Post on 05-Apr-2015
© ARGE DATEN 2013
ARGE DATEN
Datenverwendung im UnternehmenVereinbarungen, Informationspflichten,
Maßnahmen ARGE DATEN
Wien, NH Danube City, 23. Oktober 2013
© ARGE DATEN 2013
Die ARGE DATEN als PRIVACY-Organisation
Aktivitäten der ARGE DATEN
Öffentlichkeitsarbeit, Informationsdienst:- Web-Service: 60-80.000 Besucher/Monat
- Newsletter: rund 4.500 Abonnenten
- 2012: rund 500 Medienanfragen/-berichte
Mitgliederbetreuung Datenschutzfragen- 2012: ca. 600 Datenschutz-Anfragen
Rechtsschutz, PRIVACY-Services- 2012: in ca. 200 Fällen Mitglieder in Verfahren vertreten
Zahl der betreuten Mitglieder- aktuell: ca. 15.000 Personen
Studien- und Beratungsprojekte
A-CERT - Zertifizierungsdienstleister gem. SigG
ARGE DATEN
© ARGE DATEN 2013
ARGE DATEN
Ausbildungsreihe der ARGE DATEN
Modul I: Datenschutz Grundlagen25. März 2014
Modul IV: Datenschutz Praxis / international
24. Oktober 2013 / 27. März 2014
Modul II: Datenverwendung im Unternehmen
Modul III: Datenschutz und IT-Sicherheit5. November 2013 / 8. April 2014
Modul V: Datenschutzfragen identifizieren6. November 2013 / 9. April 2014
Die Reihe wird mit einem Zertifikat abgeschlossen
Betrieblicher Datenschutzbeauftragter
© ARGE DATEN 2013
ARGE DATEN
Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern.
© ARGE DATEN 2013
ARGE DATEN
Betriebliche Datenverwendung
Dienste der Informationsgesellschaft
Mittagspause
Haftung
Seminarablauf
Cybercrime
Telekommunikation
© ARGE DATEN 2013
ARGE DATEN
betriebliche Datenverwendung
zulässige Datenverwendung
Betriebsvereinbarung & Privatnutzung
Datenschutzerklärung
© ARGE DATEN 2013
DSG 2000 § 1 (Verfassungsbestimmung):
"jede Verwendung persönlicher Daten ist verboten"
umfassender Geheimhaltungsanspruch
Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots ist möglich:
- mit der Zustimmung des Betroffenen
- zur Vollziehung von Gesetzen (Behörden)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter
- bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen
- EU-Vorschlag: auf Basis rechtlicher Befugnisse (Gesetze, Verträge)
Einschränkungen des Verbots sind möglich:- mit der Zustimmung des Betroffenen
- zur Vollziehung von Gesetzen (Behörden)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter
- bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen
ARGE DATEN
DSG 2000 - Grundrecht
© ARGE DATEN 2013
ARGE DATEN
Personenbezogene Daten
DSG 2000 - Definition Daten
Indirekt personenbezogene Daten §4 Z1 DSG 2000, (kein EU-Begriff!)
personenbezogene Daten §4 Z1 DSG 2000
sonstige besonders schutzwürdige Daten §18 Abs.2 DSG 2000 (kein EU-Begriff)
sensible Daten§4 Z2 DSG 2000
© ARGE DATEN 2013
ARGE DATEN
IT-Abteilung
Wer? Zweck? Daten?
Geschäftsführu
ng
Buchhaltung
Aufträge der Geschäftsführung
zulässige betriebliche Datenverwendung I
Personalverwaltung
Datenverwendung Personal
BestellabwicklungKundenbetreuung
Datenverwendung Bestellung
Direktwerbung
Datenverwendung Kundenbetreuung
Datenverwendung Direktwerbung
Marketing
Support
Verkauf
Personal-abteilung
innerbetriebliche Datenverwendung
© ARGE DATEN 2013
ARGE DATEN
IT-Abteilung
Wer? Zweck? Daten?
Geschäftsführu
ng
Buchhaltung
zulässige betriebliche Datenverwendung II
BestellabwicklungKundenbetreuung
Datenverwendung Bestellung
Direktwerbung
Datenverwendung Kundenbetreuung
Datenverwendung Direktwerbung
Marketing
Support
Verkauf
Personal-abteilung
Webservice:
Supportinfos,Kontaktinfos,Kundenbereic
h
Internet
Bestelldaten werden ermittelt
Zukauf von Adressmaterial = Ermittlung
Datenschutzerklärung informiert über
Datenverwendung
innerbetriebliche Datenverwendung
© ARGE DATEN 2013
ARGE DATEN
zulässige betriebliche Datenverwendung III
IT-Abteilung
Wer? Zweck? Daten?
Geschäftsführu
ng
Buchhaltung
Personalverwaltung
Datenverwendung Personal
Marketing
Support
Verkauf
Personal-abteilung
Webservice:
Supportinfos,Kontaktinfos,Kundenbereic
h
Internet
Mitarbeiterdaten, Lieferantendaten, Daten Dritter werden übermittelt
?
innerbetriebliche Datenverwendung
© ARGE DATEN 2013
ARGE DATEN
Mitarbeiterdaten, Lieferantendaten, Daten Dritter werden übermittelt
Bestelldaten werden ermittelt
Zukauf von Adressmaterial = Ermittlung
anderer Geschäftsbereich = Übermittlung
Bankdienstleistungen
zulässige betriebliche Datenverwendung IV
IT-Abteilung
Wer? Zweck? Daten?
Geschäftsführu
ng
Buchhaltung
Webservice:
Supportinfos,Kontaktinfos,Kundenbereic
h
Internet
Marketing
Support
Personal-abteilung
Verkauf
Personalverwaltung
Datenverwendung Personal
BestellabwicklungKundenbetreuung
Datenverwendung Bestellung
Direktwerbung
Datenverwendung Kundenbetreuung
Datenverwendung Direktwerbung
innerbetriebliche Datenverwendung
© ARGE DATEN 2013
ARGE DATEN
IT-Abteilung
Wer? Zweck? Daten?
Geschäftsführu
ng
Buchhaltung
Webservice:
Supportinfos,Kontaktinfos,Kundenbereic
h
Internet
Aufträge der Geschäftsführung
zulässige betriebliche Datenverwendung?
Bankgeschäfte
Mitarbeiterdaten, Lieferantendaten, Daten Dritter werden übermittelt
Marketing
Support anderer
Geschäftsbereich = Übermittlung
Bestelldaten werden ermittelt
Zukauf von Adressmaterial = Ermittlung
?
Personal-abteilung
Verkauf
Personalverwaltung
Datenverwendung Personal
BestellabwicklungKundenbetreuung
Datenverwendung Bestellung
Direktwerbung
Datenverwendung Kundenbetreuung
Datenverwendung Direktwerbung
innerbetriebliche Datenverwendung
© ARGE DATEN 2013
ARGE DATEN
Rollen im Unternehmen bei denen personenbezogene Daten anfallen
- Mitarbeiter (Spezialrecht: ArbVG, AVRAG/Arbeitsvertragsrechts-Anpassungsgesetz)
- Kunden (KSchG, ECG, ABGB, AGB + individuelle Verträge)
- Konsulenten, Berater (z.B. Anwälte, Steuerberater: berufsspezifische Standesregeln)
- sonstige Lieferanten (ABGB, AGB + individuelle Verträge)
- Eigentümer, sonstige Shareholder (Aktienrecht, Unternehmensrecht, ...)
- Mitbewerb (UWG, StGB, ...)
- Spezialgruppen, z.B. Patienten bei Pharmafirmen mit klinischer Forschung, ...
personenbezogene Daten und Rollen
© ARGE DATEN 2013
ARGE DATEN
Welche Daten darf ein Unternehmen verwenden?
- mit Unternehmenszweck vereinbar
- Abgrenzung der Zwecke durch Gewerbeordnung, Konzessionen, Spezialrecht, Gesellschafterverträge, Konzernvorgaben, branchenübliches Verhalten, Arbeitsrecht, in Standardanwendungen definiert
- Zweck muss objektiv nachvollziehbar sein ("Drittvergleich")
- Verwendung von über den Zweck hinausgehende Daten auch nicht zustimmungsfähig (nur für weitere angemessene Zwecke)
- es dürfen Bestelldaten zu Marketingzwecken verwendet werden (§§ 6-7,47 DSG 2000), werden jedoch zusätzliche Daten für Marketing ermittelt, ist dazu eine Zustimmung einzuholen
- sensible Daten dürften nur mit Zustimmung des Betroffenen verwendet werden (etwa für Werbung, Studien, ...)
Zwecke und Geschäftsbereiche
© ARGE DATEN 2013
ARGE DATEN
Welche Daten dürfen Behörden (öffentlich-rechtliche Einrichtungen) verwenden?
- auf Grund ausdrücklicher gesetzlicher Verpflichtungen oder Ermächtigungen
- zur Vollziehung eines Gesetzes unbedingt erforderlich- im Rahmen privatwirtschaftlicher Dienste
DSK K120.515/9-DSK/96 ("Dekanat")- Dekanat gibt Daten wie Aufnahmedatum,
Geburtsdatum, Geburtsort, Staatsbürgerschaft, Art und Datum der Reifeprüfung, alle rigorosalen Teilprüfungen mit Datum und Ergebnis an Prüfer weiter
- unzulässige Daten-Weitergabe an Einzelprüfer, weil Gesetz ausdrücklich das Dekanat mit der Führung der Prüfungsevidenz beauftragt hat
- Gefahr der Beeinflussung des Prüfers
Zwecke und Geschäftsbereiche
© ARGE DATEN 2013
ARGE DATEN
DSK K121.259 (Internet als Datenanwendungen)
Ausgangslage- Mitarbeiter ersuchte um Auskunft der über ihn gespeicherten
Daten- beauskunftet wurden (nach Beschwerdeverfahren):
SAP-HR-Verwaltung, IT-Berechtigungsverwaltung, Zutrittskontrollsystem (teilweise)
- verweigert wurde: Internetprotokollierung (sei nur Sicherheitsprotokollierung), eMail-Verwaltung (Groupwise-Lösung, sei nur Dienstleistung für Mitarbeiter)
Entscheidung DSK- Auskunft ist zu erteilen
- Internetprotokollierung: geht über die Protokollierungspflichten nach § 14 DSG 2000 hinaus, ist daher eigenständige Anwendung
- eMail-Verwaltung: es handelt sich um eine Datenanwendung der Organisation, nicht des Mitarbeiters
Datenverarbeitungen
© ARGE DATEN 2013
ARGE DATEN
Fallbeispiel IndustriebetriebMeiste Anwendungen sind Standardanwendungen
- SA001 Rechnungswesen und Logistik
- SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse
- SA007 Verwaltung von Benutzerkennzeichen
- SA022 Kundenbetreuung und Marketing für eigene Zwecke
Keine Standardanwendungen- Betriebsdatenerfassung inklusive Inventarverwaltung
- Kantinenabrechnung
- Schulungsdatenbank
- Auswertung der Internetnutzung der Mitarbeiter
Keine Anwendung des Industriebetriebs- Sportverein für Mitarbeiter
DSG 2000 - Registrierung und Genehmigung
© ARGE DATEN 2013
ARGE DATEN
Typische Module (Zwecke):- Lohn/Gehaltsverrechnung- Darlehen/Exekutionsverwaltung- Reisekostenadministration- Zeitadministration- Bewerberverwaltung- Religionsbekenntnis- Aus- und Weiterbildungsverwaltung- Meldepflichten (SV, Finanz)- sonstige arbeitsvertragliche Verpflichtungen
- Beurteilungsdaten
Fallbeispiel Personalverwaltung (SA002)
Standard (20, 59-62)
Standard (36, nur für
Abwesenheitsverwaltung)
? Standard
Standard (47-51) Standard (57-58)
Standard (52)
Standard seit 30.3.11 eigener
Betroffenenkreis
DSG 2000 - Registrierung und Genehmigung
? Standard (64?)
Abhängig vom Umfang der Personalverwaltung wird es sich entweder um eine
registrierungspflichtige oder registrierungsfreie Datenanwendung handeln
Datenübermittlung an Konzern"mutter"
prüfen ob SA033
kein Standard
Standard (33-43)
© ARGE DATEN 2013
ARGE DATEN
Mitarbeiter- und Bewerberdaten
Personaldaten - innerbetriebliche Verwendung
- dienstlich erforderliche Daten dürfen ohne Zustimmung unternehmensintern verwendet werden (z.B. Qualifikation, Berufstitel, Kontaktdaten, ...)
- weitere Datenverwendungen können arbeitsvertraglich geregelt sein (z.B. Akkordabrechnungen, Weitergabe persönlicher Daten an Kunden / Veröffentlichung, etwa bei Verkäufern, Geschäftsführung)
- sonstige Daten die zum Zweck der Gehaltsverrechnung / Personaladministration dem Personalbüro bekannt sind, dürfen nicht von anderen Abteilungen verwendet werden, auch nicht für betriebsinterne Zeitungen, Newsletter
Zulässig sind weitere Verwendungsmöglichkeiten auf Grund der Zustimmung des Betroffenen
In bestimmten Bereichen wird auch eine Verwendung auf Grund überwiegender Interessen denkbar sein:
Geschäftsführer, Manager, Außendienstmitarbeiter, ...
© ARGE DATEN 2013
ARGE DATEN
Datenträger GehaltszettelAushändigung? Postfach? Zusendung? Kontoauszug?
- Gehaltsdaten sind vertraulich zu behandeln- innerbetrieblich, aber auch gegenüber Dritten- können neben "klassischen" Gehaltsdaten auch sensible Daten
enthalten (Kirchenbeitrag, Gewerkschaftszugehörigkeit, Sonderzahlungen geben Hinweise auf Gesundheit)
Aushändigung durch Betriebsmitarbeiter - kann aufwändig werden (verteilte Standorte)- Verhinderung der unbemerkten Kenntnisnahme durch Verteiler
Hinterlegen im Unternehmen in einem Postfach- kostengünstig, geeigneter Standort notwendig- Verhinderung der unbemerkten Kenntnisnahme anderer
Mitarbeiter durch verschlossene Kuverts
Zusendung an Privatadresse- relativ teuer- Problem der Kenntnisnahme durch andere
Wohnungsangehörige- individuelle Situation berücksichtigen
Mitarbeiter- und Bewerberdaten
© ARGE DATEN 2013
ARGE DATEN
Datenträger Gehaltszettel IIZusendung per eMail
- grundsätzlich zulässig, sehr kostengünstig- bei Firmen-eMails auf Nutzungspolicy achten (Funktionsadressen,
Vertreter- und Urlaubsregelung)- bei Privat-eMails Verfügbarkeit und auch Nutzung der Adresse
beachten (Familien-Mailadresse)- Verschlüsselung empfehlenswert
Hinterlegen auf Website- grundsätzlich zulässig, sehr kostengünstig- erfordert Passwortschutz/Zugangsverwaltung
Zustellung über Girokonto K211.680/0009-DSK/2006- grundsätzlich zulässig, kostengünstig- Dienstleistervereinbarung mit Bank erforderlich, es gilt das
Minimalprinzip - individuelle Situation berücksichtigen
Mitarbeiter- und Bewerberdaten
Elektronische Zustellformen sind gemäß BMF gleichwertig zur Aushändigung in gedruckter Form
© ARGE DATEN 2013
Was ist zulässige Veröffentlichung im Internet?Veröffentlichung im DSG nicht ausdrücklich geregelt, Sonderform der Übermittlung
Prüfen Vorliegen eines ausreichenden Zweckes und überwiegender Interessen des Betriebes
- Firmenkontaktdaten: Name, Funktion, Telefonnummer, eMail-Adresse
- Deutschland zu Lehrerbewertung (Bundesgerichtshof VI ZR 196/08): Freie Meinungsäußerung hat Vorrang http://www.spickmich.de/
Potentiell problematische Veröffentlichungen:
- Teilnehmerdaten einer Betriebsfeier, Betriebsveranstaltung
- Mitarbeiterfotos (Bildnisschutz § 78 UrhG ist zu beachten Verbot des öffentlich zugänglich machens, wenn "Verletzung berechtigter Interessen" erfolgt, OGH 8ObA136/00h)
Datenverwendung in Internet/Intranet
ARGE DATEN
© ARGE DATEN 2013
ARGE DATEN
Videoeinsatzbetriebliche Anwendungsbereiche:
(1)Überwachung der "Außenhaut" (Grundstücksgrenzen, Einfahrten, ...)
(2)Überwachung technischer Anlagen (Garagen, Energieversorgung, Fernwartung, ...)
(3)Überwachung von Lagerstellen
(4)Überwachung von Kundenzonen
(5)Überwachung von Arbeitsplätzen
(6)Überwachung von Sozial- und Hygienebereichen
betriebliche Datenverwendung
Basis-Anforderungen nach DSG:
- grundsätzlich besteht Registrierungspflicht (die allgemeinen Ausnahmebestimmungen nach DSG treffen meist nicht zu)
- Voraussetzungen: Aufzeichnung und Erkennbarkeit (Bestimmbarkeit) von Personen
Zulässigkeit? / Betriebsvereinbarun
g?
Ja / Nein, wenn keine Rückschlüsse auf MA
Ja / wie (1)
Ja / in der Regel Ja
Ja / wie (1)
nur im Sonderfall / Ja
Nein / nicht Vereinbarungsfähig
© ARGE DATEN 2013
ARGE DATEN
Videoeinsatz IIOLG Wien Beschluss 7 Ra 3/07y
- Betriebsrat begehrte EV auf Unterlassung gegen eine Videoüberwachung in Unternehmen in NÖ, die u.a. auch Arbeitsplätze und Toilettenzugänge überwachte
- ablehnender EV-Beschluss des LG St. Pölten aufgehoben und an Erstgericht zurückverwiesen
Entscheidungskriterien
Gericht definiert erstmals Kriterien für betrieblichen Videoeinsatz
- Maßnahme muss geeignet zur Erreichung eines bestimmten Zieles (Zweckes) sein
- Maßnahme muss erforderlich sein [fehlende Alternativen]
- Maßnahme muss angemessen sein [Interessensabwägung], Eingriffsintensität darf nicht höher als bestimmtes Ziel sein]
Anzuwendende Normen: ABGB § 16, EMRK Art. 8, DSG § 1
betriebliche Datenverwendung
© ARGE DATEN 2013
DSK K120.951/0009-DSK/2004("Protokollierung Zeiterfassung")
Zusätzlich wurden die tatsächlichen Eintragungszeiten protokolliert, diese dienten der "Plausibilitätsprüfung" der EingabeSowohl die Eintragungsdaten, als auch die Protokolldaten wurden aufgezeichnet und den jeweiligen Abteilungsleitern angezeigtDSK-Entscheidung: Aufzeichnung der Protokolldaten
ist zur Erfüllung der Dienstsaufsicht ungeeignet und daher unzulässig
Da kein anderer Verwendungszweck angegeben wurde, sind die Daten gem. § 27 Abs. 1 Z 1 DSG 2000 zu löschen.
Mitarbeiter einer Behörde haben "zeitnah" Arbeitsbeginn und -ende ein einem Zeiterfassungsprogramm einzutragen
DSG 2000 - Protokollierung
ARGE DATEN
© ARGE DATEN 2013
ARGE DATEN
- geeigneter Betreiber ist zu bestellen
- Betreiber ist der DSK zu melden
- Betreiber hat Auskunftspflichten
DSG 2000 - Informationsverbundsystem
ARGE DATEN
© ARGE DATEN 2013
ARGE DATEN
Datenverwendung zwischen Unternehmen
U1 beauftragt
U3 beliefert Kunden
Unternehmen 1:Vertriebsfirma
Unternehmen 5:HR-Management
Unternehmen 6:Versicherung
Kunde kauft
Ermittlung
ÜberlassungUnternehmen 3:Auslieferung, Logistik
Unternehmen 4:IT-Service
Unternehmen 2:Produktion
Personal-daten-bank
U1 beauftragtÜbermittlung
Übermittlungen
Konzern-holding
konzernweite Datenverwendung
© ARGE DATEN 2013
ARGE DATEN
Regeln bei der konzernweiten Verwendung von Mitarbeiterdaten - Beispiel Kontaktverzeichnis
- bisher: keine "Konzernerleichterung"- Konzern-Mitarbeiterverzeichnisse waren
registrierungspflichtig- gemeinsame Verwendung bedeutete Vorliegen eines
genehmigungspflichtigen Informationsverbundes- Übermittlung in Drittstaaten ohne angemessenes
Schutzniveau war DSK-genehmigungspflichtig- neu (seit 18. 9. 2012): Kontaktverzeichnisse sind
"Standard", wenn sie SA033 lit. A. entsprechen Konsequenz:
- keine Registrierungspflicht- keine Genehmigungspflicht des Informationsverbundes- durch verpflichtende Verwendung der
Standardvertragsklauseln keine DSK-genehmigungspflicht bei Übermittlung in Drittstaaten ohne angemessenes Schutzniveau
die Standardanwendung SA033 findet sich im Anhang
konzernweite Datenverwendung
© ARGE DATEN 2013
ARGE DATEN
SA033 Datenübermittlung im Konzern im Überblick
- Konzerndefinition: Konzernverband liegt vor, wenn ein rechtlich selbständiges Unternehmen auf Grund von Beteiligungen oder sonst unmittelbar oder mittelbar unter dem beherrschenden Einfluss eines anderen Unternehmens steht
- vier Detailthemen ("Zwecke")
- A. Konzernweite Kontakt- und Termindatenbank
- B. Karrieredatenbank
- C. Verwaltung von Bonus- und Beteiligungsprogrammen eines Konzerns
- D. Technische Unterstützung
alle anderen Zwecke eines Konzern-Datenverkehrs oder andere Unternehmensverbindungen (z.B. Joint-Ventures, Projektpartnerschaften usw.) fallen NICHT
darunter!
StMV-Novelle - konzernweite Datenverwendung
© ARGE DATEN 2013
ARGE DATEN
A. Konzernweite Kontakt- und Termindatenbank
- Zweck: Führung & Übermittlung von Kontaktdaten der Mitarbeiter zu einer gemeinsamen konzernweiten Termindatenbank
- Rechtsgrundlage: DSG 2000 §§ 8 Abs. 1 Z 4 und 12 Abs. 3 Z 8
- Speicherdauer: bis drei Jahre nach Beendigung eines Arbeitsverhältnisses (nach Ende: beschränkt auf korrekte Behandlung noch eintreffender Nachrichten)
- Betroffene: [breit gefasst] Arbeitnehmer, arbeitnehmerähnliche Gruppen, Leiharbeitnehmer, freie Dienstnehmer (Werkverträge), Lehrlinge, Volontäre, Ferialpraktikanten
- Datenarten (Auswahl): Identifikations- und Organisationsdaten, Funktion gegenüber Kunden/Geschäftspartnern, Kontaktdaten, Verfügbarkeit (Urlaube, sonstige Abwesenheiten), Informationen zur Weiterleitung von Nachrichtenbei ehemaligen Beschäftigten: reduzierter Datenumfang!
- Übermittlungen: andere Konzernunternehmen weltweit
StMV-Novelle - konzernweite Datenverwendung
© ARGE DATEN 2013
ARGE DATEN
A. Konzernweite Kontakt- und Termindatenbank II
- Sicherheitsvorgaben: direkter Bezug auf Art. 25 oder ausreichende Garantien in Form von EU-Standardvertragsklauseln Art. 26 Abs. 2 iVm Abs. 4 der Datenschutz-Richtlinie 95/46/EG
StMV-Novelle - konzernweite Datenverwendung
© ARGE DATEN 2013
ARGE DATEN
B. Karrieredatenbank
- Zweck: Verwaltung freiwillige Teilnahme an Karriereprogramme
- Rechtsgrundlage: DSG 2000 §§ 8 Abs. 1 Z 2 und 12 Abs. 3 Z 5 und/oder Z 8
- Speicherdauer: Ende der Bewerbung (Zurückziehung oder Beschäftigungsende)
- Betroffene: [breit gefasst] wie bei A.
- Datenarten (Auswahl): Identifikations- und Organisationsdaten, Kontaktdaten, Qualifikationen, Sprachkenntnisse, Leistungsbeurteilung, Karrierewünsche/Gehaltsvorstellungen
- Übermittlungen: andere Konzernunternehmen weltweit die neue Mitarbeiter suchen, externe Beratungsunternehmen die in Personalangelegenheiten beraten
- Sicherheitsvorgaben: wie A.
StMV-Novelle - Standard- und Musterverordnung
© ARGE DATEN 2013
Whistleblowing - Grundlagen
Whistleblowing - "verpfeifen" - Hinweisgeber
"Ein Whistleblower (vom Englischen to blow the whistle; auf Deutsch wörtlich: „die Pfeife blasen“) ist ein Hinweisgeber oder ein Informant, der Missstände wie illegales Handeln (z.B. Korruption, Insiderhandel und Menschenrechtsverletzungen) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz oder in anderen Zusammenhängen erfährt, wie beispielsweise als Patient bei einer medizinischen Behandlung, an die Öffentlichkeit bringt." (aus Wikipedia.org)
Whistleblowing - "verpfeifen" - Hinweisgeber
"Ein Whistleblower (vom Englischen to blow the whistle; auf Deutsch wörtlich: „die Pfeife blasen“) ist ein Hinweisgeber oder ein Informant, der Missstände wie illegales Handeln (z.B. Korruption, Insiderhandel und Menschenrechtsverletzungen) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz oder in anderen Zusammenhängen erfährt, wie beispielsweise als Patient bei einer medizinischen Behandlung, an die Öffentlichkeit bringt." (aus Wikipedia.org)
bekannt gibt."
"bekannt geben" als Verallgemeinerung
ARGE DATEN
© ARGE DATEN 2013
Whistleblowing - Grundlagen
Whistleblowing - (Rechts-)Grundlagen- internationale Vorgaben, etwa für an US-Börsen notierte Unternehmen („False Claim Act 1986“, den „US Whistleblower Protection Act 1989“, den „Sarbanes-Oxley Act 2002“ (SOX), gelten auch für deren Non-US-Töchter!)
- generelle Sorfaltspflichten eines Unternehmens
- Antikorruptionsbestimmungen, in Österreich Anti-Korruptionsstrafrecht
- spezifische gesetzliche Bestimmungen, in Österreich derzeit für Behörden bzw. für im öffentlichen Einfluss stehende Betriebe in Diskussion
- moralisches Gerechtigkeitsgefühl der Hinweisgeber
- ???ARGE DATEN
© ARGE DATEN 2013
Whistleblowing - Erscheinungsformen
Whistleblowing - Datenschutzrelevanz
- Hinweise behandeln im Regelfall allgemein nicht bekannte Tatsachen
- es besteht Personenbezuga) es werden konkrete Personen bezichtigt und/oderb) Hinweisgeber kann identifiziert werden und/oderc) Daten beziehen sich auf Unternehmen
- es kann eine Datenanwendung im Sinne des DSG 2000 vorliegen
- Hinweise können strafrechtlich relevante Sachverhalte betreffen
- Betroffene haben subjektive Rechte
Anspruch auf Geheimhaltung
Registrierungs-, Genehmigungspflichten
Auskunfts-, Richtigstellungs- und Löschungsrechte
Vorabkontrollpflicht
ARGE DATEN
© ARGE DATEN 2013
Whistleblowing - Datenschutzverpflichtungen
Whistleblowing - Auskunftsrecht § 26 DSG 2000
Jeder Betroffene hat Auskunftsrecht, jedoch mit Einschränkungen.
§ 26 Auskunftsrecht kann beschränkt werden, wenn
a)überwiegende Interessen Dritter gefährdet werden (z.B. Schutzinteressen des Hinweisgebers gegenüber einer bezichtigten Person)
b)Interessen des Auftraggebers gefährdet werden (z.B. Aufklärungsinteressen bezüglich der Hinweise)
Die sonstigen Beschränkungen des § 26 DSG 2000 bleiben aufrecht!
ARGE DATEN
© ARGE DATEN 2013
Whistleblowing - Datenschutzverpflichtungen
Whistleblowing - Richtigstellungs- und Löschungsrecht § 27 DSG 2000
Jeder Betroffene hat Richtigstellungs- und Löschungsrecht, jedoch mit Einschränkungen.
§ 27 kann beschränkt werden, wenn
a)mit einer Richtigstellung/Löschung der Zweck der Datenanwendung nicht mehr erfüllt werden kann (z.B. Dokumentationszweck), in der Regel ist jedoch ein Bestreitungsvermerk durch Betroffenen anzubringen
b)eine Richtigstellung/Aktualisierung für die Datenanwendung unwesentlich ist
Die sonstigen Beschränkungen des § 27 DSG 2000 bleiben aufrecht!
ARGE DATEN
© ARGE DATEN 2013
Web 2.0 und Social Media
Hurra! W
ir sin
d auf
Facebook!
... aber w
as mach
en wir
da?
ARGE DATEN
© ARGE DATEN 2013
Web2.0 und Social Media
Was ist Web2.0?
üblicherweise als Mitmachweb definiert, Benutzer produzieren für andere Benutzer Inhalte
Welche Bestimmungen sind anwendbar?
- DatenschutzbestimmungenBenutzer ist in Doppelrolle als Betroffener (gegenüber Betreiber), als auch als Auftraggeber gegenüber Dritten- E-Commerce-BestimmungenHaftung, Auskunftspflichten- sonstige BestimmungenMedienrecht, Privatsphärebestimmungen nach §1328a, Offenlegungspflichten nach UnternehmensbuchG, Vereinsgesetz, ...
Hinweis!Web2.0-Regelung haben Ausgleich zwischen
mehreren Grundrechten zu sichern: freie Meinungsäußerung, Erwerbsfreiheit und Schutz
der PrivatsphäreARGE DATEN
© ARGE DATEN 2013
ARGE DATEN
Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern
(1) Rollenkonzept: Benutzer ist bezüglich der veröffentlichten Daten Dritter Auftraggeber, Facebook ist in diesem Fall Dienstleister, Datenanwendung liegt vor!
Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber
Web2.0, Social Media und Datenschutz
© ARGE DATEN 2013
ARGE DATEN
Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern
(2) Schutzinteresse: Bezüglich der Veröffentlichung der Unternehmensdaten gilt, kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat, bezüglich Dritter (Poster + Person über die gepostet wird) hat Unternehmen auf Einhaltung der Datenschutzinteressen zu achten! Es sind zusätzlich zum DSG 2000 die ECG-Bestimmungen insb. § 16 (Haftung!) zu beachten.
Facebook darf die Daten nur im Rahmen der ausdrücklich vereinbarten Geschäftsbedingungen verwenden.
Web2.0, Social Media und Datenschutz
© ARGE DATEN 2013
ARGE DATEN
Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern
(3) Berechtigter Zweck: Keine private Datenanwendung im Sinne des § 45 DSG 2000, in der Regel zulässig (z.B. Unternehmenspräsentation, Erwerbsfreiheit).
In Bezug auf Facebook aus Angebot und Geschäftsbedingungen ableitbar.
(4) Aufsicht: Für Unternehmen im Regelfall Registrierungs- bzw. Genehmigungspflicht, wenn keine Ausnahmebestimmung trifft zu (Standardanwendung, ausschließliche Verwendung veröffentlichter Daten, rein private Datenverwendung, Medienprivileg/Berichterstattung).
Für Facebook gelten die Bestimmungen des Geschäftssitzes
Web2.0, Social Media und Datenschutz
© ARGE DATEN 2013
ARGE DATEN
Was kann/muss ein Unternehmen regeln / tun?
+/-Mitarbeitern die Nennung seines Arbeitgebers auf privaten Accounts verbieten
+/-Mitarbeitern die Nutzung des privaten Accounts im Unternehmen vollständig verbieten
+/-bestimmte Formulierungen bei Aussagen in Social Media über Unternehmen verpflichtend vorgeben
+/-Überwachen was Bewerber / Arbeitnehmer in Sozialen Netzwerken tun
- sich in keinem Zusammenhang zum Unternehmen zu äußern (z.B. es gibt eine Berichterstattung zu einem Produkt, zu einer Rückrufaktion, ...)
- verlangen, das sich Mitarbeiter über Unternehmen nur positiv äußern
- Generell Mitarbeitern private Web2.0 Accounts verbieten
Web2.0 und Social Media
© ARGE DATEN 2013
ARGE DATEN
betriebliche Datenverwendung
zulässige Datenverwendung
Betriebsvereinbarung & Privatnutzung
Datenschutzerklärung
© ARGE DATEN 2013
ARGE DATEN
IT-Nutzung im Spiegel der Rechtssprechung
- OGH 9ObA75/04a:eMail-Verkehr entspricht gelegentlichen kurzen Telefonaten privaten Inhalts mit Arbeitskollegen.Gelegentliches Weiterleiten von Spaß-E-Mails entgegen generellem Verbot stellt zwar Fehlverhalten dar, rechtfertigt nicht Entlassung.
- OGH 9ObA151/02z:Surfen in der Arbeitszeit, wenn es nach Ermahnung sofort eingestellt wird, stellt keinen Entlassungsgrund dar.
- OGH 9ObA178/05z:unerlaubte private Computernutzung an sich noch kein Schaden für Betrieb, wäre etwa durch Virenbefall wegen Verletzung der Internet-Policy gegeben. Umsatz und Gewinnentgang wegen "unproduktiven Verhaltens" ebenfalls kein Schaden, muss kausal bewiesen werden. Kein Entlassungsgrund
(un)zulässiger IT-Einsatz
© ARGE DATEN 2013
ARGE DATEN
IT-Nutzung im Spiegel der Rechtssprechung II
- OGH 9 ObA 11/11z:Installation eines Computerkriegsspiels, eines Programms zum Brennen von CDs - keine Weisung, Richtlinien etc im Betrieb - bei entsprechender Weisung hätte AN rechtswidriges Verhalten unterlassen - kein Nachweis einer konkreten rechtswidrigen Nutzung in der Arbeitszeit - Entlassung nicht gerechtfertigt
- LAG München 11 Sa 54/09:unerlaubte eMail-Einsichtnahme durch Administrator rechtfertigt fristlose Kündigung (Ö: Entlassung)
- DSK K213.137/0009-DSK/2012:Ein Kurzentrum möchte Video- und Tonaufzeichnungen nicht zur Mitarbeiterüberwachung, sondern zur "Qualitätssicherung installieren, Empfehlung der DSK: derartige Aufzeichnungen sind unzulässig
(un)zulässiger IT-Einsatz
© ARGE DATEN 2013
ARGE DATEN
Betriebsvereinbarung §§ 96, 96a, 97 ArbVG- Mitarbeiterdaten dürfen ohne Zustimmung
automationsunterstützt verwendet werden, wenn sie zur Erfüllung von Verpflichtungen aus Gesetzen, Normen der kollektiven Rechtsgestaltung oder aus dem Arbeitsvertrag dienen (etwa Lohnverrechnung)
- weitergehende Datenverwendung, insbesondere zur Beurteilung der Leistungsfähigkeit des Mitarbeiters sind ersetzbar zustimmungspflichtig gem § 96a Abs 1 Z 1 ArbVG
- Datenverwendung (Kontrollmaßnahmen), die die Menschenwürde berühren bedürfen der Zustimmung gem. § 96 Abs 1 Z 3 ArbVG
- (private) Betriebsmittelnutzungen könnte gemäß § 97 Abs 1 Z 6 ArbVG mittels Betriebsvereinbarung geregelt werden
Bei Fehlen eines Betriebsrates ist Einzelvereinbarung gemäß § 10 AVRAG (Arbeitsvertragsrechts-Anpassungsgesetz) mit Mitarbeiter abzuschließen
Regelung gilt im öffentlich-rechtlichen Bereich analog, u.a. PVG § 9 Abs. 2 lit. f (in § 10 komplizierte Regelung für "Einvernehmen")
Gilt nicht bei Werkverträgen oder sonstigen Dritten (Dienstleistern)
Grundlage Betriebsvereinbarung
© ARGE DATEN 2013
ARGE DATEN
Kontrollmaßnahmen im Betrieb
Telefondatenaufzeichnung(OGH 8ObA288/01p)
- Telefondatenerfassung immer zustimmungspflichtig- Nummernunterdrückung bei Privatgesprächen ist nicht
ausreichend (Markierung als "P")- Bei Weigerung eine Betriebsvereinbarung abzuschließen,
wird das System ersatzweise zustimmungspflichtig- Problem der Kontrolldichte, automatisierte Kontrolle nicht
mit üblicher Aufsichtspflicht vergleichbar- Menschenwürde schon berührt, wenn Mitarbeiter sich
subjektiv überwacht fühlt und das System technisch geeignet ist
- auch am Arbeitsplatz besteht - wenngleich eingeschränkt - Recht auf Privatsphäre
Zeitaufzeichnung (OGH 8ObA97/03b)- bei vorgesehener Verwendung ist immer der
Leistungsumfang des konkret eingesetzten Programmpaketes entscheidend
© ARGE DATEN 2013
ARGE DATEN
Kontrollmaßnahmen im Betrieb
Zulässigkeit einer biometrischen ZeiterfassungAusgangslage:
- ein Krankenhaus stellt bestehendes Magnetkartensystem auf Fingerabdrucksystem um
- Betriebsvereinbarung wird keine abgeschlossen- alle Fingerabdrucksdaten werden bei einem Biometriebetreiber
zentral verwaltet, mit diesem wird Dienstleistervereinbarung abgeschlossen
OGH-Entscheidung 9 ObA 109/06d:- OGH betont erneut Recht auf Privatsphäre im Betrieb- biometrische Zeiterfassungssysteme haben höhere
Eingriffsintensität als "Stechuhren", daher Zustimmungspflicht gegeben
- kritisiert wird der hohe Grundrechtseingriff für ein vergleichsweise triviales Ziel (Zeiterfassung)
- auch bei Einweg"verschlüsselung" liegen personenbezogene Daten vor
- auf Grund des Fehlens der Betriebsvereinbarung war der vorläufige Abbau auszusprechen (einstweilige Verfügung)
© ARGE DATEN 2013
ARGE DATEN
Datenschutz und Betriebsrat
Datenschutzrechte und Betriebsrat(OGH Entscheidung 6 ObA 1/06z)
- ein Flugunternehmen führte ein "Crew Management System" ein, das neben Stammdaten die Einsatzpläne, Qualifikationen usw. verwaltete
- Betriebsrat begehrte Löschung der Daten (§ 27 DSG 2000)- Löschung abgelehnt, da Betriebsrat nach dem DSG 2000 keine
Parteienstellung hat- Datenschutzrechte sind höchstpersönliche (subjektive) Rechte- Betriebsrat steht in Datenschutzangelegenheiten auch keine
Vertretungsbefugnis der Mitarbeiter zu- Mitarbeiter müssen allfällige Löschungsrechte selbst einklagen
(auch wenn notwendig in Parallelverfahren)
- BR-Rechte im ArbVG geregelt (z.B. § 89 Z 1 ArbVG Recht auf Einsichtnahme in Gehaltsdaten, bedeutet kein Recht auf Datenzugriff (OGH 9ObA3/03m)
- eine weitere Grenze ergibt sich bei der privaten Nutzung von Betriebsmitteln, auch hier sieht ArbVG keine Mitbestimmungsrechte des Betriebsrates vor
© ARGE DATEN 2013
ARGE DATEN
Datenschutz und Betriebsrat
Betriebsratsbestimmung im DSG 2000- § 9 Z 11 regelt Einsatz sensibler Daten im Betrieb- § 9 Z 11 betont, dass Betriebsratsrechte durch die Regelung
nicht berührt sind
Zusammenfassung- Datenanwendungen im Betrieb sind daher sowohl am ArbVG,
als auch am DSG 2000 zu messen- Betriebsvereinbarung kann nicht erforderliche Zustimmung der
Betroffenen ersetzen- umgekehrt kann Zustimmung der Betroffenen nicht eine
notwendige Betriebsvereinbarung ersetzen
Datenanwendungen, die die Menschenwürde verletzen, sind weder zustimmungsfähig, noch
betriebsvereinbarungsfähig.
© ARGE DATEN 2013
ARGE DATEN
Betriebsvereinbarungen
Informationstechnik und Betriebsvereinbarung IBereiche in denen Betriebsvereinbarungen sinnvoll sind:
- Internet- / eMail-Einsatz- Intranet / Mitarbeiterinfos / Online-
Mitarbeitermagazin- Online-Mitarbeiter-Befragungen- elektronische Aktenbearbeitung, elektronische
Rechnungsbearbeitung- gemeinsame Nutzung von Kalender- und
Projektplanungssoftware- biometrische Zeiterfassung- Videoüberwachung / Zutrittskontrollsysteme jeder
Art
© ARGE DATEN 2013
Betriebsvereinbarungen
Informationstechnik und Betriebsvereinbarung II(Fortsetzung):
- Verwendung von Diensthandys- Einsatz von Audit- und Remote-Support-Software- Blackberry/Bluetooth - Einsatz im Verkauf- Bestellautomation / für Kundenlager-Kontrolle - digitale Signatursysteme (z.B. Paketzusteller,
Installateur, ...)- GPS-Einsatz bei Fuhrpark
Bereiche bei denen Betriebsvereinbarung + individuelle Zustimmung nach DSG Bedeutung haben kann:
- Konzernweite mitarbeiterbezogene Reporting-Systeme
Bereiche, bei denen keine Betriebsvereinbarung vorgesehen ist:
- Dienstleistervereinbarungen nach DSG 2000ARGE DATEN
© ARGE DATEN 2013
ARGE DATEN
Betriebsvereinbarung [BV] - ÜbersichtA. Betroffener Personenkreis B. Systembeschreibung C. Gegenstand des Übereinkommens, Zweck der Verarbeitung D. Definition der verwendeten Daten E. Definition der Datennutzung F. Abgrenzung zu anderen Datenverarbeitungen G. Definition von Codes und Wertebereichen H. Maximale Dauer der gespeicherten Daten I. Vorgangsweise bei Änderung des Systems J. Anwendungs- und Auslegungsgrundsatz K. Schlichtungskommission L. Geltung
Anhang I: Datenarten (Infotypen) Anhang II: Auswertungen Anhang III: ÜbermittlungenAnhang IV: Zugriffsberechtigte / Systemadministratoren
Intranet - Betriebsvereinbarung
© ARGE DATEN 2013
ARGE DATEN
Betriebsvereinbarung [BV] - Beispiel Mail
A. Betroffener Personenkreis "Alle Mitarbeiter mit e-mail-Account." ["Zugang zum Internet"]
B. Systembeschreibung Verwendet wird Mailserver xy [bei Provider ...] in Version v999 mit folgenden Eigenschaften:
- Bereithalten von Mails am Server,- erstellen Mailkopien- Viren- und Wurmscan mittels Software abc- Protokollierung der ein-/ausgehenden Mails gem. Daten
Anhang IWartungs- und Systemverantwortlicher: ....
C. Gegenstand des Übereinkommens, Zweck der Verarbeitung Vereinbarung regelt private und dienstliche Mailnutzung, Verhalten bei Attachments, bei Missbrauchsverdacht und Abwehr von Spam/Würmern/Viren
Intranet - Betriebsvereinbarung
© ARGE DATEN 2013
ARGE DATEN
Betriebsvereinbarung [BV] - Beispiel Mail
D. Definition der verwendeten Daten Mailinhalt (inkl. Betreff und Attachements), Absender, Empfänger, Ursprungsdaten, Eingangs/Ausgangszeit, Mailgröße, ...(Details siehe Anhang I)
E. Definition der Datennutzung (Regelungsbeispiele)- Aufbewahrung/Archivierung der Mails- Erzeugen von Mailkopien- Regeln für Leserechte- Auswertung von Mail-Protokolldaten: Speicherdauer,
Verwendung beweglicher Speichermedien- Verwendung von Funktions- und Personenmailadressen (z.B.
dienstliche Angelegenheiten sind vorrangig (immer) mittels Funktions-Mailadresse zu versenden)
- Definition der missbräuchlichen Nutzung- Vorgangsweise bei missbräuchlicher Nutzung
Intranet - Betriebsvereinbarung
© ARGE DATEN 2013
ARGE DATEN
Betriebsvereinbarung [BV] - Beispiel Mail
E. Definition der Datennutzung (Fortsetzung)- Filterungen/Scan finden nicht statt, ausgenommen
Spam-/Wurm-/Viren-Filter mittels ......- Vorgangsweise bei vorhersehbarer Dienstverhinderung- Vorgangsweise bei Ausscheiden, unvorhergesehener
Dienstverhinderung, Todesfall- Informations- und Einschaurechte des Betriebsrates
[-Nutzung privater Mails- Obergrenze der privaten Mails xx kByte (z.B. 300 kByte/Mail)]
F. Abgrenzung zu anderen Datenverarbeitungen - sonstige Internetnutzung ist von dieser Vereinbarung nicht
betroffen
G. Definition von Codes und Wertebereichen - im Fall eMail wird keine Vereinbarung notwendig sein
Intranet - Betriebsvereinbarung
© ARGE DATEN 2013
ARGE DATEN
Betriebsvereinbarung [BV] - Beispiel Mail
H. Maximale Dauer der gespeicherten Daten- Mailkopien am Server werden max. xxx Tage gespeichert- Protokolldaten bis z.B. Ende des darauffolgenen Monats
I. Vorgangsweise bei Änderung des Systems - geplante Systemänderungen werden dem Betriebsrat 2 Monate
vorab angekündigt- ausgenommen Sicherheitsupdates aufgrund von Sicherheits-
Empfehlungen (Hersteller, cert, dfn-cert, ...)- Patches aufgrund von Fehlfunktionen (Hersteller, ...)
J. Anwendungs- und Auslegungsgrundsatz- BR und GF legen die BV nach den Grundsätzen der
Wirtschaftlichkeit aus
Intranet - Betriebsvereinbarung
© ARGE DATEN 2013
ARGE DATEN
Betriebsvereinbarung [BV] - Beispiel Mail
K. Schlichtungskommission- Zusammensetzung- bei Nichteinigung wird ein externer Gutachter beigezogen
L. Geltung- Vereinbarung gilt ab .....20xx für ein Jahr
(alternativ: auf unbestimmte Zeit)
Anhang I: Datenarten (Infotypen) Anhang II: Auswertungen Anhang III: Übermittlungen
Anhang IV: Zugriffsberechtigte/Systemadministratoren
Für Anhang I-III können auch als Basis für die Registrierung beim DVR herangezogen werden.
Intranet - Betriebsvereinbarung
© ARGE DATEN 2013
ARGE DATEN
private IKT-Nutzung
IKT-Nutzungsverordnung – IKT-NV(BGBl. II Nr. 281/2009)
Regelt private IKT-Nutzung für Bedienstete des Bundes
Grundprinzip (§ 3): Eingeschränkte private Nutzung ohne
- Beeinträchtigung des Dienstbetriebs- keine Schädigung des Ansehens des öffentlichen
Dienstes- keine Gefährdung der Sicherheit des IKT-Betriebs- keine missbräuchliche Verwendung
rein private Geschäfte sind erlaubt (§ 4 Abs. 2)
private eMail-Nutzung (§ 5)- kein Hinweis auf dienstliche Stellung oder dienstliche
Postadresse- keine Verwendung dienstlicher eMail-Signaturen- private eMails dürfen nach Schadprogrammen und
Spam gescannt werden
© ARGE DATEN 2013
ARGE DATEN
private IKT-Nutzung
IKT-Nutzungsverordnung – IKT-NV II(BGBl. II Nr. 281/2009)
Festlegung der missbräuchlichen Verwendung (§ 4 Abs. 4)
- Zugriff auf strafrechtlich verbotene oder rechtswidrige Seiten
- Benutzung oder die zur Verfügung stellen von strafrechtlich relevanten Tatbeständen
- Zugriff auf pornographische Inhalte- Zugriff auf Seiten, die Zahlungsverpflichtungen des
Dienstgebers zur Folge haben- herunterladen "schadware-verdächtiger" Dateitypen
keine missbräuchliche Nutzung, wenn irrtümlicher Zugriff!
(§ 4 Abs. 5)
© ARGE DATEN 2013
ARGE DATEN
betriebliche Datenverwendung
zulässige Datenverwendung
Betriebsvereinbarung & Privatnutzung
Datenschutzerklärung
© ARGE DATEN 2013
ARGE DATEN
Wozu dienen Privacy Statements [PS]?
- zur Klärung individuell vereinbarer Teile
- zur Erfüllung gesetzlicher Informationspflichten
- vorteilhaft gegenüber Kunden/Interessenten aus Drittländern oder im Rahmen besonderer Verpflichtungen, wie Corporate Social Responsibility (siehe Anhang)
Es besteht keine Verpflichtung zu Privacy Statementses gilt (immer) das österreichische DSG
(bei Datenverarbeitern mit Niederlassung in Österreich)
Datenschutzrechtliche Einordnung
- Privacy Statements sind detaillierte Ausformungen, was als "Verwendung der Daten nach Treu und Glauben" anzusehen ist (§ 6 DSG 2000)
- § 6 Abs. 4 spricht weiters die Möglichkeit an, gemeinsame Verhaltensregeln einzelner Bereiche (Branchen) auszuarbeiten [Selbstregulierung]
Datenschutzerklärung / Privacy Statements [PS]
© ARGE DATEN 2013
ARGE DATEN
Was leisten Privacy Statements nicht? - Aufhebung gesetzlicher Datenschutz-, TKG- oder e-
commerce-Bestimmungen, sonstiger verpflichtender gesetzlicher Bestimmungen
- bloße Beschwichtigung: "uns ist Datenschutz wichtig"
- Eingriffe in Rechte Dritter (Verfügung über die Daten von Lebenspartnern, "Freundschaftswerbung")
negatives, unzulässiges Beispiel:
"Vertragspartner verzichten auf das Auskunftsrecht gem. DSG 2000"
Privacy Statements [PS]
© ARGE DATEN 2013
ARGE DATEN
Ein „Standard“ - Statement"Der Kunde stimmt zu, dass die Daten im Rahmen der Bestellung für Zwecke unserer Buchhaltung sowie zu internen Marktforschungs- und Marketingzwecken erhoben, bearbeitet, gespeichert und genutzt werden. Die Daten werden von uns zur Erfüllung von gesetzlichen Vorschriften, zur Abwicklung des Zahlungsverkehrs und zu Werbezwecken verwendet."
Ist in dieser Form nicht nötig, diese Dinge sind bloß informationspflichtig
Ein einfaches „Standard“ - Statement"Der Kunde wird gemäß österreichischem Datenschutzgesetz darüber informiert, dass die Daten ..... von dem Unternehmen XY-Enterprise zur Abwicklung der Bestellung, für Zwecke der Buchhaltung, zur Erfüllung von gesetzlichen Vorschriften, zur Abwicklung des Zahlungsverkehrs sowie zu internen Marktforschungs- und Marketingzwecken erhoben, bearbeitet, gespeichert und genutzt werden. Folgende zusätzliche Daten werden zu internen Marktforschungs- und Marketingzwecken verwendet, die Bekanntgabe ist freiwillig und nicht an die Bestellung gebunden: ... Die Verwendung dieser Daten kann gemäß DSG 2000 jederzeit, ohne Angabe von Gründen widerrufen werden und hat keinen Einfluss auf die sonstigen vertraglichen Verpflichtungen."
Privacy Statements [PS]
© ARGE DATEN 2013
ARGE DATEN
Aufbau eines optimalen Privacy Statements (1) Individuelle Vereinbarungen
(2) Informationen zur Datenverwendung
(3) Allgemeine rechtliche Informationen
(4) Technische Informationen zur Datensicherheit
(5) Kontroll-, Beschwerde- und Informationsstelle(n)
Privacy Statements [PS]
© ARGE DATEN 2013
ARGE DATEN
Dienste der Informationsgesellschaft
e-Commerce Bestimmungen
Medienrechtsbestimmungen
Unternehmensgesetzbuch
Vereinsgesetz
© ARGE DATEN 2013
Grundlagen Österreich- E-Commerce-Gesetz – ECG, BGBl I 152/2001- Fernabsatzgesetz, BGBl I 185/1999 (geregelt im KSchG)- Mediengesetz, BGBl I 49/2005, 151/2005- Handelsrechts-Änderungsgesetz – HaRÄG, BGBl I
120/2005(geregelt im Unternehmensgesetzbuch)
Grundlagen EU- EG-Richtlinie 2000/31/EG "Richtlinie über den
elektronischen Geschäftsverkehr"
Regelungsbereich- regeln diverse Informations- und Auskunftspflichten bei
Onlinediensten gem NotifG 1999 § 1 Abs 1 Z 2
Dienste der Informationsgesellschaft
ARGE DATEN
© ARGE DATEN 2013
ARGE DATEN
Geltungsbereich §§ 1ff ECG- geregelt wird elektronischer Geschäfts- und Rechtsverkehr- Zulassung von Diensteanbietern, Informationspflichten,
Abschluss von Verträgen, Verantwortlichkeit von Diensteanbietern (§1)
- von den Bestimmungen unberührt bleiben Belange des Abgabenwesens, des Datenschutzes und des Kartellrechts (§2)
-Dienst der Informationsgesellschaft (§ 3 Z 1): elektronisch im Fernabsatz auf individuellen Abruf des Empfängers (in der Regel) gegen Entgelt bereitgestellter Dienst, insbesondere
- Online-Vertrieb von Waren und Dienstleistungen,- Online-Informationsangebote,- Online-Werbung,- elektronische Suchmaschinen,- Datenabfragemöglichkeiten,- Dienste, die Informationen über ein elektronisches Netz
übermitteln, die den Zugang zu einem solchen vermitteln oder die Informationen eines Nutzers speichern (Access-, eMail-Dienste)
Bestimmungen e-commerce
© ARGE DATEN 2013
Geltungsbereich §§ 1ff ECG II- Diensteanbieter (§ 3 Z 2): eine natürliche oder juristische
Person oder sonstige rechtsfähige Einrichtung, die einen Dienst der Informationsgesellschaft bereitstellt
- Nutzer (§ 3 Z 3): nimmt Dienst in Anspruch- Verbraucher (§ 3 Z 4): natürliche Person, die zu Zwecken
handelt, die nicht zu ihren gewerblichen, geschäftlichen oder beruflichen Tätigkeiten gehören
ARGE DATEN
Bestimmungen e-commerce
© ARGE DATEN 2013
ARGE DATEN
Allgemeine Informationspflichten § 5 ECG
leicht verständliche und eindeutige Information zu:- Personenname oder Firmen-/Organisationsname- geographische (ladungsfähige) Anschrift- Kontaktdaten (inkl. eMail-Adresse)- evtl. zuständige Aufsichtsbehörde- evtl. FN-Nummer und Firmenbuchgericht- evtl. berufsrechtliche Vorschriften und Zugang- evtl. UID-Nummer- klare Preisauszeichnung!- Sonstige Informationspflichten bleiben unberührt!
Verstoß:- Verwaltungsstrafe § 26 ECG (bis 3.000,- Euro)- Wettbewerbsverletzung § 1 UWG
Bestimmung ist bei jedem Web-Angebot anzuwenden (nicht bloß Online-Shop)
Bestimmungen e-commerce
© ARGE DATEN 2013
ARGE DATEN
Besondere Informationspflichten § 9 ECG
Klare, verständliche und eindeutige Informationen vor Abgabe der Vertragserklärung über
- technisch erforderliche Schritte zum Vertragsabschluss- eventuelle Speicherung des Vertragstextes und Zugang dazu- technische Mittel zur Erkennung und Berichtigung von
Eingabefehlern- Sprachen in denen Vertrag abgeschlossen werden kann- freiwillige Verhaltenskodizes, Schiedsstellen usw.
Verbraucher kann nicht rechtswirksam darauf verzichtenSonstige Informationspflichten bleiben unberührt!
Verstoß- Verwaltungsstrafe § 26 ECG (bis 3.000,- Euro)- UWG- evtl. Schadenersatz- evtl. irrtumsrechtliche Anfechtung
Anzuwenden bei Onlinediensten (Shops, ...) im engeren Sinn
Bestimmungen e-commerce
© ARGE DATEN 2013
ARGE DATEN
erweiterte Informationspflicht gem. § 5c KSchG
- Name des Anbieters oder der Firma- wesentliche Eigenschaften der Leistung- Preis und Lieferkosten- Einzelheiten Zahlung, Lieferung oder Erfüllung- Rücktrittsrecht- Angabe der Telefonkosten/Onlinegebühren für
Informationen (sofern nicht ortsüblich)- Gültigkeitsdauer des Angebotes oder Preises- Mindestlaufzeit des Vertrages
Bestimmungen gelten für Geschäfte mit Verbrauchern (Konsumenten), Ausnahmen vorgesehen
Bestimmungen e-commerce
© ARGE DATEN 2013
ARGE DATEN
Zugang elektronischer Erklärungen (§ 12 ECG)
- eMail gilt als zugegangen, wenn mit dessen Kenntnisnahme („Abruf“) unter gewöhnlichen Umständen gerechnet werden kann (unterschiedlich bei Unternehmen und Privatpersonen)
Aber: Risiko der Übermittlung und des vollständigen Zugangs einer eMail beim Empfänger trägt der Absender
- Eventuell Prüf- und Sorgfaltspflichten des Empfängersregelmäßige Nachschau in eMailbox, Sicherstellung des Betriebs (Providerhaftung!)
- Gegenwärtige eMail-Systeme kennen keine zuverlässigen Identifikations- und Authentifikationsmechanismen
- Funktionieren beruht auf Good-Will aller Beteiligter- Zustelldienste mit elektronischer Signatur und personalisierten
URLs sollen Abhilfe schaffen (siehe E-Government-Gesetz) z.B. http://www.e-zustellung.at/
Bestimmungen e-commerce
© ARGE DATEN 2013
ARGE DATEN
Medienrecht
Ist Website ein Medium?
Website oder elektronischer Newsletter (mind. viermal jährlich, vergleichbare Gestaltung sind "periodische elekronische Medien (§1 Z 5a MedienG, seit 1.7.2005)
- elektronischer Newsletter wird als "wiederkehrendes elektronisches Medium" bezeichnet
- keine Medienwerke (§1 Z 3) oder periodische Medienwerke (§ 1 Z 5)
- permanente Offenlegungspflicht (§ 25), nicht Impressumspflicht (§ 24)
- bei Website ständig und leicht auffindbar bereitzustellen (§ 25)
- bei Newsletter als Teil des Newsletters (jedes Mal) oder als Link auf Website (§ 25)
- Missachtung ist Verwaltungsübertretung, seit 1.7.2012 bis 20.000 EUR Strafe (früher 2.180,- EUR)
- Offenlegungspflicht trifft Medieninhaber
© ARGE DATEN 2013
ARGE DATEN
Medienrecht
Offenlegungspflichten (§ 25 MedienG)
- Name des Betreibers (z.B. bei privaten Seiten, Einzelpersonen) oder Organisationsbezeichnung (Firma, Verein) (I)
- Wohnort oder Sitz der Gesellschaft, Niederlassung (II)
- Angabe des Unternehmensgegenstandes (III)
- sofern zutreffend: Name der Geschäftsführer, Mitglieder des Vorstandes und Aufsichtsrates und der Gesellschafter mit einer Einlage von mehr als 25%
- gilt auch für mittelbar beteiligte Gesellschafter
- Erklärung über die grundlegende Richtung des Mediums
Erleichterung bei Websites (und nur bei diesen!) die keine Beeinflussung der öffentlichen Meinungsbildung anstreben:
- in diesem Fall sind nur Name, Sitz (Ort) und Unternehmensgegenstand anzugeben (I) - (III)
© ARGE DATEN 2013
ARGE DATEN
Medienrecht
Auswirkungen der Aufnahme von Websites als Medium
- schon bisher ist die Rechtssprechung davon ausgegangen, dass Websites Medien sind
- viele Bestimmungen trafen jedoch definitorisch nicht zu und bereiteten daher Umsetzungsschwierigkeiten (etwa Beschlagnahme)
- nun ausdrücklich für Websites geregelt:u.a. Üble Nachrede, Beschimpfung, Verspottung und Verleumdung (§ 6), Verletzung des höchstpersönlichen Lebensbereiches (§ 7), Identitätsschutz (§ 7a), Unschuldsvermutung (§ 7b),
- Gestaltung, Durchsetzbarkeit von Gegendarstellungen (§ 13)Geldbuße bis 1.000 EUR für jeden versäumten Tag (§ 20)
- Beschlagnahme von Websites (= Löschung des entsprechenden Inhalts) (§ 36)
© ARGE DATEN 2013
ARGE DATEN
Unternehmensgesetzbuch
Impressumspflicht nach dem Unternehmensgesetzbuch (§ 14)
- gilt seit 1.1.2007 für Kapitalgesellschaften (AGs, GmbHs), für alle anderen eingetragenen Unternehmen ab 1.1.2010
- Unternehmensgesetzbuch ersetzt bisheriges Handelsgesetzbuch
- betrifft alle Geschäftspapiere und Bestellscheine (aber auch alle Websites und alle E-Mails)
- gilt für alle im Firmenbuch eingetragenen Unternehmen
- verpflichtende Angaben:Firmenname, Firmenbuchnummer, FirmenbuchgerichtFirmensitz (Sitz laut Firmenbucheintragung)Rechtsform (z.B. GmbH, AG, OG, KG, eingetragenes Einzelunternehmen/e.U.)
+ weitere für spezifische Unternehmensformen zutreffende Hinweise
© ARGE DATEN 2013
ARGE DATEN
Vereinsgesetz
Informationspflicht nach dem Vereinsgesetz(§ 18)
- ZVR-Zahl ist von den Vereinen im Rechtsverkehr nach außen zu führen (§ 18 Abs. 3)
- Strafbestimmung § 31: Geldstrafe bis zu 218 Euro, im Wiederholungsfall mit Geldstrafe bis zu 726 Euro zu bestrafen
© ARGE DATEN 2013
ARGE DATEN
http://www.interesse.at/
http://www.internet4jurists.at/
http://www.bsi.bund.de/
http://www.it-law.at/
http://www.w3.org/P3P/
Onlineinformation
http://eur-lex.europa.eu/de/index.htm
© ARGE DATEN 2013
ARGE DATEN
Ich danke für Ihre Aufmerksamkeit
© ARGE DATEN 2013
ARGE DATEN
StMV - mitarbeiterbezogene SA
Betriebsvereinbarung e-Mail/Internet
CSR - Datenschutz-Regeln
SPG § 53 - Auskunftspflichten Polizei
Anhang
Cookie Stellungnahme Art. 29-Gruppe
IKT-Nutzungsverordnung Bundesdienst
© ARGE DATEN 2013
ARGE DATEN
Sonstige Seiten
© ARGE DATEN 2013
Whistleblowing - Erscheinungsformen
Whistleblowing - Formen I
"bekannt geben" kann bedeuten:- innerbetrieblich melden- im Auftrag des Betriebs an eine neutrale Ombudsstelle melden
- an den Gesellschafter (z.B. Konzernzentrale, ...) melden
- an Strafverfolgungsbehörden melden ("Anzeige")
- an die Öffentlichkeit bringen
Jede dieser Formen ist datenschutzrechtlich unterschiedlich zu behandeln!
ARGE DATEN
© ARGE DATEN 2013
Whistleblowing - Erscheinungsformen
Whistleblowing - Formen II
"Meldung / Melder":- Meldung erfolgt anonym: meist nur Einmalhinweis möglich
- Meldung erfolgt pseudonymisiert: erlaubt Rückfragen, Rückmeldungen
- Meldung erfolgt personenbezogen
Jede dieser Formen ist datenschutzrechtlich unterschiedlich zu behandeln!
ARGE DATEN
© ARGE DATEN 2013
Whistleblowing - Erscheinungsformen
Whistleblowing - Formen III
Methode wie Hinweise gegeben werden können:
- Angabe einer Postadresse- Angabe einer Telefonnummer / Hotline- Online-Service (Webformular)
Jede dieser Formen ist datenschutzrechtlich unterschiedlich zu behandeln!
ARGE DATEN
© ARGE DATEN 2013
ARGE DATEN
Weitere Verpflichtungen (§ 10 ECG)
- Verfügbarkeit angemessener, wirksamer und zugänglicher technischer Mittel zur Erkennung und Berichtigung von Eingabefehlern
- Unverzügliche elektronische Empfangsbestätigung des Zugangs einer Vertragserklärung (außer Online-Dienstleistungen)
Ergänzungen:- Verbraucher kann nicht rechtswirksam darauf verzichten - nicht anwendbar bei ausschließlicher Verwendung der
elektronischen Post- Vorsicht! eine Empfangsbestätigung darf nicht mit einer
Auftragsbestätigung verwechselt werden!
Informationen müssen einfach auffindbar sein!
Bestimmungen e-commerce
© ARGE DATEN 2013
ARGE DATEN
Rücktrittsrecht I (§ 5e KSchG)
- Rücktritt ist das rückgängig Machen eines Vertragesnicht zu verwechseln mit Umtausch, Reklamation, Gewährleistung, Vertragswandlung, Irrtum usw.
- Es sind keine Gründe für den Rücktritt anzugeben
- Rücktritt wird Zug-um-Zug abgewickeltAuslagenrückerstattung für VerbraucherWertminderungs/Benützungsentgelt für Anbieter
- Rücktritt gilt automatisch auch für Drittfinanzierungsvereinbarungen
- Ziel der Bestimmung ist das Verhindern der Überrumpelung
Bestimmungen e-commerce
© ARGE DATEN 2013
ARGE DATEN
Rücktrittsrecht II (§§ 5e, 5g KSchG)
Rücktrittsfrist: 7 Werktage (ohne Samstag) ab Vertragsabschluss (typisch bei Dienstleistungen) oder ab Zustellung der Ware (falls kein Vertrag abgeschlossen wurde)Voraussetzung ist eine korrekte Aufklärung über den Rücktrittansonsten 3 Monate Rücktrittsrecht
Rücksendekosten hat Anbieter zu tragenes kann jedoch die Übernahme der Rücksendekosten durch den Verbaucher vereinbart werden
Verzicht auf Rücktritt kann nicht wirksam vereinbart werden
"Faustregel": rücktrittswürdig sind alle Leistungen die rückgabefähig sind
Ausnahmen vorgesehen
Bestimmungen e-commerce
© ARGE DATEN 2013
ARGE DATEN
Ausnahmebestimmungen "Rücktritt"
- Leistungen, deren Preis kursabhängig ist- verderbliche Waren- kundenspezifisch angefertigte Waren- Dienstleistungen, mit deren Ausführung
vereinbarungsgemäß binnen 7 Werktagen begonnen wurde (inkl. Onlinedienste)
- entsiegelte Audio- oder Videoaufzeichnungen und Software
- Zeitungen, Zeitschriften oder Illustrierte- Wett- und Lotteriedienstleistungen- "Haushaltslieferungen" und "Freizeitdienstleistungen
(siehe Ausnahmebestimmungen II)Hinweis!Rücktrittsrecht gilt auch bei Bestellung im Internet und Selbstabholung im Ladengeschäft (OGH 7Ob54/08d)
Bestimmungen e-commerce
© ARGE DATEN 2013
ARGE DATEN
sonstige Ausnahmebestimmungen II(§ 5c Abs. 4) für
„Hauslieferungen“ Güter des täglichen Bedarfs + Zustellung an Aufenthaltsort, Wohnort oder Arbeitsstätte) Achtung! Trifft nicht automatisch auf jeden Lebensmittelversand zu! (Direktvertrieb von Bioprodukten, Weinversand, ...)
„Freizeitdienstleistungen“Leistungen im Bereich Speise+Getränke, Unterbringung, Beförderung und Freizeitgestaltung + Vereinbarung der Leistungserbringung zu einem genau definierten Zeitpunkt
Ausnahmen vonInformationspflichten (§ 5c KSchG)Rücktritt (§ 5e KSchG)Erfüllung/Mitteilungspflicht (§§ 5d, 5i KSchG)
Bestimmungen e-commerce
© ARGE DATEN 2013
ARGE DATEN
elektronische Kommunikation im Betrieb
(betriebliche) eMail- / Internetnutzung im Spiegel der Rechtssprechung
- OGH 9ObA75/04a:eMail-Verkehr entspricht gelegentlichen kurzen Telefonaten privaten Inhalts mit Arbeitskollegen.Gelegentliches Weiterleiten von Spaß-E-Mails entgegen generellem Verbot stellt zwar Fehlverhalten dar, rechtfertigt nicht Entlassung.
- OGH 9ObA98/06m:Per eMail verbreitete beleidigende Äußerung rechtfertigt Entlassung.
- OGH 9ObA151/02z:Surfen in der Arbeitszeit, wenn es nach Ermahnung sofort eingestellt wird, stellt keinen Entlassungsgrund dar.
- OGH 9ObA178/05z:unerlaubte private Computernutzung an sich noch kein Schaden für Betrieb, wäre etwa durch Virenbefall wegen Verletzung der Internet-Policy gegeben. Umsatz und Gewinnentgang wegen "unproduktiven Verhaltens" ebenfalls kein Schaden, muss kausal bewiesen werden. Kein Entlassungsgrund
© ARGE DATEN 2013
ARGE DATEN
elektronische Kommunikation im Betrieb
(betriebliche) eMail- / Internetnutzung im Spiegel der Rechtssprechung II
- OGH 9 ObA 11/11z:Installation eines Computerkriegsspiels, eines Programms zum Brennen von CDs - keine Weisung, Richtlinien etc im Betrieb - bei entsprechender Weisung hätte AN rechtswidriges Verhalten unterlassen - kein Nachweis einer konkreten rechtswidrigen Nutzung in der Arbeitszeit - Entlassung nicht gerechtfertigt
- OGH 8 ObA 52/11x:tägliches privates Surfen im Internet, Download umfangreicher Film-und Musikdateien - keine Schädigungsabsicht, kein konkreter Schaden nachweisbar - Umfang rechtfertigt Entlassung.
© ARGE DATEN 2013
ARGE DATEN
elektronische Kommunikation im Betrieb
(betriebliche) eMail- / Internetnutzung im Spiegel der Rechtssprechung III
- OGH 9 ObA 16/08f:Sach-Mitteilungen per eMail (hier: Dienstfrei-Stellung) sind zulässig
- OLG Graz 7Ra17/07k:Geltendmachung von Lohnansprüchen per eMail entspricht Schriftform-Gebot in kollektivvertraglichen Verfallsklauseln ("modernes Kommunikationsmittel").Es ist jedoch die Zustellung und Kenntnisnahme sicher zu stellen.
- OGH 9 ObA 96/07v:Keine wirksame Kündigung des Lehrverhältnisses per SMS. Kündigungen bedürfen der einfachen Schriftlichkeit.
- OGH 5 Ob 133/10k:Bei Schriftformgebot nach dem Mietrecht ist einfache eMail nicht ausreichend, erfordert qualifizierte Signatur (Sicherung des Übereilungsschutzes)
Anmerkung(en):LAG München (11 Sa 54/09): unerlaubte eMail-Einsichtnahme durch Administrator rechtfertigt fristlose Kündigung (Ö: Entlassung)
© ARGE DATEN 2013
ARGE DATEN
Werbung und e-commerce
- Grundsätzlich gelten die ECG-Bestimmungen auch für kommerzielle elektronische-Angebote, bei denen nicht direkt bestellt werden kann
- Allgemeine Werberegeln gelten auch im Internet (UWG, vergleichende Werbung, sittenwidrige Werbung, Verbote von Gewinnversprechen, ...)
- Zusätzlich wichtig ist die Kennzeichnung (§ 6 ECG)- Klare und eindeutige Erkennbarkeit der kommerziellen
Kommunikation (Kennzeichnung als "Werbung", "PR" udgl.)- wer Auftraggeber ist- bei Angeboten zur Absatzförderung
zusätzlich: Zugang zu Bedingungen für die Inanspruchnahme
- bei Gewinnspielen und Preisausschreibenzusätzlich: Zugang zu Teilnahmebedingungen
e-commerce - Marketing
© ARGE DATEN 2013
ARGE DATEN
Internetspezifische Werbeformen- Domainnamen- Keyword Advertising- Meta Tagging- Word Stuffing- Hyperlinks / InFrames- Powershopping
Neben wirtschaftlichen Apekten (UWG, ECG) sind in den meisten Fällen auch urheberrechtliche, namensrechtliche und marken-/ musterschutzrechtliche Aspekte zu beachten
keine dieser Werbemethoden ist grundsätzlich verboten!
Gepflogenheiten, insbesondere Rechtssprechung sollte beachtet werden
e-commerce - Marketing
© ARGE DATEN 2013
ARGE DATEN
OGH 4 Ob 194/05s ("Google Adwords")Ausgangslage
- Bei Eingabe der Marke "GLUCOCHONDRIN" bei Google erschien Werbung der Konkurrenz
- Markeninhaberin klagte Google auf Unterlassung gem. § 18 ECG
- Nach Einleitung der Klage wurde Link entferntEntscheidung
- Google stellt nur Werbeplatz zur Verfügung, nimmt aber keinen bewußten Einfluss auf Inhalt
- Prüfpflicht und Gehilfenhaftung nur bei groben und offensichtlichen Rechtsverstößen gegeben
- Haftung vergleichbar einem Telekom-Anbieter der Mehrwertnummern oder Domainnamen bereitstellt, aber nicht auf Inhalt Einfluss nimmt
- Klage war abzuweisen
e-commerce - Diensteanbieter
© ARGE DATEN 2013
ARGE DATEN
Regelung Bewerberdaten- Bewerber sind keine Mitarbeiter, daher keine
Standardanwendung Registrierungspflicht
- Datenumfang bei Bewerbung unterschiedlich zu Mitarbeiterdaten (z.B. SV-Nummer, steuerrechtliche Angaben) Hinweis auf Erhebung zur rascheren Bearbeitung (überwiegende Interessen des Auftraggebers?)
- Bewerbungen betreffen im Regelfall immer nur eine konkrete Stelle in einem konkreten Unternehmen Löschpflicht nach Ende der Bewerbung, Rücksendung der Unterlagen
- Weitere Evidenzhaltung im selben Unternehmen oder in der gesamten Unternehmensgruppe erfordert die ausdrückliche Zustimmung des Betroffenen(bloße Information reicht nicht)
Mitarbeiter- und Bewerberdaten
© ARGE DATEN 2013
ARGE DATEN
Videoeinsatz III
Üblicherweise genehmigt die DSK Videoüberwachungen nur mit typischen Auflagen wie:
- Sicherung der Aufzeichnungen- Beschränkung der Zugriffsberechtigten- Löschungsverpflichtung- eingeschränkte Auswerteberechtigung- Protokollierung der Datenverwendung- sofern Mitarbeiter erfasst werden und ein Betriebsrat
existiert wird Betriebsvereinbarung verlangt
betriebliche Datenverwendung
© ARGE DATEN 2013
ARGE DATEN
Verwendung medizinischer Daten
Ausgangslage:- ein Luftfahrunternehmen möchte die Impfdaten Ihres
Flugpersonals weltweit verfügbar machen- eine gesetzliche Verpflichtung zur zentralen Speicherung
besteht nicht- zur Umsetzung des Projekts wird ein Dienstleister
herangezogen- das Projekt ist als Weblösung geplant
datenschutzrechtliche Bewertung:- es handelt sich um sensible Daten, der Dienstleister muss
daher besondere Eignung aufweisen- bei weltweiter Abrufbarkeit durch Dritte muss jeder
Betroffene seine Zustimmung nach §4 DSG geben oder eine Genehmigung bei der DSK für den internationalen Datenverkehr einzuholen sein
- als zusätzliche Datenerfassung ist das System vom Betriebsrat zustimmungspflichtig
Mitarbeiter- und Bewerberdaten
© ARGE DATEN 2013
ARGE DATEN
Geldwäschebestimmungen GewO §§ 365m bis 365z
- Vielzahl von Geschäftsfällen betroffen:Handelsunternehmen (ab 15.000 Euro Barzahlung), Immobilienmakler, Unternehmensberater, Versicherungsvermittler
- Umfangreiche Erhebungspflichten für UnternehmenIdentitätsnachweis der Kunden, Eigentums- und Kontrollstruktur des Kunden, "wirtschaftlicher" Eigentümer, Begünstigter
- Zwang zur Verwendung privat betriebener Datenbanken außerhalb der EU"World-Check"-Datenbank nicht gesetzlich, aber de facto erforderlich
- Unternehmen laufen Gefahr in Rechtskonflikte zu kommenumfassende Meldepflichten, auch bei bestehenden Geschäftsverbindungen, müssen Geschäftstätigkeiten beurteilen
Hohes Konfliktpotential zu Datenschutzinteressen!
Besondere Bestimmung in GewO
© ARGE DATEN 2013
ARGE DATEN
Verantwortung spezifischer Diensteanbieter(§§13-17 ECG)
- Durchleitung von Informationen (§13) ("AccessProvider") umfasst auch kurzfristiges Zwischenspeichern, etwa eMail
- Suchmaschinen (§14)
Keine Verantwortung unter bestimmten Umständen:1. die Übermittlung/Abfrage nicht veranlasst,2. den Empfänger der übermittelten/abgefragten
Informationen nicht auswähltund
3. die übermittelten/abgefragten Informationen weder auswählt noch verändert.
Auskunftspflicht im Fall §13 gegenüber Gerichten zur Verhütung, Ermittlung, Aufklärung oder Verfolgung
gerichtlichstrafbarer Handlungen
e-commerce - Diensteanbieter
© ARGE DATEN 2013
ARGE DATEN
Verantwortung spezifischer Diensteanbieter II(§§13-17 ECG)
- Zwischenspeicherung (Caching) von Informationen (§15)
Keine Verantwortung unter bestimmten Umständen:1. Keine Änderung der Information,2. Bedingungen zum Informationszugang werden beachtet
[z.B. kein allgemein zugänglich machen gesperrter Information],
3. Aktualisierung gemäß "Industriestandard" (?!),4. Technologien zum Sammeln von Informationen lt.
"Industriestandard" dürfen nicht beeinträchtigt werden (??) und
5. Unverzügliches entfernen der Information, wenn am Ursprungsort nicht vorhanden oder Gericht/Verwaltungsbehörde Sperre/Entfernung angeordnet hat
e-commerce - Diensteanbieter
© ARGE DATEN 2013
ARGE DATEN
Verantwortung spezifischer Diensteanbieter III(§§13-17 ECG)
- Hosting / Housing von Diensten (§16)- Links auf fremde Dienste (§17)
Keine Verantwortung unter bestimmten Umständen:1. Keine Kenntnis des rechtswidrigen Inhalts und auch keine
Umstände bekannt, aus denen der rechtswidrige Inhalt oder Tätigkeit offensichtlich ist oder
2. bei Kenntnis der rechtswidrigen Tatsache unverzügliches Tätigwerden zum Entfernen des Hinweises/der Inhalte
Erweiterte Auskunftspflichten bei Hosting- gegenüber allen Verwaltungsbehörden- gegenüber beliebigen Dritten, sofern ein überwiegendes
rechtliches Interesse besteht und eine wesentliche Voraussetzung für die Rechtsverfolgung gegeben ist
Auskunft umfasst jedoch nur Namen und die Adresse des Nutzers, mit dem Hostingvereinbarung abgeschlossen
wurde
e-commerce - Diensteanbieter
© ARGE DATEN 2013
ARGE DATEN
OGH 6 Ob 218/03g ("Online-Archiv")Ausgangslage
- In einem Online-Archiv findet (falsch) über ein Konkursverfahren
- Betreiber hat Artikel nur übernommen, ist nicht als Content-Provider anzusehen
- Betreiber erfährt erst in der Klage vom Fehler und löscht daraufhin den Beitrag
Entscheidung- Umfang der Verletzung nicht nach ECG zu prüfen, sondern
nach materiellrechtlichen Normen (ABGB, UrhG, UWG, ...)- im Archiv finden sich auch Entgegnungen und
Gegendarstellungen- Klage abgewiesen, da keine aktive Prüfpflicht des
Archivbetreibers- Interesse der Öffentlichkeit höher zu bewerten als
Interesse des Verletzten
e-commerce - Diensteanbieter
© ARGE DATEN 2013
ARGE DATEN
Pflichten der (TK)-Diensteanbieter (§18 ECG)- Keine generelle Überwachungspflicht
(betrifft Dienste §§13-17)es müssen keine aktiven Maßnahmen zur Identifikation rechtswidriger Inhalte gesetzt werdeninkludiert auch das Fehlen genereller Aufzeichnungspflichten
- Auskunftspflicht gegenüber Gerichtenzur Bestimmung von Dienstnutzern mit denen Verträge abgeschlossen wurdenumfasst Verhütung, Ermittlung, Aufklärung oder Verfolgung gerichtlich strafbarer Handlungen
- Sonstige Auskunftspflichten bleiben unberührtDSG 2000 - Bestimmungen (Auskunftsrecht, Kontrollrecht DSK)Besondere Ermittlungsmaßnahmen (StPO)
e-commerce - Diensteanbieter
© ARGE DATEN 2013
ARGE DATEN
Informationsfreiheit
Wiener Erklärung zur Informationsfreiheit
Verfasser: Univ.-Prof. Dr. Nikolaus Forgó
Motivation: Recht auf Information, Urheberrechtsinteressen und Datenschutz sind miteinander zu verknüpfen
10 Thesen, einige auszugsweise:
- Digitalisierung und Vernetzung erlauben einzigartige Informationszugänge
- Freie Werknutzungen dienen gesellschaftlichen und wissenschaftlichen Fortschritt
- staatliche Einrichtungen haben Zugang zu öffentlichen Informationen technisch und rechtlich bestmöglich zu erleichtern
- staatliche Sicherung des Zugangs zu Informationen
http://www.chaoscontrol.at/2005/we.htm
© ARGE DATEN 2013
ARGE DATEN
betriebliche Datenverwendung
Verwendung "weicher" Personendaten- etwa Antworten aus psychologischen Tests
© ARGE DATEN 2013
ARGE DATEN
Aufbewahrungsdauer bei FlatRate-DatenStellungnahme Art. 29-Gruppe WP69 29.1.2003
- werden Verkehrsdaten nicht zur Abrechnung genutzt, dann dürfen sie nicht gespeichert werden
- auch bei Abrechnung dürfen nur die notwendigen Daten gespeichert werden (bis Begleichung der Rechnung und/oder Beilegung von Streitfällen)
- einzelne Gebühreneinsprüche rechtfertigen nicht die Speicherung der Daten aller Teilnehmer
- für steuerliche Zwecke dürfen nur kumulierte Rechnungsdaten aufbewahrt werden, nicht die Verkehrsdaten einzelner Teilnehmer
Maßnahmen zur Harmonisierung des "begrenzten Zeitraums" notwendig
Datenschutzfragen Kommunikation
© ARGE DATEN 2013
ARGE DATEN
Speicherung Kommunikationsdaten
Zulässigkeit / Verbot- Inhaltsdaten dürfen nicht gespeichert werden, sofern es nicht
der Dienst erfordert
Privacy-Gefährdungspotentiale- Einblick in persönliche Kommunikation
- Ausspähen von Interessensprofilen
Handhabung- strafrechtliche Sanktionen (§93/§108 TKG 2003, §119 StGB)
- privatrechtliche (§1328a AGBG)
Datenschutzfragen Kommunikation
© ARGE DATEN 2013
ARGE DATEN
Speicherung/Verwendung Verkehrsdaten (Art 6)
Zulässigkeit / Verbot- für Diensterbringung
- für Gebührenabrechnung
- für Kundenanfragen/Support
- zur Ermittlung strafrechtlich relevanter Vorgänge (STPO)
- zur Vermarktung der angebotenen Kommunikationsdienste
- alle anderen Verwendungen bedürfen Zustimmung ("Dienst mit Zusatznutzen") oder sind verboten
Privacy-Gefährdungspotentiale- Einblick in Kommunikationsbeziehungen, Ausspähen von
Interessensprofilen
wird auch auf Protokolldaten von Content-Providern anzuwenden sein
Datenschutzfragen Kommunikation
© ARGE DATEN 2013
ARGE DATEN
Datenschutzfragen Internettechniken
SPAM-ProblemUmfang von Spam- 2004: 75% aller Mails Spam (2001: 7%)
- Response von 1:1,000.000 reicht für "erfolgreiche" Aussendung
- 7% der Mailnutzer reagieren zumindest einmal im Jahr auf Spam
Gefährdungspotentiale- Belästigung mit unerwünschen Inhalten
- Fehler in Annahme/Ablehnung von Mails
- Beschränkung der Kommunikation aus Angst vor Spam
- Kosten (Übertragung, Beseitigung, Filterkonfiguation, Zeitverlust)
2002/58/EG (TK-Datenschutzrichtlinie) / TKG 2003- EU-RL sieht Opt-In bei Werbung vor, komplizierte TKG-
Richtlinie
- Sperrliste ist zu beachten
- Anzeigemöglichkeit bei unerwünschter Zusendung
© ARGE DATEN 2013
ARGE DATEN
Intranet - sonstiges
Bedeutung von (Anti-)Spyware/Monitoring- Definition "Was ist Spyware?" (Beispiele: Keylogger)
- Spywarefunktionalität oft auch bei Audit-Software, Monitoring-Software, Remotecontrol-Software, ... gegeben
- Schutzmaßnahmen gegen Spyware zulässig/verpflichtend
- Verpflichtungen des Arbeitgebers / Arbeitnehmers
"Spyware", die die Kommunikationsinhalte der Mitarbeiter kontrolliert wird nicht zustimmungsfähig sein, sondern als unzulässiger Grundrechtseingriff verboten sein
Spyware, die bloß "Verkehrsdaten" aufzeichnet wird an der OGH-Entscheidung zu messen sein
© ARGE DATEN 2013
ARGE DATEN
DSK Empfehlung K210.544("polizeiliche Information")
Ausgangslage- Berufskraftfahrer wird bei privater Autofahrt
Führerschein abgenommen- Mitarbeiter hat sich am nächsten Tag krank
gemeldet- Polizeidienststelle gibt Arbeitgeber "Wink"- Dienstgeber spricht Entlassung aus
Entscheidung- Datenweitergabe durch Polizei war unzulässig- bedeutet nicht automatisch Geheimhaltungsrecht
des Arbeitnehmers
Arbeitsrechtliche Konsequenzen von verschiedenen Faktoren abhängig
DSG 2000 - Datenverwendung
© ARGE DATEN 2013
ARGE DATEN
gemeinsame Verwendung eines TerminkalendersAusgangslage:
- Die Kalendersoftware erlaubt Einsicht in die Termine der Kollegen, eventuell auch Einträge oder Korrekturen
datenschutzrechtliche Bewertung:
- betriebsintern keine Übermittlung, sondern "bloß" gemeinsame Verwendung von Daten
- zulässig, wenn für bestimmte Zwecke (Arbeitsorganisation) notwendig, prüfen ob Betriebsvereinbarung notwendig
- bei Einsatz zu Aufsichtszwecken durch Betriebsrat zustimmungspflichtig
- nicht zulässig, wenn Einsicht bloß aus technischen Gründen erfolgt (keine Berechtigungsverwaltung, ...)
- Regelung für private Einträge erforderlich
betriebliche Datenverwendung
© ARGE DATEN 2013
ARGE DATEN
(1) Individuelle Vereinbarungen- Statement zur Datenweitergabe: an wen wird warum
weiter gegeben?
- Statement zur Zustimmung und zum Widerruf der Zustimmung: welche Zustimmungen sind erforderlich, welche Konsequenzen hat ein Widerruf?
- Statement zur Datenerhebung: Offenlegen von Datenquellen, etwa Adressverlage, welche Daten sind verpflichtend bekannt zu geben, welche nicht
- Statement zum Thema Bonitätskontrolle: bei wem werden Kreditinformationen eingeholt?
- Statement zur Verwendung der Daten zu Werbezwecken
- Statement zur Verwendung der Daten zu sonstigen Zwecken
Privacy Statements [PS]
© ARGE DATEN 2013
ARGE DATEN
(2) Informationen zur Datenverwendung- Statement zu Verantwortlichen der Datenverarbeitung
- Statement zu Verwendungszwecken
- Statement über durchgeführte Auswertungen, Protokollierungen und Aufzeichnungen
- Statement, welche innerbetrieblichen Stellen die Daten für die Erfüllung des Zweckes erhalten
- Statement, welche Daten verwendet werden
- Statement über technischen Datenfluss: technische Methoden, Verschlüsselung, Archivierung, ...
- Statement zur Speicherdauer
- Statement zu besonderen Sicherheitsmaßnahmen bei Verwendung von sensiblen Daten
Privacy Statements [PS]
© ARGE DATEN 2013
ARGE DATEN
(3) Allgemeine rechtliche Informationen- Hinweis auf geltendes Datenschutzgesetz
- sonstige datenschutzrelevante anzuwendende Bestimmungen: spezifische gesetzliche Bestimmungen, bestehender "Code of Conduct"
- Hinweise zum Schutz besonderer Personengruppen: Maßnahmen zum Schutz von Jugendlichen
- Hinweise zu Beteiligungsverhältnisse und daraus resultierende Datenverknüpfungen
Privacy Statements [PS]
© ARGE DATEN 2013
ARGE DATEN
(4) Technische Informationen zur Datensicherheit
- Statement, welche Übertragungsmethoden verwendet werden
- Statement, welche Überwachungs- und Monitoringmaßnahmen beim System getroffen werden
- Statement, welche Techniken zum Betrieb der Online-Seiten eingesetzt werden: Plug-Ins, Browsereinstellungen, ...
- Statement zur Individualisierung der Webseiten: Einsatz von Cookies, ...
- Statement zum Zahlungsverkehr: etwa Zahlungsdienstleister
- Statement, welche internen Sicherheitsmaßnahmen gesetzt werden
- Hinweise zur Verbesserung der persönlichen Datensicherheit
Privacy Statements [PS]
© ARGE DATEN 2013
ARGE DATEN
(5) Kontroll-, Beschwerde- & Informationsstelle(n)
- Angaben zur Registrierung von Datenverarbeitungen
- Statement, welche Person/Stelle für die Einhaltung der Privatsphäre / der Datensicherheit unternehmensintern verantwortlich ist
- Kontaktstelle(n) für Fragen, Beschwerden
- Gesetzliche Beschwerdestelle
- Freiwillig anerkannte Streitschlichtungsstelle
- Freiwillige Schadenersatzregelungen
Privacy Statements [PS]
© ARGE DATEN 2013
ARGE DATEN
Privacy-Initiativen
Was ist P3P?(Platform for Privacy Preferences, derzeit P3Pv1.0)
- Privacy-Empfehlungen des W3-Consortiums (W3C)
- Sicherung der Privatsphäre im Internet auf standardisierter Basis (einheitliches Datenschutzvokabular)
- Privacy-Erklärungen werden programmtechnisch gegen Benutzereinstellungen geprüft
- Konzept vergleichbar den Access-Control-Listen bei Routern
- u.a. Definition von "sicheren Web-Zonen" (safe zone), Ablaufdatum, Gültigkeitsdatum, Validierung von Cookies (Name, Domain, Wert)
- Definition von Tags, wie "Verwendungszweck" (<PURPOSE>), "Empfänger" (<recipient>), ...
- Definition weiterer Tags, wie Ansprechstelle, Beschwerdestelle, ...OECD bietet PRIVACY STATEMENT GENERATOR
© ARGE DATEN 2013
ARGE DATEN
Allgemeine Geschäftsbedingungen (AGB's) § 11 ECG
Nutzer muß AGB's ausdrucken und abspeichern könnenAGB's unterliegen
Geltungskontrolle § 864a ABGB (überraschende Vertragsklauseln)Inhaltskontrolle § 879 Abs. 3 ABGB und § 6 KSchGdürfen keine "überraschenden Vertragsklauseln" enthaltenfür Konsumenten: Transparenzgebot § 6 Abs. 3 KSchG
Verbraucher kann nicht rechtswirksam darauf verzichten
Bestimmungen e-commerce
Sonderbestimmungen für Verbraucher- Erweiterte Konsumentenrechte, weitergehend als das ECG
(vergleichbar dem Haustürgeschäft) (§ 5* KSchG)- § 5a KSchG: regelt Vertragsabschlüsse im Fernabsatz
keine gleichzeitige körperliche Anwesenheit der Vertragspartner
- § 5c KSchG sieht erweiterte Informationspflichten vor