Datenschutz versus Kontrolle Verantwortung von Mitarbeitern und Geschäftsführung Hans G. Zeger, ARGE DATEN Wien, Schoeller Network Control, 29. Jänner 2013 ARGE DATEN - Österreichische Gesellschaft für Datenschutz A-1160 Wien, Redtenbachergasse 20 Tel.: 0676 / 9107032 Fax.: 01 / 53 20 974 Mail Verein: info@argedaten.at Mail persönlich: hans.zeger@argedaten.at WWW-Verein: http://www.argedaten.at Zertifizierung: http://www.a-cert.at e-commerce: http://www.e-rating.at WWW-DSG2000: http://www.argedaten.at/dsg2000 DSG-Volltext: ftp://ftp.freenet.at/privacy/ds-at/dsg2000-aktuell.pdf DSG-StMV: ftp://ftp.freenet.at/privacy/ds-at/stmv-2004.pdf diverse Muster: http://www.argedaten.at/muster/ ARGE DATEN

Aktivitäten der ARGE DATEN Die ARGE DATEN als PRIVACY-Organisation Aktivitäten der ARGE DATEN Öffentlichkeitsarbeit, Informationsdienst: - Web-Service: 60-80.000 Besucher/Monat - Newsletter: rund 4.500 Abonnenten - 2012: rund 500 Medienanfragen/-berichte Mitgliederbetreuung Datenschutzfragen - 2012: ca. 600 Datenschutz-Anfragen Rechtsschutz, PRIVACY-Services - 2012: in ca. 200 Fällen Mitglieder in Verfahren vertreten Zahl der betreuten Mitglieder - aktuell: ca. 15.000 Personen Studien- und Beratungsprojekte A-CERT - Zertifizierungsdienstleister gem. SigG Diese Datenschutzthemen bewegen die Österreicher: - Finanzdienstleister und Privatversicherungen/ Wirtschaftsauskunftsdienste: 28%  - Beruf: 11%  - Persönliches und Privatleben: 10%  - Behörden und Verwaltung: 10%  - Konsumentendaten/Adressenverlage: 8%  - Gesundheit und Soziales: 7%  - Internet und Telekombetreiber: 7%  - Bildung und Ausbildung: 5%  - sonstige Themen, wie Statistik, Politik, Herkunft, öffentliche und private Sicherheit: 15%  Ausgewertet wurden rund 600 Datenschutzfälle der letzten fünf Jahre ,,,,: Tendenzangaben, Entwicklungen gegenüber Vorjahre (Statistik F-6a, Stand Dezember 2012)‏ ARGE DATEN

Umsetzung der EU-Richtlinie "Datenschutz" (1995) DSG 2000 - Grundlagen Umsetzung der EU-Richtlinie "Datenschutz" (1995) soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch (Art.1 Abs.2) sichern Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten." EU-RL gilt nur für "natürliche Personen" DSG 2000 auch für "juristische und sonstige Personen" "Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" (Datenschutzrichtlinie 95/46/EG)‏ Die Richtlinie soll gleichermaßen den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten den freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten sichern Art. 1 Gegenstand der Richtlinie (1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten. (2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes. Das DSG2000 wurde am 17.8.1999 im Bundesgesetzblatt publiziert (BGBl. I Nr. 165/1999), Inkrafttreten am 1.1.2000 Übergangsfristen 1.1.2003 (internationaler Datenverkehr, manuelle Datenanwendungen, die der Meldepflilcht unterliegen), 1.1.2007 (Anpassung der Rechtsgrundlagen besonder Datenanwendungen § 17 Abs. 3 Z 1 bis 3)‏ Es wurden Spezialbestimmungen, wie Informationspflicht, Informationsverbundsysteme und automatisierte Entscheidung geschaffen ARGE DATEN 3

DSG 2000 § 1 (Verfassungsbestimmung): DSG 2000 - Grundlagen DSG 2000 § 1 (Verfassungsbestimmung): "jede Verwendung persönlicher Daten ist verboten" umfassender Geheimhaltungsanspruch Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots (= Nutzungsmöglichkeiten für Daten): - mit der Zustimmung des Betroffenen - zur Vollziehung von Gesetzen (gesetzlichen Verpflichtungen) - zur Wahrung überwiegender Interessen Auftraggeber/Dritter - bei "allgemeiner" Verfügbarkeit von Daten - bei lebenswichtigen Interessen des Betroffenen DSG2000 §1 Verfassungsbestimmung "(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind." Einschränkung dieser Rechte nur mit Zustimmung des Betroffenen, zur Wahrung lebenswichtiger Interessen des Betroffenen oder laut Art. 8 Abs. 2 der europäischen Menschenrechtskonvention aufgrund von Gesetzen. Weitere Verarbeitungsbeschränkungen für den öffentlichen Bereich ("Wahrung wichtiger öffentlicher Interessen") bei "besonders schutzwürdigen Daten" ("sensible Daten")‏ Festlegung der subjektiven Rechte: Auskunfts-, Richtigstellungs- und Löschungsrecht Festlegung der Rechtsdurchsetzung / Zivilrechtsweg Geplante - praxisnahe - Änderung in Novelle 2010 wegen Parteienstreit nicht durchgeführt: „(1) Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten.“ ARGE DATEN 4

gesetzliche Verpflichtungen Betriebliche Verpflichtungen gesetzliche Verpflichtungen - Datenschutzgesetz DSG 2000 - TKG 2003, Kommunikationsgeheimnis, ... - (technische) Spezialgesetze - allgemeine betriebliche Verpflichtungen (Sorgfalt eines "ordentlichen Kaufmanns") privatrechtliche, sonstige Verpflichtungen - Konzern-Vorgaben (Corporate Binding Rules, (IT-)Compliance, ...) - Spezialrecht Dritter (Sarbanes-Oxley Act/SOX, Whistleblower Protection Act, False Claim Act 1986, Vergaberecht/-bestimmungen, ...) - Zertifizierungen (ISO 27001, ...) - Service Level Agreements, Kundenvereinbarungen - Kooperationsvereinbarungen - ARGE DATEN 5

Sicherheitsbestimmungen (DSG 2000 § 14) DSG 2000 - Sicherheitsbestimmungen Sicherheitsbestimmungen (DSG 2000 § 14) Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden: Stand der Technik entsprechend wirtschaftlich vertretbar angemessenes Schutzniveau muss erreicht werden Es gibt im DSG 2000 keine rechtlich verbindlichen (zwingenden) technischen Sicherheitsvorschriften! Passiert etwas, wird die Geschäftsführung nachweisen müssen, die Anforderungen angemessen erfüllt zu haben MASSNAHMEN zur SICHERHEIT DSG 2000: „§ 14. (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind.“ Sicherheitsvorschriften müssen für die Mitarbeiter jederzeit einschaubar sein (Abs. 6) Umsetzung sollte nach anerkannten Verfahren oder Leitlinien erfolgen Technische Maßnahmen ohne security policy sind ineffektiv! Wesentlicher Bestandteil jeder "security policy" sind die tatsächlich erteilten Verarbeitungs- und Verwendungsanweisungen Beispiele: BSI-Grundschutz, Sicherheitshandbücher, ... Informationen zum österreichischen IT-Sicherheitshandbuch: http://www.a-sit.at/de/sicherheitsbegleitung/sicherheitshandbuch/index.php Verwendung von Sicherheitskonzepten entlasten in der individuellen Haftung, können aber zu unerwünschter Delegation von Verantwortung führen WKO hat Sicherheitshandbuch mit eher volksbildnerischen Charakter herausgebracht: http://www.it-safe.at/pdf/handbuch.pdf ARGE DATEN 6

ARGE DATEN DSG 2000 - Sicherheitsbestimmungen rechtlich-organisatorische Sicherheitsmaßnahmen - ausdrückliche Aufgabenverteilung - ausschließlich auftragsgemäße Datenverwendung - Belehrungspflicht der Mitarbeiter - Regelung der Zugriffs- und Zutrittsberechtigungen - Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten - Dokumentationspflicht zur Kontrolle und Beweissicherung - Protokollierungspflicht Insgesamt können die Maßnahmen als Verpflichtung zu einer Security-Policy verstanden werden! z.B. gemäß BSI M 2.192 Erstellung einer IT-Sicherheitsleitlinie oder ISO 27001 Informationssicherheitsleitlinie Beachtung technischer Maßnahmen laufende Beobachtung diverser Mailinglisten (CERT), Publikationen der Art. 29 Datenschutzgruppe der EU, Anlehnung an bestehende Konzepte und Empfehlungen BSI-Handbuch, IT-Sicherheitshandbücher, Datenschutzgütesiegel Befassung externer Berater (Wirtschaftstreuhänder, Sicherheitsberater, ...), Outsourcing einzelner IT-Sicherheitsaspekte an ISP, Dienstleister SPAM- und Viren/Wurm-Kontrolle, Firewall, ... Arbeitspapiere der Art.29 Gruppe http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2008_de.htm Auswahl: - Arbeitspapier über genetische Daten - unerbetenen Werbenachrichten - Verarbeitung personenbezogener Daten aus der Videoüberwachung - vertrauenswürdige Rechnerplattformen ARGE DATEN

Protokollierungsanforderungen I (§ 14) DSG 2000 - Sicherheitsbestimmungen Protokollierungsanforderungen I (§ 14) Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z7) betrifft jeden Datenverarbeitungsschritt, inkl. Abfragen, Auswertungen, Ausdrucke, ... diese müssen "im Hinblick auf die Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können" bedeutet in weiterer Konsequenz, dass die Protokolldaten auch auditierbar sein müssen § 14 DSG 2000 Datensicherheitsmaßnahmen (1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich sind. (2) Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz erforderlich ist, 1. die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festzulegen, 2. die Verwendung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden, 3. jeder Mitarbeiter über seine nach diesem Bundesgesetz und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten zu belehren, 4. die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder Dienstleisters zu regeln, 5. die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte zu regeln, 6. die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festzulegen und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abzusichern, 7. Protokoll zu führen, damit tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können, ARGE DATEN

Protokollierungsanforderungen II (§ 14) DSG 2000 - Sicherheitsbestimmungen Protokollierungsanforderungen II (§ 14) - Protokolldaten dürfen nur eingeschränkt verwendet werden (zur Kontrolle der Zulässigkeit der Verwendung) - unzulässig wäre die Kontrolle der Betroffenen oder der Mitarbeiter (z.B. durch Auswertung des innerbetrieblichen Datneverkehrs oder von Internet-Zugriffen!!) - zulässig ist die Verwendung zur Aufklärung von Straftaten, die mit mehr als fünfjähriger Freiheitsstrafe bedroht sind - Aufbewahrungsdauer ist drei Jahre, sofern gesetzliche Bestimmungen nichts anderes vorsehen § 14 DSG 2000 (Fortsetzung) 8. eine Dokumentation über die nach Z 1 bis 7 getroffenen Maßnahmen zu führen, um die Kontrolle und Beweissicherung zu erleichtern. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei der Durchführung erwachsenden Kosten ein Schutzniveau gewährleisten, das den von der Verwendung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist. (3) Nicht registrierte Übermittlungen aus Datenanwendungen, die einer Verpflichtung zur Auskunftserteilung gemäß § 26 unterliegen, sind so zu protokollieren, daß dem Betroffenen Auskunft gemäß § 26 gegeben werden kann. In der Standardverordnung (§ 17 Abs. 2 Z 6) oder in der Musterverordnung (§ 19 Abs. 2) vorgesehene Übermittlungen bedürfen keiner Protokollierung. (4) Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden, die mit ihrem Ermittlungszweck – das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes – unvereinbar sind. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck der Kontrolle jener Personen, die auf den protokollierten Datenbestand zugegriffen haben, aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, handelt. (5) Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist, sind Protokoll- und Dokumentationsdaten drei Jahre lang aufzubewahren. Davon darf in jenem Ausmaß abgewichen werden, als der von der Protokollierung oder Dokumentation betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird. (6) Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung zu halten, daß sich die Mitarbeiter über die für sie geltenden Regelungen jederzeit informieren können. ARGE DATEN

Verpflichtung zum Datengeheimnis (§ 15) DSG 2000 - Verschwiegenheitsverpflichtung Verpflichtung zum Datengeheimnis (§ 15) Mitarbeiter sind - sofern nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden. Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln. Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren. Bereitstellungspflicht der Datensicherheitsmaßnahmen (§ 14 Abs. 6) Bestimmung kann auch als Verpflichtung zu ausreichender Compliance-Vereinbarung verstanden werden § 15 DSG 2000 Datengeheimnis (1) Auftraggeber, Dienstleister und ihre Mitarbeiter – das sind Arbeitnehmer (Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben Daten aus Datenanwendungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht (Datengeheimnis). (2) Mitarbeiter dürfen Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln. Auftraggeber und Dienstleister haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, daß sie Daten aus Datenanwendungen nur auf Grund von Anordnungen übermitteln und das Datengeheimnis auch nach Beendigung des Arbeits(Dienst)verhältnisses zum Auftraggeber oder Dienstleister einhalten werden. (3) Auftraggeber und Dienstleister dürfen Anordnungen zur Übermittlung von Daten nur erteilen, wenn dies nach den Bestimmungen dieses Bundesgesetzes zulässig ist. Sie haben die von der Anordnung betroffenen Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zu belehren. (4) Unbeschadet des verfassungsrechtlichen Weisungsrechts darf einem Mitarbeiter aus der Verweigerung der Befolgung einer Anordnung zur Datenübermittlung wegen Verstoßes gegen die Bestimmungen dieses Bundesgesetzes kein Nachteil erwachsen. ARGE DATEN

Bestehende Sicherheitsanforderungen in Ö spezifische Sicherheitsbestimmungen Bestehende Sicherheitsanforderungen in Ö - Verschlüsselung bei Webapplikationen / in der Datenübertragung Grundlage: ePrivacy-RL 2002/58/EG - Besondere Sicherheitsmaßnahmen bei Gesundheitsdaten Grundlage: GTelG + GTelVO - Sicherheit in der elektronischen Rechnungslegung Grundlage: EG-RL 2001/115/EG, BMF-Verordnung BGBl 583/2003 - Sicherheitsbestimmungen + Genehmigungsverfahren bei Digitaler Signatur Grundlage: EG-RL 1999/93/EG, SigG, SigV - Verwendung von Mitarbeiterdaten im Konzern Grundlage: StMV 2004 des Bundeskanzleramtes - ARGE DATEN

Bestehende Sicherheitsanforderungen in Ö II spezifische Sicherheitsbestimmungen Bestehende Sicherheitsanforderungen in Ö II - Einsatz der Bürgerkarte in Behördenverfahren Grundlage: E-GovG - Videoüberwachung - Verschlüsselung Grundlage: StMV 2004 des Bundeskanzleramtes - Vorratsdatenspeicherung: Vorkehrungen bei Datenhaltung, Verschlüsselung der Übertragung und Protokollierungspflicht bei Datenverwendung (TKG § 102c + TKG-DSVO ) ... - ARGE DATEN

Resüme: Welche Sicherheitsmaßnahmen sind verpflichtend? DSG 2000 - Sicherheitsbestimmungen Resüme: Welche Sicherheitsmaßnahmen sind verpflichtend? - Protokollierung des internen Datenverkehrs? - Verschlüsselung des Mail-/Daten-Verkehrs? - Absicherung des eigenen WLANs? - Installation einer (zertifizierten) Firewall? - Verwendung von Virtual Private Network (VPN) - Lösungen? - Einsatz von Virenfilter, Spamfilter, Webfilter? - Verwendung von SSL-Verschlüsselung für Online-Formulare? Keine Maßnahme ist ausdrücklich vorgesehen, aber Geschäftsführung haftet für ausreichende Maßnahmen im Sinne des § 14 DSG 2000 Weiters könnten fachspezifische Regelungen auf andere Bereiche in Analogie vorausgesetzt werden - ARGE DATEN

Vertragliche und gesetzliche Verpflichtungen des Mitarbeiters Konsequenzen für Mitarbeiter Vertragliche und gesetzliche Verpflichtungen des Mitarbeiters - Einhaltung des Arbeitsvertrages - Geheimhaltung anvertrauter Daten (sowohl anvertrauter persönlicher Daten, als auch sonstiger Betriebsdaten) - Sorgsamer Umgang mit anvertrauten IT-Geräten, z.B. keine Schadsoftware installieren - keine Datenverwendung ohne Auftrag Verpflichtungen finden (enge) Grenzen - OGH betont regelmäßig Privatsphäre und Menschenwürde im Betrieb - Recht alltägliche Verpflichtungen wahrzunehmen (kurze private Telefonate, eMails, ...) - Überwachung der Rechtmäßigkeit der Datenverwendung darf nicht zur Leistungskontrolle der Mitarbeiter verwendet werden - ARGE DATEN

ARGE DATEN (un)zulässiger IT-Einsatz IT-Nutzung im Spiegel der Rechtssprechung - OGH 9ObA75/04a: eMail-Verkehr entspricht gelegentlichen kurzen Telefonaten privaten Inhalts mit Arbeitskollegen. Gelegentliches Weiterleiten von Spaß-E-Mails entgegen generellem Verbot stellt zwar Fehlverhalten dar, rechtfertigt nicht Entlassung. - OGH 9ObA151/02z: Surfen in der Arbeitszeit, wenn es nach Ermahnung sofort eingestellt wird, stellt keinen Entlassungsgrund dar. - OGH 9ObA178/05z: unerlaubte private Computernutzung an sich noch kein Schaden für Betrieb, wäre etwa durch Virenbefall wegen Verletzung der Internet-Policy gegeben. Umsatz und Gewinnentgang wegen "unproduktiven Verhaltens" ebenfalls kein Schaden, muss kausal bewiesen werden. Kein Entlassungsgrund aus der OGH-Entscheidung 9ObA75/04a "1. Entgegen der Ansicht des Revisionswerbers liegt eine erhebliche Rechtsfrage nicht bereits deshalb vor, weil höchstgerichtliche Judikatur zur Frage des privaten E-Mail-Verkehrs während der Dienstzeit nicht vorliegt. Der vom Berufungsgericht beurteilte Sachverhalt liegt im Hinblick auf die Beeinträchtigung der Interessen des Dienstgebers nicht anders als gelegentliche (kurze) Telefonate privaten Inhalts mit Arbeitskollegen. ... 3. Das Fehlverhalten der Klägerin lag darin, entgegen einem generellen Verbot und einer Ermahnung durch einen Vorgesetzten gelegentlich auf ihrem Arbeitsplatz einlangende "Spaß-E-Mails" an Arbeitskollegen weitergeleitet zu haben; nach den Feststellungen der Vorinstanzen kam eine Weiterleitung derartiger E-Mails an Kollegen bzw an den privaten Internetzugang der Klägerin ein- bis zweimal pro Woche vor. Soweit das Berufungsgericht unter diesen Umständen unter Berücksichtigung der sonst unbeanstandeten 20-jährigen Arbeitsleistung der Klägerin die Auffassung vertreten hat, das Verhalten der Klägerin stelle - ungeachtet einer vorangegangenen (informellen) Ermahnung - keinen Entlassungsgrund dar, so kann dies nicht als bedenkliche Fehlbeurteilung angesehen werden." ARGE DATEN

ARGE DATEN (un)zulässiger IT-Einsatz IT-Nutzung im Spiegel der Rechtssprechung II - OGH 9 ObA 11/11z: Installation eines Computerkriegsspiels, eines Programms zum Brennen von CDs - keine Weisung, Richtlinien etc im Betrieb - bei entsprechender Weisung hätte AN rechtswidriges Verhalten unterlassen - kein Nachweis einer konkreten rechtswidrigen Nutzung in der Arbeitszeit - Entlassung nicht gerechtfertigt - LAG München 11 Sa 54/09: unerlaubte eMail-Einsichtnahme durch Administrator rechtfertigt fristlose Kündigung (Ö: Entlassung) - ARGE DATEN

ARGE DATEN (un)zulässiger IT-Einsatz IT-Nutzung im Spiegel der Rechtssprechung III Ausgangslage: - ein Krankenhaus stellt bestehendes Magnetkartensystem auf Fingerabdrucksystem um - Betriebsvereinbarung wird keine abgeschlossen - alle Fingerabdrucksdaten werden bei einem Biometriebetreiber zentral verwaltet, mit diesem wird Dienstleistervereinbarung abgeschlossen OGH-Entscheidung 9 ObA 109/06d: - OGH betont erneut Recht auf Privatsphäre im Betrieb - biometrische Zeiterfassungssysteme haben höhere Eingriffsintensität als "Stechuhren", daher Zustimmungspflicht gegeben - kritisiert wird der hohe Grundrechtseingriff für ein vergleichsweise triviales Ziel (Zeiterfassung) - auch bei Einweg"verschlüsselung" liegen personenbezogene Daten vor - auf Grund des Fehlens der Betriebsvereinbarung war der vorläufige Abbau auszusprechen (einstweilige Verfügung) aus der OGH-Entscheidung 9 ObA 109/06d "Jeder Mensch auch während der Zeit, in der er zur Arbeitsleistung in einem Arbeitsverhältnis verpflichtet ist, ua das Recht auf Unversehrtheit der Intimsphäre, auf Freiheit vor unbefugter Abbildung und auf Achtung seines Wertes als menschliches Wesen [hat]." Auch wenn der Arbeitgeber grundsätzlich Kontrollrechte hat, kann "auch die Kontrolle rein dienstlichen Verhaltens zustimmungspflichtig sein." "Auf Grund der beträchtlichen Eingriffs- und Kontrollintensität der Abnahme und Verwaltung von Fingerabdrücken und darauf beruhender Templates wird - selbst wenn man die vom Beklagten vorgebrachten Sicherheitsmerkmale einschließlich der mangelnden Rückführbarkeit des Templates zum Original-Fingerabdruck zu seinen Gunsten berücksichtigt, womit sich auch die Vernehmung weiterer Zeugen erübrigte, - die Menschenwürde der Arbeitnehmer berührt. Der Beklagte verletzte daher durch die einseitige konsenslose Einführung und Anwendung eines Zeiterfassungssystems, das auf einem biometrischen Fingerscanning der Arbeitnehmer beruht, die Mitwirkunsgrechte des Betriebsrates nach § 96 Abs 1 Z3 ArbVG. Die Kontrolleinrichtung ist daher rechtswidrig und unzulässig." ARGE DATEN

Konsequenzen für Unternehmen Unternehmen hat Ausgleich zu Verarbeitungsverbot und Kontrollpflicht zu finden - sowohl Schutzmaßnahmen für Daten, als auch - Schutzmaßnahmen für Mitarbeiter Kombination von technischen und organisatorischen Maßnahmen erforderlich - geeignete Anweisungen zur Datenverwendung - Betriebsvereinbarung bei Aufzeichnung von MA-Daten alternativ - Einzelvereinbarung gemäß § 10 AVRAG - Verschlüsselung von Protokoll-/Audit-Daten - Vier-Augen-Prinzip bei Verwendung der Protokoll-/Audit-Daten - geeignetes innerbetriebliches Kontrollsystem schaffen - Die Haftung bei Datenmissbrauch bleibt jedoch in allen Fällen beim Unternehmen! ARGE DATEN

Haftung bei fehlenden Datensicherheitsmaßnahmen Sicherheitsmaßnahmen - Haftung Haftung bei fehlenden Datensicherheitsmaßnahmen OGH Entscheidung (9 Ob A 182/90) Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden. Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren. Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen". Die Festlegung eines Sicherheitskonzepts ist Kernaufgabe einer Geschäftsführung! Weitere Informationen im ARGE DATEN - Archiv: http://www.argedaten.at/php/cms_monitor.php?q=PUB-TEXT-ARGEDATEN&s=DIR1005 Unter 9 Ob A 182/90 entschied am 29.08.1990 der OGH, dass bei fehlenden Datensicherungsmaßnahmen auf jeden Fall eine Haftung des Arbeitnehmers ausgeschlossen ist. Die Begründung im einzelnen: UUU war bis 28.9.1988 bei XXX beschäftigt. Er hatte dort Programmierarbeiten durchzuführen. Das Angestelltenverhältnis wurde durch vorzeitigen Austritt des Klägers beendet. Dieser hatte eine Entgeltforderung in der Höhe von S 114.222,24. Diese Forderung wurde von XXX nicht bestritten, jedoch mit einem "Schaden" von S 200.000.- , der durch das Verschwinden und aufgrund einer fehlenden Dokumentation nicht mehr rekonstruierbaren Computerprogrammes entstand, gegengerechnet. Der Arbeitnehmer UUU klagte daher und erhielt in letzter Instanz recht. Bei Fehlen eines geeigneten Datensicherungs- bzw. Kennwortsystems und bei Fehlen entsprechender Arbeitgeberweisungen kann der Arbeitnehmer grundsätzlich nicht für den Verlust von EDV-Daten (Software) haftbar gemacht werden. Notwendig sind genaue Richtlinien unter anderem auch für die Vorgangsweise bei der Programmerstellung und das richtige und vollständige Dokumentieren. Bleiben die Weisungen unter diesen Gesichtspunkten unvollständig, so trägt der Arbeitgeber allein das Risiko, die entwickelte Software nur unvollständig oder überhaupt nicht nutzen zu können. Entscheidend kann für den Arbeitnehmer nur sein, ob er die vorgegebenen Weisungen eingehalten hat. ARGE DATEN

Haftung bei bei Datenmissbrauch Sicherheitsmaßnahmen - Haftung Haftung bei bei Datenmissbrauch OGH Entscheidung (9 Ob 126/12s) Ausgangslage Ein Redakteur der Tageszeitung A versuchte durch "erraten" von Benutzerkennung/Passwort in das interne Redaktionssystem von TZ B zu gelangen. Der Versuch misslang, auf Grund der IP-Adresse konnte der Standort des Täters ermittelt werden. Die Aktion führte zur fristlosen Entlassung des Mitarbeiters. TZ B verlangt Unterlassungsklage TZ B verlangt jedoch von TZ A eine Unterlassungserklärung. Diese wird verweigert, da Redakteur nicht im Auftrag gehandelt habe, sich die TZ A von diesen Aktivitäten distanziere und daher der Redakteur nicht als Besorgungsgehilfe anzusehen ist. - ARGE DATEN

Unternehmen hat Besitzstörung zu verantworten Sicherheitsmaßnahmen - Haftung Haftung bei bei Datenmissbrauch II OGH Entscheidung (9 Ob 126/12s) Entscheidung Vorinstanzen weisen Klage ab, OGH gibt jedoch Klage statt. Eingriff in IT-System ist Besitzstörung Eingriff war im Interesse der TZ A Arbeitgeber hat Weisungs- und Kontrollrechte, kann sich Mitarbeiter aussuchen und Tätigkeitsbereich festlegen Zur Verfügung stellen von Computer und Internetanschluss reicht schon für Verantwortung der TZ A Unternehmen hat Besitzstörung zu verantworten - ARGE DATEN

Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000) DSG 2000 - Dienstleister Dienstleister im Sinne des DSG 2000 (§§ 10f) - Dienstleistung liegt vor, wenn ein Verantwortlicher jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben betraut - Geeignete Vereinbarungen sind zu treffen - Vereinbarungen sind vom Auftraggeber zu überprüfen/überwachen ["überzeugen"]  wie wäre das bei Cloud-Computing umzusetzen? Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000) Mustervereinbarung siehe: ftp://ftp.freenet.at/privacy/muster/dsgdl01.html Bereiche, bei denen Dienstleistung vermutet werden kann (sofern extern vergeben)‏ Soft- und Hardwarewartung Operating Call-Center Internet-Provider (Access & Content)‏ Shopping-Mall Betreiber Statistik/Studien Steuerberatung/Unternehmensberater Heranziehung von Gutachtern Notfallsrechenzentren/externe Archivierung Datenerfassung Es wird empfohlen alle bestehenden Lieferantenbeziehungen in Hinblick auf datenschutzrelevante Dienstleistung zu überprüfen! ARGE DATEN

Pflichten des Dienstleisters (§ 11) (A) Vertragliche Verpflichtungen DSG 2000 - Dienstleister Pflichten des Dienstleisters (§ 11) (A) Vertragliche Verpflichtungen - werden in der Regel die zulässigen Verwendungen der Daten beschreiben, z.B. Zugriffsrechte, welche Auswertungen zulässig sind, ... (B) gesetzliche Verpflichtungen - nur auftragsgemäße Datenverwendung - treffen ausreichender Sicherheitsmaßnahmen nach § 14 DSG 2000 - Mitarbeiter des Diensteleisters sind zur Datenverschiegenheit zu verpflichten (siehe § 15) - Subdienstleister nur mit Billigung des Auftraggbers heranziehen - dem Auftraggeber jene Informationen bereit stellen, die er zur Kontrolle der Einhaltung der Vereinbarung benötigt § 11 DSG 2000 Pflichten des Dienstleisters (1) Unabhängig von allfälligen vertraglichen Vereinbarungen haben Dienstleister bei der Verwendung von Daten für den Auftraggeber jedenfalls folgende Pflichten: 1. die Daten ausschließlich im Rahmen der Aufträge des Auftraggebers zu verwenden; insbesondere ist die Übermittlung der verwendeten Daten ohne Auftrag des Auftraggebers verboten; 2. alle gemäß § 14 erforderlichen Datensicherheitsmaßnahmen zu treffen; insbesondere dürfen für die Dienstleistung nur solche Mitarbeiter herangezogen werden, die sich dem Dienstleister gegenüber zur Einhaltung des Datengeheimnisses verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen; 3. weitere Dienstleister nur mit Billigung des Auftraggebers heranzuziehen und deshalb den Auftraggeber von der beabsichtigten Heranziehung eines weiteren Dienstleisters so rechtzeitig zu verständigen, daß er dies allenfalls untersagen kann; 4. – sofern dies nach der Art der Dienstleistung in Frage kommt – im Einvernehmen mit dem Auftraggeber die notwendigen technischen und organisatorischen Voraussetzungen für die Erfüllung der Auskunfts-, Richtigstellungs- und Löschungspflicht des Auftraggebers zu schaffen; 5. nach Beendigung der Dienstleistung alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben oder in dessen Auftrag für ihn weiter aufzubewahren oder zu vernichten; 6. dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der unter Z 1 bis 5 genannten Verpflichtungen notwendig sind. (2) Vereinbarungen zwischen dem Auftraggeber und dem Dienstleister über die nähere Ausgestaltung der in Abs. 1 genannten Pflichten sind zum Zweck der Beweissicherung schriftlich festzuhalten. ARGE DATEN

Konsequenzen mangelhafter IT-Sicherheit Umsetzung Sicherheitsanforderungen Konsequenzen mangelhafter IT-Sicherheit - Verwaltungsstrafe: nach DSG 2000 § 52 Abs. 2 Verwaltungsübertretung mit Strafe bis 10.000 Euro - Zivilrechtliche Haftung: Unternehmen bzw. Dienstnehmer könnten für Folgeschäden haften, auch Gehilfenhaftung - UWG-Verfahren: Mitbewerber könnten fehlende Sicherheitsmaßnahmen als Versuch eines unlauteren Wettbewerbsvorteils einklagen - immaterieller Schadenersatz: bei bloßstellenden Folgen § 33 DSG 2000, § 1328a ABGB, Medienrecht - Strafrecht: bei vorsätzlichen Handlungen (es genügt Schaden wird bewusst in Kauf genommen), z.B. § 51 DSG 2000, §§ 302/310 StGB, §§ 119/a StGB - Imageschaden: Vertrauensverlust von Kunden und Öffentlichkeit Die wichtigsten rechtlichen Bestimmungen (Auswahl) Spezifische Datenschutzbestimmung - DSG § 52 Verwaltungsübertretung Immaterielle Schadenersatzbestimmungen - Medienrecht bloßstellende Veröffentlichung - ABGB § 1328a Eingriffe in Privatsphäre - DSG § 33 Schadenersatz / immaterieller Schadenersatz Wirtschaftsrechtliche Bestimmungen - ABGB zivilrechtliche Haftung - § 84 AktG: Haftung des Vorstand - § 25 GmbHG: Geschäftsführerhaftung - UWG Erringung eines unlauteren Wettbewerbsvorteils - Dienstnehmerhaftpflichtgesetz - Verbandverantwortlichkeitsgesetz Strafbestimmungen - DSG § 51 Strafrecht / Datenschutzverletzung - StGB § 302 Missbrauch der Amtsgewalt - StGB § 310 Verletzung des Amtsgeheimnisses - StGB §§ 119/119a Verletzung des Telekommunikationsgeheimnisses - StGB § 122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses ARGE DATEN

Resümee ARGE DATEN Datenschutz und Kontrolle - Datenschutz (Schutz der Privatsphäre) und Kontrolle stehen in einem Spannungsverhältnis - das DSG 2000, aber auch zahlreiche andere Bestimmungen verpflichten zu Kontrollmaßnahmen - es ist Aufgabe des Unternehmens einen Ausgleich zu finden - Haftung für Datenverlust, Datenmissbrauch, ... bleibt in allen Fällen beim Unternehmen - "nichts" tun, auf MA-Kompetenz vertrauen ist die schlechteste Strategie - bestimmte technische Maßnahmen sind nicht verpflichtend vorgegeben, werden aber im Schadensfall die Haftung drastisch reduzieren oder auch völlig beseitigen Die wichtigsten rechtlichen Bestimmungen (Auswahl) Spezifische Datenschutzbestimmung - DSG § 52 Verwaltungsübertretung Immaterielle Schadenersatzbestimmungen - Medienrecht bloßstellende Veröffentlichung - ABGB § 1328a Eingriffe in Privatsphäre - DSG § 33 Schadenersatz / immaterieller Schadenersatz Wirtschaftsrechtliche Bestimmungen - ABGB zivilrechtliche Haftung - § 84 AktG: Haftung des Vorstand - § 25 GmbHG: Geschäftsführerhaftung - UWG Erringung eines unlauteren Wettbewerbsvorteils - Dienstnehmerhaftpflichtgesetz - Verbandverantwortlichkeitsgesetz Strafbestimmungen - DSG § 51 Strafrecht / Datenschutzverletzung - StGB § 302 Missbrauch der Amtsgewalt - StGB § 310 Verletzung des Amtsgeheimnisses - StGB §§ 119/119a Verletzung des Telekommunikationsgeheimnisses - StGB § 122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses ARGE DATEN

Cap Gemini Studie IT-Trends 2012 ARGE DATEN

Dr. Hans G. Zeger ARGE DATEN Kontakt ARGE DATEN A-1160 Wien, Redtenbachergasse 20 Tel.: +43 676 / 9107032 Fax.: +43 1 / 53 20 974 Mail persönlich: hans.zeger@argedaten.at Verein: http://www.argedaten.at Web2.0: http://web2.0.freenet.at Personal Page: http://www.zeger.at - ARGE DATEN

Ich danke für Ihre Aufmerksamkeit - ARGE DATEN

Onlineinformation ARGE DATEN http://www.argedaten.at/ http://www.dsk.gv.at/ http://ec.europa.eu/justice/policies/privacy/index_en.htm http://www.datenschutzzentrum.de/ http://www.gdd.de/ Weitere Datenschutzeinrichtungen - http://www.argedaten.at/php/cms_monitor.php?q=ORG-DATENSCHUTZ Weitere Rechtsinformationen - http://www.argedaten.at/php/cms_monitor.php?q=RECHTS-LINKS Entscheidungen finden sich im RIS: - http://www.ris.bka.gv.at/dsk/ (Datenschutzkommission)‏ - http://www.ris.bka.gv.at/jus/ (OGH-Entscheidungen)‏ Technische Informationen - Bundesamt fuer Sicherheit in der Informationstechnik (BSI) http://www.bsi.bund.de/ - CERT http://www.cert.org/ - Online-Sicherheitsstatus http://www.netcraft.com - DFN Cert http://www.cert.dfn.de/ - Security-Server http://www.infoserversecurity.org - Informationstechnik-Koordination (BKA Wien) http://www.cio.gv.at/ http://www.datenschutzverein.de/ ARGE DATEN 29

Haftung für Schäden (Schadenersatz) Haftung des Dienstleisters Haftung für Schäden (Schadenersatz) Haftung erfordert das Zutreffen von vier Kriterien 1. Schaden: Vermögensschaden / ideeller Schaden ideeller Schaden z.B. § 33 DSG, §§ 7ff MedienG, § 1328a ABGB: bloßstellende Eingriffe in die Privatsphäre z.B.: übergebene Daten gelangen an die Öffentlichkeit, in unbefugte Hände, Mitarbeiter des Dienstleister verwenden die Daten zu eigene Zwecke 2. Verursachung (Kausalität): es passiert etwas, dass der Dienstleister beeinflussen kann Kernfrage: Wäre der Schaden auch eingetreten, wenn sich der Schädiger anders verhalten hätte, gab es Alternativen? z.B.: Dienstleister verwendet ungeeignete Transportmittel, ungeeignete Vernichtungswerkzeuge, deponiert Datenträger an ungeeigneter Stelle - ARGE DATEN

Haftung für Schäden (Schadenersatz) II Haftung des Dienstleisters Haftung für Schäden (Schadenersatz) II 3. Rechtswidrigkeit: Verletzung von gesetzlichen oder vertraglichen Vereinbarungen gesetzlich z.B. kein geeignetes internes Sicherheitskonzept nach § 14, keine Geheimhaltungserklärungen der Mitarbeiter, unvollständige Rückgabe von Daten, ignorieren von irrtümlich eingehenden Auskunftsbegehren, nicht Nachkommen von Informationspflichten vertraglich z.B. Heranziehung von Subdienstleistern obwohl ausgeschlossen, ungeeigneter Subdienstleister, Verwendung anderer Vernichtungsverfahren als zugesagt 4. Verschulden: Vorsatz / Fahrlässigkeit Rechtswidrigkeit wird vorsätzlich begangen oder zumindest in Kauf genommen, z.B. bessere Verfahren bekannt und zumutbar aber ignoriert, Datenträgertransport erfolgt trotz ungeeigneter Bedingungen (Wetter, überhöhte Geschwindigkeit, ...) Gewerbliche Anbieter werden rasch bei grober Fahrlässigkeit ankommen - ARGE DATEN

Was bedeutet das für einzelne Themen? Konsequenzen für Mitarbeiter und Unternehmen Was bedeutet das für einzelne Themen? - elektronische Zustellung von Gehaltszettel - biometrische Zugangs- und Zeiterfassungssysteme - private eMail-/Internet-Nutzung der Mitarbeiter - Videoüberwachung - Mitarbeiter-Fotos im Intra-/Internet, Verschicken bei eMails - Social Media Auftritt des Unternehmens - konzernweite Verwendung von Mitarbeiterdaten - elektronische Whistleblowing-Systeme - "Bring Your Own Device" Keine der Datenverwendungen ist generell unzulässig, es sind aber in allen Fällen spezifische Vorkehrungen zu treffen § 15 DSG 2000 Datengeheimnis (1) Auftraggeber, Dienstleister und ihre Mitarbeiter – das sind Arbeitnehmer (Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben Daten aus Datenanwendungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht (Datengeheimnis). (2) Mitarbeiter dürfen Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln. Auftraggeber und Dienstleister haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, daß sie Daten aus Datenanwendungen nur auf Grund von Anordnungen übermitteln und das Datengeheimnis auch nach Beendigung des Arbeits(Dienst)verhältnisses zum Auftraggeber oder Dienstleister einhalten werden. (3) Auftraggeber und Dienstleister dürfen Anordnungen zur Übermittlung von Daten nur erteilen, wenn dies nach den Bestimmungen dieses Bundesgesetzes zulässig ist. Sie haben die von der Anordnung betroffenen Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zu belehren. (4) Unbeschadet des verfassungsrechtlichen Weisungsrechts darf einem Mitarbeiter aus der Verweigerung der Befolgung einer Anordnung zur Datenübermittlung wegen Verstoßes gegen die Bestimmungen dieses Bundesgesetzes kein Nachteil erwachsen. ARGE DATEN

Datenträger Gehaltszettel II Mitarbeiter- und Bewerberdaten Datenträger Gehaltszettel II Zusendung per eMail - grundsätzlich zulässig, sehr kostengünstig - bei Firmen-eMails auf Nutzungspolicy achten (Funktionsadressen, Vertreter- und Urlaubsregelung) - bei Privat-eMails Verfügbarkeit und auch Nutzung der Adresse beachten (Familien-Mailadresse) - Verschlüsselung empfehlenswert Hinterlegen auf Website - erfordert Passwortschutz/Zugangsverwaltung Zustellung über Girokonto K211.680/0009-DSK/2006 - grundsätzlich zulässig, kostengünstig - Dienstleistervereinbarung mit Bank erforderlich, es gilt das Minimalprinzip - individuelle Situation berücksichtigen Zustellung Gehaltszettel Eine Vereinbarung mit dem Betriebsrat wird auch bei den elektronischen Zustellformen nicht notwendig sein, da es sich um keine Kontrollmaßnahme handelt, die die Menschenwürde berührt oder um eine zusätzliche Datenverwendung. Bei allen "modernen" Zustellformen wird Zustimmung des Betroffenen erforderlich sein ARGE DATEN

Zulässigkeit einer biometrischen Zeiterfassung Kontrollmaßnahmen im Betrieb Zulässigkeit einer biometrischen Zeiterfassung Ausgangslage: - ein Krankenhaus stellt bestehendes Magnetkartensystem auf Fingerabdrucksystem um - Betriebsvereinbarung wird keine abgeschlossen - alle Fingerabdrucksdaten werden bei einem Biometriebetreiber zentral verwaltet, mit diesem wird Dienstleistervereinbarung abgeschlossen OGH-Entscheidung 9 ObA 109/06d: - OGH betont erneut Recht auf Privatsphäre im Betrieb - biometrische Zeiterfassungssysteme haben höhere Eingriffsintensität als "Stechuhren", daher Zustimmungspflicht gegeben - kritisiert wird der hohe Grundrechtseingriff für ein vergleichsweise triviales Ziel (Zeiterfassung) - auch bei Einweg"verschlüsselung" liegen personenbezogene Daten vor - auf Grund des Fehlens der Betriebsvereinbarung war der vorläufige Abbau auszusprechen (einstweilige Verfügung) aus der OGH-Entscheidung 9 ObA 109/06d "Jeder Mensch auch während der Zeit, in der er zur Arbeitsleistung in einem Arbeitsverhältnis verpflichtet ist, ua das Recht auf Unversehrtheit der Intimsphäre, auf Freiheit vor unbefugter Abbildung und auf Achtung seines Wertes als menschliches Wesen [hat]." Auch wenn der Arbeitgeber grundsätzlich Kontrollrechte hat, kann "auch die Kontrolle rein dienstlichen Verhaltens zustimmungspflichtig sein." "Auf Grund der beträchtlichen Eingriffs- und Kontrollintensität der Abnahme und Verwaltung von Fingerabdrücken und darauf beruhender Templates wird - selbst wenn man die vom Beklagten vorgebrachten Sicherheitsmerkmale einschließlich der mangelnden Rückführbarkeit des Templates zum Original-Fingerabdruck zu seinen Gunsten berücksichtigt, womit sich auch die Vernehmung weiterer Zeugen erübrigte, - die Menschenwürde der Arbeitnehmer berührt. Der Beklagte verletzte daher durch die einseitige konsenslose Einführung und Anwendung eines Zeiterfassungssystems, das auf einem biometrischen Fingerscanning der Arbeitnehmer beruht, die Mitwirkunsgrechte des Betriebsrates nach § 96 Abs 1 Z3 ArbVG. Die Kontrolleinrichtung ist daher rechtswidrig und unzulässig." ARGE DATEN

IKT-Nutzungsverordnung – IKT-NV (BGBl. II Nr. 281/2009) private IKT-Nutzung IKT-Nutzungsverordnung – IKT-NV (BGBl. II Nr. 281/2009) Regelt private IKT-Nutzung für Bedienstete des Bundes Grundprinzip (§ 3): Eingeschränkte private Nutzung ohne - Beeinträchtigung des Dienstbetriebs - keine Schädigung des Ansehens des öffentlichen Dienstes - keine Gefährdung der Sicherheit des IKT-Betriebs - keine missbräuchliche Verwendung rein private Geschäfte sind erlaubt (§ 4 Abs. 2) private eMail-Nutzung (§ 5) - kein Hinweis auf dienstliche Stellung oder dienstliche Postadresse - keine Verwendung dienstlicher eMail-Signaturen - private eMails dürfen nach Schadprogrammen und Spam gescannt werden Hinweis! Verordnungstext im Anhang ARGE DATEN

keine missbräuchliche Nutzung, wenn irrtümlicher Zugriff! (§ 4 Abs. 5) private IKT-Nutzung IKT-Nutzungsverordnung – IKT-NV II (BGBl. II Nr. 281/2009) Festlegung der missbräuchlichen Verwendung (§ 4 Abs. 4) - Zugriff auf strafrechtlich verbotene oder rechtswidrige Seiten - Benutzung oder die zur Verfügung stellen von strafrechtlich relevanten Tatbeständen - Zugriff auf pornographische Inhalte - Zugriff auf Seiten, die Zahlungsverpflichtungen des Dienstgebers zur Folge haben - herunterladen "schadware-verdächtiger" Dateitypen keine missbräuchliche Nutzung, wenn irrtümlicher Zugriff! (§ 4 Abs. 5) - ARGE DATEN

Videoeinsatz ARGE DATEN betriebliche Datenverwendung betriebliche Anwendungsbereiche: (1) Überwachung der "Außenhaut" (Grundstücksgrenzen, Einfahrten, ...) (2) Überwachung technischer Anlagen (Garagen, Energieversorgung, Fernwartung, ...) (3) Überwachung von Lagerstellen (4) Überwachung von Kundenzonen (5) Überwachung von Arbeitsplätzen (6) Überwachung von Sozial- und Hygienebereichen Zulässigkeit? / Betriebsvereinbarung? Ja / Nein, wenn keine Rückschlüsse auf MA Ja / wie (1) Ja / in der Regel Ja nur im Sonderfall / Ja Nein / nicht Vereinbarungsfähig Basis-Anforderungen nach DSG: - grundsätzlich besteht Registrierungspflicht (die allgemeinen Ausnahmebestimmungen nach DSG treffen meist nicht zu) - Voraussetzungen: Aufzeichnung und Erkennbarkeit (Bestimmbarkeit) von Personen Musterspruch der DSK zur Videoüberwachung bei Wohnhausanlagen (Auszug): ... 2. eine Auswertung des aufgezeichneten Bildmaterials darf nur im konkreten Anlassfall zum Zweck der Beweissicherung im Hinblick auf strafrechtlich relevante Handlungen vorgenommen werden. Als Anlass gelten nur Vorfälle, die die Interessen des Auftraggebers im Hinblick auf Eigenschutz (d.i. Schutz von Eigentum des Auftraggebers und von Eigentum, Leben und Gesundheit der Organwalter des Auftraggebers) oder Verantwortungsschutz (Schutz von Eigentum, Leben und Gesundheit von Personen, zu welchen der Auftraggeber in einer Schutzrechte begründenden Rechtsbeziehung steht) berühren. Auswertungen für Zwecke des Fremdschutzes (betrifft Personen, mit welchen der Auftraggeber in keiner Rechtsbeziehung steht, die ein Recht auf Schutz von Eigentum, Leben oder Sicherheit dieser Person begründet) dürfen nur vorgenommen werden, soweit für die Herausgabe eine gesetzliche Verpflichtung besteht, wie etwa nach §§ 109 ff, insbes. § 111 Abs. 2 der Strafprozessordnung 1975 idF. BGBl I Nr. 19/2004. 3. jede Auswertung ist so zu protokollieren, dass das auslösende Ereignis und allfällige Übermittlungen nachvollzogen werden können; desgleichen ist die Identität der auswertenden Mitarbeiter sowie der anfordernden Stellen und ihrer Organwalter festzuhalten; 4. die ermittelten Bilddaten sind beim Auftraggeber gegen den Zugriff Unbefugter in jeder Phase ihrer Verwendung zu schützen; dies gilt insbesondere auch für die Übertragung der Daten vom Ermittlungsort an den zentralen Server, wo sie gespeichert werden, sowie für die Aufbewahrung und Weiterverwendung von Auswertungsergebnissen; 5. eine wesentliche Änderung des im Antrag beschriebenen technischen Systems ist der Datenschutzkommission umgehend mitzuteilen; 6. aufgezeichnetes Bildmaterial ist nach 72 Stunden automatisch zu löschen, soweit es nicht gemäß Pkt. 2 der Auswertung unterzogen wird; ARGE DATEN

Videoeinsatz II ARGE DATEN betriebliche Datenverwendung OLG Wien Beschluss 7 Ra 3/07y - Betriebsrat begehrte EV auf Unterlassung gegen eine Videoüberwachung in Unternehmen in NÖ, die u.a. auch Arbeitsplätze und Toilettenzugänge überwachte - ablehnender EV-Beschluss des LG St. Pölten aufgehoben und an Erstgericht zurückverwiesen Entscheidungskriterien Gericht definiert erstmals Kriterien für betrieblichen Videoeinsatz - Maßnahme muss geeignet zur Erreichung eines bestimmten Zieles (Zweckes) sein - Maßnahme muss erforderlich sein [fehlende Alternativen] - Maßnahme muss angemessen sein [Interessensabwägung, Eingriffsintensität darf nicht höher als bestimmtes Ziel sein] Anzuwendende Normen: ABGB § 16, EMRK Art. 8, DSG § 1 Betroffene Normen: ABGB § 16, EMRK Art 8, DSG § 1 RIS-Rechtssatz: Zulässigkeit von Videoüberwachungen in Betrieben. Es kommt somit im Arbeitsverhältnis immer wieder zu einer Kollision wichtiger Rechte sowohl der Arbeitnehmer und des Arbeitgebers. Bei dieser Kollision des allgemeinen Persönlichkeitsrechts mit den berechtigten Interessen des Arbeitgebers ist deshalb stets eine Güterabwägung im Einzelfall vorzunehmen. Es ist zu ermitteln, ob das allgemeine Persönlichkeitsrecht den Vorrang verdient, oder ob Eingriffe in das Persönlichkeitsrecht durch die Wahrnehmung überwiegender schutzwürdiger Interessen des Arbeitgebers gerechtfertigt sind. Das zulässige Maß einer Beschränkung des allgemeinen Persönlichkeitsrechtes bestimmt nach dem Grundsatz der Verhältnismäßigkeit. Danach muss eine vom Arbeitgeber zu seinem Schutz im Betrieb getroffene Regelung: - geeignet, - erforderlich und - angemessen sein, um den angestrebten Zweck zu erreichen. Geeignet ist die Regelung dann, wenn mit ihrer Hilfe der erstrebte Erfolg und Schutz gefördert werden kann. Erforderlich ist die Regelung, wenn kein anderes, gleich wirksames, aber das Persönlichkeitsrecht weniger einschränkendes Mittel zur Verfügung steht. Angemessen ist die Regelung, wenn sie verhältnismäßig ist. Hier muss eine Gesamtabwägung zwischen der Intensität und Stärke des Eingriffs einerseits und dem Gewicht der den Eingriff rechtfertigenden Gründe andererseits vorgenommen werden. Die Grenze der Zumutbarkeit darf dabei nicht überschritten werden. ARGE DATEN

Fallbeispiel Personalverwaltung (SA002) DSG 2000 - Registrierung und Genehmigung Fallbeispiel Personalverwaltung (SA002) Typische Module (Zwecke): - Lohn/Gehaltsverrechnung - Darlehen/Exekutionsverwaltung - Reisekostenadministration - Zeitadministration - Bewerberverwaltung - Religionsbekenntnis - Aus- und Weiterbildungsverwaltung - Meldepflichten (SV, Finanz) - sonstige arbeitsvertragliche Verpflichtungen - Beurteilungsdaten  Standard (47-51)  Standard (57-58)  Standard (52)  Standard (33-43)  Standard seit 30.3.11 eigener Betroffenenkreis  Standard (36, nur für Abwesenheitsverwaltung) ? Standard (64?)  Standard (20, 59-62) ? Standard kein Standard Datenübermittlung an Konzern"mutter" kein Standard Zweck der Standardanwendung Personalverwaltung SA002: "Verarbeitung und Übermittlung von Daten für Lohn-, Gehalts-, Entgeltsverrechnung und Einhaltung von Aufzeichnungs-, Auskunfts- und Meldepflichten, soweit dies auf Grund von Gesetzen oder Normen kollektiver Rechtsgestaltung oder arbeitsvertraglicher Verpflichtungen jeweils erforderlich ist, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie z.B. Korrespondenz) in diesen Angelegenheiten. Diese Anwendung kann von jedem Auftraggeber vorgenommen werden, der Arbeitnehmer in privatrechtlichen Dienstverhältnissen beschäftigt, mit Ausnahme der Bediensteten, die unter die speziellen Anwendungen der Dienstgeber des öffentlichen Bereiches fallen." Höchstdauer der zulässigen Datenaufbewahrung: "Bis zur Beendigung der Beziehung mit dem Betroffenen und darüber hinaus solange gesetzliche Aufbewahrungsfristen bestehen oder solange Rechtsansprüche aus dem Arbeitsverhältnis gegenüber dem Arbeitgeber geltend gemacht werden können." Abhängig vom Umfang der Personalverwaltung wird es sich entweder um eine registrierungspflichtige oder registrierungsfreie Datenanwendung handeln ARGE DATEN

Personaldaten - innerbetriebliche Verwendung Mitarbeiter- und Bewerberdaten Personaldaten - innerbetriebliche Verwendung - dienstlich erforderliche Daten dürfen ohne Zustimmung unternehmensintern verwendet werden (z.B. Qualifikation, Berufstitel, Kontaktdaten, ...) - weitere Datenverwendungen können arbeitsvertraglich geregelt sein (z.B. Akkordabrechnungen, Weitergabe persönlicher Daten an Kunden / Veröffentlichung, etwa bei Verkäufern, Geschäftsführung) - sonstige Daten die zum Zweck der Gehaltsverrechnung / Personaladministration dem Personalbüro bekannt sind, dürfen nicht von anderen Abteilungen verwendet werden, auch nicht für betriebsinterne Zeitungen, Newsletter Zulässig sind weitere Verwendungsmöglichkeiten auf Grund der Zustimmung des Betroffenen In bestimmten Bereichen wird auch eine Verwendung auf Grund überwiegender Interessen denkbar sein: Geschäftsführer, Manager, Außendienstmitarbeiter, ... Die Form der Zustimmung wird auch von der Position im Unternehmen abhängen (bei Managern wird man in vielen Fällen konkludente Zustimmung voraussetzen können, bei einfachen Angestellten eine schriftliche vorsehen). ARGE DATEN

Was ist zulässige Veröffentlichung im Internet? Datenverwendung in Internet/Intranet Was ist zulässige Veröffentlichung im Internet? Veröffentlichung im DSG nicht ausdrücklich geregelt, Sonderform der Übermittlung Prüfen Vorliegen eines ausreichenden Zweckes und überwiegender Interessen des Betriebes - Firmenkontaktdaten: Name, Funktion, Telefonnummer, eMail-Adresse - Deutschland zu Lehrerbewertung (Bundesgerichtshof VI ZR 196/08): Freie Meinungsäußerung hat Vorrang http://www.spickmich.de/ Potentiell problematische Veröffentlichungen: - Teilnehmerdaten einer Betriebsfeier, Betriebsveranstaltung - Mitarbeiterfotos (Bildnisschutz § 78 UrhG ist zu beachten, OGH 8ObA136/00h) Veröffentlichen von Informationen - Im DSG 2000 Spezialfall der Datenübermittlung Veröffentlichung Mitarbeiterfoto (OGH 8ObA136/00h): Stellt ein Dienstgeber das Foto eines Arbeitnehmers ohne Rückfrage ins Internet und weigert er sich dieses zu entfernen, bildet dieses Verhalten einen Verstoß gegen den Bildnisschutz (§ 78 UrhG), der nicht mit der Treuepflicht des Dienstnehmers gerechtfertigt werden kann, da daraus eine Duldungspflicht des Arbeitnehmers nicht abgeleitet werden kann. Lehrerbewertung (Bundesgerichtshof Karlsruhe VI ZR 196/08): Die Lehrer-Bewertungen stellten Meinungsäußerungen dar, die die berufliche Tätigkeit der Klägerin betreffen, für die nicht der gleiche Schutz wie in der Privatsphäre gelte. Onlinebeispiele : - Bewertung Dritter in sozialen Netzwerken - Telefonbuch + Luftbildaufnahme: http://www.herold.at/ - Personenbewertung: http://www.hotornot.com/ - Anmeldelisten an Schulen, Seminarteilnehmer: - Videokameras: - Warnlisten: http://www.oavv.at/liste-a-f.html - Weblogs: Beispiele siehe http://www.argedaten.at/php/cms_monitor.php?q=WEBSTAT-ONLINE - Private Schuldenfahndung, Bewertung von Nachbarn, ...: http://www.iShareGossip.com - Bewertung von Dienstleistungen (Hotels, Ärzte, Restaurants, ...): http://www.holidaycheck.de/ ARGE DATEN

Hurra! Wir sind auf Facebook! Web 2.0 und Social Media Hurra! Wir sind auf Facebook! ... aber was machen wir da? - ARGE DATEN 42

Welche Bestimmungen sind anwendbar? Web2.0 und Social Media Was ist Web2.0? üblicherweise als Mitmachweb definiert, Benutzer produzieren für andere Benutzer Inhalte Welche Bestimmungen sind anwendbar? - Datenschutzbestimmungen Benutzer ist in Doppelrolle als Betroffener (gegenüber Betreiber), als auch als Auftraggeber gegenüber Dritten - E-Commerce-Bestimmungen Haftung, Auskunftspflichten - sonstige Bestimmungen Medienrecht, Privatsphärebestimmungen nach §1328a, Offenlegungspflichten nach UnternehmensbuchG, Vereinsgesetz, ... - Hinweis! Web2.0-Regelung haben Ausgleich zwischen mehreren Grundrechten zu sichern: freie Meinungsäußerung, Erwerbsfreiheit und Schutz der Privatsphäre ARGE DATEN 43

Datenschutzspezifische Fragestellungen Web2.0, Social Media und Datenschutz Datenschutzspezifische Fragestellungen Vorgaben des DSG 2000: (1) Rollenkonzept: Auftraggeber, Betroffener, Dienstleister (2) Schutzinteressen der persönlichen Daten: allgemein verfügbare Daten, indirekt personenbezogene Daten, vertrauliche Daten, sensible Daten (3) berechtigter Zweck: persönliche Nutzung, Weitergabe an Dritte, Veröffentlichung (4) Aufsicht + Ausnahmen: Registrierungs- bzw. Genehmigungspflicht - ARGE DATEN 44

Web2.0, Social Media und Datenschutz Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (1) Rollenkonzept: Benutzer ist bezüglich der veröffentlichten Daten Dritter Auftraggeber, Facebook ist in diesem Fall Dienstleister, Datenanwendung liegt vor! Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber - ARGE DATEN 45

Web2.0, Social Media und Datenschutz Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (2) Schutzinteresse: Bezüglich der Veröffentlichung der Unternehmensdaten gilt, kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat, bezüglich Dritter (Poster + Person über die gepostet wird) hat Unternehmen auf Einhaltung der Datenschutzinteressen zu achten! Es sind zusätzlich zum DSG 2000 die ECG-Bestimmungen insb. § 16 (Haftung!) zu beachten. Facebook darf die Daten nur im Rahmen der ausdrücklich vereinbarten Geschäftsbedingungen verwenden. - ARGE DATEN 46

Web2.0, Social Media und Datenschutz Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern (3) Berechtigter Zweck: Keine private Datenanwendung im Sinne des § 45 DSG 2000, in der Regel zulässig (z.B. Unternehmenspräsentation, Erwerbsfreiheit). In Bezug auf Facebook aus Angebot und Geschäftsbedingungen ableitbar. (4) Aufsicht: Für Unternehmen im Regelfall Registrierungs- bzw. Genehmigungspflicht, wenn keine Ausnahmebestimmung trifft zu (Standardanwendung oder ausschließliche Verwendung veröffentlichter Daten). Für Facebook gelten die Bestimmungen des Geschäftssitzes - ARGE DATEN 47

Was kann/muss ein Unternehmen regeln? Web2.0 und Social Media Was kann/muss ein Unternehmen regeln? + Wer entscheidet wo das Unternehmen präsent ist? Wer darf einen Unternehmensaccount einrichten? + Wer darf Beiträge zum Unternehmensaccount eintragen? + Wer ist Anlaufstelle für Fragen/Beschwerden? (Foren-Postings) + Mitarbeitern die Verwendung von Unternehmenslogos, Unternehmenskontaktdaten auf privaten Accounts verbieten + Mitarbeitern vorgeben, dass Äußerungen zum Unternehmen bloß persönliche/private Meinungen darstellen + die Bekanntgabe vertraulicher Betriebsinformationen verbieten (Problem: viele Mitarbeiter erkennen nicht, was vertraulich ist, was nicht) + Netiquette-Richtlinien empfehlen, Formulierungen vorschlagen + Hinweisen auf potentielle Rechteverletzungen: Wettbewerbsrecht, Urheberrecht, Datenschutzbestimmungen, Strafrecht, Jugendschutz, NS-Wiederbetätigung - ARGE DATEN 48

Was kann/muss ein Unternehmen regeln? II Web2.0 und Social Media Was kann/muss ein Unternehmen regeln? II +/- Mitarbeitern die Nennung seines Arbeitgebers auf privaten Accounts verbieten +/- Mitarbeitern die Nutzung des privaten Accounts im Unternehmen vollständig verbieten +/- bestimmte Formulierungen verpflichtend vorgeben - Generell Mitarbeitern private Web2.0 Accounts verbieten - sich in keinem Zusammenhang zum Unternehmen zu äußern (z.B. es gibt eine Berichterstattung zu einem Produkt, zu einer Rückrufaktion, ...) - verlangen, das sich Mitarbeiter über Unternehmen nur positiv äußern - ARGE DATEN 49

konzernweite Datenverwendung Regeln bei der konzernweiten Verwendung von Mitarbeiterdaten - Beispiel Kontaktverzeichnis - bisher: keine "Konzernerleichterung" - Konzern-Mitarbeiterverzeichnisse waren registrierungspflichtig - gemeinsame Verwendung bedeutete Vorliegen eines genehmigungspflichtigen Informationsverbundes - Übermittlung in Drittstaaten ohne angemessenes Schutzniveau war DSK-genehmigungspflichtig - neu (seit 18. 9. 2012): Kontaktverzeichnisse sind "Standard", wenn sie SA033 lit. A. entsprechen  Konsequenz: - keine Registrierungspflicht - keine Genehmigungspflicht des Informationsverbundes - durch verpflichtende Verwendung der Standardvertragsklauseln keine DSK-genehmigungspflicht bei Übermittlung in Drittstaaten ohne angemessenes Schutzniveau  die Standardanwendung SA033 findet sich im Anhang - ARGE DATEN

A. Konzernweite Kontakt- und Termindatenbank StMV-Novelle - konzernweite Datenverwendung A. Konzernweite Kontakt- und Termindatenbank - Zweck: Führung & Übermittlung von Kontaktdaten der Mitarbeiter zu einer gemeinsamen konzernweiten Termindatenbank - Rechtsgrundlage: DSG 2000 §§ 8 Abs. 1 Z 4 und 12 Abs. 3 Z 8 - Speicherdauer: bis drei Jahre nach Beendigung eines Arbeitsverhältnisses (nach Ende: beschränkt auf korrekte Behandlung noch eintreffender Nachrichten) - Betroffene: [breit gefasst] Arbeitnehmer, arbeitnehmerähnliche Gruppen, Leiharbeitnehmer, freie Dienstnehmer (Werkverträge), Lehrlinge, Volontäre, Ferialpraktikanten - Datenarten (Auswahl): Identifikations- und Organisationsdaten, Funktion gegenüber Kunden/Geschäftspartnern, Kontaktdaten, Verfügbarkeit (Urlaube, sonstige Abwesenheiten), Informationen zur Weiterleitung von Nachrichten bei ehemaligen Beschäftigten: reduzierter Datenumfang! - Übermittlungen: andere Konzernunternehmen weltweit A. Konzernweite Kontakt- und Termindatenbank Zweck der Datenanwendung: Verarbeitung von Daten der Mitarbeiter des Auftraggebers, eines österreichischen Konzernunternehmens, zur Führung einer Kontaktdatenbank, Übermittlung dieser Daten an andere Konzernunternehmen weltweit sowie Führung einer konzernweiten Termindatenbank. Rechtsgrundlagen der Anwendung sind die folgenden Gesetzesbestimmungen (in der geltenden Fassung): §§ 8 Abs. 1 Z 4 und 12 Abs. 3 Z 8 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999. Höchstdauer der zulässigen Datenaufbewahrung: Bis zu drei Jahren nach Beendigung des Arbeitsverhältnisses zur korrekten Behandlung noch eintreffender Nachrichten. § 8 DSG 2000 Schutzwürdige Geheimhaltungsinteressen bei Verwendung nicht-sensibler Daten (1) Schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn .... 4. überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern. ... § 12 DSG 2000 Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland (3) Darüberhinaus ist der Datenverkehr ins Ausland dann genehmigungsfrei, wenn 8. die Übermittlung oder Überlassung in einer Standardverordnung (§ 17 Abs. 2 Z 6) oder Musterverordnung (§ 19 Abs. 2) ausdrücklich angeführt ist oder ARGE DATEN

A. Konzernweite Kontakt- und Termindatenbank II StMV-Novelle - konzernweite Datenverwendung A. Konzernweite Kontakt- und Termindatenbank II - Sicherheitsvorgaben: direkter Bezug auf Art. 25 oder ausreichende Garantien in Form von EU-Standardvertragsklauseln Art. 26 Abs. 2 iVm Abs. 4 der Datenschutz-Richtlinie 95/46/EG ÜBERMITTLUNG PERSONENBEZOGENER DATEN IN DRITTLÄNDER Art. 25 DatenschutzR Grundsätze (1) Die Mitgliedstaaten sehen vor, daß die Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet. (2) Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; insbesondere werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen berücksichtigt. (3) Die Mitgliedstaaten und die Kommission unterrichten einander über die Fälle, in denen ihres Erachtens ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet. (4) Stellt die Kommission nach dem Verfahren des Artikels 31 Absatz 2 fest, daß ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels aufweist, so treffen die Mitgliedstaaten die erforderlichen Maßnahmen, damit keine gleichartige Datenübermittlung in das Drittland erfolgt. (5) Zum geeigneten Zeitpunkt leitet die Kommission Verhandlungen ein, um Abhilfe für die gemäß Absatz 4 festgestellte Lage zu schaffen. (6) Die Kommission kann nach dem Verfahren des Artikels 31 Absatz 2 feststellen, daß ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen, die es insbesondere infolge der Verhandlungen gemäß Absatz 5 eingegangen ist, hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet. Die Mitgliedstaaten treffen die aufgrund der Feststellung der Kommission gebotenen Maßnahmen. ARGE DATEN

"bekannt geben" als Verallgemeinerung Whistleblowing - Grundlagen Whistleblowing - "verpfeifen" - Hinweisgeber "Ein Whistleblower (vom Englischen to blow the whistle; auf Deutsch wörtlich: „die Pfeife blasen“) ist ein Hinweisgeber oder ein Informant, der Missstände wie illegales Handeln (z.B. Korruption, Insiderhandel und Menschenrechtsverletzungen) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz oder in anderen Zusammenhängen erfährt, wie beispielsweise als Patient bei einer medizinischen Behandlung, an die Öffentlichkeit bringt." (aus Wikipedia.org) Whistleblowing - "verpfeifen" - Hinweisgeber "Ein Whistleblower (vom Englischen to blow the whistle; auf Deutsch wörtlich: „die Pfeife blasen“) ist ein Hinweisgeber oder ein Informant, der Missstände wie illegales Handeln (z.B. Korruption, Insiderhandel und Menschenrechtsverletzungen) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz oder in anderen Zusammenhängen erfährt, wie beispielsweise als Patient bei einer medizinischen Behandlung, an die Öffentlichkeit bringt." (aus Wikipedia.org) bekannt gibt." "bekannt geben" als Verallgemeinerung - ARGE DATEN

Whistleblowing - (Rechts-)Grundlagen Whistleblowing - Grundlagen Whistleblowing - (Rechts-)Grundlagen - internationale Vorgaben, etwa für an US-Börsen notierte Unternehmen („False Claim Act 1986“, den „US Whistleblower Protection Act 1989“, den „Sarbanes-Oxley Act 2002“ (SOX), gelten auch für deren Non-US-Töchter!) - generelle Sorfaltspflichten eines Unternehmens - spezifische gesetzliche Bestimmungen, in Österreich derzeit für Behörden bzw. für im öffentlichen Einfluss stehende Betriebe in Diskussion - moralisches Gerechtigkeitsgefühl der Hinweisgeber - ??? - ARGE DATEN

Whistleblowing - Datenschutzrelevanz Whistleblowing - Erscheinungsformen Whistleblowing - Datenschutzrelevanz - Hinweise behandeln im Regelfall allgemein nicht bekannte Tatsachen - es besteht Personenbezug a) es werden konkrete Personen bezichtigt und/oder b) Hinweisgeber kann identifiziert werden und/oder c) Daten beziehen sich auf Unternehmen - es kann eine Datenanwendung im Sinne des DSG 2000 vorliegen - Hinweise können strafrechtlich relevante Sachverhalte betreffen - Betroffene haben subjektive Rechte  Anspruch auf Geheimhaltung  Registrierungs-, Genehmigungspflichten  Vorabkontrollpflicht -  Auskunfts-, Richtigstellungs- und Löschungsrechte ARGE DATEN

Die sonstigen Beschränkungen des § 26 DSG 2000 bleiben aufrecht! Whistleblowing - Datenschutzverpflichtungen Whistleblowing - Auskunftsrecht § 26 DSG 2000 Jeder Betroffene hat Auskunftsrecht, jedoch mit Einschränkungen. § 26 Auskunftsrecht kann beschränkt werden, wenn a) überwiegende Interessen Dritter gefährdet werden (z.B. Schutzinteressen des Hinweisgebers gegenüber einer bezichtigten Person) b) Interessen des Auftraggebers gefährdet werden (z.B. Aufklärungsinteressen bezüglich der Hinweise) Die sonstigen Beschränkungen des § 26 DSG 2000 bleiben aufrecht! - ARGE DATEN

Die sonstigen Beschränkungen des § 27 DSG 2000 bleiben aufrecht! Whistleblowing - Datenschutzverpflichtungen Whistleblowing - Richtigstellungs- und Löschungsrecht § 27 DSG 2000 Jeder Betroffene hat Richtigstellungs- und Löschungsrecht, jedoch mit Einschränkungen. § 27 kann beschränkt werden, wenn a) mit einer Richtigstellung/Löschung der Zweck der Datenanwendung nicht mehr erfüllt werden kann (z.B. Dokumentationszweck), in der Regel ist jedoch ein Bestreitungsvermerk durch Betroffenen anzubringen b) eine Richtigstellung/Aktualisierung für die Datenanwendung unwesentlich ist Die sonstigen Beschränkungen des § 27 DSG 2000 bleiben aufrecht! - ARGE DATEN

IT-Systeme als Trojanische Pferde? Bring your Own Device IT-Systeme als Trojanische Pferde? - ARGE DATEN