Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© ARGE DATEN 2011 ARGE DATEN Datenschutz-Beauftragter Bürokratischer Balast oder wichtiger Sicherheitsbeitrag? Hans G. Zeger, ARGE DATEN Wien, CMG-AE,

Ähnliche Präsentationen


Präsentation zum Thema: "© ARGE DATEN 2011 ARGE DATEN Datenschutz-Beauftragter Bürokratischer Balast oder wichtiger Sicherheitsbeitrag? Hans G. Zeger, ARGE DATEN Wien, CMG-AE,"—  Präsentation transkript:

1 © ARGE DATEN 2011 ARGE DATEN Datenschutz-Beauftragter Bürokratischer Balast oder wichtiger Sicherheitsbeitrag? Hans G. Zeger, ARGE DATEN Wien, CMG-AE, 4. Oktober 2011

2 © ARGE DATEN 2011 ARGE DATEN Die ARGE DATEN als PRIVACY-Organisation Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: -Web-Service: Besucher/Monat -Newsletter: rund Abonnenten -2010: rund 500 Medienanfragen/-berichte Mitgliederbetreuung Datenschutzfragen -2010: ca. 600 Datenschutz-Anfragen Rechtsschutz, PRIVACY-Services -2010: in ca. 200 Fällen Mitglieder in Verfahren vertreten Zahl der betreuten Mitglieder -aktuell: ca Personen Studien- und Beratungsprojekte A-CERT - Zertifizierungsdienstleister gem. SigG

3 © ARGE DATEN 2011 ARGE DATEN Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern.

4 © ARGE DATEN 2011 ARGE DATEN Daten"schutz" heute International -März 2011 Sony werden mehrere Millionen Benutzerdaten gestohlen Österreich -rund zehn Jahre lang wurden Exekutionsdaten aus dem Justizministerium entwendet -Beamte werden wegen illegaler EKIS-, ZMR- und KFZ-Abfragen verurteilt -GIS-, SP- und FP-Website werden "gehackt" -Polizistendaten werden veröffentlicht -Sozialversicherungsdaten liegen frei im Netz herum Die Datenschutzdebatte ist auch in Österreich angekommen, sind die Organisationen darauf vorbereitet?

5 © ARGE DATEN 2011 ARGE DATEN DSG Grundlagen Entwicklung zum DSG erstes Datenschutzgesetz - DSG (BGBl. Nr. 565/1978) (Geltung ) 1995EG-Datenschutzrichtlinie 95/46/EG 1999Datenschutzgesetz - DSG 2000 (BGBl. I Nr. 165/1999) Änderung des DSG DSG Novelle 2010 (BGBl. I Nr. 133/2009) 2009Partnerschaft-Gesetz (BGBl. I Nr. 135/2009) Änderung(en) auf EU-Ebene 20?? EU - Neuordnung des Datenschutzes

6 © ARGE DATEN 2011 ARGE DATEN Umsetzung der EU-Richtlinie "Datenschutz" (1995) soll Privatsphäre (Art.1 Abs. 1) und Informationsaustausch (Art.1 Abs. 2) sichern Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten." Versuch auf die neuen Herausforderungen vernetzter Informationssysteme zu reagieren EU-RL gilt nur für "natürliche Personen" DSG 2000 auch für "juristische und sonstige Personen" DSG Grundlagen

7 © ARGE DATEN 2011 ARGE DATEN DSG Grundrecht Einschränkungen des Verbots ist möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen DSG 2000 § 1 (Verfassungsbestimmung) : "jede Verwendung persönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens")

8 © ARGE DATEN 2011 ARGE DATEN DSG 2000 § 4 Z 1 "Daten" ("personenbezogene Daten") "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" DSG 2000 § 4 Z 3 "Betroffener" "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" Datenbegriff sehr allgemein gehalten, umfasst auch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. Stromverbrauchsdaten),... DSG Grundlagen

9 © ARGE DATEN 2011 ARGE DATEN DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung) DSG 2000 § 4 Z 5 "Dienstleister" natürliche oder juristische Personen,......, wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung) DSG Grundlagen

10 © ARGE DATEN 2011 ARGE DATEN IT-Sicherheit Verhältnis von Datensicherheit (IT-Sicherheit) und Datenschutz (Privacy) IT-Sicherheit behandelt vorrangig technische Fragen Was ist machbar? Was ist möglich? Im Zentrum stehen Abwehrszenarien Datenschutz behandelt vorrangig (grund)rechtliche Fragen Was ist erwünscht? Im Zentrum stehen Gestaltungsszenarien Sicherheitsmaßnahmen ohne direkte Datenschutzrelevanz: Katastrophenschutz, wie Blitz-, Feuer-, Erdbebenschutz Datenschutz Zugriffsschutz, Protokollierung, Rechteverwaltung, Ausspähen von Daten, Datenbeschädigung, Passwörter IT-Sicherheit Grundrechtliche Fragen ohne direkten IT-Bezug: Zweckbindung, Melde- und Offenlegungspflichten, Beobachtungsschutz, infomationelle Selbstbestimmung

11 © ARGE DATEN 2011 ARGE DATEN Haftung bei fehlenden Datensicherheitsmaßnahmen OGH Entscheidung (9 Ob A 182/90) Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden. Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren. Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen". Die Festlegung eines Sicherheitskonzepts ist Kernaufgabe einer Geschäftsführung! Sicherheitsmaßnahmen - Haftung

12 © ARGE DATEN 2011 ARGE DATEN Schadenersatz (§ 33) schuldhaftes Verhalten notwendig bei Verletzung von Bestimmungen des DSG 2000 ist tatsächlich erlittener materieller Schaden zu ersetzen bei Verletzungen der Geheimhaltung, die geeignet sind den Betroffenen bloßzustellen, gebührt Entschädigung Entschädigungsanspruch ist nicht beziffert, aber vergleichbar dem Mediengesetz geregelt [MedienG § 7: bis Euro] bei Veröffentlichungen in einem Medium gilt Mediengesetz Entschädigungsanspruch ist gegenüber dem Auftraggeber geltend zu machen DSG Kontroll- & Strafbestimmungen

13 © ARGE DATEN 2011 ARGE DATEN DSG Schadenersatz OGH 6 Ob 275/05t ("Verdienstentgang") Ausgangslage -Anwalt gelangte wegen Verzug der Rückzahlung eines Bürgschaftskredits auf UKV-Liste der Banken -Geschäft mit einer Kammer kam auf Grund dieses Eintrags nicht zustande (Umfang ,- EUR) -Anwalt forderte von Bank Schadenersatz in Höhe von EUR OGH-Entscheidung -Eintrag ohne vorherige Verständigung unzulässig -OGH beruft sich ausdrücklich auf DSK-Bescheid K /021- DSK/2001 -Schadenersatz besteht daher zu Recht (zugesprochen EUR) -Erstgericht wird Aufteilung zwischen materiellen/immateriellen Schaden entscheiden müssen

14 © ARGE DATEN 2011 ARGE DATEN Gewinn- oder Schädigungsabsicht (DSG 2000 § 51) -Klarstellung der Deliktvoraussetzungen: Vorsatz der Bereicherung von sich oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer Delikt begeht, wer... -widerrechtlich ihm zugängliche Daten benutzt oder -Daten widerrechtlich beschafft oder -anderen widerrechtlich zugänglich macht oder -widerrechtlich öffentlich macht Strafausmaß: bis ein Jahr Delikt wird zum Offizialdelikt Strafbestimmung gilt subsidiär DSG Strafbestimmungen

15 © ARGE DATEN 2011 ARGE DATEN Strafbestimmungen bei öffentlich-rechtlichen Organen Missbrauch der Amtsgewalt (§ 302 StGB) Strafrahmen: bis 5 Jahre Laufend Verurteilungen, siehe etwa OGH 14 Os 105/10p (rechtswidriger Abruf von KFZ-Zulassungsdaten) Verletzung des Amtsgeheimnisses (§ 310 StGB) Strafrahmen: bis 3 Jahre denkbar auch: Falsche Beurkundung und Beglaubigung im Amt (§ 311 StGB) Strafrahmen: bis 3 Jahre Hier ist Vorsatz Voraussetzung für die Tatverfolgung DSG Strafbestimmungen

16 © ARGE DATEN 2011 ARGE DATEN Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln] -widerrechtliches Verschaffen eines Zugangs zu einer DA -widerrechtliches Weiterbenutzen eines Zugangs zu einer DA -Übermittlung unter Verletzung des Datengeheimnisses -Weiterverwendung von Daten entgegen eines rechtskräftigen Urteils/Bescheids -widerrechtliches Löschen von Daten (§ 26 Abs. 7) Strafrahmen: bis ,- Euro zuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSK Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk) Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten! DSG Strafbestimmungen

17 © ARGE DATEN 2011 ARGE DATEN Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 1. nicht Erfüllen Meldepflicht gemäß den §§ 17 oder 50c oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt 2. Daten ins Ausland übermittelt oder überlässt, ohne Genehmigung gemäß § 13 Abs Verstoß gegen Zusagen an oder Auflagen der DSK (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) 4. Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d verletzt 5. § 14 Sicherheitsmaßnahmen gröblich außer Acht lässt DSG Strafbestimmungen

18 © ARGE DATEN 2011 ARGE DATEN Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht. Strafrahmen: bis ,- Euro DSG Strafbestimmungen

19 © ARGE DATEN 2011 ARGE DATEN Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a) [=Gefährdung von Betroffenenrechten] neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a) Strafrahmen: bis 500,- Euro [neu] Verfallbestimmungen § 52 Abs. 4 Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden DSG Strafbestimmungen

20 © ARGE DATEN 2011 ARGE DATEN Warum Datenschutzbeauftragter (DSB) ? -derzeit gesetzlich nicht verpflichtend vorgesehen -freiwillig kann ein Datenschutzbeauftragter von Orgnisationen immer eingerichtet werden -Verantwortung bleibt bei der Geschäftsführung, im Schadensfall wird aber die Haftung reduziert sein Datenschutzbeauftragter

21 © ARGE DATEN 2011 ARGE DATEN Typische Aufgaben des Datenschutzbeauftragten -Durchführen der Registrierung von Datenanwendung, Überwachen deren Aktualität -Einholen von Genehmigungen für den internationalen Datenverkehr -Abschluss der Dienstleistervereinbarungen und Überwachen deren Einhaltung -Kontrolle von Zustimmungserklärungen auf deren DSG - Konformität -Beratung bei Abschluss von Dienststellen- /Betriebsvereinbarungen -Internes und externes "Lobbying" (Entwicklung von Konzernpositionen, Kontaktpflege zu Aufsichtsbehörden) Datenschutzbeauftragter

22 © ARGE DATEN 2011 ARGE DATEN Typische Aufgaben des Datenschutzbeauftragten II -Beratung/Information von Betriebs-/Dienststellenleitung, Mitarbeiter und Betriebsrat/Personalvertretung -Entwicklung einer organisationsweiten Privacy-Policy -laufende Schulung in Datenschutzmaßnahmen und Verbesserung der Datenschutzawareness -Erarbeitung von Vorschlägen zur Verbesserungen gem. § 14 DSG 2000 (Sicherheitsmaßnahmen) -Überwachung der Einhaltung der Informationspflichten -effiziente Umsetzung der subjektiven Betroffenen-Rechte: - Recht auf Auskunft - Recht auf Löschung und Aktualisierung - Recht auf WIderspruch Datenschutzbeauftragter

23 © ARGE DATEN 2011 ARGE DATEN Organisatorische und fachliche Einordnung des Datenschutzbeauftragten +rechtliches und informationstechnisches Fachwissen +direkte Berichtspflicht an Geschäftsführung +als eigene Stabstelle eingerichtet +in der Entwicklung von Geschäftsprozessen und Projekten systematisch eingebunden (nicht nur als "Spaßverderber") + eigenes Budget -Einordnung in einen langen Hierarchieweg -IT-Leiter ist gleichzeitig Datenschutzbeauftragter -Sicherheitsverantwortlicher ist gleichzeitig Datenschutzbeauftragter -ausschließlich technisches oder rechtliches Fachwissen Datenschutzbeauftragter

24 © ARGE DATEN 2011 ARGE DATEN Organisatorische und fachliche Einordnung des Datenschutzbeauftragten II +/-Einbindung des DSB in Revisions- oder Rechtsabteilung +/- Auslagerung der Datenschutzagenden an externe Berater +/-betrieblicher Datenschutzbeauftragter als Teilzeittätigkeit Datenschutzbeauftragter

25 © ARGE DATEN 2011 ARGE DATEN Umsetzung Sicherheitsanforderungen Konsequenzen mangelhafter IT-Sicherheit -Verwaltungsstrafe: nach DSG §52 Abs. 2 Verwaltungsübertretung mit Strafe bis Euro -Zivilrechtliche Haftung: Unternehmen bzw. Dienstnehmer könnten für Folgeschäden haften, auch Gehilfenhaftung -UWG-Verfahren: Mitbewerber könnten fehlende Sicherheitsmaßnahmen als Versuch eines unlauteren Wettbewerbsvorteils einklagen -immaterieller Schadenersatz: bei prangerartigen oder bloßstellenden Folgen §33 DSG, §1328a ABGB, Medienrecht -Strafrecht: bei vorsätzlichen Handlungen (es genügt Schaden wird bewusst in Kauf genommen), z.B. §51 DSG 2000, §§ 302/310 StGB, §§ 119/a StGB -Imageschaden: Vertrauensverlust von Kunden und Öffentlichkeit

26 © ARGE DATEN 2011 ARGE DATEN DSG Themen für Neuregelung Was wurde bisher nicht geregelt? -betrieblicher Datenschutzbeauftragter [war im letzten Novellen-Entwurf enthalten] -Schaffung verbesserter Schutz veröffentlichter Daten [war in Regierungsvorlage enthalten] -kollektive Interventionsrechte bei massenhaften Datenmissbrauch vorsehen (z.B. Verletzung der Informationspflicht) -Schaffung von Zulassungs- und Auditverfahren (zumindest bei sensiblen Datenanwendungen) -Vereinheitlichung der Zuständigkeiten der Aufsichts- und Strafbehörden

27 © ARGE DATEN 2011 ARGE DATEN DSG Themen für Neuregelung Was wurde bisher nicht geregelt? II Fehlende Regelungen auf Grund neuer technologischer und sozialer Entwicklungen [z.B. neue Rollendefinitionen erforderlich]: -Web2.0/Soziale Netze -RFID (Radio Frequency IDentification) -biometrische Daten -Cloud Computing -Persönliche Online Services, wie Patientendatenverwaltung -Scoringmethoden -Ubiquitous Computing ("Web der Dinge") -Personenortung -...??... aber es gilt, nach der Novelle ist vor der Novelle...

28 © ARGE DATEN 2011 ARGE DATEN Fahrplan zu einem neuen EU-Datenschutzrecht Kommissionsmitteilung Konzept Datenschutzrecht -bis europaweites Konsultationsverfahren -Eckpfeiler der geplanten Neuregelung -Stärkung der Rechte des Einzelnen -mehr Transparenz für die Betroffenen -bessere Kontrolle des Betroffenen über seine Daten -Prinzip der Datensparsamkeit (inkl. "Recht auf Vergessen") -neue Kategorien sensibler Daten (z.B. "Gendaten") -Klagsbefugnis für Verbände -Harmonisierung der Meldepflichten (EU-weites Registerformular) -Vereinfachungen im internationalen Datentransfer -Herbst 2011 ?? Entwurf einer neuen EU-Richtlinie EU-Neuregelung des Datenschutzes

29 © ARGE DATEN 2011 ARGE DATEN Betrieblicher Datenschutzbeauftragter Ausbildungsreihe der ARGE DATEN Modul I:Datenschutz Grundlagen 15. November 2011 Modul IV:Datenschutz Praxis / international 17. November 2011 Modul II:Datenverwendung im Unternehmen 16. November 2011 Modul III:Datenschutz und IT-Sicherheit 22. November 2011 Modul V:Datenschutzfragen identifizieren 23. November 2011 Die Reihe wird mit einem Zertifikat abgeschlossen

30 © ARGE DATEN 2011 Dr. Hans G. Zeger ARGE DATEN A-1160 Wien, Redtenbachergasse 20 Tel.:0676 / Fax.:01 / Mail Verein:http://www.argedaten.at Web2.0:http://web2.0.freenet.at Personal Page:http://www.zeger.at Kontaktdaten

31 © ARGE DATEN 2011 ARGE DATEN Ich danke für Ihre Aufmerksamkeit

32 © ARGE DATEN 2011 ARGE DATEN Onlineinformation

33 © ARGE DATEN 2011 ARGE DATEN DSG

34 © ARGE DATEN 2011 ARGE DATEN DSG


Herunterladen ppt "© ARGE DATEN 2011 ARGE DATEN Datenschutz-Beauftragter Bürokratischer Balast oder wichtiger Sicherheitsbeitrag? Hans G. Zeger, ARGE DATEN Wien, CMG-AE,"

Ähnliche Präsentationen


Google-Anzeigen