Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© ARGE DATEN 2015 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven Hans G. Zeger, ARGE DATEN Urstein, FH Salzburg Inhouse Schulung, 27./28.

Ähnliche Präsentationen


Präsentation zum Thema: "© ARGE DATEN 2015 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven Hans G. Zeger, ARGE DATEN Urstein, FH Salzburg Inhouse Schulung, 27./28."—  Präsentation transkript:

1 © ARGE DATEN 2015 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven Hans G. Zeger, ARGE DATEN Urstein, FH Salzburg Inhouse Schulung, 27./28. Mai 2015 ARGE DATEN

2 © ARGE DATEN 2015 Die ARGE DATEN als PRIVACY-Organisation Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: -Web-Service: Besucher/Monat -Newsletter: rund Abonnenten -2014: rund 500 Medienanfragen/-berichte Mitgliederbetreuung Datenschutzfragen -2014: ca. 600 Datenschutz-Anfragen Rechtsschutz, PRIVACY-Services -2014: in ca. 200 Fällen Mitglieder in Verfahren vertreten Zahl der betreuten Mitglieder -aktuell: ca Personen Studien- und Beratungsprojekte A-CERT - Zertifizierungsdienstleister gem. SigG ARGE DATEN

3 © ARGE DATEN 2015 ARGE DATEN Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell- schaft das Grundrecht auf Privatsphäre zu sichern. ARGE DATEN

4 © ARGE DATEN 2015 ARGE DATEN Grundlagen DSG 2000 / Privatsphäre Sicherheit / Strafbestimmungen Videoüberwachung / Spezialregelungen betriebliche Datenverwendung Genehmigung / Registrierung Geplanter Ablauf Informationspflichten & Betroffenenrechte ARGE DATEN

5 © ARGE DATEN 2015 ARGE DATEN Grundlagen des DSG 2000 Die wichtigsten Begriffe Zustimmung Zulässigkeit der Datenverwendung ARGE DATEN

6 © ARGE DATEN 2015 Umsetzung der EU-Richtlinie "Datenschutz" (1995) soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch innerhalb der EU (Art.1 Abs.2) sichern Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten." Art. 1 Abs. 2 "Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes." EU-RL gilt nur für "natürliche Personen" DSG 2000 auch für "juristische und sonstige Personen" damit vertritt Österreich EU-weit eine exotische Position Bestimmungen betreffen alle Verwendungsformen persönlicher Daten, nicht nur automatisiert verarbeitete Daten DSG Grundlagen ARGE DATEN

7 © ARGE DATEN 2015 Einschränkungen des Verbots sind möglich: - mit der Zustimmung des Betroffenen - in Vollziehung von Gesetzen (Behörden, behördliche Tätigkeit) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen/Dritter DSG Grundrecht DSG 2000 § 1 (Verfassungsbestimmung) : "jede Verwendung persönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") -EU-Vorschlag: auf Basis rechtlicher Befugnisse (Gesetze, Verträge) ARGE DATEN Einschränkungen des Verbots sind möglich: - mit der Zustimmung des Betroffenen - in Vollziehung von Gesetzen (Behörden, behördliche Tätigkeit) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen/Dritter ARGE DATEN

8 © ARGE DATEN 2015 ARGE DATEN DSG 2000 § 4 Z 1 "personenbezogene Daten" "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" DSG 2000 § 4 Z 3 "Betroffener" "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" DSG 2000 § 4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem [personenbezogenen, Anm.] Suchkriterium zugänglich sind" DSG Grundlagen Datenbegriff sehr allgemein gehalten, umfasst auch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. Stromverbrauchsdaten, KFZ-Daten, IP-Adressen, ),... ARGE DATEN

9 © ARGE DATEN 2015 Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!) personenbezogene Daten § 4 Z 1 DSG 2000 ARGE DATEN DSG Grundlagen Personenbezogene Daten sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG 2000 (kein EU-Begriff) sensible Daten § 4 Z 2 DSG 2000 ARGE DATEN

10 © ARGE DATEN 2015 ARGE DATEN DSG Grundlagen DSG 2000 § 4 Z 2 ("sensible" Daten) Daten natürlicher Personen über rassische und ethnische Herkunft politische Meinung Gewerkschaftszugehörigkeit religiöse und philosophische Überzeugung Gesundheit Sexualleben Probleme kann die Abgrenzung bereiten, z.B. Hautfarbe, Speisegewohnheiten, "Kopftuch", Konfektionsgröße, Sozialberatung Erhebungs"absicht" (Zweck) wesentliche Komponente bei der Bewertung ob sensibles Datum ARGE DATEN

11 © ARGE DATEN 2015 ARGE DATEN DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung) DSG 2000 § 4 Z 5 "Dienstleister" natürliche oder juristische Personen,......, wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung) DSG Grundlagen ARGE DATEN

12 © ARGE DATEN 2015 ARGE DATEN DSG Grundlagen DSG 2000 § 4 Z 7 "Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)" DSG 2000 § 4 Z 8 "Verwenden von Daten" "jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten" DSG 2000 § 4 Z 9 "Verarbeiten von Daten" "das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten" DSG 2000 § 4 Z 12 "Übermitteln von Daten" "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister" ARGE DATEN

13 © ARGE DATEN 2015 ARGE DATEN DSG Grundlagen DSG 2000 § 4 Z 14 "Zustimmung" "die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt" Widerruf der Zustimmung in § 8 bzw. § 9 geregelt Entscheidung OGH 4 Ob 221/06p ("GE...bank") OGH 4 Ob 28/01y ("Creditanstalt") OGH 4 Ob 179/02f ("BA-CA") Damit schließt diese Definition für die Zukunft abgegebene allgemeine Zustimmungserklärungen aus Von der Zustimmung iS DSG 2000 § 4 Z 14 sind andere vertragliche Vereinbarungen zur Nutzung von Daten zu unterscheiden, etwa im Rahmen von Bestellungen, Kundenkarten,... ARGE DATEN

14 © ARGE DATEN 2015 Verwenden von Daten Z 8 ÜbermittelnVerarbeiten Z 9 Z 12 Daten- anwendung Z 7 Auftraggeber Z 4 Dienstleister Z 5 Auftrag Überlassen Z 11 Ermitteln, Auswerten, Sortieren, Speichern, Analysieren, Korrigieren, Ausdrucken, Anzeigen,... DSG Grundlagen Die wichtigsten Begriffe (§ 4 DSG Z...) ARGE DATEN

15 © ARGE DATEN 2015 ARGE DATEN DSG Grundlagen Grundsätze der Verwendung von Daten (§ 6ff) Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1) Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2) Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2) Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3) Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4) DSK /010-DSK/2001 ("gelindester Eingriff") Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren ARGE DATEN

16 © ARGE DATEN 2015 ARGE DATEN Welche Daten dürfen Behörden (öffentlich- rechtliche Einrichtungen) verwenden? -auf Grund ausdrücklicher gesetzlicher Verpflichtungen oder Ermächtigungen -zur Vollziehung eines Gesetzes unbedingt erforderlich -im Rahmen privatwirtschaftlicher Dienste DSK K /9-DSK/96 ("Dekanat") -Dekanat gibt Daten wie Aufnahmedatum, Geburtsdatum, Geburtsort, Staatsbürgerschaft, Art und Datum der Reifeprüfung, alle rigorosalen Teilprüfungen mit Datum und Ergebnis an Prüfer weiter -unzulässige Daten-Weitergabe an Einzelprüfer, weil Gesetz ausdrücklich das Dekanat mit der Führung der Prüfungsevidenz beauftragt hat -Gefahr der Beeinflussung des Prüfers Zwecke und Geschäftsbereiche ARGE DATEN

17 © ARGE DATEN 2015 Geheimhaltungsinteressen bei Datenverwendung (§ 8-nicht-sensible Daten, § 9-sensible Daten) Wann dürfen Daten jedenfalls verwendet werden? (Auszug) -Rechtsgrundlage / gesetzliche Verpflichtungen -Zustimmung des Betroffenen -zur Wahrung lebenswichtiger Interessen -überwiegende Interessen Dritter / Auftraggeber (nicht anwendbar bei sensiblen Daten!) z.B. notwendige Voraussetzung zur Vertragserfüllung, Ausübung von Rechtsansprüchen des Auftraggebers, behördliche Tätigkeit -indirekt personenbezogene Daten (EU-Konformität??) -zulässig veröffentliche Daten: soweit berechtigter Zweck des Verwenders gegeben? soweit mit ursprünglicher Veröffentlichung vereinbar? DSG Grundlagen ARGE DATEN

18 © ARGE DATEN 2015 ARGE DATEN Was ist eine zulässige Veröffentlichung? Veröffentlichen von Informationen -ist im DSG 2000 Spezialfall der Datenübermittlung -die Veröffentlichung muss rechtlich zulässig sein Beispiele für bedenkliche Veröffentlichungen: -Altersjubilare in der Gemeindezeitung genannt -Daten von Privathaushalten in einer Tourismusbroschüre angegeben (Kaprun) -öffentliche Ehrentafel aller eingemeindeten Bürger -Teilnehmerlisten von Kongressen/Seminaren -Klassenbilder im Schuljahresbericht -Veröffentlichen von lokalen (Amateur-)Sportergebnissen mit Name, Adresse und Geburtsdatum im Internet -Zusammenstellung persönlicher Daten durch (Personen-)Suchmaschinen DSG Veröffentlichung ARGE DATEN

19 © ARGE DATEN 2015 ARGE DATEN ausgewählte Beispiele Webseite Schule Zulässigkeit der Veröffentlichung? - ad I: überwiegende Interessen Dritter - ad II: Recht auf eigenes Bild, Zustimmung notwendig! - keine allgemeine Verfügbarkeit - gesetzliche Bestimmung ? schutzwürdige Information I II

20 © ARGE DATEN 2015 ARGE DATEN Nutzung von Studentenfotos Ausgangslage -eine Bildungseinrichtung veröffentlicht in einer Studierendenzeitung (und im Internet) Fotos von Studenten Fragestellungen -(datenschutzrechtliche) Zulässigkeit? -wie ist mit Fotos Verstorbener umzugehen? -sonstige Anforderungen? Fotos und Persönlichkeitschutz

21 © ARGE DATEN 2015 ARGE DATEN Fotos und Persönlichkeitschutz Nutzung von Studentenfotos II DSG-Grundlagen -Fotos, auf denen Personen identifizierbar sind, fallen grundsätzlich unter die Bestimmungen des DSG sind auf dem Foto auch gesundheitliche Beeinträchtigungen zu erkennen, handelt es sich um sensible Daten -Verstorbene sind nicht als Personen iS des DSG 2000 anzusehen Sonstige Persönlichkeitsrechte -bei Fotos sind zusätzlich die Persönlichkeitsrechte gemäß § 78 UrhG zu beachten, diese wirken über Tod hinaus und gehen auf Angehörige über -OGH 4Ob203/13a Angehörige können „Recht am eigenen Bild“ von Verstorbenen geltend machen, ohne eigene Interessen begründen zu müssen ("treuhändige" Inanspruchnahme eines Schutzrechtes)

22 © ARGE DATEN 2015 ARGE DATEN Fotos und Persönlichkeitschutz Nutzung von Studentenfotos III Konsequenz -die Nutzung der Fotos bedarf jedenfalls der Zustimmung der Betroffenen -werden durch die Abbildungen sensible Daten erfasst, ist jedenfalls eine ausdrückliche Zustimmung erforderlich -der Veröffentlichung - insbesondere wenn sensible Daten betroffen sind - wird jederzeit widersprochen werden können -im Todesfall wird auf Grund des OGH-Urteils ein Widerspruchsrecht durch die Angehörigen bestehen -im Falle eines zulässigen Widerspruchs müsse verteilte Broschüren nicht zurückgerufen werden, aber die weitere Verbreitung wird unzulässig sein

23 © ARGE DATEN 2015 ARGE DATEN Entscheidungen zum Bildnisschutz  OGH 4Ob203/13a Angehörige können „Recht am eigenen Bild“ von Verstorbenen geltend machen, ohne eigene Interessen begründen zu müssen ("treuhändige" Inanspruchnahme eines Schutzrechtes)  OGH 6Ob256/12h schon die Herstellung eines Bildnisses kann gegen das Persönlichkeitsrecht verstoßen  OGH 4 Ob 119/12x Veröffentlichung in Medium enttarnt verdeckten Ermittler und ist daher unzulässig (Medienprivileg nicht anwendbar) Fotos und Persönlichkeitschutz

24 © ARGE DATEN 2015 ARGE DATEN Bestimmungen zum Schutz der Privatsphäre EMRK Art 8 (Privatsphäre, Familienleben, Briefverkehr) StGG (Staatsgrundgesetz) Art. 9, 10 (Briefgeheimnis) u. 10a (Fernmeldegeheimnis) § 1 DSG 2000 (Geheimhaltung Daten) § 16 ABGB (angeborene Rechte) StGB z.B. § 118f (Briefgeheimnis), § 119f (Telekommunikationsgeheimnis) und §§ 302ff (Amtsmissbrauch) TKG 2003 § 93 (Kommunikationsgeheimnis) MedienG § 7ff (Bloßstellung) UrhG § 77 (Briefe, Tagebücher, ähnliche vertrauliche Aufzeichnungen), § 78 (Bildnisschutz), § 87 Abs 2 (Entschädigung) Regelungen für einzelne Berufsgruppen (siehe Anhang) ABGB § 1328a (Bloßstellung) StGB § 107a (Anti-Stalking-Bestimmung) Schutz der Privatsphäre - Übersicht ARGE DATEN

25 © ARGE DATEN 2015 ARGE DATEN § 1328a ABGB Privatsphärebestimmung (1) Wer rechtswidrig und schuldhaft in die Privatsphäre eines Menschen eingreift oder Umstände aus der Privatsphäre eines Menschen offenbart oder verwertet, hat ihm den dadurch entstandenen Schaden zu ersetzen. Bei erheblichen Verletzungen der Privatsphäre, etwa wenn Umstände daraus in einer Weise verwertet werden, die geeignet ist, den Menschen in der Öffentlichkeit bloßzustellen, umfasst der Ersatzanspruch auch eine Entschädigung für die erlittene persönliche Beeinträchtigung. Abs.2 definiert Substitutionsklausel -Bestimmung ist nicht anzuwenden, wenn andere Bestimmung gilt, etwa Datenschutz- oder Medienrechtsbestimmungen Schutz der Privatsphäre - §1328a ABGB ARGE DATEN

26 © ARGE DATEN 2015 ARGE DATEN Schutz der Privatsphäre - Beispiele Beispiele für Eingriffe in die Privatsphäre private Videoüberwachung, Personenortung, Radarüberwachung Bekanntgabe persönlicher Daten im Internet Illegales Abhören von Telefonaten oder Gesprächen Hacken von privaten Computern Missbrauch von Foto-Handys Weitergeben von privat mitgeteilten Geheimnissen Überwachung des Standortes eines Mobiltelefonnutzers ohne dessen Zustimmung Offenbaren/Verwerten von Gerichtsurteilen Bedrängen durch Kontaktaufnahmeversuche ( , Telefonate,...) ARGE DATEN

27 © ARGE DATEN 2015 ARGE DATEN Entscheidungen zur Privatsphäre Entscheidungen zum Schutz der Privatsphäre OGH 6Ob 2401/96y Videoüberwachung eines Wohnhauses OGH 7Ob 89/97g "Überwachung" durch Kameraattrappen (siehe auch analog OGH 6Ob6/06k) OGH 8Ob 108/05y Videoüberwachung eines Konkurrenten  OGH 6Ob 256/12k Unzulässig ist schon die Herstellung eines Bildes ("private" Aufnahmen von einem Sachverständigen im Zuge einer Amtshandlung) OGH 7Ob 248/09k Gelegentliches "über den Zaun schauen" ohne Eingriffsabsicht / ohne techn. Hilfsmittel kein Eingriff in Privatsphäre (Eingriff muss mit Aufzeichnungen nachgewiesen werden) BG Josefstadt 6C188/09p EV gemäß § 382g EO wegen Veröffentlichung privater Daten in einem Blog ("Cyberstalking") (begründet auf § 1328a ABGB) ARGE DATEN

28 © ARGE DATEN 2015 ARGE DATEN Videoüberwachung Informationsverbundsystem Verständigung / Adressenverlage Besondere Bestimmungen Wissenschaft und Forschung ARGE DATEN

29 © ARGE DATEN 2015 ARGE DATEN Videoüberwachung - Hintergrund (DSG 2000 § 50a ff) -keine offiziellen Statistiken über Umfang der Videoüberwachung in Österreich (Schätzung: Standorte mit Kameras) -keine Zahlen im staatlichen oder staatsnahen Bereich vorhanden -staatliche Videoüberwachung teilweise in SPG ("Gefahrenabwehr") und StPO ("Lauschangriff") geregelt -sonstige Videoüberwachungen sind personenbezogene Datenaufzeichnung und Teil des DSG 2000 ("bestimmbare" Personen) -spezifisches Problem: es werden vorrangig Personen erfasst, die NICHT unter den Aufzeichnungszweck fallen DSG Videoüberwachung ARGE DATEN

30 © ARGE DATEN 2015 ARGE DATEN Videoüberwachung - Definition (DSG 2000 § 50a Abs 1) Videoüberwachung ist definiert durch: -systematische und fortlaufende Feststellung von Ereignissen -betreffen bestimmte/überwachte Objekte oder Personen -Nutzung technischer Bildaufnahme- und Bildübertragungsgeräte Hinweis! Nicht jede Bildaufzeichnung fällt unter die Definition der Videoüberwachung! -einzelne Fotos/kurze Filme mit Digitalkameras oder Handykameras ("Touristenaufnahmen") -einzelne Aufnahmen aus fahrenden Autos heraus -Überwachung ohne identifizierende Absicht (technische Überwachungen, "Panoramakameras", "Hirsch-TV") fallen nicht unter die Definition der Videoüberwachung  Empfehlung DSK K /0004-DSK/2013 "Wetter-TV"  DSB-Meldemuster "Baustellenkamera" DSG Videoüberwachung ARGE DATEN

31 © ARGE DATEN 2015 ARGE DATEN Videoüberwachung - zulässiger Einsatz I (DSG 2000 § 50a Abs. 3) -im lebenswichtigen Interesse des Betroffenen (Abs. 3 Z 1) [Intensivstation,...??] -Verhalten, das öffentlich wahrgenommen werden will (Abs. 3 Z 2) [öffentlicher Vortrag/Straßensänger, Teilnehmer einer Kundgebung,...??] -Betroffener hat Überwachung selbst ausdrücklich zugestimmt (Abs. 3 Z 3) Video-Einsatz gemäß diesem Absatz sieht keine Beschränkungen vor! DSG Videoüberwachung ARGE DATEN

32 © ARGE DATEN 2015 ARGE DATEN Videoüberwachung - zulässiger Einsatz IIa (DSG 2000 § 50a Abs. 4, 5) -berechtigte Annahme Objekt oder Person könnte Ziel oder Ort eines gefährlichen Angriffs werden (Abs. 4 Z 1) [siehe OGH-Judikatur, allgemeine Angst/Vorsorge dürfte nicht reichen, aber Standardanwendungen für Trafikanten, Bankfilialen, Juweliere, Tankstellen, eigene Wohnzwecke genutzte private Grundstücke, internationale Organisationen, Verwaltungsgebäude öffentlicher Rechtsträger, Parkgaragen und - plätze, Rechenzentren, weiterhin Einzelgenehmigung erforderlich: u.a. Supermärkte, sonstige Geschäftslokale, Betriebsstätten] -Rechtsvorschriften oder gerichtliche Entscheidungen auferlegen dem Auftraggeber besondere Sorgfaltspflichten zum Schutz von Personen/Objekten (Abs. 4 Z 2) [Tankstellen, Straßentunnel-Sicherheitsgesetz–STSG, ÖFB/Vereinsstatuten,...] DSG Videoüberwachung ARGE DATEN

33 © ARGE DATEN 2015 ARGE DATEN Videoüberwachung - zulässiger Einsatz IIb (DSG 2000 § 50a Abs. 4, 5) -bloße Echtzeitüberwachung (keine Aufzeichnung/Speicherung) zum Schutz von Leib/Leben oder Eigentum des Auftraggebers (Abs. 4 Z 3) ["verlängertes Auge": Monitore bei Hauseingängen, Garagen] Absolute Beschränkungen zu den Fällen Abs. 4 Z 1-3: -keine Überwachung höchstpersönlicher Lebensbereiche [kein ToilettenTV, Privatwohnungen, Umkleidekabinen, Umkleideräume??, Krankenbetten??, Gräber??, Betstätten??] -nicht zum Zweck der Mitarbeiterkontrolle [laut EB gemeint: Leistungskontrolle] DSG Videoüberwachung ARGE DATEN

34 © ARGE DATEN 2015 ARGE DATEN Videoüberwachung - weitere zulässige Verwendung ("Zufallsfunde") (DSG 2000 § 50a Abs. 6) -an Behörden und Gerichte bei Verdacht einer von Amts wegen gerichtlich bedrohten strafbaren Handlung [keine Privatanklagedelikte, Zivilverfahren, Verwaltungsübertretungen] -an Sicherheitsbehörden nach SPG § 53 Abs. 5 [Behörden entscheiden über Notwendigkeit] -Durchsetzungsbefugnisse zur Herausgabe von Beweismitteln bleiben bestehen [kein Entschlagungsgrund wegen DSG 2000 § 50a] DSG Videoüberwachung ARGE DATEN

35 © ARGE DATEN 2015 ARGE DATEN Videoüberwachung - Verwertungsverbote (DSG 2000 § 50a Abs. 7) -Videodaten dürfen nicht automationsunterstützt mit anderen Bilddaten abgeglichen werden [Verbot von Face- Recognition, unklar: Verbot von Bewegungsanalysen, von Abgleich mit Bedrohungsmustern] -kein systematisches Durchsuchen nach sensiblen Auswahlkriterium [etwa: Hautfarbe, Geschlecht,...] DSG Videoüberwachung ARGE DATEN

36 © ARGE DATEN 2015 ARGE DATEN Videoüberwachung - Regeln zur Verwendung der Daten (DSG 2000 § 50b) -Jede Datenverwendung ist zu protokollieren (Ausnahme Echtzeitüberwachung) (Abs. 1) [Erweiterung der Protokollpflicht des § 14 DSG 2000] [zur Dauer der Aufbewahrung der Protokolldaten wird keine Aussage gemacht, § 14 geht von drei Jahren aus] -nicht dem ursprünglichen Zweck entsprechende Daten sind nach 72 Stunden zu löschen Längere Aufbewahrungszeiten sind auf begründeten Antrag möglich (Abs. 2) DSG Videoüberwachung ARGE DATEN

37 © ARGE DATEN 2015 ARGE DATEN Videoüberwachung - Meldepflicht I (DSG 2000 § 50c) Abgestufte Meldepflicht -keine Meldepflicht bei Echtzeitüberwachung, bei Aufzeichnung auf analogem Speichermedium (Abs. 2) [konvertieren würde aber zu Meldepflicht führen!] -keine Meldepflicht bei den sonstigen Ausnahmen nach § 17 Abs. 2 und 3 DSG 2000, insbesondere bei Standardanwendungen SA032 (Abs. 2) -vereinfachte Meldepflicht bei Verschlüsselung der Videodaten und Hinterlegung des Schlüssels bei der DSB (Abs. 1) DSG Videoüberwachung ARGE DATEN

38 © ARGE DATEN 2015 ARGE DATEN Videoüberwachung - Meldepflicht II (DSG 2000 § 50c) -alle anderen Fälle unterliegen der Vorabkontrolle (Abs. 2) Mehrere gleichartige Standorte und Überwachungsgründe können in einer Meldung zusammen gefasst werden (Abs.3) DSG Videoüberwachung ARGE DATEN

39 © ARGE DATEN 2015 ARGE DATEN Videoüberwachung - Kennzeichnungspflicht (DSG 2000 § 50d) -jede Videoüberwachung ist zu kennzeichnen (Abs. 1) [umfasst auch nicht registrierungspflichtige] -der Auftraggeber muss aus der Kennzeichnung eindeutig erkennbar sein, es sei denn er ist dem Betroffenen bereits bekannt (Abs. 1) -Kennzeichnung muss so erfolgen, dass potentiell Betroffene der Überwachung ausweichen können (Abs. 1) -keine Kennzeichnungspflicht beim Vollzug hoheitlicher Aufgaben, die unter die Ausnahmen nach § 17 Abs. 3 DSG 2000 fallen (Abs. 2) [Keine sonstige Ausnahme von der Kennzeichnung für Private (etwa zur verdeckten Observation)] DSG Videoüberwachung ARGE DATEN

40 © ARGE DATEN 2015 ARGE DATEN Was ist ein Informationsverbundsystem (IVS)? (§ 50) gemeinsame Verwendung von Daten in einer DA durch mehrere [österreichische] Auftraggeber geeigneter Betreiber ist zu bestellen Betreiber ist zwecks Eintrag im DVR zu melden Betreiber hat Auskünfte über Auftraggeber zu geben (12 Wochenfrist!) es können weitere Auftraggeberpflichten an den Betreiber abgetreten werden Meldepflichten des Informationsverbundsystems können an Betreiber formlos übertragen werden (Abs. 2) Erleichterungen der Meldung zusätzlicher Teilnehmer an Informationsverbundsystem: es genügt Verweis auf andere Meldung (Abs. 2a) Stand lt. DVR-Online: 133 Anwendungen gemeldet, davon ca. 80% aus dem öffentlich-rechtlichen Bereich, 20% private DSG Spezialregelungen ARGE DATEN

41 © ARGE DATEN 2015 ARGE DATEN Registrierung von Warndateien bei Banken DSK K /021-DSK/2001 erging ursprünglich an vier Banken "Musterbescheid" Genehmigung mit Auflagen erteilt I Eintragung von Kunden nur zulässig bei -vertragswidrig ausgestellten Schecks -vertragswidrig genutzter Bankomat- oder Kreditkarte -Aufkündigung einer Kontoverbindung + -Fälligstellung eines Kredits + -Einleitung der Rechtsverfolgung + + Forderung übersteigt EUR Informationspflicht des Betroffenen VOR Eintragung Grund der Warneintragung ist Betroffenen bekannt zu geben DSG Spezialregelungen ARGE DATEN

42 © ARGE DATEN 2015 ARGE DATEN Registrierung von Warndateien bei Banken Genehmigung mit Auflagen erteilt II Bekanntgabe der Durchsetzung der Betroffenenrechte unverzügliche Eintragung begründeter Bestreitung der Forderung ist vorzusehen vollständige Bezahlung der Forderung ist unverzüglich einzutragen bei unbegründeter Forderung ist unverzügliche Löschung vorzunehmen Löschung nach 3 Jahren nach vollständiger Bezahlung der Schuld, ansonsten nach 7 Jahren nach Tilgung der Schuld Überprüfung der Richtigkeit muss mindestens einmal jährlich erfolgen Analog DSK-Bescheid K /0002-DVR/2007 zur Konsumentenkreditevidenz (KKE) DSG Spezialregelungen ARGE DATEN

43 © ARGE DATEN 2015 ARGE DATEN Verwendung von Daten für Wissenschaft und Forschung (§ 46) -Verwendung im Sinne dieser Bestimmung liegt vor, wenn Ergebnisse nicht personenbezogen sind -effektive Anonymisierung so bald als möglich notwendig, "Pseudonymisierung/Codierung" nicht ausreichend Folgende Daten dürfen verwendet werden: -öffentlich zugängliche Daten (Abs. 1 Z 1) -Daten, die der Auftraggeber zu anderen Zwecken ermittelt hat (Abs. 1 Z 2) -indirekt personenbezogene Daten (Abs. 1 Z 3) -gemäss gesetzlicher Vorschriften (Abs. 2 Z 1) -mit Zustimmung des Betroffenen (Abs. 2 Z 2) -Weitere Verwendungsmöglichkeit mit Genehmigung der DSB (Abs. 2 Z 3) DSG Spezialregelungen ARGE DATEN

44 © ARGE DATEN 2015 ARGE DATEN Verwendung von Daten für Wissenschaft und Forschung (§ 46) II DSK K /002-DSK/2001 ("öffentliches Interesse") von öffentlicher Hand geförderte Forschung liegt immer im öffentlichen Interesse DSK K /003-DSK/2003 ("Leiharbeit und Neue Selbständige") Verwendung von Personendaten (inkl. SV-Nummer) aus SVA, dem HV, den Gebietskrankenkassen und dem BMWA nach Vorlage eines Verwendungskonzepts genehmigt DSK K /006-DSK/2003 ("Suizidforschung") Die Verwendung der Daten Verstorbener fällt nicht in den Genehmigungsbereich der DSK/DSB DSG Spezialregelungen ARGE DATEN

45 © ARGE DATEN 2015 DVR-Meldung SV-Hauptverband /021 ("Befundblätter der Vorsorgeuntersuchung VU") Ausgangslage -Im Zuge der Vorsorgeuntersuchungen werden Befunddaten personenbezogen an den Hauptverband der Sozialversicherungen übermittelt (manuell/elektronisch) -Rechtsgrundlage sind diverse Bestimmungen des ASVG, GSVG,... + interne Richtlinien des HV -Befunddaten sind sensible Daten im Sinne des DSG VU-Daten werden zur Abrechnung und zur Evaluation der Vorsorgeuntersuchungen verwendet (zwei verschiedene Zwecke) -Bestimmungen sehen jährliche Statistiken vor, § 31 Abs. 4 Z 10 ASVG bestimmt HV als Pseudonymisierungsstelle ("Dienstleister") -eine personenbezogene Speicherung der Befunddaten lässt sich aus den ASVG-Bestimmungen (+ verwandte) nicht ableiten -Qualitätskriterien zur Anonymisierung werden nicht vorgegeben ARGE DATEN Anonymisierung von Daten

46 © ARGE DATEN 2015 DVR-Meldung SV-Hauptverband /021 ("Befundblätter der Vorsorgeuntersuchung VU") II Probleme -die Verrechnung erfolgt durch die zuständige SV (z.B. WGKK /013 KOSTENABRECHNUNG IM LEISTUNGSWESEN) Daten sind beim HV eigentlich am "falschen" Ort -Verrechnungsdaten werden personenbezogen an SV übermittelt -auch das Ermitteln von Befunddaten zum Zweck der Pseudonymisierung ist eine Datenanwendung iS des DSG HV sieht sich anfänglich bloß als Dienstleister der Ärzte (Durchführen der Pseudonymisierung) und der SV (Aufbereiten der Abrechnungsdaten) -HV sah daher keine Meldeverpflichtung -Meldung wurde "verspätet" 12/2005 eingebracht und 5/2006 mit Auflagen genehmigt ARGE DATEN Anonymisierung von Daten

47 © ARGE DATEN 2015 DVR-Meldung SV-Hauptverband /021 ("Befundblätter der Vorsorgeuntersuchung VU") III Entscheidung DSK -genehmigt Datenanwendung mit Auflagen -Befunddaten zum Zweck der Verrechnung dürfen nur maximal ein Monat nach Einlangen personenbezogen gespeichert werden -Löschung muss nach einem Monat automatisiert erfolgen -die sonstigen Daten der Vorsorgeuntersuchung dürfen nur pseudonymisiert beim HV verwendet werden (etwa für statistische Auswertungen) -es wird sichere Aufbewahrung verlangt ("vor dem Zugriff Unbefugter sicher geschützt") Konsequenzen -Verbot der personenbezogenen Verwendung der Daten macht aus den "pseudonymen" Daten für HV indirekt personenbezogene Daten -HV hat 2013 weitere Pseudonymisierungsverarbeitungen gemeldet -generell gilt: auch pseudonymisierte Datenanwendungen fallen für "Pseudonymisierer" unter die Meldebestimmungen des DSG 2000 ARGE DATEN Anonymisierung von Daten

48 © ARGE DATEN 2015 ARGE DATEN Sonderbestimmungen zu Adressenverlagen / Werbung -§ 151 GewO1994 ("Listenprivileg" der Adressenverlage) -§ 107 TKG 2003 (Werbeverbot Telefon/Fax/ /SMS) GewO-Bestimmung ist Weitergabeermächtigung -Inhaber von Kunden/Interessentenlisten dürfen nur bestimmte Daten ohne Zustimmung des Betroffenen weitergeben -auf Widerspruchsmöglichkeit muss hingewiesen werden -zulässige Datenarten: Namen, Geschlecht, Titel, akademischer Grad, Anschrift, Geburtsdatum, Berufs-, Branchen- oder Geschäftsbezeichnung, Zugehörigkeit zu Kunden-/Interessentendatei -gesetzliche Sperrliste ("Robinsonliste") ist von Adressverlagen zu beachten! -Löschungsanspruch gegenüber gewerblichen Adressenverlagen! DSG Spezialregelungen ARGE DATEN

49 © ARGE DATEN 2015 Unerbetene Nachrichten Kommunikations-Datenschutzrichtlinie 2002/58/EG Art.13 -RL sieht Opt-In bei Werbung vor -umfasst automatische Anrufsysteme ohne menschlichen Eingriff (automatische Anrufmaschinen), Faxgeräte, elektronische Post -Ausnahme bei Kunden zur Bewerbung ähnlicher Produkte -trifft keine Aussage zu -Massensendungen oder "normalen" Telefonanrufen Komplexe Regelung in TKG 2003 § 107 -sieht ebenfalls Opt-In für Werbung vor -umfasst alle Telefonanrufe, Faxgeräte, elektronische Post inkl. SMS -Ausnahme bei Kunden zur Bewerbung ähnlicher Produkte, jedoch ist Sperrliste (gem. § 7 Abs. 2 ECG) zu beachten -bei elektronischer Post & SMS zusätzlich jede Massensendungen verboten -zulässig unerbetene Anrufe/Fax zu anderen Zwecken, etwa Meinungsbefragung TKG Datenschutzbestimmungen ARGE DATEN

50 © ARGE DATEN 2015 TKG Datenschutzbestimmungen Unerbetene Nachrichten II Regelung in TKG 2003 § 107 -Identität des Absenders muss offen gelegt werden -Möglichkeit zur Einstellung der Zusendungen muss angeboten werden -bei erlaubten Werbeanrufen, darf Anrufnummer weder unterdrückt, noch verfälscht sein, ECG-Bestimmungen nicht verletzt werden, nicht zum Besuch ECG-widriger Webseiten aufgefordert werden -Anzeigemöglichkeit bei unerbetenen Nachrichten bei Fernmeldebüros (Verwaltungsstrafe bis Euro bei Spam, bei Anrufen), 2012 (2011) 344 Anzeigen, 59 (35) Strafverfahren, Strafe Schnitt 196 (71) Euro -Ort der "Tatbegehung" ist bei inländischen "Tätern" Sitz des Täters, bei anderen, der Ort an dem die Nachricht den Teilnehmer erreicht Sonstige Maßnahmen gegen Spam -anwaltliche Abmahnungen: Unterlassungsanspruch -Spamfilter, Blocking-Listen und andere technische Maßnahmen: jedoch! Gefahr des Eingriffs in Kommunikation Regelung gilt für alle, nicht nur Betreiber! ARGE DATEN

51 © ARGE DATEN 2015 ARGE DATEN Was ist eigentlich Tracking? Der Begriff Tracking umfasst alle Bearbeitungsschritte, die der gleichzeitigen Verfolgung von (bewegten) Objekten dienen.... Ziel dieser Verfolgung ist meist das Abbilden der beobachteten tatsächlichen Bewegung zur technischen Verwendung. Solche Verwendung kann das Zusammenführen des getrackten Objektes mit einem nachfolgenden Objekt sein. Solche Verwendung kann aber auch schlichter die jeweilige Kenntnis des momentanen Ortes des getrackten Objektes sein. (wikipedia, ) statt "Objekt" setzen wir "Person" ein der tatsächlichen Identität des getrackten Objektes sein. bekannten Informationen sein. Solche Verhaltens des Verwertung. Verwertung Identifizieren - Kombinieren - Verwerten sind offensichtlich die Ziele von Tracking Internet-Tracking in Österreich Personen der getrackten Person sein. der getrackten Person

52 © ARGE DATEN 2015 ARGE DATEN Welche Internet-Tracking-Formen kennen wir? Cookies bekannt, leicht zu unterbinden, schwach IP-Adresse bekannt, oft irreführend (z.B. Internet-Cafes) MAC-Adressen weniger bekannt, leicht zu manipulieren gut verwertbar Zählpixel bekannt, vom Benutzer kaum abwehrbar, gut verwertbar Skripts, Plugins bekannt, theoretisch leicht zu unterbinden, in der Praxis funktioniert dann "nichts" mehr, sehr effektiv persönliche Anmeldung bewährt, erfordert jedoch schon Vertrags- oder zumindest Vertrauensbeziehung, sehr effektiv, letzte Stufe des Tracking Browser Toolbar bewährt, erfordert Aktion des Benutzers, kann meist unauffällig installiert werden, extrem effektiv, wird nicht manipuliert Internet-Tracking in Österreich

53 © ARGE DATEN 2015 ARGE DATEN Welche Internet-Tracking-Formen kennen wir? II Geräte- Signatur bekannt, faktisch nicht manipulierbar, gut verwertbar und sehr effektiv Browserfont weniger bekannt, nicht manipulierbar, sehr gut verwertbar und sehr effektiv Der perfekte Tracker wird immer eine Kombination aller Techniken einsetzen! Internet-Tracking in Österreich

54 © ARGE DATEN 2015 Datenschutzfragen Internettechniken Cookie-Verwendung Privacy-Gefährdungspotentiale -gemeinsame Nutzung des Computers durch mehrere Personen (etwa wenn Passwörter oder persönliche Angaben in Coockies hinterlegt werden) -Ausspähen von Interessensprofilen -Einsatz von Cookie-Servern / Cookies in Werbebannern -Verwendung über Servergrenzen hinweg 2002/58/EG (Kommunikations-Datenschutzrichtlinie) -Cookies sind grundsätzlich zulässig (EG 25) -dürfen nicht überrumpelnd eingesetzt werden -Bei Übergang auf Seiten mit Cookies ist das anzuzeigen -Verwendung von Cookies schon auf der "Homepage" wäre unzulässig ARGE DATEN

55 © ARGE DATEN 2015 Zwei Typen von Tracking (a) Website-Betreiber versucht Benutzerverhalten zu erkennen, zu steuern und zu optimieren (b) Tracking-Betreiber versuchen Benutzerverhalten über viele Webseiten hinweg zu erkennen, zu steuern und für die Interessen ihrer Auftraggeber zu optimieren ARGE DATEN

56 © ARGE DATEN 2015 ARGE DATEN

57 © ARGE DATEN 2015 ARGE DATEN Wer nutzt in Österreich Tracking? Socialmedia Studie "Datenschutzkonformer Einsatz von Facebook LikeIt, Google Analytics & Co" -Anlass waren neue ePrivacy-Bestimmungen der EU und in Österreich -damals die Webseiten von etwa 5000 österreichischen Einrichtungen analysiert -http://www.argedaten.at/socialmedia 2014 wurde Tracking-Analyse aktualisiert -Websites von über Organisationen/Privaten berücksichtigt -Schwerpunkt der Analyse waren Behörden, öffentliche Einrichtungen, Gesundheitseinrichtungen, "wichtige" Unternehmen (Branchenführer, besonders große Unternehmen, börsenotierte Unternehmen), Parteien -Methode: Analyse der in einer Website eingebetteten Dritt-URLs Internet-Tracking in Österreich

58 © ARGE DATEN 2015 Internet-Tracking in Österreich ARGE DATEN

59 © ARGE DATEN 2015 Internet-Tracking in Österreich ARGE DATEN

60 © ARGE DATEN 2015 Internet-Tracking in Österreich ARGE DATEN

61 © ARGE DATEN 2015 Internet-Tracking in Österreich ARGE DATEN

62 © ARGE DATEN 2015 Internet-Tracking in Österreich ARGE DATEN

63 © ARGE DATEN 2015 Aufruf von Websites mit Facebook Like Plugin nachdem die Facebook- Website aufgerufen wurde aber keine Registrierung erfolgte (kein Klick auf das Plugin): xxxx.xxxx.xx Schwangerschaftsnetz.tld Websites mit Facebook Like Plugin: Glaubensgemeinschaft.tld  PolitischePartei.tld  ID: dTrGTwDiSl75GjJ73KORYiR1 Facebook.com Websiteaufrufe automatische Mitaufrufe – einzigartige ID wird jedesmal übermittelt in Computer des Nutzers gespeichert: ID: dTrGTwDiSl75GjJ73KORYiR1 Internet-Tracking in Österreich ARGE DATEN

64 © ARGE DATEN 2015 Rechtlicher Rahmen? Verwendet Tracking personenbezogene Daten? DSG 2000 § 4 Z 1 "Daten" ("personenbezogene Daten") "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" Wer sind Betroffener? DSG 2000 § 4 Z 3 "Betroffener" "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" Datenbegriff sehr allgemein gehalten, umfasst auch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. IP-Adressen, Cookies, jede Art von Tracking-Daten,...) Wunsch oder Möglichkeit der Identifizierung einer Person reicht Internet-Tracking in Österreich ARGE DATEN

65 © ARGE DATEN 2015 Kommunikationsgeheimnis (§ 93 TKG 2003) schützt Inhaltsdaten, Verkehrsdaten und Standortdaten, inklusive erfolgloser Verbindungsversuche [Stammdaten im Rahmen des DSG 2000 geschützt] Verpflichtet Betreiber und deren Personal zur Geheimhaltung: gerichtliche Strafandrohung (§ 108 TKG 2003) Mithören, Abfangen, Aufzeichnung oder sonstige Überwachen von Nachrichten durch andere als die Benutzer ist unzulässig (Zustimmung aller Beteiligten erforderlich), zufällig aufgenommene Nachrichten müssen gelöscht werden, gilt für alle "Anwender" (Abs. 4) Ausnahmen (Abs. 3): -Rückverfolgung von Notrufen -Aufzeichnungen im Rahmen einer Fangschaltung -Überwachung, Auskunftserteilung bei Nachrichtenübermittlung (inkl. Vorratsdaten) -wenn technisch für Diensterbringung erforderlich (z.B. Mailbox) Internet-Tracking in Österreich ARGE DATEN

66 © ARGE DATEN 2015 Datenschutz-Grundsätze (§ 96 TKG 2003) Verwendung der Daten nur für Zwecke der Besorgung eines Kommunikationsdienstes (Abs. 1) Übermittlung (Abs. 2) nur, wenn -notwendig für Diensterbringung oder -mit Zustimmung des Betroffenen für Vermarktungszwecke oder Dienste mit Zusatznutzen (jederzeit widerrufbar) Löschung (Abs. 2) der Daten sobald wie möglich z. B.: Verkehrsdaten sind zu löschen, wenn für Dienst oder Abrechnung nicht mehr erforderlich nähere Regelung der Datenverwendung in AGB möglich Internet-Tracking in Österreich ARGE DATEN

67 © ARGE DATEN 2015 Datenschutz-Grundsätze (§ 96 TKG 2003) II Erweiterte Informations- und Zustimmungsverpflichtungen bei Diensterbringung (gelten für Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft (siehe ECG) (Abs. 3) Informationspflichten: -welche personenbezogene Daten Betreiber/Anbieter ermittelt, verarbeitet und übermittelt (betrifft auch Standort- /Geo-Daten) -Rechtsgrundlage und Zweck der Datenverwendung -Speicherdauer der Daten Information ist in geeigneter Form, insbesondere mittels AGBs, spätestens bei Beginn einer Rechtsbeziehung zu erfolgen [z.B. vor Setzen oder Übermitteln von Cookies,..] Internet-Tracking in Österreich ARGE DATEN

68 © ARGE DATEN 2015 Datenschutz-Grundsätze (§ 96 TKG 2003) III Abs. 3 - Fortsetzung Ermittlung von Daten nur, wenn -Teilnehmer oder Nutzer Einwilligung erteilt hat oder -der alleinige Zweck die Übertragung einer Nachricht im Kommunikationsnetz ist oder -wenn dies unbedingt erforderlich ist, damit ein Dienst der Informationsgesellschaft, den der Teilnehmer oder Benutzer ausdrücklich gewünscht hat erbracht werden kann [z.B. Session-Cookie für Online-Shop, GPS-Daten für location based services,...] Internet-Tracking in Österreich ARGE DATEN

69 © ARGE DATEN 2015 ARGE DATEN

70 © ARGE DATEN 2015 ARGE DATEN

71 © ARGE DATEN 2015 ARGE DATEN

72 © ARGE DATEN 2015 ARGE DATEN

73 © ARGE DATEN 2015 ARGE DATEN

74 © ARGE DATEN 2015 ARGE DATEN

75 © ARGE DATEN 2015 ARGE DATEN Was kümmert's mich? Ich hab ja nichts zu verbergen Was soll man schon mit diesen Daten anfangen? -Vielleicht die nächste Grippe-Epidemie verhersagen -Ob Sie schwanger sind oder heimlichen Kinderwunsch hegen -Wie sich die Inflation entwickelt -Ob Sie Steuerhinterzieher sind oder glücksspiel-, alkohol- oder drogenabhängig sind -Ob Sie ein Kurz- oder Langlebigkeitsrisiko darstellen oder bloß schlechte Bonität haben -Ob beim nächsten Tornado doch eher Smarties statt Taschenlampen bei der Verkaufskassa aufgestellt werden Wenn Ihnen gefällt, dass US-Unternehmen diese Entscheidungen für Sie treffen, dem kann ich nicht helfen.... Internet-Tracking in Österreich

76 © ARGE DATEN 2015 ARGE DATEN verwendete Mozilla-Einstellung

77 © ARGE DATEN 2015 ARGE DATEN

78 © ARGE DATEN 2015 ARGE DATEN

79 © ARGE DATEN 2015 ARGE DATEN

80 © ARGE DATEN 2015 ARGE DATEN

81 © ARGE DATEN 2015 ARGE DATEN

82 © ARGE DATEN 2015 ARGE DATEN

83 © ARGE DATEN 2015 ARGE DATEN

84 © ARGE DATEN 2015 ARGE DATEN

85 © ARGE DATEN 2015 ARGE DATEN ?

86 © ARGE DATEN 2015 ARGE DATEN

87 © ARGE DATEN 2015 ARGE DATEN

88 © ARGE DATEN 2015 ARGE DATEN

89 © ARGE DATEN 2015 ARGE DATEN

90 © ARGE DATEN 2015 ARGE DATEN

91 © ARGE DATEN 2015 ARGE DATEN

92 © ARGE DATEN 2015 ARGE DATEN

93 © ARGE DATEN 2015 ARGE DATEN zusammenfassende Bewertung: durchwachsen - Verbesserungspotential in Sachen Privacy

94 © ARGE DATEN 2015 ARGE DATEN betriebliche Datenverwendung zulässige Datenverwendung Betriebsvereinbarung & Privatnutzung Entscheidungen ARGE DATEN

95 © ARGE DATEN 2015 ARGE DATEN IT-Nutzung im Spiegel der Rechtssprechung -OGH 9ObA75/04a: -Verkehr entspricht gelegentlichen kurzen Telefonaten privaten Inhalts mit Arbeitskollegen. Gelegentliches Weiterleiten von Spaß- s entgegen generellem Verbot stellt zwar Fehlverhalten dar, rechtfertigt nicht Entlassung. -OGH 9ObA151/02z: Surfen in der Arbeitszeit, wenn es nach Ermahnung sofort eingestellt wird, stellt keinen Entlassungsgrund dar. -OGH 9ObA178/05z: unerlaubte private Computernutzung an sich noch kein Schaden für Betrieb, wäre etwa durch Virenbefall wegen Verletzung der Internet- Policy gegeben. Umsatz und Gewinnentgang wegen "unproduktiven Verhaltens" ebenfalls kein Schaden, muss kausal bewiesen werden. Kein Entlassungsgrund -LAG München 11 Sa 54/09: unerlaubte -Einsichtnahme durch Administrator rechtfertigt fristlose Kündigung (Ö: Entlassung) (un)zulässiger IT-Einsatz ARGE DATEN

96 © ARGE DATEN 2015 ARGE DATEN Datenschutz und personalisierte -Postfächer -Postfächer Ausgangslage -Unternehmen richtet für jeden Mitarbeiter einen "persönlichen" E- Mail-Account im Format ein -Weiters existieren Funktionsadressen s an diese Funktionsadressen werden in der Regel an mehrere zuständige Mitarbeiter weiter geleitet -Mitarbeiter werden angehalten unter den Funktionsadressen mit Kunden/Lieferanten zu korrespondieren, nur im Sonderfall unter der persönlichen Adresse -Kunden/Lieferanten schreiben meist an irgendeine Adresse (persönliche oder Funktionsadresse), in vielen Fällen müssen die E- Mails betriebsintern erst richtig weitergeleitet werden -zu einem späteren Zeitpunkt entschließt sich das Unternehmen die -Account-Verwaltung an einen Dienstleister auszulagern

97 © ARGE DATEN 2015 ARGE DATEN Datenschutz und personalisierte -Postfächer -Postfächer II Ausgangslage (Fortsetzung) -Regelungen zur privaten -Nutzung wurden nicht getroffen -Die Geschäftsführung möchte in den persönlichen -Account eines Mitarbeiters Einblick nehmen  Konsequenzen nach dem DSG 2000 ?  arbeitsrechtliche Konsequenzen ?  sonstige Konsequenzen ?

98 © ARGE DATEN 2015 ARGE DATEN Datenschutz und personalisierte -Postfächer -Postfächer III Schutz der -Inhalte - s fallen grundsätzlich unter DSG 2000, da Absender, Empfänger und oft auch im Inhalt Betroffene iS des DSG 2000 § 4 Z 3 sind - s unterliegen zusätzlich dem Fernmeldegeheimnis (StGG Art. 10 a, ), Sanktionen bei Verletzung ist im StGB § 119 "Verletzung des Telekommunikationsgeheimnisses" geregelt: "(1) Wer in der Absicht, sich oder einem anderen Unbefugten vom Inhalt einer im Wege einer Telekommunikation oder eines Computersystems übermittelten und nicht für ihn bestimmten Nachricht Kenntnis zu verschaffen,... ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen." -Ergänzend regelt § 93 TKG 2003 die Geheimhaltungspflichten für Betreiber und Mitarbeiter des Betreibers und die Vorgangsweise aller Anwender für unbeabsichtigt empfangene Nachrichten

99 © ARGE DATEN 2015 ARGE DATEN Datenschutz und personalisierte -Postfächer -Postfächer IV Rechte der Geschäftsführung -grundsätzlich besteht Einsichts- bzw. Zugriffsrecht auf alle s, die für den Betrieb (die Betriebsführung) erforderlich sind, jedoch eingeschränkt auf die betriebsinterne Organisationsordnung (Zuständigkeiten) -StGB § 119 wird im Regelfall bei betrieblichen s nicht anwendbar sein, da der Empfänger im Regelfall nicht der bestimmte Mitarbeiter als Person, sondern als Organ des Unternehmens tätig ist (der Adressat das Unternehmen ist) -dies gilt unabhängig von Funktions- oder Personen-Adresse -die pauschale Öffnung eines (persönlichen) -Accounts wird trotzdem im Regelfall unzulässig sein, da der Account auch private, nicht betriebliche s enthalten kann -Schutz- und Strafbestimmungen gelten unabhängig von Eigentumsrechten oder betrieblichen Weisungen

100 © ARGE DATEN 2015 ARGE DATEN Datenschutz und personalisierte -Postfächer -Postfächer V Rechte der Geschäftsführung II -die Öffnung eines -Accounts wird daher so zu gestalten sein, dass die Persönlichkeits- und Geheimhaltungsrechte des Mitarbeiters gewahrt werden -Mögliche Lösungsvaranten: Mitwirkung des betroffenen Mitarbeiters Mitwirkung einer Vertrauensperson des Mitarbeiters Mitwirkung der Personalvertretung Mitwirkung vertrauenswürdiger Dritter (z.B. Anwalt,...) -in allen Fällen dürfen nur jene s übernommen werden, die den Betrieb betreffen, alle anderen s dürfen "nicht zur Kenntnis genommen werden", sofern der Mitarbeiter noch erreichbar ist, sind sie auszuhändigen, in den anderen Fällen an den Absender zu retournieren -unzulässig wäre das (dauerhafte) Weiterleiten eines persönlichen -Accounts

101 © ARGE DATEN 2015 ARGE DATEN Datenschutz und personalisierte -Postfächer -Postfächer VI Pflicht des Dienstleisters -die Herausgabe von -Zugangsdaten durch den - Provider wird nur dann zulässig sein, wenn die Geschäftsführung darlegen kann, dass die Persönlichkeits- und Geheimhaltungsrechte des Mitarbeiters gewahrt werden -zulässig wäre wohl eine "Sperre" des Accounts, sofern Mail- Absender über die Nichtzustellung einer informiert werden -unzulässig wäre das "Verschwinden lassen" (unterdrücken) einlangender s Das Öffnen von Mitarbeiter- -Accounts ist immer eine Gratwanderung zwischen berechtigten betrieblichen Interessen und Geheimhaltungsinteressen der Mitarbeiter Betriebliche Abläufe sollten weitgehend so geplant werden, das s nur ein Hilfsmittel, nicht jedoch das Rückrat der betrieblichen Tätigkeit sind

102 © ARGE DATEN 2015 ARGE DATEN DSK K (Internet als Datenanwendungen) Ausgangslage -Mitarbeiter ersuchte um Auskunft der über ihn gespeicherten Daten -beauskunftet wurden (nach Beschwerdeverfahren): SAP-HR-Verwaltung, IT-Berechtigungsverwaltung, Zutrittskontrollsystem (teilweise) -verweigert wurde: Internetprotokollierung (sei nur Sicherheitsprotokollierung), -Verwaltung (Groupwise-Lösung, sei nur Dienstleistung für Mitarbeiter) Entscheidung DSK -Auskunft ist zu erteilen -Internetprotokollierung: geht über die Protokollierungspflichten nach § 14 DSG 2000 hinaus, ist daher eigenständige Anwendung - -Verwaltung: es handelt sich um eine Datenanwendung der Organisation, nicht des Mitarbeiters Datenverarbeitungen ARGE DATEN

103 © ARGE DATEN 2015 DSK K /0009-DSK/2004 ("Protokollierung Zeiterfassung") Zusätzlich wurden die tatsächlichen Eintragungszeiten protokolliert, diese dienten der "Plausibilitätsprüfung" der Eingabe Sowohl die Eintragungsdaten, als auch die Protokolldaten wurden aufgezeichnet und den jeweiligen Abteilungsleitern angezeigt DSK-Entscheidung: Aufzeichnung der Protokolldaten ist zur Erfüllung der Dienstsaufsicht ungeeignet und daher unzulässig Da kein anderer Verwendungszweck angegeben wurde, sind die Daten gem. § 27 Abs. 1 Z 1 DSG 2000 zu löschen. Mitarbeiter einer Behörde haben "zeitnah" Arbeitsbeginn und -ende ein einem Zeiterfassungsprogramm einzutragen DSG Protokollierung ARGE DATEN

104 © ARGE DATEN 2015 ARGE DATEN Mitarbeiter- und Bewerberdaten Personaldaten - innerbetriebliche Verwendung -dienstlich erforderliche Daten dürfen ohne Zustimmung unternehmensintern verwendet werden (z.B. Qualifikation, Berufstitel, Kontaktdaten,...) -öffentlich verfügbare Daten dürfen "frei" verwendet werden (z.B. Angaben aus dem Firmenbuch,..) -weitere Datenverwendungen können arbeitsvertraglich geregelt sein (z.B. Akkordabrechnungen, Tragen eines Dienstausweises mit Foto, Weitergabe von Daten an Kunden/Subventionsgeber auf Grund einer Projektabwicklung, biometrische Zutrittskontrolle) -sonstige Daten die zum Zweck der Gehaltsverrechnung / Personaladministration dem Personalbüro bekannt sind, dürfen nicht von anderen Abteilungen verwendet werden, auch nicht für betriebsinterne Zeitungen, Newsletter Zulässig sind weitere Verwendungsmöglichkeiten auf Grund der Zustimmung des Betroffenen ARGE DATEN

105 © ARGE DATEN 2015 ARGE DATEN Web2.0 und Social Media Nennung Betriebsinterna rechtfertigt Entlassung Ausgangslage -Ein Bankangestellter wird privat zu verschwunden ,- angesprochen -Via öffentlichen Facebook-Eintrag erkundigt er (Poster) sich selbst bei Arbeitskollegen über den verschwunden Betrag -Ein Mitarbeiter einer anderen Bank hat den Eintrag gelesen, nicht verstanden und befragt den Poster, dieser gibt bereitwillig Auskunft -Poster wird wegen Verrat von Betriebsgeheimnissen entlassen -Poster rechtfertigt sich es handle sich nur um Tratsch und seine Einträge lesen sowieso nur Kollegen OGH-Entscheidung 9ObA111/14k -Betriebsgeheimnis liegt vor, wenn es sich um geschäftsrelevante Tatsachen handelt, die nicht allgemein bekannt sind -Gewinn- oder Schädigungsabsicht nicht wesentlich, fahrlässige Gefährdung von Geheimhaltungsinteressen ausreichend ARGE DATEN

106 © ARGE DATEN 2015 ARGE DATEN Web2.0 und Social Media Nennung Betriebsinterna rechtfertigt Entlassung II OGH-Entscheidung 9ObA111/14k (Fortsetzung) -Facebookveröffentlichung ist Veröffentlichung in einer Zeitung gleichzusetzen -Zahl der tatsächlichen Leser nicht wesentlich, Zugangsmöglichkeit zur Information reicht -Poster war Fehlverhalten bewusst („bitte aber um strenge Diskretion“), kein entschuldbarer "Fehlklick" -Entlassung daher gerechtfertigt ARGE DATEN

107 © ARGE DATEN 2015 ARGE DATEN Betriebsvereinbarung §§ 96, 96a, 97 ArbVG -Mitarbeiterdaten dürfen ohne Zustimmung automationsunterstützt verwendet werden, wenn sie zur Erfüllung von Verpflichtungen aus Gesetzen, Normen der kollektiven Rechtsgestaltung oder aus dem Arbeitsvertrag dienen (etwa Lohnverrechnung) -(a) weitergehende Datenverwendung (Abs 1 Z 1) oder (b) Datenverwendungen die zur Beurteilung der Leistungsfähigkeit des Mitarbeiters dienen (Abs 1 Z 2), sind gem § 96a ArbVG ersetzbar zustimmungspflichtig (kann durch Vereinbarung im AV vermieden werden) -Datenverwendung (Kontrollmaßnahmen), die die Menschenwürde berühren bedürfen der zwingenden Zustimmung gem. § 96 Abs 1 Z 3 ArbVG -(private) Betriebsmittelnutzungen könnte gemäß § 97 Abs 1 Z 6 ArbVG mittels Betriebsvereinbarung geregelt werden Bei Fehlen eines Betriebsrates ist Einzelvereinbarung gemäß § 10 AVRAG (Arbeitsvertragsrechts-Anpassungsgesetz) mit Mitarbeiter abzuschließen Regelung gilt im öffentlich-rechtlichen Bereich analog, u.a. PVG § 9 Abs. 2 lit. f (in § 10 komplizierte Regelung für "Einvernehmen") Gilt nicht bei Werkverträgen oder sonstigen Dritten (Dienstleistern) Grundlage Betriebsvereinbarung ARGE DATEN

108 © ARGE DATEN 2015 ARGE DATEN Betriebsvereinbarung Grundlage Betriebsvereinbarung ARGE DATEN

109 © ARGE DATEN 2015 ARGE DATEN Kontrollmaßnahmen im Betrieb Telefondatenaufzeichnung (OGH 8ObA288/01p) -Telefondatenerfassung immer zustimmungspflichtig -Nummernunterdrückung bei Privatgesprächen ist nicht ausreichend (Markierung als "P") -Bei Weigerung eine Betriebsvereinbarung abzuschließen, wird das System ersatzweise zustimmungspflichtig -Problem der Kontrolldichte, automatisierte Kontrolle nicht mit üblicher Aufsichtspflicht vergleichbar -Menschenwürde schon berührt, wenn Mitarbeiter sich subjektiv überwacht fühlt und das System technisch geeignet ist -auch am Arbeitsplatz besteht - wenngleich eingeschränkt - Recht auf Privatsphäre Zeitaufzeichnung (OGH 8ObA97/03b) -bei vorgesehener Verwendung ist immer der Leistungsumfang des konkret eingesetzten Programmpaketes entscheidend ARGE DATEN

110 © ARGE DATEN 2015 ARGE DATEN Kontrollmaßnahmen im Betrieb Zulässigkeit einer biometrischen Zeiterfassung Ausgangslage: -ein Krankenhaus stellt bestehendes Magnetkartensystem auf Fingerabdrucksystem um -Betriebsvereinbarung wird keine abgeschlossen -alle Fingerabdrucksdaten werden bei einem Biometriebetreiber zentral verwaltet, mit diesem wird Dienstleistervereinbarung abgeschlossen OGH-Entscheidung 9 ObA 109/06d: -OGH betont erneut Recht auf Privatsphäre im Betrieb -biometrische Zeiterfassungssysteme haben höhere Eingriffsintensität als "Stechuhren", daher Zustimmungspflicht gegeben -kritisiert wird der hohe Grundrechtseingriff für ein vergleichsweise triviales Ziel (Zeiterfassung) -auch bei Einweg"verschlüsselung" liegen personenbezogene Daten vor -auf Grund des Fehlens der Betriebsvereinbarung war der vorläufige Abbau auszusprechen (einstweilige Verfügung) ARGE DATEN

111 © ARGE DATEN 2015 ARGE DATEN Datenschutz und Betriebsrat Datenschutzrechte und Betriebsrat (OGH Entscheidung 6 ObA 1/06z) -ein Flugunternehmen führte ein "Crew Management System" ein, das neben Stammdaten die Einsatzpläne, Qualifikationen usw. verwaltete -Betriebsrat begehrte Löschung der Daten (§ 27 DSG 2000) -Löschung abgelehnt, da Betriebsrat nach dem DSG 2000 keine Parteienstellung hat -Datenschutzrechte sind höchstpersönliche (subjektive) Rechte -Betriebsrat steht in Datenschutzangelegenheiten auch keine Vertretungsbefugnis der Mitarbeiter zu -Mitarbeiter müssen allfällige Löschungsrechte selbst einklagen (auch wenn notwendig in Parallelverfahren) -BR-Rechte im ArbVG geregelt (z.B. § 89 Z 1 ArbVG Recht auf Einsichtnahme in Gehaltsdaten, bedeutet kein Recht auf Datenzugriff (OGH 9ObA3/03m) - eine weitere Grenze ergibt sich bei der privaten Nutzung von Betriebsmitteln, auch hier sieht ArbVG keine Mitbestimmungsrechte des Betriebsrates vor ARGE DATEN

112 © ARGE DATEN 2015 ARGE DATEN Datenschutz und Betriebsrat Betriebsratsbestimmung im DSG § 9 Z 11 regelt Einsatz sensibler Daten im Betrieb -§ 9 Z 11 betont, dass Betriebsratsrechte durch die Regelung nicht berührt sind Zusammenfassung -Datenanwendungen im Betrieb sind daher sowohl am ArbVG, als auch am DSG 2000 zu messen -Betriebsvereinbarung kann nicht erforderliche Zustimmung der Betroffenen ersetzen -umgekehrt kann Zustimmung der Betroffenen nicht eine notwendige Betriebsvereinbarung ersetzen Datenanwendungen, die die Menschenwürde verletzen, sind weder zustimmungsfähig, noch betriebsvereinbarungsfähig. ARGE DATEN

113 © ARGE DATEN 2015 ARGE DATEN Betriebsvereinbarungen Informationstechnik und Betriebsvereinbarung I Bereiche in denen Betriebsvereinbarungen sinnvoll sind: -Internet- / -Einsatz -Intranet / Mitarbeiterinfos / Online-Mitarbeitermagazin -Online-Mitarbeiter-Befragungen -elektronische Aktenbearbeitung, elektronische Rechnungsbearbeitung -gemeinsame Nutzung von Kalender- und Projektplanungssoftware -biometrische Zeiterfassung -Videoüberwachung / Zutrittskontrollsysteme jeder Art ARGE DATEN

114 © ARGE DATEN 2015 Betriebsvereinbarungen Informationstechnik und Betriebsvereinbarung II (Fortsetzung): -Verwendung von Diensthandys / Smartphones -Bring Your Own Device (BYOD) -Einsatz von Audit- und Remote-Support-Software -Bestellautomation / für Kundenlager-Kontrolle -digitale Signatursysteme (z.B. Paketzusteller, Installateur,...) -GPS-Einsatz bei Fuhrpark Bereiche, bei denen keine Betriebsvereinbarung vorgesehen ist: -Dienstleistervereinbarungen nach DSG 2000 ARGE DATEN

115 © ARGE DATEN 2015 ARGE DATEN private IKT-Nutzung IKT-Nutzungsverordnung – IKT-NV (BGBl. II Nr. 281/2009) Regelt private IKT-Nutzung für Bedienstete des Bundes Grundprinzip (§ 3): Eingeschränkte private Nutzung ohne -Beeinträchtigung des Dienstbetriebs -keine Schädigung des Ansehens des öffentlichen Dienstes -keine Gefährdung der Sicherheit des IKT-Betriebs -keine missbräuchliche Verwendung  rein private Geschäfte sind erlaubt (§ 4 Abs. 2) private -Nutzung (§ 5) -kein Hinweis auf dienstliche Stellung oder dienstliche Postadresse -keine Verwendung dienstlicher -Signaturen -private s dürfen nach Schadprogrammen und Spam gescannt werden ARGE DATEN

116 © ARGE DATEN 2015 ARGE DATEN private IKT-Nutzung IKT-Nutzungsverordnung – IKT-NV II (BGBl. II Nr. 281/2009) Festlegung der missbräuchlichen Verwendung (§ 4 Abs. 4) -Zugriff auf strafrechtlich verbotene oder rechtswidrige Seiten -Benutzung oder die zur Verfügung stellen von strafrechtlich relevanten Tatbeständen -Zugriff auf pornographische Inhalte -Zugriff auf Seiten, die Zahlungsverpflichtungen des Dienstgebers zur Folge haben -herunterladen "schadware-verdächtiger" Dateitypen keine missbräuchliche Nutzung, wenn irrtümlicher Zugriff! (§ 4 Abs. 5) ARGE DATEN

117 © ARGE DATEN 2015 ARGE DATEN Besondere Dienstleisterverpflichtungen Registrierung von Datenanwendungen Kontrollbefugnisse DSB Genehmigung / Registrierung Safe Harbour Internationaler Datenverkehr ARGE DATEN

118 © ARGE DATEN 2015 ARGE DATEN DSG Kontrollbefugnisse Konzept der Vorabkontrolle (DSG 2000 § 10, § 18 Abs. 2, §§ 20, 21, 30, § 10) bestimmte Datenanwendungen unterliegen einer Vorabkontrolle durch DSB -DA's die sensible Daten verwenden -DA's die in Form eines Informationsverbundsystems betrieben werden -registrierungspflichtige Videoüberwachungen -DA's die Daten zur Beurteilung der Kreditwürdigkeit dienen bzw. strafrechtlich relevante Daten verarbeiten Voraussetzungen der Vorabkontrolle: Prüfung auch ohne Verdachtsmomente möglich Auflagen zum Betrieb der Datenanwendung können erteilt werden ARGE DATEN

119 © ARGE DATEN 2015 ARGE DATEN DSG Dienstleister Dienstleister im Sinne des DSG 2000 (§§ 10f) -Dienstleistung liegt vor, wenn ein Verantwortlicher jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben betraut -Geeignete Vereinbarungen sind zu treffen -Vereinbarungen sind zu überprüfen/überwachen ["überzeugen"]  wie bei Cloud-Computing umsetzen? -Meldepflicht an DSB bei Datenverarbeitungen des öffentlichen Bereichs, die der Vorabkontrolle unterliegen (z.B. bei Verwendung von Gesundheitsdaten), jedoch keine Meldepflicht bei verbundenen Unternehmen -Subdienstleister nur mit Billigung des Auftraggebers Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000) ARGE DATEN

120 © ARGE DATEN 2015 Was ist Cloud-Computing? -technisch: Nutzung fremder IT-Infrastruktur in verschiedenen Ausformungen: IaaS, PaaS, SaaS, public, private oder hybride Cloud -im Lichte des DSG 2000: nur relevant, wenn Daten Dritter ("Betroffener") verarbeitet werden, Dienstleistung im Sinne DSG 2000 §§10,11 mit Verpflichtung Sicherheitsmaßnahmen einzuhalten Auftraggeber bleibt verantwortlich, egal wie die Cloud-Lösung organisiert ist, auch bei Heranziehung von Sub- und Sub-Sub-Dienstleistern IT-Sicherheit, DSG 2000 und Cloud-Computing ARGE DATEN

121 © ARGE DATEN 2015 ARGE DATEN Registrierung von Datenanwendungen (§§ 16ff) -Grundsätzlich besteht für jede Datenanwendung Registrierungspflicht, aber: es sind nicht alle Datenanwendungen zu registrieren (§ 17) -Jede Registrierung erfolgt für bestimmte Datenanwendung, für bestimmte Datenarten, bestimmte Personengruppen und bestimmte Zwecke (§ 17) -Eine DVR-Nummer wird einem Unternehmen (Organisation) bei erstmaliger Registrierung einer DA zugeteilt (§ 21) -Registrierung ist kostenlos (§ 53) -Registrierung soll Transparenz sichern (§ 16) -Jedermann kann Einsicht in Registrierung nehmen (§ 16) -Vereinfachte Registrierung bei Muster-Datenanwendungen (§ 19) DSG Registrierung und Genehmigung ARGE DATEN

122 © ARGE DATEN 2015 ARGE DATEN Registrierungsfreiheit (§ 17) -Standardanwendungen -DA enthält ausschließlich (!) veröffentlichte Daten (typischerweise Telefonbuch-CDs u.ä.) -Führung öffentlich einsehbarer, gesetzlich vorgesehener Register -ausschließlich indirekt personenbezogene Daten -persönliche Datenanwendungen -publizistische Datenanwendungen -manuelle Datenanwendungen, die nicht der Vorabkontrolle unterliegen -bestimmte DA‘s der Republik Österreich -DA für Zwecke der Strafverfolgung DSG Registrierung und Genehmigung ARGE DATEN

123 © ARGE DATEN 2015 ARGE DATEN Registrierungsverfahren (seit ) (DSG 2000 § 17 Abs. 1a) -Meldungen haben über Internetanwendung zu erfolgen - Authentifizierung erfolgt durch Bürgerkarte, Handy- Signatur oder USP - -Meldung und nicht-elektronische Meldung bei manuellen Dateien und bei längerem technischen Ausfall der Internetanwendung möglich -Details sind in der Verordnung des BKA nach § 16 Abs. 3 geregelt (DSG 2000 § 19 Abs. 3a) -Erklärung des Auftraggebers ob es sich um vorabkontrollpflichtige Datenanwendung handelt DSG Registrierung ARGE DATEN

124 © ARGE DATEN 2015 ARGE DATEN Registrierungsverfahren II (DSG 2000 § 19 Abs. 2) -Möglichkeit der Meldung befristeter oder durch bestimmte Bedingungen/Auflagen beschränkte Datenanwendungen [etwa auch für reinen Testbetrieb] -Auflagen, Bedingungen und Befristungen müssen jedoch ausreichend bestimmt sein Die Prüf- und Verbesserungsbestimmungen §§ DSG 2000 wurden neu formuliert, § 22a (Überprüfungsverfahren) ist völlig neu. DSG Registrierung ARGE DATEN

125 © ARGE DATEN 2015 ARGE DATEN Registrierungsverfahren III (DSG 2000 § 20 "Prüfungs- und Verbesserungsverfahren") -nicht vorabkontrollpflichtige Datenanwendungen sind nur mehr automationsunterstützt auf Vollständigkeit und Plausibilität zu prüfen (Abs. 1) -bei formalen Fehlern Möglichkeit der Verbesserung, wenn diese nicht erfolgen, gilt Meldung als nicht eingebracht (Abs. 2) -Vorabkontrollpflichtige Datenanwendungen und jene die nicht mittels Internetanwendung eingebracht wurden, sind binnen zwei Monaten auf Mangelhaftigkeit nach § 19 Abs. 4 zu prüfen, allenfalls ist Verbesserungsauftrag zu erteilen (Abs. 3) -Verbesserungsauftrag hemmt Registrierungsverfahren (es gelten die Fristen nach AVG) DSG Registrierung ARGE DATEN

126 © ARGE DATEN 2015 ARGE DATEN Internationaler Datenverkehr (§§ 12, 13, 55) Genehmigungsfreiheit (EU: "Datenexport") -innergemeinschaftlicher Datenverkehr -gleichwertige Datenschutzgesetzgebung -im Inland zulässigerweise veröffentlichte Daten -notwendige Grundlage zur Vertragserfüllung mit Betroffenen -persönliche oder publizistische DA‘s -mit Zustimmung des Betroffenen -wenn Datenverkehr in Standard- und Musteranwendungen vorgesehen -bei Akten und Dokumenten (Entscheidung DSK K /13- DSK/00 "gegenseitige Information zu Waffenexporten") -Theoretisch: bei Verwendung der EU-Standardvertragsklauseln (jedoch fehlt Verordnung des Bundeskanzlers!) DSG Internationaler Datenverkehr ARGE DATEN

127 © ARGE DATEN 2015 ARGE DATEN Genehmigungsfrei (weil gleichwertig) -gleichwertig auf Grund EWR-Verträge Island, Norwegen, Liechtenstein -gleichwertig gem. Kommissionsentscheidung Schweiz ( ), Kanada ( ), Argentinien ( ), Israel ( ), Uruguay ( ), Neuseeland ( ) + Andorra, Färöer Islands, Guernsey, Isle of Man, Jersey -USA (nur bereichs- oder unternehmensbezogen, etwa wenn SafeHarbour-Vereinbarung beigetreten, SWIFT- oder PassengerNameRecord-Abkommen) bei allen anderen Staaten hat sich der Betroffene bzw. der Auftraggeber um den Datenschutz zu kümmern DSG Internationaler Datenverkehr ARGE DATEN

128 © ARGE DATEN 2015 ARGE DATEN Internationaler Datenverkehr II (§§ 12, 13, 55) Genehmigungspflicht in allen anderen Fällen besteht Genehmigungspflicht (§ 13) die Genehmigung hat die DSB zu erteilen: -die Feststellungen der Europäischen Kommission sind zu beachten (Abs. 2) -im konkreten Genehmigungsfall besteht ein angemessenes Schutzniveau (Abs. 2 Z 1) [z.B. Verwendung von EU Mustervereinbarungen] -Antragsteller macht den Schutz der Geheimhaltungsinteressen des Betroffenen glaubhaft (Abs. 2 Z 2) -Novelle 2010: Möglichkeit einseitiger verbindlicher Zusagen des Auftraggebers für internationalen Datenverkehr (Abs. 2 Z 2) -seit sind vor erteilte Genehmigungen zu erneuern (sofern weiterhin Genehmigung erforderlich) DSG Internationaler Datenverkehr ARGE DATEN

129 © ARGE DATEN 2015 ARGE DATEN Datenschutzaufsicht (§§ 35-40) bis : Datenschutzkommission (DSK) -Oberste Kontrollbehörde [jedoch nicht für alle Bereiche] - als "unabhängige" Instanz eingerichtet (Form eines Tribunals) - 6 Mitglieder + 6 Ersatzmitglieder - Geschäftsapparat: 20 Personen, davon 11 A-Beamte (lt. DSK- Bericht 2009), EU-Schnitt: 45 Personen! (Verteilung: 11,5 MA für DVR, 8,5 MA für alles andere) -EuGH hat für Österreich mangelnde Unabhängigkeit der DSK festgestellt, in DSG-Novelle 2013 saniert ab : Datenschutzbehörde (DSB) -Kontrollbehörde erster Instanz (Verwaltungseinrichtung) -Beschwerde- und Aufsichtsstelle (zweite Instanz): Teil des "Bundesverwaltungsgericht" DSG Kontrollbestimmungen ARGE DATEN

130 © ARGE DATEN 2015 ARGE DATEN Informationspflichten & Betroffenenrechte Recht auf Geheimhaltung (§ 1ff) Recht auf Auskunft (§ 26) Recht auf Berichtigung & Löschung (§ 27) Informationspflicht (§ 24) Recht auf Widerspruch (§ 28) Recht auf Widerruf (§ 8, 9) ARGE DATEN

131 © ARGE DATEN 2015 ARGE DATEN Entscheidungen zu § 1 DSG 2000 DSK K / K ("Geburtsdatum") Geburtsdatum auf Rsa-Schreiben zulässig, auf Infobroschüre des BMLV nicht DSK K /0015-DSK/2012 ("Geburtstagsabfragen") Schon die Abfrage des Geburtsdatums zum Zwecke des Glückwunsches durch den Bürgermeister ist unzulässig, wenn nicht gesetzlich geregelt. OGH 11Os109/01 ("allgemeine Verfügbarkeit") Geheimhaltungsanspruch auch dann gegeben, wenn Information durch Betroffenen selbst an einen beschränkten Kreis weiter gegeben wurde DSG Grundlagen ARGE DATEN

132 © ARGE DATEN 2015 ARGE DATEN Informationspflicht (§ 24 / Art. 10, 11, 14 EG-RL) Informationspflicht anlässlich Ermittlung Zweck Auftraggeber Spätestens zum Zeitpunkt der Übermittlung Entfällt, -bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind oder -bei mangelnder Erreichbarkeit der Betroffenen oder -bei Unwahrscheinlichkeit der Beeinträchtigung der Betroffenenrechte und Höhe der Kosten der Information Informationspflicht ist "Bringschuld" des Auftraggebers! Bei Kundenbeziehungen leicht zu erfüllen, ein Problem jedoch dort, wo Daten ohne Kundenbeziehungen verwendet werden (z.B. Adressenverlagen / Informationsdiensten) DSG Informationspflicht ARGE DATEN

133 © ARGE DATEN 2015 ARGE DATEN Informationspflicht (DSG 2000 § 24 Abs. 2a) Betroffene sind von Datenschutzverletzungen zu informieren - wenn schwerwiegend und systematisch -wenn Betroffenen Schaden droht -Ausnahme: keine Informationspflicht wenn Schaden nur "geringfügig" und Verständigungsaufwand "unverhältnismäßig hoch" Es handelt sich um eine Informationspflicht "light", die gegenüber dem ursprünglichen Entwurf erheblich reduziert wurde. DSG Informationspflicht ARGE DATEN

134 © ARGE DATEN 2015 ARGE DATEN Betroffenenrecht - Auskunft (§ 26) I Auskunft ist auf Verlangen bei Nachweis der Identität zu geben (Abs. 1) [Berufung auf DSG nicht erforderlich!] Auskunftsfrist sind 8 Wochen (Abs. 4) Antragsteller hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3) ungerechtfertigter Aufwand ist zu vermeiden Auskunftsrecht unabhängig von Registrierungserfordernis [!!] von einem Vertragsverhältnis von tatsächlichem Vorhandensein von Daten von sonstigen Voraussetzungen (Verdacht des Datenmissbrauchs, einer Datenweitergabe,...) DSG Betroffenenrechte ARGE DATEN

135 © ARGE DATEN 2015 ARGE DATEN Betroffenenrecht - Auskunft (§ 26) II Auftraggeber hat Auskunft zu erteilen über Zweck der Datenanwendung die verwendeten Daten in allgemein verständlicher Form verfügbare Information über ihre Herkunft allfällige Empfänger oder Empfängerkreise von Übermittlungen Name und Adresse des Dienstleisters (muss vom Betroffenen extra verlangt werden) 4 Monate Löschungsverbot nach Einlangen des Auskunftsbegehrens, aber DSG-Novelle 2010: kein Löschungsverbots in jenen Fällen, bei denen der Auskunftswerber (Betroffene) die Löschung wünscht (Abs. 7) Auskunftsbegehren und Auskunft haben schriftlich zu erfolgen, Abweichung im Einverständnis der Gegenseite möglich  DSK K /0008-DSK/2009 Fax & erfüllen Schriftform DSG Betroffenenrechte ARGE DATEN

136 © ARGE DATEN 2015 ARGE DATEN Betroffenenrecht - Auskunft (§ 26) III begründete Auskunftsverweigerung / Auskunftsbegrenzungen sind möglich, u.a. -Schikaneverbot: Betroffener wurden Daten schon mitgeteilt (etwa Kontoauszüge, OGH 6Ob25/90), trifft nicht zu, dass ein Betroffener bestimmte Daten sowieso "wissen" müsste -überwiegende Interessen des Auftraggebers oder Dritter -aus therapeutischen Gründen (Gesundheitszustand) -formale Gründe: fehlender Identitätsnachweis, fehlender Kostenersatz, fehlende Mitwirkung,... Auskunft ist einmal im Jahr bei aktuellen Daten kostenfrei ansonsten tatsächliche Kosten oder pauschalierter Ersatz Auskunftsrecht ist "Holschuld" des Betroffenen! DSG Betroffenenrechte ARGE DATEN

137 © ARGE DATEN 2015 ARGE DATEN DSK K /0009-DSK/2005 ("Prüfungsdaten") Ausgangslage -Betroffener nahm an (Berufsqualifikations-)Prüfung teil -hatte umfangreiche Angaben zur Person zu machen -Test wurde negativ beurteilt -Einsicht in Beurteilung brachte schwere Mängel -Auskunft gem. DSG wurde verweigert, da diese nur "persönliche Daten", aber nicht Leistungsdaten erfasse DSK-Entscheidung -Auskunftsrecht wurde verletzt -Auskunft über Prüfungsdaten, die als Excel-Sheet vorliegen ist zu erteilen -ausschließlich auf Papier angefertigte Fallbeispiele unterliegen nicht der Auskunftspflicht -die persönlichen Daten des Prüfers sind nicht zu beauskunften DSG Auskunftsrechte ARGE DATEN

138 © ARGE DATEN 2015 ARGE DATEN Betroffenenrecht - Löschung/Richtigstellung (§ 27) -grundsätzlich besteht Richtigstellungspflicht des Auftraggebers sobald Daten nicht mehr richtig, nicht (mehr) benötigte oder unzulässig verarbeitete Daten sind zu löschen -Betroffene können Richtigstellungsantrag stellen -Verpflichtung gilt auch für unvollständige Daten, veraltete Daten, irreführende Daten Beweislast der Richtigkeit von Daten, wenn beantragte Änderung verweigert wird, liegt beim Auftraggeber Jedoch! Werden Daten ausschließlich gemäß Betroffenenangaben verarbeitet hat der Betroffene Fehler/Änderung zu belegen Wachsende Bedeutung der Bestimmung, da immer öfter nur kurzfristig erforderliche Daten anfallen (Verkehrsdaten von ISP & Telekomunternehmen, Location-Based-Services, Smartphone-App-Daten) DSG Betroffenenrechte ARGE DATEN

139 © ARGE DATEN 2015 ARGE DATEN Betroffenenrecht - Widerruf / Widerspruch freiwillige Zustimmung zur Verwendung von Daten kann jederzeit, ohne Angabe von Gründen widerrufen werden (§§ 8, 9) Widerspruch (§ 28) nur bei nicht gesetzlich vorgeschriebenen Datenanwendungen möglich -Widerspruchsrecht besteht auch bei gegebener Zustimmung! -in internen DA's: Widerspruch bei überwiegenden, schutzwürdigen Gründen -Widerspruch bei öffentlich zugänglichen Dateien ohne Begründung  vom Widerspruch betroffene Daten sind zu löschen  Hinweis! eine Gewerbeberechtigung ist keine gesetzliche Anordnung im Sinne des DSG DSG Betroffenenrechte ARGE DATEN

140 © ARGE DATEN 2015 ARGE DATEN Entscheidungen Widerspruch OGH 6Ob195/08g -Löschung nach § 28 Abs. 2 DSG 2000 voraussetzungslos und unbegründet bei öffentlich zugänglichen Dateien möglich -Wirtschaftsauskunftsdienste betreiben öffentliche Dateien -Öffentlichkeitsbegriff: "größerer, durch geringe Zahl und indivduelle Merkmale nicht eingeschränkter Personenkreis", Kostenpflicht kein Kriterium für (Nicht-)Öffentlichkeit, ebenso kein Kriterium ist (Nicht-)Abrufbarkeit über Internet siehe auch DSK K /0011-DSK/2005 -Widerspruch anwendbar im Zusammenhang mit Wirtschaftsauskunftsdiensten -Widerspruch bedeutet auch das Verbot der Bekanntgabe, dass der Datenverwendung widersprochen wurde DSG Betroffenenrechte ARGE DATEN

141 © ARGE DATEN 2015 ARGE DATEN Weitere Bestimmungen Sicherheit Schadenersatz Strafbestimmungen DSG 2000 ARGE DATEN

142 © ARGE DATEN 2015 ARGE DATEN Sicherheitsbestimmungen (§ 14) Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden: Stand der technischen Möglichkeiten entsprechend wirtschaftlich vertretbar angemessenes Schutzniveau muss erreicht werden In Österreich gibt es seit 2003 ein "offizielles" IT-Sicherheitshandbuch, das 2007 in Version 2.3 vom Ministerrat empfohlen wurde seit 10/2014 gilt Version 4.0 des Informations-Sicherheitshandbuch Es gibt im DSG 2000 jedoch keine rechtlich verbindlichen (zwingenden) Sicherheitsvorschriften! DSG Sicherheitsbestimmungen ARGE DATEN

143 © ARGE DATEN 2015 ARGE DATEN DSG Sicherheitsbestimmungen rechtlich-organisatorische Sicherheitsmaßnahmen -ausdrückliche Aufgabenverteilung - ausschließlich auftragsgemäße Datenverwendung - Belehrungspflicht der Mitarbeiter - Regelung der Zugriffs- und Zutrittsberechtigungen - Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten - Dokumentationspflicht zur Kontrolle und Beweissicherung - Protokollierungspflicht Die Maßnahmen können als Verpflichtung zu einer Security-Policy verstanden werden! z.B. gemäß BSI M Erstellung einer IT-Sicherheitsleitlinie oder ISO Informationssicherheitsleitlinie Bestimmungen können zu Unvereinbarkeitsregeln führen, z.B. Verbot der Personenidentität von IT-Admin und IT-Sicherheitsbeauftragten

144 © ARGE DATEN 2015 ARGE DATEN Protokollierungsanforderungen I (§ 14) Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z7) Protokollierungspflicht nicht registrierter Übermittlungen (Abs. 3) betrifft auch Abfragen müssen "im Hinblick auf die Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können" betrifft nur auskunftspflichtige Datenanwendungen Übermittlungen gemäß Standard- oder Musterverordnung sind nicht zu protokollieren DSG Sicherheitsbestimmungen

145 © ARGE DATEN 2015 ARGE DATEN DSG Sicherheitsbestimmungen  Protokolldaten sind manipulationssicher "revisionssicher"aufzubewahren (z.B elektronisch signiert) Protokollierungsanforderungen II (§ 14) -Protokolldaten dürfen nur eingeschränkt verwendet werden (zur Kontrolle der Zulässigkeit der Verwendung) -unzulässig wäre die Kontrolle der Betroffenen oder der Mitarbeiter (z.B. durch Auswertung von Zugriffen!!) -zulässig ist die Verwendung zur Aufklärung von Straftaten, die mit mehr als fünfjähriger Freiheitsstrafe bedroht sind -Aufbewahrungsdauer ist drei Jahre, sofern gesetzliche Bestimmungen nichts anderes vorsehen -Frühere Löschung zulässig, wenn betroffener Datenbestand ebenfalls gelöscht ist

146 © ARGE DATEN 2015 ARGE DATEN DSG Sicherheitsbestimmungen Umsetzung Protokollierungsanforderungen Empfehlung für den öffentlichen Bereich: Common Audit Trail v1.0 -regelt: Inhalt, Übermittlung und Auswertung der Protokolle -Aufbewahrungsdauer generell: 3 Jahre, bei Übermittlung zu Revissionszwecke: Löschung nach Abschluss der Revision -Inhalt: UTF-8 kodiert, lokale Uhrzeit (M=muss, K=kann) Anfragedatum & -zeit (M), Benutzerkennung (M) + Anwendername (K), Organisationseinheit (M), Applikationskennung (M), Verarbeitungsart (M), Bearbeitungsgrund (K), Transaktionskennzeichen (K), Abfrage/Ergebnis (K)  jedoch: Empfehlung enthält keine Regelung zur revisionssicheren Aufbewahrung

147 © ARGE DATEN 2015 ARGE DATEN DSG Verschwiegenheitsverpflichtung Verpflichtung zum Datengeheimnis (§ 15) Mitarbeiter sind - soweit nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden. Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln. Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren. Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung kein Nachteil erwachsen. Bereitstellungspflicht der Datensicherheitsmaßnahmen (§ 14 Abs. 6)

148 © ARGE DATEN 2015 ARGE DATEN Haftung bei fehlenden Weisungen zur Datensicherheit OGH Entscheidung (9 Ob A 182/90) Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden. Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren. Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen". Die Festlegung eines Sicherheitskonzepts ist Kernaufgabe einer Geschäftsführung! Sicherheitsmaßnahmen - Haftung

149 © ARGE DATEN 2015 ARGE DATEN Haftung bei bei Datenmissbrauch OGH Entscheidung (9 Ob 126/12s) Ausgangslage Ein Redakteur der Tageszeitung A versuchte durch "erraten" von Benutzerkennung/Passwort im Zuge der BUWOG-Causa in das interne System des Unternehmens P zu gelangen. Der Versuch misslang, auf Grund der IP-Adresse konnte der Standort des Täters ermittelt werden. Die Aktion führte zur fristlosen Entlassung des Mitarbeiters. Unternehmen P verlangt Unterlassungsklage Unternehmen P verlangt weiters von TZ A eine Unterlassungserklärung. Diese wird verweigert, da Redakteur nicht im Auftrag gehandelt habe, sich die TZ A von diesen Aktivitäten distanziere und daher der Redakteur nicht als Besorgungsgehilfe anzusehen ist. Sicherheitsmaßnahmen - Haftung

150 © ARGE DATEN 2015 ARGE DATEN Sicherheitsmaßnahmen - Haftung Haftung bei bei Datenmissbrauch II OGH Entscheidung (9 Ob 126/12s) Entscheidung HG gibt Klage statt, Vorinstanz (OLG) weist Klage ab, OGH gibt Klage statt, Eingriff ist nach Besitzstörung und nicht nach Schadenersatz zu beurteilen. Eingriff in IT-System ist Besitzstörung Eingriff war im Interesse der TZ A Arbeitgeber hat Weisungs- und Kontrollrechte, kann sich Mitarbeiter aussuchen und Tätigkeitsbereich festlegen Zur Verfügung stellen von Computer und Internetanschluss reicht schon für Verantwortung der TZ A Unternehmen hat Besitzstörung - auch ohne ausdrückliche Anordnung - zu verantworten

151 © ARGE DATEN 2015 ARGE DATEN Schadenersatz (§ 33) schuldhaftes Verhalten notwendig bei Verletzung von Bestimmungen des DSG 2000 ist tatsächlich erlittener materieller Schaden zu ersetzen bei Verletzungen der Geheimhaltung, die geeignet sind den Betroffenen bloßzustellen, gebührt Entschädigung Entschädigungsanspruch ist nicht beziffert, aber vergleichbar dem Mediengesetz geregelt [MedienG § 7: bis Euro] bei Veröffentlichungen in einem Medium gilt Mediengesetz Entschädigungsanspruch ist gegenüber dem Auftraggeber geltend zu machen DSG Kontroll- & Strafbestimmungen ARGE DATEN

152 © ARGE DATEN 2015 ARGE DATEN DSG Schadenersatz LG Innsbruck 12 Cg 72/10h ("Mehrkosten") Ausgangslage -Diverse Firmen (Mobilunternehmen, Möbelhaus, Versandhändler) lehnen Geschäftsbeziehung wegen Exekutionsdaten ab LG-Entscheidung -Verwendete Daten stammen aus Exekutionsdatenbank der Justiz -abgelehnte Geschäfte führen zu einem Schaden (Mehrkosten: 56,- bei Möbelhaus, 2.274,35 höhere Mobilfunkgebühren,...) ,- Euro immaterieller Schadenersatz wegen Kreditschädigung -mehrfacher Rechtsbruch: Informationspflicht nicht erfüllt, Widerspruch nicht nachgekommen, keine Löschung der Daten, seit 2006 keine Exekutionsverfahren anhängig, alle Exekutionsverfahren eingestellt -Kläger wurde Unterlassungsanspruch und Schadenersatz zugesprochen (Euro 3.330,35) ARGE DATEN

153 © ARGE DATEN 2015 ARGE DATEN Gewinn- oder Schädigungsabsicht (§ 51) -Klarstellung der Deliktvoraussetzungen: Vorsatz der eigenen Bereicherung oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer Delikt begeht, wer... -widerrechtlich ihm zugängliche Daten benutzt oder -Daten widerrechtlich beschafft oder -anderen widerrechtlich zugänglich macht oder -widerrechtlich öffentlich macht Strafausmaß: bis ein Jahr Delikt wird zum Offizialdelikt [bis : Privatanklagedelikt] Strafbestimmung gilt subsidiär DSG Strafbestimmungen ARGE DATEN

154 © ARGE DATEN 2015 ARGE DATEN Strafbestimmungen bei öffentlich-rechtlichen Organen Missbrauch der Amtsgewalt (§ 302 StGB) Strafrahmen: bis 5 Jahre Laufend Verurteilungen, siehe etwa OGH 14 Os 105/10p (rechtswidriger Abruf von KFZ-Zulassungsdaten) Verletzung des Amtsgeheimnisses (§ 310 StGB) Strafrahmen: bis 3 Jahre denkbar auch: Falsche Beurkundung und Beglaubigung im Amt (§ 311 StGB) Strafrahmen: bis 3 Jahre Hier ist Vorsatz Voraussetzung für die Tatverfolgung DSG Strafbestimmungen ARGE DATEN

155 © ARGE DATEN 2015 ARGE DATEN Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln] -widerrechtliches Verschaffen eines Zugangs zu einer DA -widerrechtliches Weiterbenutzen eines Zugangs zu einer DA -Übermittlung unter Verletzung des Datengeheimnisses -Weiterverwendung von Daten entgegen eines rechtskräftigen Urteils/Bescheids -widerrechtliches Löschen von Daten (§ 26 Abs. 7) Strafrahmen: bis ,- Euro zuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSB Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk) Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten! DSG Strafbestimmungen ARGE DATEN

156 © ARGE DATEN 2015 ARGE DATEN Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 1. nicht Erfüllen der Meldepflicht gemäß den §§ 17 oder 50c oder Betreiben eine Datenanwendung auf eine von der Meldung abweichende Weise oder 2. Übermitteln oder überlassen von Daten ins Ausland, ohne Genehmigung gemäß § 13 Abs. 1 oder 3. Verstoß gegen Zusagen an oder Auflagen der DSB (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) oder 4. Verletzen von Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d oder 5. § 14 gröbliches außer Acht lassen von Sicherheitsmaßnahmen oder DSG Strafbestimmungen ARGE DATEN

157 © ARGE DATEN 2015 ARGE DATEN Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 6. wer gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderliche Sicherheitsmaßnahmen außer Acht lässt oder 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht. Strafrahmen: bis ,- Euro DSG Strafbestimmungen ARGE DATEN

158 © ARGE DATEN 2015 ARGE DATEN Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a) [=Gefährdung von Betroffenenrechten] neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a) Strafrahmen: bis 500,- Euro [neu seit 2010] Verfallbestimmungen § 52 Abs. 4 Datenträger und Programme sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden DSG Strafbestimmungen ARGE DATEN

159 © ARGE DATEN 2015 ARGE DATEN "alte" Strafbestimmungen zum Geheimnisbruch -§ 126a StGB Datenbeschädigung -§ 148a StGB Betrügerischer Datenverarbeitungsmissbrauch -§ 118 Verletzung des Briefgeheimnisses und Unterdrückung von Briefen -§ 119 Verletzung des Telekommunikationsgeheimnisses -§ 120 Mißbrauch von Tonaufnahme- oder Abhörgeräten -§ 121 Verletzung von Berufsgeheimnissen -§ 122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses -§ 123 Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses -§ 124 Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses zugunsten des Auslands "Amts"-Bestimmungen -Schutz des Behörden"geheimnisses" (StGB §§ 302, 310), nur bedingt anwendbar: § 301 "Verbotene Veröffentlichung" - geringerer Strafrahmen Cybercrime - Übersicht ARGE DATEN

160 © ARGE DATEN 2015 ARGE DATEN Cybercrime - Übersicht ARGE DATEN

161 © ARGE DATEN 2015 ARGE DATEN Cybercrime - Übersicht ARGE DATEN

162 © ARGE DATEN 2015 ARGE DATEN Cybercrime - Übersicht ARGE DATEN

163 © ARGE DATEN 2015 ARGE DATEN Neue "cybercrime"-Bestimmungen (seit ) -§ 118a Widerrechtlicher Zugriff auf ein Computersystem ["Hacken"] -§ 119a Missbräuchliches Abfangen von Daten -§ 126b Störung der Funktionsfähigkeit eines Computersystems [DOS-Attacken] -§ 126c Missbrauch von Computerprogrammen oder Zugangsdaten ["Cracken"] -§ 225a Datenfälschung von EU beschlossen (2006) -Aufbewahrungspflicht für Telekom- und Internetdaten -in Österreich nicht fristgerecht umgesetzt (Stand: ) Europarat - Convention on Cybercrime ( ) -bisher erst 4 Ratifizierungen (5 sind für Inkrafttreten erforderlich) -von Österreich unterfertigt, aber nicht ratifiziert, jedoch defacto umgesetzt (Stand: 10/2012) Cybercrime - Übersicht ARGE DATEN

164 © ARGE DATEN 2015 ARGE DATEN Cybercrime - Übersicht ARGE DATEN

165 © ARGE DATEN 2015 ARGE DATEN EU-Neuordnung Datenschutz ARGE DATEN

166 © ARGE DATEN 2015 EU-Neuregelung des Datenschutzes Fahrplan zu einem neuen EU-Datenschutzrecht Kommissionsmitteilung Konzept für neues Datenschutzrecht zu entwickeln -bis europaweites Konsultationsverfahren Entwurf einer EU-Verordnung Datenschutz -geplant war bis Ende 2013 Konsultationsverfahren in Europäischem Parlament und im Rat -Oktober 2013 Abstimmung im LIBE-Ausschuß des EU- Parlaments (Verhandlungsmandat des Parlaments) -Stand März 2015 Rats-Arbeitsgruppe verhandelt noch an gemeinsamer Position ("Bremser": GB, DE) -15. Juni 2015 geplanter Abschluss Ratsverhandlungen -Sommer 2015 (??) Start Trialog -Ende 2015 (??) abstimmungsfähiger Endentwurf ARGE DATEN

167 © ARGE DATEN 2015 EU-Neuregelung des Datenschutzes Eckpfeiler der neuen EU-Datenschutz VO -verpflichtender Datenschutzbeauftragter für alle öffentlichen Einrichtungen und für Unternehmen mit Unternehmensgegenstand personenbezogene Datenverarbeitung + Variante Kommission: Unternehmen ab 250 MA Variante EU-Parlament: Unternehmen ab PersonenDS -drastisch höhere Strafbstimmungen (an Kartellrecht angelehnt) Variante Kommission: bis zu 2% des Konzernumsatzes bzw. bis zu 1 Mio Euro Variante EU-Parlament: bis zu 5% des Konzernumsatzes -Entfall von Meldepflichten, weitreichende interne Dokumentations- und Folgeabschätzungspflichten -"doppeltes" One-Stop-Shop-System: a) je Auftraggeber ist nur eine Aufsichtsstelle zuständig (Hauptsitz des Auftraggebers, statt bisher für jede Niederlassung die jeweilige nationale Behörde) b) jeder Betroffene kann sich für alle EU-Auftraggeber an seine nationale Aufsichtsbehörde wenden ARGE DATEN

168 © ARGE DATEN 2015 EU-Neuregelung des Datenschutzes Eckpfeiler der neuen EU-Datenschutz VO II -Einführung neuer "Prinzipien": a) Prinzip der Datensparsamkeit (inkl. "Recht auf Vergessen werden") b) Förderung technischer Datenschutzmaßnahmen ("Privacy by Design") c) Privatsphäreeinstellungen sollen Standard werden ("Privacy by Default") -neue Kategorien sensibler Daten (z.B. "Gendaten") -Klagsbefugnis für Verbände -Vereinfachungen im internationalen Datentransfer Geplante Maßnahmen, die schon wieder weg sind -Schaffung von Datenportabilität ARGE DATEN

169 © ARGE DATEN 2015 ARGE DATEN Ich danke für Ihre Aufmerksamkeit

170 © ARGE DATEN 2015 ARGE DATEN Onlineinformation ARGE DATEN


Herunterladen ppt "© ARGE DATEN 2015 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven Hans G. Zeger, ARGE DATEN Urstein, FH Salzburg Inhouse Schulung, 27./28."

Ähnliche Präsentationen


Google-Anzeigen