Datenschutz-Beauftragter Bürokratischer Balast oder wichtiger Sicherheitsbeitrag? Hans G. Zeger, ARGE DATEN Wien, CMG-AE, 4. Oktober 2011 ARGE DATEN - Österreichische Gesellschaft für Datenschutz A-1160 Wien, Redtenbachergasse 20 Tel.: 0676 / 9107032 Fax.: 01 / 4803209 Mail Verein: info@argedaten.at Mail persönlich: hans.zeger@argedaten.at WWW-Verein: http://www.argedaten.at Zertifizierung: http://www.a-cert.at e-commerce: http://www.e-rating.at WWW-DSG2000: http://www.argedaten.at/dsg2000 DSG-Volltext: ftp://ftp.freenet.at/privacy/ds-at/dsg2000-aktuell.pdf DSG-StMV: ftp://ftp.freenet.at/privacy/ds-at/stmv-2004.pdf diverse Muster: http://www.argedaten.at/muster/ elektronische Kopie der Veranstaltungsunterlagen: http://www2.argedaten.at/static/ds-mod01-basis-fj-2011-komplett.pdf ARGE DATEN

Aktivitäten der ARGE DATEN Die ARGE DATEN als PRIVACY-Organisation Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: - Web-Service: 60-80.000 Besucher/Monat - Newsletter: rund 4.500 Abonnenten - 2010: rund 500 Medienanfragen/-berichte Mitgliederbetreuung Datenschutzfragen - 2010: ca. 600 Datenschutz-Anfragen Rechtsschutz, PRIVACY-Services - 2010: in ca. 200 Fällen Mitglieder in Verfahren vertreten Zahl der betreuten Mitglieder - aktuell: ca. 15.000 Personen Studien- und Beratungsprojekte A-CERT - Zertifizierungsdienstleister gem. SigG Diese Datenschutzthemen bewegen die Österreicher: - Finanzdienstleister und Privatversicherungen/ Wirtschaftsauskunftsdienste: 26%  - Konsumentendaten/Adressenverlage: 18%  - Beruf: 10%  - Bildung und Ausbildung: 10%  - Behörden und Verwaltung: 10%  - Gesundheit und Soziales: 8%  - Internet und Telekombetreiber: 8%  - Persönliches und Privatleben: 6%  - sonstige Themen, wie Statistik, Politik, Herkunft, öffentliche und private Sicherheit: 4%  Ausgewertet wurden rund 600 Datenschutzfälle der letzten fünf Jahre ,,: Tendenzangaben, Entwicklungen gegenüber Vorjahre (Statistik F-6a, Stand Dezember 2010)‏ ARGE DATEN

Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern. - ARGE DATEN

International Österreich ARGE DATEN Daten"schutz" heute - März 2011 Sony werden mehrere Millionen Benutzerdaten gestohlen Österreich - rund zehn Jahre lang wurden Exekutionsdaten aus dem Justizministerium entwendet - Beamte werden wegen illegaler EKIS-, ZMR- und KFZ-Abfragen verurteilt - GIS-, SP- und FP-Website werden "gehackt" - Polizistendaten werden veröffentlicht - Sozialversicherungsdaten liegen frei im Netz herum DSG 2000 §4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind" DSG 2000 §4 Z 7 "Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung)" Die Datenschutzdebatte ist auch in Österreich angekommen, sind die Organisationen darauf vorbereitet? ARGE DATEN

Entwicklung zum DSG 2000 ARGE DATEN DSG 2000 - Grundlagen 1978 erstes Datenschutzgesetz - DSG (BGBl. Nr. 565/1978) (Geltung 1.1.1980-31.12.1999) 1995 EG-Datenschutzrichtlinie 95/46/EG 1999 Datenschutzgesetz - DSG 2000 (BGBl. I Nr. 165/1999) Änderung des DSG 2000 2009 DSG 2000 - Novelle 2010 (BGBl. I Nr. 133/2009) 2009 Partnerschaft-Gesetz (BGBl. I Nr. 135/2009) Änderung(en) auf EU-Ebene 20?? EU - Neuordnung des Datenschutzes - ARGE DATEN

Umsetzung der EU-Richtlinie "Datenschutz" (1995) DSG 2000 - Grundlagen Umsetzung der EU-Richtlinie "Datenschutz" (1995) soll Privatsphäre (Art.1 Abs. 1) und Informationsaustausch (Art.1 Abs. 2) sichern Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten." Versuch auf die neuen Herausforderungen vernetzter Informationssysteme zu reagieren EU-RL gilt nur für "natürliche Personen" DSG 2000 auch für "juristische und sonstige Personen" "Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" (Datenschutzrichtlinie 95/46/EG)‏ Die Richtlinie soll gleichermaßen den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten den freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten sichern Art. 1 Gegenstand der Richtlinie (1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten. (2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes. Das DSG 2000 StF wurde am 17.8.1999 im Bundesgesetzblatt publiziert (BGBl. I Nr. 165/1999), Inkrafttreten am 1.1.2000 Übergangsfristen 1.1.2003 (internationaler Datenverkehr, manuelle Datenanwendungen, die der Meldepflilcht unterliegen), 1.1.2007 (Anpassung der Rechtsgrundlagen besonder Datenanwendungen § 17 Abs. 3 Z 1 bis 3)‏ Es wurden Spezialbestimmungen, wie Informationspflicht, Informationsverbundsysteme und automatisierte Entscheidung geschaffen ARGE DATEN

DSG 2000 § 1 (Verfassungsbestimmung): DSG 2000 - Grundrecht DSG 2000 § 1 (Verfassungsbestimmung): "jede Verwendung persönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots ist möglich: - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (Behörden) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen DSG2000 §1 Verfassungsbestimmung "(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind." Einschränkung dieser Rechte nur mit Zustimmung des Betroffenen, zur Wahrung lebenswichtiger Interessen des Betroffenen oder laut Art. 8 Abs. 2 der europäischen Menschenrechtskonvention aufgrund von Gesetzen. Weitere Verarbeitungsbeschränkungen für den öffentlichen Bereich ("Wahrung wichtiger öffentlicher Interessen") bei "besonders schutzwürdigen Daten" ("sensible Daten")‏ Festlegung der subjektiven Rechte: Auskunfts-, Richtigstellungs- und Löschungsrecht Festlegung der Rechtsdurchsetzung / Zivilrechtsweg Geplante - praxisnahe - Änderung in Novelle 2010 wegen Parteienstreit nicht durchgeführt: „(1) Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten.“ ARGE DATEN

"Daten" ("personenbezogene Daten") DSG 2000 - Grundlagen DSG 2000 § 4 Z 1 "Daten" ("personenbezogene Daten") "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist" DSG 2000 § 4 Z 3 "Betroffener" "jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden" Datenbegriff sehr allgemein gehalten, umfasst auch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. Stromverbrauchsdaten), ... Datenbegriff sehr allgemein gehalten: in D und LUX spezielle Datenschutz-Regelungen für Bild- und Tondaten (EU-Bericht Umsetzung DS-Richtlinie, 2003)‏, in Ö nunmehr auch zur Videoüberwachung DSG 2000 § 4 Z 1 "Daten" "Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; "nur indirekt personenbezogen" sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann." DSK K120.616/16-DSK/00 "Daten betreffend Verwandtschaftsverhältnisse und Wohnungsnutzung gehören zur Privatsphäre des einzelnen. Insbesondere Angaben über Verwandtschaftsverhältnisse gehören schon zu einem sehr intimen und höchstpersönlichen Lebensbereich und bilden wegen möglicher Schlussfolgerungen auf 'rassische und ethnische Herkunft' einer Person geradezu einen Grenzfall zum besonders schutzwürdigen Bereich der sensiblen Daten" (RIS)‏ DSG 2000 § 4 Z 3 "Betroffener" Unter Personengemeinschaft wären unter anderem Familien, Bürgerinitiativen, Betriebsräte, Wohngemeinschaften oder Hausgemeinschaften zu verstehen ARGE DATEN

DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung DSG 2000 - Grundlagen DSG 2000 § 4 Z 4 "Auftraggeber" / Verantwortlicher für Datenverwendung "natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung) DSG 2000 § 4 Z 5 "Dienstleister" natürliche oder juristische Personen, ...... , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung) DSG 2000 § 4 Z 4 "Auftraggeber" 4. "Auftraggeber": natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z 8), unabhängig davon, ob sie die Daten selbst verwenden (Z 8) oder damit einen Dienstleister (Z 5) beauftragen. Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung eines Werkes beauftragte Dienstleister (Z 5) die Entscheidung trifft, zu diesem Zweck Daten zu verwenden (Z 8), es sei denn dies wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung eigenverantwortlich zu entscheiden;" DSG 2000 §4 Z5 "Dienstleister" „5. Dienstleister: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (Z 8);“ K202.010/002-DSK/2001 "..sondern auch Personengemeinschaften, welchen es zwar an einer eigenen Rechtspersönlichkeit mangelt, die aber durch ihre Bezeichnung sowie die gemeinsamen Ziele und Aufgaben der Mitglieder eine hinlänglich unterscheidbare Entität sind." (RIS)‏ ARGE DATEN

ARGE DATEN IT-Sicherheit Verhältnis von Datensicherheit (IT-Sicherheit) und Datenschutz (Privacy) IT-Sicherheit Datenschutz Zugriffsschutz, Protokollierung, Rechteverwaltung, Ausspähen von Daten, Datenbeschädigung, Passwörter Sicherheitsmaßnahmen ohne direkte Datenschutzrelevanz: Katastrophenschutz, wie Blitz-, Feuer-, Erdbebenschutz Grundrechtliche Fragen ohne direkten IT-Bezug: Zweckbindung, Melde- und Offenlegungspflichten, Beobachtungsschutz, infomationelle Selbstbestimmung - IT-Sicherheit behandelt vorrangig technische Fragen Was ist machbar? Was ist möglich? Im Zentrum stehen Abwehrszenarien Datenschutz behandelt vorrangig (grund)rechtliche Fragen Was ist erwünscht? Im Zentrum stehen Gestaltungsszenarien - ARGE DATEN

Haftung bei fehlenden Datensicherheitsmaßnahmen Sicherheitsmaßnahmen - Haftung Haftung bei fehlenden Datensicherheitsmaßnahmen OGH Entscheidung (9 Ob A 182/90) Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden. Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren. Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen". Die Festlegung eines Sicherheitskonzepts ist Kernaufgabe einer Geschäftsführung! Weitere Informationen im ARGE DATEN - Archiv: http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=DIR1005 Unter 9 Ob A 182/90 entschied am 29.08.1990 der OGH, dass bei fehlenden Datensicherungsmaßnahmen auf jeden Fall eine Haftung des Arbeitnehmers ausgeschlossen ist. Die Begründung im einzelnen: UUU war bis 28.9.1988 bei XXX beschäftigt. Er hatte dort Programmierarbeiten durchzuführen. Das Angestelltenverhältnis wurde durch vorzeitigen Austritt des Klägers beendet. Dieser hatte eine Entgeltforderung in der Höhe von S 114.222,24. Diese Forderung wurde von XXX nicht bestritten, jedoch mit einem "Schaden" von S 200.000.- , der durch das Verschwinden und aufgrund einer fehlenden Dokumentation nicht mehr rekonstruierbaren Computerprogrammes entstand, gegengerechnet. Der Arbeitnehmer UUU klagte daher und erhielt in letzter Instanz recht. Bei Fehlen eines geeigneten Datensicherungs- bzw. Kennwortsystems und bei Fehlen entsprechender Arbeitgeberweisungen kann der Arbeitnehmer grundsätzlich nicht für den Verlust von EDV-Daten (Software) haftbar gemacht werden. Notwendig sind genaue Richtlinien unter anderem auch für die Vorgangsweise bei der Programmerstellung und das richtige und vollständige Dokumentieren. Bleiben die Weisungen unter diesen Gesichtspunkten unvollständig, so trägt der Arbeitgeber allein das Risiko, die entwickelte Software nur unvollständig oder überhaupt nicht nutzen zu können. Entscheidend kann für den Arbeitnehmer nur sein, ob er die vorgegebenen Weisungen eingehalten hat. ARGE DATEN

Schadenersatz (§ 33) ARGE DATEN DSG 2000 - Kontroll- & Strafbestimmungen Schadenersatz (§ 33) schuldhaftes Verhalten notwendig bei Verletzung von Bestimmungen des DSG 2000 ist tatsächlich erlittener materieller Schaden zu ersetzen bei Verletzungen der Geheimhaltung, die geeignet sind den Betroffenen bloßzustellen, gebührt Entschädigung Entschädigungsanspruch ist nicht beziffert, aber vergleichbar dem Mediengesetz geregelt [MedienG § 7: bis 20.000 Euro] bei Veröffentlichungen in einem Medium gilt Mediengesetz Entschädigungsanspruch ist gegenüber dem Auftraggeber geltend zu machen Schuldhaftes Handeln = Vorsatz oder fahrlässiges Handeln DSG 2000: „§ 33. (1) Ein Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen den Bestimmungen dieses Bundesgesetzes verwendet, hat dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Werden durch die öffentlich zugängliche Verwendung der in § 18 Abs. 2 Z 1 bis 3 genannten Datenarten schutzwürdige Geheimhaltungsinteressen eines Betroffenen in einer Weise verletzt, die einer Eignung zur Bloßstellung gemäß § 7 Abs. 1 des Mediengesetzes, BGBl. Nr. 314/1981, gleichkommt, so gilt diese Bestimmung auch in Fällen, in welchen die öffentlich zugängliche Verwendung nicht in Form der Veröffentlichung in einem Medium geschieht. Der Anspruch auf angemessene Entschädigung für die erlittene Kränkung ist gegen den Auftraggeber der Datenverwendung geltend zu machen.“ Mögliche Beispiele: rechtswidriger Eintrag in Negativliste (OGH 6 Ob 275/05t )‏ Aushang der Hausverwaltung von Zahlungsrückständen im Hausflur öffentliche Bekanntgabe des Kirchenaustritts durch Pfarrer deponierte Personalakten mit abschätzigen Bemerkungen auf einem Parkplatz Übermittlung persönlicher Daten an Arbeitgeber (z.B. Bezug von Pornos, Ergebnisse von Beschwerde- und Verwaltungsverfahren) ARGE DATEN

OGH 6 Ob 275/05t ("Verdienstentgang") DSG 2000 - Schadenersatz OGH 6 Ob 275/05t ("Verdienstentgang") Ausgangslage - Anwalt gelangte wegen Verzug der Rückzahlung eines Bürgschaftskredits auf UKV-Liste der Banken - Geschäft mit einer Kammer kam auf Grund dieses Eintrags nicht zustande (Umfang 70.000,- EUR) - Anwalt forderte von Bank Schadenersatz in Höhe von 30.000 EUR OGH-Entscheidung - Eintrag ohne vorherige Verständigung unzulässig - OGH beruft sich ausdrücklich auf DSK-Bescheid K095.014/021- DSK/2001 - Schadenersatz besteht daher zu Recht (zugesprochen 25.000 EUR) - Erstgericht wird Aufteilung zwischen materiellen/immateriellen Schaden entscheiden müssen OGH 6 Ob 275/05t Verständigungspflicht der Bank vor Eintragung in die Warnliste: Die sogenannte "Warnliste der österreichischen Kreditinstitute zum Zweck des Gläubigerschutzes und der Risikominimierung durch Hinweis auf vertragswidriges Kundenverhalten" (in dieser Entscheidung Warnliste) dient - worauf schon ihre Bezeichnung hinweist - dem Gläubigerschutz. Ihr Zweck liegt in der Auskunftserteilung über die Kreditwürdigkeit eines Bankkunden oder seines Bürgen. Als Informationsverbundsystem im Sinn der §§ 4 Z 13 und 50 DSG wie auch aufgrund ihres Zwecks (§ 18 Abs 2 Z 3 DSG) unterliegt sie der Vorabkontrolle durch die Datenschutzkommission (§ 18 Abs 2 DSG). Im Rahmen dieser Vorabkontrolle erteilte die Datenschutzkommission Auflagen nach §21 Abs 2 DSG (konsolidierte Fassung der Bescheide K 095.014/016-DSK/2001 und K 095.014/021- DSK/2001). Danach muss vor der Eintragung eines Schuldners oder dessen Bürgen in die Warnliste der Auftraggeber (die Bank) den betreffenden Kunden und seinen Bürgen im Fälligstellungsschreiben oder im Kontoaufkündigungsschreiben ausdrücklich darauf hinweisen, dass er die Warnliste eingetragen wird, sollte innerhalb der gesetzlichen Zahlungsfrist keine vollständige Zahlung erfolgen oder keine andere Vereinbarung getroffen werden. ..... Dass die Veranlassung der Aufnahmen in die Warnliste ohne vorhergehende Information dem im § 6 Abs 1 Z 1 DSG verankerten Grundsatz von Treu und Glauben widerspricht, wurde bereits ausgeführt. Der Beklagte zeigt in seiner Rekursbeantwortung zutreffend auf, dass die gesetzwidrige Aufnahme in die Warnliste im vorliegenden Fall geeignet ist, ihn in der Öffentlichkeit bloßzustellen. Jemanden bloßzustellen bedeutet, Tatsachen aus seinem höchstpersönlichen Lebensbereich (wozu auch die Daten nach § 18 Abs 2 Z 1 bis 3 DSG gehören, siehe Dohr/Pollirer/Weiss, Datenschutzrecht² § 33 Seite 227) zu enthüllen, die ihn aus der Sicht Dritter herabsetzen und sein Ansehen untergraben. Dies ist bei einer gegen das Datenschutzgesetz verstoßenden Aufnahme eines Rechtsanwalts in die Warnliste der Banken der Fall. Die dadurch verbreitete Annahme, der Betroffene sei als Rechtsanwalt kreditunwürdig, untergräbt sein Ansehen bei Klienten und unter Kollegen und ist geeignet, seinen Ruf nachhaltig zu schädigen und sogar seine wirtschaftliche Existenz zu gefährden. ARGE DATEN

Gewinn- oder Schädigungsabsicht (DSG 2000 § 51) DSG 2000 - Strafbestimmungen Gewinn- oder Schädigungsabsicht (DSG 2000 § 51) - Klarstellung der Deliktvoraussetzungen: Vorsatz der Bereicherung von sich oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer Delikt begeht, wer ... - widerrechtlich ihm zugängliche Daten benutzt oder - Daten widerrechtlich beschafft oder - anderen widerrechtlich zugänglich macht oder - widerrechtlich öffentlich macht Strafausmaß: bis ein Jahr Delikt wird zum Offizialdelikt Strafbestimmung gilt subsidiär Geänderte Bestimmungen (DSG-Novelle 2010) § 51 Abs. 1 entfällt die Absatzbezeichnung “(1)”. Die Wortfolge “in der Absicht, sich einen Vermögensvorteil zu verschaffen oder einem anderen einen Nachteil zuzufügen” wird durch die Wortfolge “mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen” ersetzt. Neue Bestimmung: § 51 Datenverwendung in Gewinn- oder Schädigungsabsicht Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr zu bestrafen. ARGE DATEN

Hier ist Vorsatz Voraussetzung für die Tatverfolgung DSG 2000 - Strafbestimmungen Strafbestimmungen bei öffentlich-rechtlichen Organen Missbrauch der Amtsgewalt (§ 302 StGB) Strafrahmen: bis 5 Jahre Laufend Verurteilungen, siehe etwa OGH 14 Os 105/10p (rechtswidriger Abruf von KFZ-Zulassungsdaten) Verletzung des Amtsgeheimnisses (§ 310 StGB) Strafrahmen: bis 3 Jahre denkbar auch: Falsche Beurkundung und Beglaubigung im Amt (§ 311 StGB) Hier ist Vorsatz Voraussetzung für die Tatverfolgung Missbrauch der Amtsgewalt StGB § 302. (1) Ein Beamter, der mit dem Vorsatz, dadurch einen anderen an seinen Rechten zu schädigen, seine Befugnis, im Namen des Bundes, eines Landes, eines Gemeindeverbandes, einer Gemeinde oder einer anderen Person des öffentlichen Rechtes als deren Organ in Vollziehung der Gesetze Amtsgeschäfte vorzunehmen, wissentlich mißbraucht, ist mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen. (2) Wer die Tat bei der Führung eines Amtsgeschäfts mit einer fremden Macht oder einer über- oder zwischenstaatlichen Einrichtung begeht, ist mit Freiheitsstrafe von einem bis zu zehn Jahren zu bestrafen. Ebenso ist zu bestrafen, wer durch die Tat einen 50 000 Euro übersteigenden Schaden herbeiführt. Verletzung des Amtsgeheimnisses StGB § 310. (1) Ein Beamter oder ehemaliger Beamter, der ein ihm ausschließlich kraft seines Amtes anvertrautes oder zugänglich gewordenes Geheimnis offenbart oder verwertet, dessen Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, mit Freiheitsstrafe bis zu drei Jahren zu bestrafen. (2) Ebenso ist zu bestrafen, wer als Mitglied eines Ausschusses gemäß Art. 53 B-VG bzw. eines nach Art. 52a B-VG eingesetzten ständigen Unterausschusses oder als zur Anwesenheit bei deren Verhandlungen Berechtigter ein ihm in vertraulicher Sitzung zugänglich gewordenes Geheimnis offenbart oder verwertet, dessen Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen. (2a) Ebenso ist zu bestrafen, wer - sei es auch nach seinem Ausscheiden aus dem Amt oder Dienstverhältnis - als Organwalter oder Bediensteter des Europäischen Polizeiamtes (Europol), als Verbindungsbeamter oder als zur Geheimhaltung besonders Verpflichteter (Art. 32 Abs. 2 des Europol-Übereinkommens, BGBl. III Nr. 123/1998) eine Tatsache oder Angelegenheit offenbart oder verwertet, die ihm ausschließlich kraft seines Amtes oder seiner Tätigkeit zugänglich geworden ist und deren Offenbarung oder Verwertung geeignet ist, ein öffentliches oder ein berechtigtes privates Interesse zu verletzen. (3) Offenbart der Täter ein Amtsgeheimnis, das verfassungsgefährdende Tatsachen (§ 252 Abs. 3) betrifft, so ist er nur zu bestrafen, wenn er in der Absicht handelt, private Interessen zu verletzen oder der Republik Österreich einen Nachteil zuzufügen. Die irrtümliche Annahme verfassungsgefährdender Tatsachen befreit den Täter nicht von Strafe. ARGE DATEN

Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln] DSG 2000 - Strafbestimmungen Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1) [=deliktisches Handeln] - widerrechtliches Verschaffen eines Zugangs zu einer DA - widerrechtliches Weiterbenutzen eines Zugangs zu einer DA - Übermittlung unter Verletzung des Datengeheimnisses - Weiterverwendung von Daten entgegen eines rechtskräftigen Urteils/Bescheids - widerrechtliches Löschen von Daten (§ 26 Abs. 7) Strafrahmen: bis 25.000,- Euro zuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSK Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk) Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten! Zuständig für Anzeigen ist jene Bezirksverwaltungsbehörde in deren Sprengel der Datenverarbeiter seinen Aufenthalt oder Sitz hat Das sind die Bezirkshauptmannschaften bzw. in den Städten mit eigenem Statut das Magistrat Berufungsinstanz ist der Unabhängige Verwaltungssenat (UVS)‏ Verantwortlichkeit des Auftraggebers ist u.a im VstG §9 geregelt Vor 2000 gab es rund 30 Verfahren/Jahr bei den Landeshauptleuten, die Regierungsvorlage 2000 rechnete in Zukunft mit 10fachem Anfall an Anzeigen/Verfahren, tatsächlich dürfte die jährliche Zahl an Strafverfahren zurück gegangen sein. Bisher war als Berufungsinstanz die DSK zuständig, dies führte in der Vergangenheit zu Interessenskonflikten. Aktuelle Zahlen werden von der DSK nicht publiziert. ARGE DATEN

DSG 2000 - Strafbestimmungen Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 1. nicht Erfüllen Meldepflicht gemäß den §§ 17 oder 50c oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt 2. Daten ins Ausland übermittelt oder überlässt, ohne Genehmigung gemäß § 13 Abs. 1 3. Verstoß gegen Zusagen an oder Auflagen der DSK (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) 4. Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d verletzt 5. § 14 Sicherheitsmaßnahmen gröblich außer Acht lässt Geänderte Bestimmungen (DSG-Novelle 2010) § 52 DSG 2000 Verwaltungsstrafbestimmung (1) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 25 000 Euro zu ahnden ist, wer 1. sich vorsätzlich widerrechtlichen Zugang zu einer Datenanwendung verschafft oder einen erkennbar widerrechtlichen Zugang vorsätzlich aufrechterhält oder 2. Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 15) übermittelt, insbesondere Daten, die ihm gemäß §§ 46 oder 47 anvertraut wurden, vorsätzlich für andere Zwecke verwendet oder 3. Daten entgegen einem rechtskräftigen Urteil oder Bescheid verwendet, nicht beauskunftet, nicht richtigstellt oder nicht löscht oder 4. Daten vorsätzlich entgegen § 26 Abs. 7 löscht. (2) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 10 000 Euro zu ahnden ist, wer 1. Daten ermittelt, verarbeitet oder übermittelt, ohne seine Meldepflicht gemäß den §§ 17 oder 50c erfüllt zu haben oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt oder 2. Daten ins Ausland übermittelt oder überlässt, ohne die erforderliche Genehmigung der Datenschutzkommission gemäß § 13 Abs. 1 eingeholt zu haben oder 3. gegen gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1 abgegebene Zusagen oder von der Datenschutzkommission gemäß § 13 Abs. 1 oder § 21 Abs. 2 erteilte Auflagen verstößt oder 4. seine Offenlegungs- oder Informationspflichten gemäß den §§ 23, 24, 25 oder 50d verletzt oder 5. die gemäß § 14 erforderlichen Sicherheitsmaßnahmen gröblich außer Acht lässt oder ARGE DATEN

DSG 2000 - Strafbestimmungen Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2) [=Unterlassungen, Gefährdungen, sonstige Delikte] 6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht. Strafrahmen: bis 10.000,- Euro § 52 DSG 2000 Verwaltungsstrafbestimmung (Fortsetzung) 6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt oder 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Löschungsfrist nicht löscht. ARGE DATEN

Verfallbestimmungen § 52 Abs. 4 DSG 2000 - Strafbestimmungen Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a) [=Gefährdung von Betroffenenrechten] neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a) Strafrahmen: bis 500,- Euro [neu] Verfallbestimmungen § 52 Abs. 4 Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden § 52 DSG 2000 Verwaltungsstrafbestimmung (Fortsetzung) (2a) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit einer Strafe bis zu 500 Euro zu ahnden ist, wer Daten entgegen den §§ 26, 27 oder 28 nicht fristgerecht beauskunftet, richtigstellt oder löscht. (3) Der Versuch ist strafbar. (4) Die Strafe des Verfalls von Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten kann ausgesprochen werden (§§ 10, 17 und 18 VStG), wenn diese Gegenstände mit einer Verwaltungsübertretung nach Abs. 1 oder 2 in Zusammenhang stehen. (5) Zuständig für Entscheidungen nach Abs. 1 bis 4 ist die Bezirksverwaltungsbehörde, in deren Sprengel der Auftraggeber (Dienstleister) seinen gewöhnlichen Aufenthalt oder Sitz hat. Falls ein solcher im Inland nicht gegeben ist, ist die am Sitz der Datenschutzkommission eingerichtete Bezirksverwaltungsbehörde zuständig. ARGE DATEN

Warum Datenschutzbeauftragter (DSB) ? - derzeit gesetzlich nicht verpflichtend vorgesehen - freiwillig kann ein Datenschutzbeauftragter von Orgnisationen immer eingerichtet werden - Verantwortung bleibt bei der Geschäftsführung, im Schadensfall wird aber die Haftung reduziert sein Entwurf der DSG-Novelle 2008 sah DSB in Betrieben ab 20 MA mit IT-Tätigkeit vor, nicht bei Behörden ARGE DATEN

Typische Aufgaben des Datenschutzbeauftragten Datenschutzbeauftragter Typische Aufgaben des Datenschutzbeauftragten - Durchführen der Registrierung von Datenanwendung, Überwachen deren Aktualität - Einholen von Genehmigungen für den internationalen Datenverkehr - Abschluss der Dienstleistervereinbarungen und Überwachen deren Einhaltung - Kontrolle von Zustimmungserklärungen auf deren DSG - Konformität - Beratung bei Abschluss von Dienststellen- /Betriebsvereinbarungen - Internes und externes "Lobbying" (Entwicklung von Konzernpositionen, Kontaktpflege zu Aufsichtsbehörden) Entwurf der DSG-Novelle 2008 sah DSB in Betrieben ab 20 MA mit IT-Tätigkeit vor, nicht bei Behörden ARGE DATEN

Typische Aufgaben des Datenschutzbeauftragten II Datenschutzbeauftragter Typische Aufgaben des Datenschutzbeauftragten II - Beratung/Information von Betriebs-/Dienststellenleitung, Mitarbeiter und Betriebsrat/Personalvertretung - Entwicklung einer organisationsweiten Privacy-Policy - laufende Schulung in Datenschutzmaßnahmen und Verbesserung der Datenschutzawareness - Erarbeitung von Vorschlägen zur Verbesserungen gem. § 14 DSG 2000 (Sicherheitsmaßnahmen) - Überwachung der Einhaltung der Informationspflichten - effiziente Umsetzung der subjektiven Betroffenen-Rechte: - Recht auf Auskunft - Recht auf Löschung und Aktualisierung - Recht auf WIderspruch Entwurf der DSG-Novelle 2008 sah DSB in Betrieben ab 20 MA mit IT-Tätigkeit vor, nicht bei Behörden ARGE DATEN

Organisatorische und fachliche Einordnung des Datenschutzbeauftragten Datenschutzbeauftragter Organisatorische und fachliche Einordnung des Datenschutzbeauftragten + rechtliches und informationstechnisches Fachwissen + direkte Berichtspflicht an Geschäftsführung + als eigene Stabstelle eingerichtet + in der Entwicklung von Geschäftsprozessen und Projekten systematisch eingebunden (nicht nur als "Spaßverderber") + eigenes Budget - Einordnung in einen langen Hierarchieweg - IT-Leiter ist gleichzeitig Datenschutzbeauftragter - Sicherheitsverantwortlicher ist gleichzeitig Datenschutzbeauftragter - ausschließlich technisches oder rechtliches Fachwissen Entwurf der DSG-Novelle 2008 sah DSB in Betrieben ab 20 MA mit IT-Tätigkeit vor, nicht bei Behörden ARGE DATEN

Datenschutzbeauftragter Organisatorische und fachliche Einordnung des Datenschutzbeauftragten II +/- Einbindung des DSB in Revisions- oder Rechtsabteilung +/- Auslagerung der Datenschutzagenden an externe Berater +/- betrieblicher Datenschutzbeauftragter als Teilzeittätigkeit Entwurf der DSG-Novelle 2008 sah DSB in Betrieben ab 20 MA mit IT-Tätigkeit vor, nicht bei Behörden ARGE DATEN

Konsequenzen mangelhafter IT-Sicherheit Umsetzung Sicherheitsanforderungen Konsequenzen mangelhafter IT-Sicherheit - Verwaltungsstrafe: nach DSG §52 Abs. 2 Verwaltungsübertretung mit Strafe bis 10.000 Euro - Zivilrechtliche Haftung: Unternehmen bzw. Dienstnehmer könnten für Folgeschäden haften, auch Gehilfenhaftung - UWG-Verfahren: Mitbewerber könnten fehlende Sicherheitsmaßnahmen als Versuch eines unlauteren Wettbewerbsvorteils einklagen - immaterieller Schadenersatz: bei prangerartigen oder bloßstellenden Folgen §33 DSG, §1328a ABGB, Medienrecht - Strafrecht: bei vorsätzlichen Handlungen (es genügt Schaden wird bewusst in Kauf genommen), z.B. §51 DSG 2000, §§ 302/310 StGB, §§ 119/a StGB - Imageschaden: Vertrauensverlust von Kunden und Öffentlichkeit Die wichtigsten rechtlichen Bestimmungen (Auswahl) Spezifische Datenschutzbestimmung - DSG §52 Verwaltungsübertretung Immaterielle Schadenersatzbestimmungen - Medienrecht bloßstellende Veröffentlichung - ABGB 1328a Eingriffe in Privatsphäre - DSG §33 Schadenersatz / immaterieller Schadenersatz Wirtschaftsrechtliche Bestimmungen - ABGB zivilrechtliche Haftung - § 84 AktG: Haftung des Vorstand - § 25 GmbHG: Geschäftsführerhaftung - UWG Erringung eines unlauteren Wettbewerbsvorteils - Dienstnehmerhaftpflichtgesetz - Verbandverantwortlichkeitsgesetz Strafbestimmungen - DSG §51 Strafrecht / Datenschutzverletzung - StGB §302 Missbrauch der Amtsgewalt - StGB §310 Verletzung des Amtsgeheimnisses - StGB §§119/119a Verletzung des Telekommunikationsgeheimnisses - StGB §122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses ARGE DATEN

Was wurde bisher nicht geregelt? DSG 2000 - Themen für Neuregelung Was wurde bisher nicht geregelt? - betrieblicher Datenschutzbeauftragter [war im letzten Novellen-Entwurf enthalten] - Schaffung verbesserter Schutz veröffentlichter Daten [war in Regierungsvorlage enthalten] - kollektive Interventionsrechte bei massenhaften Datenmissbrauch vorsehen (z.B. Verletzung der Informationspflicht) - Schaffung von Zulassungs- und Auditverfahren (zumindest bei sensiblen Datenanwendungen) - Vereinheitlichung der Zuständigkeiten der Aufsichts- und Strafbehörden Nicht realisierte Bestimmung: § 8 Abs. 2 lautet: „Schutzwürdige Geheimhaltungsinteressen gelten als nicht verletzt, wenn indirekt personenbezogene Daten verwendet werden oder zulässigerweise veröffentlichte Daten in einer mit dem ursprünglichen eindeutig erkennbaren Veröffentlichungszweck vereinbaren Weise verwendet wurden. Das Recht, gegen die Verwendung zulässigerweise veröffentlichter Daten gemäß § 28 Abs. 2 Widerspruch zu erheben, bleibt unberührt.“ ARGE DATEN

... aber es gilt, nach der Novelle ist vor der Novelle ... DSG 2000 - Themen für Neuregelung Was wurde bisher nicht geregelt? II Fehlende Regelungen auf Grund neuer technologischer und sozialer Entwicklungen [z.B. neue Rollendefinitionen erforderlich]: - Web2.0/Soziale Netze - RFID (Radio Frequency IDentification) - biometrische Daten - Cloud Computing - Persönliche Online Services, wie Patientendatenverwaltung - Scoringmethoden - Ubiquitous Computing ("Web der Dinge") - Personenortung - ...?? - ... aber es gilt, nach der Novelle ist vor der Novelle ... ARGE DATEN

Fahrplan zu einem neuen EU-Datenschutzrecht EU-Neuregelung des Datenschutzes Fahrplan zu einem neuen EU-Datenschutzrecht - 4.11.2010 Kommissionsmitteilung Konzept Datenschutzrecht - bis 14.1.2011 europaweites Konsultationsverfahren - Eckpfeiler der geplanten Neuregelung - Stärkung der Rechte des Einzelnen - mehr Transparenz für die Betroffenen - bessere Kontrolle des Betroffenen über seine Daten - Prinzip der Datensparsamkeit (inkl. "Recht auf Vergessen") - neue Kategorien sensibler Daten (z.B. "Gendaten") - Klagsbefugnis für Verbände - Harmonisierung der Meldepflichten (EU-weites Registerformular) - Vereinfachungen im internationalen Datentransfer - Herbst 2011 ?? Entwurf einer neuen EU-Richtlinie - ARGE DATEN

Ausbildungsreihe der ARGE DATEN Betrieblicher Datenschutzbeauftragter Ausbildungsreihe der ARGE DATEN Modul I: Datenschutz Grundlagen 15. November 2011 Modul II: Datenverwendung im Unternehmen 16. November 2011 Modul III: Datenschutz und IT-Sicherheit 22. November 2011 Modul IV: Datenschutz Praxis / international 17. November 2011 Modul V: Datenschutzfragen identifizieren 23. November 2011 Warum ein "betrieblicher Datenschutzbeauftragter"? Viele Unternehmen, insbesondere ab einer Größe von 50 Mitarbeitern, haben sich dazu entschlossen die Position eines "betrieblichen Datenschutzbeauftragten" zu schaffen. Dies hat sowohl ablauf- als auch aufbauorganisatorische Vorteile. Durch die Schaffung dieser Position ergibt sich für alle Mitarbeiter eine klar dokumentierte Zuständigkeit für Datenschutzfragen, die meist komplexer rechtlicher, technischer oder organisatorischer Art sind und nicht unmittelbar einzelnen Abteilungen, wie der IT- oder der Rechts-Abteilung zugeordnet werden können. Damit kann auch Koordination und Durchsetzung der notwendigen Datenschutzmaßnahmen erleichtert werden. Der Datenschutzbeauftragte kann leichter Fristen und Verpflichtungen, die sich aus dem Datenschutzgesetz ergeben, wie die Registrierungspflichten (§17 DSG 2000), die Maßnahmen zur Datensicherheit (§14 DSG 2000), die Mitarbeiterschulung (§15 DSG 2000) oder den zeitgerechten Abschluss von Dienstleistervereinbarungen (§10 DSG 2000) koordinieren und überwachen. Für Mitarbeiter, Kunden und Lieferanten ergibt sich eine eindeutige Kompetenzstelle für alle Datenschutzprobleme, unabhängig davon welche Geschäftsbereiche diese betreffen. Gerade Datenschutzfragen enthalten potentiellen Konfliktstoff, der durch eine rasche und effiziente Klärung offener Fragen professionell beseitigt werden kann. Ist ein "betrieblicher Datenschutzbeauftragter" verpflichtend vorgeschrieben? Das österreichische Datenschutzgesetz sieht - im Gegensatz zum deutschen Datenschutzrecht - keine Verpflichtung zur Nominierung eines Datenschutzbeauftragten vor. Gleichzeitig wird jedoch die Schaffung betrieblicher Datenschutzstrukturen im Datenschutzgesetz ausdrücklich begrüßt (§16 DSG 2000). Die Reihe wird mit einem Zertifikat abgeschlossen ARGE DATEN

Dr. Hans G. Zeger Kontaktdaten ARGE DATEN A-1160 Wien, Redtenbachergasse 20 Tel.: 0676 / 9107032 Fax.: 01 / 53 20 974 Mail persönlich: hans.zeger@argedaten.at Verein: http://www.argedaten.at Web2.0: http://web2.0.freenet.at Personal Page: http://www.zeger.at -

Ich danke für Ihre Aufmerksamkeit - ARGE DATEN

Onlineinformation ARGE DATEN http://www.argedaten.at/ http://www.dsk.gv.at/ http://ec.europa.eu/justice/policies/privacy/index_en.htm http://www.datenschutzzentrum.de/ http://www.gdd.de/ Weitere Datenschutzeinrichtungen - http://www.argedaten.at/php/cms_monitor.php?q=ORG-DATENSCHUTZ Weitere Rechtsinformationen - http://www.argedaten.at/php/cms_monitor.php?q=RECHTS-LINKS Entscheidungen finden sich im RIS: - http://www.ris.bka.gv.at/dsk/ (Datenschutzkommission)‏ - http://www.ris.bka.gv.at/jus/ (OGH-Entscheidungen)‏ Technische Informationen - Bundesamt fuer Sicherheit in der Informationstechnik (BSI) http://www.bsi.bund.de/ - CERT http://www.cert.org/ - Online-Sicherheitsstatus http://www.netcraft.com - DFN Cert http://www.cert.dfn.de/ - Security-Server http://www.infoserversecurity.org - Informationstechnik-Koordination (BKA Wien) http://www.cio.gv.at/ http://www.datenschutzverein.de/ ARGE DATEN

ARGE DATEN DSG 2000 - DSG 2000 §4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind" DSG 2000 §4 Z 7 "Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung)" ARGE DATEN

ARGE DATEN DSG 2000 - DSG 2000 §4 Z 6 "Datei" "strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind" DSG 2000 §4 Z 7 "Datenanwendung'' "die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung)" ARGE DATEN