© ARGE DATEN 2013 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven Hans G. Zeger, ARGE...

© ARGE DATEN 2013

Datenschutz GrundlagenPraxis, Entscheidungen, Perspektiven

Hans G. Zeger, ARGE DATENWien, NH Danube City, 22. Oktober 2013

ARGE DATEN

© ARGE DATEN 2013

Die ARGE DATEN als PRIVACY-Organisation

Aktivitäten der ARGE DATEN

Öffentlichkeitsarbeit, Informationsdienst:- Web-Service: 60-80.000 Besucher/Monat

- Newsletter: rund 4.500 Abonnenten

- 2012: rund 500 Medienanfragen/-berichte

Mitgliederbetreuung Datenschutzfragen- 2012: ca. 600 Datenschutz-Anfragen

Rechtsschutz, PRIVACY-Services- 2012: in ca. 200 Fällen Mitglieder in Verfahren vertreten

Zahl der betreuten Mitglieder- aktuell: ca. 15.000 Personen

Studien- und Beratungsprojekte

A-CERT - Zertifizierungsdienstleister gem. SigG

ARGE DATEN

© ARGE DATEN 2013

ARGE DATEN

Betrieblicher Datenschutzbeauftragter

Ausbildungsreihe der ARGE DATEN

Modul I: Datenschutz Grundlagen

Modul IV: Datenschutz Praxis / international

24. Oktober 2013 / 27. März 2014

Modul II: Datenverwendung im Unternehmen23. Oktober 2013 / 26. März 2014

Modul III: Datenschutz und IT-Sicherheit5. November 2013 / 8. April 2014

Modul V: Datenschutzfragen identifizieren6. November 2013 / 9. April 2014

Die Reihe wird mit einem Zertifikat abgeschlossen

© ARGE DATEN 2013

ARGE DATEN

Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern.

© ARGE DATEN 2013

ARGE DATEN

Grundlagen DSG 2000 / Privatsphäre

EU-Neuordnung Datenschutz / Ausblick

Videoüberwachung / Spezialregelungen

Genehmigung / Registrierung

Informationspflichten & Betroffenenrechte

Geplanter Seminarablauf

Sicherheit / Strafbestimmungen

© ARGE DATEN 2013

ARGE DATEN

Grundlagen des DSG 2000

Die wichtigsten Begriffe

Zustimmung

Zulässigkeit der Datenverwendung

Rechtmäßige Datenanwendung

© ARGE DATEN 2013

ARGE DATEN

Entwicklung zum DSG 20001978 erstes Datenschutzgesetz - DSG (BGBl.

Nr. 565/1978)(Geltung 1.1.1980-31.12.1999)

1995 EG-Datenschutzrichtlinie 95/46/EG1999 Datenschutzgesetz - DSG 2000 (BGBl. I

Nr. 165/1999)

Wichtige Änderungen zum DSG 2000 (Auswahl)2001 Euro-Umstellung der Verwaltungsstrafen (BGBl. I Nr.

136/2001)

2005 "Tsunami"-Bestimmung (BGBl. I Nr. 13/2005)

2008 Änderungen in Verfassungsbestimmungen (BGBl. I Nr. 2/2008)

2009 DSG 2000 - Novelle 2010 (BGBl. I Nr. 133/2009)

2012 Verwaltungsgerichtsbarkeits-Novelle 2012 (BGBl. I Nr. 51/2012)



20?? EU - Neuordnung des Datenschutzes

DSG 2000 - Grundlagen

© ARGE DATEN 2013

Umsetzung der EU-Richtlinie "Datenschutz" (1995)

soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch innerhalb der EU (Art.1 Abs.2) sichern

Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten."

Art. 1 Abs. 2 "Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes."

EU-RL gilt nur für "natürliche Personen"DSG 2000 auch für "juristische und sonstige Personen"damit vertritt Österreich EU-weit eine exotische Position

Bestimmungen betreffen alle Verwendungsformen persönlicher Daten, nicht nur automatisiert verarbeitete Daten


ARGE DATEN

© ARGE DATEN 2013

DSG 2000 - Grundrecht

DSG 2000 § 1 (Verfassungsbestimmung):

"jede Verwendung persönlicher Daten ist verboten"

umfassender Geheimhaltungsanspruch

Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots ist möglich:

- mit der Zustimmung des Betroffenen

- zur Vollziehung von Gesetzen (Behörden)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter

- bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen

- EU-Vorschlag: auf Basis rechtlicher Befugnisse (Gesetze, Verträge)

Einschränkungen des Verbots sind möglich:- mit der Zustimmung des Betroffenen

- zur Vollziehung von Gesetzen (Behörden)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter

- bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen

ARGE DATEN

© ARGE DATEN 2013

ARGE DATEN

DSG 2000 § 4 Z 1

"Daten" ("personenbezogene Daten")"Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist"

DSG 2000 § 4 Z 3"Betroffener""jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden"

Datenbegriff sehr allgemein gehalten, umfasstauch Bild- und Tondaten, biometrische Daten,

technische Kennzahlen (z.B. Stromverbrauchsdaten,

IP-Adressen, ), ...


© ARGE DATEN 2013

ARGE DATEN

Personenbezogene Daten

Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!)

personenbezogene Daten § 4 Z 1 DSG 2000

sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG 2000 (kein EU-Begriff)

sensible Daten§ 4 Z 2 DSG 2000


© ARGE DATEN 2013

ARGE DATEN

DSG 2000 § 4 Z 2 ("sensible" Daten)

Daten natürlicher Personen über

rassische und ethnische Herkunft

politische Meinung

Gewerkschaftszugehörigkeit

religiöse und philosophische Überzeugung

Gesundheit

Sexualleben

Probleme kann die Abgrenzung bereiten, z.B. Hautfarbe, Speisegewohnheiten, "Kopftuch",

Sozialberatung


© ARGE DATEN 2013

ARGE DATEN

DSG 2000 § 4 Z 4"Auftraggeber" / Verantwortlicher für Datenverwendung"natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung)

DSG 2000 § 4 Z 5 "Dienstleister"natürliche oder juristische Personen, ...... , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung)


© ARGE DATEN 2013

ARGE DATEN


DSG 2000 § 4 Z 6"Datei"

"strukturierte Sammlung von Daten, die nach mindestens einem [personenbezogenen, Anm.] Suchkriterium zugänglich sind"

DSG 2000 § 4 Z 7,,Datenanwendung''

"die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte ... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)"

DSG 2000 § 4 Z 8" Verwenden von Daten"

"jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten"

© ARGE DATEN 2013

ARGE DATEN

Entscheidung OGH 6Ob148/00h"Abgrenzung Akten und Datei"

Unter Datei sind daher Übersichts-Karteien und Listen, nicht aber Akteninhalte und Aktenkonvolute zu verstehen.OGH-Spruch: Daten in Akten unterliegen nicht dem Datenschutzgesetz (!)

DSK K120.810/005-DSK/2002 ("Personalakte")"Der Personalakt selbst ist ein Konvolut verschiedener Papieraktenstücke und wird zwar wohl nach einem Suchbegriff geordnet aufbewahrt, hat aber keinen fest strukturierten Inhalt." Akten, Aktensammlungen und deren Deckblätter fallen nicht in den Anwendungsbereich des DSG 2000, Unberührt davon bleibt das Recht auf Akteneinsicht, das Auskunftspflichtgesetz, Regelungen des Arbeitsrechts (Personalakte)

DSK und OGH-Entscheidungen zu Papierakten werden als Richtlinien- und DSG 2000 - widrig kritisiert (u.a. Mayer-Schönberger, Datenschutz und Papierakten)


© ARGE DATEN 2013

ARGE DATEN

DSG 2000 § 4 Z 9 "Verarbeiten von Daten""das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten"

DSG 2000 § 4 Z 12 "Übermitteln von Daten""die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister"

Entscheidung DSK K120.656/16-DSK/00"technisch unabhängig"

Übermittlung ist unabhängig von der technischen Methode


© ARGE DATEN 2013

ARGE DATEN


DSG 2000 § 4 Z 14 "Zustimmung""die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt"

Widerruf der Zustimmung in § 8 bzw. § 9 geregelt

Entscheidung OGH 4 Ob 221/06p ("GE ...bank")OGH 4 Ob 28/01y ("Creditanstalt")OGH 4 Ob 179/02f ("BA-CA")

Damit schließt diese Definition für die Zukunft abgegebene allgemeine Zustimmungserklärungen

aus

Von der Zustimmung iS DSG 2000 § 4 Z 14 sind andere vertragliche Vereinbarungen zur

Nutzung von Daten zu unterscheiden, etwa im Rahmen von Bestellungen, Kundenkarten, ...

© ARGE DATEN 2013

ARGE DATEN

OGH 4 Ob 221/06p ("GE ...bank")AK klagt Vielzahl von AGB-KlauselnDatenschutzbestimmungen betreffen:

- Entbindung vom Bankgeheimnis (OGH unzulässig in den AGB's, hat jedoch ausdrücklich zu erfolgen)

- Zustimmung zur Datenaustausch mit Auskunftsdiensten (OGH Stellen sind ausdrücklich zu benennen, nicht ausreichend in AGB's, Daten sind zu spezifizieren, Zweifel ob im vorliegenden Fall überhaupt berechtigt)

- OGH: Aus Pflicht zur Bonitätsprüfung kann keine Datenweitergabe an Auskunftsdienste abgeleitet werden

- Zustimmung zu Werbezwecken (OGH Widerrufsmöglichkeit muss in derselben Klausel wie Zustimmung sein, ansonsten Irreführungsmöglichkeit)

- Übermittlung an andere Unternehmen zu Werbezwecken (OGH Unternehmen, Daten und Zwecke müssen vollständig angeführt sein)

Die geklagten Klauseln werden durchwegs aufgehoben


© ARGE DATEN 2013

ARGE DATEN

Was ist eine gute Zustimmungserklärung?- grundsätzlich gilt Formfreiheit

auch mündlich (Beweisproblem), konkludent oder Teil der AGBs möglich

- WillenserklärungArt wird vom Adressaten abhängen, bei Konsumenten höhere Anforderungen als bei GeschäftsleutenEmpfehlung: ausdrückliche Unterschrift, getrennt von sonstigen Vereinbarungen

- Kenntnis der SachlageAufklärung über Umfang der Datenarten, Inhalt der Daten, Zweck der Datenweitergabe, Empfänger der Daten (so detailliert, dass der Betroffene die konkreten Empfänger erkennen kann)

- konkreter FallPauschalzustimmungen, ohne besonderen Zweck sind unzulässsig

- Widerrufshinweisgesetzlich nicht vorgeschrieben, OGH tendiert jedoch dazu


© ARGE DATEN 2013

Verwenden von Daten

Z 8

Übermitteln Verarbeiten

Z 9

Z 12

Daten-anwendung

Z 7

Auftraggeber

Z 4

Dienstleister

Z 5

AuftragÜberlassen

Z 11

Ermitteln,Auswerten,Sortieren,Speichern,Analysieren,Korrigieren,Ausdrucken,Anzeigen, ...


Die wichtigsten Begriffe (§ 4 DSG Z ...)

ARGE DATEN

© ARGE DATEN 2013

ARGE DATEN


Grundsätze der Verwendung von Daten (§ 6ff)Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1)

Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2)

Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2)

Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3)

Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4)

120.705/010-DSK/2001 ("gelindester Eingriff")Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren

© ARGE DATEN 2013

ARGE DATEN

Grundlage einer rechtmäßigen Datenverwendung

Dreistufiges Konzept

Es muss ein berechtigter Zweck für die Datenanwendung geben sein und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (§ 6, § 7 Abs.1)

Es muss eine Rechtsgrundlage für die Verwendung der konkreten Daten eines Betroffenen geben (§§ 7ff)

Die Datenanwendung muss den Registrierungserfordernissen entsprechen (§§ 16ff)

Beispiele:

Warndatei von Risikopatienten in einem KrankenhausDürfen im Zuge einer Unternehmensauflösung die Kundendaten verkauft werden?Bank als Veranstaltungsvermittler und "JugendClub"-Betreiber


© ARGE DATEN 2013

ARGE DATEN

Wie kann die Rechtmäßigkeit einer Datenverarbeitung abgeschätzt werden?

(1) RechtsgrundlageDie Verwendung von personenbezogenen Daten muss für ein legitimes Ziel (Gesetz, Vertrag, ...) erforderlich sein.

(2) EignungDie Verwendung von Daten muss geeignet sein um das bestimmte, konkrete Ziel (Zweck) tatsächlich zu erreichen.

(3) ErforderlichkeitEs gibt keine alternative (weniger invasive) Lösung zur Erreichung des bestimmten Ziels (Zweckes).

(4) VerhältnismäßigkeitDie Verwendung der Daten führt zu keiner Verletzung höherwertiger Schutzrechte (Grundrechte).


© ARGE DATEN 2013

ARGE DATEN

Entscheidung zu DSG 2000 § 7

DSK K120.657/8-DSK/00 ("Eigenwerbung")Zum Zwecke der "Eigenwerbung" dürfen auch Daten aus anderen Verwendungszwecken des Datenverarbeiters benutzt werden

Die DSK geht davon aus, dass kein schutzwürdiges Interesse (Geheimhaltungsinteresse) verletzt wird.

Das Vermerken von Spenden in einer Patientendatei wäre jedoch nach Ansicht der DSK unzulässig.

Verwendung nicht uneingeschränkt zulässig, muss mit ursprünglichem Zweck grundsätzlich vereinbar

sein

Grundlage ist § 47 DSG 2000"Datenverwendung zu Verständigungszwecken"


© ARGE DATEN 2013

ARGE DATEN

Zwecke und Geschäftsbereiche

Auswertung von Girokonten zur Anbahnung von Bausparverträgen (OGH 4 Ob 114/91)Ausgangslage

- eine sektorale Bausparkasse hat den ihr zugerechneten Banken vorgeschlagen, die Girokonten nach "Fremdbausparverträgen" bzw. "Nichtbausparern" zu analysieren und diese gezielt bezüglich eines Abschlusses eines Bausparvertrages anzusprechen

- eine Datenübermittlung an die Bausparkasse fand nicht statt

- die Bausparkasse stellte ein Auswertungstool zur Verfügung

Entscheidung des OGH

- unzulässige Datenverwendung

- die Führung von Girokonten und die Vermittlung von Verträgen (hier: Bausparverträgen) sind als zwei getrennte Geschäftsbereiche anzusehen

© ARGE DATEN 2013

ARGE DATEN

Zwecke und Geschäftsbereiche

Fallbeispiel Bankkonto

Welche Daten dürfen Banken bei Girokontoeröffnung erheben?

- nach BWG verpflichtet: Identität des Antragstellers (Name, Adresse, Geburtsdatum, Ausweis)

- aus Kontaktgründen sinnvoll: Telefonnummer, eMail-Adresse- auf Grund spezifischer Angebote möglich: Dienstgeber

Welche weiteren Daten erheben Banken?(Studie bei 19 Instituten)

- SV-Nummer (5), Familienstand(13), Zahl der Kinder(6), Beruf/Beschäftigungsart(14), Wohnungsart(3), Bildung(2), PKW-Besitz(2)

- nur 4 Institute stellen keine über den Zweck hinausgeehnde Fragen

- Maximalvariante: ein Institut verlangte detaillierte Haushaltsrechnung

© ARGE DATEN 2013

Geheimhaltungsinteressen bei Datenverwendung (§ 8-nicht-sensible Daten, § 9-sensible Daten)

Wann dürfen Daten jedenfalls verwendet werden? (Auszug)

- Rechtsgrundlage / gesetzliche Verpflichtungen- Zustimmung des Betroffenen- zur Wahrung lebenswichtiger Interessen- überwiegende Interessen Dritter / Auftraggeber

(nicht anwendbar bei sensiblen Daten!)z.B. notwendige Voraussetzung zur Vertragserfüllung,Ausübung von Rechtsansprüchen des Auftraggebers, behördliche Tätigkeit

- indirekt personenbezogene Daten (EU-Konformität??)- zulässig veröffentliche Daten:

soweit berechtigter Zweck des Verwenders gegeben?soweit mit ursprünglicher Veröffentlichung vereinbar?


ARGE DATEN

© ARGE DATEN 2013

ARGE DATEN

Was ist eine zulässige Veröffentlichung?

Veröffentlichen von Informationen- ist im DSG 2000 Spezialfall der Datenübermittlung- die Veröffentlichung muss rechtlich zulässig sein

Beispiele für bedenkliche Veröffentlichungen:- Altersjubilare in der Gemeindezeitung genannt- Daten von Privathaushalten in einer Tourismusbroschüre

angegeben (Kaprun)- Ehrentafel aller eingemeindeten Bürger- Teilnehmerlisten von Kongressen/Seminaren- Klassenbilder im Schuljahresbericht- Veröffentlichen von lokalen (Amateur-)Sportergebnissen

mit Name, Adresse und Geburtsdatum im Internet- Zusammenstellung persönlicher Daten durch

Personensuchmaschinen- Verwendung ungesicherter ("erratbarer") URLs bei

Postzustellung

DSG 2000 - Veröffentlichung

© ARGE DATEN 2013

ARGE DATEN

Beispiel Verwendung Mailadresse

OGH-Entscheidung 6 Ob 167/06m

Ausgangslage

- WK-Obmann des Fachverbands Werbung klagt, weil seine auf der Webseite des Verbands veröffentlichte Mailadresse im Zusammenhang mit der "Robinsonliste" genannt wird

- Mailadresse diene bloß für Fachverbandsmitglieder, nicht für Beschwerden von Konsumenten

Entscheidung

- kein Schutzinteresse, da Adresse von Betroffenen selbst mehrfach veröffentlicht wurde und ein sachlicher Zusammenhang zwischen der Robinsonliste, die in den Verantwortungsbereich des Fachverbands fällt und dem Obmann besteht


© ARGE DATEN 2013

ARGE DATEN

DSK K121.224 ("Nationalrat, Parlament")

Ausgangslage

- im Zuge einer parlamentarischen Anfragebeantwortung wurde eine Person (kein Politiker) namentlich genannt

- Anfragebeantwortung wurde auf Website des Parlaments nicht anonymisiert veröffentlicht

Entscheidung

- keine Zuständigkeit der DSK gegeben

- DSK nur bei Vollziehung der Gesetze ("öffentlicher Bereich" § 5 DSG 2000) und - teilweise - für private Datenverarbeiter zuständig

- Datenschutzverletzung betrifft Gesetzgebung

für Gesetzgebung, aber auch Justiz keine Zuständigkeit des DSG 2000, Gerichte haben

jedoch vergleichbare Bestimmungen im GOG

DSG 2000 - Abgrenzung Zuständigkeit

© ARGE DATEN 2013

ARGE DATEN

Videoüberwachung

Informationsverbundsystem

Verständigung / Adressenverlage

automatisierte Einzelentscheidung

Besondere Bestimmungen

Wissenschaft und Forschung

© ARGE DATEN 2013

ARGE DATEN

Videoüberwachung - Hintergrund(DSG 2000 § 50a ff)

- keine offiziellen Statistiken über Umfang der Videoüberwachung in Österreich (Schätzung: 50-100.000 Standorte mit 300.000 - 1.000.000 Kameras)

- keine Zahlen im staatlichen oder staatsnahen Bereich vorhanden

- staatliche Videoüberwachung teilweise in SPG ("Gefahrenabwehr") und StPO ("Lauschangriff") geregelt

- sonstige Videoüberwachungen sind personenbezogene Datenaufzeichnung und Teil des DSG 2000 ("bestimmbare" Personen)

- spezifisches Problem: es werden vorrangig Personen erfasst, die NICHT unter den Aufzeichnungszweck fallen

DSG 2000 - Novelle 2010 - Videoüberwachung

© ARGE DATEN 2013

ARGE DATEN

Videoüberwachung - Definition(DSG 2000 § 50a Abs 1)

Videoüberwachung ist definiert durch:- systematische und fortlaufende Feststellung von Ereignissen

- betreffen bestimmte/überwachte Objekte oder Personen

- Nutzung technischer Bildaufnahme- und Bildübertragungsgeräte

Hinweis! Nicht jede Bildaufzeichnung fällt unter die Definition der Videoüberwachung!

- einzelne Fotos/kurze Filme mit Digitalkameras oder Handykameras ("Touristenaufnahmen")

- Aufnahmen aus fahrenden Autos heraus- Überwachung ohne identifizierende Absicht (technische Überwachungen, "Panoramakameras", "Hirsch-TV")


© ARGE DATEN 2013

ARGE DATEN

Videoüberwachung - zulässige Zwecke(DSG 2000 § 50a Abs. 2)

Auswertung und Übermittlung zulässig, - zum Schutz eines überwachten Objekts oder einer überwachten Person

- Erfüllung rechtlicher Sorgfaltspflichteneinschließlich der Beweissicherung

Einschränkungen- Persönlichkeitsschutz nach § 16 ABGB ist zu beachten

- Höchstpersönliche Lebensbereiche dürfen nur bedingt aufgezeichnet werden (Abs. 5)

- Mitarbeiterüberwachung ist nur bedingt zulässig (Abs. 5)


© ARGE DATEN 2013

ARGE DATEN

Videoüberwachung - zulässiger Einsatz I(DSG 2000 § 50a Abs. 3)

- im lebenswichtigen Interesse des Betroffenen (Abs. 3 Z 1) [Intensivstation, ...??]

- Verhalten, das öffentlich wahrgenommen werden will (Abs. 3 Z 2) [öffentlicher Vortrag/Straßensänger, Teilnehmer einer Kundgebung, ...??]

- Betroffener hat Überwachung selbst ausdrücklich zugestimmt (Abs. 3 Z 3)

Video-Einsatz gemäß diesem Absatz sieht keine Beschränkungen vor!


© ARGE DATEN 2013

ARGE DATEN

Videoüberwachung - zulässiger Einsatz IIa(DSG 2000 § 50a Abs. 4, 5)

- berechtigte Annahme Objekt oder Person könnte Ziel oder Ort eines gefährlichen Angriffs werden (Abs. 4 Z 1) [siehe OGH-Judikatur, allgemeine Angst/Vorsorge dürfte nicht reichen, aber Standardanwendungen für Trafikanten, Bankfilialen, Juweliere, Tankstellen, eigene Wohnzwecke genutzte private Grundstücke, internationale Organisationen, Verwaltungsgebäude öffentlicher Rechtsträger, Parkgaragen

und -plätze, Rechenzentren,weiterhin Einzelgenehmigung erforderlich: u.a. Supermärkte, sonstige Geschäftslokale, Betriebsstätten]

- Rechtsvorschriften oder gerichtliche Entscheidungen auferlegen dem Auftraggeber besondere Sorgfaltspflichten zum Schutz von Personen/Objekten (Abs. 4 Z 2) [Tankstellen, Straßentunnel-Sicherheitsgesetz–STSG, ÖFB/Vereinsstatuten, ...]

DSG 2000 - Videoüberwachung

© ARGE DATEN 2013

ARGE DATEN

Videoüberwachung - zulässiger Einsatz IIb(DSG 2000 § 50a Abs. 4, 5)

- bloße Echtzeitüberwachung (keine Aufzeichnung/Speicherung) zum Schutz von Leib/Leben oder Eigentum des Auftraggebers (Abs. 4 Z 3) ["verlängertes Auge": Monitore bei Hauseingängen, Garagen]

Absolute Beschränkungen zu den Fällen Abs. 4 Z 1-3:- keine Überwachung höchstpersönlicher Lebensbereiche [kein ToilettenTV, Privatwohnungen, Umkleidekabinen, Umkleideräume??, Krankenbetten??, Gräber??, Betstätten??]

- nicht zum Zweck der Mitarbeiterkontrolle [laut EB gemeint: Leistungskontrolle]


© ARGE DATEN 2013

ARGE DATEN

Videoüberwachung - Beispiel einer Begründung(nach DSG 2000 § 50a Abs. 4)

Rechtsgrundlagen:"§§ 344, 353 ff ABGB (Eigentumsschutz), Hausrecht, Verkehrssicherungspflichten und Vertragshaftung, § 80 StPO, Veranstaltungsgesetz des jeweiligen Bundeslandes, Satzungen des ÖFB und der Bundesliga, Lizenzbestimmungen und Sicherheitsbestimmungen der Bundesliga"(aus der Registrierung DVR 3004155 FK Austria Wien AG / Ausfüllmuster - Videoüberwachung in Stadien)

Wesentlich ist das Vorliegen einer "dringenden Gefahr"


© ARGE DATEN 2013

ARGE DATEN

Videoüberwachung - weitere zulässige Verwendung ("Zufallsfunde")(DSG 2000 § 50a Abs. 6)

- an Behörden und Gerichte bei Verdacht einer von Amts wegen gerichtlich bedrohten strafbaren Handlung [keine Privatanklagedelikte, Zivilverfahren, Verwaltungsübertretungen]

- an Sicherheitsbehörden nach SPG § 53 Abs. 5 [Behörden entscheiden über Notwendigkeit]

- Durchsetzungsbefugnisse zur Herausgabe von Beweismitteln bleiben bestehen [kein Entschlagungsgrund wegen DSG 2000 § 50a]


© ARGE DATEN 2013

ARGE DATEN

Videoüberwachung - Verwertungsverbote(DSG 2000 § 50a Abs. 7)

- Videodaten dürfen nicht automationsunterstützt mit anderen Bilddaten abgeglichen werden [Verbot von Face-Recognition, unklar: Verbot von Bewegungsanalysen, von Abgleich mit Bedrohungsmustern]

- kein systematisches Durchsuchen nach sensiblen Auswahlkriterium [etwa: Hautfarbe, Geschlecht, ...]


© ARGE DATEN 2013

ARGE DATEN

Videoüberwachung - Regeln zur Verwendung der Daten(DSG 2000 § 50b)

- Jede Datenverwendung ist zu protokollieren (Ausnahme Echtzeitüberwachung) (Abs. 1)[Erweiterung der Protokollpflicht des § 14 DSG 2000][zur Dauer der Aufbewahrung der Protokolldaten wird keine Aussage gemacht, § 14 geht von drei Jahren aus]

- nicht dem ursprünglichen Zweck entsprechende Daten sind nach 72 Stunden zu löschenLängere Aufbewahrungszeiten sind auf begründeten Antrag möglich (Abs. 2)


© ARGE DATEN 2013

ARGE DATEN

Videoüberwachung - Meldepflicht I(DSG 2000 § 50c)

Abgestufte Meldepflicht- keine Meldepflicht bei Echtzeitüberwachung, bei Aufzeichnung auf analogem Speichermedium (Abs. 2) [konvertieren würde aber zu Meldepflicht führen!]

- keine Meldepflicht bei den sonstigen Ausnahmen nach § 17 Abs. 2 und 3 DSG 2000, insbesondere bei Standardanwendungen SA032 (Abs. 2)

- vereinfachte Meldepflicht bei Verschlüsselung der Videodaten und Hinterlegung des Schlüssels bei der DSK (Abs. 1)


© ARGE DATEN 2013

ARGE DATEN

Videoüberwachung - Meldepflicht II(DSG 2000 § 50c)

- alle anderen Fälle unterliegen der Vorabkontrolle (Abs. 2)

Mehrere gleichartige Standorte und Überwachungsgründe können in einer Meldung zusammen gefasst werden (Abs.3)


© ARGE DATEN 2013

ARGE DATEN

Videoüberwachung - Kennzeichnungspflicht(DSG 2000 § 50d)

- jede Videoüberwachung ist zu kennzeichnen (Abs. 1) [umfasst auch nicht registrierungspflichtige]

- der Auftraggeber muss aus der Kennzeichnung eindeutig erkennbar sein, es sei denn er ist dem Betroffenen bereits bekannt (Abs. 1)

- Kennzeichnung muss so erfolgen, dass potentiell Betroffene der Überwachung ausweichen können (Abs. 1)

- keine Kennzeichnungspflicht beim Vollzug hoheitlicher Aufgaben, die unter die Ausnahmen nach § 17 Abs. 3 DSG 2000 fallen (Abs. 2) [Keine sonstige Ausnahme von der Kennzeichnung für Private (etwa zur verdeckten Observation)]


© ARGE DATEN 2013

ARGE DATEN

Videoüberwachung - Auskunftsrecht(DSG 2000 § 50e Abs. 1)

besonderes Auskunftsrecht notwendig, da Videoüberwachung als indirekt personenbezogene Daten vom Auskunftsrecht nach § 26 DSG 2000 ausgenommen wäreAuskunft ist zu erteilen, wenn Antragsteller

- Zeitraum und Ort der Überwachung möglichst genau benannt hat

- seine Identität geeignet nachgewiesen hatAuskunft ist zu geben

(a) Kopie der Aufzeichnung in einem "üblichen technischen Format"

(b) alle anderen Daten analog § 26 DSG 2000


© ARGE DATEN 2013

ARGE DATEN


Videoüberwachung - Auskunftsrecht II(DSG 2000 § 50e Abs. 2,3)

Ausnahmen von der Auskunftspflicht- wenn berechtigte Interessen des Auftraggebers oder Dritter der Ausfolgung einer Kopie entgegenstehen, ist ersatzweise

- Beschreibung seines Verhaltens auszufolgen oder

- Kopie unter Unkenntlichmachung anderer Personen

- bei Echtzeitüberwachung kein Auskunftsanspruch

DSK beschränkt das Auskunftsrecht auf ausgewertete Daten (K121.605/0014-DSK/2010)

derzeit VwGH-Beschwerdeverfahren gegen DSK-Beschränkung

© ARGE DATEN 2013

ARGE DATEN

Videoüberwachung - Prüfschema(DSG 2000 §§ 50a ff)

- Liegt Videoüberwachung im Sinne des Gesetzes vor?- Besteht zur Datenaufzeichnung ein berechtigter Zweck im Sinne des DSG 2000?

(1)Eignung? (wird überhaupt Ziel erreicht?)(2)Erforderlichkeit? (Alternativen?)(3)Verhältnismäßigkeit? (Abwägung der Eingriffstiefe)

- Besteht ein zulässiger Verwendungsgrund I - III?- Bestehen Ausnahmen von der Registrierungspflicht?- Handelt es sich um eine vorabkontrollpflichtige Registrierung?

- Welche Informationspflichten (bzw. Ausnahmen davon)?

- Wie kann ich die Auskunftspflicht organisieren?


© ARGE DATEN 2013

ARGE DATEN

Was ist ein Informationsverbundsystem (IVS)? (§ 50)

gemeinsame Verwendung von Daten in einer DA durch mehrere [österreichische] Auftraggeber

geeigneter Betreiber ist zu bestellen

Betreiber ist zwecks Eintrag im DVR zu melden

Betreiber hat Auskünfte über Auftraggeber zu geben (12 Wochenfrist!)es können weitere Auftraggeberpflichten an den Betreiber abgetreten werden

Meldepflichten des Informationsverbundsystems können an Betreiber formlos übertragen werden (Abs. 2)Erleichterungen der Meldung zusätzlicher Teilnehmer an Informationsverbundsystem: es genügt Verweis auf andere Meldung (Abs. 2a)

Stand lt. DVR-Online: 103 Anwendungen gemeldet, davon ca. 80% aus dem öffentlich-rechtlichen Bereich, 20% private

DSG 2000 - Spezialregelungen

© ARGE DATEN 2013

ARGE DATEN

Registrierung von Warndateien bei BankenDSK K095.014/021-DSK/2001

erging ursprünglich an vier Banken "Musterbescheid"

Genehmigung mit Auflagen erteilt IEintragung von Kunden nur zulässig bei

- vertragswidrig ausgestellten Schecks- vertragswidrig genutzter Bankomat- oder Kreditkarte

- Aufkündigung einer Kontoverbindung +- Fälligstellung eines Kredits +- Einleitung der Rechtsverfolgung ++ Forderung übersteigt 1.000 EUR

Informationspflicht des Betroffenen VOR Eintragung

Grund der Warneintragung ist Betroffenen bekannt zu geben


© ARGE DATEN 2013

ARGE DATEN

Registrierung von Warndateien bei Banken Genehmigung mit Auflagen erteilt II

Bekanntgabe der Durchsetzung der Betroffenenrechte

unverzügliche Eintragung begründeter Bestreitung derForderung ist vorzusehen

vollständige Bezahlung der Forderung ist unverzüglich einzutragen

bei unbegründeter Forderung ist unverzügliche Löschungvorzunehmen

Löschung nach 3 Jahren nach vollständiger Bezahlung derSchuld, ansonsten nach 7 Jahren nach Tilgung der Schuld

Überprüfung der Richtigkeit muss mindestens einmal jährlich erfolgen

Analog DSK-Bescheid K600.033-018/0002-DVR/2007 zur Konsumentenkreditevidenz (KKE)


© ARGE DATEN 2013

ARGE DATEN

Ausgangslage: - Konzern gibt für alle Töchter ein gemeinsames

Mitarbeiterverzeichnis heraus- Enthält z.B. Name, Dienstort, berufliche Telefon- und eMail-

Adresse- Konzern hat mehrere Töchter (eigenständige

Auftraggeber) in Österreich

bisher:- es liegt gemeinsame Verwendung von Daten in einer DA

vor melde- und vorabkontrollpflichtiger Informationsverbund liegt Datenverarbeitung im Ausland, kann zusätzlich Genehmigung für internationalen Datenverkehr erforderlich sein

seit 9/2012:

- Standardanwendung SA033 mit mehreren definierten zulässigen Zwecken

DSG 2000 StmV 2012 - Informationsverbund

© ARGE DATEN 2013

ARGE DATEN

definierte Standard-Anwendungen: - konzernweite Kontakt- und Termindatenbank- Karrieredatenbank (freiwillige Teilnahme erforderlich)- Verwaltung von Bonus- und Beteiligungsprogrammen

(z.B. Stock-Options für Mitarbeiter, ...)- technische Unterstützung (für Mitarbeiter)

Konsequenzen:- keine Melde- und/oder Genehmigungspflicht (auch nicht,

wenn Verarbeitung in Land ohne gleichwertigem Datenschutz erfolgt)

- Umfang der Datenanwendung darf Standard nicht überschreiten

- Datensicherheit muss gewährleistet sein: Entwurf bezieht sich direkt auf Standardvertragsklauseln der EG-Richtlinie

DSG 2000 StmV 2012 - Informationsverbund

© ARGE DATEN 2013

ARGE DATEN

Verwendung von Daten für Wissenschaftund Forschung (§ 46)

- Verwendung im Sinne dieser Bestimmung liegt vor, wenn Ergebnisse nicht personenbezogen sind

- effektive Anonymisierung so bald als möglich notwendig, "Pseudonymisierung/Codierung" nicht ausreichend

Folgende Daten dürfen verwendet werden:- öffentlich zugängliche Daten (Abs. 1 Z 1)

- Daten, die der Auftraggeber zu anderen Zwecken ermittelt hat (Abs. 1 Z 2)

- indirekt personenbezogene Daten (Abs. 1 Z 3)

- gemäss gesetzlicher Vorschriften (Abs. 2 Z 1)

- mit Zustimmung des Betroffenen (Abs. 2 Z 2)

- Weitere Verwendungsmöglichkeit mit Genehmigung der DSK/DSBh (Abs. 2 Z 3)


© ARGE DATEN 2013

ARGE DATEN

Verwendung von Daten für Wissenschaftund Forschung (§ 46) II

DSK K202.010/002-DSK/2001 ("öffentliches Interesse")

von öffentlicher Hand geförderte Forschung liegt immer im öffentlichen Interesse

DSK K202.034/003-DSK/2003 ("Leiharbeit und Neue Selbständige")

Verwendung von Personendaten (inkl. SV-Nummer) aus SVA, dem HV, den Gebietskrankenkassen und dem BMWA nach Vorlage eines Verwendungskonzepts genehmigt

DSK K202.028/006-DSK/2003 ("Suizidforschung")Die Verwendung der Daten Verstorbener fällt nicht in den Genehmigungsbereich der DSK


© ARGE DATEN 2013

ARGE DATEN

Bereitstellung von Adressen zu Verständigungs-/Befragungszwecken [inkl. Werbung] (§ 47)Grundsätzlich gilt: auch die Übermittlung von Adressen ist durch Betroffenen zustimmungspflichtig

Ausnahme: Voraussetzung ist das Fehlen der Beeinträchtigung der Geheimhaltungsinteressen UND

- Verwendung der Daten desselben Auftraggebers (Z 1) oder- bei Benachrichtigung/Befragung durch Dritte, wenn daran

öffentliches Interesse besteht (Z 2 lit. a) oder- der Betroffene nach entsprechender Information keinen

Widerspruch eingelegt hat (Z 2 lit. b)

Weitere Möglichkeiten mit Genehmigung der DSK/DSBh

Verwendungsbeschränkung der Adressen!

Löschungspflicht (!) nach Verwendung


© ARGE DATEN 2013

ARGE DATEN

Sonderbestimmungen zu Adressenverlagen / Werbung

- § 151 GewO1994 ("Listenprivileg" der Adressenverlage)

- § 107 TKG 2003 (Werbeverbot Telefon/Fax/e-mail/SMS)

GewO-Bestimmung ist Weitergabeermächtigung- Inhaber von Kunden/Interessentenlisten dürfen nur bestimmte

Daten ohne Zustimmung des Betroffenen weitergeben

- auf Widerspruchsmöglichkeit muss hingewiesen werden

- zulässige Datenarten: Namen, Geschlecht, Titel, akademischer Grad, Anschrift, Geburtsdatum, Berufs-, Branchen- oder Geschäftsbezeichnung, Zugehörigkeit zu Kunden-/Interessentendatei

- gesetzliche Sperrliste ("Robinsonliste") ist von Adressverlagen zu beachten!

- Löschungsanspruch gegenüber gewerblichen Adressenverlagen!


© ARGE DATEN 2013

ARGE DATEN

Automatisierte Einzelentscheidungen (§ 49)"niemand darf einer rechtlichen Folge oder ihn beeinträchtigenden Entscheidung unterworfen werden, die ausschließlich automationsunterstützt erfolgt"

Automatisierte Einzelentscheidungen sind zulässig:

- wenn gesetzlich vorgesehen

- wenn automationsunterstützte Entscheidungen im Sinne des Betroffenen sind

- wenn ausreichende Maßnahmen getroffen werden, die die Interessen des Betroffenen berücksichtigen (etwa ein "Einspruchsrecht")

Informationsrecht des Betroffenen über logischen Ablauf der Entscheidungsfindung


© ARGE DATEN 2013

ARGE DATEN

Übersicht

§ 1328a ABGB

Beispiele

Schutz der Privatsphäre

Anti-Stalking-Bestimmung § 107a StGB

Entscheidungen

© ARGE DATEN 2013

ARGE DATEN

Bestimmungen zum Schutz der Privatsphäre• EMRK Art 8 (Privatsphäre, Familienleben, Briefverkehr)

• StGG (Staatsgrundgesetz) Art. 9, 10 (Briefgeheimnis) u. 10a (Fernmeldegeheimnis)

• § 1 DSG 2000 (Geheimhaltung Daten)

• § 16 ABGB (angeborene Rechte)

• StGB z.B. § 118f (Briefgeheimnis), § 119f (Telekommunikationsgeheimnis) und §§ 302ff (Amtsmissbrauch)

• TKG 2003 § 93 (Kommunikationsgeheimnis)

• MedienG § 7ff (Bloßstellung)

• UrhG § 77 (Briefe, Tagebücher, ähnliche vertrauliche Aufzeichnungen), § 78 (Bildnisschutz), § 87 Abs 2 (Entschädigung)

• Regelungen für einzelne Berufsgruppen (siehe Anhang)

• ABGB § 1328a (Bloßstellung)

• StGB § 107a (Anti-Stalking-Bestimmung)

Schutz der Privatsphäre - Übersicht

© ARGE DATEN 2013

ARGE DATEN

§ 107a StGB Beharrliche Verfolgung / Stalking- Delikt: beharrliche Verfolgung, gegeben wenn

- räumliche Nähe gesucht (Abs. 2 Z 1) oder

- Kontaktaufnahme mittels Telekommunikation, sonstige Kommunikationsmittel oder über Dritte (Abs. 2 Z 2) oder

- Verwendung personenbezogener Daten zur Bestellung von Waren und Diensten (Abs. 2 Z 3) oder

- Verwendung personenbezogener Daten um Dritte zur Kontaktaufnahme zu veranlassen (Abs. 2 Z 2)

- Strafrahmen bis zu einem Jahr

Schutz der Privatsphäre - §107a StGB

© ARGE DATEN 2013

ARGE DATEN

§ 1328a ABGB Privatsphärebestimmung(1) Wer rechtswidrig und schuldhaft in die Privatsphäre eines Menschen eingreift oder Umstände aus der Privatsphäre eines Menschen offenbart oder verwertet, hat ihm den dadurch entstandenen Schaden zu ersetzen. Bei erheblichen Verletzungen der Privatsphäre, etwa wenn Umstände daraus in einer Weise verwertet werden, die geeignet ist, den Menschen in der Öffentlichkeit bloßzustellen, umfasst der Ersatzanspruch auch eine Entschädigung für die erlittene persönliche Beeinträchtigung.

Abs.2 definiert Substitutionsklausel

- Bestimmung ist nicht anzuwenden, wenn andere Bestimmung gilt, etwa Datenschutz- oder Medienrechtsbestimmungen

Schutz der Privatsphäre - §1328a ABGB

© ARGE DATEN 2013

ARGE DATEN

Änderungen durch § 1328a• Immaterieller Schadenersatz•Auffangtatbestand für bisher nicht erfasste Verletzungen

Drei Verletzungsarten•Eingreifen (Eindringen in die Privatsphäre)•Offenbaren an Dritte (nicht nur Öffentlichkeit)•Verwerten (wirtschaftlicher Vorteil durch Kenntisse aus

Privatsphäre)

Voraussetzungen für Schadenersatz nach § 1328a

•Rechtswidrigkeit•Verschulden (leichte Fahrlässigkeit genügt)•Erheblicher Eingriff


© ARGE DATEN 2013

ARGE DATEN

Höhe des Schadenersatzes•keine grundsätzliche Beschränkung der

Entschädigungshöhe•Orientierung am Medienrecht•keine Untergrenze wie im ursprünglichen Entwurf

vorgesehen

Ausnahmen•Veröffentlichungen in Medien sind nicht erfasst

( Mediengesetz)•Betriebs- und Geschäftsgeheimnisse sind ausgenommen

( §§ 122-124 StGB)•speziellere Regelungen gehen vor (z.B. § 33 DSG 2000)


© ARGE DATEN 2013

ARGE DATEN

Schutz der Privatsphäre - Beispiele

Beispiele für Eingriffe in die Privatsphäre• private Videoüberwachung, Personenortung,

Radarüberwachung• Bekanntgabe persönlicher Daten im Internet• Illegales Abhören von Telefonaten oder

Gesprächen• Hacken von privaten Computern• Missbrauch von Foto-Handys• Weitergeben von privat mitgeteilten Geheimnissen• Überwachung des Standortes eines

Mobiltelefonnutzers ohne dessen Zustimmung• Offenbaren/Verwerten von Gerichtsurteilen• Bedrängen durch Kontaktaufnahmeversuche

(eMail, Telefonate, ...)

© ARGE DATEN 2013

ARGE DATEN

Entscheidungen zur Privatsphäre

Entscheidungen zum Schutz der Privatsphäre

•OGH 6Ob2401/96y Videoüberwachung eines Wohnhauses

•OGH 7Ob89/97g "Überwachung" durch Kameraattrappen(siehe auch analog OGH 6Ob6/06k)

•OGH 8Ob108/05y Videoüberwachung eines Konkurrenten

•OGH 7Ob 248/09k Gelegentliches "über den Zaun schauen" ohne Eingriffsabsicht / ohne techn. Hilfsmittel kein Eingriff in Privatsphäre (Eingriff muss mit Aufzeichnungen nachgewiesen werden)

•OGH 8ObA136/00h "Arbeitnehmerfoto im Internet"Stellt ein Dienstgeber das Foto eines Arbeitnehmers ohne Rückfrage ins Internet und weigert er sich dieses zu entfernen, bildet dieses Verhalten einen Verstoß gegen den Bildnisschutz (§ 78 UrhG), der nicht mit der Treuepflicht des Dienstnehmers gerechtfertigt werden kann

•BG Josefstadt 6C188/09p EV gemäß § 382g EO wegen Veröffentlichung privater Daten in einem Blog ("Cyberstalking")(begründet auf § 1328a ABGB)

© ARGE DATEN 2013

ARGE DATEN

Entscheidungen zur Privatsphäre

Videoüberwachung Konkurrent OGH 8Ob108/05y Ausgangslage

- für die Zustellung einer Klage war festzustellen, ob sich der Beklagte regelmäßig an einer bestimmten Adresse (Haus der Mutter) aufhielt

- vor dem Haus wurde in einem parkenden Auto eine versteckte Kamera installiert, die Hauseingang und Garagenzufahrt filmte (von öffentlichen Flächen einsehbar)

OGH-Entscheidung- Anliegen grundsätzlich legitim, Videoüberwachung trotzdem

unzulässig

- Videoüberwachung jedoch überschießend, gelindere Mittel sind vorzuziehen, auch wenn sie Zusatzkosten verursachen

- spricht von "Überwachungsdruck" durch automatisierte Aufzeichnung

- Privatsphäre auch im öffentlichen Raum gegeben

- Problem der unbeteiligen Dritten

- unerheblich, wieviel Personen tatsächlich Einschau in Aufzeichnungen nehmen

© ARGE DATEN 2013

ARGE DATEN

Besondere Dienstleisterverpflichtungen

Registrierung von Datenanwendungen

Kontrollbefugnisse DSK

Genehmigung / Registrierung

Safe Harbour

Internationaler Datenverkehr

© ARGE DATEN 2013

ARGE DATEN

DSG 2000 - Kontrollbefugnisse

Konzept der Vorabkontrolle(DSG 2000 § 10, § 18 Abs. 2, §§ 20, 21, 30, § 10)bestimmte Datenanwendungen unterliegen einer Vorabkontrolle durch DSK/DSBh

- DA's die sensible Daten verwenden

- DA's die in Form eines Informationsverbundsystems betrieben werden

- registrierungspflichtige Videoüberwachungen

- DA's die Daten zur Beurteilung der Kreditwürdigkeit dienen bzw. strafrechtlich relevante Daten verarbeiten

Voraussetzungen der Vorabkontrolle: Prüfung auch ohne Verdachtsmomente möglich

Auflagen zum Betrieb der Datenanwendung können erteilt werden

© ARGE DATEN 2013

ARGE DATEN

DSG 2000 - Dienstleister

Dienstleister im Sinne des DSG 2000 (§§ 10f)- Dienstleistung liegt vor, wenn ein Verantwortlicher

jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben betraut

- Geeignete Vereinbarungen sind zu treffen

- Vereinbarungen sind zu überprüfen/überwachen ["überzeugen"] wie bei Cloud-Computing umsetzen?

- Meldepflicht an DSK/DSBh bei Datenverarbeitungen des öffentlichen Bereichs, die der Vorabkontrolle unterliegen (z.B. bei Verwendung von Gesundheitsdaten), jedoch keine Meldepflicht bei verbundenen Unternehmen

- Subdienstleister nur mit Billigung des Auftraggebers

Schriftliche Vereinbarung notwendig! (§ 11 Abs. 2 DSG 2000)

© ARGE DATEN 2013

ARGE DATEN

Registrierung von Datenanwendungen (§§ 16ff)

- Grundsätzlich besteht für jede Datenanwendung Registrierungspflicht, aber: es sind nicht alle Datenanwendungen zu registrieren (§ 17)

- Jede Registrierung erfolgt für bestimmte Datenanwendung, für bestimmte Datenarten, bestimmte Personengruppen und bestimmte Zwecke (§ 17)

- Eine DVR-Nummer wird einem Unternehmen (Organisation) bei erstmaliger Registrierung einer DA zugeteilt (§ 21)

- Registrierung ist kostenlos (§ 53)- Registrierung soll Transparenz sichern (§ 16)- Jedermann kann Einsicht in Registrierung nehmen (§

16)

- Vereinfachte Registrierung bei Muster-Datenanwendungen (§ 19)

DSG 2000 - Registrierung und Genehmigung

© ARGE DATEN 2013

ARGE DATEN

Registrierungsfreiheit (§ 17)

- Standardanwendungen

- DA enthält ausschließlich (!) veröffentlichte Daten (typischerweise Telefonbuch-CDs u.ä.)

- Führung öffentlich einsehbarer, gesetzlich vorgesehener Register

- ausschließlich indirekt personenbezogene Daten

- persönliche Datenanwendungen

- publizistische Datenanwendungen

- manuelle Datenanwendungen, die nicht der Vorabkontrolle unterliegen

- bestimmte DA‘s der Republik Österreich

- DA für Zwecke der Strafverfolgung


© ARGE DATEN 2013

ARGE DATEN

Die wichtigsten Standardanwendungen für Unternehmen (gem. StMV 2004, StF BGBl. II Nr. 312/2004)SA001Rechnungswesen und Logistik ("Buchhaltung")SA002Personalverwaltung für privatrechtliche

Dienstverhältnisse ("Mitarbeiterverwaltung") + "Bewerberdaten" (NEU seit 30.3.11)

SA007Verwaltung von BenutzerkennzeichenSA022Kundenbetreuung und Marketing für

eigene ZweckeSA032Videoüberwachung für bestimmte

BranchenSA033Datenübermittlung in Konzernen

Die wichtigste Musteranwendung bei UnternehmenMA002 Zutrittskontrollsysteme

Standardanwendung für VereineSA003Mitgliederverwaltung

DSG 2000 - Standardanwendungen

© ARGE DATEN 2013

ARGE DATEN

Registrierungsverfahren (seit 1.9.2012)

(DSG 2000 § 17 Abs. 1a)

- Meldungen haben über Internetanwendung zu erfolgen

- Authentifizierung erfolgt durch Bürgerkarte, Handy-Signatur oder USP

- eMail-Meldung und nicht-elektronische Meldung bei manuellen Dateien und bei längerem technischen Ausfall der Internetanwendung möglich

- Details sind in der Verordnung des BKA nach § 16 Abs. 3 geregelt

(DSG 2000 § 19 Abs. 3a)

- Erklärung des Auftraggebers ob es sich um vorabkontrollpflichtige Datenanwendung handelt

DSG 2000 - Registrierung

© ARGE DATEN 2013

ARGE DATEN

Registrierungsverfahren II

(DSG 2000 § 19 Abs. 2)

- Möglichkeit der Meldung befristeter oder durch bestimmte Bedingungen/Auflagen beschränkte Datenanwendungen [etwa Testbetrieb]

- Auflagen, Bedingungen und Befristungen müssen jedoch ausreichend bestimmt sein

Die Prüf- und Verbesserungsbestimmungen §§ 20-22 DSG 2000 wurden neu formuliert, § 22a (Überprüfungsverfahren) ist völlig neu.


© ARGE DATEN 2013

ARGE DATEN

Registrierungsverfahren III(DSG 2000 § 20 "Prüfungs- und Verbesserungsverfahren")

- nicht vorabkontrollpflichtige Datenanwendungen sind nur mehr automationsunterstützt auf Vollständigkeit und Plausibilität zu prüfen (Abs. 1)

- bei formalen Fehlern Möglichkeit der Verbesserung, wenn diese nicht erfolgen, gilt Meldung als nicht eingebracht (Abs. 2)

- Vorabkontrollpflichtige Datenanwendungen und jene die nicht mittels Internetanwendung eingebracht wurden, sind binnen zwei Monaten auf Mangelhaftigkeit nach § 19 Abs. 4 zu prüfen, allenfalls ist Verbesserungsauftrag zu erteilen (Abs. 3)

- Verbesserungsauftrag hemmt Registrierungsverfahren (es gelten die Fristen nach AVG)


© ARGE DATEN 2013

ARGE DATEN

Registrierungsverfahren IV(DSG 2000 § 20 "Prüfungs- und Verbesserungsverfahren" - Fortsetzung)

- Wenn Verbesserungsauftrag nicht entsprochen, Mitteilung der Registrierungsablehnung. Es kann Bescheid beantragt werden [bis 31.12.09: bescheidmäßige Ablehnung]

- Beginn der Verarbeitung:a) wenn nicht vorabkontrollpflichtig: sofort nach Meldungb) wenn vorabkontrollpflichtig und ...

- keine Reaktion der DSK/DSBh: nach zwei Monaten- ausdrückliche Genehmigung durch DSK/DSBh innerhalb Frist

von zwei Monaten ohne Auflagen: ab Zeitpunkt der Genehmigung

- Reaktion der DSK/DSBh dass Prüfung "dauert": sobald DSK/DSBh Prüfung abgeschlossen hat (gilt AVG)

- Verbesserungsauftrag der DSK/DSBh: sobald DSK/DSBh Verbesserungsauftrag ausdrücklich genehmigt hat (gilt AVG)


© ARGE DATEN 2013

ARGE DATEN

Registrierungsverfahren V(DSG 2000 § 21 "Registrierung")

Eintragung im Datenverarbeitungsregister, wenn- Plausibilitätsprüfung fehlerfrei oder - Prüfung auf Mangelhaftigkeit fehlerfrei oder - nach Einlangen einer auf Mangelhaftigkeit zu prüfenden Meldung zwei Monate vergangen sind oder

- aufgetragene Verbesserungen vorgenommen wurden

Es können bei vorabkontrollpflichtigen Anwendungen Auflagen, Bedingungen oder Befristungen ausgesprochen werdenAuftraggeber ist von Registrierung geeignet zu verständigen [bis 31.12.09: schriftlich]


© ARGE DATEN 2013

ARGE DATEN

Registrierungsverfahren VI(DSG 2000 § 22 "Richtigstellung und Rechtsnachfolge")

- Änderungen/Streichungen von Amts wegen oder durch Antrag des Auftraggebers möglich

- Änderungen sind sieben Jahre ersichtlich zu machen- Einträge sind zu streichen, wenn Rechtsgrundlage fehlt, Befristungen abgelaufen sind oder eine Datenanwendung nicht mehr benötigt wird

- amtswegige Änderungen und Streichungen sind mit Mandatsbescheid zu verfügen [bis 31.12.09: Bescheid]

- Rechtsnachfolger kann einzelne oder alle Datenanwendungen übernehmen, kann auch DVR-Nummer übernehmen [Ausgliederungen, Konkursverfahren, ...]


© ARGE DATEN 2013

ARGE DATEN

Internationaler Datenverkehr (§§ 12, 13, 55)Genehmigungsfreiheit (EU: "Datenexport")

- innergemeinschaftlicher Datenverkehr

- gleichwertige Datenschutzgesetzgebung

- im Inland zulässigerweise veröffentlichte Daten

- notwendige Grundlage zur Vertragserfüllung mit Betroffenen

- persönliche oder publizistische DA‘s

- mit Zustimmung des Betroffenen

- wenn Datenverkehr in Standard- und Musteranwendungen vorgesehen

- bei Akten und Dokumenten (Entscheidung DSK K178.074/13-DSK/00 "gegenseitige Information zu Waffenexporten")

- Theoretisch: bei Verwendung der EU-Standardvertragsklauseln (jedoch fehlt Verordnung des Bundeskanzlers!)

DSG 2000 - Internationaler Datenverkehr

© ARGE DATEN 2013

ARGE DATEN

Genehmigungsfrei (weil gleichwertig)- gleichwertig auf Grund EWR-Verträge

Island, Norwegen, Liechtenstein

- gleichwertig gem. KommissionsentscheidungSchweiz (27.7.2000), Kanada (15.1.2002)Argentinien (30.6.2003), Australien (30.6.2008)Israel (31.1.2011), Uruguay (23.8.2012)Neuseeland (30.1.2013)Andorra, Färöer Islands, Guernsey, Isle of Man, Jersey

- USA (nur bereichs- oder unternehmensbezogen, etwa wenn SafeHarbour-Vereinbarung beigetreten, SWIFT- oder PassengerNameRecord-Abkommen)

bei allen anderen Staaten hat sich der Betroffene bzw. der Auftraggeber um den Datenschutz zu kümmern


© ARGE DATEN 2013

ARGE DATEN

Was bedeutet "Safe Harbour"?

In den USA fehlen einheitliche, für Unternehmen verbindliche Datenschutzstandards

Entwicklung von Richtlinien, denen freiwillig beigetreten werden kann (SELBSTZERTIFIZIERUNG), nach Beitritt verbindlich

FTC (Federal Trade Commission, Bundeshandelskommission) bzwUS-Verkehrsministerium (bei Luftfahrtgesellschaften)überwachen Einhaltung

Liste mit Teilnehmern veröffentlicht, Stand Oktober 2013: ca. 4.200 Organisationen, inkl. nicht aktueller Einträge

Beitritt kann auf bestimmte Datengruppen beschränkt werden: Online-Daten, Offline-Daten, HR-Daten (Personaldaten), manuell verarbeitete Daten, Finanzdaten, ...

Beratungsfirma Galexia, Australien äußerte 2008 Bedenken an der Funktionsfähigkeit des Systems


© ARGE DATEN 2013

ARGE DATEN

zentrale Grundsätze des "Safe Harbour"- INFORMATIONSPFLICHT (entspricht: DSG 2000 § 24)

- WAHLMÖGLICHKEIT (DSG 2000 § 28 "Widerspruch")

- WEITERGABE (DSG 2000 u.a. § 8f "Verwendung")

- SICHERHEIT (DSG 2000 § 14)

- DATENINTEGRITÄT (DSG 2000 § 6 "Grundsätze")

- AUSKUNFTSRECHT (DSG 2000 § 26f)

- DURCHSETZUNG (DSG 2000 § 30ff)


© ARGE DATEN 2013

ARGE DATEN

Schiedsverfahren und Durchsetzung der "Safe Harbour" Verpflichtungen (FAQ11)

- Betroffene können sich direkt beschweren

- Beschwerden von Selbstregulierungsorganen werden vorrangig behandelt(BBBOnline, TRUSTe, ...)

- ebenso Beschwerden der EU-Mitgliedsstaaten

- Fortgesetzte Missachtungen sind zu veröffentlichen

- Sanktionen:öffentliche Bekanntmachung ("Pranger")Löschung betreffender DatenEntschädigung für PersonenStreichung von der Liste "safe harbour"sonstige Auflagen


© ARGE DATEN 2013

ARGE DATEN

Internationaler Datenverkehr II (§§ 12, 13, 55)Genehmigungspflichtin allen anderen Fällen besteht Genehmigungspflicht (§ 13)die Genehmigung hat die DSK/DSBh zu erteilen:

- die Feststellungen der Europäischen Kommission sind zu beachten (Abs. 2)

- im konkreten Genehmigungsfall besteht ein angemessenes Schutzniveau (Abs. 2 Z 1) [z.B. Verwendung von EU Mustervereinbarungen]

- Antragsteller macht den Schutz der Geheimhaltungsinteressen des Betroffenen glaubhaft (Abs. 2 Z 2)

- Novelle 2010: Möglichkeit einseitiger verbindlicher Zusagen des Auftraggebers für internationalen Datenverkehr (Abs. 2 Z 2)

- seit 1.1.2003 sind vor 1.1.2000 erteilte Genehmigungen zu erneuern (sofern weiterhin Genehmigung erforderlich)


© ARGE DATEN 2013

ARGE DATEN

Datenschutzaufsicht (§§ 35-40)bis 31.12.2013: Datenschutzkommission (DSK) - Oberste Kontrollbehörde [jedoch nicht für alle Bereiche]- als "unabhängige" Instanz eingerichtet (Form eines

Tribunals)- 6 Mitglieder + 6 Ersatzmitglieder

- Geschäftsapparat: 20 Personen, davon 11 A-Beamte (lt. DSK-Bericht 2009), EU-Schnitt: 45 Personen!(Verteilung: 11,5 MA für DVR, 8,5 MA für alles andere)

- EuGH hat für Österreich mangelnde Unabhängigkeit der DSK festgestellt, in DSG-Novelle 2013 saniert

ab 1.1.2014: Datenschutzbehörde (DSBh)- Kontrollbehörde erster Instanz (Verwaltungseinrichtung)- Beschwerde- und Aufsichtsstelle (zweite Instanz): Teil des

"Bundesverwaltungsgerichtshofs"

DSG 2000 - Kontrollbestimmungen

© ARGE DATEN 2013

ARGE DATEN

Organisationsänderungen der DSK- Schaffung des Bundesverwaltungsgerichtshofes BVGH,

Auflösung der Behörden mit "richterlichem" Einschlag (DSG-Novelle 5.6.2012)

- Entscheidung des EuGH wegen mangelnder Unabhängigkeit der DSK (EuGH 16.10.2012 Rs C-614/10, DSG-Novelle 19.3.2013)

- Schaffung einer Behörde, die die Aufgaben der DS-Richtlinie 95/46/EG erledigt (DSG-Novelle 2014)

Konsequenzen- Mit 1.1.2014 wird aus bisheriger "Datenschutzkommission"

DatenschutzbehördeEntscheidungen als Verwaltungsbehörde (+Beirat)

- BVGH wird zur Beschwerdeinstanz (bisherige Tätigkeit der DSK), statt Kommission vermutlich Senat

- Kommission (bis 31.12.13) und Behörde (ab 1.1.2014) mit eigenem Budget, Beschränkung der Informationsrechte des Bundeskanzlers und Unvereinbarkeitsregeln für die Mitglieder

DSG 2000 - Aufsicht - Organisationsnovellen

© ARGE DATEN 2013

ARGE DATEN

Kontrollbefugnisse der DSK/DSBh I

(DSG 2000 § 22a "Überprüfung der Meldepflicht")

- DSK/DSBh kann jederzeit Erfüllung der Meldepflicht prüfen

- bei Verdacht einer Verletzung der Meldepflicht ist ein Berichtigungsverfahren durch Datenverarbeitungsregister durchzuführen

- DSK/DSBh kann Verbesserungsaufträge erteilen, wenn nicht entsprochen wird, dann ist Streichung möglich

- Streichung kann auch nur Teile einer Datenanwendung/Meldung umfassen

- wird der Aufforderung der Nachmeldung nicht entsprochen, dann ist Verarbeitung mit Bescheid zu untersagen und Anzeige bei der zuständigen Behörde zu erstatten


© ARGE DATEN 2013

ARGE DATEN

Kontrollbefugnisse der DSK/DSBh II

(DSG 2000 § 22a "Überprüfung der Meldepflicht" - Fortsetzung)

- DSK/DSBh kann auch bei Fehlen von Sicherheitsmaßnahmen die Streichung einer Datenanwendung verfügen

- Berichtigungsverfahren sind im DVR ersichtlich zu machen ("geeignet anzumerken")


© ARGE DATEN 2013

ARGE DATEN


Möglichkeiten der Kontrolle durch DSK/DSBh:

(a)vor Aufnahme einer Datenanwendung(Vorabkontrolle, § 18)

(b)bei begründetem Verdacht einer Verletzung der Datenschutz-Bestimmungen("Ombudsverfahren" § 30) [im Wesentlichen wie bisher]

(c) Im Zuge von Beschwerdeverfahren Betroffener (§ 31, 31a)

(d) DSK/DSBh kann jederzeit Meldepflicht prüfen (DSG Novelle 2010: § 22a)

[Gesetzgeber hofft laut EB zu Novelle 2010 nunmehr praktikable Kontrollmöglichkeiten für

DSK/DSBh geschaffen zu haben]

© ARGE DATEN 2013

ARGE DATEN

Informationspflichten & Betroffenenrechte

Recht auf Geheimhaltung (§ 1ff)

Recht auf Auskunft (§ 26)

Recht auf Berichtigung & Löschung (§ 27)

Informationsrecht (§ 24)

Recht auf Widerspruch (§ 28)

Recht auf Widerruf (§ 8, 9)

© ARGE DATEN 2013

ARGE DATEN

Entscheidungen zu § 1 DSG 2000

DSK K121.337 / K210.380 ("Geburtsdatum")Geburtsdatum auf Rsa-Schreiben zulässig, auf Infobroschüre des BMLV nicht

DSK K121.805/0015-DSK/2012 ("Geburtstagsabfragen")

Schon die Abfrage des Geburtsdatums zum Zwecke des Glückwunsches durch den Bürgermeister ist unzulässig, wenn nicht gesetzlich geregelt.

OGH 11Os109/01 ("allgemeine Verfügbarkeit")Geheimhaltungsanspruch auch dann gegeben, wenn Information durch Betroffenen selbst an einen beschränkten Kreis weiter gegeben wurde


© ARGE DATEN 2013

ARGE DATEN

Offenlegung nicht-meldepflichtiger Datenanwendungen (§ 23)

- Mitteilung - auf Anfrage - welche Standardanwendungen betrieben werden (Abs. 1)

- Offenlegung der Standardanwendungen gegenüber DSK/DSBh bei Prüfungen (Abs. 2)

Offenlegungspflicht (§ 25)Offenlegung anlässlich von Übermittlungen und Mitteilungen an Betroffene

- Identität des Auftraggebers- bei registrierungspflichtigen DAs die DVR-Nummer des

Auftraggebers

DSG 2000 - Informationspflicht

© ARGE DATEN 2013

ARGE DATEN

Informationspflicht (§ 24 / Art. 10, 11, 14 EG-RL)Informationspflicht anlässlich Ermittlung

ZweckAuftraggeber

Spätestens zum Zeitpunkt der Übermittlung

Entfällt, - bei Datenanwendungen, die durch Gesetz/Verordnung

eingerichtet sind oder- bei mangelnder Erreichbarkeit der Betroffenen oder- bei Unwahrscheinlichkeit der Beeinträchtigung der

Betroffenenrechte und Höhe der Kosten der Information

Informationspflicht ist "Bringschuld" des Auftraggebers!

Bei Kundenbeziehungen leicht zu erfüllen, ein Problem jedoch dort, wo Daten ohne Kundenbeziehungen

verwendet werden (z.B. Adressenverlagen / Informationsdiensten)


© ARGE DATEN 2013

ARGE DATEN

Informationspflicht(DSG 2000 § 24 Abs. 2a)

Betroffene sind von Datenschutzverletzungen zu informieren

- wenn schwerwiegend und systematisch- wenn Betroffenen Schaden droht- Ausnahme: keine Informationspflicht wenn Schaden nur "geringfügig" und Verständigungsaufwand "unverhältnismäßig hoch"

Es handelt sich um eine Informationspflicht "light", die gegenüber dem ursprünglichen Entwurf erheblich

reduziert wurde.


© ARGE DATEN 2013

ARGE DATEN

Betroffenenrecht - Auskunft (§ 26) IAuskunft ist auf Verlangen bei Nachweis der Identität zu geben (Abs. 1) [Berufung auf DSG nicht erforderlich!]

Auskunftsfrist sind 8 Wochen (Abs. 4)

Antragsteller hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3)

ungerechtfertigter Aufwand ist zu vermeiden

Auskunftsrecht unabhängig von Registrierungserfordernis [!!]von einem Vertragsverhältnisvon tatsächlichem Vorhandensein von Daten von sonstigen Voraussetzungen (Verdacht des Datenmissbrauchs, einer Datenweitergabe, ...)

DSG 2000 - Betroffenenrechte

© ARGE DATEN 2013

ARGE DATEN

Betroffenenrecht - Auskunft (§ 26) II

Auftraggeber hat Auskunft zu erteilen überZweck der Datenanwendung

die verwendeten Daten in allgemein verständlicher Form

verfügbare Information über ihre Herkunft

allfällige Empfänger oder Empfängerkreise von Übermittlungen

Name und Adresse des Dienstleisters (muss vom Betroffenen extra verlangt werden)

4 Monate Löschungsverbot nach Einlangen des Auskunftsbegehrens, aber DSG-Novelle 2010: kein Löschungsverbots in jenen Fällen, bei denen der Auskunftswerber (Betroffene) die Löschung wünscht (Abs. 7)

Auskunftsbegehren und Auskunft haben schriftlich zu erfolgen, Abweichung im Einverständnis der Gegenseite möglich


© ARGE DATEN 2013

ARGE DATEN

Betroffenenrecht - Auskunft (§ 26) III

begründete Auskunftsverweigerung / Auskunftsbegrenzungen sind möglich, u.a.- Schikaneverbot: Betroffener wurden Daten schon

mitgeteilt (etwa Kontoauszüge, OGH 6Ob25/90), trifft nicht zu, dass ein Betroffener bestimmte Daten sowieso "wissen" müsste

- überwiegende Interessen des Auftraggebers oder Dritter

- aus therapeutischen Gründen (Gesundheitszustand)

- formale Gründe: fehlender Identitätsnachweis, fehlender Kostenersatz, fehlende Mitwirkung, ...

Auskunft ist einmal im Jahr bei aktuellen Daten kostenfrei

ansonsten tatsächliche Kosten oder pauschalierter Ersatz

Auskunftsrecht ist "Holschuld" des Betroffenen!


© ARGE DATEN 2013

ARGE DATEN

Auskunftspflicht - Änderungen DSG-Novelle 2010(DSG 2000 § 26)

- Dienstleister müssen bei Auskunftsbegehren binnen zwei Wochen den tatsächlichen Auftraggeber bekannt gebenAuskunftsfrist für Auftraggeber bleibt bei 8 Wochen ab Einlangen beim Dienstleister! (Abs. 10)

- Verbesserung bei den Auskunftsrechten gesetzlich einsehbarer Datenanwendungen (z.B. Grundbuch, ...)Auskunftsrecht unterliegt grundsätzlich dem Materiengesetz, für davon nicht erfasste Teile gilt jedoch das DSG 2000 (Abs. 8)


© ARGE DATEN 2013

ARGE DATEN

DSK K121.017/0009-DSK/2005 ("Prüfungsdaten")

Ausgangslage- Betroffener nahm an (Berufsqualifikations-)Prüfung teil

- hatte umfangreiche Angaben zur Person zu machen

- Test wurde negativ beurteilt

- Einsicht in Beurteilung brachte schwere Mängel

- Auskunft gem. DSG wurde verweigert, da diese nur "persönliche Daten", aber nicht Leistungsdaten erfasse

DSK-Entscheidung- Auskunftsrecht wurde verletzt

- Auskunft über Prüfungsdaten, die als Excel-Sheet vorliegen ist zu erteilen

- ausschließlich auf Papier angefertigte Fallbeispiele unterliegen nicht der Auskunftspflicht

- die persönlichen Daten des Prüfers sind nicht zu beauskunften

DSG 2000 - Auskunftsrechte

© ARGE DATEN 2013

ARGE DATEN

Betroffenenrecht - Löschung/Richtigstellung (§ 27)

- grundsätzlich besteht Richtigstellungspflicht des Auftraggebers sobald Daten nicht mehr richtig, nicht (mehr) benötigte oder unzulässig verarbeitete Daten sind zu löschen

- Betroffene können Richtigstellungsantrag stellen

- Verpflichtung gilt auch für unvollständige Daten, veraltete Daten, irreführende Daten

Beweislast der Richtigkeit von Daten, wenn beantragte Änderung verweigert wird, liegt beim Auftraggeber

Jedoch! Werden Daten ausschließlich gemäß Betroffenenangaben verarbeitet hat der Betroffene Fehler/Änderung zu belegen

Wachsende Bedeutung der Bestimmung, da immer öfter nur kurzfristig erforderliche Daten anfallen (Verkehrsdaten von ISP & Telekomunternehmen,

Location-Based-Services, Smartphone-Daten)


© ARGE DATEN 2013

ARGE DATEN

Entscheidungen zu DSG 2000 § 27

DSK K121.002/0008-DSK/2005 ("Verständigung")- Antragsteller ist über Ergebnis des Löschungsbegehrens auch

dann zu verständigen, wenn die Löschung verweigert wird

VfGH B 1590/03-10 ("Polizei-Daten")- bei Wegfall der Rechtsgrundlage einer Anzeige (hier § 209

StGB, "gleichgeschlechtliche Unzucht") sind die Daten zu Löschen und nicht zu ergänzen

- Aufhebung der DSK-Entscheidung K120.846/0007-DSK/2003- VfGH rügt auch mangelhafte Interessensabwägung durch die

DSK

DSK K121.246/0008 -DSK/2007 ("Krankengeschichte")

- kein Löschungsanspruch falscher Diagnosen, da Datenanwendung nicht Fakten, sondern die medizinische Experten-Meinung dokumentiert, daher auch kein Anspruch auf Bestreitungsvermerk (!)


© ARGE DATEN 2013

ARGE DATEN

Betroffenenrecht - Widerruf / Widerspruch

freiwillige Zustimmung zur Verwendung von Daten kann jederzeit, ohne Angabe von Gründen widerrufen werden (§§ 8, 9)

Widerspruch (§ 28) nur bei nicht gesetzlich vorgeschriebenen Datenanwendungen möglich

- Widerspruchsrecht besteht auch bei gegebener Zustimmung!

- in internen DA's: Widerspruch bei überwiegenden, schutzwürdigen Gründen

- Widerspruch bei öffentlich zugänglichen Dateien ohne Begründung

vom Widerspruch betroffene Daten sind zu löschen Hinweis! eine Gewerbeberechtigung ist keine gesetzliche Anordnung im Sinne des DSG


© ARGE DATEN 2013

ARGE DATEN

Widerspruchsrecht (§ 28)- Widerspruchsrecht bezieht sich auf "öffentlich

zugängliche Datenanwendungen" (Abs. 2)- Übernahme der Löschungsregeln aus § 27:

Vorgangsweise bei Löschung (siehe § 27 Abs. 4)wenn wirtschaftlich geboten ist auch eine vorläufige Sperre und spätere Löschung möglich (siehe § 27 Abs. 6)

Kein Widerspruchsrecht (Beispiel):- § 7 Abs. 5 Verbraucherkreditgesetz (VKrG) schließt

Widerspruchsrecht bei Informationsverbundsystemen der Banken aus [gemeint sind KKE und Warndatei der Banken]

"unsaubere" Lösung: Dateien sind gesetzlich nicht angeordnet, trotzdem kein Widerspruchsrecht


© ARGE DATEN 2013

ARGE DATEN

Entscheidungen Widerspruch

OGH 6Ob195/08g- Löschung nach § 28 Abs. 2 DSG 2000 voraussetzungslos

und unbegründet bei öffentlich zugänglichen Dateien möglich

- Wirtschaftsauskunftsdienste betreiben öffentliche Dateien

- Öffentlichkeitsbegriff: "größerer, durch geringe Zahl und indivduelle Merkmale nicht eingeschränkter Personenkreis", Kostenpflicht kein Kriterium für (Nicht-)Öffentlichkeit, ebenso kein Kriterium ist (Nicht-)Abrufbarkeit über Internet

siehe auch DSK K211.593/0011-DSK/2005- Widerspruch anwendbar im Zusammenhang mit

Wirtschaftsauskunftsdiensten- Widerspruch bedeutet auch das Verbot der

Bekanntgabe, dass der Datenverwendung widersprochen wurde


© ARGE DATEN 2013

ARGE DATEN

Beschwerdeverfahren vor DSK/DSBh (§ 31)- bei allen Auskunftsverfahren nach § 26, zusätzlich

bei Auskünften im Zusammenhang mit automatisierten Einzelentscheidungen (§ 49 Abs. 3) und Auskünften von Betreibern von Informationsverbundsystemen (§ 50 Abs. 1)(§ 31 Abs. 1)

- Verletzungen des Rechts auf Geheimhaltung (§ 1) oder Löschung und Richtigstellung (§ 27 und § 28) bei Datenanwendungen die in Vollziehung der Gesetze betrieben werden (§ 31Abs. 2)


© ARGE DATEN 2013

ARGE DATEN

Beschwerdeverfahren vor Gericht (§ 32)- Gerichtszuständigkeit: gegenüber Rechtsträgern die Datenanwendungen "nicht in Vollziehung der Gesetze" betreiben (Abs. 1)

- Klarstellung der Gerichtszuständigkeit bei Einstweiligen Verfügungen (Abs. 4)

- Möglichkeit der Nebenintervention der DSK/DSBh bei Zivilklagen, jetzt "Einschreiter" (Abs. 6)

- Gericht kann DSK/DSBh auf Überprüfung nach DSG 2000 §§ 22 und 22a ersuchen (Abs. 7)


© ARGE DATEN 2013

ARGE DATEN

Weitere Bestimmungen

Sicherheit

Schadenersatz

Strafbestimmungen DSG 2000

© ARGE DATEN 2013

ARGE DATEN

DSG 2000 - Sicherheit

Sicherheitsbestimmungen (§ 14)

Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden:

Stand der Technik entsprechendwirtschaftlich vertretbarangemessenes Schutzniveau muss erreicht werden

rechtlich-organisatorische Sicherheitsmaßnahmen

- ausdrückliche Aufgabenverteilung- ausschließlich auftragsgemäße Datenverwendung- Belehrungspflicht der Mitarbeiter- Regelung der Zugriffs- und Zutrittsberechtigungen- Vorkehrungen gegen unberechtigte Inbetriebnahme von

Geräten- Protokollierungspflicht

© ARGE DATEN 2013

ARGE DATEN

DSG 2000 - Verschwiegenheit

Verpflichtung zum Datengeheimnis (§ 15)Mitarbeiter sind - soweit nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden.

Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln.

Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren.

Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung kein Nachteil erwachsen.

Bereitstellungspflicht der Datensicherheits-maßnahmen für Mitarbeiter (§ 14 Abs. 6)

© ARGE DATEN 2013

ARGE DATEN

Schadenersatz (§ 33)schuldhaftes Verhalten notwendig

bei Verletzung von Bestimmungen des DSG 2000 ist tatsächlich erlittener materieller Schaden zu ersetzen

bei Verletzungen der Geheimhaltung, die geeignet sindden Betroffenen bloßzustellen, gebührt Entschädigung

Entschädigungsanspruch ist nicht beziffert, aber vergleichbar dem Mediengesetz geregelt [MedienG § 7: bis 20.000 Euro]

bei Veröffentlichungen in einem Medium gilt Mediengesetz

Entschädigungsanspruch ist gegenüber demAuftraggeber geltend zu machen

DSG 2000 - Kontroll- & Strafbestimmungen

© ARGE DATEN 2013

ARGE DATEN

DSG 2000 - Schadenersatz

LG Innsbruck 12 Cg 72/10h ("Mehrkosten")

Ausgangslage- Diverse Firmen (Mobilunternehmen, Möbelhaus,

Versandhändler) lehnen Geschäftsbeziehung wegen Exekutionsdaten ab

LG-Entscheidung- Verwendete Daten stammen aus Exekutionsdatenbank der

Justiz

- abgelehnte Geschäfte führen zu einem Schaden (Mehrkosten: 56,- bei Möbelhaus, 2.274,35 höhere Mobilfunkgebühren, ...)

- 1.000,- Euro immaterieller Schadenersatz wegen Kreditschädigung

- mehrfacher Rechtsbruch: Informationspflicht nicht erfüllt, Widerspruch nicht nachgekommen, keine Löschung der Daten, seit 2006 keine Exekutionsverfahren anhängig, alle Exekutionsverfahren eingestellt

- Kläger wurde Unterlassungsanspruch und Schadenersatz zugesprochen (Euro 3.330,35)

© ARGE DATEN 2013

ARGE DATEN


OGH 6 Ob 247/08d ("Bonitätsinformationen")

Ausgangslage- Betroffener wurde bei angeblich unzulässiger Mülldeponierung

gefilmt

- privater Wachdienst forderte 100,- Euro "Entschädigung", Forderung wurde Inkassodienst übergeben

- nach Weigerung der Zahlung wurde Zahlungsanstand an Wirtschaftsauskunftsdienst gemeldet

- Betroffener erfuhr davon im Rahmen eines Telekom-Geschäfts

OGH-Entscheidung- Eintrag ohne vorherige Verständigung ist rechtswidrig

- Eintragung geeignet die Kreditwürdigkeit zu beschädigen

- auch wenn kein unmittelbarer Schaden nachweisbar, besteht Anspruch gem. § 33 DSG 2000

- Betrag von 750,- Euro in Hinblick auf geringe Zahl der Datenübermittlungen angemessen

© ARGE DATEN 2013

ARGE DATEN

Gewinn- oder Schädigungsabsicht (§ 51)- Klarstellung der Deliktvoraussetzungen: Vorsatz der eigenen Bereicherung oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer

Delikt begeht, wer ...- widerrechtlich ihm zugängliche Daten benutzt oder- Daten widerrechtlich beschafft oder - anderen widerrechtlich zugänglich macht oder- widerrechtlich öffentlich macht

Strafausmaß: bis ein JahrDelikt wird zum Offizialdelikt [bis 31.12.09: Privatanklagedelikt]Strafbestimmung gilt subsidiär

DSG 2000 - Strafbestimmungen

© ARGE DATEN 2013

ARGE DATEN

DSG-Strafbestimmung als totes Recht?

Anzeigen Gerichtsverfahren Urteile2006 20 BAZ 20 ST 11 BG 13 LG 02007 20 23 8 5 02008 68 BAZ+ST 2 1 02009 10 BAZ 5 ST 2 1 12010 - - - - 02011 - - - - -

Quelle: Auskünfte des BMJ auf parlamentarische AnfragenBAZ = Bezirksstaatsanwaltschaft, ST = Staatsanwaltschaft bei Landesgericht, BG = Bezirksgericht, LG = Landesgericht, Zahlen umfassen die jeweils anhängigen Verfahren eines Jahres, können auch aus Vorjahren stammen bzw. ins nachfolgende Jahr "mitgenommen" werden


© ARGE DATEN 2013

ARGE DATEN

Strafbestimmungen bei öffentlich-rechtlichen Organen

Missbrauch der Amtsgewalt (§ 302 StGB)Strafrahmen: bis 5 JahreLaufend Verurteilungen, siehe etwa OGH 14 Os 105/10p (rechtswidriger Abruf von KFZ-Zulassungsdaten)

Verletzung des Amtsgeheimnisses (§ 310 StGB)

Strafrahmen: bis 3 Jahre

denkbar auch:Falsche Beurkundung und Beglaubigung im Amt (§ 311 StGB)

Strafrahmen: bis 3 Jahre

Hier ist Vorsatz Voraussetzung für die Tatverfolgung


© ARGE DATEN 2013

ARGE DATEN

Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1)[=deliktisches Handeln]

- widerrechtliches Verschaffen eines Zugangs zu einer DA- widerrechtliches Weiterbenutzen eines Zugangs zu einer

DA- Übermittlung unter Verletzung des Datengeheimnisses- Weiterverwendung von Daten entgegen eines

rechtskräftigen Urteils/Bescheids- widerrechtliches Löschen von Daten (§ 26 Abs. 7)

Strafrahmen: bis 25.000,- Eurozuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSK/DSBh Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk)

Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten!


© ARGE DATEN 2013

ARGE DATEN

Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte]

1. nicht Erfüllen der Meldepflicht gemäß den §§ 17 oder 50c oder Betreiben eine Datenanwendung auf eine von der Meldung abweichende Weise oder2. Übermitteln oder überlassen von Daten ins Ausland, ohne Genehmigung gemäß § 13 Abs. 1 oder3. Verstoß gegen Zusagen an oder Auflagen der DSK/DSBh (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) oder4. Verletzen von Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d oder5. § 14 gröbliches außer Acht lassen von Sicherheitsmaßnahmen oder


© ARGE DATEN 2013

ARGE DATEN

Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte]

6. wer gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderliche Sicherheitsmaßnahmen außer Acht lässt oder 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht.

Strafrahmen: bis 10.000,- Euro


© ARGE DATEN 2013

ARGE DATEN

Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a)[=Gefährdung von Betroffenenrechten]

neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a)

Strafrahmen: bis 500,- Euro [neu seit 2010]

Verfallbestimmungen § 52 Abs. 4Datenträger und Programme sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden


EU-Vorschlag: erhebliche Erhöhung der Strafen, bis 1 Mio Euro bzw. 1-2% eines Konzernumsatzes

© ARGE DATEN 2013

ARGE DATEN

Aufgaben des DSB

EU-Neuordnung Datenschutz

© ARGE DATEN 2013

ARGE DATEN

Warum Datenschutzbeauftragter (DSB) ?- derzeit gesetzlich nicht verpflichtend vorgesehen

- freiwillig kann ein Datenschutzbeauftragter von Organisationen immer eingerichtet werden

- Verantwortung bleibt bei der Geschäftsführung, im Schadensfall wird aber die Haftung reduziert sein

- EU-weit geht Trend zum Datenschutzbeauftragten

- DSG-Novelle 2012 plant(e?) freiwilligen DSB, bei Entfall von Registrierungspflichten

Datenschutzbeauftragter

© ARGE DATEN 2013

ARGE DATEN

Datenschutzbeauftragter (§ 17a Entwurf)- kann freiwillig eingesetzt werden, bei Einsetzung Entfall

der Meldepflichten

- muss natürliche Person sein, Mindestbestelldauer von 3 Jahre, Wiederbestellung möglich

- Auftraggeber hat notwendige Mittel bereit zu stellen, im ersten Jahr sind mindestens 40 Stunden der Arbeitszeit für Ausbildung bereit zu stellen, danach 20 Stunden pro Jahr

- muss Datenschutzkommission gemeldet werden, ist weisungsfrei

- kann nicht gekündigt werden, Enthebung nur möglich, wenn Pflichten nicht erfüllt werden können

- Fachkunde erforderlich, obliegt Dokumentationspflichten und Überwachung der Einhaltung der DSG-Vorschriften

- Datenschutzverletzungen sind vom DSB zu beheben, wo das nicht geht, ist der Auftraggeber zu informieren

aus dem Entwurf einer DSG Novelle aus 2012

© ARGE DATEN 2013

ARGE DATEN

Typische Aufgaben des Datenschutzbeauftragten (heute)

- Durchführen der Registrierung von Datenanwendung, Überwachen deren Aktualität

- Einholen von Genehmigungen für den internationalen Datenverkehr

- Abschluss der Dienstleistervereinbarungen und Überwachen deren Einhaltung

- Kontrolle von Zustimmungserklärungen auf DSG - Konformität

- Beratung bei Abschluss von Dienststellen-/Betriebsvereinbarungen

- Internes und externes "Lobbying" (Entwicklung von Konzernpositionen, Kontaktpflege zu Aufsichtsbehörden)


© ARGE DATEN 2013

ARGE DATEN

Typische Aufgaben des Datenschutzbeauftragten II

- Beratung/Information von Betriebs-/Dienststellenleitung, Mitarbeiter und Betriebsrat/Personalvertretung

- Entwicklung einer organisationsweiten Privacy-Policy- laufende Schulung in Datenschutzmaßnahmen und

Verbesserung der Awareness zum Datenschutz- Erarbeitung von Vorschlägen zur Verbesserungen

gem. § 14 DSG 2000 (Sicherheitsmaßnahmen)- Überwachung der Einhaltung der

Informationspflichten- effiziente Umsetzung der subjektiven Betroffenen-

Rechte:- Recht auf Auskunft- Recht auf Löschung und Aktualisierung- Recht auf Widerspruch


© ARGE DATEN 2013

ARGE DATEN

Organisatorische und fachliche Einordnung des Datenschutzbeauftragten

+ rechtliches und informationstechnisches Fachwissen+ direkte Berichtspflicht an Geschäftsführung+ als eigene Stabstelle eingerichtet+ in die Entwicklung von Geschäftsprozessen und

Projekten systematisch eingebunden (nicht nur "Spaßverderber")

+ eigenes Budget

- Einordnung in einem langen Hierarchieweg- IT-Leiter ist gleichzeitig Datenschutzbeauftragter- Sicherheitsverantwortlicher ist gleichzeitig

Datenschutzbeauftragter- ausschließlich technisches oder rechtliches

Fachwissen


© ARGE DATEN 2013

ARGE DATEN

Organisatorische und fachliche Einordnung des Datenschutzbeauftragten II

+/- Einbindung des DSB in Revisions- oder Rechtsabteilung

+/- Auslagerung der Datenschutzagenden an externe Berater

+/- betrieblicher Datenschutzbeauftragter als Teilzeittätigkeit


Wo der Datenschutzbeauftragte fehlt, hat die Geschäftsführung diese

Aufgaben zu übernehmen

© ARGE DATEN 2013

EU-Neuregelung des Datenschutzes

Fahrplan zu einem neuen EU-Datenschutzrecht

- 4.11.2010 Kommissionsmitteilung Konzept Datenschutzrecht

- bis 14.1.2011 europaweites Konsultationsverfahren- 25.1.2012 Entwurf einer EU-Verordnung

Datenschutz - bis Ende 2012 Konsultationsverfahren in

Europäischem Parlament und im Rat- 2013 Abstimmung im LIBE-Ausschuß des EU-

Parlaments (mehrfach verschoben)- bis Beginn 2014 (??) abstimmungsfähiger

Endentwurf- Eckpfeiler der Neuregelung

- verpflichtender Datenschutzbeauftragter für alle öffentlichen Einrichtungen und für Unternehmen mit Unternehmensgegenstand personenbezogene Datenverarbeitung (in Diskussion: Unternehmen ab 250 MA)

ARGE DATEN

© ARGE DATEN 2013


Fahrplan zu einem neuen EU-Datenschutzrecht II- Eckpfeiler der Neuregelung (Fortsetzung)

- Entfall von Meldepflichten, weitreichende interne Dokumentations- und Folgeabschätzungspflichten

- "doppeltes" One-Stop-Shop-System:a) je Auftraggeber ist nur eine Aufsichtsstelle zuständig (Hauptsitz des Auftraggebers, statt bisher für jede Niederlassung die jeweilige nationale Behörde)b) jeder Betroffene kann sich für alle EU-Auftraggeber an seine nationale Aufsichtsbehörde wenden

- Einführung neuer "Prinzipien":a) Prinzip der Datensparsamkeit (inkl. "Recht auf Vergessen werden")b) Förderung technischer Datenschutzmaßnahmen ("Privacy by Design")c) Privatsphäreeinstellungen sollen Standard werden ("Privacy by Default")

ARGE DATEN

© ARGE DATEN 2013


Fahrplan zu einem neuen EU-Datenschutzrecht III- Eckpfeiler der Neuregelung (Fortsetzung)

- Schaffung von Datenportabilität- neue Kategorien sensibler Daten (z.B. "Gendaten")- Klagsbefugnis für Verbände- Vereinfachungen im internationalen Datentransfer

ARGE DATEN

© ARGE DATEN 2013

ARGE DATEN

http://www.argedaten.at/

http://www.dsk.gv.at/

http://ec.europa.eu/justice/policies/privacy/index_en.htm

http://www.datenschutzzentrum.de/

http://www.gdd.de/

Onlineinformation

http://www.datenschutzverein.de/

© ARGE DATEN 2013

ARGE DATEN

Anhang

Verschwiegenheitspflichten

Cybercrime

DVR-Meldung (Online-Verfahren)

Standard- und Musteranwendungen

Kommentar zu Entwurf DSG-Novelle 2012

© ARGE DATEN 2013

ARGE DATEN

DSG 2000 - Verschwiegenheit

Geheimnis- und Verschwiegenheitspflichten (Auswahl)

- Amtsgeheimnis (StGB § 310)- Bankwesengesetz (§ 38)- Ziviltechnikergesetz (§ 15)- Ärztegesetz (§ 54)- Glückspielgesetz (§ 51)- Hebammengesetz (§ 7)- Psychologengesetz (§ 14)- Tierärztegesetz (§ 23)- Gesundheits- und Krankenpflegegesetz (§ 6)- Sanitätergesetz (§ 6)- Wirtschaftstreuhandberufsgesetz (§ 91)- Detektive (§ 130 Abs. 5 GewO)

Grundsätzlich gilt das DSG 2000 subsidiär

© ARGE DATEN 2013

ARGE DATEN

"alte" Strafbestimmungen zum Geheimnisbruch - § 126a StGB Datenbeschädigung- § 148a StGB Betrügerischer Datenverarbeitungsmissbrauch

- § 118 Verletzung des Briefgeheimnisses und Unterdrückung von Briefen

- § 119 Verletzung des Telekommunikationsgeheimnisses- § 120 Mißbrauch von Tonaufnahme- oder Abhörgeräten- § 121 Verletzung von Berufsgeheimnissen- § 122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses- § 123 Auskundschaftung eines Geschäfts- oder

Betriebsgeheimnisses- § 124 Auskundschaftung eines Geschäfts- oder

Betriebsgeheimnisses zugunsten des Auslands

"Amts"-Bestimmungen- Schutz des Behörden"geheimnisses" (StGB §§ 302, 310),

nur bedingt anwendbar: § 301 "Verbotene Veröffentlichung" - geringerer Strafrahmen

Cybercrime - Übersicht

© ARGE DATEN 2013

ARGE DATEN

Neue "cybercrime"-Bestimmungen (seit 1.10.2002)

- § 118a Widerrechtlicher Zugriff auf ein Computersystem ["Hacken"]

- § 119a Missbräuchliches Abfangen von Daten- § 126b Störung der Funktionsfähigkeit eines Computersystems

[DOS-Attacken]- § 126c Missbrauch von Computerprogrammen oder

Zugangsdaten ["Cracken"]- § 225a Datenfälschung

von EU beschlossen (2006)- Aufbewahrungspflicht für Telekom- und Internetdaten- in Österreich nicht fristgerecht umgesetzt (Stand: 2.4.2011)

Europarat - Convention on Cybercrime (23.11.2001)

- bisher erst 4 Ratifizierungen (5 sind für Inkrafttreten erforderlich)

- von Österreich unterfertigt, aber nicht ratifiziert, jedoch defacto umgesetzt (Stand: 10/2012)

Cybercrime - Übersicht

© ARGE DATEN 2013

ARGE DATEN

DSK K120.981/0002-DSK/2005 ("Auskunftsumfang")

DSK-Entscheidung: Auskunftsinteresse höher zu bewerten als Geheimhaltungsinteresse Dritter

(Informanten, Empfänger) und des Datenverarbeiters

VwGH 2005/06/0111 hat Entscheidung bestätigt

Auskunft wurde über gespeicherte Daten gegeben, nicht jedoch über Herkunft und Datenweitergabe. Argumentiert wurde mit Schutz des Betriebsgeheimnisses des KSV von 1870 und Geheimhaltungsinteressen Dritter

Der Betroffene ersuchte beim KSV von 1870 um Auskunft gem. § 26 DSG 2000

Einem Interessenten wurde von Telering ein Vertragshandy unter Hinweis auf "Bonitätsinformationen" verweigert.

DSG 2000 - Auskunftsrechte

© ARGE DATEN 2013

ARGE DATEN

Entscheidungen Widerspruch II

OGH 17.12.2009 6Ob41/09m (KSV-Entscheidung)

- Öffentlichkeitsbegriff: auf Grund der Prüfung im Einzelfall ob ein Auskunftsanspruch vorliegt, liegt keine öffentliche Datei vor

- im konkreten Fall keine öffentliche Datei, daher keine Anwendung des § 28 Abs. 2 DSG 2000

OGH 15.04.2010 6Ob41/10p (KSV-Entscheidung)

- Löschung: Im Falle der Löschungspflicht nach § 28 Abs. 2 dürfen auch keine internen Kopien gemacht werden


© ARGE DATEN 2013

ARGE DATEN

DSG 2000 - Novelle 2010 - Anmerkungen

Was wurde nicht geregelt?(Auszug)

- betrieblicher Datenschutzbeauftragter [war im ersten Novellen-Entwurf enthalten]

- Schaffung verbesserter Schutz veröffentlichter Daten [war in Regierungsvorlage als Änderung des § 8 Abs. 2 enthalten]

- Sicherung der Unabhängigkeit der DSK (derzeit läuft EU-Vertragsverletzungsverfahren)

- kollektive Interventionsrechte bei massenhaften Datenmissbrauch vorsehen (z.B. Verletzung der Informationspflicht)

- Auditing datenschutzkonformer Datenanwendung

© ARGE DATEN 2013

ARGE DATEN

Übergangsbestimmungen / todo - Novelle 2010(DSG 2000 § 61)

- vor 31.12.2009 unbefristet registrierte Videoüberwachungen bleiben rechtmäßig (Abs. 6)

- vor 31.12.2009 befristet registrierte Videoüberwachungen bleiben rechtmäßig bis Fristablauf, längstens jedoch bis 31.12.2012 (Abs. 6)

- Verordnung des Bundeskanzlers zur Führung des DVR (§16 Abs. 3 DSG 2000) hat bis 1.1.2012 zu erfolgen (inkl. Anpassung der Meldeformulare + Online Registrierungsmöglichkeit) (Abs. 8)

DSG 2000 - Novelle 2010 - Übergangsbestimmung

Ende Dezember wurde Frist auf 1. September 2012 verlängert!

© ARGE DATEN 2013

ARGE DATEN

DSK-Entscheidung Videoüberwachung ("Gemeindebau-Überwachung")

Ausgangslage- Wiener Wohnen beantragte Videoüberwachung in

Stiegenhäusern, Eingangsbereichen, Aufzügen, Müllplätzen und Garagen

DSK-Entscheidung (nach alten Bestimmungen)- Videoüberwachung fällt unter personenbezogene

Datenverarbeitung ("bestimmbare" Personen)

- Teilstattgebung: Aufzüge, Müllplätze, Garagen

- Stiegenhäuser und Eingangsbereiche abgelehnt, weil zu weitgehender Eingriff in Privatsphäre und keine schwerwiegende Vorfälle gegeben

- Auftrag zur Evaluierung: Vergleich mit nicht überwachten, ähnlichen Anlagen

- 1. Befristung bis 31.12.2009, Genehmigung 2009 unbefristet verlängert


Novelle 2010 sollte keine

Änderung bringen

© ARGE DATEN 2013

ARGE DATEN

DSK K503.425-090/0003-DVR/2005 ("Video")

Ausgangslage- Villach beantragt Videoüberwachung an Orten mit besonderer

Kriminalitätsgefährdung

DSK-Entscheidung- Videoüberwachung ist als Verwendung personenbezogener

Daten anzusehen

- Stadtverwaltung ist berechtigt, erkennbare Straftaten anzuzeigen (ebenso wie andere Personen oder Organe)

- Recht zur Anzeige bedeutet keine Verpflichtung zur Überwachung

- die Stadtverwaltung hat zur Videoüberwachung keine ausreichende Rechtsgrundlage

- Genehmigung war daher zu versagen


Novelle 2010 sollte keine

Änderung bringen

© ARGE DATEN 2013

ARGE DATEN

Informationsverbundsystem (NEU)(DSG 2000 § 50)

- Klarstellung, das Auskunftsbegehren abgesehen von Frist (12 Wochen) wie sonstige Auskunft nach § 26 DSG 2000 zu behandeln ist (Abs. 1) [bisher: entspricht Entscheidungspraxis der DSK/DSBh]

- Meldepflichten des Informationsverbundsystems können an Betreiber formlos übertragen werden (Abs. 2)

- Erleichterungen der Meldung zusätzlicher Teilnehmer an Informationsverbundsystem: es genügt Verweis auf andere Meldung (Abs. 2a)

DSG 2000 - Novelle 2010 - Spezialregelungen

© ARGE DATEN 2013

ARGE DATEN

Neue Probleme und Unklarheiten der Novelle

- Missglückte Definition der "Videoüberwachung" (§ 50a Abs. 1)

- nicht definierter Begriff der "gewonnenen Daten" bei Videoaufzeichnung (§ 50a Abs. 7)

- Beschwerdestelle zum Video-Auskunftsrecht nicht geregelt, Auskunftsrecht in Summe inpraktikabel (§ 50e)

- keine Definition des Datenformates für Videoauskunft (§ 50e Abs. 1) [wäre Sache einer Verordnung]

- Einführung und unzureichende Definition neuer Rollen: "Verfügungsbefugter" und "Auftraggeber der Untersuchung" (§ 46 "Wissenschaft und Forschung")


© ARGE DATEN 2013

ARGE DATEN

Beschwerdeverfahren vor DSK/DSBh (DSG 2000 § 31)

Korrektur/Präzisierung der Zuständigkeiten der DSK/DSBh

- bei allen Auskunftsverfahren nach § 26, zusätzlich bei Auskünften im Zusammenhang mit automatisierten Einzelentscheidungen (DSG2000 § 49 Abs. 3) und Auskünften von Betreibern von Informationsverbundsystemen (DSG2000 § 50 Abs. 1)(Abs. 1) [bisher: nur Auskunftsbegehren nach § 26]

- Verletzungen des Rechts auf Geheimhaltung (§ 1) oder Löschung und Richtigstellung (§ 27 und § 28) bei Datenanwendungen die in Vollziehung der Gesetze betrieben werden (Abs. 2) [bisher: allgemein "Beschwerden gegen Auftraggeber des öffentlichen Rechts"]

DSG 2000 - Novelle 2010 - Kontrollbefugnisse

© ARGE DATEN 2013

ARGE DATEN

Beschwerdeverfahren vor DSK/DSBh II(DSG 2000 § 31 - Fortsetzung)

- sehr detaillierte Bestimmungen über Beschwerdeinhalt (Abs. 3), vorzulegende Dokumente (Abs. 3,4), Verfahrensverlauf (Abs. 7,8) [bisher: entspricht bisheriger - problematischer - Verfahrenspraxis der DSK/DSBh][Anmerkung: DSK/DSBh erhält eine Art AVG "light"]

- Kontrollbefugnisse nach § 30 im Rahmen eines Beschwerdeverfahrens ausdrücklich festgehalten (Abs. 5,6) [entspricht bisheriger Verfahrenspraxis der DSK/DSBh]

- Recht auf Feststellungsbescheid wird ausdrücklich ausgeschlossen (Abs. 8) [entspricht bisheriger - problematischer - Verfahrenspraxis der DSK/DSBh]

Insgesamt wurde das Beschwerdeverfahren für Laien komplizierter und bürokratischer


© ARGE DATEN 2013

ARGE DATEN

Beschwerdeverfahren vor DSK/DSBh III (NEU)

(DSG 2000 § 31a "Begleitende Maßnahmen")

- Klarstellung: Recht der DSK/DSBh auf Überprüfung der Registrierung (Abs. 1)

- Möglichkeit bei Beschwerden die Weiterführung einer Datenanwendung nach § 30 Abs. 6a zu untersagen ("Gefahr in Verzug") (Abs. 2)

- Ist die Richtigkeit von Daten strittig, ist für die Dauer des Verfahrens ein Bestreitungsvermerk anzubringen (Abs. 3)

- DSK/DSBh hat Bestreitungsvermerk auf Antrag des Beschwerdeführers mit Mandatsbescheid anzuordnen (Abs. 3)

- Klarstellung: Regelung der Offenlegung bei Beschwerde-verfahren zu Daten, die der besonderen Geheimhaltung aus öffentlichen Interessen unterliegen (Abs. 4)


© ARGE DATEN 2013

ARGE DATEN

Kontrollbefugnisse der DSK/DSBh III(DSG 2000 § 30)

- Eingaben erlauben DSK/DSBh eine Überprüfung der Meldepflicht nach §§ 22 und 22a (Abs. 2a) [bisher: nur allgemein "Überprüfung der Datenanwendung"]

- Ausweitung der Weitergabebefugnisse von Ermittlungsergebnissen der DSK/DSBh bei bestimmten (Cybercrime-)Strafdaten (Abs. 5)

- Erweiterte Befugnisse der DSK/DSBh zur Durchsetzung von Maßnahmen und Empfehlungen (Abs. 6, 6a)

- Möglichkeit Weiterführung einer Datenanwendung per Mandatsbescheid zu untersagen ("Gefahr in Verzug") (Abs. 6a) [kann als "Datenschutzpolizei" interpretiert werden,bisher: nur Anzeige- und Klagsbefugnisse??, Wirtschaftsauskunftsdienste??]


© ARGE DATEN 2013

ARGE DATEN

Bestimmungen zur DSK/DSBh- Berichtspflicht der DSK/DSBh gegenüber Bundeskanzler(DSG 2000 § 38 Abs. 2)

- Vorsitzender fertigt Beschlüsse der DSK/DSBh aus (DSG 2000 § 39 Abs. 5)

- Klarstellung welche Bescheide das geschäftsführende DSK/DSBh-Mitglied ausfertigen darf (DSG 2000 § 40 Abs. 1)

- Klarstellung der Beschwerdemöglichkeiten gegen Bescheide der DSK/DSBh (DSG 2000 § 40 Abs. 1,2)


© ARGE DATEN 2013

ARGE DATEN

Bereitstellung von Adressen zu Verständigungszwecken

- Klarstellung, wer Antrag zur zusätzlichen Datennutzung an DSK/DSBh stellen darf: Auftraggeber, der Adressendaten verarbeitet (DSG 2000 § 47 Abs. 4) [entspricht bisheriger Entscheidungspraxis der DSK/DSBh]

Automatisierte Einzelentscheidungen- Klarstellung, das Auskunft über "logischen Ablauf der automatisierten Entscheidungsfindung" wie sonstige Auskunft nach § 26 DSG 2000 zu behandeln ist (DSG 2000 § 49 Abs. 3)[entspricht bisheriger Entscheidungspraxis der DSK/DSBh]


© ARGE DATEN 2013

ARGE DATEN

Sonstige Änderungen in der Registrierung

- Führung des Datenverarbeitungsregisters dient nur mehr der Information der Betroffenen (DSG 2000 §16 Abs. 1)[bisher: auch Prüfung der Rechtmäßigkeit]

- Meldepflicht für manuelle Dateien integriert(DSG 2000 §17 Abs. 1)[wie bisher: nur für vorabkontrollpflichtige Anwendungen]

DSG 2000 - Novelle 2010 - Registrierung

© ARGE DATEN 2013

ARGE DATEN

Wissenschaftliche Forschung und Statistik(DSG 2000 §46)

- Klarstellung: Verwendung auch öffentlich zugänglicher Daten zulässig (Abs. 2) [bisher: "nicht öffentlich zugänglich"]

- Änderungen im Ablauf der Datenweitergabe: statt "übermitteln" sensibler Daten, werden sie nun "ermittelt", statt "Empfänger" wird der - nicht definierte - Begriff "Auftraggeber der Untersuchung" eingeführt (Abs. 3) [Anmerkung: die Lösung scheint missglückt]

- Klarstellung: Antrag an DSK/DSBh erfordert Erklärung des Verfügungsberechtigten über die Daten, dass Daten bereit gestellt werden oder die Vorlage eines entsprechenden Exekutionstitels (Abs. 3a) [bisher: konnte die Situation entstehen, dass DSK/DSBh zwar Nutzung der Daten genehmigt, aber diese trotzdem nicht bereit gestellt wurden]


© ARGE DATEN 2013

ARGE DATEN


Zugriffsstatistik zu www.sexqueen.at

Veröffentlichung im InternetWebsite SexQueen Diane www.sexqueen.at

© ARGE DATEN 2013

ARGE DATEN


Veröffentlichung im Internet IIWebsite www.bizarr-family.com

Zugriffsstatistik zu www.bizarr-family.com

© ARGE DATEN 2013

ARGE DATEN

Diverse Änderungen- vereinfachter Zugang des Nationalrates, Bundesrates,

Landesparlamente zu sensiblen Daten [§9]- automatisierte Registrierung mit Bürgerkartesoll möglich

werden(nur mehr Plausibilitätskontrollen) [§§17,20]

- Erweiterungen der Prüfrechte der DSK/DSBh bei fehlerhaften Registrierungen [§22a]

- Beschwerden der Betroffenen werden stärker formalisiert [§31]

- Tätigkeit bei DSK/DSBh wird ausdrücklich als Nebenjob verankert [§36]

geplante Novelle DSG 20??

© ARGE DATEN 2013

ARGE DATEN

Entwicklungsperspektiven DatenschutzNeudefinition des Begriffs "veröffentlichte" Daten notwendig

Grenzen der Nutzungsmöglichkeiten veröffentlichter Daten

Entwicklung von Datenschutzstandards / Selbstregulierung

ÖNORM/Verbraucherrat hat bei ARGE DATEN Datenschutzleitlinie in Auftrag gegebenSchleswig-Holstein hat mit Datenschutzsiegel Anfang gemacht, ISO arbeitet an Datenschutzstandards, ebenso W3C-Konsortium

Privacy Enhancing Technologies (PET)Techniken, die die Überwachung und Einhaltung von Datenschutz erleichtern: Anonymisierungstechniken, Blocktechniken (Cookies, PopUp, ...)

Zukunftsperspektive Datenflusskontrolle?Leichtere Nachvollziehbarkeit von Datenweitergaben (SMS-Verständigung, Webportal, ...)Besonders in Diskussion bei elektronischer Krankenakte

Ausblick Datenschutz

© ARGE DATEN 2013

ARGE DATEN

Entwicklungsperspektiven Datenschutz IIDatenschutzdiskussion in DeutschlandErgebnis diverser Datenschutzskandale sind eine Reihe von Gesetzesänderungen zum BDSG

- künftig nur mehr OptIn bei Listbroking und Adressenhandel (statt heutiger Widerspruchslösung)

- Erhöhung der Strafgelder

- Gewinnabschöpfungsmöglichkeiten bei Datenmissbrauch (insbesondere bei den "Abzockseiten" im Internet)

- Informationspflicht der Betroffenen bei Datenpannen

- genaue Regeln zur Zulässigkeit des Scorings

- Beschränkungen bei Übermittlungen an Auskunfteien

- Schutz vor heimlicher Ortung (soll Teil eines Telekommunikationsdatenschutzgesetzes werden)


© ARGE DATEN 2013

ARGE DATEN

Entscheidungen zu DSG2000 § 26

DSK K120.929/0007-DSK/2004 ("Empfängerkreise")

bei fehlender Protokollierungspflicht (Empfängerkreise bei der DVR-Registrierung angegeben) besteht lt. DSK kein Anspruch auf Auskunft der tatsächlichen Empfänger: Entscheidung vom VfGH aufgehoben

DSK K120.980/00005-DSK/2004 ("Identitätsnachweis")

Bei Zweifel an der Identität des Auskunftssuchenden muss eine Kopie eines Personaldokuments vorgelegt werden

DSK K120.881/010-DSK/2003 ("eMail-Daten")Auch e-Mail-Verkehr ist als Datenanwendung iS des DSG 2000 anzusehen und unterliegt der Auskunftspflicht

DSK K121.344/0002-DSK/2008 ("Umfang")Auskunft ist über alle Daten zu geben, mit denen ein Antragsteller identifiziert werden kann (Name, Geburtsdatum), die Anschrift zählt nicht zu den Idenitätsdaten, da sie sich jederzeit ändern kann


© ARGE DATEN 2013

ARGE DATEN

DSK K120.940/0008-DSK/2005 ("Weitergabe an Medien")

Ausgangslage- berufliche Daten des Betroffenen werden in Medien

veröffentlicht (Ärztefunktionär, Anwesenheit, Entlohnung)

- Arzt in einer öffentlich-rechtlichen Einrichtung tätig, Zuständigkeit der DSK gegeben

- Beschwerde gegen Dienstgeber

Entscheidung- Datenschutzverletzung liegt vor

- Beschwerde abgewiesen, da der Betroffene nicht bewiesen konnte, dass einer der Beschwerdegegner die Daten weitergegeben hat!

DSG 2000 - Rechtsdurchsetzung

© ARGE DATEN 2013

ARGE DATEN

DSK K211.593/0011-DSK/2005 ("Empfehlung")

Ausgangslage- Betroffener untersagt Wirtschaftsauskunftsdienst Weitergabe

ihn betreffender Daten

- Wirtschaftsauskunftsdienst gibt weiter, dass eine Beauskunftung untersagt wurde

DSK-Entscheidung- der Betroffene hat Widerspruchsrecht gem § 28 DSG 2000

- auch die Auskunft, dass Datenweitergabe untersagt wird, ist unzulässig und hat in Zukunft zu unterbleiben

- da Wirtschaftsauskunftsdienste gesetzlich nicht angeordnet sind, ist eine Datenweitergabe nur mit Zustimmung des Betroffenen zulässig

- die Schutzinteressen der Betroffenen sind höher als die Informationsinteressen Dritter zu bewerten


© ARGE DATEN 2013

ARGE DATEN

Kontrollbefugnisse der DSK/DSBh (§ 30)- Recht auf Prüfung und auf Einschau beim Auftraggeber /

Dienstleister- Auftraggeber hat Prüfung zu unterstützen- Recht auf Zutritt zu Datenverarbeitungsanlagen- Schonung der Rechte des Auftraggebers/Dritter- Verwertung im Zusammenhang mit Verletzung von

Datenschutzbestimmungenansonsten: Beweisverwertungsverbot und Verschwiegenheit gegenüber Gerichten und Verwaltungsbehördenjedoch: Ausnahmen vom Beweisverwertungsgebot

Reaktionsmöglichkeiten der DSK/DSBh:- Empfehlungen an Auftraggeber, bei Nichteinhaltung:

Überprüfung der Registrierung- Anzeige gem. §51 / 52 DSG 2000- im privaten Bereich Klage beim zuständigen Gericht


© ARGE DATEN 2013

ARGE DATEN

DSK K211.505/002-DSK/2004 ("Mandatsbescheid")

Ausgangslage- Unternehmen kündigt an eine Liste von zahlungsunwilligen

Konsumenten zu betreiben

- kann über das Internet gegen Bezahlung abgerufen werden

- Firmen werden aufgefordert zahlungsunwillige Personen zu melden

DSK-Entscheidung- System zur Beurteilung der Bonität geeignet, daher

besonders schutzwürdig

- Auftrag Betrieb und Ankündigung mit sofortiger Wirkung zu unterlassen (Mandatsbescheid gem. § 57 AVG)

- wenn zugesichert wird, dass Betrieb erst nach Registrierung erfolgt, ist Mandatsbescheid aufzuheben


© ARGE DATEN 2013

ARGE DATEN

SA022 Kundenbetreuung und Marketing eigene Zwecke

Betroffenenkreis I: eigene Kunden / Interessenten, die selbst an Auftraggeber herangetreten sind

- relativ umfassend und großzügig, u.a. Kaufverhalten, Betreuungsdaten, Kaufkraftklassifizierung, elektronische Kommunikations-/Kontaktdaten

Betroffenenkreis II: zugekaufte Interessentendaten, eigene Ermittlungen

- beschränkter Datenumfang: Name/Anschrift, öffentlich zugängliche werberelevante Daten, Zugehörigkeit zu Interessentenklasse, Antwortverhalten auf Werbeaktivitäten

- nicht enthalten: elektronische Kommunikations-/Kontaktdaten, Kaufkraftklassifizierung und ähnliches individuelle Registrierung erforderlich!

DSG 2000 - SA022 - Abgrenzung

© ARGE DATEN 2013

ARGE DATEN

Datenverarbeitungsregister (DVR) (§§ 16ff)

Zeitpunkt der Registrierungspflicht /wann ist zulässiger Beginn der Verarbeitung? (§ 18)

- Beginn der Verarbeitung mit Tag der Registrierungsmeldung(gilt für "normale" DAs)

oder- nach Abschluss der Vorabkontrolle, wenn keine

Einwände erhoben werden, 2 Monate nach Meldung(gilt für DAs, die der "Vorabkontrolle" unterliegen)

- Datenverarbeitungsregister ist Teil der DSK/DSBh (§ 16)

- lt. DSK-Bericht 2007 gibt es keine Möglichkeit die Zahl der Auftraggeber festzustellen

- Auftraggeber, die keine DVR-Nummer benötigen, müssen die Identität in anderer Weise offen legen (§ 25)


© ARGE DATEN 2013

ARGE DATEN

Registrierungspflicht besteht bei Videoüberwachung

- jedenfalls bei Aufzeichnung,

- jedenfalls bei Absicht der Personenidentifikation

- nicht bei "privaten" Überwachungen (DSK-Position)

VwGH 2007/05/0220-3 (DSK K095.040/0004-DSK/2007)private "Verkehrsüberwachung"

- Anrainer hatte Radaranlage installiert und Schnellfahrer gefilmt und zur Anzeige gebracht

- wollte von DSK Bescheid über die Notwendigkeit einer Registrierung, fürchtete "Vergeltung" durch angezeigte Autofahrer

- DSK lehnte ab, VwGH bestätigte, verwies auf Registrierungsverfahren


© ARGE DATEN 2013

ARGE DATEN

Thema Video

Videodaten kein Teil des BankgeheimnissesAusgangslage

- In einer Bankfiliale wird einer Kundin das Handy gestohlen. Dieb wird gefilmt, Bankangestellter lässt durchblicken, das es sich vermutlich um einen Bankkunden handelt.

- Bezirksgericht fordert Bank auf Name und Adresse bekannt zu geben und Videoaufzeichnung herauszugeben

OGH-Entscheidung 13Os89/07y- Bekanntgabe von Namen und Adresse unzulässig (schützt

Bankgeheimnis)

- Herausgabe der Videoaufzeichnungen zulässigPrüfschema Videoüberwachung

- Schritt I: Kann das Ziel durch andere Maßnahmen erreicht werden?

- Schritt II: Abwägung der Schwere des Persönlichkeitseingriffs gegenüber dem angestrebten Schutz

- Nebenprobleme: Aufzeichnung/keine Aufzeichnung, digital/nicht digital, identifizierende Absicht/nicht identifzierende Absicht

© ARGE DATEN 2013

ARGE DATEN

Ziele neuer Datenschutzregelungen:

Datenverarbeitungen sind allgegenwärtig

Datenverarbeitungen haben für die Betroffenen transparent zu sein

Sowohl öffentlich-rechtliche, als auch privat-rechtliche Datenverarbeitungen können in Grundrechte eingreifen

Wesentlich ist der Schutz der Privatsphäre, nicht die Regulierung der Verarbeitungsform

Ziel ist die Schaffung "fairer" Vereinbarungen mit Betroffenen


© ARGE DATEN 2013

ARGE DATEN

EU-Richtlinie Umsetzungsstand

1. EU-Bericht zur Umsetzung (5/03)- freier Datenverkehr ist gewährleistet

- Widerspruch zwischen hohem rechtlichen Schutzniveau und Wahrnehmung durch Bevölkerung

- derzeitige Harmonisierung für international tätige Unternehmen ungeeignet

- fehlerhafte Umsetzung in einer Fülle von Punkten (Zulässigkeit der Verarbeitung, Information der Betroffenen, sensible Daten)

- generell lückenhafte Befolgung durch Datenverarbeiter

keine Inititativen zur Änderung der Richtlinie empfohlen

© ARGE DATEN 2013

ARGE DATEN

Die Grenzen des aktuellen Datenschutzes

technische Entwicklung- Internet-Problemstellungen derzeit nur unzureichend abgedeckt- Spam- und Wurmverbreitung (eMail-Verkehr)- social engineering und social hacking (z.B. "phishing")- User-Tracking erlaubt eine Permanentkontrolle des

Benutzerverhaltens- Grenzen zwischen den Rollen "Betroffener", "Auftraggeber" und

"Dienstleister" verschwimmen

grundrechtlich- leere Staatskassen und Terrorangst führen dazu, dass die

erforderliche Interessensabwägung immer seltener gemacht werden

- im Sozial- und Gesundheitsbereich (Effizienzsteigerung, ...)- bei öffentlicher Sicherheit (Videoüberwachung,

Vorratsdatenspeicherung, Biometrie, RFID-Reisepässe, DNA-Massenscreening, ...)


© ARGE DATEN 2013

ARGE DATEN

TSUNAMI-Bestimmung

Sonderbestimmungen zur Datenweitergabe im Katastrophenfall (seit 2.3.05)

- neu geschaffener §48a DSG 2000

- Ermächtigung öffentlich-rechtlicher Auftraggeber Daten zur Hilfeleistung im Katastrophenfall zu verwenden

- dürfen in Form eines Informationsverbundes verwendet werden

- Weitergabe an Hilfsorganisationen und nahe Angehörige zulässig

- Übermittlung der Daten Angehöriger nur in "pseudonymisierter" Form

- Übermittlung ins Ausland zulässig

- Übermittlung erkennungsdienstlicher Daten nur bei vermutlich verstorbenen Personen

Bisher unterlagen Übermittlungen im Notfall der Interessensabwägung

Die Bestimmung stellt einen rechtssystematischen Systembruch dar,

von dem fraglich ist, ob sie EU-konform ist

© ARGE DATEN 2013

ARGE DATEN

Vereinbarung "Safe Harbour"

ist eine Dokumentensammlung, bestehend aus:

- Annex I: allgemeinen Grundsätzen der FTC

- Annex II: FAQ-Liste (die eigentlichen "Grundsätze")

- Annex III: Erklärung über Durchsetzungsmechanismen

- Annex IV: Memorandum bezüglich Entschädigungen

- Annex V: Schreiben der FTC

- Annex VI: Schreiben des US-Verkehrsministeriums

- Annex VII: Liste der befugten Organisationen

Das zentrale Dokument ist die FAQ-Liste!


© ARGE DATEN 2013

ARGE DATEN

zentrale Grundsätze des "Safe Harbour"- INFORMATIONSPFLICHT (entspricht: DSG 2000 §24)

- WAHLMÖGLICHKEIT (DSG 2000 §28 "Widerspruch")

- WEITERGABE (DSG 2000 u.a. §8f "Verwendung")

- SICHERHEIT (DSG 2000 §14)

- DATENINTEGRITÄT (DSG 2000 §6 "Grundsätze")

- AUSKUNFTSRECHT (DSG 2000 §26f)

- DURCHSETZUNG (DSG 2000 §30ff)

Umfang der Regelung:- Online- und Offline-Daten, manuelle Daten,

Personaldaten (Human Ressource Daten)


© ARGE DATEN 2013

ARGE DATEN

Sonstige Bestimmungen zu "Safe Harbour"(formuliert in den Frequently Asked Questions)

- Sensible Daten (FAQ1)

- Ausnahmen für Journalisten (FAQ2)

- ISP-Haftung bei Weiterleitung (FAQ3)

- Investmentbanken und Wirtschaftsprüfer (FAQ4)

- Funktionsweise der Selbstzertifizierung (FAQ6)+ Selbstkontrolle (FAQ7)

- Durchführung der Auskunft (FAQ8)(orientiert sich an OECD-Empfehlung 1980)

- Verwendung von Personaldaten (FAQ9)

- Schiedsverfahren und Durchsetzung (FAQ11)

- Verwendung von Reisedaten (FAQ12)


© ARGE DATEN 2013

ARGE DATEN

Schiedsverfahren und Durchsetzung der "Safe Harbour" Verpflichtungen (FAQ11)

- Betroffene können sich direkt beschweren

- Beschwerden von Selbstregulierungsorganen werden vorrangig behandelt(BBBOnline, TRUSTe, ...)

- ebenso Beschwerden der EU-Mitgliedsstaaten

- Fortgesetzte Missachtungen sind zu veröffentlichen

- Sanktionen:öffentliche BekanntmachungLöschung betreffender DatenEntschädigung für PersonenStreichung von der Liste "safe harbour"sonstige Auflagen


© ARGE DATEN 2013

ARGE DATEN

Entscheidungen zu DSG2000

DSK K120.842/009-DSK/2003 ("falsche DVR-Nummer")

Die Verwendung einer falschen DVR-Nummer verletzt keine subjektiven Rechte, sondern ist nur eine Verwaltungsübertretung[steht im Gegensatz zu den EU-Bemühungen nach Transparenz für die Bürger]


© ARGE DATEN 2013

ARGE DATEN

Entscheidungen zu DSG2000 §1(Geheimhaltung)

OGH 11Os109/01 ("allgemeine Verfügbarkeit")

Geheimhaltungsanspruch auch dann gegeben, wenn Information durch Betroffenen selbst an einen beschränkten Kreis weiter gegeben wurde

DSK K121.337 / K210.380 ("Geburtsdatum")Geburtsdatum auf Rsa-Schreiben zulässig, auf Infobroschüre des BMLV nicht

DSK K120.662/32-DSK/00 ("Lehrerliste")Weitergabe einer Lehrerliste an Postbediensteten ist zulässig, da Dienststelle der Lehrer veröffentlicht wird


© ARGE DATEN 2013

ARGE DATEN

OGH 4 Ob 179/02f ("BA-CA")

Die kritisierten Datenschutz-Bestimmungen- AGB's Z26 / Z27

- Weitergabe an Kleinkreditevidenz/Warndateien / KSV1870

- Weitergabe an sonstige Einrichtungen zur Risikobeurteilung (Refinanzierungsgeber, Einlagen- und Anlegerentschädigungseinrichtungen, ...)

- Entbindung vom Bankgeheimnis

Die wichtigsten Punkte der Entscheidung- Hinweis auf Widerruf wesentlicher Teil der Zustimmung

- besondere Informationspflicht in der Abgrenzung zustimmungspflichtiger Datenübermittlungen von anderen

- Entbindung vom Bankgeheimnis muss auch bei oberflächlicher Kenntnisnahme klar und eindeutig sein

- Widerspruch zu Treu und Glauben (§ 6 DSG 2000)


© ARGE DATEN 2013

ARGE DATEN

weitere Zuständigkeiten (für Betroffene)

- Magistrat / Bezirkshauptmannschaft (formlos)Anzeigen gem. § 52 DSG 2000 (jedoch keine Parteienstellung)

- EU-Kommission (formlos)Beschwerde wegen EU-Vertragsverletzung:bei Verdacht der nicht EU-konformen Umsetzung der Datenschutz-Richtlinie durch den Gesetzgeber

- US/FTC bzw. Luftfahrtbehörde (formlos)Bei allen Verstößen gegen die "safe harbour" Vereinbarung

DSG 2000 - Einrichtungen

© ARGE DATEN 2013

ARGE DATEN


OGH 6 Ob 275/05t ("Verdienstentgang")

Ausgangslage- Anwalt gelangte wegen Verzug der Rückzahlung eines

Bürgschaftskredits auf UKV-Liste der Banken

- Geschäft mit einer Kammer kam auf Grund dieses Eintrags nicht zustande (Umfang 70.000,- EUR)

- Anwalt forderte von Bank Schadenersatz in Höhe von 30.000 EUR

OGH-Entscheidung- Eintrag ohne vorherige Verständigung unzulässig

- OGH beruft sich ausdrücklich auf DSK-Bescheid K095.014/021-DSK/2001

- Schadenersatz besteht daher zu Recht (zugesprochen 25.000 EUR)

- Erstgericht wird Aufteilung zwischen materiellen/immateriellen Schaden entscheiden müssen

© ARGE DATEN 2013

ARGE DATEN


Was wurde nicht geregelt? IIAuditing datenschutzkonformer DatenanwendungFehlende Regelungen auf Grund neuer technologischer und sozialer Entwicklungen[z.B. neue Rollendefinitionen erforderlich]:

- Web2.0/Soziale Netze- RFID (Radio Frequency IDentification)- biometrische Daten- Cloud Computing- Online Services, wie Patientendatenverwaltung- Scoringmethoden- Ubiquitous Computing ("Web der Dinge")- Personenortung- ...??

... aber es gilt, nach der Novelle ist vor der Novelle ...

© ARGE DATEN 2013 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven Hans G. Zeger, ARGE...

Documents

Transcript of © ARGE DATEN 2013 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven Hans G. Zeger, ARGE...