2005 (C) Wolfram Proksch datenschutz ::.eu-datenschutz-RL.datenschutzgesetz 2000 Dr. Wolfram Proksch...

2005 (C) Wolfram Proksch

datenschutz ::

.eu-datenschutz-RL

.datenschutzgesetz 2000

Dr. Wolfram Proksch

Technische Universität Wien

[email protected]


.grundlagen Was wird geschützt?

Daten? Privacy!

Wodurch wird geschützt? EMRK

• Art 8 EMRK [Privatsphäre]

• Art 10 EMRK [Meinungsfreiheit] StGG [Staatsgrundgesetz], B-VG,

DSG [Datenschutzgesetz 2000]• Art 10a StGG

Einschränkungen? sog. Grundrechtsschranken

•für die nationale Sicherheit,für die öffentliche Ruhe und Ordnung, für das wirtschaftliche Wohl des Landes, für die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer

•für die nationale Sicherheit,für die öffentliche Ruhe und Ordnung, für das wirtschaftliche Wohl des Landes, für die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer

Art 10a StGG:

Das Fernmeldegeheimnis darf nicht verletzt werden.

Ausnahmen von der Bestimmung des vorstehenden Absatzes sind nur aufgrund eines richterlichen Befehles gemäß bestehender Gesetze zulässig.“

Art 10a StGG:

Das Fernmeldegeheimnis darf nicht verletzt werden.

Ausnahmen von der Bestimmung des vorstehenden Absatzes sind nur aufgrund eines richterlichen Befehles gemäß bestehender Gesetze zulässig.“


.ausweitung des überwachungsradius

Beispiel : Eine Polizeibehörde, welche die Telefongespräche einer verdächtigen Person überwachen möchte, kontaktiert deren Arbeitgeber. Von diesem erfährt die Behörde, dass alle 800 Mitarbeiter gemeinsam eine einzige GSM-Nummer als Gateway in das betreffende GSM-Netz nutzen. Da eine Eingrenzung auf einen kleineren Personenkreis technisch nicht möglich ist, führt dies bei der Überwachung der Telefongespräche des Verdächtigen zwangsläufig zur Überwachung einer Vielzahl weiterer Personen, welche in ihrer allerdeutlichsten Mehrzahl sehr wahrscheinlich mit den strafbaren Handlungen in keinerlei Zusammenhang stehen.


Rechtlicher Rahmen

Datenschutz-RL 95/46/EG Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom

24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Amtsblatt vom 23.11.1995, L 281/0031 – 0050

Telekom.-DS-RL 97/66/EG [ISDN-RL] Richtlinie 97/66/EG des Europäischen Parlaments und des Rates vom

15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation, Amtsblatt vom 30.01.1998, L 024 /0001 – 0008

E-Communication Datenschutz-RL 02/58/EG Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates

vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, Amtsblatt vom 31/07/2002, L 201/37-47


.datenschutz-RL 95/46/EG

Die allgemeine Datenschutzrichtlinie hat zum Ziel, einen gemeinsamen, gemeinschaftlichen Datenschutzstandard zu errichten und so den Datenschutz innerhalb der EU zu gewährleisten, gleichzeitig aber einen möglichst freien Datenfluss sicherzustellen.

Einbezogen in den Anwendungsbereich der Richtlinie DS-RL sind alle personenbezogenen Daten natürlicher Personen, unabhängig von der Art der Verarbeitung – also sowohl die vollständig, teilweise oder auch gar nicht automatisierte Verarbeitung persönlicher Daten.


= „alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind“

:definition: personenbezogene daten


.regelungsinhalte

Persönliche Daten dürfen gem Art 6 Abs 1 b, c nur für eindeutig festgelegte und rechtmäßige Zwecke erhoben werden und auch nur dementsprechenden verarbeitet werden. Die Daten müssen sachlich richtig erhoben worden sein. Sie müssen - wenn nötig - aktualisiert werden und dürfen nicht länger als für die Verwirklichung der Zwecke ihrer Erhebung aufbewahrt werden. Gegen eine zweckentfremdete Erhebung und Verarbeitung hat der Betroffene ein kostenloses Widerspruchsrecht nach Art 14 (2).

Art 7 der DSRL legt konkrete „Erlaubnistatbestände“ fest – also Sachverhalte, die erfüllt sein müssen, damit eine Erhebung, Verarbeitung und Nutzung tatsächlich zulässig ist.

Diese System wird insgesamt als zweistufiges Zulässigkeitskonzept bezeichnet. Zuerst müssen die allgemeinen Voraussetzungen des Art 6 vorliegen. Nach Art 7 bestimmt sich dann die Zulässigkeit im Einzelfall: – Die nötige Einwilligung des Betroffenen, die Notwendigkeit der Erhebung bzw. Verarbeitung der Daten für die Erfüllung vertraglicher oder rechtlicher Pflichten, etc.


Art 8 legt besondere, strenge Voraussetzungen für die Verarbeitung speziell sensibler Datenkategorien fest. Hierunter fallen – etwa ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugung oder auch Daten über Gesundheit oder Sexualleben.;

Die betroffenen Personen erhalten spezielle Informationsrechte, welche von der verarbeitenden Stelle gewährt werden müssen. Diese Informationspflichten und Rechte sind in Art 10 bis 13 geregelt; insbesondere wird den Betroffenen ein Auskunftsrecht, ein Einsichtsrecht in die erhobenen Daten, ein Recht auf Richtigstellung und gegebenenfalls Löschung von personenbezogenen Daten eingeräumt.

Nach Art. 15 haben die Mitgliedstaaten zu gewährleisten, dass niemand einer rechtlichen Entscheidung mit erheblichen Folgen unterworfen wird, welche ausschließlich aufgrund automatisierter Verarbeitung personenbezogener Daten ergeht; [Verbot automatisierter Einzelentscheidungen]


Die für die Verarbeitung der Daten Verantwortlichen müssen geeignete technische und organisatorische Maßnahmen für die Vertraulichkeit und Sicherheit der persönlichen Daten treffen [Art 16, 17] und damit den Schutz der Daten etwa gegen zufälligen Verlust, Zerstörung, unberechtigte Weitergabe, etc. gewährleisten;

Die Verarbeitung von Daten und der Zweck der Verarbeitung sind bei von den Mitgliedstaaten eigens einzurichtenden, öffentlichen und unabhängigen Kontrollstellen zu melden, bevor mit der Datenverarbeitung begonnen wird;

Entsteht jemandem jemand durch unrechtmäßige Datenverarbeitung ein Schaden (auch allfällige ideelle Schäden sind umfasst), so führt dies zur Schadenersatzpflicht des für die Verarbeitung Verantwortlichen [Art 23]


.exportkontrolle

die Mitgliedstaaten müssen gewährleisten, dass personenbezogene Daten aus der europäischen „Datenschutzzone“ nur in jene Länder außerhalb der EU exportiert werden dürfen, welche einen ebensolchen Datenschutzstandard gewährleisten und wo das Grundrecht

„angemessen“ geschützt ist.

Safe-Harbor-Abkommen zwischen EU und USA


… die beiden anderen RL

Telekom.-DS-RL 97/66/EG [ISDN-RL]Richtlinie 97/66/EG des Europäischen Parlaments und des

Rates vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation, Amtsblatt vom 30.01.1998, L 024 /0001 – 0008

E-Communication Datenschutz-RL 02/58/EG Richtlinie 2002/58/EG des Europäischen Parlaments und

des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, Amtsblatt vom 31/07/2002, L 201/37-47


.datenschutz in .at

Allgemeines:

Datenschutz, Medien- und Presserecht = Bundeskompetenz

DSG 1978 als Ausgangsbasis keine eigenen Landesgesetze, aber teils

Durchführungsverordnungen Sonderbestimmungen in einzelnen Gesetzen

(TKG, SigG, etc.) Datenschutzgesetz 2000


Umsetzung der RL

DSG 2000 versteht sich als Umsetzung der allgemeinen DSRL Kritik wegen mangelnder Umsetzung

stellt teils strengere Anforderungen an Datenschutz DSRL ist nur Mindestmaßstab

• DSG 2000 schützt zB auch die Daten von juristischen Personen


§ 1 DSG 2000 [Verfassungsbestimmung]

Grundrecht auf Geheimhaltung der personenbezogenen Daten [natürl. und juristische Personen!], soweit ein schutzwürdiges Interesse daran besteht

Interesse ist ausgeschlossen, wenn die Daten allgemein verfügbar oder auf den Betroffenen nicht rückführbar sind.

Eingriff nur im Rahmen der Grundrechtsschranken Staat darf nur zur Wahrung wichtiger öffentlicher Interessen

gemäß Art 8 (2) EMRK eingreifen Drittwirkung der Grundrechte(Wirkung gegen Private) :

privater Eingriff bedarf der Interessensabwägung

::grundrecht auf datenschutz


Datenschutzkommission = ganz allgemein für die Kontrolle des Datenschutzes

sowohl im privaten als auch im öffentlichen Bereich zuständig

Unterscheidung zwischen Daten im privaten und im öffentlichen Bereich fällt größtenteils weg:

Unterschied bleibt jedoch bei der Geltendmachung: • DS-Verletzung durch Private: Klage bei ordentlichen

Gerichten• DS-Verletzung durch öffentliche Institutionen (insbes. Behörden):

Anrufung der Datenschutzkommission

.allgemeines


„Verwendung von Daten“= der neue Überbegriff für jede denkbare Form der Erhebung, Nutzung,

Verarbeitung, Aufbewahrung und Übermittlung von personenbezogenen Daten. ~ Verarbeitungsbegriff des Art 2(b) der DSRL

„Auftraggeber“= jene natürliche oder juristische Personen, welche die Verwendung von Daten

veranlaßt bzw. zu verantworten hat• ist für Einhaltung der DS-Bestimmungen verantwortlich

• hat Vorkehrungen zur Datensicherheit zu treffen

„Datenanwendung“= die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte [...],

die zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung)

DSRL (schützt auch manuell verarbeitete Daten !!)

.definitionen [ § 4 DSG 2000 ]


Mehrstufige Zulässigkeitsprüfung:

1. Zweck muss eindeutig festgelegt und rechtmäßig sein;eine später Zweckänderung ist unzulässig, die Daten müssen aktuell sein / laufend aktualisiert werden. Nach Zweckerreichung ist weitere Aufbewahrung der Daten ist grundsätzlich unzulässig [ § 6 DSG 2000 ]

2. Datenverwendung ist überhaupt nur zulässig, wenn dadurch keine schutzwürdigen Interessen verletzt werden. Hierbei wird zwischen sensiblen und nicht sensiblen Daten [ §§ 8, 9 DSG 2000 ] unterschieden:

.verwendung personenbezogener daten


nicht sensible Daten dürfen verwendet werden, wenn

der Betroffene eingewilligt hat (der Widerruf einer solchen Einwilligung ist jedoch jederzeit möglich),

eine Gesetz dies ausdrücklich vorsieht,

lebenswichtige Interesse des Betroffenen dies erfordern

oder überwiegende Interessen eines Dritten (Privaten) vorliegen

• Interessensabwägung zwischen schutzwürdigen Interessen des Betroffenen einerseits und jenen des Auftraggebers andererseits

sensible Daten [ insb. ethnische Herkunft, politische Meinung, relig. Überzeugung, Gesundheit, Sexualleben], wenn

der Betroffene diese Daten selbst veröffentlicht oder seine ausdrückliche (jederzeit widerrufbare) Zustimmung erteilt hat.

eine gesetzliche Ermächtigung vorliegt oder diese Verwendung zur Wahrung überwiegend wichtiger, öffentlicher Interessen nötig ist.


Definition:

= die gemeinsame Verarbeitung von Daten in einer Datenanwendung durch mehrere Auftraggeber und die gemeinsame Benützung der Daten in der Art, dass jeder Auftraggeber auch auf jene Daten im System Zugriff hat, die von den anderen Auftraggebern dem System zur Verfügung gestellt wurden.

Informationsverbundsysteme bedürfen gem § 18 DSG 2000 der Vorab-Kontrolle durch die DS-Kommission.

.informationsverbundsysteme


Auftraggeber:

aktive Informationspflicht

vor Beginn der Verwendung sind der Zweck der Datenverarbeitung und die Identität des Auftraggebers mitzuteilen

Verletzung der DS-Bestimmungen = Verwaltungsübertretung:

§ 52 DSG 2000

.pflichten & rechteBetroffene:

Auskunftsrecht [ § 26 DSG ]

Recht auf Löschung und Richtigstellung

Beschwerde bzw. Klagsrecht (bei ordl. Gerichten & DS-Komm.)

Widerspruchsrecht wegen Geheimhaltungsinteresse

Anspruch auf Schadenersatz § 33 DSG 2000

§ 51 DSG 2000 - Strafbestimmung: „Datenanwendung mit Gewinn- oder Schädigungsabsicht“ (Freiheitsstrafe bis 1 Jahr)

2005 (C) Wolfram Proksch… end of privacy

2005 (C) Wolfram Proksch datenschutz ::.eu-datenschutz-RL.datenschutzgesetz 2000 Dr. Wolfram Proksch...

Documents

Transcript of 2005 (C) Wolfram Proksch datenschutz ::.eu-datenschutz-RL.datenschutzgesetz 2000 Dr. Wolfram Proksch...