© ARGE DATEN 2013 ARGE DATEN Datenschutz versus Kontrolle Verantwortung von Mitarbeitern und...

© ARGE DATEN 2013

ARGE DATEN

Datenschutz versus KontrolleVerantwortung von Mitarbeitern und

Geschäftsführung Hans G. Zeger, ARGE DATEN

Wien, Schoeller Network Control, 29. Jänner 2013

© ARGE DATEN 2013

Die ARGE DATEN als PRIVACY-Organisation

Aktivitäten der ARGE DATEN

Öffentlichkeitsarbeit, Informationsdienst:- Web-Service: 60-80.000 Besucher/Monat

- Newsletter: rund 4.500 Abonnenten

- 2012: rund 500 Medienanfragen/-berichte

Mitgliederbetreuung Datenschutzfragen- 2012: ca. 600 Datenschutz-Anfragen

Rechtsschutz, PRIVACY-Services- 2012: in ca. 200 Fällen Mitglieder in Verfahren vertreten

Zahl der betreuten Mitglieder- aktuell: ca. 15.000 Personen

Studien- und Beratungsprojekte

A-CERT - Zertifizierungsdienstleister gem. SigG

ARGE DATEN

© ARGE DATEN 2013

Umsetzung der EU-Richtlinie "Datenschutz" (1995)

soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch (Art.1 Abs.2) sichern

Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten."

EU-RL gilt nur für "natürliche Personen"DSG 2000 auch für "juristische und sonstige Personen"

DSG 2000 - Grundlagen

ARGE DATEN

© ARGE DATEN 2013

DSG 2000 § 1 (Verfassungsbestimmung):

"jede Verwendung persönlicher Daten ist verboten"

umfassender Geheimhaltungsanspruch

Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots

(= Nutzungsmöglichkeiten für Daten):- mit der Zustimmung des Betroffenen

- zur Vollziehung von Gesetzen (gesetzlichen Verpflichtungen)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter

- bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen

ARGE DATEN

DSG 2000 - Grundlagen

© ARGE DATEN 2013

gesetzliche Verpflichtungen

- Datenschutzgesetz DSG 2000- TKG 2003, Kommunikationsgeheimnis, ...- (technische) Spezialgesetze- allgemeine betriebliche Verpflichtungen (Sorgfalt eines

"ordentlichen Kaufmanns")

privatrechtliche, sonstige Verpflichtungen- Konzern-Vorgaben (Corporate Binding Rules,

(IT-)Compliance, ...)- Spezialrecht Dritter (Sarbanes-Oxley Act/SOX,

Whistleblower Protection Act, False Claim Act 1986, Vergaberecht/-bestimmungen, ...)

- Zertifizierungen (ISO 27001, ...)- Service Level Agreements, Kundenvereinbarungen- Kooperationsvereinbarungen

Betriebliche Verpflichtungen

ARGE DATEN

© ARGE DATEN 2013

Sicherheitsbestimmungen (DSG 2000 § 14)

Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden:

Stand der Technik entsprechend

wirtschaftlich vertretbar

angemessenes Schutzniveau muss erreicht werden

Es gibt im DSG 2000 keine rechtlich verbindlichen (zwingenden) technischen Sicherheitsvorschriften!

DSG 2000 - Sicherheitsbestimmungen

ARGE DATEN

Passiert etwas, wird die Geschäftsführung nachweisen müssen, die Anforderungen angemessen erfüllt zu

haben

© ARGE DATEN 2013

ARGE DATEN


rechtlich-organisatorische Sicherheitsmaßnahmen

- ausdrückliche Aufgabenverteilung- ausschließlich auftragsgemäße Datenverwendung- Belehrungspflicht der Mitarbeiter- Regelung der Zugriffs- und Zutrittsberechtigungen- Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten

- Dokumentationspflicht zur Kontrolle und Beweissicherung

- ProtokollierungspflichtInsgesamt können die Maßnahmen als Verpflichtung zu einer Security-Policy

verstanden werden!z.B. gemäß BSI M 2.192 Erstellung einer IT-Sicherheitsleitlinieoder ISO 27001 Informationssicherheitsleitlinie

© ARGE DATEN 2013

ARGE DATEN

Protokollierungsanforderungen I (§ 14)

Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z7)

betrifft jeden Datenverarbeitungsschritt, inkl. Abfragen, Auswertungen, Ausdrucke, ...

diese müssen "im Hinblick auf die Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können"


bedeutet in weiterer Konsequenz, dass die Protokolldaten auch auditierbar sein müssen

© ARGE DATEN 2013

ARGE DATEN

Protokollierungsanforderungen II (§ 14)

- Protokolldaten dürfen nur eingeschränkt verwendet werden(zur Kontrolle der Zulässigkeit der Verwendung)

- unzulässig wäre die Kontrolle der Betroffenen oder der Mitarbeiter (z.B. durch Auswertung des innerbetrieblichen Datneverkehrs oder von Internet-Zugriffen!!)

- zulässig ist die Verwendung zur Aufklärung von Straftaten, die mit mehr als fünfjähriger Freiheitsstrafe bedroht sind

- Aufbewahrungsdauer ist drei Jahre, sofern gesetzliche Bestimmungen nichts anderes vorsehen


© ARGE DATEN 2013

ARGE DATEN

DSG 2000 - Verschwiegenheitsverpflichtung

Verpflichtung zum Datengeheimnis (§ 15)Mitarbeiter sind - sofern nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden.

Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln.

Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren.

Bereitstellungspflicht der Datensicherheitsmaßnahmen (§ 14 Abs. 6)

Bestimmung kann auch als Verpflichtung zu ausreichender Compliance-Vereinbarung

verstanden werden

© ARGE DATEN 2013

ARGE DATEN

spezifische Sicherheitsbestimmungen

Bestehende Sicherheitsanforderungen in Ö- Verschlüsselung bei Webapplikationen / in der

DatenübertragungGrundlage: ePrivacy-RL 2002/58/EG

- Besondere Sicherheitsmaßnahmen bei GesundheitsdatenGrundlage: GTelG + GTelVO

- Sicherheit in der elektronischen RechnungslegungGrundlage: EG-RL 2001/115/EG, BMF-Verordnung BGBl 583/2003

- Sicherheitsbestimmungen + Genehmigungsverfahren bei Digitaler SignaturGrundlage: EG-RL 1999/93/EG, SigG, SigV

- Verwendung von Mitarbeiterdaten im KonzernGrundlage: StMV 2004 des Bundeskanzleramtes

© ARGE DATEN 2013

ARGE DATEN

spezifische Sicherheitsbestimmungen

Bestehende Sicherheitsanforderungen in Ö II

- Einsatz der Bürgerkarte in BehördenverfahrenGrundlage: E-GovG

- Videoüberwachung - VerschlüsselungGrundlage: StMV 2004 des Bundeskanzleramtes

- Vorratsdatenspeicherung: Vorkehrungen bei Datenhaltung, Verschlüsselung der Übertragung und Protokollierungspflicht bei Datenverwendung (TKG § 102c + TKG-DSVO )

...

© ARGE DATEN 2013

ARGE DATEN

Resüme: Welche Sicherheitsmaßnahmen sind verpflichtend?

- Protokollierung des internen Datenverkehrs?

- Verschlüsselung des Mail-/Daten-Verkehrs?

- Absicherung des eigenen WLANs?

- Installation einer (zertifizierten) Firewall?

- Verwendung von Virtual Private Network (VPN) - Lösungen?

- Einsatz von Virenfilter, Spamfilter, Webfilter?

- Verwendung von SSL-Verschlüsselung für Online-Formulare?Keine Maßnahme ist ausdrücklich vorgesehen, aber Geschäftsführung haftet für ausreichende

Maßnahmen im Sinne des § 14 DSG 2000

Weiters könnten fachspezifische Regelungen auf andere Bereiche in Analogie vorausgesetzt werden


© ARGE DATEN 2013

ARGE DATEN

Konsequenzen für Mitarbeiter

Vertragliche und gesetzliche Verpflichtungen des Mitarbeiters

- Einhaltung des Arbeitsvertrages

- Geheimhaltung anvertrauter Daten (sowohl anvertrauter persönlicher Daten, als auch sonstiger Betriebsdaten)

- Sorgsamer Umgang mit anvertrauten IT-Geräten, z.B. keine Schadsoftware installieren

- keine Datenverwendung ohne Auftrag

Verpflichtungen finden (enge) Grenzen

- OGH betont regelmäßig Privatsphäre und Menschenwürde im Betrieb

- Recht alltägliche Verpflichtungen wahrzunehmen (kurze private Telefonate, eMails, ...)

- Überwachung der Rechtmäßigkeit der Datenverwendung darf nicht zur Leistungskontrolle der Mitarbeiter verwendet werden

© ARGE DATEN 2013

ARGE DATEN

IT-Nutzung im Spiegel der Rechtssprechung

- OGH 9ObA75/04a:eMail-Verkehr entspricht gelegentlichen kurzen Telefonaten privaten Inhalts mit Arbeitskollegen.Gelegentliches Weiterleiten von Spaß-E-Mails entgegen generellem Verbot stellt zwar Fehlverhalten dar, rechtfertigt nicht Entlassung.

- OGH 9ObA151/02z:Surfen in der Arbeitszeit, wenn es nach Ermahnung sofort eingestellt wird, stellt keinen Entlassungsgrund dar.

- OGH 9ObA178/05z:unerlaubte private Computernutzung an sich noch kein Schaden für Betrieb, wäre etwa durch Virenbefall wegen Verletzung der Internet-Policy gegeben. Umsatz und Gewinnentgang wegen "unproduktiven Verhaltens" ebenfalls kein Schaden, muss kausal bewiesen werden. Kein Entlassungsgrund

(un)zulässiger IT-Einsatz

© ARGE DATEN 2013

ARGE DATEN

IT-Nutzung im Spiegel der Rechtssprechung II

- OGH 9 ObA 11/11z:Installation eines Computerkriegsspiels, eines Programms zum Brennen von CDs - keine Weisung, Richtlinien etc im Betrieb - bei entsprechender Weisung hätte AN rechtswidriges Verhalten unterlassen - kein Nachweis einer konkreten rechtswidrigen Nutzung in der Arbeitszeit - Entlassung nicht gerechtfertigt

- LAG München 11 Sa 54/09:unerlaubte eMail-Einsichtnahme durch Administrator rechtfertigt fristlose Kündigung (Ö: Entlassung)


© ARGE DATEN 2013

ARGE DATEN

IT-Nutzung im Spiegel der Rechtssprechung III

Ausgangslage:- ein Krankenhaus stellt bestehendes Magnetkartensystem auf

Fingerabdrucksystem um- Betriebsvereinbarung wird keine abgeschlossen- alle Fingerabdrucksdaten werden bei einem Biometriebetreiber

zentral verwaltet, mit diesem wird Dienstleistervereinbarung abgeschlossen

OGH-Entscheidung 9 ObA 109/06d:- OGH betont erneut Recht auf Privatsphäre im Betrieb- biometrische Zeiterfassungssysteme haben höhere

Eingriffsintensität als "Stechuhren", daher Zustimmungspflicht gegeben

- kritisiert wird der hohe Grundrechtseingriff für ein vergleichsweise triviales Ziel (Zeiterfassung)

- auch bei Einweg"verschlüsselung" liegen personenbezogene Daten vor

- auf Grund des Fehlens der Betriebsvereinbarung war der vorläufige Abbau auszusprechen (einstweilige Verfügung)


© ARGE DATEN 2013

ARGE DATEN

Konsequenzen für Unternehmen

Unternehmen hat Ausgleich zu Verarbeitungsverbot und Kontrollpflicht zu finden

- sowohl Schutzmaßnahmen für Daten, als auch

- Schutzmaßnahmen für Mitarbeiter

Kombination von technischen und organisatorischen Maßnahmen erforderlich

- geeignete Anweisungen zur Datenverwendung- Betriebsvereinbarung bei Aufzeichnung von MA-Daten

alternativ

- Einzelvereinbarung gemäß § 10 AVRAG

- Verschlüsselung von Protokoll-/Audit-Daten

- Vier-Augen-Prinzip bei Verwendung der Protokoll-/Audit-Daten

- geeignetes innerbetriebliches Kontrollsystem schaffenDie Haftung bei Datenmissbrauch bleibt jedoch in allen Fällen beim Unternehmen!

© ARGE DATEN 2013

ARGE DATEN

Haftung bei fehlenden DatensicherheitsmaßnahmenOGH Entscheidung (9 Ob A 182/90)

Nach Kündigung eines Mitarbeiters kam es zur Löschung von Programmteilen, die dieser Mitarbeiter entwickelt hatte. Ein Grund für die Löschung der Programme konnte nicht gefunden werden.

Erst nach Ausscheiden des Mitarbeiters wurde begonnen, die vorhandene Software zu dokumentieren.

Unternehmen wollte die Rekonstruktionskosten der Software gegen Abfertigungsansprüche des Arbeitnehmers "gegenverrechnen".

Die Festlegung eines Sicherheitskonzepts ist Kernaufgabe einer Geschäftsführung!

Sicherheitsmaßnahmen - Haftung

© ARGE DATEN 2013

ARGE DATEN

Haftung bei bei DatenmissbrauchOGH Entscheidung (9 Ob 126/12s)

Ausgangslage

Ein Redakteur der Tageszeitung A versuchte durch "erraten" von Benutzerkennung/Passwort in das interne Redaktionssystem von TZ B zu gelangen.

Der Versuch misslang, auf Grund der IP-Adresse konnte der Standort des Täters ermittelt werden.

Die Aktion führte zur fristlosen Entlassung des Mitarbeiters.

TZ B verlangt Unterlassungsklage

TZ B verlangt jedoch von TZ A eine Unterlassungserklärung. Diese wird verweigert, da Redakteur nicht im Auftrag gehandelt habe, sich die TZ A von diesen Aktivitäten distanziere und daher der Redakteur nicht als Besorgungsgehilfe anzusehen ist.


© ARGE DATEN 2013

ARGE DATEN


Haftung bei bei Datenmissbrauch IIOGH Entscheidung (9 Ob 126/12s)

Entscheidung

Vorinstanzen weisen Klage ab, OGH gibt jedoch Klage statt.

Eingriff in IT-System ist Besitzstörung

Eingriff war im Interesse der TZ A

Arbeitgeber hat Weisungs- und Kontrollrechte, kann sich Mitarbeiter aussuchen und Tätigkeitsbereich festlegen

Zur Verfügung stellen von Computer und Internetanschluss reicht schon für Verantwortung der TZ A

Unternehmen hat Besitzstörung zu verantworten

© ARGE DATEN 2013

ARGE DATEN

DSG 2000 - Dienstleister

Dienstleister im Sinne des DSG 2000 (§§ 10f)

- Dienstleistung liegt vor, wenn ein Verantwortlicher jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben betraut

- Geeignete Vereinbarungen sind zu treffen

- Vereinbarungen sind vom Auftraggeber zu überprüfen/überwachen ["überzeugen"] wie wäre das bei Cloud-Computing umzusetzen?

Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000)

© ARGE DATEN 2013

ARGE DATEN

DSG 2000 - Dienstleister

Pflichten des Dienstleisters (§ 11)

(A) Vertragliche Verpflichtungen- werden in der Regel die zulässigen Verwendungen der

Daten beschreiben, z.B. Zugriffsrechte, welche Auswertungen zulässig sind, ...

(B) gesetzliche Verpflichtungen- nur auftragsgemäße Datenverwendung- treffen ausreichender Sicherheitsmaßnahmen nach § 14

DSG 2000- Mitarbeiter des Diensteleisters sind zur

Datenverschiegenheit zu verpflichten (siehe § 15)- Subdienstleister nur mit Billigung des Auftraggbers

heranziehen- dem Auftraggeber jene Informationen bereit stellen, die

er zur Kontrolle der Einhaltung der Vereinbarung benötigt

© ARGE DATEN 2013

ARGE DATEN

Umsetzung Sicherheitsanforderungen

Konsequenzen mangelhafter IT-Sicherheit- Verwaltungsstrafe: nach DSG 2000 § 52 Abs. 2

Verwaltungsübertretung mit Strafe bis 10.000 Euro

- Zivilrechtliche Haftung: Unternehmen bzw. Dienstnehmer könnten für Folgeschäden haften, auch Gehilfenhaftung

- UWG-Verfahren: Mitbewerber könnten fehlende Sicherheitsmaßnahmen als Versuch eines unlauteren Wettbewerbsvorteils einklagen

- immaterieller Schadenersatz: bei bloßstellenden Folgen § 33 DSG 2000, § 1328a ABGB, Medienrecht

- Strafrecht: bei vorsätzlichen Handlungen (es genügt Schaden wird bewusst in Kauf genommen), z.B. § 51 DSG 2000, §§ 302/310 StGB, §§ 119/a StGB

- Imageschaden: Vertrauensverlust von Kunden und Öffentlichkeit

© ARGE DATEN 2013

ARGE DATEN

Datenschutz und Kontrolle

Resümee- Datenschutz (Schutz der Privatsphäre) und Kontrolle

stehen in einem Spannungsverhältnis

- das DSG 2000, aber auch zahlreiche andere Bestimmungen verpflichten zu Kontrollmaßnahmen

- es ist Aufgabe des Unternehmens einen Ausgleich zu finden

- Haftung für Datenverlust, Datenmissbrauch, ... bleibt in allen Fällen beim Unternehmen

- "nichts" tun, auf MA-Kompetenz vertrauen ist die schlechteste Strategie

- bestimmte technische Maßnahmen sind nicht verpflichtend vorgegeben, werden aber im Schadensfall die Haftung drastisch reduzieren oder auch völlig beseitigen

© ARGE DATEN 2013

ARGE DATEN

Cap Gemini Studie IT-Trends 2012

© ARGE DATEN 2013

Kontakt

Dr. Hans G. ZegerARGE DATENA-1160 Wien, Redtenbachergasse 20

Tel.: +43 676 / 9107032Fax.: +43 1 / 53 20 974Mail persönlich: [email protected]

Verein: http://www.argedaten.at

Web2.0: http://web2.0.freenet.atPersonal Page:http://www.zeger.at

ARGE DATEN

© ARGE DATEN 2013

ARGE DATEN

Ich danke für Ihre Aufmerksamkeit

© ARGE DATEN 2013

ARGE DATEN

http://www.argedaten.at/

http://www.dsk.gv.at/

http://ec.europa.eu/justice/policies/privacy/index_en.htm

http://www.datenschutzzentrum.de/

http://www.gdd.de/

Onlineinformation

http://www.datenschutzverein.de/

© ARGE DATEN 2013

ARGE DATEN

Haftung für Schäden (Schadenersatz)

Haftung erfordert das Zutreffen von vier Kriterien

1. Schaden: Vermögensschaden / ideeller Schadenideeller Schaden z.B. § 33 DSG, §§ 7ff MedienG, § 1328a ABGB: bloßstellende Eingriffe in die Privatsphärez.B.: übergebene Daten gelangen an die Öffentlichkeit, in unbefugte Hände, Mitarbeiter des Dienstleister verwenden die Daten zu eigene Zwecke

2. Verursachung (Kausalität): es passiert etwas, dass der Dienstleister beeinflussen kannKernfrage: Wäre der Schaden auch eingetreten, wenn sich der Schädiger anders verhalten hätte, gab es Alternativen?z.B.: Dienstleister verwendet ungeeignete Transportmittel, ungeeignete Vernichtungswerkzeuge, deponiert Datenträger an ungeeigneter Stelle

Haftung des Dienstleisters

© ARGE DATEN 2013

ARGE DATEN

Haftung für Schäden (Schadenersatz) II

3. Rechtswidrigkeit: Verletzung von gesetzlichen oder vertraglichen Vereinbarungengesetzlich z.B. kein geeignetes internes Sicherheitskonzept nach § 14, keine Geheimhaltungserklärungen der Mitarbeiter, unvollständige Rückgabe von Daten, ignorieren von irrtümlich eingehenden Auskunftsbegehren, nicht Nachkommen von Informationspflichtenvertraglich z.B. Heranziehung von Subdienstleistern obwohl ausgeschlossen, ungeeigneter Subdienstleister, Verwendung anderer Vernichtungsverfahren als zugesagt

4. Verschulden: Vorsatz / FahrlässigkeitRechtswidrigkeit wird vorsätzlich begangen oder zumindest in Kauf genommen, z.B. bessere Verfahren bekannt und zumutbar aber ignoriert, Datenträgertransport erfolgt trotz ungeeigneter Bedingungen (Wetter, überhöhte Geschwindigkeit, ...)Gewerbliche Anbieter werden rasch bei grober Fahrlässigkeit ankommen

Haftung des Dienstleisters

© ARGE DATEN 2013

ARGE DATEN

Konsequenzen für Mitarbeiter und Unternehmen

Was bedeutet das für einzelne Themen?- elektronische Zustellung von Gehaltszettel

- biometrische Zugangs- und Zeiterfassungssysteme

- private eMail-/Internet-Nutzung der Mitarbeiter

- Videoüberwachung

- Mitarbeiter-Fotos im Intra-/Internet, Verschicken bei eMails

- Social Media Auftritt des Unternehmens

- konzernweite Verwendung von Mitarbeiterdaten

- elektronische Whistleblowing-Systeme

- "Bring Your Own Device"Keine der Datenverwendungen ist generell

unzulässig, es sind aber in allen Fällen spezifische Vorkehrungen zu treffen

© ARGE DATEN 2013

ARGE DATEN

Datenträger Gehaltszettel IIZusendung per eMail

- grundsätzlich zulässig, sehr kostengünstig- bei Firmen-eMails auf Nutzungspolicy achten (Funktionsadressen,

Vertreter- und Urlaubsregelung)- bei Privat-eMails Verfügbarkeit und auch Nutzung der Adresse

beachten (Familien-Mailadresse)- Verschlüsselung empfehlenswert

Hinterlegen auf Website- grundsätzlich zulässig, sehr kostengünstig- erfordert Passwortschutz/Zugangsverwaltung

Zustellung über Girokonto K211.680/0009-DSK/2006- grundsätzlich zulässig, kostengünstig- Dienstleistervereinbarung mit Bank erforderlich, es gilt das

Minimalprinzip - individuelle Situation berücksichtigen

Mitarbeiter- und Bewerberdaten

Bei allen "modernen" Zustellformen wird Zustimmung des Betroffenen erforderlich sein

© ARGE DATEN 2013

ARGE DATEN

Kontrollmaßnahmen im Betrieb

Zulässigkeit einer biometrischen ZeiterfassungAusgangslage:

- ein Krankenhaus stellt bestehendes Magnetkartensystem auf Fingerabdrucksystem um

- Betriebsvereinbarung wird keine abgeschlossen- alle Fingerabdrucksdaten werden bei einem Biometriebetreiber

zentral verwaltet, mit diesem wird Dienstleistervereinbarung abgeschlossen

OGH-Entscheidung 9 ObA 109/06d:- OGH betont erneut Recht auf Privatsphäre im Betrieb- biometrische Zeiterfassungssysteme haben höhere

Eingriffsintensität als "Stechuhren", daher Zustimmungspflicht gegeben

- kritisiert wird der hohe Grundrechtseingriff für ein vergleichsweise triviales Ziel (Zeiterfassung)

- auch bei Einweg"verschlüsselung" liegen personenbezogene Daten vor

- auf Grund des Fehlens der Betriebsvereinbarung war der vorläufige Abbau auszusprechen (einstweilige Verfügung)

© ARGE DATEN 2013

ARGE DATEN

private IKT-Nutzung

IKT-Nutzungsverordnung – IKT-NV(BGBl. II Nr. 281/2009)

Regelt private IKT-Nutzung für Bedienstete des Bundes

Grundprinzip (§ 3): Eingeschränkte private Nutzung ohne

- Beeinträchtigung des Dienstbetriebs- keine Schädigung des Ansehens des öffentlichen

Dienstes- keine Gefährdung der Sicherheit des IKT-Betriebs- keine missbräuchliche Verwendung

rein private Geschäfte sind erlaubt (§ 4 Abs. 2)

private eMail-Nutzung (§ 5)- kein Hinweis auf dienstliche Stellung oder dienstliche

Postadresse- keine Verwendung dienstlicher eMail-Signaturen- private eMails dürfen nach Schadprogrammen und

Spam gescannt werden

© ARGE DATEN 2013

ARGE DATEN

private IKT-Nutzung

IKT-Nutzungsverordnung – IKT-NV II(BGBl. II Nr. 281/2009)

Festlegung der missbräuchlichen Verwendung (§ 4 Abs. 4)

- Zugriff auf strafrechtlich verbotene oder rechtswidrige Seiten

- Benutzung oder die zur Verfügung stellen von strafrechtlich relevanten Tatbeständen

- Zugriff auf pornographische Inhalte- Zugriff auf Seiten, die Zahlungsverpflichtungen des

Dienstgebers zur Folge haben- herunterladen "schadware-verdächtiger" Dateitypen

keine missbräuchliche Nutzung, wenn irrtümlicher Zugriff!

(§ 4 Abs. 5)

© ARGE DATEN 2013

ARGE DATEN

Videoeinsatzbetriebliche Anwendungsbereiche:

(1)Überwachung der "Außenhaut" (Grundstücksgrenzen, Einfahrten, ...)

(2)Überwachung technischer Anlagen (Garagen, Energieversorgung, Fernwartung, ...)

(3)Überwachung von Lagerstellen

(4)Überwachung von Kundenzonen

(5)Überwachung von Arbeitsplätzen

(6)Überwachung von Sozial- und Hygienebereichen

betriebliche Datenverwendung

Basis-Anforderungen nach DSG:

- grundsätzlich besteht Registrierungspflicht (die allgemeinen Ausnahmebestimmungen nach DSG treffen meist nicht zu)

- Voraussetzungen: Aufzeichnung und Erkennbarkeit (Bestimmbarkeit) von Personen

Zulässigkeit? / Betriebsvereinbarun

g?

Ja / Nein, wenn keine Rückschlüsse auf MA

Ja / wie (1)

Ja / in der Regel Ja

Ja / wie (1)

nur im Sonderfall / Ja

Nein / nicht Vereinbarungsfähig

© ARGE DATEN 2013

ARGE DATEN

Videoeinsatz IIOLG Wien Beschluss 7 Ra 3/07y

- Betriebsrat begehrte EV auf Unterlassung gegen eine Videoüberwachung in Unternehmen in NÖ, die u.a. auch Arbeitsplätze und Toilettenzugänge überwachte

- ablehnender EV-Beschluss des LG St. Pölten aufgehoben und an Erstgericht zurückverwiesen

Entscheidungskriterien

Gericht definiert erstmals Kriterien für betrieblichen Videoeinsatz

- Maßnahme muss geeignet zur Erreichung eines bestimmten Zieles (Zweckes) sein

- Maßnahme muss erforderlich sein [fehlende Alternativen]

- Maßnahme muss angemessen sein [Interessensabwägung, Eingriffsintensität darf nicht höher als bestimmtes Ziel sein]

Anzuwendende Normen: ABGB § 16, EMRK Art. 8, DSG § 1

betriebliche Datenverwendung

© ARGE DATEN 2013

ARGE DATEN

Typische Module (Zwecke):- Lohn/Gehaltsverrechnung- Darlehen/Exekutionsverwaltung- Reisekostenadministration- Zeitadministration- Bewerberverwaltung- Religionsbekenntnis- Aus- und Weiterbildungsverwaltung- Meldepflichten (SV, Finanz)- sonstige arbeitsvertragliche Verpflichtungen

- Beurteilungsdaten

Fallbeispiel Personalverwaltung (SA002)

Standard (20, 59-62)

Standard (36, nur für

Abwesenheitsverwaltung)

? Standard

Standard (47-51) Standard (57-58)

Standard (52)

Standard seit 30.3.11 eigener

Betroffenenkreis

DSG 2000 - Registrierung und Genehmigung

? Standard (64?)

Abhängig vom Umfang der Personalverwaltung wird es sich entweder um eine

registrierungspflichtige oder registrierungsfreie Datenanwendung handeln

Datenübermittlung an Konzern"mutter"

kein Standard

kein Standard

Standard (33-43)

© ARGE DATEN 2013

ARGE DATEN

Mitarbeiter- und Bewerberdaten

Personaldaten - innerbetriebliche Verwendung

- dienstlich erforderliche Daten dürfen ohne Zustimmung unternehmensintern verwendet werden (z.B. Qualifikation, Berufstitel, Kontaktdaten, ...)

- weitere Datenverwendungen können arbeitsvertraglich geregelt sein (z.B. Akkordabrechnungen, Weitergabe persönlicher Daten an Kunden / Veröffentlichung, etwa bei Verkäufern, Geschäftsführung)

- sonstige Daten die zum Zweck der Gehaltsverrechnung / Personaladministration dem Personalbüro bekannt sind, dürfen nicht von anderen Abteilungen verwendet werden, auch nicht für betriebsinterne Zeitungen, Newsletter

Zulässig sind weitere Verwendungsmöglichkeiten auf Grund der Zustimmung des Betroffenen

In bestimmten Bereichen wird auch eine Verwendung auf Grund überwiegender Interessen denkbar sein:

Geschäftsführer, Manager, Außendienstmitarbeiter, ...

© ARGE DATEN 2013

Was ist zulässige Veröffentlichung im Internet?Veröffentlichung im DSG nicht ausdrücklich geregelt, Sonderform der Übermittlung

Prüfen Vorliegen eines ausreichenden Zweckes und überwiegender Interessen des Betriebes

- Firmenkontaktdaten: Name, Funktion, Telefonnummer, eMail-Adresse

- Deutschland zu Lehrerbewertung (Bundesgerichtshof VI ZR 196/08): Freie Meinungsäußerung hat Vorrang http://www.spickmich.de/

Potentiell problematische Veröffentlichungen:

- Teilnehmerdaten einer Betriebsfeier, Betriebsveranstaltung

- Mitarbeiterfotos (Bildnisschutz § 78 UrhG ist zu beachten, OGH 8ObA136/00h)

Datenverwendung in Internet/Intranet

ARGE DATEN

© ARGE DATEN 2013

Web 2.0 und Social Media

Hurra! W

ir sin

d auf

Facebook!

... aber w

as mach

en wir

da?

ARGE DATEN

© ARGE DATEN 2013

ARGE DATEN

Web2.0 und Social Media

Was ist Web2.0?

üblicherweise als Mitmachweb definiert, Benutzer produzieren für andere Benutzer Inhalte

Welche Bestimmungen sind anwendbar?

- DatenschutzbestimmungenBenutzer ist in Doppelrolle als Betroffener (gegenüber Betreiber), als auch als Auftraggeber gegenüber Dritten- E-Commerce-BestimmungenHaftung, Auskunftspflichten- sonstige BestimmungenMedienrecht, Privatsphärebestimmungen nach §1328a, Offenlegungspflichten nach UnternehmensbuchG, Vereinsgesetz, ...

Hinweis!Web2.0-Regelung haben Ausgleich zwischen

mehreren Grundrechten zu sichern: freie Meinungsäußerung, Erwerbsfreiheit und Schutz

der Privatsphäre

© ARGE DATEN 2013

ARGE DATEN

Datenschutzspezifische Fragestellungen

Vorgaben des DSG 2000:(1) Rollenkonzept: Auftraggeber, Betroffener,

Dienstleister(2) Schutzinteressen der persönlichen Daten:

allgemein verfügbare Daten, indirekt personenbezogene Daten, vertrauliche Daten, sensible Daten

(3) berechtigter Zweck: persönliche Nutzung, Weitergabe an Dritte, Veröffentlichung

(4) Aufsicht + Ausnahmen: Registrierungs- bzw. Genehmigungspflicht

Web2.0, Social Media und Datenschutz

© ARGE DATEN 2013

ARGE DATEN

Variante: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern

(1) Rollenkonzept: Benutzer ist bezüglich der veröffentlichten Daten Dritter Auftraggeber, Facebook ist in diesem Fall Dienstleister, Datenanwendung liegt vor!

Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber


© ARGE DATEN 2013

ARGE DATEN


(2) Schutzinteresse: Bezüglich der Veröffentlichung der Unternehmensdaten gilt, kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat, bezüglich Dritter (Poster + Person über die gepostet wird) hat Unternehmen auf Einhaltung der Datenschutzinteressen zu achten! Es sind zusätzlich zum DSG 2000 die ECG-Bestimmungen insb. § 16 (Haftung!) zu beachten.

Facebook darf die Daten nur im Rahmen der ausdrücklich vereinbarten Geschäftsbedingungen verwenden.


© ARGE DATEN 2013

ARGE DATEN


(3) Berechtigter Zweck: Keine private Datenanwendung im Sinne des § 45 DSG 2000, in der Regel zulässig (z.B. Unternehmenspräsentation, Erwerbsfreiheit).

In Bezug auf Facebook aus Angebot und Geschäftsbedingungen ableitbar.

(4) Aufsicht: Für Unternehmen im Regelfall Registrierungs- bzw. Genehmigungspflicht, wenn keine Ausnahmebestimmung trifft zu (Standardanwendung oder ausschließliche Verwendung veröffentlichter Daten).

Für Facebook gelten die Bestimmungen des Geschäftssitzes


© ARGE DATEN 2013

ARGE DATEN

Was kann/muss ein Unternehmen regeln?

+ Wer entscheidet wo das Unternehmen präsent ist? Wer darf einen Unternehmensaccount einrichten?

+ Wer darf Beiträge zum Unternehmensaccount eintragen?+ Wer ist Anlaufstelle für Fragen/Beschwerden? (Foren-

Postings)+ Mitarbeitern die Verwendung von Unternehmenslogos,

Unternehmenskontaktdaten auf privaten Accounts verbieten

+ Mitarbeitern vorgeben, dass Äußerungen zum Unternehmen bloß persönliche/private Meinungen darstellen

+ die Bekanntgabe vertraulicher Betriebsinformationen verbieten (Problem: viele Mitarbeiter erkennen nicht, was vertraulich ist, was nicht)

+ Netiquette-Richtlinien empfehlen, Formulierungen vorschlagen

+ Hinweisen auf potentielle Rechteverletzungen: Wettbewerbsrecht, Urheberrecht, Datenschutzbestimmungen, Strafrecht, Jugendschutz, NS-Wiederbetätigung


© ARGE DATEN 2013

ARGE DATEN

Was kann/muss ein Unternehmen regeln? II

+/-Mitarbeitern die Nennung seines Arbeitgebers auf privaten Accounts verbieten

+/-Mitarbeitern die Nutzung des privaten Accounts im Unternehmen vollständig verbieten

+/-bestimmte Formulierungen verpflichtend vorgeben

- Generell Mitarbeitern private Web2.0 Accounts verbieten

- sich in keinem Zusammenhang zum Unternehmen zu äußern (z.B. es gibt eine Berichterstattung zu einem Produkt, zu einer Rückrufaktion, ...)

- verlangen, das sich Mitarbeiter über Unternehmen nur positiv äußern


© ARGE DATEN 2013

ARGE DATEN

Regeln bei der konzernweiten Verwendung von Mitarbeiterdaten - Beispiel Kontaktverzeichnis

- bisher: keine "Konzernerleichterung"- Konzern-Mitarbeiterverzeichnisse waren

registrierungspflichtig- gemeinsame Verwendung bedeutete Vorliegen eines

genehmigungspflichtigen Informationsverbundes- Übermittlung in Drittstaaten ohne angemessenes

Schutzniveau war DSK-genehmigungspflichtig- neu (seit 18. 9. 2012): Kontaktverzeichnisse sind

"Standard", wenn sie SA033 lit. A. entsprechen Konsequenz:

- keine Registrierungspflicht- keine Genehmigungspflicht des Informationsverbundes- durch verpflichtende Verwendung der

Standardvertragsklauseln keine DSK-genehmigungspflicht bei Übermittlung in Drittstaaten ohne angemessenes Schutzniveau

die Standardanwendung SA033 findet sich im Anhang

konzernweite Datenverwendung

© ARGE DATEN 2013

ARGE DATEN

A. Konzernweite Kontakt- und Termindatenbank

- Zweck: Führung & Übermittlung von Kontaktdaten der Mitarbeiter zu einer gemeinsamen konzernweiten Termindatenbank

- Rechtsgrundlage: DSG 2000 §§ 8 Abs. 1 Z 4 und 12 Abs. 3 Z 8

- Speicherdauer: bis drei Jahre nach Beendigung eines Arbeitsverhältnisses (nach Ende: beschränkt auf korrekte Behandlung noch eintreffender Nachrichten)

- Betroffene: [breit gefasst] Arbeitnehmer, arbeitnehmerähnliche Gruppen, Leiharbeitnehmer, freie Dienstnehmer (Werkverträge), Lehrlinge, Volontäre, Ferialpraktikanten

- Datenarten (Auswahl): Identifikations- und Organisationsdaten, Funktion gegenüber Kunden/Geschäftspartnern, Kontaktdaten, Verfügbarkeit (Urlaube, sonstige Abwesenheiten), Informationen zur Weiterleitung von Nachrichtenbei ehemaligen Beschäftigten: reduzierter Datenumfang!

- Übermittlungen: andere Konzernunternehmen weltweit

StMV-Novelle - konzernweite Datenverwendung

© ARGE DATEN 2013

ARGE DATEN

A. Konzernweite Kontakt- und Termindatenbank II

- Sicherheitsvorgaben: direkter Bezug auf Art. 25 oder ausreichende Garantien in Form von EU-Standardvertragsklauseln Art. 26 Abs. 2 iVm Abs. 4 der Datenschutz-Richtlinie 95/46/EG

StMV-Novelle - konzernweite Datenverwendung

© ARGE DATEN 2013

Whistleblowing - Grundlagen

Whistleblowing - "verpfeifen" - Hinweisgeber

"Ein Whistleblower (vom Englischen to blow the whistle; auf Deutsch wörtlich: „die Pfeife blasen“) ist ein Hinweisgeber oder ein Informant, der Missstände wie illegales Handeln (z.B. Korruption, Insiderhandel und Menschenrechtsverletzungen) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz oder in anderen Zusammenhängen erfährt, wie beispielsweise als Patient bei einer medizinischen Behandlung, an die Öffentlichkeit bringt." (aus Wikipedia.org)

Whistleblowing - "verpfeifen" - Hinweisgeber

"Ein Whistleblower (vom Englischen to blow the whistle; auf Deutsch wörtlich: „die Pfeife blasen“) ist ein Hinweisgeber oder ein Informant, der Missstände wie illegales Handeln (z.B. Korruption, Insiderhandel und Menschenrechtsverletzungen) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz oder in anderen Zusammenhängen erfährt, wie beispielsweise als Patient bei einer medizinischen Behandlung, an die Öffentlichkeit bringt." (aus Wikipedia.org)

bekannt gibt."

"bekannt geben" als Verallgemeinerung

ARGE DATEN

© ARGE DATEN 2013

Whistleblowing - Grundlagen

Whistleblowing - (Rechts-)Grundlagen- internationale Vorgaben, etwa für an US-Börsen notierte Unternehmen („False Claim Act 1986“, den „US Whistleblower Protection Act 1989“, den „Sarbanes-Oxley Act 2002“ (SOX), gelten auch für deren Non-US-Töchter!)

- generelle Sorfaltspflichten eines Unternehmens

- spezifische gesetzliche Bestimmungen, in Österreich derzeit für Behörden bzw. für im öffentlichen Einfluss stehende Betriebe in Diskussion

- moralisches Gerechtigkeitsgefühl der Hinweisgeber

- ???

ARGE DATEN

© ARGE DATEN 2013

Whistleblowing - Erscheinungsformen

Whistleblowing - Datenschutzrelevanz

- Hinweise behandeln im Regelfall allgemein nicht bekannte Tatsachen

- es besteht Personenbezuga) es werden konkrete Personen bezichtigt und/oderb) Hinweisgeber kann identifiziert werden und/oderc) Daten beziehen sich auf Unternehmen

- es kann eine Datenanwendung im Sinne des DSG 2000 vorliegen

- Hinweise können strafrechtlich relevante Sachverhalte betreffen

- Betroffene haben subjektive Rechte

Anspruch auf Geheimhaltung

Registrierungs-, Genehmigungspflichten

Auskunfts-, Richtigstellungs- und Löschungsrechte

Vorabkontrollpflicht

ARGE DATEN

© ARGE DATEN 2013

Whistleblowing - Datenschutzverpflichtungen

Whistleblowing - Auskunftsrecht § 26 DSG 2000

Jeder Betroffene hat Auskunftsrecht, jedoch mit Einschränkungen.

§ 26 Auskunftsrecht kann beschränkt werden, wenn

a)überwiegende Interessen Dritter gefährdet werden (z.B. Schutzinteressen des Hinweisgebers gegenüber einer bezichtigten Person)

b)Interessen des Auftraggebers gefährdet werden (z.B. Aufklärungsinteressen bezüglich der Hinweise)

Die sonstigen Beschränkungen des § 26 DSG 2000 bleiben aufrecht!

ARGE DATEN

© ARGE DATEN 2013

Whistleblowing - Datenschutzverpflichtungen

Whistleblowing - Richtigstellungs- und Löschungsrecht § 27 DSG 2000

Jeder Betroffene hat Richtigstellungs- und Löschungsrecht, jedoch mit Einschränkungen.

§ 27 kann beschränkt werden, wenn

a)mit einer Richtigstellung/Löschung der Zweck der Datenanwendung nicht mehr erfüllt werden kann (z.B. Dokumentationszweck), in der Regel ist jedoch ein Bestreitungsvermerk durch Betroffenen anzubringen

b)eine Richtigstellung/Aktualisierung für die Datenanwendung unwesentlich ist

Die sonstigen Beschränkungen des § 27 DSG 2000 bleiben aufrecht!

ARGE DATEN

© ARGE DATEN 2013 ARGE DATEN Datenschutz versus Kontrolle Verantwortung von Mitarbeitern und...

Documents

Transcript of © ARGE DATEN 2013 ARGE DATEN Datenschutz versus Kontrolle Verantwortung von Mitarbeitern und...