© ARGE DATEN 2012 ARGE DATEN Datenschutz & Datensicherheit Hans G. Zeger, ARGE DATEN ZiT, Wien, 19....

© ARGE DATEN 2012

ARGE DATEN

Datenschutz & DatensicherheitHans G. Zeger, ARGE DATEN

ZiT, Wien, 19. April 2012

© ARGE DATEN 2012

Die ARGE DATEN als PRIVACY-Organisation

Aktivitäten der ARGE DATEN

Öffentlichkeitsarbeit, Informationsdienst:- Web-Service: 60-80.000 Besucher/Monat

- Newsletter: rund 4.500 Abonnenten

- 2011: rund 500 Medienanfragen/-berichte

Mitgliederbetreuung Datenschutzfragen- 2011: ca. 600 Datenschutz-Anfragen

Rechtsschutz, PRIVACY-Services- 2011: in ca. 200 Fällen Mitglieder in Verfahren vertreten

Zahl der betreuten Mitglieder- aktuell: ca. 15.000 Personen

Studien- und Beratungsprojekte

A-CERT - Zertifizierungsdienstleister gem. SigG

ARGE DATEN

© ARGE DATEN 2012

ARGE DATEN

Geplanter Ablauf

Grundlagen DSG 2000

IT-Sicherheit vs. Datenschutz

Strafbestimmungen

© ARGE DATEN 2012

ARGE DATEN

Umsetzung der EU-Richtlinie "Datenschutz" (1995)

soll Privatsphäre (Art.1 Abs. 1) und Informationsaustausch (Art.1 Abs. 2) sichern

Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten."

EU-RL gilt nur für "natürliche Personen"DSG 2000 auch für "juristische und sonstige Personen"damit vertritt Österreich EU-weit eine exotische Position

DSG 2000 - Grundlagen

© ARGE DATEN 2012

ARGE DATEN

DSG 2000 - Grundrecht

Einschränkungen des Verbots ist möglich:- mit der Zustimmung des Betroffenen- zur Vollziehung von Gesetzen (Behörden)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter- bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen

DSG 2000 § 1 (Verfassungsbestimmung):

"jede Verwendung persönlicher Daten ist verboten"

umfassender Geheimhaltungsanspruch

Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens")

© ARGE DATEN 2012

ARGE DATEN

DSG 2000 § 4 Z 1

"Daten" ("personenbezogene Daten")"Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist"

DSG 2000 § 4 Z 3"Betroffener""jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden"

Datenbegriff sehr allgemein gehalten, umfasstauch Bild- und Tondaten, biometrische Daten, technische Kennzahlen (z.B. Betriebsdaten), ...


© ARGE DATEN 2012

ARGE DATEN

Personenbezogene Daten

Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!)

personenbezogene Daten § 4 Z 1 DSG 2000

sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG 2000 (kein EU-Begriff)

sensible Daten§ 4 Z 2 DSG 2000


© ARGE DATEN 2012

ARGE DATEN

DSG 2000 § 4 Z 4"Auftraggeber" / Verantwortlicher für Datenverwendung"natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung)

DSG 2000 § 4 Z 5 "Dienstleister"natürliche oder juristische Personen, ...... , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung)


© ARGE DATEN 2012

ARGE DATEN


DSG 2000 § 4 Z 6"Datei"

"strukturierte Sammlung von Daten, die nach mindestens einem [personenbezogenen, Anm.] Suchkriterium zugänglich sind"

DSG 2000 § 4 Z 7,,Datenanwendung''

"die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte ... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)"

DSG 2000 § 4 Z 8" Verwenden von Daten"

"jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten"

© ARGE DATEN 2012

Verwenden von Daten

Z 8

Übermitteln Verarbeiten

Z 9

Z 12

Daten-anwendung

Z 7

Auftraggeber

Z 4

Dienstleister

Z 5

AuftragÜberlassen

Z 11

Ermitteln,Auswerten,Sortieren,Speichern,Analysieren,Korrigieren,Ausdrucken,Anzeigen, ...


Die wichtigsten Begriffe (§ 4 DSG Z ...)

ARGE DATEN

© ARGE DATEN 2012

ARGE DATEN


Grundsätze der Verwendung von Daten (§ 6ff)Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1)

Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2)

Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2)

Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3)

Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4)

120.705/010-DSK/2001 ("gelindester Eingriff")Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren

© ARGE DATEN 2012

ARGE DATEN

Grundlage einer rechtmäßigen Datenverwendung

Dreistufiges Konzept

Es muss eine Rechtsgrundlage für die Datenanwendung geben und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (§ 6, § 7 Abs.1)

Es muss eine Rechtsgrundlage für die Verwendung der konkreten Daten eines Betroffenen geben (§§ 7ff)

Die Datenanwendung muss den Registrierungserfordernissen entsprechen (§§ 16ff)

Beispiel: Dürfen im Zuge einer Unternehmensauflösung die Kundendaten verkauft werden?


© ARGE DATEN 2012

ARGE DATEN

Geplanter Ablauf

Grundlagen DSG 2000


Strafbestimmungen

© ARGE DATEN 2012

IT-Sicherheit

Was ist IT-Sicherheit?

technische Sicht:- Sicherung der Herkunft (Authentizität, Integrität)

- Sicherung der Vertraulichkeit- Sicherung der Verfügbarkeit

- allgemeine Betriebssicherheit (OS, Applikationen, Geräte, Netzwerk, Operating, Prozesse, ...)

- Katastrophenschutz

Deliktschutz: betrifft alle Sicherheitsbereiche- Delikte sind nur ein Auslöser unter vielen- andere sind: etwa Fahrlässigkeiten, Unwissenheit

der Mitarbeiter, Fehleinschätzungen der Geschäftsführung, ...... ist das die einzige Sichtweise? ...

ARGE DATEN

© ARGE DATEN 2012

IT-Sicherheit

Sorgen sicherheitsbewußter IT-Manager

(CapGemini 2007)

Bedrohung:1 = hoch,6 = nicht gegeben

20072006

ARGE DATEN

© ARGE DATEN 2012

Eurobarometerumfrage 2011

Was wird überhaupt als personenbezogene Information gesehen? (EU27 / AT / max / min)

- Finanzdaten: 75% EU27 / 73% AT / 91% DK / 44% PL

- Gesundheitsdaten: 74% EU27 / 75% AT / 93% IE / 46% PL

- Identitätsdaten( Passnummer, ...): 73% EU27 / 67% AT / 92% BG / 53% MT

- Lebenslauf (beruflich): 30% EU27 / 43% AT / 50% DE / 11% BG,RO

- mit wem befreundet: 30% EU27 / 40% AT / 52% DE / 7% BG

- private Interessen/Hobbies: 25% EU27 / 40% AT / 46% DE

/ 8% CY

- besuchte Webseiten: 25% EU27 / 33% AT / 44% SE / 5% RO

Länder mit höchsten Datenschutzbewusstsein:Deutschland, Niederlande, Großbritannien, Österreich

ARGE DATEN

© ARGE DATEN 2012

Eurobarometerumfrage 2011

Datensicherheit und Internet (EU27 / AT / max / min)

- 66% der Befragten verwenden Internet

- Schutz vor Spam: 42% EU27 / 46% AT / 72% DK / 19% PT

- achten auf sichere Datenübertragung: 40% EU27 / 35% AT / 57% IE

/ 13% BG

- Löschen Cookies: 35% EU27 / 39% AT / 53% LU,NL / 10% RO

- suchen eigene Daten mittels Suchmaschinen: 14% EU27 / 15% AT

/ 24% EE / 8% RO

- verwenden "dummy" Mailaccount: 12% EU27 / 25% AT / 25% AT

/ 6% MT

- keine Sicherheitsaktivitäten: 15% EU27 / 12% AT / 7% DK,NL

/ 34% LT

Länder mit höchsten Datenschutzbewusstsein:Deutschland, Niederlande, Schweden, Österreich

ARGE DATEN

© ARGE DATEN 2012

IT-Sicherheit

Verhältnis von Datensicherheit (IT-Sicherheit) und Datenschutz (Privacy)

IT-Sicherheit behandelt vorrangig technische FragenWas ist machbar? Was ist möglich?Im Zentrum stehen Abwehrszenarien

Datenschutz behandelt vorrangig (grund)rechtliche Fragen

Was ist erwünscht?Im Zentrum stehen

Gestaltungsszenarien

Sicherheitsmaßnahmen ohne direkte Datenschutzrelevanz: Katastrophenschutz, wie Blitz-, Feuer-, Erdbebenschutz

Datenschutz

Zugriffsschutz, Protokollierung,

Rechteverwaltung, Ausspähen von

Daten, Datenbeschädigun

g,Passwörter

IT-Sicherheit

Grundrechtliche Fragen ohne direkten IT-Bezug:

Zweckbindung, Melde- und Offenlegungspflichten,

Beobachtungsschutz, infomationelle

Selbstbestimmung

ARGE DATEN

© ARGE DATEN 2012

DSG 2000 - Sicherheitsbestimmungen

Sicherheitsbestimmungen (§ 14)

Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden:

Stand der Technik entsprechend

wirtschaftlich vertretbar

angemessenes Schutzniveau muss erreicht werden

In Österreich gibt es seit 2003 ein "offizielles" IT-Sicherheitshandbuch,

das 2007 in Version 2.3 vom Ministerrat empfohlen wurde11/2010 wurde Version 3.1 vorgestellt

es gibt jedoch keine Verpflichtung das Handbuch anzuwenden

ARGE DATEN

© ARGE DATEN 2012


rechtlich-organisatorische Sicherheitsmaßnahmen

- ausdrückliche Aufgabenverteilung- ausschließlich auftragsgemäße Datenverwendung- Belehrungspflicht der Mitarbeiter- Regelung der Zugriffs- und Zutrittsberechtigungen- Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten

- Dokumentationspflicht zur Kontrolle und Beweissicherung

- ProtokollierungspflichtInsgesamt können die Maßnahmen als Verpflichtung zu einer Security-Policy

verstanden werden!z.B. gemäß BSI M 2.192 Erstellung einer IT-Sicherheitsleitlinieoder ISO 27001 InformationssicherheitsleitlinieARGE DATEN

© ARGE DATEN 2012

Protokollierungsanforderungen I (§ 14)

Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z7)

Protokollierungspflicht nicht registrierter Übermittlungen (Abs. 3)

betrifft auch Abfragenmüssen "im Hinblick auf die Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können"

betrifft nur auskunftspflichtige DatenanwendungenÜbermittlungen gemäß Standard- oder Musterverordnung sind nicht zu protokollieren


ARGE DATEN

© ARGE DATEN 2012

Protokollierungsanforderungen II (§ 14)

- Protokolldaten dürfen nur eingeschränkt verwendet werden(zur Kontrolle der Zulässigkeit der Verwendung)

- unzulässig wäre die Kontrolle der Betroffenen oder der Mitarbeiter (z.B. durch Auswertung von Internet-Zugriffen!!)

- zulässig ist die Verwendung zur Aufklärung von Straftaten, die mit mehr als fünfjähriger Freiheitsstrafe bedroht sind

- Aufbewahrungsdauer ist drei Jahre, sofern gesetzliche Bestimmungen nichts anderes vorsehen

- Frühere Löschung zulässig, wenn betroffener Datenbestand ebenfalls gelöscht ist


ARGE DATEN

© ARGE DATEN 2012

DSG 2000 - Verschwiegenheitsverpflichtung

Verpflichtung zum Datengeheimnis (§ 15)Mitarbeiter sind - sofern nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden.

Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln.

Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren.

Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung kein Nachteil erwachsen.

Bereitstellungspflicht der Datensicherheitsmaßnahmen (§ 14 Abs. 6)

ARGE DATEN

© ARGE DATEN 2012

ARGE DATEN

Haftung bei fehlenden DatensicherheitsmaßnahmenOGH Entscheidung (9 Ob A 182/90)

Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden.

Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren.

Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen".

Die Festlegung eines Sicherheitskonzepts ist Kernaufgabe einer Geschäftsführung!

Sicherheitsmaßnahmen - Haftung

© ARGE DATEN 2012

spezifische Sicherheitsbestimmungen

Bestehende Sicherheitsanforderungen in Ö- Verschlüsselung bei Webapplikationen / in der

DatenübertragungGrundlage: ePrivacy-RL 2002/58/EG

- Besondere Sicherheitsmaßnahmen bei GesundheitsdatenGrundlage: GTelG + GTelVO

- Sicherheit in der elektronischen RechnungslegungGrundlage: EG-RL 2001/115/EG, BMF-Verordnung BGBl 583/2003

- Sicherheitsbestimmungen + Genehmigungsverfahren bei Digitaler SignaturGrundlage: EG-RL 1999/93/EG, SigG, SigV

- Einsatz der Bürgerkarte in BehördenverfahrenGrundlage: E-GovG

ARGE DATEN

© ARGE DATEN 2012

spezifische Sicherheitsbestimmungen

Bestehende Sicherheitsanforderungen in Ö II

- Medikamentenabrechnung der Apotheken, Videoüberwachung - VerschlüsselungGrundlage: StMV 2004 des Bundeskanzleramtes

- Webapplikationen der BehördenGrundlage: Portalverbundprotokoll pvp 1.8.9, eine privatrechtliche Vereinbarung

- BankomatkassenGrundlage: privatrechtliche Vorgaben des Betreibers

- e-card/GINA-Box + Peering-Point der ÄrzteGrundlage: privatrechtliche Vereinbarungen

ARGE DATEN

© ARGE DATEN 2012

ARGE DATEN

Schadenersatz (§ 33)schuldhaftes Verhalten notwendig

bei Verletzung von Bestimmungen des DSG 2000 ist tatsächlich erlittener materieller Schaden zu ersetzen

bei Verletzungen der Geheimhaltung, die geeignet sindden Betroffenen bloßzustellen, gebührt Entschädigung

Entschädigungsanspruch ist nicht beziffert, aber vergleichbar dem Mediengesetz geregelt [MedienG § 7: bis 20.000 Euro]

bei Veröffentlichungen in einem Medium gilt Mediengesetz

Entschädigungsanspruch ist gegenüber demAuftraggeber geltend zu machen

DSG 2000 - Kontroll- & Strafbestimmungen

© ARGE DATEN 2012

ARGE DATEN

Gewinn- oder Schädigungsabsicht (DSG 2000 § 51)

- Klarstellung der Deliktvoraussetzungen: Vorsatz der Bereicherung von sich oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer

Delikt begeht, wer ...- widerrechtlich ihm zugängliche Daten benutzt oder- Daten widerrechtlich beschafft oder - anderen widerrechtlich zugänglich macht oder- widerrechtlich öffentlich macht

Strafausmaß: bis ein JahrDelikt wird zum Offizialdelikt [bis 31.12.09: Privatanklagedelikt]Strafbestimmung gilt subsidiär

DSG 2000 - Strafbestimmungen

© ARGE DATEN 2012

ARGE DATEN

Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1)[=deliktisches Handeln]

- widerrechtliches Verschaffen eines Zugangs zu einer DA- widerrechtliches Weiterbenutzen eines Zugangs zu einer

DA- Übermittlung unter Verletzung des Datengeheimnisses- Weiterverwendung von Daten entgegen eines

rechtskräftigen Urteils/Bescheids- widerrechtliches Löschen von Daten (§ 26 Abs. 7)

Strafrahmen: bis 25.000,- Euro [bis 31.12.09: 18.890,-]zuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSK Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk)

Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten!


© ARGE DATEN 2012

ARGE DATEN

Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte]

1. nicht Erfüllen Meldepflicht gemäß den §§ 17 oder 50c oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt2. Daten ins Ausland übermittelt oder überlässt, ohne Genehmigung gemäß § 13 Abs. 13. Verstoß gegen Zusagen an oder Auflagen der DSK (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) 4. Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d verletzt 5. § 14 Sicherheitsmaßnahmen gröblich außer Acht lässt


© ARGE DATEN 2012

ARGE DATEN

Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte]

6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht.

Strafrahmen: bis 10.000,- Euro [bisher: 9.445,-]


© ARGE DATEN 2012

ARGE DATEN

Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a)[=Gefährdung von Betroffenenrechten]

neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a)

Strafrahmen: bis 500,- Euro [neu]

Verfallbestimmungen § 52 Abs. 4Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden


© ARGE DATEN 2012

ARGE DATEN

Umsetzung Sicherheitsanforderungen

Konsequenzen mangelhafter IT-Sicherheit- Verwaltungsstrafe: nach DSG § 52 Abs. 2

Verwaltungsübertretung mit Strafe bis 10.000 Euro

- Zivilrechtliche Haftung: Unternehmen bzw. Dienstnehmer könnten für Folgeschäden haften, auch Gehilfenhaftung

- UWG-Verfahren: Mitbewerber könnten fehlende Sicherheitsmaßnahmen als Versuch eines unlauteren Wettbewerbsvorteils einklagen

- immaterieller Schadenersatz: bei prangerartigen oder bloßstellenden Folgen § 33 DSG, § 1328a ABGB, Medienrecht

- Strafrecht: bei vorsätzlichen Handlungen (es genügt Schaden wird bewusst in Kauf genommen), z.B. § 51 DSG 2000, §§ 302/310 StGB, §§ 119/a StGB

- Imageschaden: Vertrauensverlust von Kunden und Öffentlichkeit

© ARGE DATEN 2012

ARGE DATEN

http://www.argedaten.at/

http://www.dsk.gv.at/

http://ec.europa.eu/justice/policies/privacy/index_en.htm

http://www.datenschutzzentrum.de/

http://www.gdd.de/

Onlineinformation

http://www.datenschutzverein.de/

© ARGE DATEN 2012 ARGE DATEN Datenschutz & Datensicherheit Hans G. Zeger, ARGE DATEN ZiT, Wien, 19....

Documents

Transcript of © ARGE DATEN 2012 ARGE DATEN Datenschutz & Datensicherheit Hans G. Zeger, ARGE DATEN ZiT, Wien, 19....