© ARGE DATEN 2015 ARGE DATEN Datenschutz Praxis / International Erfahrungen, Unterschiede, Entwicklungen ARGE DATEN Wien, NH Danube City, 22. Oktober 2015

© ARGE DATEN 2015 Die ARGE DATEN als PRIVACY-Organisation Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: -Web-Service: Besucher/Monat -Newsletter: rund Abonnenten -2014: rund 500 Medienanfragen/-berichte Mitgliederbetreuung Datenschutzfragen -2014: ca. 600 Datenschutz-Anfragen Rechtsschutz, PRIVACY-Services -2014: in ca. 200 Fällen Mitglieder in Verfahren vertreten Zahl der betreuten Mitglieder -aktuell: ca Personen Studien- und Beratungsprojekte ARGE DATEN

© ARGE DATEN 2015 ARGE DATEN Betrieblicher Datenschutzbeauftragter Ausbildungsreihe der ARGE DATEN Modul I:Datenschutz Grundlagen Modul II:Datenverwendung im Unternehmen 20. April 2016 Die Reihe wird mit einem Zertifikat abgeschlossen Ausbildungsreihe der ARGE DATEN Modul I:Datenschutz Grundlagen 19. April 2016 Modul IV:Datenschutz Praxis / international Modul III:Datenschutz und IT-Sicherheit 3. November 2015 / 3. Mai 2016 Modul V:Datenschutzfragen identifizieren 4. November 2015 / 4. Mai 2016

© ARGE DATEN 2015 ARGE DATEN Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell- schaft das Grundrecht auf Privatsphäre zu sichern.

© ARGE DATEN 2015 ARGE DATEN Datenschutz Praxis / Gruber (AKH Wien) Datenschutz internationale Sicht / Forgó Mittagspause DS Internationale Bestimmungen / Krenn Geplanter Seminarablauf Datenschutz Praxis / Mrak (Casinos Austria)

© ARGE DATEN 2015 ARGE DATEN EU-Datenschutz Eurobarometer 2011 EU-Umfrage zu Datenschutz I -74% EU-weit sehen steigende Datenverbreitung als Teil des "modernen Lebens" -Nutzer sozialer Netze eher bereit Daten weiter zu geben (79% Name, 51% Foto, 47% Nationalität) -Mehrheit der EU-Bürger besorgt über Verhaltenskontrolle ("Scoring") durch Verwendung von Daten aus Zahlungsverkehr (54% vs 38%), Mobiltelefonie (49% vs 43%) und mobile Internet (40% vs 35%) -70% befürchten späteren Missbrauch einmal zulässig gesammelter Daten durch Unternehmen -Aufsichtsbehörde ist bekannt: 33% EU-weit (28%/2008) -75% der EU-Bürger wünschen sich ein "Recht auf Vergessen werden" 88% (AT 68%) glauben, dass in großen Unternehmen Datenschutzbeauftragte besseren Datenschutz gewährleisten

© ARGE DATEN 2015 ARGE DATEN EU-Datenschutz Eurobarometer 2011 EU-Umfrage 2011/EU27 (2008/EU15) zu Vertrauen in Datenschutz Hohes Vertrauen (trust): -Ärzte, medizinisches Personal: 78% (84%), AT 79% (87%) -Behörden: 70% (Polizei 83%, Sozialversicherung 77%, Steuer 71%), AT 81%(!!) (Polizei 79%, Sozialversicherung 77%, Steuer 69%) Mittleres Vertrauen (trust): -Banken / Finanzinstitute: 62% (64%), AT 75% (71%) Geringes Vertrauen ( trust /don't trust): -Handel: 39 /57% (Versandhandel 20%), AT 31 /66% (Versandhandel 18%) -Telefonfirmen: 32 /63% (-), AT 33 /64% (-) 2008 trust: -Wirtschaftsauskunftsdienste: 33%, AT 42% -Direktmarketing: 30%, Ö 33%

© ARGE DATEN 2015 ARGE DATEN Anhang Liste von Datenschutzorganisationen EU Standardvertragsklauseln KAV Datenschutzunterlagen EU-Datenschutz-Richtlinie 95/46/EG

© ARGE DATEN 2015 ARGE DATEN Sonstige Unterlagen

© ARGE DATEN 2015 ARGE DATEN Leistungsfähigkeit der DS-Aufsichtsbehörden DS-Behörden im EU-Vergleich (DSK-Berichte 05-09) Österreich: DSK inkl. Datenverarbeitungsregister: 6 ehrenamtliche Kommissionsmitglieder, 20 Vollzeitplanposten EU-Schnitt: 45 Vollzeitposten Österreich erreicht nicht einmal die Hälfte des EU-Schnitts 22. Stelle in der absoluten Größe der Aufsichtsbehörde 23. Stelle in Relation zur Einwohnerzahl vergleichbare EU-Länder: Schweden 40 MA, Ungarn 47 MA, Tschechien, 85 MA, Slowakei 32 MA, Griechenland 39 MA, Bulgarien 40 MA In der Gruppe der 11 EU-Staaten zwischen 5 und 10 Mio Einwohner liegt Österreich in der personellen Ausstattung an vorletzter Stelle (nur Portugal dahinter) gegenüber 2005 um drei Plätze abgerutscht

© ARGE DATEN 2015 Web Datenschutzspezifische Fragestellungen Vorgaben des DSG 2000: (1)Rollenkonzept: Auftraggeber, Betroffener, Dienstleister (2)Schutzinteressen der persönlichen Daten: allgemein verfügbare Daten, indirekt personenbezogene Daten, vertrauliche Daten, sensible Daten (3)berechtigter Zweck: der persönlichen Nutzung, die Weitergabe an Dritte, Veröffentlichung (4)Aufsicht + Ausnahmen: Registrierungs- bzw. Genehmigungspflicht Hinweis! Web2.0-Regelung haben Ausgleich zwischen mehreren Grundrechten zu sichern: freie Meinungsäußerung, Erwerbsfreiheit und Schutz der Privatsphäre Web2.0, Social Media und Datenschutz

© ARGE DATEN 2015 Variante A: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich (1)Rollenkonzept: Benutzer ist bezüglich der veröffentlichten Daten weder Betroffener, noch Auftraggeber, Facebook ist in diesem Fall auch kein Dienstleister, daher keine Datenanwendung. Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber (2)Schutzinteresse: Kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat. Facebook darf Daten im Rahmen seiner berechtigten Zwecke verwenden. Web2.0, Social Media und Datenschutz

© ARGE DATEN 2015 Variante A: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich II (3)Berechtigter Zweck: Ist in Bezug auf Benutzer nicht zu prüfen, da keine Datenanwendung im Sinne des DSG 2000, in Bezug auf Facebook aus Angebot und Geschäftsbedingungen ableitbar (4)Aufsicht: Für Benutzer keine Registrierungs- bzw. Genehmigungspflicht, für Facebook gelten die Bestimmungen des Geschäftssitzes (für Europa das irische Datenschutzrecht) Web2.0, Social Media und Datenschutz

© ARGE DATEN 2015 Variante B: Benutzer richtet (Facebook-)Account ein und berichtet nur für "Freunde" über sich (1)Rollenkonzept: wie Variante A (2)Schutzinteresse: Schutzinteresse gegeben, da Benutzer seine Daten nur eingeschränkt zugänglich macht, "Freunde" dürfen Daten ohne Zustimmung weder weitergeben, noch sonstwie verwerten. Facebook darf die Daten nur im Rahmen der ausdrücklich vereinbarten Geschäftsbedingungen verwenden. (3)Berechtigter Zweck: wie Variante A (4)Aufsicht: wie Variante A Web2.0, Social Media und Datenschutz

© ARGE DATEN 2015 Variante C: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich und private Freunde und Verwandte (1)Rollenkonzept: Benutzer ist bezüglich der veröffentlichten Daten Dritter Auftraggeber, Facebook ist in diesem Fall Dienstleister, Datenanwendung liegt vor! Benutzer muss sich um Einhaltung der Dienstleisterbestimmungen gemäß DSG 2000 §§10,11 kümmern! Für Facebook gilt Variante A. (2)Schutzinteresse: Bezüglich der Veröffentlichung der Daten Dritter benötigt Benutzer Zustimmung der Personen, sofern diese die Daten nicht schon selbst veröffentlicht haben. Für Facebook gilt Variante B. (3)Berechtigter Zweck: Private Datenanwendungen sind nach § 45 DSG 2000 priviligiert. Für Facebook gilt Variante A. Web2.0, Social Media und Datenschutz

© ARGE DATEN 2015 Variante C: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich und private Freunde und Verwandte II (4)Aufsicht: Für Benutzer keine Registrierungs- bzw. Genehmigungspflicht, private Datenanwendungen sind nach § 17 Abs. 2 Z 4 DSG 2000 priviligiert. Für Facebook gilt Variante A. Web2.0, Social Media und Datenschutz

© ARGE DATEN 2015 Variante D: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich, private Freunde und Verwandte und über berufliches (z.B. über bestehende und frühere Arbeitgeber) (1)Rollenkonzept: Es gilt Variante C. Für Facebook gilt Variante A. (2)Schutzinteresse: Bezüglich der Veröffentlichung der Daten Dritter benötigt Benutzer Zustimmung bei privaten Personen, sofern nicht diese die Daten schon selbst veröffentlicht haben, Unternehmensdaten sind personenbezogene Daten, bei beruflichen Angaben kann jedoch eine Interessensabwägung ausreichen. Für Facebook gilt Variante B. Web2.0, Social Media und Datenschutz

© ARGE DATEN 2015 Variante D: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich, private Freunde und Verwandte und über berufliches (z.B. über bestehende und frühere Arbeitgeber) II (3)Berechtigter Zweck: Möglicherweise keine private Datenanwendungen im Sinne des § 45 DSG 2000 mehr, in der Regel jedoch zulässig (z.B. persönliche Werbeseite, Erwerbsfreiheit). Für Facebook gilt Variante A. (4)Aufsicht: Für Benutzer Registrierungs- bzw. Genehmigungspflicht, wenn nicht bloß private Datenanwendung und auch sonst keine Ausnahmebestimmung zutrifft (Standardanwendung oder ausschließliche Verwendung veröffentlichter Daten). Für österreichische Benutzer gilt DSG Für Facebook gilt Variante A. Web2.0, Social Media und Datenschutz

© ARGE DATEN 2015 Variante E: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (1)Rollenkonzept: Für Unternehmen gilt Variante C. Für Facebook gilt Variante A. (2)Schutzinteresse: Bezüglich der Veröffentlichung der Unternehmensdaten gilt Variante A, bezüglich Dritter (Poster + Person über die gepostet wird) hat Unternehmen auf Einhaltung der Datenschutzinteressen zu achten! Es sind zusätzlich zum DSG 2000 die ECG-Bestimmungen insb. § 16 (Haftung!) zu beachten. Für Facebook gilt Variante B. (3)Berechtigter Zweck: Keine private Datenanwendung im Sinne des § 45 DSG 2000, in der Regel zulässig (z.B. Unternehmenspräsentation, Erwerbsfreiheit). Für Facebook gilt Variante A. Web2.0, Social Media und Datenschutz

© ARGE DATEN 2015 Variante E: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern II (4)Aufsicht: Für Unternehmen im Regelfall Registrierungs- bzw. Genehmigungspflicht, wenn keine Ausnahmebestimmung zutrifft (Standardanwendung oder ausschließliche Verwendung veröffentlichter Daten). Für Facebook gilt Variante A. Web2.0, Social Media und Datenschutz

© ARGE DATEN 2015 Variante F: Unternehmen betreibt eigene Website, hat jedoch Facebook-LikeIt-Button integriert - angezeigt wird die Zahl der LikeIt-"Fans" (1)Rollenkonzept: Unternehmen bezüglich LikeIt-Button Auftraggeber, gleichzeitig aber auch Dienstleister für Facebook (Datenermittlung bzw. -übermittlung)! Für Facebook gilt Variante A. (2)Schutzinteresse: Information über LikeIt-"Fan" darf Unternehmen nur im Rahmen einer (ausdrücklichen) Vereinbarung verwenden (inkl. veröffentlichen). Ist mit Teilnehmer vor Verwendung des LikeIt-Buttons zu vereinbaren! Daten von "Drive-by"-Websitebesuchern, unabhängig ob sie Facebook-Teilnehmer sind oder nicht, dürfen nicht an Facebook übermittelt werden! Für Facebook gilt Variante B (wobei die relevante Vereinbarung die zwischen Facebook und LikeIt-"Fan" ist, nicht die mit dem Website-Betreiber! Web2.0, Social Media und Datenschutz

© ARGE DATEN 2015 Variante F: Unternehmen betreibt eigene Website, hat jedoch Facebook-LikeIt-Button integriert - angezeigt wird die Zahl der LikeIt-"Fans" II (3)Berechtigter Zweck: Keine private Datenanwendung im Sinne des § 45 DSG 2000, in der Regel zulässig (z.B. Unternehmenspräsentation, Erwerbsfreiheit). Für Facebook gilt Variante A. (4)Aufsicht: Für Unternehmen im Regelfall Registrierungs- bzw. Genehmigungspflicht, wenn keine Ausnahmebestimmung zutrifft (Standardanwendung oder ausschließliche Verwendung veröffentlichter Daten). Für Facebook gilt Variante A. Web2.0, Social Media und Datenschutz Variante F/2: Zusätzlich wird das Profilfoto der LikeIt- "Fans" in Betreiber-Website integriert grundsätzlich ident, doch Veröffentlichung des Fotos bedarf der Zustimmung des LikeIt-"Fans"