© ARGE DATEN 2015 ARGE DATEN Datenschutz Praxis / International Erfahrungen, Unterschiede,...
22
© ARGE DATEN 2015 ARGE DATEN Datenschutz Praxis / International Erfahrungen, Unterschiede, Entwicklungen ARGE DATEN Wien, NH Danube City, 22. Oktober 2015
-
Upload
helga-maus -
Category
Documents
-
view
224 -
download
1
Transcript of © ARGE DATEN 2015 ARGE DATEN Datenschutz Praxis / International Erfahrungen, Unterschiede,...
© ARGE DATEN 2015ARGE DATEN
Datenschutz Praxis / InternationalErfahrungen, Unterschiede, Entwicklungen
ARGE DATENWien, NH Danube City, 22. Oktober 2015
© ARGE DATEN 2015
Die ARGE DATEN als PRIVACY-Organisation
Aktivitäten der ARGE DATENÖffentlichkeitsarbeit, Informationsdienst:
- Web-Service: 60-80.000 Besucher/Monat- Newsletter: rund 4.500 Abonnenten- 2014: rund 500 Medienanfragen/-berichte
Mitgliederbetreuung Datenschutzfragen- 2014: ca. 600 Datenschutz-Anfragen
Rechtsschutz, PRIVACY-Services- 2014: in ca. 200 Fällen Mitglieder in Verfahren vertreten
Zahl der betreuten Mitglieder- aktuell: ca. 15.000 Personen
Studien- und Beratungsprojekte
ARGE DATEN
© ARGE DATEN 2015ARGE DATEN
Betrieblicher Datenschutzbeauftragter
Ausbildungsreihe der ARGE DATENModul I: Datenschutz Grundlagen
Modul II: Datenverwendung im Unternehmen20. April 2016
Die Reihe wird mit einem Zertifikat abgeschlossen
Ausbildungsreihe der ARGE DATENModul I: Datenschutz Grundlagen
19. April 2016
Modul IV: Datenschutz Praxis / international
Modul III: Datenschutz und IT-Sicherheit3. November 2015 / 3. Mai 2016
Modul V: Datenschutzfragen identifizieren4. November 2015 / 4. Mai 2016
© ARGE DATEN 2015ARGE DATEN
Es sind nicht bloß Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern.
© ARGE DATEN 2015ARGE DATEN
Datenschutz Praxis / Gruber (AKH Wien)
Datenschutz internationale Sicht / Forgó
Mittagspause
DS Internationale Bestimmungen / Krenn
Geplanter Seminarablauf
Datenschutz Praxis / Mrak (Casinos Austria)
© ARGE DATEN 2015ARGE DATEN
EU-Datenschutz Eurobarometer 2011
EU-Umfrage zu Datenschutz I- 74% EU-weit sehen steigende Datenverbreitung als Teil
des "modernen Lebens"- Nutzer sozialer Netze eher bereit Daten weiter zu geben
(79% Name, 51% Foto, 47% Nationalität)- Mehrheit der EU-Bürger besorgt über Verhaltenskontrolle
("Scoring") durch Verwendung von Daten aus Zahlungsverkehr (54% vs 38%), Mobiltelefonie (49% vs 43%) und mobile Internet (40% vs 35%)
- 70% befürchten späteren Missbrauch einmal zulässig gesammelter Daten durch Unternehmen
- Aufsichtsbehörde ist bekannt: 33% EU-weit (28%/2008)- 75% der EU-Bürger wünschen sich ein "Recht auf
Vergessen werden"88% (AT 68%) glauben, dass in großen Unternehmen
Datenschutzbeauftragte besseren Datenschutz gewährleisten
© ARGE DATEN 2015ARGE DATEN
EU-Datenschutz Eurobarometer 2011
EU-Umfrage 2011/EU27 (2008/EU15) zu Vertrauen in DatenschutzHohes Vertrauen (trust):
- Ärzte, medizinisches Personal: 78% (84%), AT 79% (87%) - Behörden: 70% (Polizei 83%, Sozialversicherung 77%, Steuer
71%), AT 81%(!!) (Polizei 79%, Sozialversicherung 77%, Steuer 69%)
Mittleres Vertrauen (trust):- Banken / Finanzinstitute: 62% (64%), AT 75% (71%)Geringes Vertrauen (trust/don't trust):- Handel: 39/57% (Versandhandel 20%), AT 31/66% (Versandhandel
18%)- Telefonfirmen: 32/63% (-), AT 33/64% (-)2008 trust:
- Wirtschaftsauskunftsdienste: 33%, AT 42%- Direktmarketing: 30%, Ö 33%
© ARGE DATEN 2015ARGE DATEN
Anhang
Liste von Datenschutzorganisationen
EU Standardvertragsklauseln
KAV Datenschutzunterlagen
EU-Datenschutz-Richtlinie 95/46/EG
© ARGE DATEN 2015ARGE DATEN
Sonstige Unterlagen
......................
......................
......................
......................
© ARGE DATEN 2015ARGE DATEN
Leistungsfähigkeit der DS-Aufsichtsbehörden
DS-Behörden im EU-Vergleich (DSK-Berichte 05-09)Österreich: DSK inkl. Datenverarbeitungsregister:6 ehrenamtliche Kommissionsmitglieder, 20 VollzeitplanpostenEU-Schnitt: 45 VollzeitpostenÖsterreich erreicht nicht einmal die Hälfte des EU-Schnitts22. Stelle in der absoluten Größe der Aufsichtsbehörde23. Stelle in Relation zur Einwohnerzahlvergleichbare EU-Länder:Schweden 40 MA, Ungarn 47 MA, Tschechien, 85 MA, Slowakei 32 MA, Griechenland 39 MA, Bulgarien 40 MAIn der Gruppe der 11 EU-Staaten zwischen 5 und 10 Mio Einwohner liegt Österreich in der personellen Ausstattung an vorletzter Stelle (nur Portugal dahinter)
gegenüber 2005 um drei Plätze abgerutscht
© ARGE DATEN 2015
Web 2.0 - Datenschutzspezifische FragestellungenVorgaben des DSG 2000:
(1) Rollenkonzept: Auftraggeber, Betroffener, Dienstleister
(2) Schutzinteressen der persönlichen Daten: allgemein verfügbare Daten, indirekt personenbezogene Daten, vertrauliche Daten, sensible Daten
(3) berechtigter Zweck: der persönlichen Nutzung, die Weitergabe an Dritte, Veröffentlichung
(4) Aufsicht + Ausnahmen: Registrierungs- bzw. Genehmigungspflicht
Hinweis!Web2.0-Regelung haben Ausgleich zwischen
mehreren Grundrechten zu sichern: freie Meinungsäußerung, Erwerbsfreiheit und Schutz
der Privatsphäre
Web2.0, Social Media und Datenschutz
© ARGE DATEN 2015
Variante A: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich
(1) Rollenkonzept: Benutzer ist bezüglich der veröffentlichten Daten weder Betroffener, noch Auftraggeber, Facebook ist in diesem Fall auch kein Dienstleister, daher keine Datenanwendung.Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber
(2) Schutzinteresse: Kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat.Facebook darf Daten im Rahmen seiner berechtigten Zwecke verwenden.
Web2.0, Social Media und Datenschutz
© ARGE DATEN 2015
Variante A: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich II
(3) Berechtigter Zweck: Ist in Bezug auf Benutzer nicht zu prüfen, da keine Datenanwendung im Sinne des DSG 2000, in Bezug auf Facebook aus Angebot und Geschäftsbedingungen ableitbar
(4) Aufsicht: Für Benutzer keine Registrierungs- bzw. Genehmigungspflicht, für Facebook gelten die Bestimmungen des Geschäftssitzes (für Europa das irische Datenschutzrecht)
Web2.0, Social Media und Datenschutz
© ARGE DATEN 2015
Variante B: Benutzer richtet (Facebook-)Account ein und berichtet nur für "Freunde" über sich
(1) Rollenkonzept: wie Variante A(2) Schutzinteresse: Schutzinteresse gegeben, da
Benutzer seine Daten nur eingeschränkt zugänglich macht, "Freunde" dürfen Daten ohne Zustimmung weder weitergeben, noch sonstwie verwerten.Facebook darf die Daten nur im Rahmen der ausdrücklich vereinbarten Geschäftsbedingungen verwenden.
(3) Berechtigter Zweck: wie Variante A(4) Aufsicht: wie Variante A
Web2.0, Social Media und Datenschutz
© ARGE DATEN 2015
Variante C: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich und private Freunde und Verwandte
(1) Rollenkonzept: Benutzer ist bezüglich der veröffentlichten Daten Dritter Auftraggeber, Facebook ist in diesem Fall Dienstleister, Datenanwendung liegt vor! Benutzer muss sich um Einhaltung der Dienstleisterbestimmungen gemäß DSG 2000 §§10,11 kümmern!Für Facebook gilt Variante A.
(2) Schutzinteresse: Bezüglich der Veröffentlichung der Daten Dritter benötigt Benutzer Zustimmung der Personen, sofern diese die Daten nicht schon selbst veröffentlicht haben.Für Facebook gilt Variante B.
(3) Berechtigter Zweck: Private Datenanwendungen sind nach § 45 DSG 2000 priviligiert.Für Facebook gilt Variante A.
Web2.0, Social Media und Datenschutz
© ARGE DATEN 2015
Variante C: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich und private Freunde und Verwandte II
(4) Aufsicht: Für Benutzer keine Registrierungs- bzw. Genehmigungspflicht, private Datenanwendungen sind nach § 17 Abs. 2 Z 4 DSG 2000 priviligiert.Für Facebook gilt Variante A.
Web2.0, Social Media und Datenschutz
© ARGE DATEN 2015
Variante D: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich, private Freunde und Verwandte und über berufliches (z.B. über bestehende und frühere Arbeitgeber)
(1) Rollenkonzept: Es gilt Variante C.Für Facebook gilt Variante A.
(2) Schutzinteresse: Bezüglich der Veröffentlichung der Daten Dritter benötigt Benutzer Zustimmung bei privaten Personen, sofern nicht diese die Daten schon selbst veröffentlicht haben, Unternehmensdaten sind personenbezogene Daten, bei beruflichen Angaben kann jedoch eine Interessensabwägung ausreichen.Für Facebook gilt Variante B.
Web2.0, Social Media und Datenschutz
© ARGE DATEN 2015
Variante D: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich, private Freunde und Verwandte und über berufliches (z.B. über bestehende und frühere Arbeitgeber) II
(3) Berechtigter Zweck: Möglicherweise keine private Datenanwendungen im Sinne des § 45 DSG 2000 mehr, in der Regel jedoch zulässig (z.B. persönliche Werbeseite, Erwerbsfreiheit).Für Facebook gilt Variante A.
(4) Aufsicht: Für Benutzer Registrierungs- bzw. Genehmigungspflicht, wenn nicht bloß private Datenanwendung und auch sonst keine Ausnahmebestimmung zutrifft (Standardanwendung oder ausschließliche Verwendung veröffentlichter Daten). Für österreichische Benutzer gilt DSG 2000.Für Facebook gilt Variante A.
Web2.0, Social Media und Datenschutz
© ARGE DATEN 2015
Variante E: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern
(1) Rollenkonzept: Für Unternehmen gilt Variante C.Für Facebook gilt Variante A.
(2) Schutzinteresse: Bezüglich der Veröffentlichung der Unternehmensdaten gilt Variante A, bezüglich Dritter (Poster + Person über die gepostet wird) hat Unternehmen auf Einhaltung der Datenschutzinteressen zu achten! Es sind zusätzlich zum DSG 2000 die ECG-Bestimmungen insb. § 16 (Haftung!) zu beachten.Für Facebook gilt Variante B.
(3) Berechtigter Zweck: Keine private Datenanwendung im Sinne des § 45 DSG 2000, in der Regel zulässig (z.B. Unternehmenspräsentation, Erwerbsfreiheit).Für Facebook gilt Variante A.
Web2.0, Social Media und Datenschutz
© ARGE DATEN 2015
Variante E: Unternehmen richtet (Facebook-)Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern II
(4) Aufsicht: Für Unternehmen im Regelfall Registrierungs- bzw. Genehmigungspflicht, wenn keine Ausnahmebestimmung zutrifft (Standardanwendung oder ausschließliche Verwendung veröffentlichter Daten).Für Facebook gilt Variante A.
Web2.0, Social Media und Datenschutz
© ARGE DATEN 2015
Variante F: Unternehmen betreibt eigene Website, hat jedoch Facebook-LikeIt-Button integriert - angezeigt wird die Zahl der LikeIt-"Fans"
(1) Rollenkonzept: Unternehmen bezüglich LikeIt-Button Auftraggeber, gleichzeitig aber auch Dienstleister für Facebook (Datenermittlung bzw. -übermittlung)!Für Facebook gilt Variante A.
(2) Schutzinteresse: Information über LikeIt-"Fan" darf Unternehmen nur im Rahmen einer (ausdrücklichen) Vereinbarung verwenden (inkl. veröffentlichen). Ist mit Teilnehmer vor Verwendung des LikeIt-Buttons zu vereinbaren! Daten von "Drive-by"-Websitebesuchern, unabhängig ob sie Facebook-Teilnehmer sind oder nicht, dürfen nicht an Facebook übermittelt werden!Für Facebook gilt Variante B (wobei die relevante Vereinbarung die zwischen Facebook und LikeIt-"Fan" ist, nicht die mit dem Website-Betreiber!
Web2.0, Social Media und Datenschutz
© ARGE DATEN 2015
Variante F: Unternehmen betreibt eigene Website, hat jedoch Facebook-LikeIt-Button integriert - angezeigt wird die Zahl der LikeIt-"Fans" II
(3) Berechtigter Zweck: Keine private Datenanwendung im Sinne des § 45 DSG 2000, in der Regel zulässig (z.B. Unternehmenspräsentation, Erwerbsfreiheit).Für Facebook gilt Variante A.
(4) Aufsicht: Für Unternehmen im Regelfall Registrierungs- bzw. Genehmigungspflicht, wenn keine Ausnahmebestimmung zutrifft (Standardanwendung oder ausschließliche Verwendung veröffentlichter Daten).Für Facebook gilt Variante A.
Web2.0, Social Media und Datenschutz
Variante F/2: Zusätzlich wird das Profilfoto der LikeIt-"Fans" in Betreiber-Website integriertgrundsätzlich ident, doch Veröffentlichung des Fotos bedarf der Zustimmung des LikeIt-"Fans"
