Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven

Ähnliche Präsentationen


Präsentation zum Thema: "Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven"—  Präsentation transkript:

1 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven
Hans G. Zeger, ARGE DATEN Urstein, FH Salzburg Inhouse Schulung, 27./28. Mai 2015 ARGE DATEN - Österreichische Gesellschaft für Datenschutz A-1160 Wien, Redtenbachergasse 20 Tel.: 0676 / Fax.: 01 / Mail Verein: Mail persönlich: WWW-Verein: Zertifizierung: e-commerce: WWW-DSG2000: DSG-Volltext: ftp://ftp.freenet.at/privacy/ds-at/dsg2000-aktuell.pdf DSG-StMV: ftp://ftp.freenet.at/privacy/ds-at/stmv-2004.pdf diverse Muster: ARGE DATEN ARGE DATEN

2 Aktivitäten der ARGE DATEN
Die ARGE DATEN als PRIVACY-Organisation Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: - Web-Service: Besucher/Monat - Newsletter: rund Abonnenten - 2014: rund 500 Medienanfragen/-berichte Mitgliederbetreuung Datenschutzfragen - 2014: ca. 600 Datenschutz-Anfragen Rechtsschutz, PRIVACY-Services - 2014: in ca. 200 Fällen Mitglieder in Verfahren vertreten Zahl der betreuten Mitglieder - aktuell: ca Personen Studien- und Beratungsprojekte A-CERT - Zertifizierungsdienstleister gem. SigG Diese Datenschutzthemen bewegen die Österreicher: - Finanzdienstleister und Privatversicherungen/ Wirtschaftsauskunftsdienste: 28%  - Beruf: 11%  - Persönliches und Privatleben: 10%  - Behörden und Verwaltung: 10%  - Konsumentendaten/Adressenverlage: 8%  - Gesundheit und Soziales: 7%  - Internet und Telekombetreiber: 7%  - Bildung und Ausbildung: 5%  - sonstige Themen, wie Statistik, Politik, Herkunft, öffentliche und private Sicherheit: 15%  Ausgewertet wurden rund 600 Datenschutzfälle der letzten fünf Jahre ,,,,: Tendenzangaben, Entwicklungen gegenüber Vorjahre (Statistik F-6a, Stand Dezember 2014)‏ ARGE DATEN ARGE DATEN

3 Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern. - ARGE DATEN ARGE DATEN

4 Informationspflichten & Betroffenenrechte
Geplanter Ablauf Grundlagen DSG 2000 / Privatsphäre Videoüberwachung / Spezialregelungen betriebliche Datenverwendung Genehmigung / Registrierung Informationspflichten & Betroffenenrechte - Sicherheit / Strafbestimmungen ARGE DATEN ARGE DATEN

5 Grundlagen des DSG 2000 ARGE DATEN ARGE DATEN Die wichtigsten Begriffe
Zustimmung Zulässigkeit der Datenverwendung - ARGE DATEN ARGE DATEN

6 Umsetzung der EU-Richtlinie "Datenschutz" (1995)
DSG Grundlagen Umsetzung der EU-Richtlinie "Datenschutz" (1995) soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch innerhalb der EU (Art.1 Abs.2) sichern Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten." Art. 1 Abs. 2 "Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes." EU-RL gilt nur für "natürliche Personen" DSG 2000 auch für "juristische und sonstige Personen" damit vertritt Österreich EU-weit eine exotische Position Bestimmungen betreffen alle Verwendungsformen persönlicher Daten, nicht nur automatisiert verarbeitete Daten "Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" (Datenschutzrichtlinie 95/46/EG)‏ Die Richtlinie soll gleichermaßen den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten den freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten sichern Art. 1 Gegenstand der Richtlinie (1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten. (2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes. Das DSG 2000 wurde am im Bundesgesetzblatt publiziert (BGBl. I Nr. 165/1999), Inkrafttreten am Übergangsfristen (internationaler Datenverkehr, manuelle Datenanwendungen, die der Meldepflilcht unterliegen), (Anpassung der Rechtsgrundlagen besonder Datenanwendungen § 17 Abs. 3 Z 1 bis 3)‏ Es wurden Spezialbestimmungen, wie Informationspflicht, Informationsverbundsysteme und automatisierte Entscheidung geschaffen ARGE DATEN ARGE DATEN

7 DSG 2000 § 1 (Verfassungsbestimmung):
DSG Grundrecht DSG 2000 § 1 (Verfassungsbestimmung): "jede Verwendung persönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots sind möglich: - mit der Zustimmung des Betroffenen - in Vollziehung von Gesetzen (Behörden, behördliche Tätigkeit) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen/Dritter Einschränkungen des Verbots sind möglich: - mit der Zustimmung des Betroffenen - in Vollziehung von Gesetzen (Behörden, behördliche Tätigkeit) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen/Dritter - EU-Vorschlag: auf Basis rechtlicher Befugnisse (Gesetze, Verträge) DSG 2000 § 1 Verfassungsbestimmung "(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind." Einschränkung dieser Rechte nur mit Zustimmung des Betroffenen, zur Wahrung lebenswichtiger Interessen des Betroffenen oder laut Art. 8 Abs. 2 der europäischen Menschenrechtskonvention aufgrund von Gesetzen. Weitere Verarbeitungsbeschränkungen für den öffentlichen Bereich ("Wahrung wichtiger öffentlicher Interessen") bei "besonders schutzwürdigen Daten" ("sensible Daten")‏ Festlegung der subjektiven Rechte: Auskunfts-, Richtigstellungs- und Löschungsrecht Festlegung der Rechtsdurchsetzung / Zivilrechtsweg Geplante - praxisnahe - Änderung in Novelle 2010 wegen Parteienstreit nicht durchgeführt: „(1) Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten.“ ARGE DATEN ARGE DATEN

8 DSG 2000 § 4 Z 1 "personenbezogene Daten"
DSG Grundlagen DSG 2000 § 4 Z 1 "personenbezogene Daten" "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" DSG 2000 § 4 Z 3 "Betroffener" "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" DSG 2000 § 4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem [personenbezogenen, Anm.] Suchkriterium zugänglich sind" Datenbegriff sehr allgemein gehalten, umfasst auch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. Stromverbrauchsdaten, KFZ-Daten, IP-Adressen, ), ... Datenbegriff sehr allgemein gehalten: in D und LUX spezielle Datenschutz-Regelungen für Bild- und Tondaten (EU-Bericht Umsetzung DS-Richtlinie, 2003)‏, in Ö nunmehr auch zur Videoüberwachung DSG 2000 § 4 Z 1 "Daten" "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; "nur indirekt personenbezogen" sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann." DSK K /16-DSK/00 "Daten betreffend Verwandtschaftsverhältnisse und Wohnungsnutzung gehören zur Privatsphäre des einzelnen. Insbesondere Angaben über Verwandtschaftsverhältnisse gehören schon zu einem sehr intimen und höchstpersönlichen Lebensbereich und bilden wegen möglicher Schlussfolgerungen auf 'rassische und ethnische Herkunft' einer Person geradezu einen Grenzfall zum besonders schutzwürdigen Bereich der sensiblen Daten" (RIS)‏ DSG 2000 § 4 Z 3 "Betroffener" Unter Personengemeinschaft wären unter anderem Familien, Bürgerinitiativen, Betriebsräte, Wohngemeinschaften oder Hausgemeinschaften zu verstehen ARGE DATEN ARGE DATEN

9 Personenbezogene Daten
DSG Grundlagen Personenbezogene Daten Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!) personenbezogene Daten § 4 Z 1 DSG 2000 sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG (kein EU-Begriff) sensible Daten § 4 Z 2 DSG 2000 (1) direkt personenbezogene Daten sind Daten, die unmittelbar einsichtig mit einer Person verknüpft sind (Daten, die zur Personenidentifikation dienen) Name, Geburtsdatum, Wohnanschrift und dazu in direkter Verbindung: Personalnummer, SV-Nummer, persönliche Merkmale und Eigenschaften, Zugehörigkeiten zu bestimmten Gruppen und Bereichen, bestimmte Qualifikationen und Rechte (2) direkt personenbezogene Daten sind Daten, die mit (1) verknüpft sind Daten, etwa in relationalen Datenbanksystemen, die über eine eindeutige Kennung mit einer Person verbunden werden können (Buchungsinformationen, Produktionsinformationen, Kommunikations- und Konsumdaten, ...)‏ (3) direkt personenbezogene Daten sind Daten, die mit hoher Wahrscheinlichkeit mit (1) verknüpft sind, generierte Daten, Daten, die ein Auftraggeber durch Berücksichtigung von Zusatzinformationen oder eigenen Erhebungen einer bestimmten Person zuordnen kann (4) indirekt personenbezogene Daten sind Daten, die ein Auftraggeber zwar nicht mehr legalerweise einer Person zuordnen kann, jedoch andere Stellen oder Auftraggeber. (5) sensible Daten sind bestimmte abschließend aufgezählte Datenarten (DSG2000 §4 Z2)‏: Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben; (6) besonders schutzwürdige Daten: österreichische Sonderformulierung für sensible Daten + Daten aus der Strafrechtspflege, Informationsverbundsystemen und zur Beurteilung der Kreditwürdigkeit von Personen ARGE DATEN ARGE DATEN 9

10 DSG 2000 § 4 Z 2 ("sensible" Daten)
DSG Grundlagen DSG 2000 § 4 Z 2 ("sensible" Daten) Daten natürlicher Personen über rassische und ethnische Herkunft politische Meinung Gewerkschaftszugehörigkeit religiöse und philosophische Überzeugung Gesundheit Sexualleben Probleme kann die Abgrenzung bereiten, z.B. Hautfarbe, Speisegewohnheiten, "Kopftuch", Konfektionsgröße, Sozialberatung DSG 2000 § 4 Z 2 "sensible Daten" ("besonders schutzwürdige Daten"): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben; Der Begriff „sensible Daten“ ist in der EU-Richtlinie definiert und wurde durch Österreich weder eingeengt, noch erweitert (andere Ländr erweiterten den Definitionsumfang). Zusätzliche Sonderregelung in Österreich: "besonders schutzwürdige" Daten enthalten neben den sensiblen Daten Daten im Zusammenhang mit der Strafrechtspflege, der Beurteilung der Kreditwürdigkeit oder die in Form von Informationsverbundsystemen betrieben werden, werden in der EU- Richtlinie nicht als sensible Daten eingestuft, sie werden jedoch im DSG 2000 unter besonderen Schutz gestellt. Sie nehmen damit eine Zwischenstellung zwischen sensiblen und „normalen“ Daten ein. Biometrische Daten (Fingerabdruck, Augenfarbe, ...) werden nur dann als sensible Daten einzustufen sein, wenn sie Rückschlüsse auf den Gesundheitszustand erlauben. Das Problem kann eine Kombination einzelner, für sich allein nicht sensibler biometrischer Daten sein, z.B. die Kombination Körpergewicht/Körpergröße erlaubt sehr wohl Rückschlüsse auf den Gesundheitszustand. Erhebungs"absicht" (Zweck) wesentliche Komponente bei der Bewertung ob sensibles Datum ARGE DATEN ARGE DATEN

11 DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung
DSG Grundlagen DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung) DSG 2000 § 4 Z 5 "Dienstleister" natürliche oder juristische Personen, , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung) DSG 2000 § 4 Z 4 "Auftraggeber" 4. "Auftraggeber": natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z 8), unabhängig davon, ob sie die Daten selbst verwenden (Z 8) oder damit einen Dienstleister (Z 5) beauftragen. Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung eines Werkes beauftragte Dienstleister (Z 5) die Entscheidung trifft, zu diesem Zweck Daten zu verwenden (Z 8), es sei denn dies wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung eigenverantwortlich zu entscheiden;" DSG 2000 § 4 Z 5 "Dienstleister" „5. Dienstleister: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (Z 8);“ DSK K /002-DSK/2001 "..sondern auch Personengemeinschaften, welchen es zwar an einer eigenen Rechtspersönlichkeit mangelt, die aber durch ihre Bezeichnung sowie die gemeinsamen Ziele und Aufgaben der Mitglieder eine hinlänglich unterscheidbare Entität sind." (RIS)‏ ARGE DATEN ARGE DATEN

12 DSG 2000 § 4 Z 8 "Verwenden von Daten"
DSG Grundlagen DSG 2000 § 4 Z 7 "Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte ... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)" DSG 2000 § 4 Z 8 "Verwenden von Daten" "jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten" DSG 2000 § 4 Z 9 "Verarbeiten von Daten" "das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten" DSG 2000 § 4 Z 12 "Übermitteln von Daten" "die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister" DSG 2000 §4 Z 7 "Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung)" ARGE DATEN ARGE DATEN

13 Entscheidung OGH 4 Ob 221/06p ("GE ...bank")
DSG Grundlagen DSG 2000 § 4 Z 14 "Zustimmung" "die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt" Widerruf der Zustimmung in § 8 bzw. § 9 geregelt Entscheidung OGH 4 Ob 221/06p ("GE ...bank") OGH 4 Ob 28/01y ("Creditanstalt") OGH 4 Ob 179/02f ("BA-CA") Damit schließt diese Definition für die Zukunft abgegebene allgemeine Zustimmungserklärungen aus Von der Zustimmung iS DSG 2000 § 4 Z 14 sind andere vertragliche Vereinbarungen zur Nutzung von Daten zu unterscheiden, etwa im Rahmen von Bestellungen, Kundenkarten, ... OGH 4Ob28/01y ("Creditanstalt"): Relevante Passage: "Der Kontoinhaber ist damit einverstanden, dass die Bank alle im Zusammenhang mit der Eröffnung und Führung des Kontos/Depots stehenden Daten an eine zentrale Evidenzstelle und/oder an Gemeinschaftseinrichtungen von Kreditunternehmungen übermitteln kann." RIS-Kommentar: "Eine wirksame Zustimmung zur Verwendung nichtsensibler Daten liegt nur vor, wenn der Betroffene weiß, welche seiner Daten zu welchem Zweck verwendet werden. Diesem Erfordernis wird eine Vertragsbestimmung nicht gerecht, die als Empfänger "eine zentrale Evidenzstelle und/oder Gemeinschaftseinrichtungen von Kreditunternehmungen" nennt So kann für sich allein durchaus klaren und verständlichen Klauseln die Sinnverständlichkeit fehlen, wenn zusammenhängende Regelungen und ihre nachteiligen Effekte deshalb nicht erkennbar werden, weil die einzelnen Teile an versteckten oder nur schwer miteinander in Zusammenhang zu bringenden Stellen, etwa in verschiedenen Klauseln, geregelt sind." siehe auch: Widerruf ist sofort wirksam: § 8 DSG 2000 Abs. 1 Z 2. der Betroffene der Verwendung seiner Daten zugestimmt hat, wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung der Daten bewirkt (Analog DSG 2000 §9 Z 6 für sensible Daten)‏ ARGE DATEN ARGE DATEN

14 Die wichtigsten Begriffe (§ 4 DSG Z ...)
DSG Grundlagen Die wichtigsten Begriffe (§ 4 DSG Z ...) Verwenden von Daten Z 8 Auftraggeber Z 4 Daten- anwendung Z 7 Übermitteln Verarbeiten Z 9 Z 12 Überlassen Z 11 Ermitteln, Auswerten, Sortieren, Speichern, Analysieren, Korrigieren, Ausdrucken, Anzeigen, ... Dienstleister Z 5 Auftrag Novelle 2010: Geänderte Begriffsdefinitionen § 4 DSG 2000 Z 4 Auftraggeber: nunmehr konsequent auf das "Verwenden von Daten" (Z8) abgestimmt Z 5 Dienstleister: Klarstellung, nur solange auftragsgemäße Datenverwendung Z 7 Datenanwendung: Alternativbegriff "Datenverarbeitung" gestrichen. Z 8 Verwenden von Daten: nicht mehr mit Datenanwendung verknüpft Z 9 Verarbeiten von Daten: nicht mehr an Auftraggeber- oder Dienstleistereigenschaft gebunden Z 10 Ermitteln: gestrichen Z 11 Überlassen von Daten: Klarstellung, dass zur Überlassung ein Vertragsverhältnis zwischen Auftraggeber und Dienstleister erforderlich ist Z 12 Übermitteln von Daten: nicht mehr an das Vorhandensein einer Datenanwendung gebunden Ausdehnung der Gültigkeit der Begriffe auf Datenanwendungen und manuelle Dateien (Abs. 2) ARGE DATEN ARGE DATEN

15 Grundsätze der Verwendung von Daten (§ 6ff)
DSG Grundlagen Grundsätze der Verwendung von Daten (§ 6ff) Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1) Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2) Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2) Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3) Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4) DSK /010-DSK/2001 ("gelindester Eingriff") Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren Umsetzung der Datenschutzkonvention des Europarates Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1)‏ Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2)‏ Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2)‏ Weiterverwendung für wissenschaftliche und statistische Zwecke ist zulässig (§ 6 Abs. 1 Z 2)‏ Daten müssen für den Zweck der Datenanwendung wesentlich sein (§ 6 Abs. 1 Z 3)‏ Verwendung muss im Ergebnis sachlich richtig sein (§ 6 Abs. 1 Z 4) DS-RL Art. 6 lit. d: Verwendung muss "sachlich richtig" sein Daten müssen, wenn nötig auf den neuesten Stand gebracht werden (§ 6 Abs. 1 Z 4)‏ Aufbewahrung für die Erreichung der Zwecke notwendig (Ausnahmen, etwa aus gesetzlichen Gründen, wie Archive möglich) (§ 6 Abs. 1 Z 5)‏ Selbstregulierung: § 6 Abs. 4 "Zur näheren Festlegung dessen, was in einzelnen Bereichen als Verwendung von Daten nach Treu und Glauben anzusehen ist, können für den privaten Bereich die gesetzlichen Interessenvertretungen, sonstige Berufsverbände und vergleichbare Einrichtungen Verhaltensregeln ausarbeiten. Solche Verhaltensregeln dürfen nur veröffentlicht werden, nachdem sie dem Bundeskanzler zur Begutachtung vorgelegt wurden und dieser ihre Übereinstimmung mit den Bestimmungen dieses Bundesgesetzes begutachtet und als gegeben erachtet hat." Bisher wenig genutzt, bekanntes Beispiel: Adressenverlage "Fair-Data" ARGE DATEN ARGE DATEN

16 Zwecke und Geschäftsbereiche
Welche Daten dürfen Behörden (öffentlich-rechtliche Einrichtungen) verwenden? - auf Grund ausdrücklicher gesetzlicher Verpflichtungen oder Ermächtigungen - zur Vollziehung eines Gesetzes unbedingt erforderlich - im Rahmen privatwirtschaftlicher Dienste DSK K /9-DSK/96 ("Dekanat") - Dekanat gibt Daten wie Aufnahmedatum, Geburtsdatum, Geburtsort, Staatsbürgerschaft, Art und Datum der Reifeprüfung, alle rigorosalen Teilprüfungen mit Datum und Ergebnis an Prüfer weiter - unzulässige Daten-Weitergabe an Einzelprüfer, weil Gesetz ausdrücklich das Dekanat mit der Führung der Prüfungsevidenz beauftragt hat - Gefahr der Beeinflussung des Prüfers DSK K /9-DSK/96 ("Dekanat") Das Dekanat der medizinischen Fakultät der Universität Y. hat dadurch gegen § 1 DSG verstoßen, daß es folgende Datenarten: Aufnahmedatum, Geburtsdatum, Geburtsort, Staatsbürgerschaft, Art und Datum der Reifeprüfung, alle rigorosalen Teilprüfungen mit Datum und Ergebnis, ferner alle Versuche, eine rigorosale Teilprüfung abzulegen, mit Datum und Ergebnis des X. an den Prüfer des Faches 'Biologie für Mediziner' übermittelt hat, wodurch X. in einem verfassungsgesetzlich gewährleisteten Recht auf Geheimhaltung personenbezogener Daten verletzt wurde. Aufgrund der klaren gesetzlichen Regelung, daß das Führen der Prüfungsevidenz der Universitätsdirektion bzw. dem Dekanat obliegt, ist eine Übermittlung dieser Prüfungsprotokolle an die jeweiligen Einzelprüfer nicht zulässig, zumal durch diese - für die Beurteilung einer Teilprüfung entbehrliche - Zusatzinformation dem Prüfer die Erstellung eines 'Leistungs- bzw. Persönlichkeitsprofiles' über die Prüflinge ermöglicht wird, das geeignet ist, eine objektive Beurteilung der Teilprüfung durch den Prüfer zu gefährden. ARGE DATEN ARGE DATEN

17 DSG Grundlagen Geheimhaltungsinteressen bei Datenverwendung (§ 8-nicht-sensible Daten, § 9-sensible Daten) Wann dürfen Daten jedenfalls verwendet werden? (Auszug) - Rechtsgrundlage / gesetzliche Verpflichtungen - Zustimmung des Betroffenen - zur Wahrung lebenswichtiger Interessen - überwiegende Interessen Dritter / Auftraggeber (nicht anwendbar bei sensiblen Daten!) z.B. notwendige Voraussetzung zur Vertragserfüllung, Ausübung von Rechtsansprüchen des Auftraggebers, behördliche Tätigkeit - indirekt personenbezogene Daten (EU-Konformität??) - zulässig veröffentliche Daten: soweit berechtigter Zweck des Verwenders gegeben? soweit mit ursprünglicher Veröffentlichung vereinbar? Wann dürfen Daten verwendet werden? (sind Geheimhaltungsinteressen nicht verletzt) - ausdrückliche gesetzliche Ermächtigung oder Verpflichtung besteht (§ 8 Abs. 1 Z 1)‏ - ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Wahrung eines wichtigen öffentlichen Interesses besteht (§ 9 Z 3)‏ - Betroffener hat zugestimmt/Widerrufsrecht (§ 8 Abs. 1 Z 2, § 9 Z 6)‏ - lebenswichtige Interessen des Betroffenen (§ 8 Abs. 1 Z 3, § 9 Z 7)‏ - zulässigerweise veröffentlichte Daten (§ 8 Abs. 2, §9 Z 1) - indirekt personenbezogene Daten (§ 8 Abs. 2, §9 Z 2) - überwiegende berechtigte Interessen des Aufftraggebers oder Dritter sind zu wahren (§ 8 Abs. 1 Z 4, nur bei nichtsensiblen Daten!)‏ - im öffentlichen Bereich: wesentliche Voraussetzung für gesetzlich übertragene Aufgabe (§ 8 Abs.3 Z1)‏ - im öffentlichen Bereich: in Erfüllung der Amtshilfe (§ 8 Abs. 3 Z 2, § 9 Z 4) - im öffentlichen Bereich: ausschließlich die Ausübung einer öffentlichen Funktion durch den Betroffenen zum Gegenstand hat [behördliche Tätigkeit] (§ 8 Abs. 3 Z 6) - Wahrung lebenswichtiger Interessen eines Dritten (§ 8 Abs. 3 Z 3, § 9 Z 8)‏ ARGE DATEN ARGE DATEN

18 Was ist eine zulässige Veröffentlichung?
DSG Veröffentlichung Was ist eine zulässige Veröffentlichung? Veröffentlichen von Informationen - ist im DSG 2000 Spezialfall der Datenübermittlung - die Veröffentlichung muss rechtlich zulässig sein Beispiele für bedenkliche Veröffentlichungen: - Altersjubilare in der Gemeindezeitung genannt - Daten von Privathaushalten in einer Tourismusbroschüre angegeben (Kaprun) - öffentliche Ehrentafel aller eingemeindeten Bürger - Teilnehmerlisten von Kongressen/Seminaren - Klassenbilder im Schuljahresbericht - Veröffentlichen von lokalen (Amateur-)Sportergebnissen mit Name, Adresse und Geburtsdatum im Internet - Zusammenstellung persönlicher Daten durch (Personen-)Suchmaschinen DSK/DSB neigt zu einer - unverständlicher Weise - extensiven Interpretation des Begriffs "Veröffentlichung": alles, was kurz öffentlich zugänglich war, etwa eine Aussage vor Gericht oder in einer öffentlichen Gemeinderatssitzung soll für unbestimmte Zeit öffentlich verfügbar sein dürfen und unterliegt keinen schutzwürdigen Interessen des Datenschutzgesetzes Beispiele DSK/DSB-Entscheidungen: DSK K /0017-DSK/2008: Gemeinde hat Bürgerdaten an Zeitung weiter gegeben. Beschwerde abgewiesen, da es sich um ein "öffentliches" Bauverfahren handelt! DSK K /0004-DSK/2008: Gemeinde hat Inhalt einer Gemeinderatssitzung an Zeitung weiter gegeben. Beschwerde abgewiesen, da die Gemeinderatssitzung öffentlich zugänglich gewesen wäre. ARGE DATEN ARGE DATEN

19 - ARGE DATEN ausgewählte Beispiele Webseite Schule I
schutzwürdige Information I II Zulässigkeit der Veröffentlichung? - ad I: überwiegende Interessen Dritter - ad II: Recht auf eigenes Bild, Zustimmung notwendig! - keine allgemeine Verfügbarkeit - gesetzliche Bestimmung ? - ARGE DATEN

20 Nutzung von Studentenfotos
Fotos und Persönlichkeitschutz Nutzung von Studentenfotos Ausgangslage - eine Bildungseinrichtung veröffentlicht in einer Studierendenzeitung (und im Internet) Fotos von Studenten Fragestellungen - (datenschutzrechtliche) Zulässigkeit? - wie ist mit Fotos Verstorbener umzugehen? - sonstige Anforderungen? - ARGE DATEN ARGE DATEN

21 Nutzung von Studentenfotos II
Fotos und Persönlichkeitschutz Nutzung von Studentenfotos II DSG-Grundlagen - Fotos, auf denen Personen identifizierbar sind, fallen grundsätzlich unter die Bestimmungen des DSG 2000 - sind auf dem Foto auch gesundheitliche Beeinträchtigungen zu erkennen, handelt es sich um sensible Daten - Verstorbene sind nicht als Personen iS des DSG 2000 anzusehen Sonstige Persönlichkeitsrechte - bei Fotos sind zusätzlich die Persönlichkeitsrechte gemäß § 78 UrhG zu beachten, diese wirken über Tod hinaus und gehen auf Angehörige über - OGH 4Ob203/13a Angehörige können „Recht am eigenen Bild“ von Verstorbenen geltend machen, ohne eigene Interessen begründen zu müssen ("treuhändige" Inanspruchnahme eines Schutzrechtes) - ARGE DATEN ARGE DATEN

22 Nutzung von Studentenfotos III
Fotos und Persönlichkeitschutz Nutzung von Studentenfotos III Konsequenz - die Nutzung der Fotos bedarf jedenfalls der Zustimmung der Betroffenen - werden durch die Abbildungen sensible Daten erfasst, ist jedenfalls eine ausdrückliche Zustimmung erforderlich - der Veröffentlichung - insbesondere wenn sensible Daten betroffen sind - wird jederzeit widersprochen werden können - im Todesfall wird auf Grund des OGH-Urteils ein Widerspruchsrecht durch die Angehörigen bestehen - im Falle eines zulässigen Widerspruchs müsse verteilte Broschüren nicht zurückgerufen werden, aber die weitere Verbreitung wird unzulässig sein - ARGE DATEN ARGE DATEN

23 Entscheidungen zum Bildnisschutz
Fotos und Persönlichkeitschutz Entscheidungen zum Bildnisschutz  OGH 4Ob203/13a Angehörige können „Recht am eigenen Bild“ von Verstorbenen geltend machen, ohne eigene Interessen begründen zu müssen ("treuhändige" Inanspruchnahme eines Schutzrechtes)  OGH 6Ob256/12h schon die Herstellung eines Bildnisses kann gegen das Persönlichkeitsrecht verstoßen  OGH 4 Ob 119/12x Veröffentlichung in Medium enttarnt verdeckten Ermittler und ist daher unzulässig (Medienprivileg nicht anwendbar) - ARGE DATEN ARGE DATEN

24 Bestimmungen zum Schutz der Privatsphäre
Schutz der Privatsphäre - Übersicht Bestimmungen zum Schutz der Privatsphäre • EMRK Art 8 (Privatsphäre, Familienleben, Briefverkehr) • StGG (Staatsgrundgesetz) Art. 9, 10 (Briefgeheimnis) u. 10a (Fernmeldegeheimnis) • § 1 DSG 2000 (Geheimhaltung Daten) • § 16 ABGB (angeborene Rechte) • StGB z.B. § 118f (Briefgeheimnis), § 119f (Telekommunikationsgeheimnis) und §§ 302ff (Amtsmissbrauch) • TKG 2003 § 93 (Kommunikationsgeheimnis) • MedienG § 7ff (Bloßstellung) • UrhG § 77 (Briefe, Tagebücher, ähnliche vertrauliche Aufzeichnungen), § 78 (Bildnisschutz), § 87 Abs 2 (Entschädigung) • Regelungen für einzelne Berufsgruppen (siehe Anhang) • ABGB § 1328a (Bloßstellung) • StGB § 107a (Anti-Stalking-Bestimmung) Europäische Menschenrechtskonvention [StF BGBl. Nr. 210/1958, ] Artikel 8 - Recht auf Achtung des Privat- und Familienlebens (1) Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs. (2) Der Eingriff einer öffentlichen Behörde in die Ausübung dieses Rechts ist nur statthaft, insoweit dieser Eingriff gesetzlich vorgesehen ist und eine Maßnahme darstellt, die in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig ist. Staatsgrundgesetz vom 21. Dezember 1867 Artikel 9. Das Hausrecht ist unverletzlich. […] Artikel 10. Das Briefgeheimnis darf nicht verletzt und die Beschlagnahme von Briefen, außer dem Falle einer gesetzlichen Verhaftung oder Haussuchung, nur in Kriegsfällen oder auf Grund eines richterlichen Befehles in Gemäßheit bestehender Gesetze vorgenommen werden. Artikel 10a. Das Fernmeldegeheimnis darf nicht verletzt werden. Ausnahmen von der Bestimmung des vorstehenden Absatzes sind nur auf Grund eines richterlichen Befehles in Gemäßheit bestehender Gesetze zulässig. [Ergänzung des StGG ] [Staatsgrundgesetz vom 21. December 1867, über die allgemeinen Rechte der Staatsbürger für die im Reichsrathe vertretenen Königreiche und Länder. StF: RGBl. Nr. 142/1867, Art. 10a wurde mit Novelle 1974 eingeführt (BGBl. Nr. 8/1974)] Allgemeines Persönlichkeitsrecht im ABGB § 16. Jeder Mensch hat angeborene, schon durch die Vernunft einleuchtende Rechte, und ist daher als eine Person zu betrachten. Sclaverey oder Leibeigenschaft, und die Ausübung einer darauf sich beziehenden Macht, wird in diesen Ländern nicht gestattet. ARGE DATEN ARGE DATEN

25 § 1328a ABGB Privatsphärebestimmung
Schutz der Privatsphäre - §1328a ABGB § 1328a ABGB Privatsphärebestimmung (1) Wer rechtswidrig und schuldhaft in die Privatsphäre eines Menschen eingreift oder Umstände aus der Privatsphäre eines Menschen offenbart oder verwertet, hat ihm den dadurch entstandenen Schaden zu ersetzen. Bei erheblichen Verletzungen der Privatsphäre, etwa wenn Umstände daraus in einer Weise verwertet werden, die geeignet ist, den Menschen in der Öffentlichkeit bloßzustellen, umfasst der Ersatzanspruch auch eine Entschädigung für die erlittene persönliche Beeinträchtigung. Abs.2 definiert Substitutionsklausel - Bestimmung ist nicht anzuwenden, wenn andere Bestimmung gilt, etwa Datenschutz- oder Medienrechtsbestimmungen Privatsphärebestimmung seit § 1328a ABGB Abs. 2: "(2) Abs. 1 ist nicht anzuwenden, sofern eine Verletzung der Privatsphäre nach besonderen Bestimmungen zu beurteilen ist. Die Verantwortung für Verletzungen der Privatsphäre durch Medien richtet sich allein nach den Bestimmungen des Mediengesetzes, BGBl. Nr. 341/1981, in der jeweils geltenden Fassung." Literatur zum § 1328a ABGB - Helmich - „Schadenersatz bei Eingriffen in die Privatspähre“ ecolex , S. 888 - Karner/Koziol - „Der Ersatz ideellen Schadens im österreichischen Recht und seine Reform“ 15. ÖJT Band II/1, Manz 2003, S. 101ff. - Lein - „Das Zivilrechtsänderungsgesetz 2004“ JAP 2003/2004, S. 122 OGH 4Ob150/08z Rechtssatz Der Schutz des § 1328a ABGB kommt auch Personen zu, die in der Öffentlichkeit bekannt sind. Wer seine privaten Lebensumstände „öffentlich gemacht" hat, indem er etwa ein Interview gibt, in dem auch private Aspekte erörtert werden, oder indem er sich „outet", kann sich nicht auf eine Verletzung seiner Privatsphäre berufen, wenn diese Umstände in der Öffentlichkeit weiter erörtert werden. ARGE DATEN ARGE DATEN

26 Beispiele für Eingriffe in die Privatsphäre
Schutz der Privatsphäre - Beispiele Beispiele für Eingriffe in die Privatsphäre private Videoüberwachung, Personenortung, Radarüberwachung Bekanntgabe persönlicher Daten im Internet Illegales Abhören von Telefonaten oder Gesprächen Hacken von privaten Computern Missbrauch von Foto-Handys Weitergeben von privat mitgeteilten Geheimnissen Überwachung des Standortes eines Mobiltelefonnutzers ohne dessen Zustimmung Offenbaren/Verwerten von Gerichtsurteilen Bedrängen durch Kontaktaufnahmeversuche ( , Telefonate, ...) Die oben genannten Beispiele sind teilweise auch in den erläuternden Bemerkungen zum Entwurf angeführt. Es ist dazu allgemein anzumerken, dass sich der § 1328a ABGB auf den Ersatz immaterieller Schäden bezieht und insofern unabhängig von eventuell in anderen Gesetzen vorgesehenen (Verwaltungs-) Strafbestimmungen zu sehen ist. So sind beispielsweise im TKG oder im DSG für verschiedene Tatbestände sowohl strafrechtliche als auch verwaltungsstrafrechtliche Sanktionen vorgesehen. Unabhängig von deren Anwendung könnten Betroffene bei entsprechendem Nachweis den Ersatz immaterieller Schäden verlangen. ARGE DATEN ARGE DATEN

27 ARGE DATEN ARGE DATEN Entscheidungen zur Privatsphäre
Entscheidungen zum Schutz der Privatsphäre OGH 6Ob 2401/96y Videoüberwachung eines Wohnhauses OGH 7Ob 89/97g "Überwachung" durch Kameraattrappen (siehe auch analog OGH 6Ob6/06k) OGH 8Ob 108/05y Videoüberwachung eines Konkurrenten  OGH 6Ob 256/12k Unzulässig ist schon die Herstellung eines Bildes ("private" Aufnahmen von einem Sachverständigen im Zuge einer Amtshandlung) OGH 7Ob 248/09k Gelegentliches "über den Zaun schauen" ohne Eingriffsabsicht / ohne techn. Hilfsmittel kein Eingriff in Privatsphäre (Eingriff muss mit Aufzeichnungen nachgewiesen werden) BG Josefstadt 6C188/09p EV gemäß § 382g EO wegen Veröffentlichung privater Daten in einem Blog ("Cyberstalking") (begründet auf § 1328a ABGB) Rechtssatz zu OGH 6Ob2401/96y Der Schutz der Privatsphäre eines Mieters vor solchen Maßnahmen endet auch nicht an der inneren Wohnungstüre, es ist ihm durchaus ein berechtigtes Interesse daran zuzubilligen, dass das Betreten oder Verlassen der Wohnung durch ihn, seine Mitbewohner oder Gäste nicht lückenlos überwacht und aufgezeichnet wird. Dem Hauseigentümer hingegen ist nicht nur zum Schutz seiner eigenen Person, wenn er selbst eine Wohnung in dem Miethaus bewohnt, sondern auch zum Schutz seines Eigentums und seiner Mieter ein berechtigtes Interesse an größtmöglicher Sicherheit vor unbefugtem Eindringen und vor Sachbeschädigungen zuzubilligen. Rechtssatz zu 6Ob256/12h (ABGB § 16, UrhG § 78) Das Recht am eigenen Bild stellt eine besondere Erscheinungsform des allgemeinen Persönlichkeitsrechts dar. Daher kann bereits die Herstellung eines Bildnisses ohne Einwilligung des Abgebildeten einen unzulässigen Eingriff in dessen allgemeines Persönlichkeitsrecht darstellen. Dabei wird das allgemeine Persönlichkeitsrecht des Betroffenen nicht nur dann verletzt, wenn Abbildungen einer Person in deren privatem Bereich angefertigt werden, um diese der Öffentlichkeit zugänglich zu machen. Vielmehr kann auch die Herstellung von Bildnissen einer Person in der Öffentlichkeit zugänglichen Bereichen und ohne Verbreitungsabsicht einen unzulässigen Eingriff in das Persönlichkeitsrecht des Betroffenen darstellen. Rechtssatz zu OGH 4Ob150/08z Der Schutz des § 1328a ABGB kommt auch Personen zu, die in der Öffentlichkeit bekannt sind. Zur „Privatsphäre" zählen auch private, das Familienleben betreffende Umstände, die nicht für eine weitere Öffentlichkeit bestimmt sind. Wer seine privaten Lebensumstände „öffentlich gemacht" hat, indem er etwa ein Interview gibt, in dem auch private Aspekte erörtert werden, oder indem er sich „outet", kann sich nicht auf eine Verletzung seiner Privatsphäre berufen, wenn diese Umstände in der Öffentlichkeit weiter erörtert werden. OGH 8Ob155/06m Beharrliche Kontaktaufnahme mit Ex-Freundin per , Telefonate, (Unterlassungsanspruch nach § 382g Abs 1 EO, begründet auf § 107a StGB und § 1328a ABGB) ARGE DATEN ARGE DATEN

28 Besondere Bestimmungen
Videoüberwachung Informationsverbundsystem Wissenschaft und Forschung Verständigung / Adressenverlage - ARGE DATEN ARGE DATEN

29 Videoüberwachung - Hintergrund
DSG Videoüberwachung Videoüberwachung - Hintergrund (DSG 2000 § 50a ff) - keine offiziellen Statistiken über Umfang der Videoüberwachung in Österreich (Schätzung: Standorte mit Kameras) - keine Zahlen im staatlichen oder staatsnahen Bereich vorhanden - staatliche Videoüberwachung teilweise in SPG ("Gefahrenabwehr") und StPO ("Lauschangriff") geregelt - sonstige Videoüberwachungen sind personenbezogene Datenaufzeichnung und Teil des DSG 2000 ("bestimmbare" Personen) - spezifisches Problem: es werden vorrangig Personen erfasst, die NICHT unter den Aufzeichnungszweck fallen - ARGE DATEN ARGE DATEN

30 Videoüberwachung - Definition
DSG Videoüberwachung Videoüberwachung - Definition (DSG 2000 § 50a Abs 1) Videoüberwachung ist definiert durch: - systematische und fortlaufende Feststellung von Ereignissen - betreffen bestimmte/überwachte Objekte oder Personen - Nutzung technischer Bildaufnahme- und Bildübertragungsgeräte Hinweis! Nicht jede Bildaufzeichnung fällt unter die Definition der Videoüberwachung! - einzelne Fotos/kurze Filme mit Digitalkameras oder Handykameras ("Touristenaufnahmen") - einzelne Aufnahmen aus fahrenden Autos heraus - Überwachung ohne identifizierende Absicht (technische Überwachungen, "Panoramakameras", "Hirsch-TV") fallen nicht unter die Definition der Videoüberwachung  Empfehlung DSK K /0004-DSK/2013 "Wetter-TV"  DSB-Meldemuster "Baustellenkamera" Neue Bestimmungen (DSG-Novelle 2010) § 50a Abs. 1 (neu): (1) Videoüberwachung im Sinne dieses Abschnittes bezeichnet die systematische, insbesondere fortlaufende Feststellung von Ereignissen, die ein bestimmtes Objekt (überwachtes Objekt) oder eine bestimmte Person (überwachte Person) betreffen, durch technische Bildaufnahme- oder Bildübertragungsgeräte. Für derartige Überwachungen gelten die folgenden Absätze, sofern nicht durch andere Gesetze Besonderes bestimmt ist. Erläuternde Bemerkungen (EB) der Regierungsvorlage (RV) § 50a Abs. 1 enthält zunächst eine Definition der Videoüberwachung. Dass dies mit „systematischer“ Erfassung von Ereignissen umschrieben wurde, soll klarstellen, dass durch eine Summe von Verwendungsschritten (vgl. § 4 Z 7) das Ergebnis „Überwachung“ verwirklicht werden soll. Aufnahmen etwa aus rein touristischen oder künstlerischen Beweggründen aber auch Filmen für ausschließlich familiäre oder persönliche Tätigkeiten (vgl. § 45, zB bei einem Kindergeburtstag) fallen damit nicht darunter, sehr wohl aber auch gezieltes Fotografieren. Überwachtes Objekt oder überwachte Person ist jene Person, Gegenstand oder Ort, auf die sich die systematische Erfassung von Ereignissen intentional richtet. Sofern Videoüberwachungen für ausschließlich persönliche und familiäre Tätigkeiten überhaupt denkbar sind (zB Bildüberwachung von Babys), fallen diese nicht unter die Bestimmungen des § 50a. Entgegen dem Judikat K /0002-DVR/2009 der Datenschutzkommission vom 8. Mai 2009 ist aber davon auszugehen, dass der eng gefasste Wortlaut des § 45 [Datenanwendung für private Zwecke, Anm.] die Überwachung von Einfamilienhäusern und dazu gehörigen Grundstücken nicht umfasst und überdies neben potenziellen Einbrechern auch andere Personen (Besucher, allfällige Hausangestellte wie etwa Reinigungspersonal) davon betroffen sein können. Derartige Datenanwendungen fallen daher unter § 50a. ARGE DATEN ARGE DATEN

31 Video-Einsatz gemäß diesem Absatz sieht keine Beschränkungen vor!
DSG Videoüberwachung Videoüberwachung - zulässiger Einsatz I (DSG 2000 § 50a Abs. 3) - im lebenswichtigen Interesse des Betroffenen (Abs. 3 Z 1) [Intensivstation, ...??] - Verhalten, das öffentlich wahrgenommen werden will (Abs. 3 Z 2) [öffentlicher Vortrag/Straßensänger, Teilnehmer einer Kundgebung, ...??] - Betroffener hat Überwachung selbst ausdrücklich zugestimmt (Abs. 3 Z 3) Video-Einsatz gemäß diesem Absatz sieht keine Beschränkungen vor! Neue Bestimmungen (DSG-Novelle 2010) § 50a Abs. 3 (neu): (3) Ein Betroffener ist durch eine Videoüberwachung dann nicht in seinen schutzwürdigen Geheimhaltungsinteressen (§ 7 Abs. 2 Z 3) verletzt, wenn 1. diese im lebenswichtigen Interesse einer Person erfolgt, oder 2. Daten über ein Verhalten verarbeitet werden, das ohne jeden Zweifel den Schluss zulässt, dass es darauf gerichtet war, öffentlich wahrgenommen zu werden, oder 3. er der Verwendung seiner Daten im Rahmen der Überwachung ausdrücklich zugestimmt hat. ARGE DATEN ARGE DATEN

32 Videoüberwachung - zulässiger Einsatz IIa
DSG Videoüberwachung Videoüberwachung - zulässiger Einsatz IIa (DSG 2000 § 50a Abs. 4, 5) - berechtigte Annahme Objekt oder Person könnte Ziel oder Ort eines gefährlichen Angriffs werden (Abs. 4 Z 1) [siehe OGH-Judikatur, allgemeine Angst/Vorsorge dürfte nicht reichen, aber Standardanwendungen für Trafikanten, Bankfilialen, Juweliere, Tankstellen, eigene Wohnzwecke genutzte private Grundstücke, internationale Organisationen, Verwaltungsgebäude öffentlicher Rechtsträger, Parkgaragen und - plätze, Rechenzentren,weiterhin Einzelgenehmigung erforderlich: u.a. Supermärkte, sonstige Geschäftslokale, Betriebsstätten] - Rechtsvorschriften oder gerichtliche Entscheidungen auferlegen dem Auftraggeber besondere Sorgfaltspflichten zum Schutz von Personen/Objekten (Abs. 4 Z 2) [Tankstellen, Straßentunnel-Sicherheitsgesetz–STSG, ÖFB/Vereinsstatuten, ...] Neue Bestimmungen (DSG-Novelle 2010) § 50a Abs. 4,5 (neu): (4) Ein Betroffener ist darüber hinaus durch eine Videoüberwachung ausschließlich dann nicht in seinen schutzwürdigen Geheimhaltungsinteressen (§ 7 Abs. 2 Z 3) verletzt, wenn sie nicht im Rahmen der Vollziehung hoheitlicher Aufgaben erfolgt und 1. bestimmte Tatsachen die Annahme rechtfertigen, das überwachte Objekt oder die überwachte Person könnte das Ziel oder der Ort eines gefährlichen Angriffs werden, oder 2. unmittelbar anwendbare Rechtsvorschriften des Völker- oder des Gemeinschaftsrechts, Gesetze, Verordnungen, Bescheide oder gerichtliche Entscheidungen dem Auftraggeber spezielle Sorgfaltspflichten zum Schutz des überwachten Objekts oder der überwachten Person auferlegen, oder 3. sich die Überwachung in einer bloßen Echtzeitwiedergabe von das überwachte Objekt/die überwachte Person betreffenden Ereignisse erschöpft, diese also weder gespeichert (aufgezeichnet) noch in sonst einer anderen Form weiterverarbeitet werden (Echtzeitüberwachung), und sie zum Zweck des Schutzes von Leib, Leben oder Eigentum des Auftraggebers erfolgt. (5) Mit einer Videoüberwachung nach Abs. 4 dürfen nicht Ereignisse an Orten festgestellt werden, die zum höchstpersönlichen Lebensbereich eines Betroffenen zählen. Weiters ist die Videoüberwachung zum Zweck der Mitarbeiterkontrolle an Arbeitsstätten untersagt. ARGE DATEN ARGE DATEN

33 Videoüberwachung - zulässiger Einsatz IIb
DSG Videoüberwachung Videoüberwachung - zulässiger Einsatz IIb (DSG 2000 § 50a Abs. 4, 5) - bloße Echtzeitüberwachung (keine Aufzeichnung/Speicherung) zum Schutz von Leib/Leben oder Eigentum des Auftraggebers (Abs. 4 Z 3) ["verlängertes Auge": Monitore bei Hauseingängen, Garagen] Absolute Beschränkungen zu den Fällen Abs. 4 Z 1-3: - keine Überwachung höchstpersönlicher Lebensbereiche [kein ToilettenTV, Privatwohnungen, Umkleidekabinen, Umkleideräume??, Krankenbetten??, Gräber??, Betstätten??] - nicht zum Zweck der Mitarbeiterkontrolle [laut EB gemeint: Leistungskontrolle] Erläuternde Bemerkungen (EB) der Regierungsvorlage (RV) zur (DSG-Novelle 2010): § 50a Abs. 5 verbietet die Durchführung von Überwachungen auf Grundlage des Abs. 4 an Orten, die dem höchstpersönlichen Lebensbereich zuzurechnen sind. Solche Orte sind etwa Privatwohnungen, Umkleide- oder WC-Kabinen. Ausdrücklich verboten ist auch die gezielte Videoüberwachung zur Kontrolle von Mitarbeiterinnen und Mitarbeitern an Arbeitsstätten, da hier davon ausgegangen werden kann, dass hier auf Grund der Eingriffstiefe stets ein gelinderes Mittel zur Kontrolle von Mitarbeiterinnen und Mitarbeitern gefunden werden kann. Dieses Verbot schließt nicht die Überwachung von Objekten an Arbeitsstätten (Überwachung von Kassenräumen, Überwachung gefährlicher Maschinen zum Schutz der Mitarbeiterinnen und Mitarbeiter) aus, da derartige Überwachungen nicht auf die Leistungskontrolle von Arbeitnehmerinnen und Arbeitnehmern gerichtet sind. ARGE DATEN ARGE DATEN

34 Videoüberwachung - weitere zulässige Verwendung ("Zufallsfunde")
DSG Videoüberwachung Videoüberwachung - weitere zulässige Verwendung ("Zufallsfunde") (DSG 2000 § 50a Abs. 6) - an Behörden und Gerichte bei Verdacht einer von Amts wegen gerichtlich bedrohten strafbaren Handlung [keine Privatanklagedelikte, Zivilverfahren, Verwaltungsübertretungen] - an Sicherheitsbehörden nach SPG § 53 Abs. 5 [Behörden entscheiden über Notwendigkeit] - Durchsetzungsbefugnisse zur Herausgabe von Beweismitteln bleiben bestehen [kein Entschlagungsgrund wegen DSG 2000 § 50a] Neue Bestimmungen (DSG-Novelle 2010) § 50a Abs. 6 (neu): (6) Schutzwürdige Geheimhaltungsinteressen Betroffener sind auch dann nicht verletzt, wenn durch Videoüberwachung aufgezeichnete Daten über eine Verwendung entsprechend den Abs. 2 bis 4 hinaus in folgenden Fällen übermittelt werden: 1. an die zuständige Behörde oder das zuständige Gericht, weil beim Auftraggeber der begründete Verdacht entstanden ist, die Daten könnten eine von Amts wegen zu verfolgende gerichtlich strafbare Handlung dokumentieren, oder 2. an Sicherheitsbehörden zur Ausübung der diesen durch § 53 Abs. 5 des Sicherheitspolizeigesetzes – SPG, BGBl. Nr. 566/1991, eingeräumten Befugnisse, auch wenn sich die Handlung oder der Angriff nicht gegen das überwachte Objekt oder die überwachte Person richtet. Die Befugnisse von Behörden und Gerichten zur Durchsetzung der Herausgabe von Beweismaterial und zur Beweismittelsicherung sowie damit korrespondierende Verpflichtungen des Auftraggebers bleiben unberührt. Erläuternde Bemerkungen (EB) der Regierungsvorlage (RV) zur (DSG-Novelle 2010): § 50a Abs. 6 regelt den Umgang mit so genannten „Zufallstreffern“, wenn also im Rahmen einer Videoüberwachung zufällig relevante Ereignisse aufgezeichnet werden, die außerhalb des Zwecks bzw. der Zulässigkeit nach den Abs. 2 und 3 liegen. Eine Verwertung solcher Aufnahmen aus freier Entscheidung des Auftraggebers ist zum einen nur dann zulässig, wenn bei ihm der begründete (dh durch objektiv nachvollziehbare Tatsachen belegte) Verdacht entstanden ist, die gefilmten Ereignisse könnten im Zusammenhang mit von Amts wegen zu verfolgenden gerichtlich strafbaren Handlungen stehen. Zum anderen ist die Herausgabe von Daten aus einer Videoüberwachung an Sicherheitsbehörden zulässig, wenn diese die Daten gemäß § 53 Abs. 5 SPG verwenden dürfen (zB zur Abwehr eines gefährlichen Angriffs oder zur Personenfahndung). Regelmäßig wird ein derartiger begründeter Verdacht durch einen entsprechenden Hinweis Dritter entstehen. ARGE DATEN ARGE DATEN

35 Videoüberwachung - Verwertungsverbote
DSG Videoüberwachung Videoüberwachung - Verwertungsverbote (DSG 2000 § 50a Abs. 7) - Videodaten dürfen nicht automationsunterstützt mit anderen Bilddaten abgeglichen werden [Verbot von Face- Recognition, unklar: Verbot von Bewegungsanalysen, von Abgleich mit Bedrohungsmustern] - kein systematisches Durchsuchen nach sensiblen Auswahlkriterium [etwa: Hautfarbe, Geschlecht, ...] Neue Bestimmungen (DSG-Novelle 2010) § 50a Abs. 7 (neu): (7) Mit einer Videoüberwachung gewonnene Daten von Betroffenen dürfen nicht automationsunterstützt mit anderen Bilddaten abgeglichen und nicht nach sensiblen Daten als Auswahlkriterium durchsucht werden. Erläuternde Bemerkungen (EB) der Regierungsvorlage (RV) zur (DSG-Novelle 2010): § 50a Abs. 7 verbietet zunächst einen automationsunterstützten Abgleich der durch Videoüberwachung gewonnenen Daten mit anderen Bilddaten. So wird insbesondere eine automationsunterstützte Suche nach „unerwünschten Personen“ ausgeschlossen, welche die Gefahr einer Diskriminierung in sich birgt. Auch eine Suche innerhalb des Videomaterials nach sensiblen Kriterien im Sinn des § 4 Abs. 1 Z 2 (zB Hautfarbe) ist unzulässig. Verstöße gegen diese Bestimmung können nach § 52 Abs. 2 Z 6 geahndet werden. ARGE DATEN ARGE DATEN

36 Videoüberwachung - Regeln zur Verwendung der Daten
DSG Videoüberwachung Videoüberwachung - Regeln zur Verwendung der Daten (DSG 2000 § 50b) - Jede Datenverwendung ist zu protokollieren (Ausnahme Echtzeitüberwachung) (Abs. 1) [Erweiterung der Protokollpflicht des § 14 DSG 2000] [zur Dauer der Aufbewahrung der Protokolldaten wird keine Aussage gemacht, § 14 geht von drei Jahren aus] - nicht dem ursprünglichen Zweck entsprechende Daten sind nach 72 Stunden zu löschen Längere Aufbewahrungszeiten sind auf begründeten Antrag möglich (Abs. 2) Neue Bestimmungen (DSG-Novelle 2010) § 50b (neu): Besondere Protokollierungs- und Löschungspflicht § 50b. (1) Jeder Verwendungsvorgang einer Videoüberwachung ist zu protokollieren. Dies gilt nicht für Fälle der Echtzeitüberwachung. (2) Aufgezeichnete Daten sind, sofern sie nicht aus konkretem Anlass für die Verwirklichung der zu Grunde liegenden Schutz- oder Beweissicherungszwecke oder für Zwecke nach § 50a Abs. 6 benötigt werden, spätestens nach 72 Stunden zu löschen. § 33 Abs. 2 AVG gilt. Eine beabsichtigte längere Aufbewahrungsdauer ist in der Meldung anzuführen und zu begründen. In diesem Fall darf die Datenschutzkommission die Videoüberwachung nur registrieren, wenn dies aus besonderen Gründen zur Zweckerreichung regelmäßig erforderlich ist. ARGE DATEN ARGE DATEN

37 Videoüberwachung - Meldepflicht I
DSG Videoüberwachung Videoüberwachung - Meldepflicht I (DSG 2000 § 50c) Abgestufte Meldepflicht - keine Meldepflicht bei Echtzeitüberwachung, bei Aufzeichnung auf analogem Speichermedium (Abs. 2) [konvertieren würde aber zu Meldepflicht führen!] - keine Meldepflicht bei den sonstigen Ausnahmen nach § 17 Abs. 2 und 3 DSG 2000, insbesondere bei Standardanwendungen SA032 (Abs. 2) - vereinfachte Meldepflicht bei Verschlüsselung der Videodaten und Hinterlegung des Schlüssels bei der DSB (Abs. 1) Neue Bestimmungen (DSG-Novelle 2010) § 50c (neu): Meldepflicht und Registrierungsverfahren § 50c. (1) Videoüberwachungen unterliegen der Meldepflicht gemäß den §§ 17 ff. Sofern der Auftraggeber nicht in der Meldung zusagt, die Videoüberwachungsdaten zu verschlüsseln und unter Hinterlegung des einzigen Schlüssels bei der Datenschutzkommission sicherzustellen, dass eine Auswertung der Videoaufzeichnungen nur im begründeten Anlassfall durch eine bestimmte Stelle stattfindet, unterliegen sie der Vorabkontrolle (§ 18 Abs. 2). Bestimmte Tatsachen im Sinn von § 50a Abs. 4 Z 1 müssen bei Erstattung der Meldung glaubhaft gemacht werden. Soweit gemäß § 96a des Arbeitsverfassungsgesetzes 1974 – ArbVG, BGBl. Nr. 22, Betriebsvereinbarungen abzuschließen sind, sind diese im Registrierungsverfahren vorzulegen. (2) Eine Videoüberwachung ist über § 17 Abs. 2 und 3 hinaus von der Meldepflicht ausgenommen 1. in Fällen der Echtzeitüberwachung oder 2. wenn eine Speicherung (Aufzeichnung) nur auf einem analogen Speichermedium erfolgt. (3) Mehrere überwachte Objekte oder überwachte Personen, für deren Videoüberwachung derselbe Auftraggeber eine gesetzliche Zuständigkeit oder rechtliche Befugnis (§ 7 Abs. 1) hat, können auf Grund ihrer gleichartigen Beschaffenheit oder ihrer räumlichen Verbundenheit in einer Meldung zusammengefasst werden, wenn sich diese auf die gleiche Rechtsgrundlage stützt. ARGE DATEN ARGE DATEN

38 Videoüberwachung - Meldepflicht II
DSG Videoüberwachung Videoüberwachung - Meldepflicht II (DSG 2000 § 50c) - alle anderen Fälle unterliegen der Vorabkontrolle (Abs. 2) Mehrere gleichartige Standorte und Überwachungsgründe können in einer Meldung zusammen gefasst werden (Abs.3) - ARGE DATEN ARGE DATEN

39 Videoüberwachung - Kennzeichnungspflicht
DSG Videoüberwachung Videoüberwachung - Kennzeichnungspflicht (DSG 2000 § 50d) - jede Videoüberwachung ist zu kennzeichnen (Abs. 1) [umfasst auch nicht registrierungspflichtige] - der Auftraggeber muss aus der Kennzeichnung eindeutig erkennbar sein, es sei denn er ist dem Betroffenen bereits bekannt (Abs. 1) - Kennzeichnung muss so erfolgen, dass potentiell Betroffene der Überwachung ausweichen können (Abs. 1) - keine Kennzeichnungspflicht beim Vollzug hoheitlicher Aufgaben, die unter die Ausnahmen nach § 17 Abs. 3 DSG 2000 fallen (Abs. 2) [Keine sonstige Ausnahme von der Kennzeichnung für Private (etwa zur verdeckten Observation)] Geänderte Bestimmungen (DSG-Novelle 2010) § 50d (neu): Information durch Kennzeichnung § 50d. (1) Der Auftraggeber einer Videoüberwachung hat diese geeignet zu kennzeichnen. Aus der Kennzeichnung hat jedenfalls der Auftraggeber eindeutig hervorzugehen, es sei denn, dieser ist den Betroffenen nach den Umständen des Falles bereits bekannt. Die Kennzeichnung hat örtlich derart zu erfolgen, dass jeder potentiell Betroffene, der sich einem überwachten Objekt oder einer überwachten Person nähert, tunlichst die Möglichkeit hat, der Videoüberwachung auszuweichen. (2) Keine Kennzeichnungsverpflichtung besteht bei Videoüberwachungen im Rahmen der Vollziehung hoheitlicher Aufgaben, die nach § 17 Abs. 3 von der Meldepflicht ausgenommen sind. ARGE DATEN ARGE DATEN

40 Was ist ein Informationsverbundsystem (IVS)? (§ 50)
DSG Spezialregelungen Was ist ein Informationsverbundsystem (IVS)? (§ 50) gemeinsame Verwendung von Daten in einer DA durch mehrere [österreichische] Auftraggeber geeigneter Betreiber ist zu bestellen Betreiber ist zwecks Eintrag im DVR zu melden Betreiber hat Auskünfte über Auftraggeber zu geben (12 Wochenfrist!) es können weitere Auftraggeberpflichten an den Betreiber abgetreten werden Meldepflichten des Informationsverbundsystems können an Betreiber formlos übertragen werden (Abs. 2) Erleichterungen der Meldung zusätzlicher Teilnehmer an Informationsverbundsystem: es genügt Verweis auf andere Meldung (Abs. 2a) Stand lt. DVR-Online: 133 Anwendungen gemeldet, davon ca. 80% aus dem öffentlich-rechtlichen Bereich, 20% private Suche im Online-DVR: https://dvr.dsk.gv.at/at.gv.bka.dvr.public/IVSRecherche.aspx Spezialregelung, die in Hinblick auf folgende Fälle/Beispiele geschaffen wurde: - Kreditschutzevidenzen, gemeinsame Versicherungsevidenzen - Reiseveranstaltungs- und Reservierungssysteme - Gesundheitsverbund - gemeinsame Mitarbeiter- oder Lieferantenverwaltung - Bewerberdatenbank, Besucher - Branchenwünsche: Warndatei der Versandunternehmen, Telekom-Unternehmen öffentlich-rechtliche Beispiele: - Zentrales Waffenregister (BMI)‏ - Europol Informationssystem (Europol)‏ - Vollzugsverwaltung der Justizanstalten (BMJ)‏ - Informationsstelle im Katastrophenfall (MAG Wien)‏ - Missbrauchsopferdatenbank (Land OÖ)‏ - Tiroler Sozialverwaltung (Land Tirol)‏ privat-rechtliche Beispiele: - Kreditschutzverband von 1870 und Dataline Datenverarbeitungs GmbH: Warnliste der österreichischen Kreditinstitute zum Zweck des Gläubigerschutzes - Reed Messe Salzburg GmbH: Ausstellerdatenbank PRISM, Besucherdatenbank - Siemens AG (CP RS ) (Deutschland ): International Development Database ('IDD'), Mr. Ted (Bearbeitung von Bewerbungen)‏ - Verband der Versicherungsunternehmen Österreichs: Kraftfahrzeug- Zulassungsevidenz ARGE DATEN ARGE DATEN

41 Registrierung von Warndateien bei Banken
DSG Spezialregelungen Registrierung von Warndateien bei Banken DSK K /021-DSK/2001 erging ursprünglich an vier Banken "Musterbescheid" Genehmigung mit Auflagen erteilt I Eintragung von Kunden nur zulässig bei - vertragswidrig ausgestellten Schecks - vertragswidrig genutzter Bankomat- oder Kreditkarte - Aufkündigung einer Kontoverbindung + - Fälligstellung eines Kredits + - Einleitung der Rechtsverfolgung + + Forderung übersteigt EUR Informationspflicht des Betroffenen VOR Eintragung Grund der Warneintragung ist Betroffenen bekannt zu geben - ARGE DATEN ARGE DATEN

42 Registrierung von Warndateien bei Banken
DSG Spezialregelungen Registrierung von Warndateien bei Banken Genehmigung mit Auflagen erteilt II Bekanntgabe der Durchsetzung der Betroffenenrechte unverzügliche Eintragung begründeter Bestreitung der Forderung ist vorzusehen vollständige Bezahlung der Forderung ist unverzüglich einzutragen bei unbegründeter Forderung ist unverzügliche Löschung vorzunehmen Löschung nach 3 Jahren nach vollständiger Bezahlung der Schuld, ansonsten nach 7 Jahren nach Tilgung der Schuld Überprüfung der Richtigkeit muss mindestens einmal jährlich erfolgen Analog DSK-Bescheid K /0002-DVR/2007 zur Konsumentenkreditevidenz (KKE) Auflagen im Rahmen der Konsumentenkreditevidenz (KKE) (DSK K /0002-DVR/2007) - Zweck der Liste: nicht zwangsläufig negativ, sondern Information über den Kreditstatus einer Person - Bagatellgrenze: Eintrag erst ab Kredithöhe von 300 Euro - Informationspflicht vor Eintragung: .) dass einer der Gründe vorliegt, die zu einer Eintragung in die KKE führen .) Zweck und Auftraggeber der Datenanwendung .) Empfängerkreis .) mögliche Rechtsbehelfe - Aktualisierungspflicht: Datensätze in der KKE, die sich auf einen Zahlungsanstand beziehen, mindestens einmal jährlich, alle anderen Datensätze spätestens alle drei Jahre auf ihre Richtigkeit und Aktualität überprüft werden - Beschränkung des Empfängerkreises: Kreditinstitute, kreditgewährende Versicherungsunternehmen und Leasinggesellschaften mit Sitz in einem Mitgliedstaat des europäischen Wirtschaftsraums (EWR) - Löschungsverpflichtung: .) unberechtigte Einträge sind unverzüglich zu löschen .) Ablehnungen von Kreditanträgen sind nach sechs Monaten zu löschen .) zurück gezahlte Kredite ohne Zahlungsanstand: 90 Tage nach Zahlung der letzten Rate .) bei Zahlungsanständen bei der Rückzahlung: fünf Jahre nach vollständiger Zurückzahlung des Kredites .) bei Tilgung oder sonstigen schuldenbefreienden Ereignissen (etwa Konkurs- /Ausgleichsverfahren): sieben Jahre nach dem "schuldenbefreienden Ereignis" ARGE DATEN ARGE DATEN

43 Verwendung von Daten für Wissenschaft und Forschung (§ 46)
DSG Spezialregelungen Verwendung von Daten für Wissenschaft und Forschung (§ 46) - Verwendung im Sinne dieser Bestimmung liegt vor, wenn Ergebnisse nicht personenbezogen sind - effektive Anonymisierung so bald als möglich notwendig, "Pseudonymisierung/Codierung" nicht ausreichend Folgende Daten dürfen verwendet werden: - öffentlich zugängliche Daten (Abs. 1 Z 1) - Daten, die der Auftraggeber zu anderen Zwecken ermittelt hat (Abs. 1 Z 2) - indirekt personenbezogene Daten (Abs. 1 Z 3) - gemäss gesetzlicher Vorschriften (Abs. 2 Z 1) - mit Zustimmung des Betroffenen (Abs. 2 Z 2) - Weitere Verwendungsmöglichkeit mit Genehmigung der DSB (Abs. 2 Z 3) DA's für wissenschaftliche und statistische Zwecke liegen dann vor, wenn die Ergebnisse nicht personenbezogen sind (Abs. 1)‏ Genehmigung durch DSB (Abs. 2 Z 3) , wenn folgende Bestimmungen gemeinsam zutreffen: + Einholung der Zustimmung des Betroffenen unmöglich/unwirtschaftlich und + öffentliches Interesse der Verwendung ist gegeben und + fachliche Eignung des Antragstellers ist gegeben Es dürfen auch sensible Daten verwendet werden (!)‏ - wichtiges öffentliches Interesse der Verwendung ist gegeben und - verwendende Personen unterliegen gesetzlicher Verschwiegenheitspflicht Sonstige rechtliche Verwendungsbeschränkungen, wie etwa urheberrechtliche Beschränkungen können durch eine Genehmigung der DSB nicht aufgehoben werden. Auch bei berechtigter wissenschaftlicher/statistischer Verarbeitung muss der Personenbezug ab dem Zeitpunkt entfernt werden, ab dem dieser nicht mehr für die Verarbeitung notwendig ist. ARGE DATEN ARGE DATEN

44 Verwendung von Daten für Wissenschaft und Forschung (§ 46) II
DSG Spezialregelungen Verwendung von Daten für Wissenschaft und Forschung (§ 46) II DSK K /002-DSK/2001 ("öffentliches Interesse") von öffentlicher Hand geförderte Forschung liegt immer im öffentlichen Interesse DSK K /003-DSK/2003 ("Leiharbeit und Neue Selbständige") Verwendung von Personendaten (inkl. SV-Nummer) aus SVA, dem HV, den Gebietskrankenkassen und dem BMWA nach Vorlage eines Verwendungskonzepts genehmigt DSK K /006-DSK/2003 ("Suizidforschung") Die Verwendung der Daten Verstorbener fällt nicht in den Genehmigungsbereich der DSK/DSB DSK , K /002-DSK/2001: "Das öffentliche Interesse an der Durchführung eines Forschungsauftrages kann durch die Förderung durch Stellen des Bundes, eines Landes und einer Gemeinde als gegeben angenommen werden." (RIS)‏ DSK , K /003-DSK/2003: "Die Datenschutzkommission erteilt gemäß § 46 Abs 3 Datenschutzgesetz 2000, BGBl I Nr. 165/1999 idF BGBl I 136/2001 (DSG 2000), die Genehmigung zur Verwendung personenbezogener Daten des Hauptverbands der Sozialversicherungsträger der gewerblichen Wirtschaft ( in der Folge: SVA) und der Gebietskrankenkassen für Zwecke der wissenschaftllichen Forschung und Statistik nach Maßgabe der folgenden Bedingungen und Auflagen: 1) Die Verwendung ist nur für Zwecke der Durchführung der sozialwissenschaftlichen Grundlagenstudie mit dem Titel 'Leiharbeit und neue selbständige in Österreich' in Auftrag gegeben vom Bundesministerium für Wirtschaft und Arbeit (in der Folge: BMWA) zulässig..... 5) Die vorliegende Genehmigung zur Datenverwendung umfasst nicht die allfällige Übermittlung einschließlich der Veröffentlichung von Forschungsergebnissen in personenbezogener Form; dies gilt auch für die Übermittlung solcher Daten an den zivilrechtlichen Auftraggeber des gegenständlichen Forschungsprojekts. Eine derartige Verwendung von Daten ist nur zulässig, wenn sie im konkreten Einzelfall den Bestimmungen des 2. Abschnitts des DSG entspricht. Die Übermittlung der verwendeten Daten in personenbezogener Form allein auf der Grundlage einer allfälligen vertraglichen Vereinbarung mit dem zivilrechtlichen Auftragsgeber des Forschungsprojekts ist nicht zulässig.."(RIS)‏ DSK K /3-DSK/00: "Die Durchführung von Forschungen zum Thema der Zwangsarbeit in der NS-Zeit liegt in einem wichtigen öffentlichen Interesse, insbesondere da die Erforschung und objektive Aufarbeitung der NS-Vergangenheit dem Ansehen Österreichs in der Welt nützlich sein wird." (RIS)‏ ARGE DATEN ARGE DATEN

45 Anonymisierung von Daten
DVR-Meldung SV-Hauptverband /021 ("Befundblätter der Vorsorgeuntersuchung VU") Ausgangslage - Im Zuge der Vorsorgeuntersuchungen werden Befunddaten personenbezogen an den Hauptverband der Sozialversicherungen übermittelt (manuell/elektronisch) - Rechtsgrundlage sind diverse Bestimmungen des ASVG, GSVG, interne Richtlinien des HV - Befunddaten sind sensible Daten im Sinne des DSG 2000 - VU-Daten werden zur Abrechnung und zur Evaluation der Vorsorgeuntersuchungen verwendet (zwei verschiedene Zwecke) - Bestimmungen sehen jährliche Statistiken vor, § 31 Abs. 4 Z 10 ASVG bestimmt HV als Pseudonymisierungsstelle ("Dienstleister") - eine personenbezogene Speicherung der Befunddaten lässt sich aus den ASVG-Bestimmungen (+ verwandte) nicht ableiten - Qualitätskriterien zur Anonymisierung werden nicht vorgegeben - ARGE DATEN

46 Anonymisierung von Daten
DVR-Meldung SV-Hauptverband /021 ("Befundblätter der Vorsorgeuntersuchung VU") II Probleme - die Verrechnung erfolgt durch die zuständige SV (z.B. WGKK /013 KOSTENABRECHNUNG IM LEISTUNGSWESEN) Daten sind beim HV eigentlich am "falschen" Ort - Verrechnungsdaten werden personenbezogen an SV übermittelt - auch das Ermitteln von Befunddaten zum Zweck der Pseudonymisierung ist eine Datenanwendung iS des DSG 2000 - HV sieht sich anfänglich bloß als Dienstleister der Ärzte (Durchführen der Pseudonymisierung) und der SV (Aufbereiten der Abrechnungsdaten) - HV sah daher keine Meldeverpflichtung - Meldung wurde "verspätet" 12/2005 eingebracht und 5/2006 mit Auflagen genehmigt - ARGE DATEN

47 Anonymisierung von Daten
DVR-Meldung SV-Hauptverband /021 ("Befundblätter der Vorsorgeuntersuchung VU") III Entscheidung DSK - genehmigt Datenanwendung mit Auflagen - Befunddaten zum Zweck der Verrechnung dürfen nur maximal ein Monat nach Einlangen personenbezogen gespeichert werden - Löschung muss nach einem Monat automatisiert erfolgen - die sonstigen Daten der Vorsorgeuntersuchung dürfen nur pseudonymisiert beim HV verwendet werden (etwa für statistische Auswertungen) - es wird sichere Aufbewahrung verlangt ("vor dem Zugriff Unbefugter sicher geschützt") Konsequenzen - Verbot der personenbezogenen Verwendung der Daten macht aus den "pseudonymen" Daten für HV indirekt personenbezogene Daten - HV hat 2013 weitere Pseudonymisierungsverarbeitungen gemeldet - generell gilt: auch pseudonymisierte Datenanwendungen fallen für "Pseudonymisierer" unter die Meldebestimmungen des DSG 2000 - ARGE DATEN

48 ARGE DATEN ARGE DATEN DSG 2000 - Spezialregelungen
Sonderbestimmungen zu Adressenverlagen / Werbung - § 151 GewO1994 ("Listenprivileg" der Adressenverlage) - § 107 TKG 2003 (Werbeverbot Telefon/Fax/ /SMS) GewO-Bestimmung ist Weitergabeermächtigung - Inhaber von Kunden/Interessentenlisten dürfen nur bestimmte Daten ohne Zustimmung des Betroffenen weitergeben - auf Widerspruchsmöglichkeit muss hingewiesen werden - zulässige Datenarten: Namen, Geschlecht, Titel, akademischer Grad, Anschrift, Geburtsdatum, Berufs-, Branchen- oder Geschäftsbezeichnung, Zugehörigkeit zu Kunden-/Interessentendatei - gesetzliche Sperrliste ("Robinsonliste") ist von Adressverlagen zu beachten! - Löschungsanspruch gegenüber gewerblichen Adressenverlagen! Zugehörigkeitsinformation - enthält die eigentlich marketingrelavante Information - es handelt sich um eine unbestimmte Formulierung, die von den Unternehmen großzügig interpretiert wird. - durch geeignete Gliederung können leicht Interessensprofile erstellt werden Beachtung des Widerspruchshinweises: In einer Studie wurden 2004 Datenschutzerklärungen von eCommerce- WebSites untersucht: - 69 (2%) hatten korrekten Hinweis, - 890 (23%) gaben bekannt, keine Daten weiter zu geben (75%!!) brachten keinen Widerspruchshinweis Wie kommen Adressverlage zu den Daten? - Analyse der Warenkörbe (bei Einkäufen mit Kundenkarten): Modeartikel, Kindernahrung, Hygieneartikel, ... - Vergleichsanalyse bestimmter Regionen/Orte, geht bis Häuserblockebene - Reaktion der Betroffenen auf bisherige Direktmail-Zusendungen - Kombination in welchen Geschäften Person einkauft ARGE DATEN ARGE DATEN

49 Unerbetene Nachrichten
TKG Datenschutzbestimmungen Unerbetene Nachrichten Kommunikations-Datenschutzrichtlinie 2002/58/EG Art.13 - RL sieht Opt-In bei Werbung vor - umfasst automatische Anrufsysteme ohne menschlichen Eingriff (automatische Anrufmaschinen), Faxgeräte, elektronische Post - Ausnahme bei Kunden zur Bewerbung ähnlicher Produkte - trifft keine Aussage zu -Massensendungen oder "normalen" Telefonanrufen Komplexe Regelung in TKG 2003 § 107 - sieht ebenfalls Opt-In für Werbung vor - umfasst alle Telefonanrufe, Faxgeräte, elektronische Post inkl. SMS - Ausnahme bei Kunden zur Bewerbung ähnlicher Produkte, jedoch ist Sperrliste (gem. § 7 Abs. 2 ECG) zu beachten - bei elektronischer Post & SMS zusätzlich jede Massensendungen verboten - zulässig unerbetene Anrufe/Fax zu anderen Zwecken, etwa Meinungsbefragung Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) - Artikel 13 Unerbetene Nachrichten (1) Die Verwendung von automatischen Anrufsystemen ohne menschlichen Eingriff (automatische Anrufmaschinen), Faxgeräten oder elektronischer Post für die Zwecke der Direktwerbung darf nur bei vorheriger Einwilligung der Teilnehmer gestattet werden. (2) Ungeachtet des Absatzes 1 kann eine natürliche oder juristische Person, wenn sie von ihren Kunden im Zusammenhang mit dem Verkauf eines Produkts oder einer Dienstleistung gemäß der Richtlinie 95/46/EG deren elektronische Kontaktinformationen für elektronische Post erhalten hat, diese zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen verwenden, sofern die Kunden klar und deutlich die Möglichkeit erhalten, eine solche Nutzung ihrer elektronischen Kontaktinformationen bei deren Erhebung und bei jeder Übertragung gebührenfrei und problemlos abzulehnen, wenn der Kunde diese Nutzung nicht von vornherein abgelehnt hat. ARGE DATEN

50 Regelung gilt für alle, nicht nur Betreiber!
TKG Datenschutzbestimmungen Unerbetene Nachrichten II Regelung in TKG 2003 § 107 - Identität des Absenders muss offen gelegt werden - Möglichkeit zur Einstellung der Zusendungen muss angeboten werden - bei erlaubten Werbeanrufen, darf Anrufnummer weder unterdrückt, noch verfälscht sein, ECG-Bestimmungen nicht verletzt werden, nicht zum Besuch ECG-widriger Webseiten aufgefordert werden - Anzeigemöglichkeit bei unerbetenen Nachrichten bei Fernmeldebüros (Verwaltungsstrafe bis Euro bei Spam, bei Anrufen), (2011) 344 Anzeigen, 59 (35) Strafverfahren, Strafe Schnitt 196 (71) Euro - Ort der "Tatbegehung" ist bei inländischen "Tätern" Sitz des Täters, bei anderen, der Ort an dem die Nachricht den Teilnehmer erreicht Sonstige Maßnahmen gegen Spam - anwaltliche Abmahnungen: Unterlassungsanspruch - Spamfilter, Blocking-Listen und andere technische Maßnahmen: jedoch! Gefahr des Eingriffs in Kommunikation § 107. (1) Anrufe - einschließlich das Senden von Fernkopien - zu Werbezwecken ohne vorherige Einwilligung des Teilnehmers sind unzulässig. Der Einwilligung des Teilnehmers steht die Einwilligung einer Person, die vom Teilnehmer zur Benützung seines Anschlusses ermächtigt wurde, gleich. Die erteilte Einwilligung kann jederzeit widerrufen werden; der Widerruf der Einwilligung hat auf ein Vertragsverhältnis mit dem Adressaten der Einwilligung keinen Einfluss. (1a) Bei Telefonanrufen zu Werbezwecken darf die Rufnummernanzeige durch den Anrufer nicht unterdrückt oder verfälscht werden und der Diensteanbieter nicht veranlasst werden, diese zu unterdrücken oder zu verfälschen. (2) Die Zusendung einer elektronischen Post – einschließlich SMS – ist ohne vorherige Einwilligung des Empfängers unzulässig, wenn 1. die Zusendung zu Zwecken der Direktwerbung erfolgt oder 2. an mehr als 50 Empfänger gerichtet ist. (3) Eine vorherige Zustimmung für die Zusendung elektronischer Post gemäß Abs. 2 ist dann nicht notwendig, wenn 1. der Absender die Kontaktinformation für die Nachricht im Zusammenhang mit dem Verkauf oder einer Dienstleistung an seine Kunden erhalten hat und 2. diese Nachricht zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen erfolgt und 3. der Empfänger klar und deutlich die Möglichkeit erhalten hat, eine solche Nutzung der elektronischen Kontaktinformation bei deren Erhebung und zusätzlich bei jeder Übertragung kostenfrei und problemlos abzulehnen und 4. der Empfänger die Zusendung nicht von vornherein, insbesondere nicht durch Eintragung in die in § 7 Abs. 2 E-Commerce-Gesetz genannte Liste, abgelehnt hat. (4) (Anm.: aufgehoben durch BGBl. I Nr. 133/2005) (5) Die Zusendung elektronischer Post zu Zwecken der Direktwerbung ist jedenfalls unzulässig, wenn 1. die Identität des Absenders, in dessen Auftrag die Nachricht übermittelt wird, verschleiert oder verheimlicht wird, oder 2. die Bestimmungen des § 6 Abs. 1 E-Commerce-Gesetz verletzt werden, oder 3. der Empfänger aufgefordert wird, Websites zu besuchen, die gegen die genannte Bestimmung verstoßen oder 4. keine authentische Adresse vorhanden ist, an die der Empfänger eine Aufforderung zur Einstellung solcher Nachrichten richten kann. (6) Wurden Verwaltungsübertretungen nach Absatz 1, 2 oder 5 nicht im Inland begangen, gelten sie als an jenem Ort begangen, an dem die unerbetene Nachricht den Anschluss des Teilnehmers erreicht. Regelung gilt für alle, nicht nur Betreiber! ARGE DATEN

51 Was ist eigentlich Tracking?
Internet-Tracking in Österreich Was ist eigentlich Tracking? Der Begriff Tracking umfasst alle Bearbeitungsschritte, die der gleichzeitigen Verfolgung von (bewegten) Objekten dienen. ... Ziel dieser Verfolgung ist meist das Abbilden der beobachteten tatsächlichen Bewegung zur technischen Verwendung. Solche Verwendung kann das Zusammenführen des getrackten Objektes mit einem nachfolgenden Objekt sein. Solche Verwendung kann aber auch schlichter die jeweilige Kenntnis des momentanen Ortes des getrackten Objektes sein. (wikipedia, ) Personen der getrackten Person sein. der getrackten Person der tatsächlichen Identität des getrackten Objektes sein. bekannten Informationen sein. Solche Verhaltens des Verwertung. Verwertung Identifizieren - Kombinieren - Verwerten sind offensichtlich die Ziele von Tracking - statt "Objekt" setzen wir "Person" ein ARGE DATEN ARGE DATEN

52 Welche Internet-Tracking-Formen kennen wir?
Internet-Tracking in Österreich Welche Internet-Tracking-Formen kennen wir? Cookies  bekannt, leicht zu unterbinden, schwach IP-Adresse  bekannt, oft irreführend (z.B. Internet-Cafes) MAC-Adressen  weniger bekannt, leicht zu manipulieren gut verwertbar Zählpixel  bekannt, vom Benutzer kaum abwehrbar, gut verwertbar Skripts, Plugins  bekannt, theoretisch leicht zu unterbinden, in der Praxis funktioniert dann "nichts" mehr, sehr effektiv Browser Toolbar  bewährt, erfordert Aktion des Benutzers, kann meist unauffällig installiert werden, extrem effektiv, wird nicht manipuliert - persönliche Anmeldung  bewährt, erfordert jedoch schon Vertrags- oder zumindest Vertrauensbeziehung, sehr effektiv, letzte Stufe des Tracking ARGE DATEN ARGE DATEN

53 Welche Internet-Tracking-Formen kennen wir? II
Internet-Tracking in Österreich Welche Internet-Tracking-Formen kennen wir? II Geräte-Signatur  bekannt, faktisch nicht manipulierbar, gut verwertbar und sehr effektiv Browserfont  weniger bekannt, nicht manipulierbar, sehr gut verwertbar und sehr effektiv Der perfekte Tracker wird immer eine Kombination aller Techniken einsetzen! - ARGE DATEN ARGE DATEN

54 Datenschutzfragen Internettechniken
Cookie-Verwendung Privacy-Gefährdungspotentiale - gemeinsame Nutzung des Computers durch mehrere Personen (etwa wenn Passwörter oder persönliche Angaben in Coockies hinterlegt werden) - Ausspähen von Interessensprofilen - Einsatz von Cookie-Servern / Cookies in Werbebannern - Verwendung über Servergrenzen hinweg 2002/58/EG (Kommunikations-Datenschutzrichtlinie) - Cookies sind grundsätzlich zulässig (EG 25) - dürfen nicht überrumpelnd eingesetzt werden - Bei Übergang auf Seiten mit Cookies ist das anzuzeigen - Verwendung von Cookies schon auf der "Homepage" wäre unzulässig Allgemeine Sicherheitsinfos zu Browsern: Die Seite erlaubt es die jeweils aktuellen Sicherheitslücken gängiger Browser am eigenen Gerät zu testen. ARGE DATEN

55 Zwei Typen von Tracking
(a) Website-Betreiber versucht Benutzerverhalten zu erkennen, zu steuern und zu optimieren (b) Tracking-Betreiber versuchen Benutzerverhalten über viele Webseiten hinweg zu erkennen, zu steuern und für die Interessen ihrer Auftraggeber zu optimieren - ARGE DATEN

56 - ARGE DATEN ARGE DATEN

57 Wer nutzt in Österreich Tracking?
Internet-Tracking in Österreich Wer nutzt in Österreich Tracking? Socialmedia Studie 2012 - "Datenschutzkonformer Einsatz von Facebook LikeIt, Google Analytics & Co" - Anlass waren neue ePrivacy-Bestimmungen der EU und in Österreich - damals die Webseiten von etwa österreichischen Einrichtungen analysiert - 2014 wurde Tracking-Analyse aktualisiert - Websites von über Organisationen/Privaten berücksichtigt - Schwerpunkt der Analyse waren Behörden, öffentliche Einrichtungen, Gesundheitseinrichtungen, "wichtige" Unternehmen (Branchenführer, besonders große Unternehmen, börsenotierte Unternehmen), Parteien - Methode: Analyse der in einer Website eingebetteten Dritt-URLs - ARGE DATEN ARGE DATEN

58 Internet-Tracking in Österreich
ARGE DATEN

59 Internet-Tracking in Österreich
ARGE DATEN

60 Internet-Tracking in Österreich
ARGE DATEN

61 Internet-Tracking in Österreich
ARGE DATEN

62 Internet-Tracking in Österreich
ARGE DATEN

63   ARGE DATEN Internet-Tracking in Österreich
Aufruf von Websites mit Facebook Like Plugin nachdem die Facebook-Website aufgerufen wurde aber keine Registrierung erfolgte (kein Klick auf das Plugin): Websites mit Facebook Like Plugin: ID: dTrGTwDiSl75GjJ73KORYiR1 Facebook.com Websiteaufrufe automatische Mitaufrufe – einzigartige ID wird jedesmal übermittelt in Computer des Nutzers gespeichert: ID: dTrGTwDiSl75GjJ73KORYiR1 xxxx.xxxx.xx Schwangerschaftsnetz.tld Glaubensgemeinschaft.tld PolitischePartei.tld - ARGE DATEN

64 Wunsch oder Möglichkeit der Identifizierung einer Person reicht
Internet-Tracking in Österreich Rechtlicher Rahmen? Verwendet Tracking personenbezogene Daten? DSG 2000 § 4 Z 1 "Daten" ("personenbezogene Daten") "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" Wer sind Betroffener? DSG 2000 § 4 Z 3 "Betroffener" "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" Datenbegriff sehr allgemein gehalten, umfasst auch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. IP-Adressen, Cookies, jede Art von Tracking-Daten, ...) Wunsch oder Möglichkeit der Identifizierung einer Person reicht Datenbegriff sehr allgemein gehalten: in D und LUX spezielle Datenschutz-Regelungen für Bild- und Tondaten (EU-Bericht Umsetzung DS-Richtlinie, 2003)‏, in Ö nunmehr auch zur Videoüberwachung DSG2000 § 4 Z 1 "Daten" "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; "nur indirekt personenbezogen" sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann." DSK K /16-DSK/00 "Daten betreffend Verwandtschaftsverhältnisse und Wohnungsnutzung gehören zur Privatsphäre des einzelnen. Insbesondere Angaben über Verwandtschaftsverhältnisse gehören schon zu einem sehr intimen und höchstpersönlichen Lebensbereich und bilden wegen möglicher Schlussfolgerungen auf 'rassische und ethnische Herkunft' einer Person geradezu einen Grenzfall zum besonders schutzwürdigen Bereich der sensiblen Daten" (RIS)‏ DSG2000 § 4 Z 3 "Betroffener" Unter Personengemeinschaft wären unter anderem Familien, Bürgerinitiativen, Betriebsräte, Wohngemeinschaften oder Hausgemeinschaften zu verstehen ARGE DATEN

65 ARGE DATEN Internet-Tracking in Österreich
Kommunikationsgeheimnis (§ 93 TKG 2003) schützt Inhaltsdaten, Verkehrsdaten und Standortdaten, inklusive erfolgloser Verbindungsversuche [Stammdaten im Rahmen des DSG 2000 geschützt] Verpflichtet Betreiber und deren Personal zur Geheimhaltung: gerichtliche Strafandrohung (§ 108 TKG 2003) Mithören, Abfangen, Aufzeichnung oder sonstige Überwachen von Nachrichten durch andere als die Benutzer ist unzulässig (Zustimmung aller Beteiligten erforderlich), zufällig aufgenommene Nachrichten müssen gelöscht werden, gilt für alle "Anwender" (Abs. 4) Ausnahmen (Abs. 3): - Rückverfolgung von Notrufen - Aufzeichnungen im Rahmen einer Fangschaltung - Überwachung, Auskunftserteilung bei Nachrichtenübermittlung (inkl. Vorratsdaten) - wenn technisch für Diensterbringung erforderlich (z.B. Mailbox) § 93. (1) Dem Kommunikationsgeheimnis unterliegen die Inhaltsdaten, die Verkehrsdaten und die Standortdaten. Das Kommunikationsgeheimnis erstreckt sich auch auf die Daten erfolgloser Verbindungsversuche. (2) Zur Wahrung des Kommunikationsgeheimnisses ist jeder Betreiber eines öffentlichen Kommunikationsnetzes oder –dienstes und alle Personen, die an der Tätigkeit des Betreibers mitwirken, verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist. (3) Das Mithören, Abhören, Aufzeichnen, Abfangen oder sonstige Überwachen von Nachrichten und der damit verbundenen Verkehrs- und Standortdaten sowie die Weitergabe von Informationen darüber durch andere Personen als einen Benutzer ohne Einwilligung aller beteiligten Benutzer ist unzulässig. Dies gilt nicht für die Aufzeichnung und Rückverfolgung von Telefongesprächen im Rahmen der Entgegennahme von Notrufen und die Fälle der Fangschaltung, der Überwachung von Nachrichten und der Auskunft über Daten einer Nachrichtenübermittlung einschließlich Vorratsdaten sowie für eine technische Speicherung, die für die Weiterleitung einer Nachricht erforderlich ist. (4) Werden mittels einer Funkanlage, einer Telekommunikationsendeinrichtung oder mittels einer sonstigen technischen Einrichtung Nachrichten unbeabsichtigt empfangen, die für diese Funkanlage, diese Telekommunikationsendeinrichtung oder den Anwender der sonstigen Einrichtung nicht bestimmt sind, so dürfen der Inhalt der Nachrichten sowie die Tatsache ihres Empfanges weder aufgezeichnet noch Unbefugten mitgeteilt oder für irgendwelche Zwecke verwertet werden. Aufgezeichnete Nachrichten sind zu löschen oder auf andere Art zu vernichten. (5) Das Redaktionsgeheimnis (§ 31 Mediengesetz) sowie sonstige, in anderen Bundesgesetzen normierte Geheimhaltungsverpflichtungen sind nach Maßgabe des Schutzes der geistlichen Amtsverschwiegenheit und von Berufsgeheimnissen sowie das Verbot deren Umgehung gemäß §§ 144 und 157 Abs. 2 StPO zu beachten. Den Anbieter trifft keine entsprechende Prüfpflicht. ARGE DATEN

66 Datenschutz-Grundsätze (§ 96 TKG 2003)
Internet-Tracking in Österreich Datenschutz-Grundsätze (§ 96 TKG 2003) Verwendung der Daten nur für Zwecke der Besorgung eines Kommunikationsdienstes (Abs. 1) Übermittlung (Abs. 2) nur, wenn - notwendig für Diensterbringung oder - mit Zustimmung des Betroffenen für Vermarktungszwecke oder Dienste mit Zusatznutzen (jederzeit widerrufbar) Löschung (Abs. 2) der Daten sobald wie möglich z. B.: Verkehrsdaten sind zu löschen, wenn für Dienst oder Abrechnung nicht mehr erforderlich nähere Regelung der Datenverwendung in AGB möglich § 96. (1) Stammdaten, Verkehrsdaten, Standortdaten und Inhaltsdaten dürfen nur für Zwecke der Besorgung eines Kommunikationsdienstes ermittelt oder verarbeitet werden. (2) Die Übermittlung von im Abs. 1 genannten Daten darf nur erfolgen, soweit das für die Erbringung jenes Kommunikationsdienstes, für den diese Daten ermittelt und verarbeitet worden sind, durch den Betreiber eines öffentlichen Kommunikationsdienstes erforderlich ist. Die Verwendung der Daten zum Zweck der Vermarktung von Kommunikationsdiensten oder der Bereitstellung von Diensten mit Zusatznutzen sowie sonstige Übermittlungen dürfen nur auf Grund einer jederzeit widerrufbaren Zustimmung der Betroffenen erfolgen. Diese Verwendung ist auf das erforderliche Maß und den zur Vermarktung erforderlichen Zeitraum zu beschränken. Betreiber öffentlicher Kommunikationsdienste dürfen die Bereitstellung ihrer Dienste nicht von einer solchen Zustimmung abhängig machen. (3) Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft im Sinne des § 3 Z 1 E-Commerce-Gesetz, BGBl. I Nr. 152/2001, sind verpflichtet, den Teilnehmer oder Benutzer darüber zu informieren, welche personenbezogenen Daten er ermitteln, verarbeiten und übermitteln wird, auf welcher Rechtsgrundlage und für welche Zwecke dies erfolgt und für wie lange die Daten gespeichert werden. Eine Ermittlung dieser Daten ist nur zulässig, wenn der Teilnehmer oder Nutzer seine Einwilligung dazu erteilt hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann. Der Teilnehmer ist auch über die Nutzungsmöglichkeiten auf Grund der in elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen zu informieren. Diese Information hat in geeigneter Form, insbesondere im Rahmen Allgemeiner Geschäftsbedingungen und spätestens bei Beginn der Rechtsbeziehungen zu erfolgen. Das Auskunftsrecht nach dem Datenschutzgesetz bleibt unberührt. ARGE DATEN

67 Datenschutz-Grundsätze (§ 96 TKG 2003) II
Internet-Tracking in Österreich Datenschutz-Grundsätze (§ 96 TKG 2003) II Erweiterte Informations- und Zustimmungsverpflichtungen bei Diensterbringung (gelten für Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellschaft (siehe ECG) (Abs. 3) Informationspflichten: - welche personenbezogene Daten Betreiber/Anbieter ermittelt, verarbeitet und übermittelt (betrifft auch Standort-/Geo-Daten) - Rechtsgrundlage und Zweck der Datenverwendung - Speicherdauer der Daten Information ist in geeigneter Form, insbesondere mittels AGBs, spätestens bei Beginn einer Rechtsbeziehung zu erfolgen [z.B. vor Setzen oder Übermitteln von Cookies, ..] - ARGE DATEN

68 Datenschutz-Grundsätze (§ 96 TKG 2003) III
Internet-Tracking in Österreich Datenschutz-Grundsätze (§ 96 TKG 2003) III Abs. 3 - Fortsetzung Ermittlung von Daten nur, wenn - Teilnehmer oder Nutzer Einwilligung erteilt hat oder - der alleinige Zweck die Übertragung einer Nachricht im Kommunikationsnetz ist oder - wenn dies unbedingt erforderlich ist, damit ein Dienst der Informationsgesellschaft, den der Teilnehmer oder Benutzer ausdrücklich gewünscht hat erbracht werden kann [z.B. Session-Cookie für Online-Shop, GPS-Daten für location based services, ...] - ARGE DATEN

69 - ARGE DATEN

70 - ARGE DATEN

71 - ARGE DATEN

72 - ARGE DATEN

73 - ARGE DATEN

74 - ARGE DATEN ARGE DATEN

75 ARGE DATEN ARGE DATEN Internet-Tracking in Österreich
Was kümmert's mich? Ich hab ja nichts zu verbergen Was soll man schon mit diesen Daten anfangen? - Vielleicht die nächste Grippe-Epidemie verhersagen - Ob Sie schwanger sind oder heimlichen Kinderwunsch hegen - Wie sich die Inflation entwickelt - Ob Sie Steuerhinterzieher sind ... - ... oder glücksspiel-, alkohol- oder drogenabhängig sind - Ob Sie ein Kurz- oder Langlebigkeitsrisiko darstellen ... - ... oder bloß schlechte Bonität haben - Ob beim nächsten Tornado doch eher Smarties statt Taschenlampen bei der Verkaufskassa aufgestellt werden - Wenn Ihnen gefällt, dass US-Unternehmen diese Entscheidungen für Sie treffen, dem kann ich nicht helfen .... ARGE DATEN ARGE DATEN

76 verwendete Mozilla-Einstellung
ARGE DATEN

77 - ARGE DATEN

78 - ARGE DATEN

79 - ARGE DATEN

80 - ARGE DATEN

81 - ARGE DATEN

82 - ARGE DATEN

83 - ARGE DATEN

84 - ARGE DATEN

85 ? - ARGE DATEN

86 - ARGE DATEN

87 - ARGE DATEN

88 - ARGE DATEN

89 - ARGE DATEN

90 - ARGE DATEN

91 - ARGE DATEN

92 - ARGE DATEN

93 zusammenfassende Bewertung: Verbesserungspotential in Sachen Privacy
durchwachsen - - ARGE DATEN

94 betriebliche Datenverwendung
zulässige Datenverwendung Betriebsvereinbarung & Privatnutzung Entscheidungen - ARGE DATEN ARGE DATEN

95 ARGE DATEN ARGE DATEN (un)zulässiger IT-Einsatz
IT-Nutzung im Spiegel der Rechtssprechung - OGH 9ObA75/04a: -Verkehr entspricht gelegentlichen kurzen Telefonaten privaten Inhalts mit Arbeitskollegen. Gelegentliches Weiterleiten von Spaß- s entgegen generellem Verbot stellt zwar Fehlverhalten dar, rechtfertigt nicht Entlassung. - OGH 9ObA151/02z: Surfen in der Arbeitszeit, wenn es nach Ermahnung sofort eingestellt wird, stellt keinen Entlassungsgrund dar. - OGH 9ObA178/05z: unerlaubte private Computernutzung an sich noch kein Schaden für Betrieb, wäre etwa durch Virenbefall wegen Verletzung der Internet-Policy gegeben. Umsatz und Gewinnentgang wegen "unproduktiven Verhaltens" ebenfalls kein Schaden, muss kausal bewiesen werden. Kein Entlassungsgrund - LAG München 11 Sa 54/09: unerlaubte -Einsichtnahme durch Administrator rechtfertigt fristlose Kündigung (Ö: Entlassung) aus der OGH-Entscheidung 9ObA75/04a "1. Entgegen der Ansicht des Revisionswerbers liegt eine erhebliche Rechtsfrage nicht bereits deshalb vor, weil höchstgerichtliche Judikatur zur Frage des privaten -Verkehrs während der Dienstzeit nicht vorliegt. Der vom Berufungsgericht beurteilte Sachverhalt liegt im Hinblick auf die Beeinträchtigung der Interessen des Dienstgebers nicht anders als gelegentliche (kurze) Telefonate privaten Inhalts mit Arbeitskollegen. ... 3. Das Fehlverhalten der Klägerin lag darin, entgegen einem generellen Verbot und einer Ermahnung durch einen Vorgesetzten gelegentlich auf ihrem Arbeitsplatz einlangende "Spaß- s" an Arbeitskollegen weitergeleitet zu haben; nach den Feststellungen der Vorinstanzen kam eine Weiterleitung derartiger s an Kollegen bzw an den privaten Internetzugang der Klägerin ein- bis zweimal pro Woche vor. Soweit das Berufungsgericht unter diesen Umständen unter Berücksichtigung der sonst unbeanstandeten 20-jährigen Arbeitsleistung der Klägerin die Auffassung vertreten hat, das Verhalten der Klägerin stelle - ungeachtet einer vorangegangenen (informellen) Ermahnung - keinen Entlassungsgrund dar, so kann dies nicht als bedenkliche Fehlbeurteilung angesehen werden." ARGE DATEN ARGE DATEN

96 E-Mail-Postfächer ARGE DATEN ARGE DATEN
Datenschutz und personalisierte -Postfächer -Postfächer Ausgangslage - Unternehmen richtet für jeden Mitarbeiter einen "persönlichen" -Account im Format ein - Weiters existieren Funktionsadressen s an diese Funktionsadressen werden in der Regel an mehrere zuständige Mitarbeiter weiter geleitet - Mitarbeiter werden angehalten unter den Funktionsadressen mit Kunden/Lieferanten zu korrespondieren, nur im Sonderfall unter der persönlichen Adresse - Kunden/Lieferanten schreiben meist an irgendeine Adresse (persönliche oder Funktionsadresse), in vielen Fällen müssen die s betriebsintern erst richtig weitergeleitet werden - zu einem späteren Zeitpunkt entschließt sich das Unternehmen die -Account-Verwaltung an einen Dienstleister auszulagern - ARGE DATEN ARGE DATEN

97 E-Mail-Postfächer II ARGE DATEN ARGE DATEN
Datenschutz und personalisierte -Postfächer -Postfächer II Ausgangslage (Fortsetzung) - Regelungen zur privaten -Nutzung wurden nicht getroffen - Die Geschäftsführung möchte in den persönlichen -Account eines Mitarbeiters Einblick nehmen  Konsequenzen nach dem DSG 2000 ?  arbeitsrechtliche Konsequenzen ?  sonstige Konsequenzen ? - ARGE DATEN ARGE DATEN

98 E-Mail-Postfächer III
Datenschutz und personalisierte -Postfächer -Postfächer III Schutz der -Inhalte - s fallen grundsätzlich unter DSG 2000, da Absender, Empfänger und oft auch im Inhalt Betroffene iS des DSG 2000 § 4 Z 3 sind - s unterliegen zusätzlich dem Fernmeldegeheimnis (StGG Art. 10 a, ), Sanktionen bei Verletzung ist im StGB § 119 "Verletzung des Telekommunikationsgeheimnisses" geregelt: "(1) Wer in der Absicht, sich oder einem anderen Unbefugten vom Inhalt einer im Wege einer Telekommunikation oder eines Computersystems übermittelten und nicht für ihn bestimmten Nachricht Kenntnis zu verschaffen, ... ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen." - Ergänzend regelt § 93 TKG 2003 die Geheimhaltungspflichten für Betreiber und Mitarbeiter des Betreibers und die Vorgangsweise aller Anwender für unbeabsichtigt empfangene Nachrichten StGB § 119 Verletzung des Telekommunikationsgeheimnisses (1) Wer in der Absicht, sich oder einem anderen Unbefugten vom Inhalt einer im Wege einer Telekommunikation oder eines Computersystems übermittelten und nicht für ihn bestimmten Nachricht Kenntnis zu verschaffen, eine Vorrichtung, die an der Telekommunikationsanlage oder an dem Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen. TKG 2003 – Kommunikationsgeheimnis § 93. (1) Dem Kommunikationsgeheimnis unterliegen die Inhaltsdaten, die Verkehrsdaten und die Standortdaten. Das Kommunikationsgeheimnis erstreckt sich auch auf die Daten erfolgloser Verbindungsversuche. (2) Zur Wahrung des Kommunikationsgeheimnisses ist jeder Betreiber und alle Personen, die an der Tätigkeit des Betreibers mitwirken, verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist. (3) Das Mithören, Abhören, Aufzeichnen, Abfangen oder sonstige Überwachen von Nachrichten und der damit verbundenen Verkehrs- und Standortdaten sowie die Weitergabe von Informationen darüber durch andere Personen als einen Benutzer ohne Einwilligung aller beteiligten Benutzer ist unzulässig. Dies gilt nicht für die Aufzeichnung und Rückverfolgung von Telefongesprächen im Rahmen der Entgegennahme von Notrufen und die Fälle der Fangschaltung sowie für eine technische Speicherung, die für die Weiterleitung einer Nachricht erforderlich ist. (4) Werden mittels einer Funkanlage, einer Telekommunikationsendeinrichtung oder mittels einer sonstigen technischen Einrichtung Nachrichten unbeabsichtigt empfangen, die für diese Funkanlage, diese Telekommunikationsendeinrichtung oder den Anwender der sonstigen Einrichtung nicht bestimmt sind, so dürfen der Inhalt der Nachrichten sowie die Tatsache ihres Empfanges weder aufgezeichnet noch Unbefugten mitgeteilt oder für irgendwelche Zwecke verwertet werden. Aufgezeichnete Nachrichten sind zu löschen oder auf andere Art zu vernichten. ARGE DATEN ARGE DATEN

99 E-Mail-Postfächer IV ARGE DATEN ARGE DATEN
Datenschutz und personalisierte -Postfächer -Postfächer IV Rechte der Geschäftsführung - grundsätzlich besteht Einsichts- bzw. Zugriffsrecht auf alle s, die für den Betrieb (die Betriebsführung) erforderlich sind, jedoch eingeschränkt auf die betriebsinterne Organisationsordnung (Zuständigkeiten) - StGB § 119 wird im Regelfall bei betrieblichen s nicht anwendbar sein, da der Empfänger im Regelfall nicht der bestimmte Mitarbeiter als Person, sondern als Organ des Unternehmens tätig ist (der Adressat das Unternehmen ist) - dies gilt unabhängig von Funktions- oder Personen-Adresse - die pauschale Öffnung eines (persönlichen) -Accounts wird trotzdem im Regelfall unzulässig sein, da der Account auch private, nicht betriebliche s enthalten kann - Schutz- und Strafbestimmungen gelten unabhängig von Eigentumsrechten oder betrieblichen Weisungen - ARGE DATEN ARGE DATEN

100 E-Mail-Postfächer V ARGE DATEN ARGE DATEN
Datenschutz und personalisierte -Postfächer -Postfächer V Rechte der Geschäftsführung II - die Öffnung eines -Accounts wird daher so zu gestalten sein, dass die Persönlichkeits- und Geheimhaltungsrechte des Mitarbeiters gewahrt werden - Mögliche Lösungsvaranten:  Mitwirkung des betroffenen Mitarbeiters  Mitwirkung einer Vertrauensperson des Mitarbeiters  Mitwirkung der Personalvertretung  Mitwirkung vertrauenswürdiger Dritter (z.B. Anwalt, ...) - in allen Fällen dürfen nur jene s übernommen werden, die den Betrieb betreffen, alle anderen s dürfen "nicht zur Kenntnis genommen werden", sofern der Mitarbeiter noch erreichbar ist, sind sie auszuhändigen, in den anderen Fällen an den Absender zu retournieren - unzulässig wäre das (dauerhafte) Weiterleiten eines persönlichen -Accounts - ARGE DATEN ARGE DATEN

101 E-Mail-Postfächer VI ARGE DATEN ARGE DATEN
Datenschutz und personalisierte -Postfächer -Postfächer VI Pflicht des Dienstleisters - die Herausgabe von -Zugangsdaten durch den -Provider wird nur dann zulässig sein, wenn die Geschäftsführung darlegen kann, dass die Persönlichkeits- und Geheimhaltungsrechte des Mitarbeiters gewahrt werden - zulässig wäre wohl eine "Sperre" des Accounts, sofern Mail-Absender über die Nichtzustellung einer informiert werden - unzulässig wäre das "Verschwinden lassen" (unterdrücken) einlangender s Das Öffnen von Mitarbeiter- -Accounts ist immer eine Gratwanderung zwischen berechtigten betrieblichen Interessen und Geheimhaltungsinteressen der Mitarbeiter Betriebliche Abläufe sollten weitgehend so geplant werden, das s nur ein Hilfsmittel, nicht jedoch das Rückrat der betrieblichen Tätigkeit sind - ARGE DATEN ARGE DATEN

102 DSK K121.259 (Internet als Datenanwendungen)
Datenverarbeitungen DSK K (Internet als Datenanwendungen) Ausgangslage - Mitarbeiter ersuchte um Auskunft der über ihn gespeicherten Daten - beauskunftet wurden (nach Beschwerdeverfahren): SAP-HR-Verwaltung, IT-Berechtigungsverwaltung, Zutrittskontrollsystem (teilweise) - verweigert wurde: Internetprotokollierung (sei nur Sicherheitsprotokollierung), -Verwaltung (Groupwise-Lösung, sei nur Dienstleistung für Mitarbeiter) Entscheidung DSK - Auskunft ist zu erteilen - Internetprotokollierung: geht über die Protokollierungspflichten nach § 14 DSG 2000 hinaus, ist daher eigenständige Anwendung - -Verwaltung: es handelt sich um eine Datenanwendung der Organisation, nicht des Mitarbeiters - ARGE DATEN ARGE DATEN

103 DSK K120.951/0009-DSK/2004 ("Protokollierung Zeiterfassung")
DSG Protokollierung DSK K /0009-DSK/2004 ("Protokollierung Zeiterfassung") Mitarbeiter einer Behörde haben "zeitnah" Arbeitsbeginn und -ende ein einem Zeiterfassungsprogramm einzutragen Zusätzlich wurden die tatsächlichen Eintragungszeiten protokolliert, diese dienten der "Plausibilitätsprüfung" der Eingabe Sowohl die Eintragungsdaten, als auch die Protokolldaten wurden aufgezeichnet und den jeweiligen Abteilungsleitern angezeigt DSK-Entscheidung: Aufzeichnung der Protokolldaten ist zur Erfüllung der Dienstsaufsicht ungeeignet und daher unzulässig Entscheidungsgrundlagen: DSG 2000 § 1 Geheimhaltung DSG 2000 § 7 Zulässigkeit der Verwendung von Daten DSG 2000 § 14 Datensicherheitsmaßnahmen DSG 2000 § 27 Recht auf Löschung Der Zweck "Plausibilitätskontrolle" rechtfertigt keine Protokollierung Protokollierung auf Basis DSG 2000 § 14 wurde ausgeschlossen, da die Zugriffssicherheit auf einer anderen Ebene stattfindet (Login zur Anwendung) Die Weiterverwendung von Protokolldaten gem § 14 wäre jedoch ebenfalls unzulässig Die für einen Arbeitgeber zulässige Arbeitszeitkontrolle kann mit den Eintragungszeitdaten nicht erfüllt werden: - das IT-System kann zu einem bestimmten Zeitpunkt nicht verfügbar sein - der Mitarbeiter kann aus arbeitsökonomischen Überlegungen die Zeitdaten mehrerer Tage zusammengefasst eintragen - der Mitarbeiter kann bei Arbeitsbeginn die Zeiterfassung vergessen haben Da kein anderer Verwendungszweck angegeben wurde, sind die Daten gem. § 27 Abs. 1 Z 1 DSG 2000 zu löschen. ARGE DATEN ARGE DATEN

104 Personaldaten - innerbetriebliche Verwendung
Mitarbeiter- und Bewerberdaten Personaldaten - innerbetriebliche Verwendung - dienstlich erforderliche Daten dürfen ohne Zustimmung unternehmensintern verwendet werden (z.B. Qualifikation, Berufstitel, Kontaktdaten, ...) - öffentlich verfügbare Daten dürfen "frei" verwendet werden (z.B. Angaben aus dem Firmenbuch, ..) - weitere Datenverwendungen können arbeitsvertraglich geregelt sein (z.B. Akkordabrechnungen, Tragen eines Dienstausweises mit Foto, Weitergabe von Daten an Kunden/Subventionsgeber auf Grund einer Projektabwicklung, biometrische Zutrittskontrolle) - sonstige Daten die zum Zweck der Gehaltsverrechnung / Personaladministration dem Personalbüro bekannt sind, dürfen nicht von anderen Abteilungen verwendet werden, auch nicht für betriebsinterne Zeitungen, Newsletter Die Form der Zustimmung wird auch von der Position im Unternehmen abhängen (bei Managern wird man in vielen Fällen konkludente Zustimmung voraussetzen können, bei einfachen Angestellten eine schriftliche vorsehen). Zulässig sind weitere Verwendungsmöglichkeiten auf Grund der Zustimmung des Betroffenen ARGE DATEN ARGE DATEN

105 Nennung Betriebsinterna rechtfertigt Entlassung
Web2.0 und Social Media Nennung Betriebsinterna rechtfertigt Entlassung Ausgangslage - Ein Bankangestellter wird privat zu verschwunden ,- angesprochen - Via öffentlichen Facebook-Eintrag erkundigt er (Poster) sich selbst bei Arbeitskollegen über den verschwunden Betrag - Ein Mitarbeiter einer anderen Bank hat den Eintrag gelesen, nicht verstanden und befragt den Poster, dieser gibt bereitwillig Auskunft - Poster wird wegen Verrat von Betriebsgeheimnissen entlassen - Poster rechtfertigt sich es handle sich nur um Tratsch und seine Einträge lesen sowieso nur Kollegen OGH-Entscheidung 9ObA111/14k - Betriebsgeheimnis liegt vor, wenn es sich um geschäftsrelevante Tatsachen handelt, die nicht allgemein bekannt sind - Gewinn- oder Schädigungsabsicht nicht wesentlich, fahrlässige Gefährdung von Geheimhaltungsinteressen ausreichend Aus der OGH-Entscheidung 9ObA111/14k ... Ein Geschäfts- oder Betriebsgeheimnis liegt vor, wenn die in Frage kommenden Tatsachen oder Vorgänge in einer Beziehung zum Betrieb des Unternehmens stehen und für seine Wettbewerbsfähigkeit Bedeutung haben, wenn sie nur einem eng begrenzten, im Wesentlichen geschlossenen Personenkreis, dem diese Kenntnis entsprechend der Natur des Geschäftsbetriebs nicht verwehrt werden kann, bekannt und anderen nicht oder nur schwer zugänglich sind, also sie nach dem Willen des Unternehmers geheimgehalten und nicht über den Kreis der Eingeweihten hinaus dringen und somit vertraulich behandelt werden sollen und wenn außerdem für die Geheimhaltung ein berechtigtes wirtschaftliches Interesse vorhanden ist (8 ObA 122/01a; 9 ObA 66/03a; 9 ObA 7/04a; RIS-Justiz RS ). ... Schon eine fahrlässige Gefährdung betrieblicher Interessen, also eine fahrlässige Verletzung der Treuepflicht erfüllt - im Gegensatz zu jenem der Untreue nach § 27 Z 1 erster Fall AngG (RIS-Justiz RS ) - den Entlassungstatbestand der Vertrauensunwürdigkeit (9 ObA 208/91; RIS-Justiz RS ). Schädigungsabsicht oder Schadenseintritt sind nicht erforderlich (RIS -Justiz RS ). Es genügt, wenn dem Angestellten die Pflichtwidrigkeit seines Verhaltens bei Anwendung der pflichtgemäßen Sorgfalt bewusst sein musste (RIS-Justiz RS [T4]). ... Der Kläger war als Hauptkassier bei der beklagten Bank beschäftigt. Als er bereits im gekündigten Dienstverhältnis stand und von der Beklagten vom Dienst freigestellt war, wurde er von Nachbarn ua darauf angesprochen, dass erzählt werde, er sei entlassen worden, weil er Geld unterschlagen habe. Um sich zu rechtfertigen, teilte er diesen Personen detailliert mit, dass in der Bank auf mysteriöse Weise EUR verschwunden seien, er aber dafür nicht verantwortlich sei. Wenig später stellte der Kläger an einen Arbeitskollegen über Facebook in dem für Facebook-Nutzer öffentlich zugänglichen Bereich nachstehende Anfrage: „Hallo M*****! Ich habe gehört du bist HK in der R***** - ich habe 2 Fragen an dich (bitte aber um strenge Diskretion). 1. Sind die € ,00 nochmals aufgetaucht? ...“ ARGE DATEN ARGE DATEN

106 Nennung Betriebsinterna rechtfertigt Entlassung II
Web2.0 und Social Media Nennung Betriebsinterna rechtfertigt Entlassung II OGH-Entscheidung 9ObA111/14k (Fortsetzung) - Facebookveröffentlichung ist Veröffentlichung in einer Zeitung gleichzusetzen - Zahl der tatsächlichen Leser nicht wesentlich, Zugangsmöglichkeit zur Information reicht - Poster war Fehlverhalten bewusst („bitte aber um strenge Diskretion“), kein entschuldbarer "Fehlklick" - Entlassung daher gerechtfertigt Aus der OGH-Entscheidung 9ObA111/14k (Fortsetzung) ... Einige Tage später teilte der Kläger einem Mitarbeiter (A. B.) einer in einem anderen Ort gelegenen Geschäftsstelle eines von der Beklagten verschiedenen Bankinstituts, der diesen Eintrag gelesen, aber ihn nicht verstanden hatte, über dessen telefonische Anfrage wiederum im Detail den Sachverhalt mit, über den er bereits drei Nachbarn informiert hatte. ... Zu Unrecht meint der Kläger, der Eintrag sei von ihm nicht in die Öffentlichkeit getragen worden, habe also keine Außenwirkung entfaltet, weil nur Arbeitskollegen von ihm darauf reagiert hätten. Zunächst lässt die tatsächliche Reaktion bestimmter Personen auf diesen Eintrag nicht darauf schließen, dass nicht auch weitere Facebook-Nutzer diesen Eintrag gelesen haben. Mit dem Eintrag im öffentlichen Bereich von Facebook hat der Kläger seine Anfrage gerade nicht im privaten Bereich gehalten, sondern einer großen Öffentlichkeit zugänglich gemacht. Genauso gut hätte er seine Anfrage in eine Tageszeitung setzen können (Kern/Schweiger, Die Bedeutung der Nutzung von Social Media im Entlassungsrecht - Dargestellt am Beispiel „Facebook“, ZAS 2013/51). Schließlich lasen nicht nur Mitarbeiter der Beklagten den Eintrag, sondern es las ihn auch ein bei einem anderen - im Konkurrenzverhältnis zur Beklagten stehenden - Bankinstitut beschäftigter Mitarbeiter (A. B.), dem der Kläger dann sogar einige Tage später bereitwillig und im Detail Auskunft über den bankinternen Vorfall gab. ... Dass sich der Kläger auch der Pflichtwidrigkeit seines Verhaltens in Bezug auf den Facebook -Eintrag bewusst war, zeigt schon der seiner Anfrage beigesetzte Hinweis „bitte aber um strenge Diskretion“. ... Gerade die Verletzung der Verschwiegenheitspflicht - selbst wenn davon nicht unmittelbare Geschäftsgeheimnisse betroffen sind - muss bei objektiver und vernünftiger kaufmännischer Erwägung beim Dienstgeber die gerechtfertigte Befürchtung auslösen, dass auch künftig hin Informationen nicht mit der gebotenen Vertraulichkeit behandelt würden (9 ObA 158/02d; mwN). Wenn der Kläger auch keine leitende Stellung (vgl RIS-Justiz RS ) bekleidete, so war er doch als Hauptkassier in einer besonderen Vertrauensposition tätig (vgl 9 ObA 22/88). In der gebotenen Gesamtschau (vgl RIS-Justiz RS ) geht es hier nicht um einen irrtümlichen „Mausklick“ auf Facebook oder eine einmalige, bloß gedankenlose Indiskretion gegenüber einem Außenstehenden (vgl 4 Ob 5/63 = Arb 7687), sondern einen mehrfachen Verstoß des Klägers gegen die Geheimhaltungspflicht zu Lasten seiner Arbeitgeberin. ARGE DATEN ARGE DATEN

107 Betriebsvereinbarung §§ 96, 96a, 97 ArbVG
Grundlage Betriebsvereinbarung Betriebsvereinbarung §§ 96, 96a, 97 ArbVG - Mitarbeiterdaten dürfen ohne Zustimmung automationsunterstützt verwendet werden, wenn sie zur Erfüllung von Verpflichtungen aus Gesetzen, Normen der kollektiven Rechtsgestaltung oder aus dem Arbeitsvertrag dienen (etwa Lohnverrechnung) - (a) weitergehende Datenverwendung (Abs 1 Z 1) oder (b) Datenverwendungen die zur Beurteilung der Leistungsfähigkeit des Mitarbeiters dienen (Abs 1 Z 2), sind gem § 96a ArbVG ersetzbar zustimmungspflichtig (kann durch Vereinbarung im AV vermieden werden) - Datenverwendung (Kontrollmaßnahmen), die die Menschenwürde berühren bedürfen der zwingenden Zustimmung gem. § 96 Abs 1 Z 3 ArbVG - (private) Betriebsmittelnutzungen könnte gemäß § 97 Abs 1 Z 6 ArbVG mittels Betriebsvereinbarung geregelt werden Bei Fehlen eines Betriebsrates ist Einzelvereinbarung gemäß § 10 AVRAG (Arbeitsvertragsrechts-Anpassungsgesetz) mit Mitarbeiter abzuschließen Zustimmungspflichtige Maßnahmen ArbVG § 96. (1) Folgende Maßnahmen des Betriebsinhabers bedürfen zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrates: 1. Die Einführung einer betrieblichen Disziplinarordnung; 2. die Einführung von Personalfragebögen, sofern in diesen nicht bloß die allgemeinen Angaben zur Person und Angaben über die fachlichen Voraussetzungen für die beabsichtigte Verwendung des Arbeitnehmers enthalten sind; 3. die Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer, sofern diese Maßnahmen (Systeme) die Menschenwürde berühren; 4. insoweit eine Regelung durch Kollektivvertrag oder Satzung nicht besteht, die Einführung und die Regelung von Akkord-, Stück- und Gedinglöhnen, akkordähnlichen und sonstigen leistungsbezogenen Prämien und Entgelten - mit Ausnahme der Heimarbeitsentgelte -, die auf Arbeits(Persönlichkeits)bewertungsverfahren, statistischen Verfahren, Datenerfassungsverfahren, Kleinstzeitverfahren oder ähnlichen Entgeltfindungsmethoden beruhen, sowie der maßgeblichen Grundsätze (Systeme und Methoden) für die Ermittlung und Berechnung dieser Löhne bzw. Entgelte. (2) Betriebsvereinbarungen in den Angelegenheiten des Abs. 1 können, soweit sie keine Vorschriften über ihre Geltungsdauer enthalten, von jedem der Vertragspartner jederzeit ohne Einhaltung einer Frist schriftlich gekündigt werden. § 32 Abs. 3 zweiter Satz ist nicht anzuwenden. Regelung gilt im öffentlich-rechtlichen Bereich analog, u.a. PVG § 9 Abs. 2 lit. f (in § 10 komplizierte Regelung für "Einvernehmen") Gilt nicht bei Werkverträgen oder sonstigen Dritten (Dienstleistern) ARGE DATEN ARGE DATEN

108 Betriebsvereinbarung
Grundlage Betriebsvereinbarung Betriebsvereinbarung Ersetzbare Zustimmung ArbVG § 96a. (1) Folgende Maßnahmen des Betriebsinhabers bedürfen zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrates: 1. Die Einführung von Systemen zur automationsunterstützten Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten des Arbeitnehmers, die über die Ermittlung von allgemeinen Angaben zur Person und fachlichen Voraussetzungen hinausgehen. Eine Zustimmung ist nicht erforderlich, soweit die tatsächliche oder vorgesehene Verwendung dieser Daten über die Erfüllung von Verpflichtungen nicht hinausgeht, die sich aus Gesetz, Normen der kollektiven Rechtsgestaltung oder Arbeitsvertrag ergeben; 2. die Einführung von Systemen zur Beurteilung von Arbeitnehmern des Betriebes, sofern mit diesen Daten erhoben werden, die nicht durch die betriebliche Verwendung gerechtfertigt sind. (2) Die Zustimmung des Betriebsrates gemäß Abs. 1 kann durch Entscheidung der Schlichtungsstelle ersetzt werden. Im übrigen gelten §§ 32 und 97 Abs. 2 sinngemäß. (3) Durch die Abs. 1 und 2 werden die sich aus § 96 ergebenden Zustimmungsrechte des Betriebsrates nicht berührt. ArbVG § 97. (1) Betriebsvereinbarungen im Sinne des § 29 können in folgenden Angelegenheiten abgeschlossen werden: 1. Allgemeine Ordnungsvorschriften, die das Verhalten der Arbeitnehmer im Betrieb regeln; ... 6. Maßnahmen zur zweckentsprechenden Benützung von Betriebseinrichtungen und Betriebsmitteln; Bundes-Personalvertretungsgesetz §9 Abs 2 lit f (2) Mit dem Dienststellenausschuß ist im Sinne des § 10 das Einvernehmen herzustellen: ..... f) bei der Einführung von Systemen zur automationsunterstützten Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten der Bediensteten, die über die Ermittlung von allgemeinen Angaben zur Person oder über die Ermittlung von fachlichen Voraussetzungen hinausgehen; Arbeitsvertragsrechts-Anpassungsgesetz - AVRAG - StF: BGBl. Nr. 459/ RIS-Version Stand Kontrollmaßnahmen § 10. (1) Die Einführung und Verwendung von Kontrollmaßnahmen und technischen Systemen, welche die Menschenwürde berühren, ist unzulässig, es sei denn, diese Maßnahmen werden durch eine Betriebsvereinbarung im Sinne des § 96 Abs. 1 Z 3 ArbVG geregelt oder erfolgen in Betrieben, in denen kein Betriebsrat eingerichtet ist, mit Zustimmung des Arbeitnehmers. (2) Die Zustimmung des Arbeitnehmers kann, sofern keine schriftliche Vereinbarung mit dem Arbeitgeber über deren Dauer vorliegt, jederzeit ohne Einhaltung einer Frist schriftlich gekündigt werden. ARGE DATEN ARGE DATEN

109 Telefondatenaufzeichnung (OGH 8ObA288/01p)
Kontrollmaßnahmen im Betrieb Telefondatenaufzeichnung (OGH 8ObA288/01p) - Telefondatenerfassung immer zustimmungspflichtig - Nummernunterdrückung bei Privatgesprächen ist nicht ausreichend (Markierung als "P") - Bei Weigerung eine Betriebsvereinbarung abzuschließen, wird das System ersatzweise zustimmungspflichtig - Problem der Kontrolldichte, automatisierte Kontrolle nicht mit üblicher Aufsichtspflicht vergleichbar - Menschenwürde schon berührt, wenn Mitarbeiter sich subjektiv überwacht fühlt und das System technisch geeignet ist - auch am Arbeitsplatz besteht - wenngleich eingeschränkt - Recht auf Privatsphäre Zeitaufzeichnung (OGH 8ObA97/03b) - bei vorgesehener Verwendung ist immer der Leistungsumfang des konkret eingesetzten Programmpaketes entscheidend Rufnummernunterdrückung bei Privatgesprächen nicht ausreichend "Häufigkeit und Dauer privater Telefonate - insbesondere im längeren Vergleich - könnten Rückschlüsse oder nicht weniger problematische Spekulationen über persönliche oder familiäre Schwierigkeiten des Arbeitnehmers ermöglichen. Die alleinige Möglichkeit, die Registrierung angewählter Nummern zu unterbinden, bewahre den Arbeitnehmer nicht vor eventuellen Spekulationen. Die Missbrauchsgefahr bei diesem erhöhten Informations- und Kontrollpotential müsse bei der Beurteilung des Persönlichkeitsschutzes des Arbeitnehmers berücksichtigt werden." Technische Dauerüberwachung nur bei Überwiegen von Arbeitgeberinteressen zulässig "Technische Dauerüberwachung sei grundsätzlich unzulässig, solange der Arbeitgeber nicht ein stärkeres rechtlich geschütztes Interesse beweise. Technisch und organisatorisch seien aber durchaus andere Mittel möglich, die den Interessen des Arbeitgebers in einem rechtlich zulässigen Ausmaß Rechnung tragen, wie etwa über längere Zeiträume zusammengefasste Gebührenermittlung für Privatgespräche oder Teilnummernregistrierung bei Dienstgesprächen. Eine Beurteilung der Menschenwürde und ihrer Integrität könne begrifflicherweis an der Sicht des betroffenen Menschen nicht vorbeigehen. Der subjektive Eindruck der Betroffenen von einem Kontrollsystem sei daher sehr wohl eines der Kriterien zur Beurteilung der Zustimmungspflichtigkeit." Telefondatenerfassung ist immer zustimmungspflichtig "Die Einrichtung einer automationsunterstützten Telefonregistrieranlage im Betrieb bedarf, soweit sie personenbezogene Daten erfasst, immer der Zustimmung des Betriebsrates; sie ist - je nach Intensität des Eingriffs - absolut oder ersetzbar zustimmungsabhängig. Die Einführung eines elektronischen Telefonkontrollsystems durch den Dienstgeber, das die Nummern der angerufenen Teilnehmer systematisch und vollständig, den jeweiligen Nebenstellen zugeordnet, erfasst, berührt selbst dann die Menschenwürde im Sinn des § 96 Abs 1 Z 3 ArbVG, wenn durch Betätigen einer Taste am Telefonapparat hinsichtlich der dann besonders gekennzeichneten Gespräche die Endziffern der Rufnummer im System unterdrückt werden. Bietet der Dienstgeber hinsichtlich eines derartigen Telefonkontrollsystems den Abschluss einer die Persönlichkeitsrechte der Dienstnehmer ausreichend wahrenden Betriebsvereinbarung an, kann er - verweigert der Betriebsrat die Zustimmung - mit dem Vorbringen, die Einführung der Kontrollmaßnahme berühre dann nicht mehr die Menschenwürde, gemäß § 96a Abs 2 ArbVG die Schlichtungsstelle anrufen." ARGE DATEN ARGE DATEN

110 Zulässigkeit einer biometrischen Zeiterfassung
Kontrollmaßnahmen im Betrieb Zulässigkeit einer biometrischen Zeiterfassung Ausgangslage: - ein Krankenhaus stellt bestehendes Magnetkartensystem auf Fingerabdrucksystem um - Betriebsvereinbarung wird keine abgeschlossen - alle Fingerabdrucksdaten werden bei einem Biometriebetreiber zentral verwaltet, mit diesem wird Dienstleistervereinbarung abgeschlossen OGH-Entscheidung 9 ObA 109/06d: - OGH betont erneut Recht auf Privatsphäre im Betrieb - biometrische Zeiterfassungssysteme haben höhere Eingriffsintensität als "Stechuhren", daher Zustimmungspflicht gegeben - kritisiert wird der hohe Grundrechtseingriff für ein vergleichsweise triviales Ziel (Zeiterfassung) - auch bei Einweg"verschlüsselung" liegen personenbezogene Daten vor - auf Grund des Fehlens der Betriebsvereinbarung war der vorläufige Abbau auszusprechen (einstweilige Verfügung) aus der OGH-Entscheidung 9 ObA 109/06d "Jeder Mensch auch während der Zeit, in der er zur Arbeitsleistung in einem Arbeitsverhältnis verpflichtet ist, ua das Recht auf Unversehrtheit der Intimsphäre, auf Freiheit vor unbefugter Abbildung und auf Achtung seines Wertes als menschliches Wesen [hat]." Auch wenn der Arbeitgeber grundsätzlich Kontrollrechte hat, kann "auch die Kontrolle rein dienstlichen Verhaltens zustimmungspflichtig sein." "Auf Grund der beträchtlichen Eingriffs- und Kontrollintensität der Abnahme und Verwaltung von Fingerabdrücken und darauf beruhender Templates wird - selbst wenn man die vom Beklagten vorgebrachten Sicherheitsmerkmale einschließlich der mangelnden Rückführbarkeit des Templates zum Original-Fingerabdruck zu seinen Gunsten berücksichtigt, womit sich auch die Vernehmung weiterer Zeugen erübrigte, - die Menschenwürde der Arbeitnehmer berührt. Der Beklagte verletzte daher durch die einseitige konsenslose Einführung und Anwendung eines Zeiterfassungssystems, das auf einem biometrischen Fingerscanning der Arbeitnehmer beruht, die Mitwirkunsgrechte des Betriebsrates nach § 96 Abs 1 Z3 ArbVG. Die Kontrolleinrichtung ist daher rechtswidrig und unzulässig." ARGE DATEN ARGE DATEN

111 Datenschutzrechte und Betriebsrat (OGH Entscheidung 6 ObA 1/06z)
Datenschutz und Betriebsrat Datenschutzrechte und Betriebsrat (OGH Entscheidung 6 ObA 1/06z) - ein Flugunternehmen führte ein "Crew Management System" ein, das neben Stammdaten die Einsatzpläne, Qualifikationen usw. verwaltete - Betriebsrat begehrte Löschung der Daten (§ 27 DSG 2000) - Löschung abgelehnt, da Betriebsrat nach dem DSG 2000 keine Parteienstellung hat - Datenschutzrechte sind höchstpersönliche (subjektive) Rechte - Betriebsrat steht in Datenschutzangelegenheiten auch keine Vertretungsbefugnis der Mitarbeiter zu - Mitarbeiter müssen allfällige Löschungsrechte selbst einklagen (auch wenn notwendig in Parallelverfahren) - BR-Rechte im ArbVG geregelt (z.B. § 89 Z 1 ArbVG Recht auf Einsichtnahme in Gehaltsdaten, bedeutet kein Recht auf Datenzugriff (OGH 9ObA3/03m) - eine weitere Grenze ergibt sich bei der privaten Nutzung von Betriebsmitteln, auch hier sieht ArbVG keine Mitbestimmungsrechte des Betriebsrates vor Aus der OGH-Entscheidung 6 ObA 1/06z "Ziel des Datenschutzrechts ist es, den Rechtsschutz der natürlichen oder juristischen Person oder Personengemeinschaft zu gewährleisten, deren Daten verwendet werden. Das Datenschutzgesetz ist allein auf den Schutz des Betroffenen ausgerichtet." (RIS-Rechtssatz) "Mitbestimmungsunterworfen ist nicht der Einzelfall, sondern die generelle, die gesamte Belegschaft oder einzelne Teile davon erfassende Maßnahme. Liegt keine zustimmungsfreie Personaldatenverarbeitung vor, so ist eine vom Betriebsinhaber ohne Zustimmung des Betriebsrates oder entsprechende Entscheidung der Schlichtungsstelle gesetzte Maßnahme im Sinn der Z 1 des § 96a Abs 1 ArbVG rechtsunwirksam und rechtswidrig. Der Betriebsrat kann als Organ der Belegschaft auf Unterlassung bzw Beseitigung des unzulässig eingeführten Systems (gemäß § 50 Abs 2 ASGG vor dem Arbeits- und Sozialgericht) klagen. Der Unterlassungs- und der Beseitigungsanspruch des Betriebsrats sind in der Verletzung des betriebsverfassungsrechtlichen Mitbestimmungsrechts begründet, also ein materieller betriebsverfassungsrechtlicher Anspruch, der sich nur auf die Verletzung der betriebsverfassungsrechtlichen Befugnisse, nicht aber auf das Datenschutzgesetz stützen kann." (RIS-Rechtssatz) ARGE DATEN ARGE DATEN

112 Betriebsratsbestimmung im DSG 2000
Datenschutz und Betriebsrat Betriebsratsbestimmung im DSG 2000 - § 9 Z 11 regelt Einsatz sensibler Daten im Betrieb - § 9 Z 11 betont, dass Betriebsratsrechte durch die Regelung nicht berührt sind Zusammenfassung - Datenanwendungen im Betrieb sind daher sowohl am ArbVG, als auch am DSG 2000 zu messen - Betriebsvereinbarung kann nicht erforderliche Zustimmung der Betroffenen ersetzen - umgekehrt kann Zustimmung der Betroffenen nicht eine notwendige Betriebsvereinbarung ersetzen Datenanwendungen, die die Menschenwürde verletzen, sind weder zustimmungsfähig, noch betriebsvereinbarungsfähig. § 9 DSG 2000 Schutzwürdige Geheimhaltungsinteressen bei Verwendung sensibler Daten "Schutzwürdige Geheimhaltungsinteressen werden bei der Verwendung sensibler Daten ausschließlich dann nicht verletzt, wenn ... 11. die Verwendung erforderlich ist, um den Rechten und Pflichten des Auftraggebers auf dem Gebiet des Arbeits- oder Dienstrechts Rechnung zu tragen, und sie nach besonderen Rechtsvorschriften zulässig ist, wobei die dem Betriebsrat nach dem Arbeitsverfassungsgesetz zustehenden Befugnisse im Hinblick auf die Datenverwendung unberührt bleiben ..." ARGE DATEN ARGE DATEN

113 Informationstechnik und Betriebsvereinbarung I
Betriebsvereinbarungen Informationstechnik und Betriebsvereinbarung I Bereiche in denen Betriebsvereinbarungen sinnvoll sind: - Internet- / -Einsatz - Intranet / Mitarbeiterinfos / Online-Mitarbeitermagazin - Online-Mitarbeiter-Befragungen - elektronische Aktenbearbeitung, elektronische Rechnungsbearbeitung - gemeinsame Nutzung von Kalender- und Projektplanungssoftware - biometrische Zeiterfassung - Videoüberwachung / Zutrittskontrollsysteme jeder Art aus der OGH-Entscheidung 9 ObA 109/06d "Jeder Mensch auch während der Zeit, in der er zur Arbeitsleistung in einem Arbeitsverhältnis verpflichtet ist, ua das Recht auf Unversehrtheit der Intimsphäre, auf Freiheit vor unbefugter Abbildung und auf Achtung seines Wertes als menschliches Wesen [hat]." Auch wenn der Arbeitgeber grundsätzlich Kontrollrechte hat, kann "auch die Kontrolle rein dienstlichen Verhaltens zustimmungspflichtig sein." "Auf Grund der beträchtlichen Eingriffs- und Kontrollintensität der Abnahme und Verwaltung von Fingerabdrücken und darauf beruhender Templates wird - selbst wenn man die vom Beklagten vorgebrachten Sicherheitsmerkmale einschließlich der mangelnden Rückführbarkeit des Templates zum Original-Fingerabdruck zu seinen Gunsten berücksichtigt, womit sich auch die Vernehmung weiterer Zeugen erübrigte, - die Menschenwürde der Arbeitnehmer berührt. Der Beklagte verletzte daher durch die einseitige konsenslose Einführung und Anwendung eines Zeiterfassungssystems, das auf einem biometrischen Fingerscanning der Arbeitnehmer beruht, die Mitwirkunsgrechte des Betriebsrates nach § 96 Abs 1 Z3 ArbVG. Die Kontrolleinrichtung ist daher rechtswidrig und unzulässig." ARGE DATEN ARGE DATEN

114 Informationstechnik und Betriebsvereinbarung II
Betriebsvereinbarungen Informationstechnik und Betriebsvereinbarung II (Fortsetzung): - Verwendung von Diensthandys / Smartphones - Bring Your Own Device (BYOD) - Einsatz von Audit- und Remote-Support-Software - Bestellautomation / für Kundenlager-Kontrolle - digitale Signatursysteme (z.B. Paketzusteller, Installateur, ...) - GPS-Einsatz bei Fuhrpark Bereiche, bei denen keine Betriebsvereinbarung vorgesehen ist: - Dienstleistervereinbarungen nach DSG 2000 - ARGE DATEN ARGE DATEN

115 IKT-Nutzungsverordnung – IKT-NV (BGBl. II Nr. 281/2009)
private IKT-Nutzung IKT-Nutzungsverordnung – IKT-NV (BGBl. II Nr. 281/2009) Regelt private IKT-Nutzung für Bedienstete des Bundes Grundprinzip (§ 3): Eingeschränkte private Nutzung ohne - Beeinträchtigung des Dienstbetriebs - keine Schädigung des Ansehens des öffentlichen Dienstes - keine Gefährdung der Sicherheit des IKT-Betriebs - keine missbräuchliche Verwendung  rein private Geschäfte sind erlaubt (§ 4 Abs. 2) private -Nutzung (§ 5) - kein Hinweis auf dienstliche Stellung oder dienstliche Postadresse - keine Verwendung dienstlicher -Signaturen - private s dürfen nach Schadprogrammen und Spam gescannt werden Hinweis! Verordnungstext im Anhang ARGE DATEN ARGE DATEN

116 keine missbräuchliche Nutzung, wenn irrtümlicher Zugriff! (§ 4 Abs. 5)
private IKT-Nutzung IKT-Nutzungsverordnung – IKT-NV II (BGBl. II Nr. 281/2009) Festlegung der missbräuchlichen Verwendung (§ 4 Abs. 4) - Zugriff auf strafrechtlich verbotene oder rechtswidrige Seiten - Benutzung oder die zur Verfügung stellen von strafrechtlich relevanten Tatbeständen - Zugriff auf pornographische Inhalte - Zugriff auf Seiten, die Zahlungsverpflichtungen des Dienstgebers zur Folge haben - herunterladen "schadware-verdächtiger" Dateitypen keine missbräuchliche Nutzung, wenn irrtümlicher Zugriff! (§ 4 Abs. 5) - ARGE DATEN ARGE DATEN

117 Genehmigung / Registrierung
Besondere Dienstleisterverpflichtungen Registrierung von Datenanwendungen Internationaler Datenverkehr Safe Harbour Kontrollbefugnisse DSB - ARGE DATEN ARGE DATEN

118 DSG 2000 - Kontrollbefugnisse
Konzept der Vorabkontrolle (DSG 2000 § 10, § 18 Abs. 2, §§ 20, 21, 30, § 10) bestimmte Datenanwendungen unterliegen einer Vorabkontrolle durch DSB - DA's die sensible Daten verwenden - DA's die in Form eines Informationsverbundsystems betrieben werden - registrierungspflichtige Videoüberwachungen - DA's die Daten zur Beurteilung der Kreditwürdigkeit dienen bzw. strafrechtlich relevante Daten verarbeiten Voraussetzungen der Vorabkontrolle: Prüfung auch ohne Verdachtsmomente möglich Auflagen zum Betrieb der Datenanwendung können erteilt werden Voraussetzung der Vorabkontrolle (§ 18): Bestimmte Datenanwendungen unterliegen der Vorabkontrolle durch die DSB. Bei diesen Datenanwendungen darf dann erst nach ihrer Genehmigung mit der Verarbeitung begonnen werden (§ 20). DA ist meldepflichtig (z.B. keine Standardanwendung) DA ist keine Musteranwendung DA betrifft nicht innere Angelegenheiten anerkannter Kirchen und Religionsgesellschaften + es trifft zumindest eine der Bedingungen zu - DA enthält sensible Daten - DA enthält strafrechtlich relevante Daten - DA dient der Auskunftserteilung über die Kreditwürdigkeit - DA wird in Form eines Informationsverbundsystems geführt Vorabkontrolle ermöglicht die Prüfung der Datenanwendung ohne Vorliegen von Verdachtsmomenten (§ 30). Die DSB kann Auflagen zum Betrieb der Datenanwendung erteilen (§ 21). Die Heranziehung von Dienstleistern bei vorabkontrollpflichtigen Datenanwendungen öffentlich-rechtlicher Auftraggeber ist der DSB mitzuteilen (§ 10). ARGE DATEN ARGE DATEN

119 Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000)
DSG Dienstleister Dienstleister im Sinne des DSG 2000 (§§ 10f) - Dienstleistung liegt vor, wenn ein Verantwortlicher jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben betraut - Geeignete Vereinbarungen sind zu treffen - Vereinbarungen sind zu überprüfen/überwachen ["überzeugen"]  wie bei Cloud-Computing umsetzen? - Meldepflicht an DSB bei Datenverarbeitungen des öffentlichen Bereichs, die der Vorabkontrolle unterliegen (z.B. bei Verwendung von Gesundheitsdaten), jedoch keine Meldepflicht bei verbundenen Unternehmen - Subdienstleister nur mit Billigung des Auftraggebers Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000) Mustervereinbarung siehe: ftp://ftp.freenet.at/privacy/muster/dsgdl01.html Bereiche, bei denen Dienstleistung vermutet werden kann (sofern extern vergeben)‏ Soft- und Hardwarewartung Operating Call-Center Internet-Provider (Access & Content)‏ Shopping-Mall Betreiber Statistik/Studien Steuerberatung/Unternehmensberater Heranziehung von Gutachtern Notfallsrechenzentren/externe Archivierung Datenerfassung Es wird empfohlen alle bestehenden Lieferantenbeziehungen in Hinblick auf datenschutzrelevante Dienstleistung zu überprüfen! ARGE DATEN ARGE DATEN

120 Was ist Cloud-Computing?
IT-Sicherheit, DSG 2000 und Cloud-Computing Was ist Cloud-Computing? - technisch: Nutzung fremder IT-Infrastruktur in verschiedenen Ausformungen: IaaS, PaaS, SaaS, public, private oder hybride Cloud - im Lichte des DSG 2000: nur relevant, wenn Daten Dritter ("Betroffener") verarbeitet werden, Dienstleistung im Sinne DSG 2000 §§10,11 mit Verpflichtung Sicherheitsmaßnahmen einzuhalten Auftraggeber bleibt verantwortlich, egal wie die Cloud-Lösung organisiert ist, auch bei Heranziehung von Sub- und Sub-Sub-Dienstleistern - PaaS: Platform as a Service - SaaS: Software as a Service - IaaS: Infrastructure as a Service ARGE DATEN ARGE DATEN

121 Registrierung von Datenanwendungen (§§ 16ff)
DSG Registrierung und Genehmigung Registrierung von Datenanwendungen (§§ 16ff) - Grundsätzlich besteht für jede Datenanwendung Registrierungspflicht, aber: es sind nicht alle Datenanwendungen zu registrieren (§ 17) - Jede Registrierung erfolgt für bestimmte Datenanwendung, für bestimmte Datenarten, bestimmte Personengruppen und bestimmte Zwecke (§ 17) - Eine DVR-Nummer wird einem Unternehmen (Organisation) bei erstmaliger Registrierung einer DA zugeteilt (§ 21) - Registrierung ist kostenlos (§ 53) - Registrierung soll Transparenz sichern (§ 16) - Jedermann kann Einsicht in Registrierung nehmen (§ 16) - Vereinfachte Registrierung bei Muster-Datenanwendungen (§ 19) Dies bedeutet auch, dass bei registrierungsfreien Datenanwendungen KEINE DVR- Nummer geführt werden muss. Dies kann zu Unklarheiten bei Betroffenen über den tatsächlichen Auftraggeber bei Unternehmen führen, die zwar eine DVR-Nummer haben, aber eine Marketingaussendung unter "Berufung" auf die Standardanwendung SA022 "Kundenbetreuung" durchführen. Bisherige Ausnahmen (persönliche und publizistische Verarbeitungen) wurden erheblich ausgeweitet Weiters existieren Musteranwendungen, die die Registrierung zwar nicht ersetzen, jedoch erleichtern sollen. MA001 Personentransport- und Hotelreservierung MA002 Zutrittskontrollsysteme MA003 KFZ-Zulassung durch beliehene Unternehmen MA004 Teilnahme am Informationsverbundsystem MA005 Teilnahme am Informationsverbundsystem FundInfo.at ARGE DATEN ARGE DATEN

122 Registrierungsfreiheit (§ 17)
DSG Registrierung und Genehmigung Registrierungsfreiheit (§ 17) - Standardanwendungen - DA enthält ausschließlich (!) veröffentlichte Daten (typischerweise Telefonbuch-CDs u.ä.) - Führung öffentlich einsehbarer, gesetzlich vorgesehener Register - ausschließlich indirekt personenbezogene Daten - persönliche Datenanwendungen - publizistische Datenanwendungen - manuelle Datenanwendungen, die nicht der Vorabkontrolle unterliegen - bestimmte DA‘s der Republik Österreich - DA für Zwecke der Strafverfolgung Folgende Datenanwendungen sind nicht zu registrieren (§ 17)‏ - nicht-automatisierte ("manuelle") Datenanwendungen, die nicht der Vorabkontrolle unterliegen - DA enthält ausschließlich (!) schon vorher veröffentlichte Daten (Abs. 2 Z 1)‏ - DA dient zum Führen gesetzlich vorgesehener öffentlich einsehbarer Register (Abs. 2 Z 2)‏ Beispiele: Grundbuch, Firmenbuch, auch Melderegister - DA enthält nur indirekt personenbezogene Daten (Abs. 2 Z 3)‏ - bei persönlichen DA's (Abs. 2 Z 4)‏ - für publizistische Zwecke (Abs. 2 Z 5)‏ - bei Standardanwendungen (Abs. 2 Z 6) Beispiel: SA022 Kundenbetreuung/Marketing, SA001Rechnungswesen/Logistik, SA002 Personalverwaltung - bestimmte Datenanwendungen der Republik Österreich (Abs. 3): Schutz der verfassungsmäßigen Einrichtungen der Republik Österreich (Abs. 3 Z 1) Sicherung der Einsatzbereitschaft des Bundesheeres (Abs. 3 Z 2) Sicherung der Interessen der umfassenden Landesverteidigung (Abs. 3 Z 3) Schutz wichtiger außenpolitischer, wirtschaftlicher oder finanzieller Interessen der Republik Ö oder der EU (Abs. 3 Z 4) Vorbeugung, Verhinderung und Verfolgung von Straftaten (Abs. 3 Z5)‏ Die Ausnahmetatbestände des Abs. 3 stellen keine generellen Ausnahmen für alle DA's bestimmter Behörden dar ARGE DATEN ARGE DATEN

123 Registrierungsverfahren (seit 1.9.2012)
DSG Registrierung Registrierungsverfahren (seit ) (DSG 2000 § 17 Abs. 1a) - Meldungen haben über Internetanwendung zu erfolgen - Authentifizierung erfolgt durch Bürgerkarte, Handy- Signatur oder USP - -Meldung und nicht-elektronische Meldung bei manuellen Dateien und bei längerem technischen Ausfall der Internetanwendung möglich - Details sind in der Verordnung des BKA nach § 16 Abs. 3 geregelt (DSG 2000 § 19 Abs. 3a) - Erklärung des Auftraggebers ob es sich um vorabkontrollpflichtige Datenanwendung handelt Geänderte Bestimmungen (DSG-Novelle 2010) § 17 Abs. 1a (neu): “(1a) Die Meldung ist in elektronischer Form im Wege der vom Bundeskanzler bereit zu stellenden Internetanwendung einzubringen. Die Identifizierung und Authentifizierung kann insbesondere durch die Bürgerkarte (§ 2 Z 10 des E-Government-Gesetzes, BGBl. I Nr. 10/2004) erfolgen. Nähere Bestimmungen über die Identifizierung und Authentifizierung sind in die gemäß § 16 Abs. 3 zu erlassende Verordnung aufzunehmen. Eine Meldung in Form von oder in nicht-elektronischer Form ist für manuelle Dateien sowie bei einem längeren technischen Ausfall der Internetanwendung zulässig.” § 19 Abs. 1 Z 3a (neu): “3a. die Erklärung, ob die Datenanwendung einen oder mehrere der in § 18 Abs. 2 Z 1 bis 4 oder § 50c Abs. 1 zweiter Satz genannten Tatbestände für die Vorabkontrollpflicht erfüllt, und” ARGE DATEN ARGE DATEN

124 Registrierungsverfahren II
DSG Registrierung Registrierungsverfahren II (DSG 2000 § 19 Abs. 2) - Möglichkeit der Meldung befristeter oder durch bestimmte Bedingungen/Auflagen beschränkte Datenanwendungen [etwa auch für reinen Testbetrieb] - Auflagen, Bedingungen und Befristungen müssen jedoch ausreichend bestimmt sein Die Prüf- und Verbesserungsbestimmungen §§ DSG wurden neu formuliert, § 22a (Überprüfungsverfahren) ist völlig neu. Geänderte Bestimmungen (DSG-Novelle 2010) Die bisherigen Abs. 2 und 3 des § 19 werden zu Abs. 3 und 4. Abs. 2 wird in § 19 eingefügt (neu): “(2) Der Auftrageber kann bei Einbringung der Meldung oder danach bis zum Abschluss des Registrierungsverfahrens zusagen, dass er sich beim Betrieb der Datenanwendung bestimmten Auflagen oder Bedingungen unterwerfen oder die Datenanwendung nur befristet betreiben wird. Eine derartige Zusage wird für den Auftraggeber mit der Registrierung durch die Datenschutzkommission rechtsverbindlich. Eine Registrierung darf nur erfolgen, wenn die zugesagte Auflage, Bedingung oder Befristung derart bestimmt ist, dass sie auch von der Datenschutzkommission nach § 21 Abs. 2 ausgesprochen werden könnte.” ARGE DATEN ARGE DATEN

125 Registrierungsverfahren III
DSG Registrierung Registrierungsverfahren III (DSG 2000 § 20 "Prüfungs- und Verbesserungsverfahren") - nicht vorabkontrollpflichtige Datenanwendungen sind nur mehr automationsunterstützt auf Vollständigkeit und Plausibilität zu prüfen (Abs. 1) - bei formalen Fehlern Möglichkeit der Verbesserung, wenn diese nicht erfolgen, gilt Meldung als nicht eingebracht (Abs. 2) - Vorabkontrollpflichtige Datenanwendungen und jene die nicht mittels Internetanwendung eingebracht wurden, sind binnen zwei Monaten auf Mangelhaftigkeit nach § 19 Abs. 4 zu prüfen, allenfalls ist Verbesserungsauftrag zu erteilen (Abs. 3) - Verbesserungsauftrag hemmt Registrierungsverfahren (es gelten die Fristen nach AVG) Geänderte Bestimmungen (DSG-Novelle 2010) § 20 (geändert): “Prüfungs- und Verbesserungsverfahren § 20. (1) Meldungen von Datenanwendungen, die nach Angabe des Auftraggebers nicht einen der Tatbestände des § 18 Abs. 2 Z 1 bis 4 erfüllen, sind nur automationsunterstützt auf ihre Vollständigkeit und Plausibilität zu prüfen. Ist demnach die Meldung nicht fehlerhaft, so ist sie sofort zu registrieren. (2) Wird bei der automationsunterstützten Prüfung ein Fehler der Meldung festgestellt, so ist dem Auftraggeber die Möglichkeit zur Verbesserung einzuräumen. Gleichzeitig ist er darauf hinzuweisen, dass die Meldung als nicht eingebracht gilt, wenn keine Verbesserung erfolgt oder er auf der Einbringung der unverbesserten Meldung besteht. Im letztgenannten Fall kann der Einbringer die Meldung schriftlich unter Anschluss der ausgedruckten Fehlermeldung der Datenschutzkommission übermitteln, welche die Meldung auf Mangelhaftigkeit im Sinn des § 19 Abs. 4 zu prüfen hat. (3) Meldungen, die der Auftraggeber als vorabkontrollpflichtig bezeichnet hat oder von diesem zulässigerweise nicht im Wege der Internetanwendung (§ 17 Abs. 1a) eingebracht wurden, sind auf Mangelhaftigkeit im Sinn des § 19 Abs. 4 zu prüfen. (4) Ergibt die Prüfung nach § 19 Abs. 4 eine Mangelhaftigkeit der Meldung, so ist dem Auftraggeber innerhalb von zwei Monaten nach Einlangen der Meldung die Verbesserung unter Setzung einer angemessenen Frist aufzutragen. Im Verbesserungsauftrag ist auf die Rechtsfolgen einer Nichtbefolgung nach Abs. 5 hinzuweisen. (5) Wird dem Verbesserungsauftrag nicht entsprochen, ist die Registrierung der Meldung durch eine schriftliche Mitteilung abzulehnen. In die Mitteilung sind aufzunehmen: 1. die Punkte, in denen der Verbesserungsauftrag nicht erfüllt wurde und 2. der Hinweis, dass innerhalb von zwei Wochen ab Zustellung bei der Datenschutzkommission ein Antrag gestellt werden kann, über die Ablehnung mit Bescheid abzusprechen. Nach Absendung der Mitteilung erstattete Verbesserungen sind nicht zu berücksichtigen. ARGE DATEN ARGE DATEN

126 DSG 2000 - Internationaler Datenverkehr
Internationaler Datenverkehr (§§ 12, 13, 55) Genehmigungsfreiheit (EU: "Datenexport") - innergemeinschaftlicher Datenverkehr - gleichwertige Datenschutzgesetzgebung - im Inland zulässigerweise veröffentlichte Daten - notwendige Grundlage zur Vertragserfüllung mit Betroffenen - persönliche oder publizistische DA‘s - mit Zustimmung des Betroffenen - wenn Datenverkehr in Standard- und Musteranwendungen vorgesehen - bei Akten und Dokumenten (Entscheidung DSK K /13- DSK/00 "gegenseitige Information zu Waffenexporten") - Theoretisch: bei Verwendung der EU-Standardvertragsklauseln (jedoch fehlt Verordnung des Bundeskanzlers!) Genehmigungsfrei im innergemeinschaftlichen Datenverkehr (EU-weit), sofern die Datenverarbeitungen dem Recht der Europäischen Gemeinschaft unterliegen (Abs. 1) (gilt auch für Daten juristischer/sonstiger Personen)‏ in Ländern mit gleichwertigen Datenschutzgesetzgebungen (Abs. 2)‏ im Inland zulässigerweise veröffentlichte Daten (Abs. 3 Z 1)‏ aus persönlichen oder publizistischen Datenanwendungen (Abs. 3 Z 4)‏ aufgrund der Zustimmung des Betroffenen (Abs. 3 Z 5)‏ als notwendige Grundlage zur Erfüllung eines mit dem Betroffenen abgeschlossenen Vertrages (Abs. 3 Z 6)‏ Weitere Gründe für einen genehmigungsfreien Datenverkehr indirekt personenbezogene Daten (Abs. 3 Z 2)‏ innerstaatliche Vorschriften verlangen Datenverkehr (Abs. 3 Z 3)‏ als notwendige Grundlage zur Erfüllung eines im Interesse des Betroffenen abgeschlossenen Vertrages (Abs. 3 Z 6)‏ notwendig zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen gegenüber ausländischen Behörden (Abs. 3 Z 7)‏ bei Standard- und Musterverordnungen (Abs. 3 Z 8)‏ Datenverkehr mit österreichischen Dienststellen im Ausland (Abs. 3 Z 9)‏ wenn keine Meldepflicht gem. § 17 Abs. 3 ("öffentliche Sicherheit") besteht (Abs. 3 Z 10)‏ zur Wahrung eines wichtigen öffentlichen Interesses (Abs. 4 Z 1)‏ zur dringlichen Wahrung eines lebenswichtigen Interesses einer Person (Abs. 4 Z 2)‏ ARGE DATEN ARGE DATEN

127 Genehmigungsfrei (weil gleichwertig)
DSG Internationaler Datenverkehr Genehmigungsfrei (weil gleichwertig) - gleichwertig auf Grund EWR-Verträge Island, Norwegen, Liechtenstein - gleichwertig gem. Kommissionsentscheidung Schweiz ( ), Kanada ( ), Argentinien ( ), Israel ( ), Uruguay ( ), Neuseeland ( ) + Andorra, Färöer Islands, Guernsey, Isle of Man, Jersey - USA (nur bereichs- oder unternehmensbezogen, etwa wenn SafeHarbour-Vereinbarung beigetreten, SWIFT- oder PassengerNameRecord-Abkommen) bei allen anderen Staaten hat sich der Betroffene bzw. der Auftraggeber um den Datenschutz zu kümmern Aktueller Stand der gleichwertigen Länder: transfers/adequacy/index_en.htm (STAND: 3/2015)‏ Suchbegriffe: "Commission decisions adequacy protection personal data third countries" auf EG-Standardvertragsklauseln: Version 1 (2001): ftp://ftp.freenet.at/privacy/ds-eu/eg-standardvertragsklauseln-1.pdf Version 2 (2004): ftp://ftp.freenet.at/privacy/eu-ds/eu-standardvertragsklauseln-2.pdf Wichtige Vertragselemente der Standardvertragsklauseln Auswahlhaftung des Datenexporteurs: muss sich von der Fähigkeit des Importeurs bei der Einhaltung der Datenschutzbestimmungen überzeugen bei Datenschutzverletzungen: zuständig ist das Gericht, in dem Land in dem der Datenexporteur seinen Sitz hat Durchsetzungfrist bei Datenschutzrechten: ein Monat Einsetzbarkeit der Standardvertragsklauseln in Österreich nur beschränkt gegeben: Genehmigung durch DSB trotzdem erforderlich. ARGE DATEN ARGE DATEN

128 Internationaler Datenverkehr II (§§ 12, 13, 55) Genehmigungspflicht
DSG Internationaler Datenverkehr Internationaler Datenverkehr II (§§ 12, 13, 55) Genehmigungspflicht in allen anderen Fällen besteht Genehmigungspflicht (§ 13) die Genehmigung hat die DSB zu erteilen: - die Feststellungen der Europäischen Kommission sind zu beachten (Abs. 2) - im konkreten Genehmigungsfall besteht ein angemessenes Schutzniveau (Abs. 2 Z 1) [z.B. Verwendung von EU Mustervereinbarungen] - Antragsteller macht den Schutz der Geheimhaltungsinteressen des Betroffenen glaubhaft (Abs. 2 Z 2) - Novelle 2010: Möglichkeit einseitiger verbindlicher Zusagen des Auftraggebers für internationalen Datenverkehr (Abs. 2 Z 2) - seit sind vor erteilte Genehmigungen zu erneuern (sofern weiterhin Genehmigung erforderlich) - ARGE DATEN ARGE DATEN

129 Datenschutzaufsicht (§§ 35-40)
DSG Kontrollbestimmungen Datenschutzaufsicht (§§ 35-40) bis : Datenschutzkommission (DSK) - Oberste Kontrollbehörde [jedoch nicht für alle Bereiche] - als "unabhängige" Instanz eingerichtet (Form eines Tribunals) - 6 Mitglieder + 6 Ersatzmitglieder - Geschäftsapparat: 20 Personen, davon 11 A-Beamte (lt. DSK-Bericht 2009), EU-Schnitt: 45 Personen! (Verteilung: 11,5 MA für DVR, 8,5 MA für alles andere) - EuGH hat für Österreich mangelnde Unabhängigkeit der DSK festgestellt, in DSG-Novelle 2013 saniert ab : Datenschutzbehörde (DSB) - Kontrollbehörde erster Instanz (Verwaltungseinrichtung) - Beschwerde- und Aufsichtsstelle (zweite Instanz): Teil des "Bundesverwaltungsgericht" Zusammensetzung DSK bis (§ 36 DSG 2000) 1 richterliches Mitglied (Vorsitz, Vorschlag des OGH), 2 Ländervertreter, 1 Bundesvertreter, 1 Vertreter der Wirtschaftskammer, 1 Vertreter der Arbeiterkammer + je ein Ersatzmitglied Personelle Zusammensetzung Mitglieder letzter Stand 12/2013: * Dr. Anton SPENLING, Vorsitzender (richterliches Mitglied) * Dr. Eva SOUHRADA-KIRCHMAYER, geschäftsführendes Mitglied (seit ) * Mag. Helmut HUTTERER (Vertretung Land) * Dr. Claudia ROSENMAYR-KLEMENZ (Vertretung WKO) * Dr. Klaus Heissenberger (Vertretung Land) * Mag. Daniela ZIMMER (Vertretung Arbeiterkammer) Besetzung des Büros der Datenschutzkommission im Europa-Vergleich unterdurchschnittlich (Position 27 von 31 untersuchten Ländern, DSK-Bericht 2007), nicht einmal 50% der durchschnittlichen Planposten wird erreicht (Ö 20 Planposten, EU- Schnitt: 45 Planposten) Seit gibt es keine Datenschutzkommission mehr! ARGE DATEN ARGE DATEN

130 Informationspflichten & Betroffenenrechte
Recht auf Geheimhaltung (§ 1ff) Informationspflicht (§ 24) Recht auf Auskunft (§ 26) Recht auf Berichtigung & Löschung (§ 27) Recht auf Widerspruch (§ 28) - Recht auf Widerruf (§ 8, 9) ARGE DATEN ARGE DATEN

131 Entscheidungen zu § 1 DSG 2000
DSG Grundlagen Entscheidungen zu § 1 DSG 2000 DSK K / K ("Geburtsdatum") Geburtsdatum auf Rsa-Schreiben zulässig, auf Infobroschüre des BMLV nicht DSK K /0015-DSK/2012 ("Geburtstagsabfragen") Schon die Abfrage des Geburtsdatums zum Zwecke des Glückwunsches durch den Bürgermeister ist unzulässig, wenn nicht gesetzlich geregelt. OGH 11Os109/01 ("allgemeine Verfügbarkeit") Geheimhaltungsanspruch auch dann gegeben, wenn Information durch Betroffenen selbst an einen beschränkten Kreis weiter gegeben wurde DSK K /002-DSK/2003: "Das belangte Organ hat den Beschwerdeführer dadurch, dass es über ihn in der Rubrik 'Stellung im Haushalt' die Eintragung 'Haushaltsvorstand' gespeichert hat, in seinem Recht auf Geheimhaltung gemäß § 1 Abs. 1 DSG in Verbindung mit § 6 DSG verletzt." (RIS)‏ DSK K /14-DSK/00: "Schreiben Privater oder Firmen oder Institutionen, die den Direktor und die Kollegenschaft betreffen, werden, je nach Inhalt und Bedeutung, im Konferenzzimmer oder Sozialraum zur allgemeinen Kenntnisnahme ausgehängt. Auf Grund der allgemein gehaltenen Adressierung scheint die gewählte Vorgangsweise des BRG durch Aushang im Konferenzzimmer, das prinzipiell nur der Lehrerschaft zugänglich ist, als durchaus angemessen." (RIS)‏ DSK K /003-DSK/2002: ("SV-Auskunft") Auskunft über Beschäftigung im Rahmen eines Unterhaltsverfahrens ist unzulässig, wenn nicht vorher Betroffener befragt wurde ("gelindeste Mittel") "..zuerst der Unterhaltspflichtige zu befragen ist und nur dann, wenn dies nicht zum Ziel führt, der Arbeitgeber oder der zuständige Sozialversicherungsträger zur Auskunft heranzuziehen ist. Dies entspricht auch dem datenschutzrechtlichen Grundsatz, wonach stets das gelindeste zum Ziel führende Mittel anzuwenden ist, wenn durch die Ermittlung (oder Übermittlung) von Daten in die schutzwürdigen Geheimhaltungsinteressen einer Person eingegriffen wird. " ARGE DATEN ARGE DATEN

132 Informationspflicht (§ 24 / Art. 10, 11, 14 EG-RL)
DSG Informationspflicht Informationspflicht (§ 24 / Art. 10, 11, 14 EG-RL) Informationspflicht anlässlich Ermittlung Zweck Auftraggeber Spätestens zum Zeitpunkt der Übermittlung Entfällt, - bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind oder - bei mangelnder Erreichbarkeit der Betroffenen oder - bei Unwahrscheinlichkeit der Beeinträchtigung der Betroffenenrechte und Höhe der Kosten der Information Informationspflicht ist "Bringschuld" des Auftraggebers! Bei Kundenbeziehungen leicht zu erfüllen, ein Problem jedoch dort, wo Daten ohne Kundenbeziehungen verwendet werden (z.B. Adressenverlagen / Informationsdiensten) Betroffene sind aus Anlass der Ermittlung zu informieren über Zweck der DA Namen/Adresse des Auftraggebers Notwendige weitere Informationen sind in geeigneter Weise zu geben: Widerspruchsrechte gegen Übermittlungen rechtliche Verpflichtung zur Beantwortung von Fragen Verarbeitung in einem Informationsverbundsystem, ohne gesetzlichen Auftrag Werden Daten nicht direkt beim Betroffenen ermittelt, entfällt die Informationspflicht: bei Datenanwendungen, die durch Gesetz/Verordnung eingerichtet sind oder bei mangelnder Erreichbarkeit der Betroffenen oder bei Unwahrscheinlichkeit der Beeinträchtigung der Betroffenenrechte und Höhe der Kosten der Information Keine Informationspflicht besteht bei jenen Datenanwendungen, die gemäß § 17 Abs. 2 und 3 nicht meldepflichtig sind [persönliche DA, publizistische DA, indirekt pesonenbezogene Daten, DA zum Schutz der Verfassung/Einsatzbereitschaft/Landesverteidigung/Strafverfolgung] ARGE DATEN ARGE DATEN

133 Informationspflicht ARGE DATEN ARGE DATEN
DSG Informationspflicht Informationspflicht (DSG 2000 § 24 Abs. 2a) Betroffene sind von Datenschutzverletzungen zu informieren - wenn schwerwiegend und systematisch - wenn Betroffenen Schaden droht - Ausnahme: keine Informationspflicht wenn Schaden nur "geringfügig" und Verständigungsaufwand "unverhältnismäßig hoch" Es handelt sich um eine Informationspflicht "light", die gegenüber dem ursprünglichen Entwurf erheblich reduziert wurde. Geänderte Bestimmungen (DSG-Novelle 2010) § 24 Abs. 2a (neu): “(2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Diese Verpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert.” [Ursprüngliche Version des Beamtenentwurfs (2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden, hat er darüber unverzüglich die Betroffenen zu informieren.] ARGE DATEN ARGE DATEN

134 Betroffenenrecht - Auskunft (§ 26) I
DSG Betroffenenrechte Betroffenenrecht - Auskunft (§ 26) I Auskunft ist auf Verlangen bei Nachweis der Identität zu geben (Abs. 1) [Berufung auf DSG nicht erforderlich!] Auskunftsfrist sind 8 Wochen (Abs. 4) Antragsteller hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3) ungerechtfertigter Aufwand ist zu vermeiden Auskunftsrecht unabhängig von Registrierungserfordernis [!!] von einem Vertragsverhältnis von tatsächlichem Vorhandensein von Daten von sonstigen Voraussetzungen (Verdacht des Datenmissbrauchs, einer Datenweitergabe, ...) Auskunftsbegehren kann mit Zustimmung des Auftraggebers mündlich gestellt werden (Abs. 1)‏ Auskunft kann mit Zustimmung des Betroffenen mündlich erteilt werden (Abs. 1)‏ Hinweis! Auskunftspflicht trifft auch auf nicht registrierte Verarbeitungen zu! umfasst also auch Standardanwendungen, persönliche Datenanwendungen oder DAs für publizistische Tätigkeit Typische geeignete Identitätsnachweise: bei Kundenbeziehungen: Stammdatenvergleich, Unterschriftenvergleich ohne Kundenbeziehung: Antwort eingeschrieben bzw. eingeschrieben/eigenhändig zusenden Ausweisdokument vorlegen (Kopie)‏ ARGE DATEN ARGE DATEN

135 Betroffenenrecht - Auskunft (§ 26) II
DSG Betroffenenrechte Betroffenenrecht - Auskunft (§ 26) II Auftraggeber hat Auskunft zu erteilen über Zweck der Datenanwendung die verwendeten Daten in allgemein verständlicher Form verfügbare Information über ihre Herkunft allfällige Empfänger oder Empfängerkreise von Übermittlungen Name und Adresse des Dienstleisters (muss vom Betroffenen extra verlangt werden) 4 Monate Löschungsverbot nach Einlangen des Auskunftsbegehrens, aber DSG-Novelle 2010: kein Löschungsverbots in jenen Fällen, bei denen der Auskunftswerber (Betroffene) die Löschung wünscht (Abs. 7) Auskunftsbegehren und Auskunft haben schriftlich zu erfolgen, Abweichung im Einverständnis der Gegenseite möglich  DSK K /0008-DSK/2009 Fax & erfüllen Schriftform Kostenlose Auskunft ist jedenfalls zu erteilen (Abs. 6), wenn: Auskunft aktuellen Datenbestand betrifft und im laufenden Jahr noch keine Auskunft zum selben Aufgabengebiet des Auftraggebers erfolgte In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden (Abs. 6)‏ bei höheren tatsächlichen Kosten kann davon abgewichen werden Führt die Auskunft zu einer Löschung oder Richtigstellung, sind die Kosten auf jeden Fall zu ersetzen. Ergänzungen begründen noch keine Kostenforderung Löschungsverbot von 4 Monaten nach Einlangen der Auskunft (Abs. 7)‏ Bei Beschwerde vor der DSB Löschungsverbot bis zum Abschluss des rechtskräftigen Verfahrens ARGE DATEN ARGE DATEN

136 Auskunftsrecht ist "Holschuld" des Betroffenen!
DSG Betroffenenrechte Betroffenenrecht - Auskunft (§ 26) III begründete Auskunftsverweigerung / Auskunftsbegrenzungen sind möglich, u.a. - Schikaneverbot: Betroffener wurden Daten schon mitgeteilt (etwa Kontoauszüge, OGH 6Ob25/90), trifft nicht zu, dass ein Betroffener bestimmte Daten sowieso "wissen" müsste - überwiegende Interessen des Auftraggebers oder Dritter - aus therapeutischen Gründen (Gesundheitszustand) - formale Gründe: fehlender Identitätsnachweis, fehlender Kostenersatz, fehlende Mitwirkung, ... Auskunft ist einmal im Jahr bei aktuellen Daten kostenfrei ansonsten tatsächliche Kosten oder pauschalierter Ersatz Auskunftsrecht ist "Holschuld" des Betroffenen! Gründe für Auskunftsverweigerung wenn Daten dem Betroffenen aus anderen Quellen bekannt sind (Kontoauszug, Online abrufbar, ...) überwiegende berechtigte Interessen des Auftraggebers überwiegende berechtigte Interessen eines Dritten überwiegende öffentliche Interessen wenn Betroffener nicht mitwirkt , insbesondere Kosten nicht bezahlt werden oder kein geeigneter Identitäsnachweis möglich ist wenn ein erforderlicher Kostenersatz nicht geleistet wird zum Schutz des Betroffenen ("Therapeutisches Privileg")‏ Auskunftsrecht steht in Verfassungsrang und kann daher nicht ohne weiters gesetzlich eingeschränkt werden. ARGE DATEN ARGE DATEN

137 DSK K121.017/0009-DSK/2005 ("Prüfungsdaten")
DSG Auskunftsrechte DSK K /0009-DSK/2005 ("Prüfungsdaten") Ausgangslage - Betroffener nahm an (Berufsqualifikations-)Prüfung teil - hatte umfangreiche Angaben zur Person zu machen - Test wurde negativ beurteilt - Einsicht in Beurteilung brachte schwere Mängel - Auskunft gem. DSG wurde verweigert, da diese nur "persönliche Daten", aber nicht Leistungsdaten erfasse DSK-Entscheidung - Auskunftsrecht wurde verletzt - Auskunft über Prüfungsdaten, die als Excel-Sheet vorliegen ist zu erteilen - ausschließlich auf Papier angefertigte Fallbeispiele unterliegen nicht der Auskunftspflicht - die persönlichen Daten des Prüfers sind nicht zu beauskunften DSK K /0009-DSK/2005 Das ausschließlich in Papierform vorliegende Anmeldeformular sowie die ebenfalls ausschließlich in Papierform aufbewahrten, vom Beschwerdeführer während seiner Prüfung angefertigten Fallbeispiele unterliegen gemäß der angeführten Rechtsprechung nicht der Pflicht zur Auskunftserteilung, weshalb die Beschwerde diesbezüglich abzuweisen war. Auch hinsichtlich der Verweigerung der Auskunftserteilung über den Namen und die Adresse des Assessors hat die Beschwerdegegnerin das Auskunftsrecht des Beschwerdeführers aus zwei Gründen nicht verletzt: Zum Einen steht dem Auskunftsanspruch des Beschwerdeführers der Geheimhaltungsanspruch des jeweiligen Assessors in Bezug auf seine personenbezogenen Daten (und dazu zählen Name und Adresse) gemäß § 1 Abs. 1 DSG 2000 entgegen (der Beschwerdeführer hat im Übrigen auch nicht dargetan, welchen Wert eine Weitergabe dieser Daten des Assessors für ihn hätte, was in einer Interessenabwägung gemäß § 1 Abs. 2 DSG 2000 zu seinen Gunsten hätte ausschlagen können), zum Anderen ist Name und Adresse des Assessors gar nicht Gegenstand des ursprünglichen Auskunftsbegehrens des Beschwerdeführers vom 21. Dezember 2004, in dem es ihm lediglich um die Beauskunftung „allfälliger Bewertungen durch Assessoren“, nicht aber um deren Identität selbst gegangen ist. Die Beschwerde war daher auch im Hinblick auf die Daten des Assessors als unbegründet abzuweisen. Wohl aber hat die Beschwerdegegnerin das Auskunftsrecht des Beschwerdeführers gemäß § 26 DSG 2000 dadurch verletzt, dass sie die in elektronischer Form vorhandenen Daten, das sind aus Sicht der Datenschutzkommission jedenfalls die Ergebnisse des Computertests sowie der gesamte Inhalt des über den Prüfungstag aufgenommenen Excel-Sheets, nicht beauskunftet hat. Die in diesen Aufzeichnungen über den Beschwerdeführer geführten Daten sind personenbezogene Daten iSd DSG 2000 (§ 4 Z 1) und der RL 95/46 (Art. 2 lit.a): Der verwendete Begriff „personenbezogene Daten bezieht sich nach der Definition des Art. 2 lit. a (der RL 95/46) auf alle Informationen über eine bestimmte oder bestimmbare natürliche Person“ (EuGH C-101/01). ARGE DATEN ARGE DATEN

138 Betroffenenrecht - Löschung/Richtigstellung (§ 27)
DSG Betroffenenrechte Betroffenenrecht - Löschung/Richtigstellung (§ 27) - grundsätzlich besteht Richtigstellungspflicht des Auftraggebers sobald Daten nicht mehr richtig, nicht (mehr) benötigte oder unzulässig verarbeitete Daten sind zu löschen - Betroffene können Richtigstellungsantrag stellen - Verpflichtung gilt auch für unvollständige Daten, veraltete Daten, irreführende Daten Beweislast der Richtigkeit von Daten, wenn beantragte Änderung verweigert wird, liegt beim Auftraggeber Jedoch! Werden Daten ausschließlich gemäß Betroffenenangaben verarbeitet hat der Betroffene Fehler/Änderung zu belegen Wachsende Bedeutung der Bestimmung, da immer öfter nur kurzfristig erforderliche Daten anfallen (Verkehrsdaten von ISP & Telekomunternehmen, Location-Based-Services, Smartphone-App-Daten) Wachsende Bedeutung der Bestimmung - Telekomdienste, Internet Service Provider - Logistik (Postzustellung, Paketzustellung)‏ - Verkehrsüberwachung (Maut, Section-Control)‏ Richtigstellungspflicht des Auftraggebers (Abs. 1)‏ Aus eigenem, sobald ihm die Unrichtigkeit der Daten bzw. Unzulässigkeit der Verarbeitung bekannt wurden (Z1)‏ auf begründeten Antrag des Betroffenen (Z2)‏ Frist zur Löschung/Richtigstellung: 8 Wochen (Abs. 4)‏ unvollständige Daten sind zu berichtigen, soweit es zum Zweck der Datenanwendung notwendig ist (Abs. 1)‏ nicht benötigte Daten entsprechen unzulässig verarbeiteten Daten und sind zu löschen (Abs. 1)‏ Ausnahme: die Archivierung der Daten ist rechtlich zulässig und der Zugang besonders geschützt Beweis der Richtigkeit liegt beim Auftraggeber (Abs. 2) Ausnahmen: gesetzlich anders angeordnet (!) Daten stammen ausschließlich vom Betroffenen ARGE DATEN ARGE DATEN

139 Betroffenenrecht - Widerruf / Widerspruch
DSG Betroffenenrechte Betroffenenrecht - Widerruf / Widerspruch freiwillige Zustimmung zur Verwendung von Daten kann jederzeit, ohne Angabe von Gründen widerrufen werden (§§ 8, 9) Widerspruch (§ 28) nur bei nicht gesetzlich vorgeschriebenen Datenanwendungen möglich - Widerspruchsrecht besteht auch bei gegebener Zustimmung! - in internen DA's: Widerspruch bei überwiegenden, schutzwürdigen Gründen - Widerspruch bei öffentlich zugänglichen Dateien ohne Begründung  vom Widerspruch betroffene Daten sind zu löschen  Hinweis! eine Gewerbeberechtigung ist keine gesetzliche Anordnung im Sinne des DSG Bei Widerruf wurden keine Fristen festgelegt, ist unverzüglich umzusetzen. Widerruf kann erhoben werden, wenn der Betroffene selbst einer Verwendung zugestimmt hat. (DSG 2000 § 8 Abs. 1 Z 2): Bewirkt die Unzulässigkeit der weiteren Verwendung der Daten. Widerspruch: Löschung/Nichtverwendung innerhalb von 8 Wochen nicht bei indirekt personenbezogenen Daten Widerspruch kann eingelegt werden, wenn eine Datenanwendung nicht gesetzlich vorgesehen ist und die Geheimhaltungsinteressen in einer besonderen Situation überwiegen (DSG 2000 § 28 Abs. 1). Das Widerspruchsrecht bezieht sich nicht auf indirekt personenbezogene Daten (§ 29)‏ Ziel der DS-RL war es, dann Widerspruch zu ermöglichen, wenn eine Datenanwendung nicht gesetzlich vorgesehen ist und nicht im Interesse des Betroffenen ist. ARGE DATEN ARGE DATEN

140 Entscheidungen Widerspruch
DSG Betroffenenrechte Entscheidungen Widerspruch OGH 6Ob195/08g - Löschung nach § 28 Abs. 2 DSG 2000 voraussetzungslos und unbegründet bei öffentlich zugänglichen Dateien möglich - Wirtschaftsauskunftsdienste betreiben öffentliche Dateien - Öffentlichkeitsbegriff: "größerer, durch geringe Zahl und indivduelle Merkmale nicht eingeschränkter Personenkreis", Kostenpflicht kein Kriterium für (Nicht-)Öffentlichkeit, ebenso kein Kriterium ist (Nicht-)Abrufbarkeit über Internet siehe auch DSK K /0011-DSK/2005 - Widerspruch anwendbar im Zusammenhang mit Wirtschaftsauskunftsdiensten - Widerspruch bedeutet auch das Verbot der Bekanntgabe, dass der Datenverwendung widersprochen wurde Rechtssatz zu OGH 6Ob195/08g: Rechtssatz: "Das Widerspruchsrecht des § 28 Abs 2 DSG ist nicht darauf eingeschränkt, dass sich der Widersprechende gegen seine Aufnahme als Person in die Datei wenden muss. Es stehe ihm auch frei, den Widerspruch nur gegen die Aufnahme bestimmter Datensätze zu erheben und als bloßes Minus die Löschung bloß eines Teils der Eintragung zu begehren." Beisatz: Schutzwürdige Interessen des Beklagten werden dadurch nicht beeinträchtigt, trifft diesen doch keine Pflicht, die um den vom Löschungsbegehren betroffenen Datensatz reduzierte Eintragung in seiner Datei zu belassen. Rechtssatz: § 28 Abs 1 DSG 2000 stellt auf den Sonderfall ab, dass die Datenanwendung zwar zulässig ist, eine aus der spezifischen Situation des Betroffenen heraus vorgenommene Interessenabwägung aber zu Gunsten des Betroffenen ausfällt. Der Rechtsweg des Betroffenen bei Nichtbeachtung des Widerspruchs führt im Fall eines Auftraggebers des öffentlichen Bereichs über die Datenschutzkommission zu den Gerichtshöfen des öffentlichen Rechts; im privaten Bereich sind für die Durchsetzung des Widerspruchsrechts die ordentlichen Gerichte berufen. Ein Widerspruch steht nur bei Verletzung überwiegender schutzwürdiger Geheimhaltungsinteressen zu, die sich aus einer besonderen Situation ergeben müssen. Nach § 28 Abs 2 DSG kann der Betroffene gegen eine nicht gesetzlich angeordnete Aufnahme in eine öffentlich zugängliche Datei jederzeit auch ohne Begründung seines Begehrens Widerspruch erheben. Rechtssatz: Ziel des Datenschutzrechts ist es, den Rechtsschutz der natürlichen oder juristischen Person oder Personengemeinschaft zu gewährleisten, deren Daten verwendet werden. Das Datenschutzgesetz ist allein auf den Schutz des Betroffenen ausgerichtet. Beisatz: Der Gesetzgeber stellt das Löschungsrecht ausschließlich in das Belieben des Betroffenen. Auf eine Dartuung eines besonderen Geheimhaltungsinteresses oder objektiv schutzwürdiger Interessen kommt es nicht an. ARGE DATEN ARGE DATEN

141 Weitere Bestimmungen ARGE DATEN ARGE DATEN Sicherheit Schadenersatz
Strafbestimmungen DSG 2000 - ARGE DATEN ARGE DATEN

142 Sicherheitsbestimmungen (§ 14)
DSG Sicherheitsbestimmungen Sicherheitsbestimmungen (§ 14) Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden: Stand der technischen Möglichkeiten entsprechend wirtschaftlich vertretbar angemessenes Schutzniveau muss erreicht werden In Österreich gibt es seit 2003 ein "offizielles" IT-Sicherheitshandbuch, das 2007 in Version 2.3 vom Ministerrat empfohlen wurde seit 10/2014 gilt Version 4.0 des Informations-Sicherheitshandbuch Es gibt im DSG 2000 jedoch keine rechtlich verbindlichen (zwingenden) Sicherheitsvorschriften! MASSNAHMEN zur SICHERHEIT DSG 2000: „§ 14. (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind.“ Sicherheitsvorschriften müssen für die Mitarbeiter jederzeit einschaubar sein (Abs. 6) Umsetzung sollte nach anerkannten Verfahren oder Leitlinien erfolgen Technische Maßnahmen ohne security policy sind ineffektiv! Wesentlicher Bestandteil jeder "security policy" sind die tatsächlich erteilten Verarbeitungs- und Verwendungsanweisungen Beispiele: BSI-Grundschutz, Sicherheitshandbücher, ... Informationen zum österreichischen IT-Sicherheitshandbuch: https://www.sicherheitshandbuch.gv.at/2013/index.php Verwendung von Sicherheitskonzepten entlasten in der individuellen Haftung, können aber zu unerwünschter Delegation von Verantwortung führen WKO hat Sicherheitshandbuch mit eher volksbildnerischen Charakter herausgebracht: ARGE DATEN ARGE DATEN

143 ARGE DATEN ARGE DATEN DSG 2000 - Sicherheitsbestimmungen
rechtlich-organisatorische Sicherheitsmaßnahmen - ausdrückliche Aufgabenverteilung - ausschließlich auftragsgemäße Datenverwendung - Belehrungspflicht der Mitarbeiter - Regelung der Zugriffs- und Zutrittsberechtigungen - Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten - Dokumentationspflicht zur Kontrolle und Beweissicherung - Protokollierungspflicht Die Maßnahmen können als Verpflichtung zu einer Security-Policy verstanden werden! z.B. gemäß BSI M Erstellung einer IT-Sicherheitsleitlinie oder ISO Informationssicherheitsleitlinie Beachtung technischer Maßnahmen laufende Beobachtung diverser Mailinglisten (CERT), Publikationen der Art. 29 Datenschutzgruppe der EU, Anlehnung an bestehende Konzepte und Empfehlungen BSI-Handbuch, IT-Sicherheitshandbücher, Datenschutzgütesiegel Befassung externer Berater (Wirtschaftstreuhänder, Sicherheitsberater, ...), Outsourcing einzelner IT-Sicherheitsaspekte an ISP, Dienstleister SPAM- und Viren/Wurm-Kontrolle, Firewall, ... Arbeitspapiere der Art.29 Gruppe Auswahl: - verbindlichen unternehmensinternen Datenschutzregelungen für Auftragsverarbeiter (Binding Corporate Rules) - Arbeitspapier über genetische Daten - unerbetenen Werbenachrichten - Verarbeitung personenbezogener Daten aus der Videoüberwachung - vertrauenswürdige Rechnerplattformen Bestimmungen können zu Unvereinbarkeitsregeln führen, z.B. Verbot der Personenidentität von IT-Admin und IT-Sicherheitsbeauftragten ARGE DATEN ARGE DATEN

144 Protokollierungsanforderungen I (§ 14)
DSG Sicherheitsbestimmungen Protokollierungsanforderungen I (§ 14) Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z7) betrifft auch Abfragen müssen "im Hinblick auf die Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können" Protokollierungspflicht nicht registrierter Übermittlungen (Abs. 3) betrifft nur auskunftspflichtige Datenanwendungen Übermittlungen gemäß Standard- oder Musterverordnung sind nicht zu protokollieren § 14 DSG 2000 Datensicherheitsmaßnahmen (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich sind. (2) Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz erforderlich ist, 1. die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festzulegen, 2. die Verwendung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden, 3. jeder Mitarbeiter über seine nach diesem Bundesgesetz und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten zu belehren, 4. die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder Dienstleisters zu regeln, 5. die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte zu regeln, 6. die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festzulegen und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abzusichern, 7. Protokoll zu führen, damit tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können, ARGE DATEN ARGE DATEN

145 Protokollierungsanforderungen II (§ 14)
DSG Sicherheitsbestimmungen Protokollierungsanforderungen II (§ 14) - Protokolldaten dürfen nur eingeschränkt verwendet werden (zur Kontrolle der Zulässigkeit der Verwendung) - unzulässig wäre die Kontrolle der Betroffenen oder der Mitarbeiter (z.B. durch Auswertung von Zugriffen!!) - zulässig ist die Verwendung zur Aufklärung von Straftaten, die mit mehr als fünfjähriger Freiheitsstrafe bedroht sind - Aufbewahrungsdauer ist drei Jahre, sofern gesetzliche Bestimmungen nichts anderes vorsehen - Frühere Löschung zulässig, wenn betroffener Datenbestand ebenfalls gelöscht ist § 14 DSG 2000 (Fortsetzung) 8. eine Dokumentation über die nach Z 1 bis 7 getroffenen Maßnahmen zu führen, um die Kontrolle und Beweissicherung zu erleichtern. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei der Durchführung erwachsenden Kosten ein Schutzniveau gewährleisten, das den von der Verwendung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist. (3) Nicht registrierte Übermittlungen aus Datenanwendungen, die einer Verpflichtung zur Auskunftserteilung gemäß § 26 unterliegen, sind so zu protokollieren, daß dem Betroffenen Auskunft gemäß § 26 gegeben werden kann. In der Standardverordnung (§ 17 Abs. 2 Z 6) oder in der Musterverordnung (§ 19 Abs. 2) vorgesehene Übermittlungen bedürfen keiner Protokollierung. (4) Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden, die mit ihrem Ermittlungszweck – das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes – unvereinbar sind. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck der Kontrolle jener Personen, die auf den protokollierten Datenbestand zugegriffen haben, aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, handelt. (5) Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist, sind Protokoll- und Dokumentationsdaten drei Jahre lang aufzubewahren. Davon darf in jenem Ausmaß abgewichen werden, als der von der Protokollierung oder Dokumentation betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird. (6) Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung zu halten, daß sich die Mitarbeiter über die für sie geltenden Regelungen jederzeit informieren können.  Protokolldaten sind manipulationssicher "revisionssicher"aufzubewahren (z.B elektronisch signiert) ARGE DATEN ARGE DATEN

146 Umsetzung Protokollierungsanforderungen
DSG Sicherheitsbestimmungen Umsetzung Protokollierungsanforderungen Empfehlung für den öffentlichen Bereich: Common Audit Trail v1.0 - regelt: Inhalt, Übermittlung und Auswertung der Protokolle - Aufbewahrungsdauer generell: 3 Jahre, bei Übermittlung zu Revissionszwecke: Löschung nach Abschluss der Revision - Inhalt: UTF-8 kodiert, lokale Uhrzeit (M=muss, K=kann) Anfragedatum & -zeit (M), Benutzerkennung (M) + Anwendername (K), Organisationseinheit (M), Applikationskennung (M), Verarbeitungsart (M), Bearbeitungsgrund (K), Transaktionskennzeichen (K), Abfrage/Ergebnis (K) Empfehlung für den öffentlichen Bereich siehe 1.1 Zweck Damit Anwendungsverantwortliche, Stammportalbetreiber und zugriffsberechtigte Stellen ihre Rechte und Pflichten nach dem Datenschutzgesetz 2000 und der Portalverbundvereinbarung erfüllen können, ist für Anwendungen eine Protokollierung von Informationen, die der Nachvollziehbarkeit der tatsächlichen Verwendung der Daten dienen, unverzichtbar. Die Protokollierungspflicht trifft in erster Linie den Anwendungsverantwortlichen (Auftraggeber nach DSG 20001 Da Anwendungsverantwortliche Anwendungen der unterschiedlichsten Zwecke und Ausprägungen betreiben können, lässt sich naturgemäß kaum ein einheitliches Format für alle Protokolle festlegen. Für die Durchführung einer Revision bzw. der Überprüfung der Zulässigkeit von Zugriffen auf eine Anwendung im Einzelfall sind jedoch Mindestanforderungen für ein zu übermittelndes Protokoll für die Prüfzwecke erforderlich. Nur diese werden in der gegenständlichen Spezifikation definiert.  jedoch: Empfehlung enthält keine Regelung zur revisionssicheren Aufbewahrung ARGE DATEN ARGE DATEN

147 Verpflichtung zum Datengeheimnis (§ 15)
DSG Verschwiegenheitsverpflichtung Verpflichtung zum Datengeheimnis (§ 15) Mitarbeiter sind - soweit nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden. Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln. Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren. Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung kein Nachteil erwachsen. Bereitstellungspflicht der Datensicherheitsmaßnahmen (§ 14 Abs. 6) § 15 DSG 2000 Datengeheimnis (1) Auftraggeber, Dienstleister und ihre Mitarbeiter – das sind Arbeitnehmer (Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben Daten aus Datenanwendungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht (Datengeheimnis). (2) Mitarbeiter dürfen Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln. Auftraggeber und Dienstleister haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, daß sie Daten aus Datenanwendungen nur auf Grund von Anordnungen übermitteln und das Datengeheimnis auch nach Beendigung des Arbeits(Dienst)verhältnisses zum Auftraggeber oder Dienstleister einhalten werden. (3) Auftraggeber und Dienstleister dürfen Anordnungen zur Übermittlung von Daten nur erteilen, wenn dies nach den Bestimmungen dieses Bundesgesetzes zulässig ist. Sie haben die von der Anordnung betroffenen Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zu belehren. (4) Unbeschadet des verfassungsrechtlichen Weisungsrechts darf einem Mitarbeiter aus der Verweigerung der Befolgung einer Anordnung zur Datenübermittlung wegen Verstoßes gegen die Bestimmungen dieses Bundesgesetzes kein Nachteil erwachsen. ARGE DATEN ARGE DATEN

148 Haftung bei fehlenden Weisungen zur Datensicherheit
Sicherheitsmaßnahmen - Haftung Haftung bei fehlenden Weisungen zur Datensicherheit OGH Entscheidung (9 Ob A 182/90) Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden. Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren. Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen". Die Festlegung eines Sicherheitskonzepts ist Kernaufgabe einer Geschäftsführung! Weitere Informationen im ARGE DATEN - Archiv: Unter 9 Ob A 182/90 entschied am der OGH, dass bei fehlenden Datensicherungsmaßnahmen auf jeden Fall eine Haftung des Arbeitnehmers ausgeschlossen ist. Die Begründung im einzelnen: UUU war bis bei XXX beschäftigt. Er hatte dort Programmierarbeiten durchzuführen. Das Angestelltenverhältnis wurde durch vorzeitigen Austritt des Klägers beendet. Dieser hatte eine Entgeltforderung in der Höhe von S ,24. Diese Forderung wurde von XXX nicht bestritten, jedoch mit einem "Schaden" von S , der durch das Verschwinden und aufgrund einer fehlenden Dokumentation nicht mehr rekonstruierbaren Computerprogrammes entstand, gegengerechnet. Der Arbeitnehmer UUU klagte daher und erhielt in letzter Instanz recht. Bei Fehlen eines geeigneten Datensicherungs- bzw. Kennwortsystems und bei Fehlen entsprechender Arbeitgeberweisungen kann der Arbeitnehmer grundsätzlich nicht für den Verlust von EDV-Daten (Software) haftbar gemacht werden. Notwendig sind genaue Richtlinien unter anderem auch für die Vorgangsweise bei der Programmerstellung und das richtige und vollständige Dokumentieren. Bleiben die Weisungen unter diesen Gesichtspunkten unvollständig, so trägt der Arbeitgeber allein das Risiko, die entwickelte Software nur unvollständig oder überhaupt nicht nutzen zu können. Entscheidend kann für den Arbeitnehmer nur sein, ob er die vorgegebenen Weisungen eingehalten hat. ARGE DATEN ARGE DATEN

149 Haftung bei bei Datenmissbrauch
Sicherheitsmaßnahmen - Haftung Haftung bei bei Datenmissbrauch OGH Entscheidung (9 Ob 126/12s) Ausgangslage Ein Redakteur der Tageszeitung A versuchte durch "erraten" von Benutzerkennung/Passwort im Zuge der BUWOG-Causa in das interne System des Unternehmens P zu gelangen. Der Versuch misslang, auf Grund der IP-Adresse konnte der Standort des Täters ermittelt werden. Die Aktion führte zur fristlosen Entlassung des Mitarbeiters. Unternehmen P verlangt Unterlassungsklage Unternehmen P verlangt weiters von TZ A eine Unterlassungserklärung. Diese wird verweigert, da Redakteur nicht im Auftrag gehandelt habe, sich die TZ A von diesen Aktivitäten distanziere und daher der Redakteur nicht als Besorgungsgehilfe anzusehen ist. OGH verschärft Haftung der Betriebe bei Datenmissbrauch 6 Ob 126/12s siehe OGH: Abhilfemöglichkeit des Arbeitgebers reicht für Verantwortung aus Handle der unmittelbare Störer im Interesse oder im Verantwortungsbereich eines Dritten, so wäre dem Gestörten mit einem Anspruch bloß gegen den jederzeit austauschbaren unmittelbaren Störer wenig geholfen. Diese Überlegungen ließen sich auf den vorliegenden Fall übertragen. Die Beklagte habe den Computer mit der entsprechenden IP-Adresse zur Verfügung gestellt. Damit habe die Beklagte aber schon aufgrund dieses Umstands Einfluss auf Art und Weise der Benutzung dieses Anschlusses. Im Übrigen habe die Beklagte nach ihrem eigenen Vorbringen offenbar sogar direkte Durchgriffsrechte, hätte doch der Geschäftsführer der Beklagten den betreffenden Redakteur direkt suspendieren können. Resumee - Haftung der Unternehmen auch ohne Schaden Was auf den ersten Blick eher als skurriles Detail im Streit zwischen zwei Boulevardzeitungen anmutet, ist im Endeffekt ein wegweisendes Urteil. Die Haftung von Arbeitgebern für „Eigenaktionen“ einzelner Mitarbeiter wird damit wesentlich ausgeweitet. Fehlende interne Sicherheits- und Kontrollmaßnahmen können bei Betrieben rasch zu hohen zivil- und strafrechtlichen Verpflichtungen führen. Schon der Umstand, dass der Arbeitgeber sich seine Mitarbeiter aussuchen kann, ihnen die Arbeitsressourcen übergibt, ein Weisungs- und Kontrollrecht hat und die Mitarbeiter letztlich in seinem Interesse tätig werden, führt zu dessen Verantwortlichkeit für rechtswidrige Eingriffe. Dies ist auch zu begrüßen - ein Unterlassungsanspruch nur gegen den unmittelbaren Täter wäre hier so gut wie wirkungslos. Abhilfe schafft in solchen Fällen nur ein wirksames internes Sicherheitssystem, dass derartige Fälle verhindert. ARGE DATEN ARGE DATEN

150 Haftung bei bei Datenmissbrauch II
Sicherheitsmaßnahmen - Haftung Haftung bei bei Datenmissbrauch II OGH Entscheidung (9 Ob 126/12s) Entscheidung HG gibt Klage statt, Vorinstanz (OLG) weist Klage ab, OGH gibt Klage statt, Eingriff ist nach Besitzstörung und nicht nach Schadenersatz zu beurteilen. Eingriff in IT-System ist Besitzstörung Eingriff war im Interesse der TZ A Arbeitgeber hat Weisungs- und Kontrollrechte, kann sich Mitarbeiter aussuchen und Tätigkeitsbereich festlegen Zur Verfügung stellen von Computer und Internetanschluss reicht schon für Verantwortung der TZ A - Unternehmen hat Besitzstörung - auch ohne ausdrückliche Anordnung - zu verantworten ARGE DATEN ARGE DATEN

151 Schadenersatz (§ 33) ARGE DATEN ARGE DATEN
DSG Kontroll- & Strafbestimmungen Schadenersatz (§ 33) schuldhaftes Verhalten notwendig bei Verletzung von Bestimmungen des DSG 2000 ist tatsächlich erlittener materieller Schaden zu ersetzen bei Verletzungen der Geheimhaltung, die geeignet sind den Betroffenen bloßzustellen, gebührt Entschädigung Entschädigungsanspruch ist nicht beziffert, aber vergleichbar dem Mediengesetz geregelt [MedienG § 7: bis Euro] bei Veröffentlichungen in einem Medium gilt Mediengesetz Entschädigungsanspruch ist gegenüber dem Auftraggeber geltend zu machen Schuldhaftes Handeln = Vorsatz oder fahrlässiges Handeln DSG 2000: „§ 33. (1) Ein Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen den Bestimmungen dieses Bundesgesetzes verwendet, hat dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Werden durch die öffentlich zugängliche Verwendung der in § 18 Abs. 2 Z 1 bis 3 genannten Datenarten schutzwürdige Geheimhaltungsinteressen eines Betroffenen in einer Weise verletzt, die einer Eignung zur Bloßstellung gemäß § 7 Abs. 1 des Mediengesetzes, BGBl. Nr. 314/1981, gleichkommt, so gilt diese Bestimmung auch in Fällen, in welchen die öffentlich zugängliche Verwendung nicht in Form der Veröffentlichung in einem Medium geschieht. Der Anspruch auf angemessene Entschädigung für die erlittene Kränkung ist gegen den Auftraggeber der Datenverwendung geltend zu machen.“ Mögliche Beispiele: rechtswidriger Eintrag in Negativliste (OGH 6 Ob 275/05t )‏ Aushang der Hausverwaltung von Zahlungsrückständen im Hausflur öffentliche Bekanntgabe des Kirchenaustritts durch Pfarrer deponierte Personalakten mit abschätzigen Bemerkungen auf einem Parkplatz Übermittlung persönlicher Daten an Arbeitgeber (z.B. Bezug von Pornos, Ergebnisse von Beschwerde- und Verwaltungsverfahren) ARGE DATEN ARGE DATEN

152 LG Innsbruck 12 Cg 72/10h ("Mehrkosten")
DSG Schadenersatz LG Innsbruck 12 Cg 72/10h ("Mehrkosten") Ausgangslage - Diverse Firmen (Mobilunternehmen, Möbelhaus, Versandhändler) lehnen Geschäftsbeziehung wegen Exekutionsdaten ab LG-Entscheidung - Verwendete Daten stammen aus Exekutionsdatenbank der Justiz - abgelehnte Geschäfte führen zu einem Schaden (Mehrkosten: 56,- bei Möbelhaus, 2.274,35 höhere Mobilfunkgebühren, ...) ,- Euro immaterieller Schadenersatz wegen Kreditschädigung - mehrfacher Rechtsbruch: Informationspflicht nicht erfüllt, Widerspruch nicht nachgekommen, keine Löschung der Daten, seit 2006 keine Exekutionsverfahren anhängig, alle Exekutionsverfahren eingestellt - Kläger wurde Unterlassungsanspruch und Schadenersatz zugesprochen (Euro 3.330,35) LG Innsbruck 12 Cg 72/10h Die beklagte Partei ist schuldig, dem Kläger binnen 14 Tagen zu Handen der Klagsvertreterin einen Betrag von EUR 3.330,35 samt 4 % Zinsen aus EUR 3.331,40 vom bis sowie 4 % Zinsen aus EUR 3.330,35 ab dem zu bezahlen und die mit EUR 1.448,80 (darin enthalten EUR 316,-- Barauslagen und EUR 188,80 USt) bestimmten Verfahrenskosten zu ersetzen. ... Durch die rechtswidrige und schuldhafte Verwendung der Bonitätsdaten des Klägers sei diesem ein Schaden durch erhöhte Mobilfunkgebühren bis Mai 2009 in Höhe von EUR 2.274,35 entstanden, weiters ein Schaden durch Mehrkosten, weil er einen Kinderwagen nicht online bei der Firma Eduscho sondern in der Folge bei der Firma Kika im August 2008 kaufen habe müssen in Höhe von EUR 56,-- und weiters habe der Kläger Strafporto in Höhe von EUR 1,05 bezahlen müssen, da der Beklagte einen an den Kläger adressierten Brief wegen Auskunft nach dem Datenschutzgesetz nicht frankiert habe, obwohl er hiezu nach dem Datenschutzgesetz verpflichtet gewesen wäre. Weiters begehrte der Kläger eine angemessene Entschädigung in Höhe von EUR 1.000,-- für die erlittene Kränkung, weil durch die öffentliche zugängliche rechtswidrige Verwendung der über den Kläger gespeicherten Datensätze und Übermittlung derselben an verschiedene Personen schutzwürdige Geheimhaltungsinteressen des Klägers vom Beklagten verletzt worden seien und der Kläger gegenüber mehreren Firmen bloßgestellt worden sei. ARGE DATEN ARGE DATEN

153 Gewinn- oder Schädigungsabsicht (§ 51)
DSG Strafbestimmungen Gewinn- oder Schädigungsabsicht (§ 51) - Klarstellung der Deliktvoraussetzungen: Vorsatz der eigenen Bereicherung oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer Delikt begeht, wer ... - widerrechtlich ihm zugängliche Daten benutzt oder - Daten widerrechtlich beschafft oder - anderen widerrechtlich zugänglich macht oder - widerrechtlich öffentlich macht Strafausmaß: bis ein Jahr Delikt wird zum Offizialdelikt [bis : Privatanklagedelikt] Strafbestimmung gilt subsidiär Geänderte Bestimmungen (DSG-Novelle 2010) § 51 Abs. 1 entfällt die Absatzbezeichnung “(1)”. Die Wortfolge “in der Absicht, sich einen Vermögensvorteil zu verschaffen oder einem anderen einen Nachteil zuzufügen” wird durch die Wortfolge “mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen” ersetzt. Neue Bestimmung: § 51 Datenverwendung in Gewinn- oder Schädigungsabsicht Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr zu bestrafen. ARGE DATEN ARGE DATEN

154 Hier ist Vorsatz Voraussetzung für die Tatverfolgung
DSG Strafbestimmungen Strafbestimmungen bei öffentlich-rechtlichen Organen Missbrauch der Amtsgewalt (§ 302 StGB) Strafrahmen: bis 5 Jahre Laufend Verurteilungen, siehe etwa OGH 14 Os 105/10p (rechtswidriger Abruf von KFZ-Zulassungsdaten) Verletzung des Amtsgeheimnisses (§ 310 StGB) Strafrahmen: bis 3 Jahre denkbar auch: Falsche Beurkundung und Beglaubigung im Amt (§ 311 StGB) Hier ist Vorsatz Voraussetzung für die Tatverfolgung Missbrauch der Amtsgewalt StGB § 302. (1) Ein Beamter, der mit dem Vorsatz, dadurch einen anderen an seinen Rechten zu schädigen, seine Befugnis, im Namen des Bundes, eines Landes, eines Gemeindeverbandes, einer Gemeinde oder einer anderen Person des öffentlichen Rechtes als deren Organ in Vollziehung der Gesetze Amtsgeschäfte vorzunehmen, wissentlich mißbraucht, ist mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen. (2) Wer die Tat bei der Führung eines Amtsgeschäfts mit einer fremden Macht oder einer über- oder zwischenstaatlichen Einrichtung begeht, ist mit Freiheitsstrafe von einem bis zu zehn Jahren zu bestrafen. Ebenso ist zu bestrafen, wer durch die Tat einen Euro übersteigenden Schaden herbeiführt. Verletzung des Amtsgeheimnisses StGB § 310. (1) Ein Beamter oder ehemaliger Beamter, der ein ihm ausschließlich kraft seines Amtes anvertrautes oder zugänglich gewordenes Geheimnis offenbart oder verwertet, dessen Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, mit Freiheitsstrafe bis zu drei Jahren zu bestrafen. (2) Ebenso ist zu bestrafen, wer als Mitglied eines Ausschusses gemäß Art. 53 B-VG bzw. eines nach Art. 52a B-VG eingesetzten ständigen Unterausschusses oder als zur Anwesenheit bei deren Verhandlungen Berechtigter ein ihm in vertraulicher Sitzung zugänglich gewordenes Geheimnis offenbart oder verwertet, dessen Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen. (2a) Ebenso ist zu bestrafen, wer - sei es auch nach seinem Ausscheiden aus dem Amt oder Dienstverhältnis - als Organwalter oder Bediensteter des Europäischen Polizeiamtes (Europol), als Verbindungsbeamter oder als zur Geheimhaltung besonders Verpflichteter (Art. 32 Abs. 2 des Europol-Übereinkommens, BGBl. III Nr. 123/1998) eine Tatsache oder Angelegenheit offenbart oder verwertet, die ihm ausschließlich kraft seines Amtes oder seiner Tätigkeit zugänglich geworden ist und deren Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen. (3) Offenbart der Täter ein Amtsgeheimnis, das verfassungsgefährdende Tatsachen (§ 252 Abs. 3) betrifft, so ist er nur zu bestrafen, wenn er in der Absicht handelt, private Interessen zu verletzen oder der Republik Österreich einen Nachteil zuzufügen. Die irrtümliche Annahme verfassungsgefährdender Tatsachen befreit den Täter nicht von Strafe. ARGE DATEN ARGE DATEN

155 Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln]
DSG Strafbestimmungen Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln] - widerrechtliches Verschaffen eines Zugangs zu einer DA - widerrechtliches Weiterbenutzen eines Zugangs zu einer DA - Übermittlung unter Verletzung des Datengeheimnisses - Weiterverwendung von Daten entgegen eines rechtskräftigen Urteils/Bescheids - widerrechtliches Löschen von Daten (§ 26 Abs. 7) Strafrahmen: bis ,- Euro zuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSB Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk) Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten! Zuständig für Anzeigen ist jene Bezirksverwaltungsbehörde in deren Sprengel der Datenverarbeiter seinen Aufenthalt oder Sitz hat Das sind die Bezirkshauptmannschaften bzw. in den Städten mit eigenem Statut die Magistrate Berufungsinstanz ist der Unabhängige Verwaltungssenat (UVS)‏ Verantwortlichkeit des Auftraggebers ist u.a im VstG § 9 geregelt Vor 2000 gab es rund 30 Verfahren/Jahr bei den Landeshauptleuten, die Regierungsvorlage 2000 rechnete in Zukunft mit 10fachem Anfall an Anzeigen/Verfahren, tatsächlich dürfte die jährliche Zahl an Strafverfahren zurück gegangen sein. Aktuelle Zahlen werden von der DSB nicht publiziert. ARGE DATEN ARGE DATEN

156 DSG 2000 - Strafbestimmungen
Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 1. nicht Erfüllen der Meldepflicht gemäß den §§ 17 oder 50c oder Betreiben eine Datenanwendung auf eine von der Meldung abweichende Weise oder 2. Übermitteln oder überlassen von Daten ins Ausland, ohne Genehmigung gemäß § 13 Abs. 1 oder 3. Verstoß gegen Zusagen an oder Auflagen der DSB (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) oder 4. Verletzen von Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d oder 5. § 14 gröbliches außer Acht lassen von Sicherheitsmaßnahmen oder Geänderte Bestimmungen (DSG-Novelle 2010) § 52 DSG 2000 Verwaltungsstrafbestimmung (1) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu Euro zu ahnden ist, wer 1. sich vorsätzlich widerrechtlichen Zugang zu einer Datenanwendung verschafft oder einen erkennbar widerrechtlichen Zugang vorsätzlich aufrechterhält oder 2. Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 15) übermittelt, insbesondere Daten, die ihm gemäß §§ 46 oder 47 anvertraut wurden, vorsätzlich für andere Zwecke verwendet oder 3. Daten entgegen einem rechtskräftigen Urteil oder Bescheid verwendet, nicht beauskunftet, nicht richtigstellt oder nicht löscht oder 4. Daten vorsätzlich entgegen § 26 Abs. 7 löscht. (2) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu Euro zu ahnden ist, wer 1. Daten ermittelt, verarbeitet oder übermittelt, ohne seine Meldepflicht gemäß den §§ 17 oder 50c erfüllt zu haben oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt oder 2. Daten ins Ausland übermittelt oder überlässt, ohne die erforderliche Genehmigung der Datenschutzkommission gemäß § 13 Abs. 1 eingeholt zu haben oder 3. gegen gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1 abgegebene Zusagen oder von der Datenschutzkommission gemäß § 13 Abs. 1 oder § 21 Abs. 2 erteilte Auflagen verstößt oder 4. seine Offenlegungs- oder Informationspflichten gemäß den §§ 23, 24, 25 oder 50d verletzt oder 5. die gemäß § 14 erforderlichen Sicherheitsmaßnahmen gröblich außer Acht lässt oder ARGE DATEN ARGE DATEN

157 DSG 2000 - Strafbestimmungen
Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 6. wer gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderliche Sicherheitsmaßnahmen außer Acht lässt oder 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht. Strafrahmen: bis ,- Euro § 52 DSG 2000 Verwaltungsstrafbestimmung (Fortsetzung) 6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt oder 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Löschungsfrist nicht löscht. ARGE DATEN ARGE DATEN

158 Verfallbestimmungen § 52 Abs. 4
DSG Strafbestimmungen Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a) [=Gefährdung von Betroffenenrechten] neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a) Strafrahmen: bis 500,- Euro [neu seit 2010] Verfallbestimmungen § 52 Abs. 4 Datenträger und Programme sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden § 52 DSG 2000 Verwaltungsstrafbestimmung (Fortsetzung) (2a) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit einer Strafe bis zu 500 Euro zu ahnden ist, wer Daten entgegen den §§ 26, 27 oder 28 nicht fristgerecht beauskunftet, richtigstellt oder löscht. (3) Der Versuch ist strafbar. (4) Die Strafe des Verfalls von Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten kann ausgesprochen werden (§§ 10, 17 und 18 VStG), wenn diese Gegenstände mit einer Verwaltungsübertretung nach Abs. 1 oder 2 in Zusammenhang stehen. (5) Zuständig für Entscheidungen nach Abs. 1 bis 4 ist die Bezirksverwaltungsbehörde, in deren Sprengel der Auftraggeber (Dienstleister) seinen gewöhnlichen Aufenthalt oder Sitz hat. Falls ein solcher im Inland nicht gegeben ist, ist die am Sitz der Datenschutzkommission eingerichtete Bezirksverwaltungsbehörde zuständig. ARGE DATEN ARGE DATEN

159 "alte" Strafbestimmungen zum Geheimnisbruch
Cybercrime - Übersicht "alte" Strafbestimmungen zum Geheimnisbruch - § 126a StGB Datenbeschädigung - § 148a StGB Betrügerischer Datenverarbeitungsmissbrauch - § 118 Verletzung des Briefgeheimnisses und Unterdrückung von Briefen - § 119 Verletzung des Telekommunikationsgeheimnisses - § 120 Mißbrauch von Tonaufnahme- oder Abhörgeräten - § 121 Verletzung von Berufsgeheimnissen - § 122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses - § 123 Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses - § 124 Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses zugunsten des Auslands "Amts"-Bestimmungen - Schutz des Behörden"geheimnisses" (StGB §§ 302, 310), nur bedingt anwendbar: § 301 "Verbotene Veröffentlichung" - geringerer Strafrahmen § 126a StGB Datenbeschädigung Schädigung durch Verändern, Löschen oder sonst Unbrauchbarmachen von Daten Strafrahmen: 6 Monate, bei Schaden über = 2 Jahre, bei Schaden über = 6 Monate bis 5 Jahre § 148a StGB Betrügerischer Datenverarbeitungsmissbrauch Eingriffe in die Ergebnisse einer Datenverarbeitung Strafrahmen: 6 Monate, bei gewerbsmäßiger Durchführung oder bei Schaden über = 3 Jahre, bei Schaden über = 1 bis 10 Jahre "Amts"-Bestimmungen - Verbotene Veröffentlichung § 301 StGB - Missbrauch der Amtsgewalt § 302 StGB - Verletzung des Amtsgeheimnisses § 310 StGB ARGE DATEN ARGE DATEN

160 ARGE DATEN ARGE DATEN Cybercrime - Übersicht
Bedeutung der bisherigen Computerstrafbestimmungen Zahl der Verurteilungen Jahr Datenbeschädigung Computerbetrug Cybercrime § 126a § 148a sonstige Angezeigte Delikte: Jahr Datenbeschädigung Computerbetrug Cybercrime § 126a § 148a sonstige Cybercrime-Bestimmungen (sonstige): §§ 118a, 119a, 126b, 126c und 225a StGB Quellen: Zahlen gemäß jährlichem Sicherheitsbericht des BMI / BMJ, diverse parlamentarische Anfragebeantwortungen Stand: ARGE DATEN ARGE DATEN

161 ARGE DATEN ARGE DATEN Cybercrime - Übersicht
Straf-Bestimmungen zum Geheimnisbruch I (Stand 3/2015) Strafbarkeit des Versuches § 15. (1) Die Strafdrohungen gegen vorsätzliches Handeln gelten nicht nur für die vollendete Tat, sondern auch für den Versuch und für jede Beteiligung an einem Versuch. (2) Die Tat ist versucht, sobald der Täter seinen Entschluß, sie auszuführen oder einen anderen dazu zu bestimmen (§ 12), durch eine der Ausführung unmittelbar vorangehende Handlung betätigt. (3) Der Versuch und die Beteiligung daran sind nicht strafbar, wenn die Vollendung der Tat mangels persönlicher Eigenschaften oder Verhältnisse, die das Gesetz beim Handelnden voraussetzt, oder nach der Art der Handlung oder des Gegenstands, an dem die Tat begangen wurde, unter keinen Umständen möglich war. [Cyberbestimmungen "alt"] Datenbeschädigung § 126a. (1) Wer einen anderen dadurch schädigt, daß er automationsunterstützt verarbeitete, übermittelte oder überlassene Daten, über die er nicht oder nicht allein verfügen darf, verändert, löscht oder sonst unbrauchbar macht oder unterdrückt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Wer durch die Tat an den Daten einen 3 000 Euro übersteigenden Schaden herbeiführt, ist mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bis zu 360 Tagessätzen, wer einen 50 000 Euro übersteigenden Schaden herbeiführt oder die Tat als Mitglied einer kriminellen Vereinigung begeht, mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen. Betrügerischer Datenverarbeitungsmißbrauch § 148a. (1) Wer mit dem Vorsatz, sich oder einen Dritten unrechtmäßig zu bereichern, einen anderen dadurch am Vermögen schädigt, daß er das Ergebnis einer automationsunterstützten Datenverarbeitung durch Gestaltung des Programms, durch Eingabe, Veränderung, Löschung oder Unterdrückung von Daten oder sonst durch Einwirkung auf den Ablauf des Verarbeitungsvorgangs beeinflußt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Wer die Tat gewerbsmäßig begeht oder durch die Tat einen 3 000 Euro übersteigenden Schaden herbeiführt, ist mit Freiheitsstrafe bis zu drei Jahren, wer durch die Tat einen 50 000 Euro übersteigenden Schaden herbeiführt, mit Freiheitsstrafe von einem bis zu zehn Jahren zu bestrafen. [Bestimmungen für Organe] Mißbrauch der Amtsgewalt § 302. (1) Ein Beamter, der mit dem Vorsatz, dadurch einen anderen an seinen Rechten zu schädigen, seine Befugnis, im Namen des Bundes, eines Landes, eines Gemeindeverbandes, einer Gemeinde oder einer anderen Person des öffentlichen Rechtes als deren Organ in Vollziehung der Gesetze Amtsgeschäfte vorzunehmen, wissentlich mißbraucht, ist mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen. (2) Wer die Tat bei der Führung eines Amtsgeschäfts mit einer fremden Macht oder einer über- oder zwischenstaatlichen Einrichtung begeht, ist mit Freiheitsstrafe von einem bis zu zehn Jahren zu bestrafen. Ebenso ist zu bestrafen, wer durch die Tat einen 50 000 Euro übersteigenden Schaden herbeiführt. Verletzung des Amtsgeheimnisses § 310. (1) Ein Beamter oder ehemaliger Beamter, der ein ihm ausschließlich kraft seines Amtes anvertrautes oder zugänglich gewordenes Geheimnis offenbart oder verwertet, dessen Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, mit Freiheitsstrafe bis zu drei Jahren zu bestrafen. (2) Ebenso ist zu bestrafen, wer als Mitglied eines Ausschusses gemäß Art. 53 B-VG bzw. eines nach Art. 52a B-VG eingesetzten ständigen Unterausschusses oder als zur Anwesenheit bei deren Verhandlungen Berechtigter ein ihm in vertraulicher Sitzung zugänglich gewordenes Geheimnis offenbart oder verwertet, dessen Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen. (2a) Ebenso ist zu bestrafen, wer - sei es auch nach seinem Ausscheiden aus dem Amt oder Dienstverhältnis - als Organwalter oder Bediensteter des Europäischen Polizeiamtes (Europol), als Verbindungsbeamter oder als zur Geheimhaltung besonders Verpflichteter (Art. 32 Abs. 2 des Europol-Übereinkommens, BGBl. III Nr. 123/1998) eine Tatsache oder Angelegenheit offenbart oder verwertet, die ihm ausschließlich kraft seines Amtes oder seiner Tätigkeit zugänglich geworden ist und deren Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen. (3) Offenbart der Täter ein Amtsgeheimnis, das verfassungsgefährdende Tatsachen (§ 252 Abs. 3) betrifft, so ist er nur zu bestrafen, wenn er in der Absicht handelt, private Interessen zu verletzen oder der Republik Österreich einen Nachteil zuzufügen. Die irrtümliche Annahme verfassungsgefährdender Tatsachen befreit den Täter nicht von Strafe. [sonstige Strafbestimmungen zu Geheimnisverletzungen] Verletzung des Telekommunikationsgeheimnisses § 119. (1) Wer in der Absicht, sich oder einem anderen Unbefugten vom Inhalt einer im Wege einer Telekommunikation oder eines Computersystems übermittelten und nicht für ihn bestimmten Nachricht Kenntnis zu verschaffen, eine Vorrichtung, die an der Telekommunikationsanlage oder an dem Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen. ARGE DATEN ARGE DATEN

162 ARGE DATEN ARGE DATEN Cybercrime - Übersicht
Straf-Bestimmungen zum Geheimnisbruch II (Stand 3/2015) Mißbrauch von Tonaufnahme- oder Abhörgeräten § 120. (1) Wer ein Tonaufnahmegerät oder ein Abhörgerät benützt, um sich oder einem anderen Unbefugten von einer nicht öffentlichen und nicht zu seiner Kenntnisnahme bestimmten Äußerung eines anderen Kenntnis zu verschaffen, ist mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Ebenso ist zu bestrafen, wer ohne Einverständnis des Sprechenden die Tonaufnahme einer nicht öffentlichen Äußerung eines anderen einem Dritten, für den sie nicht bestimmt ist, zugänglich macht oder eine solche Aufnahme veröffentlicht. (2a) Wer eine im Wege einer Telekommunikation übermittelte und nicht für ihn bestimmte Nachricht in der Absicht, sich oder einem anderen Unbefugten vom Inhalt dieser Nachricht Kenntnis zu verschaffen, aufzeichnet, einem anderen Unbefugten zugänglich macht oder veröffentlicht, ist, wenn die Tat nicht nach den vorstehenden Bestimmungen oder nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, mit Freiheitsstrafe bis zu drei Monaten oder mit Geldstrafe bis zu 180 Tagessätzen zu bestrafen. (3) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen. Verletzung von Berufsgeheimnissen § 121. (1) Wer ein Geheimnis offenbart oder verwertet, das den Gesundheitszustand einer Person betrifft und das ihm bei berufsmäßiger Ausübung eines gesetzlich geregelten Gesundheitsberufes oder bei berufsmäßiger Beschäftigung mit Aufgaben der Verwaltung einer Krankenanstalt oder eines anderen Gesundheitsdiensteanbieters (§ 2 Z 2 des Gesundheitstelematikgesetzes 2012, BGBl. I Nr. 111/2012) oder mit Aufgaben der Kranken-, der Unfall-, der Lebens- oder der Sozialversicherung ausschließlich kraft seines Berufes anvertraut worden oder zugänglich geworden ist und dessen Offenbarung oder Verwertung geeignet ist, ein berechtigtes Interesse der Person zu verletzen, die seine Tätigkeit in Anspruch genommen hat oder für die sie in Anspruch genommen worden ist, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (1a) Ebenso ist zu bestrafen, wer widerrechtlich von einer Person die Offenbarung (Einsichtnahme oder Verwertung) von Geheimnissen ihres Gesundheitszustandes in der Absicht verlangt, den Erwerb oder das berufliche Fortkommen dieser oder einer anderen Person für den Fall der Weigerung zu schädigen oder zu gefährden. (2) Wer die Tat begeht, um sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, ist mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (3) Ebenso ist ein von einem Gericht oder einer anderen Behörde für ein bestimmtes Verfahren bestellter Sachverständiger zu bestrafen, der ein Geheimnis offenbart oder verwertet, das ihm ausschließlich kraft seiner Sachverständigentätigkeit anvertraut worden oder zugänglich geworden ist und dessen Offenbarung oder Verwertung geeignet ist, ein berechtigtes Interesse der Person zu verletzen, die seine Tätigkeit in Anspruch genommen hat oder für die sie in Anspruch genommen worden ist. (4) Den Personen, die eine der in den Abs. 1 und 3 bezeichneten Tätigkeiten ausüben, stehen ihre Hilfskräfte, auch wenn sie nicht berufsmäßig tätig sind, sowie die Personen gleich, die an der Tätigkeit zu Ausbildungszwecken teilnehmen. (5) Der Täter ist nicht zu bestrafen, wenn die Offenbarung oder Verwertung nach Inhalt und Form durch ein öffentliches oder ein berechtigtes privates Interesse gerechtfertigt ist. (6) Der Täter ist nur auf Verlangen des in seinem Interesse an der Geheimhaltung Verletzten (Abs. 1 und 3) zu verfolgen. Verletzung eines Geschäfts- oder Betriebsgeheimnisses § 122. (1) Wer ein Geschäfts- oder Betriebsgeheimnis (Abs. 3) offenbart oder verwertet, das ihm bei seiner Tätigkeit in Durchführung einer durch Gesetz oder behördlichen Auftrag vorgeschriebenen Aufsicht, Überprüfung oder Erhebung anvertraut oder zugänglich geworden ist, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (3) Unter Abs. 1 fällt nur ein Geschäfts- oder Betriebsgeheimnis, das der Täter kraft Gesetzes zu wahren verpflichtet ist und dessen Offenbarung oder Verwertung geeignet ist, ein berechtigtes Interesse des von der Aufsicht, Überprüfung oder Erhebung Betroffenen zu verletzen. (4) Der Täter ist nicht zu bestrafen, wenn die Offenbarung oder Verwertung nach Inhalt und Form durch ein öffentliches oder ein berechtigtes privates Interesse gerechtfertigt ist. (5) Der Täter ist nur auf Verlangen des in seinem Interesse an der Geheimhaltung Verletzten (Abs. 3) zu verfolgen. Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses § 123. (1) Wer ein Geschäfts- oder Betriebsgeheimnis mit dem Vorsatz auskundschaftet, es zu verwerten, einem anderen zur Verwertung zu überlassen oder der Öffentlichkeit preiszugeben, ist mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. Beide Strafen können auch nebeneinander verhängt werden. (2) Der Täter ist nur auf Verlangen des Verletzten zu verfolgen. Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses zugunsten des Auslands § 124. (1) Wer ein Geschäfts- oder Betriebsgeheimnis mit dem Vorsatz auskundschaftet, daß es im Ausland verwertet, verwendet oder sonst ausgewertet werde, ist mit Freiheitsstrafe bis zu drei Jahren zu bestrafen. Daneben kann auf Geldstrafe bis zu 360 Tagessätzen erkannt werden. (2) Ebenso ist zu bestrafen, wer ein Geschäfts- oder Betriebsgeheimnis, zu dessen Wahrung er verpflichtet ist, der Verwertung, Verwendung oder sonstigen Auswertung im Ausland preisgibt. Verbotene Veröffentlichung § 301. (1) Wer einem gesetzlichen Verbot zuwider eine Mitteilung über den Inhalt einer Verhandlung vor einem Gericht oder einer Verwaltungsbehörde, in der die Öffentlichkeit ausgeschlossen war, in einem Druckwerk, im Rundfunk oder sonst auf eine Weise veröffentlicht, daß die Mitteilung einer breiten Öffentlichkeit zugänglich wird, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Ebenso ist zu bestrafen, wer auf eine im Abs. 1 bezeichnete Weise eine Mitteilung über die Beratung in einem Verfahren vor einem Gericht oder einer Verwaltungsbehörde, über eine solche Abstimmung oder deren Ergebnis veröffentlicht und wer die ihm in einem solchen Verfahren auf Grund einer gesetzlichen Bestimmung vom Gericht oder von der Verwaltungsbehörde auferlegte Pflicht zur Geheimhaltung verletzt. (3) Wer auf eine im Abs. 1 bezeichnete Weise eine Mitteilung über den Inhalt von Ergebnissen aus einer Auskunft über Vorratsdaten oder Daten einer Nachrichtenübermittlung oder einer Überwachung von Nachrichten oder aus einer optischen oder akustischen Überwachung von Personen unter Verwendung technischer Mittel (§ 134 Z 5 StPO) veröffentlicht, ist, wenn diese Ergebnisse nicht zuvor zum Akt genommen wurden (§ 145 Abs. 2 StPO), mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. ARGE DATEN ARGE DATEN

163 Neue "cybercrime"-Bestimmungen (seit 1.10.2002)
Cybercrime - Übersicht Neue "cybercrime"-Bestimmungen (seit ) - § 118a Widerrechtlicher Zugriff auf ein Computersystem ["Hacken"] - § 119a Missbräuchliches Abfangen von Daten - § 126b Störung der Funktionsfähigkeit eines Computersystems [DOS-Attacken] - § 126c Missbrauch von Computerprogrammen oder Zugangsdaten ["Cracken"] - § 225a Datenfälschung von EU beschlossen (2006) - Aufbewahrungspflicht für Telekom- und Internetdaten - in Österreich nicht fristgerecht umgesetzt (Stand: ) Europarat - Convention on Cybercrime ( ) - bisher erst 4 Ratifizierungen (5 sind für Inkrafttreten erforderlich) - von Österreich unterfertigt, aber nicht ratifiziert, jedoch defacto umgesetzt (Stand: 10/2012) Anmerkungen zu den neuen Bestimmungen Grundsätzlich ist zu beachten, dass bei Strafbestimmungen ganz allgemein immer Vorsatz und Gewinn/Schädigungsabsicht gegeben sein müssen - Widerrechtlicher Zugriff auf ein Computersystem (§ 118a)‏ Sonderregelung zu Briefgeheimnis (§ 118)‏ Soll den Bereich "HACKEN" regeln, wobei bisher "akademisches" Hacken, ohne Verletzung einer der "alten" Delikte nicht strafbar war PROBLEMPUNKT: "überwinden spezifischer Sicherheitseinrichtungen" - Missbräuchliches Abfangen von Daten (§ 119a)‏ Analog zu den Bestimmungen des Briefgeheimnisses und des Telekommunikationsgeheimnisses sollen Eingriffe in den Datenverkehr ganz allgemein erfasst werden - Störung der Funktionsfähigkeit eines Computersystems (§ 126b)‏ Soll "Denial-of-Service"-Attacken regeln - Missbrauch von Computerprogrammen oder Zugangsdaten (§ 126c)‏ Soll "Cracker"-Programme und ähnliche Tools unter Strafe stellen PROBLEMPUNKT: Praktisch alle Cracker- und Hacker-Tools werden auch für Audit- und Monitoring-Maßnahmen eingesetzt - Datenfälschung (§ 225a)‏ Soll Urkundenfälschung im Datenverkehr abdecken Info Europarat - Convention on Cybercrime =16/03/04&CL=GER ARGE DATEN ARGE DATEN

164 ARGE DATEN ARGE DATEN Cybercrime - Übersicht
Straf-Bestimmungen zum Geheimnisbruch III (Stand 3/2015) [Cyberbestimmungen "neu"] Widerrechtlicher Zugriff auf ein Computersystem §  118a (1) Wer sich in der Absicht, sich oder einem anderen Unbefugten von in einem Computersystem gespeicherten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, zu einem Computersystem, über das er nicht oder nicht allein verfügen darf, oder zu einem Teil eines solchen Zugang verschafft, indem er spezifische Sicherheitsvorkehrungen im Computersystem verletzt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen. (3) Wer die Tat als Mitglied einer kriminellen Vereinigung begeht, ist mit Freiheitsstrafe bis zu drei Jahren zu bestrafen. Missbräuchliches Abfangen von Daten § 119a (1) Wer in der Absicht, sich oder einem anderen Unbefugten von im Wege eines Computersystems übermittelten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, eine Vorrichtung, die an dem Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt oder die elektromagnetische Abstrahlung eines Computersystems auffängt, ist, wenn die Tat nicht nach § 119 mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. Störung der Funktionsfähigkeit eines Computersystems § 126b Wer die Funktionsfähigkeit eines Computersystems, über das er nicht oder nicht allein verfügen darf, dadurch schwer stört, dass er Daten eingibt oder übermittelt, ist, wenn die Tat nicht nach § 126a mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. Missbrauch von Computerprogrammen oder Zugangsdaten § 126c (1) Wer ein Computerprogramm, das nach seiner besonderen Beschaffenheit ersichtlich zur Begehung eines widerrechtlichen Zugriffs auf ein Computersystem (§ 118a), einer Verletzung des Telekommunikationsgeheimnisses (§ 119), eines missbräuchlichen Abfangens von Daten (§ 119a), einer Datenbeschädigung (§ 126a) oder einer Störung der Funktionsfähigkeit eines Computersystems (§ 126b) geschaffen oder adaptiert worden ist, oder eine vergleichbare solche Vorrichtung oder 2. ein Computerpasswort, einen Zugangscode oder vergleichbare Daten, die den Zugriff auf ein Computersystem oder einen Teil davon ermöglichen, mit dem Vorsatz herstellt, einführt, vertreibt, veräußert oder sonst zugänglich macht, dass sie zur Begehung einer der in Z 1 genannten strafbaren Handlungen gebraucht werden, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Nach Abs. 1 ist nicht zu bestrafen, wer freiwillig verhindert, dass das in Abs. 1 genannte Computerprogramm oder die damit vergleichbare Vorrichtung oder das Passwort, der Zugangscode oder die damit vergleichbaren Daten in der in den §§ 118a, 119, 119a, 126a oder 126b bezeichneten Weise gebraucht werden. Besteht die Gefahr eines solchen Gebrauches nicht oder ist sie ohne Zutun des Täters beseitigt worden, so ist er nicht zu bestrafen, wenn er sich in Unkenntnis dessen freiwillig und ernstlich bemüht, sie zu beseitigen. Datenfälschung § 225a Wer durch Eingabe, Veränderung, Löschung oder Unterdrückung von Daten falsche Daten mit dem Vorsatz herstellt oder echte Daten mit dem Vorsatz verfälscht, dass sie im Rechtsverkehr zum Beweis eines Rechtes, eines Rechtsverhältnisses oder einer Tatsache gebraucht werden, ist mit Freiheitsstrafe bis zu einem Jahr zu bestrafen. ARGE DATEN ARGE DATEN

165 EU-Neuordnung Datenschutz
ARGE DATEN ARGE DATEN

166 Fahrplan zu einem neuen EU-Datenschutzrecht
EU-Neuregelung des Datenschutzes Fahrplan zu einem neuen EU-Datenschutzrecht Kommissionsmitteilung Konzept für neues Datenschutzrecht zu entwickeln - bis europaweites Konsultationsverfahren Entwurf einer EU-Verordnung Datenschutz - geplant war bis Ende 2013 Konsultationsverfahren in Europäischem Parlament und im Rat - Oktober 2013 Abstimmung im LIBE-Ausschuß des EU- Parlaments (Verhandlungsmandat des Parlaments) - Stand März 2015 Rats-Arbeitsgruppe verhandelt noch an gemeinsamer Position ("Bremser": GB, DE) - 15. Juni 2015 geplanter Abschluss Ratsverhandlungen - Sommer 2015 (??) Start Trialog - Ende 2015 (??) abstimmungsfähiger Endentwurf Informationen zur weiteren Entwicklung der EU-Verordnung: ARGE DATEN ARGE DATEN

167 Eckpfeiler der neuen EU-Datenschutz VO
EU-Neuregelung des Datenschutzes Eckpfeiler der neuen EU-Datenschutz VO - verpflichtender Datenschutzbeauftragter für alle öffentlichen Einrichtungen und für Unternehmen mit Unternehmensgegenstand personenbezogene Datenverarbeitung + Variante Kommission: Unternehmen ab 250 MA Variante EU-Parlament: Unternehmen ab PersonenDS - drastisch höhere Strafbstimmungen (an Kartellrecht angelehnt) Variante Kommission: bis zu 2% des Konzernumsatzes bzw. bis zu 1 Mio Euro Variante EU-Parlament: bis zu 5% des Konzernumsatzes - Entfall von Meldepflichten, weitreichende interne Dokumentations- und Folgeabschätzungspflichten - "doppeltes" One-Stop-Shop-System: a) je Auftraggeber ist nur eine Aufsichtsstelle zuständig (Hauptsitz des Auftraggebers, statt bisher für jede Niederlassung die jeweilige nationale Behörde) b) jeder Betroffene kann sich für alle EU-Auftraggeber an seine nationale Aufsichtsbehörde wenden - ARGE DATEN ARGE DATEN

168 Eckpfeiler der neuen EU-Datenschutz VO II
EU-Neuregelung des Datenschutzes Eckpfeiler der neuen EU-Datenschutz VO II - Einführung neuer "Prinzipien": a) Prinzip der Datensparsamkeit (inkl. "Recht auf Vergessen werden") b) Förderung technischer Datenschutzmaßnahmen ("Privacy by Design") c) Privatsphäreeinstellungen sollen Standard werden ("Privacy by Default") - neue Kategorien sensibler Daten (z.B. "Gendaten") - Klagsbefugnis für Verbände - Vereinfachungen im internationalen Datentransfer Geplante Maßnahmen, die schon wieder weg sind - Schaffung von Datenportabilität - ARGE DATEN ARGE DATEN

169 Ich danke für Ihre Aufmerksamkeit
- ARGE DATEN ARGE DATEN

170 Onlineinformation ARGE DATEN ARGE DATEN http://www.argedaten.at/
Weitere Datenschutzeinrichtungen - Weitere Rechtsinformationen - Entscheidungen finden sich im RIS: - (Datenschutzkommission)‏ - (OGH-Entscheidungen)‏ Technische Informationen - Bundesamt fuer Sicherheit in der Informationstechnik (BSI) - CERT - Online-Sicherheitsstatus - DFN Cert - Security-Server - Informationstechnik-Koordination (BKA Wien) ARGE DATEN ARGE DATEN


Herunterladen ppt "Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven"

Ähnliche Präsentationen


Google-Anzeigen