Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© ARGE DATEN 2013 ARGE DATEN Datenschutz versus Kontrolle Verantwortung von Mitarbeitern und Geschäftsführung Hans G. Zeger, ARGE DATEN Wien, Schoeller.

Ähnliche Präsentationen


Präsentation zum Thema: "© ARGE DATEN 2013 ARGE DATEN Datenschutz versus Kontrolle Verantwortung von Mitarbeitern und Geschäftsführung Hans G. Zeger, ARGE DATEN Wien, Schoeller."—  Präsentation transkript:

1 © ARGE DATEN 2013 ARGE DATEN Datenschutz versus Kontrolle Verantwortung von Mitarbeitern und Geschäftsführung Hans G. Zeger, ARGE DATEN Wien, Schoeller Network Control, 29. Jänner 2013

2 © ARGE DATEN 2013 Die ARGE DATEN als PRIVACY-Organisation Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: -Web-Service: Besucher/Monat -Newsletter: rund Abonnenten -2012: rund 500 Medienanfragen/-berichte Mitgliederbetreuung Datenschutzfragen -2012: ca. 600 Datenschutz-Anfragen Rechtsschutz, PRIVACY-Services -2012: in ca. 200 Fällen Mitglieder in Verfahren vertreten Zahl der betreuten Mitglieder -aktuell: ca Personen Studien- und Beratungsprojekte A-CERT - Zertifizierungsdienstleister gem. SigG ARGE DATEN

3 © ARGE DATEN 2013 Umsetzung der EU-Richtlinie "Datenschutz" (1995) soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch (Art.1 Abs.2) sichern Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten." EU-RL gilt nur für "natürliche Personen" DSG 2000 auch für "juristische und sonstige Personen" DSG Grundlagen ARGE DATEN

4 © ARGE DATEN 2013 DSG 2000 § 1 (Verfassungsbestimmung) : "jede Verwendung persönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots (= Nutzungsmöglichkeiten für Daten): - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (gesetzlichen Verpflichtungen) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen ARGE DATEN DSG Grundlagen

5 © ARGE DATEN 2013 gesetzliche Verpflichtungen -Datenschutzgesetz DSG TKG 2003, Kommunikationsgeheimnis,... -(technische) Spezialgesetze -allgemeine betriebliche Verpflichtungen (Sorgfalt eines "ordentlichen Kaufmanns") privatrechtliche, sonstige Verpflichtungen -Konzern-Vorgaben (Corporate Binding Rules, (IT-)Compliance,...) -Spezialrecht Dritter (Sarbanes-Oxley Act/SOX, Whistleblower Protection Act, False Claim Act 1986, Vergaberecht/- bestimmungen,...) -Zertifizierungen (ISO 27001,...) -Service Level Agreements, Kundenvereinbarungen -Kooperationsvereinbarungen Betriebliche Verpflichtungen ARGE DATEN

6 © ARGE DATEN 2013 Sicherheitsbestimmungen (DSG 2000 § 14) Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden: Stand der Technik entsprechend wirtschaftlich vertretbar angemessenes Schutzniveau muss erreicht werden Es gibt im DSG 2000 keine rechtlich verbindlichen (zwingenden) technischen Sicherheitsvorschriften! DSG Sicherheitsbestimmungen ARGE DATEN Passiert etwas, wird die Geschäftsführung nachweisen müssen, die Anforderungen angemessen erfüllt zu haben

7 © ARGE DATEN 2013 ARGE DATEN DSG Sicherheitsbestimmungen rechtlich-organisatorische Sicherheitsmaßnahmen -ausdrückliche Aufgabenverteilung - ausschließlich auftragsgemäße Datenverwendung - Belehrungspflicht der Mitarbeiter - Regelung der Zugriffs- und Zutrittsberechtigungen - Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten - Dokumentationspflicht zur Kontrolle und Beweissicherung - Protokollierungspflicht Insgesamt können die Maßnahmen als Verpflichtung zu einer Security-Policy verstanden werden! z.B. gemäß BSI M Erstellung einer IT-Sicherheitsleitlinie oder ISO Informationssicherheitsleitlinie

8 © ARGE DATEN 2013 ARGE DATEN Protokollierungsanforderungen I (§ 14) Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z7) betrifft jeden Datenverarbeitungsschritt, inkl. Abfragen, Auswertungen, Ausdrucke,... diese müssen "im Hinblick auf die Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können" DSG Sicherheitsbestimmungen bedeutet in weiterer Konsequenz, dass die Protokolldaten auch auditierbar sein müssen

9 © ARGE DATEN 2013 ARGE DATEN Protokollierungsanforderungen II (§ 14) -Protokolldaten dürfen nur eingeschränkt verwendet werden (zur Kontrolle der Zulässigkeit der Verwendung) -unzulässig wäre die Kontrolle der Betroffenen oder der Mitarbeiter (z.B. durch Auswertung des innerbetrieblichen Datneverkehrs oder von Internet- Zugriffen!!) -zulässig ist die Verwendung zur Aufklärung von Straftaten, die mit mehr als fünfjähriger Freiheitsstrafe bedroht sind -Aufbewahrungsdauer ist drei Jahre, sofern gesetzliche Bestimmungen nichts anderes vorsehen DSG Sicherheitsbestimmungen

10 © ARGE DATEN 2013 ARGE DATEN DSG Verschwiegenheitsverpflichtung Verpflichtung zum Datengeheimnis (§ 15) Mitarbeiter sind - sofern nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden. Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln. Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren. Bereitstellungspflicht der Datensicherheitsmaßnahmen (§ 14 Abs. 6) Bestimmung kann auch als Verpflichtung zu ausreichender Compliance-Vereinbarung verstanden werden

11 © ARGE DATEN 2013 ARGE DATEN spezifische Sicherheitsbestimmungen Bestehende Sicherheitsanforderungen in Ö -Verschlüsselung bei Webapplikationen / in der Datenübertragung Grundlage: ePrivacy-RL 2002/58/EG -Besondere Sicherheitsmaßnahmen bei Gesundheitsdaten Grundlage: GTelG + GTelVO -Sicherheit in der elektronischen Rechnungslegung Grundlage: EG-RL 2001/115/EG, BMF-Verordnung BGBl 583/2003 -Sicherheitsbestimmungen + Genehmigungsverfahren bei Digitaler Signatur Grundlage: EG-RL 1999/93/EG, SigG, SigV -Verwendung von Mitarbeiterdaten im Konzern Grundlage: StMV 2004 des Bundeskanzleramtes

12 © ARGE DATEN 2013 ARGE DATEN spezifische Sicherheitsbestimmungen Bestehende Sicherheitsanforderungen in Ö II -Einsatz der Bürgerkarte in Behördenverfahren Grundlage: E-GovG -Videoüberwachung - Verschlüsselung Grundlage: StMV 2004 des Bundeskanzleramtes -Vorratsdatenspeicherung: Vorkehrungen bei Datenhaltung, Verschlüsselung der Übertragung und Protokollierungspflicht bei Datenverwendung (TKG § 102c + TKG-DSVO )...

13 © ARGE DATEN 2013 ARGE DATEN Resüme: Welche Sicherheitsmaßnahmen sind verpflichtend? -Protokollierung des internen Datenverkehrs? -Verschlüsselung des Mail-/Daten-Verkehrs? -Absicherung des eigenen WLANs? -Installation einer (zertifizierten) Firewall? -Verwendung von Virtual Private Network (VPN) - Lösungen? -Einsatz von Virenfilter, Spamfilter, Webfilter? -Verwendung von SSL-Verschlüsselung für Online-Formulare? Keine Maßnahme ist ausdrücklich vorgesehen, aber Geschäftsführung haftet für ausreichende Maßnahmen im Sinne des § 14 DSG 2000 Weiters könnten fachspezifische Regelungen auf andere Bereiche in Analogie vorausgesetzt werden DSG Sicherheitsbestimmungen

14 © ARGE DATEN 2013 ARGE DATEN Konsequenzen für Mitarbeiter Vertragliche und gesetzliche Verpflichtungen des Mitarbeiters -Einhaltung des Arbeitsvertrages -Geheimhaltung anvertrauter Daten (sowohl anvertrauter persönlicher Daten, als auch sonstiger Betriebsdaten) -Sorgsamer Umgang mit anvertrauten IT-Geräten, z.B. keine Schadsoftware installieren -keine Datenverwendung ohne Auftrag Verpflichtungen finden (enge) Grenzen -OGH betont regelmäßig Privatsphäre und Menschenwürde im Betrieb -Recht alltägliche Verpflichtungen wahrzunehmen (kurze private Telefonate, s,...) -Überwachung der Rechtmäßigkeit der Datenverwendung darf nicht zur Leistungskontrolle der Mitarbeiter verwendet werden

15 © ARGE DATEN 2013 ARGE DATEN IT-Nutzung im Spiegel der Rechtssprechung -OGH 9ObA75/04a: -Verkehr entspricht gelegentlichen kurzen Telefonaten privaten Inhalts mit Arbeitskollegen. Gelegentliches Weiterleiten von Spaß- s entgegen generellem Verbot stellt zwar Fehlverhalten dar, rechtfertigt nicht Entlassung. -OGH 9ObA151/02z: Surfen in der Arbeitszeit, wenn es nach Ermahnung sofort eingestellt wird, stellt keinen Entlassungsgrund dar. -OGH 9ObA178/05z: unerlaubte private Computernutzung an sich noch kein Schaden für Betrieb, wäre etwa durch Virenbefall wegen Verletzung der Internet- Policy gegeben. Umsatz und Gewinnentgang wegen "unproduktiven Verhaltens" ebenfalls kein Schaden, muss kausal bewiesen werden. Kein Entlassungsgrund (un)zulässiger IT-Einsatz

16 © ARGE DATEN 2013 ARGE DATEN IT-Nutzung im Spiegel der Rechtssprechung II -OGH 9 ObA 11/11z: Installation eines Computerkriegsspiels, eines Programms zum Brennen von CDs - keine Weisung, Richtlinien etc im Betrieb - bei entsprechender Weisung hätte AN rechtswidriges Verhalten unterlassen - kein Nachweis einer konkreten rechtswidrigen Nutzung in der Arbeitszeit - Entlassung nicht gerechtfertigt -LAG München 11 Sa 54/09: unerlaubte -Einsichtnahme durch Administrator rechtfertigt fristlose Kündigung (Ö: Entlassung) (un)zulässiger IT-Einsatz

17 © ARGE DATEN 2013 ARGE DATEN IT-Nutzung im Spiegel der Rechtssprechung III Ausgangslage: -ein Krankenhaus stellt bestehendes Magnetkartensystem auf Fingerabdrucksystem um -Betriebsvereinbarung wird keine abgeschlossen -alle Fingerabdrucksdaten werden bei einem Biometriebetreiber zentral verwaltet, mit diesem wird Dienstleistervereinbarung abgeschlossen OGH-Entscheidung 9 ObA 109/06d: -OGH betont erneut Recht auf Privatsphäre im Betrieb -biometrische Zeiterfassungssysteme haben höhere Eingriffsintensität als "Stechuhren", daher Zustimmungspflicht gegeben -kritisiert wird der hohe Grundrechtseingriff für ein vergleichsweise triviales Ziel (Zeiterfassung) -auch bei Einweg"verschlüsselung" liegen personenbezogene Daten vor -auf Grund des Fehlens der Betriebsvereinbarung war der vorläufige Abbau auszusprechen (einstweilige Verfügung) (un)zulässiger IT-Einsatz

18 © ARGE DATEN 2013 ARGE DATEN Konsequenzen für Unternehmen Unternehmen hat Ausgleich zu Verarbeitungsverbot und Kontrollpflicht zu finden -sowohl Schutzmaßnahmen für Daten, als auch -Schutzmaßnahmen für Mitarbeiter Kombination von technischen und organisatorischen Maßnahmen erforderlich -geeignete Anweisungen zur Datenverwendung -Betriebsvereinbarung bei Aufzeichnung von MA-Daten alternativ -Einzelvereinbarung gemäß § 10 AVRAG -Verschlüsselung von Protokoll-/Audit-Daten -Vier-Augen-Prinzip bei Verwendung der Protokoll-/Audit-Daten -geeignetes innerbetriebliches Kontrollsystem schaffen Die Haftung bei Datenmissbrauch bleibt jedoch in allen Fällen beim Unternehmen!

19 © ARGE DATEN 2013 ARGE DATEN Haftung bei fehlenden Datensicherheitsmaßnahmen OGH Entscheidung (9 Ob A 182/90) Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden. Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren. Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen". Die Festlegung eines Sicherheitskonzepts ist Kernaufgabe einer Geschäftsführung! Sicherheitsmaßnahmen - Haftung

20 © ARGE DATEN 2013 ARGE DATEN Haftung bei bei Datenmissbrauch OGH Entscheidung (9 Ob 126/12s) Ausgangslage Ein Redakteur der Tageszeitung A versuchte durch "erraten" von Benutzerkennung/Passwort in das interne Redaktionssystem von TZ B zu gelangen. Der Versuch misslang, auf Grund der IP-Adresse konnte der Standort des Täters ermittelt werden. Die Aktion führte zur fristlosen Entlassung des Mitarbeiters. TZ B verlangt Unterlassungsklage TZ B verlangt jedoch von TZ A eine Unterlassungserklärung. Diese wird verweigert, da Redakteur nicht im Auftrag gehandelt habe, sich die TZ A von diesen Aktivitäten distanziere und daher der Redakteur nicht als Besorgungsgehilfe anzusehen ist. Sicherheitsmaßnahmen - Haftung

21 © ARGE DATEN 2013 ARGE DATEN Sicherheitsmaßnahmen - Haftung Haftung bei bei Datenmissbrauch II OGH Entscheidung (9 Ob 126/12s) Entscheidung Vorinstanzen weisen Klage ab, OGH gibt jedoch Klage statt. Eingriff in IT-System ist Besitzstörung Eingriff war im Interesse der TZ A Arbeitgeber hat Weisungs- und Kontrollrechte, kann sich Mitarbeiter aussuchen und Tätigkeitsbereich festlegen Zur Verfügung stellen von Computer und Internetanschluss reicht schon für Verantwortung der TZ A Unternehmen hat Besitzstörung zu verantworten

22 © ARGE DATEN 2013 ARGE DATEN DSG Dienstleister Dienstleister im Sinne des DSG 2000 (§§ 10f) -Dienstleistung liegt vor, wenn ein Verantwortlicher jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben betraut -Geeignete Vereinbarungen sind zu treffen -Vereinbarungen sind vom Auftraggeber zu überprüfen/überwachen ["überzeugen"] wie wäre das bei Cloud-Computing umzusetzen? Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000)

23 © ARGE DATEN 2013 ARGE DATEN DSG Dienstleister Pflichten des Dienstleisters (§ 11) (A) Vertragliche Verpflichtungen -werden in der Regel die zulässigen Verwendungen der Daten beschreiben, z.B. Zugriffsrechte, welche Auswertungen zulässig sind,... (B) gesetzliche Verpflichtungen -nur auftragsgemäße Datenverwendung -treffen ausreichender Sicherheitsmaßnahmen nach § 14 DSG Mitarbeiter des Diensteleisters sind zur Datenverschiegenheit zu verpflichten (siehe § 15) -Subdienstleister nur mit Billigung des Auftraggbers heranziehen -dem Auftraggeber jene Informationen bereit stellen, die er zur Kontrolle der Einhaltung der Vereinbarung benötigt

24 © ARGE DATEN 2013 ARGE DATEN Umsetzung Sicherheitsanforderungen Konsequenzen mangelhafter IT-Sicherheit -Verwaltungsstrafe: nach DSG 2000 § 52 Abs. 2 Verwaltungsübertretung mit Strafe bis Euro -Zivilrechtliche Haftung: Unternehmen bzw. Dienstnehmer könnten für Folgeschäden haften, auch Gehilfenhaftung -UWG-Verfahren: Mitbewerber könnten fehlende Sicherheitsmaßnahmen als Versuch eines unlauteren Wettbewerbsvorteils einklagen -immaterieller Schadenersatz: bei bloßstellenden Folgen § 33 DSG 2000, § 1328a ABGB, Medienrecht -Strafrecht: bei vorsätzlichen Handlungen (es genügt Schaden wird bewusst in Kauf genommen), z.B. § 51 DSG 2000, §§ 302/310 StGB, §§ 119/a StGB -Imageschaden: Vertrauensverlust von Kunden und Öffentlichkeit

25 © ARGE DATEN 2013 ARGE DATEN Datenschutz und Kontrolle Resümee -Datenschutz (Schutz der Privatsphäre) und Kontrolle stehen in einem Spannungsverhältnis -das DSG 2000, aber auch zahlreiche andere Bestimmungen verpflichten zu Kontrollmaßnahmen -es ist Aufgabe des Unternehmens einen Ausgleich zu finden -Haftung für Datenverlust, Datenmissbrauch,... bleibt in allen Fällen beim Unternehmen -"nichts" tun, auf MA-Kompetenz vertrauen ist die schlechteste Strategie -bestimmte technische Maßnahmen sind nicht verpflichtend vorgegeben, werden aber im Schadensfall die Haftung drastisch reduzieren oder auch völlig beseitigen

26 © ARGE DATEN 2013 ARGE DATEN Cap Gemini Studie IT-Trends 2012

27 © ARGE DATEN 2013 Kontakt Dr. Hans G. Zeger ARGE DATEN A-1160 Wien, Redtenbachergasse 20 Tel.: / Fax.:+43 1 / Mail Verein:http://www.argedaten.at Web2.0:http://web2.0.freenet.at Personal Page:http://www.zeger.at ARGE DATEN

28 © ARGE DATEN 2013 ARGE DATEN Ich danke für Ihre Aufmerksamkeit

29 © ARGE DATEN 2013 ARGE DATEN Onlineinformation

30 © ARGE DATEN 2013 ARGE DATEN Haftung für Schäden (Schadenersatz) Haftung erfordert das Zutreffen von vier Kriterien 1.Schaden: Vermögensschaden / ideeller Schaden ideeller Schaden z.B. § 33 DSG, §§ 7ff MedienG, § 1328a ABGB: bloßstellende Eingriffe in die Privatsphäre z.B.: übergebene Daten gelangen an die Öffentlichkeit, in unbefugte Hände, Mitarbeiter des Dienstleister verwenden die Daten zu eigene Zwecke 2.Verursachung (Kausalität): es passiert etwas, dass der Dienstleister beeinflussen kann Kernfrage: Wäre der Schaden auch eingetreten, wenn sich der Schädiger anders verhalten hätte, gab es Alternativen? z.B.: Dienstleister verwendet ungeeignete Transportmittel, ungeeignete Vernichtungswerkzeuge, deponiert Datenträger an ungeeigneter Stelle Haftung des Dienstleisters

31 © ARGE DATEN 2013 ARGE DATEN Haftung für Schäden (Schadenersatz) II 3.Rechtswidrigkeit: Verletzung von gesetzlichen oder vertraglichen Vereinbarungen gesetzlich z.B. kein geeignetes internes Sicherheitskonzept nach § 14, keine Geheimhaltungserklärungen der Mitarbeiter, unvollständige Rückgabe von Daten, ignorieren von irrtümlich eingehenden Auskunftsbegehren, nicht Nachkommen von Informationspflichten vertraglich z.B. Heranziehung von Subdienstleistern obwohl ausgeschlossen, ungeeigneter Subdienstleister, Verwendung anderer Vernichtungsverfahren als zugesagt 4.Verschulden: Vorsatz / Fahrlässigkeit Rechtswidrigkeit wird vorsätzlich begangen oder zumindest in Kauf genommen, z.B. bessere Verfahren bekannt und zumutbar aber ignoriert, Datenträgertransport erfolgt trotz ungeeigneter Bedingungen (Wetter, überhöhte Geschwindigkeit,...) Gewerbliche Anbieter werden rasch bei grober Fahrlässigkeit ankommen Haftung des Dienstleisters

32 © ARGE DATEN 2013 ARGE DATEN Konsequenzen für Mitarbeiter und Unternehmen Was bedeutet das für einzelne Themen? -elektronische Zustellung von Gehaltszettel -biometrische Zugangs- und Zeiterfassungssysteme -private -/Internet-Nutzung der Mitarbeiter -Videoüberwachung -Mitarbeiter-Fotos im Intra-/Internet, Verschicken bei s -Social Media Auftritt des Unternehmens -konzernweite Verwendung von Mitarbeiterdaten -elektronische Whistleblowing-Systeme -"Bring Your Own Device" Keine der Datenverwendungen ist generell unzulässig, es sind aber in allen Fällen spezifische Vorkehrungen zu treffen

33 © ARGE DATEN 2013 ARGE DATEN Datenträger Gehaltszettel II Zusendung per -grundsätzlich zulässig, sehr kostengünstig -bei Firmen- s auf Nutzungspolicy achten (Funktionsadressen, Vertreter- und Urlaubsregelung) -bei Privat- s Verfügbarkeit und auch Nutzung der Adresse beachten (Familien-Mailadresse) -Verschlüsselung empfehlenswert Hinterlegen auf Website -grundsätzlich zulässig, sehr kostengünstig -erfordert Passwortschutz/Zugangsverwaltung Zustellung über Girokonto K /0009-DSK/2006 -grundsätzlich zulässig, kostengünstig -Dienstleistervereinbarung mit Bank erforderlich, es gilt das Minimalprinzip -individuelle Situation berücksichtigen Mitarbeiter- und Bewerberdaten Bei allen "modernen" Zustellformen wird Zustimmung des Betroffenen erforderlich sein

34 © ARGE DATEN 2013 ARGE DATEN Kontrollmaßnahmen im Betrieb Zulässigkeit einer biometrischen Zeiterfassung Ausgangslage: -ein Krankenhaus stellt bestehendes Magnetkartensystem auf Fingerabdrucksystem um -Betriebsvereinbarung wird keine abgeschlossen -alle Fingerabdrucksdaten werden bei einem Biometriebetreiber zentral verwaltet, mit diesem wird Dienstleistervereinbarung abgeschlossen OGH-Entscheidung 9 ObA 109/06d: -OGH betont erneut Recht auf Privatsphäre im Betrieb -biometrische Zeiterfassungssysteme haben höhere Eingriffsintensität als "Stechuhren", daher Zustimmungspflicht gegeben -kritisiert wird der hohe Grundrechtseingriff für ein vergleichsweise triviales Ziel (Zeiterfassung) -auch bei Einweg"verschlüsselung" liegen personenbezogene Daten vor -auf Grund des Fehlens der Betriebsvereinbarung war der vorläufige Abbau auszusprechen (einstweilige Verfügung)

35 © ARGE DATEN 2013 ARGE DATEN private IKT-Nutzung IKT-Nutzungsverordnung – IKT-NV (BGBl. II Nr. 281/2009) Regelt private IKT-Nutzung für Bedienstete des Bundes Grundprinzip (§ 3): Eingeschränkte private Nutzung ohne -Beeinträchtigung des Dienstbetriebs -keine Schädigung des Ansehens des öffentlichen Dienstes -keine Gefährdung der Sicherheit des IKT-Betriebs -keine missbräuchliche Verwendung rein private Geschäfte sind erlaubt (§ 4 Abs. 2) private -Nutzung (§ 5) -kein Hinweis auf dienstliche Stellung oder dienstliche Postadresse -keine Verwendung dienstlicher -Signaturen -private s dürfen nach Schadprogrammen und Spam gescannt werden

36 © ARGE DATEN 2013 ARGE DATEN private IKT-Nutzung IKT-Nutzungsverordnung – IKT-NV II (BGBl. II Nr. 281/2009) Festlegung der missbräuchlichen Verwendung (§ 4 Abs. 4) -Zugriff auf strafrechtlich verbotene oder rechtswidrige Seiten -Benutzung oder die zur Verfügung stellen von strafrechtlich relevanten Tatbeständen -Zugriff auf pornographische Inhalte -Zugriff auf Seiten, die Zahlungsverpflichtungen des Dienstgebers zur Folge haben -herunterladen "schadware-verdächtiger" Dateitypen keine missbräuchliche Nutzung, wenn irrtümlicher Zugriff! (§ 4 Abs. 5)

37 © ARGE DATEN 2013 ARGE DATEN Videoeinsatz betriebliche Anwendungsbereiche: (1)Überwachung der "Außenhaut" (Grundstücksgrenzen, Einfahrten,...) (2)Überwachung technischer Anlagen (Garagen, Energieversorgung, Fernwartung,...) (3)Überwachung von Lagerstellen (4)Überwachung von Kundenzonen (5)Überwachung von Arbeitsplätzen (6)Überwachung von Sozial- und Hygienebereichen betriebliche Datenverwendung Basis-Anforderungen nach DSG: -grundsätzlich besteht Registrierungspflicht (die allgemeinen Ausnahmebestimmungen nach DSG treffen meist nicht zu) -Voraussetzungen: Aufzeichnung und Erkennbarkeit (Bestimmbarkeit) von Personen Zulässigkeit? / Betriebsvereinbarung? Ja / Nein, wenn keine Rückschlüsse auf MA Ja / wie (1) Ja / in der Regel Ja Ja / wie (1) nur im Sonderfall / Ja Nein / nicht Vereinbarungsfähig

38 © ARGE DATEN 2013 ARGE DATEN Videoeinsatz II OLG Wien Beschluss 7 Ra 3/07y -Betriebsrat begehrte EV auf Unterlassung gegen eine Videoüberwachung in Unternehmen in NÖ, die u.a. auch Arbeitsplätze und Toilettenzugänge überwachte -ablehnender EV-Beschluss des LG St. Pölten aufgehoben und an Erstgericht zurückverwiesen Entscheidungskriterien Gericht definiert erstmals Kriterien für betrieblichen Videoeinsatz -Maßnahme muss geeignet zur Erreichung eines bestimmten Zieles (Zweckes) sein -Maßnahme muss erforderlich sein [fehlende Alternativen] -Maßnahme muss angemessen sein [Interessensabwägung, Eingriffsintensität darf nicht höher als bestimmtes Ziel sein] Anzuwendende Normen: ABGB § 16, EMRK Art. 8, DSG § 1 betriebliche Datenverwendung

39 © ARGE DATEN 2013 ARGE DATEN Typische Module (Zwecke): -Lohn/Gehaltsverrechnung -Darlehen/Exekutionsverwaltung -Reisekostenadministration -Zeitadministration -Bewerberverwaltung -Religionsbekenntnis -Aus- und Weiterbildungsverwaltung -Meldepflichten (SV, Finanz) -sonstige arbeitsvertragliche Verpflichtungen -Beurteilungsdaten Fallbeispiel Personalverwaltung (SA002) Standard (20, 59-62) Standard (36, nur für Abwesenheitsverwaltung ) ? Standard Standard (47-51) Standard (57-58) Standard (52) Standard seit eigener Betroffenenkreis DSG Registrierung und Genehmigung ? Standard (64?) Abhängig vom Umfang der Personalverwaltung wird es sich entweder um eine registrierungspflichtige oder registrierungsfreie Datenanwendung handeln Datenübermittlung an Konzern"mutter" kein Standard Standard (33-43)

40 © ARGE DATEN 2013 ARGE DATEN Mitarbeiter- und Bewerberdaten Personaldaten - innerbetriebliche Verwendung -dienstlich erforderliche Daten dürfen ohne Zustimmung unternehmensintern verwendet werden (z.B. Qualifikation, Berufstitel, Kontaktdaten,...) -weitere Datenverwendungen können arbeitsvertraglich geregelt sein (z.B. Akkordabrechnungen, Weitergabe persönlicher Daten an Kunden / Veröffentlichung, etwa bei Verkäufern, Geschäftsführung) -sonstige Daten die zum Zweck der Gehaltsverrechnung / Personaladministration dem Personalbüro bekannt sind, dürfen nicht von anderen Abteilungen verwendet werden, auch nicht für betriebsinterne Zeitungen, Newsletter Zulässig sind weitere Verwendungsmöglichkeiten auf Grund der Zustimmung des Betroffenen In bestimmten Bereichen wird auch eine Verwendung auf Grund überwiegender Interessen denkbar sein: Geschäftsführer, Manager, Außendienstmitarbeiter,...

41 © ARGE DATEN 2013 Was ist zulässige Veröffentlichung im Internet? Veröffentlichung im DSG nicht ausdrücklich geregelt, Sonderform der Übermittlung Prüfen Vorliegen eines ausreichenden Zweckes und überwiegender Interessen des Betriebes -Firmenkontaktdaten: Name, Funktion, Telefonnummer, - Adresse -Deutschland zu Lehrerbewertung (Bundesgerichtshof VI ZR 196/08): Freie Meinungsäußerung hat Vorrang Potentiell problematische Veröffentlichungen: -Teilnehmerdaten einer Betriebsfeier, Betriebsveranstaltung -Mitarbeiterfotos (Bildnisschutz § 78 UrhG ist zu beachten, OGH 8ObA136/00h) Datenverwendung in Internet/Intranet ARGE DATEN

42 © ARGE DATEN 2013 Web 2.0 und Social Media Hurra! Wir sind auf Facebook!... aber was machen wir da? ARGE DATEN

43 © ARGE DATEN 2013 ARGE DATEN Web2.0 und Social Media Was ist Web2.0? üblicherweise als Mitmachweb definiert, Benutzer produzieren für andere Benutzer Inhalte Welche Bestimmungen sind anwendbar? -Datenschutzbestimmungen Benutzer ist in Doppelrolle als Betroffener (gegenüber Betreiber), als auch als Auftraggeber gegenüber Dritten -E-Commerce-Bestimmungen Haftung, Auskunftspflichten -sonstige Bestimmungen Medienrecht, Privatsphärebestimmungen nach §1328a, Offenlegungspflichten nach UnternehmensbuchG, Vereinsgesetz,... Hinweis! Web2.0-Regelung haben Ausgleich zwischen mehreren Grundrechten zu sichern: freie Meinungsäußerung, Erwerbsfreiheit und Schutz der Privatsphäre

44 © ARGE DATEN 2013 ARGE DATEN Datenschutzspezifische Fragestellungen Vorgaben des DSG 2000: (1)Rollenkonzept: Auftraggeber, Betroffener, Dienstleister (2)Schutzinteressen der persönlichen Daten: allgemein verfügbare Daten, indirekt personenbezogene Daten, vertrauliche Daten, sensible Daten (3)berechtigter Zweck: persönliche Nutzung, Weitergabe an Dritte, Veröffentlichung (4)Aufsicht + Ausnahmen: Registrierungs- bzw. Genehmigungspflicht Web2.0, Social Media und Datenschutz

45 © ARGE DATEN 2013 ARGE DATEN Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (1)Rollenkonzept: Benutzer ist bezüglich der veröffentlichten Daten Dritter Auftraggeber, Facebook ist in diesem Fall Dienstleister, Datenanwendung liegt vor! Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber Web2.0, Social Media und Datenschutz

46 © ARGE DATEN 2013 ARGE DATEN Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (2)Schutzinteresse: Bezüglich der Veröffentlichung der Unternehmensdaten gilt, kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat, bezüglich Dritter (Poster + Person über die gepostet wird) hat Unternehmen auf Einhaltung der Datenschutzinteressen zu achten! Es sind zusätzlich zum DSG 2000 die ECG-Bestimmungen insb. § 16 (Haftung!) zu beachten. Facebook darf die Daten nur im Rahmen der ausdrücklich vereinbarten Geschäftsbedingungen verwenden. Web2.0, Social Media und Datenschutz

47 © ARGE DATEN 2013 ARGE DATEN Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (3)Berechtigter Zweck: Keine private Datenanwendung im Sinne des § 45 DSG 2000, in der Regel zulässig (z.B. Unternehmenspräsentation, Erwerbsfreiheit). In Bezug auf Facebook aus Angebot und Geschäftsbedingungen ableitbar. (4)Aufsicht: Für Unternehmen im Regelfall Registrierungs- bzw. Genehmigungspflicht, wenn keine Ausnahmebestimmung trifft zu (Standardanwendung oder ausschließliche Verwendung veröffentlichter Daten). Für Facebook gelten die Bestimmungen des Geschäftssitzes Web2.0, Social Media und Datenschutz

48 © ARGE DATEN 2013 ARGE DATEN Was kann/muss ein Unternehmen regeln? +Wer entscheidet wo das Unternehmen präsent ist? Wer darf einen Unternehmensaccount einrichten? +Wer darf Beiträge zum Unternehmensaccount eintragen? +Wer ist Anlaufstelle für Fragen/Beschwerden? (Foren-Postings) +Mitarbeitern die Verwendung von Unternehmenslogos, Unternehmenskontaktdaten auf privaten Accounts verbieten +Mitarbeitern vorgeben, dass Äußerungen zum Unternehmen bloß persönliche/private Meinungen darstellen +die Bekanntgabe vertraulicher Betriebsinformationen verbieten (Problem: viele Mitarbeiter erkennen nicht, was vertraulich ist, was nicht) +Netiquette-Richtlinien empfehlen, Formulierungen vorschlagen +Hinweisen auf potentielle Rechteverletzungen: Wettbewerbsrecht, Urheberrecht, Datenschutzbestimmungen, Strafrecht, Jugendschutz, NS-Wiederbetätigung Web2.0 und Social Media

49 © ARGE DATEN 2013 ARGE DATEN Was kann/muss ein Unternehmen regeln? II +/-Mitarbeitern die Nennung seines Arbeitgebers auf privaten Accounts verbieten +/-Mitarbeitern die Nutzung des privaten Accounts im Unternehmen vollständig verbieten +/-bestimmte Formulierungen verpflichtend vorgeben -Generell Mitarbeitern private Web2.0 Accounts verbieten -sich in keinem Zusammenhang zum Unternehmen zu äußern (z.B. es gibt eine Berichterstattung zu einem Produkt, zu einer Rückrufaktion,...) -verlangen, das sich Mitarbeiter über Unternehmen nur positiv äußern Web2.0 und Social Media

50 © ARGE DATEN 2013 ARGE DATEN Regeln bei der konzernweiten Verwendung von Mitarbeiterdaten - Beispiel Kontaktverzeichnis -bisher: keine "Konzernerleichterung" -Konzern-Mitarbeiterverzeichnisse waren registrierungspflichtig -gemeinsame Verwendung bedeutete Vorliegen eines genehmigungspflichtigen Informationsverbundes -Übermittlung in Drittstaaten ohne angemessenes Schutzniveau war DSK-genehmigungspflichtig -neu (seit ): Kontaktverzeichnisse sind "Standard", wenn sie SA033 lit. A. entsprechen Konsequenz: -keine Registrierungspflicht -keine Genehmigungspflicht des Informationsverbundes -durch verpflichtende Verwendung der Standardvertragsklauseln keine DSK-genehmigungspflicht bei Übermittlung in Drittstaaten ohne angemessenes Schutzniveau die Standardanwendung SA033 findet sich im Anhang konzernweite Datenverwendung

51 © ARGE DATEN 2013 ARGE DATEN A. Konzernweite Kontakt- und Termindatenbank -Zweck: Führung & Übermittlung von Kontaktdaten der Mitarbeiter zu einer gemeinsamen konzernweiten Termindatenbank -Rechtsgrundlage: DSG 2000 §§ 8 Abs. 1 Z 4 und 12 Abs. 3 Z 8 -Speicherdauer: bis drei Jahre nach Beendigung eines Arbeitsverhältnisses (nach Ende: beschränkt auf korrekte Behandlung noch eintreffender Nachrichten) -Betroffene: [breit gefasst] Arbeitnehmer, arbeitnehmerähnliche Gruppen, Leiharbeitnehmer, freie Dienstnehmer (Werkverträge), Lehrlinge, Volontäre, Ferialpraktikanten -Datenarten (Auswahl): Identifikations- und Organisationsdaten, Funktion gegenüber Kunden/Geschäftspartnern, Kontaktdaten, Verfügbarkeit (Urlaube, sonstige Abwesenheiten), Informationen zur Weiterleitung von Nachrichten bei ehemaligen Beschäftigten: reduzierter Datenumfang! -Übermittlungen: andere Konzernunternehmen weltweit StMV-Novelle - konzernweite Datenverwendung

52 © ARGE DATEN 2013 ARGE DATEN A. Konzernweite Kontakt- und Termindatenbank II -Sicherheitsvorgaben: direkter Bezug auf Art. 25 oder ausreichende Garantien in Form von EU-Standardvertragsklauseln Art. 26 Abs. 2 iVm Abs. 4 der Datenschutz-Richtlinie 95/46/EG StMV-Novelle - konzernweite Datenverwendung

53 © ARGE DATEN 2013 Whistleblowing - Grundlagen Whistleblowing - "verpfeifen" - Hinweisgeber "Ein Whistleblower (vom Englischen to blow the whistle; auf Deutsch wörtlich: die Pfeife blasen) ist ein Hinweisgeber oder ein Informant, der Missstände wie illegales Handeln (z.B. Korruption, Insiderhandel und Menschenrechtsverletzungen) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz oder in anderen Zusammenhängen erfährt, wie beispielsweise als Patient bei einer medizinischen Behandlung, an die Öffentlichkeit bringt." (aus Wikipedia.org) Whistleblowing - "verpfeifen" - Hinweisgeber "Ein Whistleblower (vom Englischen to blow the whistle; auf Deutsch wörtlich: die Pfeife blasen) ist ein Hinweisgeber oder ein Informant, der Missstände wie illegales Handeln (z.B. Korruption, Insiderhandel und Menschenrechtsverletzungen) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz oder in anderen Zusammenhängen erfährt, wie beispielsweise als Patient bei einer medizinischen Behandlung, an die Öffentlichkeit bringt." (aus Wikipedia.org) bekannt gibt." "bekannt geben" als Verallgemeinerung ARGE DATEN

54 © ARGE DATEN 2013 Whistleblowing - Grundlagen Whistleblowing - (Rechts-)Grundlagen -internationale Vorgaben, etwa für an US-Börsen notierte Unternehmen (False Claim Act 1986, den US Whistleblower Protection Act 1989, den Sarbanes-Oxley Act 2002 (SOX), gelten auch für deren Non-US-Töchter!) -generelle Sorfaltspflichten eines Unternehmens -spezifische gesetzliche Bestimmungen, in Österreich derzeit für Behörden bzw. für im öffentlichen Einfluss stehende Betriebe in Diskussion -moralisches Gerechtigkeitsgefühl der Hinweisgeber -??? ARGE DATEN

55 © ARGE DATEN 2013 Whistleblowing - Erscheinungsformen Whistleblowing - Datenschutzrelevanz -Hinweise behandeln im Regelfall allgemein nicht bekannte Tatsachen -es besteht Personenbezug a)es werden konkrete Personen bezichtigt und/oder b)Hinweisgeber kann identifiziert werden und/oder c)Daten beziehen sich auf Unternehmen -es kann eine Datenanwendung im Sinne des DSG 2000 vorliegen -Hinweise können strafrechtlich relevante Sachverhalte betreffen -Betroffene haben subjektive Rechte Anspruch auf Geheimhaltung Registrierungs-, Genehmigungspflichten Auskunfts-, Richtigstellungs- und Löschungsrechte Vorabkontrollpflicht ARGE DATEN

56 © ARGE DATEN 2013 Whistleblowing - Datenschutzverpflichtungen Whistleblowing - Auskunftsrecht § 26 DSG 2000 Jeder Betroffene hat Auskunftsrecht, jedoch mit Einschränkungen. § 26 Auskunftsrecht kann beschränkt werden, wenn a)überwiegende Interessen Dritter gefährdet werden (z.B. Schutzinteressen des Hinweisgebers gegenüber einer bezichtigten Person) b)Interessen des Auftraggebers gefährdet werden (z.B. Aufklärungsinteressen bezüglich der Hinweise) Die sonstigen Beschränkungen des § 26 DSG 2000 bleiben aufrecht! ARGE DATEN

57 © ARGE DATEN 2013 Whistleblowing - Datenschutzverpflichtungen Whistleblowing - Richtigstellungs- und Löschungsrecht § 27 DSG 2000 Jeder Betroffene hat Richtigstellungs- und Löschungsrecht, jedoch mit Einschränkungen. § 27 kann beschränkt werden, wenn a)mit einer Richtigstellung/Löschung der Zweck der Datenanwendung nicht mehr erfüllt werden kann (z.B. Dokumentationszweck), in der Regel ist jedoch ein Bestreitungsvermerk durch Betroffenen anzubringen b)eine Richtigstellung/Aktualisierung für die Datenanwendung unwesentlich ist Die sonstigen Beschränkungen des § 27 DSG 2000 bleiben aufrecht! ARGE DATEN

58 © ARGE DATEN 2013 Bring your Own Device IT-Systeme als Trojanische Pferde? ARGE DATEN


Herunterladen ppt "© ARGE DATEN 2013 ARGE DATEN Datenschutz versus Kontrolle Verantwortung von Mitarbeitern und Geschäftsführung Hans G. Zeger, ARGE DATEN Wien, Schoeller."

Ähnliche Präsentationen


Google-Anzeigen