwendung von Vorratsdaten (Z 3) Voraussetzungen für Z 2 und 3: bei konkreten Gefahren (lit a), gefährlichen Angriff (lit b) oder bei kriminellen Verbindungen [drei oder mehr Personen mit dem Vorsatz fortgesetzt gerichtlich strafbare Handlungen zu setzen] (lit c) - kein Kostenersatz für Betreiber & Diensteanbieter (§ 53 Abs. 3c) SPG § 53 (3a) Die Sicherheitsbehörden sind berechtigt, von Betreibern öffentlicher Telekommunikationsdienste (§ 92 Abs. 3 Z 1 Telekommunikationsgesetz TKG 2003, BGBl. I Nr. 70) und sonstigen Diensteanbietern (§ 3 Z 2 E-Commerce-Gesetz - ECG, BGBl. I Nr. 152/2001) Auskünfte zu verlangen: 1. über Namen, Anschrift und Teilnehmernummer eines bestimmten Anschlusses wenn dies zur Erfüllung der ihnen nach diesem Bundesgesetz übertragenen Aufgaben erforderlich ist, 2. über die Internetprotokolladresse (IP-Adresse) zu einer bestimmten Nachricht und den Zeitpunkt ihrer Übermittlung, wenn sie diese Daten als wesentliche Voraussetzung zur Abwehr a) einer konkreten Gefahr für das Leben, die Gesundheit oder die Freiheit eines Menschen im Rahmen der ersten allgemeinen Hilfeleistungspflicht (§ 19), b) eines gefährlichen Angriffs (§ 16 Abs. 1 Z 1) oder