© Hans G. Zeger 2013 VO SS2013 - Juridicum Datenschutzfragen in Internet und eCommerce/eBusiness...

© Hans G. Zeger 2013

VO SS2013 - Juridicum

Datenschutzfragen in Internet und eCommerce/eBusiness

Hans G. ZegerJuridicum Wien, VO Sommersemester 2013

Download: http://www.e-monitoring.at/static/vo-ds-internet.pdf



Grundfragen

Was ist überhaupt "Datenschutz"?- 1890 formulierten Warren/Brandeis in der Harvard Law

Review ein "right to be let alone" (The Right to Privacy), gilt als Beginn des modernen Privatsphäregedankens

- 70er-Jahre europaweit diverse Datenschutzinitiativen als Gegenbewegung zu Entwicklungen in der Computertechnik (inkl. Europarat, OECD)

- 1978 im öDSG Datenschutz als Interpretation des Art. 8 EMRK (Teil des Privat- und Familienlebens), im DSG 2000 beibehalten

- 2009 Datenschutz wird eigenes Grundrecht in EU-Grundrechtecharta

- 1983 deutsches Volkszählungsurteil "informationelles Selbstbestimmungsrecht" (Bundesverfassungsgericht)

- 2008 deutsches Online-Durchsuchungsurteil formuliert "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" (Bundesverfassungsgericht)

"Datenschutz" als moderne Ausformung von Grundrechten



Grundfragen

Was ist das Internet?- technische Infrastruktur

("Unternehmensvernetzung", "virtuelle Netzwerke", "Telefonie", ...)

- Plattform für wirtschaftliche Tätigkeiten ("eCommerce", "Online-Shops", ...)

- Informationsvermittlung ("Agora", "Medium", "Stammtisch", "sozialer Treffpunkt", ...)

- Erweiterung der Privatsphäre ("eMail", "Weblog"/Tagebuch, "Freundeskreis", ...)

- politischer Aktionsraum ("Kooperation", "Vernetzung", "Foren", ...)

Abgrenzung nicht immer offensichtlich, können zu gegensätzlichen Interessen führen



Anwendungsfälle Datenschutz

Welche (Internet-)Situationen sind überhaupt datenschutzrelevant?

- Vereinbarung mit dem Provider, Tätigkeit der Provider

- Bestellungen im Internet ("eCommerce")

- Amtswege und öffentliche Verwaltung, Vorschreibungen ("eGovernment")

- Nutzung personalisierter und/oder kostenpflichtiger Informationsdienste ("Online-Services", "Apps")

- Selbstdarstellung / Meinungsäußerung ("Web2.0", "Social Media")

- Veröffentlichung persönlicher Daten durch Dritte

- Nutzung als Infrastruktur (virtuelle Unternehmensnetze, Intranet, Extranet)

- sonstige Internetnutzungen: ????



Anwendbare Bestimmungen

Wo finden sich zum Internet datenschutzrelevante Bestimmungen?

- DSG 2000 (Verarbeitungsvoraussetzungen, Schutzbestimmungen)

- TKG 2003 (Verarbeitungsvoraussetzungen, Schutzbestimmungen, Auskunftspflichten, Dienstleister)

- ABGB Privatsphärebestimmung (Schutzbestimmung)

- SPG (Auskunftspflichten)

- ECG (Dienstleister, Haftung, Auskunftspflichten)

- StPO (Auskunftspflichten)

- UrhG (Auskunftspflichten)

- Materiegesetze, wie E-Government Gesetz, Gesundheitstelematikgesetz, ...)



Bestimmungen zum Schutz der Privatsphäre• EMRK Art 8 (Privatsphäre, Familienleben, Briefverkehr)

• StGG (Staatsgrundgesetz) Art 9, 10 (Briefgeheimnis) u. 10a (Fernmeldegeheimnis)

• § 1 DSG 2000 (Geheimhaltung Daten)

• § 16 ABGB (angeborene Rechte)

• StGB z.B. § 118f (Briefgeheimnis), § 119f (Telekommunikationsgeheimnis) und §§ 302ff (Amtsmissbrauch)

• TKG 2003 § 93 (Kommunikationsgeheimnis)

• MedienG § 7ff (Bloßstellung)

• UrhG § 77 (Briefe, Tagebücher, ähnliche vertrauliche Aufzeichnungen), § 78 (Bildnissschutz), § 87 Abs 2 (Entschädigung)

• Regelungen für einzelne Berufsgruppen

• ABGB § 1328a (Bloßstellung)

• StGB § 107a (Anti-Stalking-Bestimmung)

Schutz der Privatsphäre - Übersicht



Grundlagen des DSG 2000

Die wichtigsten Begriffe

Zustimmung

Zulässigkeit der Datenverwendung

Rechtmäßige Datenanwendung


Entwicklung zum DSG 2000

1978 erstes Datenschutzgesetz - DSG (BGBl. Nr. 565/1978)(Geltung 1.1.1980-31.12.1999)

1995 EG-Datenschutzrichtlinie 95/46/EG1999 Datenschutzgesetz - DSG 2000 (BGBl. I

Nr. 165/1999)

Änderungen des DSG 20002001 Euro-Umstellung der Verwaltungsstrafen (BGBl. I Nr. 136/2001)

2005 "Tsunami"-Bestimmung (BGBl. I Nr. 13/2005)

2008 Änderungen in Verfassungsbestimmungen (BGBl. I Nr. 2/2008)

2009 DSG 2000 - Novelle 2010 (BGBl. I Nr. 133/2009)

2012 Verwaltungsgerichtsbarkeits-Novelle 2012 (BGBl. I Nr. 51/2012)

2013 "Unabhängigkeit" der DSK (BGBl. I Nr. 57/2013)

2014 Schaffung neue Datenschutzbehörde (BGBl. I Nr. 83/2013)

20?? EU - Neuordnung des Datenschutzes

DSG 2000 - Grundlagen




Umsetzung der EU-Richtlinie "Datenschutz" (1995)

soll Privatsphäre (Art.1 Abs.1) und Informationsaustausch (Art.1 Abs.2) sichern

Art. 1 Abs. 1 "Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten."

Art. 1 Abs. 2 "Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes."

EU-RL gilt nur für "natürliche Personen"DSG 2000 auch für "juristische und sonstige Personen"damit vertritt Österreich EU-weit eine exotische Position



DSG 2000 - Grundrecht

DSG 2000 § 1 (Verfassungsbestimmung):

"jede Verwendung persönlicher Daten ist verboten"

umfassender Geheimhaltungsanspruch

Europarechtliche Grundlage (Art. 8 RL 95/46/EG „Datenschutz-Richtlinie“) + Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens") Einschränkungen des Verbots ist möglich:

- mit der Zustimmung des Betroffenen

- zur Vollziehung von Gesetzen (Behörden)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter

- bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen

- EU-Vorschlag: auf Basis rechtlicher Befugnisse (Gesetze, Verträge)

Einschränkungen des Verbots sind möglich:- mit der Zustimmung des Betroffenen

- zur Vollziehung von Gesetzen (Behörden)- zur Wahrung überwiegender Interessen Auftraggeber/Dritter

- bei "allgemeiner" Verfügbarkeit von Daten- bei lebenswichtigen Interessen des Betroffenen




DSG 2000 § 4 Z 1

"Daten" ("personenbezogene Daten")"Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist"

DSG 2000 § 4 Z 3"Betroffener""jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden"

Datenbegriff sehr allgemein gehalten, umfasstauch Bild- und Tondaten, biometrische Daten,

technische Kennzahlen (z.B. IP-Adressen, Cookies, Stromverbrauchsdaten, ...)




Personenbezogene Daten

Indirekt personenbezogene Daten § 4 Z 1 DSG 2000 (kein EU-Begriff!)personenbezogene Daten § 4 Z 1 DSG 2000

sonstige besonders schutzwürdige Daten § 18 Abs. 2 DSG 2000 (kein EU-Begriff)

sensible Daten§ 4 Z 2 DSG 2000




DSG 2000 § 4 Z 2 ("sensible" Daten)

Daten natürlicher Personen über

rassische und ethnische Herkunft

politische Meinung

Gewerkschaftszugehörigkeit

religiöse und philosophische Überzeugung

Gesundheit

Sexualleben

Probleme kann die Abgrenzung bereiten, z.B. Bestellungen von "Gesundheitsprodukten", Nutzung

von Sexseiten, ...




DSG 2000 § 4 Z 4"Auftraggeber" / Verantwortlicher für Datenverwendung"natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft", Begriff auf das "Verwenden von Daten" (Z8) abgestimmt (nicht Datenanwendung)

DSG 2000 § 4 Z 5 "Dienstleister"natürliche oder juristische Personen, ...... , wenn sie Daten, nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (auftragsgemäße Datenverwendung)




DSG 2000 § 4 Z 7,,Datenanwendung''

"die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte ... Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung)"

DSG 2000 § 4 Z 9 "Verarbeiten von Daten""das Ermitteln, Erfassen, Speichern, [....] oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten"

DSG 2000 § 4 Z 12 "Übermitteln von Daten""die Weitergabe von Daten einer Datenanwendung an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister"

Übermittlung ist unabhängig von der technischen Methode




DSG 2000 § 4 Z 14

"Zustimmung""die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt"

Widerruf in § 8 bzw. § 9 DSG 2000 geregelt

Entscheidungen:OGH 4 Ob 221/06p 20.3.2007 ("GE ...bank")OGH 4 Ob 179/02f 19.11.2002 ("BA-CA")


Von der Zustimmung iS DSG 2000 § 4 Z 14 sind andere vertragliche Vereinbarungen zur

Nutzung von Daten zu unterscheiden, etwa im Rahmen von Bestellungen, Kundenkarten, ...



Was ist eine geeignete Zustimmungserklärung?- grundsätzlich gilt Formfreiheit

auch mündlich (Beweisproblem), konkludent oder Teil der AGBs möglich

- WillenserklärungArt wird vom Adressaten abhängen, bei Konsumenten höhere Anforderungen als bei GeschäftsleutenEmpfehlung: ausdrückliche Unterschrift, getrennt von sonstigen Vereinbarungen

- Kenntnis der SachlageAufklärung über Umfang der Datenarten, Inhalt der Daten, Zweck der Datenweitergabe, Empfänger der Daten (so detailliert, dass der Betroffene die konkreten Empfänger erkennen kann)

- konkreter FallPauschalzustimmungen, ohne besonderen Zweck sind unzulässsig

- Widerrufshinweisgesetzlich nicht vorgeschrieben, OGH verlangt sie jedenfalls bei Konsumentengeschäften




Verwenden von Daten

Z 8

Übermitteln Verarbeiten

Z 9

Z 12

Daten-anwendun

gZ 7

Auftraggeber

Z 4

Dienstleister

Z 5

AuftragÜberlassen

Z 11

Ermitteln,Auswerten,Sortieren,Speichern,Analysieren,Korrigieren,Ausdrucken,Anzeigen, ...


Die wichtigsten Begriffe (§ 4 DSG Z ...)



Grundsätze der Verwendung von Daten (§ 6ff)Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1)

Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2)

Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2)

Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3)

Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4) [Möglichkeit der Selbstregulierung]

K120.705/010-DSK/2001 14.9.2001 ("gelindester Eingriff")

Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren




Grundlage einer rechtmäßigen Datenverwendung

Dreistufiges Konzept

Es muss eine Rechtsgrundlage für die Datenanwendung geben sein und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (§ 6, § 7 Abs.1)

Die Verwendung der Daten eines bestimmten Betroffenen muss für den konkreten Zweck zulässig sein (§§ 7ff)

Die Datenanwendung muss den Genehmigungs- und Registrierungserfordernissen entsprechen (§§ 16ff)

Beispiel:

Dürfen Personendaten bei eBay versteigert bzw. ersteigert werden?




Geheimhaltungsinteressen bei Datenverwendung (§ 8-nicht-sensible Daten, § 9-sensible Daten)

Wann dürfen Daten jedenfalls verwendet werden? (Auszug)

- Rechtsgrundlage / gesetzliche Verpflichtungen- Zustimmung des Betroffenen- zur Wahrung lebenswichtiger Interessen- überwiegende Interessen Dritter / Auftraggeber

(nicht anwendbar bei sensiblen Daten!)z.B. notwendige Voraussetzung zur Vertragserfüllung,Ausübung von Rechtsansprüchen des Auftraggebers, behördliche Tätigkeit

- indirekt personenbezogene Daten (EU-Konformität??)- zulässig veröffentliche Daten:

soweit berechtigter Zweck des Verwenders gegeben?soweit mit ursprünglicher Veröffentlichung vereinbar?




Einrichtungen / Zuständigkeiten bei DSG-Verletzungen- Datenschutzkommission (formlos)

[ab 1.1.2014 Datenschutzbehörde] - Kontroll- und Registrierungsstelle für alle Datenverarbeiter, - Beschwerdestelle in Auskunftsfällen für alle Datenverarbeiter und - für alle Bereiche bei allen öffentlich-rechtlichen Datenanwendungen (§§ 30f, 35ff DSG 2000)

- Zivilgericht (Anwaltspflicht)In allen sonstigen Beschwerdefällen, die durch das DSG 2000 geregelt sind (§ 32 DSG 2000)

- Magistrat / Bezirkshauptmannschaft (formlos)Anzeigen gem. § 52 DSG 2000

- Staatsanwaltschaft / Polizei (formlos)Anzeigen gem. § 51 DSG 2000

DSG 2000 - Einrichtungen



Datenschutzkommission (DSK, §§ 35,36)- Oberste Kontrollbehörde

(Genehmigungen, Beschwerden und Kontrolle)- als "unabhängige" Instanz eingerichtet (Form eines

Tribunals):6 Mitglieder + 6 Ersatzmitglieder

- im Vertragsverletzungsverfahren EU-Kommission gegen Österreich hat EuGH 16.10.2012 Rs C-614/10 mangelnde Unabhängigkeit der DSK festgestellt

- kritisierte Punkte durch DSG-Novelle 2013 saniert:eigenes BudgetBerichtspflicht gegenüber Bundeskanzlereigene Personalverantwortung

- Bescheide der DSK sind gem VwGH 2011/17/0156 24.4.2013 nichtig

- ab 2014: zwei InstanzenDatenschutzbehörde (Verwaltungsbehörde) mit einem Leiter +Bundesverwaltungsgerichtshof als Beschwerdeinstanz

DSG 2000 - Einrichtungen



Kontrollbefugnisse der DSK I

(DSG 2000 § 22a "Überprüfung der Meldepflicht")

- DSK kann jederzeit Erfüllung der Meldepflicht prüfen- bei Verdacht einer Verletzung der Meldepflicht ist ein Berichtigungsverfahren durch Datenverarbeitungsregister durchzuführen

- DSK kann Verbesserungsaufträge erteilen, wenn nicht entsprochen wird, dann ist Streichung möglich

- Streichung kann auch nur Teile einer Datenanwendung/Meldung umfassen

- wird der Aufforderung der Nachmeldung nicht entsprochen, dann ist Verarbeitung mit Bescheid zu untersagen und Anzeige bei der zuständigen Behörde zu erstatten

DSG 2000 - DSK-Kontrollbefugnisse



Kontrollbefugnisse der DSK II

(DSG 2000 § 22a "Überprüfung der Meldepflicht" - Fortsetzung)

- DSK kann auch bei Fehlen von Sicherheitsmaßnahmen die Streichung einer Datenanwendung verfügen

- Berichtigungsverfahren sind im DVR ersichtlich zu machen ("geeignet anzumerken")




Kontrollbefugnisse der DSK III(DSG 2000 § 30)

- Recht auf Prüfung und auf Einschau beim Auftraggeber / Dienstleister

- Eingaben erlauben DSK eine Überprüfung der Meldepflicht nach §§ 22 und 22a (Abs. 2a)

- Weitergabebefugnisse von Ermittlungsergebnissen der DSK bei bestimmten (Cybercrime-)Strafdaten (Abs. 5)

- Erweiterte Befugnisse der DSK zur Durchsetzung von Maßnahmen und Empfehlungen (Abs. 6, 6a)

- Möglichkeit Weiterführung einer Datenanwendung per Mandatsbescheid zu untersagen ("Gefahr in Verzug") (Abs. 6a)




DSG 2000 - Kontrollbefugnisse

Konzept der Vorabkontrolle(DSG2000 § 10, § 18 Abs. 2, § 20, 21, 30, § 10)bestimmte Datenanwendungen unterliegen einer Vorabkontrolle durch DSK

- DA's die sensible Daten verwenden

- DA's die in Form eines Informationsverbundsystems betrieben werden

- registrierungspflichtige Videoüberwachungen

- DA's die Daten zur Beurteilung der Kreditwürdigkeit dienen bzw. strafrechtlich relevante Daten verarbeiten

Voraussetzungen der Vorabkontrolle: Prüfung auch ohne Verdachtsmomente möglich

Auflagen zum Betrieb der Datenanwendung können erteilt werden



Zeitpunkt der Kontrolle durch DSK

(a)vor Aufnahme einer Datenanwendung (Vorabkontrolle, § 18)

(b)bei begründetem Verdacht einer Verletzung der Datenschutz-Bestimmungen (§ 30)

(c) DSK kann jederzeit Meldepflicht prüfen (DSG Novelle 2010: §22a)

[Gesetzgeber hofft laut EB zur DSG-Novelle 2010 nunmehr praktikable Kontrollmöglichkeiten für

DSK geschaffen zu haben]Europäische Agentur für Grundrechte (EU)

kritisierte 5/2010 mangelnde Durchsetzungsbefugnisse der österreichischen

Datenschutzkommission




In welchem Umfang ist DSG auf das Internet anwendbar?Dazu sind Vorfragen zu klären:

- Ist eine Veröffentlichung auf einer Internetseite eine Datenanwendung?

- Ist eMail-Verkehr eine Datenanwendung?

- Wann handelt es sich um personenbezogene Daten?Was sind die Mindestangaben, um von Personenbezug sprechen zu können?Name, Adresse, IdentifikationsdateneMail-AdresseIP-Adresse, Matrikelnummer (z.B. e0640132)Kundennummer/BenutzerkennungCookies, Computersignatur, ...

- Ist ein berechtigter Zweck gegeben?

Internet und Datenschutz



Webseite als Datenanwendung

Bedeutung der IP-Adresse

Veröffentlichung von Informationen

Web-Zugriffsstatistik

Zweck der Datenanwendung

Beispiele / Entscheidungen




EuGH-Entscheidung C-101/01 Fall Lindqvist

Frau Lindqvist war/ist Reinigungskraftbesuchte einen Web-Programmierkursehrenamtlich in der lokalen Kirche tätig

Produzierte eine persönliche Webseiteenthalten:

- Informationen über sich und Ehemann- 16 namentlich genannte

Konfirmanten/Kirchenmitarbeiter- "lustige" Beschreibung der Interessen dieser

Personen- Information über eine Beinverletzung einer Person

und dass sie nicht am Unterricht teilnehmen kann




EuGH-Entscheidung C-101/01 Lindqvist IIFrau Lindqvist löscht sofort nach Verlangen

- trotzdem Strafverfahren, weil Datenverarbeitung nicht registriert

- Strafe von 4000 SEKronen (ca. 430 Euro)

Im Zuge des Verfahrens wurde EuGH von schwedischem Gericht mit einer Reihe von Fragen angerufen:

- Ist eine Website eine Datenverarbeitung?- Gelten die Ausnahmebestimmungen für private

Webseiten?- Handelt es sich um sensitive Daten?- Liegt (genehmigungspflichtiger) internationaler

Datenverkehr vor?- Schränkt das EG-Datenschutzrecht unzulässig die

Freiheit der Meinungsäußerung ein?- Gibt die Richtlinie 95/46/EG nur einen Mindeststandard

vor?

JA

JANEIN

NEIN

NEINNEIN



Root Nameservice, ca. 123

Rootserver, weltweit verteilt nationales

Nameservice, TLD-Server, nic.at

Grundlagen Internet

Was passiert bei der Internetkommunikation?

Abruf Webseite www.orf.at/inhalt

Webserver www.orf.atBenutzersicht

Providerwolke B

IP-Adresse Benutzer 100.255.255.255

Vienna Internet Exchange

IP-Adresse Anbieter 99.255.255.255

100.

255.

255.

255

/

99.2

55.2

55.2

55

100.255.255.255 /

99.255.255.255

Datenbank Inhaber IP-Adressen

und Domainnam

en

orf.at ?100.255.255.255 ?

99.255.255.255 ?www.orf.at/inhalt ?

WHOIS www.orf.at?

Nameservice, meist Provider

Providerwolke A



Grundlagen Internet

Sitz Marina del Rey (nahe Los Angeles)seit 2009: Übereinkommen mit US-Handelsministerium (DOC), davor Aufsicht durch DOC, Beirat mit Regierungsvertretern: Governmental Advisory Committee (GAC).

IANA = Internet Assigned Numbers Authorityoperative Nummernverwaltung (IP-Adressen, Protokolle und Ports) mit Teilorganisationen

Organisation im Internet I

ICANN = Internet Corporation for Assigned Names and Numbersprivatrechtliche Non-Profit-Organisation US-amerikanischen Rechts



Grundlagen Internet

Organisation im Internet II

Root-Nameservice (A-M)VeriSign/US/verteilt (A,J), University of Southern California/US (B), Cogent/US/verteilt (C), University of Maryland/US (D), NASA/US (E), ISC[University of California, Berkeley]/US/verteilt (F), USDoD /US (G), USArmy/US (H), nordu/SE/verteilt (I), RIPE/NL/verteilt (K), ICANN/US (L), WIDE Project/JP (M)

- 13 Knoten, 123 Server (letzter verfügbarer Stand Ende 2006)

- US-Dominanz- Koordinations- und Publikationsinstanz: Verisign

(nach Auftrag von ICANN, Genehmigung U.S. Department of Commerce)

Bei Ausfall dieses Services ist weltweit kein Internetbetrieb im gewohnten Umfang möglich!



Grundlagen Internet

Wie erfahre ich etwas über Internetkommunikation?

- IP-Adress(Range)-Information (http://www.db.ripe.net/)

- IP-Lookup-Information (http://www.dnsstuff.com/)

- Traceroute (http://www.dnsstuff.com/)

- Domain-Name-Service (http://www.dnsstuff.com/)

- Standortinformation (http://www.ip-adress.com/)

- System-Information zu eMail, Browser, Server (http://www.netcraft.com)

- Portscan/Schwachstellenanalyse (http://www.nessus.org/)

Beispiele IP-Adressen:- 194.232.104.22 [ORF]

- 91.114.3.197 [Erste Sparinvest]

- 91.112.60.226, 91.112.191.38, 88.117.177.94 [persönliche Adressen]

- 92.193.83.188, 88.117.118.76 [Dynamic IP Addresses]



Grundlagen Internet

IHL = IP Header Length, TOS = Type of Service, Total Length = Paketgröße (max, 65.535 Byte), Identification = Kennung des Paketes, Time to Live = Lebensdauer

IP-Datenpaket - Keine Trennung von Adress- und Inhaltsinformation

Zahl der Bits

Zieladresse

Absendeadresse

Inhalt



DSK-Entscheidung zur IP-Adresse(Empfehlung K213.000/0005-DSK/2006 29.9.2006)

Ausgangslage

Tauschbörsenbenutzer konnten ausgeforscht werden, da der ISP die Identität der Internetbenutzer an Hand der zu einem bestimmten Zeitpunkt genutzten IP-Adresse offen legte.

Benutzer beschwerte sich, da diese Information gar nicht aufgezeichnet werden dürfte

DSK-Empfehlung

- IP-Adresse sind gem. TKG Teil der Verkehrsdaten (dynamische ausschließlich, statische sowohl Verkehrsdaten, als auch Stammdaten)

- bei Vorliegen einer Flatrate-Vereinbarung sind diese Daten nicht für die Abrechnung erforderlich und dürfen daher nicht aufgezeichnet werden

- die Weitergabe nicht rechtmäßig verarbeiteter Daten ist unzulässig




Wertungsunterschiede bieten Konfliktpotential

- KFZ-Datenbank der Schweiz (Beispiel: http://www.viacar.ch/eindex/login.aspx?kanton=ag)

- Sexualstraftäterdatei USA(http://www.nsopr.gov/)

- Sexualstraftäterdatei GB(Google-Suche nach "schotte sex fahrrad")

Zugang wird laufend modifiziert um "Missbrauch" zu verhindern:meist CAPTCHA Codes verwendet = Completely Automated Public Turing test to tell Computers and Humans Apart

Demobeispiele Veröffentlichung

Was ist eine zulässige Veröffentlichung?

Veröffentlichen von Informationen- ist im DSG 2000 Spezialfall der Datenübermittlung- die Veröffentlichung muss rechtlich zulässig sein



Was ist eine (un)zulässige Veröffentlichung im Internet?

- Veröffentlichen von Hausbesorgerdaten (OLG Innsbruck, Beschlüsse vom 27.9.1999, 1 R 143/99 und 28.3.2000, 1 R 30/00x)

- Private Schuldnerfahndunghttp://www.seastar.at/Exekutionen.htmsiehe auch Mandatsbescheid DSK K211.505/002-DSK/2004 20.1.2004

- Veröffentlichen von Mitarbeiter-/Schüler-/Studentenfotoszusätzlich Bildnisschutz § 78 UrhG beachten OGH 8ObA136/00h 5.10.2005

- Teilnehmerlisten (Sportveranstaltungen, Schulen, Universitätsveranstaltungen, ...)

- WHOIS-Daten (technische Internet-Informationen)

- Lehrerbewertung: Freie Meinungsäußerung hat VorrangBundesgerichtshof VI ZR 196/08 23.6.2009 http://www.spickmich.de/

Dreistufiges Konzept zur Zulässigkeit ist zu beachten!





Herold verknüpftTelefonbuchsuchemit LuftbildFragen:Handelt es sich bei Luftbild um personenbezogene Information?

Ist Zustimmung erforderlich?

Erfüllt Veröffentlichung berechtigten Zweck?Wäre durch Löschung des Familiennamens Luftbild-Veröffent-lichung saniert?

http:/www.herold.at/




Diskussionsforum eines Mediendiensteshttp://www.vol.at/news/vorarlberg/artikel/fpoe-will-minarette-verhindern/cn/news-20080221-07015646

"offizieller" Diskussionsbeitrag



Diskussionsforum eines Mediendienstes IIhttp://www.vol.at/news/vorarlberg/artikel/fpoe-will-minarette-verhindern/cn/news-20080221-07015646

"inoffizieller" DiskussionsbeitrageMail-Adresse und IP-Adresse unkenntlich gemacht




Diskussionsforum eines Mediendienstes III

- Werden personenbezogene Daten veröffentlicht (fehlerhafte/offizielle Version)?

- Handelt es sich um eine Datenanwendung im Sinne des DSG?

- Besteht eine Rechtsgrundlage für die Veröffentlichung?(berechtigter Zweck, zulässige Datenverwendung, Registrierungserfordernis)

- Welche Bestimmungen/Regulierungen sind anzuwenden?

- Verhalten bei Kenntnisnahme durch Internetbenutzer?

- Wer ist für Aufsicht verantwortlich / Welche Zuständigkeit?

- Welche Sanktionen sind vorgesehen?





http://www.sexpunkt.at/ [Website seit 2011 nicht mehr aktiv]




öffentlich zugängliche Besucherstatistik zu sexpunkt.at




öffentlich zugängliche Besucherstatistik zu "zärtliche Nicole"http://zaertliche-nicole.com/ [Counter 2011 nicht mehr aktiv]



Veranstaltungsanmeldung http://www.b2bnetwork.at/

Demobeispiel Online-Anmeldung



Googles Street-View

Aufzeichnung "öffentlichen" Verhaltens http://maps.google.com/help/maps/streetview

- handelt es sich überhaupt um personenbezogene Datenverarbeitung?

- Google sagt zu, Personen vor Veröffentlichung zu "verpixeln"

- Was ist zu den Street-View-Funseiten zu sagen?http://www.streetviewfun.com/ http://streetviewr.com/



Googles Street-View

DSK genehmigt 2011 Street-View Anwendung mit drei Empfehlungen (K213.120/0002-DSK/2012 14.2.2012)

- Aufnahmen von Personen in sensiblen Bereichen sind die Gesamtbilder der Personen unkenntlich zu machen: etwa Eingangsbereiche von Kirchen, Gebetshäusern, Krankenhäusern, Frauenhäusern und Gefängnissen

- für Spaziergänger nicht einsehbare Immobilien (umzäunte Privatgärten und -höfe) sind vor Veröffentlichung im Internet unkenntlich zu machen

- Schaffung eines einfachen Widerspruchsrechts nach § 28 Abs. 2 DSG 2000



Web 2.0 - Datenschutzspezifische Fragestellungen

Vorgaben des DSG 2000:(1) Rollenkonzept: Auftraggeber, Betroffener,

Dienstleister(2) Schutzinteressen der persönlichen Daten:

allgemein verfügbare Daten, indirekt personenbezogene Daten, vertrauliche Daten, sensible Daten

(3) berechtigter Zweck: der persönlichen Nutzung, die Weitergabe an Dritte, Veröffentlichung

(4) Aufsicht + Ausnahmen: Registrierungs- bzw. Genehmigungspflicht

Datenschutzregeln treffen sowohl Betreiber des Accounts ("Benutzer" [A]), als auch

Plattformbetreiber ("Facebook" [B]),

Web2.0, Social Media und Datenschutz



Variante I: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich

(1) Rollenkonzept: [A] Benutzer ist bezüglich der veröffentlichten Daten weder Betroffener, noch Auftraggeber, Facebook ist in diesem Fall auch kein Dienstleister, daher keine Datenanwendung.[B] Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber

(2) Schutzinteresse: [A] Kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat.[B] Facebook darf Daten im Rahmen seiner berechtigten Zwecke verwenden.




Variante I: Benutzer richtet (Facebook-)Account ein und berichtet öffentlich über sich II

(3) Berechtigter Zweck: [A] Ist in Bezug auf Benutzer nicht zu prüfen, da keine Datenanwendung im Sinne des DSG 2000[B] für Facebook aus Angebot und Geschäftsbedingungen ableitbar

(4) Aufsicht: [A] Für Benutzer keine Registrierungs- bzw. Genehmigungspflicht[B] für Facebook gelten die Bestimmungen des Geschäftssitzes (für Europa das irische Datenschutzrecht)



Variante II: Unternehmen ("Benutzer") richtet (Facebook-) Account ein und berichtet öffentlich über sich und erlaubt Dritten Beiträge beizusteuern

(1) Rollenkonzept: [A] Benutzer ist bezüglich der veröffentlichten Daten Dritter Auftraggeber, Facebook ist in diesem Fall Dienstleister, Datenanwendung liegt vor!

[B] Im Zusammenhang mit den Zugangsdaten und bei eigenverantwortlicher Verwertung von Benutzerdaten (z.B. für Online-Marketingzwecke) ist Facebook Auftraggeber





(2) Schutzinteresse: [A] Bezüglich der Veröffentlichung der Unternehmensdaten gilt, kein Schutzinteresse, da Benutzer seine Daten selbst veröffentlicht hat, bezüglich Dritter (Poster + Person über die gepostet wird) hat Unternehmen auf Einhaltung der Datenschutzinteressen zu achten! Es sind zusätzlich zum DSG 2000 die ECG-Bestimmungen insb. § 16 (Haftung!) zu beachten.

[B] Facebook darf die Daten nur im Rahmen der ausdrücklich vereinbarten Geschäftsbedingungen verwenden.





(3) Berechtigter Zweck: [A] Keine private Datenanwendung im Sinne des § 45 DSG 2000, in der Regel zulässig (z.B. Unternehmenspräsentation, Erwerbsfreiheit).

[B] In Bezug auf Facebook aus Angebot und Geschäftsbedingungen ableitbar.

(4) Aufsicht: [A] Für Unternehmen dann Registrierungs- bzw. Genehmigungspflicht, wenn keine Ausnahmebestimmung zutrifft (Standardanwendung, ausschließliche Verwendung veröffentlichter Daten, rein private Datenverwendung, Medienprivileg/Berichterstattung).

[B] Für Facebook gelten die Bestimmungen des Geschäftssitzes





Facebook / LikeIt

Was passiert bei Aufruf einer Website in dem ein

Facebook LikeIt Button (ein Social Plugin) eingebaut ist?



Weitere Themen

DSK 120.881/010-DSK/2003 12.12.2003("eMail-Datenanwendung")

Auch e-Mail-Verkehr ist als Datenanwendung iS des DSG 2000 anzusehen und unterliegt der Auskunftspflicht




In welchem Umfang ist DSG auf Internet anwendbar?

- Ist eine Veröffentlichung auf einer Internetseite eine Datenanwendung? (ja, siehe EuGH C-101/01 Lindqvist)

- Ist eMail-Verkehr eine Datenanwendung? (ja, siehe DSK K120.881/010-DSK/2003 12.12.2003, DSK K121.259/0013-DSK/2007 24.5.2007)

- Wann handelt es sich um personenbezogene Daten?Name, Adresse, IdentifikationsdateneMail-Adresse (ja, siehe OLG Bamberg/D 1U143/04 12.5.2005)IP-Adresse (ja, siehe DSK K213.000/0005-DSK/2006 29.9.2006)Kundennummer/BenutzerkennungCookies, personalisierte Webinformationen, ...Kriterium ist "bestimmbar" (iS EG-RL 95/46/EG Art. 2)

- Ist berechtigter Zweck gegeben? (DSK K211.505/002-DSK/2004 20.1.2004) [unzulässiges Onlineangebot zur Kreditwürdigkeit]




Eurobarometerumfrage 2011

Was wird überhaupt als (schutzwürdige) personenbezogene Information gesehen? (EU27 / AT / max / min)

- Finanzdaten: 75% EU27 / 73% AT / 91% DK / 44% PL

- Gesundheitsdaten: 74% EU27 / 75% AT / 93% IE / 46% PL

- Identitätsdaten( Passnummer, ...): 73% EU27 / 67% AT / 92% BG / 53% MT

- Lebenslauf (beruflich): 30% EU27 / 43% AT / 50% DE / 11% BG,RO

- mit wem befreundet: 30% EU27 / 40% AT / 52% DE / 7% BG

- private Interessen/Hobbies: 25% EU27 / 40% AT / 46% DE

/ 8% CY

- besuchte Webseiten: 25% EU27 / 33% AT / 44% SE / 5% RO

Länder mit höchsten Datenschutzbewusstsein:Deutschland, Niederlande, Großbritannien, Österreich



Besondere Dienstleisterverpflichtungen

Registrierung von Datenanwendungen

Informationsverbundsystem

DSG-Bestimmungen

Anwendbare Datenschutzbestimmung

Internationaler Datenverkehr



DSG 2000 - Dienstleister

Dienstleister im Sinne des DSG 2000 (§§ 10f)- Dienstleistung liegt vor, wenn ein Verantwortlicher

jemanden Dritten für die Durchführung bestimmter Verarbeitungsaufgaben betraut

- Geeignete Vereinbarungen sind zu treffen

- Vereinbarungen sind zu überprüfen/überwachen ["überzeugen"]

- Meldepflicht bei DSK bei Datenverarbeitungen des öffentlichen Bereichs, die der Vorabkontrolle unterliegen (z.B. bei Verwendung von Gesundheitsdaten),keine Meldepflicht bei verbundenen Unternehmen

- Subdienstleister nur mit Billigung des Auftraggebers

Schriftliche Vereinbarung notwendig!(§ 11 Abs. 2 DSG 2000)



Registrierung von Datenanwendungen (§§ 16ff)

- Datenanwendungen sind grundsätzlich meldepflichtig (§ 17)

- Jede Registrierung erfolgt für bestimmte Datenanwendung, für bestimmte Datenarten, bestimmte Personengruppen und bestimmte Zwecke (§ 17)

- Eine DVR-Nummer wird einem Unternehmen (Organisation) bei erstmaliger Registrierung einer DA zugeteilt (§ 21)

- Registrierung ist kostenlos (§ 53)- Registrierung soll Transparenz sichern, die

Registernummer ist in jeder Korrespondenz mit Betroffenen oder Dritten anzugeben (§ 16)

- Jedermann kann Einsicht in Registrierung nehmen (§ 16)

- Es gibt Ausnahmen von der Registrierungspflicht (§ 17)

DSG 2000 - Registrierung und Genehmigung



Registrierungsfreiheit (§ 17)

- Standardanwendungen

- DA enthält ausschließlich (!) veröffentlichte Daten (aus öffentlichen Internetseiten, Telefonbuch- oder Firmen-Suche)

- ausschließlich indirekt personenbezogene Daten

- persönliche Datenanwendungen (persönliche eMails, Webseiten mit ausschließlich eigenen Angaben)

- publizistische Datenanwendungen (Online-Medien)

- manuelle Datenanwendungen, die nicht der Vorabkontrolle unterliegen

- Führung öffentlicher, gesetzlich vorgesehener Register

- bestimmte DA‘s der Republik Österreich

- DA für Zwecke der Strafverfolgung




Datenverarbeitungsregister (DVR) (§§ 16ff)

Zeitpunkt der Registrierungspflicht und wann ist zulässiger Beginn der Verarbeitung? (§ 18)

- Beginn der Verarbeitung mit Tag der Registrierungsmeldung(gilt für "normale" DAs)

oder- nach Abschluss der Vorabkontrolle, wenn keine

Einwände erhoben werden, 2 Monate nach Meldung(gilt für DAs, die der "Vorabkontrolle" unterliegen)

- Datenverarbeitungsregister ist Teil der DSK (§ 16)

- derzeit etwa 400.000 registrierte Auftraggeber

- Auftraggeber, die keine DVR-Nummer benötigen, müssen die Identität in anderer Weise offen legen (§ 25)

- ab 9/2012 erfolgt die Registrierung automationsunterstützt



Internationaler Datenverkehr (§§ 12, 13, 55)Genehmigungsfreiheit (EU: "Datenexport")

- innergemeinschaftlicher Datenverkehr

- gleichwertige Datenschutzgesetzgebung

- im Inland zulässigerweise veröffentlichte Daten

- notwendige Grundlage zur Vertragserfüllung mit Betroffenen

- persönliche oder publizistische DA‘s

- mit Zustimmung des Betroffenen

- wenn Datenverkehr in Standard- und Musteranwendungen vorgesehen

- bei Akten und Dokumenten (Entscheidung DSK K178.074/13-DSK/00 14.4.2000 "gegenseitige Information zu Waffenexporten")

- Theoretisch: bei Verwendung der EU-Standardvertragsklauseln (jedoch fehlt dazu eine Verordnung des Bundeskanzlers)

DSG 2000 - Internationaler Datenverkehr



Genehmigungsfrei (weil gleichwertig)- gleichwertig auf Grund EWR-Verträge

Island, Norwegen, Liechtenstein

- gleichwertig gem. KommissionsentscheidungSchweiz (27.7.2000), Kanada (15.1.2002)Argentinien (30.6.2003), Australien (30.6.2008)Israel (31.1.2011), Uruguay (23.8.2012)Neuseeland (30.1.2013)Andorra, Faeroe Islands, Guernsey, Isle of Man, Jersey

- USA (nur bereichs- oder unternehmensbezogen, etwa wenn SafeHarbour-Vereinbarung beigetreten, SWIFT- oder PassengerNameRecord-Abkommen)

bei allen anderen Staaten hat sich der Betroffene bzw. der Auftraggeber selbst um den Datenschutz zu kümmern





Was bedeutet "Safe Harbour"?

In den USA fehlen einheitliche, für Unternehmen verbindliche Datenschutzstandards

Entwicklung von Richtlinien, denen freiwillig beigetreten werden kann (SELBSTZERTIFIZIERUNG), nach Beitritt verbindlich, es kann jederzeit wieder ausgetreten werden

FTC (Federal Trade Commission, Bundeshandelskommission) bzwUS-Verkehrsministerium (bei Luftfahrtgesellschaften)überwachen Einhaltung

Liste mit Teilnehmern veröffentlicht, Stand April 2013: ca. 3.500 Organisationen, inkl. nicht aktueller Einträgeprominente Nicht-Teilnehmer: eBay, automattic(wordpress)

Beitritt kann auf bestimmte Datengruppen beschränkt werden: Online-Daten, Offline-Daten, HR-Daten (Personaldaten), manuell verarbeitete Daten, Finanzdaten, ...

Beratungsfirma Galexia, Australien äußerte 2008 Bedenken an der Funktionsfähigkeit des Systems




zentrale Grundsätze des "Safe Harbour"- INFORMATIONSPFLICHT (entspricht: DSG 2000 § 24)

- WAHLMÖGLICHKEIT (DSG 2000 § 28 "Widerspruch")

- WEITERGABE (DSG 2000 u.a. § 8f "Verwendung")

- SICHERHEIT (DSG 2000 § 14)

- DATENINTEGRITÄT (DSG 2000 § 6 "Grundsätze")

- AUSKUNFTSRECHT (DSG 2000 § 26f)

- DURCHSETZUNG (DSG 2000 § 30ff)




Schiedsverfahren und Durchsetzung der "Safe Harbour" Verpflichtungen (FAQ11)

- Betroffene können sich direkt beschweren

- Beschwerden von Selbstregulierungsorganen werden vorrangig behandelt(BBBOnline, TRUSTe, ...)

- ebenso Beschwerden der EU-Mitgliedsstaaten

- Fortgesetzte Missachtungen sind zu veröffentlichen

- Sanktionen:öffentliche Bekanntmachung ("Pranger")Löschung betreffender DatenEntschädigung für PersonenStreichung von der Liste "safe harbour"sonstige Auflagen




Internationaler Datenverkehr (§§ 12, 13, 55)Genehmigungspflichtin allen anderen Fällen besteht Genehmigungspflicht (§ 13)die Genehmigung hat die DSK zu erteilen:

- dabei die Feststellungen der Europäischen Kommission sind zu beachten (Abs. 2)

- im konkreten Genehmigungsfall besteht ein angemessenes Schutzniveau (Abs. 2 Z 1) [Verwendung von Mustervereinbarungen]

- Antragsteller macht den Schutz der Geheimhaltungsinteressen des Betroffenen glaubhaft (Abs. 2 Z 2)

- seit DSG-Novelle 2010: Möglichkeit einseitiger verbindlicher Zusagen des Auftraggebers für internationalen Datenverkehr (Abs. 2 Z 2)




DSG 2000 - Anwendbares Recht

95/46/EG - Ziel ist Vereinheitlichung der Zuständigkeit

Art. 4 Abs. 1 a)+b) Niederlassung im Mitgliedstaat

"a) Jeder Mitgliedstaat wendet sein Datenschutzrecht auf alle Verarbeitungen personenbezogener Daten an, die im Rahmen der Tätigkeit einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaates besitzt."

b) regelt Spezialfälle, wie etwa Botschaften

Niederlassung: definiert in Erwägungsgrund 19:- effektive und tatsächliche Ausübung einer Tätigkeit

mittels einer festen Einrichtung- Rechtsform der Niederlassung ist nicht maßgeblich- bloße Server (technische Geräte) sind keine

Niederlassung



95/46/EG - Weiterer AnwendungsfallArt. 4 Abs. 1 c) Verantwortlicher aus Drittstaat nutzt Mittel im Mitgliedstaat ("Durchführungsprinzip")

c) Jeder Mitgliedstaat wendet sein Datenschutzrecht auf Verarbeitungen an, wenn der für die Verarbeitung Verantwortliche nicht im Gebiet der EU/EWR niedergelassen ist, aber auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet belegen sind.

Diese Bestimmung bringt insbesondere im Zusammenhang mit Internetanwendungen erhebliche Auslegungsschwierigkeiten:

- Ist die Installation eines Programms (Javaskript) auf einem lokalen Computer schon ein "zurückgreifen"?

- jedenfalls erfasst: Backuprechen- und Notfallsrechenzentren, Dienstleistung durch EU-Unternehmen




95/46/EG - Konsequenzen

Auswirkungen innerhalb der EU- Es gilt das Recht jenes Staates / jener Staaten, wo der

Verantwortliche seine Niederlassung(en) hat

Auswirkungen für Unternehmen in Drittstaaten- Sobald sie Mittel in der EU nutzen, gilt das

Datenschutzrecht des jeweiligen EU-Staates- Ansonsten gilt das nationale Datenschutzrecht des

Drittstaates (sofern überhaupt vorhanden)




Umsetzung in Österreich (§ 3 DSG 2000)

Österreichisches DSG 2000 ist anzuwenden- wenn Daten im Inland verwendet werden,- wenn Daten eines anderen EU/EWR-Staates in einer

österreichischen Niederlassung verwendet wird- wenn Daten eines Drittstaates in Österreich (technisch)

verwendet werden (österreichischer Verantwortlicher ist zu benennen!)

Österreichisches DSG 2000 ist nicht anzuwenden

- wenn Daten im Inland, aber für einen Auftraggeber mit Sitz in einem anderen EU/EWR-Staat verwendet werden und der Zweck keiner österreichischen Niederlassung zuzurechnen ist

- wenn Daten durch Österreich nur durchgeführt werden




Was ist ein Informationsverbundsystem? (§ 50)gemeinsame Verwendung von Daten in einer DA durch mehrere [österreichische] Auftraggeber

geeigneter Betreiber ist zu bestellen

Betreiber ist zwecks Eintrag im DVR zu melden

Betreiber hat Auskünfte über Auftraggeber zu geben (12 Wochenfrist!)es können weitere Auftraggeberpflichten an den Betreiber abgetreten werden

Meldepflichten des Informationsverbundsystems können an Betreiber formlos übertragen werden (Abs. 2)Erleichterungen der Meldung zusätzlicher Teilnehmer an Informationsverbundsystem: es genügt Verweis auf andere Meldung (Abs. 2a)

Stand lt. DVR-Online: ca. 92 Anwendungen gemeldet, davon ca. 80% aus dem öffentlich-rechtlichen Bereich, 20% private

DSG 2000 - Spezialregelungen



Betroffenenrechte / Informationspflichten

Recht auf Geheimhaltung (§ 1ff)

Recht auf Auskunft (§ 26)

Recht auf Berichtigung & Löschung (§ 27)

Informationspflicht (§ 24)

Recht auf Widerspruch (§ 28)

Recht auf Widerruf (§§ 8, 9)



Offenlegungspflicht (§ 25)Offenlegung anlässlich Übermittlung und Mitteilung an Betroffene

Identität des Auftraggebersbei registrierungspflichtigen DAs die DVR-Nummer des

Auftraggebers

DSG 2000 - Informationspflicht



Informationspflicht (§ 24 / Art. 10, 11, 14 EU-RL)Informationspflicht anlässlich Ermittlung

ZweckAuftraggeber

Spätestens zum Zeitpunkt der Übermittlung

Entfällt, - bei Datenanwendungen, die durch Gesetz/Verordnung

eingerichtet sind oder- bei mangelnder Erreichbarkeit der Betroffenen oder- bei Unwahrscheinlichkeit der Beeinträchtigung der

Betroffenenrechte und Höhe der Kosten der Information

Bei Kundenbeziehungen leicht zu erfüllen, ein Problem jedoch dort, wo Daten ohne Kundenbeziehungen

verwendet werden (z.B. Adressenverlagen / Informationsdiensten)




Informationspflicht (seit 1.1.2010)(DSG 2000 § 24 Abs. 2a)

Betroffene sind von Datenschutzverletzungen zu informieren

- wenn schwerwiegend und systematisch- wenn Betroffenen Schaden droht- Ausnahme: keine Informationspflicht wenn Schaden nur "geringfügig" und Verständigungsaufwand "unverhältnismäßig hoch"

Es handelt sich um eine Informationspflicht "light", die gegenüber dem ursprünglichen Entwurf erheblich

reduziert wurde.




Betroffenenrecht - Auskunft (§ 26)

Auskunft ist auf Verlangen bei Nachweis der Identität zu geben (Abs. 1) [Berufung auf DSG nicht erforderlich!]

Auskunftsfrist sind 8 Wochen (Abs. 4)

Betroffener hat am Auskunftsverfahren über Befragung im zumutbaren Ausmaß mitzuwirken (Abs. 3)

ungerechtfertigter Aufwand ist zu vermeiden

Auskunftsrecht unabhängig von Registrierungserfordernis [!!]von einem Vertragsverhältnisvon tatsächlichem Vorhandensein von Daten von Datenmissbrauchvon Datenweitergabe

DSG 2000 - Betroffenenrechte



Betroffenenrecht - Auskunft (§ 26) II

Auftraggeber hat Auskunft zu erteilen überZweck der Datenanwendung

die verwendeten Daten in allgemein verständlicher Form

verfügbare Information über ihre Herkunft

allfällige Empfänger oder Empfängerkreise von Übermittlungen

Name und Adresse des Dienstleisters (muss vom Betroffenen extra verlangt werden)

4 Monate Löschungsverbot nach Einlangen des Auskunftsbegehrens

Auskunftsbegehren und Auskunft haben schriftlich zu erfolgen, Abweichung im Einverständnis der Gegenseite möglich




Betroffenenrecht - Auskunft (§ 26) III

begründete Auskunftsverweigerung / Auskunftsbegrenzungen ist möglich, u.a.

Schikaneverbot: Betroffener wurden Daten schon mitgeteilt (etwa Kontoauszüge, OGH 6Ob25/90 15.1.1991), nicht zu verwechseln mit Betroffener "kennt eigene" Daten

überwiegende Interessen des Auftraggebers oder Dritter

aus therapeutischen Gründen (Gesundheitszustand)

formale Gründe: fehlender Identitätsnachweis, fehlender Kostenersatz

Auskunft ist einmal im Jahr bei aktuellen Daten kostenfrei

ansonsten Ersatz der tatsächlichen Kosten oder pauschalierter Ersatz (18,89 Euro)





Betroffenenrecht - Löschung/Richtigstellung (§ 27)

Richtigstellungspflicht des Auftraggebers

Frist von 8 Wochen bei Richtigstellungsantrag eines Betroffenen

betrifft auch unvollständige Daten, veraltete Daten, irreführende Daten

nicht (mehr) benötigte oder unzulässig verarbeitete Daten sind zu löschen

Beweislast der Richtigkeit von Daten, wenn Löschung verweigert wird, liegt beim Auftraggeber (Ausnahmen: Verarbeitung erfolgt ausschließlich gem. Betroffenenangaben oder gesetzliche anders angeordnet)

Wachsende Bedeutung der Bestimmung, da immer öfter nur kurzfristig erforderliche Daten anfallen (Verkehrsdaten von ISP & Telekomunternehmen,

Location-Based-Services, Smartphone-Daten)



Betroffenenrecht - Widerruf / Widerspruchfreiwillige Zustimmung zur Verwendung von Daten kann jederzeit, ohne Angabe von Gründen widerrufen werden (§§ 8, 9)

Widerspruch (§ 28) nur bei nicht gesetzlich vorgeschriebenen Datenanwendungen möglich

- Widerspruch bei öffentlich zugänglichen Dateien ohne Begründung (typischer Internet-Anwendungsfall, etwa bei Google-Street-View)

- das Recht Daten zu verarbeiten (etwa Gewerbeberechtigung) ist keine gesetzliche Anordnung im Sinne des DSG

- Widerspruchsrecht besteht auch bei gegebener Zustimmung!

Daten sind bei gültigem Widerspruch zu löschen




Entscheidungen Widerspruch- bei gesetzlich angeordneten Datenverarbeitungen ist

Widerspruch nicht anwendbar

OGH 6Ob195/08g 1.10.2008- Löschung nach §28 (2) DSG 2000 voraussetzungslos

und unbegründet bei öffentlichen Dateien möglich- Wirtschaftsauskunftsdienste betreiben öffentliche

Dateien

siehe auch DSK K211.593/0011-DSK/2005 29.11.2005

- Widerspruch anwendbar im Zusammenhang mit Wirtschaftsauskunftdiensten

- Widerspruch bedeutet auch das Verbot der Bekanntgabe, dass der Datenverwendung widersprochen wurde




Weitere DSG-Bestimmungen

Sicherheitsverpflichtung

Schadenersatz

Strafbestimmungen DSG 2000



Sicherheitsbestimmungen (§ 14)

Sicherheitsmaßnahmen haben einen Ausgleich zwischen folgenden Punkten zu finden:

Stand der Technik entsprechend

wirtschaftlich vertretbar

angemessenes Schutzniveau muss erreicht werden

In Österreich gibt es seit 2003 ein "offizielles" IT-Sicherheitshandbuch,

das 2007 in Version 2.3 vom Ministerrat empfohlen wurde seit 11/2010 gilt Version 3.1 als Informations-

Sicherheitshandbuch

Es gibt im DSG 2000 jedoch keine rechtlich verbindlichen (zwingenden) Sicherheitsvorschriften!

DSG 2000 - Sicherheitsbestimmungen




rechtlich-organisatorische Sicherheitsmaßnahmen

- ausdrückliche Aufgabenverteilung- ausschließlich auftragsgemäße Datenverwendung- Belehrungspflicht der Mitarbeiter- Regelung der Zugriffs- und Zutrittsberechtigungen- Vorkehrungen gegen unberechtigte Inbetriebnahme von Geräten

- Dokumentationspflicht zur Kontrolle und Beweissicherung

- Protokollierungspflicht



Protokollierungsanforderungen I (§ 14)

Protokollierungspflicht hinsichtlich Datenverwendung (Abs. 2 Z 7)

Protokollierungspflicht nicht registrierter Übermittlungen (Abs. 3)

betrifft auch Abfragenmüssen "im Hinblick auf die Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können"

betrifft nur auskunftspflichtige DatenanwendungenÜbermittlungen gemäß Standard- oder Musterverordnung sind nicht zu protokollieren



Protokollierungsanforderungen II (§ 14)

- Protokolldaten dürfen nur eingeschränkt verwendet werden(zur Kontrolle der Zulässigkeit der Verwendung)

- unzulässig wäre die Kontrolle der Betroffenen oder der Mitarbeiter

- zulässig ist die Verwendung zur Aufklärung von Straftaten, die mit mehr als fünfjähriger Freiheitsstrafe bedroht sind

- Aufbewahrungsdauer ist drei Jahre, sofern gesetzliche Bestimmungen nichts anderes vorsehen

- Frühere Löschung zulässig, wenn betroffene Datenanwendung ebenfalls gelöscht ist




Haftung bei bei Datenmissbrauch

OGH Entscheidung (9 Ob 126/12s 16.11.2012)

Ausgangslage

Ein Redakteur der Tageszeitung A versuchte durch "erraten" von Benutzerkennung/Passwort in das interne Redaktionssystem von TZ B zu gelangen.

Der Versuch misslang, auf Grund der IP-Adresse konnte der Standort des Täters ermittelt werden.

Die Aktion führte zur fristlosen Entlassung des Mitarbeiters.

TZ B verlangt Unterlassungsklage

TZ B verlangt jedoch von TZ A eine Unterlassungserklärung. Diese wird verweigert, da Redakteur nicht im Auftrag gehandelt habe, sich die TZ A von diesen Aktivitäten distanziere und daher der Redakteur nicht als Besorgungsgehilfe anzusehen ist.

Sicherheitsmaßnahmen - Haftung




Haftung bei bei Datenmissbrauch II

OGH Entscheidung (9 Ob 126/12s 16.11.2012)

Entscheidung

HG gibt Klage statt, Vorinstanz (OLG) weist Klage ab, OGH gibt Klage statt, Eingriff ist nach Besitzstörung und nicht nach Schadenersatz zu beurteilen.

Eingriff in IT-System ist Besitzstörung

Eingriff war im Interesse der TZ A

Arbeitgeber hat Weisungs- und Kontrollrechte, kann sich Mitarbeiter aussuchen und Tätigkeitsbereich festlegen

Zur Verfügung stellen von Computer und Internetanschluss reicht schon für Verantwortung der TZ A

Unternehmen hat Besitzstörung - auch ohne ausdrückliche Anordnung - zu verantworten



Haftung bei fehlendem Zugriffsschutz II

OGH Entscheidung 6 Ob 25/13i 27.2.2013

Sachverhalt:Ein Arzt ließ seinen PC bei Verlassen seines Dienstzimmers ungesichert eingeschalten und ermöglichte das Abrufen der Krankenakte durch andere im Zimmer aufhältige Personen.

Entscheidung:Der unauthorisierte Zugriff auf die Patientenakte wird als Störhandlung qualifiziert, die nicht nur der unmittelbare Störer, sondern auch der Arzt, der diese Handlung ermöglichte zu verantworten hat.

OGH verweist ausdrücklich auf 9 Ob 126/12s 16.11.2012 (Redaktionsentscheidung)





Welche Rechtsmittel / Sanktionen sind bei Verletzungen des DSG möglich?

- Unterlassungsanspruch- bei öffentlich-rechtlich tätigen Auftraggebern

(Behörden, ...):vor der Datenschutzkommission (Entscheidungen jedoch nicht direkt durchsetzbar)

- bei privat-rechtlich tätigen Auftraggebern (Unternehmen, ...):Auskunftsfragen des Betroffenen (vor DSK, exekutierbar)alle anderen Fragen: vor den Zivilgerichten (LG)

- Schadenersatz- Ersatz materieller und "immaterieller" Schäden,

Zivilgerichte (LG)- strafrechtliche Verfolgung- Verwaltungsübertretung

- BG gegen den unlauteren Wettbewerb (UWG)

DSG 2000 - Kontroll- & Strafbestimmungen



Schadenersatz (§ 33)schuldhaftes Verhalten notwendig

Verletzung von Bestimmungen des DSG 2000, tatsächlich erlittener materieller Schaden ist zu ersetzen

bei Verletzungen der Geheimhaltung, die geeignet sindden Betroffenen bloßzustellen, gebührt Entschädigung.Entschädigungsanspruch ist nicht beziffert, es wird aber auf das Mediengesetz Bezug genommen [MedienG § 7: bis 20.000 Euro]

Bei Veröffentlichungen in einem Medium gilt wie bisher das Mediengesetz

Entschädigungsanspruch ist gegenüber dem Auftraggeber geltend zu machen (es muss eine Datenanwendung vorliegen!)


Webseiten, Newsletter MedienrechteMail, sonstige Informationsdienste, Infrastruktur DSG 2000

wenn jedoch ISP (Internet Service Provider) TKG 2003 + DSG 2000



DSG - Schadenersatz

OGH 6 Ob 275/05t 5.12.2005 ("Verdienstentgang")

Ausgangslage- Anwalt gelangte wegen Verzug der Rückzahlung eines

Bürgschaftskredits auf UKV-Liste der Banken

- Geschäft mit einer Kammer kam auf Grund dieses Eintrags nicht zustande (Umfang 70.000,- EUR)

- Anwalt forderte von Bank Schadenersatz in Höhe von 30.000 EUR

OGH-Entscheidung- Eintrag ohne vorherige Verständigung unzulässig

- OGH beruft sich ausdrücklich auf DSK-Bescheid

- Schadenersatz besteht daher zu Recht (zugesprochen 25.000 EUR)

- Erstgericht wird Aufteilung zwischen materiellen/immateriellen Schaden entscheiden müssen



DSG 2000 - Schadenersatz

OGH 6 Ob 247/08d 17.12.2009 ("Bonitätsinformationen")

Ausgangslage- Betroffener wurde bei angeblich unzulässiger Mülldeponierung

gefilmt- privater Wachdienst forderte 100 Euro "Entschädigung",

Forderung wurde Inkassodienst übergeben- nach Weigerung der Zahlung wurde Zahlungsanstand an

Wirtschaftsauskunftsdienst gemeldet- Betroffener erfuhr davon im Rahmen eines Telekom-Geschäfts

Entscheidung (rechtskräftig)- Eintrag ohne vorherige Verständigung ist rechtswidrig- Eintragung geeignet die Kreditwürdigkeit zu beschädigen- auch wenn kein unmittelbarer Schaden nachweisbar, besteht

Anspruch gem. § 33 DSG- Betrag von 750,- Euro in Hinblick auf geringe Zahl der

Datenübermittlungen angemessen



DSG 2000 - Schadenersatz

LG Innsbruck 12 Cg 72/10h 4.1.2011 ("Mehrkosten")

Ausgangslage- Diverse Firmen (Mobilunternehmen, Möbelhaus,

Versandhändler) lehnen Geschäftsbeziehung wegen Exekutionsdaten ab

LG-Entscheidung- Verwendete Daten stammen aus Exekutionsdatenbank der

Justiz

- abgelehnte Geschäfte führen zu einem Schaden (Mehrkosten: 56,- bei Möbelhaus, 2.274,35 höhere Mobilfunkgebühren, ...)

- 1.000,- Euro immaterieller Schadenersatz wegen Kreditschädigung

- mehrfacher Rechtsbruch: Informationspflicht nicht erfüllt, Widerspruch nicht nachgekommen, keine Löschung der Daten, seit 2006 keine Exekutionsverfahren anhängig, alle Exekutionsverfahren eingestellt

- Kläger wurde Unterlassungsanspruch und Schadenersatz zugesprochen (Euro 3.330,35)



Gewinn- oder Schädigungsabsicht (DSG 2000 § 51)

- Klarstellung der Deliktvoraussetzungen: Vorsatz der Bereicherung von sich oder eines Dritten oder Absicht einer sonstigen Schädigung der Geheimhaltungsrechte anderer

Delikt begeht, wer ...- widerrechtlich ihm zugängliche Daten benutzt oder- Daten widerrechtlich beschafft oder - anderen widerrechtlich zugänglich macht oder- widerrechtlich öffentlich macht

Strafausmaß: bis ein JahrDelikt ist Offizialdelikt [bis 31.12.09: Privatanklagedelikt]Strafbestimmung gilt subsidiärbetrifft berufsmäßig mit Daten Beschäftigte und andere

DSG 2000 - Strafbestimmungen



DSG-Strafbestimmung als totes Recht?

Anzeigen Gerichtsverfahren Urteile2006 20 BAZ 20 ST 11 BG 13 LG 02007 20 23 8 5 02008 68 BAZ+ST 2 1 02009 10 BAZ 5 ST 2 1 12010 - - - - 02011 - - - - -

Quelle: Auskünfte des BMJ auf parlamentarische AnfragenBAZ = Bezirksstaatsanwaltschaft, ST = Staatsanwaltschaft bei Landesgericht, BG = Bezirksgericht, LG = Landesgericht, Zahlen umfassen die jeweils anhängigen Verfahren eines Jahres, können auch aus Vorjahren stammen bzw. ins nachfolgende Jahr "mitgenommen" werden




Strafbestimmungen bei öffentlich-rechtlichen Organen

Missbrauch der Amtsgewalt (§ 302 StGB)Strafrahmen: bis 5 Jahre

Verletzung des Amtsgeheimnisses (§ 310 StGB)

Strafrahmen: bis 3 Jahre

denkbar auch:Falsche Beurkundung und Beglaubigung im Amt (§ 311 StGB)

Strafrahmen: bis 3 Jahre

Hier ist Vorsatz Voraussetzung für die Tatverfolgung





Verwaltungsstrafen Tatbestände I (§ 52 Abs. 1)[=deliktisches Handeln]

- widerrechtliches Verschaffen eines Zugangs zu einer DA- widerrechtliches Weiterbenutzen eines Zugangs zu einer

DA- Übermittlung unter Verletzung des Datengeheimnisses- Weiterverwendung von Daten entgegen eines

rechtskräftigen Urteils/Bescheids- widerrechtliches Löschen von Daten (§ 26 Abs. 7)

Strafrahmen: bis 25.000,- Eurozuständige Strafbehörde für § 52: Bezirkshauptmannschaft bzw. Magistrat in der Auftraggeber seinen Sitz hat, bei ausländischen Auftraggebern: Verwaltungsbehörde in der DSK Sitz hat (derzeit Magistratische Bezirksamt für den 1. Wiener Gemeindebezirk)

Anzeigen nach § 52: Verjährungsfrist nach VStG § 31 (sechs Monate) ist zu beachten!



Verwaltungsstrafen Tatbestände IIa (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte]

1. nicht Erfüllen Meldepflicht gemäß den §§ 17 oder 50c oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt2. Daten ins Ausland übermittelt oder überlässt, ohne Genehmigung gemäß § 13 Abs. 13. Verstoß gegen Zusagen an oder Auflagen der DSK (gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1, § 13 Abs. 1 oder § 21 Abs. 2) 4. Offenlegungs- oder Informationspflichten gemäß §§ 23, 24, 25 oder 50d verletzt 5. § 14 Sicherheitsmaßnahmen gröblich außer Acht lässt





Verwaltungsstrafen Tatbestände IIb (§ 52 Abs. 2)[=Unterlassungen, Gefährdungen, sonstige Delikte]

6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Frist nicht löscht.

Strafrahmen: bis 10.000,- Euro




Verwaltungsstrafen Tatbestände III (§ 52 Abs. 2a)[=Gefährdung von Betroffenenrechten]

neue Strafbestimmung bei verspäteter Erfüllung der Betroffenenrechte nach §§ 26, 27, 28, Strafrahmen bis 500,- Euro (Abs. 2a)

Strafrahmen: bis 500,- Euro

Verfallbestimmungen § 52 Abs. 4Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten können bei Verletzungen nach § 52 Abs. 1 und 2 als verfallen erklärt werden



mögliche Anwendbarkeit auf unsere Beispiele

- Private Schuldnerfahndung ("seastar"):rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch)verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung)verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung)Bloßstellen des Betroffenen ? (Medienrecht)widerrechtlich veröffentlicht § 1/§ 8 ? (§ 51 Strafbestimmung)

- Telefonbuchdaten mit Luftbild verknüpft:fehlender berechtigter Zweck § 6 ? (Unterlassungsanspruch)verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung)

- Diskussionsforum wird fehlerhaft veröffentlicht:nicht Beachten von Sicherheitsmaßnahmen § 14 ? (§ 52 (2) Verwaltungsübertretung)

- Verwertung der US-Straftäterdatei in Österreich:fehlender berechtigter Zweck § 6 ? (Unterlassungsanspruch)verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung)




Anwendbarkeit auf unsere Beispiele II

- Einbindung des LikeIt-Buttons ohne Zustimmung des Benutzers:rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch)verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung)verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung)Bloßstellen des Betroffenen ? (Medienrecht)

- Veröffentlichung von Webzugriffen (Webstatistiken):rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch)verletzen Informationspflicht § 24 ? (§ 52 (2) Verwaltungsübertretung)verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung)Bloßstellen des Betroffenen ? (Medienrecht)

- Veröffentlichung von Veranstaltungsanmeldungen:rechtswidrige Datenverwendung § 8 ? (Unterlassungsanspruch)verletzen Registrierungspflicht § 17 ? (§ 52 (2) Verwaltungsübertretung)



ARGE DATEN

Wie kann die Rechtmäßigkeit einer Datenverarbeitung abgeschätzt werden?

(1) Eignung

Die Verwendung von Daten muss geeignet sein um ein bestimmtes, konkretes Ziel (Zweck) zu erreichen.

(2) Erforderlichkeit

Es gibt keine weniger invasive Lösung zur Erreichung des bestimmten Ziels (Zweckes).

(3) Verhältnismäßigkeit

Die Verwendung der Daten führt zu keiner Verletzung höherwertiger Schutzrechte (Grundrechte).




Privatsphäre-Bestimmung

E-CommerceG

sonstige Bestimmungen

Weitere Bestimmungen

TelekommunikationsG 2003

Weitere Entscheidungen/Beispiele



§ 1328a ABGB Privatsphärebestimmung(1) Wer rechtswidrig und schuldhaft in die Privatsphäre eines Menschen eingreift oder Umstände aus der Privatsphäre eines Menschen offenbart oder verwertet, hat ihm den dadurch entstandenen Schaden zu ersetzen. Bei erheblichen Verletzungen der Privatsphäre, etwa wenn Umstände daraus in einer Weise verwertet werden, die geeignet ist, den Menschen in der Öffentlichkeit bloßzustellen, umfasst der Ersatzanspruch auch eine Entschädigung für die erlittene persönliche Beeinträchtigung.

Abs.2 definiert Substitutionsklausel

- Bestimmung ist nicht anzuwenden, wenn andere Bestimmung gilt, etwa Datenschutz- oder Medienrechtsbestimmungen

Schutz der Privatsphäre - §1328a ABGB



Änderungen durch § 1328a•Auffangtatbestand für bisher nicht erfasste Verletzungen•Schadenersatz für "immaterielle" Schäden

Drei Verletzungsarten•Eingreifen (Eindringen in die Privatsphäre)•Offenbaren an Dritte (nicht nur Öffentlichkeit)•Verwerten (wirtschaftlicher Vorteils durch Kenntisse aus

Privatsphäre)

Voraussetzungen für Schadenersatz nach § 1328a

•Rechtswidrigkeit•Verschulden (leichte Fahrlässigkeit genügt)•Erheblicher Eingriff

Schutz der Privatsphäre - § 1328a ABGB



Höhe des Schadenersatzes•keine grundsätzliche Beschränkung der

Entschädigungshöhe•Orientierung am Medienrecht•keine Untergrenze wie im ursprünglichen Entwurf

vorgesehen

Ausnahmen•Veröffentlichungen in Medien sind nicht erfasst

( Mediengesetz)•Betriebs- und Geschäftsgeheimnisse sind ausgenommen

( §§ 122-124 StGB)•speziellere Regelungen gehen vor (z.B. § 33 DSG)

Im Internet wird die Bestimmung dann Anwendung finden, wenn keine

Datenanwendung vorliegt

Schutz der Privatsphäre - § 1328a ABGB



Schutz der Privatsphäre - Beispiele

Beispiele für Eingriffe in die Privatsphäre• private Videoüberwachung, Personenortung,

Radarüberwachung• Bekanntgabe persönlicher Daten im Internet• Illegales Abhören von Telefonaten oder

Gesprächen• Hacken von privaten Computern• Missbrauch von Foto-Handys• Überwachung des Standortes eines

Mobiltelefonnutzers ohne dessen Zustimmung• Offenbaren/Verwerten von Urteilen

• BG Josefstadt 6C188/09p 8.7.2009 EV gemäß § 382g EO wegen Veröffentlichung privater Daten in einem Blog(begründet auf § 1328a ABGB "Cyberstalking")



Eurobarometerumfrage 2011

Datensicherheit und Internet (EU27 / AT / max / min)

- 66% der Befragten verwenden Internet

- Schutz vor Spam: 42% EU27 / 46% AT / 72% DK / 19% PT

- achten auf sichere Datenübertragung: 40% EU27 / 35% AT / 57% IE

/ 13% BG

- Löschen Cookies: 35% EU27 / 39% AT / 53% LU,NL / 10% RO

- suchen eigene Daten mittels Suchmaschinen: 14% EU27 / 15% AT

/ 24% EE / 8% RO

- verwenden "dummy" Mailaccount: 12% EU27 / 25% AT / 25% AT

/ 6% MT

- keine Sicherheitsaktivitäten: 15% EU27 / 12% AT / 7% DK,NL

/ 34% LT

Länder mit höchsten Internet-Datenschutzbewusstsein:Deutschland, Niederlande, Schweden, Österreich



Kommunikations-Rechtsrahmen der EU- 2002 verabschiedet, 19.12.2009 geändert (2009/136/EG)- in Ö durch TKG 2003 (BGBl I 70/2003) umgesetzt,

Änderungen 21.11.2011 in (BGBl I 102/2011) umgesetzt- wir beschränken uns auf 2002/58/EG und 2002/22/EG

(Kommunikations-Datenschutz-RL & Universaldienst-RL) bzw. 12. Abschnitt des TKG 2003

Ziel der K-DS-RL war Regelung spezifischer Kommunikations-Datenschutzanforderungen und -

situationen

- 2006 durch Vorratsdatenspeicherungsrichtlinie (2006/24/EG) ergänzt (in Ö 5/2011 umgesetzt, BGBl I 27+33/2011)

- wichtigste Änderungen vom 19.12.2009/EG / 21.11.2011/TKG

- Verständigungspflicht der Provider bei Datenverlust (2002/58/EG)

- Ausschlußmöglichkeit von Urheberrechtsverletzern nach "unabhängigen" und "fairen" Verfahren (2002/22/EG)

- Zustimmungspflicht bei "Cookie"-Einsatz (2002/58/EG)

elektronische Kommunikation und Datenschutz



Wer/Was fällt unter das TKG 2003? (§ 3 TKG 2003)Betreiber(Bereitsteller/Anbieter) von Kommunikationsnetzen und/oder Kommunikationsdiensten

Kommunikationsnetz = Infrastruktur zur Übertragung von Signalen

Kommunikationsdienst = gewerbliche Dienstleistung mittels Übertragung von Signalen über Kommunikationsnetze


Betriebe, die auch Telefonvermittlungsanlagen betreiben oder Datenleitungen zur Vernetzung ihrer Standorte nutzen, fallen nicht darunter!

Einzelne Regeln betreffen alle Nutzer elektronischer Dienste z.B elektronische Werbung (§ 107), Löschungs-verpflichtung fehlerhaft zugestellter Nachrichten (§ 93 Abs. 4)

TKG 2003 regelt Datenschutzrechte der Benutzer (Nutzer/ Teilnehmer) gegenüber Betreibern (Bereitstellern/Anbietern)!Neu mit Novelle 102/2011: Dienste der

Informationsgesellschaft sind von Datenschutzregeln betroffen (§ 96 Abs. 3)



DSG 2000• RL 95/46/EG• alle personen-

bezogenen Daten• alle Auftraggeber /

Betroffene• subsidiär

anwendbar

TKG 2003• RL 2002/58/EG• Stammdaten,

Verkehrsdaten, Inhaltsdaten, Standortdaten

• Betreiber iS TKG / Teilnehmer/Nutzer(Benutzer)

• Datensschutz-Bestimmungen §§ 92-107 + § 108 (Strafbestimmung)

Vergleich TKG / DSG




Geschützte Datenarten (§ 92 TKG 2003)Stammdaten

Name, akademischer Grad, Anschrift, Teilnehmernummer, Konaktdaten, Vertragsdaten, Bonität, "öffentliche IP-Adresse" wenn Teilnehmer fix zugeordnet

Verkehrsdatenz. B. Rufnummern, Datum, Zeit, Dauer, leistungsabhängige Entgelte, Funkzelle, inkl. "Zugangsdaten"

Inhaltsdatenz. B. das geführte Telefonat, Fax, SMS, eMail-Inhalt, Webinhalte, ...

Standortdatengenaue Position einer Kommunikationsendeinrichtung (kann bis auf wenige Meter genau bestimmt werden), im TKG nur für Kommunikationsnetze und -dienste definiert, nicht für Dienste der Informationsgesellschaft

TKG 2003 - Datenschutzbestimmungen



Weitere Dienste- und Datenarten definiert(§ 92 TKG 2003)Im Zuge der Regelung der Vorratsspeicherung wurden zahlreiche weitere Begriffe eingeführt

- Teilnehmerkennung (Abs. 3 Z 2a) - e-Mail Adresse (Abs. 3 Z 2b)- erfolgloser Anrufsversuch (Abs. 3 Z 8a)- elektronisches Postfach (Abs. 3 Z 11)- Internet Telefondienst (Abs. 3 Z 13)- Internet Zugangsdienst (Abs. 3 Z 14)- elektronische Post [jede Form elektronisch versandte

Nachrichten] (Abs. 3 Z 10)- e-mail, e-Mail-Dienst [auf Simple Mail Transfer Protocol,

SMTP beschränkte elektronisch versandte Nachrichten] (Abs. 3 Z 12,15)


Welche Datenart sind einzelne IP-Pakete oder Weblinks?



Kommunikationsdaten - Beispiel

Was ist ein Weblink / eine URL ?

- http://www.orf.at

- https://eservices.wuestenrot.at/eService/screen/ anmeldung_ks210?_view=KS210_input_Komm&KS210_input_Komm_ausweis_art=RP&KS210_input_Komm_ausw_nr=4711&KS210_input_Komm_ausw_behoerde=BPD+Gossing&KS210_input_Komm_auswdat_tag=01&KS210_input_Komm_auswdat_monat=01&KS210_input_Komm_auswdat_jahr=33&KS210_input_Komm_handy=0676+454545+&KS210_input_Komm_email=campus%40gmx.at&KS210_input_Komm_kennwort=MANADA&KS210_input_Komm_vertragsnr=&KS210_input_Komm_newsletter=0&checkAGB=true&KS210_input_Komm_agb=on&KS210_input_Komm_KS210_input_Komm_forward=Weiter&_submit=true- Google-URL:http://o-o.resolver.o.213.235.197.221.3d6303155122db29.l.google.com/

- Newsletter-URL:http://newsletter.avenum.com/app/include/ctr.php?ID=5O6619O128O214&[email protected] http://news.wko.at/sys/rd.aspx?sub=Q1PZGGK_30WCLYN&lnk=G4DT24B



Kommunikationsgeheimnis (§ 93 TKG 2003)

schützt Inhaltsdaten, Verkehrsdaten und Standortdaten, inklusive erfolgloser Verbindungsversuche[Stammdaten im Rahmen des DSG 2000 geschützt]

Verpflichtet Betreiber und deren Personal zur Geheimhaltung: gerichtliche Strafandrohung (§ 108 TKG 2003)

Mithören, Abfangen, Aufzeichnung oder sonstige Überwachen von Nachrichten durch andere als die Benutzer ist unzulässig (Zustimmung aller Beteiligten erforderlich), zufällig aufgenommene Nachrichten müssen gelöscht werden, gilt für alle "Anwender" (Abs. 4)

Ausnahmen (Abs. 3):- Rückverfolgung von Notrufen- Aufzeichnungen im Rahmen einer Fangschaltung- Überwachung, Auskunftserteilung bei

Nachrichtenübermittlung (inkl. Vorratsdaten)- wenn technisch für Diensterbringung erforderlich (z.B.

Mailbox)




Datenschutz-Grundsätze (§ 96 TKG 2003)Verwendung der Daten nur für Zwecke der Besorgung eines Kommunikationsdienstes (Abs. 1)

Übermittlung (Abs. 2) nur, wenn - notwendig für Diensterbringung oder - mit Zustimmung des Betroffenen für

Vermarktungszwecke oder Dienste mit Zusatznutzen (jederzeit widerrufbar)

Löschung (Abs. 2) der Daten sobald wie möglichz. B.: Verkehrsdaten sind zu löschen, wenn für Dienst

oder Abrechnung nicht mehr erforderlich[Ausnahmen der Vorratsspeicherung sind zu

beachten §§ 99, 102a]

nähere Regelung der Datenverwendung in AGB möglich




Datenschutz-Grundsätze (§ 96 TKG 2003) IIErweiterte Informations- und Zustimmungsverpflichtungen bei Diensterbringung (gelten für Betreiber öffentlicher Kommunikationsdienste und Anbieter eines Dienstes der Informationsgesellscht (siehe ECG) (Abs. 3)

Informationspflichten: - welche personenbezogene Daten Betreiber/Anbieter

ermittelt, verarbeitet und übermittelt (betrifft auch Standort-/Geo-Daten)

- Rechtsgrundlage und Zweck der Datenverwendung- Speicherdauer der Daten

Information ist in geeigneter Form, insbesondere mittels AGBs, spätestens bei Beginn einer Rechtsbeziehung zu erfolgen [z.B. vor Setzen oder übermitteln von Cookies, ..]



Datenschutz-Grundsätze (§ 96 TKG 2003) IIIAbs. 3 - Fortsetzung

Ermittlung von Daten nur, wenn - Teilnehmer oder Nutzer Einwilligung erteilt hat oder - der alleinige Zweck die Übertragung einer Nachricht

im Kommunikationsnetz ist oder- wenn dies unbedingt erforderlich ist, damit ein

Dienst der Informationsgesellschaft, den der Teilnehmer oder Benutzer ausdrücklich gewünscht hat erbracht werden kann [z.B. Session-Cookie für Online-Shop, GPS-Daten für location based services, ...]




Aufruf von Websites mit Facebook Like Plugin nachdem die Facebook-Website aufgerufen wurde aber keine Registrierung erfolgte (kein Klick auf das Plugin):

xxxx.xxxx.xx

Schwangerschaftsnetz.tld

Technische Betrachtung – Facebook Like

Websites mit Facebook Like Plugin:

Glaubensgemeinschaft.tld

PolitischePartei.tld

ID: dTrGTwDiSl75GjJ73KORYiR1

Facebook.com

Websiteaufrufe automatische

Mitaufrufe – einzigartige ID wird jedesmal übermittelt

in Computer des Nutzers gespeichert: ID: dTrGTwDiSl75GjJ73KORYiR1




Datenschutzfragen Internettechniken

Einsatz von Tracking-Techniken - Tracking: Instrumente um Benutzer(verhalten) zu

identifizieren, zu verfolgen und zu analysieren

- verschiedenste Namen/Techniken: individualisierte Links, Cookies, Web-Beacons, Web-Bugs, Spyware, ...

Typische Tracking-Informationen- Wie lang, wann wurde welche Seite, in welcher

Reihenfolge angesehen ("Surfverhalten")?

- Welche Waren/Artikel wurden in welcher Kombination bestellt?

- Was interessiert den Benutzer (Themen)?




Tracking II

Probleme- Umfang der erhobenen Daten (inkl. sensibler Daten) - meist

bestimmbare personenbezogene Daten- Genauigkeit der Zuordnung zu bestimmten Personen

(Benutzer oder nur Teilnehmer)- Durchschaubarkeit (wird sich auch an Kenntnis des

Zielpublikums orientieren müssen)- Zustimmung zu den Tracking-Maßnahmen (ausdrückliche /

konkludente Zustimmung)- webübergreifendes / unternehmensübergreifendes Tracking- Vermeidung der nachträglichen Benutzeridentifikation



Demobeispiel Onlinetracking

Was passiert bei Aufruf einer Website?

Beispiel: http://1way2sex.net

Was wurde tatsächlich aufgerufen?m1.webstats.motigo.com, vote4me.de, www.googleanalytics.com, www.toplistenservice.de, www.privatamateure.com, www.cyonix.to, ...

Betreiber dieser Server wurden vom Benutzer-Interesse an http://1way2sex.net informiert,

kann vom Benutzer nicht beeinflusst werden




Cookie-VerwendungPrivacy-Gefährdungspotentiale- gemeinsame Nutzung des Computers durch mehrere

Personen (etwa wenn Passwörter oder persönliche Angaben in Coockies hinterlegt werden)

- Ausspähen von Interessensprofilen

- Einsatz von Cookie-Servern / Cookies in Werbebannern

- Verwendung über Servergrenzen hinweg

2002/58/EG (Kommunikations-Datenschutzrichtlinie)

- Cookies sind grundsätzlich zulässig (EG 25)

- dürfen nicht überrumpelnd eingesetzt werden

- Bei Übergang auf Seiten mit Cookies ist das anzuzeigen

- Verwendung von Cookies schon auf der "Homepage" wäre unzulässig



Stammdaten (§ 97 TKG 2003)

Name, akademischer Grad, Anschrift, Teilnehmernummer, Information über Art des Vertrags, Bonität, "öffentliche IP-Adresse" (unter bestimmten Umständen)

Verwendungszweck:Handhabung des Vertrages mit dem TeilnehmerErstellung von TeilnehmerverzeichnissenErteilung von Auskünften an Notrufträger

Löschungspflicht nach Beendigung der Rechtsbeziehungen!

[Weitreichender als bei sonstigen Auftraggebern]Ausnahmen: Entgeltverrechnung, laufende

Beschwerden oder gesetzliche Verpflichtungen




Verkehrsdaten (§ 99 TKG 2003)besonders schutzwürdig

- „Daten, die zum Zwecke der Weiterleitung einer Nachricht an ein Kommunikationsnetz oder zum Zwecke der Fakturierung dieses Vorgangs verarbeitet werden“

grundsätzlich keine Speicherung, Ausnahmen:- Verrechnung- Entscheidung in Streitfällen – Übermittlung an die

Schlichtungsstelle- seit 1.4.2012 Vorrats-Speicherpflicht für Überwachung

bis 6 Monateansonsten: keine starre Frist für die Speicherung

Auswertungsverbot- aber: kann durch Zustimmung des Teilnehmers für Marketingzwecke und Dienste mit Zusatznutzen erfolgen




Inhaltsdaten (§ 101 TKG 2003)

Inhalte übertragener Nachrichten

keine Speicherung zulässig, außer wenn die Speicherung Dienstmerkmal ist (z. B. Mailbox)

unverzüglich nach Diensterbringung zu löschen




Standortdaten (§ 102 TKG 2003)

Komplizierte Regelung „andere Standortdaten als Verkehrsdaten“

- Information über Funkzelle: Verkehrsdaten- genauere Ortsangaben sind: „andere Standortdaten“

Verarbeitung nur- anonymisiert (etwa zur Ressourcenplanung) oder- mit jederzeit widerrufbarer Zustimmung des Betroffenen

("location based services")

muss auch zeitweise deaktivierbar sein

Datenart im Zusammenhang mit Anbietern von Kommunikationsdiensten im Sinne des TKG 2003 schwindende

Bedeutung, da "location based services" meist über Drittanbieter ("Apps") erbracht werden




SPAM-ProblemWas ist Spam?

- unerbetene elektronische Nachricht: unerwünschte Werbung (EU, RL Art. 13), in Österreich zusätzlich Massennachricht

Umfang von Spam- heute: 70-80% aller Mails Spam

(2010: 90+%, 2004: 75%, 2001: 7%)

- Relation 2001: auf 14 erwünschte Mails kam ein Spam-Mailheute: auf ein erwünschtes Mail kommen 3 Spam-Mails

- Response von 1:1,000.000 reicht für "erfolgreiche" Aussendung7% der Mailnutzer reagieren zumindest einmal im Jahr auf Spam

Gefährdungspotentiale- Belästigung mit unerwünschen Inhalten

- Fehler bei Annahme/Ablehnung von Mails

- Beschränkung der Kommunikation aus Angst vor Spam

- Kosten (Übertragung, Beseitigung, Filterkonfiguation, Zeitverlust)





SPAM-Problem - Ausmaß

Quelle: Symantec



Unerbetene NachrichtenKommunikations-Datenschutzrichtlinie 2002/58/EG Art.13

- RL sieht Opt-In bei Werbung vor- umfasst automatische Anrufsysteme ohne menschlichen Eingriff

(automatische Anrufmaschinen), Faxgeräte, elektronische Post- Ausnahme bei Kunden zur Bewerbung ähnlicher Produkte- trifft keine Aussage zu eMail-Massensendungen oder "normalen"

Telefonanrufen

Komplexe Regelung in TKG 2003 § 107 - sieht ebenfalls Opt-In für Werbung vor- umfasst alle Telefonanrufe, Faxgeräte, elektronische Post inkl.

SMS- Ausnahme bei Kunden zur Bewerbung ähnlicher Produkte,

jedoch ist Sperrliste (gem. § 7 Abs. 2 ECG) zu beachten- bei elektronischer Post & SMS zusätzlich jede Massensendungen

verboten- zulässig unerbetene Anrufe/Fax zu anderen Zwecken, etwa

Meinungsbefragung





Unerbetene Nachrichten IIRegelung in TKG 2003 § 107

- Identität des Absenders muss offen gelegt werden- Möglichkeit zur Einstellung der Zusendungen muss angeboten werden- bei erlaubten Werbeanrufen, darf

Anrufnummer weder unterdrückt, noch verfälscht sein,ECG-Bestimmungen nicht verletzt werden,nicht zum Besuch ECG-widriger Webseiten aufgefordert werden

- Anzeigemöglichkeit bei unerbetenen Nachrichten bei Fernmeldebüros (Verwaltungsstrafe bis 37.000 Euro bei Spam, 58.000 bei Anrufen), 2012 (2011) 344 Anzeigen, 59 (35) Strafverfahren, Strafe Schnitt 196 (71) Euro

- Ort der "Tatbegehung" ist bei inländischen "Tätern" Sitz des Täters, bei anderen, der Ort an dem die Nachricht den Teilnehmer erreicht

Sonstige Maßnahmen gegen Spam- anwaltliche Abmahnungen: Unterlassungsanspruch

- Spamfilter, Blocking-Listen und andere technische Maßnahmen: jedoch! Gefahr des Eingriffs in Kommunikation

Regelung gilt für alle, nicht nur Betreiber!



Sonstige Datenschutzbestimmungen im TKG

- Einrichtung und Betrieb technischer Überwachungsvorrichtungen (§ 94)

- Einzelentgeltnachweis (§ 100)kostenloser, elektronischer Einzelentgeltnachweis, auf Verlangen entgeltfrei in Papierform

- Telefonverzeichnis (§ 103)taxative Aufzählung der Datenarten, Verbot der Auswertung der Teilnehmerdaten (für den Anbieter)

- Anzeige der Rufnummer (§ 104)- Unterdrückung des Versendens einer Rufnummer (§ 104)

- Anrufweiterleitung (§ 105)- Fangschaltung (§ 106)




Sicherheit im Netzbetrieb (§ 95 TKG 2003)

2002/58/EG (Kommunikations-Datenschutz-RL, EG20, Art. 4)

- grundsätzliche Anforderung ähnlich der allg. DS-Richtlinie:angemessen, Stand der Technik, wirtschaftlich vertretbar

- in TKG § 95 Verweis auf DSG § 14

zusätzlich: - Informationspflicht des Nutzers/Teilnehmers über

besondere Sicherheitsrisken und deren Vermeidung- Information über Sicherheitsrisken hat kostenfrei zu

erfolgen (abgesehen von Empfangskosten)

Was ist Stand der Technik im Internet?- im Zusammenhang mit Internet sind SSL128 (TSL,

"https://") und VPN (Virtual Private Network) sind "Stand der Technik"




Strafbestimmung TKG 2003 § 108Verletzung von Rechten der Benützer

Strafandrohung für:- Information an Unberufene über Tatsache und Inhalt eines

Telekommunikationsverkehrs weitergibt (bzw. dazu Gelegenheit gibt, selbst wahrzunehmen)

- Nachricht fälscht, unrichtig wiedergibt, verändert, unterdrückt, unrichtig vermittelt oder unbefugt dem Empfangsberechtigten vorenthält

- Strafrahmen: Freiheitsstrafe bis zu drei Monaten oder mit Geldstrafe bis zu 180 Tagessätzen

- Täter ist nur auf Antrag des Verletzten zu verfolgen.- betrifft Betreiber und sein Pesonal (§ 93 Abs. 2)

- Strafdrohungen für sonstige Nutzer von Kommunikationsdiensten in einem umfassenden Cybercrimepaket definiert (u.a. § 119 StGB)




Wo lagen die Probleme der TKG-Bestimmungen vor 11/2011?

- strenge Datenschutzbestimmungen, aber eng definierter Anwendungsbereich (Betreiber von Kommunikationsnetzen und/oder Kommunikationsdiensten)

- reine Internet- und Smartphone-Dienste (etwa Geo-Apps, Communities/Netzwerke, Web2.0, Blog-Betreiber, "Portale", Online-Shops, Auktionsplattformen, Online-Datenbanken, ...) sind nicht erfasst

- für diese Dienste wurde zwar das E-Commerce-Gesetz geschaffen (Grundlage Richtlinie 2000/31/EG), hier finden sich aber keine Datenschutz-Bestimmungen

- für diese Dienste gilt somit das DSGunter Berücksichtigung - sofern anwendbar - die Kommunikations-Datenschutz-RL 2002/58/EG

eCommerce - Datenschutzbestimmungen

mit TKG-Novelle

102/2011

weitgehend saniert,

teilweise stre

nger als EG-

Richtlinie 2002/58/EG id

F

2009/136/EG



Grundlagen Österreich- E-Commerce-Gesetz – ECG, BGBl I 152/2001- Fernabsatzgesetz, BGBl I 185/1999 (geregelt im KSchG)- Mediengesetz, BGBl I 49/2005, 151/2005- Handelsrechts-Änderungsgesetz – HaRÄG, BGBl I

120/2005(geregelt im Unternehmensgesetzbuch)

Grundlagen EU- EG-Richtlinie 2000/31/EG "Richtlinie über den

elektronischen Geschäftsverkehr"

Regelung- regeln diverse Informations- und Auskunftspflichten bei

Onlinediensten gem NotifG 1999 § 1 Abs 1 Z 2

Dienste der Informationsgesellschaft



Geltungsbereich §§ 1ff ECG- geregelt wird elektronischer Geschäfts- und Rechtsverkehr- Zulassung von Diensteanbietern, Informationspflichten,

Abschluss von Verträgen, Verantwortlichkeit von Diensteanbietern (§ 1)

- von den Bestimmungen unberührt bleiben Belange des Abgabenwesens, des Datenschutzes und des Kartellrechts (§ 2)

-Dienst der Informationsgesellschaft (§ 3 Z 1): elektronisch im Fernabsatz auf individuellen Abruf des Empfängers (in der Regel) gegen Entgelt bereitgestellter Dienst, insbesondere

- Online-Vertrieb von Waren und Dienstleistungen,- Online-Informationsangebote,- Online-Werbung,- elektronische Suchmaschinen,- Datenabfragemöglichkeiten,- Dienste, die Informationen über ein elektronisches Netz

übermitteln, die den Zugang zu einem solchen vermitteln oder die Informationen eines Nutzers speichern (Access-, eMail-Dienste)

E-Commerce-Gesetz



Geltungsbereich §§ 1ff ECG II- Diensteanbieter (§ 3 Z 2): eine natürliche oder juristische

Person oder sonstige rechtsfähige Einrichtung, die einen Dienst der Informationsgesellschaft bereitstellt

- Nutzer (§ 3 Z 3): nimmt Dienst in Anspruch- Verbraucher (§ 3 Z 4): natürliche Person, die zu Zwecken

handelt, die nicht zu ihren gewerblichen, geschäftlichen oder beruflichen Tätigkeiten gehören

OGH 4Ob219/03i 1.6.2005 ("Online-Sexdienste")- Angeboten wurde Dialerzugang zu Porno-Webcams, geklagt

wurde mangelnde Auszeichnung gem. ECG

Entscheidung- Dienst im Sinne § 3 Z 1 ECG liegt bei Datenübertragung im Weg

einer bidirektionalen Punkt-zu-Punkt-Verbindung vor- Nutzer kann Dienst interaktiv nach seinen Bedürfnissen (zB

betreffend Zeit und Ort der Nutzung sowie Art des abgerufenen Inhalts) steuern

- trifft auf Live-Cam-Darbietungen zu

E-Commerce-Gesetz



Allgemeine Informationspflichten § 5 ECG

leicht verständliche und eindeutige Information zu:- Personenname oder Firmen-/Organisationsname- geographische (ladungsfähige) Anschrift- Kontaktdaten (inkl. eMail-Adresse)- evtl. zuständige Aufsichtsbehörde- evtl. FN-Nummer und Firmenbuchgericht- evtl. berufsrechtliche Vorschriften und Zugang- evtl. UID-Nummer- klare Preisauszeichnung!- Sonstige Informationspflichten bleiben unberührt!

Verstoß:- Verwaltungsstrafe § 26 ECG (bis 3.000,- Euro)- Wettbewerbsverletzung § 1 UWG

Bestimmung ist bei jedem Web-Angebot anzuwenden (nicht bloß Online-Shop)

E-Commerce-Gesetz



Zugang elektronischer Erklärungen (§ 12 ECG)

eMail gilt als zugegangen, wenn mit dessen Kenntnisnahme („Abruf“) unter gewöhnlichen Umständen gerechnet werden kann

- kann unterschiedlich bei Unternehmen und Privatpersonen sein

- Aber: Risiko der Übermittlung und des vollständigen Zugangs einer eMail beim Empfänger trägt der Absender

- Eventuell Prüf- und Sorgfaltspflichten des Empfängersregelmäßige Nachschau in eMailbox, Sicherstellung des Betriebs (Providerhaftung!)

Gegenwärtige eMail-Systeme kennen keine zuverlässigen Identifikations- und Authentifikationsmechanismen

- Zustelldienste mit elektronischer Signatur und personalisierten URLs sollen Abhilfe schaffen (siehe E-Government-Gesetz) z.B. http://www.e-zustellung.at/

E-Commerce-Gesetz



sonstige spezifische Diensteanbieter(§§ 13-17 ECG)

- Durchleitung von Informationen (§ 13) ("AccessProvider") umfasst auch kurzfristiges Zwischenspeichern, etwa eMail für die Dauer der Diensterbringung

- Suchmaschinenbetreiber (§ 14)- Caching- und Proxy-Dienste (§ 15)- Hosting-Dienste (§ 16) ("Hosting-Provider")

umfasst Bereitstellung von Speicherplatz für Webseiten, Blogs, aber auch nicht-öffentliche Datenbestände

- Link-Dienste (§ 17)Bereitstellen eines Informationszugangs durch Links

E-Commerce-Gesetz



Verantwortung spezifischer Diensteanbieter(§§ 13-14 ECG)

- Durchleitung von Informationen (§ 13) ("AccessProvider") umfasst auch technisch erforderliches Zwischenspeichern, etwa eMail

- Suchmaschinen (§ 14)

Keine Verantwortung unter bestimmten Umständen:1. die Übermittlung/Abfrage nicht veranlasst,2. den Empfänger der übermittelten/abgefragten

Informationen nicht auswähltund

3. die übermittelten/abgefragten Informationen weder auswählt noch verändert.

Auskunftspflicht im Fall § 13 gegenüber Gerichten zur Verhütung, Ermittlung, Aufklärung oder Verfolgung

gerichtlichstrafbarer Handlungen

e-commerce - Diensteanbieter



Verantwortung spezifischer Diensteanbieter II(§ 15 ECG)

- Zwischenspeicherung (Caching) von Informationen (§ 15)

Keine Verantwortung unter bestimmten Umständen:1. Keine Änderung der Information,2. Bedingungen zum Informationszugang werden beachtet

[z.B. kein allgemein zugänglich machen gesperrter Information],

3. Aktualisierung gemäß "Industriestandard" (?!),4. Technologien zum Sammeln von Informationen lt.

"Industriestandard" dürfen nicht beeinträchtigt werden (??) und

5. Unverzügliches entfernen der Information, wenn am Ursprungsort nicht vorhanden oder Gericht/Verwaltungsbehörde Sperre/Entfernung angeordnet hat




Verantwortung spezifischer Diensteanbieter III(§§ 16-17 ECG)

- Hosting / Housing von Diensten (§ 16)Dienstleister speichert vom Nutzer eingegebene Daten

- Unternehmenswebsite wird auf Server eines ISP verwaltet

- Online-Händler mietet sich auf Webshop-Plattform ein- Leser gibt Kommentar in Onlineforum einer Zeitung ab- Benutzer bewertet Hotel, Gasthaus, ... auf einer Bewertungsplattform, trägt sich in einem Gästebuch ein

- Benutzer verwendet Online-Office-Services oder -Fotobearbeitungsdienste oder ...

- Benutzer hat Social-Account (auf Facebook, ...) und berichtet

- Benutzer "zwitschert" über "Gott und die Welt" auf Twitter

- Benutzer beteiligen sich an einem Themenforum- Unternehmen verlagern ihre Dienste in eine "Cloud"

- Links auf fremde Dienste (§ 17)- Website verlinkt auf andere (fremde) Websites




Verantwortung spezifischer Diensteanbieter IV(§ 18 für §§ 16-17 ECG)

Keine Verantwortung unter bestimmten Umständen:1. sofern keine Kenntnis des rechtswidrigen Inhalts und

auch keine Umstände bekannt, aus denen der rechtswidrige Inhalt oder Tätigkeit offensichtlich ist oder

2. bei Kenntnis der rechtswidrigen Tatsache unverzügliches tätig werden zum Entfernen des Hinweises/der Inhalte

Erweiterte Auskunftspflichten bei Hosting siehe Abschnitt Auskunftspflichten


Aber:- keine generelle Überwachungspflicht, es müssen keine

aktiven Maßnahmen zur Identifikation rechtswidriger Inhalte gesetzt werden

- keine vorbeugenden Aufzeichnungspflichten (es erfolgte auch keine Regelung im Rahmen der Vorratsspeicherung)



sonstige Datenschutzbestimmungen

Datenschutzbestimmungen in Einzelgesetzen e-Government-Gesetz (E-GovG)

- schreibt bestimmte technische Verfahren in der Behördenkommunikation vor (Verschlüsselung, digitale Signatur)

- ausführliche Angaben zur Datensicherheit

Gesundheitstelematikgesetz (GTelG)- schreibt bestimmte technische Verfahren in der

Kommunikation der Gesundheitsdienstleister vor- 2012: Regelung der Zugriffe auf Patientenakte [ELGA]

elektronische Rechnungslegung (eBilling)- verlangt digitale Signatur bei elektronischen Rechnungen



Weitere Beispiele zu Datenschutzproblemen

- eMail-Verkehr - Versenden von Zusatzinformationen oder personalisierten Links

- News- & Diskussionbeiträge - "System" vergisst nie (Zweck?)

- Personensuchmaschinen - Qualität der verknüpften Informationen

- Fotodaten (Exif) - Versenden von Zusatzinformationen (Zustimmung?)

- Phishing - Diebstahl der (reduzierten) Benutzeridentität unter Vorspiegelung einer falschen Anbieteridentität

weitere Demobeispiele



TelekommunikationsG 2003

Sicherheitspolizeigesetz

StPO

UrheberrechtsG

E-CommerceG

Vorratsdatenspeicherung

Auskunftspflichten/Überwachung



Vorratsdatenspeicherung (in Ö seit 1.4.2012)Richtlinie 2006/24/EG verpflichtet Mitgliedstaaten, Vorratsdatenspeicherung einzuführen

- Verkehrsdaten, inklusive Standortdatenbetroffen sind auch nicht angenommene Kontaktversuche und Anrufe

- Aufzeichnungsverbot der Inhaltsdaten (sehr allgemein gefasst)"keinerlei Daten, die Aufschluss über den Inhalt einer Kommunikation geben" (Art. 5 Abs. 2)

- Speicherdauer von den Mitgliedsstaaten festzulegen:6 bis 24 Monate

- Umsetzungsfrist Telefonie: bis 15.9.2007für Internetaufzeichnungen konnte ein Umsetzungsvorbehalt abgegeben werden, dann verlängerte sich die Umsetzungsfrist bis 15.3.2009

Delikte, wegen denen auf Daten zugegriffen werden darf:

- „schwere“ Straftaten, national definiert (Art. 1)- ebenso bei unzulässigem TK-Gebrauch (ohne

Untergrenze, EG 4)

Aufzeichnungspflichten



Vorratsdatenspeicherung IIaufzuzeichnende Telefondaten

- Namen und Adressen, Datum, Uhrzeit, Dauer einer Verbindung, Telefonnummern (inkl. IMSI- und IMEI-Nummer), auch zu abgebrochenen/erfolglosen Verbindungsversuchen

- bei Wertkartengeräten: zusätzlich Datum, Uhrzeit, Ort der ersten Aktivierung

aufzuzeichnende Internetdaten- Wer hatte wann welche IP-Adresse genutzt?- Verbindungen zu E-Mail- und Telefoniediensten- zum größten Teil Informationen, die bisher nicht

erhoben/gespeichert werden

Österreich hatte zu den Internetdaten einen Umsetzungsvorbehalt abgegeben





Vorratsdatenspeicherung IIIUmsetzung Österreich

- Novelle des TKG 2003 Mai 2011, in Kraft seit 1.4.2012- Speicherdauer 6 Monate (BMI & Kopierindustrie wollten

längere Speicherdauer)- Speicherung soll bei den Betreibern erfolgen, spezifische

Sicherheitsanforderungen (§ 102c TKG 2003)- beschränkter Zugang ("Vier-Augen-Prinzip")- Protokollierungspflicht bei Datenverwendung- Berichtspflicht bezüglich der Protokolldaten an Datenschutzkommission und Nationalrat

- Umsetzung in Österreich erst nach erster Verurteilung durch EuGH

- Juni 2012 VfGH-Beschwerde gegen Vorratsdatenspeicherung

- November 2012 knapp 200 Anfragen zu Vorratsdaten

Vereinbarkeit Vorratsdatenspeicherung mit EU-Grundrechtecharta

- Dezember 2012 VfGH: Vorabentscheidungsverfahren vor EuGH

- Jänner 2013 DSK: Vorabentscheidungsverfahren vor EuGH




Vorratsdatenspeicherung IV

Delikte, wegen denen Vorratsdaten beauskunftet werden dürfen (in StPO § 135 Abs. 2a geregelt Abs. 2 Z 2 bis 4):

- bei Straftaten mit Freiheitsstrafe von mehr als einem Jahr (Z 3,4)

- mit Zustimmung des Inhabers einer technischen Einrichtung bei Straftaten mit Freiheitsstrafe von mehr als einem halben Jahr (Z 2)

Ausnahmen von der Speicherpflicht:- keine Speicherpflicht für "kleine" Provider § 102 a Abs. 6

TKG 2003 (Umsatzgrenze ca. 300.000 Euro)- keine Speicherpflicht wenn Dienst nur "nebengewerblich"

erbracht wird (Hotels, Cafe mit Internet, ...)- keine Speicherpflicht, wenn Dienst nicht gewerblich

betrieben wird (z.B. alle Unternehmen mit eigenen Mailsystemen, trifft auf etwa 80% der größeren Unternehmen (>50 MA) zu)




Vorratsdatenspeicherung V

Umfang der Aufzeichnung (§ 102a TKG 2003), Auswahl II:

- bei Internet-Zugangsdiensten (Abs 2): Teilnehmerdaten, Datum und Uhrzeit der Zuteilung und des Entzugs einer öffentlichen IP-Adresse, Anschlusskennung

- bei Telefon- und Internet-Telefondiensten: Teilnehmerdaten, Anschlusskennung, Dienstart (z.B. Gespräch, SMS, MMS, ...), Beginn-Datum, -Uhrzeit und Dauer des Dienstes

- bei Mobilfunkdiensten zusätzlich: IMSI (Teilnehmerkennung) und IMEI (Gerätekennung), bei Prepaid-Diensten Daten der ersten Aktivierung, Standortkennung (Cell-ID)

- bei E-Mail-Diensten: Teilnehmerdaten, Teilnehmerkennung, Adressen von Absender und Empfänger, Ab- und Anmeldedaten zu Maildienst inkl. öffentliche IP-Adresse, bei Versenden öffentliche IP-Adresse des Absenders, bei Empfang öffentliche IP-Adresse der "letztübermittelnden Kommunikationsnetzeinrichtung"

- auch erfolglose Anrufversuche sind aufzuzeichnen, wenn Betreiber diese Daten erhebt




Was wird bei einer E-Mail aufgezeichnet?

Sind das die relevanten

Informationen?




Was wird bei einer E-Mail aufgezeichnet? II

weitere nützliche Informationen

wir betätigen uns als Cyber-Cop




Was wird bei einer E-Mail aufgezeichnet? III

Rechtshilfeverfahren mit Azerbaijan?




Was wird bei einer E-Mail aufgezeichnet? IV

Rechtshilfeverfahren mit USA?



Auskunftspflichten / Überwachung StPO

Überwachung gemäß StPO (§§ 134–140)Drei Formen der Eingriffs

- Fall 1: "Auskunft über Daten einer Nachrichtenübermittlung"§ 134 Abs. 2 - auch "äußere Rufdatenerfassung"umfasst: "aktuelle" Verkehrs-, Zugangs- und Standortdaten

- Fall 2: "Auskunft über Vorratsdaten"§ 134 Abs. 2a - umfasst: historische Verkehrs-, Zugangs- und Standortdaten (bis sechs Monate alt)

- Fall 3: "Überwachung von Nachrichten"§ 134 Abs. 3 - "[innere] Rufdatenerfassung" umfasst: Inhalt von Nachrichten

Anzuwenden auf Telekommunikationsdienste (gem. TKG) oder Dienste der Informationsgesellschaft (gem. Notifikationsgesetz)

Beispiele: Telekomunternehmen (inkl. Mobilfunk), Access-Provider, Mailservice-Anbieter, Forumsbetreiber, "Skype" (VoIP), ...




Überwachung gemäß StPO (§§ 134–140)

Voraussetzungen für Fall 1 (§ 135 Abs. 2) :- Z 1: Entführungsfall (Verdacht)- Z 2: vorsätzlich begangene Straftat, Freiheitsstrafe von

mehr als sechs Monaten mit Zustimmung des Inhabers der Einrichtung (Aufklärung)

- Z 3,4: vorsätzlich begangene Straftat, Freiheitsstrafe von mehr als ein Jahr (Aufklärung, Fahndung)

- Auskunftszeitraum kann sowohl Zukunft, als auch Vergangenheit umfassen, Verlängerung möglich (§ 137 Abs. 3)

Voraussetzungen für Fall 2 (§ 135 Abs. 2a) :analog Fall 1, jedoch nur Z 2 bis 4 (nicht "Entführungsfall")




Überwachung gemäß StPO (§§ 134–140)Voraussetzungen für Fall 3 (§ 135 Abs. 3) :

- wie Fall 1 Z 1, 2 und Z 4:- Z 3 jedoch erweitert: bei vorsätzlich begangener Straftat,

Freiheitsstrafe von mehr als ein Jahr erforderlich oder Verhinderung oder Aufklärung im Rahmen einer kriminellen oder terroristischen Vereinigung oder einer kriminellen Organisation (§§ 278 bis 278b StGB) begangenen oder geplanten strafbaren Handlungen ansonsten wesentlich erschwert wäre unda. Inhaber der technischen Einrichtung dringend verdächtig oderb. verdächtige Person benutzt die technische Einrichtung oder stellt Verbindung dazu her

- Überwachung kann nur für zukünftigen Zeitraum angeordnet werden (§ 137 Abs. 3)




- Von der Staatsanwaltschaft mit gerichtlicher Bewilligung anzuordnen (§ 137 Abs. 1 StPO)

- Mitwirkungs- und Auskunftspflicht für Betreiber nach TKG 2003 und Diensteanbieter nach E-Commerce-Gesetz (§ 138 Abs. 2 StPO)Verpflichtung geregelt in der Überwachungsverordnung (§ 94 TKG 2003), Sprachtelefoniebetreiber mit eigenen physikalischen Anschlüssen müssen spezielle technische Einrichtungen zur Überwachung bereitstellen, ab 1.4.2012 80% Kostenersatz im Zusammenhang mit Vorratsspeicherung, bei allen Unternehmen

- Anspruch auf Kostenersatz (geregelt in der Überwachungskostenverordnung, ÜKVO)aber: gilt nur für Telekom-Anbieter, für Diensteanbieter nach ECG weder spezifische Regelungen, noch Kostenersatz vorgesehen





- Verständigungspflicht des Beschuldigen (§ 138 Abs 5 StPO)aber: kann aufgeschoben werden, wenn dieses oder anderes Verfahren gefährdet ist

- Einsichtsrecht des Beschuldigten in alle für das Verfahren bedeutsamen Ergebnisse (§ 139 Abs. 1 StPO)

- Einsichtsrecht der sonstigen Betroffenen insoweit sie davon betroffen sind, die Betroffenen sind von diesem Recht zu informieren (§ 139 Abs. 2 StPO)aber: nur insoweit ihre Identität bekannt oder ohne besonderen Verfahrensaufwand feststellbar ist

- Beweisverwertungbeschränkung, Nichtigkeit bei rechtswidriger Überwachung (§ 140 StPO)aber: Verwertung von "Zufallsfunden" zulässig, wenn Überwachungsvoraussetzungen gegeben gewesen wäre





Seit 1.1.2008 Änderung der StPO: StA ordnet mit richterlicher Bewilligung an. Bis 2007 Telefon-Überwachung, seit 2008 Überwachung von „Nachrichten“ (Telefon und Internet). Quelle: Sicherheitsberichte des BMJ.



Thema "Online-Trojaner" (in Planung?)

Was ist das?- Technisches Instrument, dass es erlaubt Computerinhalte

und -prozesse von der Ferne (Remote) ohne Wissen des Benutzers zu überwachen

- Installation kann vor Ort oder über Datenleitung (Internet) erfolgen, erfordert jedoch immer Manipulation des Computers

- Technik: Key-Logger, Screen-Shots, Dateitransfer, Suchprogramme

Rechtsgrundlage / Diskussionspunkte- Rechtsgrundlage wird vom überwachten Gegenstand

abhängen: Datenverkehr mit der Außenwelt (Kommunikation) oder private Dateien, Notizen, die nicht für Dritte bestimmt sind

- ist das elektronische Aufzeichnen von Tastatureingaben oder Bildschirmanzeigen durch "großen Lauschangriff" (optisches und akustisches nicht-öffentliches Verhalten) abgedeckt?

Auskunftspflichten / Überwachung



Auskunftspflichten nach dem TKG 2003

Auskunft gegenüber Verwaltungsbehörden (§ 90 Abs. 6 TKG 2003)

- Name, akademischer Grad, Wohnadresse, Teilnehmernummer, Vertragsinformationen, nicht Bonitätsdaten(!) (Stammdaten gem. § 92 Abs. 3 Z 3 lit. a bis e)

- Voraussetzung: Verdacht einer Verwaltungsübertretung mittels öffentlichem Telekommunikationsnetz begangen

- schriftlich, begründet und nur insoweit ohne Auswertung von Verkehrsdaten möglich

Auskunftspflichten TKG 2003



Auskunftspflichten nach dem TKG 2003 IIAuskunft an Notrufträger (§ 98 TKG 2003)

- Name, akademischer Grad, Wohnadresse, Teilnehmernummer (Stammdaten gem. § 92 Abs. 3 Z 3 lit. a bis d) + Standortdaten (gem. § 92 Abs. 3 Z 6)

- Standortdaten sind schon bei Rufaufbau bekannt zu geben- wenn aktuelle Standortdaten nicht feststellbar, dann auch

Auskunft über letzte bekannte Cell-ID, auch wenn dazu Vorratsdaten erforderlich (gem. § 102a Abs. 3 Z 6 lit. d gespeicherte Vorratsdaten)

- Auskunftserfordernis ist durch Notrufträger zu dokumentieren und unverzüglich, spätestens innerhalb von 24 Stunden dem Betreiber vorzulegen

- nur im Fall der Verwendung von Vorratsdaten: Anbieter hat "frühestens nach 48 Stunden, jedoch spätestens nach 30 Tagen grundsätzlich durch Versand einer Kurzmitteilung (SMS), wenn dies nicht möglich ist schriftlich, zu informieren"

Auskunftspflichten TKG 2003



Auskunftspflichten SPG

komplexe Auskunftspflichten nach dem SPG

§ 53 Abs. 1 regelt generell Verwendung personenbezogener Daten bei Sicherheitsbehörden, u.a.

- Abwehr krimineller Verbindungen [iS § 16 Abs. 1 Z 2: drei oder mehr Menschen mit dem Vorsatz fortgesetzt gerichtlich strafbare Handlungen zu begehen] (Z 2)

- erweiterte Gefahrenerforschung (Z 2a) [z.B. iS § 21 Abs. 3 Z 1 eine einzelne Person, die sich mittels Telekommunikationseinrichtungen für Gewalt ausspricht oder nach Massenvernichtungsmittel recherchiert und bei dem mit Gewalttaten "zu rechnen" ist]

- Abwehr gefährlicher Angriffe [iS § 16 Abs. 3, jedes Offizialdelikt, Anm.] einschließlich notwendige Gefahrenerforschung (Z 3)

- Analyse und Bewertung der Wahrscheinlichkeit einer Gefährdung verfassungsmäßiger Einrichtungen (Z 7)




komplexe Auskunftspflichten nach dem SPG II

§ 53 Abs. 3a besondere Verpflichtungen zur Auskunft für Telekombetreiber (TKG) und sonstige Diensteanbieter (ECG)

- Teilnehmerdaten zu einem Anschluss für alle SPG-Aufgaben (Z 1)

- IP-Adresse zu einer bestimmten Nachricht (Z 2) [z.B. e-Mail, Posting in einem Forum, ...]

- Benutzerdaten zu einer einem bestimmten Zeitpunkt zugeordneten IP-Adresse inkl. Verwendung von Vorratsdaten (Z 3)

Voraussetzungen für Z 2 und 3: bei konkreten Gefahren (lit a), gefährlichen Angriff (lit b) oder bei kriminellen Verbindungen [drei oder mehr Personen mit dem Vorsatz fortgesetzt gerichtlich strafbare Handlungen zu setzen] (lit c)

- kein Kostenersatz für Betreiber & Diensteanbieter (§ 53 Abs. 3c)




komplexe Auskunftspflichten nach dem SPG III

§ 53 Abs. 3b besondere Verpflichtungen zur Auskunft für Telekombetreiber (TKG)

- bei gegenwärtiger Gefahr für Leben oder Gesundheit ("Lawinen- und Selbstmörderbestimmung")

Auskunftsumfang- Auskunft über Standortdaten und die internationale

Mobilteilnehmerkennung (IMSI) der von dem gefährdeten Menschen mitgeführten Endeinrichtung

- Sicherheitsbehörde darf technische Mittel zur Lokalisierung der Endeinrichtung einsetzen ("IMSI-Catcher")

- falls erforderlich sind Vorratsdaten heranzuziehen

- Kostenersatz für Diensteanbieter gem. ÜKVO (§ 53 Abs. 3c)




komplexe Auskunftspflichten nach dem SPG IV

§ 53 Abs. 3c, gemeinsame Verpflichtungen zu Abs. 3a, 3b

- Auskunft ist unverzüglich zu erteilen- Sicherheitsbehörden handeln in eigener Verantwortung- Keine gerichtliche Bewilligung erforderlich

bloße Informationspflicht des BMI-internen Rechtsschutzbeauftragten

- Kein Rechtsmittel für Betroffene- bei Verwendung von Vorratsdaten sind Betroffene von

Sicherheitsbehörden nachweislich und ehestmöglich zu verständigen

SPG erlaubt keine Beauskunftung der Vorratsdaten,

verpflichtet aber Dienstbetreiber zur Auskunft unter Verwendung der Vorratsdaten



Pflichten von Diensteanbietern (§ 18 ECG)Auskunfts- und Mitwirkungspflicht aller Diensteanbieter gegenüber Gerichten (Abs. 2)

Hosting-Provider (§ 16) müssen auf Verlangen Name und Adresse eines Nutzers offen legen, gegenüber

- Behörden, sofern die Kenntnis dieser Informationen eine wesentliche Voraussetzung der Wahrnehmung der der Behörde übertragenen Aufgaben bildet (es muss kein Delikt behauptet werden!) (Abs. 3)

- dritten Personen, bei ein überwiegenden rechtlichen Interesse an der Feststellung der Identität eines Nutzers und eines rechtswidrigen Sachverhalts, Informationen muss wesentliche Voraussetzung für die Rechtsverfolgung sein (Abs. 4)

Auskunft umfasst jedoch nur Namen und die Adresse des Nutzers,

mit dem Hostingvereinbarung abgeschlossen wurdeGilt auch bei unentgeltlichen Diensten!

Auskunftspflichten ECG



Auskunftspflicht eines Vermittlers gemäß § 87b UrhG Abs. 3Wer in seinem Urheberrecht verletzt wurde, kann vom „Vermittler“ Auskunft zur Identität des Verletzers verlangen

Unklar ob "Access-Provider" Vermittler ist, insbesondere in Hinblick auf den Ausschluss der Verantwortlichkeit nach ECG für die Durchleitung von Informationen (§13 ECG)

Strittig, ob Kopierindustrie/Verwertungsgesellschaften überhaupt IP-Adressen sammeln dürfen (Interessenabwägung nach Datenschutzrecht)

2 Fragen des OGH an EuGH (17.11.2007 + Antwort EuGH LSG/Tele2, C-557/07, 19.2.2009):

- Ist mit „Vermittler“ auch ein reiner Access-Provider gemeint? - Wenn ja: Ist Auskunft an private Dritte zulässig oder steht dem

die EU-Datenschutzrichtlinie entgegen?

Auskunftspflichten UrhG

JA

JA | NEIN | gesetzliche Regelung zulässig



Auskunftspflicht eines Vermittlers II

Entscheidung OGH 14.07.2009, 4 Ob 41/09x auf Basis der EuGH-Feststellungen:

- Grundsätzlich sind Access-Provider zur Auskunft verpflichtet

- Keine Auskunftspflicht über dynamische IP-Adressen, da gar nicht gespeichert werden darf (siehe Verkehrsdaten), wem die Adresse zu welcher Zeit zugeteilt wurde

Auskunftspflichten UrhG

Grundsätzlich gilt:- keine generelle Überwachungspflicht, es müssen keine aktiven

Maßnahmen zur Identifikation rechtswidriger Inhalte gesetzt werden

- ab 1.4.2012 auch vorbeugende Aufzeichnungspflichten (Vorratsdatenaufzeichnung), TKG 2003 § 99 Abs 4 schränkt jedoch Auskunft auf ausdrückliche gesetzliche Ermächtigungen ein



Auskunftspflichten Abschluss

Zusammenfassung zu den AuskunftspflichtenKeine der genannten Auskunfts- und Überwachungspflichten verpflichtet dazu, Daten auf Vorrat zu erheben oder zu speichern

Im Gegenteil:- Nach DSG sind Daten zu löschen, wenn sie nicht mehr für

den ursprünglichen Zweck benötigt werden- Konkreter: Nach TKG sind Verkehrsdaten zu löschen,

wenn sie nicht mehr für die Verrechnung benötigt werden- Empfehlung der DSK vom 11.10.2006: Unzulässigkeit der

Speicherung von dynamischen IP-Adressen bei Flatrate (K213.000/0005-DSK/2006)

Grundrecht auf Datenschutz ("Geheimhaltung der persönlichen Lebensführung") wird als höherwertig angesehen als die Schaffung von Instrumenten der

präventiven Rechtsverfolgung

seit 1.4.2012 gilt: Möglichkeit Ermittlungserfolge zu verbessern ist höherwertig als Grundrechte auf

Freiheit und Privatsphäre



Auskunftspflichten Abschluss

Zusammenfassung zu den Auskunftspflichten IISachverhalt

- Betroffener wird nach Posting in "Sex-Chatroom" über WHOIS-Abfrage der Chatroom-Website, Nickname und vom Betroffenen zum Zeitpunkt des Postings benutzte IP-Adresse (Internet-Provider) ausgeforscht

- Gegen die Ausforschung nach SPG § 53 Abs. 3a ohne richterlicher Ermächtigung wurde Beschwerde bei der DSK eingebracht

Entscheidung VfGH 29.6.2012, B1031/11:- keine Bedenken des VfGH gegen die Bestimmungen des

SPG- kein Eingriff in Fernmeldegeheimnis, da "öffentliche"

Kommunikation und Verkehrsdaten nicht vom Art. 10a StGG erfasst

- staatliche Überwachungsmaßnahmen im Sinne Art 8 EMRK erfordern nicht zwangsläufig richterliche Genehmigung

- Auskunftsgrund ("Anbahnung sexueller Kontakte mit Minderjährigen") als "bestimmte Nachricht" ausreichend begründet



Datenschutzfragen in Internet/eCommerce IVorfrage: Handelt es sich um personenbezogene Daten?

Bestimmbarkeit reicht jedoch aus!

(1) Welche Bestimmung ist anwendbar?a)Telekommunikationsgesetz (setzt bestimmte Technik

voraus)b)andere Spezialbestimmungen (E-Government-Gesetz,

Gesundheitsdatentelematikgesetz, ...)c)Datenschutzgesetz (setzt Datenanwendung voraus)

a) + b) verweisen in Teilen meist auf c)d)Privatsphärebestimmung (Auffangbestimmung)

(2) Prüfung der Rechtmäßigkeit verwendeter Datena)prüfen ob Datenanwendung iS DSG 2000b)wenn Datenanwendung, drei Schritte: berechtigter Zweck

der Datenanwendung, Erlaubnis zur Verwendung bestimmter Daten, Registrierungsanforderung

Überblick / Zusammenfassung



Datenschutzfragen in Internet/eCommerce II

(2) Prüfung der Rechtmäßigkeit verwendeter Daten

...c) mögliche Rechtsverletzungen nach DSG 2000, TKG 2003,

Medienrecht, StGB, Privatsphärebestimmungen, UWG, ...

(3) bestehen berechtigte Auskunftspflichten?a) gemäß StPO, TKG, SPG, ECG, UrhG?, ...b)gegenüber Gerichten, Sicherheits-,

Verwaltungsbehörden, Dritten (Privaten)c) Umfang der Auskunftspflicht:

- bestimmte Daten / Datenarten,- Mitwirkungspflicht,- in bestimmten Fällen Bereitstellung von technischen

Einrichtungen erforderlich,- umfasst bestehende Daten, seit 1.4.2012 auch

Vorratsspeicherung

Überblick / Zusammenfassung



Dr. Hans G. Zegere-commerce monitoring gmbhA-1010 Wien, Vorlaufstraße 5/6

Tel.: 01 / 53 20 944Fax.: 01 / 53 20 974Mail persönlich: [email protected]

Zertifizierung: http://www.a-cert.ate-commerce: http://www.e-rating.at

DSG2000: http://www.argedaten.at/dsg2000diverse Muster: http://www.argedaten.at/muster/

Kontaktinformationen



http://www.dsk.gv.at/

http://ec.europa.eu/justice_home/fsj/privacy/index_de.htm

http://www.datenschutzzentrum.de/

http://www.argedaten.at/

Onlineinformation Datenschutz

http://www.datenschutzverein.de/



Ich danke für Ihre Aufmerksamkeit



Ende Teil I



Datenschutzfragen in Internet und eCommerce

Hans G. ZegerWien Juridicum, VO Sommersemester 2011 Teil II



Wiederholung - Grundfragen

Was ist das Internet?- technische Infrastruktur

("Unternehmensvernetzung", "virtuelle Netzwerke", "Telefonie", ...)

- Plattform für wirtschaftliche Tätigkeiten ("eCommerce", "Online-Shops", ...)

- Informationsvermittlung ("Agora", "Medium", "Stammtisch", "sozialer Treffpunkt", ...)

- Erweiterung der Privatsphäre ("eMail", "Weblog"/Tagebuch, "Partnersuche", ...)

- politischer Aktionsraum ("Kooperation", "Vernetzung", "Foren", ...)

Abgrenzung nicht immer offensichtlich



Wiederholung - DSG 2000 - Grundrecht

Einschränkungen des Verbots möglich aufgrund:- der Zustimmung des Betroffenen- von Gesetzen (Behörden)- Wahrung überwiegender Interessen Dritter/Auftraggeber- "allgemeiner" Verfügbarkeit von Daten- lebenswichtiger Interessen des Betroffenen

DSG 2000 § 1 (Verfassungsbestimmung):

"jede Verwendung perönlicher Daten ist verboten"

umfassender Geheimhaltungsanspruch

Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens")



Wiederholung - DSG 2000 - Grundlagen

Grundsätze der Verwendung von Daten (§ 6ff)Verwendung nach Treu und Glauben (§ 6 Abs. 1 Z 1)

Ermittlung für festgelegte, eindeutige und rechtmäßige Zwecke (§ 6 Abs. 1 Z 2)

Weiterverwendungsverbot für unvereinbare Zwecke (§ 6 Abs. 1 Z 2)

Daten müssen für den Zweck der Datenanwendung wesentlich sein § 6 Abs. 1 Z 3)

Möglichkeit der Verabschiedung branchenspezifischer Verhaltensregeln (§ 6 Abs. 4) [Möglichkeit der Selbstregulierung]

120.705/010-DSK/2001 ("gelindester Eingriff")Zweck einer Datenanwendung muss sich an der gelindesten zum Ziel führenden Datenverwendung orientieren



Wiederholung - DSG 2000 - Grundlagen

Grundlage einer rechtmäßigen Datenverwendung

Dreistufiges Konzept

Es muss eine Rechtsgrundlage für die Datenanwendung geben sein und die Datenverwendung entspricht dem Grundsatz von Treu und Glauben (§ 6, § 7 Abs.1)

Die Verwendung der Daten eines bestimmten Betroffenen muss für den konkreten Zweck zulässig sein (§§ 7ff)

Die Datenanwendung muss den Genehmigungs- und Registrierungserfordernissen entsprechen (§§ 16ff)

Beispiel:

Dürfen Personendaten bei eBay versteigert bzw. ersteigert werden?



Wiederholung - Beispiele / Entscheidungen

In welchem Umfang ist DSG auf Internet anwendbar?

- Ist eine Veröffentlichung auf einer Internetseite eine Datenanwendung? (ja, siehe EuGH C-101/01 Lindqvist)

- Ist eMail-Verkehr eine Datenanwendung? (ja, siehe DSK 120.881/010-DSK/2003, DSK K121.259)

- Wann handelt es sich um personenbezogene Daten?Name, Adresse, IdentifikationsdateneMail-Adresse (ja, siehe OLG Bamberg/D 1U143/04)IP-Adresse (ja, siehe DSK 213.005/0005-DSK/2006)Kundennummer/BenutzerkennungCookiesVoraussetzung ist "bestimmbar" (iS EG-RL 95/46/EG Art. 2)

- Ist berechtigter Zweck gegeben? (DSK 211.505/002-DSK/2004)[unzulässiges Onlineangebot zur Kreditwürdigkeit]



Sonstige nicht vorgetragene Seiten



Auskunftspflichten nach dem SPG - Umsetzung

- Heftige Reaktionen aus den betroffenen Unternehmen- Unterstützung durch Wirtschaftskammer (UBIT)- Wildwuchs von Anfragen zu Jahresbeginn- Rechtsunsicherheit, wer überhaupt Anfrageberechtigt

istnach Verhandlungen mit Innenministerium dürfen nur 13 Dienststellen anfragen (LKAs, BPD Wien, BKA, BVT, BIA)

- Art des Formulars per Erlass geregeltenthält keine Angaben zur Begründung einer Anfrage

- Wenn eine Anfrage einlangt: UBIT bietet kostenlose Rechtsauskunft binnen eines Werktages

- Empfehlung von UBIT: Kunden über die Anfrage informieren

- Telekom-Betreiber strengten mehrere VfGH-Verfahren an

- VfGH G 31/08 u.a.: Zurückweisung aus formalen Gründen: Bekämpfung der Auskunftspflicht durch Beschwerde bei UVS zumutbar




"alte" Cybercrime-Strafbestimmungen u.a.

- §126a StGB Datenbeschädigung- §148a StGB Betrügerischer

Datenverarbeitungsmissbrauch

- §118 Verletzung des Briefgeheimnisses und Unterdrückung von Briefen

- §119 Verletzung des Telekommunikationsgeheimnisses

- §122 Verletzung eines Geschäfts- oder Betriebsgeheimnisses

"Amts"-Bestimmungen

- Schutz des Behörden"geheimnisses" (StGB §§ 302, 310),nur bedingt anwendbar: §301 "Verbotene Veröffentlichung" - geringer Strafrahmen

Cybercrime - Übersicht



Neue "cybercrime"-Bestimmungen (seit 1.10.2002)

- §118a Widerrechtlicher Zugriff auf ein Computersystem ["Hacken"]

- §119a Missbräuchliches Abfangen von Daten- §126b Störung der Funktionsfähigkeit eines

Computersystems [DOS-Attacken]

- §126c Missbrauch von Computerprogrammen oder Zugangsdaten ["Cracken"]

- §225a Datenfälschung

von EU beschlossen (2006)- Aufbewahrungspflicht für Telekom- und Internetdaten- in Österreich nicht fristgerecht umgesetzt (Stand:

7.10.2007)

Europarat - Convention on Cybercrime (23.11.2001)

- seit 1.7.2004 in Kraft- in Österreich nicht ratifiziert (Stand: 7.10.2007)

Cybercrime - Übersicht



Auskunftspflicht eines Vermittlers § 87b UrhG Abs. 3

Privatanklage durch Musikindustrie im Strafverfahren seit der neuen StPO (1.1.2008) Warum?? schwieriger

- Auskunftspflicht vorher heftig umstritten und widersprüchliche Gerichtsentscheidungen

IP-Adressen von Filesharern



Grenzen des DSG

Grundkonzepte des DSG 2000

- Geheimhaltungskonzept"grundsätzlich sind alle persönlichen Daten geheim"

- Rollenkonzept"Betroffener", "Auftrageber", "Dienstleister"

- Datenkonzeptdas DSG sieht die Daten als Träger der Information

steht im Widerspruch zu "Informationsgesellschaft"

bei Telekommunikation und Internet verschwimmen diese Begriffe: persönliche Webseiten, Anschlussinhaber/-nutzer, Angerufener, Rolle des ISP, ...

tatsächlich bestimmt oft erst die Auswertung den Informationsgehalt ("data-mining", Surf-Verhalten)



DSK K121.59/K121.224 ("Parlament")

Ausgangslage

- im Zuge einer parlamantarischen Anfragebeantwortung wurde eine Person (kein Politiker) namentlich genannt

- Anfragebeantwortung wurde auf Website des Parlaments nicht anonymisiert veröffentlicht

Entscheidung

- keine Zuständigkeit der DSK gegeben (nur für Verwaltung/Exekutive zuständig)

- betrifft Gesetzgebung

für Gesetzgebung, aber auch Justiz fehlen Datenschutzaufsichtsstellen

DSG 2000 - Veröffentlichung



Beispiel www.ebay.at - wozu wird zugestimmt?

"Ich willige ein, dass1. die eBay Europe S.à r.l., 15 rue Notre Dame L-2240 Luxembourg, Luxemburg und die eBay International AG, Helvetiastrasse 15 - 17, CH-3005 Bern, Schweiz, meine personenbezogenen Daten erheben und an die eBay Inc., 2145 Hamilton Avenue, San Jose 95125, USA, übermitteln. ..."

Fraglich ob ausreichend bezüglich:- Datenumfang (nur beispielhaft aufgezählt)- Datenempfänger (nur beispielhaft aufgezählt)- Zweck ("gespeicherten Daten, soweit dies erforderlich

ist", was bedeutet erforderlich?)

Vorhanden:- Widerrufshinweis




DSK 211.505/002-DSK/2004 ("Mandatsbescheid")

Ausgangslage- Unternehmen kündigt an eine Liste von zahlungsunwilligen

Konsumenten zu betreiben

- Liste kann über das Internet gegen Bezahlung abgerufen werden

- Firmen werden aufgefordert zahlungsunwillige Personen zu melden

DSK-Entscheidung- System zur Beurteilung der Bonität geeignet, daher

besonders schutzwürdig

- Auftrag Betrieb und Ankündigung mit sofortiger Wirkung zu unterlassen (Mandatsbescheid gem. § 57 AVG)

- wenn zugesichert wird, dass Betrieb erst nach Registrierung erfolgt, ist Mandatsbescheid aufzuheben




www.ebay.at - Welches Datenschutzrecht gilt?




www.ebay.at

Vertragspartner ist eBay-Luxembourg, nicht die AT-Niederlassung (mittlerweile wieder aufgelöst)

weiters findet sich folgende Anmerkung:"8. Soweit die Übermittlung meiner Daten an Dritte nicht aufgrund eines Gesetzes, insbesondere nach dem BDSG [deutsches DSG, Anm.], erlaubt ist, willige ich ein, dass eBay, ..."




SPAM-ENTWICKLUNG

1,0

0%

3,0

0%

7,0

0%

28

,00

%

51

,00

%

73

,20

%

81

,30

%

86

,20

%

84

,60

%

81

,20

%

93

,28

%

80

,00

%

97

,00

%

0

100

200

300

400

500

600

700

800

900

1.000

1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 min max

0,00%

50,00%

100,00%

150,00%

200,00%

250,00%

300,00%

350,00%

400,00%

450,00%

500,00%

um 100 erwünschte Mails zu lesen müssen xxx Mails angesehen werden

Anteil Spam am Mailverkehr [in%]

100%

50%

Anteil Spam am Mailverkehr

SPAM-ENTWICKLUNG

1,0

0%

3,0

0%

7,0

0%

28

,00

%

51

,00

%

73

,20

%

81

,30

%

86

,20

%

84

,60

%

81

,20

%

93

,28

%

80

,00

%

97

,00

%

0

100

200

300

400

500

600

700

800

900

1.000

1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 min max

0,00%

50,00%

100,00%

150,00%

200,00%

250,00%

300,00%

350,00%

400,00%

450,00%

500,00%




100 Mails erwünscht = 1488 Eingangsmails

100 Mails erwünscht = 3333 Eingangsmails

100%

50%


SPAM-Problem - Aufwand der Benutzer

TKG2003 - Datenschutzbestimmungen



TKG2003 - Datenschutzbestimmungen

Quelle: Symantec

SPAM-Problem - Herkunft

Quelle: Symantec

Lateinamerika Nordamerika Europa/Nahost/Afrika Asien/Pazifik



Was passiert bei Aufruf einer Website?

Cookie-Beispiel google.at, google.com

User-Code: YXJnZSBkYXRlbg

Funktionen, z.B. Verfolgen des Users, auch wenn IP-Adresse wechselt, Webserver gewechselt wird,identifizieren, wenn er personalisierten Dienst verwendet

Demobeispiel Cookie-Beispiel




Vorratsdatenspeicherung (Entwicklung)- EuGH weist eine formale Beschwerde Irlands ab

(Zuständigkeit der Kommission und des Parlaments ist gegeben)

- UK wendet ohne besonderes Gesetz an, plant eine zentrale staatliche Datenbank

- Staaten ohne Umsetzung (inkl. Österreich) wurden mit EU-Vertragsverletzungsverfahren konfrontiert

- Verfassungsgerichtshöfe Bulgarien, Rumänien und Deutschland heben nationale Umsetzungen auf

- in Deutschland "nur" als zu weitgegehende Umsetzung und nicht aus prinzipiellen Gründen (BVGH 2.3.2010, 1 BvR 256/08)

- weitere Aufhebung in Tschechien (2011)- Evaluation der Richtlinie erbrachte: hohe Uneinheitlichkeit

der Umsetzung, keine nachhaltigen Erfolge in der Strafverfolgung, aber man möchte trotzdem daran festhalten

- derzeit EuGH-Verfahren wegen Widerspruch zu Grundrechtecharta nach dem "Lissabon-Vertrag" (Irland)

- 20?? Anpassungen der Richtlinie, etwa in Richtung "Quick Freeze"?

© Hans G. Zeger 2013 VO SS2013 - Juridicum Datenschutzfragen in Internet und eCommerce/eBusiness...

Documents

Transcript of © Hans G. Zeger 2013 VO SS2013 - Juridicum Datenschutzfragen in Internet und eCommerce/eBusiness...