© ARGE DATEN 2014 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven Hans G. Zeger, ARGE...

© ARGE DATEN 2014

Datenschutz GrundlagenPraxis, Entscheidungen, Perspektiven

Hans G. Zeger, ARGE DATENStegersbach, Hotel Allegria, 15. September 2014 und

folgende

ARGE DATENARGE DATEN

© ARGE DATEN 2014

Die ARGE DATEN als PRIVACY-Organisation

Aktivitäten der ARGE DATEN

Öffentlichkeitsarbeit, Informationsdienst:- Web-Service: 60-80.000 Besucher/Monat

- Newsletter: rund 4.500 Abonnenten

- 2013: rund 500 Medienanfragen/-berichte

Mitgliederbetreuung Datenschutzfragen- 2013: ca. 600 Datenschutz-Anfragen

Rechtsschutz, PRIVACY-Services- 2013: in ca. 200 Fällen Mitglieder in Verfahren vertreten

Zahl der betreuten Mitglieder- aktuell: ca. 15.000 Personen

Studien- und Beratungsprojekte

A-CERT - Zertifizierungsdienstleister gem. SigG


© ARGE DATEN 2014

ARGE DATEN

Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern.

ARGE DATEN

© ARGE DATEN 2014

ARGE DATENDr. Hans G. Zeger © Hans G. Zeger

2009

Aufgezeichnet von einer CCTV-Kamera

Wen bedroht der Mann?

Sehen wir mehr, wenn wir genauer

hinsehen?

[Ausschnitt aus: "faceless, 2008"]

© ARGE DATEN 2014


2009

5 überwachte Verdächtige ...

... fünftausend überwachte BetroffeneWer gehört zum Netzwerk?

Wer ist die Kommandozentrale?

Der lang gesuchte „Pate“?Oder nur das Pizzaservice, das alle lieben?

Oder ist das Pizzaservice doch die Tarnung für den „Paten“?

© ARGE DATEN 2014

ARGE DATEN

Wer ist verdächtig?

- überqueren der Straße, abseits vom Zebrastreifen- in Öffentlichkeit Dose in der Hand halten- stehen in Hauseingängen- stehen vor Häusern, Bahnhöfen, ...- stehenbleiben vor einem Auto- gehen von einem Auto zum nächsten- längeres Herumstehen allgemein- Laufen - Bewegen mehrerer Menschen aus verschiedenen

Richtungen auf einen Punkt zu

Aus INDECT, einem EU-Projekt zur Zusammenführung aller erdenklicher

(Video-)Daten und deren automatisierter Auswertung

© ARGE DATEN 2014

ARGE DATEN

... verdächtig ist auch ...

- Wer Halal-Speisen im Flugzeug bestellt- Wer immer wieder umbucht- Wer bei auffälligen Reisebüros bucht- Wer Oneway-Tickets bucht- Wer auffällige Namen trägt"Erkenntnisse" des Department of Homeland Security

... aber auch ...- Wer Socken in seiner Tasche transportiertErkenntnisse lt. Zeitschrift Polizei 10-12/2011

... und auch ...- Wer Smartphones ohne Ladegerät auf ebay & Co

anbietetErkenntnisse lt. einer Online-Handelsplatform

© ARGE DATEN 2014

ARGE DATEN

© Hans G. Zeger 2009

Wanted!Machen

technische Fehler uns alle

verdächtig?

© ARGE DATEN 2014

ARGE DATEN

Grundlagen DSG 2000

Schlussbemerkung

Schutz der Privatsphäre

Auswahl Bestimmungen DSG 2000

Datenschutz Sicherheitsbehörden

Geplanter Ablauf

Weitere DSG-Bestimmungen

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Grundlagen des DSG 2000

Die wichtigsten Begriffe

Zustimmung

Zulässigkeit der Datenverwendung

Rechtmäßige Datenanwendung

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Entwicklung zum DSG 20001978 erstes Datenschutzgesetz - DSG (BGBl.

Nr. 565/1978)(Geltung 1.1.1980-31.12.1999)

1995 EG-Datenschutzrichtlinie 95/46/EG1999 Datenschutzgesetz - DSG 2000 (BGBl. I

Nr. 165/1999)

Wichtige Änderungen zum DSG 2000 (Auswahl)2001 Euro-Umstellung der Verwaltungsstrafen (BGBl. I Nr.

136/2001)

2005 "Tsunami"-Bestimmung (BGBl. I Nr. 13/2005)

2008 Änderungen in Verfassungsbestimmungen (BGBl. I Nr. 2/2008)

2009 DSG 2000 - Novelle 2010 (BGBl. I Nr. 133/2009)

2012 Verwaltungsgerichtsbarkeits-Novelle 2012 (BGBl. I Nr. 51/2012)



20?? EU - Neuordnung des Datenschutzes

DSG 2000 - Grundlagen

ARGE DATEN

© ARGE DATEN 2014

Umsetzung der EU-Richtlinie "Datenschutz" (1995)

soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch innerhalb der EU (Art.1 Abs.2) sichern

Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten."

Art. 1 Abs. 2 "Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes."

EU-RL gilt nur für "natürliche Personen"DSG 2000 auch für "juristische und sonstige Personen"damit vertritt Österreich EU-weit eine exotische Position

Bestimmungen betreffen alle Verwendungsformen persönlicher Daten, nicht nur automatisiert verarbeitete Daten



© ARGE DATEN 2014

DSG 2000 - Grundrecht

DSG 2000 § 1 (Verfassungsbestimmung):

"jede Verwendung persönlicher Daten ist verboten"

umfassender GeheimhaltungsanspruchEuroparechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens")

ARGE DATEN

Einschränkungen des Verbots sind möglich:- mit der Zustimmung des Betroffenen

- in Vollziehung von Gesetzen (Behörden, behördliche Tätigkeit)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter

- bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen/Dritter ARGE DATEN

© ARGE DATEN 2014

DSG 2000 - Grundrecht

DSG 2000 § 1 Abs 2 "behördliche Eingriffe":"(2) [...] Beschränkungen des Anspruchs auf Geheimhaltung [...] bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden."

ARGE DATEN

zulässige Gesetze gemäß EMRK (Auszug):- Aufrechterhaltung öffentliche Ruhe und Ordnung- Verteidigung der Ordnung- Verhinderung von strafbaren Handlungen- Schutz der Moral- Schutz der Rechte und Freiheiten anderer

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

DSG 2000 § 4 Z 1

"Daten" ("personenbezogene Daten")"Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist"

DSG 2000 § 4 Z 3"Betroffener""jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden"

Datenbegriff sehr allgemein gehalten, umfasstauch Bild- und Tondaten, biometrische Daten,

technische Kennzahlen (z.B. Stromverbrauchsdaten,

IP-Adressen, ), Informationen über Sachen


ARGE DATEN

© ARGE DATEN 2014

Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!)personenbezogene Daten § 4 Z 1 DSG 2000

ARGE DATEN


Personenbezogene Daten

sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG 2000 (kein EU-Begriff) sensible Daten

§ 4 Z 2 DSG 2000

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

DSG 2000 § 4 Z 2 ("sensible" Daten)

Daten natürlicher Personen über

rassische und ethnische Herkunft

politische Meinung

Gewerkschaftszugehörigkeit

religiöse und philosophische Überzeugung

Gesundheit

Sexualleben

Probleme kann die Abgrenzung bereiten, z.B. Hautfarbe, Speisegewohnheiten, "Kopftuch",

Sozialberatung


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

DSG 2000 § 4 Z 4"Auftraggeber" / Verantwortlicher für Datenverwendung"natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung)

DSG 2000 § 4 Z 5 "Dienstleister"natürliche oder juristische Personen, ...... , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung)


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN


DSG 2000 § 4 Z 6"Datei"

"strukturierte Sammlung von Daten, die nach mindestens einem [personenbezogenen, Anm.] Suchkriterium zugänglich sind"

DSG 2000 § 4 Z 7,,Datenanwendung''

"die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte ... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)"

DSG 2000 § 4 Z 8" Verwenden von Daten"

"jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten"ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

DSG 2000 § 4 Z 9 "Verarbeiten von Daten""das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten"

DSG 2000 § 4 Z 12 "Übermitteln von Daten""die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister"

Entscheidung DSK K120.656/16-DSK/00Übermittlung ist unabhängig von der technischen Methode

DSG 2000 § 4 Z 14 "Zustimmung""die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt"

Widerruf der Zustimmung in § 8 bzw. § 9 geregelt


ARGE DATEN

© ARGE DATEN 2014

Verwenden von Daten

Z 8

Übermitteln Verarbeiten

Z 9

Z 12

Daten-anwendun

gZ 7

Auftraggeber

Z 4

Dienstleister

Z 5

AuftragÜberlassen

Z 11

Ermitteln,Auswerten,Sortieren,Speichern,Analysieren,Korrigieren,Ausdrucken,Anzeigen, ...


Die wichtigsten Begriffe (§ 4 DSG Z ...)


© ARGE DATEN 2014

ARGE DATEN


Grundsätze der Verwendung von Daten (§ 6ff)Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1)

Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2)

Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2)

Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3)

DSK 120.705/010-DSK/2001 ("gelindester Eingriff")Zuverlässigkeitsprüfung eines Sicherheitsbeamten durch Gewerbbehörde Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Wie kann die Rechtmäßigkeit einer Datenverarbeitung abgeschätzt werden?

(1) RechtsgrundlageDie Verwendung von personenbezogenen Daten muss für ein legitimes Ziel (Gesetz, Vertrag, ...) erforderlich sein.

(2) EignungDie Verwendung von Daten muss geeignet sein um das bestimmte, konkrete Ziel (Zweck) tatsächlich zu erreichen.

(3) ErforderlichkeitEs gibt keine alternative (weniger invasive) Lösung zur Erreichung des bestimmten Ziels (Zweckes).

(4) VerhältnismäßigkeitDie Verwendung der Daten führt zu keiner Verletzung höherwertiger Schutzrechte (Grundrechte).


ARGE DATEN

© ARGE DATEN 2014

Geheimhaltungsinteressen bei Datenverwendung (§ 8-nicht-sensible Daten, § 9-sensible Daten)

Wann dürfen Daten jedenfalls verwendet werden? (Auszug)

- Rechtsgrundlage / gesetzliche Verpflichtungen- Zustimmung des Betroffenen- zur Wahrung lebenswichtiger Interessen- überwiegende Interessen Dritter / Auftraggeber

(nicht anwendbar bei sensiblen Daten!)z.B. notwendige Voraussetzung zur Vertragserfüllung,Ausübung von Rechtsansprüchen des Auftraggebers, behördliche Tätigkeit

- indirekt personenbezogene Daten- zulässig veröffentliche Daten:

soweit berechtigter Zweck des Verwenders gegeben

- im öffentlichen Bereich: in Erfüllung der Amtshilfe



© ARGE DATEN 2014

ARGE DATEN

Schutz der Privatsphäre

§ 1328a ABGB

Beispiele / Entscheidungen

Übersicht

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Bestimmungen zum Schutz der Privatsphäre• EMRK Art 8 (Privatsphäre, Familienleben, Briefverkehr)

• StGG (Staatsgrundgesetz) Art. 9, 10 (Briefgeheimnis) u. 10a (Fernmeldegeheimnis)

• § 1 DSG 2000 (Geheimhaltung Daten)

• § 16 ABGB (angeborene Rechte)

• StGB z.B. § 118f (Briefgeheimnis), § 119f (Telekommunikationsgeheimnis) und §§ 302ff (Amtsmissbrauch)

• TKG 2003 § 93 (Kommunikationsgeheimnis)

• MedienG § 7ff (Bloßstellung)

• UrhG § 77 (Briefe, Tagebücher, ähnliche vertrauliche Aufzeichnungen), § 78 (Bildnisschutz), § 87 Abs 2 (Entschädigung)

• Regelungen für einzelne Berufsgruppen (siehe Anhang)

• ABGB § 1328a (Bloßstellung)

• StGB § 107a (Anti-Stalking-Bestimmung)

Schutz der Privatsphäre - Übersicht

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

§ 107a StGB Beharrliche Verfolgung / Stalking- Delikt: beharrliche Verfolgung, gegeben wenn

- räumliche Nähe gesucht (Abs. 2 Z 1) oder

- Kontaktaufnahme mittels Telekommunikation, sonstige Kommunikationsmittel oder über Dritte (Abs. 2 Z 2) oder

- Verwendung personenbezogener Daten zur Bestellung von Waren und Diensten (Abs. 2 Z 3) oder

- Verwendung personenbezogener Daten um Dritte zur Kontaktaufnahme zu veranlassen (Abs. 2 Z 2)

- Strafrahmen bis zu einem Jahr

Schutz der Privatsphäre - §107a StGB

© ARGE DATEN 2014

ARGE DATEN

§ 1328a ABGB Privatsphärebestimmung(1) Wer rechtswidrig und schuldhaft in die Privatsphäre eines Menschen eingreift oder Umstände aus der Privatsphäre eines Menschen offenbart oder verwertet, hat ihm den dadurch entstandenen Schaden zu ersetzen. Bei erheblichen Verletzungen der Privatsphäre, etwa wenn Umstände daraus in einer Weise verwertet werden, die geeignet ist, den Menschen in der Öffentlichkeit bloßzustellen, umfasst der Ersatzanspruch auch eine Entschädigung für die erlittene persönliche Beeinträchtigung.

Abs.2 definiert Substitutionsklausel

- Bestimmung ist nicht anzuwenden, wenn andere Bestimmung gilt, etwa Datenschutz- oder Medienrechtsbestimmungen

Schutz der Privatsphäre - §1328a ABGB

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Änderungen durch § 1328a• Immaterieller Schadenersatz•Auffangtatbestand für bisher nicht erfasste Verletzungen

Drei Verletzungsarten•Eingreifen (Eindringen in die Privatsphäre)•Offenbaren an Dritte (nicht nur Öffentlichkeit)•Verwerten (wirtschaftlicher Vorteil durch Kenntnisse aus

Privatsphäre)

Voraussetzungen für Schadenersatz nach § 1328a

•Rechtswidrigkeit•Verschulden (leichte Fahrlässigkeit genügt)•Erheblicher Eingriff

Schutz der Privatsphäre - §1328a ABGB

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Schutz der Privatsphäre - Beispiele

Beispiele für Eingriffe in die Privatsphäre• private Videoüberwachung, Personenortung,

Radarüberwachung• Bekanntgabe persönlicher Daten im Internet• Illegales Abhören von Telefonaten oder

Gesprächen• Hacken von privaten Computern• Missbrauch von Foto-Handys• Weitergeben von privat mitgeteilten Geheimnissen• Überwachung des Standortes eines

Mobiltelefonnutzers ohne dessen Zustimmung• Offenbaren/Verwerten von Gerichtsurteilen• Bedrängen durch Kontaktaufnahmeversuche

(eMail, Telefonate, ...)ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Entscheidungen zur Privatsphäre

Entscheidungen zum Schutz der Privatsphäre

•OGH 6Ob 2401/96y Videoüberwachung eines Wohnhauses

•OGH 7Ob 89/97g "Überwachung" durch Kameraattrappen(siehe auch analog OGH 6Ob6/06k)

•OGH 8Ob 108/05y Videoüberwachung eines Konkurrenten

•OGH 6Ob 256/12k Unzulässig ist schon die Herstellung eines Bildes ("private" Aufnahmen von einem Sachverständigen im Zuge einer Amtshandlung)

•OGH 7Ob 248/09k Gelegentliches "über den Zaun schauen" ohne Eingriffsabsicht / ohne techn. Hilfsmittel kein Eingriff in Privatsphäre (Eingriff muss mit Aufzeichnungen nachgewiesen werden)

•BG Josefstadt 6C188/09p EV gemäß § 382g EO wegen Veröffentlichung privater Daten in einem Blog ("Cyberstalking")(begründet auf § 1328a ABGB)

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Veröffentlichung

Informationsverbundsystem

Kontrollbefugnisse Datenschutzbehörde

Auswahl Bestimmungen DSG 2000

Meldepflichten

Informationspflichten

Betroffenenrechte

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Was ist eine zulässige Veröffentlichung?

Veröffentlichen von Informationen- ist im DSG 2000 Spezialfall der Datenübermittlung- die Veröffentlichung muss rechtlich zulässig sein

DSG 2000 - Veröffentlichung

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Registrierung von Datenanwendungen (§§ 16ff)

- Grundsätzlich besteht für jede Datenanwendung Registrierungspflicht, aber: es sind nicht alle Datenanwendungen zu registrieren (§ 17)

- Jede Registrierung erfolgt für bestimmte Datenanwendung, für bestimmte Datenarten, bestimmte Personengruppen und bestimmte Zwecke (§ 17)

- Eine DVR-Nummer wird einem Unternehmen (Organisation) bei erstmaliger Registrierung einer DA zugeteilt (§ 21)

- Registrierung ist kostenlos (§ 53)- Registrierung soll Transparenz sichern (§ 16)- Jedermann kann Einsicht in Registrierung nehmen (§ 16)

- Vereinfachte Registrierung bei Muster-Datenanwendungen (§ 19)

DSG 2000 - Registrierung und Genehmigung

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Registrierungsfreiheit (§ 17)

- Standardanwendungen

- DA enthält ausschließlich (!) veröffentlichte Daten (typischerweise Telefonbuch-CDs u.ä.)

- Führung öffentlich einsehbarer, gesetzlich vorgesehener Register

- ausschließlich indirekt personenbezogene Daten

- persönliche Datenanwendungen

- publizistische Datenanwendungen

- manuelle Datenanwendungen, die nicht der Vorabkontrolle unterliegen

- bestimmte DA‘s der Republik Österreich

- DA für Zwecke der Strafverfolgung

DSG 2000 - Registrierung und Genehmigung

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Was ist ein Informationsverbundsystem (IVS)? (§ 50)

gemeinsame Verwendung von Daten in einer DA durch mehrere [österreichische] Auftraggeber

geeigneter Betreiber ist zu bestellen

Betreiber ist zwecks Eintrag im DVR zu melden

Betreiber hat Auskünfte über Auftraggeber zu geben (12 Wochenfrist!)es können weitere Auftraggeberpflichten an den Betreiber abgetreten werden

Meldepflichten des Informationsverbundsystems können an Betreiber formlos übertragen werden (Abs. 2)Erleichterungen der Meldung zusätzlicher Teilnehmer an Informationsverbundsystem: es genügt Verweis auf andere Meldung (Abs. 2a)

Stand lt. DVR-Online: 133 Anwendungen gemeldet, davon ca. 80% aus öffentlich-rechtlichen Bereich, 20% private

DSG 2000 - Spezialregelungen

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Informationsverbundsysteme des BMI

- 16 registrierte Informationsverbundsysteme- weitere per Gesetz eingerichtete Informationsverbundsystemeu.a. zentrales MelderegisterBeispiele

- Sachenfahndung Zweck: Evidenthaltung der Daten von nummerierten Sachen, die zur Fahndung ausgeschrieben wurden

- Einsatz-Protokoll-System (EPS-WEB)Zweck: Leitung, Administration und Koordination von sprengelübergreifenden Einsätzen (insbesondere von sicherheitspolizeilichen Schwerpunktaktionen oder Fahndungen)

- Kriminalpolizeilicher Aktenindex (KPA)Zweck: Evidenthaltung Personen, gegen die wegen des Verdachts einer vorsätzlich begangenen, von Amts wegen zu verfolgenden gerichtlich strafbaren Handlung Anzeige erstattet wurde + Komplizen

- Sicherheitsmonitor

DSG 2000 - Spezialregelungen

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

DSG 2000 - Kontrollbefugnisse

Konzept der Vorabkontrolle(DSG 2000 § 10, § 18 Abs. 2, §§ 20, 21, 30, § 10)bestimmte Datenanwendungen unterliegen einer Vorabkontrolle durch DSB

- DA's die sensible Daten verwenden

- DA's die in Form eines Informationsverbundsystems betrieben werden

- registrierungspflichtige Videoüberwachungen

- DA's die Daten zur Beurteilung der Kreditwürdigkeit dienen bzw. strafrechtlich relevante Daten verarbeiten

Voraussetzungen der Vorabkontrolle: Prüfung auch ohne Verdachtsmomente möglich

Auflagen zum Betrieb der Datenanwendung können erteilt werden

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Informationspflicht (§ 24 / Art. 10, 11, 14 EG-RL)Informationspflicht anlässlich Ermittlung

ZweckAuftraggeber

Spätestens zum Zeitpunkt der Übermittlung

Entfällt, - bei Datenanwendungen, die durch Gesetz/Verordnung

eingerichtet sind oder- bei mangelnder Erreichbarkeit der Betroffenen oder- bei Unwahrscheinlichkeit der Beeinträchtigung der

Betroffenenrechte und Höhe der Kosten der Information

Informationspflicht ist "Bringschuld" des Auftraggebers!

DSG 2000 - Informationspflicht

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Informationspflicht(DSG 2000 § 24 Abs. 2a)

Betroffene sind von Datenschutzverletzungen zu informieren

- wenn schwerwiegend und systematisch- wenn Betroffenen Schaden droht- Ausnahme: keine Informationspflicht wenn Schaden nur "geringfügig" und Verständigungsaufwand "unverhältnismäßig hoch"

Es handelt sich um eine Informationspflicht "light", die gegenüber dem ursprünglichen Entwurf erheblich

reduziert wurde.

DSG 2000 - Informationspflicht

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Betroffenenrecht - Auskunft (§ 26) IAuskunft ist auf Verlangen bei Nachweis der Identität zu geben (Abs. 1) [Berufung auf DSG nicht erforderlich!]

Auskunftsfrist sind 8 Wochen (Abs. 4)

Antragsteller hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3)

ungerechtfertigter Aufwand ist zu vermeiden

Auskunftsrecht unabhängig von Registrierungserfordernis [!!]von einem Vertragsverhältnisvon tatsächlichem Vorhandensein von Daten von sonstigen Voraussetzungen (Verdacht des Datenmissbrauchs, einer Datenweitergabe, ...)

DSG 2000 - Betroffenenrechte

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Betroffenenrecht - Auskunft (§ 26) II

Auftraggeber hat Auskunft zu erteilen überZweck der Datenanwendung

die verwendeten Daten in allgemein verständlicher Form

verfügbare Information über ihre Herkunft

allfällige Empfänger oder Empfängerkreise von Übermittlungen

Name und Adresse des Dienstleisters (muss vom Betroffenen extra verlangt werden)

4 Monate Löschungsverbot nach Einlangen des Auskunftsbegehrens, aber DSG-Novelle 2010: kein Löschungsverbots in jenen Fällen, bei denen der Auskunftswerber (Betroffene) die Löschung wünscht (Abs. 7)

Auskunftsbegehren und Auskunft haben schriftlich zu erfolgen, Abweichung im Einverständnis der Gegenseite möglich


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Betroffenenrecht - Auskunft (§ 26) III

begründete Auskunftsverweigerung / Auskunftsbegrenzungen sind möglich, u.a.- Schikaneverbot: Betroffener wurden Daten schon

mitgeteilt (etwa Kontoauszüge, OGH 6Ob25/90), trifft nicht zu, dass ein Betroffener bestimmte Daten sowieso "wissen" müsste

- überwiegende Interessen des Auftraggebers oder Dritter

- aus therapeutischen Gründen (Gesundheitszustand)

- formale Gründe: fehlender Identitätsnachweis, fehlender Kostenersatz, fehlende Mitwirkung, ...

Auskunft ist einmal im Jahr bei aktuellen Daten kostenfrei

ansonsten tatsächliche Kosten oder pauschalierter Ersatz

Auskunftsrecht ist "Holschuld" des Betroffenen!


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Betroffenenrecht - Löschung/Richtigstellung (§ 27)

- grundsätzlich besteht Richtigstellungspflicht des Auftraggebers sobald Daten nicht mehr richtig, nicht (mehr) benötigte oder unzulässig verarbeitete Daten sind zu löschen

- Betroffene können Richtigstellungsantrag stellen

- Verpflichtung gilt auch für unvollständige Daten, veraltete Daten, irreführende Daten

Beweislast der Richtigkeit von Daten, wenn beantragte Änderung verweigert wird, liegt beim Auftraggeber

Jedoch! Werden Daten ausschließlich gemäß Betroffenenangaben verarbeitet hat der Betroffene Fehler/Änderung zu belegen


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Beschwerdeverfahren vor DSB (§ 31)- bei allen Auskunftsverfahren nach § 26, zusätzlich

bei Auskünften im Zusammenhang mit automatisierten Einzelentscheidungen (§ 49 Abs. 3) und Auskünften von Betreibern von Informationsverbundsystemen (§ 50 Abs. 1)(§ 31 Abs. 1)

- Verletzungen des Rechts auf Geheimhaltung (§ 1) oder Löschung und Richtigstellung (§ 27 und § 28) bei Datenanwendungen die in Vollziehung der Gesetze betrieben werden (§ 31Abs. 2)


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Beschwerdeverfahren vor Gericht (§ 32)- Gerichtszuständigkeit: gegenüber Rechtsträgern die Datenanwendungen "nicht in Vollziehung der Gesetze" betreiben (Abs. 1)

- Klarstellung der Gerichtszuständigkeit bei Einstweiligen Verfügungen (Abs. 4)

- Möglichkeit der Nebenintervention der DSB bei Zivilklagen, jetzt "Einschreiter" (Abs. 6)

- Gericht kann DSB auf Überprüfung nach DSG 2000 §§ 22 und 22a ersuchen (Abs. 7)


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Datenschutz Sicherheitsbehörden

Sicherheitspolizeigesetz

Strafprozessordnung

Sonstige Bestimmungen

Entscheidungen DSK/DSB

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Grundprinzipien in der Datenverwendung- jede Tätigkeit erfordert eine gesetzliche Grundlage- jede Verwendung personenbezogener Daten stellt einen Grundrechtseingriff dar- für die Verwendung personenbezogener Daten gelten grundsätzlich zusätzlich die Bestimmungen des DSG 2000, die Verwendung von Daten ist (mit Ausnahmen) bei DVR bzw. DSB melde- oder genehmigungspflichtig- Ausnahmen der Meldepflicht:a) per Gesetz eingerichtete öffentlich zugängliche Datenanwendungenb) Standardanwendungen c) Datenanwendungen die zur Aufrechterhaltung der Sicherheit des Landes erforderlich sind- Beachtung der Verhältnismäßigkeit (u.a. § 29 SPG)- unabhängig von Meldung und gesetzlichen Vorgaben ist das Prinzip des minimalen Eingriffs in Grundrechte und die Zweckbindung zu beachten (EMRK, Verfassungsbestimmung)

Datenschutzanforderungen Sicherheitsbehörden

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Datenschutz im Sicherheitspolizeigesetz (SPG)Regelt Tätigkeit als Sicherheitspolizei, Datenerhebung erfolgt im eigenen Ermessen

- Regelung der Verarbeitungsvoraussetzungen (§ 53 Abs. 1)

- Regelung zu den Ermittlungsstellen (§ 53 Abs. 3 - 5)

- Regelung zum Datenabgleich (§ 53 Abs. 2)

- allgemeine Regelung zu Datenanwendungen und Umfang der verarbeiteten Daten (§§ 53a, 53b)

- Regelung der technischen Datenermittlung (§ 54)

- Regelung der Datenübermittlung (§ 56)

- Regelung zu bestimmten (zentralen) Datenanwendungen+ zentrale Personenevidenz (§§ 57, 58)+ Sicherheitsmonitor (§ 58a)+ Vollzugsverwaltung (§ 58b)+ zentrale Gewaltschutzdatei (§ 58c)+ zentrale Analysedatei (§ 58d)+ (zentrale) erkennungsdienstliche Evidenz (§§ 64 - 75)


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

SPG - Verarbeitungsvoraussetzungen Unter welchen Bedingungen dürfen personenbezogene Daten verwendet werden?

- Dokumentation von Amtshandlungen (§§ 13, 13a)- Ermittlung von sachdienlichen Hinweisen im Rahmen der

"ersten allgemeinen Hilfeleistungspflicht" (§§ 19, 34, 53 Abs. 1 Z 1)Beschränkungen: u.a. Auskunft kann nicht durch Ausübung von Zwangsgewalt durchgesetzt werden, Gefährdeter lehnt Hilfe ab

- § 53 listet zulässige Verarbeitungen auf, u.a.Abwehr krimineller Verbindungen iS § 16 Abs. 1 Z 2 (§ 53 Abs. 1 Z 1)Abwehr gefährlicher Angriffe iS § 16 Abs. 2 (§ 53 Abs. 1 Z 3)Zwecke der Fahnung iS § 24 (§ 53 Abs. 1 Z 5)Aufrechterhaltung der öffentlichen Ordnung bei einem bestimmten Ereignis (§ 53 Abs. 1 Z 6)Beschränkungen: Datenabgleich "Rasterfahndung" iS StPO § 141 ist unzulässig (§ 53 Abs. 2)


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN


SPG - Verarbeitungsvoraussetzungen II- Verarbeitungsermächtigungen im Zusammenhang mit

wahrscheinlichen Straftaten:Vorbeugung wahrscheinlicher gefährlicher Angriffe (§ 53 Abs. 1 Z 4)Analyse und Bewertung der Wahrscheinlichkeit der Gefährdung verfassungsmäßiger Einrichtungen (§ 53 Abs. 1 Z 7)

- Verarbeitungsermächtigung auch zur "erweiterten Gefahrenerforschung" iS § 21 Abs. iVm § 53 Abs. 1 Z 2a und § 91 Abs 3 ("Rechtsschutzbeauftragter")

diese Verarbeitungermächtigungen werden regelmäßig kritisiert, da ihre Abgrenzung zur permanenten

Überwachung legitimer persönlicher Lebensführung inkl. Meinungsfreiheit ungenau ist

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

SPG - Regelung Ermittlungsstellen § 53- "Generalermächtigung": alle verfügbaren Quellen

durch Einsatz geeigneter Mittel, insbsondere Zugriff auf allgemein zugängliche Daten (§ 53 Abs. 4)

- Auskunftsverpflichtung von Gebietskörperschaften / Körperschaften öffentlichen Rechts (§ 53 Abs. 3)Anwendungsfall: Abwehr krimineller Verbindungen ( § 53 Abs. 1 Z 2), erweiterte Gefahrenerforschung ( § 53 Abs. 1 Z 2a) und Abwehr gefährlicher Angriffe ( § 53 Abs. 1 Z 3)Beschränkungen: Auskunftsverweigerung nur bei überwiegenden öffentlichen Interessen, Amtsverschwiegenheit allein kein Verweigerungsgrund

- Auskunftsverpflichtung von Behörden des Bundes, Landes, Gemeinden im Zusammenhang mit gefährliche Umweltangriffe (§ 53 Abs. 3d)keine Auskunftsverweigerung vorgesehen


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

SPG - Regelung Ermittlungsstellen § 53 II- Verwendung von Bild- und Tondaten von öffentlichen und

privaten Rechtsträgern (§ 53 Abs. 5)Anwendungsfall: schwere Gefahr der öffentlichen Sicherheit ( ??), erweiterte Gefahrenerforschung ( Abs. 1 Z 2a) und Fahndung iS § 24 ( Abs. 1 Z 5)Beschränkungen: Aufzeichnungen zu nichtöffentlichem Verhalten dürfen nicht verwendet werden, Daten müssen rechtmäßig ermittelt worden sein (dazu kann auch die Genehmigung einer Videoüberwachung durch die DSB gehören)


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

SPG - Regelung Ermittlungsstellen § 53 IIIdetaillierte Sonderregelung für Telekommunikationsdienste (Telefon & Internet) (§ 53 Abs. 3a, 3b, 3c)

- Name, Anschrift, Teilnehmernummer: zu einem Anschluss, generell wenn SPG anwendbar (§ 53 Abs. 3a Z 1)

- Internetprotokolladresse (IP-Adresse), Übermittlungszeitpunkt: zu einer Nachricht (§ 53 Abs. 3a Z 2)

+ Name, Anschrift: zu einer IP-Adresse (§ 53 Abs. 3a Z 3)im Rahmen der ersten Hilfeleistungspflicht (lit a)gefährlicher Angriff (lit b)kriminelle Verbindung (lit c)

- Name, Anschrift, Teilnehmernummer: unter Bezugnahme auf ein Gespräch (§ 53 Abs. 3a Z 4)im Rahmen der ersten Hilfeleistungspflicht oder gefährlicher Angriff

- Standortdaten, IMSI-Nummer: bei gegenwärtiger Gefahr (§ 53 Abs. 3b)


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Posting http://derstandard.at/plink/3048421?_pid=7666585#pid7666585

Internet-Ermittlung gemäß SPG

Ermittlungsschritt 2:Whois-Abfrage (öffentlich http://whois.ripe.net/) zur IP-Adresse (SPG § 53 Abs. 4)Ergebnis: IP-Net-Block wird von Provider (z.B. A1 Telekom) verwaltetErmittlungsschritt 3:Auskunft bei Provider zu Anschlussinhaber von IP-Adresse zum angegebenen Zeitpunkt (SPG § 53 Abs. 3a Z 3)Ergebnis: Name, Anschrift des Posters

Ermittlungsschritt 1:Auskunft über IP-Adresse und Zeitpunkt des Postings von Forumsbetreiber Standard (SPG § 53 Abs. 3a Z 2)Ergebnis: IP: 99.99.99.99 Zeitpunkt: 26.9.2007 10:19

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Internet-Ermittlung gemäß SPG

Probleme in der Ermittlung

bei Ermittlungsschritt 1:- es besteht keine Verpflichtung der Redaktion IP-Adresse zu ermitteln und/oder aufzubewahren

bei Ermittlungsschritt 2:- Datenbank muss nicht aktuell sein, kann auf falsche Stelle/Person verweisen (trifft besonders auf "statische" IP-Adressen zu)- bei ausländischen IP-Adressen greifen die SPG-Bestimmungen nicht (Tor-Netzwerk, externe Proxy, ...)bei Ermittlungsschritt 3:- es besteht keine Verpflichtung des Providers Telekom-Daten länger als für seine Zwecke nötig aufzubewahren (keine Vorratsdatenhaltung)- Auskunft bezieht sich nur auf Anschlussinhaber (Vertragspartner), nicht jedoch auf tatsächlichen Benutzer- Anschlussinhaber ist nicht verpflichtet besondere Aufzeichnungen über Nutzer zu machen (z.B. Internet-Cafes, freie LANs, ...)

ARGE DATEN

Möglicherweise sind die

"Mitläufer" ergiebiger

© ARGE DATEN 2014

ARGE DATEN

Datenschutz in der Strafprozessordnung (StPO)Regelt Tätigkeit als Kriminalpolizei (StPO § 18), Anordnungsbefugnis von Staatsanwaltschaft und Gericht

- Organisation der Kriminalpolizei gemäß SPG geregelt (SPG § 5)

- Regelung des Ermittlungszweckes (StPO §§ 3, 91)Beischaffung von Entscheidungsgrundlagen zu Anklage, Rücktritt von der Verfolgung oder Einstellung des Verfahrens ("Objektivitätsgebot")

- Grundsatz der Verhältnismäßigkeit bei der Ermittlung (StPO § 74)

- Regelung der Ermittlungsvoraussetzungen (StPO § 99, 100, 103, 169)Kriminalpolizei ermittelt von Amts wegen oder auf Grund einer Anzeige, bei Gefahr in Verzug können Genehmigungen nachträglich (unverzüglich) eingeholt werdenBeschränkung: bei entsprechenden Anordnungen ist die Ermittlung einzustellen, Sachenfahndung jedoch auch ohne Anordnung möglich (StPO § 169 Abs. 2)


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Datenschutz in der Strafprozessordnung (StPO) II- Regelung bestimmter Maßnahmen, z. B. Beschlagnahme von Briefen (StPO § 135)sind an bestimmte Straftaten gebunden

- detaillierte Regeln zur optischen, akustischen und Telekom-Überwachung (StPO §§ 134 - 140)

- Regelung zur Datenermittlung ("Erkundigung") inkl. Verwertungsverbote (StPO §§ 152ff)Zeugen zur vollständigen Auskunft verpflichtetBeschränkungen: Verweigerungs- und Entschlagungsrechte, Beweisverbote


ARGE DATEN

© ARGE DATEN 2014

Überwachung gemäß StPO (§§ 134–140)- Überwachung kann nur für zukünftigen Zeitraum angeordnet

werden (StPO § 137 Abs. 3)- Von der Staatsanwaltschaft mit gerichtlicher Bewilligung

anzuordnen (StPO § 137 Abs. 1)- Mitwirkungs- und Auskunftspflicht für Betreiber nach TKG

2003 und Diensteanbieter nach E-Commerce-Gesetz (StPO § 138 Abs. 2)Sprachtelefoniebetreiber mit eigenen physikalischen Anschlüssen müssen spezielle technische Einrichtungen zur Überwachung bereitstellen

- Beweisverwertungbeschränkung, Nichtigkeit bei rechtswidriger Überwachung (StPO § 140)aber: Verwertung von "Zufallsfunden" zulässig, wenn Überwachungsvoraussetzungen gegeben gewesen wäre

Anzuwenden auf Telekommunikationsdienste (gem. TKG 2003) oder Dienste der Informationsgesellschaft (gem. Notifikationsgesetz)Beispiele: Telekomunternehmen (inkl. Mobilfunk), Access-Provider, Mailservice-Anbieter, Forumsbetreiber, "Skype" (VoIP), ...


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Auswahl sonstiger Bestimmungensonstige Bestimmungen, die die Tätigkeit der Sicherheitsbehörden regeln

- Passgesetz- Waffengesetz- Polizeikooperationsgesetz- Asylgesetz- Finanzstrafgesetz- Eisenbahngesetz- Straßenverkehrsordnung- Vereinsgesetz- Meldegesetz- ...


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN


davon abweichend: Tätigkeit als Kriminalpolizei ist durch StPO geregelt und unterliegt nicht der DSB-

Aufsicht, sondern der Aufsicht durch Gerichte

ARGE DATEN

Sicherheitsbehörden - Zusammenfassung- SPG sieht zahlreiche Aufgaben vor

teilweise zur unmittelbaren Gefahrenabwehr, teilweise darüber hinaus gehend

- weitere Bestimmungen sehen unterschiedlichste (Verwaltungs-)aufgaben vor

- Aufgaben unterliegen den Anforderungen des DSG 2000zahllose Datenanwendungen

sobald personenbezogene Daten automationsunterstützt verarbeitet werden oder der Vorabkontrolle unterliegen besteht Melde- bzw. Genehmigungspflicht

Aufsichtsbehörde ist die DSB

© ARGE DATEN 2014

ARGE DATEN

DA Informationsverbund Sachenfahndung

Betreiber: BMITeilnehmer: BMI, Magistrat Stadt Wien, BundespolizeidirektionenZweck:Evidenthaltung der Daten von nummerierten Sachen, die zur Fahndung ausgeschrieben wurdenRechtsgrundlage(n): § 24 Abs. 2 iVm § 57 SPG, § 22b Passgeesetz, § 55 Waffengesetz, §§ 74, 76, 167 bis 169 StPOZulassungsvoraussetzung:Datenverarbeitung unterliegt der Vorabkontrolle, da- strafrechtlich relevante Daten verwendet werden- Informationsverbundsystem vorliegt Übermittlungsempfänger, Datenarten und Rechtsgrundlagen:u.a. andere Passbehörden, Finanzstrafbehörden, Gerichte, Asylbehörden

Betrifft immer Daten von bestimmten Personengruppen!


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

DA Informationsverbund Sachenfahndung II

Betroffene Personengruppen (Auswahl):Personen denen folgender Gegenstand entfremdet wurde / verloren haben bzw. denen der betreffende Gegenstand gehört:- Dienstpass- sonstiges Identitätsdokument (Führerschein, waffenrechtliche Urkunde, Dienstausweis)- Kraftfahrzeug-Zulassungsschein- Feuerwaffe- Zahlungsmittel, Banknote oder Wertpapier- sonstige Sache (Radio/Fernsehgeräte, Fahrräder, Uhren/Schmuck, Foto/Filmgeräte, PCs/Zubehör, Sportartikel, Industriemaschine, Flugzeug, Boot/Schiff, Bootsmotor, Container, sonstige Gegenstände / Maschinen

Verwaltet werden die Personen deren Sachen entfremdet wurden, verloren gingen bzw. deren

Sachen sichergestellt wurden, nicht die Gegenstände selbst!


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Was ist eine zulässige Veröffentlichung? II

Veröffentlichungen im Sicherheitsumfeld:- Sicherheitsbehörde warnt Schulen davor, dass ein entlassener

Sexualtäters in der "Umgebung" (ganze Stadt) eine Wohnung nimmt

- Veröffentlichung von Fotos abgängiger / zur Fahnung ausgeschriebener Personen auf Infowerbetafeln in Bahnhöfen

- SMS-Warnung an Gewerbetreibende (Händler) einer Einkaufsstraße über "verdächtige" Personen

- "eigenmächtiger" Aushang des Fotos einer des Diebstahls verdächtigen Person im Verkaufsraum durch Ladenbesitzer

- weitere Veröffentlichung eines Fahndungsfotos im Internet obwohl Person schon gefasst ist

- Falschparker, Alkolenker, Personen mit Lokalverbot werden in der Gemeindezeitung genannt

- Daten zu (Verwaltungs-)Strafverfahren eines Asylwerbers werden an Journalisten weiter gegeben

DSG 2000 - Veröffentlichung

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Ermittlungsbeispiel Verkehrsunfallkommando

Unfall mit Fahrerflucht

Ausgangslage: Fußgängerin wird am Praterstern angefahren, Fahrer flüchtet, zurück bleibt Blutlache und ein Plastiksplitter

- Plastiksplitter enthält eine Seriennummer (kein Personenbezug)

- wird als Teil eines rechten Rückspiegels eines Chrysler Voyager identifiziert (kein Personenbezug)

- laut Produzenten werden täglich fünf gleichartige Stück des Fahrzeugs produziert (kein Personenbezug)

- die Zahl der zugelassenen Fahrzeuge in Ö ist überschaubar (kein Personenbezug)

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN


Nächster Ermittlungsschritt?

Variante 1:a) der Produzent wird aufgefordert alle Fahrzeugtypen bekannt zu geben, für die dieser Rückspiegel in Frage kommt (kein Personenbezug)b) mit Hilfe der Typenbezeichnungen erfolgt eine Abfrage in der KFZ-Zulassung (Personenbezug!)

c) die Zulassungsbesitzer werden zum Aufenthalt zum fraglichen Unfallzeitpunkt befragt + die PKWs werden auf entsprechende Beschädigungen inspiziert (Personenbezug + Grundrechtseingriff!)Variante 2:a) es werden die Inhaber der Mobiltelefonnummern der Funkzelle zum fraglichen Unfallzeitpunkt ermittelt (Personenbezug!) b) die solcherart identifizierten Personen werden zum Aufenthalt zum fraglichen Unfallzeitpunkt befragt und ob (welchen) PKW sie nutzten (Personenbezug + Grundrechtseingriff!)

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN


Nächster Ermittlungsschritt? IIVariante 3:a) +b) ident zu Variante 1c) zu den Zulassungsbesitzern werden Mobiltelefonanschlüsse beschafft und geprüft, wer davon in der Nähe des Unfallortes ein Gespräch führte (Personenbezug!)d) die solcherart identifizierten Personen werden zum Aufenthalt zum fraglichen Unfallzeitpunkt befragt + die PKWs werden auf entsprechende Beschädigungen inspiziert (Personenbezug + Grundrechtseingriff!)Variante 4:a) mit dem Generalimporteur wird vereinbart, dass unverzüglich informiert wird, wenn ein "passender" rechter Rückspiegel bestellt wird (Personenbezug!) b) drei Tage später erfolgt Bestellung, Besteller wird befragt, es handelt sich um den Fahrflüchtigen (Personenbezug + Grundrechtseingriff!)

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

DSK K121.894/0003-DSK/2013 ("ZMR-Abfrage")

Ausgangslage- Betroffener hat Konvolut zu Handen eines Vereinspräsidenten

bei Portier abgegeben, sollte nur persönlich an Präsidenten übergeben werden

- Paket enthält Absendeadresse des Betroffenen- Verein schaltet Polizei wegen "verdächtigem" Paket ein- Polizei klassifiziert Paket als harmlos, es enthält weder

Sprengstoff, noch Drohungen oder bedenkliche Gegenstände- zum Betroffenen erfolgt trotzdem eine EKIS-Abfrage

(Gefahrenerforschung iS § 28a Abs. 1 SPG)- Polizei macht zusätzlich ZMR-Abfrage bezüglich Hauptwohnsitz

des Betroffenen ("zur Verifizierung der Zustelladresse")- Paket wird "zerfleddert" in Polizeikommisariat ausgefolgt- Betroffener fühlt sich wegen ZMR- und EKIS-Abfrage in seinen

Grundrechten verletzt

Entscheidung der DSK/DSB

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

DSK K121.894/0003-DSK/2013 ("ZMR-Abfrage") II

DSK-Entscheidung- Beschwerde ist teilweise berechtigt- ZMR-Abfrage ist rechtswidrig, da für die Zustellung nicht

erforderlich- EKIS-Abfrage ist zulässig, da zum Gesetzesauftrag der

Gefahrenabwehr auch implizit Gefahrenerforschung umfasst ist undArt des Paketes legitimierte Abfrage


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

DSK K121.956/0009-DSK/2013 ("Lichtbild")

Ausgangslage- Betroffener wird im Zuge einer Befragung aufgefordert sich einer

erkennungsdienstlichen Behandlung zu unterziehen- Betroffener lehnt das ab- Polizeiinspektion fordert BH (als Sicherheitsbehörde) auf, die

erkennungsdienstliche Behandlung gemäß § 77 Abs. 2 SPG bescheidmäßig auszusprechen

- Bescheid wird nicht abgewartet, stattdessen wird formlos ein Lichtbild angefertigt, um es Tatzeugen vorlegen zu können

DSK-Entscheidung- Beschwerde ist berechtigt- Anfertigen des Fotos ist als Bruch des Rechts auf Geheimhaltung

ohne ausreichende rechtliche Grundlage zu qualifizieren


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

DSK K121.947/0015-DSK/2013 ("Disziplinarverfahren")

Ausgangslage- Im Zuge eines Disziplinarverfahrens (unzulässige

Nebenbeschäftigung) erfolgt eine Direkt-Abfrage der Sozialversicherungsdaten der Betroffenen (Polizistin) durch Dienstvorgesetzten

- Die Abfrage erfolgt zu Beginn des Verfahrens bei einem Anfangsverdacht eines dienstrechtlichen (nicht strafrechtlichen) Vergehens

- Begründet wird die Abfrage (nachträglich) mit dem strafrechtlich relevanten Verdacht der UrkundenfälschungDSK-Entscheidung

- Beschwerde ist berechtigt- Abfrage bei Sozialversicherungsanstalt nur bei Vorliegen eines

strafrechtlichen Verdachts zulässig - zum Zeitpunkt der Abfrage lag kein kriminalpolizeiliches

Ermittlungsverfahren vor, daher war die Abfrage unzulässig- da die Abfrage automationsunterstützt erfolgte, konnte sie auch

von der Sozialversicherung nicht verhindert werden


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

DSK K121.909/0010-DSK/2013 ("Ermittlungsverfahren")

Ausgangslage- bei Betroffenen erfolgt Hausdurchsuchung nach dem SMG- Mutter (Frau E.) ist mit Zustimmung des Betroffenen bei

Durchsuchung anwesend- Frau E. erfährt im Zuge der Durchsuchung vom Verdacht des

Verkaufs und vom Vorhandensein von Cannabispflanzen- weiters bestätigt sich der Verdacht bezüglich LSD nach

Sicherstellung und Untersuchung von Löschblättern- Frau E. wird in weiterer Folge das Durchsuchungs- und

Sicherstellungsprotokoll ausgehändigt (offen, nicht in einem verschlossenen Kuvert

- Betroffener beschwert sich wegen Bruch der Geheimhaltung durch Weitergabe von kriminalpolizeilichen Feststellungen an Dritte


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

DSK K121.909/0010-DSK/2013 ("Ermittlungsverfahren") II

DSK-Entscheidung- Beschwerde ist berechtigt- Schutz der Geheimhaltung besteht auch bei nicht-

automationsgestützter (manueller) Verwendung von Daten- Schutz der Geheimhaltung betrifft auch behördeninterne

Übermittlungen (Weitergaben) in ein anderes Aufgabengebiet- Durchsuchungs- und Sicherstellungsprotokoll wurde dem

Betroffenen nicht gesichert (verschlossen) übermittelt- eine offene Ausfolgung wäre nur direkt an den Betroffenen

zulässig


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

DSK K121.806/0008-DSK/2012 ("Erkennungsdienstliche Behandlung")

Ausgangslage- Betroffene wird im Zusammenhang mit SMG

erkennungsdienstlich behandelt- Ermittlungsbericht belastet Betroffene jedoch "nur" gemäß § 27

Abs. 2 SMG ("Begehung ausschließlich zum persönlichen Gebrauch")

- Betroffene zwar einer strafbaren Tat, aber keines gefährlichenAngriffs nach § 16 Abs. 2 Z 4 SPG verdächtig

- Betroffene beschwert sich wegen erkennungsdienstlicher BehandlungDSK-Entscheidung

- Beschwerde berechtigt- Erkennungsdienstliche Behandlung zwar aus präventiven

Gründen grundsätzlich zulässig, aber nur wenn "weitere" gefährliche Angriffe zu erwarten sind

- im konkreten Fall trifft das aber bei Besitz von Cannabis zum Eigengebrauch nicht zu, daher kein Präventionsbedarf

- erkennungsdienstliche Behandlung war unzulässig


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Weitere DSG-Bestimmungen

Sicherheit

Schadenersatz

Strafbestimmungen DSG 2000

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

DSG 2000 - Sicherheit

Sicherheitsbestimmungen (§ 14)

Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden:

Stand der Technik entsprechendwirtschaftlich vertretbarangemessenes Schutzniveau muss erreicht werden

rechtlich-organisatorische Sicherheitsmaßnahmen

- ausdrückliche Aufgabenverteilung- ausschließlich auftragsgemäße Datenverwendung- Belehrungspflicht der Mitarbeiter- Regelung der Zugriffs- und Zutrittsberechtigungen- Vorkehrungen gegen unberechtigte Inbetriebnahme von

Geräten- Protokollierungspflicht

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

DSG 2000 - Verschwiegenheit

Verpflichtung zum Datengeheimnis (§ 15)Mitarbeiter sind - soweit nicht andere berufliche Verschwiegenheitspflichten gelten - vertraglich zu binden.

Mitarbeiter dürfen Daten nur aufgrund einer ausdrücklichen Anordnung übermitteln.

Mitarbeiter sind über die Folgen der Verletzung des Datengeheimnisses zu belehren.

Mitarbeitern darf aus der Verweigerung der Befolgung einer Anordnung einer rechtswidrigen Datenübermittlung kein Nachteil erwachsen.

Bereitstellungspflicht der Datensicherheits-maßnahmen für Mitarbeiter (§ 14 Abs. 6)

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Schadenersatz (§ 33)schuldhaftes Verhalten notwendig

bei Verletzung von Bestimmungen des DSG 2000 ist tatsächlich erlittener materieller Schaden zu ersetzen

bei Verletzungen der Geheimhaltung, die geeignet sindden Betroffenen bloßzustellen, gebührt Entschädigung

Entschädigungsanspruch ist nicht beziffert, aber vergleichbar dem Mediengesetz geregelt [MedienG § 7: bis 20.000 Euro]

bei Veröffentlichungen in einem Medium gilt Mediengesetz

Entschädigungsanspruch ist gegenüber demAuftraggeber geltend zu machen

DSG 2000 - Kontroll- & Strafbestimmungen

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Gewinn- oder Schädigungsabsicht (§ 51)- Klarstellung der Deliktvoraussetzungen: Vorsatz der eigenen Bereicherung oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer

Delikt begeht, wer ...- widerrechtlich ihm zugängliche Daten benutzt oder- Daten widerrechtlich beschafft oder - anderen widerrechtlich zugänglich macht oder- widerrechtlich öffentlich macht

Strafausmaß: bis ein JahrDelikt wird zum Offizialdelikt [bis 31.12.09: Privatanklagedelikt]Strafbestimmung gilt subsidiär

DSG 2000 - Strafbestimmungen

ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Strafbestimmungen bei öffentlich-rechtlichen Organen

Missbrauch der Amtsgewalt (§ 302 StGB)Strafrahmen: bis 5 JahreLaufend Verurteilungen, siehe etwa OGH 14 Os 105/10p (rechtswidriger Abruf von KFZ-Zulassungsdaten)

Verletzung des Amtsgeheimnisses (§ 310 StGB)

Strafrahmen: bis 3 Jahre

denkbar auch:Falsche Beurkundung und Beglaubigung im Amt (§ 311 StGB)

Strafrahmen: bis 3 Jahre

Hier ist Vorsatz Voraussetzung für die Tatverfolgung


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1)[=deliktisches Handeln]

- widerrechtliches Verschaffen eines Zugangs zu einer DA- widerrechtliches Weiterbenutzen eines Zugangs zu einer

DA- Übermittlung unter Verletzung des Datengeheimnisses- Weiterverwendung von Daten entgegen eines

rechtskräftigen Urteils/Bescheids- widerrechtliches Löschen von Daten (§ 26 Abs. 7)

Strafrahmen: bis 25.000,- Eurozuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSB Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk)

Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten!


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte]

1. nicht Erfüllen der Meldepflicht gemäß den §§ 17 oder 50c oder Betreiben eine Datenanwendung auf eine von der Meldung abweichende Weise oder2. Übermitteln oder überlassen von Daten ins Ausland, ohne Genehmigung gemäß § 13 Abs. 1 oder3. Verstoß gegen Zusagen an oder Auflagen der DSB (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) oder4. Verletzen von Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d oder5. § 14 gröbliches außer Acht lassen von Sicherheitsmaßnahmen oder


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte]

6. wer gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderliche Sicherheitsmaßnahmen außer Acht lässt oder 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht.

Strafrahmen: bis 10.000,- Euro


ARGE DATEN

© ARGE DATEN 2014

ARGE DATEN

Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a)[=Gefährdung von Betroffenenrechten]

neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a)

Strafrahmen: bis 500,- Euro [neu seit 2010]

Verfallbestimmungen § 52 Abs. 4Datenträger und Programme sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden


ARGE DATEN

© ARGE DATEN 2014


2009

"Videoüberwachung war ein Fiasko" Mike Neville, Chef der CCTV-Einheit bei Scotland Yard,

2008

Trotzdem:

"Wir brauchen mehr Kameras, mehr Personal, bessere

Software, ..."derselbe, 2008

"Wir können beliebig viele Postkutschen aneinander reihen, niemals wird daraus eine

Eisenbahn"Joseph Schumpeter, Nationalökonom, 1911

© ARGE DATEN 2014

ARGE DATEN

"Die Polizei hat einerseits für die Sicherung des Bestehenden zu sorgen, ist andererseits aber auch den Menschenrechten und dem Schutz abweichender Auffassungen verpflichtet. Jahrhundertelang konnte sie sich auf ihren traditionellen Auftrag zur Sicherheitsvorsorge berufen, was vieles rechtfertigte. Aber autoritäre Auffassungen werden in immer höherem Ausmaß fragwürdig."Prof. Bernd-Christian Funk, VerfassungsjuristStandard Interview 9./10. August 2014

© ARGE DATEN 2014

ARGE DATEN

http://www.argedaten.at/

http://www.dsb.gv.at/

http://ec.europa.eu/justice/policies/privacy/index_en.htm

http://www.datenschutzzentrum.de/

http://www.gdd.de/

Onlineinformation

http://www.datenschutzverein.de/

ARGE DATEN

© ARGE DATEN 2014 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven Hans G. Zeger, ARGE...

Documents

Transcript of © ARGE DATEN 2014 Datenschutz Grundlagen Praxis, Entscheidungen, Perspektiven Hans G. Zeger, ARGE...